Comparer les options de réseau AWS et Azure
Cet article compare les principaux services de mise en réseau qu'offrent Azure et Amazon Web Services (AWS).
Pour obtenir des liens vers des articles qui comparent d'autres services AWS et Azure, ainsi qu'un mappage complet des services entre AWS et Azure, consultez Azure pour les professionnels d'AWS.
Réseaux virtuels Azure et VPC AWS
Les réseaux virtuels Azure et les clouds privés virtuels (VPC) AWS sont similaires en ce sens qu'ils fournissent tous deux des espaces réseau isolés et logiquement définis au sein de leurs plateformes cloud respectives. Il existe toutefois des différences essentielles en termes d'architecture, de fonctionnalités et d'intégration.
- Placement de sous-réseaux. Les sous-réseaux AWS sont liés aux zones de disponibilité AWS, tandis que les sous-réseaux Azure sont spécifiques à une région, sans contrainte de zone de disponibilité. La conception d'Azure permet aux ressources de changer de zone de disponibilité sans changer d'adresse IP.
- Modèles de sécurité. AWS utilise à la fois des groupes de sécurité (avec état) et des listes de contrôle d'accès au réseau (sans état). Azure utilise des groupes de sécurité réseau (avec état).
- Peering. Azure et AWS prennent tous deux en charge l’appairage de réseaux virtuels (ou peering de réseaux virtuels) / VPC peering. Les deux technologies permettent un homologue plus complexe via le Virtual WAN d'Azure ou la passerelle de transit d'AWS.
VPN
AWS Site-to-Site VPN et Azure VPN Gateway sont toutes deux des solutions robustes pour la connexion des réseaux locaux au cloud. Elles offrent des fonctionnalités similaires, mais il y a une différence notable :
- Les performances. VPN Gateway offre un débit plus élevé pour certaines configurations (jusqu'à 10 Gb/s), alors que Site-to-Site VPN se situe généralement entre 1,25 Gb/s et 5 Gb/s par connexion (en utilisant ECMP).
Elastic Load Balancing, Azure Load Balancer et Azure Application Gateway
Les équivalents Azure des services Elastic Load Balancing sont :
- Load Balancer fournit les mêmes capacités de couche 4 du réseau que AWS Network Load Balancer, de sorte que vous pouvez distribuer le trafic pour plusieurs machines virtuelles au niveau du réseau. Il possède également une capacité de basculement.
- Application Gateway fournit un routage basé sur des règles au niveau de l'application, comparable à celui d'AWS Application Load Balancer.
Route 53, Azure DNS et Azure Traffic Manager
Dans AWS, Route 53 fournit un service de gestion du nom DNS et un service de routage et de basculement au niveau du DNS. Dans Azure, deux services s'occupent de ces tâches :
- Azure DNS effectue la gestion du DNS et du domaine.
- Traffic Manager fournit des fonctionnalités de routage du trafic au niveau DNS, d'équilibrage de la charge et de basculement.
AWS Direct Connect et Azure ExpressRoute
AWS Direct Connect permet de relier un réseau directement à AWS. Azure propose des connexions dédiées site à site similaires par le biais d'ExpressRoute. Vous pouvez utiliser ExpressRoute pour connecter votre réseau local directement aux ressources Azure à l’aide d’une connexion de réseau privé dédiée. Azure et AWS proposent tous deux des connexions VPN de site à site.
Tables de routage
AWS fournit des tables de routage contenant des routes qui dirigent le trafic d'un sous-réseau ou d'un sous-réseau de passerelle vers la destination. Dans Azure, la fonctionnalité correspondante est appelée routes définies par l'utilisateur (UDR).
Les itinéraires définis par l'utilisateur permettent de créer des itinéraires personnalisés ou définis par l'utilisateur (statiques). Ces itinéraires remplacent les itinéraires par défaut du système Azure. Vous pouvez également ajouter d'autres routes à la table de routage d'un sous-réseau.
Azure Private Link
La liaison privée est similaire à AWS PrivateLink. Azure Private Link fournit une connexion privée d'un réseau virtuel à une solution de plateforme Azure en tant que service (PaaS), à un service appartenant à un client ou à un service d'un partenaire Microsoft.
Le VPC peering et l’appairage de réseaux virtuels (ou peering de réseaux virtuels)
Dans AWS, une connexion d'appairage VPC est une connexion de mise en réseau entre deux VPC. Vous pouvez utiliser cette connexion pour acheminer le trafic entre les VPC en utilisant des adresses privées de protocole Internet version 4 (IPv4) ou des adresses de protocole Internet version 6 (IPv6).
