Azure vs AWS - erinevus Azure virtuaalse võrgu (VNet) ja AWS virtuaalse privaatpilve (VPC) vahel

Azure'i virtuaalne võrk (VNet) vs AWS-i virtuaalne privaatpilv (VPC)

Azure VNet vs AWS VPC

Teekond pilve algab pilveteenuse pakkuja valimisega ja privaatvõrkude pakkumisega või nende kohapealse võrgu laiendamisega. Kliendid, kes soovivad oma ressursse pilves varustada, saavad valida erinevate privaatvõrkude hulgast, mida pakuvad erinevad pilveteenuse pakkujad. Kaks enim kasutusele võetud privaatvõrku on vastavalt Microsofti ja Amazoni virtuaalne võrk (VNet) ja virtuaalne privaatpilv (VPC). Selles ajaveebis vaadeldakse nende kahe eravõrgu pakkumise sarnasusi ja erinevusi eesmärgiga teavitada potentsiaalseid kliente sellest, mis eristab kahte privaatvõrku ja aidata otsustada, mis sobib nende töökoormusega.

Amazon on olnud pilvandmetöötluse areenil esirinnas ja olnud paljude tööstusharude revolutsiooniliste teenuste, nagu EC2, VPC jms, teejuht. AWS-i algne EC2-klassikalise platvormi pakkumine võimaldas klientidel käitada ec2 eksemplare lamedas globaalses võrgus, mida jagavad kõik kliendid, lisaks oli muud atribuudid, sealhulgas jagatud üür, turvarühmade piirangud ja võrgule juurdepääsu kontrollloendite puudumine puudutasid turbega seotud kliente. Seejärel tutvustas AWS täiustatud platvormi EC2-VPC, mis varustab AWS pilve loogiliselt isoleeritud sektsiooni. AWS EC2-VPC toetab jagatud / sihtotstarbelist üürimist, täiustatud võrguturbe gruppe / võrgu juurdepääsu kontrolli jne., Ettevõtluskliendid ja SMB kliendid said VPC arhitektuuri suhtes rohkem usaldust ja hakkasid AWS-i kasutusele võtma senisest paremini.

Aastal 2013 muutis Azure oma fookuses olemise lihtsalt PaaS-i pakkujaks täieõiguslikuks IaaS-i pakkujaks, et vältida konkurentsieelist ja turukaotust. Varase starter AWS-iga konkureerimiseks tutvustas Azure oma andmekeskuses palju uusi teenuseid ja mis virtuaalselt virtuaalseid võrke - loogiliselt isoleeritud võrku - Azure'i VPC-versiooni. Azure'i virtuaalne võrk sarnaneb paljudes aspektides VPC-ga ja käitub tegelikult paljudel juhtudel sarnaselt, kuid ka erinevusi on vähe.

Kontseptuaalselt pakuvad nii Azure VNet kui ka AWS VPC pilve ressursside ja teenuste pakkumise aluspõhja. Mõlemad võrgud pakuvad samu ehitusplokke, kuid nende rakendamine on varieeruv. Järgnevalt on toodud kokkuvõte neist ehitusplokkidest:

Alamvõrk

Pilves juurutatud ressursside tõhusaks kujundamiseks ja juhtimiseks eraldavad nii Azure VNet kui ka AWS VPC võrgud alamvõrkudega. AWS VPC hõlmab kõiki selle piirkonna kõiki saadavuse tsoone (AZ), seega kaardistatakse AWS VPC alamvõrgud saadavuse tsoonideks (AZ). Alamvõrk peab kuuluma ainult ühte AZ ja see ei tohi hõlmata AZ-sid. Azure VNeti alamvõrgud määratletakse talle määratud IP-aadressiplokiga. Side kõigi AWS VPC alamvõrkude vahel toimub AWSi selgroo kaudu ja on vaikimisi lubatud. AWS VPC alamvõrgud võivad olla kas privaatsed või avalikud. Alamvõrk on avalik, kui sellele on ühendatud Interneti-lüüs (IGW). AWS lubab VPC-l ainult ühte IGW-d ja avalik alamvõrk võimaldavad neis asuvatele ressurssidele juurdepääsu Internetile. AWS loob vaikimisi VPC ja alamvõrgud iga piirkonna jaoks. Sellel VPC vaikel on alamvõrgud iga piirkonna jaoks, kus VPC asub, ja igale sellele VPC-le paigutatud kujutisele (EC2 eksemplar) omistatakse avalik IP-aadress ja seega on sellel Interneti-ühendus. Azure VNet ei paku vaikeseadet VNet ega oma privaatset ega avalikku alamvõrku nagu AWS VPC. VNetiga ühendatud ressurssidel on vaikimisi juurdepääs Internetile.

