Multi-Cloud VPN: Hub-and-Spoke über Clouds hinweg planen

Multi-Cloud VPN ist längst kein exotisches Spezialthema mehr, sondern ein reales Betriebsmodell in Unternehmen, die Workloads über AWS, Azure und GCP verteilen – aus Gründen wie Resilienz, regulatorischen Anforderungen, M&A, Best-of-Breed-Services oder schrittweisen Migrationen. Genau hier wird die Netzwerkplanung anspruchsvoll: Ein einzelner IPsec-Tunnel zwischen zwei Clouds ist schnell gebaut, doch ein belastbares Hub-and-Spoke-Design über Clouds hinweg erfordert klare Routingdomänen, strikte Transitregeln, konsistente Sicherheitszonen und ein Betriebsmodell, das Veränderungen kontrolliert. Typische Probleme entstehen nicht „im VPN“, sondern an den Rändern: Routen werden zu breit propagiert, Default-Routen schleichen sich ein, Failover flappt, NAT- oder Session-Tabellen werden durch zentralen Egress überlastet, oder ein Hub wird ungewollt Transit für Partnernetze. Gleichzeitig steigt der Anspruch an Nachweisbarkeit: Wer darf von welcher Cloud zu welchem Dienst, über welchen Pfad, mit welcher Policy und mit welchen Logs? Ein professionelles Multi-Cloud-VPN-Design definiert deshalb zuerst Ziele und Leitplanken (welche Konnektivität ist wirklich nötig), baut dann Hubs mit klaren Conduits (Transit nur dort, wo erlaubt) und operationalisiert Monitoring, Change-Governance und Capacity Planning. Dieser Artikel zeigt, wie Sie Hub-and-Spoke über Clouds hinweg planen – von Adressierung und Routing über Segmentierung bis zu Failover- und Betriebsstrategien.

Warum Hub-and-Spoke in Multi-Cloud fast immer gewinnt

In der Theorie wirkt Full Mesh attraktiv: Jede Cloud spricht direkt mit jeder anderen. In der Praxis explodiert die Komplexität schnell: Anzahl Tunnels, Prefix-Listen, Policies, Fehlerdomänen und Troubleshooting-Aufwand wachsen nicht linear. Hub-and-Spoke reduziert diese Komplexität, weil Transit bewusst zentralisiert wird – allerdings nur dann, wenn der Hub richtig segmentiert ist.

• Skalierbarkeit: Neue Spokes (VPCs/VNets/Projects) hängen Sie an einen Hub, statt neue Mesh-Verbindungen zu bauen.
• Policy-Kontrolle: Import/Export von Routen und Security-Policies lassen sich zentral durchsetzen.
• Operationalisierung: Monitoring und Alarme konzentrieren sich auf definierte Knoten (Hubs) und klar dokumentierte Pfade.
• Blast Radius: Störungen sind besser isolierbar, wenn Zonen und Conduits klar sind.

Begriffe und Bausteine: Hub, Spoke, Transit und Shared Services

Bevor Sie eine Topologie zeichnen, sollten Sie die Rolle jedes Netzes eindeutig benennen. Multi-Cloud VPN scheitert häufig daran, dass „ein VNet/VPC“ gleichzeitig Hub, Shared Services und Workload-Netz sein soll.

• Hub: Zentrales Transitnetz, das Spokes verbindet und die On-Prem-Anbindung oder Cloud-zu-Cloud-Verbindungen terminiert.
• Spoke: Workload-Netz (App, Daten, Plattform), das nur definierte Pfade zum Hub hat und nicht selbst Transit spielt.
• Transit: Erlaubte Weiterleitung zwischen Zonen/Spokes – immer bewusst geregelt, nie implizit.
• Shared Services: Gemeinsame Dienste wie DNS, Identity, Logging, Bastion/PAM, Proxies – idealerweise als eigene Zone, nicht „irgendwo“ im Hub.

Leitplanken: Welche Multi-Cloud-Konnektivität ist wirklich nötig?

