February 25, 2026

Cloud Networking Diagramme: VPC/VNet, Transit, Peering, Egress

Cloud Networking Diagramme sind der schnellste Weg, um in komplexen Cloud-Umgebungen Orientierung zu schaffen: Welche VPCs/VNets existieren? Wie sind Subnetze geschnitten? Wo liegen Transit-Komponenten? Welche Peering-Beziehungen sind aktiv? Und vor allem: Wo findet Egress statt – zentral, lokal oder über Security Controls? In der Praxis entstehen Cloud-Netzwerke selten „aus einem Guss“. Teams bauen neue VPCs/VNets, verbinden sie per Peering, hängen On-Prem über Direct Connect/ExpressRoute an, integrieren Managed Services, Private Endpoints und NAT-Gateways – und irgendwann ist nicht mehr klar, welche Pfade wirklich genutzt werden, welche Trust Boundaries gelten und welche Abhängigkeiten kritisch sind. Diagramme sind hier nicht Dekoration, sondern ein Betriebs- und Sicherheitsartefakt: Sie machen Routing-Intents sichtbar, helfen beim Onboarding, reduzieren MTTR im Incident und liefern für Audits nachvollziehbare Nachweise über Segmentierung und Zugriffspfade. Dieser Artikel zeigt, wie Sie Cloud Networking Diagramme professionell strukturieren und zeichnen: von VPC/VNet-Grundlagen über Transit- und Peering-Topologien bis zu Egress-Designs, inklusive Layout-Regeln, Symbolstandards und einem Diagramm-Portfolio, das „Spaghetti“ verhindert.

Warum Cloud-Netze ohne Diagrammportfolio unlesbar werden

Cloud-Networking wirkt zunächst „einfach“, weil viele Komponenten als Managed Service verfügbar sind. Gleichzeitig steigt die Kombinationsvielfalt drastisch: mehrere Accounts/Subscriptions, mehrere Regionen, mehrere VPCs/VNets, Hybrid-Links, zentrale Firewalls, SASE, Private Link/Endpoints, DNS-Resolver, unterschiedliche Routing-Tabellen und Security Policies. Ein einzelnes Diagramm kann diese Vielfalt nicht sinnvoll abbilden. Typische Symptome schlechter Cloud-Diagramme:

  • Zu viel Detail im Overview: jedes Subnetz, jede Route, jeder Security-Rule-Block in einer globalen Grafik.
  • Fehlende Ebenen: Account/Subscription, Region, VPC/VNet und Subnets werden vermischt.
  • Unklare Pfade: Egress ist nicht eindeutig; Traffic kann „irgendwie“ über mehrere NATs oder Firewalls gehen.
  • Peering ohne Richtung: Routing- oder DNS-Implikationen bleiben unsichtbar (Transitive Annahmen sind falsch).
  • Keine Trust Boundaries: Security Controls sind gezeichnet, aber nicht als Boundary mit Regeln und Ownership.

Die Lösung ist ein bewusstes Diagramm-Portfolio nach Use Case: „One Diagram per Question“ statt „ein Plan für alles“.

Das Diagramm-Portfolio für Cloud Networking: Welche Views Sie wirklich brauchen

Cloud Networking Diagramme funktionieren am besten als gestaffelte Sichten, die jeweils eine konkrete Frage beantworten. Ein praxistaugliches Minimum:

  • Cloud Landing Zone Overview: Accounts/Subscriptions, Regionen, zentrale Netzwerk- und Security-Services, Konnektivität zwischen Domänen.
  • Region Network Map: VPC/VNet-Struktur pro Region, Transit-Komponenten, Peering, zentrale Egress-/Ingress-Punkte.
  • VPC/VNet Detail View: Subnetze, Routing-Tabellen, Gateways, Endpoints, Security-Kontrollen (SG/NSG, NACL/UDR).
  • Transit View: TGW/vWAN/Hub-Spoke, Attachments/Connections, Routing Domains, Segmentation über Route Tables/Policies.
  • Egress & Security View: Internet Egress, NAT, zentrale Firewalls, Proxy/SASE, Logging und Kontrollpunkte.
  • Hybrid Connectivity View: On-Prem, Direct Connect/ExpressRoute/Interconnect, VPN-Fallback, BGP-Edge, DNS-Resolver.

