Azure vs AWS - Διαφορά μεταξύ Azure Virtual Network (VNet) και AWS Virtual Private Cloud (VPC).

Azure Virtual Network (VNet) και Virtual Private Cloud (VPC) του AWS

Azure VNet και AWS VPC

Η μετάβαση στο cloud ξεκινά με την επιλογή ενός παροχέα σύννεφων και την παροχή προσωπικών δικτύων ή την επέκταση του τοπικού τους δικτύου. Οι πελάτες που επιθυμούν να παρέχουν τους δικούς τους πόρους στο σύννεφο μπορούν να επιλέξουν διαφορετικά ιδιωτικά δίκτυα που προσφέρονται από διαφορετικούς παρόχους cloud. Τα δύο πιο συχνά χρησιμοποιούμενα ιδιωτικά δίκτυα είναι το Virtual Network (VNet) και το Virtual Private Cloud (VPC) από τη Microsoft και το Amazon, αντίστοιχα. Αυτό το ιστολόγιο διερευνά τις ομοιότητες και τις διαφορές μεταξύ αυτών των δύο ιδιόκτητων προσφορών δικτύου για να ενημερώσει τους δυνητικούς πελάτες για το τι διαφοροποιεί τα δύο ιδιωτικά δίκτυα και για να τους βοηθήσει να πάρουν τη σωστή απόφαση για το φόρτο εργασίας τους.

Η Amazon είναι πρωτοπόρος του cloud computing, πρωτοπορώντας σε ολόκληρη τη βιομηχανία επαναστατικές υπηρεσίες όπως το EC2, το VPC και ούτω καθεξής. Η αρχική παρουσίαση της πλατφόρμας EC2 Classic Platform της AWS επέτρεψε στους πελάτες να χρησιμοποιούν αντίγραφα EC2 σε ένα ενιαίο παγκόσμιο δίκτυο κοινόχρηστο από όλους τους πελάτες. άλλα χαρακτηριστικά, συμπεριλαμβανομένης της κοινής διάρκειας ζωής, περιορισμοί για τις ομάδες ασφαλείας και έλλειψη πρόσβασης στη λίστα διαχείρισης δικτύου, ανησυχούν για τους πελάτες που αναζητούν ασφάλεια. Στη συνέχεια, η AWS εισήγαγε την EC2-VPC, μια προηγμένη πλατφόρμα που παρέχει λογικά διαχωρισμένα τμήματα του cloud AWS. Παρόλο που το AWS EC2-VPC υποστηρίζει ενοίκια κοινών / διαμερισμάτων, βελτιωμένες ομάδες ασφάλειας δικτύων / διαχείριση πρόσβασης δικτύου και πολλά άλλα, οι πελάτες της επιχείρησης και οι πελάτες της SMB έχουν μεγαλύτερη εμπιστοσύνη στην αρχιτεκτονική VPC και έχουν αρχίσει να υιοθετούν AWS καλύτερα από πριν.

Το 2013, η Azure έγινε πλήρης προμηθευτής της IaaS από το να είναι ο μόνος πάροχος της PaaS για να αποτρέψει την ανταγωνιστικότητα και τις απώλειες της αγοράς. Για να ανταγωνιστεί το αρχικό AWS εκκίνησης, η Azure εισήγαγε πολλές νέες υπηρεσίες και, το σημαντικότερο, Virtual Networks, το Logically Dedicated Network, μια έκδοση VPC της Azure στη βάση δεδομένων της. Το εικονικό δίκτυο της Azure είναι, με πολλούς τρόπους, παρόμοιο με το VPC, και στην πραγματικότητα είναι παρόμοιο σε πολλές περιπτώσεις, αλλά οι διαφορές δεν είναι ασήμαντες.

