Comparación de las opciones de red de AWS y Azure
En este artículo se comparan los servicios de redes principales que ofrecen Microsoft Azure y Amazon Web Services (AWS).
Para obtener vínculos a artículos que comparan otros servicios de AWS y Azure y una asignación completa de servicios entre AWS y Azure, consulte Azure para profesionales de AWS.
Redes virtuales de Azure y VPC de AWS
Las redes virtuales de Azure y las nubes privadas virtuales (VPC) de AWS son similares en que ambas proporcionan espacios de red aislados definidos lógicamente dentro de sus respectivas plataformas en la nube. Sin embargo, hay diferencias clave en términos de arquitectura, características e integración.
- Ubicación de subred. Las subredes de AWS están vinculadas a AWS Availability Zones, mientras que las subredes de Azure son específicas de la región sin restricciones de zona de disponibilidad. El diseño de Azure permite a los recursos cambiar las zonas de disponibilidad sin cambiar las direcciones IP.
- Modelos de seguridad. AWS usa los grupos de seguridad (con estado) y las listas de control de acceso a la red (sin estado). Azure usa grupos de seguridad de red (con estado).
- Emparejamiento. Tanto Azure como AWS admiten el emparejamiento de red virtual o VPC. Ambas tecnologías permiten el emparejamiento más complejo a través de Azure Virtual WAN o AWS Transit Gateway.
VPN
Tanto VPN de sitio a sitio de AWS como Azure VPN Gateway son soluciones sólidas para conectar redes locales a la nube. Proporcionan características similares, pero hay una diferencia notable:
- Rendimiento. VPN Gateway ofrece un mayor rendimiento para determinadas configuraciones (hasta 10 Gbps), mientras que la VPN de sitio a sitio suele oscilar entre 1,25 Gbps y 5 Gbps por conexión (mediante ECMP).
Elastic Load Balancing, Azure Load Balancer y Azure Application Gateway
Los equivalentes de Azure de los servicios Elastic Load Balancing son:
- Load Balancer proporciona las mismas funcionalidades de la capa 4 de red que Network Load Balancer de AWS, lo que permite distribuir el tráfico de varias máquinas virtuales en el nivel de red. También proporciona funcionalidad de conmutación por error.
- Application Gateway ofrece un enrutamiento basado en reglas de nivel de aplicación similar al de Application Load Balancer de AWS.
Route 53, Azure DNS y Azure Traffic Manager
En AWS, Route 53 proporciona servicios de administración de nombres DNS, enrutamiento del tráfico y conmutación por error. En Azure, dos servicios controlan estas tareas:
- Azure DNS: proporciona administración de dominios y DNS.
- Traffic Manager proporciona capacidades de enrutamiento de tráfico a nivel DNS, equilibrio de carga y tolerancia a fallos.
AWS Direct Connect y Azure ExpressRoute
AWS Direct Connect puede vincular una red directamente a AWS. Azure proporciona conexiones dedicadas de sitio a sitio parecidas mediante ExpressRoute. ExpressRoute le permite conectar su red local directamente a recursos de Azure mediante una conexión de red privada dedicada. Tanto Azure como AWS ofrecen conexiones VPN de sitio a sitio.
Tablas de ruta
AWS proporciona tablas de rutas que contienen rutas para dirigir el tráfico desde una subred o subred de puerta de enlace al destino. En Azure, la característica correspondiente se denomina rutas definidas por el usuario (UDR).
Con las rutas definidas por el usuario, puede crear rutas personalizadas o definidas por el usuario (estáticas). Estas rutas invalidan las rutas predeterminadas del sistema de Azure. También puede agregar más rutas a la tabla de rutas de una subred.
Azure Private Link
Private Link es similar a AWS PrivateLink. Azure Private Link proporciona conectividad privada desde una red virtual a una solución de plataforma como servicio (PaaS) de Azure, un servicio propiedad del cliente o un servicio de partners de Microsoft.
Emparejamiento de VPC y emparejamiento de red virtual
En AWS, una conexión de emparejamiento de VPC es una conexión de red entre dos VPC. Puede usar esta conexión para enrutar el tráfico entre las VPC mediante direcciones del Protocolo de Internet privado versión 4 (IPv4) o direcciones del Protocolo de Internet versión 6 (IPv6).
