Netzwerkoptionen von AWS und Azure im Vergleich
In diesem Artikel werden die wichtigsten Netzwerkdienste verglichen, die Azure und Amazon Web Services (AWS) anbieten.
Links zu Artikeln, die andere AWS- und Azure-Dienste vergleichen und eine vollständige Servicezuordnung zwischen AWS und Azure herstellen, finden Sie unter Azure für AWS-Experten.
Virtuelle Azure-Netzwerke und AWS-VPCs
Azure-Virtualnetzwerke und AWS-Virtual Private Clouds (VPCs) sind insofern ähnlich, als sie beide isolierte, logisch definierte Netzwerkbereiche innerhalb ihrer jeweiligen Cloud-Plattformen bereitstellen. Es gibt jedoch wichtige Unterschiede in Bezug auf Architektur, Features und Integration.
- Platzierung von Subnetzen. AWS-Subnetze sind an AWS-Verfügbarkeitszonen gebunden, während Azure-Subnetze regionsspezifisch ohne Verfügbarkeitszoneneinschränkungen sind. Mit dem Azure-Design können Ressourcen Verfügbarkeitszonen wechseln, ohne IP-Adressen zu ändern.
- Sicherheitsmodelle. AWS verwendet sowohl Sicherheitsgruppen (zustandsbehaftet) als auch Zugriffssteuerungslisten für Netzwerke (zustandslos). Azure verwendet Netzwerksicherheitsgruppen (zustandsbehaftet).
- Peering. Sowohl Azure als auch AWS unterstützen virtuelles Netzwerk/VPC-Peering. Beide Technologien ermöglichen komplexeres Peering über Azure Virtual WAN oder AWS Transit Gateway.
VPN
Sowohl AWS Site-to-Site VPN als auch Azure VPN Gateway sind robuste Lösungen für die Verbindung lokaler Netzwerke mit der Cloud. Sie bieten ähnliche Features, aber es gibt einen wichtigen Unterschied:
- Leistung. Das VPN Gateway bietet für bestimmte Konfigurationen einen höheren Durchsatz (bis zu 10 GBit/s), während der Durchsatz bei Site-to-Site-VPN in der Regel zwischen 1,25 GBit/s und 5 GBit/s pro Verbindung (mit ECMP) liegt.
Elastischer Lastenausgleich, Azure Load Balancer und Azure Application Gateway
Die Azure-Entsprechungen der Elastic Load Balancing-Dienste sind:
- Load Balancer bietet die gleichen Netzwerkschicht 4-Funktionen wie der AWS Network Load Balancer, sodass Sie Datenverkehr für mehrere VMs auf Netzwerkebene verteilen können. Zudem werden Failoverfunktionen bereitgestellt.
- Application Gateway bietet regelbasiertes Routing auf Anwendungsebene, das mit dem des AWS Application Load Balancer vergleichbar ist.
Route 53, Azure DNS und Azure Traffic Manager
In AWS bietet Route 53 Funktionen zur Verwaltung von DNS-Namen sowie Datenverkehrrouting und Failoverdienste auf DNS-Ebene. In Azure behandeln zwei Dienste diese Aufgaben:
- Azure DNS bietet Domänen- und DNS-Verwaltung.
- Traffic Manager bietet Datenverkehrsrouting, Lastenausgleich und Failoverfunktionen auf DNS-Ebene.
AWS Direct Connect und Azure ExpressRoute
AWS Direct Connect kann ein Netzwerk direkt mit AWS verknüpfen. Azure bietet ähnliche dedizierte Standort-zu-Standort-Verbindungen über ExpressRoute. Sie können ExpressRoute verwenden, um Ihr lokales Netzwerk direkt mit Azure-Ressourcen zu verbinden, indem Sie eine dedizierte private Netzwerkverbindung verwenden. Sowohl Azure als auch AWS bieten Standort-zu-Standort-VPN-Verbindungen.
Routentabellen
AWS stellt Routentabellen bereit, die Routen enthalten, die den Datenverkehr von einem Subnetz oder Gateway-Subnetz an das Ziel leiten. In Azure wird das entsprechende Feature als benutzerdefinierte Routen (USER-Defined Routes, UDRs) bezeichnet.
Mit benutzerdefinierten Routen können Sie eigene oder statische Routen erstellen. Diese Routen setzen die standardmäßigen Azure-Systemrouten außer Kraft. Sie können auch weitere Routen zur Routentabelle eines Subnetzs hinzufügen.
Azure Private Link
Private Link ähnelt AWS PrivateLink. Azure Private Link bietet private Konnektivität von einem virtuellen Netzwerk zu einer Azure-Plattform als Dienstlösung (PaaS), einem kundeneigenen Dienst oder einem Microsoft-Partnerdienst.
VPC-Peering und Peering virtueller Netzwerke
In AWS ist eine Peering-Verbindung eine Netzwerkverbindung zwischen zwei VPCs. Sie können diese Verbindung verwenden, um den Datenverkehr zwischen den VPCs weiterzuleiten, indem Sie private Internetprotokoll-Version 4 (IPv4)-Adressen oder IPv6-Adressen (Internet Protocol Version 6) verwenden.
