Azure vs AWS - Différence entre Azure Virtual Network (VNet) et AWS Virtual Private Cloud (VPC).

Azure Virtual Network (VNet) et AWS Virtual Private Cloud (VPC)

Azure VNet et AWS VPC

Voyager dans le cloud commence par choisir un fournisseur de cloud et fournir des réseaux personnels ou étendre son réseau local. Les clients souhaitant fournir leurs propres ressources dans le cloud peuvent choisir différents réseaux privés proposés par différents fournisseurs de cloud. Les deux réseaux privés les plus couramment utilisés sont Virtual Network (VNet) et Virtual Private Cloud (VPC) de Microsoft et Amazon, respectivement. Ce blog explore les similitudes et les différences entre ces deux offres de réseaux propriétaires pour informer les clients potentiels sur ce qui différencie les deux réseaux privés et pour les aider à prendre la bonne décision pour leur charge de travail.

Amazon est un pionnier du cloud computing, pionnier des services révolutionnaires à l'échelle de l'industrie tels que EC2, VPC, etc. La présentation initiale par AWS de la plate-forme EC2 Classic a permis aux clients d'utiliser des copies ec2 sur un réseau mondial plat partagé par tous les clients. d'autres attributs, notamment la durée de vie partagée, les limitations des groupes de sécurité et le manque d'accès à la liste de gestion du réseau, concernent les clients en quête de sécurité. AWS a ensuite présenté EC2-VPC, une plate-forme avancée qui fournit des parties logiquement séparées du cloud AWS. Alors qu'AWS EC2-VPC prend en charge les locations conjointes / fractionnées, l'amélioration des groupes de sécurité réseau / la gestion des accès réseau, et plus encore, les clients Enterprise et SMB sont devenus plus confiants dans l'architecture VPC et ont commencé à adopter AWS mieux qu'auparavant.

En 2013, Azure est devenu un fournisseur IaaS à part entière du seul fournisseur PaaS à prévenir la compétitivité et les pertes de marché. Pour concurrencer la start-up initiale AWS, Azure a introduit de nombreux nouveaux services et, surtout, des réseaux virtuels, le `` Logically Dedicated Network '', une version VPC d'Azure dans sa base de données. Le réseau virtuel d'Azure est, à bien des égards, similaire à VPC, et est en fait similaire dans de nombreux cas, mais les différences ne sont pas négligeables.

En fait, Azure VNet et AWS VPC constituent la base pour fournir des ressources et des services dans le cloud. Les deux réseaux fournissent les mêmes éléments constitutifs, mais avec une certaine variabilité dans la mise en œuvre. Voici une brève description de certains de ces blocs de construction:

Sous-réseau

Azure VNet et AWS VPC divisent les réseaux en sous-réseaux pour une conception et une gestion efficaces des ressources déployées dans le cloud. L'AWS VPC couvre toutes les zones d'accessibilité (AZ) de cette région, de sorte que les sous-réseaux AWS VPC sont comparés aux zones d'accès (AZ). Le sous-réseau doit appartenir à un seul AZ et ne comprend pas les AZ. Les sous-réseaux Azure VNet sont définis par le bloc d'adresse IP qui lui est affecté. La communication entre tous les sous-réseaux de l'AWS VPC est établie via le réseau fédérateur AWS et est autorisée par défaut. Les sous-réseaux AWS VPC peuvent être privés ou publics. Si la passerelle Internet (IGW) est connectée, le sous-réseau est public. AWS n'autorise qu'un seul IGW pour un seul VPC, et le réseau commun permet l'accès à Internet à partir de sources sous-connectées. AWS crée des VPC et des sous-réseaux standard pour chaque région. Ce VPC standard a des sous-réseaux pour chaque région dans laquelle réside le VPC, et toute image (copie de EC2) sur laquelle ce VPC est placé aura une adresse IP publique et sera donc connectée à Internet. Azure VNet ne fournit pas de réseau virtuel standard et n'a pas de réseau privé ou public, comme dans AWS VPC. Les sources connectées au réseau virtuel ont accès à Internet par défaut.

