Az AWS és az Azure hálózatkezelési beállításainak összehasonlítása
Ez a cikk az Azure és az Amazon Web Services (AWS) által kínált alapvető hálózati szolgáltatásokat hasonlítja össze.
Az egyéb AWS- és Azure-szolgáltatásokat összehasonlító cikkekre, valamint az AWS és az Azure közötti teljes szolgáltatásleképezésre mutató hivatkozásokért tekintse meg Azure for AWS-szakemberek.
Azure-beli virtuális hálózatok és AWS-VPN-ek
Az Azure-beli virtuális hálózatok és az AWS virtuális magánfelhők (VPC-k) abban hasonlítanak, hogy mindkettő elszigetelt, logikailag definiált hálózati teret biztosít a megfelelő felhőplatformjaikon belül. Az architektúra, a funkciók és az integráció tekintetében azonban lényeges különbségek vannak.
- Alhálózat elhelyezése. Az AWS-alhálózatok az AWS rendelkezésre állási zónáihoz vannak kötve, míg az Azure-alhálózatok régióspecifikusak a rendelkezésre állási zóna korlátozásai nélkül. Az Azure-kialakítás lehetővé teszi az erőforrások számára a rendelkezésre állási zónák közötti váltást az IP-címek módosítása nélkül.
- Biztonsági modellek. Az AWS mind a biztonsági csoportokat (állapotalapú), mind a hálózati hozzáférés-vezérlési listákat (állapot nélküli) használja. Az Azure hálózati biztonsági csoportokat használ (állapotalapú).
- Összekapcsolódás. Az Azure és az AWS egyaránt támogatja a virtuális hálózat/VPC peeringet. Mindkét technológia összetettebb kapcsolat kiépítését teszi lehetővé az Azure Virtual WAN vagy az AWS Transit Gateway használatával.
VPN
Az AWS helyek közötti VPN és az Azure VPN Gateway egyaránt robusztus megoldás a helyszíni hálózatok felhőhöz való csatlakoztatásához. Hasonló funkciókat nyújtanak, de jelentős különbség van:
- Teljesítmény. A VPN Gateway magasabb átviteli sebességet biztosít bizonyos konfigurációkhoz (akár 10 Gb/s- ig), míg a helyek közötti VPN általában 1,25 Gbps és 5 Gbps közötti kapcsolatonként (ECMP használatával).
Elastic Load Balancing, Azure Load Balancer és Azure Application Gateway
A rugalmas terheléselosztási szolgáltatások Azure-beli megfelelői a következők:
- Load Balancer ugyanazokat a 4. hálózati rétegbeli képességeket biztosítja, mint az AWS hálózati terheléselosztó, így hálózati szinten több virtuális gép forgalmát is eloszthatja. Feladatátvételi képességet is biztosít.
- Application Gateway alkalmazásszintű szabályalapú útválasztást biztosít, amely az AWS-alkalmazás terheléselosztóéhoz hasonló.
Route 53, Azure DNS és Azure Traffic Manager
Az AWS-ben a Route 53 a DNS-nevek kezelését és DNS-szintű forgalom-útválasztást és feladatátvételi szolgáltatásokat is nyújt. Az Azure-ban két szolgáltatás kezeli a következő feladatokat:
- Az Azure DNS tartomány- és DNS-kezelést nyújt.
- Traffic Manager DNS-szintű forgalomirányítási, terheléselosztási és feladatátvételi képességeket biztosít.
AWS Direct Connect és Azure ExpressRoute
Az AWS Direct Connect közvetlenül csatlakoztathat egy hálózatot az AWS-hez. Az Azure hasonló helyek közötti dedikált kapcsolatokat biztosít az ExpressRoute-on keresztül. Az ExpressRoute használatával közvetlenül az Azure-erőforrásokhoz csatlakoztathatja a helyi hálózatot egy dedikált magánhálózati kapcsolattal. Az Azure és az AWS egyaránt kínál helyek közötti VPN-kapcsolatokat.
