Connettività Privata di AWS, Microsoft Azure e Google Cloud a confronto

Connettività Privata di AWS, Microsoft Azure e Google Cloud a confronto

Esplora le opzioni di connettività privata di AWS, Microsoft Azure e Google Cloud. Scopri come i modelli di ciascun provider possono aumentare le prestazioni, ridurre i costi e migliorare la stabilità della rete per la tua strategia multicloud.

Con l’adozione di strategie multicloud in rapida crescita, comprendere i modelli di connettività privata verso questi hyperscaler è sempre più importante. La connettività privata può, in molti casi, aumentare la larghezza di banda disponibile, ridurre i costi complessivi di rete e offrire un’esperienza più prevedibile e stabile rispetto alle connessioni via internet.

Quindi, che si tratti di attivare una connettività privata verso un nuovo Cloud Service Provider (CSP) o di dire addio alla vecchia VPN su internet, questo articolo può aiutarti a comprendere i diversi modelli di connettività, la terminologia e i componenti delle offerte di connettività privata di Amazon Web Services (AWS), Microsoft Azure, e Google Cloud Platform (GCP).

Questi cloud provider utilizzano una terminologia spesso simile, ma talvolta diversa. Iniziamo con un allineamento della terminologia dei CSP.

Terminologia dei cloud service provider (CSP)
AWS, Microsoft Azure e Google Cloud Platform utilizzano una terminologia simile, ma talvolta differente.

Ora che abbiamo una migliore idea della terminologia dei CSP, entriamo nel vivo. Iniziamo analizzando AWS Direct Connect.

Indice dei contenuti

AWS Direct Connect

Gli ingredienti principali di AWS Direct Connect sono le interfacce virtuali (VIF), i Gateway — Virtual Private Gateway (VGW), Direct Connect Gateway (DGW/DXGW) e Transit Gateway (TGW) — e il circuito fisico/Direct Connect.

AWS Direct Connect offre vari modelli di connettività: Dedicated Connections, Hosted Connections e Hosted VIF. Per scegliere il più adatto alla tua azienda, è importante comprendere ciascun modello così da selezionare quello più idoneo al tuo caso d’uso.

Dedicated Connection

È una connessione fisica richiesta tramite la console AWS e associata a un singolo cliente. Si scarica il LOA-CFA e si lavora con il proprio operatore di data center o partner AWS per realizzare il cross-connect tra la propria attrezzatura e AWS. Le velocità di porta disponibili sono 1 Gbps e 10 Gbps.

Hosted Connection

È una connessione fisica che un partner AWS Direct Connect fornisce per conto del cliente. I clienti richiedono una hosted connection contattando un partner AWS che provvede al provisioning. Le velocità disponibili sono 50 Mbps, 100 Mbps, 200 Mbps, 300 Mbps, 400 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps e 10 Gbps.

Hosted VIF

È un’interfaccia virtuale effettuata per conto del cliente dall’account che possiede un circuito fisico Direct Connect. La larghezza di banda è condivisa tra tutte le VIF sulla connessione principale (parent connection).

Virtual Private Gateway (VGW)

È una funzione logica, completamente ridondante e distribuita, di edge-routing collegata a un VPC per consentire il routing privato del traffico in entrata/uscita dal VPC.

Virtual Private Gateway (VGW)
A differenza di altri CSP, AWS offre diversi tipi di gateway utilizzabili con Direct Connect: Virtual Private Gateway, Direct Connect Gateway e Transit Gateway.

Direct Connect Gateway (DGW)

Direct Connect Gateway (DGW)
Un Direct Connect Gateway è una risorsa disponibile globalmente che consente di collegare più VPC a un singolo (o più) circuito Direct Connect. Questo gateway, tuttavia, non fornisce connettività tra VPC.

Transit Gateway (TGW)

Transit Gateway (TGW)
Un Transit Gateway collega i tuoi VPC e le reti on-premises attraverso un hub centrale. Semplifica la rete ed elimina relazioni di peering complesse.

Il tipo di gateway utilizzato e le risorse pubbliche o private che devi raggiungere determineranno il tipo di VIF da usare.

Approfondiamo i tre tipi di VIF: private, public e transit.