Les sous-réseaux constituent la base des réseaux privés. Les sous-réseaux sont un excellent moyen de diviser un grand réseau en de nombreux réseaux plus petits, et la charge de travail dépend de la nature des données sur lesquelles il fonctionne. AWS, un fournisseur IaaS, dispose d'outils avancés pour le lancement de sous-réseaux, tels que leur portail de gestion, les modèles de formation dans le cloud, CLI et l'API de programmation. AWS fournit également des assistants pour automatiser les architectures VPC courantes

  • Réseau public unifié VPC
  • VPC avec sous-réseaux publics et privés
  • VPC avec réseau public et privé et équipement de connexion VPN
  • VPC avec uniquement un réseau privé et un équipement de connexion VPN

Cela aide les utilisateurs à réduire considérablement le temps de configuration du VPC et simplifie l'ensemble du processus. AWS vous permet de créer des réseaux complexes, tels que jouer à des jeux pour enfants à l'aide d'un assistant, comme exemple d'instances EC2. Quiconque souhaite créer et maintenir une application Web à plusieurs niveaux en quelques minutes ou toute charge de travail sur les réseaux publics privés.

Azure Virtual Network permet également à PowerShell de créer un nombre illimité de sous-réseaux à l'aide du portail de gestion CLI. Contrairement à AWS, Azure ne dispose d'aucun assistant pour créer une architecture commune similaire à celle ci-dessus.

Adresses IP

AWS VPC et Azure VNET utilisent tous deux un CIDR non global à partir des plages d'adresses privées d'IPv4, comme indiqué dans la RFC 1918 - ces adresses RFC ne sont pas globalement comparables - mais les clients peuvent utiliser d'autres adresses IP publiques. Azure VNet attribue des ressources connectées et hébergées au réseau virtuel du bloc CIDR spécifié à l'adresse IP. Azure VNet est le plus petit réseau de sous-réseau / 29 et le plus grand est un / 8. AWS vous permet également d'obtenir des adresses IP à partir du même RFC 1918 ou de blocs IP disponibles publiquement. Actuellement, AWS ne prend pas en charge l'accès direct aux blocs IP à partir d'un accès Internet public, ils ne peuvent donc pas être accessibles via Internet, même via une passerelle Internet (IGW). Ils ne sont accessibles que via une passerelle privée virtuelle. Par conséquent, les copies Windows ne peuvent pas se charger correctement sauf si le VPC a une plage de 224.0.0.0 à 255.255.255.255 (classes IP de classe D et E). Pour les sous-réseaux, AWS vous recommande de bloquer les adresses minimum / 28 et maximum / 16. Au moment de la rédaction de ce blog, la prise en charge de Microsoft Azure VNet est limitée, mais en janvier 2017, AWS VPC prend en charge IPv6 pour toutes les régions à l'exception de la Chine. VPC pour IPv6 est défini sur la taille / 56 (dans l'enregistrement CIDR). et la taille du sous-réseau doit être de / 64. Dans IPv6, chaque adresse est redirigée vers Internet et peut communiquer avec Internet par défaut. AWS VPC fournit une passerelle Internet uniquement (EGW) pour les ressources de réseau privé. Il bloque le trafic entrant tout en autorisant également le trafic sortant. AWS permet l'accès IPv6 aux ressources disponibles et aux ressources d'un réseau privé qui nécessitent un accès Internet, seule la passerelle Egress-Internet est fournie. La passerelle Internet de sortie uniquement permet d'accéder à Internet mais bloque tout trafic entrant. Comprendre comment séparer les adresses IP de ces blocs CIDR est essentiel pour concevoir le réseau AWS VPC, car changer les adresses IP internes après la conception n'est pas simple. Azure VNet offre plus de flexibilité dans ce domaine - les adresses IP du réseau interne peuvent être modifiées après la conception initiale. Cependant, les ressources du réseau actuel doivent être déplacées hors du réseau actuel.