Útválasztási táblázatok
Az AWS olyan útvonaltáblákat biztosít, amelyek olyan útvonalakat tartalmaznak, amelyek egy alhálózatról vagy átjáróalhálózatról a célhelyre irányítják a forgalmat. Az Azure-ban a megfelelő funkciót felhasználó által megadott útvonalaknak (UDR-eknek) nevezzük.
Felhasználó által definiált útvonalakkal egyéni vagy felhasználó által definiált (statikus) útvonalakat hozhat létre. Ezek az útvonalak felülbírálják az alapértelmezett Azure-rendszerútvonalakat. További útvonalakat is hozzáadhat az alhálózat útvonaltábláihoz.
Azure Private Link
A Private Link hasonló az AWS PrivateLinkhez. Az Azure Private Link privát kapcsolatot biztosít egy virtuális hálózatról egy Azure-platform mint szolgáltatás (PaaS) megoldáshoz, egy ügyfél által birtokolt szolgáltatáshoz vagy egy Microsoft-partnerszolgáltatáshoz.
VPC-társviszony-létesítés és virtuális hálózati társviszony-létesítés
Az AWS-ben a VPC-peering kapcsolat két VPC közötti hálózati kapcsolat. Ezzel a kapcsolattal átirányíthatja a VPN-ek közötti forgalmat a magánhálózati Ip Protocol 4-es (IPv4-) vagy 6-os verziójú (IPv6) címeinek használatával.
Az Azure-beli virtuális hálózatok közötti társviszony-létesítéssel két vagy több virtuális hálózatot csatlakoztathat az Azure-ban. Kapcsolati okokból a virtuális hálózatok egyként jelennek meg. A társhálózatok virtuális gépei közötti forgalom a Microsoft gerinchálózati infrastruktúrát használja. Az egyetlen hálózatban lévő virtuális gépek közötti forgalomhoz hasonlóan a forgalom csak a Microsoft magánhálózatán keresztül lesz irányítva.
Sem a virtuális hálózatok, sem a VPC-k nem teszik lehetővé a tranzitív társviszony-létesítést. Az Azure-ban azonban a hálózati virtuális berendezések (NVA-k) vagy a központi virtuális hálózaton található átjárók használatával tranzitív hálózatkezelés érhető el.
Hálózati szolgáltatás összehasonlítása
| Terület | AWS-szolgáltatás | Azure-szolgáltatás | Leírás |
|---|---|---|---|
| Felhőbeli virtuális hálózatkezelés | Virtuális magánfelhő (VPC) | Virtual Network | Ezek a szolgáltatások elszigetelt privát környezetet biztosítanak a felhőben. Ön szabályozhatja a virtuális hálózati környezetet, beleértve a saját IP-címtartomány kiválasztását, az alhálózatok létrehozását, valamint az útvonaltáblák és hálózati átjárók konfigurálását. Az AWS-ben minden alhálózatnak egy rendelkezésre állási zónában kell lennie. Az Azure-ban az alhálózatok több rendelkezésre állási zónára is kiterjedhetnek. |
| NAT-átjárók | AWS NAT-átjárók | Azure NAT Gateway | Ezek a szolgáltatások leegyszerűsítik a csak kimenő internetkapcsolatot a virtuális hálózatok számára. Egy alhálózaton konfigurálhatja az összes kimenő kapcsolatot a megadott statikus nyilvános IP-címek használatára. A kimenő kapcsolat terheléselosztó vagy a virtuális gépekhez közvetlenül csatlakoztatott nyilvános IP-címek nélkül is lehetséges. Az AWS NAT-átjárók csak egyetlen nyilvános IP-címhez társíthatók. Az Azure NAT-átjárók több nyilvános IP-címekkel is rendelkezhetnek. |
