So werden AWS Direct Connect und Microsoft Azure ExpressRoute miteinander verbunden
- Cloud networking
- 22. Oktober 2022
- RSS Feed
Wenn Ihr Unternehmen sich auf die zwei führenden Hyperscaler verlässt – oder deren Einführung in Erwägung zieht –, können Sie Ihre Konnektivität deutlich optimieren, indem Sie sie miteinander verbinden. Hier erfahren Sie, wie es funktioniert.
Ein sicheres und zuverlässiges Unternehmensnetzwerk ist im Jahr 2022 nicht nur „nice to have“ – es ist eine Notwendigkeit. Zusätzlich zu den im Rahmen der Remote-Expansion von Unternehmen gestiegenen Geschwindigkeits-, Bandbreiten- und Zugänglichkeitsanforderungen ist auch ein rasanter Anstieg der Nutzung von Multiclouds zu beobachten. Es wird prognostiziert, dass 94 % aller Unternehmen bis 2024 über ein Multicloud-Netzwerk verfügen werden, und viele von ihnen profitieren bei der Unterstützung ihrer geschäftskritischen Anwendungen von den Vorteilen der Verwendung mehrerer Clouds.
Da immer mehr Unternehmens-Workloads in die Cloud migriert werden, benötigen viele Unternehmen neue Möglichkeiten, eine sichere und zuverlässige Verbindung zu Amazon Web Service (AWS) und Microsoft Azure herzustellen, den zwei weltweit größten Hyperscalern, um ihre Netzwerke zukunftssicher zu machen und die bestmögliche Kompatibilität zwischen verschiedenen Workloads zu gewährleisten.
Das haben wir bereits behandelt: In unserem Blog-Beitrag „3 Wege, um Ihre AWS- und Microsoft Azure-Umgebungen miteinander zu verbinden“ haben wir die verschiedenen Methoden (einschließlich ihrer Vor- und Nachteile) beschrieben, mit denen AWS- und Azure-Cloud-Umgebungen für ein sichereres und leistungsfähigeres Multicloud-Erlebnis verbunden werden können. Aber wussten Sie auch, dass Sie noch einen Schritt weitergehen und die dedizierten privaten Verbindungen der Cloud-Anbieter – AWS Direct Connect und Azure ExpressRoute – miteinander verbinden können?
Was sind dedizierte private Verbindungen und wie funktionieren sie?
Eine dedizierte Verbindung ist eine private Verbindung, die vom Cloud Service Provider (CSP) hergestellt wird, um das Netzwerk eines einzelnen Unternehmens mit seiner Cloud zu verbinden. Sowohl Direct Connect als auch ExpressRoute ermöglichen es ihren Kunden, ihre Cloud-Workloads über eine private Verbindung zu verbinden, die von keinem anderen Anbieter oder Kunden genutzt wird. Diese Verbindung bildet einen Pfad für ihre geschäftskritischen Daten, der nicht durch das öffentliche Internet führt (das ein potenzielles Risiko für die Zuverlässigkeit, Leistung und vor allem Sicherheit ihres Netzwerks darstellt).
AWS Direct Connect ist der „schnellste Weg zu Ihren AWS-Ressourcen“. Mit Direct Connect bleibt der Netzwerkverkehr im globalen Netzwerk von AWS und kommt somit nicht mit dem öffentlichen Internet in Berührung. Damit sinkt das Risiko von Engpässen oder Latenz.
Azure ExpressRoute funktioniert ähnlich und ermöglicht die Herstellung privater Verbindungen zwischen Azure-Rechenzentren und Ihren eigenen Rechenzentren oder Ihrer On-Prem-Infrastruktur. Die Verbindung über ExpressRoute ist insbesondere für Unternehmen nützlich, die sich bei Services wie virtuellem Computing, Datenbankservices oder Cloud-Speicher stark auf die Microsoft-Cloud verlassen. Ähnliches gilt auch für die Cloud-Produkte von AWS.
Sowohl Direct Connect als auch ExpressRoute ermöglichen eine kostenlose Datenübertragung in ihre Cloud. Ausgehende Daten werden allerdings nach Gigabyte in Rechnung gestellt. Die Preise hängen dabei von Region und Ziel ab (weitere Informationen sind in unserer Erklärung zum ExpressRoute-Preismodell zu finden). Auch die angebotenen Verbindungsgeschwindigkeiten sind ähnlich und reichen von 50 Mbit/s bis 100 Gbit/s. Beide Cloud-Anbieter setzen Layer-3-Routing mit eGBP (External Border Gateway Protocol) für die gemeinsame Nutzung von Routenpräfixen voraus.