Table de référence

AWS utilise une table de routage pour spécifier les itinéraires autorisés pour le trafic sortant. Tous les sous-réseaux créés dans le VPC sont automatiquement liés à la table de routage principale, de sorte que tous les sous-réseaux du VPC peuvent autoriser le trafic provenant d'autres sous-réseaux, sauf s'ils sont explicitement rejetés par les règles de sécurité. Toutes les ressources sur VNet sur Azure VNet permettent le flux de trafic à l'aide de la route système. Vous n'avez pas besoin de configurer et de gérer les itinéraires car Azure VNet fournit le routage entre les sous-réseaux, les réseaux virtuels et les réseaux locaux. L'utilisation d'itinéraires système réduit automatiquement le trafic, mais dans certaines situations, vous souhaitez gérer le routage des paquets via une machine virtuelle. Azure VNet utilise un tableau d'itinéraire système pour garantir que les ressources connectées à n'importe quel réseau VNet communiquent entre elles par défaut. Cependant, dans certaines situations, vous souhaiterez peut-être remplacer les itinéraires habituels. Pour un tel scénario, vous pouvez effectuer des routes définies par l'utilisateur (UDR) - routage du trafic pour chaque sous-réseau - et / ou routes BGP (VNet vers un réseau local à l'aide d'Azure VPN Gateway ou ExpressRoute). L'UDR s'applique uniquement au trafic de sous-réseau et fournit une couche de sécurité pour l'installation d'Azure VNet, si l'objectif de l'UDR est d'envoyer du trafic vers NVA ou des analyses similaires. Les paquets envoyés d'un sous-réseau à un autre avec UDR peuvent devoir traverser la machine virtuelle sur le réseau dans des directions réseau. Dans une installation hybride, Azure VNet peut utiliser l'une des trois tables de routage - UDR, BGP (si ExpressRoute est utilisé) et les tables de routage système. Dans Azure VNet, le réseau de sous-réseau dépend des itinéraires système pour son trafic jusqu'à ce que la table de routage communique avec un réseau de sous-réseau particulier. Une fois qu'une connexion a été établie, c'est-à-dire qu'il existe une route UDR et / ou BGP, le routage est basé sur la correspondance de préfixe la plus longue (LPM). S'il existe plusieurs itinéraires avec la même longueur de préfixe, l'itinéraire est sélectionné en fonction de son origine: l'itinéraire défini par l'utilisateur, l'itinéraire BGP (lorsque ExpressRoute est utilisé) et l'itinéraire système. Alors que les planifications de routage AWS VPC peuvent avoir plusieurs, mais le même type.

Les tableaux spéciaux des instructions contiennent des règles de routage pour déterminer comment le trafic circule au sein du réseau.

Dans AWS, chaque sous-réseau doit être associé à une table de routage qui contrôle le routage pour le sous-réseau. Si vous n'intégrez pas explicitement un sous-réseau à une table de routage spécifique, le sous-réseau utilise la table de routage maître VPC.

Windows Azure fournit un routage standard sur des sous-réseaux au sein d'un seul réseau virtuel, mais ne fournit aucun type de liste de contrôle d'accès réseau en ce qui concerne les adresses IP internes. Ainsi, pour limiter l'accès aux machines au sein d'un même réseau virtuel, ces machines doivent avoir une sécurité avancée avec le pare-feu Windows (voir schéma).

Microsoft devrait intégrer cette fonctionnalité dans leurs cuisines. Nous nous réjouissons de cette excellente fonctionnalité au restaurant Azure bientôt.

La sécurité

AWS VPC fournit deux niveaux de sécurité pour les ressources réseau. Le premier est appelé groupes de sécurité (SG). Le groupe de sécurité est un objet d'état qui est utilisé au niveau de l'instance EC2 - techniquement, la règle est appliquée au niveau de l'interface réseau élastique (ENI). Une fois le trafic interdit, le trafic de réponse est automatiquement activé. Le deuxième mécanisme de sécurité est appelé Network Access Controls (NACL). Les NACL sont des règles de filtrage sans état qui s'appliquent au niveau du sous-réseau et s'appliquent à chaque source du sous-réseau. Il n'a pas la citoyenneté car s'il est autorisé à accéder au réseau, la réponse ne sera pas envoyée automatiquement, sauf si la règle de sous-réseau est explicitement autorisée. Les NACL fonctionnent au niveau du sous-réseau en vérifiant les réseaux d'entrée et de sortie du trafic. Les NACL peuvent être utilisés pour spécifier les deux règles. Vous pouvez associer NACL à plusieurs sous-réseaux; cependant, un sous-réseau ne peut être connecté qu'à un seul NACL à la fois. Les règles NACL sont triées à partir de la règle numérotée la plus basse pour déterminer si le trafic est autorisé dans un sous-réseau numéroté et associé au réseau ACL. Le nombre maximal que vous pouvez utiliser pour une règle est 32766. Le dernier numéro numéroté est toujours un astérisque et ignore le trafic réseau. Veuillez noter que vous obtiendrez cette règle si les règles de la liste NACL ne correspondent pas au trafic. Azure VNet fournit des groupes de sécurité réseau (NSG) qui intègrent les fonctions des SG AWS et des NACL. Les NSG appartiennent à l'État et peuvent être utilisés au niveau d'un sous-réseau ou d'une carte réseau. Un seul NSG peut être appliqué à la carte réseau, mais dans AWS, vous pouvez appliquer plusieurs groupes de sécurité (SG) à une interface réseau élastique (ENI).

