# Grundlagen
**Topics**
+ [ZUV 1 Was ist bei der Verwaltung von Servicekontingenten und Einschränkungen zu beachten?](w2aac19b9b5b5.md)
+ [ZUV 2 Was ist bei der Planung der Netzwerktopologie zu beachten?](w2aac19b9b5b7.md)
# ZUV 1 Was ist bei der Verwaltung von Servicekontingenten und Einschränkungen zu beachten?
Für cloudbasierte Workload-Architekturen gibt es Servicekontingente (die auch als Service Limits bezeichnet werden). Diese Kontingente dienen dazu, nicht versehentlich mehr Ressourcen bereitzustellen als nötig und Anfrageraten für API-Vorgänge zu begrenzen, um Services vor Missbrauch zu schützen. Darüber hinaus gibt es Ressourceneinschränkungen, z. B. die Rate, mit der Bits durch ein Glasfaserkabel geschleust werden können, oder die Speichermenge auf einer physischen Festplatte.
**Topics**
+ [REL01-BP01 Kenntnis von Servicekontingenten und Einschränkungen](rel_manage_service_limits_aware_quotas_and_constraints.md)
+ [REL01-BP02 Verwalten von Servicekontingenten für mehrere Konten und Regionen](rel_manage_service_limits_limits_considered.md)
+ [REL01-BP03 Berücksichtigen von festen Servicekontingenten und Einschränkungen durch die Architektur](rel_manage_service_limits_aware_fixed_limits.md)
+ [REL01-BP04 Überwachen und Verwalten von Kontingenten](rel_manage_service_limits_monitor_manage_limits.md)
+ [REL01-BP05 Automatisieren der Kontingentverwaltung](rel_manage_service_limits_automated_monitor_limits.md)
+ [REL01-BP06 Sicherstellen eines ausreichenden Spielraums zwischen den aktuellen Kontingenten und der maximalen Nutzung, damit ein Failover möglich ist](rel_manage_service_limits_suff_buffer_limits.md)
# REL01-BP01 Kenntnis von Servicekontingenten und Einschränkungen
Sie wissen über die Standardkontingente und Anfragen zur Kontingenterhöhung für Ihre Workload-Architektur Bescheid. Außerdem wissen Sie, welche Ressourceneinschränkungen, z. B. bezüglich Datenträgern oder Netzwerken, potenziell große Auswirkungen haben.
Service Quotas ist ein AWS-Service, mit dem Sie Ihre Kontingente für über 100 AWS-Services von einem Standort aus verwalten können. Neben der Suche nach den Kontingentwerten können Sie auch Kontingenterhöhungen über die Service Quotas-Konsole oder über das AWS SDK anfordern und nachverfolgen. AWS Trusted Advisor bietet eine Servicekontingent-Prüfung, die Ihre Nutzung und Ihre Kontingente für bestimmte Aspekte einiger Services anzeigt. Die Standardkontingente pro Service finden Sie ebenfalls in der AWS-Dokumentation für den jeweiligen Service. Weitere Informationen finden Sie unter [Amazon VPC Quotas](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html). Ratenlimits für gedrosselte APIs werden innerhalb des API Gateway selbst festgelegt. Dazu wird ein Nutzungsplan konfiguriert. Andere Limits, die für ihre jeweiligen Services konfiguriert werden, sind bereitgestellte IOPS, zugewiesener RDS-Speicher und EBS-Volume-Zuweisungen. Amazon Elastic Compute Cloud (Amazon EC2) verfügt über ein eigenes Service Limits-Dashboard, mit dem Sie Ihre Limits für Instances, Amazon Elastic Block Store (Amazon EBS) und Elastic IP-Adressen verwalten können. Wenn Sie einen Anwendungsfall haben, bei dem sich Servicekontingente auf die Leistung Ihrer Anwendung auswirken und eine Anpassung an Ihre Anforderungen nicht möglich ist, wenden Sie sich an den AWS Support, um zu ermitteln, ob es Lösungen gibt.
**Gängige Antimuster:**
+ Bereitstellen einer Workload ohne Berücksichtigung der Servicekontingente für die verwendeten AWS-Services.
+ Entwerfen einer Workload ohne Untersuchung und Berücksichtigung der Designeinschränkungen für AWS-Services.
+ Bereitstellen einer vielgenutzten Workload, die eine bekannte vorhandene Workload ersetzt, ohne vorher die notwendigen Kontingente zu konfigurieren oder sich mit AWS Support in Verbindung zu setzen.
+ Planen eines Ereignisses, das Datenverkehr zur Workload lenken soll, ohne vorher die notwendigen Kontingente zu konfigurieren oder sich mit AWS Support in Verbindung zu setzen.
**Vorteile der Einführung dieser bewährten Methode:** Wenn Sie die Servicekontingente, API-Drosselungslimits und Designeinschränkungen kennen, können Sie diese Aspekte bei Entwurf, Implementierung und Betrieb der Workload berücksichtigen.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch
## Implementierungsleitfaden
+ Überprüfen Sie die AWS-Servicekontingente in der veröffentlichten Dokumentation und in Service Quotas.
+ [AWS Service Quotas (früher als Limits bezeichnet)](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)
+ Ermitteln Sie alle für die Workload erforderlichen Services durch Untersuchung des Bereitstellungscodes.
+ Verwenden Sie AWS Config, um alle AWS-Ressourcen zu finden, die in Ihren AWS-Konten verwendet werden.
+ [AWS Config-unterstützte AWS-Ressourcentypen](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html)
+ Sie können auch Ihre AWS CloudFormation verwenden, um die genutzten AWS-Ressourcen zu ermitteln. Sehen Sie sich die Ressourcen an, die in der AWS-Managementkonsole oder über den Befehl „list-stack-resources“ in der Befehlszeilenschnittstelle erstellt wurden. Sie können zudem Ressourcen anzeigen, die für die Bereitstellung in der Vorlage selbst konfiguriert sind.
+ [Anzeigen Ihrer AWS CloudFormation-Stack-Daten und -Ressourcen auf der AWS-Managementkonsole](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-view-stack-data-resources.html)
+ [AWS CLI for CloudFormation: list-stack-resources (AWS CLI für CloudFormation: list-stack-resources)](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-stack-resources.html)
+ Ermitteln Sie die geltenden Servicekontingente. Nutzen Sie die programmgesteuert über Trusted Advisor und Service Quotas zugänglichen Informationen.
## Ressourcen
**Ähnliche Dokumente:**
+ [AWS Marketplace: CMDB-Produkte zur Nachverfolgung von Limits](https://aws.amazon.com/marketplace/search/results?searchTerms=CMDB)
+ [AWS Service Quotas (früher als Service Limits bezeichnet)](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)
+ [Bewährte AWS Trusted Advisor Trusted Advisor-Methoden (Prüfungen) (siehe Abschnitt „Servicelimits“)](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/best-practice-checklist/)
+ [AWS Limit Monitor in AWS Answers](https://aws.amazon.com/answers/account-management/limit-monitor/)
+ [Amazon EC2 Service Limits](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html)
+ [Was ist Service Quotas?](https://docs.aws.amazon.com/servicequotas/latest/userguide/intro.html)
**Ähnliche Videos:**
+ [AWS Live re:Inforce 2019 – Service Quotas](https://youtu.be/O9R5dWgtrVo)
# REL01-BP02 Verwalten von Servicekontingenten für mehrere Konten und Regionen
Wenn Sie mehrere AWS-Konten oder AWS-Regionen verwenden, müssen Sie die entsprechenden Kontingente in allen Umgebungen anfordern, in denen die Produktions-Workloads ausgeführt werden.
