Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Avant de migrer l’exemple d’application web vers Azure, assurez-vous d’avoir une bonne compréhension des différences opérationnelles entre les plateformes AWS et Azure.
Cet article décrit certains des concepts clés de cette charge de travail et fournit des liens vers des ressources pour plus d’informations. Pour obtenir une comparaison complète entre les services Azure et AWS, consultez la comparaison des services AWS vers Azure.
Déploiement
AKS et EKS offrent plusieurs options pour déployer un cluster Kubernetes managé sur Azure et AWS. Ces options incluent des solutions natives et des solutions d’approvisionnement basées sur des systèmes tiers ou des technologies open source.
| Options de déploiement | EKS | AKS |
|---|---|---|
| Portail | AWS Management Console | portail Azure |
| Infrastructure native en tant que code | AWS Cloud Formation | Bicep et Azure Resource Manager (ARM) |
| CLI native | AWS CLI et EKS CLI | Azure CLI, Azure Developer CLI et PowerShell |
| Terraform | Module EKS | Fournisseur AzureRM |
| Pulumi | EKS Cluster | AKS ManagedCluster |
| Crossplane | Oui | Oui |
| Cluster API | Oui | Oui |
Azure CLI est conçu pour simplifier et faciliter l’utilisation. Vous pouvez créer, mettre à niveau ou supprimer un cluster avec une seule commande. Cette approche simplifiée réduit la complexité de la gestion des clusters Kubernetes sur Azure. Pour plus d’informations, consultez az aks commands . En revanche, l’interface CLI EKS utilise une approche plus manuelle qui nécessite plusieurs étapes conjointement avec l’utilisation de kubectl.
Supervision
Une surveillance efficace est essentielle pour identifier et résoudre les problèmes dans les clusters Kubernetes. Les informations suivantes décrivent comment AKS et EKS gèrent la surveillance :
| Options de surveillance | EKS | AKS |
|---|---|---|
| Surveillance native | Amazon CloudWatch | Azure Monitor. |
| Prometheus et Grafana gérés | Amazon Managed Service pour Prometheus et Amazon Managed Grafana | Service managé Azure Monitor pour Prometheus et Azure Managed Grafana |
| Datadog | Oui | Oui |
| Dynatrace | Oui | Oui |
Prise en charge des projets open source
AKS et EKS prennent en charge les projets open source, ce qui vous permet d’utiliser davantage de fonctionnalités et de fonctionnalités. AKS fournit des fonctionnalités managées pour KEDA et Karpenter, comme indiqué ci-dessous.
| Projets open source | EKS | AKS |
|---|---|---|
| Mise à l’échelle automatique basée sur les événements Kubernetes (KEDA) | Oui | Oui |
| Karpenter | Oui | Autoprovisionnement de nœud et Fournisseur AKS Karpenter |
Équilibrage de la charge
Azure Application Gateway for Containers et AWS Application Load Balancer sont deux solutions d’équilibrage de charge de couche 7 populaires proposées par Microsoft Azure et Amazon Web Services, respectivement. Ces services jouent un rôle crucial dans la distribution du trafic réseau entrant sur plusieurs serveurs afin de garantir une haute disponibilité et des performances améliorées pour les applications.
Équilibreur de charge d’application AWS
Un équilibreur de charge d’application AWS (ALB) est un composant de l’équilibrage de charge élastique dans Amazon Web Services (AWS). ALB garantit que le trafic est acheminé uniquement vers des cibles saines et s'adapte au volume du trafic entrant. Il prend en charge différents équilibreurs de charge, notamment application, réseau, passerelle et équilibreurs de charge classiques.
Azure Application Gateway pour les conteneurs
Azure Application Gateway pour conteneurs est un équilibreur de charge régional de trafic web de couche 7 qui permet aux clients de gérer le trafic entrant vers plusieurs applications web et API REST en aval. Azure Application Gateway pour conteneurs est conçu pour optimiser la distribution d’applications web et fournir une sécurité renforcée par le biais de fonctionnalités telles qu’Azure Web Application Firewall pour Azure Kubernetes Service (AKS). Il distribue le trafic d’application entrant sur plusieurs pools principaux, notamment les équilibreurs de charge Azure publics et privés, les machines virtuelles Azure, les groupes de machines virtuelles identiques Azure (VMSS) et les noms d’hôte, Azure App Service et les serveurs locaux/externes.
