Comment connecter AWS Direct Connect et Microsoft Azure ExpressRoute
- Cloud networking
- 5 octobre 2022
- RSS Feed
Si votre entreprise utilise ou envisage d’utiliser les deux principaux hyperscalers pour votre réseau, vous pouvez faire passer votre connectivité au niveau supérieur en les intégrant correctement. Voici comment faire.
En 2022, disposer d’un réseau sécurisé et fiable pour votre entreprise n’est pas une option : c’est une nécessité. Les besoins en matière de vitesse, de bande passante et d’accessibilité ayant augmenté parallèlement au développement à distance des entreprises, nous avons également assisté à une adoption massive du multicloud. Selon les prévisions, 94 % des entreprises disposeront d’un réseau multicloud d’ici 2024, car beaucoup réalisent les avantages de l’utilisation de plusieurs clouds pour prendre en charge leurs applications critiques.
Étant donné que de plus en plus de charges de travail d’entreprise migrent vers le cloud, de nombreuses entreprises recherchent des moyens de connecter de manière sécurisée et fiable Amazon Web Service (AWS) et Microsoft Azure, les deux principaux hyperscalers, pour pérenniser leurs réseaux et assurer la meilleure compatibilité entre les charges de travail.
Nous avons déjà abordé ce sujet : Dans notre article de blog « Trois moyens de connecter vos environnements AWS et Microsoft Azure », nous avons partagé les différentes méthodes (ainsi que leurs avantages et inconvénients) pour connecter vos environnements cloud AWS et Azure pour une expérience multicloud plus sécurisée et performante. Savez-vous que vous pouvez aller encore plus loin et connecter les connexions privées dédiées des fournisseurs de cloud, Direct Connect d’AWS et ExpressRoute d’Azure, entre elles?
Qu’est-ce qu’une connexion privée dédiée, et comment fonctionne-t-elle?
Une connexion dédiée est une connexion privée créée par le fournisseur de services cloud (CSP) pour connecter le réseau d’une seule entreprise à son cloud. Direct Connect et ExpressRoute permettent aux clients de se connecter à leurs charges de travail dans le cloud via une connexion privée non partagée avec d’autres fournisseurs ou clients. Cela fournit alors un chemin pour vos données critiques pour l’entreprise qui ne passe pas par l’Internet public (ce qui pourrait affecter la fiabilité, les performances et surtout la sécurité de votre réseau).
AWS Direct Connect est le « le chemin le plus court vers vos ressources AWS ». Avec Direct Connect, votre trafic réseau reste sur le réseau mondial d’AWS et n’intègre donc jamais l’Internet public, ce qui réduit les risques d’engorgement ou de latence.
Azure ExpressRoute agit de manière similaire et vous permet de créer des connexions privées entre les centres de données Azure et vos propres centres de données ou votre infrastructure sur site. La connexion via ExpressRoute peut s’avérer utile pour les entreprises qui dépendent fortement du cloud Microsoft pour des services tels que le calcul virtuel, le service de base de données ou le stockage cloud, comme c’est également le cas pour les produits cloud AWS.
Direct Connect et ExpressRoute vous permettent tous deux de transférer gratuitement des données dans leur cloud. Toutefois, les données sortantes sont facturées au gigaoctet, en fonction de la région et de la destination (voir notre explication sur la tarification d’ExpressRoute pour plus d’informations). Les vitesses de connectivité offertes sont également similaires, allant de 50 Mbits/s à 100 Gbits/s. Les deux fournisseurs de cloud ont besoin d’un routage de couche 3 avec eBGP (External Border Gateway Protocol) pour partager les préfixes de route.
Sur notre blog, découvrez comment le filtrage des routes peut améliorer votre multicloud.
L’une des différences techniques à prendre en compte est la prise en charge de l’étiquetage VLAN (Virtual Local Area Networks) par ces deux solutions. AWS Direct Connect associe une interface virtuelle (VIF) – qui peut être configurée comme privée, de transit ou publique – à un seul VLAN. Cela sera présenté comme une seule sous-interface 802.1q sur le point de terminaison de couche 3 en peering avec AWS.
QinQ 802.1ad est pris en charge avec Azure ExpressRoute. La balise VLAN extérieure ou balise S est associée à ExpressRoute lui-même et la balise intérieure ou balise C est associée au type de peering. Azure offre le peering privé et le peering Microsoft à travers ExpressRoute – nous avons expliqué quand l’utiliser dans notre article de blog précédent. Vous devez vous assurer que votre terminal de couche 3 prend en charge QinQ. De nombreux fournisseurs, tels que Megaport, disposent de solutions pour travailler avec des terminaux de couche 3 qui ne prennent pas en charge QinQ.