Στην πραγματικότητα, τα Azure VNet και AWS VPC παρέχουν τα θεμέλια για την παροχή πόρων και υπηρεσιών στο σύννεφο. Και τα δύο δίκτυα παρέχουν τα ίδια δομικά στοιχεία, αλλά με ένα βαθμό μεταβλητότητας στην εφαρμογή. Ακολουθεί μια σύντομη περιγραφή ορισμένων από αυτά τα δομικά στοιχεία:

Υποδίκτυο

Τόσο το Azure VNet όσο και το AWS VPC χωρίζουν τα δίκτυα σε υποδίκτυα για αποτελεσματικό σχεδιασμό και διαχείριση των πόρων που αναπτύσσονται στο νέφος. Το AWS VPC καλύπτει όλες τις ζώνες προσβασιμότητας (AZs) σε αυτήν την περιοχή, έτσι ώστε τα υπο-δίκτυα AWS VPC να συγκριθούν με τις ζώνες πρόσβασης (AZ). Το υποδίκτυο πρέπει να ανήκει μόνο σε μία AZ και δεν περιλαμβάνει AZs. Τα υποδίκτυο Azure VNet ορίζονται από το μπλοκ διεύθυνσης IP που έχει αντιστοιχιστεί σε αυτό. Η επικοινωνία μεταξύ όλων των υποδικτύων του AWS VPC γίνεται μέσω του δικτύου κορμού AWS και επιτρέπεται από προεπιλογή. Τα υποδίκτυα VPN της AWS μπορούν να είναι ιδιωτικά ή δημόσια. Εάν είναι συνδεδεμένη η πύλη Internet Gateway (IGW), το υποδίκτυο είναι δημόσιο. Το AWS επιτρέπει μόνο ένα IGW για ένα VPC και το κοινό δίκτυο επιτρέπει την πρόσβαση στο Internet από υποσυνδεδεμένες πηγές. Το AWS δημιουργεί τυπικά VPC και υποδίκτυα για κάθε περιοχή. Αυτό το τυπικό VPC έχει υποδίκτυα για κάθε περιοχή στην οποία εδρεύει το VPC και κάθε εικόνα (αντίγραφο EC2) στην οποία έχει τοποθετηθεί αυτό το VPC θα έχει δημόσια διεύθυνση IP και συνεπώς θα είναι συνδεδεμένη στο Internet. Το Azure VNet δεν παρέχει πρότυπο VNet και δεν διαθέτει ιδιωτικό ή δημόσιο δίκτυο, όπως στο AWS VPC. Οι πηγές που είναι συνδεδεμένες στο VNet έχουν πρόσβαση στο Internet από προεπιλογή.

Τα υποδίκτυα αποτελούν τη βάση των ιδιωτικών δικτύων. Τα υποδίκτυα είναι ένας πολύ καλός τρόπος για να διαιρέσετε ένα μεγάλο δίκτυο σε πολλά μικρότερα δίκτυα και ο φόρτος εργασίας εξαρτάται από τη φύση των δεδομένων στα οποία λειτουργεί. Ο AWS, ένας πάροχος IaaS, διαθέτει προηγμένα εργαλεία για την εκκίνηση υποδίκτυων, όπως η πύλη διαχείρισης, τα πρότυπα σχηματισμού σύννεφων, το CLI και το API προγραμματισμού. Το AWS παρέχει επίσης στους Wizards να αυτοματοποιήσουν τις κοινές αρχιτεκτονικές VPC

  • VPC Unified Public Network
  • VPC με δημόσια και ιδιωτικά υποδίκτυα
  • VPC με δημόσιο και ιδιωτικό δίκτυο και εξοπλισμό σύνδεσης VPN
  • VPC με μόνο ιδιωτικό δίκτυο και εξοπλισμό σύνδεσης VPN

Αυτό βοηθά τους χρήστες να μειώσουν σημαντικά τον χρόνο εγκατάστασης VPC και απλοποιεί όλη τη διαδικασία. Το AWS σάς επιτρέπει να δημιουργείτε σύνθετα δίκτυα, όπως παίζοντας παιχνίδια παιδιών χρησιμοποιώντας έναν οδηγό, ως παράδειγμα EC2 στιγμιότυπων. Όποιος θέλει να δημιουργήσει και να διατηρήσει μια εφαρμογή πολλαπλών διαστημάτων σε λεπτά ή οποιοδήποτε φόρτο εργασίας σε δημόσια ιδιωτικά δίκτυα.