Diagram-as-Code kann helfen, Sichten versionierbar zu halten, z. B. mit Mermaid, PlantUML oder Graphviz. Entscheidend ist jedoch, dass jede View ein klares Ziel hat.

Grundbegriffe: VPC/VNet, Subnet, Route Table, Security Boundary

Damit Diagramme teamübergreifend verstanden werden, sollten Sie eine klare Begriffslogik nutzen und in der Legende einmal definieren:

  • VPC/VNet: logische Netzdomäne, typischerweise ein CIDR-Block mit Subnetzen und Routing-/Security-Mechanismen.
  • Subnet: Unterteilung des CIDR, oft in „public/private“ oder nach Tier/Zone (App, DB, Shared Services).
  • Route Table: Routing-Entscheidungsebene, die Subnetze oder Gateway-Komponenten steuert.
  • Security Boundary: kontrollierter Übergang (Firewall, NAT, Proxy, SASE, Gateway), an dem Policies, Logging und Ownership greifen.
  • Transit: zentraler Knoten für viele Netze (Hub-Spoke) statt Mesh-Peering.

Für tiefergehende Provider-Definitionen sind die offiziellen Dokumentationen der Clouds geeignete Outbound-Links: AWS VPC Dokumentation, Azure Virtual Network, Google Cloud VPC.

Landing Zone Diagramm: Accounts/Subscriptions und Netzwerkdomänen darstellen

Die Landing Zone View ist die „Landkarte“. Sie zeigt organisatorische und sicherheitsrelevante Grenzen: Prod vs. Non-Prod, Shared Services, Security-Account/Subscription, Logging/SIEM, zentrale DNS/PKI, sowie Netzwerkdomänen pro Region. Gute Regeln:

  • Accounts/Subscriptions als Container: klare Boxen mit Namen/Typ (Prod, Shared, Security).
  • Regionen als Cluster: pro Region ein Bereich; Multi-Region-Verbindungen sind bewusst sichtbar.
  • Zentrale Services: Transit-Komponenten, zentrale Firewalls, zentrale Egress-/Ingress-Punkte, Management Access (Bastion/PAM) als Boundary.
  • Ownership: pro Container oder Domäne ein Owner-Tag (Team/On-Call), ohne personenbezogene Details.

Diese View ist ideal für Management, Audits und Onboarding, aber bewusst ohne Subnet-Details.

Region Network Map: VPC/VNet-Topologie sauber abbilden

Die Region View beantwortet: „Wie ist die Region logisch verdrahtet?“ Hier zeigen Sie VPCs/VNets als Knoten/Container, Transit als zentralen Knoten und Peering als Verbindungen. Best Practices:

  • Hub-Spoke visualisieren: Hub-VPC/VNet mit Transit, Spokes für Workloads und Plattformservices.
  • Peering sparsam: Peering-Verbindungen nur dort zeigen, wo sie absichtlich eingesetzt werden; ansonsten Transit nutzen.
  • Routen-Domänen markieren: getrennte Route Tables/Segmente (z. B. „Prod“, „Shared“, „Partner“) als farbliche Bereiche.
  • Egress klar: Internet-Egress-Punkte (zentral oder pro VPC) müssen sichtbar sein.

VPC/VNet Detail View: Subnets, Routing und Security ohne Overload

Auf VPC/VNet-Ebene wird es technisch. Hier müssen Diagramme dennoch lesbar bleiben. Ein gutes Detaildiagramm gliedert sich in Ebenen:

Subnet-Layer

  • Subnetze nach Tier (Ingress, App, Data, Shared) oder nach Funktion (Mgmt, Workload, Endpoints).
  • Availability Zones als Spalten (AZ-a/AZ-b/AZ-c), um Resilienz sichtbar zu machen.
  • Public/Private nicht als „Wert“, sondern als Ergebnis von Routing (IGW/NAT) verstehen und entsprechend darstellen.

Routing-Layer

  • Route Tables als eigene Objekte (oder als Labels an Subnet-Gruppen), inkl. Default Routes und Transit-Routen.
  • Gateways/Router-Objekte: Internet Gateway, NAT Gateway, Virtual Router/Cloud Router, Route Server (wo relevant).
  • Klare Pfeile für Default-Egress (0.0.0.0/0) und für Private-Routing (z. B. to Transit).

