你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
比较 AWS 和 Azure 网络选项
本文比较 Azure 和 Amazon Web Services (AWS) 提供的核心网络服务。
有关比较 AWS 与 Azure 的其他服务以及 AWS 与 Azure 之间完整服务映射的文章链接,请参阅Azure 面向 AWS 专业人员。
Azure 虚拟网络和 AWS VPN
Azure 虚拟网络和 AWS 虚拟私有云(VPC)也类似,因为它们在各自的云平台中提供隔离的、逻辑定义的网络空间。 但是,体系结构、功能和集成方面存在主要差异。
- 子网位置。 AWS 子网与 AWS 可用性区域相关联,而 Azure 子网特定于区域,没有可用性区域约束。 Azure 设计允许资源在不更改 IP 地址的情况下切换可用性区域。
- 安全模型。 AWS 同时使用安全组(有状态)和网络访问控制列表(无状态)。 Azure 使用网络安全组(有状态)。
- 对等互连。 Azure 和 AWS 都支持虚拟网络/VR 对等互连。 这两种技术都允许通过 Azure 虚拟 WAN 或 AWS 转接网关实现更复杂的对等互连。
VPN
AWS 站点到站点 VPN 和 Azure VPN 网关都是将本地网络连接到云的强大解决方案。 它们提供类似的功能,但存在显著差异:
- 性能。 VPN 网关为某些配置(高达 10 Gbps)提供更高的吞吐量,而站点到站点 VPN 通常介于每个连接 1.25 Gbps 和 5 Gbps 之间(使用 ECMP)。
弹性负载均衡、Azure 负载均衡器和 Azure 应用程序网关
弹性负载均衡服务的 Azure 等效项包括:
- 负载均衡器 提供与 AWS 网络负载均衡器相同的网络第 4 层功能,因此可以在网络级别为多个 VM 分配流量。 此外,它还提供故障转移功能。
- 应用程序网关 提供与 AWS 应用程序负载均衡器相当的应用程序级基于规则的路由。
Route 53、Azure DNS 和 Azure 流量管理器
在 AWS 中,Route 53 提供 DNS 名称管理,以及 DNS 级别的流量路由和故障转移服务。 在 Azure 中,两个服务处理以下任务:
- Azure DNS 提供域和 DNS 管理。
- 流量管理器 提供 DNS 级别的流量路由、负载均衡和故障转移功能。
AWS Direct Connect 和 Azure ExpressRoute
AWS Direct Connect 可以将网络直接链接到 AWS。 Azure 通过 ExpressRoute 提供类似的站点到站点专用连接。 可以使用 ExpressRoute 通过专用网络连接将本地网络直接连接到 Azure 资源。 Azure 和 AWS 都提供站点到站点 VPN 连接。
路由表
AWS 提供包含将流量从子网或网关子网定向到目标的路由的路由表。 在 Azure 中,相应的功能称为用户定义的路由(UDR)。
使用用户定义的路由,可以创建自定义或用户定义的(静态)路由。 这些路由将替代默认的 Azure 系统路由。 还可以向子网的路由表添加更多路由。
Azure 专用链接
专用链接类似于 AWS PrivateLink。 Azure 专用链接提供从虚拟网络到 Azure 平台即服务(PaaS)解决方案、客户拥有的服务或Microsoft合作伙伴服务的专用连接。
VPC 对等互连和虚拟网络对等互连
在 AWS 中,VPC 对等互连连接是两个 VPC 之间的网络连接。 可以使用此连接通过专用 Internet 协议版本 4(IPv4) 地址或 Internet 协议版本 6 (IPv6) 地址在 VPN 之间路由流量。
可以使用 Azure 虚拟网络对等互连,将 Azure 中的两个或多个虚拟网络连接起来。 出于连接目的,虚拟网络显示为一个。 对等互连虚拟网络中虚拟机之间的流量使用 Microsoft 主干基础结构。 与单个网络中虚拟机之间的流量一样,流量仅通过Microsoft专用网络进行路由。
虚拟网络和 VPC 都不允许可传递对等互连。 但是,在 Azure 中,可以使用中心虚拟网络中的网络虚拟设备(NVA)或网关实现可传递网络。
网络服务比较
| 分区图 | AWS 服务 | Azure 服务 | 描述 |
|---|---|---|---|
| 云虚拟网络 | 虚拟私有云 (VPC) | 虚拟网络 | 这些服务在云中提供隔离的专用环境。 可以控制虚拟网络环境,包括选择自己的 IP 地址范围、创建子网以及配置路由表和网络网关。 在 AWS 中,每个子网必须驻留在一个可用性区域中。 在 Azure 中,子网可以跨越多个可用性区域。 |
| NAT 网关 | AWS NAT 网关 | Azure NAT 网关 | 这些服务简化了虚拟网络仅限出站的 Internet 连接。 在子网上,可以将所有出站连接配置为使用指定的静态公共 IP 地址。 无需使用负载均衡器或者将公共 IP 地址直接附加到虚拟机,即可建立出站连接。 AWS NAT 网关只能与单个公共 IP 相关联。 Azure NAT 网关可以有多个公共 IP。 |