Private VIF – Interfaccia virtuale privata

È utilizzata per accedere a un Amazon VPC tramite indirizzi IP privati. Puoi pubblicizzare fino a 100 prefissi verso AWS.

Nota: la Private VIF può essere collegata a un Virtual Private Gateway (VGW) oppure a un Direct Connect Gateway (DGW).

Public VIF — Interfaccia virtuale pubblica

Una interfaccia virtuale pubblica consente l’accesso a tutti i servizi pubblici AWS utilizzando indirizzi IP pubblici (es. S3, DynamoDB). Puoi pubblicizzare fino a 1.000 prefissi verso AWS.

Nota: le Public VIF non sono associate né collegate a nessun tipo di gateway.

  • Connetti tutti gli indirizzi IP pubblici AWS a livello globale (è richiesto un IP pubblico per il peering BGP).
  • Accedi ai servizi Amazon pubblicamente instradabili in qualsiasi regione AWS (escluse le regioni AWS in Cina).

Transit VIF – Interfaccia virtuale di transito

È utilizzata per accedere a uno o più Amazon VPC tramite un Transit Gateway associato a un Direct Connect Gateway. Puoi usare le transit VIF con connessioni AWS Direct Connect da 1/2/5/10 Gbps e pubblicizzare fino a 100 prefissi verso AWS.

Azure ExpressRoute

Che tu stia usando ExpressRoute Direct o il modello Partner, i componenti principali restano gli stessi: i peering (privato o Microsoft), i VNet Gateway e il circuito fisico ExpressRoute. A differenza degli altri CSP, ogni Azure ExpressRoute è composto da due circuiti per HA/ridondanza e finalità SLA.

In modo simile ai modelli dedicated e hosted di AWS, Azure offre le proprie soluzioni: ExpressRoute Direct e ExpressRoute tramite Partner.

Azure ExpressRoute Direct

Con ExpressRoute Direct, il cliente possiede la porta ExpressRoute e il LOA-CFA è fornito da Azure. I cross-connect in fibra sono ordinati dal cliente nel proprio data center. Le velocità di porta supportate sono interfacce da 10 Gbps o 100 Gbps.

ExpressRoute Partner

Nel modello Partner, il service provider si collega alla porta ExpressRoute. Il LOA-CFA è fornito da Azure e consegnato al partner. I cross-connect in fibra sono predisposti dal partner. Il cliente lavora con il partner per effettuare il provisioning dei circuiti ExpressRoute utilizzando le connessioni già impostate; il provider possiede le connessioni fisiche verso Microsoft. I clienti possono creare ExpressRoute con le seguenti larghezze di banda: 50 Mbps, 100 Mbps, 200 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps, 10 Gbps.

Azure offre anche un modello unico chiamato ExpressRoute Local. Un po’ fuori scala rispetto ai modelli degli altri CSP, ExpressRoute Local consente ai clienti di collegarsi in una specifica località di peering Azure. Collegarsi a una o due regioni locali associate al punto di peering offre il vantaggio dell’uso illimitato dei dati. Per approfondire, leggi: Avoid Cloud Bill Shock with Azure ExpressRoute Local and Megaport.

Azure ha due tipi di peering che possiamo confrontare direttamente — uno-a-uno — con la Private VIF e la Public VIF di AWS.

Private Peering

Il peering privato supporta connessioni dal data center on-premises del cliente per accedere alle proprie Azure Virtual Networks (VNet).

  • Accedi ai servizi di calcolo Azure, principalmente macchine virtuali (IaaS) e servizi cloud (PaaS), distribuiti all’interno di una VNet.
  • IP privati per il peering (RFC-1918). Servono un /28 suddiviso in due /30: uno per il peer primario e uno per quello secondario.
  • Il peering privato è supportato su connessioni logiche. Il BGP è stabilito tra i dispositivi on-premises del cliente e i Microsoft Enterprise Edge Router (MSEE).

Nota: la posizione degli MSEE con cui effettuerai il peering è determinata dalla peering location selezionata durante il provisioning di ExpressRoute.

  • A seconda dello SKU ExpressRoute, un singolo peering privato può supportare 10+ VNet tra regioni geografiche.
  • Il numero massimo di prefissi supportati per peering è 4.000 di default; fino a 10.000 con lo SKU premium.
Private Peering
Il peering privato supporta connessioni dal data center on-premises/privato del cliente per accedere alle proprie Azure Virtual Networks (VNet).

