Сравнение вариантов сетевого подключения в AWS и Azure
В этой статье сравниваются основные сетевые службы, которые предлагают Azure и Amazon Web Services (AWS).
Ссылки на статьи, которые сравнивают другие службы AWS и Azure, а также полное соответствие служб между AWS и Azure, см. Azure для специалистов AWS.
Виртуальные сети Azure и виртуальные платформы AWS
Виртуальные сети Azure и виртуальные частные облака AWS аналогичны тем, что они предоставляют изолированные, логически определенные сетевые пространства в соответствующих облачных платформах. Однако существуют ключевые различия с точки зрения архитектуры, функций и интеграции.
- Размещение подсети. Подсети AWS привязаны к зонам доступности AWS, а подсети Azure зависят от региона без ограничений зоны доступности. Проект Azure позволяет ресурсам переключать зоны доступности без изменения IP-адресов.
- Модели безопасности. AWS использует как группы безопасности (с сохранением состояния), так и сетевые списки контроля доступа (без сохранения состояния). Azure использует группы безопасности сети (с сохранением состояния).
- Вглядываясь. Azure и AWS поддерживают пиринг виртуальных сетей или VPC. Обе технологии позволяют более сложный пиринг с помощью Виртуальной глобальной сети Azure или шлюза передачи AWS.
VPN
VPN типа "сеть — сеть" AWS и VPN-шлюз Azure — это надежные решения для подключения локальных сетей к облаку. Они предоставляют аналогичные функции, но есть заметное различие:
- Производительность. VPN-шлюз обеспечивает более высокую пропускную способность для определенных конфигураций (до 10 Гбит/с), в то время как VPN типа "сеть — сеть" обычно варьируется от 1,25 Гбит/с до 5 Гбит/с на подключение (с помощью ECMP).
Эластичная балансировка нагрузки, Azure Load Balancer и шлюз приложений Azure
Эквиваленты Azure служб эластичной балансировки нагрузки:
- Load Balancer предоставляет те же возможности сетевого уровня 4, что и подсистема балансировки нагрузки сети AWS, поэтому можно распределять трафик для нескольких виртуальных машин на уровне сети. Она также предоставляет функционал аварийного переключения.
- Шлюз приложений обеспечивает маршрутизацию на уровне приложений на основе правил, сравнимую с маршрутизацией, которую предлагает AWS Application Load Balancer.
Route 53, Azure DNS и диспетчер трафика Azure
В AWS Route 53 обеспечивает управление DNS-именами, маршрутизацию трафика на уровне DNS и службы отработки отказа. В Azure две службы обрабатывают следующие задачи:
- Azure DNS — обеспечивает управление доменами и DNS.
- диспетчер трафика предоставляет возможности маршрутизации трафика на уровне DNS, балансировки нагрузки и обеспечения отказоустойчивости.
AWS Direct Connect и Azure ExpressRoute
AWS Direct Connect может связать сеть непосредственно с AWS. Azure предоставляет аналогичные выделенные подключения типа "сеть — сеть" через ExpressRoute. ExpressRoute можно использовать для подключения локальной сети непосредственно к ресурсам Azure с помощью выделенного частного сетевого подключения. Как Azure, так и AWS предлагают VPN-подключения типа "сеть — сеть".
Таблицы маршрутов
AWS предоставляет таблицы маршрутов, содержащие маршруты, которые направляют трафик из подсети или подсети шлюза в место назначения. В Azure соответствующая функция называется определяемыми пользователем маршрутами (UDR).
С помощью настраиваемых пользователем маршрутов можно создавать настраиваемые или пользовательские (статические) маршруты. Эти маршруты переопределяют стандартные системные маршруты Azure. Вы также можете добавить дополнительные маршруты в таблицу маршрутов подсети.
Приватный канал Azure
Приватная ссылка аналогична AWS PrivateLink. Приватный канал Azure обеспечивает частное подключение из виртуальной сети к платформе Azure как услуга (PaaS), службе клиента или партнерской службе Майкрософт.
Пиринг VPC и пиринг между виртуальными сетями
В AWS подключение пиринга VPC — это сетевое соединение между двумя виртуальными частными облаками. Это подключение можно использовать для маршрутизации трафика между виртуальными машинами с помощью частных адресов протокола Интернета 4 (IPv4) или ip-адресов версии 6 (IPv6).
