Come connettere i tuoi ambienti AWS e Microsoft Azure: Una guida completa
- Partners
- 12 maggio 2022
Ti spieghiamo perché dovresti connettere i due principali fornitori di cloud, le opzioni disponibili e qual è quella giusta per la tua azienda.
Le architetture cloud ibride e multicloud sono diventate comuni per i reparti IT delle aziende che cercano maggiore affidabilità della rete, sicurezza ed efficienza dei costi a sostegno di prestazioni ottimali delle applicazioni.
Con la migrazione di un numero sempre maggiore di workload aziendali verso il cloud, è naturale che le aziende cerchino il modo di connettere Amazon Web Services (AWS) e Microsoft Azure, due hyperscaler leader, per rendere la propria rete a prova di futuro e garantire la più bassa latenza tra i workload.
Indice dei contenuti
Perché dovrei connettere i miei cloud? Vantaggi e casi d’uso
La presenza di più fornitori di cloud da sola non è sufficiente a rendere l’azienda a prova di futuro. In un’epoca di lavoratori da remoto, crimini informatici dilaganti e clienti impazienti, non è mai stato così importante ottimizzare la tua suite cloud. Il modo più semplice (e il migliore) è quello di interconnettere privatamente i tuoi cloud. In altre parole, adottare il routing cloud-to-cloud.
L’interconnessione della tua suite cloud comporta una serie di vantaggi e apre nuovi casi d’uso: attenua i rischi introducendo la ridondanza dei dati e il ripristino di emergenza, migliora le prestazioni della rete, riduce la latenza e il numero di hop (diminuendo la distanza che i dati devono percorrere grazie alla creazione di percorsi diretti e ben definiti tra i cloud) e consente la flessibilità e la scelta “best-of-breed”, il che migliorerà anche la reputazione dell’azienda presso i clienti.
Cloud-to-cloud: un modo evoluto di pensare al multicloud
Il cross-cloud è un nuovo modo di concepire l’infrastruttura multicloud e un caso particolarmente interessante per connettere gli ambienti cloud. Si riferisce in particolare all’utilizzo di più piattaforme o servizi cloud, in questo caso AWS e Azure, per eseguire una singola applicazione o workload, riducendo così le spese generali. È diverso rispetto al multicloud, che si riferisce semplicemente all’utilizzo di più cloud.
Come spiega Dave Wolpert di VMWare, “Con il cross-cloud, lo sviluppo delle applicazioni prende nuova vita. I fornitori SaaS possono costruire applicazioni su una piattaforma di dati cloud e, per natura, accedere e utilizzare dati da qualsiasi cloud pubblico”.
Questo risolve due problemi: proprietà dei dati e tempi di implementazione. Queste soluzioni consentono una maggiore libertà e flessibilità in questi due cloud. Questo framework abbastanza nuovo è ancora in evoluzione e gli attori principali continuano a sviluppare le loro capacità cross-cloud, ma è un grande obiettivo strategico da avere in mente una volta che hai collegato i tuoi cloud e determinato le applicazioni principali e i prodotti SaaS di cui la tua azienda e le tue filiali hanno bisogno per funzionare senza problemi.
Ma torniamo all’obiettivo in questione: connettere i tuoi due workload del cloud. Supponiamo che tu sia come uno dei nostri clienti, un marchio globale di vendita al dettaglio che ospita la sua presenza e-commerce con AWS e Azure, e che attualmente stia implementando applicazioni speculari in entrambi i cloud.
Per rispettare la tua politica di sicurezza, fai il backhaul di una parte del traffico verso il tuo data center – dove viene applicata tale politica – ma non tutto il tuo traffico deve essere soggetto alla politica di sicurezza. Per risparmiare risorse di rete nel tuo data center, vuoi mantenere il traffico rimanente sull’edge di ciascun cloud, riducendo la latenza tra AWS e Azure.
In questo caso, esistono tre modi per connettere un ambiente AWS a uno Microsoft Azure, ciascuno con i suoi pro e contro. Il tunnel VPN è di gran lunga il metodo più comune, ma come avrai capito se leggi regolarmente il nostro blog, non crediamo sia il migliore.
