AWS 및 Azure 네트워킹 옵션 비교
이 문서에서는 Azure 및 AWS(Amazon Web Services)에서 제공하는 핵심 네트워킹 서비스를 비교합니다.
다른 AWS 및 Azure 서비스를 비교하는 문서와 AWS와 Azure 간의 전체 서비스 매핑에 대한 링크는 Azure for AWS professionals을 참조하세요.
Azure 가상 네트워크 및 AWS VPC
Azure 가상 네트워크와 AWS VPC(가상 프라이빗 클라우드)는 둘 다 해당 클라우드 플랫폼 내에서 격리되고 논리적으로 정의된 네트워크 공간을 제공한다는 측면에서 비슷합니다. 그러나 아키텍처, 기능 및 통합 측면에서는 주요 차이점이 있습니다.
- 서브넷 배치. AWS 서브넷은 AWS 가용성 영역에 연결되어 있는 반면, Azure 서브넷은 가용성 영역 제약 조건 없이 지역별로 다릅니다. Azure 디자인을 사용하면 리소스가 IP 주소를 변경하지 않고 가용성 영역을 전환할 수 있습니다.
- 보안 모델. AWS는 상태 저장 보안 그룹과 상태 비저장 네트워크 액세스 제어 목록을 모두 사용합니다. Azure는 네트워크 보안 그룹(상태 저장형)을 사용합니다.
- 응시하기. Azure와 AWS는 모두 가상 네트워크/VPC 피어링을 지원합니다. 두 기술 모두 Azure Virtual WAN 또는 AWS Transit Gateway를 통해 더 복잡한 피어링을 허용합니다.
가상 사설망 (VPN)
AWS 사이트 및 사이트간 VPN 및 Azure VPN Gateway는 모두 온-프레미스 네트워크를 클라우드에 연결하기 위한 강력한 솔루션입니다. 유사한 기능을 제공하지만 주목할 만한 차이점이 있습니다.
- 성능. VPN Gateway는 특정 구성(최대 10Gbps)에 대해 더 높은 처리량을 제공하는 반면 사이트 간 VPN은 일반적으로 연결당 1.25Gbps에서 5Gbps(ECMP 사용) 사이입니다.
Elastic Load Balancing, Azure Load Balancer 및 Azure Application Gateway
탄력적 부하 분산 서비스에 해당하는 Azure는 다음과 같습니다.
- Load Balancer AWS 네트워크 Load Balancer와 동일한 네트워크 계층 4 기능을 제공하므로 네트워크 수준에서 여러 VM에 대한 트래픽을 분산할 수 있습니다. 또한 장애 조치(failover) 기능도 제공합니다.
- Application Gateway AWS 애플리케이션 Load Balancer에 필적하는 애플리케이션 수준 규칙 기반 라우팅을 제공합니다.
Route 53, Azure DNS 및 Azure Traffic Manager
AWS의 Route 53은 DNS 이름 관리 및 DNS 수준 트래픽 라우팅과 장애 조치(failover) 서비스를 모두 제공합니다. Azure에서 두 서비스는 다음 작업을 처리합니다.
- Azure DNS는 도메인 및 DNS 관리를 제공합니다.
- Traffic Manager DNS 수준 트래픽 라우팅, 부하 분산 및 장애 조치 기능을 제공합니다.
AWS Direct Connect 및 Azure ExpressRoute
AWS Direct Connect는 네트워크를 AWS에 직접 연결할 수 있습니다. Azure는 ExpressRoute를 통해 유사한 사이트 간 전용 연결을 제공합니다. ExpressRoute를 사용하여 전용 프라이빗 네트워크 연결을 사용하여 로컬 네트워크를 Azure 리소스에 직접 연결할 수 있습니다. Azure와 AWS는 모두 사이트-사이트 VPN 연결을 제공합니다.
경로 테이블
AWS는 서브넷 또는 게이트웨이 서브넷에서 대상으로 트래픽을 전송하는 경로가 포함된 경로 테이블을 제공합니다. Azure에서 해당 기능을 UDR(사용자 정의 경로)이라고 합니다.
사용자 정의 경로를 사용하면 사용자 지정 또는 사용자 정의(정적) 경로를 만들 수 있습니다. 이러한 경로는 기본 Azure 시스템 경로를 재정의합니다. 서브넷의 경로 테이블에 더 많은 경로를 추가할 수도 있습니다.
Azure Private Link
Private Link는 AWS PrivateLink와 유사합니다. Azure Private Link는 가상 네트워크에서 Azure PaaS(Platform as a Service) 솔루션, 고객 소유 서비스 또는 Microsoft 파트너 서비스로의 프라이빗 연결을 제공합니다.
VPC 피어링 및 가상 네트워크 피어링
AWS에서 VPC 피어링 연결은 두 VPC 간의 네트워킹 연결입니다. 이 연결을 사용하여 개인 IPv4(인터넷 프로토콜 버전 4) 주소 또는 IPv6(인터넷 프로토콜 버전 6) 주소를 사용하여 VPC 간에 트래픽을 라우팅할 수 있습니다.