Alamvõrgud on eravõrkude alustalad. Alamvõrgud on suurepärane võimalus jagada suurem võrk paljudeks väiksemateks võrkudeks ja paigutada töökoormus sõltuvalt käsitletavate andmete olemusest. IWS-teenuse pakkujana tegutsev AWS on alamvõrkude käivitamiseks küpsenud tööriistad, näiteks nende haldusportaal, pilvekujunduse mallid, CLI-d ja programmeeritavad API-d. AWS pakub ka võlureid, et automatiseerida tavalisi VPC arhitektuure, näiteks

  • Ühtse avaliku alamvõrguga VPC
  • VPC koos avalike ja privaatsete alamvõrkudega
  • VPC koos avalike ja privaatsete alamvõrkude ja riistvaraga VPN-i juurdepääsuga
  • Ainult privaatse alamvõrgu ja riistvara VPN-i juurdepääsuga VPC

See aitab kasutajatel VPC häälestusaega oluliselt vähendada ja lihtsustab kogu protsessi. AWS muudab keerukate võrkude loomise, nagu viisardit kasutades lastemäng, EC2 eksemplaride abortide hulgast. Kõik, kes soovivad luua mitmetasandilise veebirakenduse või mis tahes töökoormuse avaliku ja erasektori alamvõrgus minutitega.

Azure'i virtuaalne võrk võimaldab meil haldusportaali, PowerShelli, CLI abil luua suvalise koguse alamvõrke. Erinevalt AWS-ist ei ole azure'il praegu võlureid, et luua ühiseid arhitektuure, nagu ülalpool mainitud.

IP-aadressid

Nii AWS VPC kui ka Azure VNET kasutavad privaatse IPv4 aadressivahemikust globaalselt mitteseotud CIDR-i, nagu on täpsustatud RFC 1918 - selle RFC aadressid ei ole globaalselt edastatavad, kuid kliendid saavad siiski kasutada muid avalikke IP-aadresse. Azure VNet määrab VNetiga ühendatud ja juurutatud ressurssidele määratud CIDR-plokist privaatse IP-aadressi. Azure VNetis toetatakse väikseimat alamvõrku / 29 ja suurimat a / 8. AWS lubab ka sama RFC 1918 IP-aadresse või avalikult edastatavaid IP-plokke. Praegu ei toeta AWS otsest juurdepääsu Interneti-le avalikult liikuvate IP-plokkide kaudu, seega pole need Internetist juurdepääsetavad isegi Interneti-lüüsi (IGW) kaudu. Neile pääseb ainult virtuaalse privaatse lüüsi kaudu. Seetõttu ei saa Windowsi eksemplarid õigesti alglaadimist käivitada VPC-s vahemikus 224.0.0.0 kuni 255.255.255.255 (D-klassi ja E-klassi IP-aadresside vahemikud). Alamvõrgu jaoks soovitab AWS minimaalset aadressiplokki / 28 ja maksimaalselt / 16. Microsofti Azure VNeti tugi IPv6-le on selle ajaveebi kirjutamise ajal piiratud, kuid AWS VPC toetab alates 2017. aasta jaanuarist kõigis piirkondades, välja arvatud Hiinas, IPv6-d. IPv6 jaoks on VPC fikseeritud suurus / 56 (CIDR-märkuses) ja alamvõrgu suurus on fikseeritud a / 64. IPv6-s on iga aadress Interneti kaudu edastatav ja vaikimisi saab Internetiga rääkida. AWS VPC pakub privaatse alamvõrgu ressursside jaoks ainult väljumisfunktsiooni Interneti-lüüti (EGW). See blokeerib sissetulevat liiklust, võimaldades siiski väljaminevat liiklust. AWS võimaldab IPv6 olemasolu olemasolevate ressursside jaoks ning privaatse alamvõrgu ressursside jaoks, mis vajavad juurdepääsu Internetile, pakutakse ainult väljumisvõimalusega Interneti-lüüsi. Ainult väljumisvõimalusega Interneti-lüüs võimaldab juurdepääsu Internetile, kuid blokeerib sissetuleva liikluse. Nendest CIDR-plokkidest IP-aadresside eraldamise mõistmine on AWS VPC-võrgu kujundamisel võtmetähtsusega, kuna alamvõrgu IP-aadresside muutmine pärast disaini pole triviaalne. Azure VNet pakub selles piirkonnas rohkem paindlikkust - alamvõrgu IP-aadresse saab pärast esialgset kujundamist muuta. Kuid praeguse alamvõrgu ressursid tuleb praegusest alamvõrgust välja viia.