Erfahren Sie in unserem Blog, wie Routenfilterung Ihre Multicloud verbessern kann.
Ein technischer Unterschied, der berücksichtigt werden sollte, besteht in der Unterstützung von VLANs (virtuellen lokalen Netzwerken) durch die beiden Lösungen. Bei AWS Direct Connect wird eine virtuelle Schnittstelle (VIF) – die als privat, Transit oder öffentlich konfiguriert werden kann – mit einem einzelnen VLAN verknüpft. Dies wird als einzelne 802.1q-Unterschnittstelle auf dem mit AWS gepeerten Layer-3-Endpunkt dargestellt.
Bei Azure ExpressRoute wird QinQ 802.1ad unterstützt. Das externe VLAN-Tag (S-Tag) wird mit ExpressRoute als solches verknüpft, das interne Tag (C-Tag) mit dem Peering-Typ. Azure bietet privates Peering und Microsoft-Peering für ExpressRoute an. In unserem vorherigen Blog-Beitrag haben wir erklärt, in welchen Fällen dieses öfter zu verwenden ist. Es muss sichergestellt werden, dass der Layer-3-Endpunkt QinQ unterstützt. Viele Anbieter, beispielsweise Megaport, verfügen über Lösungen für die Arbeit mit Layer-3-Endpunkten, die QinQ nicht unterstützen.
Weitere zu berücksichtigende technische Unterschiede sind die Größe der maximalen Übertragungseinheit (Maximum Transmission Unit, MTU) und Präfix-Limits für BGP-Routen. Diese variieren je nach Cloud-Anbieter und können in einigen Fällen auf Basis von Produkt-SKU und Konfigurationsoptionen konfiguriert werden. Einige Unterschiede im Produktangebot der CSPs beziehen sich auf Preismodelle und Service-Level-Vereinbarungen (SLAs).
Die Vorteile einer dedizierten Netzwerkverbindung
Die Verwendung der dedizierten Netzwerkverbindung eines CSP wie Direct Connect oder ExpressRoute statt des öffentlichen Internets, um eine Verbindung zu der jeweiligen Cloud herzustellen, bringt zahlreiche Vorteile, ähnlich wie die Vorteile der Nutzung einer privaten statt einer öffentlichen Cloud. Dazu gehören:
Stärkere Sicherheit – eine dedizierte, private Netzwerkverbindung bietet ein Extra an Sicherheit, da wichtige Daten in einer geschützten Pfadumgebung gehostet werden, die nur für Ihr Unternehmen erstellt wurde. Dadurch sinkt das Risiko von Cyberangriffen und Datensicherheitsverletzungen erheblich. Der Pfad über das öffentliche Internet kann hingegen durch anderen Unternehmensdatenverkehr kompromittiert werden.
Kosteneinsparungen – je nach dem Volumen der Daten, die zwischen Clouds ausgetauscht werden, können die Kosten bei der Verwendung privater Verbindungen niedriger ausfallen. Sowohl AWS als auch Azure berechnen bei der Verwendung des öffentlichen Internets statt ihrer privaten Netzwerkoptionen höhere Datenausgangsgebühren. Das bedeutet, dass Ersparnisse von Hunderten oder gar Tausenden von Euro möglich sind, indem bei der Migration von Anwendungen aus On-Prem-Infrastrukturen nur die dedizierten Verbindungen der Anbieter verwendet werden.
Bessere Überwachung und Kontrolle – Unternehmen können ihre Daten viel besser im Auge behalten und aufgrund ihrer privaten Natur „näher“ an ihrer Cloud-Migration sein, um ihre Daten effektiv überwachen und kontrollieren zu können (d. h. zu sehen, welche Daten wohin übertragen werden).
Stabile Leistung – eine private Netzwerklösung bietet eine bessere und konsistente Leistung beim Abruf von Daten in der Cloud. Das bedeutet reduzierte Latenz, weniger und seltenere Hops sowie weniger Jitter – und damit weniger Unterbrechungen des alltäglichen Betriebs.
Wozu die beiden Anbieter verbinden?
Es gibt ein paar häufige Anwendungsfälle für die Verbindung der zwei dedizierten Cloud-Konnektivitätspfade. Das bedeutet, dass die ExpressRoute eines Kunden direkt mit seinem Direct Connect-Pfad kommunizieren kann, statt nur seine AWS- und Azure-Clouds als Ganzes zu verbinden.
