AWS PrivateLink erklärt
- Cloud networking , Partners
- 13. Juli 2023
Kunden, die Konnektivität über AWS realisieren möchten, sind mit einer Vielzahl an Optionen konfrontiert – darunter auch PrivateLink. Wann aber ist PrivateLink die beste Wahl? Wir erläutern den Anwendungsbereich und die Vorteile der Private-Connectivity-Variante.
Wer Netzwerke mit AWS betreiben möchte, steht vor eine Fülle von Möglichkeiten. An vorderster Stelle sind hier Transit Gateway, VPC Peering und ein Verfahren zu nennen, das in unserem Blog bisher zu kurz kam: AWS PrivateLink. Unter welchen Umständen aber ist PrivateLink die beste Wahl? Welche Erfahrungswerte gibt es bei der Implementierung, und wie profitieren Unternehmen von der Technologie? Alle Antworten rund um diese und weitere Fragen zu PrivateLink liefert dieser Blogpost.
Was genau ist AWS PrivateLink?
Die meisten kennen AWS Direct Connect, das Verfahren zur Anbindung privater Netzwerke (z. B. Kundenstandorte oder Rechenzentren) an AWS, insbesondere zur VPC-Umgebung eines Kunden in der Cloud. PrivateLink funktioniert ähnlich wie diese populäre Option; es gibt aber auch wichtige Unterschiede. Im Gegensatz zu Direct Connect wird PrivateLink als Networking-Konstrukt innerhalb von AWS verwendet, um einen Dienst oder eine Applikation, die in einer VPC (eines Serviceproviders) angesiedelt ist, für andere Consumer VPCs innerhalb einer AWS-Region privat verfügbar zu machen.
Sie wollen mehr über Direct Connect erfahren? Lesen Sie unseren Leitfaden für Unternehmen.
Vorteile von AWS PrivateLink
PrivateLink macht seinem Namen alle Ehre und gilt als das „privateste“ AWS-Konnektivitätsverfahren. Daraus ergeben sich einige Vorteile:
- Sicherer Datenverkehr: PrivateLink leitet Netzwerk-Traffic niemals über das öffentliche Internet. Dadurch sinkt das Risiko von Cyberbedrohungen. Private IP-Konnektivität sorgt dafür, dass Dienste so betrieben werden können, als würden sie direkt in Ihrem privaten Netzwerk gehostet. Außerdem lassen sich Sicherheitsgruppen zuordnen und eine Richtlinie für Schnittstellenendpunkte festlegen, um den Zugriff auf bestimmte Dienste zu kontrollieren.
- Simpleres Netzwerkmanagement: Services lassen sich über verschiedene Konten und Amazon VPCs hinweg verbinden, ohne sich um Firewallregeln, Pfaddefinitionen, Routingtabellen, die Konfiguration eines Internet-Gateways, VPC Peering-Verbindungen oder das VPC CIDR Management kümmern zu müssen.
- Beschleunigte Cloudmigration: Dank der Abschirmung Ihrer Daten vor dem Internet können Sie traditionelle On-Premises-Applikationen in SaaS-Dienste migrieren, die in der Cloud mit PrivateLink gehostet werden – im Wissen, dass Ihr Datenverkehr in sicheren Händen ist.
- Automatisierung: Durch die Zusammenarbeit mit einem Terraform-Provider, der SaaS unterstützt (etwa der von Databricks), können Sie Ihre Infrastruktur und das Konfigurationsmanagement automatisieren, um Ihren PrivateLink Workspace noch leichter und intuitiver zu verwalten.
AWS PrivateLink schützt Ihre Clouddaten, da die Lösung innerhalb des AWS-Systems betrieben wird. Quelle: AWS
Erste Schritte mit AWS PrivateLink
Bei einer geplanten Anbindung an interne AWS-Services oder SaaS-Dienste von Drittanbietern lassen sich die Optionen manchmal nur schwer überblicken. Das gilt gerade dann, wenn der Kunde nur das Ergebnis im Blick hat – ähnlich, als wollte man ein Haus bauen, ohne erst das Fundament zu legen. Als Startpunkt bietet sich an, die verschiedenen Angebote ins Auge zu fassen, die über PrivateLink genutzt werden sollen.
