Azure vs AWS - Munur á Azure Virtual Network (VNet) og AWS Virtual Private Cloud (VPC)

Azure Virtual Network (VNet) vs AWS Virtual Private Cloud (VPC)

Azure VNet vs AWS VPC

Ferðin að skýinu byrjar á því að velja skýjafyrirtæki og útvega einkanet eða víkka út netkerfi sitt. Viðskiptavinir sem leita eftir því að útvega fjármagn sitt í skýinu geta valið úr mismunandi einkanetum sem hinar ýmsu skýjafyrirtækin bjóða. Tvö einkareknu netin sem mest eru send eru Virtual Network (VNet) og Virtual Private Cloud (VPC) frá Microsoft og Amazon í sömu röð. Þetta blogg lítur á líkt og muninn á þessum tveimur almennu netframboðum með það að markmiði að upplýsa hugsanlega viðskiptavini um hvað aðgreinir einkanetin tvö og aðstoði við ákvörðun þeirra um það sem hentar vinnuálagi þeirra.

Amazon hefur verið í fremstu röð í skýjatölvuvettvangi og verið brautryðjandi í iðnbyltingarkenndri þjónustu eins og EC2, VPC o.s.frv. Byrjunartilboð AWS, EC2-klassískur pallur, gerði viðskiptavinum kleift að keyra ec2 tilvik á flatri alheimsneti sem allir viðskiptavinir deila með, einnig voru aðrir eiginleikar, þ.mt sameiginlegur leigutími, takmarkanir á öryggishópum og skortur á netaðgangsstýringalistum vörðuðu viðskiptavini með öryggi. AWS kynnti síðan EC2-VPC, háþróaðan vettvang sem veitir rökréttan einangrun hluta AWS skýsins. AWS EC2-VPC styður sameiginlegan / hollan leigutíma, bætta netöryggishópa / netaðgangsstýringu o.fl., Viðskiptavinir viðskiptavinir og SMB viðskiptavinir öðluðust meira traust með VPC arkitektúrnum og fóru að taka upp AWS betur en áður.

Árið 2013 sneri Azure áherslum sínum frá því að vera bara PaaS veitandi í fullgildur IaaS veitandi til að forðast samkeppnisforskot og tap á markaði. Til þess að keppa við byrjunarliðið AWS, kynnti Azure margar nýjar þjónustur og síðast en ekki síst Sýndarnetkerfi, „rökrétt einangrað net“ VPC útgáfa Azure innan Datacenter þess. Raunverulegt net Azure líkist VPC að mörgu leyti og hegðar sér í raun svipað í mörgum tilfellum en það er fátt um það líka.

Hugmyndafræðilegt, bæði Azure VNet og AWS VPC bjóða grunnfjallinn til að útvega fjármagn og þjónustu í skýinu. Bæði net bjóða upp á sömu byggingarreitina en með breytileika í framkvæmd. Eftirfarandi er yfirlit yfir nokkrar af þessum byggingareiningum:

Undirnet

Fyrir Azure VNet og AWS VPC aðgreinir netið með undirnetum til skilvirkrar hönnunar og stjórnunar á auðlindum sem eru sett á skýið. AWS VPC spannar öll aðgengissvæðin (AZs) á því svæði, þess vegna eru undirnet í AWS VPC kortlögð á aðgengissvæðin (AZs). Undirnet þarf aðeins að tilheyra einu AZ og getur ekki spannað AZ. Azure VNet undirnet eru skilgreindir af IP-tölublokkinni sem henni er úthlutað. Samskipti milli allra undirneta í AWS VPC eru í gegnum AWS burðarás og eru sjálfgefin leyfð. AWS VPC undirnet geta verið annað hvort almennir eða opinberir. Undirnet er opinbert ef það er með internetgátt (IGW) tengd. AWS leyfir aðeins einum IGW á hverja VPC og almenna undirnetið leyfir auðlindum sem eru send í þeim aðgang að internetinu. AWS býr til sjálfgefið VPC og undirnet fyrir hvert svæði. Þessi sjálfgefni VPC er með undirnet fyrir hvert svæði þar sem VPC er búsettur og hverri mynd (EC2 dæmi) sem er dreift á þennan VPC verður úthlutað almennu IP tölu og hefur því internet tengingu. Azure VNet býður ekki upp á sjálfgefið VNet og er ekki með einkanet eða opinbert undirnet eins og í AWS VPC. Aðföng tengd VNet hafa sjálfgefið aðgang að Internetinu.

