Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule porównaliśmy podstawowe usługi sieciowe oferowane przez platformę Azure i usługę Amazon Web Services (AWS).
Aby uzyskać linki do artykułów, które porównują inne usługi AWS i Azure oraz kompletne mapowanie usług między platformami AWS i Azure, zobacz Azure for AWS professionals (Platforma Azure dla specjalistów AWS).
Sieci wirtualne platformy Azure i sieci VPN platformy AWS
Sieci wirtualne platformy Azure i wirtualne chmury prywatne platformy AWS są podobne, ponieważ zapewniają izolowane, logicznie zdefiniowane przestrzenie sieciowe na odpowiednich platformach w chmurze. Istnieją jednak kluczowe różnice w zakresie architektury, funkcji i integracji.
- Lokalizacja podsieci. Podsieci platformy AWS są powiązane ze strefami dostępności platformy AWS, natomiast podsieci platformy Azure są specyficzne dla regionu bez ograniczeń strefy dostępności. Projekt platformy Azure umożliwia zasobom przełączanie stref dostępności bez zmieniania adresów IP.
- Modele zabezpieczeń. AWS używa zarówno grup zabezpieczeń (stanowych), jak i list kontroli dostępu do sieci (bezstanowych). Platforma Azure używa sieciowych grup zabezpieczeń (stanowych).
- Wnikliwie patrząc. Zarówno Azure, jak i AWS obsługują peering sieci wirtualnych/VPC. Obie technologie pozwalają na bardziej złożone połączenia poprzez Azure Virtual WAN lub AWS Transit Gateway.
VPN
Zarówno sieć VPN typu lokacja-lokacja platformy AWS, jak i usługa Azure VPN Gateway to niezawodne rozwiązania do łączenia sieci lokalnych z chmurą. Zapewniają one podobne funkcje, ale istnieje godna uwagi różnica w wydajności. Usługa VPN Gateway oferuje większą przepływność dla niektórych konfiguracji (do 10 Gb/s), natomiast sieć VPN typu lokacja-lokacja zazwyczaj waha się od 1,25 Gb/s do 5 Gb/s na połączenie (przy użyciu protokołu ECMP).
Usługi Elastic Load Balancing, Azure Load Balancer i Azure Application Gateway
Odpowiedniki usług elastycznego równoważenia obciążenia na platformie Azure to:
- Usługa Load Balancer zapewnia te same możliwości warstwy 4 sieci co usługa AWS Network Load Balancer, dzięki czemu można dystrybuować ruch dla wielu maszyn wirtualnych na poziomie sieci. Zapewnia również możliwość przełączania awaryjnego.
- Usługa Application Gateway zapewnia routing oparty na regułach na poziomie aplikacji porównywalny z routingiem usługi AWS Application Load Balancer.
Usługi Route 53, Azure DNS i Azure Traffic Manager
Na platformie AWS, usługa Route 53 zapewnia zarówno zarządzanie nazwami DNS, jak i routing ruchu na poziomie DNS oraz usługi przełączania awaryjnego. Na platformie Azure dwie usługi obsługują następujące zadania:
- Usługa Azure DNS zapewnia zarządzanie domeną i systemem DNS.
- Usługa Traffic Manager zapewnia routing ruchu na poziomie DNS, równoważenie obciążenia i możliwości trybu failover.
AwS Direct Connect i Azure ExpressRoute
Usługa AWS Direct Connect może połączyć sieć bezpośrednio z platformą AWS. Platforma Azure zapewnia podobne połączenia dedykowane typu lokacja-lokacja za pośrednictwem usługi ExpressRoute. Za pomocą usługi ExpressRoute możesz połączyć sieć lokalną bezpośrednio z zasobami platformy Azure przy użyciu dedykowanego połączenia sieci prywatnej. Zarówno platforma Azure, jak i AWS oferują połączenia sieci VPN typu lokacja-lokacja.
