# Multi-Cloud Networking: Architektur & Connectivity über Providergrenzen hinweg
TL;DR / Management Summary Viele Unternehmen nutzen gleichzeitig AWS für Web-Apps, Azure für Identität (AD) und GCP für Datenanalyse. Die Herausforderung im Multi-Cloud Networking ist der sichere und schnelle Datenaustausch zwischen diesen “Inseln”. Wir nutzen Inter-Cloud Konnektivität, um Traffic nicht über das öffentliche Internet zu schicken. Ein Senior Admin setzt dabei auf Cloud-native Transit Gateways oder spezialisierte Connectivity-Provider wie Megaport, um ein einheitliches Routing-Schema weltweit durchzusetzen.
# 1. Strategien der Vernetzung
Wie die Clouds sprechen.
- Public Internet (VPN): Jede Cloud hat ein VPN-Gateway. Wir bauen IPsec-Tunnel zwischen den Providern.
- Vorteil: Günstig.
- Nachteil: Hohe Latenz, keine SLAs.
- Cloud-native Transit (Peering): Direkte Anbindung über den Backbone des Providers (falls Partnerschaften bestehen).
- Cloud Exchange (Software Defined Fabric): Nutzung von Providern wie Megaport oder Equinix Cloud Exchange.
- Vorteil: Private, dedizierte Leitungen zwischen AWS, Azure und GCP.
# 2. Globales Routing-Design
Der BGP-Backbone.
In Multi-Cloud Umgebungen ist BGP (Artikel 734) das einzig praktikable Protokoll.
- ASN Management: Vergeben Sie jeder Cloud-Umgebung eine eigene Autonome Systemnummer (AS).
- Route Aggregation: Vermeiden Sie es, tausende
/32IPs zu propagieren. Fassen Sie die Cloud-Bereiche zu großen Blöcken zusammen (z.B. AWS =10.100.0.0/16).
# 3. Deep Dive: DNS in Multi-Cloud
Namen finden in jeder Wolke.
Ein zentrales Problem: app.aws.firma.de muss von einer VM in Google Cloud aufgelöst werden können.
- Lösung: Cross-Cloud DNS Forwarding.
- Technik: Jede Cloud hat einen DNS-Resolver, der bedingte Weiterleitungen (Conditional Forwarders) für die Suffixe der anderen Provider an einen zentralen “Hub-Resolver” (oder das lokale AD) schickt.
# 4. Day-2 Operations: Egress Kosten-Optimierung
Die ‘Cloud-Steuer’ bändigen.
Cloud-Provider lieben es, wenn Daten zu ihnen kommen (Ingress = gratis), hassen es aber, wenn Daten sie verlassen (Egress = teuer).
- Aktion: Minimieren Sie den Datentransfer zwischen den Clouds.
- Strategie: Platzieren Sie Ihre Analysetools (GCP) so nah wie möglich an den Datenquellen (Big Data Buckets). Nutzen Sie Kompression für alle Inter-Cloud-Transfers.
# 5. Troubleshooting & “War Stories”
Wenn die Pakete zwischen den Providern verschwinden.
# Top 3 Fehlerbilder
-
Symptom: “MTU Blackhole”.
- Ursache: Die VPN-Tunnel zwischen den Clouds reduzieren die nutzbare Paketgröße.
- Lösung: Setzen Sie die MTU auf den Cloud-Instanzen auf 1350 (Artikel 706).
-
Symptom: Unvorhersehbare Routing-Pfade.
- Ursache: BGP lernt Pfade über das Internet UND über den privaten Cloud-Exchange.
- Fix: Setzen Sie
BGP Local Preference, um den privaten Pfad immer zu bevorzugen.
-
Symptom: Firewall-Inkonsistenz.
- Problem: AWS Security Groups funktionieren anders als Azure NSGs.
# “War Story”: Der “Data-Loop” zwischen den Clouds
Ein Admin konfigurierte zwei verschiedene Cloud-Gateways, die beide das gleiche On-Premise Subnetz (10.0.0.0/8) via BGP anpriesen.
Das Ereignis: Traffic von AWS nach Azure floss nicht direkt, sondern nahm den Umweg über das lokale Rechenzentrum des Unternehmens.
Das Ergebnis: Die Internetleitung des Unternehmens war sofort überlastet, da sie als “Transit-Netz” zwischen zwei Multi-Gbit Clouds fungierte.
Lehre: Multi-Cloud Networking erfordert ein striktes BGP Filter-Design. Erlauben Sie niemals, dass Ihre lokale Infrastruktur zum Transit-Knoten für Cloud-zu-Cloud Traffic wird.
# 6. Monitoring & Reporting
Die globale Sicht.
# Cloud-to-Cloud Latency Matrix
Überwachen Sie permanent die Latenz zwischen Ihren Cloud-Providern.
- KPI:
Inter-Cloud Latency. (Sollte bei privater Anbindung < 5ms innerhalb der gleichen Region liegen).
# 7. Fazit & Empfehlung
Multi-Cloud ist die Königsdisziplin der Netzwerk-Architektur.
- Empfehlung: Nutzen Sie einen Cloud-Connectivity Provider (z.B. Megaport). Es reduziert die Komplexität von hunderten VPN-Tunneln auf eine einzige Management-Oberfläche.
- Wichtig: Verwenden Sie für alle Clouds ein einheitliches Tagging-Schema für Ihre Firewall-Regeln, um bei Audits nicht den Überblick zu verlieren.
# Anhang: Cheatsheet (Transit Gateways)
| Feature | AWS Transit GW | Azure Virtual WAN | GCP Network Connectivity Center |
|---|---|---|---|
| Zentrale Rolle | Hub für VPCs | Hub für VNets | Hub für VPCs & VPNs |
| Peering | TGW Peering | VNet Peering | Global VPC |
| BGP Support | Ja | Ja | Ja |