Puede usar el emparejamiento de red virtual de Azure para conectar dos o más redes virtuales en Azure. En lo que respecta a la conectividad, las redes virtuales aparecen como una sola. El tráfico entre las máquinas virtuales de la red virtual emparejada usa la infraestructura de la red troncal de Microsoft. Al igual que el tráfico entre las máquinas virtuales de una única red, el tráfico solo se enruta a través de la red privada de Microsoft.
Ni las redes virtuales ni las VPC permiten el emparejamiento transitivo. Sin embargo, en Azure, puede lograr redes transitivas usando aplicaciones de red virtual (NVAs) o gateways en la red virtual del concentrador.
Comparación de servicios de red
| Área | Servicio de AWS | Servicio de Azure | Descripción |
|---|---|---|---|
| Redes virtuales en la nube | Virtual Private Cloud (VPC) | Virtual Network | Estos servicios proporcionan un entorno privado aislado en la nube. Puede controlar su entorno de red virtual, incluso la selección de su propio intervalo de direcciones IP, la creación de subredes y la configuración de tablas de enrutamiento y puertas de enlace de red. En AWS, cada subred debe residir en una zona de disponibilidad. En Azure, las subredes pueden abarcar varias zonas de disponibilidad. |
| Puertas de enlace NAT | Instancias de AWS NAT Gateway | Azure NAT Gateway | Estos servicios simplifican la conectividad de Internet solo de salida de las redes virtuales. En una subred, puede configurar toda la conectividad saliente para usar direcciones IP públicas estáticas que especifique. La conectividad saliente es posible sin que el equilibrador de carga ni las direcciones IP públicas estén conectados directamente a máquinas virtuales. Las NAT Gateway de AWS solo se pueden asociar a una única dirección IP pública. Las NAT Gateway de Azure pueden tener varias direcciones IP públicas. |
| Conectividad entre implementaciones locales | VPN de sitio a sitio | VPN Gateway | VPN de sitio a sitio de AWS y Azure VPN Gateway proporcionan conexiones VPN de seguridad mejorada y confiables con alta disponibilidad y compatibilidad con protocolos estándar del sector. Las principales diferencias se encuentran en su integración con otros servicios en la nube y en características específicas, como VPN basadas en rutas y basadas en directivas en Azure. VPN de AWS proporciona un máximo de 5 Gbps de rendimiento, mientras que Azure proporciona hasta 10 Gbps. |
| Administración de DNS | Route 53 | DNS de Azure | Azure DNS le permite administrar los registros DNS mediante las mismas credenciales y el mismo contrato de facturación y soporte técnico que usa para otros servicios de Azure. Ambos servicios admiten DNSSEC. |
| Enrutamiento basado en DNS | Route 53 | Traffic Manager | Estos servicios hospedan nombres de dominio, dirigen a los usuarios a aplicaciones de Internet, conectan solicitudes de los usuarios a centros de datos, administran el tráfico a las aplicaciones y mejoran la disponibilidad de las aplicaciones con conmutación por error automática. |
| Red dedicada | Direct Connect | ExpressRoute | Estos servicios establecen una conexión de red privada dedicada entre una ubicación y el proveedor de servicios en la nube (no a través de Internet). |
| Equilibrio de carga | Equilibrador de carga de red | Equilibrador de carga | Azure Load Balancer equilibra la carga de tráfico en la capa 4 (TCP o UDP). Standard Load Balancer también admite el equilibrio de carga entre regiones o global. |
| Equilibrio de carga en el nivel de aplicación | Equilibrador de carga de aplicaciones | Application Gateway | Application Gateway es un equilibrador de carga de nivel 7. Admite la terminación SSL, la afinidad de sesión basada en cookies y la distribución round robin para el tráfico de equilibrio de carga. También proporciona funciones de enrutamiento de varios sitios y seguridad. |
| Tablas de ruta | Tablas de rutas personalizadas | Rutas definidas por el usuario | Estas tablas proporcionan rutas personalizadas o definidas por el usuario (estáticas) para reemplazar las rutas del sistema predeterminadas o agregar más rutas a una tabla de rutas de una subred. |