Tablice routingu
Usługa AWS udostępnia tabele tras zawierające trasy, które kierują ruch z podsieci lub podsieci bramy do miejsca docelowego. Na platformie Azure odpowiednia funkcja jest nazywana trasami zdefiniowanymi przez użytkownika (UDR).
Za pomocą tras zdefiniowanych przez użytkownika można tworzyć trasy niestandardowe lub zdefiniowane przez użytkownika (statyczne). Te trasy zastępują domyślne trasy systemowe platformy Azure. Możesz również dodać więcej tras do tabeli tras podsieci.
Azure Private Link
Usługa Private Link jest podobna do usługi AWS PrivateLink. Usługa Azure Private Link zapewnia łączność prywatną z sieci wirtualnej do rozwiązania typu "platforma jako usługa" platformy Azure(PaaS), usługi należącej do klienta lub usługi partnerskiej firmy Microsoft.
Połączenie peeringowe VPC i połączenie peeringowe wirtualnej sieci
W usłudze AWS połączenie peeringu VPC jest połączeniem sieciowym między dwoma wirtualnymi chmurami prywatnymi. To połączenie służy do kierowania ruchu między sieciami VPN przy użyciu prywatnych adresów protokołu internetowego w wersji 4 (IPv4) lub adresów protokołu internetowego w wersji 6 (IPv6).
Łączenie równorzędne sieci wirtualnych Azure umożliwia połączenie dwóch lub więcej sieci wirtualnych na platformie Azure. W celach łączności sieci wirtualne są wyświetlane jako jedno. Ruch między maszynami wirtualnymi w równorzędnych sieciach wirtualnych korzysta z infrastruktury szkieletowej firmy Microsoft. Podobnie jak ruch między maszynami wirtualnymi w jednej sieci, ruch jest kierowany tylko przez sieć prywatną firmy Microsoft.
Ani sieci wirtualne, ani chmury prywatne (VPC) nie zezwalają na przechodnie peering. Jednak na platformie Azure można osiągnąć sieć tranzytywną, korzystając z wirtualnych urządzeń sieciowych (NVA) lub bram w wirtualnej sieci koncentratora.
Porównanie usług sieciowych
| Obszar | Usługa AWS | Usługa platformy Azure | opis |
|---|---|---|---|
| Sieć wirtualna w chmurze | Wirtualna chmura prywatna (VPC) | Sieć wirtualna | Te usługi zapewniają izolowane środowisko prywatne w chmurze. Masz kontrolę nad środowiskiem sieci wirtualnej, w tym wyborem własnego zakresu adresów IP, tworzeniem podsieci oraz konfiguracją tabel tras i bram sieciowych. W usłudze AWS każda podsieć musi znajdować się w jednej strefie dostępności. Na platformie Azure podsieci mogą obejmować wiele stref dostępności. |
| Bramki NAT | Bramy translatora adresów sieciowych platformy AWS | Brama translatora adresów sieciowych platformy Azure | Te usługi upraszczają łączność internetową ograniczoną do połączeń wychodzących dla sieci wirtualnych. W podsieci można skonfigurować wszystkie połączenia wychodzące, aby używać określonych statycznych publicznych adresów IP. Łączność wychodząca jest możliwa bez równoważenia obciążenia ani publicznych adresów IP dołączonych bezpośrednio do maszyn wirtualnych. Bramki NAT AWS można skojarzyć tylko z pojedynczym publicznym adresem IP. Bramy NAT platformy Azure mogą mieć wiele publicznych adresów IP. |
