Confrontare le opzioni di rete di AWS e Azure
Questo articolo confronta i servizi di rete principali offerti da Azure e Amazon Web Services (AWS).
Per collegamenti ad articoli che confrontano altri servizi AWS e Azure e un mapping completo dei servizi tra AWS e Azure, vedere Azure per i professionisti AWS.
Reti virtuali di Azure e VPN AWS
Le reti virtuali di Azure e i cloud privati virtuali AWS sono simili in quanto entrambi forniscono spazi di rete isolati e definiti logicamente nelle rispettive piattaforme cloud. Esistono tuttavia differenze principali in termini di architettura, funzionalità e integrazione.
- Posizionamento della subnet. Le subnet AWS sono associate alle zone di disponibilità AWS, mentre le subnet di Azure sono specifiche dell'area senza vincoli di zona di disponibilità. La progettazione di Azure consente alle risorse di cambiare le zone di disponibilità senza modificare gli indirizzi IP.
- Modelli di sicurezza. AWS usa sia i gruppi di sicurezza (con stato) che gli elenchi di controllo di accesso alla rete (senza stato). Azure usa i gruppi di sicurezza di rete (con stato).
- Collegamento diretto. Sia Azure che AWS supportano il peering di rete virtuale/VPC. Entrambe le tecnologie consentono un peering più complesso tramite la rete WAN virtuale di Azure o il gateway di transito AWS.
VPN
Sia LA VPN da sito a sito AWS che il gateway VPN di Azure sono soluzioni affidabili per la connessione di reti locali al cloud. Offrono funzionalità simili, ma c'è una differenza notevole:
- Prestazione. Il gateway VPN offre una velocità effettiva più elevata per determinate configurazioni (fino a 10 Gbps), mentre la VPN da sito a sito varia in genere tra 1,25 Gbps e 5 Gbps per ogni connessione (tramite ECMP).
Elastic Load Balancing, Azure Load Balancer e Gateway applicazione di Azure
Gli equivalenti di Azure dei servizi di bilanciamento del carico elastico sono:
- load Balancer offre le stesse funzionalità di rete di livello 4 del servizio di bilanciamento del carico di rete AWS, in modo da poter distribuire il traffico per più macchine virtuali a livello di rete. Offre anche funzionalità di failover.
- Gateway Applicazione offre un instradamento a livello di applicazione basato su regole paragonabile a quello dell'AWS Application Load Balancer.
Route 53, DNS di Azure e Gestione traffico di Azure
In AWS, Route 53 offre servizi di gestione del nome DNS e di routing del traffico DNS e servizi di failover. In Azure due servizi gestiscono queste attività:
- Il servizio DNS di Azure offre la gestione di dominio e DNS.
- Traffic Manager offre le funzionalità di routing del traffico a livello DNS, bilanciamento del carico e failover.
AWS Direct Connect e Azure ExpressRoute
AWS Direct Connect può collegare una rete direttamente ad AWS. Azure offre connessioni dedicate da sito a sito simili tramite ExpressRoute. È possibile usare ExpressRoute per connettere la rete locale direttamente alle risorse di Azure usando una connessione di rete privata dedicata. Sia Azure che AWS offrono connessioni VPN da sito a sito.
Tabelle di route
AWS fornisce tabelle di instradamento contenenti percorsi che indirizzano il traffico da una subnet o una subnet di gateway verso la destinazione. In Azure, la funzionalità corrispondente è denominata route definite dall'utente (UDR).
Con le route definite dall'utente, è possibile creare route personalizzate o definite dall'utente (statiche). Queste route sostituiscono le route di sistema predefinite di Azure. È anche possibile aggiungere altre route alla tabella di route di una subnet.
Collegamento privato di Azure
Il collegamento privato è simile a AWS PrivateLink. Collegamento privato di Azure offre connettività privata da una rete virtuale a una soluzione PaaS (Platform as a Service) di Azure, un servizio di proprietà del cliente o un servizio partner Microsoft.
Peering di VPC e peering di rete virtuale
In AWS, una connessione VPC peering è una connessione di rete tra due VPC. È possibile usare questa connessione per instradare il traffico tra le VPN usando indirizzi IPv4 (Internet Protocol) privati o indirizzi IPv6 (Internet Protocol versione 6).
