Comparando a Conectividade Privada da AWS, Microsoft Azure, e Google Cloud

Esclarecemos as diferenças de conectividade privadas desses três principais hyperscalers.

Com a crescente adoção de estratégias multinuvem, entender os modelos de conectividade privada desses hyperscalers se torna cada vez mais importante. A conectividade privada pode, em muitos casos, aumentar o throughput da largura de banda, reduzir os custos totais de rede, e oferecer uma experiência mais estável e previsível de rede se comparada a conexões via internet. Por isso, quer você pretenda criar conectividade privada a um novo provedor de serviços de nuvem, quer pretenda se livrar da VPN via internet, este artigo pode ajudar a entender os diferentes modelos de conectividade, jargões e componentes associados às ofertas de conectividade privada da Amazon Web Services (AWS), Microsoft Azure, e Google Cloud Platform(GCP).

Vamos começar alinhando esses termos.

Agora que temos uma ideia melhor da terminologia dos CPS, vamos ao arroz com feijão. Vamos começar detalhando o AWS Direct Connect.

AWS Direct Connect

Os principais ingredientes do AWS Direct Connect são as interfaces virtuais(VIFs), os Gateways — Virtual Private Gateway (VGW), Direct Connect Gateway (DGW/DXGW), and Transit Gateway (TGW) — e o circuito físico / Direct Connect.

O AWS Direct Connect tem diversos modelos de conectividade: Conexões Dedicadas (Dedicated Connections), Conexões Hospedadas (Hosted Connections), e VIFs Hospedadas (hosted VIFs). Ao escolher o melhor para o seu negócio, é importante primeiro entender cada um dos modelos.

Conexão Dedicada: É uma conexão física solicitada pelo console da AWS e associada a um único cliente. Você tira o LOA-CFA e trabalha com o seu operador de data center (DC) ou parceiro da AWS para conseguir o cross connect do seu equipamento à AWS. As velocidades de porta disponíveis são 1 Gbps e 10 Gbps.

Conexão Hospedada: É uma conexào física que um AWS Direct Connect Partner provisiona em nome de um cliente. Os clientes solicitam essas conexões entrando em contato com um parceiro da AWS que, ele sim, provisiona a conexão. Estão disponíveis nas velocidades de 50 Mbps, 100 Mbps, 200 Mbps, 300 Mbps, 400 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps, e 10 Gbps.

VIF Hospedada: É uma interface virtual provisionada em nome de um cliente pela conta que possui um circuito Direct Connect físico. A largura de banda é dividida entre todas as VIFs na conexão parente.

Diferentemente dos outros CSPs, a AWS também tem diferentes tipos de gateways que podem ser usadas com o seu Direct Connect: gateways virtuais privados (Virtual Private Gateways), gateways Direct Connect (Direct Connect Gateways), e gateways de trânsito (Transit Gateways).

Virtual Private Gateway (VGW): É uma função lógica, totalmente redundante, de borda distribuída que se anexa a uma VPC para permitir que o tráfego seja roteado privadamente para dentro e para fora da VPC.

Direct Connect Gateway (DGW): Um Direct Connect Gateway é um recurso globalmente disponível que você pode usar para anexar múltiplas VPCs a um único (ou a diversos) circuitos Direct Connect. Esse gateway, no entanto, não oferece conectividade entre VPCs.

Transit Gateway (TGW): Um Transit Gateway conecta tanto suas VPCs quanto suas redes locais (on-premises) por meio de um hub central. Isso simplifica a sua rede e dá um fim a relacionamentos complexos de peering.

O tipo de gateway que você está usando, e quais tipos de recursos públicos ou privados que você precisa alcançar, são o que determinarão no fim o tipo de VIF que você usará.

Vamos abordar os três tipos de VIF: privada, pública, e de trânsito.

VIF Privada – Uma interface virtual privada: É usada para acessar uma VPC da Amazon usando endereços de IP privados. Você pode anunciar até 100 prefixos à AWS.

Aviso: Você pode anexar a VIF Privada a um Virtual Private Gateway (VGW) ou Direct Connect Gateway (DGW).

VIF Pública– Uma interface virtual pública: Uma interface virtual pública consegue acessar todos os serviços públicos da AWS usando endereços públicos de IP (S3, DynamoDB). Você pode anunciar até 1000 prefixos à AWS.

Aviso: VIFs Públicas não estão associadas ou anexadas a qualquer tipo de gateway.

• Conectar-se a todos os endereços públicos da AWS globalmente (IP público para peering BGP é necessário).
• Acessar serviços da Amazon roteáveis publicamente em qualquer região da AWS (exceto a região da China da AWS).