Comparer Azure Application Gateway pour conteneurs et AWS ALB
Azure Application Gateway et AWS Application Load Balancer fournissent un ensemble de fonctionnalités comparable. Le tableau suivant fournit une comparaison des solutions :
| Fonctionnalité | Azure Application Gateway pour conteneurs | Équilibreur de charge d’application AWS |
|---|---|---|
| Terminaison SSL/TLS | Supported | Supported |
| Autoscaling | Supported | Supported |
| Redondance de zone | Supported | Supported |
| Pare-feu d’application web | Supported | Supported |
| Contrôleur d’entrée | Supported | Supported |
| Routage basé sur des URL | Supported | Supported |
| Hébergement de plusieurs sites | Supported | Supported |
| Redirection | Supported | Supported |
| Affinité de session | Supported | Supported |
| Trafic WebSocket et HTTP/2 | Supported | Supported |
| Authentification TLS mutuelle | Supported | Supported |
| Vidage des connexions | Supported | Supported |
| Réécrire les en-têtes et les URL HTTP | Supported | Pris en charge avec AWS WAF |
Pare-feu d’application web
Garantir la sécurité des applications web est essentielle pour se protéger contre l’évolution des cybermenaces. Les services de pare-feu d’applications web entièrement managés offrent une protection robuste pour les applications web contre les menaces et les attaques malveillantes.
Pare-feu d’accès web AWS (WAF)
AWS Web Access Firewall (WAF) est un pare-feu d’applications web qui surveille les requêtes HTTP et HTTPS adressées à vos applications web. Il protège plusieurs ressources AWS, y compris celles exposées via AWS Application Load Balancer.
Pare-feu d’applications web (WAF) Azure
Pare-feu d’applications web Azure (WAF) qui fournit une protection centralisée des applications web contre les attaques et vulnérabilités courantes. WAF peut être déployé avec Azure Application Gateway pour conteneurs, Azure Front Door et le service Azure Content Delivery Network (CDN) de Microsoft.
Le WAF Azure est fourni avec un ensemble de règles OWASP (Open Web Application Security Project) préconfiguré et géré par la plateforme, qui offre une protection contre différents types d’attaques, notamment l’injection de scripts intersite et l’injection SQL. En tant qu’administrateur WAF, vous avez la possibilité d’écrire vos propres règles personnalisées pour améliorer les règles crS (Core Rule Set). Azure WAF prend également en charge un ensemble de règles Bot Protection que vous pouvez utiliser pour empêcher les bots incorrects de récupérer, d’analyser et de rechercher des vulnérabilités dans votre application web. Le WAF Azure peut être configuré pour s’exécuter dans les deux modes suivants :
- Mode de détection : surveille et journalise toutes les alertes de menace. Vous activez la journalisation des diagnostics pour Application Gateway pour conteneurs dans la section Diagnostics. Vous devez également vérifier que le journal WAF est sélectionné et activé. Le pare-feu d’applications web ne bloque pas les requêtes entrantes lorsqu’il fonctionne en mode Détection.
- Mode de prévention : bloque les intrusions et les attaques détectées par les règles. L’attaquant reçoit une exception « 403 Accès non autorisé » et la connexion est fermée. Le mode de prévention enregistre de telles attaques dans les journaux WAF.
La surveillance et la journalisation du pare-feu d’applications web (WAF) Azure sont fournies via la journalisation et l’intégration avec Azure Monitor et les journaux Azure Monitor. Vous pouvez configurer votre azure Application Gateway pour conteneurs, Azure Front Door et azure Content Delivery Network (CDN) pour utiliser le pare-feu d’applications web Azure (WAF) et stocker les journaux de diagnostic et les métriques dans un espace de travail Log Analytics. Vous pouvez utiliser Azure Monitor Metrics Explorer pour analyser les métriques Azure WAF et le langage de requête Kusto pour créer et exécuter des requêtes sur les journaux de diagnostic collectés dans l’espace de travail Log Analytics.
Étapes suivantes
Pour plus d’informations sur les différences entre AKS et EKS, consultez les articles suivants :
- Migrer d’Amazon EKS vers Azure Kubernetes Service (AKS)
- AKS pour les professionnels Amazon EKS
- Gestion de l’identité et de l’accès
- Journalisation et monitoring de cluster
- Sécuriser les topologies de réseau
- Options de stockage
- Optimisation et gestion des coûts
- Gestion des nœuds et des pools de nœuds d’agent
- Gouvernance des clusters
- Migration de charge de travail
Contributeurs
Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants:
Auteur principal :
- Paolo Salvatori | Ingénieur client principal
Autres contributeurs :
- Ken Kilty | Principal TPM
- Russell de Pina | Responsable de programme technique principal
- Erin Schaffer | Développeur de contenu 2