Το Azure Virtual Network επιτρέπει επίσης στο PowerShell να δημιουργήσει οποιοδήποτε αριθμό υποδίκτυων χρησιμοποιώντας την πύλη διαχείρισης CLI. Σε αντίθεση με το AWS, το Azure δεν έχει οδηγούς για να δημιουργήσει μια κοινή αρχιτεκτονική παρόμοια με αυτή που προαναφέρθηκε.

Διευθύνσεις IP

Τόσο το AWS VPC όσο και το Azure VNET χρησιμοποιούν μη παγκόσμιο CIDR από τις ιδιωτικές διευθύνσεις διευθύνσεων IPv4, όπως φαίνεται στο RFC 1918 - αυτές οι διευθύνσεις RFC δεν είναι συγκρίσιμες παγκοσμίως - αλλά οι πελάτες μπορούν να χρησιμοποιούν άλλες δημόσιες διευθύνσεις IP. Το Azure VNet εκχωρεί συνδεδεμένους και φιλοξενούμενους πόρους στο VNet από το καθορισμένο μπλοκ CIDR στη διεύθυνση IP. Το Azure VNet είναι το μικρότερο δίκτυο υποδικτύου / 29 και το μεγαλύτερο είναι το a / 8. Το AWS σας επιτρέπει επίσης να λαμβάνετε διευθύνσεις IP από το ίδιο RFC 1918 ή από δημόσια διαθέσιμα τμήματα IP. Επί του παρόντος, το AWS δεν υποστηρίζει την άμεση πρόσβαση σε μπλοκ IP από τη δημόσια πρόσβαση στο Διαδίκτυο, επομένως δεν είναι δυνατή η πρόσβαση μέσω του Διαδικτύου, ακόμη και μέσω μιας Διαδικτυακής Πύλης (IGW). Μπορούν να έχουν πρόσβαση μόνο μέσω μιας εικονικής ιδιωτικής πύλης. Επομένως, τα αντίγραφα των Windows δεν μπορούν να φορτωθούν σωστά εκτός αν το VPC έχει εύρος 224.0.0.0 έως 255.255.255.255 (τάξεις κατηγορίας D και E IP). Για τα υποδίκτυα, η AWS συνιστά να αποκλείσετε τις ελάχιστες / 28 και τις μέγιστες / 16 διευθύνσεις. Τη στιγμή που γράφτηκε αυτό το blog, η υποστήριξη του Microsoft Azure VNet είναι περιορισμένη, αλλά από τον Ιανουάριο του 2017, το AWS VPC υποστηρίζει το IPv6 για όλες τις περιοχές εκτός από την Κίνα. Το VPC για το IPv6 έχει οριστεί μέγεθος / 56 (σε εγγραφή CIDR). και το μέγεθος του υποδικτύου πρέπει να είναι a / 64. Στο IPv6, κάθε διεύθυνση ανακατευθύνεται στο Internet και είναι σε θέση να επικοινωνεί με το Internet από προεπιλογή. Το AWS VPC παρέχει Gateway μόνο για το Egress (EGW) για ιδιωτικούς πόρους δικτύου. Αποκλείει την εισερχόμενη κίνηση ενώ επιτρέπει επίσης την εξερχόμενη κυκλοφορία. Το AWS επιτρέπει την πρόσβαση IPv6 σε διαθέσιμους πόρους και πόρους μέσα σε ένα ιδιωτικό δίκτυο που απαιτεί πρόσβαση στο Internet, παρέχεται μόνο η πύλη Egress-Internet. Η πύλη Internet μόνο για την πρόοδο επιτρέπει πρόσβαση στο Internet, αλλά αποκλείει κάθε εισερχόμενη κίνηση. Η κατανόηση του τρόπου διαχωρισμού των διευθύνσεων IP από αυτά τα μπλοκ CIDR είναι το κλειδί για το σχεδιασμό του δικτύου AWS VPC, καθώς η αλλαγή των εσωτερικών διευθύνσεων IP μετά το σχεδιασμό δεν είναι απλή. Το Azure VNet προσφέρει μεγαλύτερη ευελιξία στον τομέα αυτό - οι διευθύνσεις IP του εσωτερικού δικτύου μπορούν να αλλάξουν μετά τον αρχικό σχεδιασμό. Ωστόσο, οι πόροι εντός του τρέχοντος δικτύου πρέπει να μετακινηθούν εκτός του τρέχοντος δικτύου.