Come connettere i tuoi ambienti cloud AWS e Microsoft Azure
1. Realizzare un tunnel VPN
Ci sono molte risorse online su come impostare un tunnel VPN su una connessione Internet pubblica tra AWS e Microsoft Azure. Si tratta di un metodo tradizionale e collaudato di connessione tra i cloud, ma ci sono molti svantaggi nel connettere gli ambienti cloud in questo modo:
- Produttività limitata. Per i workload di calcolo più elevati, dovrai costruire numerosi tunnel per supportare il throughput necessario e passerai molto tempo a gestire l’ECMP (Equal-Cost Multi-Path routing) o il bilanciamento del carico.
- L’instradamento è imprevedibile attraverso la rete Internet pubblica.
- C’è sempre la possibilità di compromettere la sicurezza a causa del dirottamento dei percorsi del Border Gateway Protocol (BGP).
- Le tariffe di uscita dal cloud su Internet sono applicate per GB dai cloud provider al momento dell’uscita. I costi possono essere proibitivi e si accumulano rapidamente fino a raggiungere importi maggiori del tuo budget per il cloud.
Sebbene l’utilizzo di tunnel VPN possa rivelarsi una soluzione più economica e semplice per le aziende che svolgono piccole attività a basso rischio nel cloud, non è consigliabile per i workload ad alta larghezza di banda o per le aziende che gestiscono informazioni sensibili che potrebbero essere compromesse, in particolare quelle che operano nel settore dei servizi finanziari o governativi.
2. Costruire linee private
Il secondo modo per connettere i tuoi ambienti AWS e Azure consiste nel costruire linee private verso i due hyperscaler acquistando circuiti dedicati dal tuo provider di telecomunicazioni. Questi circuiti ti forniranno una connessione privata ai provider di cloud con un traffico che non viene instradato sull’imprevedibile e vulnerabile Internet pubblico.
Ma questo approccio presenta anche molti svantaggi. In primo luogo, è più costoso, in quanto ti costringe a contratti a lungo termine. Il tuo operatore telefonico probabilmente ti vincolerà a contratti di 18-24 mesi per i tuoi circuiti dedicati, con finestre di installazione di 45-90 giorni. Quindi, se stai cercando di aumentare la capacità di banda, potrebbero volerci mesi. Se vuoi diminuire la capacità di banda, dovrai convivere con circuiti inutilizzati a causa dei contratti a lungo termine.
Alla fine, la costruzione di linee private è probabilmente l’opzione più costosa per il collegamento tra AWS e Microsoft Azure.
La latenza rimane un problema a causa del traffico di backhaul. Anche con circuiti privati verso ciascun cloud, sarà comunque necessario effettuare il backhaul del traffico verso il tuo data center o le apparecchiature di routing in sede. In altre parole, i tuoi dati dovranno ancora uscire da AWS attraverso la tua connessione privata per tornare al tuo ambiente on-premise o di colocation, solo per tornare attraverso l’altra connessione privata al tuo ambiente Microsoft Azure, se vuoi che i workload in entrambi gli ambienti si scambino i dati.
Di conseguenza, la latenza sarà ancora un problema, anche se i tuoi circuiti privati verso AWS e Microsoft Azure ti offriranno probabilmente una maggiore affidabilità rispetto a un tunnel VPN. Anche con le connessioni private agli hyperscaler, continuerai ad avere bisogno di un’infrastruttura on-premise o di una significativa presenza in colocation. E questo, ovviamente, significa più investimenti da mettere in conto nel budget annuale.
Tuttavia, i vantaggi della costruzione di linee private includono una maggiore sicurezza e prestazioni di rete più agili rispetto all’invio di dati attraverso la rete Internet pubblica, nonché una minore complessità di gestione per te.
