Azure vs AWS - Rozdíl mezi Azure Virtual Network (VNet) a AWS Virtual Private Cloud (VPC).

Azure Virtual Network (VNet) a AWS Virtual Private Cloud (VPC)

Azure VNet a AWS VPC

Cesta do cloudu začíná výběrem poskytovatele cloudu a poskytováním osobních sítí nebo rozšiřováním jejich místní sítě. Zákazníci, kteří chtějí poskytovat své vlastní zdroje v cloudu, si mohou vybrat různé soukromé sítě nabízené různými poskytovateli cloudu. Dvěmi nejčastěji používanými privátními sítěmi jsou Virtual Network (VNet) a Virtual Private Cloud (VPC) od společností Microsoft a Amazon. Tento blog zkoumá podobnosti a rozdíly mezi těmito dvěma nabídkami proprietárních sítí s cílem informovat potenciální zákazníky o tom, co odlišuje tyto dvě soukromé sítě, a pomoci jim při správném rozhodování o jejich pracovní zátěži.

Amazon je průkopníkem cloud computingu, průkopníkem revolučních služeb v celém odvětví, jako jsou EC2, VPC atd. Počáteční prezentace společnosti AWS na platformě EC2 Classic Platform umožnila zákazníkům používat kopie ec2 na ploché globální síti sdílené všemi zákazníky. další atributy, včetně sdílené životnosti, omezení pro skupiny zabezpečení a nedostatečný přístup k seznamu správy sítě, se týkají zákazníků hledajících zabezpečení. AWS poté představila vylepšenou platformu EC2-VPC, která poskytuje logicky oddělené části cloudu AWS. Zatímco AWS EC2-VPC podporuje pronájem kloubů / splitů, vylepšené skupiny zabezpečení sítě / správu přístupu k síti a další, zákazníci Enterprise a SMB si získali důvěru v architekturu VPC a začali přijímat AWS lépe než dříve.

V roce 2013 se Azure stal plnohodnotným dodavatelem IaaS a stal se jediným poskytovatelem PaaS, který zabraňoval konkurenceschopnosti a ztrátám na trhu. Aby bylo možné konkurovat počátečnímu spuštění AWS, Azure zavedl do své databáze mnoho nových služeb a, co je nejdůležitější, virtuální sítě, logicky vyhrazenou síť, verzi AzC VPC ve své databázi. Virtuální síť Azure je v mnoha ohledech podobná VPC a ve skutečnosti je v mnoha případech podobná, ale rozdíly nejsou zanedbatelné.

Ve skutečnosti Azure VNet a AWS VPC poskytují základ pro poskytování zdrojů a služeb v cloudu. Obě sítě poskytují stejné stavební bloky, ale s určitou variabilitou v implementaci. Následuje stručný popis některých z těchto stavebních bloků:

Subnet

Azure VNet i AWS VPC rozdělují sítě do podsítí pro efektivní návrh a správu zdrojů nasazených v cloudu. AWS VPC pokrývá všechny přístupové zóny (AZ) v této oblasti, takže podsítě AWS VPC jsou porovnány s přístupovými zónami (AZ). Podsíť musí patřit pouze k jednomu AZ a nezahrnuje AZ. Podsítě Azure VNet jsou definovány přiřazeným blokem adresy IP. Komunikace mezi všemi podsítěmi AWS VPC probíhá přes páteřní síť AWS a je ve výchozím nastavení povolena. Podsítě AWS VPC mohou být soukromé nebo veřejné. Pokud je připojena internetová brána (IGW), je podsíť veřejná. AWS umožňuje pouze jeden IGW pro jeden VPC a společná síť umožňuje přístup k internetu z připojených zdrojů. AWS vytváří standardní VPC a podsítě pro každou oblast. Tento standardní VPC má podsítě pro každou oblast, ve které je VPC umístěn, a každý obrázek (kopie EC2), na kterém je tento VPC umístěn, bude mít veřejnou IP adresu, a bude proto připojen k internetu. Azure VNet neposkytuje standardní VNet a nemá soukromou ani veřejnou síť, jako v AWS VPC. Zdroje připojené k síti VNet mají ve výchozím nastavení přístup k Internetu.

