Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo compara os principais serviços de rede que a Azure e a Amazon Web Services (AWS) oferecem.
Para links para artigos que comparam outros serviços AWS e Azure e um mapeamento completo de serviços entre AWS e Azure, veja Azure para profissionais AWS.
Redes virtuais Azure e VPCs AWS
As redes virtuais Azure e as clouds privadas virtuais AWS (VPCs) são semelhantes no sentido em que ambas fornecem espaços de rede isolados e logicamente definidos dentro das respetivas plataformas cloud. Existem, no entanto, diferenças fundamentais em termos de arquitetura, recursos e integração.
Colocação de sub-rede. Na AWS, cada sub-rede está ligada a uma única Zona de Disponibilidade, pelo que alcançar redundância zonal requer criar uma sub-rede por Zona de Disponibilidade. No Azure, uma sub-rede é uma construção regional que abrange todas as zonas de disponibilidade da região. Os recursos implementados na mesma sub-rede podem residir em diferentes zonas de disponibilidade e usar o mesmo CIDR ou espaço de endereçamento da sub-rede. Se redeployar ou mover um determinado recurso para uma zona de disponibilidade diferente, o endereço IP privado do recurso pode ou não ser preservado, dependendo do tipo de recurso e de como o redeploya ou move.
Modelos de segurança. A AWS sobrepõe grupos de segurança com estado (ligados a ENIs) com ACLs de rede sem estado (aplicadas na fronteira da sub-rede). Azure utiliza grupos de segurança de rede com estado (NSGs), que podem ser aplicados ao nível da sub-rede ou da NIC, e
, que podem ser usados para criar regras NSG usando tags lógicas de carga de trabalho em vez de intervalos de IP. Esta última abordagem é conceptualmente semelhante aos grupos de segurança da AWS que referenciam outros grupos de segurança. Para uma inspeção mais aprofundada, Azure Firewall fornece um firewall na nuvem gerido e com estado, com filtro FQDN, inteligência contra ameaças e inspeção IDPS/TLS opcional, semelhante ao AWS Network Firewall. Emparelhamento. Azure e AWS suportam ambos o emparelhamento de rede virtual / VPC. Ambas as tecnologias permitem peering mais complexo via WAN Virtual do Azure ou AWS Transit Gateway.
VPN
Tanto o AWS Site-to-Site VPN como o Gateway de VPN do Azure são soluções robustas para ligar redes on-premises à cloud. Oferecem funcionalidades semelhantes, mas há uma diferença notável no desempenho. O Gateway de VPN oferece maior débito para certas configurações (até 10 Gbps), enquanto a VPN de Site a Site geralmente varia entre 1,25 Gbps e 5 Gbps por ligação (usando ECMP).
Elastic Load Balancing, Balanceador de Carga do Azure e Gateway de Aplicação do Azure
Os equivalentes Azure dos serviços de Balanceamento de Carga Elástico são:
Balanceador de Carga oferece as mesmas capacidades de camada 4 de rede que o AWS Network Balanceador de Carga, por isso pode distribuir tráfego para múltiplas VMs ao nível da rede. Ele também fornece capacidade de tolerância a falhas.
Application Gateway fornece encaminhamento baseado em regras ao nível da aplicação comparável ao do AWS Application Balanceador de Carga.
Route 53, DNS do Azure e Gestor de Tráfego do Azure
No Amazon Web Services, o Route 53 fornece gestão de nomes DNS e serviços de encaminhamento de tráfego e de ativação de failover ao nível do DNS. No Azure, dois serviços tratam destas tarefas:
DNS do Azure fornece gestão de domínios e DNS.
Traffic Manager fornece recursos de roteamento de tráfego no nível DNS, balanceamento de carga e failover.
AWS Direct Connect e Azure ExpressRoute
O AWS Direct Connect pode vincular uma rede diretamente à AWS. Azure oferece ligações dedicadas de site para site semelhantes através do ExpressRoute. Pode usar o ExpressRoute para ligar diretamente a sua rede local aos recursos do Azure usando uma ligação privada dedicada. Tanto o Azure como a AWS oferecem ligações VPN site-to-site.
Tabelas de rotas
As tabelas de rotas da AWS contêm rotas que direcionam o tráfego de uma sub-rede ou sub-rede de gateway para o destino. No Azure, a funcionalidade correspondente é chamada rotas definidas pelo utilizador.