3. Impostare la connettività privata con un router virtuale
Sebbene il modo più comune per collegare i workload a diversi ambienti cloud sia quello di utilizzare un tunnel VPN, un modo che sta diventando sempre più comune è quello di impostare la connettività privata con un router virtuale come Megaport Cloud Router (MCR) . Ciò offre una connettività privata e la sicurezza, l’affidabilità e la riduzione dei costi che derivano dal non dover inviare i dati attraverso la rete Internet pubblica. Inoltre, non dovrai:
- riportare il traffico al tuo ambiente on-premise,
- stipulare contratti a lungo termine con il tuo operatore telefonico,
- aggiungere nessuna apparecchiatura supplementare per aumentare la connettività,
- pagare le elevate tariffe di trasferimento dati di AWS e Azure per i dati in uscita attraverso Internet.
Se vuoi scalare le tue esigenze di larghezza di banda, puoi farlo in pochi clic con il Network as a Service (NaaS) globale e on-demand di Megaport, oppure puoi persino automatizzare le modifiche alla capacità attraverso la nostra API per adattarla alle tue esigenze.
L’MCR viene configurato nel luogo fisico in cui risiedono gli edge AWS e Microsoft Azure. In alcuni casi, MCR ed entrambi i fornitori di servizi cloud sono disponibili nello stesso campus di data center.
Supponiamo nuovamente che tu sia un nostro cliente – quel marchio globale di vendita al dettaglio. Il tuo negozio di e-commerce è ospitato presso AWS US-East (Virginia settentrionale) con applicazioni in US-East con Azure. Vuoi instradare direttamente tra i due cloud, ma anche mantenere la capacità di gestire un peer primario e secondario verso il tuo data center nell’area di Washington DC per gestire la tua politica di sicurezza.
MCR semplifica questo instradamento del traffico verso il data center per il controllo di sicurezza; puoi mantenere un singolo peer tra il tuo data center e MCR. Quando si aggiungono altri collegamenti cloud, non sono necessari altri peer nel data center, perché è possibile gestire facilmente questi peer sui tuoi MCR.
Inoltre, la latenza tra i due ambienti cloud, connessi privatamente tramite il nostro router virtuale, è di soli tre o quattro millisecondi di andata e ritorno. Questo percorso a bassa latenza tra AWS e Azure, abilitato dalla connessione diretta dell’MCR, significa prestazioni ottimali per le applicazioni.
L’uso di un router virtuale come MCR è il modo migliore per garantire una navigazione senza intoppi quando si collegano più workload nel cloud, come quelli di AWS e Azure. È privato e protetto, aumenta le prestazioni (il che significa meno interruzioni non solo per te, ma anche per i tuoi clienti) e può ridurre i costi avvicinando i tuoi cloud e le tue applicazioni a te e tra di loro.
Come connettere AWS Direct Connect e Azure ExpressRoute
Sapevi che puoi fare un ulteriore passo avanti e connettere tra loro le connessioni private dedicate dei cloud provider, Direct Connect di AWS e ExpressRoute di Azure?
Che cos’è una connessione privata dedicata e come funziona?
Una connessione dedicata è una connessione privata creata dal CSP per collegare una rete di una singola azienda al suo cloud. Sia Direct Connect che ExpressRoute consentono ai clienti di connettersi ai propri workload cloud tramite una connessione privata non condivisa con altri provider o clienti. Ciò fornisce un percorso per i tuoi dati aziendali vitali che non passa attraverso l’Internet pubblico. I vantaggi sono numerosi: sicurezza, risparmio sui costi, maggiore supervisione e controllo, e prestazioni stabili.
AWS Direct Connect è il “percorso più breve per le tue risorse AWS”. Con Direct Connect, il tuo traffico di rete rimane sulla rete globale di AWS e quindi non tocca mai la rete Internet pubblica, riducendo la latenza e le possibilità di colli di bottiglia. Azure ExpressRoute agisce in modo simile e ti permette di creare connessioni private tra i data center di Azure e i tuoi data center o l’infrastruttura on-premise.
La connessione tramite ExpressRoute può essere utile per le aziende che fanno molto affidamento sul cloud di Microsoft per servizi come il calcolo virtuale, il servizio di database o lo storage nel cloud, come avviene anche per i prodotti cloud di AWS.