Пиринг между виртуальными сетями Azure можно использовать для подключения двух или нескольких виртуальных сетей в Azure. Для целей подключения виртуальные сети представляются как единая сеть. Точно так же трафик между виртуальными машинами в одноранговых виртуальных сетях использует магистральную инфраструктуру Майкрософт. Как и трафик между виртуальными машинами в одной сети, трафик направляется только через частную сеть Майкрософт.
Ни виртуальные сети, ни виртуальные частные облака не разрешают транзитивную пиринговую связь. Однако в Azure можно достичь транзитивной сети с помощью виртуальных сетевых устройств (NVAs) или шлюзов в центральной виртуальной сети.
Сравнение сетевых служб
| Площадь | Служба AWS | Служба Azure | Description |
|---|---|---|---|
| Виртуальные облачные сети | Виртуальное частное облако (VPC) | Виртуальная сеть | Эти службы предоставляют изолированную частную среду в облаке. Вы контролируете среду виртуальной сети, включая выбор собственного диапазона IP-адресов, создание подсетей и настройку таблиц маршрутов и сетевых шлюзов. В AWS каждая подсеть должна находиться в одной зоне доступности. В Azure подсети могут охватывать несколько зон доступности. |
| Шлюзы NAT | шлюзы NAT AWS | шлюз Azure NAT | Эти службы упрощают исходящее подключение к Интернету для виртуальных сетей. В подсети можно настроить все исходящие подключения для использования статических общедоступных IP-адресов, указанных вами. Исходящее подключение возможно без подсистемы балансировки нагрузки или общедоступных IP-адресов, подключенных непосредственно к виртуальным машинам. Шлюзы AWS NAT могут быть связаны только с одним общедоступным IP-адресом. Шлюзы NAT Azure могут иметь несколько общедоступных IP-адресов. |
| Возможность распределенного подключения | Межсайтовый VPN | VPN-шлюз | VPN типа "сеть — сеть" AWS и VPN-шлюз Azure обеспечивают расширенную безопасность, надежные VPN-подключения с высокой доступностью и поддержкой отраслевых протоколов. Основные различия в их интеграции с другими облачными службами и в конкретных функциях, таких как vpn на основе маршрутов и vpn на основе политик в Azure. VPN AWS обеспечивает максимальную пропускную способность 5 Гбит/с, а Azure — до 10 Гбит/с. |
| Управление DNS | Маршрут 53 | Azure DNS | Azure DNS позволяет управлять записями DNS, используя те же учетные данные, а также контракт на выставление счетов и поддержку, который вы используете для других служб Azure. Обе службы поддерживают DNSSEC. |
| Маршрутизация на основе DNS | Маршрут 53 | Диспетчер трафика | Эти службы размещают доменные имена, направляют пользователей к интернет-приложениям, подключают запросы пользователей к центрам обработки данных, управляют трафиком к приложениям и повышают доступность приложений с помощью автоматического переключения на резервный ресурс. |
| Выделенная сеть | Direct Connect | ExpressRoute | Эти службы устанавливают выделенное частное сетевое подключение из расположения к поставщику облачных служб (не через Интернет). |
| Балансировка нагрузки | Network Load Balancer | Load Balancer | Azure Load Balancer распределяет нагрузку трафика на уровне 4 (TCP или UDP). Load Balancer (цен. категория "Стандартный") также поддерживает балансировку нагрузки между регионами и глобальную балансировку нагрузки. |
| Балансировка нагрузки на уровне приложения | Подсистема балансировки нагрузки приложения | Шлюз приложений | Шлюз приложений — это балансировщик нагрузки уровня 7. Он поддерживает завершение SSL-подключений, сходство сеансов на основе файлов cookie и циклический перебор для распределения нагрузки трафика. Он также предоставляет функции маршрутизации между несколькими сайтами и безопасности. |
| Таблицы маршрутов | Пользовательские таблицы маршрутов | Определяемые пользователем маршруты | Эти таблицы предоставляют пользовательские или пользовательские (статические) маршруты для переопределения системных маршрутов по умолчанию или добавления дополнительных маршрутов в таблицу маршрутов подсети. |
