Eine der wichtigsten Komponenten in der heutigen digitalisierten Welt ist das Domain Name System (DNS). Es übersetzt Domain-Namen in IP-Adressen. Das System gewährleistet eine hohe Verfügbarkeit und Zuverlässigkeit von Webseiten und anderen Online-Ressourcen, auf die über Domain-Namen zugegriffen wird.
Amazon Route 53 ist leistungsfähiger als herkömmliche DNS-Services und spielt eine Schlüsselrolle in der AWS-Multi-Account-Umgebung, wo Konnektivität zwischen Accounts oder zwischen Cloud- und lokalen Seiten erforderlich ist.
Auch wenn Amazon Route 53 ein nativer AWS-Service ist, der in jedem Account verfügbar ist, kann die Verwaltung von Route 53 in einer komplexen Umgebung schwierig werden. In diesem Fall kann eine gemeinsame Virtual Private Cloud (VPC) helfen.
Sehen wir uns kurz an, was sich hinter einer gemeinsamen VPC verbirgt und warum sie die Domain-Auflösung etwas komplexer macht.
Cloud-Computing ermöglicht eine bedarfsgerechte Bereitstellung von Ressourcen über das öffentliche Internet oder privat. Auf die Rechenleistung in der Cloud-Umgebung kann privat zugegriffen werden, solange die AWS-Ressourcen in einer von einem Kunden erstellten VPC angelegt sind.
Eine VPC ist ein logisch isoliertes Netzwerk, über das Kunden ihren eigenen privaten IP-Adressraum nutzen können. VPCs sind der am häufigsten genutzte Service, da sie die zugrunde liegende Infrastruktur für IT-Ressourcen schaffen, anstatt physische Rechenzentren und Server zu kaufen, zu besitzen oder zu warten.
Dies mag zunächst sehr einfach klingen, aber in einer realen Umgebung reicht eine einzige VPC nie aus. Es besteht immer die Notwendigkeit, mehrere VPCs miteinander zu vernetzen und sie über die lokalen Websites des Kunden oder über das öffentliche Internet zugänglich zu machen.
Mithilfe einer gemeinsamen VPC-Architektur können mehrere Accounts Ressourcen in zentral verwalteten, gemeinsamen VPC-Subnetzen bereitstellen, statt für jeden Account eine große Anzahl von VPCs zu erstellen. Eine solche Architektur ist vorteilhaft für große Unternehmen, die in einer Multi-Account-Umgebung arbeiten, in der die Netzwerkinfrastruktur zentral von nur einem Account aus verwaltet wird. Accounts, die gemeinsame VPC-Subnetze nutzen, dürfen keine Änderungen am Routing oder an den Netzwerkkomponenten, die die Konnektivität bereitstellen, vornehmen, die sich auf das Netzwerk auswirken.
Das Konzept der gemeinsamen VPC spart eine Menge Arbeit, indem es den Account-Inhabern und ihren Mitarbeitern ermöglicht, in ihren jeweiligen Accounts zu arbeiten und sich auf ihre Projekte zu konzentrieren, statt eine neue Netzwerktopologie zu erstellen und zu betreiben.
Heute hat fast jedes Unternehmen mit dem Thema Domain-Namen zu tun. Ein Domain-Name ist Teil der Webadresse, mit der Ihre Webseite gefunden wird. Es gibt Domains, die öffentlich auflösbar sind, aber Unternehmen verwenden auch Domain-Namen, die nur intern bekannt sind und nur von privaten Ressourcen aufgelöst werden können.
Wenn die Auflösung einer privaten gehosteten Zone (PHZ) erforderlich ist, kommt eine DNS PHZ ins Spiel. Damit intern alle Web- oder anderen verfügbaren Ressourcen über Domainnamen in gemeinsamen VPCs erreichbar sind, muss die Auflösung dieser Namen von allen Punkten der Kundeninfrastruktur aus möglich sein.
Eine sehr verbreitete Lösung ist eine zentrale DNS-Verwaltung, bei der das DNS von einem speziellen Team von seinem eigenen Account aus betrieben wird. In einer wachsenden Umgebung kann dies jedoch eine erhebliche Herausforderung darstellen, da die Netzwerkadministratoren angesichts der Zahl der Anfragen zur Erstellung oder Aktualisierung von PHZs oder der Herausforderungen bei der Überwachung, Fehlerbehebung und Pflege von DNS-Einträgen über Gebühr beansprucht werden.
Eine zentrale DNS-Verwaltung schafft auch Abhängigkeiten und lässt die Flexibilität vermissen, die für einen effektiven Betrieb in anderen Accounts erforderlich ist.
Wie wäre es mit einer kostengünstigen Lösung, die Projekten die Freiheit gibt, ihr eigenes DNS nach Belieben ohne zusätzliche Kosten von ihren Accounts aus zu betreiben und dennoch über die gesamte Infrastruktur auflösbar zu halten?
Die Architektur zielt darauf ab, all die Schritte gänzlich zu automatisieren, die erforderlich sind, um Domains auflösbar zu machen, während der Ersteller der PHZ nur ein paar Zeilen Code mit modernen IaC-Tools wie Terraform eingeben muss.
Die Lösung automatisiert, vereinfacht und beschleunigt den gesamten Prozess der Autorisierung und Zuordnung. Das bedeutet, dass Projekte, die in den Accounts einer Organisation laufen, nicht durch den Route-53-Domain-Erstellungsprozess eingeschränkt werden und sie ihr eigenes DNS verwalten und Änderungen daran vornehmen können.
Die wichtigsten Vorteile der Lösung:
Durch die Implementierung von Architekturkomponenten und die Einhaltung bestimmter Voraussetzungen erleichtert die Lösung die Schritte, die erforderlich sind, um Domains im gesamten Kundennetzwerk einschließlich lokalen Umgebungen und verschiedenen gemeinsamen VPCs auflösbar zu machen. Die integrierte Automatisierung führt den Autorisierungs- bzw. Zuordnungsprozess durch, der vom Account des VPC-Eigentümers ausgeführt werden muss. Außerdem werden Abhängigkeiten ausgeräumt, sodass die Projekte ihr eigenes DNS unabhängig und ohne zusätzlichen Overhead verwalten können.
Nach erfolgreicher Implementierung übernehmen die Netzwerkadministratoren die Verantwortung für die Konnektivität, um sicherzustellen, dass die von Route 53 DNS zurückgegebenen IP-Adressen erreichbar sind, während die Administratoren von Projektaccounts für die Pflege und Verwaltung sowohl der PHZ als auch der darin erstellten Einträge verantwortlich sind.