Security-Layer

  • Security Groups/NSGs als „Security Boundary“ auf Tier-Ebene (nicht jede einzelne Rule ins Diagramm schreiben).
  • NACLs/UDRs nur dann detaillieren, wenn sie zentraler Teil des Designs oder einer Audit-Frage sind.
  • Logging- und Flow-Visibility als Symbole (Flow Logs, NSG Flow Logs), mit Link auf Runbook/Evidence.

Transit-Topologien: TGW, vWAN, Cloud Router und zentrale Hubs

Transit ist der Kern vieler Cloud-Enterprise-Netze. Diagramme müssen zeigen, ob Ihr Design transitive Connectivity erlaubt (Hub-Spoke) und wie Segmentierung technisch umgesetzt wird.

  • Hub-Spoke: Spokes verbinden sich ausschließlich an den Hub (Transit), nicht gegenseitig per Mesh.
  • Segmentierung: getrennte Routing-Domänen über separate Route Tables/Policies/VRFs (Konzeptuell darstellen, nicht als lange Listen).
  • Shared Services: DNS, Identity, Logging, PKI häufig als eigener „Shared“-Spoke, der kontrolliert erreichbar ist.

Provider-Referenzen: AWS Transit Gateway, Azure Virtual WAN, Google Cloud Router.

Peering richtig zeichnen: Was Peering kann und was nicht

Peering ist beliebt, weil es schnell ist. In Diagrammen sollte Peering jedoch als bewusste Designentscheidung sichtbar sein – inklusive Grenzen. Häufige Missverständnisse sind transitive Annahmen („wenn A mit B peert und B mit C peert, erreicht A auch C“ – meist falsch). Best Practices für Peering-Diagramme:

  • Peering als direkte Kante: nur zwischen zwei VPCs/VNets, mit Label „non-transitive“ oder Hinweis in Legende.
  • DNS/Resolver: wenn DNS-Auflösung über Peering relevant ist, als separate Abhängigkeit markieren (nicht nur „es ist verbunden“).
  • Route Scope: markieren, ob Full Mesh Routes oder eingeschränkte Route Propagation genutzt wird.
  • Security Boundary: Peering ist keine Security Control; Policies bleiben an SG/NSG und zentralen Controls.

Referenzen: AWS VPC Peering, Azure VNet Peering, GCP VPC Network Peering.

Egress-Design: Zentral, lokal oder über SASE/Proxy?

In Cloud-Netzen ist Egress eine der wichtigsten Architekturfragen, weil sie Security, Kosten, Performance und Compliance beeinflusst. Diagramme müssen Egress daher explizit abbilden: Wo verlässt Traffic die Cloud? Welche Kontrollen greifen? Welche Pfade sind erlaubt?

Zentraler Egress

  • Vorteil: konsistente Security Controls, zentrale Logging/Evidence, weniger Regelduplikate.
  • Nachteil: potenziell höhere Latenz, komplexere Transit-Routen, größere Blast Radius bei Egress-Problemen.
  • Diagramm-Hinweis: „Central Egress Hub“ als eigener Knoten mit Firewall/Proxy/NAT und klaren Route Tables.

Lokaler Egress pro VPC/VNet

  • Vorteil: kurze Pfade, regionale Unabhängigkeit.
  • Nachteil: Governance schwerer, Policies und Logging müssen standardisiert werden (Baseline, CI, Drift-Checks).
  • Diagramm-Hinweis: Egress pro Spoke sichtbar machen, aber mit Standard-Controls (z. B. „Egress Profile“).

Egress über SASE/Proxy

  • Vorteil: einheitliche Policy, Identity-basierte Controls, globale Durchsetzung.
  • Nachteil: Abhängigkeit von Service Edges, komplexere Fehlerdiagnose ohne gute Service Maps.
  • Diagramm-Hinweis: Trust Boundary und Kontrollpunkt („SASE“) als eigene Ebene, nicht als „nur ein Internet-Link“.

NAT, Firewall und Private Endpoints: Kontrollpunkte klar markieren

Ein häufiger Fehler in Cloud Networking Diagrammen ist, dass NAT und Firewalls als „Kästchen irgendwo“ gezeichnet werden, ohne klarzumachen, welche Subnetze/Route Tables sie betreffen. Best Practice: Kontrollpunkte als explizite Boundaries mit zugehörigen Route Tables darstellen.