Vous pouvez utiliser l'appairage de réseaux virtuels Azure pour connecter deux réseaux virtuels ou plus dans Azure. À des fins de connectivité, les réseaux virtuels apparaissent comme étant un réseau unique. Le trafic entre les machines virtuelles des réseaux virtuels appairés utilise l’infrastructure principale de Microsoft. À l'instar du trafic entre les machines virtuelles d'un même réseau, le trafic est acheminé uniquement via le réseau privé Microsoft.
Ni les réseaux virtuels ni les VPC ne permettent l'appairage transitif. Dans Azure, cependant, vous pouvez réaliser une mise en réseau transitive en utilisant des appliances virtuelles de réseau (NVA) ou des passerelles dans le réseau virtuel hub.
Comparaison des services réseau
| Domaine | Service AWS | Service Azure | Description |
|---|---|---|---|
| Réseau virtuel cloud | Réseau privé virtuel | Réseau virtuel | Ces services fournissent un environnement privé isolé dans le cloud. Vous avez le contrôle de votre environnement de mise en réseau virtuel, y compris la sélection de votre propre plage d'adresses IP, la création de sous-réseaux et la configuration des tables de routage et des passerelles réseau. Dans AWS, chaque sous-réseau doit résider dans une seule zone de disponibilité. Dans Azure, les sous-réseaux peuvent s'étendre sur plusieurs zones de disponibilité. |
| Passerelles NAT | Passerelles NAT AWS | Passerelle NAT Azure | Ces services simplifient la connexion Internet uniquement sortante pour les réseaux virtuels. Sur un sous-réseau, vous pouvez configurer toute la connexion sortante pour qu'elle utilise des adresses IP publiques statiques que vous spécifiez. Une connectivité sortante est possible sans équilibreur de charge ni adresses IP publiques directement attachées aux machines virtuelles. Les passerelles NAT AWS ne peuvent être associées qu'à une seule adresse IP publique. Les passerelles NAT Azure peuvent avoir plusieurs adresses IP publiques. |
| Connectivité intersite | VPN de site à site | Passerelle VPN | AWS Site-to-Site VPN et Azure VPN Gateway fournissent des connexions VPN fiables à sécurité renforcée, avec une haute disponibilité et une prise en charge des protocoles standard de l'industrie. Les principales différences résident dans leur intégration avec d'autres services cloud et dans des fonctionnalités spécifiques telles que les VPN basés sur les routes et les stratégies dans Azure. Le VPN d'AWS offre un débit maximal de 5 Gb/s, tandis que celui d'Azure peut atteindre 10 Gb/s. |
| Gestion du service DNS | Route 53 | Azure DNS | Azure DNS vous permet de gérer vos enregistrements DNS en utilisant les mêmes identifiants et le même contrat de facturation et d'assistance que pour vos autres services Azure. Les deux services prennent en charge le protocole DNSSEC. |
| Routage basé sur DNS | Route 53 | Traffic Manager | Ces services hébergent les noms de domaine, acheminent les utilisateurs vers les applications internet, connectent les requêtes des utilisateurs aux centres de données, gèrent le trafic vers les applications et améliorent la disponibilité des applications grâce au basculement automatique. |
| Réseau dédié | Connexion directe | ExpressRoute | Ces services établissent une connexion réseau dédiée et privée entre un site et le fournisseur de cloud (et non sur internet). |
| Équilibrage de la charge | Équilibreur de charge réseau | Équilibreur de charge | Azure Load Balancer équilibre la charge du trafic au niveau de la couche 4 (TCP ou UDP). Standard Load Balancer prend également en charge l’équilibrage de charge interrégional ou mondial. |
| Équilibrage de charge au niveau de l’application | Application Load Balancer | Application Gateway | Application Gateway est un équilibreur de charge de couche 7. Il prend en charge la terminaison SSL, l’affinité de session basée sur les cookies et le tourniquet (round robin) pour le trafic d’équilibrage de charge. Ils offrent également des fonctionnalités de routage et de sécurité multi-sites. |
| Tables de routage | Tables de routage personnalisées | Itinéraires définis par l’utilisateur | Ces tables fournissent des itinéraires personnalisés ou définis par l'utilisateur (statiques) pour remplacer les itinéraires système par défaut, ou pour ajouter d'autres itinéraires à la table d'itinéraires d'un sous-réseau. |