Les autres différences techniques que vous devrez prendre en compte sont les tailles des unités de transmission maximales (MTU) et les limites des préfixes de route BGP. Celles-ci varient en fonction du fournisseur cloud et, dans certains cas, peuvent être configurées en fonction du SKU du produit et des options de configuration. Il existe quelques différences dans l’offre de produits, liées aux modèles de tarification et aux accords de niveau de service (SLA) proposés par chaque CSP.
Les avantages de l’utilisation d’une connexion réseau dédiée
Il existe de nombreux avantages à utiliser la connexion réseau dédiée d’un CSP, comme Direct Connect et ExpressRoute, pour se connecter à son propre cloud plutôt qu’à l’Internet public, de la même manière que l’on utilise un cloud privé plutôt qu’un cloud public. Cela inclut :
Sécurité renforcée – la connexion via un réseau privé dédié garantit un niveau de sécurité supplémentaire en hébergeant vos données critiques à l’intérieur d’un environnement au chemin protégé conçu uniquement pour votre entreprise. Il en résulte une réduction significative des menaces de cyberattaques et de violations de données. Le chemin que fournit l’Internet public peut quant à lui être compromis par le trafic d’autres entreprises.
Économies sur les coûts – selon le volume de données que vous échangez entre les clouds, vos coûts pourraient être plus faibles si vous utilisiez des connexions privées. AWS et Azure facturent tous deux des tarifs de données de sortie plus élevés pour l’utilisation de l’Internet public par rapport à l’utilisation de leurs options de réseau privé. Cela signifie que vous pourriez économiser des centaines voire des milliers d’euros en conservant leurs connexions dédiées lors de la migration des applications de votre infrastructure sur site.
Surveillance et contrôle accrus – les entreprises peuvent affiner leurs données dans une bien plus large mesure et être « au plus près » de leur migration vers le cloud en raison de sa nature privée, afin de superviser et de contrôler efficacement leurs données (c’est-à-dire voir quelles données vont où).
Stabilité des performances – une solution de réseau privé vous offrira des performances améliorées et constantes lorsque vous accédez à vos données dans le cloud. Cela signifie une réduction de la latence, des sauts moins nombreux et moins fréquents, et des niveaux de gigue plus faibles, pour des interruptions réduites dans vos opérations quotidiennes.
Pourquoi connecter les deux?
Il existe plusieurs cas d’utilisation courants pour connecter les deux chemins de connectivité cloud. Cela signifie que l’ExpressRoute d’un client peut communiquer directement avec son chemin Direct Connect, plutôt que de simplement connecter l’ensemble de ses clouds AWS et Azure.
- Migration des données – les migrations de données importantes sont plus rentables et plus prévisibles avec la connectivité privée. En connectant AWS et Azure, la migration massive des données entre ces clouds peut être plus rapide et plus fiable.
- Charges de travail multicloud – en optant pour des chemins AWS et Azure et en les connectant, votre entreprise peut utiliser les meilleures options de produits et de prix pour chaque cloud. Le multicloud assure également une sauvegarde de vos données critiques en cas de catastrophe. Apprenez-en plus sur le multicloud avec notre Guide du débutant.
- Une intégration plus facile – vous pouvez intégrer votre réseau sans avoir à migrer entièrement vos charges de travail dans le cloud. Ceci est particulièrement utile pour les fusions de réseaux.
Apprenez à intégrer davantage votre pile cloud pour un environnement multicloud performant.
Comment connecter Direct Connect et ExpressRoute
Il y a trois façons recommandées de connecter vos charges de travail Direct Connect et ExpressRoute pour de meilleures performances et compatibilité :
- Utilisation de votre centre de données.
- Fonction de réseau virtuel (VNF).
- Carrier Multiprotocol Label Switching (MPLS).
Chacune de ces méthodes de connexion peut s’avérer bénéfique pour votre entreprise, selon la manière dont vous comptez concevoir et tirer parti de votre réseau multicloud.
1. Utilisation de votre centre de données
En utilisant l’un de vos centres de données existants et en établissant deux circuits point à point à partir d’un fournisseur de services réseau (l’un vers AWS Direct Connect et le second vers Azure ExpressRoute), vous pouvez connecter efficacement vos deux charges de travail. Établissez la connexion en la faisant aboutir sur un point de terminaison de couche 3 nouveau ou existant et utilisez votre centre de données comme nœud multicloud hybride entre AWS et Azure.