Sia Direct Connect che ExpressRoute ti permettono di trasferire gratuitamente i dati nel loro cloud, ma i dati in uscita (egress) vengono addebitati al gigabyte, con prezzi che dipendono dalla regione e dalla destinazione (per maggiori informazioni, vedi la nostra spiegazione dei prezzi di ExpressRoute). Anche le velocità di connettività offerte sono simili e vanno da 50Mbps a 100Gbps. Entrambi i cloud provider richiedono il routing Layer 3 con eBGP per condividere i prefissi delle rotte.
Perché dovrei connettere Direct Connect ed ExpressRoute?
Esiste una serie di casi d’uso quotidiano per il collegamento dei due percorsi di connettività cloud dedicati. Ciò significa che l’ExpressRoute di un cliente può comunicare direttamente con il suo percorso Direct Connect, invece di collegare gli interi cloud AWS e Azure. Questi includono:
- Migrazione di dati: le migrazioni di grandi quantità di dati possono essere più economiche e prevedibili attraverso la connettività privata. Connettendo i due sistemi, la migrazione di massa dei dati tra i tuoi cloud AWS e Azure può essere più rapida e affidabile.
- Workload cloud-to-cloud: la connessione dei tuoi percorsi AWS e Azure può consentire alla tua organizzazione di utilizzare le migliori opzioni di prodotto e di prezzo in ciascun cloud. Multicloud assicura anche un backup dei tuoi dati strategici, nel caso in cui si verifichi un evento disastroso. Per saperne di più sulla connettività multicloud, consulta la nostra guida completa.
- Integrazione IT più semplice: ciò ti consente di integrare la rete senza dover migrare completamente i tuoi workload del cloud. È particolarmente utile per le fusioni di rete.
Esistono tre modi consigliati per connettere i tuoi workload Direct Connect ed ExpressRoute per migliorare le prestazioni e la compatibilità:
- Utilizzo del tuo data center.
- Funzioni virtuali di rete (VNF).
- Carrier Private IP-VPN Multiprotocol Label Switching (MPLS).
Ciascuno di questi metodi di connessione può rivelarsi vantaggioso per la tua azienda, a seconda di come intendi progettare e sfruttare la tua rete multicloud.
1. Utilizzo del tuo data center
Utilizzando uno dei tuoi data center esistenti e stabilendo due circuiti point-to-point da un provider di servizi di rete (uno verso AWS Direct Connect e il secondo verso Azure ExpressRoute), puoi connettere efficacemente i tuoi workload nei due cloud. Stabilisci una connessione terminando su un endpoint Layer 3 nuovo o esistente e utilizza il tuo data center come nodo multicloud ibrido tra AWS e Azure.
Il diagramma seguente mostra l’aspetto di questa architettura. Una volta completato, avrai stabilito un percorso dati privato tra AWS e Azure attraverso il tuo data center. Le posizioni di Direct Connect ed ExpressRoute mostrate saranno scelte in base alla regione del cloud provider e alla posizione del data center (spesso si tratta della stessa posizione per entrambi i cloud provider, ma potrebbero anche essere diverse).
Una volta stabilito il BGP tra il router del data center e ciascun edge del cloud provider, il traffico può quindi passare tra Azure e AWS.
Vantaggi
- Miglior controllo e personalizzazione: perfeziona la tua migrazione dei dati per selezionare meglio quali dati vanno dove.
- Ampliare il servizio esistente: con questo metodo, puoi sfruttare lo stack di sicurezza esistente, nonché l’hardware e gli strumenti di rete che già conosci per stabilire la connettività.
- Nessuna nuova soluzione: non c’è nulla di nuovo da imparare o da integrare nella tua strategia di rete complessiva.
Svantaggi
- Costi più alti: il mantenimento di un data center richiede costi continui di manutenzione da parte di esperti, affitto e altro.