VIF de Transit VIF – Uma interface virtual de trânsito: Uma interface virtual de trânsito é usada para acessar uma ou mais VPCs da amazon por meio de um Transit Gateway que está associado a um Direct Connect gateway. Você pode usar VIFs de trânsito com conexões AWS Direct Connect de 1/2/5/10 Gbps, e você pode anunciar até 100 prefixos à AWS.

Azure ExpressRoute

Quer você esteja usando o ExpressRoute Direct ou o modelo Parceiro, os principais componentes são os mesmos: os peerings (privado ou Microsoft), Gateways VNet, e o circuito ExpressRoute físico. Diferentemente de outras CSPs, cada Azure ExpressRoute vem com dois circuitos para fins de alta disponibilidade / redundância e de SLA.

Assim como os modelos dedicados e hospedados da AWS, a Azure tem suas ofertas próprias parecidas: o ExpressRoute Direct e o Partner ExpressRoute.

Com o Azure ExpressRoute Direct, o cliente possui a porta do ExpressRoute e o CFA do LOA é fornecido pela Azure. Os cross connects de fibra são encomendados pelo cliente em seu data center. As velocidades suportadas são de interfaces de 10 Gbps ou 100 Gbps.

Com o modelo ExpressRoute Partner, o provedor de serviço conecta-se à porta do ExpressRoute. O LOA-CFA é fornecido pela Azure e dado ao provedor de serviço ou ao parceiro. Os cross connects de fibra são provisionados pelo parceiro. O cliente trabalha com o parceiro para provisionar circuitos ExpressRoute usando as conexões que o parceiro já estabeleceu; o provedor de serviço é proprietário das conexões físicas para a Microsoft. Clientes podem criar ExpressRoutes com as seguintes larguras de banda: 50 Mbps, 100 Mbps, 200 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps, 10 Gbps.

A Azure também tem um modelo único de conectividade chamado de Azure ExpressRoute Local. Diferentemente dos modelos de conectividade das outras CSPs, o ExpressRoute Local permite que clientes da Azure se conectem em um local de peer específico da Azure. Conectar-se a uma ou duas regiões locais associadas ao peer oferece o benefício adicional de uso ilimitado de dados. Para uma visão mais detalhada do ExpressRoute Local, leia nosso blog post recente.

A Azure tem dois tipos de peering que podemos comparar diretamente— de igual para igual — com as VIFs públicas e VIFs privadas da AWS.

Peering Privado — O Peering Privado suporta conexões on premise ou de um data center privado do cliente para acessar suas redes virtuais Azure (VNets).

• Acessar serviços de computação da Azure, primariamente máquinas virtuais (IaaS) e serviços de nuvem (PaaS), que estão implementados dentro de uma rede virtual (VNet).
• IPs privados usados para peering (RFC-1918). Clientes precisarão de um /28 dividido em dois /30: um para o peer primário e outro para o secundário.
• Peering privado é suportado sobre conexões lógicas. O BGP é estabelecido entre os dispositivos locais do cliente e os Microsoft Enterprise Edge Routers (MSEE).

Aviso: O local dos MSEEs com os quais você fará peering é determinado pelo local de peering que foi selecionado durante o provisionamento do ExpressRoute.

• Dependendo do SKU escolhido do ExpressRoute SKU, um único peer privado pode suportar mais de 10 VNets entre regiões geográficas.
• O número máximo de preficos suportados por peer é 4000 por padrão; até 10000 podem ser suortados no SKU premium.

Peering Microsoft — O Peering Microsoft é usado para conectar-se a recursos públicos da Azure como o blob storage. A conectividade com serviços online da Microsoft (Office 365 e serviços PaaS da Azure) ocorre pelo peering Microsoft.

• O Office 365 foi criado para ser acessado segura e confiavelmente pela internet. É necessária a aprovação da Microsoft para receber rotas O-365 pelo ExpressRoute.
• Filtros de rota devem ser criados antes de que os clientes recebam rotas pelo peering Microsoft. Comunidades BGP são usadas com os filtros de rota para receber rotas para serviços de clientes.

Com o Azure ExpressRoute, só há um tipo de gateway: o VNet Gateway.

VNet Gateway: Um VNet gateway é uma função lógica de roteamento semelhante ao VGW da AWS. O VNet Gateway do ExpressRoute é usado para enviar tráfego de rede por uma conexão privada, usando o gateway de tipo ‘ExpressRoute’. Isso também é chamado de gateway ExpressRoute.

Com um Azure ExpressRoute padrão, múltiplas VNets podem ser anexadas nativamente a um único circuti ExpressRoute num modelo de centro e raios, tornando possível acessar recursos em múltiplas VNets por um único circuito. Dessa maneira a oferta padrão do Azure ExpressRoute é considerada comparável ao modelo Direct Connect Gateway da AWS.

Google Cloud Interconnect

O último, mas certamente não o menos importante, sistema de conectividade privada de uma CSP que abordaremos é o GCPInterconnect. Para a nossa sorte, a GCP é bem direta com relação à sua conectividade e componentes, e pode-se dize que é a mais simples das três.