Podsítě jsou základem soukromých sítí. Podsítě jsou skvělý způsob, jak rozdělit velkou síť na mnoho menších sítí, a pracovní zátěž závisí na povaze dat, na nichž pracuje. AWS, poskytovatel IaaS, má pokročilé nástroje pro spouštění podsítí, jako je portál pro správu, šablony Cloud Formation Templates, CLI a API pro programování. AWS také poskytuje průvodce pro automatizaci společných architektur VPC

  • Sjednocená veřejná síť VPC
  • VPC s veřejnými a soukromými podsítěmi
  • VPC s veřejným a soukromým zařízením pro připojení k síti a VPN
  • VPC s pouze zařízením pro připojení k privátní síti a VPN

To pomáhá uživatelům výrazně zkrátit dobu nastavení VPC a zjednodušuje celý proces. AWS vám umožňuje vytvářet složité sítě, například hrát dětské hry pomocí průvodce, jako příklad případů EC2. Každý, kdo chce vytvořit a udržovat vícevrstvou webovou aplikaci během několika minut nebo jakékoli pracovní zatížení ve veřejných soukromých sítích.

Azure Virtual Network také umožňuje PowerShell vytvářet libovolný počet podsítí pomocí portálu pro správu CLI. Na rozdíl od AWS nemá Azure žádné kouzelníky, kteří by vytvořili společnou architekturu podobnou té výše.

IP adresy

Jak AWS VPC, tak Azure VNET používají neinvestiční CIDR z rozsahu soukromých adres IPv4, jak je ukázáno v RFC 1918 - tyto RFC adresy nejsou globálně srovnatelné - ale zákazníci mohou použít jiné veřejné IP adresy. Azure VNet přiřadí připojené a hostované prostředky k VNet ze zadaného bloku CIDR na IP adresu. Azure VNet je nejmenší síť podsítě / 29 a největší je / 8. AWS také umožňuje získat IP adresy ze stejných RFC 1918 nebo veřejně dostupných IP bloků. V současné době AWS nepodporuje přímý přístup z IP bloků, které jsou obecně připojeny k Internetu, takže k nim nelze přistupovat přes internet, a to ani přes internetovou bránu (IGW). Přístup je možný pouze prostřednictvím virtuální soukromé brány. Kopie systému Windows se proto nemohou načíst správně, pokud VPC nemá rozsah 224.0.0.0 až 255.255.255.255 (třídy D a E IP). Pro podsítě AWS doporučuje, abyste zablokovali minimální / 28 a maximální / 16 adresy. V době psaní tohoto blogu je podpora Microsoft Azure VNet omezená, ale od ledna 2017 AWS VPC podporuje IPv6 pro všechny regiony kromě Číny. VPC pro IPv6 je nastavena velikost / 56 (v záznamu CIDR). a velikost podsítě by měla být a / 64. V IPv6 je každá adresa přesměrována na internet a ve výchozím nastavení je schopna komunikovat s internetem. AWS VPC poskytuje internetovou bránu typu Egress-Only (EGW) pro soukromé zdroje sítě. Blokuje příchozí provoz a zároveň umožňuje odchozí provoz. AWS umožňuje IPv6 přístup k dostupným prostředkům a prostředkům v soukromé síti, které vyžadují přístup k internetu, je k dispozici pouze brána Egress-Internet. Internetová brána pouze pro výstup umožňuje přístup k Internetu, ale blokuje veškerý příchozí provoz. Pochopení toho, jak oddělit IP adresy od těchto bloků CIDR, je klíčem k navrhování sítě AWS VPC, protože změna interních IP adres po návrhu není jednoduchá. Azure VNet nabízí v této oblasti větší flexibilitu - IP adresy interní sítě lze po prvotním návrhu změnit. Prostředky v aktuální síti však musí být přesunuty mimo aktuální síť.