Com rotas definidas pelo usuário, você pode criar rotas personalizadas ou definidas pelo usuário (estáticas). Estas rotas sobrepõem as rotas padrão do sistema Azure. Você também pode adicionar mais rotas à tabela de rotas de uma sub-rede.
Azure Private Link
Private Link é semelhante ao AWS PrivateLink. O Azure Private Link fornece conectividade privada de uma rede virtual para uma solução Azure platform as a service (PaaS), um serviço de propriedade do cliente ou um serviço parceiro Microsoft.
Emparelhamento de rede privada virtual (VPC) e emparelhamento de rede virtual
Na Amazon Web Services, uma ligação de emparelhamento VPC é uma conexão de rede entre duas VPCs. Você pode usar essa conexão para rotear o tráfego entre as VPCs usando endereços IPv4 (Internet Protocol version 4) privados ou endereços IPv6 (Internet Protocol version 6).
Pode utilizar o peering de redes virtuais do Azure para conectar duas ou mais redes virtuais no Azure. Para fins de conectividade, as redes virtuais aparecem como uma só. O tráfego entre máquinas virtuais em redes virtuais emparelhadas usa a infraestrutura de backbone da Microsoft. Como o tráfego entre máquinas virtuais em uma única rede, o tráfego é roteado somente através da rede privada da Microsoft.
Nem as redes virtuais nem as VPCs permitem peering transitivo. No Azure, no entanto, pode alcançar redes transitivas usando appliances virtuais de rede (NVAs) ou gateways na rede virtual do hub.
Comparação de serviços de rede
| Área | Serviço do AWS | Serviço do Azure | Descrição |
|---|---|---|---|
| Rede virtual em nuvem | Nuvem privada virtual (VPC) | Rede Virtual | Esses serviços fornecem um ambiente privado isolado na nuvem. Você tem controle sobre seu ambiente de rede virtual, incluindo a seleção de seu próprio intervalo de endereços IP, criação de sub-redes e configuração de tabelas de rotas e gateways de rede. Na AWS, cada sub-rede deve residir em uma zona de disponibilidade. No Azure, as subredes podem abranger múltiplas zonas de disponibilidade. |
| Gateways NAT | gateways NAT da AWS | Azure NAT Gateway | Esses serviços simplificam a conectividade à Internet apenas de saída para redes virtuais. Em uma sub-rede, você pode configurar toda a conectividade de saída para usar endereços IP públicos estáticos especificados. A conectividade de saída é possível sem um balanceador de carga ou endereços IP públicos ligados diretamente às máquinas virtuais. Os gateways NAT AWS podem ser associados apenas a uma única IP pública. Gateways NAT do Azure podem ter múltiplos IPs públicos. |
| Conectividade entre vários locais | VPN de Site para Site | Gateway de VPN | A AWS Site-to-Site VPN e o Gateway de VPN do Azure fornecem ligações VPN fiáveis e com segurança reforçada, alta disponibilidade e suporte para protocolos padrão da indústria. As principais diferenças estão na integração com outros serviços cloud e em funcionalidades específicas como VPNs baseadas em rotas e políticas no Azure. AWS VPN oferece uma largura de banda máxima de 5 Gbps, enquanto o Azure oferece até 10 Gbps. |
| Gestão de DNS | Rota 53 | DNS do Azure | O DNS do Azure permite-lhe gerir os seus registos DNS usando as mesmas credenciais, contrato de faturação e suporte que utiliza para os seus outros serviços Azure. Ambos os serviços suportam DNSSEC. |
| Roteamento baseado em DNS | Rota 53 | Gestor de Tráfego | Esses serviços hospedam nomes de domínio, encaminham usuários para aplicativos da Internet, conectam solicitações de usuários a datacenters, gerenciam tráfego para aplicativos e melhoram a disponibilidade de aplicativos com failover automático. |
| Rede dedicada | Conexão direta | ExpressRoute | Esses serviços estabelecem uma conexão de rede privada dedicada de um local para o provedor de nuvem (não pela internet). |
| Balanceamento de carga | Balancer de Carga de Rede | Balanceador de carga | O Balanceador de Carga do Azure equilibra o tráfego na camada 4 (TCP ou UDP). O Balanceador de Carga também suporta entre assinaturas e balanceamento global de carga. |
