Porównanie opcji sieci platformy AWS i platformy Azure
W tym artykule porównaliśmy podstawowe usługi sieciowe oferowane przez platformę Azure i usługę Amazon Web Services (AWS).
Aby uzyskać linki do artykułów, które porównują inne usługi AWS i Azure oraz kompletne mapowanie usług między platformami AWS i Azure, zobacz Azure for AWS professionals.
Sieci wirtualne platformy Azure i sieci VPN platformy AWS
Sieci wirtualne platformy Azure i wirtualne chmury prywatne platformy AWS są podobne, ponieważ zapewniają izolowane, logicznie zdefiniowane przestrzenie sieciowe na odpowiednich platformach w chmurze. Istnieją jednak kluczowe różnice w zakresie architektury, funkcji i integracji.
- Umieszczanie podsieci. Podsieci platformy AWS są powiązane ze strefami dostępności platformy AWS, natomiast podsieci platformy Azure są specyficzne dla regionu bez ograniczeń strefy dostępności. Projekt platformy Azure umożliwia zasobom przełączanie stref dostępności bez zmieniania adresów IP.
- Modele zabezpieczeń. AWS używa zarówno grup zabezpieczeń (stanowych), jak i list kontroli dostępu do sieci (bezstanowych). Platforma Azure używa sieciowych grup zabezpieczeń (stanowych).
- Wnikliwie patrząc. Zarówno Azure, jak i AWS obsługują peering sieci wirtualnych/VPC. Obie technologie pozwalają na bardziej złożone połączenia poprzez Azure Virtual WAN lub AWS Transit Gateway.
VPN
Zarówno sieć VPN typu lokacja-lokacja platformy AWS, jak i usługa Azure VPN Gateway to niezawodne rozwiązania do łączenia sieci lokalnych z chmurą. Zapewniają one podobne funkcje, ale istnieje godna uwagi różnica:
- Wydajność. Usługa VPN Gateway oferuje większą przepływność dla niektórych konfiguracji (do 10 Gb/s), natomiast sieć VPN typu lokacja-lokacja zazwyczaj waha się od 1,25 Gb/s do 5 Gb/s na połączenie (przy użyciu protokołu ECMP).
Usługi Elastic Load Balancing, Azure Load Balancer i Azure Application Gateway
Odpowiedniki usług elastycznego równoważenia obciążenia na platformie Azure to:
- moduł równoważenia obciążenia zapewnia te same funkcje warstwy 4 sieci co moduł równoważenia obciążenia sieciowego platformy AWS, dzięki czemu można dystrybuować ruch dla wielu maszyn wirtualnych na poziomie sieci. Zapewnia również możliwość przełączania awaryjnego.
- Application Gateway zapewnia routing oparty na regułach na poziomie aplikacji porównywalny z routingiem usługi AZURE Application Load Balancer.
Usługi Route 53, Azure DNS i Azure Traffic Manager
Na platformie AWS usługa Route 53 zapewnia zarządzanie nazwami DNS, umożliwia routing ruchu na poziomie usługi DNS oraz możliwości pracy w trybie failover. Na platformie Azure dwie usługi obsługują następujące zadania:
- Azure DNS — zapewnia zarządzanie domenami i usługą DNS.
- Traffic Manager zapewnia routing ruchu na poziomie DNS, równoważenie obciążenia i możliwości trybu failover.
AwS Direct Connect i Azure ExpressRoute
Usługa AWS Direct Connect może połączyć sieć bezpośrednio z platformą AWS. Platforma Azure zapewnia podobne połączenia dedykowane typu lokacja-lokacja za pośrednictwem usługi ExpressRoute. Za pomocą usługi ExpressRoute możesz połączyć sieć lokalną bezpośrednio z zasobami platformy Azure przy użyciu dedykowanego połączenia sieci prywatnej. Zarówno platforma Azure, jak i AWS oferują połączenia sieci VPN typu lokacja-lokacja.
Tabele tras
Usługa AWS udostępnia tabele tras zawierające trasy, które kierują ruch z podsieci lub podsieci bramy do miejsca docelowego. Na platformie Azure odpowiednia funkcja jest nazywana trasami zdefiniowanymi przez użytkownika (UDR).
Za pomocą tras zdefiniowanych przez użytkownika można tworzyć trasy niestandardowe lub zdefiniowane przez użytkownika (statyczne). Te trasy zastępują domyślne trasy systemowe platformy Azure. Możesz również dodać więcej tras do tabeli tras podsieci.
Azure Private Link
Usługa Private Link jest podobna do usługi AWS PrivateLink. Usługa Azure Private Link zapewnia łączność prywatną z sieci wirtualnej do rozwiązania typu "platforma jako usługa" platformy Azure(PaaS), usługi należącej do klienta lub usługi partnerskiej firmy Microsoft.
Komunikacja równorzędna VPC i komunikacja równorzędna sieci wirtualnych
W usłudze AWS połączenie peeringu VPC jest połączeniem sieciowym między dwoma wirtualnymi chmurami prywatnymi. To połączenie służy do kierowania ruchu między sieciami VPN przy użyciu prywatnych adresów protokołu internetowego w wersji 4 (IPv4) lub adresów protokołu internetowego w wersji 6 (IPv6).