Undirnet eru byggingareiningar einkanetsins. Undirnet eru frábær leið til að skipta stærra netinu í mörg smærri net og setja vinnuálag veltur á eðli gagna sem það fæst við. AWS sem er IaaS veitandi hefur þroskast verkfæri eins og stjórnunargátt þeirra, Cloud Formation Templates, CLIs og forritanleg API til að ræsa undirnet. AWS veitir Wizards einnig til að gera sjálfvirkan sameiginlegan VPC arkitektúr eins og

  • VPC með einu almenna undirneti
  • VPC með opinberum og einkennum undirnetum
  • VPC með opinberum og einkennum undirheimum og VPN-aðgangi að vélbúnaði
  • VPC með einkanet aðeins og VPN aðgang að vélbúnaði

Þetta hjálpar notendum að draga mjög úr uppsetningartíma VPC og einfalda allt ferlið. AWS gerir það að verkum að búa til flókin net eins og barnaleikrit með því að nota töframanninn, með frávik frá EC2 tilvikum. Sá sem vill búa til og útvega fjölskipt vefforrit eða vinnuálag í almennings-einkaaðila undirnet á nokkrum mínútum.

Azure Virtual Network gerir okkur einnig kleift að búa til undirnet af hvaða magni sem er með stjórnunargáttinni, PowerShell, CLI. Ólíkt AWS, hefur blátt blöð ekki töframenn til að búa til sameiginlegu arkitektúrin eins og þau sem nefnd eru hér að ofan.

IP-netföng

Bæði AWS VPC og Azure VNET nota CIDR sem ekki er hægt að færa á heimsvísu frá einka IPv4 netfanginu eins og tilgreint er í RFC 1918 - netföng frá þessum RFC eru ekki á heimsvísu færanleg - en viðskiptavinir geta samt notað önnur opinber IP netföng. Azure VNet úthlutar auðlindum sem eru tengd og dreifð á VNet einka IP tölu frá CIDR reitnum sem tilgreindur er. Í Azure VNet er minnsta undirnetið / 29 og það stærsta er / 8. AWS leyfir einnig IP netföng frá sömu RFC 1918 eða opinberum færanlegu IP reitum. Eins og stendur styður AWS ekki beinan aðgang að internetinu frá opinberum færanlegum IP-reitum, þess vegna er ekki hægt að ná þeim frá internetinu jafnvel í gegnum Internetgáttina (IGW). Þeir eru aðeins að ná í gegnum Virtual Private Gateway. Vegna þessa geta Windows tilvik ekki ræst rétt ef þau eru sett af stað í VPC með bilinu 224.0.0.0 til 255.255.255.255 (IP-tölu svið D og Class E). Fyrir undirnetið mælir AWS með lágmarksfangsfangi / 28 og að hámarki / 16. Microsoft Azure VNet stuðningur við IPv6 er takmarkaður þegar þetta blogg er skrifað, AWS VPC styður hins vegar IPv6 fyrir öll svæði nema Kína, frá og með janúar 2017. Fyrir IPv6 er VPC fast stærð / 56 (í CIDR merki) og stærð subnetsins er föst til að vera 64/64. Í IPv6 er hvert heimilisfang á internetinu að færa og getur sjálfkrafa talað við internetið. AWS VPC veitir Egress-Only Internet Gateway (EGW) fyrir auðlindir í einkanetinu. Það lokar fyrir komandi umferð en leyfir enn á útleið umferð. AWS gerir kleift að gera IPv6 mögulegt fyrir núverandi auðlindir, og fyrir auðlindir í einkanetinu sem krefjast aðgangs að internetinu, er aðeins internetgátt fyrir Egress. Internetgáttin með eingöngu innrennsli mun leyfa aðgang að internetinu en hindrar alla komandi umferð. Að skilja hvernig á að úthluta IP-vistföngum frá þessum CIDR-reitum er lykillinn að því að hanna AWS VPC net þar sem það er ekki léttvægt að breyta IP-netföngum undirneta eftir hönnun. Azure VNet býður upp á meiri sveigjanleika á þessu sviði - IP-netföngum undirnetsins er hægt að breyta eftir upphaflega hönnun. En það verður að flytja auðlindir í núverandi undirneti af núverandi undirneti.