Πίνακας αναφοράς

Το AWS χρησιμοποιεί έναν πίνακα δρομολόγησης για να καθορίσει τις διαδρομές που επιτρέπονται για την εξερχόμενη κυκλοφορία. Όλα τα υποδίκτυα που δημιουργούνται στο VPC συνδέονται αυτόματα με τον κύριο πίνακα δρομολόγησης, έτσι ώστε όλα τα υποδίκτυα του VPC να επιτρέπουν την κυκλοφορία από άλλα υποδίκτυα, εκτός εάν απορρίπτονται ρητά από τους κανόνες ασφαλείας. Όλοι οι πόροι στο VNet στο Azure VNet επιτρέπουν τη ροή της κυκλοφορίας χρησιμοποιώντας τη διαδρομή του συστήματος. Δεν χρειάζεται να ρυθμίσετε και να διαχειριστείτε διαδρομές, επειδή το Azure VNet παρέχει δρομολόγηση μεταξύ υποδίκων, VNets και τοπικών δικτύων. Η χρήση διαδρομών συστήματος μειώνει αυτόματα την επισκεψιμότητα, αλλά υπάρχουν περιπτώσεις όπου θέλετε να διαχειριστείτε τη δρομολόγηση πακέτων μέσω μιας εικονικής μηχανής. Το Azure VNet χρησιμοποιεί ένα διάγραμμα διαδρομής συστήματος για να διασφαλίσει ότι οι πόροι που είναι συνδεδεμένοι σε οποιοδήποτε δίκτυο VNet επικοινωνούν μεταξύ τους εξ ορισμού. Ωστόσο, υπάρχουν περιπτώσεις στις οποίες μπορεί να θέλετε να παρακάμψετε τις συνήθεις διαδρομές. Για ένα τέτοιο σενάριο, μπορείτε να εκτελέσετε δρομολόγια καθορισμένα από το χρήστη (UDRs) - δρομολόγηση της κυκλοφορίας για κάθε διαδρομή υποδικτύου και / ή BGP (VNet σε τοπικό δίκτυο με Azure VPN Gateway ή ExpressRoute). Το UDR ισχύει μόνο για την κυκλοφορία υπο-δικτύου και παρέχει ένα επίπεδο ασφαλείας για την εγκατάσταση του Azure VNet, εάν ο σκοπός του UDR είναι να αποστέλλει κυκλοφορία σε NVA ή παρόμοιες σαρώσεις. Τα πακέτα που αποστέλλονται από ένα υποδίκτυο σε άλλο με UDR ίσως χρειαστεί να διασχίσουν την εικονική μηχανή μέσω του δικτύου στις διευθύνσεις δικτύου. Σε υβριδική εγκατάσταση, το Azure VNet μπορεί να χρησιμοποιήσει έναν από τους τρεις πίνακες δρομολόγησης - UDR, BGP (αν χρησιμοποιείται ExpressRoute) και πίνακες δρομολόγησης συστήματος. Στο Azure VNet, το δίκτυο υποδικτύου βασίζεται σε διαδρομές συστήματος για την κυκλοφορία του έως ότου ο πίνακας δρομολόγησης επικοινωνεί με ένα συγκεκριμένο δίκτυο υποδικτύου. Μόλις δημιουργηθεί μια σύνδεση, δηλ. Υπάρχει μια διαδρομή UDR και / ή BGP, η δρομολόγηση βασίζεται στη μεγαλύτερη αντιστοιχία προθέματος (LPM). Εάν υπάρχουν πολλές διαδρομές με το ίδιο μήκος προθέματος, η διαδρομή επιλέγεται ανάλογα με την προέλευσή της: τη διαδρομή που καθορίζει ο χρήστης, τη διαδρομή BGP (όταν χρησιμοποιείται το ExpressRoute) και τη διαδρομή συστήματος. Ενώ τα δρομολόγια δρομολόγησης AWS VPC μπορούν να έχουν πολλαπλά, αλλά τον ίδιο τύπο.