È possibile usare il peering di rete virtuale di Azure per connettere due o più reti virtuali in Azure. Ai fini della connettività, le reti virtuali vengono visualizzate come una sola. Il traffico tra macchine virtuali nelle reti virtuali con peering usa l'infrastruttura backbone Microsoft. Come il traffico tra macchine virtuali in una singola rete, il traffico viene instradato solo attraverso la rete privata Microsoft.
Né le reti virtuali né le VPC consentono il peering transitivo. In Azure, tuttavia, è possibile stabilire una rete transitiva utilizzando appliance virtuali di rete o gateway nella rete virtuale hub.
Confronto tra i servizi di rete
| Area | Servizio AWS | Servizio di Azure | Descrizione |
|---|---|---|---|
| Reti virtuali cloud | Virtual Private Cloud (VPC) | Rete virtuale | Questi servizi forniscono un ambiente privato isolato nel cloud. È possibile controllare l'ambiente di rete virtuale, inclusa la selezione del proprio intervallo di indirizzi IP, la creazione di subnet e la configurazione delle tabelle di route e dei gateway di rete. In AWS ogni subnet deve risiedere in una zona di disponibilità. In Azure le subnet possono estendersi su più zone di disponibilità. |
| Gateway NAT | gateway NAT AWS | Azure NAT Gateway | Questi servizi semplificano la connettività Internet solo in uscita per le reti virtuali. In una subnet è possibile configurare tutta la connettività in uscita per l'uso di indirizzi IP pubblici statici specificati. La connettività in uscita è possibile senza bilanciamento del carico o indirizzi IP pubblici collegati direttamente alle macchine virtuali. I gateway NAT AWS possono essere associati solo a un singolo indirizzo IP pubblico. I gateway NAT di Azure possono avere più indirizzi IP pubblici. |
| Connettività cross-premise | VPN da sito a sito | Gateway VPN | AWS VPN da sito a sito e gateway VPN di Azure offrono connessioni VPN affidabili e a sicurezza avanzata con disponibilità elevata e supporto per protocolli standard del settore. Le differenze principali sono nell'integrazione con altri servizi cloud e in funzionalità specifiche, ad esempio VPN basate su route e basate su criteri in Azure. AWS VPN offre una velocità effettiva massima di 5 Gbps, mentre Azure offre fino a 10 Gbps. |
| Gestione DNS | Itinerario 53 | DNS di Azure | DNS di Azure consente di gestire i record DNS usando le stesse credenziali e gli stessi contratti di fatturazione e supporto usati per gli altri servizi di Azure. Entrambi i servizi supportano DNSSEC. |
| Routing basato su DNS | Itinerario 53 | Gestione traffico | Questi servizi ospitano nomi di dominio, instradano gli utenti alle applicazioni Internet, connettono le richieste degli utenti ai data center, gestiscono il traffico verso le app e migliorano la disponibilità delle app con failover automatico. |
| Rete dedicata | Direct Connect | ExpressRoute | Questi servizi stabiliscono una connessione di rete privata dedicata da una posizione al provider di servizi cloud (non tramite Internet). |
| Bilanciamento del carico | Network Load Balancer | Load Balancer | Azure Load Balancer esegue il bilanciamento del carico del traffico al livello 4 (TCP o UDP). Load Balancer Standard supporta anche il bilanciamento del carico globale o tra aree. |
| Bilanciamento del carico a livello dell'applicazione | Application Load Balancer | Gateway applicazione | Il gateway applicazione è un servizio di bilanciamento del carico di livello 7. Supporta funzionalità come terminazione SSL, affinità di sessione basata su cookie e round robin per il bilanciamento del carico del traffico. Offre anche funzionalità di routing e sicurezza multisito. |
| Tabelle di route | Custom Route Tables | Route definite dall'utente | Queste tabelle forniscono route personalizzate o definite dall'utente (statiche) per eseguire l'override delle route di sistema predefinite o per aggiungere altre route alla tabella di route di una subnet. |