Leiðitöflu

AWS notar leiðartöfluna til að tilgreina leyfðar leiðir fyrir útleið frá subnetinu. Öll undirnet sem eru búin til í VPC eru sjálfkrafa tengd við aðalleiðatöfluna og þess vegna geta allar undirnets í VPC leyft umferð frá öðrum undirnetum nema beinlínis sé hafnað með öryggisreglum. Í Azure VNet leyfa allar auðlindir VNet flæðis umferðar með kerfisleiðinni. Þú þarft ekki að stilla og hafa umsjón með leiðum því Azure VNet býður sjálfgefið leiðarleiðir milli undirnets, VNets og staðarneta. Notkun kerfisleiða auðveldar umferð sjálfkrafa en til eru tilvik þar sem þú vilt stjórna leiðarlýsingu pakka í gegnum sýndartæki. Azure VNet notar leiðartöflu kerfisins til að tryggja að auðlindir sem eru tengdar hvaða undirneti í hvaða VNet sem er samskipti sjálfgefið. Hins vegar eru atburðarás þegar þú vilt kannski hnekkja sjálfgefnu leiðunum. Fyrir slíkar sviðsmyndir er hægt að útfæra notendaskilgreindar leiðir (UDR) - stjórna því hvar umferð er færð fyrir hvert undirnet - eða / og BGP leiðir (VNetið þitt til staðarnetsins með Azure VPN Gateway eða ExpressRoute tengingu). UDR gildir aðeins um umferð sem yfirgefur undirnetið og getur veitt lag af öryggi fyrir uppsetningu Azure VNet, ef markmið UDR er að senda umferð á einhvers konar skoðun NVA eða þess háttar. Með UDR er hægt að neyða pakka sem sendir eru í eitt undirnet frá öðru til að fara í gegnum raunverulegt netkerfi á mengi af leiðum. Í blönduuppsetningunni getur Azure VNet notað einhverjar af þremur leiðartöflunum - UDR, BGP (ef ExpressRoute er notað) og kerfisleiðatöflur. Í Azure VNet treystir undirnetið á kerfisleiðir fyrir umferð sína þar til leiðatöflu er beinlínis tengd undirneti. Þegar stofnun er stofnuð, þ.e.a.s. UDR og / eða BGP leið er til, er leiðin gerð á grundvelli Longest Prefix Match (LPM). Í tilvikum þar sem það eru fleiri en ein leið með sömu forskeyti lengd, er leið valin út frá uppruna hennar í eftirfarandi röð: Notendaskilgreind leið, BGP leið (þegar ExpressRoute er notuð) og Kerfisleið. Í AWS VPC geta venjutöflur verið fleiri en ein, en af ​​sömu gerð.

Sérsniðnar venjutöflur innihalda lista yfir venjureglur til að ákvarða hvernig umferðin ætti að renna inn í undirnetið.