Servicekontingente werden pro Konto aufgezeichnet. Sofern nicht anders angegeben, gilt jedes Kontingent für eine bestimmte AWS-Region. Zusätzlich zu den Produktionsumgebungen verwalten Sie auch Kontingente in allen anwendbaren Nicht-Produktionsumgebungen, damit Tests und Entwicklung nicht behindert werden.
**Gängige Antimuster:**
+ Es wird zugelassen, dass die Ressourcennutzung in einer Isolationszone zunimmt, ohne dass es einen Mechanismus zur Aufrechterhaltung der Kapazität in den anderen Zonen gibt.
+ Alle Kontingente werden manuell und in jeder Isolationszone einzeln festgelegt.
+ Es wird nicht sichergestellt, dass regional isolierte Bereitstellungen groß genug sind, um bei Ausfall einer Bereitstellung den zunehmenden Datenverkehr aus einer anderen Region zu bewältigen.
**Vorteile der Einführung dieser bewährten Methode:** Wenn Sie die aktuelle Last bei Nichtverfügbarkeit einer Isolationszone bewältigen können, kann dies dabei helfen, dass beim Failover eine geringere Anzahl von Fehlern auftritt, anstatt dass dieser einen Denial-of-Service für die Kunden verursacht.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch
## Implementierungsleitfaden
+ Wählen Sie relevante Konten und Regionen anhand von Serviceanforderungen, regulatorischen Anforderungen sowie Anforderungen für die Latenz und die Notfallwiederherstellung aus.
+ Ermitteln Sie Servicekontingente für alle relevanten Konten, Regionen und Availability Zones. Die Limits gelten für ein Konto und eine Region.
+ [Was ist Service Quotas?](https://docs.aws.amazon.com/servicequotas/latest/userguide/intro.html)
## Ressourcen
**Relevante Dokumente:**
+ [AWS Marketplace: CMDB-Produkte zur Nachverfolgung von Limits](https://aws.amazon.com/marketplace/search/results?searchTerms=CMDB)
+ [AWS Service Quotas (früher als Service Limits bezeichnet)](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)
+ [Bewährte AWS Trusted Advisor Trusted Advisor-Methoden (Prüfungen) (siehe Abschnitt „Servicelimits“)](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/best-practice-checklist/)
+ [AWS Limit Monitor in AWS Answers](https://aws.amazon.com/answers/account-management/limit-monitor/)
+ [Amazon EC2 Service Quotas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html)
+ [Was ist Service Quotas?](https://docs.aws.amazon.com/servicequotas/latest/userguide/intro.html)
**Relevante Videos:**
+ [AWS Live re:Inforce 2019 - Service Quotas](https://youtu.be/O9R5dWgtrVo)
# REL01-BP03 Berücksichtigen von festen Servicekontingenten und Einschränkungen durch die Architektur
Achten Sie auf unveränderliche Servicekontingente und physische Ressourcen und gestalten Sie sie so, dass sie keine Auswirkungen auf die Zuverlässigkeit haben.
Beispiele sind Netzwerkbandbreite, AWS Lambda-Nutzlastgröße, Drosselungs-/Burst-Rate für API Gateway und gleichzeitige Benutzerverbindungen zu einem Amazon Redshift-Cluster.
**Gängige Antimuster:**
+ Benchmarking erfolgt unter Ausnutzung des Burst-Limits nur für sehr kurze Zeit, anschließend wird aber erwartet, dass der Service über einen längeren Zeitraum mit der betreffenden Kapazität ausgeführt wird.
+ Auswahl eines Designs, bei dem pro Benutzer oder Kunde eine Ressource eines Services verwendet wird, ohne die Einschränkungen des Designs zu kennen, die bei dessen Skalierung zum Ausfall führen.
**Vorteile der Einführung dieser bewährten Methode:** Durch die Nachverfolgung fester Kontingente in AWS-Services und von Einschränkungen in anderen Teilen der Workload (wie z. B. Einschränkungen in Bezug auf Konnektivität, IP-Adressen und Services von Drittanbietern) können Sie Trends hin zu einem Kontingent erkennen. Außerdem können Sie so das Kontingent erweitern, bevor es überschritten wird.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel
## Implementierungsleitfaden
+ Berücksichtigen Sie feste Servicekontingente. Achten Sie bei der Gestaltung der Architektur auf feste Servicekontingente und Einschränkungen.
+ [AWS Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)
## Ressourcen
**Ähnliche Dokumente:**
+ [AWS Marketplace: CMDB-Produkte zur Nachverfolgung von Limits](https://aws.amazon.com/marketplace/search/results?searchTerms=CMDB)
+ [AWS Service Quotas (früher als Service Limits bezeichnet)](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)
+ [Bewährte AWS Trusted Advisor Trusted Advisor-Methoden (Prüfungen) (siehe Abschnitt „Servicelimits“)](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/best-practice-checklist/)
+ [AWS Limit Monitor in AWS Answers](https://aws.amazon.com/answers/account-management/limit-monitor/)
+ [Amazon EC2 Service Quotas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html)
+ [Was ist Service Quotas?](https://docs.aws.amazon.com/servicequotas/latest/userguide/intro.html)
**Ähnliche Videos:**
+ [AWS Live re:Inforce 2019 – Service Quotas](https://youtu.be/O9R5dWgtrVo)
# REL01-BP04 Überwachen und Verwalten von Kontingenten
Überprüfen Sie die potenzielle Nutzung und erhöhen Sie Ihre Kontingente entsprechend, um einen geplanten Nutzungsanstieg zu ermöglichen.
Für unterstützte Dienste können Sie Ihre Kontingente verwalten, indem Sie CloudWatch-Alarme konfigurieren. So wird die Nutzung überwacht und bei einer sich abzeichnenden Erschöpfung von Kontingenten werden Sie benachrichtigt. Diese Alarme können über Service Quotas oder Trusted Advisor ausgelöst werden. Sie können auch Metrikfilter für CloudWatch Logs verwenden, um Muster in Protokollen zu suchen und zu extrahieren und dadurch zu bestimmen, ob die Nutzung Kontingentschwellenwerte erreicht.
**Gängige Antimuster:**
+ Es werden Alarme für den Fall konfiguriert, dass Service Quotas zur Neige gehen, aber es gibt keinen Prozess für die Reaktion auf eine entsprechende Warnung.
+ Es werden nur Alarme für Services konfiguriert, die von Service Quotas unterstützt werden, und es erfolgt keine Überwachung anderer Services.
**Vorteile der Einführung dieser bewährten Methode:** Durch die automatische Verfolgung der AWS-Servicekontingente und die Überwachung ihrer Nutzung können Sie feststellen, wann ein Kontingent zu Neige geht. Mithilfe dieser Überwachungsdaten können Sie zudem abschätzen, wann Kontingente zur Kosteneinsparung verringert werden sollten.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel
## Implementierungsleitfaden
+ Überwachen und verwalten Sie Ihre Kontingente. Überprüfen Sie Ihre potenzielle Nutzung in AWS, erhöhen Sie Ihre regionalen Servicekontingente entsprechend und planen Sie eine steigende Nutzung ein.