| Balanceamento de carga no nível do aplicativo | Balanceador de carga de aplicativo | Gateway de Aplicações | O Application Gateway é um balanceador de carga de camada 7. Suporta a terminação SSL, a afinidade de sessão baseada em cookies e o equilíbrio de carga de tráfego por round robin. Ele também fornece roteamento multi-site e recursos de segurança. |
| Tabelas de rotas | Tabelas de rotas personalizadas | Rotas definidas pelo usuário | Essas tabelas fornecem rotas personalizadas ou definidas pelo usuário (estáticas) para substituir rotas padrão do sistema ou para adicionar mais rotas à tabela de rotas de uma sub-rede. |
| Ligação privada | Ligação Privada | Azure Private Link | O Azure Private Link fornece acesso privado a serviços alojados na plataforma Azure. Isso mantém seus dados na rede da Microsoft. |
| Conectividade PaaS privada | pontos finais de VPC | Ponto Final Privado | O Private Endpoint fornece conectividade privada e segura a vários recursos da plataforma Azure como serviço (PaaS), através de uma rede privada Microsoft backbone. |
| Interligação de Rede Virtual | Peering de VPC | Emparelhamento de rede virtual | O peering de redes virtuais é um mecanismo que liga duas redes virtuais na mesma região através da rede backbone do Azure. Depois de emparelhadas, as duas redes virtuais funcionam como uma só para todos os fins de conectividade. |
| Redes de distribuição de conteúdos | CloudFront | Azure Front Door | Azure Front Door é um serviço moderno de rede de entrega de conteúdos na cloud (CDN) que oferece alto desempenho, escalabilidade e experiências de utilizador seguras para o seu conteúdo e aplicações. |
| Monitorização da rede | Registos de Fluxo da VPC | Observador de Rede do Azure | O Observador de Rede do Azure permite-lhe monitorizar, diagnosticar e analisar o tráfego no Rede Virtual do Azure. |
| Segurança de rede | Grupos de segurança | Grupos de segurança de rede | Estes controlos filtram o tráfego de rede para e de recursos em sub-redes virtuais. |
| Hub-and-spoke e hub global de rede | AWS Transit Gateway | WAN Virtual do Azure | Estes serviços centralizam a conectividade de rede entre muitas VPCs e redes virtuais, locais locais e utilizadores remotos através de um hub de trânsito gerido. WAN Virtual integra-se nativamente com Azure Firewall, Azure Proteção DDoS e parceiros SD-WAN seguros. O AWS Transit Gateway suporta até 100 prefixos do Border Gateway Protocol (BGP) por anexo. O peering privado do WAN Virtual suporta 1.000 prefixos BGP. |
| Aceleração global de tráfego (anycast no backbone) | Acelerador global da AWS | Azure Front Door / Azure balanceador de carga entre regiões | Estes serviços fornecem pontos globais de entrada anycast na rede dorsal do fornecedor para melhorar o desempenho e a disponibilidade das aplicações em várias regiões. Azure Front Door opera na camada 7 (HTTP/HTTPS) com CDN e WAF integrados. O Azure cross-region Balanceador de Carga opera na camada 4 para TCP/UDP, o que corresponde de perto ao comportamento da camada 4 do AWS Global Accelerator. O Traffic Manager é baseado em DNS e é analisado separadamente no contexto do roteamento baseado em DNS. |
| Conectividade entre vários locais | gateways AWS Direct Connect | Azure ExpressRoute Alcance Global | Esses serviços estendem suas redes locais para a nuvem com conexões privadas dedicadas que abrangem várias regiões. |
| Malha de serviço (Service Mesh) | AWS App Mesh (fim de suporte previsto para 30 de setembro de 2026) / Amazon ECS Service Connect / Amazon VPC Lattice | Istio add-on para AKS | Uma malha de serviços fornece gestão de tráfego, observabilidade e segurança para a comunicação com microserviços. AWS App Mesh já não aceita novos clientes e está prevista para a sua descontinuação. A AWS recomenda o ECS Service Connect, o VPC Lattice ou o encaminhamento direto por ALB. O add-on Istio para Azure Kubernetes Service (AKS) fornece uma integração totalmente suportada da malha de serviços Istio open-source. |