Οι ειδικοί πίνακες των οδηγιών περιέχουν κανόνες δρομολόγησης για τον προσδιορισμό του τρόπου με τον οποίο η ροή κυκλοφορεί εντός του δικτύου.

Στο AWS, κάθε υποδίκτυο πρέπει να συσχετίζεται με έναν πίνακα δρομολόγησης ο οποίος ελέγχει τη δρομολόγηση του υποδίκτυου. Αν δεν ενσωματώσετε ρητά ένα υποδίκτυο με συγκεκριμένο πίνακα δρομολόγησης, το υποδίκτυο χρησιμοποιεί τον πίνακα δρομολόγησης κύριου VPC.

Το Windows Azure παρέχει τυπική δρομολόγηση σε υποδίκτυα εντός ενός ενιαίου εικονικού δικτύου, αλλά δεν παρέχει κανένα τύπο δικτύου ACL σε σχέση με τις εσωτερικές διευθύνσεις IP. Έτσι, για να περιορίσετε την πρόσβαση σε μηχανήματα μέσα σε ένα ενιαίο εικονικό δίκτυο, αυτά τα μηχανήματα πρέπει να διαθέτουν προηγμένη ασφάλεια με το τείχος προστασίας των Windows (δείτε το διάγραμμα).

Η Microsoft θα πρέπει να ψήνει αυτό το χαρακτηριστικό στις κουζίνες τους. Μπορούμε να προσβλέπουμε σε αυτό το εξαιρετικό χαρακτηριστικό στο εστιατόριο Azure σύντομα.

Ασφάλεια

Το AWS VPC παρέχει δύο επίπεδα ασφαλείας για πόρους δικτύου. Η πρώτη ονομάζεται ομάδες ασφαλείας (SGs). Η ομάδα ασφαλείας είναι ένα αντικειμενικό αντικείμενο που χρησιμοποιείται στο επίπεδο στιγμιότυπου EC2 - τεχνικά ο κανόνας εφαρμόζεται στο επίπεδο του Ελαστικού Δικτύου (ENI). Μετά την απαγόρευση της κυκλοφορίας, ενεργοποιείται αυτόματα η επισκεψιμότητα απόκρισης. Ο δεύτερος μηχανισμός ασφαλείας ονομάζεται Έλεγχοι πρόσβασης δικτύου (NACL). Τα NACL είναι κανόνες φιλτραρίσματος ανιθαγένειας που ισχύουν σε επίπεδο υποδικτύου και ισχύουν για κάθε πηγή στο υποδίκτυο. Δεν έχει ιθαγένεια, διότι αν επιτρέπεται η πρόσβαση στο δίκτυο, η απάντηση δεν θα αποσταλεί αυτόματα εκτός αν επιτρέπεται ρητά ο κανόνας για το υποδίκτυο. Τα NACL λειτουργούν στο επίπεδο του υποδίκτυου ελέγχοντας τα δίκτυα εισόδου και εξόδου κυκλοφορίας. Τα NACLs μπορούν να χρησιμοποιηθούν για να καθορίσουν και τους δύο κανόνες. Μπορείτε να συνδέσετε το NACL με πολλά υποδίκτυα. Ωστόσο, το υποδίκτυο μπορεί να συνδεθεί μόνο σε ένα NACL τη φορά. Οι κανόνες NACL ταξινομούνται από τον κανόνα με τις χαμηλότερες αρίθμησης για να προσδιοριστεί εάν επιτρέπεται η κίνηση σε οποιοδήποτε υποδίκτυο που αριθμείται και συσχετίζεται με το δίκτυο ACL. Ο μέγιστος αριθμός που μπορείτε να χρησιμοποιήσετε για έναν κανόνα είναι 32766. Ο τελευταίος αριθμός που αριθμείται είναι πάντα ένας αστερίσκος και αγνοεί την κίνηση δικτύου. Σημειώστε ότι θα λάβετε αυτόν τον κανόνα αν οι κανόνες της λίστας NACL δεν ταιριάζουν με την κίνηση. Το Azure VNet παρέχει ομάδες ασφάλειας δικτύων (NSGs) που ενσωματώνουν τις λειτουργίες των AWS SGs και NACLs. Οι NSG είναι κρατικές και μπορούν να χρησιμοποιηθούν σε επίπεδο υποδικτύου ή NIC. Μόνο μία NSG μπορεί να εφαρμοστεί στη NIC, αλλά στο AWS μπορείτε να εφαρμόσετε πολλές ομάδες ασφαλείας (SGs) σε μια διεπαφή ελαστικού δικτύου (ENI).