Der häufigste Architekturfehler ist „wir verbinden alles mit allem, dann sind wir flexibel“. In Multi-Cloud ist Flexibilität ohne Guardrails der direkte Weg zu Routing Leaks, Shadow Connectivity und Audit-Problemen. Definieren Sie stattdessen Connectivity nach Use Cases:

• App-to-App: Nur die benötigten Services zwischen Clouds (z. B. API-Calls, Datenreplikation, Message Bus).
• Shared Services Zugriff: DNS, PKI, Monitoring, zentrale Artefakt-Repositories – meist one-way oder strikt begrenzt.
• Admin Access: Privilegierter Zugriff nur über kontrollierte Pfade (Bastion/Jumphost, PAM) statt direktem L3-Zugang.
• Vendor/Partner: Separate Profile/Zonen, minimaler Zugriff, timeboxed, auditierbar.

Als Orientierung für segmentierte, policybasierte Zugriffe kann Zero Trust dienen, z. B. NIST SP 800-207.

Adressierung und Overlaps: Der stille Komplexitätstreiber

Multi-Cloud bringt fast zwangsläufig Adressüberlappungen mit sich – besonders nach M&A oder wenn Teams historisch unabhängig adressiert haben. Overlaps sind Gift für „einfaches Routing“, weil sie Summaries, NAT-Workarounds und Policy-Ausnahmen provozieren.

• Globaler IP-Plan: Ein zentrales IPAM und klare Prefix-Ownership reduzieren Drift.
• Keine zu breiten Summaries: Summaries wie 10.0.0.0/8 sind bequem, aber zerstören Kontrolle und erhöhen Overlap-Risiko.
• Überlappungen bewusst behandeln: Wenn Overlaps unvermeidbar sind, braucht es klare Translation- oder Proxy-Patterns – nicht „irgendwie NAT“.
• Reservierte Bereiche: Freie Blöcke für künftige Clouds/Regionen einplanen, um später nicht umadressieren zu müssen.

Routingmodell: BGP als Standard, aber nur mit harten Policies

Für Hub-and-Spoke über Clouds hinweg ist dynamisches Routing (meist BGP) häufig der pragmatischste Weg: es skaliert, unterstützt Failover und reduziert manuelle Routepflege. Gleichzeitig ist BGP ohne Filter der schnellste Weg zu Routing Leaks. Als technische Basis dient RFC 4271 (BGP-4).

Import/Export wie eine Routing-Firewall

• Prefix-Allow-Lists: Pro Peer/Tunnel exakt definieren, welche Prefixes akzeptiert und announced werden.
• Default-Route Guards: 0.0.0.0/0 und ::/0 standardmäßig blocken; nur in expliziten Egress-Profilen erlauben.
• Max-Prefix: Harte Limits pro Peer, damit Fehlkonfigurationen oder Route Floods nicht die gesamte Fabric stören.
• Tagging/Communities: Routen nach Herkunft markieren (Cloud A, Cloud B, On-Prem, Shared Services), um Transit gezielt zu steuern.

Transit bewusst begrenzen

• Spokes dürfen keine Transit-Routen weitergeben: Split-Horizon-Logik und klare Export-Policies verhindern „Spoke wird Router“.
• Shared Services sind kein „Supernetz“: Shared Services sollten nicht automatisch Transit zu allen Workloads bieten.
• Regionale Präferenzen: Cross-Region-Transit nur, wenn nötig, sonst entstehen unnötige Latenz und Kosten.

Hub-Design über Clouds hinweg: Drei praxiserprobte Varianten

In Multi-Cloud gibt es nicht „den einen Hub“. Je nach Organisation und Anforderungen sind drei Muster besonders verbreitet.