Łączenie równorzędne sieci wirtualnych Azure umożliwia połączenie dwóch lub więcej sieci wirtualnych na platformie Azure. W celach łączności sieci wirtualne są wyświetlane jako jedno. Ruch między maszynami wirtualnymi w równorzędnych sieciach wirtualnych korzysta z infrastruktury szkieletowej firmy Microsoft. Podobnie jak ruch między maszynami wirtualnymi w jednej sieci, ruch jest kierowany tylko przez sieć prywatną firmy Microsoft.
Ani sieci wirtualne, ani chmury prywatne (VPC) nie zezwalają na przechodnie peering. Jednak na platformie Azure można osiągnąć sieć tranzytywną, korzystając z wirtualnych urządzeń sieciowych (NVA) lub bram w wirtualnej sieci koncentratora.
Porównanie usług sieciowych
| Obszar | Usługa AWS | Usługa platformy Azure | opis |
|---|---|---|---|
| Sieć wirtualna w chmurze | Wirtualna chmura prywatna (VPC) | Virtual Network | Te usługi zapewniają izolowane środowisko prywatne w chmurze. Masz kontrolę nad środowiskiem sieci wirtualnej, w tym wyborem własnego zakresu adresów IP, tworzeniem podsieci oraz konfiguracją tabel tras i bram sieciowych. W usłudze AWS każda podsieć musi znajdować się w jednej strefie dostępności. Na platformie Azure podsieci mogą obejmować wiele stref dostępności. |
| Bramy translatora adresów sieciowych | bram translatora adresów sieciowych platformy AWS | Azure NAT Gateway | Te usługi upraszczają łączność internetową tylko dla ruchu wychodzącego dla sieci wirtualnych. W podsieci można skonfigurować wszystkie połączenia wychodzące, aby używać określonych statycznych publicznych adresów IP. Łączność wychodząca jest możliwa bez równoważenia obciążenia ani publicznych adresów IP dołączonych bezpośrednio do maszyn wirtualnych. Bramki NAT AWS można skojarzyć tylko z pojedynczym publicznym adresem IP. Bramy NAT platformy Azure mogą mieć wiele publicznych adresów IP. |
| Połączenia obejmujące wiele lokalizacji | sieci VPN typu lokacja-lokacja | VPN Gateway | Sieć VPN typu lokacja-lokacja platformy AWS i usługa Azure VPN Gateway zapewniają zwiększone zabezpieczenia, niezawodne połączenia sieci VPN o wysokiej dostępności i obsługę standardowych protokołów branżowych. Najważniejsze różnice są związane z integracją z innymi usługami w chmurze i w określonych funkcjach, takich jak sieci VPN oparte na trasach i sieci VPN oparte na zasadach na platformie Azure. Sieć VPN platformy AWS zapewnia maksymalnie 5 Gb/s przepływność, natomiast platforma Azure zapewnia do 10 Gb/s. |
| Zarządzanie systemem DNS | Trasa 53 | Azure DNS | Usługa Azure DNS umożliwia zarządzanie rekordami DNS przy użyciu tych samych poświadczeń i umów rozliczeniowych i pomocy technicznej, które są używane dla innych usług platformy Azure. Obie usługi obsługują DNSSEC. |
| Routing oparty na systemie DNS | Trasa 53 | Traffic Manager | Te usługi hostują nazwy domen, kierują użytkowników do aplikacji internetowych, łączą żądaniami użytkowników z centrami danych, zarządzają ruchem do aplikacji i poprawiają dostępność aplikacji dzięki automatycznemu przełączeniu awaryjnemu. |
| Sieć dedykowana | Bezpośrednie połączenie | ExpressRoute | Te usługi ustanawiają dedykowane, prywatne połączenie sieciowe z lokalizacji do dostawcy usług w chmurze (nie przez Internet). |
| Równoważenie obciążenia | Moduł równoważenia obciążenia sieciowego | Load Balancer | Usługa Azure Load Balancer równoważy obciążenie ruchu w warstwie 4 (TCP lub UDP). usługa Load Balancer w warstwie Standardowa obsługuje również równoważenie obciążenia między regionami lub globalnymi. |
| Równoważenie obciążenia na poziomie aplikacji | Moduł równoważenia obciążenia aplikacji | Application Gateway | Usługa Application Gateway to moduł równoważenia obciążenia warstwy 7. Obsługuje ona kończenie żądań SSL, koligację sesji opartą na plikach cookie i działanie okrężne dla ruchu równoważenia obciążenia. Udostępnia również funkcje routingu i zabezpieczeń obejmujące wiele lokacji. |
| Tabele tras | Niestandardowe tabele tras | Trasy zdefiniowane przez użytkownika | Te tabele udostępniają trasy niestandardowe lub zdefiniowane przez użytkownika (statyczne) w celu zastąpienia domyślnych tras systemowych lub dodania większej liczby tras do tabeli tras podsieci. |
| Łącze prywatne | PrivateLink | Link prywatny platformy Azure | Usługa Azure Private Link zapewnia prywatny dostęp do usług hostowanych na platformie Azure. Dzięki temu dane są nadal używane w sieci firmy Microsoft. |