+ Erfassen Sie die aktuelle Ressourcennutzung (z. B. Buckets, Instances). Erfassen Sie die aktuelle Ressourcennutzung mithilfe von Service-API-Vorgängen wie der DescribeInstances-API von Amazon EC2.
+ Erfassen Sie Ihre aktuellen Kontingente. Verwenden Sie AWS Service Quotas, AWS Trusted Advisor und AWS-Dokumentation.
+ Verwenden Sie AWS Service Quotas, ein AWS-Service, der Sie bei der Verwaltung von mehr als 100 AWS-Services an einem einzigen Ort unterstützt.
+ Ermitteln Sie Ihre aktuellen Service-Limits anhand von Trusted-Advisor-Service-Limits.
+ Ermitteln Sie aktuelle Servicekontingente mithilfe von Service-API-Vorgängen, sofern unterstützt.
+ Protokollieren von angeforderten Kontingenterhöhungen und deren Status Nachdem eine Kontingenterhöhung genehmigt wurde, sollten Sie sicherstellen, dass Sie Ihre Datensätze aktualisieren, um die Kontingentänderung widerzuspiegeln.
## Ressourcen
**Ähnliche Dokumente:**
+ [AWS Marketplace: CMDB-Produkte zur Nachverfolgung von Limits](https://aws.amazon.com/marketplace/search/results?searchTerms=CMDB)
+ [AWS Service Quotas (früher als Service Limits bezeichnet)](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)
+ [AWS Trusted Advisor Überprüfen bewährter Methoden für Service Limits](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html)
+ [AWS Limit Monitor in AWS Answers](https://aws.amazon.com/answers/account-management/limit-monitor/)
+ [Amazon EC2 Service Quotas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html)
+ [Was ist Service Quotas?](https://docs.aws.amazon.com/servicequotas/latest/userguide/intro.html)
+ [Überwachen von Service Quotas unter Verwendung von Amazon CloudWatch-Alarmen](https://docs.aws.amazon.com/servicequotas/latest/userguide/configure-cloudwatch.html)
**Ähnliche Videos:**
+ [AWS Live re:Inforce 2019 – Service Quotas](https://youtu.be/O9R5dWgtrVo)
# REL01-BP05 Automatisieren der Kontingentverwaltung
Implementieren Sie Tools, um vor dem Erreichen von Schwellenwerten benachrichtigt zu werden. Durch die Verwendung von AWS Service Quotas-APIs können Sie Anfragen zur Kontingenterhöhung automatisieren.
Wenn Sie Ihre Konfigurationsmanagementdatenbank (CMDB) oder das Ticketing-System mit Service Quotas integrieren, können Sie die Verfolgung von Kontingenterhöhungsanfragen und von aktuellen Kontingenten automatisieren. Zusätzlich zum AWS SDK bietet Service Quotas Automatisierung unter Verwendung der AWS Command Line Interface (AWS CLI).
**Gängige Antimuster:**
+ Die Kontingente und die Nutzung werden in Tabellen verfolgt.
+ Es werden Berichte zur täglichen, wöchentlichen oder monatlichen Nutzung ausgeführt und anschließend wird die Nutzung mit den Kontingenten verglichen.
**Vorteile der Einführung dieser bewährten Methode:** Durch die automatisierte Nachverfolgung der AWS-Servicekontingente und die Überwachung ihrer Nutzung können Sie feststellen, wann ein Kontingent zu Neige geht. Sie können die Automatisierung einrichten, damit Sie beim Anfordern einer Kontingenterhöhung bei Bedarf unterstützt werden. Wenn sich Ihre Nutzung in die entgegengesetzte Richtung entwickelt, sollten Sie einige Kontingente reduzieren, um von den verringerten Risiken (im Falle von kompromittierten Anmeldeinformationen) und von Kosteneinsparungen zu profitieren.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel
## Implementierungsleitfaden
+ Richten Sie eine automatisierte Überwachung ein. Implementieren Sie Tools mithilfe von SDKs, um vor dem Erreichen von Schwellenwerten benachrichtigt zu werden.
+ Nutzen Sie Service Quotas und erweitern Sie den Service mit einer Lösung zur automatisierten Kontingentüberwachung, z. B. mit AWS Limit Monitor oder einem Angebot aus AWS Marketplace.
+ [Was ist Service Quotas?](https://docs.aws.amazon.com/servicequotas/latest/userguide/intro.html)
+ [Quota Monitor on AWS – AWS-Lösung](https://aws.amazon.com/answers/account-management/limit-monitor/)
+ Richten Sie automatische Reaktionen anhand von Schwellenwerten für Kontingente mit Amazon SNS- und AWS Service Quotas-APIs ein.
+ Testen Sie die Automatisierung.
+ Konfigurieren Sie Limit-Schwellenwerte.
+ Integrieren Sie Änderungsereignisse von AWS Config-Bereitstellungspipelines, Amazon EventBridge oder Ereignisse von Drittanbietern.
+ Legen Sie unnatürlich niedrige Schwellenwerte für Kontingente fest, um die Reaktionen zu testen.
+ Richten Sie Trigger ein, damit bei Benachrichtigungen geeignete Maßnahmen ergriffen werden und bei Bedarf der AWS Support kontaktiert wird.
+ Lösen Sie Änderungsereignisse manuell aus.
+ Führen Sie eine Ernstfallübung aus, um den Prozess für die Kontingenterhöhung zu testen.
## Ressourcen
**Ähnliche Dokumente:**
+ [APN-Partner: Partner, die Sie bei der Konfigurationsverwaltung unterstützen können](https://aws.amazon.com/partners/find/results/?keyword=Configuration+Management)
+ [AWS Marketplace: CMDB-Produkte zur Nachverfolgung von Limits](https://aws.amazon.com/marketplace/search/results?searchTerms=CMDB)
+ [AWS Service Quotas (früher als Service Limits bezeichnet)](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)
+ [Bewährte AWS Trusted Advisor Trusted Advisor-Methoden (Prüfungen) (siehe Abschnitt „Servicelimits“)](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/best-practice-checklist/)
+ [Quota Monitor on AWS – AWS-Lösung](https://aws.amazon.com/answers/account-management/limit-monitor/)
+ [Amazon EC2 Service Limits](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html)
+ [Was ist Service Quotas?](https://docs.aws.amazon.com/servicequotas/latest/userguide/intro.html)
**Ähnliche Videos:**
+ [AWS Live re:Inforce 2019 – Service Quotas](https://youtu.be/O9R5dWgtrVo)
# REL01-BP06 Sicherstellen eines ausreichenden Spielraums zwischen den aktuellen Kontingenten und der maximalen Nutzung, damit ein Failover möglich ist
Eine ausgefallene Ressource kann bis zu ihrer ordnungsgemäßen Beendigung weiterhin zu den Kontingenten zählen. Stellen Sie sicher, dass etwaige Überschneidungen aller ausgefallenen Ressourcen mit ihrem Ersatz bis zur Beendigung der ausgefallenen Ressourcen durch Ihre Kontingente abgedeckt sind. Berücksichtigen Sie bei der Berechnung des Spielraums auch den Ausfall einer Availability Zone.