Í AWS verður hvert undirnet að vera tengt við leiðartöflu sem stjórnar leiðinni fyrir undirnetið. Ef þú tengir ekki beinlínis undirnet við tiltekna leiðartöflu notar undirnetið aðalleiðatöflu VPC.

Windows Azure veitir sjálfgefna leið yfir undirnet innan eins sýndarnets, en veitir ekki neina tegund ACL-netkerfis með tilliti til innri IP-tölu. Svo til að takmarka aðgang að vélum innan eins sýndarnets verða þessar vélar að nýta Windows Firewall með háþróuðu öryggi (sjá myndina).

Microsoft verður að elda þennan eiginleika í eldhúsunum sínum. Við getum búist við þessum ljúffenga eiginleika á Azure veitingastað fljótlega.

Öryggi

AWS VPC veitir tvö öryggisstig fyrir auðlindir sem eru settar á netið. Sú fyrsta er kölluð Öryggishópar (SG). Öryggishópurinn er viðunandi hlutur sem er beitt á EC2 dæmi stigi - tæknilega séð er reglan beitt á Elastic Network Interface (ENI) stigi. Svörumferðin er sjálfkrafa leyfð þegar umferð er leyfð. Annar öryggisbúnaðurinn kallast NACL (Network Access Controls). NACLs eru ríkisfangslausar síureglur sem eru notaðar á undirnetstiginu og eiga við um allar auðlindir sem notaðar eru á undirnetið. Það er ríkisfangslaust því ef innrásarumferð er leyfð, er svarið ekki sjálfkrafa leyfilegt nema sérstaklega sé heimilt í reglunni fyrir undirnetið. NACLs starfar á undirnetstigi með því að skoða umferðina sem fer inn og út úr undirnetinu. Hægt er að nota NACLs til að setja bæði Leyfa og hafna reglum. Þú getur tengt NACL við mörg undirnet; samt er hægt að tengja undirnet við aðeins eitt NACL í einu. NACL reglurnar eru tölusettar og metnar í röð, byrjar með lægstu tölusettu reglu, til að ákvarða hvort umferð er leyfð inn eða út úr neinu undirneti sem tengist ACL netinu. Hæsta talan sem þú getur notað fyrir reglu er 32766. Síðasta reglan sem er númeruð er alltaf stjörnu og neitar umferð um undirnetið. Athugaðu að þú nærð aðeins þessari reglu ef engar reglur á NACL listanum passa við umferðina. Azure VNet veitir netöryggishópa (NSGs) og það sameinar aðgerðir AWS SG og NACL. NSGs eru ríkjandi og hægt er að beita þeim á undirnet eða NIC stigi. Aðeins er hægt að beita einum NSG á NIC, en í AWS er ​​hægt að beita fleiri en einum öryggishópi (SG) á teygjanlegt netviðmót (ENI).

Öryggi er helsti drifkrafturinn fyrir því að raunverulegur net er valinn frammi fyrir endapunktum almennings. AWS veitir ýmsar sýndaröryggisþjónustur til að veita hámarksöryggi bæði á sýndarstigstigi, undirnetstigi og heildarnetsstigi.

Öryggishópur

AWS „Öryggishópar“ hjálpar til við að vernda tilvik með því að stilla reglur um heimleið og útleið. Notendur geta stillt hvaða höfn sem opna á til að taka við umferð frá hvaða uppruna og á svipaðan hátt stillt útgáttar höfn frá EC2 tilvikum.

Nafnanefnd Azure er „Network Security Group“ er nú aðeins tiltæk fyrir svæðisbundin sýndarnetkerfi (Lestu hvað svæðisbundið netkerfi er) og er ekki í boði fyrir VNet sem hefur Affinity Group tengt. Þú getur haft hámark 100 NSG á hverja áskrift (vona að þetta sé hörðu mörkunum framfylgt, MSDN skýrir það ekki frekar).