| Prywatna łączność PaaS | Punkty końcowe VPC | Prywatny punkt końcowy | Prywatny punkt końcowy zapewnia bezpieczną, prywatną łączność z różnymi zasobami platformy Azure jako usługi (PaaS) za pośrednictwem sieci prywatnej firmy Microsoft. |
| Komunikacja równorzędna sieci wirtualnej | Komunikacja równorzędna VPC | komunikacja równorzędna sieci wirtualnych | Komunikacja równorzędna sieci wirtualnych to mechanizm łączący dwie sieci wirtualne w tym samym regionie za pośrednictwem sieci szkieletowej platformy Azure. Po połączeniu sieciowym obie sieci wirtualne są wyświetlane jako jedna dla celów łączności. |
| Sieci dostarczania zawartości | CloudFront | Drzwi | Azure Front Door to nowoczesna usługa sieci dostarczania zawartości w chmurze (CDN), która zapewnia wysoką wydajność, skalowalność i bezpieczne środowiska użytkownika dla zawartości i aplikacji. |
| Monitorowanie sieci | Dzienniki przepływu VPC | Azure Network Watcher | Usługa Azure Network Watcher umożliwia monitorowanie, diagnozowanie i analizowanie ruchu w usłudze Azure Virtual Network. |
| Komunikacja równorzędna sieci wirtualnej | bramy tranzytowe AWS | Azure Virtual WAN | Te usługi upraszczają i rozszerzają łączność sieciową w wielu środowiskach w celu obsługi skalowalnych i elastycznych architektur sieciowych. Usługa Virtual WAN integruje się z usługami Azure Firewall i Azure DDoS Protection w celu zapewnienia dodatkowych funkcji zabezpieczeń. Bramy tranzytowe platformy AWS korzystają z usług zabezpieczeń platformy AWS, takich jak AWS Shield i AWS WAF. Usługa Virtual WAN została zaprojektowana pod kątem łączności globalnej, dzięki czemu łatwiej jest łączyć biura oddziałów i użytkowników zdalnych na całym świecie. Bramy tranzytowe platformy AWS obsługują 100 prefiksów protokołu BGP na połączenie prywatne. Prywatna komunikacja równorzędna usługi Virtual WAN obsługuje 1000 prefiksów protokołu BGP. |
| Sieć wirtualna w chmurze | AWS Global Accelerator | Azure Traffic Manager | Te usługi zwiększają dostępność i wydajność aplikacji dzięki globalnemu routingowi i zarządzaniu ruchem. |
| Połączenia obejmujące wiele lokalizacji | bramy usługi AWS Direct Connect | Azure ExpressRoute Global Reach | Te usługi rozszerzają sieci lokalne na chmurę za pomocą dedykowanych połączeń prywatnych obejmujących wiele regionów. |
| Sieć na poziomie aplikacji | usługi App Mesh platformy AWS | usługi Azure Service Fabric | Te usługi zapewniają sieć na poziomie aplikacji do zarządzania mikrousługami, w tym odnajdywaniem usług, równoważeniem obciążenia i routingiem ruchu. |
| Odnajdywanie usług | mapy chmury platformy AWS | Azure Private DNS | Te usługi zapewniają odnajdywanie usług dla zasobów w chmurze. Umożliwiają one rejestrowanie zasobów aplikacji i dynamiczne aktualizowanie ich lokalizacji. |
Architektury sieci
| Architektura | opis |
|---|---|
| Wdrażanie urządzeń WUS o wysokiej dostępności | Dowiedz się, jak wdrożyć wirtualne urządzenia sieciowe, aby zapewnić wysoką dostępność na platformie Azure. Ten artykuł zawiera przykładowe architektury dla ruchu przychodzącego, ruchu wychodzącego oraz ruchu obu tych typów. |
| Topologia sieci piasty i szprych na platformie Azure | Dowiedz się, jak wdrożyć topologię piasty i szprych na platformie Azure, w której piasta jest siecią wirtualną, a szprychy to sieci wirtualne będące węzłami równorzędnymi piasty. |
| Implementowanie bezpiecznej sieci hybrydowej | Zobacz, jak zaimplementować bezpieczną sieć hybrydową, która rozszerza sieć lokalną na platformę Azure i w której między siecią lokalną i siecią wirtualną platformy Azure znajduje się sieć obwodowa. |
Wyświetl wszystkie architektury sieciowe.
Współpracownicy
Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.
Główny autor:
- Konstantin Rekatas | Główny architekt rozwiązań w chmurze
Inny współautor:
- Adam Cerini | Dyrektor, Partner TechnologyStrateg
Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.
Następne kroki
- Tworzenie sieci wirtualnej przy użyciu witryny Azure Portal
- planowanie i projektowanie sieci wirtualnych platformy Azure
- najlepszych rozwiązań dotyczących zabezpieczeń sieci platformy Azure
Powiązane zasoby
- porównanie zarządzania zasobami platformy AWS i platformy Azure
- Porównaj konta AWS i Azure