- Tempi di implementazione: in molti casi, ciò implica che un operatore fornisca local-loop al tuo data center, il che può comportare contratti a termine e costi mensili elevati. L’implementazione di questi nuovi servizi richiede in genere settimane o mesi.
- Possibile carenza di banda: se stai utilizzando l’infrastruttura di rete esistente, devi assicurarti di avere la capacità necessaria per soddisfare i requisiti di throughput. Anche la latenza può essere un problema se il tuo data center non si trova nella stessa area geografica delle sedi di ExpressRoute e Direct Connect.
2. Funzioni virtuali di rete (VNF)
Questo dispositivo di rete virtuale può diventare il tuo endpoint Layer 3 per lo scambio di traffico tra AWS e Azure. I fornitori di Network as a Service (NaaS) come Megaport offrono soluzioni basate su cloud che ti consentono di connettere facilmente le tue connessioni dedicate. Anche se le offerte variano a seconda del fornitore, in genere puoi ordinare una soluzione preconfezionata che include le licenze e le funzionalità di routing.
Un aspetto da considerare è se il fornitore NaaS è anche un partner Direct Connect ed ExpressRoute. Ciò diventerà importante in quanto potrai costruire senza problemi questi Virtual Cross Connects (VXC) dalla tua VNF ai rispettivi cloud provider. La soluzione VNF ti offre la flessibilità di implementare un semplice router tra i due CSP, di creare un firewall per implementare le politiche di sicurezza, o di integrare un nuovo nodo nella tua soluzione SD-WAN già esistente.
Nel diagramma seguente, l’istanza del router è più vicina al cloud rispetto alla soluzione data center. Il percorso dei dati tra Azure e AWS in genere attraversa una distanza fisica minore. La sessione e BGP sarà ora tra i cloud provider e l’istanza VNF stabilendo i percorsi dei dati tra i due cloud. Megaport offre due soluzioni VNF: Megaport Cloud Router (MCR) e Megaport Virtual Edge (MVE).
Vantaggi
Tempi di implementazione: puoi adottare queste soluzioni utilizzando l’interfaccia del portale o l’API del tuo fornitore NaaS, di solito in pochi minuti. Una volta che il tuo router virtuale è attivo e funzionante, la configurazione dei VXC su ExpressRoute e Direct Connect diventa molto semplice.
Costi più bassi: evitando l’hairpinning dei data center, riduci la quantità di dati inviati da AWS e Azure, riducendo così le considerevoli tariffe di uscita. Sul nostro blog condividiamo altri modi per ridurre le tue tariffe di Azure egress.
Prestazioni di rete più elevate: quando impieghi il dispositivo di rete virtuale vicino all’area del workload del cloud, puoi godere di prestazioni di rete più elevate grazie alla riduzione della latenza e del jitter.
Contratti a termine flessibili: utilizzando una soluzione VNF, puoi aumentare e diminuire il numero di router in base alle necessità, invece di sottoscrivere contratti a lungo termine per i circuiti MPLS forniti dai carrier.
Svantaggi
Meno personalizzabile: le soluzioni preconfezionate hanno una serie di funzioni specifiche che possono essere o meno adatte alle tue esigenze, quindi assicurati che siano disponibili le funzioni di cui hai bisogno. Verifica anche che lo specifico fornitore di SD-WAN o firewall che vuoi implementare sia disponibile con quel provider NaaS.
3. Carrier Private IP-VPN
Poiché alcuni carrier di rete sono anche partner di AWS e Azure, possono fornire connettività dalla loro soluzione privata IP-VPN (Internet Protocol Virtual Private Network). Le IP-VPN utilizzano la tecnologia Multiprotocol Label Switching (MPLS) per evitare di connettersi tramite gateway pubblici.
Questa tecnologia offre vantaggi simili a quelli di altre soluzioni private, tra cui una maggiore sicurezza, un’elevata disponibilità e migliori prestazioni. Se il tuo attuale carrier ti fornisce già questo tipo di servizio, potrebbe valere la pena esaminarlo per soddisfare questa esigenza di connettività.