AWS gerir okkur kleift að búa til 200 öryggishópa á hvert VPC, til dæmis ef þú ert með 5 VPC, geturðu búið til 200 * 5 = 1000 öryggishópa algerlega, en öryggishópar í báðum skýjum geta ekki spannað svæði.

Ólíkt AWS, Network Security Group of Azure er hægt að tengjast VM Instance, Subnets og hybrid i.e (Subnet og VM), þetta er öflug fjöllags vernd sem VM getur fengið, smelltu hér til að lesa meira. Azure býður nú ekki upp á notendaviðmót til að bæta við / breyta öryggishópum, þannig að notendur verða að nota PowerShell og REST API til að setja upp það sama (sjá hér að neðan Powershell Workflow).

ACLS netkerfi

Azure og AWS styður netaðgangsstýringarlista. ACLs leyfa notendum að velja eða hafna umferð um netkerfin þín. Bæði skýin segja það sem aukahlut eða valfrjálsan öryggisbúnað ofan á öryggishópum og öðrum öryggisaðferðum. ACL-blöð í azureini eru nú takmörkuð við að tryggja endapunkta (Hvað er endapunktar) og bjóða ekki upp á sama sveigjanleika og stjórn og AWS veitir.

Frá því að skrifa þessa grein er aðeins hægt að búa til ACL netkerfi með Powershell og REST API skipunum. ACL í AWS gerir okkur kleift að stilla aðgangsstýringu á undirnetstigi, þ.e. ef þú leyfir http-umferð á undirnet geta öll EC2 tilvikin í undirnetinu fengið HTTP-umferð, en ef þú hefur stillt það að leyfa ekki HTTP-umferð í tilteknum EC2, umferð verður síuð af öryggishópum. ACL-netkerfi Azure hegða sér nánast svipað nema það virkar fyrir endapunkt.

Athugasemd: Azure mælir með annað hvort netaðgangsstjórnunarlista eða öryggishópur, ekki báðir á sama tíma, vegna þess að þeir gera það sama. Ef þú hefur stillt Network ACL og viljað skipta yfir í Security Groups, verðurðu fyrst að fjarlægja Endpoint ACLs og stilla Security Group.

Tengingar

Hlið

Bæði VNet og VPC bjóða upp á mismunandi gáttir fyrir mismunandi tengingar. AWS VPC notar aðallega þrjár hliðar, fjórar, ef þú bætir við NAT-hliðinu. AWS gerir einum Internet Gateway (IGW) kleift að bjóða upp á tengingu við internetið í gegnum IPv4 og Egress-eingöngu Internet Gateway fyrir internettengingu við auðlindir með IPv6. Í AWS er ​​litið á neitt undirnet án IGW sem einkanetsnet og hefur engin nettenging án NAT-gáttar eða NAT-instans (AWS mælir með NAT Gateway fyrir mikið framboð og sveigjanleika). Önnur AWS hlið, Virtual Private Gateway (VPG) gerir AWS kleift að veita tengingu frá AWS við önnur net í gegnum VPN eða Direct Connect. Á netinu sem ekki er AWS krefst AWS viðskiptavinur hlið (CGW) á viðskiptavininum til að tengjast AWS VPC. Azure VNet býður upp á tvenns konar hlið þ.e. VPN Gateway og ExpressRoute Gateway. VPN Gateway leyfir dulkóðaða umferð fyrir VNet til VNet eða VNet til staðbundinnar staðsetningar yfir almenningssambandi eða yfir burðarás Microsoft þegar um er að ræða VNet til VNet VPN. Hins vegar krefst ExpressRoute og VPN Gateway einnig gátt undirnet. Undirgátt gáttarinnar inniheldur IP-tölur sem sýndarnetgáttarþjónustan notar. Azure VNET til VNET geta tengst innfæddan hátt í gegnum VPN en í AWS þarf slíkan VPC til VPC þriðja aðila NVA ef VPCs eru á mismunandi svæðum.

