Сетевые подключения в Azure и AWS
Эластичная балансировка нагрузки, Azure Load Balancer и шлюз приложений Azure
В Azure имеются следующие эквиваленты служб эластичной балансировки нагрузки:
Load Balancer. Предоставляет те же возможности сетевого уровня 4, что и AWS Network Load Balancer и Classic Load Balancer. Позволяет распределять трафик между несколькими виртуальными машинами на уровне сети. Кроме того, предоставляет возможность отработки отказа.
Шлюз приложений. Обеспечивает маршрутизацию на уровне приложений на основе правил. Аналог в AWS — подсистема балансировки нагрузки для приложений.
Route 53, Azure DNS и диспетчер трафика Azure
В AWS Route 53 обеспечивает управление DNS-именами, маршрутизацию трафика на уровне DNS и службы отработки отказа. В Azure это реализуется посредством двух служб:
Azure DNS — обеспечивает управление доменами и DNS.
Диспетчер трафика. Обеспечивает маршрутизацию трафика на уровне DNS, балансировку нагрузки и отработку отказа.
Прямое соединение и Azure ExpressRoute
Azure предоставляет аналогичное выделенное подключение "сеть — сеть" при помощи службы ExpressRoute. ExpressRoute позволяет подключить локальную сеть напрямую к ресурсам Azure с помощью выделенного подключения к частной сети. Также Azure предлагает более традиционные VPN-подключения "сеть — сеть" по более низкой цене.
Таблицы маршрутов
AWS предоставляет таблицы маршрутизации, которые содержат маршруты для направления трафика из подсети (подсети шлюза) в место назначения. В Azure эта функция называется определяемыми пользователем маршрутами (UDR).
С помощью определяемых пользователем маршрутов можно создавать пользовательские или пользовательские (статические) маршруты в Azure, переопределять системные маршруты Azure по умолчанию или добавлять дополнительные маршруты в таблицу маршрутов подсети.
Приватный канал
Так же как AWS PrivateLink, Приватный канал Azure обеспечивает возможность частных подключений из виртуальной сети к решению "Платформа как услуга" (PaaS) Azure, клиентской службе или службе партнера корпорации Майкрософт.
Пиринг VPC, пиринг между виртуальными сетями в Azure
В AWS пиринговое подключение VPC — это сетевое подключение между двумя виртуальными сетями, которое позволяет маршрутизировать трафик между ними с помощью частных адресов протокола Интернета версии 4 (IPv4) или ip-адресов версии 6 (IPv6).
Пиринг между виртуальными сетями Azure позволяет эффективно соединить две виртуальные сети Azure или более. После создания пиринговой связи две виртуальные сети выглядят как одна сеть в плане подключения. Точно так же трафик между виртуальными машинами в одноранговых виртуальных сетях использует магистральную инфраструктуру Майкрософт. Как и трафик между виртуальными машинами в одной сети, трафик направляется только через частную сеть корпорации Майкрософт.
Сети доставки содержимого — CloudFront и Azure Front Door
В AWS CloudFront предоставляет службы доставки содержимого (CDN) для глобальной доставки данных, видео, приложений и API. Это похоже на Azure Front Door.
Azure Front Door — это современная сетевая служба доставки содержимого в облаке, которая обеспечивает высокую производительность, масштабируемость и безопасный пользовательский интерфейс для содержимого и приложений. Полный список предложений продуктов Azure Front Door см. в разделе "Обзор уровней Azure Front Door".
