AWS- en Azure-netwerkopties vergelijken
In dit artikel worden de belangrijkste netwerkservices vergeleken die door Azure en Amazon Web Services (AWS) worden aangeboden.
Zie Azure voor AWS-professionalsvoor koppelingen naar artikelen waarin andere AWS- en Azure-services en een volledige servicetoewijzing tussen AWS en Azure worden vergeleken.
Virtuele Azure-netwerken en AWS-VPC's
Virtuele Azure-netwerken en virtuele private clouds van AWS (VPC's) zijn vergelijkbaar omdat ze allebei geïsoleerde, logisch gedefinieerde netwerkruimten bieden binnen hun respectieve cloudplatforms. Er zijn echter belangrijke verschillen in architectuur, functies en integratie.
- Subnetplaatsing. AWS-subnetten zijn gekoppeld aan AWS-beschikbaarheidszones, terwijl Azure-subnetten regiospecifiek zijn zonder beperkingen in de beschikbaarheidszone. Met het Azure-ontwerp kunnen resources schakelen tussen beschikbaarheidszones zonder IP-adressen te wijzigen.
- Beveiligingsmodellen. AWS maakt gebruik van zowel beveiligingsgroepen (stateful) als lijsten voor netwerktoegangsbeheer (staatloos). Azure maakt gebruik van netwerkbeveiligingsgroepen (stateful).
- Peering. Zowel Azure als AWS ondersteunen virtueel netwerk/VPC-peering. Beide technologieën bieden complexere peering via Azure Virtual WAN of AWS Transit Gateway.
VPN
Zowel AWS Site-to-Site VPN als Azure VPN Gateway zijn robuuste oplossingen voor het verbinden van on-premises netwerken met de cloud. Ze bieden vergelijkbare functies, maar er is een belangrijk verschil:
- Voorstelling. VPN Gateway biedt een hogere doorvoer voor bepaalde configuraties (maximaal 10 Gbps), terwijl site-naar-site-VPN doorgaans varieert tussen 1,25 Gbps en 5 Gbps per verbinding (met ECMP).
Elastic Load Balancing, Azure Load Balancer en Azure Application Gateway
De Azure-equivalenten van de elastische taakverdelingsservices zijn:
- Load Balancer dezelfde netwerklaag 4-mogelijkheden biedt als de AWS Network Load Balancer, zodat u verkeer voor meerdere VM's op netwerkniveau kunt distribueren. Het biedt ook failovermogelijkheden.
- Application Gateway biedt regelgebaseerde routering op toepassingsniveau die vergelijkbaar is met die van de AWS Application Load Balancer.
Route 53, Azure DNS en Azure Traffic Manager
In AWS biedt Route 53 zowel DNS-naambeheer als verkeersroutering en failover-services op DNS-niveau. In Azure verwerken twee services deze taken:
- Azure DNS biedt domein- en DNS-beheer.
- Traffic Manager- biedt verkeersroutering, taakverdeling en failovermogelijkheden op DNS-niveau.
AWS Direct Connect en Azure ExpressRoute
AWS Direct Connect kan een netwerk rechtstreeks koppelen aan AWS. Azure biedt vergelijkbare site-naar-site-toegewezen verbindingen via ExpressRoute. U kunt ExpressRoute gebruiken om uw lokale netwerk rechtstreeks met Azure-resources te verbinden met behulp van een toegewezen privénetwerkverbinding. Zowel Azure als AWS bieden site-naar-site-VPN-verbindingen.
Routetabellen
AWS biedt routetabellen die routes bevatten die verkeer van een subnet of gatewaysubnet naar de bestemming leiden. In Azure wordt de bijbehorende functie door de gebruiker gedefinieerde routes (UDR's) genoemd.
Met door de gebruiker gedefinieerde routes kunt u aangepaste of door de gebruiker gedefinieerde (statische) routes maken. Deze routes overschrijven de standaard Azure-systeemroutes. U kunt ook meer routes toevoegen aan de routetabel van een subnet.
Azure Private Link
Private Link is vergelijkbaar met AWS PrivateLink. Azure Private Link biedt privéconnectiviteit van een virtueel netwerk naar een PaaS-oplossing (Platform as a Service), een service die eigendom is van de klant of een Microsoft-partnerservice.
VPC-peering en peering van virtuele netwerken
In AWS is een VPC-peeringverbinding een netwerkverbinding tussen twee VPN's. U kunt deze verbinding gebruiken om verkeer tussen de VPN's te routeren met behulp van privé-IPv4-adressen (Internet Protocol versie 4) of IPv6-adressen (Internet Protocol versie 6).