| Létesítmények közötti kapcsolatok | helyszínek közötti VPN | VPN Gateway | Az AWS helyek közötti VPN és az Azure VPN Gateway fokozott biztonságú, megbízható VPN-kapcsolatokat biztosít magas rendelkezésre állással és az iparági szabványoknak megfelelő protokollok támogatásával. A fő különbségek a más felhőszolgáltatásokkal való integrációjukban és bizonyos funkciókban, például az útvonalalapú és szabályzatalapú VPN-ekben vannak az Azure-ban. Az AWS VPN legfeljebb 5 Gb/s átviteli sebességet biztosít, míg az Azure akár 10 Gb/s-os teljesítményt is biztosít. |
| DNS-kezelés | 53-es útvonal | Azure DNS- | Az Azure DNS lehetővé teszi a DNS-rekordok kezelését ugyanazokkal a hitelesítő adatokkal, valamint a számlázási és támogatási szerződésekkel, amelyeket a többi Azure-szolgáltatáshoz használ. Mindkét szolgáltatás támogatja DNSSEC. |
| DNS-alapú útválasztás | 53-es útvonal | Traffic Manager | Ezek a szolgáltatások tartományneveket üzemeltetnek, a felhasználókat internetes alkalmazásokhoz irányítják, felhasználói kéréseket csatlakoztatnak az adatközpontokhoz, kezelik az alkalmazások forgalmát, és automatikus feladatátvétellel javítják az alkalmazások rendelkezésre állását. |
| Dedikált hálózat | Közvetlen csatlakozás | ExpressRoute | Ezek a szolgáltatások dedikált, privát hálózati kapcsolatot létesítenek egy helyről a felhőszolgáltatóhoz (nem az interneten keresztül). |
| Terheléselosztás | Hálózati terheléselosztó | Load Balancer | Az Azure Load Balancer terheléselosztása a 4. rétegben (TCP vagy UDP). A Standard Load Balancer támogatja a régiók közötti vagy a globális terheléselosztást is. |
| Alkalmazásszintű terheléselosztás | Application Load Balancer | Application Gateway | Az Application Gateway egy 7. rétegbeli terheléselosztó. Támogatja az SSL-leállítást, a cookie-alapú munkamenet-affinitást és a terheléselosztási forgalom ciklikus időszeletelését. Emellett többhelyes útválasztási és biztonsági funkciókat is biztosít. |
| Útválasztási táblázatok | Egyéni útvonaltáblák | Felhasználó által megadott útvonalak | Ezek a táblák egyéni vagy felhasználó által definiált (statikus) útvonalakat biztosítanak az alapértelmezett rendszerútvonalak felülbírálásához, vagy további útvonalak hozzáadásához az alhálózat útvonaltábláihoz. |
| Private Link | PrivateLink | Azure Private Link | Az Azure Private Link privát hozzáférést biztosít az Azure platformon üzemeltetett szolgáltatásokhoz. Így az adatok a Microsoft-hálózaton maradnak. |
| Privát PaaS-kapcsolat | VPC-végpontok | Privát végpont | A privát végpont biztonságos, privát kapcsolatot biztosít a különböző Azure-platform mint szolgáltatás (PaaS) erőforrásokhoz egy microsoftos magánhálózaton keresztül. |
| Virtuális hálózati társviszony | VPC-társviszony-létesítés | virtuális hálózatok összekapcsolása | A virtuális hálózatok közötti társviszony-létesítés olyan mechanizmus, amely két, ugyanabban a régióban lévő virtuális hálózatot köt össze az Azure gerinchálózatán keresztül. A társviszony létesítése után a két virtuális hálózat minden kapcsolati célra egyként jelenik meg. |
| Tartalomkézbesítési hálózatok | CloudFront | Főbejárat | Az Azure Front Door egy modern felhőbeli tartalomkézbesítési hálózat (CDN) szolgáltatás, amely nagy teljesítményt, méretezhetőséget és biztonságos felhasználói élményt nyújt a tartalmak és alkalmazások számára. |
