Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Netzwerkkonto
<a name="networking-account"></a>

Das Netzwerkkonto dient als zentraler Knotenpunkt für das Netzwerk-Routing zwischen AMS-Landingzone-Konten mit mehreren Konten, Ihrem lokalen Netzwerk und ausgehendem Datenverkehr ins Internet. Darüber hinaus enthält dieses Konto öffentliche DMZ-Bastionen, über die AMS-Techniker auf Hosts in der AMS-Umgebung zugreifen können. Einzelheiten finden Sie im folgenden allgemeinen Diagramm des Netzwerkkontos.

![\[Network architecture diagram showing Egress VPC, DMZ VPC, and connections to on-premises and internet.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/images/malzNetworkAccount.png)


# Architektur von Netzwerkkonten
<a name="malz-network-arch"></a>

Das folgende Diagramm zeigt die AMS-Landingzone-Umgebung mit mehreren Konten und zeigt den Netzwerkdatenverkehr zwischen den Konten. Es ist ein Beispiel für eine Konfiguration mit hoher Verfügbarkeit.

 

![\[AWS network architecture diagram showing multiple accounts, VPCs, and connectivity components.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/images/AMS_MALZ_NET_FLOW-2.png)


![\[Diagram showing network traffic flow between AWS-Konten, VPCs, and internet gateways.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/images/AMS_MALZ_NET_FLOW_LEGEND.png)


AMS konfiguriert alle Netzwerkaspekte für Sie auf der Grundlage unserer Standardvorlagen und der von Ihnen beim Onboarding ausgewählten Optionen. Ein standardmäßiges AWS-Netzwerkdesign wird auf Ihr AWS-Konto angewendet, und eine VPC wird für Sie erstellt und entweder über VPN oder Direct Connect mit AMS verbunden. Weitere Informationen zu Direct Connect finden Sie unter [AWS Direct Connect](https://aws.amazon.com/directconnect/). Zum Standard VPCs gehören die DMZ, Shared Services und ein Anwendungssubnetz. Während des Onboarding-Prozesses VPCs können zusätzliche Informationen angefordert und erstellt werden, die Ihren Anforderungen entsprechen (z. B. Kundenabteilungen, Partner). Nach dem Onboarding erhalten Sie ein Netzwerkdiagramm: ein Umgebungsdokument, das erklärt, wie Ihr Netzwerk eingerichtet wurde.

**Anmerkung**  
Informationen zu Standard-Servicelimits und Einschränkungen für alle aktiven Services finden Sie in der Dokumentation zu [AWS-Servicelimits](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html).

Unser Netzwerkdesign basiert auf dem [„Prinzip der geringsten Rechte“ von](https://en.wikipedia.org/wiki/Principle_of_least_privilege) Amazon. Um dies zu erreichen, leiten wir den gesamten eingehenden und ausgehenden Verkehr durch eine DMZ, mit Ausnahme des Datenverkehrs, der aus einem vertrauenswürdigen Netzwerk stammt. Das einzige vertrauenswürdige Netzwerk ist das, das zwischen Ihrer lokalen Umgebung und der VPC mithilfe and/or eines VPN und AWS Direct Connect (DX) konfiguriert wurde. Der Zugriff wird durch die Verwendung von Bastion-Instances gewährt, wodurch ein direkter Zugriff auf Produktionsressourcen verhindert wird. Alle Ihre Anwendungen und Ressourcen befinden sich in privaten Subnetzen, die über öffentliche Load Balancer erreichbar sind. Öffentlicher Ausgangsverkehr fließt über die NAT-Gateways in der Ausgangs-VPC (im Netzwerkkonto) zum Internet Gateway und dann zum Internet. Alternativ kann der Datenverkehr über Ihr VPN oder Direct Connect in Ihre lokale Umgebung fließen. 