Η ασφάλεια είναι η κύρια κινητήρια δύναμη του εικονικού δικτύου να ξεπεράσει τα δημόσια σημεία πρόσβασης. Το AWS παρέχει μια ποικιλία υπηρεσιών εικονικής ασφάλειας στο επίπεδο του Virtual Instant, σε επίπεδο δικτύου και στο συνολικό επίπεδο δικτύου.

Ομάδα Ασφαλείας

Οι Ομάδες Ασφαλείας AWS βοηθούν στην προστασία της υπόθεσης ρυθμίζοντας εισερχόμενους και εξερχόμενους κανόνες. Οι χρήστες μπορούν να διαμορφώσουν τις θύρες από την πηγή για να λαμβάνουν επισκεψιμότητα, ρυθμίζοντας έτσι τις θύρες στις περιπτώσεις EC2.

Η σύμβαση ονομασίας του Azure Η Ομάδα Ασφάλειας Δικτύου είναι αυτή τη στιγμή διαθέσιμη μόνο για Περιφερειακά Εικονικά Δίκτυα (διαβάστε το Περιφερειακό Δίκτυο) και δεν είναι διαθέσιμη για το VNet, το οποίο είναι κύριος του Affinity Group Associated. Μπορείτε να λάβετε το πολύ 100 NSG ανά συνδρομή (ελπίζω ότι αυτό το όριο έχει εισαχθεί, το MSDN δεν θα το εξηγήσει περαιτέρω).

Το AWS μας επιτρέπει να δημιουργήσουμε 200 ομάδες ασφαλείας για κάθε VPC, για παράδειγμα αν έχετε 5 VPCs, μπορείτε γενικά να δημιουργήσετε 200 * 5 = 1000 ομάδες ασφαλείας, αλλά οι ομάδες ασφαλείας και στα δύο σύννεφα δεν μπορούν να καλύψουν τις περιοχές.

Σε αντίθεση με το AWS, η Azure Network Security Group μπορεί να συνδεθεί με το VM Instance, τα υποδίκτυα και τα υβριδικά ie (Subnet και VM), που είναι μια ισχυρή προστασία πολλαπλών επιπέδων που μπορεί να προσφέρει η VM. Κάντε κλικ εδώ για να πάρετε ένα. Αυτήν τη στιγμή, το Azure δεν προσφέρει περιβάλλον χρήστη για την προσθήκη / επεξεργασία ομάδων ασφαλείας, οπότε οι χρήστες πρέπει να χρησιμοποιούν τα API PowerShell και REST για την ίδια ρύθμιση (δείτε την παρακάτω ροή εργασίας Powershell).

Δίκτυο ACLS

Το Azure και το AWS υποστηρίζουν λίστες ελέγχου πρόσβασης δικτύου. Τα ACL επιτρέπουν στους χρήστες να επιλέγουν ή να αποκλείουν την κυκλοφορία στα δίκτυά σας. Και τα δύο σύννεφα τον επισημαίνουν ως πρόσθετο μηχανισμό ασφαλείας για την ενίσχυση ομάδων ασφαλείας ή άλλων ομάδων ασφαλείας και άλλων μηχανισμών ασφαλείας. Επί του παρόντος, οι περιορισμοί των ACL περιορίζονται στα Endpoints (τα Endpoints) και δεν παρέχουν την ίδια ευελιξία και διαχείριση με την AWS.

Καθώς γράφετε αυτό το άρθρο, μπορείτε να δημιουργήσετε μόνο ACL δικτύου χρησιμοποιώντας τις εντολές Powershell και REST API. Το ACL στο AWS μας επιτρέπει να ελέγξουμε την πρόσβαση σε επίπεδο υποδικτύου. Δηλαδή, αν συνδέσετε την επισκεψιμότητα http στο δίκτυο, όλες οι εμφανίσεις EC2 εντός του υποδίκτυου μπορούν να λάβουν κυκλοφορία HTTP, αλλά εάν ορίσετε κάποια EC2 να μην επιτρέπουν την επισκεψιμότητα HTTP. η κίνηση φιλτράρεται από ομάδες ασφαλείας. Τα ACL δικτύου του Azure είναι σχεδόν παρόμοια και λειτουργούν μόνο για το τελικό σημείο.