| Hálózatfigyelés | VPC-folyamatnaplók | Azure Network Watcher | Az Azure Network Watcher segítségével figyelheti, diagnosztizálhatja és elemezheti az Azure Virtual Network forgalmát. |
| Virtuális hálózati társviszony | AWS tranzit átjárók | Azure Virtual WAN |
Ezek a szolgáltatások egyszerűsítik és javítják a hálózati kapcsolatot több környezetben, hogy támogassák a méretezhető és rugalmas hálózati architektúrákat. A Virtual WAN integrálható az Azure Firewall és az Azure DDoS Protection szolgáltatással további biztonsági funkciók biztosítása érdekében. Az AWS-átjárók olyan AWS biztonsági szolgáltatásokra támaszkodnak, mint az AWS Shield és az AWS WAF. A Virtual WAN globális kapcsolatra lett tervezve, így világszerte egyszerűbben csatlakoztathatók fiókirodák és távoli felhasználók. Az AWS-tranzitátjárók privát kapcsolatonként 100 BGP-előtagot támogatnak. A Virtual WAN privát társviszony-létesítése 1000 BGP-előtagot támogat. |
| Felhőbeli virtuális hálózatkezelés | AWS globális gyorsító | Azure Traffic Manager | Ezek a szolgáltatások globális útválasztással és forgalomkezeléssel javítják az alkalmazások rendelkezésre állását és teljesítményét. |
| Létesítmények közötti kapcsolatok | AWS Direct Connect-átjárók | Azure ExpressRoute Global Reach | Ezek a szolgáltatások több régióra kiterjedő dedikált privát kapcsolatokkal bővítik a helyszíni hálózatokat a felhőre. |
| Alkalmazásszintű hálózatkezelés | AWS App Mesh | Azure Service Fabric | Ezek a szolgáltatások alkalmazásszintű hálózatkezelést biztosítanak a mikroszolgáltatások kezeléséhez, beleértve a szolgáltatásfelderítést, a terheléselosztást és a forgalom útválasztását. |
| Szolgáltatásfelderítés | AWS Cloud Map | Privát Azure DNS- | Ezek a szolgáltatások szolgáltatásfelderítést biztosítanak a felhőbeli erőforrásokhoz. Lehetővé teszik az alkalmazáserőforrások regisztrálását és a helyük dinamikus frissítését. |
Hálózati architektúrák
| Architektúra | Leírás |
|---|---|
| Magas rendelkezésre állású NVA-k üzembe helyezése | Magas rendelkezésre állású hálózati virtuális berendezések üzembe helyezése az Azure-ban. Ez a cikk példákat tartalmaz a bejövő és kimenő forgalomhoz, valamint mindkettőhöz. |
| Küllős hálózati topológia az Azure-ban | Megtudhatja, hogyan implementálhat egy küllős topológiát az Azure-ban, ahol a hub egy virtuális hálózat, a küllők pedig az elosztóval egyenrangú virtuális hálózatok. |
| Biztonságos hibrid hálózat megvalósítása | Tekintsen meg egy, a helyszíni hálózat és az Azure virtuális hálózat közötti peremhálózati hálózatot kiterjesztő biztonságos hibrid hálózatot. |
Az összes hálózati architektúra megtekintése.
Közreműködők
Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.
Fő szerző:
- Konstantin Rekatas | Fő felhőmegoldás-tervező
Egyéb közreműködő:
- Adam Cerini | Igazgató, partnertechnológiai stratéga
A nem nyilvános LinkedIn-profilok megtekintéséhez jelentkezzen be a LinkedInbe.
Következő lépések
- Virtuális hálózat létrehozása az Azure Portallal
- Azure-beli virtuális hálózatok tervezése és kialakítása
- Azure hálózati biztonsági ajánlott eljárásai