February 21, 2026

VPC Peering vs. Transit Gateway vs. Hub-and-Spoke: Was passt am besten?

Die Entscheidung „VPC Peering vs. Transit Gateway vs. Hub-and-Spoke“ gehört zu den wichtigsten Architekturfragen im Cloud Networking, weil sie langfristig Kosten, Sicherheit, Betriebsaufwand und Fehlertoleranz prägt. Viele Teams starten klein mit ein oder zwei VPCs/VNets und verbinden diese direkt per Peering. Später kommen neue Umgebungen (Prod/Stage/Dev), neue Regionen, Shared Services (Observability, CI/CD, Artifact Repos), hybride Anbindungen (On-Prem) und Compliance-Anforderungen hinzu – und plötzlich wird aus einer überschaubaren Verbindung ein schwer wartbares Netz aus Peerings, Sonderrouten und Ausnahmen. Genau hier trennt sich „funktioniert gerade“ von „skalierbar und governable“. Dieser Leitfaden erklärt, wie VPC Peering, Transit Gateway und Hub-and-Spoke technisch wirken, welche Vor- und Nachteile sie haben, welche Failure Modes typisch sind und wie Sie ein Modell auswählen, das zu Teamgröße, Sicherheitsmodell und Wachstum passt.

Table of Contents

Begriffe: Was meinen wir mit VPC Peering, Transit Gateway und Hub-and-Spoke?

Die Begriffe werden im Alltag oft durcheinander genutzt. Für eine saubere Entscheidung hilft eine klare Definition:

  • VPC Peering: Direkte, private Verbindung zwischen zwei VPCs/VNets. Meist ohne transitive Weiterleitung: A kann mit B sprechen, aber A erreicht C nicht automatisch über B.
  • Transit Gateway: Zentraler Routing-Hub als Managed Service (z. B. AWS Transit Gateway), an den viele VPCs und weitere Netze (VPN, Direct Connect) „anhängen“. Er unterstützt transitive Konnektivität.
  • Hub-and-Spoke: Topologieprinzip: Ein zentraler Hub (z. B. Shared Services VPC/VNet oder ein Routing-/Firewall-Hub) verbindet viele Spokes (Workload-VPCs). Ein Transit Gateway kann ein Baustein für Hub-and-Spoke sein, muss aber nicht.

Wichtig: Hub-and-Spoke beschreibt das Design, Transit Gateway ist eine konkrete Implementierungsmöglichkeit. Hub-and-Spoke kann auch mit virtuellen Appliances, Routing-VMs oder anderen Cloud-Konstrukten umgesetzt werden, je nach Provider und Anforderungen.

Wie funktioniert VPC Peering in der Praxis?

Beim VPC Peering verbinden Sie zwei Netzwerke direkt. Der Traffic läuft privat über die Cloud-Infrastruktur, ohne Internet. Typischerweise müssen Sie danach Routen in beiden VPCs/VNets setzen, damit die jeweiligen CIDRs erreichbar sind. In vielen Clouds ist Peering nicht transitiv, das heißt: Peering skaliert nicht automatisch zu „Netzwerk-Mesh“, sondern bleibt eine Paarbeziehung.

Stärken von VPC Peering

  • Einfacher Einstieg: schnell eingerichtet, überschaubar, wenig Komponenten.
  • Niedrige Latenz: oft sehr direkter Pfad zwischen zwei Netzen.
  • Geringer operativer Overhead: solange es wirklich nur wenige Verbindungen sind.
  • Gute Wahl für klare Paarbeziehungen: z. B. App-VPC ↔ Shared-DB-VPC, wenn es wenige bleibt.

Schwächen von VPC Peering

  • Skalierung als „Peering-Spaghetti“: viele VPCs bedeuten viele Peerings, viele Routen, viel Drift.
  • Keine Transitivität: komplexe Kommunikationsmuster erfordern zusätzliche Peerings.
  • CIDR-Overlaps sind ein Killer: überlappende IP-Bereiche verhindern oft Peering oder machen Routing unzuverlässig.
  • Governance wird schwierig: zentrale Durchsetzung von Egress- oder Inspection-Policies ist begrenzt.

Referenzen: AWS VPC Peering, Azure VNet Peering, Google Cloud VPC Network Peering.

Wie funktioniert ein Transit Gateway (und warum ist es anders)?

Ein Transit Gateway ist ein zentraler Router als Managed Service. Statt N×(N−1)/2 Peerings hängen Sie Ihre VPCs/VNets als „Attachments“ an einen Hub. Der Hub kann Routen zwischen allen angebundenen Netzen verteilen (transitiv). Zusätzlich lassen sich oft VPN/Private Links integrieren, was den Hub zur zentralen Drehscheibe für Hybrid-Connectivity und Shared Services macht.