Referenční tabulka

AWS používá směrovací tabulku k určení tras povolených pro odchozí provoz. Všechny podsítě vytvořené ve VPC jsou automaticky propojeny s hlavní směrovací tabulkou, takže všechny podsítě v VPC mohou povolit provoz z jiných podsítí, pokud to bezpečnostní pravidla výslovně neodmítne. Všechny zdroje na VNet na Azure VNet umožňují tok provozu pomocí systémové trasy. Nemusíte konfigurovat a spravovat trasy, protože Azure VNet poskytuje směrování mezi podsítěmi, sítěmi VN a místními sítěmi. Použití systémových tras automaticky sníží provoz, ale existují situace, kdy chcete spravovat směrování paketů prostřednictvím virtuálního počítače. Azure VNet používá systémovou trasu, aby zajistil, že prostředky připojené k jakékoli síti VNet ve výchozím nastavení spolu komunikují. Existují však situace, kdy budete chtít přepsat obvyklé trasy. U takového scénáře můžete provádět uživatelem definované trasy (UDR) - směrování provozu pro každou podsíť a / nebo BGP trasy (VNet do místní sítě pomocí Azure VPN Gateway nebo ExpressRoute). UDR se vztahuje pouze na přenos v podsíti a poskytuje bezpečnostní vrstvu pro instalaci Azure VNet, pokud má UDR posílat provoz na NVA nebo podobné skenování. Pakety odesílané z jedné podsítě do druhé s UDR budou možná muset procházet virtuální stroj přes síť v síťových směrech. V hybridní instalaci může Azure VNet použít jednu ze tří směrovacích tabulek - UDR, BGP (pokud se používá ExpressRoute) a směrovací tabulky systému. V síti Azure VNet závisí síť podsítě na svém provozu, dokud směrovací tabulka nekomunikuje s konkrétní sítí podsítě. Jakmile je navázáno spojení, tj. Existuje trasa UDR a / nebo BGP, směrování je založeno na nejdelší shodě s předponou (LPM). Pokud existuje více tras se stejnou délkou předpony, je trasa vybrána podle jejího původu: trasa definovaná uživatelem, trasa BGP (pokud je použita ExpressRoute) a trasa systému. Programy směrování AWS VPC však mohou mít více, ale stejný typ.

Zvláštní tabulky pokynů obsahují pravidla pro směrování, která určují, jak toky provozu v síti.

V AWS musí být každá podsíť spojena s směrovací tabulkou, která řídí směrování pro podsíť. Pokud explicitně integrujete podsíť s konkrétní směrovací tabulkou, použije podsíť hlavní směrovací tabulku VPC.

Windows Azure poskytuje standardní směrování v podsítích v rámci jedné virtuální sítě, ale neposkytuje žádný typ síťového ACL s ohledem na interní adresy IP. Proto, aby se omezil přístup k počítačům v rámci jedné virtuální sítě, musí mít tyto počítače pokročilé zabezpečení s bránou Windows Firewall (viz obrázek).

Společnost Microsoft by měla tuto funkci péct ve svých kuchyních. Těšíme se na tuto skvělou funkci v restauraci Azure brzy.

Zabezpečení

AWS VPC poskytuje dvě úrovně zabezpečení síťových prostředků. První se nazývá Bezpečnostní skupiny (SG). Skupina zabezpečení je stavový objekt, který se používá na úrovni instance EC2 - technicky se pravidlo používá na úrovni rozhraní Elastic Network Interface (ENI). Jakmile je přenos zakázán, přenos odezvy je automaticky povolen. Druhý bezpečnostní mechanismus se nazývá Network Access Controls (NACL). NACL jsou pravidla pro filtrování bez státní příslušnosti, která platí na úrovni podsítě a vztahují se na každý zdroj v podsíti. Nemá občanství, protože pokud má povolen přístup k síti, odpověď nebude automaticky odeslána, pokud není výslovně povoleno pravidlo pro podsíť. NACL fungují na úrovni podsítě kontrolou vstupních a výstupních sítí. NACL lze použít k určení obou pravidel. NACL můžete přiřadit k více podsítím; podsíť však může být najednou připojena pouze k jedné NACL. Pravidla NACL jsou řazena od pravidla s nejnižším číslem, aby se určilo, zda je povolen provoz v jakékoli podsíti, která je očíslována a přiřazena k síti ACL. Maximální počet, který můžete použít pro pravidlo, je 32766. Poslední číslo, které je očíslováno, je vždy hvězdička a ignoruje síťový provoz. Toto pravidlo získáte, pokud se pravidla na seznamu NACL neshodují s provozem. Azure VNet poskytuje skupiny zabezpečení sítě (NSG), které integrují funkce AWS SG a NACL. NSG jsou ve vlastnictví státu a lze je použít na úrovni podsítí nebo NIC. Na NIC lze použít pouze jeden NSG, ale v AWS můžete použít více skupin zabezpečení (SG) na elastické síťové rozhraní (ENI).

