Cloud-Anbieter zur Auslagerung von virtuellen Maschinen in die Cloud wie Amazon AWS unterstützen keine Layer 2-Protokolle wie z. B. VRRP. Damit sind gängige Router-Redundanz-Konzepte nicht ohne weiteres möglich und müssen anders realisiert werden. Amazon AWS bietet stattdessen dazu eine API an, mit der Routen-Einträge im Failover-Fall auf einen sekundären Router umgeschaltet werden können.
Das Szenario ist wie folgt aufgebaut: Es existieren eine oder mehrere private virtuelle Maschinen (EC2-Instanzen). Zwei redundante vRouter haben ein privates Subnetz zu den virtuellen Maschinen und ein öffentliches Subnetz zum Internet. Beide vRouter besitzen je einen VPN-Tunnel zum Kundenstandort und ermöglichen so den Zugriff auf die privaten Maschinen. Ein vRouter ist primärer Router (aktiv), der zweite Router ist sekundär (passiv) und nur im Failover-Fall am aktiven Routing beteiligt. Eine EC2-Instanz kann immer nur einen Router als nächsten Hop im privaten Subnetz besitzen, der im Failover-Fall vom primären auf den sekundären vRouter per AWS-API in der AWS-Routingtabelle umgeschaltet wird. Ist der primäre vRouter wieder verfügbar, so wird wieder auf den primären Router zurückgeschaltet.
Die vRouter benötigen für den Zugriff auf die AWS-API eine AWS Identity and Access Management (IAM)-Rolle.
Um den Ausfall des primären Routers zu erkennen, wird ein VPN-Tunnel zwischen beiden vRoutern aufgebaut. Durch die Aktionstabelle im sekundären vRouter werden AWS-API-Kommandos gesendet, wenn erkannt wird, dass der VPN-Tunnel zum primären vRouter abgebaut wird bzw. aufgebaut wird. Der VPN-Tunnel dient nur zum Erkennen der Verfügbarkeit des primären Routers. Daten werden über diesen VPN-Tunnel nicht übertragen.
Für den Zugriff auf die AWS-API benötigt der vRouter Zugang zum Internet.