Stärken von Transit Gateway

  • Transitives Routing: weniger „Mesh“-Komplexität, klarer Datenpfad.
  • Skalierbarkeit: viele Spokes lassen sich operational konsistenter anbinden.
  • Zentrale Steuerung: Routen, Segmentierung und manchmal Policies lassen sich zentral modellieren.
  • Hybrid-Integration: VPN/Direct Connect (oder Äquivalente) können zentral angebunden werden.

Schwächen von Transit Gateway

  • Kostenmodell: zentrale Hubs verursachen oft laufende Kosten pro Attachment und pro Datenmenge (providerabhängig).
  • Zentraler Impact: Fehlkonfigurationen am Hub betreffen potenziell viele Spokes (Blast Radius).
  • Komplexere Fehlersuche: Sie debuggen nicht mehr nur zwei VPCs, sondern Hub-Routen, Tabellen und Attachments.
  • Inspection bleibt Designarbeit: Ein Transit Gateway ist nicht automatisch eine Firewall; Security braucht zusätzliche Controls.

Referenzen: AWS Transit Gateway, Azure Virtual WAN, Google Cloud Network Connectivity Center.

Hub-and-Spoke als Architekturprinzip: Wann es Sinn ergibt

Hub-and-Spoke ist eine bewährte Topologie, wenn Sie zentrale Netzwerkfunktionen bündeln wollen: Egress-Kontrolle, zentrale Firewalls/Inspection, Shared Services, DNS, Observability, CI/CD, Bastion-Alternativen oder hybride Konnektivität. Spokes bleiben möglichst „clean“: Sie enthalten Workloads, minimale Routingregeln, klare Security Groups/NSGs und wenige Abhängigkeiten. Der Hub übernimmt die „Netzwerk-Infrastruktur“.

Typische Hub-Bausteine

  • Zentraler Egress: NAT/Egress Firewall, Proxy, DLP/Inspection.
  • Zentrale Ingress-Zone: WAF/CDN-Integration, API Gateway, Load Balancer.
  • Shared Services: Artifact-Repo, Logging/Monitoring, Secrets, DNS Resolver.
  • Hybrid: VPN/Direct Connect, On-Prem Routing, Identity-Anbindungen.

Warum Hub-and-Spoke Governance erleichtert

Je mehr Teams und Umgebungen Sie haben, desto wichtiger wird ein klarer Kontrollpunkt. Hub-and-Spoke ermöglicht, Egress- und Inspection-Policies zentral zu erzwingen, statt sie in jeder Spoke-VPC neu zu bauen. Das reduziert Drift und macht Audits einfacher – vorausgesetzt, Sie definieren klare Regeln: Welche Spokes dürfen miteinander sprechen? Welche Ziele dürfen ins Internet? Welche Protokolle sind erlaubt?

Direkter Vergleich: Entscheidungskriterien, die wirklich zählen

Die beste Auswahl hängt selten an „Performance“ allein, sondern an Skalierung, Betriebsmodell, Sicherheit und Organisationsstruktur. Die folgenden Kriterien sind in der Praxis am aussagekräftigsten.

Skalierung und Komplexität

  • VPC Peering: gut bis „klein-mittel“ (wenige VPCs, wenige Beziehungen). Wird schnell unübersichtlich, wenn viele Teams viele Abhängigkeiten haben.
  • Transit Gateway: skaliert deutlich besser für viele Netze und transitive Pfade.
  • Hub-and-Spoke: skaliert organisatorisch gut, weil es Muster erzwingt; technisch kann es Peering oder TGW nutzen.

Sicherheitsmodell und zentrale Kontrolle

  • Peering: Security bleibt stark dezentral (jede VPC regelt selbst). Zentraler Egress/Inspection ist möglich, aber schnell kompliziert.
  • Transit Gateway: erleichtert zentrale Segmentierung und kontrollierte Pfade, braucht aber weiterhin Security Controls (Firewalls, Policies).
  • Hub-and-Spoke: ideal, wenn Sie „Control Points“ (Egress, Inspection, Shared Services) zentralisieren wollen.

Fehlertoleranz und Blast Radius

  • Peering: Fehler betreffen meist die beteiligten zwei VPCs, Blast Radius ist oft kleiner.
  • Transit Gateway: Hub-Fehler können viele Spokes betreffen; gute Segmentierung und Change-Disziplin sind Pflicht.
  • Hub-and-Spoke: kann Blast Radius verkleinern (klare Segmente), kann ihn aber auch vergrößern, wenn der Hub überladen oder schlecht abgesichert ist.