U kunt peering van virtuele Azure-netwerken gebruiken om twee of meer virtuele netwerken in Azure te verbinden. Voor connectiviteitsdoeleinden worden de virtuele netwerken als één weergegeven. Het verkeer tussen virtuele machines in gekoppelde virtuele netwerken maakt gebruik van de Microsoft-backbone-infrastructuur. Net als bij het verkeer tussen virtuele machines binnen een netwerk, wordt het verkeer alleen gerouteerd via het privénetwerk van Microsoft.
Virtuele netwerken of VPN's staan transitieve peering niet toe. In Azure kunt u echter transitieve netwerken bereiken met behulp van virtuele netwerkapparaten (NVA's) of gateways in het virtuele hubnetwerk.
Vergelijking van netwerkservice
| Gebied | AWS-service | Azure-service | Beschrijving |
|---|---|---|---|
| Virtueel cloudnetwerk | Virtuele privécloud (VPC) | Virtueel netwerk | Deze services bieden een geïsoleerde privéomgeving in de cloud. U hebt controle over uw virtuele netwerkomgeving, waaronder de selectie van uw eigen IP-adresbereik, het maken van subnetten en configuratie van routetabellen en netwerkgateways. In AWS moet elk subnet zich in één beschikbaarheidszone bevinden. In Azure kunnen subnetten meerdere beschikbaarheidszones omvatten. |
| NAT-gateways | AWS NAT-gateways | Azure NAT Gateway | Deze services vereenvoudigen de uitgaande internetverbinding voor virtuele netwerken. Op een subnet kunt u alle uitgaande connectiviteit configureren om statische openbare IP-adressen te gebruiken die u opgeeft. Uitgaande verbindingen zijn mogelijk zonder gebruik van een load balancer of openbare IP-adressen die rechtstreeks aan virtuele machines zijn gekoppeld. AWS NAT-gateways kunnen slechts worden gekoppeld aan één openbaar IP-adres. Azure NAT-gateways kunnen meerdere openbare IP-adressen hebben. |
| Cross-premises-connectiviteit | site-naar-site-VPN | VPN Gateway | AWS Site-to-Site VPN en Azure VPN Gateway bieden verbeterde beveiliging, betrouwbare VPN-verbindingen met hoge beschikbaarheid en ondersteuning voor protocollen van industriestandaard. De belangrijkste verschillen zijn in hun integratie met andere cloudservices en in specifieke functies, zoals op route gebaseerde en op beleid gebaseerde VPN's in Azure. AWS VPN biedt maximaal 5 Gbps-doorvoer, terwijl Azure maximaal 10 Gbps biedt. |
| DNS-beheer | Route 53 | Azure DNS | Met Azure DNS kunt u uw DNS-records beheren met behulp van dezelfde referenties en facturerings- en ondersteuningscontract dat u gebruikt voor uw andere Azure-services. Beide services ondersteunen DNSSEC. |
| Routering op basis van DNS | Route 53 | Traffic Manager | Deze services host domeinnamen, leiden gebruikers naar internettoepassingen, verbinden gebruikersverzoeken met datacenters, beheren app-verkeer en vergroten de beschikbaarheid van apps met automatische failover. |
| Toegewezen netwerk | Direct Connect | ExpressRoute | Deze services zorgen voor een toegewezen privénetwerkverbinding van een locatie naar de cloudprovider (niet via internet). |
| Load balancing | Netwerk load balancer | Load balancer | Azure Load Balancer verdeelt verkeer op laag 4 (TCP of UDP). Standard Load Balancer biedt ook ondersteuning voor meerdere regio's of wereldwijde taakverdeling. |
| Taakverdeling op toepassingsniveau | Load balancer van toepassing | Application Gateway | Application Gateway is een load balancer van laag 7. Het biedt ondersteuning voor SSL-beëindiging, sessieaffiniteit op basis van cookies en round robin voor taakverdelingsverkeer. Het biedt ook routerings- en beveiligingsfuncties voor meerdere sites. |
| Routetabellen | Aangepaste routetabellen | Door de gebruiker gedefinieerde routes | Deze tabellen bieden aangepaste of door de gebruiker gedefinieerde (statische) routes om standaardsysteemroutes te overschrijven of om meer routes toe te voegen aan de routetabel van een subnet. |
| Private Link | PrivateLink | Azure Private Link | Azure Private Link biedt privétoegang tot services die worden gehost op het Azure-platform. Hiermee worden uw gegevens op het Microsoft-netwerk opgeslagen. |