Microsoft Peering

Il Microsoft peering è utilizzato per connettersi alle risorse pubbliche di Azure, come Blob Storage. La connettività ai servizi online Microsoft (Office 365 e servizi Azure PaaS) avviene tramite Microsoft peering.

  • Office 365 è stato progettato per essere accessibile in modo sicuro e affidabile tramite internet. È necessaria l’approvazione di Microsoft per ricevere le rotte O-365 su ExpressRoute.
  • È necessario creare route filter prima di ricevere le rotte tramite Microsoft peering. Le BGP community sono utilizzate con i route filter per ricevere le rotte dei servizi del cliente.
Microsoft Peering
La connettività ai servizi online Microsoft avviene tramite il Microsoft peering.

Con Azure ExpressRoute esiste un solo tipo di gateway: VNet Gateway.

VNet Gateway

Un VNet Gateway è una funzione di routing logico simile al VGW di AWS. L’ExpressRoute VNet Gateway viene utilizzato per inviare traffico su una connessione privata, usando il tipo di gateway “ExpressRoute”. È anche noto come ExpressRoute Gateway.

Con un Azure ExpressRoute standard, più VNet possono essere collegate nativamente a un singolo circuito ExpressRoute in un modello hub-and-spoke, rendendo possibile accedere a risorse in più VNet tramite un unico circuito. In questo modo, l’offerta standard di Azure ExpressRoute è paragonabile al modello AWS Direct Connect Gateway.

Google Cloud Interconnect

Per ultimo, ma non meno importante, trattiamo GCP Interconnect, spesso chiamato GCP Direct Connect. Fortunatamente, Google Cloud Platform (GCP) mantiene connettività e componenti piuttosto semplici, rendendolo probabilmente il più immediato tra i tre CSP.

Come AWS e Azure, GCP offre due principali opzioni di connettività privata: Partner Interconnect e Dedicated Interconnect. Queste forniscono modalità flessibili per stabilire una connessione diretta tra la rete on-premises e l’infrastruttura globale di rete di Google.

Dedicated Interconnect (GCP Direct Connect)

Il Dedicated Interconnect di GCP, spesso considerato l’equivalente del Direct Connect, fornisce una connessione fisica diretta e ad alta velocità tra la rete on-premises e Google Cloud. È ideale per chi necessita di connettività privata ad alta capacità con prestazioni garantite.

  • Interfaccia da 10 Gbps o 100 Gbps per la connettività diretta.
  • Richiede l’uso di indirizzi IPv4 link-local del cliente (dal range 169.254.0.0/16 per gli indirizzi di peering).
  • Supporta LACP (Link Aggregation Control Protocol), anche con un singolo circuito, e utilizza EBGP-4 con VLAN 802.1Q multi-hop per il routing del traffico.

Con il GCP Direct Connect, gestisci l’impostazione fisica della connessione, che prevede l’ottenimento del LOA-CFA da GCP e il coordinamento con il provider di colocation o il gestore del data center per il cross-connect.

Partner Interconnect

Simile al GCP Direct Connect, il Partner Interconnect abilita la connettività privata tra la tua rete on-premises e la tua VPC GCP, ma utilizzando un service provider o partner per la connessione. È ideale se i tuoi data center non sono vicini a una struttura GCP Direct Connect o se non ti serve tutta la capacità di una connessione da 10 Gbps.

Con Partner Interconnect, puoi scalare la connessione secondo le esigenze, con larghezze di banda da 50 Mbps a 10 Gbps, rendendolo più conveniente per applicazioni a bassa banda.

Google Cloud Router

Il Google Cloud Router è il gateway principale per GCP Direct Connect e Partner Interconnect. Scambia dinamicamente le rotte tra la tua VPC GCP e la rete on-premises usando il Border Gateway Protocol (BGP), così la rete dispone sempre di rotte aggiornate per una gestione efficiente del traffico.

Tieni però presenti alcune limitazioni:

  • È limitato a una singola VPC: ogni istanza di Cloud Router può gestire il routing solo per una VPC.
  • È confinato a una singola regione di quella VPC, con una mappatura uno-a-uno tra router e regione.