| Połączenia obejmujące wiele lokalizacji | Sieć VPN typu lokacja-lokacja | Brama sieci VPN | Sieć VPN typu lokacja-lokacja platformy AWS i usługa Azure VPN Gateway zapewniają zwiększone zabezpieczenia, niezawodne połączenia sieci VPN o wysokiej dostępności i obsługę standardowych protokołów branżowych. Najważniejsze różnice są związane z integracją z innymi usługami w chmurze i w określonych funkcjach, takich jak sieci VPN oparte na trasach i sieci VPN oparte na zasadach na platformie Azure. Sieć VPN platformy AWS zapewnia maksymalnie 5 Gb/s przepływność, natomiast platforma Azure zapewnia do 10 Gb/s. |
| Zarządzanie systemem DNS | Trasa 53 | Azure DNS | Usługa Azure DNS umożliwia zarządzanie rekordami DNS przy użyciu tych samych poświadczeń i umów rozliczeniowych i pomocy technicznej, które są używane dla innych usług platformy Azure. Obie usługi obsługują DNSSEC. |
| Routing oparty na systemie DNS | Trasa 53 | Traffic Manager | Te usługi hostują nazwy domen, kierują użytkowników do aplikacji internetowych, łączą żądaniami użytkowników z centrami danych, zarządzają ruchem do aplikacji i poprawiają dostępność aplikacji dzięki automatycznemu przełączeniu awaryjnemu. |
| Sieć dedykowana | Bezpośrednie połączenie | Usługa ExpressRoute | Te usługi ustanawiają dedykowane, prywatne połączenie sieciowe z lokalizacji do dostawcy usług w chmurze (nie przez Internet). |
| Równoważenie obciążenia | Moduł równoważenia obciążenia sieciowego | Moduł równoważenia obciążenia | Usługa Azure Load Balancer równoważy obciążenie ruchu w warstwie 4 (TCP lub UDP). Usługa Load Balancer warstwy Standard obsługuje również równoważenie obciążenia między subskrypcjami i globalne równoważenie obciążenia. |
| Równoważenie obciążenia na poziomie aplikacji | Moduł równoważenia obciążenia aplikacji | Brama Aplikacyjna | Usługa Application Gateway to moduł równoważenia obciążenia warstwy 7. Obsługuje ona terminację SSL, powiązanie sesji oparte na plikach cookie i metodę round-robin dla równoważenia ruchu sieciowego. Udostępnia również funkcje routingu i zabezpieczeń obejmujące wiele lokacji. |
| Tablice routingu | Niestandardowe tabele tras | Trasy zdefiniowane przez użytkownika | Te tabele udostępniają trasy niestandardowe lub zdefiniowane przez użytkownika (statyczne) w celu zastąpienia domyślnych tras systemowych lub dodania większej liczby tras do tabeli tras podsieci. |
| Łącze prywatne | Łącze prywatne | Link prywatny platformy Azure | Usługa Azure Private Link zapewnia prywatny dostęp do usług hostowanych na platformie Azure. To sprawia, że dane pozostają w sieci Microsoft. |
| Prywatna łączność PaaS | Punkty końcowe VPC | Prywatny punkt końcowy | Prywatny punkt końcowy zapewnia bezpieczną, prywatną łączność z różnymi zasobami platformy Azure jako usługi (PaaS) za pośrednictwem sieci prywatnej firmy Microsoft. |
| Komunikacja równorzędna sieci wirtualnej | Komunikacja równorzędna VPC | Peering sieci wirtualnych | Mechanizm łączenia sieci wirtualnych to sposób na połączenie dwóch sieci wirtualnych w tym samym regionie za pomocą sieci szkieletowej platformy Azure. Po połączeniu sieciowym obie sieci wirtualne są wyświetlane jako jedna dla celów łączności. |
| Sieci dostarczania zawartości | CloudFront (Front) chmury | Drzwi frontowe | Azure Front Door to nowoczesna usługa sieci dostarczania zawartości w chmurze (CDN), która zapewnia wysoką wydajność, skalowalność i bezpieczne środowiska użytkownika dla zawartości i aplikacji. |
| Monitorowanie sieci | Dzienniki przepływu VPC | Azure Network Watcher | Usługa Azure Network Watcher umożliwia monitorowanie, diagnozowanie i analizowanie ruchu w usłudze Azure Virtual Network. |