**Gängige Antimuster:**
+ Es werden Servicekontingente auf Grundlage des aktuellen Bedarfs eingerichtet, ohne dass Failover-Szenarien berücksichtigt werden.
**Vorteile der Einführung dieser bewährten Methode:** Wenn Ereignisse die Verfügbarkeit potenziell beeinträchtigen könnten, haben Sie die Möglichkeit, in der Cloud Strategien für die Abschwächung solcher Ereignisse oder für die Wiederherstellung im Anschluss daran zu implementieren. Zu solchen Strategien gehört häufig auch das Schaffen zusätzlicher Ressourcen, um solche zu ersetzen, die fehlgeschlagen sind. Ihre Kontingentstrategie muss diese zusätzlichen Ressourcen berücksichtigen.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel
## Implementierungsleitfaden
+ Stellen Sie einen ausreichenden Spielraum zwischen Ihrem Servicekontingent und der maximalen Nutzung sicher, damit ein Failover möglich ist.
+ Ermitteln Sie die Servicekontingente unter Berücksichtigung von Bereitstellungsmustern, Verfügbarkeitsanforderungen und Nutzungsanstieg.
+ Fordern Sie bei Bedarf Kontingenterhöhungen an. Planen Sie den erforderlichen Zeitraum bis zur Bewilligung von Kontingenterhöhungen.
+ Ermitteln Sie die Anforderungen bezüglich der Zuverlässigkeit („Anzahl der Neunen“).
+ Legen Sie Fehlerszenarien fest (z. B. Verlust einer Komponente, Availability Zone oder Region).
+ Führen Sie eine Bereitstellungsmethode ein (z. B. Canary, Blau/Grün-Bereitstellung, Rot/Schwarz-Bereitstellung oder schrittweise).
+ Beziehen Sie einen angemessenen Puffer (z. B. 15 %) in aktuelle Limits ein.
+ Planen Sie den Nutzungsanstieg (z. B. Überwachen des Nutzungstrends).
## Ressourcen
**Relevante Dokumente:**
+ [AWS Marketplace: CMDB-Produkte zur Nachverfolgung von Limits](https://aws.amazon.com/marketplace/search/results?searchTerms=CMDB)
+ [AWS Service Quotas (früher als Service Limits bezeichnet)](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)
+ [Bewährte AWS Trusted Advisor Trusted Advisor-Methoden (Prüfungen) (siehe Abschnitt „Servicelimits“)](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/best-practice-checklist/)
+ [Amazon EC2 Service Limits](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html)
+ [Was ist Service Quotas?](https://docs.aws.amazon.com/servicequotas/latest/userguide/intro.html)
**Relevante Videos:**
+ [AWS Live re:Inforce 2019 - Service Quotas](https://youtu.be/O9R5dWgtrVo)
# ZUV 2 Was ist bei der Planung der Netzwerktopologie zu beachten?
Workloads existieren häufig in mehreren Umgebungen. Dazu gehören mehrere Cloud-Umgebungen (öffentlich zugängliche und private) und möglicherweise die vorhandene Infrastruktur Ihres Rechenzentrums. Die Pläne müssen Netzwerkaspekte umfassen, wie z. B. die Konnektivität innerhalb und zwischen Systemen, die Verwaltung öffentlicher und privater IP-Adressen und die Auflösung von Domänennamen.
**Topics**
+ [REL02-BP01 Bereitstellen einer hochverfügbaren Netzwerkkonnektivität für öffentliche Endpunkte der Workload](rel_planning_network_topology_ha_conn_users.md)
+ [REL02-BP02 Bereitstellen redundanter Konnektivität zwischen privaten Netzwerken in der Cloud und in On-Premises-Umgebungen](rel_planning_network_topology_ha_conn_private_networks.md)
+ [REL02-BP03 Berücksichtigen von Erweiterungen und Verfügbarkeit bei der Zuweisung von IP-Adressen für Subnetze](rel_planning_network_topology_ip_subnet_allocation.md)
+ [REL02-BP04 Vorziehen von Nabe-und-Speiche-Topologien gegenüber M-zu-N-Netzen](rel_planning_network_topology_prefer_hub_and_spoke.md)
+ [REL02-BP05 Erzwingen von sich nicht überschneidenden privaten IP-Adressbereichen in allen privaten Adressbereichen, in denen eine Verbindung besteht](rel_planning_network_topology_non_overlap_ip.md)
# REL02-BP01 Bereitstellen einer hochverfügbaren Netzwerkkonnektivität für öffentliche Endpunkte der Workload
Diese Endpunkte und das entsprechende Routing müssen hochverfügbar sein. Verwenden Sie dazu ein hochverfügbares DNS, Content Delivery Networks (CDNs), API Gateway, Load Balancing oder Reverse-Proxys.
Amazon Route 53, AWS Global Accelerator, Amazon CloudFront, Amazon API Gateway und Elastic Load Balancing (ELB) bieten allesamt hochverfügbare öffentliche Endpunkte. Sie können auch AWS Marketplace-Software-Appliances für Load Balancing und Proxyvorgänge auswerten.
Nutzer des Service, den Ihre Workload bereitstellt, unabhängig davon, ob es sich um Endbenutzer oder andere Services handelt, stellen Anfragen an diese Service-Endpunkte. Es stehen mehrere AWS-Ressourcen zur Verfügung, damit Sie hochverfügbare Endpunkte bereitstellen können.
Elastic Load Balancing bietet Load Balancing über Availability Zones hinweg, führt Layer 4 (TCP)- oder Layer 7-Routing (http/https) durch und lässt sich in AWS WAF und in AWS Auto Scaling integrieren, um eine Infrastruktur mit automatischer Fehlerbehebung zu erstellen und Datenverkehrssteigerungen zu absorbieren, während Ressourcen freigegeben werden, wenn der Datenverkehr abnimmt.
Amazon Route 53 ist ein skalierbares und hochverfügbares Domain Name System (DNS), das Benutzeranfragen auf effektive Weise mit über AWS bereitgestellter Infrastruktur verbindet – z. B. Amazon EC2-Instances, Elastic Load Balancing-Load Balancers oder Amazon S3-Buckets. Der Service kann außerdem zum Weiterleiten von Benutzern an Infrastruktur außerhalb von AWS eingesetzt werden.
AWS Global Accelerator ist ein Service auf Netzwerkebene, mit dem Sie Datenverkehr über das globale AWS-Netzwerk an optimale Endpunkte leiten können.
Distributed Denial of Service (DDoS)-Angriffe blockieren möglicherweise legitimen Datenverkehr und verringern die Verfügbarkeit für Ihre Benutzer. AWS Shield bietet automatischen Schutz gegen diese Angriffe ohne zusätzliche Kosten für AWS-Service-Endpunkte in Ihrer Workload. Sie können diese Funktionen zur Erfüllung Ihrer Anforderungen mit bei APN-Partnern und auf dem AWS Marketplace erhältlichen virtuellen Appliances erweitern.
**Gängige Antimuster:**
+ Es werden öffentliche Internetadressen für Instances oder Container verwendet und die Verwaltung der Konnektivität zu ihnen erfolgt über DNS.
+ Zum Suchen von Services werden IP-Adressen anstelle von Domänennamen verwendet.
