이 문서에서는 Azure 핵심 네트워킹 서비스와 AWS(Amazon Web Services) 제품을 비교합니다.
다른 AWS 및 Azure 서비스와 AWS와 Azure 간의 전체 서비스 매핑을 비교하는 문서에 대한 링크는 AWS 전문가를 위한 Azure 참조하세요.
Azure 가상 네트워크 및 AWS VPC
Azure 가상 네트워크와 AWS VPC(가상 프라이빗 클라우드)는 둘 다 해당 클라우드 플랫폼 내에서 격리되고 논리적으로 정의된 네트워크 공간을 제공한다는 측면에서 비슷합니다. 그러나 아키텍처, 기능 및 통합 측면에서는 주요 차이점이 있습니다.
서브넷 배치. AWS에서 각 서브넷은 단일 가용성 영역에 바인딩되므로 영역 중복을 달성하려면 가용성 영역당 하나의 서브넷을 만들어야 합니다. Azure에서 서브넷은 해당 지역의 모든 가용성 영역을 포함하는 지역적 구조물입니다. 동일한 서브넷에 배포된 리소스는 다른 가용성 영역에 상주하고 동일한 서브넷 CIDR 또는 주소 공간을 사용할 수 있습니다. 지정된 리소스를 다른 가용성 영역으로 다시 배포하거나 이동하는 경우 리소스 종류와 리소스를 다시 배포하거나 이동하는 방법에 따라 리소스의 개인 IP 주소가 보존되거나 유지되지 않을 수 있습니다.
보안 모델. AWS는 상태 비저장 네트워크 ACL(서브넷 경계에 적용됨)을 사용하여 상태 저장 보안 그룹(ENIS에 연결됨)을 계층화합니다. Azure 서브넷 또는 NIC 수준에서 적용할 수 있는 상태 저장 NSG(네트워크 보안 그룹) 및 ip 범위 대신 논리 워크로드 태그를 사용하여 NSG 규칙을 만드는 데 사용할 수 있는 적용 보안 그룹을 사용합니다. 후자의 접근 방식은 개념적으로 다른 보안 그룹을 참조하는 AWS 보안 그룹과 유사합니다. 심층 검사를 위해 Azure Firewall AWS 네트워크 방화벽과 유사한 FQDN 필터링, 위협 인텔리전스 및 선택적 IDPS/TLS 검사를 통해 관리되는 상태 저장 클라우드 네이티브 방화벽을 제공합니다.
응시하기. Azure AWS는 모두 가상 네트워크/VPC 피어링을 지원합니다. 두 기술 모두 Azure Virtual WAN 또는 AWS Transit Gateway를 통해 더 복잡한 피어링을 허용합니다.
가상 사설망 (VPN)
AWS 사이트간 VPN 및 Azure VPN Gateway 모두 온-프레미스 네트워크를 클라우드에 연결하기 위한 강력한 솔루션입니다. 유사한 기능을 제공하지만 성능에는 주목할 만한 차이점이 있습니다. VPN Gateway 특정 구성에 대해 더 높은 처리량(최대 10Gbps)을 제공하는 반면 사이트 간 VPN은 일반적으로 연결당 1.25Gbps에서 5Gbps(ECMP 사용) 범위입니다.
탄력적 부하 분산, Azure Load Balancer 및 Azure Application Gateway
탄력적 부하 분산 서비스의 Azure 동등한 항목은 다음과 같습니다.
Load Balancer AWS 네트워크 Load Balancer 동일한 네트워크 계층 4 기능을 제공하므로 네트워크 수준에서 여러 VM에 대한 트래픽을 분산할 수 있습니다. 또한 장애 대응 기능도 제공합니다.
Application Gateway는 AWS 애플리케이션 Load Balancer 비교 가능한 애플리케이션 수준 규칙 기반 라우팅을 제공합니다.