- Datenmigration – große Datenmigrationen können über private Verbindungen kosteneffizienter und vorhersehbarer ausfallen. Durch die Verbindung der beiden Anbieter kann die Datenmigration zwischen Ihren AWS- und Azure-Clouds im großen Maßstab schneller und zuverlässiger werden.
- Multicloud-Workloads – wenn ein Unternehmen sich für AWS und Azure entscheidet und die Pfade miteinander verbindet, kann es die besten Produkt- und Preisoptionen beider Clouds nutzen. Außerdem ist mit der Multicloud im Notfall ein Backup wichtiger Daten gewährleistet. Erfahren Sie in unserem Einsteigerleitfaden mehr über die Multicloud.
- Einfachere IT-Integration – dies ermöglicht eine Integration des Netzwerks ohne vollständige Migration von Cloud-Workloads. Das ist insbesondere bei Netzwerkzusammenlegungen nützlich.
So werden Direct Connect und ExpressRoute miteinander verbunden
Es gibt drei empfohlene Möglichkeiten, Direct Connect- und ExpressRoute-Workloads für eine bessere Leistung und Kompatibilität miteinander zu verbinden:
- Mithilfe des Rechenzentrums.
- Virtuelle Netzwerkfunktion (VNF).
- Multi-Protocol Label Switching (MPLS) beim Carrier.
Jede dieser Verbindungsmethoden kann vorteilhaft für das Unternehmen sein, je nachdem, wie das Multicloud-Netzwerk zusammengestellt und genutzt werden soll.
1. Mithilfe des Rechenzentrums
Durch die Verwendung der bestehenden Rechenzentren und die Erstellung von zwei Punkt-zu-Punkt-Leitungen von einem Netzwerkdienstleister (eine zu AWS Direct Connect, die zweite zu Azure ExpressRoute) können zwei Workloads effektiv miteinander verbunden werden. Stellen Sie die Verbindung her, indem Sie sie auf einem neuen oder bestehenden Layer-3-Endpunkt abschließen und Ihr Rechenzentrum als hybriden Multicloud-Knoten zwischen AWS und Azure verwenden.
Das Diagramm unten zeigt, wie diese Architektur aussehen würde. Wenn Sie damit fertig sind, haben Sie einen privaten Datenpfad zwischen AWS und Azure über Ihr Rechenzentrum hergestellt. Die angezeigten Direct Connect- und ExpressRoute-Standorte werden auf Basis der Region des Cloud-Anbieters und des Rechenzentrumsstandorts ausgewählt (häufig ist der Standort beider Cloud-Anbieter derselbe, verschiedene Standorte sind aber auch möglich). Sobald BGP zwischen dem Rechenzentrums-Router und dem Edge jedes Cloud-Anbieters eingerichtet ist, kann der Datenverkehr zwischen Azure und AWS fließen.
Vorteile
- Mehr Kontrolle und Anpassung – stimmen Sie Ihre Datenmigration präzise ab, damit Sie wählen können, welche Daten wohin übertragen werden.
- Erweiterung des bestehenden Service – mit dieser Methode profitieren Sie bei der Einrichtung der Konnektivität von Ihrem bestehenden Sicherheits-Stack sowie der Netzwerkhardware und den Tools, mit denen Sie bereits vertraut sind.
- Keine neue Lösung, die Sie erlernen oder in Ihre allgemeine Netzwerkstrategie integrieren müssen.
Nachteile
- Höhere Kosten – die Instandhaltung eines Rechenzentrums ist mit laufenden Kosten für fachkundige Wartung, Miete usw. verbunden.
- Bereitstellungszeit – oftmals muss ein Dienstanbieter lokale Schleifen in das Rechenzentrum bereitstellen, was mit Laufzeitverträgen und hohen monatlichen Kosten verbunden sein kann. Die Bereitstellung dieser neuen Services dauert in der Regel Wochen oder sogar Monate.
- Mögliche Bandbreitenüberlastung – bei der Nutzung der bestehenden Netzwerkinfrastruktur sollte sichergestellt werden, dass die nötige Kapazität für die Durchsatzanforderungen vorhanden ist. Latenz kann ebenfalls ein Nachteil sein, wenn das Rechenzentrum sich nicht in der gleichen geografischen Region befindet wie die ExpressRoute- und Direct Connect-Standorte.