Marsruuditabel

AWS kasutab marsruuditabelit alamvõrgust väljuva liikluse lubatud marsruutide määramiseks. Kõik VPC-s loodud alamvõrgud seotakse automaatselt peamise marsruutimistabeliga, seega saavad kõik VPC alamvõrgud lubada liiklust muudest alamvõrkudest, kui turvareeglid seda otseselt ei keela. Azure VNetis võimaldavad kõik VNeti ressursid süsteemi marsruuti kasutades liiklust voolata. Te ei pea marsruute konfigureerima ja haldama, kuna vaikimisi pakub Azure VNet marsruutimist alamvõrkude, VNettide ja kohapealsete võrkude vahel. Süsteemiteede kasutamine hõlbustab liiklust automaatselt, kuid on juhtumeid, kui soovite pakettide marsruutimist virtuaalse seadme kaudu juhtida. Azure VNet kasutab süsteemi marsruuditabelit tagamaks, et mis tahes VNeti alamvõrguga ühendatud ressursid suhelda vaikimisi omavahel. Siiski on stsenaariume, kus võiksite vaikimisi valitud marsruudid alistada. Selliste stsenaariumide jaoks saate rakendada kasutaja määratletud marsruute (UDR) - juhtida, kuhu liiklus suunatakse iga alamvõrgu jaoks - või ja / ja BGP marsruute (teie VNet teie kohapealsesse võrku, kasutades Azure VPN Gateway või ExpressRoute ühendust). UDR rakendub ainult alamvõrgust väljuvale liiklusele ja võib pakkuda Azure VNeti juurutamisel turvataseme, kui UDR eesmärk on saata liiklust mingile inspekteerimise NVA-le vms. UDR-iga saab teisest alamvõrku saadetud pakette sundida marsruutide komplekti kaudu minema läbi virtuaalse võrguseadme. Hübriidseadetes võib Azure VNet kasutada mõnda kolmest marsruuditabelist - UDR, BGP (kui kasutatakse ExpressRoute'i) ja süsteemi marsruutimistabelit. Azure VNetis toetub alamvõrk oma liikluse jaoks süsteemi marsruutidele, kuni marsruuditabel on otseselt alamvõrguga seotud. Kui seos on loodud, st UDR ja / või BGP marsruut on olemas, toimub marsruutimine pikima prefiksi vaste (LPM) põhjal. Kui sama prefiksi pikkusega marsruute on rohkem kui üks, valitakse marsruut selle päritolu põhjal järgmises järjekorras: kasutaja määratletud marsruut, BGP marsruut (kui kasutatakse ExpressRoute'i) ja süsteemi marsruut. Arvestades, et AWS VPC-s võib marsruutimistabeleid olla mitu, kuid sama tüüpi.

Kohandatud marsruutimistabelid sisaldavad marsruutimisreeglite loendit, et teha kindlaks, kuidas liiklus alamvõrgus sujuks.

AWS-is tuleb iga alamvõrk seostada marsruuditabeliga, mis kontrollib alamvõrgu marsruutimist. Kui te ei seo alamvõrku selgesõnaliselt konkreetse marsruuditabeliga, kasutab alamvõrk VPC peamist marsruuditabelit.