경로 53, Azure DNS 및 Azure Traffic Manager
AWS의 Route 53은 DNS 이름 관리 및 DNS 수준 트래픽 라우팅과 장애 조치(failover) 서비스를 모두 제공합니다. Azure 두 서비스는 다음 작업을 처리합니다.
Azure DNS 도메인 및 DNS 관리를 제공합니다.
Traffic Manager 는 DNS 수준 트래픽 라우팅, 부하 분산 및 장애 조치 기능을 제공합니다.
AWS Direct Connect 및 Azure ExpressRoute
AWS Direct Connect는 네트워크를 AWS에 직접 연결할 수 있습니다. Azure ExpressRoute를 통해 유사한 사이트 간 전용 연결을 제공합니다. ExpressRoute를 사용하여 전용 프라이빗 네트워크 연결을 사용하여 로컬 네트워크를 Azure 리소스에 직접 연결할 수 있습니다. Azure AWS는 사이트 및 사이트 간의 VPN 연결을 제공합니다.
경로 테이블
AWS 경로 테이블에는 서브넷 또는 게이트웨이 서브넷에서 대상으로 트래픽을 직접 전송하는 경로가 포함되어 있습니다. Azure 해당 기능을 사용자 정의 경로라고 합니다.
사용자 정의 경로를 사용하면 사용자 지정 또는 사용자 정의(정적) 경로를 만들 수 있습니다. 이러한 경로는 기본 Azure 시스템 경로를 재정의합니다. 서브넷의 경로 테이블에 더 많은 경로를 추가할 수도 있습니다.
Azure Private Link
Private Link AWS PrivateLink와 비슷합니다. Azure Private Link 가상 네트워크에서 paaS(Azure Platform as a Service) 솔루션, 고객 소유 서비스 또는 Microsoft 파트너 서비스로 프라이빗 연결을 제공합니다.
VPC 피어링 및 가상 네트워크 피어링
AWS에서 VPC 피어링 연결은 두 VPC 간의 네트워킹 연결입니다. 이 연결을 사용하여 개인 IPv4(인터넷 프로토콜 버전 4) 주소 또는 IPv6(인터넷 프로토콜 버전 6) 주소를 사용하여 VPC 간에 트래픽을 라우팅할 수 있습니다.
Azure 가상 네트워크 피어링을 사용하여 Azure 둘 이상의 가상 네트워크를 연결할 수 있습니다. 연결을 위해 가상 네트워크가 하나로 표시됩니다. 피어링된 가상 네트워크에 있는 가상 머신 간의 트래픽은 Microsoft 백본 인프라를 사용합니다. 단일 네트워크의 가상 머신 간 트래픽과 마찬가지로 트래픽은 Microsoft 프라이빗 네트워크를 통해서만 라우팅됩니다.
가상 네트워크와 VPC 모두 전이적 피어링을 허용하지 않습니다. 그러나 Azure 허브 가상 네트워크의 NVA(네트워크 가상 어플라이언스) 또는 게이트웨이를 사용하여 전이적 네트워킹을 달성할 수 있습니다.