Zabezpečení je hlavní hnací silou virtuální sítě k překonání veřejných přístupových bodů. AWS poskytuje celou řadu virtuálních bezpečnostních služeb na úrovni virtuálního okamžitého, na úrovni sítě a na úrovni celé sítě.

Bezpečnostní skupina

Skupiny zabezpečení AWS pomáhají chránit instanci nastavením příchozích a odchozích pravidel. Uživatelé mohou konfigurovat porty, ze kterých zdrojů mají přijímat přenos, a tím nastavit porty v případech EC2.

Skupina Azure pro určování názvů Network Security Group je v současné době k dispozici pouze pro regionální virtuální sítě (přečtěte si, co je regionální síť) a není k dispozici pro VNet, který vlastní přidruženou afinitní skupinu. Můžete získat maximálně 100 NSG za odběr (doufejme, že byl tento limit zaveden, MSDN jej nebude dále vysvětlovat).

AWS nám umožňuje vytvořit 200 bezpečnostních skupin pro každou VPC, například, pokud máte 5 VPC, můžete obecně vytvořit 200 * 5 = 1000 bezpečnostních skupin, ale bezpečnostní skupiny v obou oblacích nemohou pokrýt oblasti.

Na rozdíl od AWS se Azure Network Security Group může připojit k VM Instance, Subnets a hybrid, tj. (Subnet and VM), což je výkonná vícevrstvá ochrana, kterou může VM poskytnout. Klikněte sem a získejte jeden. V současné době Azure nenabízí uživatelské rozhraní pro přidávání / úpravy bezpečnostních skupin, takže uživatelé musí pro stejné nastavení používat rozhraní PowerShell a REST API (viz níže uvedený postup Powershell Workflow).

Síť ACLS

Azure a AWS podporují seznamy řízení přístupu k síti. Seznamy ACL umožňují uživatelům vybírat nebo blokovat provoz do vašich sítí. Obě mračna na něj odkazují jako na další bezpečnostní mechanismus pro posílení nebo nad bezpečnostními skupinami a dalšími bezpečnostními mechanismy. V současné době jsou omezení ACL omezena na Endpoints (co jsou Endpoints) a neposkytují stejnou flexibilitu a správu, jakou poskytuje AWS.

Při psaní tohoto článku můžete vytvářet síťové ACL pouze pomocí příkazů Powershell a REST API. ACL v AWS nám umožňuje řídit přístup na úrovni podsítě. To znamená, že pokud připojíte provoz HTTP k síti, mohou všechny instance EC2 v podsíti přijímat provoz HTTP, ale pokud nastavíte některá EC2, aby nepovolovala provoz HTTP. přenos je filtrován skupinami zabezpečení. Sítě ACL Azure jsou téměř podobné a fungují pouze pro koncový bod.

Poznámka: Azure doporučuje raději než do seznamu řízení přístupu do sítě, nebo do skupiny zabezpečení, nikoli ve stejnou dobu, protože jsou prakticky stejné. Pokud jste nakonfigurovali síťové ACL a chcete přepnout na skupiny zabezpečení, musíte nejprve odebrat ACL koncových bodů a nakonfigurovat skupinu zabezpečení.

