# AWS Networking: VPC Architektur & Subnetting für Admins
TL;DR / Management Summary Ein VPC (Virtual Private Cloud) ist ein isoliertes, logisches Netzwerk in der AWS Cloud. Es ist das Äquivalent zu Ihrem lokalen Rechenzentrum. Wir unterteilen das VPC in Public Subnets (erreichbar vom Internet) und Private Subnets (isoliert, für Datenbanken). Ein Senior Admin nutzt Security Groups als zustandsbehaftete Firewalls und Network ACLs für grobe Filterung, um eine sichere Umgebung für hybride Workloads (Artikel 539) zu schaffen.
# 1. VPC Grundlagen
Der eigene Adressraum.
Ein VPC wird durch einen IPv4 CIDR-Block definiert (z.B. 10.0.0.0/16).
- Isolation: Traffic kann das VPC nur über definierte Gateways verlassen.
- Regional: Ein VPC existiert innerhalb einer AWS Region (z.B. Frankfurt), spannt aber über mehrere Availability Zones (AZs).
# 2. Subnetting-Strategie
Public vs. Private.
# 1. Public Subnet
Hat eine Route zu einem Internet Gateway (IGW).
- Einsatz: Loadbalancer, NAT-Gateways, Bastion-Hosts.
# 2. Private Subnet
Hat keine direkte Route zum IGW.
- Internet-Zugriff: Erfolgt ausgehend über ein NAT Gateway im Public Subnet.
- Einsatz: Web-Server, Datenbanken (RDS), Proxmox-Backup-Targets.
# 3. Deep Dive: Security Groups vs. Network ACLs
Die zwei Schichten der Firewall.
| Feature | Security Group (SG) | Network ACL (NACL) |
|---|---|---|
| Ebene | Instanz (NIC) | Subnet |
| Status | Stateful (Antwort erlaubt) | Stateless (In/Out explizit) |
| Regeln | Nur Allow | Allow & Deny |
| Priorität | Alle Regeln geprüft | Reihenfolge (wie OPNsense) |
# 4. Day-2 Operations: Hybride Konnektivität
Cloud meets On-Prem.
Verbinden Sie Ihr lokales Büro mit dem AWS VPC:
- Site-to-Site VPN: Kostengünstig via IPsec (Artikel 565).
- Direct Connect (DX): Dedizierte Leitung für minimale Latenz und hohe Bandbreite.
- Transit Gateway: Zentrale Drehscheibe, wenn Sie viele VPCs und Standorte verbinden.
# 5. Troubleshooting & “War Stories”
Wenn die Cloud-Instanz stumm bleibt.
# Top 3 Fehlerbilder
-
Symptom: Instanz im Public Subnet ist nicht via SSH/RDP erreichbar.
- Check: Hat die Instanz eine Public IP? Ist das Internet Gateway mit dem VPC verknüpft?
- Lösung: Route
0.0.0.0/0 -> igw-xxxxin der Route Table prüfen.
-
Symptom: Datenbank-Update schlägt fehl (kein Internet).
- Ursache: Das NAT-Gateway fehlt oder die Route im Private Subnet zeigt nicht darauf.
-
Symptom: Ping zwischen Instanzen geht nicht.
- Ursache: Security Groups erlauben standardmäßig kein ICMP.
# “War Story”: Die “Standard”-NACL Falle
Ein Admin wollte den Zugriff auf sein Subnetz härten und änderte die Network ACL. Er erlaubte Inbound Port 443, vergaß aber, die Ephemeral Ports (1024-65535) für den Rückweg zu öffnen. Das Ergebnis: Der Webserver war online, konnte aber keine Antworten an die Clients schicken. Da die Security Group (stateful) alles erlaubte, suchte der Admin stundenlang an der falschen Stelle. Lehre: Network ACLs sind mächtig, aber komplex. Lassen Sie NACLs auf “Allow All” und nutzen Sie Security Groups für 99% Ihrer Filterregeln.
# 6. Monitoring & Reporting
Transparenz in der Cloud.
# VPC Flow Logs
Aktivieren Sie Flow Logs (Artikel 758), um zu sehen, welche IP-Ströme abgelehnt wurden.
- Aktion: Senden Sie die Logs an CloudWatch Logs Insights.
- Query:
filter action="REJECT" | stats count(*) by srcAddr.
# 7. Fazit & Empfehlung
AWS Networking erfordert ein Verständnis von Software-Defined Abstraktionen.
- Empfehlung: Nutzen Sie das VPC Wizard für die ersten Setups, um keine Gateways zu vergessen.
- Wichtig: Verwenden Sie für Ihre Subnetze ein Schema, das nicht mit Ihrem lokalen Netz (Artikel 725) kollidiert, um zukünftige VPN-Kopplungen zu ermöglichen.
# Anhang: Cheatsheet (AWS Networking CLI)
| Aufgabe | Befehl |
|---|---|
| VPCs listen | aws ec2 describe-vpcs |
| Subnets prüfen | aws ec2 describe-subnets |
| Route Table Check | aws ec2 describe-route-tables |
| SGs anzeigen | aws ec2 describe-security-groups |