La sécurité est le principal moteur du réseau virtuel pour dépasser les points d'accès publics. AWS fournit une variété de services de sécurité virtuels au niveau Virtual Instant, au niveau du réseau et au niveau du réseau global.

Groupe de sécurité

Les groupes de sécurité AWS aident à protéger l'instance en définissant des règles entrantes et sortantes. Les utilisateurs peuvent configurer les ports depuis quelle source recevoir le trafic, configurant ainsi les ports sur les copies EC2.

La convention de dénomination d'Azure Network Security Group n'est actuellement disponible que pour les réseaux virtuels régionaux (lire ce qu'est le réseau régional) et n'est pas disponible pour VNet, qui possède Affinity Group Associated. Vous pouvez obtenir un maximum de 100 NSG par abonnement (j'espère que cette limite a été introduite, MSDN ne l'expliquera pas davantage).

AWS nous permet de créer 200 groupes de sécurité pour chaque VPC, par exemple, si vous avez 5 VPC, vous pouvez généralement créer 200 * 5 = 1000 groupes de sécurité, mais les groupes de sécurité dans les deux nuages ​​ne peuvent pas couvrir les régions.

Contrairement à AWS, Azure Network Security Group peut se connecter à l'instance de VM, aux sous-réseaux et hybrides, c'est-à-dire (sous-réseau et VM), qui est une puissante protection multicouche que VM peut fournir. Cliquez ici pour en obtenir un. Actuellement, Azure n'offre pas d'interface utilisateur pour ajouter / modifier des groupes de sécurité, les utilisateurs doivent donc utiliser les API PowerShell et REST pour la même configuration (voir Powershell Workflow ci-dessous).

Réseau ACLS

Azure et AWS prennent en charge les listes de contrôle d'accès au réseau. Les ACL permettent aux utilisateurs de sélectionner ou de bloquer le trafic vers vos réseaux. Les deux nuages ​​le désignent comme un mécanisme de sécurité supplémentaire pour améliorer ou au-dessus des groupes de sécurité et d'autres mécanismes de sécurité. Actuellement, les limites des listes de contrôle d'accès sont limitées aux points de terminaison (ce que sont les points de terminaison) et n'offrent pas la même flexibilité et la même gestion qu'AWS.

Au moment où vous écrivez cet article, vous ne pouvez créer des ACL réseau qu'en utilisant les commandes Powershell et REST API. L'ACL dans AWS nous permet de contrôler l'accès au niveau du sous-réseau. Autrement dit, si vous connectez le trafic http au réseau, toutes les instances EC2 du sous-réseau peuvent recevoir du trafic HTTP, mais si vous définissez certains EC2 pour ne pas autoriser le trafic HTTP. le trafic est filtré par les groupes de sécurité. Les listes de contrôle d'accès réseau Azure sont presque similaires et ne fonctionnent que pour le point de terminaison.

Remarque: Azure recommande les deux à une liste de contrôle d'accès réseau ou à un groupe de sécurité, plutôt qu'en même temps, car ils sont pratiquement les mêmes. Si vous avez configuré la liste de contrôle d'accès réseau et que vous souhaitez basculer vers les groupes de sécurité, vous devez d'abord supprimer les listes de contrôle d'accès de point final et configurer le groupe de sécurité.