2. Virtuelle Netzwerkfunktion (VNF)
Dieses virtuelle Netzwerkgerät kann zum Layer-3-Endpunkt für den Austausch von Datenverkehr zwischen AWS und Azure werden. Network-as-a-Service (NaaS)-Anbieter wie Megaport bieten Cloud-basierte Lösungen, mit denen dedizierte Verbindungen mühelos miteinander verbunden werden können. Zwar variieren die Angebote je nach Anbieter, aber in der Regel kann eine vorgefertigte Lösung bestellt werden, die Lizenzen und Routenfunktionalität beinhaltet.
Es sollte berücksichtigt werden, ob der NaaS-Anbieter auch ein AWS Direct Connect- und Azure ExpressRoute-Partner ist. Wichtig ist dies, weil in diesem Fall die Virtual Cross Connects (VXCs) von der VNF zu den jeweiligen Cloud-Anbietern nahtloser erstellt werden können.
Mit der VNF-Lösung ist es möglich, entweder einfach einen simplen Router zwischen den zwei CSPs bereitzustellen, eine Firewall zur Implementierung von Sicherheitsrichtlinien einzurichten oder eine vollständige Integration mit einer bereits bestehenden SD-WAN-Lösung vorzunehmen.
Im Diagramm unten rückt die Router-Instanz im Vergleich zur Rechenzentrumslösung näher an die Cloud. Der Datenpfad zwischen Azure und AWS muss in der Regel eine geringere physische Distanz zurücklegen. BGP endet nun zwischen den Cloud-Anbietern und die VNF-Instanz richtet die Datenpfade zwischen den beiden Clouds ein. Megaport bietet zwei VNF-Lösungen: Megaport Cloud Router (MCR) und Megaport Virtual Edge (MVE).
Vorteile
- Bereitstellungszeit – diese Lösungen können über die Portalschnittstelle oder API des Cloud-Anbieters bereitgestellt werden, in der Regel innerhalb von Minuten. Sobald der virtuelle Router betriebsbereit ist, wird die Bereitstellung von Virtual Cross Connects zu ExpressRoute und Direct Connect äußerst einfach.
- Niedrigere Kosten – indem Hairpinning im Rechenzentrum vermieden wird, werden weniger Daten von AWS oder Azure aus gesendet. So sparen Sie sich hohe Ausgangsgebühren. In unserem Blog sprechen wir über weitere Möglichkeiten, die Ausgangskosten bei Azure zu senken.
- Höhere Netzwerkleistung – bei der Bereitstellung eines virtuellen Netzwerkgeräts näher an der Region des Cloud-Workloads profitieren Sie dank reduzierter Latenz und weniger Jitter von einer höheren Netzwerkleistung.
- Flexible Laufzeitverträge – mit einer VNF-Lösung können Sie Ihre Router nach Bedarf herauf- und herunterskalieren und müssen keine Verträge mit langer Laufzeit für vom Carrier bereitgestellte MPLS-Leitungen unterzeichnen.
Nachteile
- Weniger anpassbar – vorgefertigte Lösungen haben eine feste Reihe von Funktionen, die Ihre Anforderungen entweder erfüllen oder nicht. Daher müssen Sie sich vergewissern, dass die benötigten Funktionen verfügbar sind. Stellen Sie sicher, dass der SD-WAN- oder Firewall-Anbieter, den Sie bereitstellen möchten, mit dem ausgewählten NaaS-Anbieter verfügbar ist.
3. Privates IP-VPN des Carriers
Da einige Netzwerk-Carrier auch AWS- und Azure-Partner sind, können sie Konnektivität über ihre private IP-VPN-Lösung (Internet Protocol Virtual Private Network) anbieten. IP-VPNs nutzen MPLS-Technologie (Multi-Protocol Label Switching) zur Vermeidung von Verbindungen über öffentliche Gateways. Diese Technologie bietet ähnliche Vorteile wie andere private Lösungen, wie stärkere Sicherheit, hohe Verfügbarkeit und bessere Leistung. Wenn Ihr aktueller Carrier Ihnen diese Art von Service bereits zur Verfügung stellt, sollten Sie ihn bei der Erfüllung dieses Konnektivitätsbedarfs in Erwägung ziehen.