네트워크 서비스 비교
| 지역 | AWS 서비스 | Azure 서비스 | 설명 |
|---|---|---|---|
| 클라우드 가상 네트워킹 | VPC(가상 프라이빗 클라우드) | 가상 네트워크 | 이러한 서비스는 클라우드에서 격리된 프라이빗 환경을 제공합니다. 사용자 고유의 IP 주소 범위 선택, 서브넷 만들기, 경로 테이블 및 네트워크 게이트웨이 구성을 포함하여 가상 네트워킹 환경을 제어할 수 있습니다. AWS에서 각 서브넷은 하나의 가용성 영역에 있어야 합니다. Azure 서브넷은 여러 가용성 영역에 걸쳐 있습니다. |
| NAT 게이트웨이 | AWS NAT 게이트웨이 | Azure NAT 게이트웨이 | 이러한 서비스는 가상 네트워크에 대한 아웃바운드 전용 인터넷 연결을 간소화합니다. 서브넷에서 지정한 고정 공용 IP 주소를 사용하도록 모든 아웃바운드 연결을 구성할 수 있습니다. 가상 머신에 직접 연결된 부하 분산 장치 또는 공용 IP 주소 없이 아웃바운드 연결이 가능합니다. AWS NAT 게이트웨이는 단일 공용 IP와만 연결할 수 있습니다. Azure NAT 게이트웨이에는 여러 공용 IP가 있을 수 있습니다. |
| 크로스 프레미스 연결 | 사이트 간 VPN | VPN 게이트웨이 | AWS 사이트 간 VPN 및 Azure VPN Gateway 고가용성 및 업계 표준 프로토콜에 대한 지원을 통해 향상된 보안, 신뢰할 수 있는 VPN 연결을 제공합니다. 주요 차이점은 다른 클라우드 서비스와의 통합 및 Azure 경로 기반 및 정책 기반 VPN과 같은 특정 기능에 있습니다. AWS VPN은 최대 5Gbps 처리량을 제공하는 반면 Azure 최대 10Gbps를 제공합니다. |
| DNS 관리 | 국도 53호선 | Azure DNS | Azure DNS 다른 Azure 서비스에 사용하는 것과 동일한 자격 증명 및 청구 및 지원 계약을 사용하여 DNS 레코드를 관리할 수 있습니다. 두 서비스 모두 DNSSEC를 지원합니다. |
| DNS 기반 라우팅 | 국도 53호선 | Traffic Manager | 이러한 서비스는 도메인 이름을 호스트하고, 사용자를 인터넷 애플리케이션으로 라우팅하고, 사용자 요청을 데이터 센터에 연결하고, 앱에 대한 트래픽을 관리하고, 자동 장애 조치(failover)를 통해 앱 가용성을 향상시킵니다. |
| 전용 네트워크 | 직접 연결 | 익스프레스라우트 | 이러한 서비스는 인터넷이 아닌 클라우드 공급자로의 위치에서 전용 프라이빗 네트워크 연결을 설정합니다. |
| 부하 분산 | 네트워크 로드 밸런서 | 로드 밸런서 | Azure Load Balancer는 트래픽을 계층 4(TCP 또는 UDP)에서 부하 분산합니다. Load Balancer 구독 간 및 전역 부하 분산도 지원합니다. |
| 애플리케이션 수준 부하 분산 | 애플리케이션 부하 분산 장치 | 응용 프로그램 게이트웨이 | Application Gateway는 계층 7 부하 분산 장치입니다. SSL 종료, 쿠키 기반 세션 선호도 및 트래픽 부하 분산을 위한 라운드 로빈을 지원합니다. 또한 다중 사이트 라우팅 및 보안 기능을 제공합니다. |
| 경로 테이블 | 사용자 지정 경로 테이블 | 사용자 정의 경로 | 이러한 테이블은 기본 시스템 경로를 재정의하거나 서브넷의 경로 테이블에 더 많은 경로를 추가하기 위한 사용자 지정 또는 사용자 정의(정적) 경로를 제공합니다. |
| 프라이빗 링크 | 프라이빗링크 | Azure Private Link | Azure Private Link Azure 플랫폼에서 호스트되는 서비스에 대한 프라이빗 액세스를 제공합니다. 이렇게 하면 데이터가 Microsoft 네트워크에 유지됩니다. |