  • NAT Gateway: zeigt, welche privaten Subnetze über welche Default Route (0.0.0.0/0) NAT nutzen.
  • Cloud Firewall / NVA: zeigt, welche Traffic-Klassen durch Inspection laufen und wie Failover funktioniert.
  • Private Endpoints/Private Link: zeigt, wie Managed Services privat erreichbar sind, ohne Internet-Egress.

Provider-Referenzen: Azure Private Link, AWS PrivateLink, GCP Private Google Access.

Hybrid Connectivity Diagramme: On-Prem, Direct Connect/ExpressRoute, VPN und BGP

Hybrid ist in Enterprise-Clouds die Regel. Ein Hybrid-Diagramm muss zwei Dinge gleichzeitig zeigen: den physischen/Provider-Pfad und die logische Routing-Domäne. Gute Inhalte:

  • On-Prem Edge: Router/Firewall (abstrahiert), BGP-Edge, relevante VRFs/Zonen.
  • Cloud Edge: Virtual Gateways/Route Server/Cloud Router, Attachments zum Transit.
  • Redundanz: zwei Provider, zwei PoPs, zwei Cloud-Regions (wo zutreffend), plus Failure Domain Marker.
  • VPN-Fallback: als separate Kante mit klarer Priorität (nicht „gleichwertig“, wenn es nicht so ist).

Referenzen: AWS Direct Connect, Azure ExpressRoute, Google Cloud Interconnect.

DNS und Service Abhängigkeiten: Cloud-Diagramme sind ohne Resolver-View unvollständig

Viele Cloud-Incidents sind in Wahrheit DNS- oder Identity-Probleme. Cloud Networking Diagramme sollten deshalb mindestens eine Service-Dependency View enthalten, die zeigt, wo Resolver und Forwarding laufen und wie Namensauflösung zwischen On-Prem und Cloud funktioniert.

  • Resolver-Topologie: zentrale Resolver pro Region oder pro VPC/VNet, Forwarding Regeln, Private DNS Zonen.
  • Abhängigkeiten: Identity/SSO, PKI/Trust Stores, NTP – als „kritische Dienste“ sichtbar machen.
  • Failure Domains: wenn DNS global ist, ist es ein globaler SPOF; wenn regional, dann klar markieren.

Referenzen: Amazon Route 53, Azure DNS, Cloud DNS.

Layout- und Symbolstandards: Lesbarkeit für Engineering und Audits

Cloud Networking Diagramme werden häufig in Audits, Architektur-Boards und Incident Reviews genutzt. Daher lohnt sich ein standardisiertes Designsystem:

  • Einheitliche Container: Account/Subscription → Region → VPC/VNet → Subnets (immer gleiche Verschachtelung).
  • Linienarten für Linktypen: Peering, Transit, VPN, Dedicated Circuit, Internet getrennt darstellen.
  • Farben nur mit Legende: z. B. Security Zones oder Tiers; Farbe darf nie alleinige Information sein.
  • Minimalistische Labels: keine CIDR-Listen im Overview; CIDRs in VPC Detail View oder als Link zur SoT.
  • Trust Boundaries sichtbar: Firewalls/Proxys/SASE als Boundary, nicht als „ein Gerät“.

Viele Anbieter stellen offizielle Icon-Sets bereit, die sich für konsistente Symbolik eignen: AWS Architecture Icons, Azure Architecture Icons, Google Cloud Icons.

Diagramme operationalisieren: Versionierung, Reviews und „Definition of Done“

Damit Cloud Networking Diagramme nicht veralten, müssen sie Teil des Change-Prozesses werden. Eine praxistaugliche Governance:

  • Definition of Done: kein neues VPC/VNet, kein neues Peering, kein neues Egress-Pattern ohne Diagrammupdate.
  • Pull Requests/Merge Requests: Diagrammänderungen werden reviewed und sind nachvollziehbar.
  • CI Checks: Broken Links, veraltete Referenzen, Rendering (bei Diagram-as-Code), Metadatenpflicht.

Referenzen: GitHub Pull Requests, GitLab Merge Requests, CI: GitHub Actions, GitLab CI/CD.