VLAN Attachments

Note anche come interconnect attachments, le VLAN attachments sono connessioni logiche tra la tua rete on-premises e una singola regione nella tua VPC GCP. Si usano per stabilire connettività privata tra la tua infrastruttura e GCP tramite GCP Direct Connect o Partner Interconnect.

A differenza di AWS e Azure, GCP offre solo un’opzione di peering privato sull’interconnect. Puoi usare GCP Direct Connect per accedere alle risorse private (come la tua VPC), ma per connetterti ai servizi pubblici e alle API di Google Cloud devi configurare il Private Google Access sull’interconnect. Questo fornisce accesso ai servizi Google Cloud (come Compute Engine o Cloud Storage).

Per Google Workspace (ex G Suite), devi impostare un peering tramite un internet exchange (IX) oppure usare internet pubblico.

VLAN Attachments
Una VLAN attachment è una connessione logica tra la rete on-premises e una singola regione nella tua rete VPC.

Punti Chiave

Chiudiamo con alcuni highlight. Ora dovresti avere una visione più chiara delle opzioni di connettività privata offerte da questi CSP.

AWS

Direct Connect dispone di più tipi di gateway e modelli di connettività per raggiungere risorse pubbliche e private dalla tua infrastruttura on-premises. Che si tratti di un Transit Gateway associato a un Direct Connect Gateway, o di una mappatura uno-a-uno di una Private VIF su un VGW, la scelta dipenderà dal tuo caso d’uso e dai piani futuri.

Azure ExpressRoute

Con Azure ExpressRoute puoi configurare sia un Microsoft peering (per accedere alle risorse pubbliche) sia un private peering sulla singola connessione logica di livello 2. Ogni ExpressRoute comprende due circuiti configurabili fin dall’ordine. Con l’offerta standard, puoi collegare più VNet all’interno della stessa area geografica a un singolo circuito ExpressRoute e, con lo SKU premium (global reach), abilitare la connettività da qualsiasi VNet nel mondo allo stesso circuito.

GCP

Con l’interconnect di GCP puoi accedere nativamente solo alle risorse private. Se serve connetterti alle risorse pubbliche GCP (come Cloud Storage), puoi configurare il Private Google Access per le risorse on-premises. Questo non include l’offerta SaaS di GCP, Google Workspace. Per raggiungerla, puoi usare internet pubblico o configurare un peering tramite un IX. Poiché il Cloud Router GCP ha una mappatura 1:1 con una singola VPC e regione, i peering (o meglio le VLAN attachments) sono creati sopra il Cloud Router. Funzionalità e modello sono simili ad AWS Direct Connect e alla creazione di una VIF direttamente su un VGW.

Visto che sei arrivato fin qui, ti ricordiamo che Megaport può non solo connetterti a tutti e tre questi CSP (e molti altri), ma anche abilitare la connettività cloud-to-cloud tra i provider senza dover far rientrare quel traffico nella tua infrastruttura on-premises.

Quindi, sentiti libero di contattarci. Ci farebbe piacere conoscere il tuo percorso nel cloud, le sfide che stai affrontando e come possiamo aiutarti.

Tags:

Post correlati

Confronto tra le tue opzioni di connettività multicloud

Confronto tra le tue opzioni di connettività multicloud

Con l’aumento dell’adozione del multicloud, aumentano anche le possibilità di connessione ai tuoi cloud. Analizziamo le soluzioni principali e i loro vantaggi.

Leggi di più
Le Offerte di Intelligenza Artificiale Generativa dei Principali Provider Cloud a Confronto

Le Offerte di Intelligenza Artificiale Generativa dei Principali Provider Cloud a Confronto

Evita di sentirti sopraffatto dall’IA e valuta facilmente le tue opzioni con la nostra panoramica delle migliori offerte di intelligenza artificiale generativa di AWS, Azure e Google Cloud.

Leggi di più
Come connettere i tuoi ambienti AWS e Microsoft Azure: Una guida completa

Come connettere i tuoi ambienti AWS e Microsoft Azure: Una guida completa

Ti spieghiamo perché dovresti connettere i due principali fornitori di cloud, le opzioni disponibili e qual è quella giusta per la tua azienda.

Leggi di più