| 프라이빗 PaaS 연결 | VPC 엔드포인트 | 프라이빗 엔드포인트 | 프라이빗 엔드포인트는 백본 Microsoft 프라이빗 네트워크를 통해 다양한 Azure PaaS(Platform as a Service) 리소스에 대한 보안 프라이빗 연결을 제공합니다. |
| 가상 네트워크 피어링 | VPC 피어링 | 가상 네트워크 피어링 | 가상 네트워크 피어링은 Azure 백본 네트워크를 통해 동일한 지역에 있는 두 가상 네트워크를 연결하는 메커니즘입니다. 피어링된 후, 두 가상 네트워크는 모든 연결 목적상 하나로 나타납니다. |
| 콘텐츠 배달 네트워크 | CloudFront | Azure Front Door | Azure Front Door 콘텐츠 및 애플리케이션에 대한 고성능, 확장성 및 보안 사용자 환경을 제공하는 최신 CDN(클라우드 콘텐츠 배달 네트워크) 서비스입니다. |
| 네트워크 모니터링 | VPC 흐름 로그 | Azure Network Watcher | Azure Network Watcher 사용하면 Azure Virtual Network 트래픽을 모니터링, 진단 및 분석할 수 있습니다. |
| 네트워크 보안 | 보안 그룹 | 네트워크 보안 그룹 | 이러한 컨트롤은 가상 네트워크 서브넷의 리소스와 네트워크 트래픽을 필터링합니다. |
| 허브 앤드 스포크 구조 및 글로벌 네트워크 허브 | AWS 전송 게이트웨이 | Azure Virtual WAN | 이러한 서비스는 관리되는 전송 허브를 통해 많은 VPC 및 가상 네트워크, 온-프레미스 사이트 및 원격 사용자 간에 네트워크 연결을 중앙 집중화합니다. Virtual WAN 기본적으로 Azure Firewall, Azure DDoS Protection 및 보안 SD-WAN 파트너와 통합됩니다. AWS Transit Gateway는 첨부 파일당 최대 100개의 BGP(Border Gateway Protocol) 접두사를 지원합니다. Virtual WAN 프라이빗 피어링에서는 1,000개의 BGP 접두사를 지원합니다. |
| 글로벌 트래픽 가속(백본상의 anycast) | AWS 글로벌 액셀러레이터 | Azure Front Door / Azure 지역 간 부하 분산 장치 | 이러한 서비스는 지역 간 애플리케이션 성능 및 가용성을 개선하기 위해 공급자의 백본 네트워크에 글로벌 애니캐스트 진입점을 제공합니다. Azure Front Door 통합 CDN 및 WAF를 사용하여 계층 7(HTTP/HTTPS)에서 작동합니다. Azure 지역 간 Load Balancer는 TCP/UDP에 대해 계층 4에서 작동하며, 이는 AWS Global Accelerator의 계층 4 동작과 밀접하게 일치합니다. Traffic Manager는 DNS 기반이며 DNS 기반 라우팅에서 별도로 비교됩니다. |
| 크로스 프레미스 연결 | AWS Direct Connect 게이트웨이 | Azure ExpressRoute 글로벌 도달 범위 | 이러한 서비스는 여러 지역에 걸쳐 있는 전용 프라이빗 연결을 사용하여 온-프레미스 네트워크를 클라우드로 확장합니다. |
| 서비스 메쉬 | AWS 앱 메시 (2026년 9월 30일 지원 종료 예정) / Amazon ECS Service Connect / Amazon VPC Lattice | AKS용 Istio 추가 기능 | 서비스 메시는 마이크로 서비스 통신을 위한 트래픽 관리, 관찰 가능성 및 보안을 제공합니다. AWS App Mesh는 더 이상 새 고객을 허용하지 않으며 사용 중지가 예정되어 있습니다. AWS는 ECS Service Connect, VPC Lattice 또는 직접 ALB 라우팅을 권장합니다. AKS(Azure Kubernetes Service) 대한 Istio 추가 기능은 오픈 소스 Istio 서비스 메시의 완전히 지원되는 통합을 제공합니다. |