Le schéma ci-dessous montre à quoi ressemblerait cette architecture. Une fois cette opération terminée, vous aurez établi un chemin de données privé entre AWS et Azure via votre centre de données. L’emplacement de Direct Connect et ExpressRoute indiqué sera choisi en fonction de la région du fournisseur cloud et de l’emplacement du centre de données (il s’agit souvent du même emplacement pour les deux fournisseurs cloud, mais il peut aussi s’agir d’emplacements différents). Une fois que le protocole BGP est établi entre le routeur du centre de données et la périphérie de chaque fournisseur cloud, le trafic peut alors passer entre Azure et AWS.
Avantages
- Meilleur contrôle et personnalisation – affinez votre migration de données pour sélectionner leur destination.
- Expansion du service existant – avec cette méthode, vous pouvez profiter de votre pile de sécurité existante ainsi que du matériel et de l’ensemble d’outils réseau que vous connaissez déjà pour établir la connectivité.
- Aucune nouvelle solution à apprendre ou à intégrer dans votre stratégie globale de réseau.
Inconvénients
- Coûts plus élevés – le maintien d’un centre de données nécessite des coûts continus de maintenance par des experts, de loyer, et plus encore.
- Temps de déploiement – souvent, cela nécessitera un fournisseur de services pour livrer des boucles locales dans votre centre de données, ce qui peut s’accompagner d’accords et de coûts mensuels élevés. Le déploiement de ces nouveaux services prend généralement des semaines ou des mois.
- Possibilité de sollicitation de la bande passante – si vous utilisez votre infrastructure réseau existante, assurez-vous d’avoir la capacité nécessaire pour les exigences de débit. La latence peut également être un inconvénient si votre centre de données ne se trouve pas dans la même zone géographique qu’ExpressRoute et Direct Connect.
2. Fonction de réseau virtuel (VNF)
Ce périphérique réseau virtuel peut devenir votre point de terminaison de couche 3 pour échanger du trafic entre AWS et Azure. Des fournisseurs de réseau en tant que service (NaaS) comme Megaport proposent des solutions basées sur le cloud qui vous permettent de connecter facilement vos connexions dédiées. Bien que les offres varient selon les fournisseurs, vous pouvez généralement commander une solution clé en main qui inclut les licences et les fonctionnalités de routage.
Il convient également de vérifier si le fournisseur NaaS est également un partenaire d’AWS Direct Connect et d’Azure ExpressRoute. Cela deviendra important car vous pourrez alors construire de manière plus transparente ces connexions transversales virtuelles (VXC) de votre VNF aux fournisseurs cloud respectifs.
La solution VNF vous donne la possibilité de déployer un simple routeur entre les deux CSP, de créer un pare-feu pour mettre en œuvre des politiques de sécurité ou de l’intégrer entièrement à votre solution SD-WAN déjà en place.
Dans le schéma ci-dessous, l’instance du routeur est rapprochée du cloud par rapport à la solution de données. Le chemin de données entre Azure et AWS parcourt généralement moins de distance physique. Le protocole BGP va maintenant se terminer entre les fournisseurs cloud et l’instance VNF en établissant les chemins de données entre les deux clouds. Megaport propose deux solutions VNF : Megaport Cloud Router (MCR) et Megaport Virtual Edge (MVE).
Avantages
- Déploiement – vous pouvez déployer ces solutions en utilisant l’interface du portail ou l’API de votre fournisseur NaaS, généralement en quelques minutes. Une fois votre routeur virtuel opérationnel, le déploiement de connexions transversales virtuelles avec ExpressRoute et Direct Connect devient très simple.
- Réduction des coûts – en évitant l’hairpinning des centres de données, vous réduisez la quantité de données que vous sortez d’AWS et d’Azure, ce qui permet de réduire les lourds frais de sortie. Nous partageons d’autres façons de réduire vos frais de sortie d’Azure sur notre blog.
- Hautes performances réseau – lorsque vous déployez votre dispositif de réseau virtuel à proximité de la région de charge de travail cloud, vous pouvez bénéficier de meilleures performances réseau en raison de la réduction de la latence et de la gigue.
- Contrats à durée flexible – en utilisant une solution VNF, vous pouvez faire évoluer vos routeurs en fonction des besoins, ce qui est impossible dans le cadre de contrats à long terme pour des circuits MPLS fournis par les opérateurs.
Inconvénients
- Moins de personnalisation – les solutions clé en main auront un ensemble de fonctionnalités spécifiques qui peuvent ou non vous convenir. Vous devrez donc vous assurer que les fonctionnalités dont vous avez besoin sont disponibles. Assurez-vous que le fournisseur spécifique de SD-WAN ou de pare-feu que vous souhaitez déployer est disponible auprès de ce fournisseur NaaS spécifique.