Es gibt eine Reihe nativer AWS-Dienste, die via PrivateLink in Ihre VPC-Umgebung integriert werden können. Eine Liste dieser Dienste finden Sie hier. So lässt sich am einfachsten feststellen, ob PrivateLink die von Ihrem Unternehmen benötigten Verbindungsarten unterstützt. Wenn Sie in Ihre AWS-Konsole eingeloggt sind, besteht zudem die Möglichkeit, die regional verfügbaren Dienstangebote im Abschnitt zu VPC-Endpunkten abzurufen. Bei Veröffentlichung dieses Artikels existierten allein in der Region ap-southeast-2 (Sydney) 115 in AWS integrierte Dienstangebote. Der Gateway-/Schnittstellenendpunkt zu Amazon S3 (Simple Storage Service) kann über einen AWS Resource Name (ARN) wie com.amazonaws.ap-southeast-2.s3 abgefragt werden. Die Schnittstellenendpunkte und die Gateway-Load-Balancer-Endpunkte basieren auf AWS PrivateLink und nutzen ein Elastic Network Interface (ENI) als Eintrittspunkt für Datenverkehr, der an den Dienst geleitetet wird.
Um zum Einrichtungsbildschirm von PrivateLink in AWS zu gelangen, navigieren Sie zum VPC-Bereich und wählen Sie Endpunkt erstellen aus. Hier stehen Ihnen drei Optionen zur Auswahl. Die erste lautet „AWS Services“. Sie enthält eine Liste aller Dienste, die in der Region verfügbar sind, in der sich Ihre VPC befindet. Zweitens besteht die Möglichkeit, nach einem bestimmten Namen zu suchen.
Die letzte Option ist von Interesse, da sich damit SaaS-Angebote von anderen Softwareanbietern nutzen lassen. Gleichzeitig profitieren Sie von der globalen Distribution, dem Load Balancing und anderen AWS-Diensten, ohne dass SaaS-Traffic zwischen Ihrer VPC und dem Provider über das öffentliche Internet geleitet wird. Diese Option lohnt sich besonders dann, wenn Ihr Unternehmen auch Direct Connect nutzt, da die SaaS-zu-VPC-Verbindung auf lokale Dienste und Colocated Services von Rechenzentren ausgeweitet werden kann. Sie vermeiden somit nicht nur instabile und potenziell ungesicherte Internetverbindungen, sondern profitieren auch von den niedrigeren Egress-Kosten bei Direct Connect.
Eine Auswahl an SaaS-Diensten, die über PrivateLink bezogen werden können, finden Sie hier. Besonders populär sind Databricks, Snowflake, Dynatrace und Cisco Secure Cloud Analytics. Vielleicht interessiert Sie auch diese Liste an Angeboten, die von AWS Technology-Partnern unterstützt werden. Sie bietet einen praktischen Überblick über aktuelle Angebote, die über diese Methode verfügbar sind. Dort finden Sie auch das Angebot „AWS PrivateLink Ready Product“. Dabei handelt es sich um eine „Click-to-Deploy“-Lösung, die in Verbindung mit Ihrem Megaport-aktivierten AWS Direct Connect Service verwendet werden kann.
Es gibt viele Szenarien, in denen SaaS-Produkte mit den AWS VPCs eines Kunden interagieren müssen. SaaS-Produkte, denen eine Interaktion zwischen Konten zugute kommt, fallen oft in die Kategorien Logging und Monitoring, Security, Compliance, Ressourcenoptimierung, Data Analytics und DevOps. Kurzum kann die Nutzung von PrivateLink für SaaS Workspaces dazu beitragen, ein zentrales Erfordernis von Corporate-Governance-Richtlinien zu erfüllen.
AWS PrivateLink und Megaport
Als AWS Technology Partner kann das Software-Defined Network von Megaport Ihre AWS PrivateLink-Verbindung optimieren – unter anderem für ein schnelleres Provisioning, mehr Sicherheit und eine geringere Latenz. Diese Kombinationen bieten gesicherte Datenverkehrspfade, mit denen Ihre SaaS-Workloads so transparent wie möglich gestaltet werden, ohne dass Sie Kompromisse eingehen und wertvolle Daten riskant über das öffentliche Internet leiten müssen.
Wenn Sie Megaport als zentralen Verbindungspunkt nutzen, können Sie mit dem Megaport Cloud Router (MCR) auch Ihre AWS-Instanzen an andere Clouddienste anbinden und so mit einem unserer SD-WAN-Integrationspartner auf Megaport Virtual Edge (MVE) Konnektivität zwischen Ihren Standorten und der Cloud herstellen.