| 서비스 검색 | AWS 클라우드 맵 | AWS 클라우드 맵은 동적 애플리케이션 인스턴스를 추적하고 DNS 또는 API를 통해 노출하는 서비스 레지스트리입니다. Azure 플랫폼별 서비스 검색( AKS의 CoreDNS, Container Apps의 기본 제공 이름 확인 및 서비스 Fabric 명명 서비스)을 통해 동등한 기능을 제공합니다. 반면 Azure 프라이빗 DNS 가상 네트워크 내에서 사용자 지정 도메인을 확인하기 위한 관리형 DNS 영역 서비스입니다. | |
| 관리되는 방화벽 | AWS 네트워크 방화벽 | Azure Firewall | 이러한 서비스는 가상 네트워크에 대한 관리형 상태 저장 클라우드 네이티브 방화벽 서비스를 제공합니다. 둘 다 AWS(Suricata 호환 규칙) 또는 기본 제공 위협 인텔리전스(Azure), FQDN 필터링 및 중앙 집중식 정책 관리를 사용하여 트래픽 검사를 지원합니다. Azure Firewall 표준, 프리미엄(TLS 검사, IDPS) 및 기본 계층에서 사용할 수 있습니다. |
| 웹 애플리케이션 방화벽 | AWS WAF | Azure Web Application Firewall(Application Gateway 또는 Azure Front Door) | 일반적인 웹 악용에 대한 계층 7 보호(OWASP 상위 10개, SQL 삽입, XSS). 두 서비스 모두 관리되는 규칙 집합, 사용자 지정 규칙, 속도 제한 및 봇 보호를 지원합니다. Azure Web Application Firewall Application Gateway(지역) 또는 Azure Front Door(전역)의 기능으로 배포됩니다. |
| DDoS 보호 | AWS Shield Standard 및 AWS Shield Advanced | Azure DDoS Protection(네트워크 보호 또는 IP 보호) / Azure 기본 인프라 DDoS 보호 | 이러한 서비스는 볼륨, 프로토콜 및 DDoS(애플리케이션 계층 분산 서비스 거부) 공격에 대한 보호를 제공합니다. 두 플랫폼 모두 기본적으로 사용하도록 설정된 무료 기준 계층(AWS Shield 표준 또는 Azure 기본 인프라 DDoS)과 자세한 원격 분석, 공격 분석, 비용 보호 및 신속한 대응 팀에 대한 액세스 권한이 있는 유료 고급 계층을 제공합니다. |
| 보안 VM 원격 액세스 | AWS Systems Manager 세션 관리자 / EC2 인스턴스 연결 엔드포인트 | Azure Bastion | 이러한 서비스는 공용 IP 주소를 노출하거나 인바운드 포트를 열지 않고 가상 머신에 대한 보안 RDP 및 SSH 연결을 제공합니다. Azure Bastion 가상 네트워크 내에 배포되는 완전히 관리되는 PaaS 서비스입니다. |
네트워킹 아키텍처
| 아키텍처 | 설명 |
|---|---|
| 고가용성이 높은 네트워크 가상 어플라이언스 배포 | Azure 고가용성을 위해 네트워크 가상 어플라이언스를 배포하는 방법을 알아봅니다. 이 문서에는 인그레스, 이그레스 및 둘 다에 대한 예제 아키텍처가 포함되어 있습니다. |
| Azure의 허브-스포크 네트워크 토폴로지입니다. | 허브가 가상 네트워크이고 스포크가 허브와 피어되는 가상 네트워크인 Azure 허브-스포크 토폴로지를 구현하는 방법을 알아봅니다. |
| 보안 하이브리드 네트워크 구현 | 온-프레미스 네트워크와 Azure 가상 네트워크 간의 경계 네트워크를 사용하여 Azure 위해 온-프레미스 네트워크를 확장하는 보안 하이브리드 네트워크를 구현하는 방법을 알아봅니다. |
참여자
Microsoft는 이 문서를 유지 관리합니다. 이 문서를 작성한 기여자는 다음과 같습니다.
주 작성자:
- 콘스탄틴 레카타스 | 주요 클라우드 솔루션 설계자
기타 기여자:
- 아담 세리니 | 파트너 기술 전략가 이사
- Juan Carlos Osorio | 클라우드 솔루션 설계자
LinkedIn 비공개 프로필을 보려면, LinkedIn에 로그인하세요.