Konzepte

STACKIT Core Networking bietet Ihnen die grundlegenden Bausteine für den Aufbau sicherer, isolierter und flexibler Netzwerkinfrastrukturen in der Cloud. Das Verständnis dieser Kernkonzepte hilft Ihnen beim Entwurf von Netzwerken, die Ihre Anforderungen an Sicherheit, Leistung und Konnektivität erfüllen.

Kernkonzepte

Virtuelle Netzwerke und Netzwerktrennung

Das Herzstück von Core Networking ist das Konzept der virtuellen Netzwerke – softwaredefinierte Netzwerke, die eine vollständige Isolierung zwischen verschiedenen Projekten und Kunden ermöglichen. Jedes virtuelle Netzwerk arbeitet unabhängig mit eigenem IP-Adressraum, eigenen Routing-Tabellen und Sicherheitsrichtlinien.

Wenn Sie ein virtuelles Netzwerk erstellen, definieren Sie einen IP-Adressbereich (CIDR-Block), der die verfügbaren Adressen für Ihre Ressourcen bestimmt. Alle Ressourcen innerhalb desselben virtuellen Netzwerks können standardmäßig miteinander kommunizieren, während der Datenverkehr zwischen verschiedenen virtuellen Netzwerken blockiert wird, sofern er nicht explizit konfiguriert wurde.

Diese Isolierung stellt Folgendes sicher:

• Ihr Netzwerkverkehr bleibt privat und sicher.
• Sie haben die vollständige Kontrolle darüber, welche Ressourcen kommunizieren können.
• Compliance- und Sicherheitsanforderungen lassen sich einfacher erfüllen.

Security Groups: Zugriffskontrolle auf Netzwerkebene

Security Groups fungieren als virtuelle Firewalls, die den Datenverkehr auf der Ebene der Netzwerkschnittstelle steuern. Sie definieren Regeln sowohl für den eingehenden (Ingress) als auch für den ausgehenden (Egress) Datenverkehr auf der Grundlage von IP-Adressen, Ports und Protokollen.

Hauptmerkmale von Security Groups:

• Zustandsbehafteter Betrieb (Stateful operation) – Wenn Sie eingehenden Datenverkehr zulassen, wird die Antwort automatisch erlaubt, unabhängig von den Regeln für ausgehenden Datenverkehr.
• Default Deny für Ingress – Der gesamte eingehende Datenverkehr wird blockiert, sofern er nicht explizit zugelassen wird.
• Default Allow für Egress – Der gesamte ausgehende Datenverkehr wird zugelassen, sofern er nicht explizit blockiert wird.
• Regelbasierte Filterung – Definieren Sie präzise Regeln basierend auf Quell-/Ziel-IP, Portbereichen und Protokollen.
• Ressourcenübergreifend wiederverwendbar – Wenden Sie dieselbe Security Group auf mehrere Netzwerkschnittstellen an.

Security Groups bieten Defense-in-Depth, indem sie unabhängig von Sicherheitsmaßnahmen auf Anwendungsebene arbeiten. Sie stellen sicher, dass selbst bei der Kompromittierung einer Ressource Seitwärtsbewegungen (Lateral Movement) und unbefugter Zugriff eingeschränkt bleiben.

Konnektivität zum öffentlichen Internet

Core Networking bietet flexible Optionen für die Internetkonnektivität über Public IP Addresses:

Floating IP-Adressen

Floating IPs sind öffentlich geroutete IPv4-Adressen, die Sie bestimmten virtuellen Maschinen zuweisen können. Sie ermöglichen:

• Eingehende Verbindungen aus dem Internet zu Ihren Ressourcen
• Ausgehende Verbindungen mit einer konsistenten öffentlichen IP-Adresse
• Network Address Translation (NAT), welche die öffentliche IP der privaten IP Ihrer VM zuordnet
• Flexibilität, um die IP-Adresse bei Bedarf zwischen verschiedenen VMs zu verschieben

Wichtig: Die Floating IP ist innerhalb des Betriebssystems der VM nicht sichtbar – sie existiert auf der Netzwerkschicht durch NAT.

Router-IP-Adressen

Router-IPs bieten eine gemeinsame ausgehende Internetverbindung für alle Ressourcen in einem Netzwerk. Wenn Sie einer VM in einem Projekt eine Floating IP zuweisen, erhalten alle anderen VMs automatisch ausgehenden Internetzugang über die IP des Routers mittels Source NAT (SNAT).