Pattern: Zentraler Cloud-Hub als „Network Core“

• Idee: Ein primärer Hub (z. B. in einer Cloud) verbindet alle Spokes und die anderen Clouds.
• Vorteil: Einfache Policy-Implementierung, zentrale Kontrolle, schneller Start.
• Risiko: Single Point of Failure/Blast Radius, Hairpinning über eine Cloud, potenziell hohe Egress-Kosten und Latenz.
• Wann sinnvoll: Wenn eine Cloud klar „Core“ ist (z. B. Hauptplattform), und andere Clouds eher Satelliten sind.

Pattern: Per-Cloud Hub, gekoppelt über definierte Inter-Hub Conduits

• Idee: Jede Cloud hat ihren eigenen Hub (Transit), zwischen den Hubs gibt es begrenzte Verbindungen (Conduits).
• Vorteil: Besserer Blast-Radius, regionale Optimierung, klare Ownership pro Cloud.
• Trade-off: Mehr Inter-Hub-Policyarbeit, dafür bessere Skalierbarkeit und Governance.
• Wann sinnvoll: Wenn Clouds gleichberechtigt genutzt werden oder verschiedene Teams Verantwortung tragen.

Pattern: Hub pro Region/Geografie (Multi-Region, Multi-Cloud)

• Idee: Hubs sind geografisch organisiert (EU/US/APAC) und binden lokale Cloud-Regionen und On-Prem-Standorte an.
• Vorteil: Geringere Latenz, bessere Compliance- und Data-Residency-Abbildung.
• Risiko: Komplexeres globales Routing, erfordert strikte Policies, um Cross-Region-Leaks zu verhindern.
• Wann sinnvoll: Bei globalen Unternehmen und latency-sensitiven Workloads.

Cloud-native Transit-Bausteine richtig nutzen

Die meisten Enterprises kombinieren VPN mit cloudnativen Transit-Services, weil diese Route Tables, Attachments und Segmentierung besser unterstützen als einzelne Punkt-zu-Punkt-Tunnel.

• AWS: Transit Gateway als Hub, Spokes über Attachments, Policies über TGW Route Tables. Einstieg: AWS Transit Gateway.
• Azure: Virtual WAN als Hub-Framework oder klassisch Hub-VNet mit VPN Gateway. Einstieg: Azure Virtual WAN.
• GCP: HA VPN mit Cloud Router für BGP und ECMP. Einstieg: GCP Cloud VPN Overview und Cloud Router Overview.

Wichtig ist die Konsistenz: Wenn Sie pro Cloud unterschiedliche Segmentierungsmodelle verwenden, wird Policy Drift wahrscheinlicher. Ziel ist ein einheitliches Zonen- und Conduit-Modell, das in jeder Cloud abbildbar ist.

Segmentierung in Multi-Cloud: Zonen als Routingdomänen

In Multi-Cloud sollten Sie Segmentierung nicht als „Firewall-Regeln“ nachrüsten, sondern als Routingdomänen modellieren: getrennte Route Tables/VRFs pro Zone. So verhindern Sie, dass ein einzelnes Routing Leak gleich die gesamte Umgebung verbindet.

• Prod vs Non-Prod: Strikte Trennung, keine implizite Transitivität.
• Shared Services Zone: DNS/PKI/Logging/Bastion – erreichbar über definierte Conduits, nicht als Transit zu allem.
• Management Zone: Adminzugänge, Automationssysteme; Zugriff nur über PAM/Jump und starke MFA.
• Partner/Vendor Zone: Eigene Routingdomäne, minimaler Zugriff, timeboxed, auditierbar.

Shared Services in Multi-Cloud: Zentralisieren, aber nicht zentral ausfallen

Shared Services sind hilfreich, aber nur, wenn Sie Resilienz und Latenz berücksichtigen. Zentralisierung über Kontinente hinweg erzeugt sonst Latenzprobleme und neue Single Points of Failure.

