# Hybrid Cloud Networking: Architektur für On-Premise & Cloud Integration
TL;DR / Management Summary Ein moderner IT-Betrieb findet gleichzeitig lokal (z.B. in Proxmox) und in der Cloud (AWS/Azure) statt. Die größte Herausforderung ist die nahtlose und sichere Vernetzung dieser Welten. Wir nutzen Site-to-Site VPNs (Artikel 565) für den Einstieg und dedizierte Leitungen (ExpressRoute/DirectConnect) für produktive Hochlast-Workloads. Ein Senior Admin implementiert BGP-Routing, um automatische Failover-Szenarien zwischen Standorten und der Cloud zu ermöglichen.
# 1. Konnektivitäts-Optionen
Vom Tunnel zur Leitung.
- Site-to-Site VPN (Internet):
- Technik: IPsec-Tunnel über das öffentliche Internet.
- Vorteil: Günstig, sofort einsatzbereit.
- Nachteil: Keine garantierten Latenzen oder Bandbreiten.
- Dedicated Connection (L2/L3 Private):
- Namen: AWS Direct Connect, Azure ExpressRoute.
- Technik: Physische Glasfaser-Verbindung vom RZ zum Cloud-Provider.
- Vorteil: Höchste Sicherheit, stabile Latenz (ideal für SQL-Cluster).
# 2. Hybrides Routing-Design
Wer kennt welches Netz?
Um eine nahtlose Kommunikation zu gewährleisten, müssen die Routing-Tabellen synchron sein.
- BGP (Border Gateway Protocol): Der Industriestandard für Hybrid-Cloud.
- Aktion: Ihr OPNsense-Gateway (Artikel 541) tauscht via BGP die Routen mit dem Cloud-Gateway aus.
- Vorteil: Wenn Sie ein neues VLAN in Proxmox anlegen, “lernt” die Cloud-Instanz dieses Subnetz automatisch innerhalb von Sekunden.
# 3. Deep Dive: DNS in der Hybrid Cloud
Namen über Grenzen hinweg auflösen.
Häufiges Problem: Eine VM in Azure muss den Hostnamen eines lokalen Proxmox-Servers auflösen.
- Lösung A: DNS Forwarder. Cloud-DNS fragt bei lokalem DC (Artikel 493) an.
- Lösung B: Azure Private DNS Zones oder AWS Route 53 Resolver. Erstellt eine zentrale DNS-Infrastruktur für alle Welten.
# 4. Day-2 Operations: MTU & Performance Tuning
Den Overhead minimieren.
Hybrid-Verbindungen haben oft einen MTU-Overhead durch Kapselung.
- Aktion: Stellen Sie die MTU auf Ihren internen Servern auf 1350 - 1400 ein, wenn viel Traffic in die Cloud fließt.
- MSS Clamping: Aktivieren Sie dieses Feature auf Ihrem Gateway (Artikel 706), um TCP-Verbindungsabbrüche zu vermeiden.
# 5. Troubleshooting & “War Stories”
Wenn die Brücke bricht.
# Top 3 Fehlerbilder
-
Symptom: Ping geht, aber Datenbank-Connect schlägt fehl.
- Ursache: Firewall-Regel in der Cloud (Security Group) oder lokal (OPNsense) lässt nur ICMP durch.
- Lösung: Port-Freischaltungen auf beiden Seiten abgleichen.
-
Symptom: Cloud-Traffic nutzt den langsamen VPN-Tunnel statt der ExpressRoute.
- Ursache: BGP-Prioritäten (AS-Path oder Metrics) falsch gesetzt.
- Fix: Nutzen Sie
BGP WeightoderLocal Preference(Artikel 734).
-
Symptom: IP-Konflikte (Overlap).
- Lösung: Nutzen Sie zwingend ein globales IPAM (Artikel 731).
# “War Story”: Der “Asymmetrische” Albtraum
Ein Unternehmen verband seine Proxmox-VMs via VPN mit AWS. Das Ereignis: Der Backup-Job in die Cloud war extrem langsam (10 Mbit statt 500 Mbit). Die Entdeckung: Das Hin-Paket ging über den VPN-Tunnel, aber die Bestätigung (ACK) des AWS-Servers floss über das Internet-Gateway der Cloud direkt zum Host zurück (da dort keine Rückroute konfiguriert war). Das Ergebnis: Die OPNsense blockierte die Antworten, da sie den State (Artikel 554) nur für den Tunnel kannte. Lehre: Sorgen Sie für symmetrisches Routing. Ein Paket muss immer den gleichen Weg zurücknehmen, den es gekommen ist.
# 6. Monitoring & Reporting
Konnektivitäts-Integrität.
# IP-SLA Messung
Überwachen Sie die Latenz zwischen On-Prem und Cloud permanent.
- KPI:
Cloud RTT. Wenn der Ping von 10ms auf 100ms steigt, ist Ihr BGP auf den Backup-Tunnel umgeschwenkt.
# 7. Fazit & Empfehlung
Hybrid Cloud Networking ist das Fundament der modernen IT.
- Empfehlung: Nutzen Sie BGP-basiertes Routing ab dem ersten Tag. Es spart Ihnen den manuellen Aufwand bei jeder Netzwerkerweiterung.
- Wichtig: Verwenden Sie für die Anbindung an die Cloud ein dediziertes Transit-VLAN auf Ihrer OPNsense, um den Cloud-Traffic sauber vom internen User-Traffic zu trennen.
# Anhang: Vergleichstabelle (VPN vs. Direct Connect)
| Merkmal | Cloud VPN | Direct Connect / ExpressRoute |
|---|---|---|
| Speed | Max. 1.25 Gbit/s | 1 Gbit/s - 100 Gbit/s |
| Latenz | Variabel | Konstant Niedrig |
| Sicherheit | Verschlüsselt (Internet) | Physisch Isoliert |
| Kosten | Gering | Hoch |