Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se comparan los servicios principales de red que Azure y Amazon Web Services (AWS) ofrecen.
Para obtener vínculos a artículos que comparan otros servicios de AWS y Azure y una asignación completa de servicios entre AWS y Azure, consulte Azure para profesionales de AWS.
Azure redes virtuales y VPN de AWS
Las redes virtuales de Azure y las nubes privadas virtuales (VPCs) de AWS son similares en que ambas proporcionan espacios de red aislados y definidos lógicamente dentro de sus respectivas plataformas en la nube. Sin embargo, hay diferencias clave en términos de arquitectura, características e integración.
Ubicación de subred. En AWS, cada subred está enlazada a una sola zona de disponibilidad, por lo que lograr la redundancia zonal requiere la creación de una subred por zona de disponibilidad. En Azure, una subred es una construcción regional que abarca todas las zonas de disponibilidad de la región. Los recursos implementados en la misma subred pueden residir en zonas de disponibilidad diferentes y usar el mismo CIDR de subred o espacio de direcciones. Si vuelve a implementar o mover un recurso determinado a una zona de disponibilidad diferente, la dirección IP privada del recurso podría conservarse o no, dependiendo del tipo de recurso y de cómo volver a implementarlo o moverlo.
Modelos de seguridad. AWS superpone grupos de seguridad con estado (conectados a las ENI) con ACL de red sin estado (aplicadas en el límite de la subred). Azure usa grupos de seguridad de red con estado (NSG), que se pueden aplicar en el nivel de subred o NIC, y grupos de seguridad de aplicaciones, que puede usar para crear reglas de NSG mediante etiquetas de carga de trabajo lógicas en lugar de intervalos IP. Este último enfoque es conceptualmente similar a los grupos de seguridad de AWS que hacen referencia a otros grupos de seguridad. Para una inspección más profunda, Azure Firewall proporciona un firewall administrado, con estado y nativo de la nube con filtrado de FQDN, inteligencia sobre amenazas y inspección de IDPS/TLS opcional, similar a AWS Network Firewall.
Emparejamiento. Tanto Azure como AWS admiten el emparejamiento de red virtual o VPC. Ambas tecnologías permiten un emparejamiento más complejo a través de Azure Virtual WAN o AWS Transit Gateway.
VPN
Tanto AWS VPN de sitio a sitio como Azure VPN Gateway son soluciones sólidas para conectar redes locales a la nube. Proporcionan características similares, pero hay una diferencia notable con el rendimiento. VPN Gateway ofrece un mayor rendimiento para determinadas configuraciones (hasta 10 Gbps), mientras que la VPN de sitio a sitio suele oscilar entre 1,25 Gbps y 5 Gbps por conexión (mediante ECMP).
Equilibrio de carga elástico, Azure Load Balancer y Azure Application Gateway
Los Azure equivalentes de los servicios de Elastic Load Balancing son:
Load Balancer proporciona las mismas funcionalidades de nivel de red 4 que aws Network Load Balancer, por lo que puede distribuir el tráfico de varias máquinas virtuales en el nivel de red. También proporciona funcionalidad de conmutación por error.
Application Gateway proporciona enrutamiento basado en reglas de nivel de aplicación comparable al del Load Balancer de aplicaciones de AWS.
Ruta 53, Azure DNS y Azure Traffic Manager
En AWS, Route 53 proporciona servicios de administración de nombres DNS, enrutamiento del tráfico y conmutación por error. En Azure, dos servicios controlan estas tareas:
Azure DNS proporciona administración de dominio y DNS.
Traffic Manager proporciona capacidades de enrutamiento de tráfico a nivel DNS, equilibrio de carga y tolerancia a fallos.
AWS Direct Connect y Azure ExpressRoute
AWS Direct Connect puede vincular una red directamente a AWS. Azure proporciona conexiones dedicadas de sitio a sitio similares a través de ExpressRoute. Puede usar ExpressRoute para conectar la red local directamente a Azure recursos mediante una conexión de red privada dedicada. Tanto Azure como AWS ofrecen conexiones VPN de sitio a sitio.
Tablas de ruta
Las tablas de rutas de AWS contienen rutas que dirigen el tráfico desde una subred o una subred de puerta de enlace al destino. En Azure, la característica correspondiente se denomina rutas definidas por el usuario.