+ Inhalte (Webseiten, statische Komponenten, Mediendateien) werden in einem großen geografischen Bereich ohne ein CDN bereitgestellt.
**Vorteile der Einführung dieser bewährten Methode:** Wenn Sie hochverfügbare Services in der Workload implementieren, haben Sie die Gewissheit, dass sie den Benutzern zur Verfügung steht.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch
## Implementierungsleitfaden
Stellen Sie eine hochverfügbare Netzwerkkontinuität für die Benutzer der Workload sicher. Amazon Route 53, AWS Global Accelerator, Amazon CloudFront, Amazon API Gateway und Elastic Load Balancing (ELB) stellen allesamt hochverfügbare öffentliche Endpunkte bereit. Sie können auch AWS Marketplace-Software-Appliances für Load Balancing und Proxyvorgänge auswerten.
+ Gewährleisten Sie eine hochverfügbare Verbindung zu den Benutzern.
+ Verwenden Sie einen hochverfügbaren DNS zur Verwaltung der Domänennamen für die Anwendungsendpunkte.
+ Wenn die Benutzer über das Internet auf Ihre Anwendung zugreifen, sollten Sie mithilfe von Service-API-Vorgängen die korrekte Nutzung von Internet-Gateways überprüfen. Überprüfen Sie auch, ob die Einträge in den Routing-Tabellen für die Subnetze, die Ihre Anwendungsendpunkte hosten, korrekt sind.
+ [DescribeInternetGateways](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeInternetGateways.html)
+ [DescribeRouteTables](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeRouteTables.html)
+ Stellen Sie Ihrer Anwendung unbedingt einen hochverfügbaren Reverse-Proxy oder Load Balancer voran.
+ Wenn die Benutzer über Ihre On-Premises-Umgebung auf die Anwendung zugreifen, sollten Sie für eine hochverfügbare Verbindung zwischen AWS und der On-Premises-Umgebung sorgen.
+ Verwalten Sie Domänennamen mit Route 53.
+ [Was ist Amazon Route 53?](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html)
+ Nutzen Sie einen externen DNS-Anbieter, der Ihre Anforderungen erfüllt.
+ Nutzen Sie Elastic Load Balancing.
+ [Was ist Elastic Load Balancing?](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/what-is-load-balancing.html)
+ Nutzen Sie eine AWS Marketplace-Appliance, die Ihren Anforderungen entspricht.
## Ressourcen
**Ähnliche Dokumente:**
+ [APN-Partner: Partner, die Sie bei der Planung Ihres Netzwerks unterstützen können](https://aws.amazon.com/partners/find/results/?keyword=network)
+ [AWS Direct Connect Resiliency Recommendations (AWS Direct Connect-Resilienzempfehlungen)](https://aws.amazon.com/directconnect/resiliency-recommendation/)
+ [AWS Marketplace für Netzwerkinfrastruktur](https://aws.amazon.com/marketplace/b/2649366011)
+ [Amazon Virtual Private Cloud-Konnektivitätsoptionen – Whitepaper](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html)
+ [Hochverfügbare Netzwerkkonnektivität zwischen mehreren Rechenzentren](https://aws.amazon.com/answers/networking/aws-multiple-data-center-ha-network-connectivity/)
+ [Erste Schritte mit Direct Connect Resiliency Toolkit](https://docs.aws.amazon.com/directconnect/latest/UserGuide/resilency_toolkit.html)
+ [VPC-Endpunkte und VPC-Endpunktservices (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html)
+ [Was ist AWS Global Accelerator?](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html)
+ [Was ist Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
+ [Was ist ein Transit-Gateway?](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
+ [Was ist Amazon CloudFront?](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html)
+ [Was ist Amazon Route 53?](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html)
+ [Was ist Elastic Load Balancing?](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/what-is-load-balancing.html)
+ [Arbeiten mit Direct-Connect-Gateways](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways.html)
**Ähnliche Videos:**
+ [AWS re:Invent 2018: Erweitertes VPC-Design und neue Funktionen für Amazon VPC (NET303)](https://youtu.be/fnxXNZdf6ew)
+ [AWS re:Invent 2019: AWS Transit Gateway-Referenzarchitekturen für verschiedene VPCs (NET406-R1)](https://youtu.be/9Nikqn_02Oc)
# REL02-BP02 Bereitstellen redundanter Konnektivität zwischen privaten Netzwerken in der Cloud und in On-Premises-Umgebungen
Verwenden Sie mehrere AWS Direct Connect-Verbindungen oder VPN-Tunnel zwischen separat bereitgestellten privaten Netzwerken. Verwenden Sie für eine hohe Verfügbarkeit mehrere Direct-Connect-Standorte. Wenn Sie mehrere AWS-Regionen verwenden, stellen Sie in mindestens zwei davon Redundanz sicher. Erwägen Sie gegebenenfalls den Einsatz von AWS Marketplace-Appliances als Endpunkte von VPNs. Stellen Sie bei Verwendung von AWS Marketplace-Appliances redundante Instances bereit, um eine hohe Verfügbarkeit in verschiedenen Availability Zones zu gewährleisten.
Mit dem Cloud-Service AWS Direct Connect ist es einfach, eine dedizierte Netzwerkverbindung zwischen Ihrer On-Premises-Umgebung und AWS herzustellen. Mit Direct Connect Gateway kann Ihr On-Premises-Rechenzentrum mit mehreren AWS-VPCs verbunden werden, die über mehrere AWS-Regionen verteilt sind.
Diese Redundanz behebt mögliche Ausfälle, die sich auf die Ausfallsicherheit der Konnektivität auswirken:
+ Wie können Sie sich gegen Fehler in Ihrer Topologie wappnen?
+ Was passiert, wenn Sie etwas falsch konfigurieren oder die Konnektivität entfernen?
+ Sind Sie in der Lage, eine unerwartete Erhöhung des Datenverkehrs bzw. der Nutzung Ihrer Services aufzufangen?
+ Sind Sie in der Lage, den Versuch eines Distributed Denial of Service (DDoS)-Angriffs abzuwehren?
Berücksichtigen Sie bei der Verbindung Ihrer VPC mit Ihrem On-Premise-Rechenzentrum über VPN auch die Ausfallsicherheits- und Bandbreitenanforderungen, die Sie benötigen, wenn Sie den Anbieter und die Instance-Größe für die Ausführung der Appliance auswählen. Bei der Auswahl einer VPN-Appliance, die in ihrer Implementierung keine Ausfallsicherheit bietet, sollten Sie eine redundante Verbindung über eine zweite Appliance aufbauen. Bei all diesen Szenarios müssen Sie eine akzeptable Wiederherstellungszeit definieren und testen, um sicherzustellen, dass Sie diese Anforderungen erfüllen können.
Wenn Sie Ihre VPC über eine Direct-Connect-Verbindung mit Ihrem Rechenzentrum verbinden und diese Verbindung hochverfügbar sein muss, benötigen Sie redundante Direct-Connect-Verbindungen mit jedem Rechenzentrum. Die redundante Verbindung sollte eine zweite Direct-Connect-Verbindung von einem anderen Standort als der ersten verwenden. Wenn Sie mehrere Rechenzentren betreiben, stellen Sie sicher, dass Ihre Verbindungen an unterschiedlichen Orten enden. Verwenden Sie das [Direct Connect Resiliency Toolkit,](https://docs.aws.amazon.com/directconnect/latest/UserGuide/resiliency_toolkit.html) um dies einzurichten.