Windows Azure pakub vaikelisi marsruutimisi ühe alamvõrgu piires ühes virtuaalses võrgus, kuid ei paku sisemise IP-aadressi suhtes mingit tüüpi ACL-i võimalust. Nii et juurdepääsu piiramiseks ühes virtuaalses võrgus asuvatele masinatele peavad need masinad kasutama Windowsi tulemüüri täpsema turvalisusega (vaadake diagrammi).

Microsoft peab seda funktsiooni oma köögis küpsetama. Seda maitsvat funktsiooni võime varsti oodata Azure restoranis.

Turvalisus

AWS VPC pakub võrku paigutatud ressursside jaoks kahte turvataset. Esimene neist on nimega Security Groups (SG). Turvarühm on olekupärane objekt, mida rakendatakse EC2 eksemplari tasemel - tehniliselt rakendatakse reeglit elastse võrguliidese (ENI) tasemel. Kui liiklus on lubatud, on liiklus automaatselt lubatud. Teist turbemehhanismi nimetatakse võrgu juurdepääsu kontrolliks (NACL). NACL-id on kodakondsuseta filtreerimise reeglid, mida rakendatakse alamvõrgu tasemel ja mis kehtivad kõigi alamvõrku paigutatud ressursside jaoks. See on kodakondsuseta, sest kui sisenev liiklus on lubatud, ei lubata reageerimist automaatselt, kui alamvõrgu reeglis pole seda selgesõnaliselt lubatud. NACL-id töötavad alamvõrgu tasemel, uurides alamvõrku sisenevat ja sealt väljuvat liiklust. NACL-e saab kasutada nii lubamise kui keelamise reeglite seadmiseks. NACL-i saate seostada mitme alamvõrguga; alamvõrgu saab aga korraga seostada ainult ühe NACL-iga. NACL-i reeglid nummerdatakse ja hinnatakse järjekorda, alustades madalaima numbriga reeglist, et teha kindlaks, kas liiklus on lubatud võrgu ACL-iga seotud alamvõrgus või sellest välja. Suurim number, mida saate reegli jaoks kasutada, on 32766. Viimane nummerdatud reegel on alati tärn ja keelab alamvõrguga liikluse. Pange tähele, et jõuate selle reeglini ainult siis, kui ükski NACL-i loendis olev reegel ei vasta liiklusele. Azure VNet pakub võrguturbe gruppe (NSG-sid) ja see ühendab AWS SG-de ja NACL-ide funktsioonid. NSG-d on oleklikud ja neid saab rakendada alamvõrgu või NIC-i tasemel. NIC-ile saab rakendada ainult ühte NSG-d, kuid AWS-is saate elastsele võrguliidesele (ENI) rakendada rohkem kui ühte turvarühma (SG).

Turvalisus on peamine edasiviiv jõud, miks eelistatakse virtuaalset võrku avalikkusele suunatud lõpp-punktide asemel. AWS pakub erinevaid virtuaalseid turvateenuseid, et pakkuda maksimaalset turvalisust nii virtuaalse eksemplari, alamvõrgu kui ka üldise võrgutaseme tasemel.

Turvarühm

AWS-i turbegrupid aitavad kaitsta esinemisjuhte, konfigureerides sissetulevat ja väljaminevat reeglit. Kasutajad saavad konfigureerida, millised pordid avada, et vastu võtta liiklust mis tahes allikast, ja samamoodi konfigureerida väljuvaid sadamaid EC2 eksemplaridest.

Azure'i nimetamise tava on „Võrguturbe rühm” on praegu saadaval ainult piirkondlike virtuaalsete võrkude (loe, milline on piirkondlik võrk) jaoks ja pole saadaval VNetis, millel on seotud afiinsusrühm. Tellimuse kohta võib teil olla maksimaalselt 100 NSG-d (loodetavasti on see jõustatud range piir, MSDN ei selgita seda täpsemalt).

AWS võimaldab meil luua iga VPC kohta 200 turvarühma, näiteks kui teil on 5 VPC-d, saate täiesti luua 200 * 5 = 1000 turvarühma, kuid mõlema pilve turvarühmad ei saa piirkondi hõlmata.