Sie können Azure Virtual Network Peering verwenden, um zwei oder mehr virtuelle Netzwerke in Azure zu verbinden. Zu Verbindungszwecken werden die virtuellen Netzwerke als eines angezeigt. Der Datenverkehr zwischen virtuellen Computern in virtuellen Netzwerken mit Peering erfolgt über die Microsoft-Backboneinfrastruktur. Wie der Datenverkehr zwischen virtuellen Computern in einem einzigen Netzwerk wird der Datenverkehr nur über das private Microsoft-Netzwerk weitergeleitet.
Virtuelle Netzwerke und VPCs ermöglichen kein transitives Peering. In Azure können Sie jedoch transitive Netzwerke erreichen, indem Sie virtuelle Netzwerkgeräte (Network Virtual Appliances, NVAs) oder Gateways im virtuellen Hubnetzwerk verwenden.
Vergleich der Netzwerkdienste
| Bereich | AWS-Dienst | Azure-Dienst | BESCHREIBUNG |
|---|---|---|---|
| Virtuelle Cloudnetzwerke | Virtual Private Cloud (VPC) | Virtual Network | Diese Dienste stellen eine isolierte private Umgebung in der Cloud bereit. Sie haben die Kontrolle über Ihre virtuelle Netzwerkumgebung, einschließlich der Auswahl Ihres eigenen IP-Adressbereichs, der Erstellung von Subnetzen und der Konfiguration von Routingtabellen und Netzwerkgateways. In AWS muss sich jedes Subnetz in einer Verfügbarkeitszone befinden. In Azure können Subnetze mehrere Verfügbarkeitszonen umfassen. |
| NAT-Gateways | AWS NAT-Gateways | Azure NAT Gateway | Diese Dienste vereinfachen die ausschließlich ausgehende Internetverbindung für virtuelle Netzwerke. In einem Subnetz können Sie alle ausgehenden Verbindungen so konfigurieren, dass statische öffentliche IP-Adressen verwendet werden, die Sie angeben. Ausgehende Konnektivität ist ohne Lastenausgleich oder öffentliche IP-Adressen möglich, die direkt virtuellen Computern zugeordnet sind. AWS NAT-Gateways können nur einer einzelnen öffentlichen IP zugeordnet werden. Azure NAT-Gateways können mehrere öffentliche IPs haben. |
| Standortübergreifende Konnektivität | Standort-zu-Standort-VPN | VPN Gateway | AWS Site-to-Site VPN und Azure VPN Gateway bieten erweiterte Sicherheit, zuverlässige VPN-Verbindungen mit hoher Verfügbarkeit und Unterstützung für Branchenstandardprotokolle. Die wichtigsten Unterschiede sind die Integration in andere Clouddienste und spezifische Features wie routenbasierte und richtlinienbasierte VPNs in Azure. AWS VPN bietet einen maximalen Durchsatz von 5 GBit/s, während Azure bis zu 10 GBit/s bereitstellt. |
| DNS-Verwaltung | Route 53 | Azure DNS | Mit Azure DNS können Sie Ihre DNS-Einträge mit denselben Anmeldeinformationen und den gleichen Abrechnungs- und Supportvertrag verwalten, den Sie für Ihre anderen Azure-Dienste verwenden. Beide Dienste unterstützen DNSSEC. |
| DNS-basiertes Routing | Route 53 | Traffic Manager | Diese Dienste hosten Domänennamen, leiten Benutzer an Internetanwendungen weiter, verbinden Benutzeranforderungen mit Rechenzentren, verwalten den Datenverkehr zu Apps und verbessern die App-Verfügbarkeit mit automatischem Failover. |
| Dediziertes Netzwerk | Direct Connect | ExpressRoute | Diese Dienste richten eine dedizierte private Netzwerkverbindung von einem Standort zum Cloudanbieter (nicht über das Internet) ein. |
| Lastenausgleich | Network Load Balancer | Load Balancer | Azure Load Balancer nimmt einen Lastausgleich des Datenverkehrs auf Schicht 4 (TCP/UDP) vor. Load Balancer Standard unterstützt auch den regionsübergreifenden oder globalen Lastausgleich. |
| Lastenausgleich auf Anwendungsebene | Lastenausgleich für die Anwendung | Application Gateway | Application Gateway ist ein Lastenausgleich auf Schicht 7 (Anwendungsschicht). Er unterstützt SSL-Beendigung, cookiebasierte Sitzungsaffinität und Roundrobin für den Lastenausgleich von Datenverkehr. Es bietet außerdem Standortübergreifendes Routing und Sicherheitsfunktionen. |
| Routentabellen | Benutzerdefinierte Routingtabellen | Benutzerdefinierte Routen | Diese Tabellen bieten benutzerdefinierte (statische) Routen, um Standardrouten des Systems außer Kraft zu setzen oder weitere Routen zur Routentabelle eines Subnetzes hinzuzufügen. |
| Private Link | PrivateLink | Azure Private Link | Azure Private Link bietet privaten Zugriff auf Dienste, die auf der Azure-Plattform gehostet werden. Dadurch bleiben Ihre Daten im Microsoft-Netzwerk. |
