Azure vs AWS: diferència entre la xarxa virtual virtual d'Azure (VNet) i el núvol privat virtual AWS (VPC).

Xarxa virtual Azure (VNet) i núvol privat virtual AWS (VPC)

Azure VNet i AWS VPC

El viatge al núvol comença per escollir un proveïdor de núvols i proporcionar xarxes personals o ampliar la seva xarxa local. Els clients que desitgin proporcionar els seus propis recursos al núvol poden triar diferents xarxes privades que ofereixen diferents proveïdors de núvol. Les dues xarxes privades més utilitzades són Virtual Network (VNet) i Virtual Private Cloud (VPC) de Microsoft i Amazon, respectivament. Aquest bloc explora les similituds i diferències entre aquestes dues ofertes de xarxes propietàries per informar els clients potencials sobre el que diferencia les dues xarxes privades i ajudar-los a prendre la decisió correcta de la seva càrrega de treball.

Amazon és pionera del cloud computing, pionera en els serveis revolucionaris a tota la indústria com ara EC2, VPC, etc. La presentació inicial d'AWS de la plataforma EC2 Classic va permetre als clients utilitzar còpies ec2 en una xarxa global plana compartida per tots els clients. altres atributs, inclosos la vida útil compartida, les limitacions dels grups de seguretat i la manca d’accés a la llista de gestió de xarxa, preocupen els clients que busquen seguretat. AWS, a continuació, va introduir EC2-VPC, una plataforma avançada que proporciona parts separades lògicament del núvol AWS. Mentre que AWS EC2-VPC admet lloguers conjunts / fraccionats, grups de seguretat de xarxa millorats / gestió d’accés a la xarxa i molt més, els clients de l’empresa i els clients de la SMB s’han confiat més en l’arquitectura de VPC i han començat a adoptar AWS millor que abans.

El 2013, Azure es va convertir en un proveïdor IaaS de ple rendiment, convertint-se en l’únic proveïdor PaaS per prevenir la competitivitat i les pèrdues del mercat. Per competir amb l’inici inicial AWS, Azure ha introduït molts nous serveis i, el que és més important, les xarxes virtuals, la xarxa dedicada lògicament, una versió VPC d’Azure a la seva base de dades. La xarxa virtual d'Azure és, en molts aspectes, similar a VPC, i de fet és similar en molts casos, però les diferències no són insignificants.

De fet, Azure VNet i AWS VPC són les bases per proporcionar recursos i serveis al núvol. Les dues xarxes proporcionen els mateixos blocs de construcció, però amb un grau de variabilitat en la implementació. A continuació es mostra una breu descripció d'alguns d'aquests blocs de construcció:

Subxarxa

Tant Azure VNet com AWS VPC divideixen les xarxes en subxarxes per a un disseny i gestió eficient dels recursos desplegats al núvol. El VPC AWS cobreix totes les zones d’accessibilitat (AZ) d’aquesta regió, de manera que es comparen les subxarxes VW AWS amb les zones d’accés (AZ). La subxarxa ha de pertànyer a un únic AZ i no inclou AZ. Les subxarxes VNet Azure les defineixen el bloc d’adreces IP assignat a ell. La comunicació entre totes les subxarxes de la AWS VPC es realitza a través de la xarxa vertebral AWS i es permet per defecte. Les subxarxes VPC AWS poden ser privades o públiques. Si es connecta Internet Gateway (IGW), la subxarxa és pública. AWS només permet un IGW per a un sol VPC, i la xarxa comuna permet accedir a Internet des de fonts subconectades. AWS crea VPCs i subxarxes estàndard per a cada regió. Aquest VPC estàndard té subxarxes per a cada regió on resideix el VPC, i qualsevol imatge (còpia EC2) on es col·loqui aquest VPC tindrà una adreça IP pública i per tant es connectarà a Internet. Azure VNet no proporciona VNet estàndard i no té una xarxa pública o privada, com en VPC AWS. Les fonts connectades a VNet tenen accés a Internet de manera predeterminada.