Con las rutas definidas por el usuario, puede crear rutas personalizadas o definidas por el usuario (estáticas). Estas rutas invalidan las rutas del sistema Azure predeterminadas. También puede agregar más rutas a la tabla de rutas de una subred.
Azure Private Link
Private Link es similar a AWS PrivateLink. Azure Private Link proporciona conectividad privada desde una red virtual a una solución de plataforma como servicio (PaaS) de Azure, un servicio propiedad del cliente o un servicio de asociado de Microsoft.
Emparejamiento de VPC y emparejamiento de red virtual
En AWS, una conexión de emparejamiento de VPC es una conexión de red entre dos VPC. Puede usar esta conexión para enrutar el tráfico entre las VPC mediante direcciones del Protocolo de Internet privado versión 4 (IPv4) o direcciones del Protocolo de Internet versión 6 (IPv6).
Puede usar el emparejamiento de redes virtuales de Azure para conectar dos o más redes virtuales en Azure. En lo que respecta a la conectividad, las redes virtuales aparecen como una sola. El tráfico entre las máquinas virtuales de la red virtual emparejada usa la infraestructura de la red troncal de Microsoft. Al igual que el tráfico entre las máquinas virtuales de una única red, el tráfico solo se enruta a través de la red privada de Microsoft.
Ni las redes virtuales ni las VPC permiten el emparejamiento transitivo. Sin embargo, en Azure, puede lograr redes transitivas mediante dispositivos virtuales de red (NVAs) o puertas de enlace en la red virtual del concentrador.
Comparación de servicios de red
| Área | Servicio de AWS | servicio Azure | Descripción |
|---|---|---|---|
| Redes virtuales en la nube | Nube privada virtual (VPC) | Virtual Network | Estos servicios proporcionan un entorno privado aislado en la nube. Puede controlar su entorno de red virtual, incluso la selección de su propio intervalo de direcciones IP, la creación de subredes y la configuración de tablas de enrutamiento y puertas de enlace de red. En AWS, cada subred debe residir en una zona de disponibilidad. En Azure, las subredes pueden abarcar varias zonas de disponibilidad. |
| Puertas de enlace NAT | Puertas de enlace NAT de AWS | Azure NAT Gateway | Estos servicios simplifican la conectividad a Internet exclusivamente de salida para las redes virtuales. En una subred, puede configurar toda la conectividad saliente para usar direcciones IP públicas estáticas que especifique. La conectividad saliente es posible sin un equilibrador de carga ni direcciones IP públicas conectados directamente a máquinas virtuales. Las puertas de enlace NAT de AWS solo se pueden asociar a una única dirección IP pública. Azure NAT gateways pueden contener múltiples direcciones IP públicas. |
| Conectividad entre ubicaciones | VPN de sitio a sitio | Pasarela VPN | AWS VPN de sitio a sitio y Azure VPN Gateway proporcionan conexiones VPN de seguridad mejorada y confiables con alta disponibilidad y compatibilidad con protocolos estándar del sector. Las principales diferencias se encuentran en su integración con otros servicios en la nube y en características específicas, como VPN basadas en rutas y basadas en directivas en Azure. AWS VPN proporciona un máximo de rendimiento de 5 Gbps, mientras que Azure proporciona hasta 10 Gbps. |
| Administración de DNS | Ruta 53 | Azure DNS | Azure DNS le permite administrar los registros DNS mediante las mismas credenciales y el mismo contrato de facturación y soporte técnico que usa para los demás servicios de Azure. Ambos servicios admiten DNSSEC. |
| Enrutamiento basado en DNS | Ruta 53 | Gestor de Tráfico | Estos servicios hospedan nombres de dominio, dirigen a los usuarios a aplicaciones de Internet, conectan solicitudes de los usuarios a centros de datos, administran el tráfico a las aplicaciones y mejoran la disponibilidad de las aplicaciones con conmutación por error automática. |
| Red dedicada | Conexión directa | ExpressRoute | Estos servicios establecen una conexión de red privada dedicada entre una ubicación y el proveedor de servicios en la nube (no a través de Internet). |
| Equilibrio de carga | Equilibrador de carga de red | Equilibrador de carga | Azure Load Balancer equilibra la carga del tráfico en la capa 4 (TCP o UDP). Load Balancer también admite la suscripción cruzada y el equilibrio de carga global. |