| Privé-PaaS-connectiviteit | VPC-eindpunten | Privé-eindpunt | Privé-eindpunt biedt beveiligde, privéconnectiviteit met verschillende PaaS-resources (Platform as a Service) van Azure via een backbone microsoft-privénetwerk. |
| Peering op virtueel netwerk | VPC-peering | peering van virtuele netwerken | Peering van virtuele netwerken is een mechanisme dat twee virtuele netwerken in dezelfde regio verbindt via het Backbone-netwerk van Azure. Nadat ze zijn gekoppeld, worden de twee virtuele netwerken weergegeven als één voor alle connectiviteitsdoeleinden. |
| Netwerken voor contentlevering | CloudFront | Voordeur | Azure Front Door is een moderne CDN-service (Cloud Content Delivery Network) die hoge prestaties, schaalbaarheid en veilige gebruikerservaringen biedt voor uw inhoud en toepassingen. |
| Netwerkbewaking | VPC-stroomlogboeken | Azure Network Watcher | Met Azure Network Watcher kunt u het verkeer in Azure Virtual Network bewaken, diagnosticeren en analyseren. |
| Peering op virtueel netwerk | AWS-transitgateways | Azure Virtual WAN | Deze services vereenvoudigen en verbeteren de netwerkconnectiviteit in meerdere omgevingen ter ondersteuning van schaalbare en flexibele netwerkarchitecturen. Virtual WAN kan worden geïntegreerd met Azure Firewall en Azure DDoS Protection om extra beveiligingsfuncties te bieden. AWS-transitgateways zijn afhankelijk van AWS-beveiligingsservices zoals AWS Shield en AWS WAF. Virtual WAN is ontworpen voor wereldwijde connectiviteit, dus het is eenvoudiger om filialen en externe gebruikers wereldwijd te verbinden. AWS-transitgateways ondersteunen 100 BGP-voorvoegsels per privéverbinding. Private WAN-peering ondersteunt 1000 BGP-voorvoegsels. |
| Virtueel cloudnetwerk | AWS Global Accelerator | Azure Traffic Manager | Deze services verbeteren de beschikbaarheid en prestaties van uw toepassingen met wereldwijde routering en verkeersbeheer. |
| Cross-premises-connectiviteit | AWS Direct Connect-gateways | Azure ExpressRoute Wereldwijd Bereik | Deze services breiden uw on-premises netwerken uit naar de cloud met toegewezen privéverbindingen die meerdere regio's omvatten. |
| Netwerken op toepassingsniveau | AWS App Mesh | Azure Service Fabric | Deze services bieden netwerken op toepassingsniveau voor het beheren van microservices, waaronder servicedetectie, taakverdeling en verkeersroutering. |
| Serviceontdekking | AWS Cloud Map | Azure Private DNS | Deze services bieden servicedetectie voor cloudresources. Hiermee kunt u toepassingsbronnen registreren en hun locaties dynamisch bijwerken. |
Netwerkarchitecturen
| Architectuur | Beschrijving |
|---|---|
| NVA's met hoge beschikbaarheid implementeren | Meer informatie over hoe u virtuele netwerkapparaten implementeert voor hoge beschikbaarheid in Azure. Dit artikel bevat voorbeeldarchitectuur, voor inkomend verkeer, uitgaand verkeer en beide. |
| Een sternetwerktopologie in Azure | Meer informatie over hoe u een sternetwerktopologie implementeert in Azure, waar de hub een virtueel netwerk is en de punten virtueel netwerk zijn die peeren met de hub. |
| Een beveiligd hybride netwerk implementeren | Bekijk een beveiligd hybride netwerk dat een on-premises netwerk uitbreidt naar Azure met een perimeternetwerk tussen het on-premises netwerk en een virtueel Azure-netwerk. |
Alle netwerkarchitecturen weergeven.
Bijdragers
Dit artikel wordt onderhouden door Microsoft. Het is oorspronkelijk geschreven door de volgende inzenders.
Hoofdauteur:
- Konstantin Rekatas | Principal Cloud Solution Architect
Andere bijdrager:
- Adam Cerini | Directeur, Partnertechnologiestrateeg
Meld u aan bij LinkedIn als u niet-openbare LinkedIn-profielen wilt zien.
Volgende stappen
- Een virtueel netwerk maken met Azure Portal
- Virtuele Netwerken van Azure plannen en ontwerpen
- "Best practices" voor Azure-netwerkbeveiliging