Connexion

Portes

Le réseau virtuel et le VPC proposent des passerelles différentes à des fins de connectivité différentes. L'AWS VPC utilise essentiellement trois passerelles, quatre si vous ajoutez une passerelle NAT. AWS fournit IPv4 pour une passerelle Internet (IGW) et IPv4 pour l'accès Internet et uniquement l'accès Internet via Egress-Internet Gateway. Dans AWS, tout sous-réseau qui n'a pas IGW est considéré comme un sous-réseau privé et n'a pas de connexion Internet sans passerelle NAT ou inventaire NAT (AWS recommande pour la disponibilité et l'étendue de la passerelle NAT). Une autre passerelle AWS Gateway Virtual Private Gateway (VPG) fournit un accès AWS à d'autres réseaux via VPN ou Direct Connect. Sur les réseaux non AWS, AWS nécessite que Customer Gateway (CGW) se connecte à AWS VPC côté client. Azure VNet fournit deux types de passerelle: passerelle VPN et passerelle ExpressRoute. La passerelle VPN permet au trafic chiffré du réseau virtuel au réseau virtuel ou au réseau virtuel de se connecter à la zone locale via le réseau public ou du réseau fédérateur de Microsoft du réseau virtuel au réseau virtuel VPN. En même temps, ExpressRoute et VPN Gateway ont besoin d'un sous-réseau de passerelle. Le sous-système de passerelle possède des adresses IP qui utilisent des services de passerelle de réseau virtuel. Azure peut se connecter de VNET à VNET via VPN, mais dans AWS, si les VPC se trouvent dans différentes régions, VPC à VPC aura besoin d'un NVA tiers.

Connexion hybride

AWS VPC et Azure VNet permettent des connexions hybrides utilisant respectivement VPN et / ou Direct Connect et ExpressRoute. Une connexion jusqu'à 10 Gbit / s est disponible via Direct Connect ou ExpressRoute. La connexion AWS DC comprend une connexion unique entre les ports de votre routeur et votre routeur Amazon. Avec une seule connexion DC, vous pouvez créer des interfaces virtuelles directement vers les services AWS publics (tels que Amazon S3) ou Amazon VPC. Avant de pouvoir utiliser AWS DC, vous devez créer une interface virtuelle. AWS autorise jusqu'à 50 interfaces virtuelles pour AWS Direct Connect, qui peuvent être multipliées en se connectant à AWS. La connexion AWS DC n'est pas redondante et une connexion secondaire est requise si nécessaire. AWS VPN crée deux tunnels entre l'AWS VPC et le réseau local. Pour garantir la tolérance aux pannes pour Direct Connect, AWS recommande d'utiliser l'un des tunnels pour se connecter à un réseau de données local via VPN et BGP. Azure ExpressRoute fournit également deux connexions et une connectivité SLA - Azure garantit au moins 99,95% du circuit dédié ExpressRoute - et donc les performances prévisibles du réseau.

Une connexion interactive vous permet de connecter différents réseaux. Les fournisseurs de cloud offrent trois options de connectivité clés

Connexion Internet directe - AWS permet aux utilisateurs de connecter des adresses IP publiques aux instances EC2 et autorise l'accès Internet à ces machines, et des machines virtuelles similaires accèdent à Internet en routant via des copies NAT au sein d'un réseau public.

Azure permet aux utilisateurs de configurer des adresses IP publiques à partir des adresses IP publiques alias vers les machines virtuelles du réseau afin que VMS puisse se connecter à d'autres systèmes.

VPN over IPsec - VPN over IPsec - Deux types de méthodologies de connexion IP sont utilisées, principalement pour connecter deux réseaux différents, indépendamment des réseaux cloud / hors réseau, basés sur le cloud: 1. Protocole de routage statique 2. Protocole de routage dynamique.

Azure et AWS prennent en charge le routage statique et dynamique, mais ne prennent actuellement pas en charge la prise en charge du routage actif Azure (BGP), mais Azure a annoncé une énorme liste de périphériques VPN qui prennent en charge le routage BGP.

Connexion privée à l'aide du fournisseur Exchange - L'option Connexion privée est destinée aux travailleurs disposant d'une très large bande passante. La connexion des FAI à Internet leur permet de fonctionner bien mieux qu’Internet. AWS et Azure se sont associés à d'importants opérateurs de télécommunications et ISV pour offrir une connexion privée entre leur cloud et leur infrastructure de création de clientèle. Azure Express prend en charge bon nombre de leurs fonctionnalités via Route, telles que Service Bus, CDN, RemoteApp, notifications push, etc. (Cliquez ici pour plus d'informations). De même, AWS prend en charge tous les services AWS, y compris Amazon Elastic Compute Cloud (EC2), Amazon Virtual Private Cloud (VPC), Amazon Simple Storage Service (S3) et Amazon DynamoDB avec AWS Direct Connect. En ce qui concerne le SLA, AWS ne fournit pas de SLA pour ce service, mais Azure, en revanche, promet un SLA de 99,9%, sinon le client peut réclamer des prêts de service.

Happy Cloud !!!