AWS と Azure のネットワーク オプションの比較
この記事では、Azure と Amazon Web Services (AWS) が提供するコア ネットワーク サービスを比較します。
AWS と Azure の他のサービスを比較した記事へのリンクと、AWS と Azure 間の完全なサービス マッピングについては、「AWS プロフェッショナル向け Azure」を参照してください。
Azure 仮想ネットワークと AWS VPC
Azure 仮想ネットワークと AWS 仮想プライベート クラウド (VPC) はどちらも、それぞれのクラウド プラットフォーム内で分離され、論理的に定義されたネットワーク スペースを提供するという点で似ています。 ただし、アーキテクチャ、機能、統合の点では重要な違いがあります。
- サブネットの配置。 AWS サブネットは AWS Availability Zones に関連付けられていますが、Azure サブネットは可用性ゾーンの制約がなく、リージョン固有です。 Azure の設計により、リソースは IP アドレスを変更せずに可用性ゾーンを切り替えることができます。
- セキュリティ モデル。 AWS では、セキュリティ グループ (ステートフル) とネットワーク アクセス制御リスト (ステートレス) の両方が使用されます。 Azure では、ネットワーク セキュリティ グループ (ステートフル) が使用されます。
- ピアリング。 Azure と AWS はどちらも、仮想ネットワーク/VPC ピアリングをサポートしています。 どちらのテクノロジでも、Azure Virtual WAN または AWS Transit Gateway を介してより複雑なピアリングが可能になります。
VPN
AWS サイト間 VPN と Azure VPN Gateway はどちらも、オンプレミスネットワークをクラウドに接続するための堅牢なソリューションです。 これらは同様の機能を提供しますが、大きな違いがあります。
- 性能 VPN Gateway は特定の構成で高いスループット (最大 10 Gbps) を提供しますが、サイト間 VPN は通常、接続あたり 1.25 Gbps から 5 Gbps の範囲です (ECMP を使用)。
Elastic Load Balancing、Azure Load Balancer、および Azure Application Gateway
Elastic Load Balancing サービスに相当する Azure の機能は次のとおりです。
- Load Balancer は、AWS Network Load Balancer と同じネットワーク レイヤー 4 機能を提供するため、ネットワーク レベルで複数の VM のトラフィックを分散できます。 フェールオーバー機能も提供します。
- Application Gateway は、AWS Application Load Balancer と同等のアプリケーション レベルのルールベースのルーティングを提供します。
Route 53、Azure DNS、および Azure Traffic Manager
AWS の Route 53 では、DNS 名管理と DNS レベルのトラフィック ルーティング サービスと、フェールオーバー サービスの両方を提供します。 Azure では、次の 2 つのサービスがこれらのタスクを処理します。
- Azure DNS は、ドメインと DNS の管理を提供します。
- Traffic Manager は、DNS レベルのトラフィック ルーティング、負荷分散、およびフェールオーバー機能を提供します。
AWS Direct Connect と Azure ExpressRoute
AWS Direct Connect は、ネットワークを AWS に直接リンクできます。 Azure では、ExpressRoute を介して、同様のサイト間専用接続を提供します。 ExpressRoute を使用すると、専用のプライベート ネットワーク接続を使用することにより、ローカル ネットワークを Azure のリソースに直接接続できます。 Azure と AWS はどちらもサイト間 VPN 接続を提供します。
ルート テーブル
AWS は、サブネットまたはゲートウェイ サブネットから宛先にトラフィックを誘導するルートを含むルート テーブルを提供します。 Azure での対応する機能は、ユーザー定義ルート (UDR) と呼ばれます。
ユーザー定義ルートを使用すると、カスタム ルートまたはユーザー定義 (静的) ルートを作成できます。 これらのルートは、既定の Azure システム ルートをオーバーライドします。 サブネットのルート テーブルにルートを追加することもできます。
Azure Private Link
Private Link は、AWS PrivateLink と似ています。 Azure Private Link を使用すると、仮想ネットワークから Azure の PaaS (サービスとしてのプラットフォーム) ソリューション、顧客所有のサービス、または Microsoft パートナー サービスへのプライベート接続が可能になります。
VPC ピアリングと仮想ネットワークピアリング
AWS の VPC ピアリング接続は、2 つの VPC 間のネットワーク接続です。 この接続を使用すると、プライベート インターネット プロトコル バージョン 4 (IPv4) アドレスまたはインターネット プロトコル バージョン 6 (IPv6) アドレスを使用して、VPN 間でトラフィックをルーティングできます。