3. Solution IP-VPN privée
Certains opérateurs de réseau étant également partenaires d’AWS et d’Azure, ils peuvent fournir une connectivité à partir de leur solution IP-VPN (Internet Protocol Virtual Private Network) privée. Les IP-VPN utilisent la technologie Multiprotocol Label Switching (MPLS) pour éviter de se connecter via des passerelles publiques. Cette technologie présente des avantages similaires à ceux d’autres solutions privées, notamment une sécurité renforcée, une haute disponibilité et des performances améliorées. Si votre opérateur actuel vous fournit déjà ce type de service, cela peut valoir la peine d’y réfléchir pour répondre à ce besoin de connectivité.
Le schéma ci-dessous montre comment un réseau IP-VPN peut être utilisé pour connecter AWS Direct Connect à Microsoft ExpressRoute. Avec cette architecture, le trafic entre les deux fournisseurs cloud passera désormais par votre routeur IP-VPN Provider Edge (PE). Contrairement aux solutions évoquées précédemment, ce dispositif n’est pas géré physiquement ou virtuellement par vous.
Avantages
- Fonctionnement entièrement géré – le dispositif de couche 3 (IP-VPN CE/PE) entre vos clouds AWS et Azure est entièrement géré, ce qui signifie que vous pouvez confier la maintenance à des experts.
- Extension du service – comme vous avez peut-être déjà un accord et une relation en place avec les deux ou l’un des CSP, la connexion peut être encore plus rapide.
- Capacité d’exploitation – si vous avez d’autres sites distants sur le réseau MPLS, ceux-ci peuvent exploiter les mêmes connexions pour se connecter à AWS et Azure.
Inconvénients
- Coût plus élevé – de manière générale, les coûts MPLS sont l’option la plus chère pour la connexion à des fournisseurs cloud, et s’accompagnent d’un engagement sur la durée du contrat.
- Délai de déploiement – bien que cela dépende de l’opérateur, certains fournissent proposent encore ces connexions de manière traditionnelle. Le déploiement des connexions peut nécessiter plusieurs semaines ou mois, ce qui entraîne un retard dans vos capacités multicloud.
- Contrôle – toutes les fonctionnalités de routage, de filtrage et de sécurité dépendront des capacités du produit de l’opérateur, qui peuvent être limitées, ce qui signifie que vous aurez moins de contrôle et de personnalisation sur vos données.
La solution qui vous convient le mieux, et comment Megaport peut vous aider
La méthode de connexion d’AWS à Azure la mieux adaptée à votre entreprise dépendra d’un certain nombre de facteurs, de votre budget au type d’applications concernées, en passant par les exigences en matière de bande passante, de vitesse et de performances réseau.
L’utilisation de votre centre de données comme nœud de réseau hybride ou multicloud peut être bénéfique aux entreprises qui disposent d’un centre de données existant et qui souhaitent connecter leurs charges de travail de manière plus fluide. Cette solution permet également une meilleure supervision et une meilleure visibilité de la migration des données.
La fonction de réseau virtuel (VNF), quant à elle, convient mieux aux réseaux qui souhaitent une solution de connexion rapide, car vous pouvez déployer les dispositifs de réseau virtuel en utilisant l’interface du portail ou l’API de votre fournisseur NaaS en quelques minutes. Et grâce à la proximité avec la région cloud de la charge de travail, vous pouvez bénéficier de meilleures performances réseau.
Les fonctionnalités de réseau virtuel de Megaport Cloud Router (MCR) facilitent la mise en réseau en vous permettant de vous connecter à la couche 3 en un instant, ce qui rend la configuration moins complexe. Inutile d’être un expert en ingénierie réseau : il vous suffit de vous connecter à votre compte Megaport et de commencer à créer votre réseau virtuel en quelques clics. MCR prend également en charge le multicloud, et vous permet d’échanger en privé entre les principaux fournisseurs cloud. Megaport Virtual Edge (MVE), notre service de virtualisation des fonctions réseau (NFV) à la demande, vous permet de créer de nouvelles connexions entre vos clouds, sans avoir à déployer de matériel.
Si votre entreprise souhaite s’appuyer sur les MPLS existants, l’option MPLS gérée par le transporteur peut être bénéfique pour une connectivité qui nécessite moins de gestion de la part de votre entreprise, la confiant aux experts.
Quelle que soit la conception de réseau multicloud qui convient à votre entreprise, Megaport dispose de solutions rapides et simples à déployer, qui améliorent les performances du réseau et réduisent vos coûts.