Wenn Sie sich für ein internetbasiertes Failover auf ein VPN mit einem Site-to-Site VPN entscheiden, ist es wichtig zu verstehen, dass es einen Datendurchsatz von bis zu 1,25 Gbit/s pro VPN-Tunnel bietet, dass Equal Cost Multi Path (ECMP) für ausgehenden Datenverkehr jedoch nicht unterstützt wird, wenn mehrere von AWS verwaltete VPN-Tunnel auf demselben VGW enden. Wir raten davon ab, AWS Managed VPN als Sicherung für Direct-Connect-Verbindungen zu verwenden, es sei denn, Geschwindigkeiten von weniger als 1 Gbit/s während des Failovers stellen für Sie kein Problem dar.
Sie können VPC-Endpunkte auch verwenden, um Ihre VPC privat mit unterstützten AWS-Services und VPC-Endpunktservices zu verbinden, powered by AWS PrivateLink, ohne das öffentliche Internet zu durchlaufen. Endpunkte sind virtuelle Geräte. Sie sind horizontal skalierte, redundante und hochverfügbare VPC-Komponenten. Sie ermöglichen die Kommunikation zwischen Instances in Ihrer VPC und Ihren Services, ohne dass es zu Verfügbarkeitsrisiken oder Bandbreitenbeschränkungen für Ihren Netzwerkdatenverkehr kommt.
**Gängige Antimuster:**
+ Einsatz nur eines Konnektivitätsanbieters zwischen dem lokalen Netzwerk und AWS.
+ Die Konnektivitätsfunktionen der AWS Direct Connect-Verbindung werden genutzt, es gibt aber nur eine Verbindung.
+ Es gibt nur einen Pfad für die VPN-Konnektivität.
**Vorteile der Einführung dieser bewährten Methode:** Durch die Implementierung redundanter Konnektivität zwischen Ihrer Cloud-Umgebung und Ihrer Unternehmens- bzw. On-Premises-Umgebung können Sie die sichere Kommunikation der abhängigen Services zwischen den beiden Umgebungen gewährleisten.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch
## Implementierungsleitfaden
+ Stellen Sie sicher, dass eine hochverfügbare Konnektivität zwischen AWS und der On-Premises-Umgebung vorhanden ist. Verwenden Sie mehrere AWS Direct Connect-Verbindungen oder VPN-Tunnel zwischen separat bereitgestellten privaten Netzwerken. Verwenden Sie für eine hohe Verfügbarkeit mehrere Direct-Connect-Standorte. Wenn Sie mehrere AWS-Regionen verwenden, stellen Sie in mindestens zwei davon Redundanz sicher. Erwägen Sie gegebenenfalls den Einsatz von AWS Marketplace-Appliances als Endpunkte von VPNs. Stellen Sie bei Verwendung von AWS Marketplace-Appliances redundante Instances bereit, um eine hohe Verfügbarkeit in verschiedenen Availability Zones zu gewährleisten.
+ Stellen Sie sicher, dass eine redundante Verbindung zu Ihrer On-Premises-Umgebung besteht. Möglicherweise benötigen Sie redundante Verbindungen zu mehreren AWS-Regionen, um Ihre Verfügbarkeitsanforderungen zu erfüllen.
+ [AWS Direct Connect Resiliency Recommendations (AWS Direct Connect-Resilienzempfehlungen)](https://aws.amazon.com/directconnect/resiliency-recommendation/)
+ [Verwenden redundanter Site-to-Site-VPN-Verbindungen für Failover](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNConnections.html)
+ Ermitteln Sie über die Service-API die ordnungsgemäße Nutzung von Direct-Connect-Verbindungen.
+ [DescribeConnections](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeConnections.html)
+ [DescribeConnectionsOnInterconnect](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeConnectionsOnInterconnect.html)
+ [DescribeDirectConnectGatewayAssociations](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeDirectConnectGatewayAssociations.html)
+ [DescribeDirectConnectGatewayAttachments](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeDirectConnectGatewayAttachments.htmll)
+ [DescribeDirectConnectGateways](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeDirectConnectGateways.html)
+ [DescribeHostedConnections](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeHostedConnections.html)
+ [DescribeInterconnects](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeInterconnects.html)
+ Wenn nur eine oder gar keine Direct-Connect-Verbindung besteht, richten Sie redundante VPN-Tunnel zu Ihren Virtual Private Gateways ein.
+ [Was ist AWS-Site-to-Site VPN?](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_VPN.html)
+ Erfassen Sie die aktuelle Konnektivität (z. B. Direct Connect, Virtual Private Gateways, AWS Marketplace-Appliances).
+ Ermitteln Sie über die Service-API die Konfiguration von Direct-Connect-Verbindungen.
+ [DescribeConnections](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeConnections.html)
+ [DescribeConnectionsOnInterconnect](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeConnectionsOnInterconnect.html)
+ [DescribeDirectConnectGatewayAssociations](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeDirectConnectGatewayAssociations.html)
+ [DescribeDirectConnectGatewayAttachments](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeDirectConnectGatewayAttachments.htmll)
+ [DescribeDirectConnectGateways](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeDirectConnectGateways.html)
+ [DescribeHostedConnections](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeHostedConnections.html)
+ [DescribeInterconnects](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeInterconnects.html)
+ Erfassen Sie über die Service API die von Routing-Tabellen genutzten Virtual Private Gateways.
+ [DescribeVpnGateways](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpnGateways.html)
+ [DescribeRouteTables](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeRouteTables.html)
+ Erfassen Sie über die Service-API die von Routing-Tabellen genutzten AWS Marketplace-Anwendungen.
+ [DescribeRouteTables](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeRouteTables.html)
## Ressourcen
**Relevante Dokumente:**
+ [APN-Partner: Partner, die Sie bei der Planung Ihres Netzwerks unterstützen können](https://aws.amazon.com/partners/find/results/?keyword=network)
+ [AWS Direct Connect Resiliency Recommendations (AWS Direct Connect-Resilienzempfehlungen)](https://aws.amazon.com/directconnect/resiliency-recommendation/)
+ [AWS Marketplace für Netzwerkinfrastruktur](https://aws.amazon.com/marketplace/b/2649366011)
+ [Amazon Virtual Private Cloud-Konnektivitätsoptionen – Whitepaper](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html)
+ [Hochverfügbare Netzwerkkonnektivität zwischen mehreren Rechenzentren](https://aws.amazon.com/answers/networking/aws-multiple-data-center-ha-network-connectivity/)
+ [Verwenden redundanter Site-to-Site-VPN-Verbindungen für Failover](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNConnections.html)
+ [Erste Schritte mit Direct Connect Resiliency Toolkit](https://docs.aws.amazon.com/directconnect/latest/UserGuide/resilency_toolkit.html)
+ [VPC-Endpunkte und VPC-Endpunktservices (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html)
+ [Was ist Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
+ [Was ist ein Transit-Gateway?](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
+ [Was ist AWS-Site-to-Site VPN?](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_VPN.html)
+ [Arbeiten mit Direct-Connect-Gateways](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways.html)
**Relevante Videos:**
+ [AWS re:Invent 2018: Erweitertes VPC-Design und neue Funktionen für Amazon VPC (NET303)](https://youtu.be/fnxXNZdf6ew)
+ [AWS re:Invent 2019: AWS Transit Gateway-Referenzarchitekturen für verschiedene VPCs (NET406-R1)](https://youtu.be/9Nikqn_02Oc)
# REL02-BP03 Berücksichtigen von Erweiterungen und Verfügbarkeit bei der Zuweisung von IP-Adressen für Subnetze
Die IP-Adressbereiche für Amazon VPC müssen ausreichend groß sein, um die Anforderungen einer Workload zu erfüllen. Dabei sind zukünftige Erweiterungen und Zuweisungen von IP-Adressen zu Subnetzen in verschiedenen Availability Zones zu berücksichtigen. Dies betrifft Load Balancer, EC2-Instances sowie containerbasierte Anwendungen.