| Equilibrio de carga en el nivel de aplicación | Equilibrador de carga de aplicaciones | Puerta de enlace de aplicaciones | Application Gateway es un equilibrador de carga de nivel 7. Admite la terminación SSL, la afinidad de sesión basada en cookies y la distribución round robin para el tráfico de equilibrio de carga. También proporciona funciones de enrutamiento de varios sitios y seguridad. |
| Tablas de ruta | Tablas de rutas personalizadas | Rutas definidas por el usuario | Estas tablas proporcionan rutas personalizadas o definidas por el usuario (estáticas) para reemplazar las rutas del sistema predeterminadas o agregar más rutas a una tabla de rutas de una subred. |
| Enlace privado | Enlace privado | Azure Private Link | Azure Private Link proporciona acceso privado a los servicios hospedados en la plataforma de Azure. Esto mantiene los datos en la red de Microsoft. |
| Conectividad privada de PaaS | Puntos de conexión de VPC | Punto de conexión privado | El punto de conexión privado proporciona conectividad privada segura a varios recursos de plataforma como servicio (PaaS) de Azure, a través de una red privada de Microsoft troncal. |
| Emparejamiento de redes virtuales de Azure | Emparejamiento de VPC | Interconexión de redes virtuales | El emparejamiento de redes virtuales es un mecanismo que conecta dos redes virtuales en la misma región a través de la red troncal Azure. Una vez emparejadas, las dos redes virtuales aparecen como una sola a efectos de conectividad. |
| Redes de entrega de contenido | CloudFront (en inglés) | Azure Front Door | Azure Front Door es un servicio moderno de red de entrega de contenido en la nube (CDN) que proporciona un alto rendimiento, escalabilidad y experiencias de usuario seguras para el contenido y las aplicaciones. |
| Supervisión de redes | Registros de flujos VPC | Azure Network Watcher | Azure Network Watcher permite supervisar, diagnosticar y analizar el tráfico en Azure Virtual Network. |
| Seguridad de red | Grupos de seguridad | Grupos de seguridad de red | Estos controles filtran el tráfico de red hacia y desde los recursos de las subredes de red virtual. |
| Concentrador de red en estrella tipo hub-and-spoke y concentrador de red global | AWS Transit Gateway | Azure Virtual WAN | Estos servicios centralizan la conectividad de red entre muchas VPN y redes virtuales, sitios locales y usuarios remotos a través de un centro de tránsito administrado. Virtual WAN se integra de forma nativa con Azure Firewall, Azure DDoS Protection y asociados de SD-WAN seguros. AWS Transit Gateway soporta hasta 100 prefijos del Protocolo de Puerta de Enlace de Borde (BGP) por adjunción. Virtual WAN emparejamiento privado admite 1.000 prefijos BGP. |
| Aceleración global del tráfico (difusión en red troncal) | Acelerador global de AWS | Azure Front Door / Azure equilibrador de carga entre regiones | Estos servicios proporcionan puntos de entrada de difusión globales en la red troncal del proveedor para mejorar el rendimiento y la disponibilidad de las aplicaciones entre regiones. Azure Front Door funciona en la capa 7 (HTTP/HTTPS) con CDN y WAF integrados. Azure Load Balancer entre regiones funciona en la capa 4 para TCP/UDP, que coincide estrechamente con el comportamiento de la capa 4 del Acelerador global de AWS. Traffic Manager se basa en DNS y se compara por separado en el enrutamiento basado en DNS. |
| Conectividad entre ubicaciones | Puertas de enlace de AWS Direct Connect | Alcance global de Azure ExpressRoute | Estos servicios amplían las redes locales a la nube con conexiones privadas dedicadas que abarcan varias regiones. |
| Malla de servicio | AWS App Mesh (programado para finalizar el soporte técnico el 30 de septiembre de 2026) / Amazon ECS Service Connect / Amazon VPC Lattice | Complemento Istio para AKS | Una malla de servicio proporciona administración del tráfico, observabilidad y seguridad para la comunicación de microservicios. AWS App Mesh ya no acepta nuevos clientes y está programado para su retirada. AWS recomienda ECS Service Connect, VPC Lattice o enrutamiento directo de ALB. El complemento Istio para Azure Kubernetes Service (AKS) proporciona una integración totalmente compatible de la malla de servicio Istio de código abierto. |