Router-IPs sind ideal für:

• Ressourcen, die ausgehenden Internetzugang benötigen, aber keine eingehenden Verbindungen erfordern
• Kostenoptimierung – eine Floating IP ermöglicht den Internetzugang für mehrere Ressourcen
• Interne Dienste, die externe APIs oder Updates konsumieren

Netzwerkschnittstellen (NICs)

Netzwerkschnittstellen repräsentieren die virtuellen Netzwerkkarten, die Ihre Compute-Ressourcen mit virtuellen Netzwerken verbinden. Jede NIC verfügt über:

• Eine dedizierte IPv4-Adresse aus dem Adressbereich des übergeordneten Netzwerks
• Sicherheitseinstellungen einschließlich NIC-Sicherheit und Security Groups
• Listen zulässiger Adressen für flexible Verkehrsmuster
• MAC-Adressfilterung, um IP-Spoofing zu verhindern

Sie können bis zu 5 NICs an einen einzelnen Server anschließen, was Folgendes ermöglicht:

• Multi-Homed-Konfigurationen mit Verbindungen zu mehreren Netzwerken
• Netzwerksegmentierung für verschiedene Verkehrsarten (Verwaltung, Daten, Backup)
• Hochverfügbarkeit durch redundante Netzwerkpfade
• Leistungsoptimierung durch Trennung des Workload-Verkehrs

STACKIT Network Area (SNA): Projektübergreifende Konnektivität

STACKIT Network Area erweitert die Vernetzung über ein einzelnes Projekt hinaus, indem sie mehrere Projekte innerhalb Ihrer Organisation auf Netzwerkebene verbindet. Anstatt isolierter Projekte, die nur über das öffentliche Internet kommunizieren können, erstellt SNA ein privates Transfernetzwerk, das Ihre Netzwerke miteinander verbindet.

Vorteile von SNA:

• Vereinfachte Microservices-Architekturen über Projekte hinweg
• Ermöglichen von Hybrid Cloud durch Bereitstellung eines zentralen Verbindungspunkts für On-Premises-Netzwerke
• Erhöhte Sicherheit durch Vermeidung des öffentlichen Internets für die Kommunikation zwischen Projekten
• Automatisches Routing ohne erforderliche manuelle Verwaltung von Routing-Tabellen
• Isolierung auf Netzwerbebene, die weiterhin durch Security Groups aufrechterhalten wird

SNA ist besonders wertvoll für:

• Organisationen mit mehreren Teams, die separate Projekte verwalten
• Verteilte Anwendungen, die Projektgrenzen überschreiten
• Hybrid-Cloud-Szenarien, die eine konsistente Konnektivität erfordern

Management von Netzwerkadressen

Eine ordnungsgemäße Planung der IP-Adressen ist entscheidend für skalierbare und wartbare Netzwerke. Core Networking bietet:

• Flexible Anpassung der CIDR-Blockgröße an Ihre Anforderungen
• Reservierte Adressen für Systemzwecke (in der Regel 2–3 pro Netzwerk)
• Statische IP-Zuweisung innerhalb von Netzwerkbereichen
• Portabilität von IP-Adressen innerhalb desselben Netzwerks
• Unterstützung überlappender Adressen durch Netzwerktrennung

Best Practices für das Adressmanagement:

• Planen Sie Wachstum ein, indem Sie angemessen dimensionierte CIDR-Blöcke wählen
• Verwenden Sie konsistente Adressierungsschemata über Projekte hinweg
• Dokumentieren Sie Netzwerkzuweisungen, um Konflikte zu vermeiden
• Berücksichtigen Sie zukünftige SNA-Anforderungen bei der Auswahl von Adressbereichen

Anwendungsfälle

Die flexible Architektur von Core Networking unterstützt eine Vielzahl von Bereitstellungsszenarien:

Mehrstufige Anwendungsarchitekturen (Multi-Tier)

Erstellen Sie sichere, skalierbare Anwendungen, indem Sie Komponenten in verschiedene Netzwerkstufen unterteilen:

• Öffentliche Stufe – Webserver mit Floating IPs für den Internetzugang
• Anwendungsstufe – Business-Logic-Server in einem privaten Netzwerk
• Datenbankstufe – Datenspeicher mit den restriktivsten Zugriffskontrollen

Security Groups stellen sicher, dass jede Stufe nur Verbindungen von autorisierten Quellen akzeptiert, während virtuelle Netzwerke die zugrunde liegende Isolierung bieten.