Erinevalt AWS-ist saab Azure'i võrguturbegruppi seostada VM-i astme, alamvõrkude ja hübriididega i.e (alamvõrk ja VM), see on võimas mitmekihiline kaitse, mida VM võib hankida, lisateabe saamiseks klõpsake siin. Azure ei paku praegu turvarühmade lisamiseks / muutmiseks kasutajaliidest, seetõttu peavad kasutajad sama seadistamiseks kasutama PowerShelli ja REST-i API-sid (vt allpool toodud Powershelli töövoogu).

Võrgu ACLS

Azure ja AWS toetavad võrgu juurdepääsu kontrollloendit. ACL-id võimaldavad kasutajatel valikuliselt lubada või keelata teie võrkudesse liikluse. Mõlemad pilved kinnitavad seda kui turvarühmade ja muude turbemehhanismide lisatarvikut või valikulist turbemehhanismi. ACE-d acure'is piirduvad praegu lõpp-punktide (Mis on lõpp-punktid) turvamisega ning need ei paku sama paindlikkust ja juhtimist, nagu AWS pakub.

Alates selle artikli kirjutamisest saate võrgu ACL-e luua ainult Powershelli ja REST API käskude abil. AWS-i ACL võimaldab meil seada juurdepääsu juhtimise alamvõrgu tasemel, st kui lubate alamvõrguga http-liikluse, saavad kõik alamvõrgus olevad EC2-eksemplarid vastu võtta HTTP-liiklust, kui aga olete konfigureerinud mitte lubama HTTP-liiklust teatud EC2 nendes liiklust filtreerivad turvarühmad. Azure'i võrgu ACL-id käituvad peaaegu sarnaselt, välja arvatud juhul, kui see töötab lõpp-punkti jaoks.

Märkus: Azure soovitab kas võrgu juurdepääsu kontrollloendit või turbegruppi, mitte mõlemat korraga, sest funktsionaalselt teevad nad sama. Kui olete konfigureerinud võrgu ACL ja soovite lülituda turvarühmadesse, peate kõigepealt eemaldama lõpp-punkti ACL-id ja konfigureerima turvarühma.

Ühenduvus

Väravad

Nii VNet kui ka VPC pakuvad erinevatel ühenduvuse eesmärkidel erinevaid väravaid. AWS VPC kasutab enamasti kolme väravat, neli, kui lisate NAT-i lüüsi. AWS võimaldab ühel Interneti-lüüsil (IGW) pakkuda Interneti-ühendust IPv4 kaudu ja ainult Egress-i Interneti-lüüsi kaudu Interneti-ühenduse jaoks IPv6-ressurssidega. AWS-is loetakse IGW-iga alamvõrku privaatseks alamvõrguna ja ilma NAT-i lüüsi või NAT-eksemplarita pole Interneti-ühendust (AWS soovitab NAT-i lüüsi kõrge kättesaadavuse ja mastaapsuse jaoks). Veel üks AWS-i lüüs, virtuaalne privaatne lüüs (VPG) võimaldab AWSil pakkuda AWS-ist ühenduvust VPN-i või Direct Connecti kaudu teiste võrkudega. Mitte-AWS-võrgus nõuab AWS AWS VPC-ga ühenduse loomiseks kliendi poolel asuvat kliendiväravat (CGW). Azure VNet pakub kahte tüüpi lüüsi, nimelt VPN Gateway ja ExpressRoute Gateway. VPN-i lüüs võimaldab krüptitud liiklust VNet-i kaudu VNet-i või VNet-i lokaalsesse asukohta üle avaliku ühenduse või Microsofti selgroo kaudu VNeti VPN-i kaudu. Kuid ExpressRoute ja VPN Gateway vajavad ka lüüsi alamvõrku. Lüüsi alamvõrk sisaldab IP-aadresse, mida virtuaalse võrgu lüüsi teenused kasutavad. Azure VNET ja VNET saavad loomuliku ühenduse luua VPN-i kaudu, kuid AWS-is nõuab selline VPC-VPC kolmanda osapoole NVA-d, kui VPC-d asuvad erinevates piirkondades.