| Detección de servicios | Mapa de la nube de AWS | Detección de servicios integrada en AKS (CoreDNS) / Azure Container Apps / Servicio de Nombres de Azure Service Fabric | AWS Cloud Map es un registro de servicio que realiza un seguimiento de las instancias de aplicación dinámicas y los expone a través de DNS o API. Azure proporciona funcionalidad equivalente a través de la detección de servicios específicos de la plataforma: CoreDNS en AKS, resolución de nombres integrada en Container Apps y el servicio de nomenclatura en Service Fabric. Azure DNS privado, por el contrario, es un servicio de zona DNS administrada para resolver dominios personalizados dentro de una red virtual. |
| Firewall administrado | Firewall de red de AWS | Azure Firewall | Estos servicios proporcionan servicios de firewall administrados, con estado y nativos de la nube para redes virtuales. Ambos admiten la inspección del tráfico con reglas compatibles con Suricata (AWS) o inteligencia sobre amenazas integrada (Azure), filtrado de FQDN y administración centralizada de directivas. Azure Firewall está disponible en los niveles Estándar, Premium (inspección de TLS, IDPS) y Básico. |
| Firewall de aplicaciones web | AWS WAF | Azure Web Application Firewall (en Application Gateway o Azure Front Door) | Protección de nivel 7 contra vulnerabilidades de seguridad web comunes (OWASP Top 10, inyección de CÓDIGO SQL, XSS). Ambos servicios admiten conjuntos de reglas administradas, reglas personalizadas, limitación de velocidad y protección de bots. Azure Web Application Firewall se implementa como una característica de Application Gateway (regional) o Azure Front Door (global). |
| DDoS protection | AWS Shield Standard y AWS Shield Advanced | Azure DDoS Protection (Protección de red o protección IP) / Azure protección contra DDoS de infraestructura básica | Estos servicios proporcionan protección contra ataques de denegación de servicio distribuido (DDoS) volumétricos, de protocolo y de capa de aplicación. Ambas plataformas proporcionan un nivel de línea de base gratuito (AWS Shield Standard o Azure DDoS de infraestructura básica) habilitado de forma predeterminada, y un nivel avanzado de pago con telemetría detallada, análisis de ataques, protección de costos y acceso a un equipo de respuesta rápida. |
| Protección del acceso remoto a la máquina virtual | AWS Systems Manager Session Manager / Punto de enlace de conexión de instancia EC2 | Azure Bastion | Estos servicios proporcionan conectividad RDP y SSH segura a máquinas virtuales sin exponer direcciones IP públicas ni abrir puertos de entrada. Azure Bastion es un servicio PaaS totalmente administrado que se implementa dentro de una red virtual. |
Arquitecturas de red
| Arquitectura | Descripción |
|---|---|
| Implementación de NVA de alta disponibilidad | Obtenga información sobre cómo implementar aplicaciones virtuales de red para alta disponibilidad en Azure. Este artículo incluye arquitecturas de ejemplo de entrada, salida y ambas. |
| topología de red Hub-spoke en Azure | Aprenda a implementar una topología de concentrador y spokes en Azure, donde el concentrador es una red virtual y los spokes son redes virtuales que se emparejan con el concentrador. |
| Implementación de una red híbrida segura | Aprenda a implementar una red híbrida segura que extiende una red local a Azure con una red perimetral entre la red local y una red virtual Azure. |
Vea todas las arquitecturas de red.
Migración
Si planea migrar una carga de trabajo de AWS a Azure, consulte Migrate networking from Amazon Web Services to Azure, que incluye algunos escenarios de migración específicos de example que podrían alinearse con su caso de uso.
Colaboradores
Microsoft mantiene este artículo. Los siguientes colaboradores escribieron este artículo.
Autor principal:
- Konstantin Rekatas | Arquitecto principal de soluciones en la nube
Otros colaboradores:
- Adam Cerini | Director, estratega de tecnología para socios
- Juan Carlos Osorio | Arquitecto de soluciones en la nube
Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.
Pasos siguientes
- Crear una red virtual mediante el portal de Azure
- Planificar y diseñar redes virtuales de Azure
- Mejores prácticas de seguridad de red de Azure