Hybrid Tengsl

Bæði AWS VPC og Azure VNet leyfa tvinntengingar með VPN og / eða Direct Connect og ExpressRoute hvort um sig. Með Direct Connect eða ExpressRoute eru tengingar allt að 10 Gbps tiltækar. AWS DC tenging samanstendur af einni hollri tengingu milli hafna á leiðinni þinni og Amazon leið. Með einni DC tengingu geturðu búið til sýndarviðmót beint við opinbera AWS þjónustu (til dæmis til Amazon S3) eða til Amazon VPC. Þú verður að búa til sýndarviðmót áður en þú notar AWS DC. AWS leyfir 50 sýndarviðmót í hverri AWS Direct Connect tengingu og það er hægt að auka það með því að hafa samband við AWS. AWS DC tenging er ekki óþarfi og önnur tenging er nauðsynleg ef þörf er á offramboði. AWS VPN býr til tvö jarðgöng milli AWS VPC og staðarnetsins. Til að veita bilunarþol fyrir Direct Connect mælir AWS með því að nota eitt af jarðgöngunum til að tengjast við netkerfið í gegnum húsnæði VPN og BGP. Azure ExpressRoute býður einnig upp á tvo tengla og SLA fyrir tengingu - Azure tryggir að lágmarki 99,95% ExpressRoute Dedicated Circuit framboð - og þess vegna fyrirsjáanlegan netafköst.

Millitengingar leyfa mismunandi netum að tengja hvert annað. Cloud veitendur bjóða upp á 3 grunnmöguleika fyrir samtengingu

Bein nettenging - AWS gerir notendum kleift að tengja almennings IP við EC2 tilvik þar með því að leyfa internettengingu við þessar vélar og á svipaðan hátt VM í einkanetinu fá internetaðgang með því að fara í gegnum NAT-tilvik í almenna undirnetinu.

Azure gerir notendum kleift að stilla almenna endapunkta, sem eru almennir IP-tölur, til VM í innannetinu og þar með er hægt að tengja VMS við önnur kerfi.

VPN yfir IPsec - VPN yfir IPsec er IP-byggð tengingaraðferð til að samtengja tvö mismunandi net, óháð netum innan ský / utan, ský til á forsendum net osfrv., Í meginatriðum eru til tvær tegundir af VPN venjubókarferlum sem notaðar eru 1. Static Routing siðareglur 2. Dynamic Routing Protocol.

Azure og AWS veita stuðning við Static og Dynamic Routing, en Azure á þessari stundu styður ekki Active Routing Support (BGP) en Azure hefur birt risastóran lista yfir VPN tæki framleiðendur sem styðja BGP venja.

Persónuleg tengsl með Exchange Provider - valkostur um einkatengingu aðallega beint að viðskiptavinum fyrirtækisins sem hafa mikið bandbreidd vinnuálags. Persónutenging ISPs getur veitt miklu betri afköst en Internet. Bæði AWS og Azure hafa átt í samstarfi við helstu fjarskipta- og ISV-tæki til að bjóða upp á einkatengingu milli skýja sinna og viðskiptavina á forsendum innviða. Azure styður flesta eiginleika þeirra í gegnum hraðleið nema ákveðnar aðgerðir eins og þjónustubús, CDN, RemoteApp, ýta tilkynningar o.fl. (Smelltu hér til að lesa meira). Á sama hátt styður AWS alla AWS þjónustu, þar á meðal Amazon Elastic Compute Cloud (EC2), Amazon Virtual Private Cloud (VPC), Amazon Simple Storage Service (S3) og Amazon DynamoDB er hægt að nota með AWS Direct Connect. Hvað SLA varðar þá veitir AWS ekki SLA fyrir þessa þjónustu, en Azure lofar aftur á móti 99,9% SLA, annars getur viðskiptavinurinn krafist þjónustulána.

Sæl Clouding !!!