Les subxarxes són la base de les xarxes privades. Les subxarxes són una bona manera de dividir una xarxa gran en moltes xarxes més petites i la càrrega de treball depèn de la naturalesa de les dades sobre les quals es treballa. AWS, un proveïdor de IaaS, disposa d’eines avançades per a llançar subredes, com ara el seu portal de gestió, plantilles de formació de núvols, CLI i l’API de programació. AWS també proporciona assistents per automatitzar arquitectures VPC comunes

  • Xarxa pública unificada VPC
  • VPC amb subxarxes públiques i privades
  • VPC amb equips de connexió VPN de xarxa pública i privada
  • VPC només amb equips de connexió de xarxa privada i xarxa privada

Això ajuda els usuaris a reduir significativament el temps de configuració del VPC i simplifica tot el procés. AWS permet crear xarxes complexes, com ara jugar a jocs infantils amb un assistent, com a exemple d’instàncies EC2. Qualsevol que vulgui crear i mantenir una aplicació web de diversos nivells en minuts o qualsevol càrrega de treball a les xarxes públiques privades.

Azure Virtual Network també permet a PowerShell crear qualsevol nombre de subxarxes mitjançant el portal de gestió de CLI. A diferència d'AWS, Azure no té assistents per crear una arquitectura comuna a la anterior.

Adreces IP

Tant AWS VPC com Azure VNET utilitzen un CIDR no global dels intervals d'adreces privades d'IPv4, com es mostra a RFC 1918, aquestes adreces RFC no són comparables a nivell mundial, però els clients poden utilitzar altres adreces IP públiques. Azure VNet assigna recursos connectats i allotjats a la VNet des del bloc CIDR especificat a l'adreça IP. Azure VNet és la xarxa de subxarxa més petita / 29 i la més gran és un / 8. AWS també permet obtenir adreces IP des del mateix RFC 1918 o blocs IP disponibles públicament. Actualment, AWS no admet l'accés directe als blocs IP des d'accés públic a Internet, de manera que no es pot accedir a Internet ni a través d'una passarel·la d'Internet (IGW). Només s’hi pot accedir a través d’una passarel·la privada virtual. Per tant, les còpies de Windows no es poden carregar correctament a menys que el VPC tingui un rang de 224.0.0.0 a 255.255.255.255 (classes D i classes IP IP). Per a subxarxes, AWS recomana bloquejar les adreces mínim / 28 i màxim / 16. En el moment d’escriure aquest bloc, el suport de Microsoft Azure VNet és limitat, però a partir del gener de 2017, AWS VPC dóna suport a IPv6 per a totes les regions tret de la Xina. El VPC per a IPv6 té una mida definida / 56 (en registre CIDR). i la mida de la subxarxa ha de ser un / 64. En IPv6, cada adreça es redirigeix ​​a Internet i es pot comunicar amb Internet de manera predeterminada. AWS VPC proporciona només Gateway Internet EGW (EGW) per a recursos de xarxa privada. Bloqueja el trànsit entrant i permet també el trànsit sortint. AWS permet l’accés a IPv6 als recursos i recursos disponibles dins d’una xarxa privada que requereixi accés a Internet, només es proporciona la passarel·la Egress-Internet. Internet Gateway només amb sortida exterior que permet accedir a Internet però bloqueja qualsevol trànsit entrant. Entendre com separar les adreces IP d’aquests blocs CIDR és clau per dissenyar la xarxa VPC AWS, ja que canviar adreces IP internes després del disseny no és senzill. Azure VNet ofereix més flexibilitat en aquesta àrea: les adreces IP de la xarxa interna es poden canviar després del disseny inicial. Tot i això, els recursos dins de la xarxa actual s'han de traslladar fora de la xarxa actual.