# Private Netzwerkkonnektivität zur AMS-Landezonenumgebung mit mehreren Konten
<a name="malz-net-arch-private-net"></a>

AWS bietet private Konnektivität entweder über VPN-Konnektivität (Virtual Private Network) oder über Standleitungen mit AWS Direct Connect. Die private Konnektivität in Ihrer Umgebung mit mehreren Konten wird mit einer der im Folgenden beschriebenen Methoden eingerichtet:
+ Zentralisierte Edge-Konnektivität mit Transit Gateway
+ Direct Connect (DX) and/or VPN mit virtuellen privaten Clouds verbinden (VPCs)

# Zentralisierte Edge-Konnektivität mithilfe des Transit-Gateways
<a name="malz-net-arch-cent-edge"></a>

AWS Transit Gateway ist ein Service, mit dem Sie Ihre VPCs und Ihre lokalen Netzwerke mit einem einzigen Gateway verbinden können. Transit Gateway (TGW) kann verwendet werden, um Ihre bestehende Edge-Konnektivität zu konsolidieren und sie über einen einzigen ingress/egress Punkt weiterzuleiten. Das Transit-Gateway wird im Netzwerkkonto Ihrer AMS-Umgebung mit mehreren Konten erstellt. Weitere Informationen zu Transit Gateway finden Sie unter [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/).

Das AWS Direct Connect (DX) -Gateway wird verwendet, um Ihre DX-Verbindung über eine virtuelle Transitschnittstelle mit dem VPCs oder VPNs , die an Ihr Transit-Gateway angeschlossen sind, zu verbinden. Sie ordnen ein Direct-Connect-Gateway dem Transit Gateway zu. Erstellen Sie anschließend eine virtuelle Transitschnittstelle für Ihre AWS Direct Connect Connect-Verbindung zum Direct Connect-Gateway. Informationen zu virtuellen DX-Schnittstellen finden Sie unter [Virtuelle Schnittstellen von AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html).

Diese Konfiguration bietet die folgenden Vorteile. Sie können:
+ Verwalten Sie eine einzelne Verbindung für mehrere VPCs oder VPNs , die sich in derselben AWS-Region befinden.
+ Werben Sie für Präfixe von On-Premise zu AWS und von AWS zu On-Premise.

**Anmerkung**  
[Informationen zur Verwendung eines DX mit AWS-Services finden Sie im Abschnitt Classic im Resiliency Toolkit.](https://docs.aws.amazon.com/directconnect/latest/UserGuide/getstarted.html) Weitere Informationen finden Sie unter [Transit Gateway Gateway-Verknüpfungen](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html).

![\[AWS Transit Gateway network diagram showing connections to VPCs and Direct Connect.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/images/malz-cent-edge.png)


Um die Stabilität Ihrer Konnektivität zu erhöhen, empfehlen wir, dass Sie mindestens zwei virtuelle Transitschnittstellen von verschiedenen AWS Direct Connect Connect-Standorten an das Direct Connect-Gateway anschließen. Weitere Informationen finden Sie in der [AWS Direct Connect Connect-Resilienzempfehlung](https://aws.amazon.com/directconnect/resiliency-recommendation/).

# DX oder VPN mit dem Konto verbinden VPCs
<a name="malz-net-arch-dx-vpn"></a>

Mit dieser Option werden die landing zone Zone-Umgebungen VPCs in Ihrem AMS mit mehreren Konten direkt mit Direct Connect oder VPN verbunden. Der Datenverkehr fließt direkt von Direct Connect oder VPN, ohne das Transit-Gateway zu passieren. VPCs 

# Ressourcen im Netzwerkkonto
<a name="networking-account-resources"></a>

Wie im Netzwerkkontodiagramm dargestellt, werden die folgenden Komponenten im Konto erstellt und erfordern Ihre Eingabe.

**Das Netzwerkkonto enthält zwei VPCs: **Egress VPC und DMZ VPC****, auch bekannt als Perimeter-VPC**.**

# AWS-Netzwerkmanager
<a name="networking-manager"></a>

AWS Network Manager ist ein Service, mit dem Sie Ihre Transit-Gateway-Netzwerke (TGW) ohne zusätzliche Kosten für AMS visualisieren können. Es bietet eine zentrale Netzwerküberwachung sowohl für AWS-Ressourcen als auch für lokale Netzwerke, eine zentrale globale Ansicht ihres privaten Netzwerks in einem Topologiediagramm und auf einer geografischen Karte sowie Nutzungsmetriken wie den in/out, packets in/out, packets dropped, and alerts for changes in the topology, routing, and up/down Byte-Verbindungsstatus. Weitere Informationen finden Sie unter [AWS Network Manager](https://aws.amazon.com/transit-gateway/network-manager/).