Azure 가상 네트워크 피어링을 사용하여 Azure에서 둘 이상의 가상 네트워크를 연결할 수 있습니다. 연결을 위해 가상 네트워크가 하나로 표시됩니다. 피어링된 가상 네트워크에 있는 가상 머신 간의 트래픽은 Microsoft 백본 인프라를 사용합니다. 단일 네트워크의 가상 머신 간 트래픽과 마찬가지로 트래픽은 Microsoft 프라이빗 네트워크를 통해서만 라우팅됩니다.
가상 네트워크와 VPC 모두 전이적 피어링을 허용하지 않습니다. 그러나 Azure에서는 허브 가상 네트워크의 NVA(네트워크 가상 어플라이언스) 또는 게이트웨이를 사용하여 전이적 네트워킹을 달성할 수 있습니다.
네트워크 서비스 비교
| Area | AWS 서비스 | Azure 서비스 | Description |
|---|---|---|---|
| 클라우드 가상 네트워킹 | VPC(Virtual Private Cloud) | Virtual Network | 이러한 서비스는 클라우드에서 격리된 프라이빗 환경을 제공합니다. 사용자 고유의 IP 주소 범위 선택, 서브넷 만들기, 경로 테이블 및 네트워크 게이트웨이 구성을 포함하여 가상 네트워킹 환경을 제어할 수 있습니다. AWS에서 각 서브넷은 하나의 가용성 영역에 있어야 합니다. Azure에서 서브넷은 여러 가용성 영역에 걸쳐 있습니다. |
| NAT 게이트웨이 | AWS NAT 게이트웨이 | Azure NAT Gateway | 이러한 서비스는 가상 네트워크에 대한 아웃바운드 전용 인터넷 연결을 간소화합니다. 서브넷에서 지정한 고정 공용 IP 주소를 사용하도록 모든 아웃바운드 연결을 구성할 수 있습니다. 가상 머신에 직접 연결된 부하 분산 장치 또는 공용 IP 주소 없이 아웃바운드 연결이 가능합니다. AWS NAT 게이트웨이는 단일 공용 IP에만 연결할 수 있습니다. Azure NAT 게이트웨이에는 여러 공용 IP가 있을 수 있습니다. |
| 크로스 프레미스 연결 | 사이트 VPN | VPN Gateway | AWS 사이트 간 VPN 및 Azure VPN Gateway는 고가용성 및 업계 표준 프로토콜 지원을 통해 향상된 보안, 신뢰할 수 있는 VPN 연결을 제공합니다. 주요 차이점은 다른 클라우드 서비스와의 통합 및 Azure의 경로 기반 및 정책 기반 VPN과 같은 특정 기능에 있습니다. AWS VPN은 최대 5Gbps 처리량을 제공하는 반면 Azure는 최대 10Gbps를 제공합니다. |
| DNS 관리 | Route 53 | Azure DNS | Azure DNS를 사용하면 다른 Azure 서비스에 사용하는 것과 동일한 자격 증명 및 청구 및 지원 계약을 사용하여 DNS 레코드를 관리할 수 있습니다. 두 서비스 모두 DNSSEC지원합니다. |
| DNS 기반 라우팅 | Route 53 | Traffic Manager | 이러한 서비스는 도메인 이름을 호스트하고, 사용자를 인터넷 애플리케이션으로 라우팅하고, 사용자 요청을 데이터 센터에 연결하고, 앱에 대한 트래픽을 관리하고, 자동 장애 조치(failover)를 통해 앱 가용성을 향상시킵니다. |
| 전용 네트워크 | 직접 연결 | ExpressRoute | 이러한 서비스는 인터넷이 아닌 클라우드 공급자로의 위치에서 전용 프라이빗 네트워크 연결을 설정합니다. |
| 부하 분산 | 네트워크 부하 분산 장치 | Load Balancer | Azure Load Balancer는 계층 4(TCP 또는 UDP)에서 트래픽을 부하 분산합니다. 표준 Load Balancer는 교차 지역 또는 글로벌 부하 분산도 지원합니다. |
| 애플리케이션 수준 부하 분산 | Application Load Balancer | Application Gateway | Application Gateway는 계층 7 부하 분산 장치입니다. SSL 종료, 쿠키 기반 세션 선호도 및 트래픽 부하 분산을 위한 라운드 로빈을 지원합니다. 또한 다중 사이트 라우팅 및 보안 기능을 제공합니다. |
| 경로 테이블 | 사용자 지정 경로 테이블 | 사용자 정의 경로 | 이러한 테이블은 기본 시스템 경로를 재정의하거나 서브넷의 경로 테이블에 더 많은 경로를 추가하기 위한 사용자 지정 또는 사용자 정의(정적) 경로를 제공합니다. |
| 프라이빗 링크 | PrivateLink | Azure Private Link | Azure Private Link는 Azure 플랫폼에서 호스팅되는 서비스에 대한 프라이빗 액세스를 제공합니다. 이렇게 하면 데이터가 Microsoft 네트워크에 유지됩니다. |