Hübriidne ühenduvus

Mõlemad AWS VPC ja Azure VNet võimaldavad hübriidühendusi vastavalt VPN ja / või Direct Connect ja ExpressRoute abil. Direct Connect või ExpressRoute abil on saadaval kuni 10Gbps ühendused. AWS DC-ühendus koosneb ühest eraldatud ühendusest teie ruuteri ja Amazoni ruuteri pordide vahel. Ühe alalisvooluühendusega saate luua virtuaalseid liideseid otse avalike AWS-teenuste (näiteks Amazon S3) või Amazon VPC-ga. Enne AWS DC kasutamist peate looma virtuaalse liidese. AWS lubab 50 virtuaalset liidest AWS Direct Connecti ühenduse kohta ja seda saab suurendada, kui võtate ühendust AWS-iga. AWS alalisvooluühendus ei ole üleliigne ja kui on vaja koondamist, on vaja teist ühendust. AWS VPN loob kaks tunnelit AWS VPC ja kohapealse võrgu vahel. Vea taluvuse tagamiseks Direct Connecti puhul soovitab AWS kasutada ühte tunnelit kohapealse andmevõrguga ühenduse loomiseks VPN ja BGP kaudu. Azure ExpressRoute pakub ka kahte linki ja ühenduvuse jaoks SLA-d - Azure tagab vähemalt 99,95% ExpressRoute pühendatud vooluringi saadavuse - ja seega ka võrgu eeldatava jõudluse.

Ühenduvus võimaldab erinevatel võrkudel üksteist ühendada. Pilveteenuse pakkujad pakuvad kolme peamist ühenduvuse võimalust

Otsene Interneti-ühendus - AWS võimaldab kasutajatel seostada avalikud IP-d seal olevate EC2 eksemplaridega, võimaldades Interneti-ühenduse nende masinatega ja samamoodi saavad privaatse alamvõrgu VM-id Interneti-juurdepääsu, kui nad marsruutivad NAT-eksemplaride kaudu avalikus alamvõrgus.

Azure võimaldab kasutajatel konfigureerida alamvõrgus olevad VM-id avalikke lõpp-punkte ehk avalikke IP-aadresse, seeläbi saab VMS-i teiste süsteemidega ühendada.

VPN over IPsec - VPN over IPsec on IP-põhise ühenduse loomise metoodika kahe erineva võrgu ühendamiseks, sõltumata võrkudest pilves / väljaspool, pilve ja eeldusvõrgu vahel jne. Üldiselt kasutatakse VPN-i marsruutimisprotokolle kahte tüüpi. 1. Staatiline marsruutimisprotokoll 2. Dünaamilise marsruudi protokoll.

Azure ja AWS pakuvad staatilisele ja dünaamilisele marsruutimisele tuge, kuid Azure praegu ei toeta aktiivse marsruutimise tuge (BGP), kuid Azure on avaldanud tohutu loendi VPN-i seadmetest, kes toetavad BGP marsruutimist.

Privaatne ühenduvus, pakkudes vahetuspakkujat - privaatse ühenduvuse võimalus on suunatud peamiselt ettevõtte klientidele, kellel on ribalaiusega suur töökoormus. Interneti-teenuse pakkujate privaatne ühendus võib pakkuda palju paremat jõudlust kui Internet. Nii AWS kui ka Azure on teinud koostööd suuremate telekommunikatsiooni- ja ISV-dega, et pakkuda privaatset ühendust nende pilvede ja kliendi vahelise infrastruktuuri vahel. Azure toetab enamikku nende funktsioonidest kiirmarsruudi kaudu, välja arvatud teatud funktsioonid, nagu teenindusbuss, CDN, RemoteApp, tõuketeated jne (lisateabe saamiseks klõpsake siin). Samuti toetab AWS kõiki AWS-i teenuseid, sealhulgas Amazon Elastic Compute Cloud (EC2), Amazoni virtuaalne privaatpilv (VPC), Amazon Simple Storage Service (S3) ja Amazon DynamoDB-d saab kasutada koos AWS Direct Connectiga. Mis puutub SLA-sse, siis AWS ei paku selle teenuse jaoks SLA-d, kuid Azure lubab seevastu 99,9% -list SLA-d, vastasel juhul saab klient nõuda teenuse krediiti.

Rõõmsat pilvisust !!!