| Private PaaS-Konnektivität | VPC-Endpunkte | Privater Endpunkt | Der private Endpunkt bietet über ein privates Microsoft-Backbonenetzwerk sichere private Konnektivität mit verschiedenen PaaS-Ressourcen (Platform-as-a-Service). |
| Peering in virtuellen Netzwerken | VPC-Peering | Peering virtueller Netzwerke | Virtuelles Netzwerk-Peering ist ein Mechanismus, der zwei virtuelle Netzwerke in derselben Region über das Azure-Backbone-Netzwerk verbindet. Nach dem Peering werden die beiden virtuellen Netzwerke für alle Verbindungszwecke als einzelnes Element angezeigt. |
| Content Delivery Networks | CloudFront | Front Door | Azure Front Door ist ein modernes Netzwerk für die Bereitstellung von Inhalten (Cloud Delivery Network, CDN) in Clouds, das hohe Leistung, Skalierbarkeit und sichere Benutzeroberflächen für Inhalte und Anwendungen bereitstellt. |
| Netzwerküberwachung | VPC Flow Logs | Azure Network Watcher | Azure Network Watcher ermöglicht die Überwachung, Diagnose und Analyse des Datenverkehrs in Azure Virtual Network. |
| Peering in virtuellen Netzwerken | AWS-Transitgateways | Azure Virtual WAN | Diese Dienste vereinfachen und verbessern die Netzwerkkonnektivität in mehreren Umgebungen, um skalierbare und flexible Netzwerkarchitekturen zu unterstützen. Virtual WAN ist in Azure Firewall und Azure DDoS Protection integriert, um zusätzliche Sicherheitsfeatures bereitzustellen. AWS-Transitgateways basieren auf AWS-Sicherheitsdiensten wie AWS Shield und AWS WAF. Virtual WAN ist für die globale Konnektivität konzipiert, sodass es einfacher ist, Zweigstellen und Remotebenutzer weltweit zu verbinden. AWS-Transitgateways unterstützen 100 BGP-Präfixe pro private Verbindung. Virtuelles WAN-Private Peering unterstützt 1.000 BGP-Präfixen. |
| Virtuelle Cloudnetzwerke | AWS Global Accelerator | Azure Traffic Manager | Diese Dienste verbessern die Verfügbarkeit und Leistung Ihrer Anwendungen mit globaler Routing- und Datenverkehrsverwaltung. |
| Standortübergreifende Konnektivität | AWS Direct Connect-Gateways | Azure ExpressRoute Global Reach | Diese Dienste erweitern Ihre lokalen Netzwerke auf die Cloud mit dedizierten privaten Verbindungen, die sich über mehrere Regionen erstrecken. |
| Netzwerk auf Anwendungsebene | AWS App Mesh | Azure Service Fabric | Diese Dienste bieten Netzwerke auf Anwendungsebene zum Verwalten von Microservices wie Dienstermittlung, Lastenausgleich und Routing von Datenverkehr. |
| Dienstermittlung | AWS Cloud Map | Privates Azure-DNS | Diese Dienste bieten die Dienstermittlung für Cloud-Ressourcen. Sie ermöglichen es Ihnen, Anwendungsressourcen zu registrieren und ihre Speicherorte dynamisch zu aktualisieren. |
Netzwerkarchitekturen
| Aufbau | BESCHREIBUNG |
|---|---|
| Bereitstellen hochverfügbarer virtueller Netzwerkgeräte | Erfahren Sie, wie Sie virtuelle Netzwerkgeräte für Hochverfügbarkeit in Azure bereitstellen. Dieser Artikel enthält Beispielarchitekturen für eingehenden, ausgehenden sowie ein- und ausgehenden Datenverkehr. |
| Hub-Spoke-Netzwerktopologie in Azure | Erfahren Sie, wie Sie eine Hub-Spoke-Topologie in Azure implementieren, wobei der Hub ein virtuelles Netzwerk ist und es sich bei den Spokes um virtuelle Netzwerke handelt, die eine Peeringverbindung mit dem Hub herstellen. |
| Implementieren eines sicheren Hybridnetzwerks | Sehen Sie sich ein sicheres Hybridnetzwerk, das ein lokales Netzwerk nach Azure erweitert, mit einem Umkreisnetzwerk zwischen dem lokalen Netzwerk und einem virtuellen Azure-Netzwerk an. |
Alle Netzwerkarchitekturen anzeigen.
Beitragende
Dieser Artikel wird von Microsoft verwaltet. Sie wurde ursprünglich von den folgenden Mitwirkenden verfasst.
Hauptautor:
- Konstantin Rekatas | Principal Cloud Solution Architect
Andere Mitwirkende:
- Adam Cerini | Direktor, Partnertechnologie-Stratege
Um nicht öffentliche LinkedIn-Profile anzuzeigen, melden Sie sich bei LinkedIn an.
Nächste Schritte
- Erstellen eines virtuellen Netzwerks im Azure-Portal
- Planen und Entwerfen virtueller Azure-Netzwerke
- bewährte Methoden für die Azure-Netzwerksicherheit