Azure 仮想ネットワーク ピアリングを使用すると、Azure 内の 2 つ以上の仮想ネットワークを接続できます。 接続の目的では、仮想ネットワークは 1 つのものとして表示されます。 ピアリングされた仮想ネットワーク内の仮想マシン間のトラフィックには、Microsoft のバックボーンインフラストラクチャが使用されます。 単一ネットワーク内の仮想マシン間のトラフィックと同様に、トラフィックは Microsoft プライベート ネットワーク経由でのみルーティングされます。
仮想ネットワークでも VPC でも、推移的ピアリングは許可されません。 ただし、Azure では、ハブ仮想ネットワーク内のネットワーク仮想アプライアンス (NVA) またはゲートウェイを使用することで、推移的ネットワークを実現できます。
ネットワーク サービスの比較
| 領域 | AWS サービス | Azure サービス | 説明 |
|---|---|---|---|
| クラウド仮想ネットワーク | Virtual Private Cloud (VPC) | Virtual Network | これらのサービスでは、クラウド内に分離されたプライベート環境が提供されます。 ユーザーは、独自の IP アドレス範囲の選択、サブネットの作成、ルート テーブルやネットワーク ゲートウェイの構成などにより、仮想ネットワーク環境を制御できます。 AWS では、各サブネットは 1 つの可用性ゾーンに存在する必要があります。 Azure では、サブネットは複数の可用性ゾーンにまたがることができます。 |
| NAT ゲートウェイ | AWS NAT ゲートウェイ | Azure NAT Gateway | これらのサービスにより、仮想ネットワークの送信専用のインターネット接続が簡素化されます。 サブネットでは、指定した静的パブリック IP アドレスを使用するようにすべての送信接続を構成できます。 ロード バランサーや、仮想マシンに直接アタッチされたパブリック IP アドレスがなくても、アウトバウンド接続が可能となります。 AWS NAT ゲートウェイは、1 つのパブリック IP にのみ関連付けることができます。 Azure NAT ゲートウェイには、複数のパブリック IP を設定できます。 |
| クロスプレミス接続 | サイト間 VPN | VPN Gateway | AWS サイト間 VPN と Azure VPN Gateway は、セキュリティが強化され、高可用性と業界標準プロトコルのサポートを備えた、信頼性の高い VPN 接続を提供します。 主な違いは、他のクラウド サービスとの統合と、Azure のルートベースやポリシーベースの VPN などの特定の機能にあります。 AWS VPN のスループットは最大 5 Gbps ですが、Azure では最大 10 Gbps が実現されます。 |
| DNS 管理 | Route 53 | Azure DNS | Azure DNS を使用すると、他の Azure サービスで使用するのと同じ資格情報と課金/サポート契約を使用して DNS レコードを管理できます。 どちらのサービスも DNSSEC |
| DNS ベースのルーティング | Route 53 | Traffic Manager | これらのサービスは、ドメイン名のホスティング、インターネット アプリケーションへのユーザー ルーティング、データセンターへのユーザー要求接続、アプリへのトラフィック管理を行い、自動フェイルオーバーによってアプリの可用性を向上させます。 |
| 専用ネットワーク | Direct Connect | ExpressRoute | これらのサービスは、ある場所からクラウド プロバイダーまでの (インターネット経由ではなく) 専用のプライベート ネットワーク接続を確立します。 |
| 負荷分散 | Network Load Balancer | Load Balancer | Azure Load Balancer は、レイヤー 4 (TCP または UDP) でトラフィックを負荷分散します。 Standard Load Balancer は、リージョン間負荷分散やグローバル負荷分散もサポートします。 |
| アプリケーションレベルの負荷分散 | Application Load Balancer | Application Gateway | Application Gateway はレイヤー 7 のロード バランサーです。 SSL ターミネーション、Cookie ベースのセッション アフィニティ、およびラウンド ロビンによるトラフィックの負荷分散をサポートしています。 また、マルチサイト ルーティングとセキュリティ機能も提供します。 |
| ルート テーブル | カスタム ルート テーブル | ユーザー定義のルート | これらのテーブルは、既定のシステム ルートを上書きしたり、サブネットのルート テーブルにルートを追加したりするためのカスタム ルートまたはユーザー定義 (静的) ルートを提供します。 |
| プライベート リンク | PrivateLink | Azure Private Link | Azure Private Link は、Azure プラットフォームでホストされているサービスへのプライベート アクセスを提供します。 これにより、データが Microsoft ネットワーク上に保持されます。 |