Taula de referència

AWS utilitza una taula d’encaminament per especificar les rutes permeses pel trànsit sortint. Totes les subxarxes creades al VPC s’enllacen automàticament amb la taula d’encaminament mestre, de manera que totes les subxarxes del VPC poden permetre el trànsit d’altres subxarxes a menys que es rebutgin explícitament per les regles de seguretat. Tots els recursos de VNet a Azure VNet permeten el flux de trànsit mitjançant la ruta del sistema. No heu de configurar i gestionar les rutes perquè Azure VNet proporciona l'encaminament entre subxarxes, VNets i xarxes locals. L'ús de les rutes del sistema redueix automàticament el trànsit, però hi ha situacions en què es vol gestionar l'encaminament de paquets mitjançant una màquina virtual. Azure VNet utilitza un gràfic de ruta del sistema per assegurar-se que els recursos connectats a qualsevol xarxa VNet es comuniquen entre ells de manera predeterminada. Tanmateix, hi ha situacions en què és possible que vullgueu substituir les rutes habituals. Per a un escenari així, podeu realitzar rutes definides per l'usuari (UDRs) - encaminament de trànsit per a cada subxarxa - i / o rutes BGP (VNet a una xarxa local mitjançant Azure VPN Gateway o ExpressRoute). La UDR només s'aplica al trànsit de sub-xarxa i proporciona una capa de seguretat per a la instal·lació d'Azure VNet, si la finalitat de la UDR és enviar el trànsit a NVA o analitzes similars. És possible que els paquets enviats d’una subxarxa a una altra amb UDR puguin creuar la màquina virtual per la xarxa en direccions de xarxa. En la instal·lació híbrida, Azure VNet pot utilitzar una de les tres taules d'encaminament: UDR, BGP (si s'utilitza ExpressRoute) i taules d'encaminament del sistema. A Azure VNet, la xarxa de subxarxes es basa en les rutes del sistema per al seu trànsit fins que la taula d'encaminament es comunica amb una xarxa de subxarxa determinada. Un cop establerta una connexió, és a dir, hi ha una ruta UDR i / o BGP, l'encaminament es basa en la coincidència de prefixos més llarga (LPM). Si hi ha diverses rutes amb la mateixa longitud de prefix, la ruta es selecciona segons el seu origen: la ruta definida per l’usuari, la ruta BGP (quan s’utilitza ExpressRoute) i la ruta del sistema. Mentre que, els horaris d’encaminament VPC AWS poden tenir múltiples, però del mateix tipus.

Les taules especials de les instruccions contenen regles d'encaminament per determinar com el trànsit flueix a la xarxa.

En AWS, cada subxarxa ha d’associar-se a una taula d’encaminament que controli l’encaminament de la subxarxa. Si no integreu explícitament una subxarxa amb una taula d'encaminament específica, la subxarxa utilitza la taula d'encaminament mestra de VPC.

Windows Azure proporciona un enrutament estàndard en subxarxes dins d’una sola xarxa virtual, però no proporciona cap tipus d’ACL de xarxa respecte a les adreces IP internes. Així, per limitar l’accés a les màquines dins d’una única xarxa virtual, aquestes màquines han de tenir una seguretat avançada amb el tallafoc de Windows (vegeu l’esquema).

Microsoft hauria de forjar aquesta funció a les seves cuines. Podrem esperar aquesta gran funció al restaurant Azure aviat.

Seguretat

AWS VPC proporciona dos nivells de seguretat per als recursos de xarxa. El primer s’anomena grups de seguretat (SG). El grup de seguretat és un objecte públic que s’utilitza a nivell d’instància EC2: tècnicament la norma s’aplica al nivell d’Interface Elàstica de xarxa (ENI). Després de prohibir el trànsit, el trànsit de resposta està activat automàticament. El segon mecanisme de seguretat s’anomena Controls d’accés a xarxa (NACL). Les NACL són regles de filtratge sense estat que s'apliquen a nivell de subxarxa i s'apliquen a cada font de la subxarxa. No té ciutadania perquè si es permet accedir a la xarxa, la resposta no s'enviarà automàticament a menys que es permeti explícitament la regla de subxarxa. Els NACL operen a nivell de sub-xarxa comprovant les xarxes d’entrada i sortida del trànsit. Les NACL es poden utilitzar per especificar ambdues regles. Podeu associar NACL a diverses subxarxes; tanmateix, una subxarxa només es pot connectar a una NACL alhora. Les regles NACL s’ordenen a partir de la regla de número més baix per determinar si es permet el trànsit dins d’una subxarxa que està numerada i associada a la xarxa ACL. El nombre màxim que podeu utilitzar per a una regla és 32766. L’últim número que es numera sempre és un asterisc i ignora el trànsit de xarxa. Tingueu en compte que obtindreu aquesta regla si les regles de la llista NACL no coincideixen amb el trànsit. Azure VNet proporciona grups de seguretat de xarxa (NSGs) que integren les funcions dels AWS SGs i NACLs. Les NSG són de propietat estatal i es poden utilitzar a nivell de subxarxa o NIC. Només un NSG es pot aplicar a NIC, però en AWS podeu aplicar diversos grups de seguretat (SG) a una interfície de xarxa elàstica (ENI).