• DNS: Häufig sinnvoll als zentrale Policy (Conditional Forwarding), aber mit regionalen Caches/Forwardern, damit Latenz stabil bleibt.
• Identity: Zentrale Identity ist sinnvoll, aber Sie brauchen Degraded-Mode und klare Notfallzugänge (Break Glass) mit strenger Governance.
• Logging/SIEM: Zentral ist gut, aber Transport muss gepuffert sein; Ausfall der SIEM-Anbindung darf nicht die Produktionskonnektivität blockieren.
• Bastion/PAM: Für Adminzugriff ist ein zentraler, gehärteter Pfad oft besser als direkte L3-Connectivity in Workload-Netze.

Failover und Resilienz: Active/Active, Active/Standby und Hysterese

Multi-Cloud-Resilienz wird oft überschätzt („wir haben mehrere Clouds, also sind wir automatisch resilient“). In Wahrheit entscheidet die Failover-Logik: Wie schnell, wie stabil und mit welchen Nebenwirkungen wird umgeschaltet?

• Active/Standby: Einfacher zu betreiben, geringeres Asymmetrie-Risiko, aber Kapazität wird schlechter genutzt.
• Active/Active mit ECMP: Kann Durchsatz erhöhen, erhöht aber Anforderungen an State (NAT/Firewalls), Session Affinity und konsistente Routing-Policies.
• Hysterese gegen Flapping: Failback erst nach stabiler Phase; sonst wechseln Pfade bei kurzen Loss-Spikes ständig.
• Data-Plane-Probes: Failover nicht nur an „Tunnel up“, sondern an funktionalen Checks (DNS/HTTPS/Bastion) koppeln.

Performance und Limits: Bandbreite ist nicht alles

VPN-Limits sind in Clouds oft mehrdimensional: Throughput, PPS, Anzahl Tunnels/Peers, Routing-Tabellen, und indirekt auch NAT-/Session-Pressure bei zentralem Egress. Ein sauberes Design plant diese Faktoren von Beginn an ein.

• PPS vs Gbit/s: Viele kleine Pakete (DNS, Telemetrie, VoIP) können PPS-Limits erreichen, obwohl Bandbreite niedrig wirkt.
• Conntrack/NAT: Full-Tunnel- oder zentraler Proxy-Egress erzeugt viele Flows; Tabellen können voll laufen.
• Crypto/CPU bei Appliances: Wenn Sie statt Managed Gateways virtuelle Appliances nutzen, sind CPU/Crypto-Offload oft der Engpass.
• MTU/MSS: Encapsulation Overhead und PMTUD-Probleme erzeugen „mysteriöse“ App-Fehler; konservative MTU-Strategien helfen.

Routing Leaks und Policy Drift vermeiden: Guardrails als Pflicht

Über Zeit werden Multi-Cloud-Routen ohne Governance fast immer „breiter“. Ausnahmen bleiben bestehen, Summaries wachsen, Default-Routen tauchen auf. Das verhindert man nicht durch gute Absicht, sondern durch technische Guardrails und Prozesse.

• Policy-as-Code: Route Policies, Prefix-Listen und Conduit-Regeln versioniert in Git, mit Review und Rollback.
• Pre-Checks: Automatisierte Tests: Default-Route? Overlaps? Max-Prefix gesetzt? Zone-Leaks?
• Canary Rollouts: Änderungen zuerst in einer Region oder einem Segment ausrollen, dann erweitern.
• Rezertifizierung: Regelmäßige Prüfung: „Brauchen wir diese Route noch?“

Monitoring: Multi-Cloud VPN als Service beobachten, nicht als Tunnelstatus

Ein reifer Betrieb misst Servicequalität statt nur „Tunnel up“. Das reduziert Incident-Dauer, weil Symptome schneller zugeordnet werden können.

• SLIs: Erfolgsrate von Probes zu Shared Services, RTT/Loss/Jitter p95, Rekey Success Rate, Route Change Rate.
• KPIs: Throughput/PPS pro Tunnel, aktive Sessions/Flows, NAT Allocation Failures (falls Egress zentral ist), CPU/Queue Drops (bei Appliances).
• Routing-Observability: Alerts bei unexpected prefixes, Default-Route, Route Flaps, Max-Prefix Trigger.
• Multi-Signal Alerting: Alarm nur, wenn Tunnelstatus und Data-Plane-Probe korrelieren, um Flapping zu vermeiden.