| Bezpieczeństwo sieci | Grupy zabezpieczeń | Sieciowe grupy zabezpieczeń | Te elementy sterujące filtrują ruch sieciowy do i z zasobów wirtualnej sieci w podsieciach. |
| Komunikacja równorzędna sieci wirtualnej | Bramy tranzytowe platformy AWS | Wirtualna sieć WAN platformy Azure | Te usługi upraszczają i rozszerzają łączność sieciową w wielu środowiskach w celu obsługi skalowalnych i elastycznych architektur sieciowych. Usługa Virtual WAN integruje się z usługami Azure Firewall i Azure DDoS Protection w celu zapewnienia dodatkowych funkcji zabezpieczeń. Bramy tranzytowe platformy AWS korzystają z usług zabezpieczeń platformy AWS, takich jak AWS Shield i AWS WAF. Usługa Virtual WAN została zaprojektowana pod kątem łączności globalnej, dzięki czemu łatwiej jest łączyć biura oddziałów i użytkowników zdalnych na całym świecie. Bramy tranzytowe platformy AWS obsługują 100 prefiksów protokołu BGP na połączenie prywatne. Prywatna komunikacja równorzędna usługi Virtual WAN obsługuje 1000 prefiksów protokołu BGP. |
| Sieć wirtualna w chmurze | Globalny Akcelerator AWS | Azure Traffic Manager | Te usługi zwiększają dostępność i wydajność aplikacji dzięki globalnemu routingowi i zarządzaniu ruchem. |
| Połączenia obejmujące wiele lokalizacji | Bramy usługi AWS Direct Connect | Globalny zasięg usługi Azure ExpressRoute | Te usługi rozszerzają sieci lokalne na chmurę za pomocą dedykowanych połączeń prywatnych obejmujących wiele regionów. |
| Sieć na poziomie aplikacji | Siatka aplikacji AWS | Azure Service Fabric | Te usługi zapewniają sieć na poziomie aplikacji do zarządzania mikrousługami, w tym odnajdywaniem usług, równoważeniem obciążenia i routingiem ruchu. |
| Odnajdywanie usług | mapy chmury platformy AWS | Prywatna usługa DNS platformy Azure | Te usługi zapewniają odnajdywanie usług dla zasobów w chmurze. Umożliwiają one rejestrowanie zasobów aplikacji i dynamiczne aktualizowanie ich lokalizacji. |
Architektury sieci
| Architektura | opis |
|---|---|
| Wdrażanie urządzeń WUS o wysokiej dostępności | Dowiedz się, jak wdrożyć wirtualne urządzenia sieciowe, aby zapewnić wysoką dostępność na platformie Azure. Ten artykuł zawiera przykładowe architektury dla ruchu przychodzącego, ruchu wychodzącego oraz ruchu obu tych typów. |
| Topologia sieci gwiaździsta na platformie Azure | Dowiedz się, jak wdrożyć topologię hub-and-spoke w usłudze Azure, gdzie hub to sieć wirtualna, a spoke to sieci wirtualne, które z nią współdzielą połączenie. |
| Implementowanie bezpiecznej sieci hybrydowej | Zobacz, jak zaimplementować bezpieczną sieć hybrydową, która rozszerza sieć lokalną na platformę Azure i w której między siecią lokalną i siecią wirtualną platformy Azure znajduje się sieć obwodowa. |
Wyświetl wszystkie architektury sieciowe.
Współpracownicy
Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.
Główny autor:
- Konstantin Rekatas | Główny architekt rozwiązań w chmurze
Inny współautor:
- Adam Cerini | Dyrektor, Partner TechnologyStrateg
Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.
Następne kroki
- Tworzenie sieci wirtualnej przy użyciu witryny Azure Portal
- Planowanie i projektowanie sieci wirtualnych platformy Azure
- Najlepsze rozwiązania dotyczące zabezpieczeń sieci platformy Azure