| 跨界连接 | 站点到站点 VPN | VPN 网关 | AWS 站点到站点 VPN 和 Azure VPN 网关提供增强的安全性、可靠的 VPN 连接,并提供高可用性和支持行业标准协议。 主要区别在于它们与其他云服务的集成,以及 Azure 中基于路由的 VPN 和基于策略的 VPN 等特定功能。 AWS VPN 最多提供 5 Gbps 吞吐量,而 Azure 最多提供 10 Gbps。 |
| DNS 管理 | Route 53 | Azure DNS | Azure DNS 允许你使用用于其他 Azure 服务的相同凭据和支持合同来管理 DNS 记录。 这两个服务都支持 DNSSEC。 |
| 基于 DNS 的路由 | Route 53 | 流量管理器 | 这些服务托管域名,将用户路由到 Internet 应用程序,将用户请求连接到数据中心,管理应用流量,并通过自动故障转移提高应用可用性。 |
| 专用网络 | Direct Connect | ExpressRoute | 这些服务在某位置和云提供商之间建立一个专用的私有网络连接(不通过 Internet)。 |
| 负载均衡 | 网络负载均衡器 | 负载均衡器 | Azure 负载均衡器在第 4 层对流量进行负载均衡(TCP 或 UDP)。 标准负载均衡器还支持跨区域或全局负载均衡。 |
| 应用程序级负载均衡 | 应用程序负载均衡器 | 应用程序网关 | 应用程序网关是第 7 层负载均衡器。 它支持 SSL 终止、基于 Cookie 的会话亲和性以及对流量进行负载均衡的轮循机制。 它还提供多站点路由和安全功能。 |
| 路由表 | 自定义路由表 | 用户定义路由 | 这些表提供自定义路由或用户定义的路由来替代默认系统路由,或向子网的路由表添加更多路由。 |
| 专用链接 | 专用链接 | Azure 专用链接 | Azure 专用链接提供对 Azure 平台上托管的服务的专用访问。 这会将数据保留在 Microsoft 网络上。 |
| 专用 PaaS 连接 | VPC 终结点 | 专用终结点 | 使用专用终结点,可通过主干 Microsoft 专用网络与 Azure 平台即服务 (PaaS) 资源建立安全的专用连接。 |
| 虚拟网络对等互连 | VPC 对等互连 | 虚拟网络对等互连 | 虚拟网络对等互连是一种通过 Azure 主干网络在同一区域连接两个虚拟网络的机制。 对等互连后,出于所有连接目的,两个虚拟网络会显示为一个。 |
| 内容分发网络 | CloudFront | Front Door | Azure Front Door 是一种新式云内容分发网络 (CDN) 服务,可为你的内容和应用程序提供高性能、可伸缩性和安全的用户体验。 |
| 网络监控 | VPC 流日志 | Azure 网络观察程序 | Azure 网络观察程序可用于监视、诊断和分析 Azure 虚拟网络中的流量。 |
| 虚拟网络对等互连 | AWS 传输网关 | Azure 虚拟 WAN | 这些服务可简化和增强跨多个环境的网络连接,以支持可缩放且灵活的网络体系结构。 虚拟 WAN 与 Azure 防火墙和 Azure DDoS 防护集成,以提供其他安全功能。 AWS 传输网关依赖于 AWS 防护和 AWS WAF 等 AWS 安全服务。 虚拟 WAN 专为全球连接而设计,因此可以更轻松地连接世界各地的分支机构和远程用户。 AWS 传输网关支持每个专用连接 100 个 BGP 前缀。 虚拟 WAN 专用对等互连支持 1,000 个 BGP 前缀。 |
| 云虚拟网络 | AWS 全局加速器 | Azure 流量管理器 | 这些服务通过全局路由和流量管理提高应用程序的可用性和性能。 |
| 跨界连接 | AWS Direct Connect 网关 | Azure ExpressRoute Global Reach | 这些服务使用跨多个区域的专用连接将本地网络扩展到云。 |
| 应用程序级网络 | AWS 应用 Mesh | Azure 服务结构 | 这些服务提供应用程序级网络来管理微服务,包括服务发现、负载均衡和流量路由。 |
| 服务发现 | AWS 云映射 | Azure 专用 DNS | 这些服务为云资源提供服务发现功能。 它们使你能够注册应用程序资源并动态更新其位置。 |
网络体系结构
| 体系结构 | 描述 |
|---|---|
| 部署具有高可用性的 NVA | 了解如何在 Azure 中部署网络虚拟设备以实现高可用性。 本文包括适用于入口、出口及同时适用于这两者的示例体系结构。 |
| Azure 中的中心辐射型网络拓扑 | 了解如何在 Azure 中实现中心辐射型拓扑,其中中心是一个虚拟网络,辐条是与中心对等互连的虚拟网络。 |
| 实现安全的混合网络 | 请参阅通过本地网络和 Azure 虚拟网络之间的外围网络将本地网络扩展到 Azure 的安全混合网络。 |
贡献者
本文由Microsoft维护。 它最初由以下参与者编写。
主要作者
- 康斯坦廷·雷卡塔斯 |首席云解决方案架构师
其他参与者:
- 亚当·塞里尼 |合作伙伴技术策略师主管
若要查看隐藏的 LinkedIn 个人资料,请登录 LinkedIn。