Wenn Sie Ihre Netzwerktopologie planen, besteht der erste Schritt in der Definition des IP-Adressbereichs. Private IP-Adressbereiche (gemäß RFC 1918-Richtlinien) sollten jeder VPC zugewiesen werden. Berücksichtigen Sie im Rahmen dieses Prozesses die folgenden Anforderungen:
+ Ermöglichen Sie einen IP-Adressbereich für mehr als eine VPC pro Region.
+ Planen Sie innerhalb einer VPC Platz für mehrere Subnetze ein, die sich auf mehrere Availability Zones erstrecken.
+ Lassen Sie für eine zukünftige Erweiterung stets Raum für nicht verwendete CIDR-Blöcke innerhalb einer VPC.
+ Stellen Sie sicher, dass ein IP-Adressbereich vorhanden ist, um die Anforderungen von temporären EC2-Instances zu erfüllen, die Sie möglicherweise verwenden, z. B. Spot-Flotten für Machine Learning, Amazon EMR-Cluster oder Amazon Redshift-Cluster.
+ Beachten Sie, dass die ersten vier IP-Adressen und die letzte IP-Adresse in jedem Subnetz-CIDR-Block reserviert und nicht für Sie verfügbar sind.
+ Sie sollten die Bereitstellung großer VPC CIDR-Blöcke planen. Beachten Sie, dass der VPC CIDR-Block, der anfänglich Ihrer VPC zugewiesen war, nicht geändert oder gelöscht werden kann. Sie können der VPC jedoch zusätzliche, nicht überlappende CIDR-Blöcke hinzufügen. IPv4-CIDRs für Subnetze können nicht geändert werden, IPv6 CIDRs jedoch schon. Bedenken Sie, dass die Bereitstellung der größtmöglichen VPC (/16) mehr als 65 000 IP-Adressen zur Folge hat. Allein im IP-Adressbereich 10.x.x.x könnten Sie 255 solcher VPCs bereitstellen. Sie sollten daher eher auf eine zu große als eine zu kleine Lösung setzen, um die Verwaltung Ihrer VPCs zu vereinfachen.
**Gängige Antimuster:**
+ Es werden kleine VPCs erstellt.
+ Es werden kleine Subnetze erstellt und anschließend müssen beim Wachstum Subnetze zu Konfigurationen hinzugefügt werden.
+ Es wird falsch eingeschätzt, wie viele IP-Adressen ein Elastic Load Balancer verwenden kann.
+ Es werden viele Load Balancer mit hohem Datenverkehr in denselben Subnetzen bereitgestellt.
**Vorteile der Einführung dieser bewährten Methode:** So wird sichergestellt, dass Sie das Wachstum Ihrer Workloads bewältigen können und beim Hochskalieren weiterhin die entsprechende Verfügbarkeit bereitstellen.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel
## Implementierungsleitfaden
+ Berücksichtigen Sie bei der Planung Ihres Netzwerks Ihr zukünftiges Wachstum, die Einhaltung gesetzlicher Vorschriften sowie die Kompatibilität mit anderen Netzwerken. Das Wachstum kann unterschätzt werden, gesetzliche Vorschriften können sich ändern, und bei Unternehmensübernahmen oder privaten Netzwerkverbindungen kann die Implementierung ohne fundierte Planung zur Herausforderung werden.
+ Wählen Sie relevante AWS-Konten und Regionen anhand von Serviceanforderungen, regulatorischen Anforderungen sowie Anforderungen für die Latenz und die Notfallwiederherstellung aus.
+ Identifizieren Sie Ihre Anforderungen bezüglich regionaler VPC-Bereitstellungen.
+ Ermitteln Sie die erforderliche Größe der VPCs.
+ Ermitteln Sie, ob Multi-VPC-Konnektivität bereitgestellt werden soll.
+ [Was ist ein Transit-Gateway?](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
+ [Multi-VPC-Konnektivität in einer Region](https://aws.amazon.com/answers/networking/aws-single-region-multi-vpc-connectivity/)
+ Ermitteln Sie, ob aufgrund von Compliance-Anforderungen getrennte Netzwerke erforderlich sind.
+ Legen Sie VPCs so groß wie möglich an. Der VPC-CIDR-Block, der anfänglich Ihrer VPC zugewiesen war, kann nicht geändert oder gelöscht werden. Sie können der VPC jedoch zusätzliche nicht überlappende CIDR-Blöcke hinzufügen. Dies kann jedoch zu einer Fragmentierung der Adressbereiche führen.
+ Legen Sie VPCs so groß wie möglich an. Der VPC-CIDR-Block, der anfänglich Ihrer VPC zugewiesen war, kann nicht geändert oder gelöscht werden. Sie können der VPC jedoch zusätzliche nicht überlappende CIDR-Blöcke hinzufügen. Dies kann jedoch zu einer Fragmentierung der Adressbereiche führen.
## Ressourcen
**Relevante Dokumente:**
+ [APN-Partner: Partner, die Sie bei der Planung Ihres Netzwerks unterstützen können](https://aws.amazon.com/partners/find/results/?keyword=network)
+ [AWS Marketplace für Netzwerkinfrastruktur](https://aws.amazon.com/marketplace/b/2649366011)
+ [Amazon Virtual Private Cloud-Konnektivitätsoptionen – Whitepaper](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html)
+ [Hochverfügbare Netzwerkkonnektivität zwischen mehreren Rechenzentren](https://aws.amazon.com/answers/networking/aws-multiple-data-center-ha-network-connectivity/)
+ [Multi-VPC-Konnektivität in einer Region](https://aws.amazon.com/answers/networking/aws-single-region-multi-vpc-connectivity/)
+ [Was ist Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
**Relevante Videos:**
+ [AWS re:Invent 2018: Erweitertes VPC-Design und neue Funktionen für Amazon VPC (NET303)](https://youtu.be/fnxXNZdf6ew)
+ [AWS re:Invent 2019: AWS Transit Gateway-Referenzarchitekturen für verschiedene VPCs (NET406-R1)](https://youtu.be/9Nikqn_02Oc)
# REL02-BP04 Vorziehen von Nabe-und-Speiche-Topologien gegenüber M-zu-N-Netzen
Wenn mehr als zwei Netzwerkadressbereiche (z. B. VPCs und On-Premises-Netzwerke) über VPC-Peering, AWS Direct Connect oder VPN verbunden sind, verwenden Sie ein Nabe-und-Speiche-Modell, wie es von AWS Transit Gateway bereitgestellt wird.