Kosten und Betrieb

  • Peering: häufig günstig/überschaubar, aber Betriebskosten steigen indirekt durch Komplexität (Debugging, Drift, manuelle Pflege).
  • Transit Gateway: direkte Plattformkosten, dafür oft geringere operative Kosten bei Wachstum.
  • Hub-and-Spoke: Kosten hängen von Implementierung (TGW, vWAN, Appliances) und Traffic-Mustern ab; bietet aber klare Kostenzuordnung pro Spoke.

Typische Einsatzszenarien und „Best Fit“-Empfehlungen

Die folgende Zuordnung ist bewusst praxisnah. Sie ist keine starre Regel, aber sie deckt die häufigsten realen Situationen ab.

Wann VPC Peering am besten passt

  • Sie haben wenige VPCs/VNets (z. B. 2–5) und klare Paarbeziehungen.
  • Es gibt keinen Bedarf an transitivem Routing oder zentraler Inspection.
  • Die Kommunikation ist überschaubar und ändert sich selten.
  • Sie wollen eine direkte Verbindung ohne zusätzlichen Hub.

Wann Transit Gateway am besten passt

  • Sie haben viele VPCs/VNets, mehrere Teams und häufige Änderungen.
  • Sie brauchen transitive Konnektivität oder zentrale Hybrid-Anbindung.
  • Sie möchten Segmentierung und Routing zentral steuern.
  • Sie planen Wachstum in Regionen/Accounts/Subscriptions und wollen ein skalierbares Muster.

Wann Hub-and-Spoke am besten passt

  • Sie benötigen klare Control Points: Egress-Firewall, Proxy, zentrale WAF/Ingress-Zone, Shared DNS/Observability.
  • Sie wollen eine standardisierte Plattform, die Teams leicht konsumieren können.
  • Sie müssen Governance, Auditability und Change-Disziplin erzwingen.
  • Sie wollen den Blast Radius durch Segmente und definierte Pfade kontrollieren.

Failure Modes: Wie scheitern diese Modelle typischerweise?

Die häufigsten Produktionsprobleme entstehen nicht bei „Happy Path“-Demos, sondern bei Wachstum, Incident-Druck und Änderungen. Diese Failure Modes sollten Sie in der Entscheidung berücksichtigen.

Failure Modes bei Peering

  • Peering-Mesh wird unwartbar: zu viele Peerings und Routen; Änderungen werden riskant.
  • Route Drift: IaC und Klick-Änderungen laufen auseinander; effektive Routen sind nicht mehr nachvollziehbar.
  • CIDR-Overlaps blockieren Expansion: spätere Integration neuer VPCs scheitert an IP-Planung.
  • Intransitivität führt zu Workarounds: Teams bauen Schattenpfade (zusätzliche NATs/Proxies), die später schwer zu sichern sind.

Failure Modes bei Transit Gateway

  • Falsche Segmentierung: alles hängt „in einer großen Routing-Domäne“, laterale Bewegung wird zu leicht.
  • Hub-Routing-Fehler: eine falsche Route oder Propagation-Änderung kann viele Spokes betreffen.
  • Asymmetrisches Routing: Rückwege laufen anders als Hinwege, besonders mit Hybrid oder mehreren Hubs.
  • Unterschätzte Kosten: viel East-West-Traffic über den Hub kann Kosten erhöhen; Kostenkontrolle braucht Telemetrie.

Failure Modes bei Hub-and-Spoke

  • Hub wird zum Flaschenhals: zentrale Firewalls/Proxies/NATs sind unterdimensioniert oder schlecht skaliert.
  • Zu viel Zentralisierung: jede Kleinigkeit muss durch den Hub, Teams verlieren Autonomie, Änderungen stauen sich.
  • DNS/Shared Services als Single Point: wenn Shared DNS oder zentrale Resolver ausfallen, wirkt das wie ein großer Outage.
  • Policy-Komplexität: zu viele Ausnahmen in der Hub-Policy machen das Modell wieder unübersichtlich.

Entscheidungsframework: So wählen Sie das passende Modell

Statt „was ist am besten?“ ist die bessere Frage: „Was passt zu unserer Organisation und zu unserem Wachstum?“ Das folgende Framework reduziert die Entscheidung auf wenige, belastbare Fragen.

Frage 1: Wie viele Netze erwarten Sie in 12–24 Monaten?

  • Bis ca. 5: Peering ist oft ausreichend, wenn Beziehungen klar bleiben.
  • 10+: Transit Gateway oder Hub-and-Spoke wird meist sinnvoll, um Komplexität zu kontrollieren.

Frage 2: Benötigen Sie transitive Konnektivität oder zentrale Hybrid-Anbindung?

  • Nein: Peering kann reichen.
  • Ja: Transit Gateway oder Hub-and-Spoke ist meist die bessere Basis.

Frage 3: Gibt es Anforderungen an zentrale Inspection (Firewall/DLP/Proxy)?