Für strukturierte Logging- und Detection-Ansätze eignet sich als Orientierung CISA Best Practices for Event Logging and Threat Detection.

Troubleshooting-Playbook: Wenn Multi-Cloud Hub-and-Spoke „komisch“ wird

Multi-Cloud-Fehlerbilder wirken oft diffus. Ein standardisiertes Playbook hilft, systematisch zu triagieren.

• Scope: Welche Clouds/Regionen/Spokes sind betroffen? Nur bestimmte Prefixes oder alles?
• Routing: Route Tables auf beiden Seiten prüfen: Next Hop, Preference, neue/fehlende Prefixes.
• Data Plane: Probes/Traceroute zu Canary-Zielen, MTU/MSS-Indikatoren, Drops/Queue Counters.
• Asymmetrie: Hin-/Rückweg prüfen, besonders bei Active/Active, NAT und stateful Firewalls.
• Change Correlation: Letzte Policy-/Template-Änderungen, Cloud-Propagation-Änderungen, neue Attachments/Peers.

Praktische Umsetzung: Schrittweise zu Multi-Cloud Hub-and-Spoke

Ein Big-Bang-Mesh ist selten sinnvoll. Ein pragmatischer Weg baut Stabilität iterativ auf und vermeidet, dass frühe Workarounds dauerhaft werden.

• Phase 1: Pro Cloud ein Hub etablieren, Spokes anbinden, Prefix-Allow-Lists definieren, Default-Route Guards setzen.
• Phase 2: Inter-Hub Conduits definieren (nur die notwendigen Prefixes), Shared Services Zone aufbauen, Adminzugriff über Bastion/PAM führen.
• Phase 3: Resilienz (Multi-Region, Multi-ISP, Active/Standby oder kontrolliertes Active/Active) implementieren, Data-Plane-Probes und Hysterese konfigurieren.
• Phase 4: Governance: Policy-as-Code, Pre-Checks, Canary Rollouts, Rezertifizierung und Drift-Prevention.

Checkliste: Multi-Cloud VPN Hub-and-Spoke planen

• Zonenmodell: Prod/Non-Prod/Shared Services/Management/Partner als Routingdomänen definieren.
• Hub-Variante wählen: Zentraler Hub, per-Cloud Hubs oder regionale Hubs – nach Latenz, Ownership und Resilienz.
• Routing-Policies: Prefix-Allow-Lists, Default-Route Guards, Max-Prefix, Tagging/Communities.
• Transit begrenzen: Conduits explizit definieren, Spokes nicht als Transit verwenden.
• Shared Services resilient: DNS/Identity/Logging/Bastion regional optimieren, kein Single Point of Failure.
• Failover stabil: Data-Plane-Probes, Hysterese, klare Primary/Secondary-Preferences, ECMP nur bei state-tauglichem Design.
• Kapazität planen: Throughput, PPS, Flows, NAT-Port-Budgets (bei zentralem Egress), Crypto/CPU bei Appliances.
• Monitoring: SLIs für Probes und Routing-Changes, Multi-Signal Alerts, Change Markers.
• Governance: Policy-as-Code, Reviews, Canary Rollouts, automatisierbarer Rollback, Rezertifizierung.

• AWS Transit Gateway: Transit-Hub für Hub-and-Spoke-Topologien
• Azure Virtual WAN: Hub-Architektur für Multi-Site und Multi-Region
• GCP Cloud VPN: Überblick über HA VPN und Betriebsmodelle
• GCP Cloud Router: Dynamisches Routing via BGP in Hybrid-/Multi-Cloud
• RFC 4271: BGP-4 als Grundlage für policybasiertes Multi-Cloud-Routing
• NIST SP 800-207: Zero Trust Architecture für Segmentierung und Zugriffskontrolle
• CISA: Best Practices für Logging und Threat Detection

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.