| プライベート PaaS 接続 | VPC エンドポイント | プライベート エンドポイント | プライベート エンドポイントは、バックボーンの Microsoft プライベート ネットワークを介して、さまざまな Azure サービスとしてのプラットフォーム (PaaS) リソースへのセキュリティで保護されたプライベート接続を提供します。 |
| 仮想ネットワーク ピアリング | VPC ピアリング | 仮想ネットワーク ピアリング | 仮想ネットワーク ピアリングとは、同じリージョンに存在する 2 つの仮想ネットワークを Azure のバックボーン ネットワークを介して接続する機構です。 ピアリングされた 2 つの仮想ネットワークは、あらゆる接続において、見かけ上 1 つのネットワークとして機能します。 |
| コンテンツ配信ネットワーク | CloudFront | Front Door | Azure Front Door は、ユーザーのコンテンツとアプリケーションに対してハイ パフォーマンス、スケーラビリティ、セキュリティで保護されたユーザー エクスペリエンスを提供する、最新のクラウド コンテンツ配信ネットワーク (CDN) です。 |
| ネットワーク監視 | VPC フロー ログ | Azure Network Watcher | Azure Network Watcher を使用すると、Azure Virtual Network のトラフィックを監視、診断、および分析することができます。 |
| 仮想ネットワーク ピアリング | AWS Transit Gateway | Azure Virtual WAN | これらのサービスは、複数の環境にわたるネットワーク接続を簡素化および強化し、スケーラブルで柔軟なネットワーク アーキテクチャをサポートします。 Virtual WAN は、Azure Firewall および Azure DDoS Protection と統合され、追加のセキュリティ機能を提供します。 AWS トランジット ゲートウェイは、AWS Shield や AWS WAF などの AWS セキュリティ サービスに依存しています。 Virtual WAN はグローバル接続用に設計されているため、世界中のブランチ オフィスやリモート ユーザーを簡単に接続できます。 AWS トランジット ゲートウェイでは、プライベート接続あたり 100 個の BGP プレフィックスがサポートされます。 Virtual WAN プライベート ピアリングでは、1,000 個の BGP プレフィックスがサポートされています。 |
| クラウド仮想ネットワーク | AWS グローバル アクセラレータ | Azure Traffic Manager | これらのサービスは、グローバル ルーティングとトラフィック管理により、アプリケーションの可用性とパフォーマンスを向上させます。 |
| クロスプレミス接続 | AWS Direct Connect ゲートウェイ | Azure ExpressRoute Global Reach | これらのサービスは、複数のリージョンにまたがる専用のプライベート接続を使用して、オンプレミス ネットワークをクラウドに拡張します。 |
| アプリケーション レベルのネットワーク | AWS App Mesh | Azure Service Fabric | これらのサービスは、サービス検出、負荷分散、トラフィック ルーティングなど、マイクロサービスを管理するためのアプリケーション レベルのネットワークを提供します。 |
| サービス検出 | AWS Cloud Map | Azure プライベート DNS | これらのサービスは、クラウド リソースのサービス検出を提供します。 これにより、アプリケーション リソースを登録し、その場所を動的に更新できるようになります。 |
ネットワーク アーキテクチャ
| Architecture | 説明 |
|---|---|
| 高可用性 NVA をデプロイする | 高可用性のためのネットワーク仮想アプライアンスを Azure にデプロイする方法について説明します。 この記事には、イングレス、エグレス、およびこの両方のアーキテクチャの例が含まれています。 |
| Azure のハブスポーク ネットワーク トポロジ | Azure にハブスポーク トポロジを実装する方法について説明します。ハブは仮想ネットワークであり、スポークはハブとピアリングする仮想ネットワークです。 |
| セキュリティ保護されたハイブリッド ネットワークを実装する | オンプレミス ネットワークと Azure 仮想ネットワークの間の境界ネットワークを使用して、オンプレミス ネットワークを Azure に拡張する、セキュリティで保護されたハイブリッド ネットワークを確認します。 |
すべてのネットワーク アーキテクチャをこちらでご覧ください。
貢献者
この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。
主著者:
- Konstantin Rekatas | プリンシパル クラウド ソリューション アーキテクト
その他の共同作成者:
- Adam Cerini | ディレクター兼パートナー テクノロジ ストラテジスト
パブリックでない LinkedIn プロファイルは、LinkedIn にサインインすることで表示できます。