La seguretat és el principal motor per a la xarxa virtual de separar els punts d'accés públics. AWS ofereix una varietat de serveis de seguretat virtual a nivell d’Instant virtual, a nivell de xarxa i a nivell de xarxa general.

Grup de seguretat

Els grups de seguretat AWS ajuden a protegir la instància mitjançant la configuració de regles d'entrada i sortida. Els usuaris poden configurar ports des de quin origen ha de rebre trànsit, i així configurar ports en instàncies EC2.

El grup de seguretat de les convencions d'anomenament d'Azure, actualment, només està disponible per a xarxes virtuals regionals (llegiu què és la xarxa regional) i no està disponible per a VNet, propietària de Affinity Group Associated. Podeu obtenir un màxim de 100 NSG per subscripció (esperem que s’hagi introduït aquest límit, MSDN no ho expliqui més).

AWS ens permet crear 200 grups de seguretat per a cada VPC, per exemple, si teniu 5 VPC, generalment podeu crear grups de seguretat 200 * 5 = 1000, però els grups de seguretat dels dos núvols no poden cobrir les regions.

A diferència d'AWS, Azure Network Security Group es pot connectar a VM Instance, Subnets i híbrids ie (Subnet i VM), que és una potent protecció multicapa que VM pot oferir. Feu clic aquí per obtenir-ne un. Actualment, Azure no ofereix una interfície d'usuari per afegir / editar grups de seguretat, per la qual cosa els usuaris haurien d'utilitzar les API de PowerShell i REST per a la mateixa configuració (vegeu el flux de treball de Powershell més avall).

Xarxa ACLS

Llistes de control d'accés de xarxa d'Azure i AWS. Els ACL permeten als usuaris seleccionar o bloquejar el trànsit a les vostres xarxes. Tots dos núvols ho indiquen com un mecanisme de seguretat addicional per millorar o per sobre dels grups de seguretat i altres mecanismes de seguretat. Actualment, les limitacions d’ACL estan limitades a Endpoints (el que és Endpoints) i no proporcionen la mateixa flexibilitat i gestió que proporciona AWS.

Quan escriviu aquest article, només podeu crear ACL de xarxa mitjançant les comandes API Powershell i REST. L’ACL en AWS ens permet controlar l’accés a nivell de subxarxa. És a dir, si connecteu trànsit http a la xarxa, totes les instàncies EC2 de la subxarxa poden rebre trànsit HTTP, però si configureu algunes EC2 per no permetre el trànsit HTTP. el trànsit es filtra per grups de seguretat. Els ACL de xarxa d'Azure són gairebé similars i només funcionen per al producte final.

Nota: Azure recomana tant a una llista de control d'accés de xarxa com a un grup de seguretat, i no al mateix temps, ja que són pràcticament les mateixes. Si heu configurat l’ACL de xarxa i voleu canviar a grups de seguretat, primer heu de suprimir els ACL d’extinció i configurar el grup de seguretat.

Connexió

Gates

Tant VNet com VPC ofereixen passarel·les diferents amb finalitats de connectivitat diferents. El VPC AWS bàsicament utilitza tres passarel·les, quatre si afegeix una passarel·la NAT. AWS proporciona IPv4 per a una passarel·la d'Internet (IGW) i IPv4 per a accés a Internet i només accés a Internet mitjançant Egress-Internet Gateway. En AWS, es considera que una subxarxa que no tingui IGW és una subxarxa privada i no té connexió a Internet sense una passarel·la NAT o un inventari NAT (AWS recomana la disponibilitat i amplitud de NAT Gateway). Una altra passarel·la AWS Virtual Private Gateway (VPG) proporciona accés AWS a altres xarxes mitjançant VPN o Direct Connect. A les xarxes que no siguin AWS, AWS requereix Customer Gateway (CGW) per connectar-se a AWS VPC al costat del client. Azure VNet proporciona dos tipus de passarel·la: VPN Gateway i ExpressRoute Gateway. Gateway VPN permet que el trànsit xifrat de VNet a VNet o VNet es pugui connectar a l’àrea local a través de la xarxa pública o de la xarxa vertebral de Microsoft des de VNet a VPN VNet. Al mateix temps, ExpressRoute i VPN Gateway necessiten una subxarxa de passarel·la. El subsistema de passarel·la té adreces IP que utilitzen serveis de passarel·la de xarxa virtual. Azure es pot connectar des de VNET a VNET mitjançant VPN, però en AWS, si els VPC es troben en diferents regions, VPC a VPC necessitarà un NVA de tercers.