Hybrid-Cloud-Konnektivität

Verbinden Sie Ihre STACKIT-Projekte mit On-Premises-Rechenzentren unter Verwendung von SNA als zentralem Hub:

• Richten Sie VPN- oder MPLS-Verbindungen zur SNA ein.
• Konfigurieren Sie das Routing, um On-Premises-Netzwerke erreichbar zu machen.
• Wenden Sie konsistente Sicherheitsrichtlinien auf Cloud- und On-Premises-Ressourcen an.
• Ermöglichen Sie eine nahtlose Workload-Migration zwischen Umgebungen.

Entwicklungs-, Test- und Produktionsumgebungen

Erstellen Sie isolierte Netzwerke für verschiedene Umgebungen innerhalb Ihrer Organisation:

• Separate Projekte für Entwicklung, Test, Staging und Produktion
• Konsistente Vernetzung mit reproduzierbaren Konfigurationen
• Kontrollierte Übernahme von Änderungen zwischen den Umgebungen
• Kostenoptimierung durch angemessene Dimensionierung der Netzwerke für jede Umgebung

Microservices und Container-Plattformen

Unterstützung moderner, verteilter Architekturen:

• Dienstisolierung mit virtuellen Netzwerken und Security Groups
• Integration von Container-Netzwerken mit der STACKIT Kubernetes Engine (SKE)
• Service-Mesh-Kompatibilität für erweitertes Verkehrsmanagement
• Projektübergreifende Deployments, die über SNA verbunden sind

Sichere Bastion-Host-Muster

Implementieren Sie sicheren administrativen Zugriff auf Ihre Ressourcen:

• Bereitstellung von Bastion-Hosts in einem dedizierten Verwaltungsnetzwerk
• Konfigurieren von Security Groups zur Einschränkung des SSH-/RDP-Zugriffs
• Verwendung von Floating IPs nur auf Bastion-Hosts, während Workload-VMs privat bleiben
• Überwachung und Protokollierung aller administrativen Verbindungen

Hochverfügbarkeit und Disaster Recovery

Entwerfen Sie resiliente Architekturen, die Ausfällen standhalten:

• Verteilen von Ressourcen über Verfügbarkeitszonen
• Konfigurieren mehrerer NICs für redundante Netzwerkpfade
• Verwendung von SNA zur Verbindung von primären Standorten und Disaster-Recovery-Standorten
• Implementieren von Health Checks und automatischen Failover-Mechanismen

Multi-Region-Deployments

Obwohl SNA derzeit innerhalb von Regionen arbeitet, können Sie Multi-Region-Lösungen entwerfen:

• Bereitstellung von Anwendungen in mehreren STACKIT-Regionen
• Verwendung öffentlicher IPs für die regionsübergreifende Kommunikation (private Konnektivität geplant)
• Implementierung von globalem Lastausgleich für eine optimale Benutzererfahrung
• Planung für Ausfälle auf Regionsebene mit unabhängiger Netzwerkinfrastruktur

Sicherheits- und Compliance-Aspekte

Core Networking bietet mehrere Sicherheitsebenen:

• Netzwerktrennung verhindert standardmäßig unbefugten Zugriff
• Security Groups implementieren Zugriffskontrollen nach dem Least-Privilege-Prinzip
• NIC-Sicherheit verhindert IP- und MAC-Spoofing-Angriffe
• Private Adressierung hält interne Ressourcen vom öffentlichen Internet fern
• Audit-Logging verfolgt Netzwerkänderungen und Zugriffsmuster

Diese Funktionen helfen bei der Erfüllung von Compliance-Anforderungen für:

• Datenschutzverordnungen (DSGVO etc.)
• Industriestandards (PCI-DSS, HIPAA etc.)
• Interne Sicherheitsrichtlinien und Best Practices

Leistungsoptimierung

Maximieren Sie die Netzwerkleistung durch:

• Verbindungen mit niedriger Latenz innerhalb derselben Region
• DNS-Caching für eine schnellere Namensauflösung
• Mehrere NICs zur Trennung des Datenverkehrs und Bandbreitenoptimierung
• Optimierung von Security-Group-Regeln, um den Verarbeitungsaufwand zu minimieren
• Angemessene Netzwerkdimensionierung, um die Erschöpfung von Adressen zu vermeiden

Nächste Schritte

Nachdem Sie die Konzepte von Core Networking verstanden haben, können Sie Folgendes erkunden:

• Core Networking Architektur, um zu sehen, wie die Komponenten zusammenarbeiten
• Grundlagen zu virtuellen Netzwerken für detaillierte Netzwerkkonfigurationen
• Konzepte zu Public IP Addresses, um Internetkonnektivität zu ermöglichen
• Grundlagen zur STACKIT Network Area für projektübergreifende Vernetzung