Typische Anti-Pattern bei Cloud Networking Diagrammen

  • Peering als Mesh-Ersatz: unübersichtlich und schwer zu govern; Lösung: Transit-Hub-Design mit Segmentierung.
  • Egress nicht explizit: „Internet ist irgendwo“; Lösung: Egress-View mit klaren Kontrollpunkten und Route Tables.
  • Public/Private als Label ohne Routing: irreführend; Lösung: Public/Private aus IGW/NAT-Path ableiten und darstellen.
  • Security Controls nur dekorativ: Firewall gezeichnet, aber ohne Trust Boundary; Lösung: Boundaries, Policies als Legende, Evidence-Links.
  • Keine DNS-/Dependency-Views: Ursachen bleiben unsichtbar; Lösung: Service Maps für Resolver, Identity, PKI.
  • Keine Maintenance: Diagramme sind „einmal gemalt“; Lösung: DoD, PR/MR, CI und regelmäßige Reviews.

Checkliste: Cloud Networking Diagramme für VPC/VNet, Transit, Peering und Egress

  • Das Hauptkeyword „Cloud Networking Diagramme“ ist als Diagramm-Portfolio umgesetzt (Landing Zone, Region Map, VPC/VNet Detail, Transit, Egress, Hybrid)
  • Container-Hierarchie ist konsistent: Account/Subscription → Region → VPC/VNet → Subnets
  • Transit-Topologie ist klar (TGW/vWAN/Cloud Router) inklusive Segmentierung über Route Tables/Policies
  • Peering ist korrekt dargestellt (non-transitive Annahmen vermieden, DNS/Route Scope klar)
  • Egress ist explizit (zentral vs. lokal vs. SASE/Proxy) und Kontrollpunkte (NAT/Firewall/Private Endpoints) sind sichtbar
  • Hybrid Connectivity ist als eigener View vorhanden (Direct Connect/ExpressRoute/Interconnect, VPN-Fallback, Redundanz/Fault Domains)
  • DNS und kritische Abhängigkeiten sind abgebildet (Resolver, Private DNS, Identity/PKI/NTP als Service Map)
  • Symbol- und Layoutstandards sind definiert (Icon Sets, Linienarten, Legende, Whitespace, minimale Labels)
  • Diagramme sind „living“ (Definition of Done, PR/MR-Reviews, CI Checks für Links/Rendering/Metadaten)
  • Outbound-Links führen zu Primärquellen: AWS VPC, Azure VNet, GCP VPC, AWS TGW, Azure vWAN

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

  • Netzwerkdesign & Topologie-Planung

  • Router- & Switch-Konfiguration (Cisco IOS)

  • VLAN, Inter-VLAN Routing

  • OSPF, RIP, EIGRP (Grundlagen & Implementierung)

  • NAT, ACL, DHCP, DNS-Konfiguration

  • Troubleshooting & Netzwerkoptimierung

  • Packet Tracer Projektentwicklung & Dokumentation

  • CCNA Lern- & Praxisunterstützung

Lieferumfang:

  • Konfigurationsdateien

  • Packet-Tracer-Dateien (.pkt)

  • Netzwerkdokumentation

  • Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.

 

Related Articles

Postmortems nach Voice Outages: QoS Lessons Learned in Standards übersetzen

QoS Maturity Model: Von Best Effort zu Carrier-Grade QoE

QoS Roadmap: Schrittweise Einführung ohne Betriebsrisiko

Blueprint “Voice-Ready Access”: HQoS Patterns für DSL/FTTH/Cable

Blueprint “Metro QoS”: Ring-Design, Shaping Points und Queueing

Blueprint “Core QoS”: Class-Aware TE und skalierbare Policies

Blueprint “VPN QoS”: DSCP Preservation über IPSec/SD-WAN

Blueprint “Video QoS”: ABR, Priorisierung und Monitoring-Methoden

QoS Review Checkliste: Experten-Gates für Design und Konfiguration

Häufige QoS Fehlerbilder: Die Top 25 Ursachen für Voice/Video Probleme

Tools für QoS Troubleshooting: Counters, Telemetry, PCAPs, RTP Stats

QoS für IMS/VoLTE/VoNR: Echtzeitpfade im Telco Netz absichern