Σημείωση: Το Azure συνιστά τόσο σε μια λίστα ελέγχου πρόσβασης δικτύου ή σε μια ομάδα ασφαλείας, παρά ταυτόχρονα, καθώς είναι σχεδόν ίδιες. Εάν έχετε ρυθμίσει το δίκτυο ACL και θέλετε να μεταβείτε στις ομάδες ασφαλείας, πρέπει πρώτα να καταργήσετε τους ACLs του Endpoint και να διαμορφώσετε την ομάδα ασφαλείας.

Σύνδεση

Πύλες

Τόσο το VNet όσο και το VPC προσφέρουν διαφορετικές πύλες για διαφορετικούς σκοπούς συνδεσιμότητας. Το AWS VPC βασικά χρησιμοποιεί τρεις πύλες, τέσσερις εάν προσθέσετε πύλη NAT. Το AWS παρέχει IPv4 για μία πύλη Internet (IGW) και IPv4 για πρόσβαση στο Internet και πρόσβαση στο Διαδίκτυο μόνο μέσω του Egress-Internet Gateway. Στο AWS, οποιοδήποτε υποδίκτυο που δεν διαθέτει IGW θεωρείται ιδιωτικό υποδίκτυο και δεν διαθέτει σύνδεση στο Διαδίκτυο χωρίς πύλη NAT ή απογραφή NAT (η AWS συνιστά τη διαθεσιμότητα και το εύρος NAT Gateway). Μια άλλη πύλη AWS Virtual Private Gateway (VPG) παρέχει πρόσβαση AWS σε άλλα δίκτυα μέσω VPN ή Direct Connect. Σε δίκτυα που δεν ανήκουν στο AWS, το AWS απαιτεί τη σύνδεση Gateway Client Gateway (CGW) με την AWS VPC στην πλευρά του πελάτη. Το Azure VNet παρέχει δύο τύπους πύλης: πύλη VPN και πύλη ExpressRoute. Το VPN Gateway επιτρέπει την κρυπτογραφημένη επισκεψιμότητα από VNet σε VNet ή VNet για σύνδεση με την τοπική περιοχή μέσω του δημόσιου δικτύου ή από το δίκτυο backbone της Microsoft από το VNet στο VNet VPN. Ταυτόχρονα, το ExpressRoute και το VPN Gateway χρειάζονται ένα υποδίκτυο δικτύου πύλης. Το υποσύστημα πύλης έχει διευθύνσεις IP που χρησιμοποιούν υπηρεσίες πύλης εικονικού δικτύου. Το Azure μπορεί να συνδεθεί από το VNET στο VNET μέσω VPN, αλλά στο AWS, αν τα VPC βρίσκονται σε διαφορετικές περιοχές, το VPC στο VPC θα χρειαστεί ένα NVA τρίτου μέρους.

Υβριδική σύνδεση

Το AWS VPC και το Azure VNet ενεργοποιούν υβριδικές συνδέσεις χρησιμοποιώντας VPN και / ή Direct Connect και ExpressRoute αντίστοιχα. Μέσω σύνδεσης Direct Connect ή ExpressRoute είναι δυνατή η σύνδεση έως και 10Gbit / s. Η σύνδεση AWS DC περιλαμβάνει μια ενιαία σύνδεση μεταξύ των θυρών του δρομολογητή σας και του δρομολογητή σας Amazon. Με μία μόνο σύνδεση DC, μπορείτε να δημιουργήσετε εικονικές διεπαφές απευθείας στις δημόσιες υπηρεσίες AWS (όπως το Amazon S3) ή το Amazon VPC. Για να μπορέσετε να χρησιμοποιήσετε το AWS DC, πρέπει να δημιουργήσετε μια εικονική διεπαφή. Το AWS επιτρέπει έως και 50 εικονικές διεπαφές για το AWS Direct Connect, το οποίο μπορεί να πολλαπλασιαστεί με τη σύνδεση με το AWS. Η σύνδεση AWS DC δεν είναι περιττή και απαιτείται δευτερεύουσα σύνδεση εάν είναι απαραίτητο. Το AWS VPN δημιουργεί δύο σήραγγες μεταξύ του AWS VPC και του τοπικού δικτύου. Για να διασφαλιστεί η ανοχή σφάλματος για την Direct Connect, η AWS συνιστά τη χρήση μιας από τις σήραγγες για σύνδεση σε τοπικό δίκτυο δεδομένων μέσω VPN και BGP. Το Azure ExpressRoute παρέχει επίσης δύο συνδέσεις και συνδεσιμότητα SLA - η Azure εγγυάται τουλάχιστον το 99,95% ExpressRoute Dedicated Circuit - και συνεπώς την προβλέψιμη απόδοση του δικτύου.