Wenn Sie nur zwei solche Netzwerke haben, können Sie sie einfach miteinander verbinden, doch wenn die Anzahl der Netzwerke zunimmt, ist die Komplexität derart vernetzter Verbindungen nicht mehr tragbar. AWS Transit Gateway bietet ein einfach zu wartendes Nabe-zu-Speiche-Modell, das die Weiterleitung des Datenverkehrs über mehrere Netzwerke ermöglicht.
![\[Diagramm: Keine Verwendung von AWS Transit Gateway\]](http://docs.aws.amazon.com/de_de/wellarchitected/2022-03-31/framework/images/without-transit-gateway.png)
![\[Diagramm zur Verwendung von AWS Transit Gateway\]](http://docs.aws.amazon.com/de_de/wellarchitected/2022-03-31/framework/images/with-transit-gateway.png)
**Gängige Antimuster:**
+ Verbinden von mehr als zwei VPCs mit VPC-Peering.
+ Es werden mehrere BGP-Sitzungen für jede VPC eingerichtet, um Konnektivität für mehrere Virtual Private Clouds (VPCs) in mehreren AWS-Regionen herzustellen.
**Vorteile der Einführung dieser bewährten Methode:** Mit der zunehmenden Anzahl der Netzwerke wird die Komplexität solcher verflochtenen Verbindungen immer größer. AWS Transit Gateway bietet ein einfach zu wartendes Nabe-und-Speiche-Modell, das die Weiterleitung des Datenverkehrs über mehrere Netzwerke ermöglicht.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel
## Implementierungsleitfaden
+ Ziehen Sie Nabe-und-Speiche-Topologien gegenüber M-zu-N-Netzen vor. Wenn mehr als zwei Netzwerkadressbereiche (VPCs, On-Premises-Netzwerke) über VPC-Peering, AWS Direct Connect oder VPN verbunden sind, verwenden Sie ein Nabe-und-Speiche-Modell, wie es von AWS Transit Gateway bereitgestellt wird.
+ Bei nur zwei derartigen Netzwerken können Sie sie einfach miteinander verbinden, doch mit der zunehmenden Anzahl der Netzwerke wird die Komplexität solcher verflochtenen Verbindungen immer größer. AWS Transit Gateway bietet ein einfach zu wartendes Nabe-und-Speiche-Modell, das die Weiterleitung des Datenverkehrs über mehrere Netzwerke ermöglicht.
+ [Was ist ein Transit-Gateway?](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
## Ressourcen
**Relevante Dokumente:**
+ [APN-Partner: Partner, die Sie bei der Planung Ihres Netzwerks unterstützen können](https://aws.amazon.com/partners/find/results/?keyword=network)
+ [AWS Marketplace für Netzwerkinfrastruktur](https://aws.amazon.com/marketplace/b/2649366011)
+ [Hochverfügbare Netzwerkkonnektivität zwischen mehreren Rechenzentren](https://aws.amazon.com/answers/networking/aws-multiple-data-center-ha-network-connectivity/)
+ [VPC-Endpunkte und VPC-Endpunktservices (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html)
+ [Was ist Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
+ [Was ist ein Transit-Gateway?](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
**Relevante Videos:**
+ [AWS re:Invent 2018: Erweitertes VPC-Design und neue Funktionen für Amazon VPC (NET303)](https://youtu.be/fnxXNZdf6ew)
+ [AWS re:Invent 2019: AWS Transit Gateway-Referenzarchitekturen für verschiedene VPCs (NET406-R1)](https://youtu.be/9Nikqn_02Oc)
# REL02-BP05 Erzwingen von sich nicht überschneidenden privaten IP-Adressbereichen in allen privaten Adressbereichen, in denen eine Verbindung besteht
Die IP-Adressbereiche Ihrer VPCs dürfen sich nicht überschneiden, wenn sie per Peering oder über VPN verbunden sind. Ebenso müssen Sie IP-Adresskonflikte zwischen einer VPC und lokalen Umgebungen oder anderen verwendeten Cloud-Anbietern vermeiden. Sie müssen bei Bedarf auch die Möglichkeit haben, private IP-Adressbereiche zuzuweisen.
Ein IP-Adressenverwaltungssystem (IPAM) kann dabei helfen. Im AWS Marketplace stehen mehrere IPAMs zur Verfügung.
**Gängige Antimuster:**
+ Verwenden Sie denselben IP-Bereich in Ihrer VPC wie im lokalen Netzwerk oder in Ihrem Unternehmensnetzwerk.
+ Keine Verfolgung von IP-Bereichen von VPCs, die zur Bereitstellung der Workloads verwendet werden.
**Vorteile der Einführung dieser bewährten Methode:** Mit der aktiven Planung des Netzwerks stellten Sie sicher, dass dieselbe IP-Adresse in miteinander verbunden Netzwerken nicht mehrmals vorkommt. So wird verhindert, dass Routing-Probleme in Teilen der Workload auftreten, die die verschiedenen Anwendungen verwenden.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel
## Implementierungsleitfaden
+ Überwachen und verwalten Sie die CIDR-Nutzung. Bewerten Sie die potenzielle Nutzung in AWS, fügen Sie vorhandenen VPCs CIDR-Bereiche hinzu und erstellen Sie neue VPCs, um das geplante Wachstum abzudecken.
+ Ermitteln Sie den aktuellen CIDR-Umfang (z. B. VPCs, Subnetze).
+ Erfassen Sie über die Service-API den aktuellen CIDR-Umfang.
+ Erfassen Sie die aktuelle Subnetzauslastung.
+ Ermitteln Sie über die Service-API die in jeder Region pro VPC vorhandenen Subnetze.
+ [DescribeSubnets](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSubnets.html)
+ Zeichnen Sie die aktuelle Auslastung auf.
+ Prüfen Sie, ob sich IP-Bereiche überschneiden.
+ Berechnen Sie die freie Kapazität.
+ Identifizieren Sie sich überschneidende IP-Bereiche. Sie können wahlweise zu einem neuen Adressbereich migrieren oder NAT-Appliances (Network and Port Translation) aus AWS Marketplace verwenden, wenn Sie die sich überschneidenden Bereiche verbinden müssen.
## Ressourcen
**Ähnliche Dokumente:**
+ [APN-Partner: Partner, die Sie bei der Planung Ihres Netzwerks unterstützen können](https://aws.amazon.com/partners/find/results/?keyword=network)
+ [AWS Marketplace für Netzwerkinfrastruktur](https://aws.amazon.com/marketplace/b/2649366011)
+ [Amazon Virtual Private Cloud-Konnektivitätsoptionen – Whitepaper](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html)
+ [Hochverfügbare Netzwerkkonnektivität zwischen mehreren Rechenzentren](https://aws.amazon.com/answers/networking/aws-multiple-data-center-ha-network-connectivity/)
+ [Was ist Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
+ [Was ist IPAM? ](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html)
**Ähnliche Videos:**
+ [AWS re:Invent 2018: Erweitertes VPC-Design und neue Funktionen für Amazon VPC (NET303)](https://youtu.be/fnxXNZdf6ew)
+ [AWS re:Invent 2019: AWS Transit Gateway-Referenzarchitekturen für verschiedene VPCs (NET406-R1)](https://youtu.be/9Nikqn_02Oc)