Připojení

Brány

VNet i VPC nabízejí různé brány pro různé účely připojení. AWS VPC v zásadě používá tři brány, čtyři, pokud přidáte bránu NAT. AWS poskytuje IPv4 pro jednu internetovou bránu (IGW) a IPv4 pro přístup k internetu a pouze přístup k internetu prostřednictvím Egress-Internet Gateway. V AWS je jakákoli podsíť, která nemá IGW, považována za soukromou podsíť a nemá připojení k internetu bez brány NAT nebo inventáře NAT (AWS doporučuje dostupnost a šířku brány NAT). Další brána AWS Virtual Private Gateway (VPG) poskytuje AWS přístup k dalším sítím prostřednictvím VPN nebo přímého připojení. V sítích jiných než AWS vyžaduje AWS připojení k bráně AWS VPC na straně klienta pomocí zákaznické brány (CGW). Azure VNet poskytuje dva typy bran: VPN bránu a ExpressRoute bránu. VPN Gateway umožňuje šifrovaný přenos z VNet do VNet nebo VNet pro připojení k místní oblasti prostřednictvím veřejné sítě nebo z páteřní sítě společnosti Microsoft z VNet na VNet VPN. ExpressRoute a VPN Gateway zároveň potřebují podsíť brány. Podsystém brány má adresy IP, které používají služby virtuální síťové brány. Azure se může připojit z VNET k VNET přes VPN, ale v AWS, pokud jsou VPC v různých oblastech, bude VPC k VPC potřebovat NVA třetí strany.

Hybridní připojení

AWS VPC a Azure VNet umožňují hybridní připojení pomocí VPN a / nebo Direct Connect a ExpressRoute. Připojení až 10 Gbit / s je k dispozici pomocí Direct Connect nebo ExpressRoute. Připojení AWS DC zahrnuje jediné spojení mezi porty ve vašem routeru a Amazon routeru. S jediným připojením DC můžete vytvářet virtuální rozhraní přímo k veřejným službám AWS (jako je Amazon S3) nebo Amazon VPC. Před použitím AWS DC musíte vytvořit virtuální rozhraní. AWS umožňuje až 50 virtuálních rozhraní pro AWS Direct Connect, které lze znásobit připojením k AWS. Připojení AWS DC není redundantní a v případě potřeby je vyžadováno sekundární připojení. AWS VPN vytváří dva tunely mezi AWS VPC a místní sítí. Aby byla zajištěna odolnost proti chybám pro Direct Connect, AWS doporučuje použít jeden z tunelů pro připojení k místní datové síti prostřednictvím VPN a BGP. Azure ExpressRoute také poskytuje dvě připojení a připojení SLA - Azure zaručuje alespoň 99,95% vyhrazený obvod ExpressRoute - a tudíž předvídatelný výkon sítě.

Interaktivní připojení umožňuje připojení různých sítí. Poskytovatelé cloudu nabízejí tři klíčové možnosti připojení

Přímé připojení k Internetu - AWS umožňuje uživatelům připojit veřejné IP k instancím EC2 a umožňuje těmto strojům připojení k Internetu a podobné VM přístup k Internetu směrováním přes kopie NAT ve veřejné síti.

Azure umožňuje uživatelům konfigurovat veřejné IP adresy z veřejných IP adres do síťových VM, takže se VMS může připojit k jiným systémům.

VPN over IPsec - VPN over IPsec - Používají se dva typy metod připojení založených na IP, hlavně pro připojení dvou různých sítí, bez ohledu na cloud / out-of-network, cloudové sítě: 1. Statický směrovací protokol 2. Dynamický směrovací protokol.

Azure a AWS podporují statické a dynamické směrování, ale v současné době nepodporují podporu Azure Active Routing Support (BGP), ale Azure oznámila obrovský seznam zařízení VPN, která podporují směrování BGP.

Soukromé připojení pomocí poskytovatele Exchange - Možnost Private Connect je zaměřena na pracovníky s velmi velkou šířkou pásma. Připojení poskytovatelů internetu k internetu jim umožňuje pracovat mnohem lépe než internet. Společnosti AWS a Azure se spojily s významnými telekomunikačními společnostmi a poskytovateli internetových služeb s cílem nabídnout soukromé spojení mezi jejich cloudovou infrastrukturou a budováním zákazníků. Azure Express podporuje mnoho svých funkcí prostřednictvím služby Route, například Service Bus, CDN, RemoteApp, Push Notifications atd. (Klikněte zde pro více informací). Podobně AWS podporuje všechny služby AWS, včetně Amazon Elastic Compute Cloud (EC2), Amazon Virtual Private Cloud (VPC), Amazon Simple Storage Service (S3) a Amazon DynamoDB s AWS Direct Connect. Pokud jde o SLA, AWS neposkytuje SLA pro tuto službu, ale Azure naproti tomu slibuje 99,9% SLA, jinak si zákazník může nárokovat servisní půjčky.

Šťastný mrak !!!