Connexió híbrida

AWS VPC i Azure VNet permeten connexions híbrides mitjançant VPN i / o Direct Connect i ExpressRoute respectivament. Hi ha connexió de fins a 10 Gbit / s mitjançant Direct Connect o ExpressRoute. La connexió AWS DC inclou una única connexió entre els ports del vostre enrutador i del vostre enrutador Amazon. Amb una sola connexió de corrent continu, podeu crear interfícies virtuals directament a serveis públics AWS (com ara Amazon S3) o Amazon VPC. Abans de poder utilitzar AWS DC, heu de crear una interfície virtual. AWS permet fins a 50 interfícies virtuals per AWS Direct Connect, que es poden multiplicar connectant-se amb AWS. La connexió AWS DC no és redundant i, si és necessari, es requereix una connexió secundària. AWS VPN crea dos túnels entre el AWS VPC i la xarxa local. Per garantir la tolerància a les fallades de Direct Connect, AWS recomana utilitzar un dels túnels per connectar-se a una xarxa de dades local mitjançant VPN i BGP. Azure ExpressRoute també proporciona dues connexions i connectivitat SLA, Azure garanteix un circuit dedicat mínim del 99,95% ExpressRoute i, per tant, el rendiment previsible de la xarxa.

Una connexió interactiva permet connectar diferents xarxes. Els proveïdors de núvols ofereixen tres opcions de connectivitat clau

Connexió a Internet directa: AWS permet als usuaris connectar IP IP públiques a instàncies EC2 i permet que aquestes màquines es connectin a Internet, i màquines virtuals similars accedeixen a Internet mitjançant l’encàrrec a través de còpies NAT dins d’una xarxa pública.

Azure permet als usuaris configurar adreces IP públiques des d’adreces IP públiques fins a virtuals de xarxa perquè VMS es pugui connectar a altres sistemes.

VPN via IPsec - VPN sobre IPsec - S'utilitzen dos tipus de metodologies de connexió basades en IP, principalment per connectar dues xarxes diferents, independentment de xarxes basades en núvol / fora de xarxa, en núvol: 1. Protocol d'encaminament estàtic 2. Protocol d’encaminament dinàmic.

Azure i AWS admeten l'encaminament estàtic i dinàmic, però actualment no admeten el suport de ruta d'activació (BGP) d'Azure, però Azure ha anunciat una llista enorme de dispositius VPN que admeten l'encaminament BGP.

Connexió privada mitjançant proveïdor d’intercanvi: l’opció Connectar privada s’adreça als treballadors amb un ample de banda molt gran. La connexió dels ISP a Internet els permet treballar molt millor que Internet. AWS i Azure s’han unit amb les principals telecomunicacions i ISV per oferir una connexió privada entre el seu núvol i la infraestructura de construcció de clients. Azure Express admet moltes de les seves funcions mitjançant Ruta, com ara Bus Bus, CDN, RemoteApp, Notificacions Push, etc. (Feu clic aquí per obtenir més informació). De la mateixa manera, AWS admet tots els serveis AWS, inclòs Amazon Elastic Compute Cloud (EC2), Cloud Virtual Virtual d'Amazon (VPC), Amazon Simple Storage Service (S3) i Amazon DynamoDB amb AWS Direct Connect. Pel que fa a SLA, AWS no proporciona SLA per a aquest servei, però Azure, per la seva banda, promet el 99,9% SLA, altrament el client podrà reclamar préstecs per serveis.

Bon núvol !!!