| Collegamento privato | PrivateLink | Collegamento privato di Azure | Collegamento privato di Azure offre l'accesso privato ai servizi ospitati nella piattaforma Azure. In questo modo i dati vengono conservati nella rete Microsoft. |
| Connettività PaaS privata | VPC endpoints | Endpoint privato | L'endpoint privato offre connettività privata protetta a varie risorse PaaS (piattaforma distribuita come servizio) di Azure, tramite una rete privata Microsoft backbone. |
| Peering di reti virtuali | VPC Peering | Peering di rete virtuale | Il peering di rete virtuale è un meccanismo che connette due reti virtuali nella stessa area tramite la rete backbone di Azure. Dopo il peering, le due reti virtuali vengono visualizzate come una per tutti gli scopi di connettività. |
| Reti per la distribuzione di contenuti | CloudFront | Frontdoor | Frontdoor di Azure è un servizio di rete per la distribuzione di contenuti cloud (CDN) moderno che offre prestazioni elevate, scalabilità e esperienze utente sicure per contenuti e applicazioni. |
| Monitoraggio di rete | VPC Flow Logs | Azure Network Watcher | Azure Network Watcher consente di monitorare, diagnosticare e analizzare il traffico nella rete virtuale di Azure. |
| Peering di reti virtuali | gateway di transito AWS | Azure Virtual WAN | Questi servizi semplificano e migliorano la connettività di rete in più ambienti per supportare architetture di rete scalabili e flessibili. La rete WAN virtuale si integra con Firewall di Azure e Protezione DDoS di Azure per fornire funzionalità di sicurezza aggiuntive. I gateway di transito AWS si basano su servizi di sicurezza AWS come AWS Shield e AWS WAF. La rete WAN virtuale è progettata per la connettività globale, quindi è più facile connettere succursali e utenti remoti in tutto il mondo. I gateway di transito AWS supportano 100 prefissi BGP per ogni connessione privata. Il peering privato della rete WAN virtuale supporta 1.000 prefissi BGP. |
| Reti virtuali cloud | AWS Global Accelerator | Azure Traffic Manager | Questi servizi migliorano la disponibilità e le prestazioni delle applicazioni con gestione globale del routing e del traffico. |
| Connettività cross-premise | Gateway AWS Direct Connect | copertura globale di Azure ExpressRoute | Questi servizi estendono le reti locali al cloud con connessioni private dedicate che si estendono su più aree. |
| Rete a livello di applicazione | AWS App Mesh | Azure Service Fabric | Questi servizi forniscono la rete a livello di applicazione per gestire i microservizi, tra cui l'individuazione dei servizi, il bilanciamento del carico e il routing del traffico. |
| Scoperta dei servizi | AWS Cloud Map | DNS privato di Azure | Questi servizi forniscono l'individuazione dei servizi per le risorse cloud. Consentono di registrare le risorse delle applicazioni e aggiornare dinamicamente le loro posizioni. |
Architetture di rete
| Architettura | Descrizione |
|---|---|
| Distribuire appliance virtuali di rete a disponibilità elevata | Informazioni su come distribuire appliance virtuali di rete per la disponibilità elevata in Azure. Questo articolo include architetture di esempio per i dati in ingresso, in uscita e per entrambi. |
| Topologia di rete hub-spoke in Azure | Informazioni su come implementare una topologia hub-spoke in Azure, dove l'hub è costituito da una rete virtuale e gli spoke sono reti virtuali collegate in peering con l'hub. |
| Implementare una rete ibrida sicura | Informazioni su una rete ibrida sicura che estende una rete locale in Azure con una rete perimetrale tra la rete locale e una rete virtuale di Azure. |
Visualizzare tutte le architetture di rete.
Contributori
Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai collaboratori seguenti.
Autore principale:
- Konstantin Rekatas | Architetto Principale delle Soluzioni Cloud
Altro collaboratore:
- Adam Cerini | Direttore, Stratega Tecnologico dei Partner
Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.
Passaggi successivi
- Creare una rete virtuale usando il portale di Azure
- Pianificare e progettare reti virtuali di Azure
- procedure consigliate per la sicurezza di rete di Azure