比較 AWS 和 Azure 網路選項
本文將比較 Azure 和 Amazon Web Services (AWS) 提供的核心網路服務。
如需比較其他 AWS 和 Azure 服務及完整的 AWS 與 Azure 服務對照表的文章連結,請參閱適用於 AWS 專業人員的 Azure 。
Azure 虛擬網路和 AWS VPN
Azure 虛擬網路和 AWS 虛擬私人雲端(VPC)很類似,因為它們在各自雲端平臺內提供隔離、邏輯定義的網路空間。 不過,在架構、功能和整合方面存在主要差異。
- 子網配置。 AWS 子網會系結至 AWS 可用性區域,而 Azure 子網則為區域專屬,沒有可用性區域限制。 Azure 設計可讓資源切換可用性區域,而不需要變更IP位址。
- 安全性模型。 AWS 會同時使用安全組(具狀態)和網路訪問控制清單(無狀態)。 Azure 使用狀態導向的網路安全組。
- 窺視。 Azure 和 AWS 都支援虛擬網路或虛擬專用網路對等互連。 這兩種技術都允許透過 Azure 虛擬 WAN 或 AWS 傳輸閘道實現更複雜的網路對等連接。
VPN
AWS 站對站 VPN 和 Azure VPN 閘道都是將內部部署網路連線到雲端的強大解決方案。 它們提供類似的功能,但有顯著的差異:
- 性能。 VPN 閘道針對特定組態提供更高的輸送量(最多 10 Gbps),而站對站 VPN 通常介於每個連線 1.25 Gbps 和 5 Gbps 之間(使用 ECMP)。
彈性負載平衡、Azure Load Balancer 和 Azure 應用程式閘道
彈性負載平衡服務的 Azure 對等專案如下:
- Load Balancer 提供與 AWS 網路負載平衡器相同的網路層 4 功能,因此您可以在網路層級分配多個 VM 的流量負載。 它也提供故障轉移功能。
- 應用程式閘道 提供與 AWS 應用程式負載平衡器類似的應用層級規則型路由。
路由 53、Azure DNS 和 Azure 流量管理員
在 AWS 中,Route 53 同時提供 DNS 名稱管理和 DNS 層級流量路由和故障轉移服務。 在 Azure 中,兩個服務會處理下列工作:
- Azure DNS 提供網域和 DNS 管理。
- 流量管理員 提供 DNS 層級流量路由、負載平衡和故障轉移功能。
AWS Direct Connect 和 Azure ExpressRoute
AWS Direct Connect 可以直接將網路連結至 AWS。 Azure 透過 ExpressRoute 提供類似的站對站專用連線。 您可以使用 ExpressRoute,透過專用的私有網路連線,將本地網路直接連線到 Azure 資源。 Azure 和 AWS 都提供站對站 VPN 連線。
路由表
AWS 提供路由表,其中包含將流量從子網或閘道子網導向目的地的路由。 在 Azure 中,對應的功能稱為使用者定義路由(UDR)。
透過使用者定義的路由,您可以建立自定義或使用者定義(靜態)路由。 這些路由會覆蓋預設的 Azure 系統路由。 您也可以將更多路由新增至子網的路由表。
Azure Private Link
Private Link 類似於 AWS PrivateLink。 Azure Private Link 提供從虛擬網路到 Azure 平臺即服務(PaaS)解決方案、客戶擁有的服務或Microsoft合作夥伴服務的私人連線。
虛擬私有雲對等連線與虛擬網路連線
在 AWS 中,對等互連連線是兩個 VPC 之間的網路連線。 您可以使用此連線,透過私人因特網通訊協定第 4 版 (IPv4) 位址或因特網通訊協定第 6 版 (IPv6) 位址來路由傳送 VPN 之間的流量。
您可以使用 Azure 虛擬網路對等互連來連線 Azure 中的兩個或多個虛擬網路。 為了進行連線,虛擬網路會顯示為一個。 對等互連虛擬網路中虛擬機器之間的流量會使用 Microsoft 骨幹基礎結構。 就像單一網路中虛擬機之間的流量一樣,流量只會透過Microsoft專用網路由傳送。
虛擬網路和 VPN 都不允許可轉移的對等互連。 不過,在 Azure 中,您可以使用中樞虛擬網路中的網路虛擬設備(NVA)或閘道,實現可轉移的網路。
網路服務比較
| 區域 | AWS 服務 | Azure 服務 | 描述 |
|---|---|---|---|
| 雲端虛擬網路 | 虛擬私人雲端 (VPC) | 虛擬網路 | 這些服務會在雲端中提供隔離的私人環境。 您可以控制虛擬網路環境,包括選取您自己的IP位址範圍、建立子網,以及設定路由表和網路網關。 在 AWS 中,每個子網都必須位於一個可用性區域。 在 Azure 中,子網可以跨越多個可用性區域。 |
| NAT 閘道 | AWS NAT 網路閘道 | Azure NAT 閘道 | 這些服務可簡化虛擬網路的輸出專用因特網連線。 在子網上,您可以設定所有輸出連線,以使用您指定的靜態公用IP位址。 負載平衡器或公用 IP 位址不需直接連結至虛擬機器,即可進行輸出連線。 AWS NAT 閘道只能與單一公用IP相關聯。 Azure NAT 閘道可以有多個公用IP。 |