  • Ja: Hub-and-Spoke mit klaren Egress/Ingress-Control-Points ist sehr häufig das richtige Muster.
  • Nein: Ein Transit Gateway kann trotzdem sinnvoll sein, wenn Skalierung und Governance wichtig sind.

Frage 4: Wie wichtig ist Team-Autonomie vs. zentrale Plattform?

  • Hohe Autonomie: Peering oder „light“ Hub-and-Spoke mit minimalen Guardrails.
  • Zentrale Plattform: Hub-and-Spoke, idealerweise mit standardisierten Spoke-Templates.

Frage 5: Ist Ihr IP-Plan sauber und nicht überlappend?

Wenn Ihr IP-Plan historisch gewachsen ist, entscheiden Sie nicht nur über Verbindungen, sondern über die Fähigkeit, überhaupt zu wachsen. Overlaps sind in fast allen Modellen problematisch, aber besonders hinderlich bei Peering und Transit. Ein zentraler IPAM-Ansatz (und konsequente CIDR-Governance) ist ein Erfolgsfaktor.

Praxis-Checkliste: Design, das in Produktion gut betreibbar ist

Unabhängig vom Modell steigt Ihre Betriebsqualität deutlich, wenn Sie einige Grundlagen konsistent umsetzen.

  • Segmentierung definieren: Welche Spokes dürfen miteinander sprechen? Welche sind strikt isoliert?
  • Standardpfade festlegen: Egress über zentralen Proxy/Firewall oder dezentral? Ingress über zentrale Zone?
  • DNS-Strategie dokumentieren: private Zonen, Resolver, Cross-Account/Project-Modelle.
  • Observability: Flow Logs, Route-Change-Auditing, zentrale Dashboards für Hub-Traffic.
  • Change-Prozess: Routing-Änderungen per IaC, Review, progressive Rollouts, Rollback.
  • Failure Drills: Ausfall einer Zone, Ausfall des Hubs, DNS-Regressionen testen.
  • Kostentransparenz: Traffic-Metriken nach Spoke und Ziel, damit „Hub-Kosten“ erklärbar sind.

Provider-Mapping: Wie sich die Konzepte in AWS, Azure und GCP wiederfinden

Auch wenn die Begriffe unterschiedlich sind, ist die Architektur vergleichbar. Das hilft, Entscheidungen cloud-übergreifend zu treffen.

  • AWS: VPC Peering, AWS Transit Gateway, Hub-and-Spoke häufig mit TGW + zentrale Egress/Inspection VPC. Referenz: AWS Transit Gateway
  • Azure: VNet Peering, Hub-and-Spoke als Standardmuster, häufig ergänzt durch Azure Virtual WAN oder zentrale Azure Firewall. Referenz: Azure Hub-Spoke Architektur
  • Google Cloud: VPC Peering, Network Connectivity Center als Hub für Connectivity, Private Service Connect für private Service-Anbindungen. Referenz: GCP Network Connectivity Center

Outbound-Links für vertiefende Informationen

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

  • Netzwerkdesign & Topologie-Planung

  • Router- & Switch-Konfiguration (Cisco IOS)

  • VLAN, Inter-VLAN Routing

  • OSPF, RIP, EIGRP (Grundlagen & Implementierung)

  • NAT, ACL, DHCP, DNS-Konfiguration

  • Troubleshooting & Netzwerkoptimierung

  • Packet Tracer Projektentwicklung & Dokumentation

  • CCNA Lern- & Praxisunterstützung

Lieferumfang:

  • Konfigurationsdateien

  • Packet-Tracer-Dateien (.pkt)

  • Netzwerkdokumentation

  • Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.

 

Related Articles

High-Availability Gateway (HSRP/VRRP) und Einfluss auf Path Selection

Multi-Path + Firewall State: Session-Probleme im Enterprise vermeiden

Routing Observability: Wichtige Syslog-Events, Telemetry und Alert-Design

NetFlow für Routing Insights: Top Prefixes, Top Talker und Path Utilization

Capacity Planning fürs Routing: Wann Scale Up/Out erforderlich ist

Routing Stability Scorecard: Operative KPIs fürs Network Team

Routing-Runbook fürs NOC: Struktur von Triage bis RCA

Troubleshooting „Ein Subnet nicht erreichbar“: Professionelle Step-by-Step-Methode

VRF Lite für Segmentierung: Enterprise Use Cases und operative Trade-offs

Troubleshooting „Branch kann pingen, App läuft nicht“: Routing vs. MTU vs. Policy

VRF für die Management Plane: Admin-Zugriff vom Produktionsverkehr trennen

Troubleshooting Asymmetric Path: Return-Route-Verifikation in Multi-Site-Setups