Verwenden Sie eine der folgenden Rollen, um auf diese Ressource zuzugreifen:
+ AWSManagedServicesCaseRole
+ AWSManagedServicesReadOnlyRole
+ AWSManagedServicesChangeManagementRole

# Ausgangs-VPC
<a name="networking-vpc"></a>

Die Egress-VPC wird hauptsächlich für den ausgehenden Datenverkehr ins Internet verwendet und besteht aus public/private Subnetzen in bis zu drei Verfügbarkeitszonen (). AZs Network Address Translation (NAT) -Gateways werden in den öffentlichen Subnetzen bereitgestellt, und Transit Gateway (TGW) VPC-Anlagen werden in den privaten Subnetzen erstellt. Ausgehender oder ausgehender Internetverkehr aus allen Netzwerken wird über TGW durch das private Subnetz geleitet, wo er dann über VPC-Routing-Tabellen an ein NAT weitergeleitet wird.

Für Sie VPCs , die öffentlich zugängliche Anwendungen in einem öffentlichen Subnetz enthalten, ist der aus dem Internet stammende Datenverkehr in dieser VPC enthalten. Rückverkehr wird nicht an die TGW- oder Egress-VPC weitergeleitet, sondern über das Internet-Gateway (IGW) in der VPC zurückgeleitet.

**Anmerkung**  
Netzwerk-VPC-CIDR-Bereich: Wenn Sie eine VPC erstellen, müssen Sie einen IPv4 Adressbereich für die VPC in Form eines CIDR-Blocks (Classless Inter-Domain Routing) angeben, z. B. 10.0.16.0/24. Dies ist der primäre CIDR-Block für Ihre VPC.  
Das AMS Multi-Account-Landingzone-Team empfiehlt den Bereich 24 (mit mehr IP-Adressen), um einen gewissen Puffer für den Fall bereitzustellen, dass in future andere Ressourcen/Appliances eingesetzt werden.

# Umkreis (DMZ) VPC
<a name="networking-dmz"></a>

Die Perimeter- oder DMZ-VPC enthält die Ressourcen, die AMS-Betriebsingenieure für den Zugriff auf AMS-Netzwerke benötigen. Es enthält öffentliche Subnetze in 2-3 AZs Bereichen mit SSH-Bastions-Hosts in einer Auto Scaling Scaling-Gruppe (ASG), in die sich die Techniker von AMS Operations einloggen oder einen Tunnel durchqueren können. Die Sicherheitsgruppen, die den DMZ-Bastionen zugeordnet sind, enthalten Port-22-Regeln für eingehenden Datenverkehr von **Amazon** Corp Networks.

*DMZ-VPC-CIDR-Bereich:* Wenn Sie eine VPC erstellen, müssen Sie einen IPv4 Adressbereich für die VPC in Form eines CIDR-Blocks (Classless Inter-Domain Routing) angeben, z. B. 10.0.16.0/24. Dies ist der primäre CIDR-Block für Ihre VPC. 

**Anmerkung**  
Das AMS-Team empfiehlt den Bereich von 24 (mit mehr IP-Adressen), um einen gewissen Puffer für den Fall bereitzustellen, dass in future andere Ressourcen, wie z. B. eine Firewall, bereitgestellt werden.

# AWS Transit Gateway
<a name="networking-transit-gateway"></a>

AWS Transit Gateway (TGW) ist ein Service, mit dem Sie Ihre Amazon Virtual Private Clouds (VPCs) und Ihre lokalen Netzwerke mit einem einzigen Gateway verbinden können. Transit Gateway ist das Netzwerk-Backbone, das das Routing zwischen AMS-Kontonetzwerken und externen Netzwerken abwickelt. Informationen zu Transit Gateway finden Sie unter [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/). 

Geben Sie die folgenden Eingaben ein, um diese Ressource zu erstellen: 
+ *Transit Gateway-ASN-Nummer* \$1: Geben Sie die private Autonome Systemnummer (ASN) für Ihr Transit Gateway an. Dabei sollte es sich um die ASN für die AWS-Seite einer BGP-Sitzung (Border Gateway Protocol) handeln. Der Bereich liegt zwischen 64512 und 65534 für 16-Bit. ASNs