Сравнение сетевых служб
| Площадь | Служба AWS | Служба Azure | Description |
|---|---|---|---|
| Виртуальные облачные сети | Виртуальное частное облако (VPC) | Виртуальная сеть | Обеспечивает изолированную частную среду в облаке. Пользователи могут контролировать среду виртуальной сети, в том числе выбирать собственный диапазон IP-адресов, создавать подсети, настраивать таблицы маршрутизации и сетевые шлюзы. |
| Шлюзы NAT | Шлюзы NAT | NAT виртуальной сети | Служба, упрощающая процедуру исходящего подключения к Интернету для виртуальных сетей. При настройке NAT в подсети все исходящие подключения используют указанные статические общедоступные IP-адреса. Исходящее подключение возможно без подсистемы балансировки нагрузки или общедоступных IP-адресов, подключенных непосредственно к виртуальным машинам. |
| Возможность распределенного подключения | VPN-шлюз | VPN-шлюз | Соединяет виртуальные сети Azure с другими такими сетями или локальными пользовательскими сетями (подключение "сеть — сеть"). Позволяет пользователям подключаться к службам Azure через VPN-туннелирование (подключение "точка — сеть"). |
| Управление DNS | Маршрут 53 | DNS | Управление DNS-записями с использованием тех же учетных данных, данных для выставления счетов и договора о поддержке, которые доступны для других служб Azure. |
| Маршрутизация на основе DNS | Маршрут 53 | Диспетчер трафика | Служба, обеспечивающая размещение доменных имен, а также перенаправление пользователей к интернет-приложениям, отправку пользовательских запросов в центры обработки данных, управление трафиком приложений и повышение доступности приложений за счет автоматического перехода на другой ресурс. |
| Выделенная сеть | Direct Connect | ExpressRoute | Обеспечивает выделенное частное сетевое подключение с мест к облачному поставщику (не через Интернет). |
| Балансировка нагрузки | Network Load Balancer | Load Balancer | Azure Load Balancer распределяет нагрузку трафика на уровне 4 (TCP или UDP). Load Balancer (цен. категория "Стандартный") также поддерживает балансировку нагрузки между регионами и глобальную балансировку нагрузки. |
| Балансировка нагрузки на уровне приложения | Подсистема балансировки нагрузки приложения | Шлюз приложений | Шлюз приложений — это балансировщик нагрузки уровня 7. Он поддерживает завершение SSL-подключений, сходство сеансов на основе файлов cookie и циклический перебор для распределения нагрузки трафика. |
| Таблица маршрутов | Пользовательские таблицы маршрутов | Определяемые пользователем маршруты | Настраиваемые или определяемые пользователем (статические) маршруты для переопределения системных маршрутов по умолчанию или для добавления дополнительных маршрутов в таблицу маршрутов подсети. |
| Приватный канал | PrivateLink | Приватный канал Azure | Приватный канал Azure предоставляет закрытый доступ к службам, размещенным на платформе Azure. Это позволяет хранить данные в сети Майкрософт. |
| Частное подключение PaaS | Конечные точки VPC | Частная конечная точка | Частная конечная точка обеспечивает защищенное частное подключение к различным ресурсам платформы Azure как услуги (PaaS) через магистральную частную сеть Майкрософт. |
| Пиринг между виртуальными сетями | Пиринг VPC | Пиринг виртуальных сетей | Пиринговая связь между виртуальными сетями — это механизм подключения между двумя виртуальными сетями (VNets), находящимися в одном регионе, через магистральную сеть Azure. После создания пиринговой связи две виртуальные сети выглядят как одна при любом подключении. |
| Сети доставки содержимого | CloudFront | Front Door | Azure Front Door — это современная облачная служба доставки содержимого (CDN), которая обеспечивает высокую производительность, масштабируемость и безопасные возможности пользователей для содержимого и приложений. |
| Мониторинг сетей | Журналы потоков VPC | Наблюдатель за сетями Azure | Наблюдатель за сетями Azure позволяет отслеживать, диагностировать и анализировать трафик в виртуальной сети Azure. |
Архитектуры сетей
| Архитектура | Description |
|---|---|
| Развертывание высокодоступных NVAs | Узнайте, как развертывать набор сетевых виртуальных модулей для обеспечения высокой доступности в Azure. Статья включает примеры архитектуры для передачи входящего и (или) исходящего трафика. |
| Звездообразная топологии сети в Azure | Узнайте, как реализовать звездообразную топологию в Azure, где концентратор является виртуальной сетью, а периферийные узлы — виртуальными сетями с пиринговым подключением к концентратору. |
| Реализация безопасной гибридной сети | Узнайте о безопасной гибридной сети, которая расширяет локальную сеть в Azure за счет использования промежуточной подсети между локальной сетью и виртуальной сетью Azure. |