| Liaison privée | PrivateLink | Azure Private Link | Azure Private Link fournit un accès privé à des services hébergés sur la plateforme Azure. Ceci permet de conserver vos données sur le réseau Microsoft. |
| Connectivité PaaS privée | Points de terminaison VPC | Point de terminaison privé | Le point de terminaison privé fournit une connectivité privée sécurisée aux différentes ressources PaaS (platform as a service) Azure, sur un réseau privé Microsoft principal. |
| Peering de réseau virtuel | Appairage de réseau privé virtuel | Appairage de réseaux virtuels (ou peering de réseaux virtuels) | VNET Peering est un mécanisme permettant de connecter deux réseaux virtuels situés dans la même région via le réseau principal Azure. Après appairage, les deux réseaux virtuels apparaissent comme un seul pour toutes les exigences de connectivité. |
| Réseaux de distribution de contenu | CloudFront | Front Door | Azure Front Door est un service cloud moderne de réseau de distribution de contenu (CDN) qui offre des performances élevées, une scalabilité et des expériences utilisateur sécurisées pour le contenu web et les applications. |
| Analyse du réseau | Journaux de flux VPC | Azure Network Watcher | Azure Network Watcher vous permet de surveiller, de diagnostiquer et d’analyser le trafic dans le Réseau virtuel Azure. |
| Peering de réseau virtuel | Passerelles de transit AWS | Azure Virtual WAN | Ces services simplifient et améliorent la connexion réseau dans plusieurs environnements afin de prendre en charge des architectures réseau évolutives et flexibles. Virtual WAN s'intègre au pare-feu Azure et à la protection DDoS Azure pour offrir des fonctionnalités de sécurité supplémentaires. Les passerelles de transit AWS s'appuient sur les services de sécurité AWS tels que AWS Shield et AWS WAF. Virtual WAN est conçu pour une connexion mondiale, il est donc plus facile de connecter les succursales et les utilisateurs distants dans le monde entier. Les passerelles de transit AWS prennent en charge 100 préfixes BGP par connexion privée. L'appairage privé du réseau étendu virtuel prend en charge 1 000 préfixes BGP. |
| Réseau virtuel cloud | Accélérateur mondial AWS | Azure Traffic Manager | Ces services améliorent la disponibilité et les performances de vos applications grâce au routage global et à la gestion du trafic. |
| Connectivité intersite | Passerelles AWS Direct Connect | Azure ExpressRoute Global Reach | Ces services étendent vos mises en réseau locales au cloud avec des connexions privées dédiées qui s'étendent sur plusieurs régions. |
| Mise en réseau au niveau des applications | AWS App Mesh | Azure Service Fabric | Ces services fournissent une mise en réseau au niveau de l'application pour gérer les microservices, notamment la découverte de services, l'équilibrage de la charge et la mise en réseau du trafic. |
| Détection du service | AWS Cloud Map | Azure Private DNS | Ces services fournissent la détection de services pour les ressources cloud. Ils vous permettent d'enregistrer les ressources des applications et de mettre à jour dynamiquement leurs emplacements. |
Architectures de mise en réseau
| Architecture | Description |
|---|---|
| Déployer des appliances virtuelles réseau à haute disponibilité | Découvrez comment déployer des appliances virtuelles réseau à des fins de haute disponibilité dans Azure. Cet article inclut des exemples d’architecture pour l’entrée, la sortie et les deux. |
| Topologie réseau hub-and-spoke dans Azure | Découvrez comment implémenter une topologie hub-and-spoke dans Azure au sein de laquelle le hub est un réseau virtuel et les spokes des réseaux virtuels appairés avec le hub. |
| Implémenter un réseau hybride sécurisé | Découvrez un réseau hybride sécurisé qui étend un réseau local à Azure avec un réseau de périmètre entre le réseau local et un réseau virtuel Azure. |
Voir toutes les architectures de mise en réseau.
Contributeurs
Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.
Auteur principal :
- Konstantin Rekatas | Architecte principal de solutions cloud
Autre contributeur :
- Adam Cerini, directeur, stratège technologique des partenaires
Pour voir les profils LinkedIn non publics, connectez-vous à LinkedIn.
Étapes suivantes
- Créer un réseau virtuel au moyen du portail Azure
- Planifier et concevoir des réseaux virtuels Azure
- Meilleures pratiques en matière de sécurité du réseau Azure