Amazons EC2 als Private-Cloud nutzen

Mit der »Virtual Private Cloud« können Unternehmen Amazons »EC2« so nutzen, als wenn die Ressourcen Teil des eigenen Netzwerks wären. Der Zugriff erfolgt über ein VPN.

Mit Hilfe von Amazons »Virtual Private Cloud« (VPC) stellen Unternehmen zusätzliche Rechenleistung über die »EC2«-Plattform bereit. Dabei sind die VPC-Ressourcen ein Teil des Unternehmensnetzwerks und werden über ein VPN angebunden. Die VPC-Instanzen lassen sich wie über ein lokales Netzwerk ansprechen. Es gibt keine NAT-Übersetzung. Die eigene VPC ist von anderen logisch getrennt. Kosten fallen pro Stunde für eine bestehende VPN-Verbindung und die darüber transferierten Datenmengen an.

Die VPC-Funktionen steuert der Administrator über das EC2-API oder Kommandozeilen-Tools. Unternehmen können die VPN-Verbindung zur VPC und die dortigen Instanzen bestehen lassen. Es aber auch möglich, jederzeit die VPN-Verbindung beenden, EC2-Instanzen terminieren oder sogar die eigene VPC löschen.

Für eine Verbindung muss der Administrator zunächst den gewünschten IP-Adressen-Bereich in der VPC definieren. Diesen kann er in bis zu 20 IP-Subnetze unterteilen. Anschließend muss der IT-Verwalter ein Gerät wie etwa einen Router oder eine VPN-Appliance als Verbindungspunkt zur VPC definieren. Anschließend erzeugt er in der VPC ein VPN-Gateway als Gegenüber. Nun kann er EC2-Instanzen in der VPC starten.

Amazon hat verschiedene Soft- und Hardware-VPN-Lösungen für den Einsatz mit der VPC getestet. Ansonsten hat der Provider eine Liste an Anforderungen veröffentlicht, die VPN-Lösungen erfüllen müssen. Dazu gehören etwa IKE-Security-Associations über Pre-Shared-Keys, IPsec-Security-Associations im Tunnel-Modus, AES-128-Bit-Verschlüsselung, SHA-1-Hashes, BGP-Peerings (Border-Gateway-Protocol) oder IPsec-Dead-Peer-Detection.