Como a AWS e a Azure, a GCP oferece modelos tanto de Interconexão por Parceiros (Partner Interconnect) quanto de Interconexão Dedicada (Dedicated Interconnect).

Dedicated Interconnect: O GCP Dedicated Interconnect oferece uma conexão física entre a sua rede on-premises e a rede do Google. Semelhante às outras CSPs, você recebe o LOA-CFA da GCP e trabalha com o seu operador de data center / provedor de colocation para estabelecer o cross connect.

• Uma interface de 10 Gbps ou 100 Gbps dedicada ao endereçamento local de link IPv4 do cliente (é preciso escolher entre endereços de peer da faixa 169.254.0.0/16)
• LACP, mesmo que você esteja usando um EBGP-4 de circuito único com VLANs 802.1Q multi-hop.

Partner Interconnect: Como o Dedicated Interconnect, o Partner Interconnect oferece conectividade entre sua rede on-premises e a sua rede da VPC network usando um provedor ou parceiro. Uma conexão Partner Interconnect é ideal se o seu data venter estiver num local diferente do local do Dedicated Interconnect, ou se seus dados não necessitarem de uma conexão de 10 Gbps.

A única opção de gateway do GCP Interconnect é o Google Cloud Router.

Google Cloud Router: Um Cloud Router troca rotas dinamicamente entre a sua rede da VPC e a sua rede on-premises usando o Border Gateway Protocol (BGP).

Cada GCP Cloud Router não só se restringe a uma única VPC, como também se restringe a uma única região daquela VPC. É como uma relação ou mapeamento um para um. Por cima do Google Cloud Router estão as configurações de peering, que a GCP chama de anexos VLAN (VLAN attachments).

VLAN Attachments: Também chamados de interconnect attachments, um anexo de VLAN é uma conexão lógica entre a sua rede on-premises e uma única região na sua rede da VPC. Diferentemente da Azure e da AWS, a GCP só oferece uma opção de peering privado em sua interconexão. Para alcançar os serviços públicos e APIs da GCP você pode estabelecer acesso privado ao Googlepela sua interconexão para acomodar seus hosts on-premises. No entanto, o acesso privado ao Google não possibilita conectividade G Suite. Para acessar a G Suite, você precisaria criar uma conexão/peering a eles via um ponto de troca de internet(IX na sigla em inglês), ou acessar esses serviços pela internet.

Principais Considerações

Vamos encerrar com alguns destaques. Esperamos que agora você tenha mais conhecimento e um entendimento melhor sobre as opções de conectividade privada oferecidas por essas CSPs.

O AWS Direct Connect tem diversos tipos de gateways e modelos de conectividade que podem ser usados para chegar a recursos privados e públicos a partir da sua infraestrutura local. Seja na forma de um Transit Gateway associado a um Direct Connect gateway, ou um mapeamento um-para-um de uma VIF privada chegando a um VGW, isso será completamente determinado pelo seu caso específico e planos futuros.

Com o Azure ExpressRoute, você pode configurar tanto um peering Microsoft (para acessar recursos públicos) quanto um peering privado pela conexão lógica única de camada 2. Cada ExpressRoute vem com dois circuitos configuráveis que estão incluídos quando você adquire o ExpressRoute. Com o ExpressRoute padrão, você pode conectar múltiplas VNets dentro da mesma região geográfica a um único circuito do ExpressRoute e pode configurar um SKU premium (alcance global)) para permitir conectividade de qualquer VNet no mundo ao mesmo circuito do ExpressRoute.

A GCP tem interconexão simples de entender. Pela interconexão da GCP, você só pode acessar nativamente recursos privados. Se a conectividade a recursos públicos da GCP (como armazenamento em nuvem) for necessária, você pode configurar acesso privado ao Google para os seus recursos on-premises. Isso não inclui a oferta de SaaS da GCP, a G Suite. Para chegar à G Suite, você sempre pode usar a internet pública ou configurar peering com eles via um IX. Com o GCP Cloud Router tendo um mapeamento 1:1 com uma única VPC e região, os peerings(ou melhor, anexos VLAN) são criados por cima do Cloud Router. Essa funcionalidade e esse modelo são semelhantes ao AWS Direct Connect e a criar uma VIF diretamente em um VGW.

Já que você chegou até aqui, encerrarei dizendo que a Megaport pode não só conectar você a essas três CSPs (e muitas outras), como também permite conectividade nuvem-a-nuvem entre os provedores sem necessidade de fazer back-haul desse tráfego para a sua infraestrutura on-premises.

Por isso, fique à vontade para entrar em contato conosco. Adoraríamos saber mais sobre a sua jornada à nuvem, os desafios que você está enfrentando, e as soluções que podemos oferecer.