Das Diagramm unten zeigt, wie ein IP-VPN-Netzwerk zur Verbindung von AWS Direct Connect mit Microsoft ExpressRoute genutzt werden kann. Bei dieser Architektur durchquert der Datenverkehr zwischen den beiden Cloud-Anbietern Ihren IP-VPN Provider Edge (PE-)Router. Im Gegensatz zu den vorher besprochenen Lösungen wird dieses Gerät nicht physisch oder virtuell von Ihnen verwaltet.
Vorteile
- Vollständig verwaltet – das Layer-3-Gerät (IP-VPN CE/PE) zwischen Ihren AWS- und Azure-Clouds ist vollständig verwaltet. Das bedeutet, dass Sie die Wartung den Experten überlassen können.
- Serviceerweiterung – da Sie vielleicht bereits über eine Vereinbarung mit beiden oder einem der CSPs verfügen, kann die Verbindung noch schneller hergestellt werden.
- Mitnutzungsmöglichkeit – wenn Sie über weitere Remote-Standorte im MPLS-Netzwerk verfügen, könnten diese dieselben Verbindungen als Schnittstelle zu AWS und Azure mitnutzen.
Nachteile
- Höhere Kosten – MPLS ist häufig die teuerste Option bei der Verbindungsherstellung zu Cloud-Anbietern und ist in der Regel mit einem Laufzeitvertrag verbunden.
- Bereitstellungszeit – dies hängt zwar vom Carrier ab, doch einige stellen diese Verbindungen nach wie vor auf eine veraltete Art und Weise bereit. Damit kann die Bereitstellung der Verbindungen Wochen oder sogar Monate dauern, was eine Verzögerung bei Ihren Multicloud-Möglichkeiten bedeutet.
- Kontrolle – sämtliche Routing-Funktionalität, Filterung und Sicherheit hängt von den Funktionen der Produkte des Carriers ab. Diese sind möglicherweise eingeschränkt, sodass Sie bei Ihren Daten weniger Überwachungs- und Anpassungsmöglichkeiten haben.
Ihre ideale Lösung – und wie Megaport Ihnen helfen kann
Die richtige Verbindungsmethode von AWS zu Azure für Ihr Unternehmen hängt von einer Reihe von Faktoren ab – von Ihrem Budget über die betroffenen Anwendungstypen bis hin zu den Anforderungen an Netzwerkleistung, Geschwindigkeit und Bandbreite.
Die Verwendung des Rechenzentrums als hybridem oder Multicloud-Netzwerkknoten ist eine gute Lösung für Unternehmen, die bereits über ein Rechenzentrum verfügen und ihre Workloads auf nahtlosere Art und Weise verbinden möchten. Darüber hinaus bietet diese Lösung eine bessere Überwachung und Transparenz bei der Datenmigration.
Die virtuelle Netzwerkfunktion (VNF) eignet sich hingegen am besten für Unternehmen, die eine schnelle Verbindungslösung benötigen, da dieselben virtuellen Netzwerkgeräte über die Portalschnittstelle oder API eines NaaS-Anbieters in Minutenschnelle bereitgestellt werden können. Die Platzierung näher an der Cloud-Region des Workloads bedeutet eine höhere Netzwerkleistung.
Die virtuellen Netzwerkfunktionen von Megaport Cloud Router (MCR) vereinfachen Netzwerke, indem sie eine blitzschnelle Layer-3-Verbindung ermöglichen und damit die Komplexität des Systems beseitigen. Es ist nicht nötig, sich tief in die Netzwerkmaterie einzuarbeiten: Melden Sie sich einfach bei Ihrem Megaport-Konto an und beginnen Sie mit ein paar Klicks mit dem Aufbau Ihres virtuellen Netzwerks. Außerdem unterstützt MCR Multicloud und ermöglicht privates Peering zwischen führenden Cloud-Anbietern. Megaport Virtual Edge (MVE), unser On-Demand-Service für die Virtualisierung von Netzwerkfunktionen (NFV), ermöglicht die Einrichtung neuer Verbindungen zwischen Clouds ganz ohne Hardware-Bereitstellung.
Unternehmen, die bestehende MPLS-Lösungen nutzen möchten, bietet die vom Carrier verwaltete MPLS-Option Vorteile, da die Konnektivität weniger Verwaltungsaufwand für das Unternehmen bedeutet – die Verwaltung wird von den Experten übernommen.
Ganz gleich, welches Multicloud-Netzwerkdesign das richtige für Ihr Unternehmen ist – Megaport bietet Lösungen, die sich schnell und einfach bereitstellen lassen, die Netzwerkleistung verbessern und die Kosten reduzieren können.