| 跨單位連線 | 站對站 VPN | VPN 閘道 | AWS 站對站 VPN 和 Azure VPN 閘道提供增強的安全性、可靠的 VPN 連線,並提供高可用性和支援業界標準通訊協定。 主要差異在於它們與其他雲端服務和特定功能整合,例如 Azure 中的路由型和原則型 VPN。 AWS VPN 最多可提供 5 Gbps 輸送量,而 Azure 則最多提供 10 Gbps。 |
| DNS 管理 | 路由 53 | Azure DNS | Azure DNS 可讓您使用您用於其他 Azure 服務的相同認證和支援合約來管理 DNS 記錄。 這兩項服務都支援 DNSSEC。 |
| DNS 型路由 | 路由 53 | 流量管理員 | 這些服務會託管域名、將使用者導向至網際網路應用程式、將使用者請求連結至資料中心、管理應用程式的流量,以及透過自動故障轉移提高應用程式的可用性。 |
| 專用網路 | Direct Connect | ExpressRoute | 這些服務會建立從某個位置到雲端提供者的專用網路連線,而不是透過網際網路。 |
| 負載平衡 | 網路負載平衡器 | 負載平衡器 | Azure Load Balancer 在第 4 層 (TCP 或 UDP) 對流量進行負載平衡。 Standard Load Balancer 還支援跨區域或全域負載平衡。 |
| 應用程式層級負載平衡 | 應用程式負載平衡器 | 應用程式閘道 | 應用程式閘道是第 7 層負載平衡器。 它支援 SSL 終止、基於 Cookie 的工作階段親和性和用於負載平衡流量的循環配置資源。 它也提供多站點路由和安全性功能。 |
| 路由表 | 自訂路由表 | 使用者定義路由 | 這些數據表提供自定義或使用者定義路由,以覆寫預設系統路由,或將更多路由新增至子網的路由表。 |
| 私人連結 | PrivateLink | Azure Private Link | Azure Private Link 提供私人存取託管在 Azure 平台上的服務。 這會將您的資料保留在 Microsoft 網路上。 |
| Private PaaS 連線能力 | VPC 端點 | 私人端點 | 私人端點透過骨幹 Microsoft 私人網路,為各種 Azure 平台即服務 (PaaS) 資源提供安全的私人連線。 |
| 虛擬網路對等互連 | VPC 對等互連 | 虛擬網路對等互連 | 虛擬網路對等互連是一種機制,可透過 Azure 骨幹網路連接相同區域中的兩個虛擬網路。 虛擬網路對等互連後,對於所有的連線用途,這兩個網路會被視為一個。 |
| 內容傳遞網路 | CloudFront | Front Door | Azure Front Door 是一種新式雲端內容傳遞網路 (CDN) 服務,可針對您的內容和應用程式提供高效能、具可擴縮性和安全的使用者體驗。 |
| 網路監視 | VPC 流量記錄。 | Azure 網路監看員 | Azure 網路監看員可以監視、診斷和分析 Azure 虛擬網路中的流量。 |
| 虛擬網路對等互連 | AWS 中繼閘道 | Azure 虛擬 WAN | 這些服務可簡化並增強多個環境之間的網路連線能力,以支援可調整且彈性的網路架構。 虛擬 WAN 與 Azure 防火牆和 Azure DDoS 保護整合,以提供額外的安全性功能。 AWS 傳輸閘道依賴 AWS 安全性服務,例如 AWS Shield 和 AWS WAF。 虛擬 WAN 是專為全球連線而設計,因此可更輕鬆地連接全球分公司和遠端使用者。 AWS 傳輸閘道支援每個私人連線 100 個 BGP 前綴。 虛擬 WAN 私人對等互連支援 1,000 個 BGP 路由表前綴。 |
| 雲端虛擬網路 | AWS Global Accelerator | Azure 流量管理員 | 這些服務會使用全域路由和流量管理來改善應用程式的可用性和效能。 |
| 跨單位連線 | AWS Direct Connect 閘道 | Azure ExpressRoute Global Reach | 這些服務會使用橫跨多個區域的專用私人連線,將您的內部部署網路延伸至雲端。 |
| 應用層級網路 | AWS App Mesh | Azure Service Fabric | 這些服務提供應用層級的網路來管理微服務,包括服務探索、負載平衡和流量路由。 |
| 服務探索 | AWS 雲端地圖 | Azure 私人 DNS | 這些服務會為雲端資源提供服務探索。 它們可讓您註冊應用程式資源,並動態更新其位置。 |
網路架構
| 架構 | 描述 |
|---|---|
| 部署高可用性 NVA | 了解如何在 Azure 中部署網路虛擬設備以實現高可用性。 本文包含輸入、輸出和兩者的範例架構。 |
| Azure 中的中樞輪輻網路拓撲 | 了解如何在 Azure 中實作中樞輪輻拓撲,其中的中樞是虛擬網路,而輪輻則是與中樞對等互連的虛擬網路。 |
| 實作安全的混合式網路 | 了解安全的混合網路,該網路透過內部部署網路和 Azure 虛擬網路之間的周邊網路,將內部部署網路擴展到 Azure。 |
貢獻者們
本文由 Microsoft 維護。 它最初是由下列參與者所撰寫。
主要作者
- 康斯坦丁·雷卡塔斯 |主要雲端解決方案架構師
其他參與者:
- Adam Cerini |合作夥伴技術策略師董事
若要查看非公開的LinkedIn檔案,請登入LinkedIn。