| Приватный канал | PrivateLink | Приватный канал Azure | Приватный канал Azure предоставляет закрытый доступ к службам, размещенным на платформе Azure. Это позволяет хранить данные в сети Майкрософт. |
| Частное подключение PaaS | Конечные точки VPC | Частная конечная точка | Частная конечная точка обеспечивает защищенное частное подключение к различным ресурсам платформы Azure как услуги (PaaS) через магистральную частную сеть Майкрософт. |
| Пиринг между виртуальными сетями | Пиринг VPC | пиринг между виртуальными сетями | Пиринг между виртуальными сетями — это механизм, который подключает две виртуальные сети в одном регионе через магистральную сеть Azure. После соединения две виртуальные сети выглядят как единая сеть для всех целей подключения. |
| Сети доставки содержимого | CloudFront | Front Door | Azure Front Door — это современная облачная служба доставки содержимого (CDN), которая обеспечивает высокую производительность, масштабируемость и безопасные возможности пользователей для содержимого и приложений. |
| Мониторинг сети | Журналы потоков VPC | Наблюдатель за сетями Azure | Наблюдатель за сетями Azure позволяет отслеживать, диагностировать и анализировать трафик в виртуальной сети Azure. |
| Пиринг между виртуальными сетями | Транзитные шлюзы AWS | Azure Virtual WAN | Эти службы упрощают и улучшают сетевое подключение в нескольких средах для поддержки масштабируемых и гибких сетевых архитектур. Виртуальная глобальная сеть интегрируется с брандмауэром Azure и защитой от атак DDoS Azure для предоставления дополнительных функций безопасности. Транзитные шлюзы AWS используют такие службы безопасности AWS, как AWS Shield и AWS WAF. Виртуальная глобальная сеть предназначена для глобального подключения, поэтому проще подключать филиалы и удаленных пользователей по всему миру. Шлюзы транзита AWS поддерживают префиксы BGP 100 для каждого частного подключения. Частный пиринг виртуальной глобальной сети поддерживает 1000 префиксов BGP. |
| Виртуальные облачные сети | глобальный акселератор AWS | Диспетчер трафика Azure | Эти службы повышают доступность и производительность приложений с помощью глобальной маршрутизации и управления трафиком. |
| Возможность распределенного подключения | шлюзы AWS Direct Connect | Azure ExpressRoute Global Reach | Эти службы расширяют локальные сети в облаке с выделенными частными подключениями, охватывающими несколько регионов. |
| Сеть на уровне приложения | сетка приложений AWS | Azure Service Fabric | Эти службы предоставляют сети на уровне приложений для управления микрослужбами, включая обнаружение служб, балансировку нагрузки и маршрутизацию трафика. |
| Обнаружение сервисов | облачной карты AWS | частные DNS Azure | Эти службы предоставляют обнаружение сервисов для облачных ресурсов. Они позволяют регистрировать ресурсы приложения и динамически обновлять их расположения. |
Архитектуры сетей
| Архитектура | Description |
|---|---|
| Развертывание высокодоступных NVAs | Узнайте, как развертывать набор сетевых виртуальных модулей для обеспечения высокой доступности в Azure. Статья включает примеры архитектуры для передачи входящего и (или) исходящего трафика. |
| Звездообразная топологии сети в Azure | Узнайте, как реализовать звездообразную топологию в Azure, где концентратор является виртуальной сетью, а периферийные узлы — виртуальными сетями с пиринговым подключением к концентратору. |
| Реализация безопасной гибридной сети | Узнайте о безопасной гибридной сети, которая расширяет локальную сеть в Azure за счет использования промежуточной подсети между локальной сетью и виртуальной сетью Azure. |
просмотреть все сетевые архитектуры.
Участники
Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участниками.
Основной автор:
- Константин Rekatas | Главный архитектор облачных решений
Другой участник:
- Адам Серини | Директор, Стратег технологий партнеров
Чтобы просмотреть недоступные профили LinkedIn, войдите в LinkedIn.
Дальнейшие действия
- Создание виртуальной сети с помощью портала Azure
- Планирование и проектирование виртуальных сетей Azure
- рекомендации по обеспечению безопасности сети Azure