Il diagramma seguente mostra come una rete IP-VPN può essere utilizzata per collegare Direct Connect a Microsoft ExpressRoute. Con questa architettura, il traffico tra i due cloud provider passerà ora attraverso il router IP-VPN Provider Edge (PE). A differenza delle soluzioni precedenti, questo dispositivo non è gestito fisicamente o virtualmente da te.
Vantaggi
- Completamente gestito: il dispositivo Layer 3 (IP-VPN CE/PE) tra i tuoi cloud AWS e Azure è completamente gestito, il che significa che puoi lasciare la manutenzione agli esperti.
- Estensione del servizio: poiché potresti già avere un contratto e un rapporto con entrambi o con uno dei CSP, la connessione può essere ancora più rapida.
- Capacità di sfruttamento: se hai altre postazioni remote sulla rete MPLS, queste potrebbero sfruttare le stesse connessioni per interfacciarsi con AWS e Azure.
Svantaggi
- Costi più alti: i costi MPLS tendono a essere l’opzione più costosa per la connessione ai provider cloud e di solito comportano un impegno contrattuale a lungo termine.
- Tempi di implementazione: sebbene dipenda dal carrier, alcuni forniscono ancora queste connessioni in modo tradizionale. Ciò può richiedere diverse settimane o mesi per l’implementazione delle connessioni, il che significa un ritardo nelle tue funzionalità multicloud.
- Controllo: tutte le funzionalità di routing, filtraggio e sicurezza dipenderanno dalle funzionalità del prodotto del carrier, che potrebbero essere limitate, il che significa che avrai meno controllo e personalizzazione sui tuoi dati.
Il metodo di connessione da AWS ad Azure più adatto alla tua azienda dipenderà da diversi fattori, dal tuo budget, al tipo di applicazioni coinvolte, alle prestazioni di rete, alla velocità e ai requisiti di larghezza di banda. L’utilizzo del tuo data center come nodo di rete ibrido o multicloud può essere vantaggioso per le aziende che dispongono di un data center esistente e desiderano connettere i propri workload in modo più uniforme. Questa soluzione offre anche una maggiore supervisione e visibilità sulla migrazione dei dati.
La Virtual Network Function (VNF), invece, è ideale per le reti che desiderano una soluzione di connessione rapida, in quanto è possibile distribuire i dispositivi di rete virtuali utilizzando l’interfaccia del portale o l’API del fornitore NaaS in pochi minuti. Inoltre, essendo posizionata più vicino alla regione cloud del workload, puoi beneficiare di prestazioni di rete più elevate.
Cloud-to-cloud con Megaport
Con Megaport, l’interconnessione dei tuoi cloud per il cloud-to-cloud non è mai stata così semplice. Le funzionalità di rete virtuale di Megaport Cloud Router ti permettono di connetterti a Layer 3 in un istante, eliminando la complessità della configurazione.
Non c’è bisogno di capire i dettagli tecnici dell’ingegneria di rete: accedi al tuo account Megaport e inizia a costruire una rete virtuale in pochi clic. MCR supporta il multicloud e ti permette di fare peer privatamente tra i principali fornitori di cloud, come AWS e Azure.
Megaport Virtual Edge (MVE) ti permette di creare nuove connessioni tra i tuoi cloud, senza dover installare hardware. Se la tua azienda desidera avvalersi degli MPLS esistenti, l’opzione MPLS gestita dal carrier può essere vantaggiosa per la connettività che richiede una minore gestione da parte della tua azienda, lasciandola agli esperti.
Tutto questo si traduce in una connettività cloud-to-cloud semplificata e potenziata, in cui la tua suite di applicazioni e i relativi workload possono funzionare ed essere utilizzati attraverso la tua suite di cloud, che si tratti di AWS e Azure o di qualsiasi numero e combinazione degli oltre 365 service provider che supportiamo. Qualunque siano le tue esigenze specifiche, Megaport ha soluzioni scalabili e flessibili pronte ad aiutarti.
Abbiamo già detto che questa architettura privata cloud-to-cloud può essere implementata prima che tu finisca di bere un caffè?