| Private Link | PrivateLink | Azure Private Link | Azure Private Link proporciona acceso privado a los servicios hospedados en la plataforma Azure. Esto mantiene los datos en la red de Microsoft. |
| Conectividad privada de PaaS | Puntos de conexión de VPC | Punto de conexión privado | El punto de conexión privado proporciona conectividad privada y segura a varios recursos de plataforma como servicio (PaaS) de Azure mediante una red privada de Microsoft troncal. |
| Emparejamiento de redes virtuales | Emparejamiento de VPC | Emparejamiento de red virtual | el emparejamiento de red virtual es un mecanismo que conecta dos redes virtuales de la misma región mediante la red troncal de Azure. Una vez emparejadas, las dos redes virtuales aparecen como una sola a efectos de conectividad. |
| Redes de entrega de contenido | CloudFront | Front Door | Azure Front Door es un servicio moderno de red de entrega de contenido en la nube (CDN) que ofrece un alto rendimiento, escalabilidad y experiencias de usuario seguras para el contenido web y las aplicaciones. |
| Supervisión de redes | Registros de flujo de VPC | Azure Network Watcher | Azure Network Watcher permite supervisar, diagnosticar y analizar el tráfico en Azure Virtual Network. |
| Emparejamiento de redes virtuales | Puertas de enlace de tránsito de AWS | Azure Virtual WAN | Estos servicios simplifican y mejoran la conectividad de red en varios entornos para admitir arquitecturas de red escalables y flexibles. Virtual WAN se integra con Azure Firewall y Azure DDoS Protection para proporcionar características de seguridad adicionales. Las puertas de enlace de tránsito de AWS dependen de servicios de seguridad de AWS como AWS Shield y AWS WAF. Virtual WAN está diseñado para la conectividad global, por lo que es más fácil conectar sucursales y usuarios remotos en todo el mundo. Las puertas de enlace de tránsito de AWS admiten 100 prefijos BGP por conexión privada. El emparejamiento privado de Virtual WAN admite 1000 prefijos BGP. |
| Redes virtuales en la nube | AWS Global Accelerator | Azure Traffic Manager | Estos servicios mejoran la disponibilidad y el rendimiento de las aplicaciones con enrutamiento global y administración del tráfico. |
| Conectividad entre implementaciones locales | Puertas de enlace de AWS Direct Connect | Azure ExpressRoute Global Reach | Estos servicios amplían las redes locales a la nube con conexiones privadas dedicadas que abarcan varias regiones. |
| Redes de nivel de aplicación | AWS App Mesh | Azure Service Fabric | Estos servicios proporcionan redes de nivel de aplicación para administrar microservicios, incluida la detección de servicios, el equilibrio de carga y el enrutamiento del tráfico. |
| Detección de servicios | AWS Cloud Map | DNS privado de Azure | Estos servicios proporcionan detección de servicios para los recursos en la nube. Permiten registrar recursos de aplicación y actualizar dinámicamente sus ubicaciones. |
Arquitecturas de red
| Arquitectura | Descripción |
|---|---|
| Implementación de NVA de alta disponibilidad | Aprenda a implementar aplicaciones virtuales de red de alta disponibilidad en Azure. Este artículo incluye arquitecturas de ejemplo de entrada, salida y de entrada y salida. |
| Topología de red en estrella tipo hub-and-spoke en Azure | Obtenga información sobre cómo implementar una topología en estrella tipo hub-and-spoke en Azure, donde el centro es una red virtual y los radios son redes virtuales que se emparejan con el centro. |
| Implementación de una red híbrida segura | Vea una red híbrida segura que extiende una red local a Azure con una red perimetral entre la red local y una red virtual de Azure. |
Vea todas las arquitecturas de red.
Colaboradores
Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.
Autor principal:
- Konstantin Rekatas | Arquitecto principal de soluciones en la nube
Otro colaborador:
- Adam Cerini | Director y creador de estrategias de tecnología de asociados
Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.
Pasos siguientes
- Creación de una red virtual mediante Azure Portal
- Planificación y diseño de redes virtuales de Azure
- Procedimientos recomendados de seguridad de red de Azure