| 프라이빗 PaaS 연결 | VPC 엔드포인트 | Private Endpoint | 프라이빗 엔드포인트는 백본 Microsoft 개인 네트워크를 통해 다양한 Azure PaaS(Platform as a Service) 리소스에 대한 안전한 프라이빗 연결을 제공합니다. |
| 가상 네트워크 피어링 | VPC 피어링 | 가상 네트워크 피어링 | 가상 네트워크 피어링은 Azure 백본 네트워크를 통해 동일한 지역에 있는 두 가상 네트워크를 연결하는 메커니즘입니다. 피어된 후 두 가상 네트워크는 모든 연결을 위해 하나로 표시됩니다. |
| 콘텐츠 배달 네트워크 | CloudFront | Front Door | Azure Front Door는 콘텐츠 및 애플리케이션에 대한 고성능, 확장성 및 안전한 사용자 환경을 제공하는 최신 클라우드 CDN(콘텐츠 배달 네트워크) 서비스입니다. |
| 네트워크 모니터링 | VPC 흐름 로그 | Azure Network Watcher | Azure Network Watcher를 사용하면 Azure Virtual Network의 트래픽을 모니터링, 진단 및 분석할 수 있습니다. |
| 가상 네트워크 피어링 | AWS 트랜짓 게이트웨이 |
Azure Virtual WAN |
이러한 서비스는 확장 가능하고 유연한 네트워크 아키텍처를 지원하기 위해 여러 환경에서 네트워크 연결을 간소화하고 향상시킵니다. Virtual WAN은 Azure Firewall 및 Azure DDoS Protection과 통합되어 추가 보안 기능을 제공합니다. AWS 전송 게이트웨이는 AWS Shield 및 AWS WAF와 같은 AWS 보안 서비스를 사용합니다. Virtual WAN은 글로벌 연결을 위해 설계되었기 때문에 전 세계 지사와 원격 사용자를 더 쉽게 연결할 수 있습니다. AWS 전송 게이트웨이는 프라이빗 연결당 100개의 BGP 접두사를 지원합니다. Virtual WAN 프라이빗 피어링은 1,000개의 BGP 접두사를 지원합니다. |
| 클라우드 가상 네트워킹 | AWS Global Accelerator |
Azure Traffic Manager | 이러한 서비스는 글로벌 라우팅 및 트래픽 관리를 통해 애플리케이션의 가용성과 성능을 향상시킵니다. |
| 크로스 프레미스 연결 | AWS Direct Connect 게이트웨이 | Azure ExpressRoute Global Reach |
이러한 서비스는 여러 지역에 걸쳐 있는 전용 프라이빗 연결을 사용하여 온-프레미스 네트워크를 클라우드로 확장합니다. |
| 애플리케이션 수준 네트워킹 | AWS 앱 메시 | Azure Service Fabric | 이러한 서비스는 서비스 검색, 부하 분산 및 트래픽 라우팅을 포함하여 마이크로 서비스를 관리하는 애플리케이션 수준 네트워킹을 제공합니다. |
| 서비스 검색 | AWS 클라우드 맵 | Azure 프라이빗 DNS |
이러한 서비스는 클라우드 리소스에 대한 서비스 검색을 제공합니다. 애플리케이션 리소스를 등록하고 위치를 동적으로 업데이트할 수 있습니다. |
네트워킹 아키텍처
| 아키텍처 | Description |
|---|---|
| 고가용성 NVA 배포 | Azure에서 고가용성을 위한 네트워크 가상 어플라이언스를 배포하는 방법을 알아봅니다. 이 문서에는 수신, 송신 및 송수신에 대한 예제 아키텍처가 포함되어 있습니다. |
| Azure의 허브-스포크 네트워크 토폴로지 | 허브는 가상 네트워크이고 스포크는 허브와 피어링하는 가상 네트워크인 Azure의 허브 스포크 토폴로지를 구현하는 방법을 알아봅니다. |
| 보안 하이브리드 네트워크 구현 | 온-프레미스 네트워크와 Azure 가상 네트워크 간의 경계 네트워크를 사용하여 온-프레미스 네트워크를 Azure로 확장하는 보안 하이브리드 네트워크를 참조하세요. |
참여자
이 문서는 Microsoft에서 유지 관리합니다. 그것은 원래 다음 기여자에 의해 작성되었습니다.
주 작성자:
- 콘스탄틴 레카타스 | 주요 클라우드 솔루션 설계자
기타 기여자:
- 아담 세리니 | 파트너 기술 전략가 이사
공용이 아닌 LinkedIn 프로필을 보려면 LinkedIn에 로그인합니다.
다음 단계
- Azure Portal을 사용하여 가상 네트워크 만들기
- Azure 가상 네트워크 계획하고 설계하기
- Azure 네트워크 보안 모범 사례