Μια διαδραστική σύνδεση σάς επιτρέπει να συνδέσετε διαφορετικά δίκτυα. Οι παροχείς σύννεφων παρέχουν τρεις βασικές επιλογές συνδεσιμότητας

Άμεση σύνδεση στο Internet - το AWS επιτρέπει στους χρήστες να συνδέουν δημόσια IP με EC2 στιγμιότυπα και επιτρέπει την πρόσβαση στο Internet σε αυτά τα μηχανήματα και παρόμοια VMs έχουν πρόσβαση στο Internet μέσω δρομολόγησης μέσω αντιγράφων NAT μέσα σε ένα δημόσιο δίκτυο.

Το Azure επιτρέπει στους χρήστες να ρυθμίζουν τις δημόσιες διευθύνσεις IP από δημόσιες διευθύνσεις IP σε δίκτυα VM έτσι ώστε το VMS να μπορεί να συνδεθεί με άλλα συστήματα.

VPN over IPsec - VPN over IPsec - Χρησιμοποιούνται δύο τύποι μεθοδολογιών σύνδεσης IP, κυρίως για τη σύνδεση δύο διαφορετικών δικτύων, ανεξάρτητα από δίκτυα cloud / out-of-network και cloud: 1. Στατικό πρωτόκολλο δρομολόγησης 2. Δυναμικό πρωτόκολλο δρομολόγησης.

Το Azure και το AWS υποστηρίζουν τη στατική και δυναμική δρομολόγηση, αλλά προς το παρόν δεν υποστηρίζουν Azure Active Routing Support (BGP), αλλά η Azure ανακοίνωσε μια τεράστια λίστα συσκευών VPN που υποστηρίζουν τη δρομολόγηση BGP.

Ιδιωτική σύνδεση Χρήση του Exchange Provider - Η επιλογή Private Connect απευθύνεται σε εργαζόμενους με πολύ μεγάλο εύρος ζώνης. Η σύνδεση των ISP με το Διαδίκτυο τους επιτρέπει να εργάζονται πολύ καλύτερα από το Internet. Η AWS και η Azure συνεργάζονται με τις μεγαλύτερες εταιρείες τηλεπικοινωνιών και ISV για να προσφέρουν μια ιδιωτική σύνδεση μεταξύ της υποδομής cloud και της υποδομής τους. Το Azure Express υποστηρίζει πολλά από τα χαρακτηριστικά του μέσω της διαδρομής, όπως Service Bus, CDN, RemoteApp, Push Notifications κ.ο.κ. (Κάντε κλικ εδώ για περισσότερες πληροφορίες). Ομοίως, το AWS υποστηρίζει όλες τις υπηρεσίες AWS, όπως το Amazon Elastic Compute Cloud (EC2), το Virtual Private Cloud (VPC) του Amazon, το Amazon Simple Storage Service (S3) και το Amazon DynamoDB με το AWS Direct Connect. Όσον αφορά το SLA, η AWS δεν παρέχει SLA για την υπηρεσία αυτή, αλλά η Azure, από την άλλη πλευρά, υπόσχεται 99,9% SLA, διαφορετικά ο πελάτης μπορεί να απαιτήσει δάνεια για υπηρεσίες.

Happy Cloud !!!