| Descoberta de serviços | Mapa da Nuvem AWS | Descoberta de serviços incorporada no AKS (CoreDNS) / Azure Container Apps / serviço de nomes do Azure Service Fabric | O AWS Cloud Map é um registo de serviços que rastreia instâncias dinâmicas de aplicações e as expõe via DNS ou API. O Azure oferece funcionalidade equivalente através da descoberta de serviços específica da plataforma: CoreDNS no AKS, resolução de nomes integrada nas Aplicações Container e o serviço de nomes no Service Fabric. Azure DNS Privado, em contraste, é um serviço gerido de zonas DNS para resolver domínios personalizados dentro de uma rede virtual. |
| Firewall gerenciado | Firewall de rede da AWS | Azure Firewall | Estes serviços fornecem serviços de firewall nativos da cloud, geridos e com capacidades de manutenção de estado para redes virtuais. Ambos suportam inspeção de tráfego com regras compatíveis com Suricata (AWS) ou inteligência de ameaças incorporada (Azure), filtragem FQDN e gestão centralizada de políticas. O Azure Firewall está disponível nos níveis Standard, Premium (inspeção TLS, IDPS) e Basic. |
| Firewall de aplicações Web | AWS WAF | Firewall de Aplicações Web do Azure (no Application Gateway ou Azure Front Door) | Proteção de camada 7 contra explorações web comuns (OWASP Top 10, SQL injection, XSS). Ambos os serviços suportam conjuntos de regras geridas, regras personalizadas, limitação de taxa e proteção contra bots. Firewall de Aplicações Web do Azure é implementado como uma funcionalidade do Application Gateway (regional) ou Azure Front Door (global). |
| proteção contra DDoS | AWS Shield Standard e AWS Shield Advanced | Proteção DDoS do Azure (Proteção de Rede ou Proteção IP) / protecção DDoS básica da infraestrutura da Azure | Estes serviços oferecem proteção contra ataques de negação de serviço (DDoS) em nível volumétrico, de protocolo e de aplicação. Ambas as plataformas fornecem um nível de base gratuito (AWS Shield Standard ou DDoS de infraestrutura básica Azure) ativado por defeito, e um nível avançado pago com telemetria detalhada, análises de ataques, proteção de custos e acesso a uma equipa de resposta rápida. |
| Acesso remoto seguro a VMs | Gerenciador de Sessões AWS Systems Manager / Ponto de Conexão do EC2 Instance Connect | Azure Bastion | Estes serviços fornecem conectividade RDP e SSH segura às máquinas virtuais sem expor endereços IP públicos ou abrir portas de entrada. O Azure Bastion é um serviço PaaS totalmente gerido que é implementado dentro de uma rede virtual. |
Arquiteturas de rede
| Arquitetura | Descrição |
|---|---|
| Implante Aplicações de Rede Virtuais (NVAs) altamente disponíveis | Aprenda a implementar appliances virtuais de rede para alta disponibilidade no Azure. Este artigo inclui arquiteturas de exemplo de entrada, de saída e de ambos. |
| Topologia de rede Hub-spoke em Azure | Aprenda a implementar uma topologia hub-spoke no Azure, onde o hub é uma rede virtual e as ramificações são redes virtuais que se conectam ao hub. |
| Implementar uma rede híbrida segura | Aprenda como implementar uma rede híbrida segura que estenda uma rede local ao Azure com uma rede perimetral entre a rede local e uma rede virtual Azure. |
Veja todas as arquiteturas de rede.
Migração
Se planeia migrar uma carga de trabalho AWS para Azure, veja
Contribuidores
A Microsoft mantém este artigo. Os seguintes colaboradores escreveram este artigo.
Autor principal:
- Konstantin Rekatas | Arquiteto Principal de Soluções na Nuvem
Outros contribuidores:
- Adam Cerini | Diretor, Estrategista de Tecnologia de Parceiros
- Juan Carlos Osorio | Arquiteto de Soluções Cloud
Para ver perfis não públicos do LinkedIn, faça login no LinkedIn.
Próximos passos
- Crie uma rede virtual usando o portal Azure
- Planeia e projeta Azure redes virtuais
- Práticas recomendadas de segurança de rede do Azure