Google Cloud für AWS-Experten: Netzwerke

Aktualisiert am 9. April 2019

Vergleichen Sie die Netzwerkdienste, die Amazon und Google in ihren jeweiligen Cloudumgebungen anbieten. Netzwerkdienste ermöglichen eine Verbindung zwischen virtuellen Maschinen, lokalen Servern und anderen Clouddiensten.

Dienstmodelle im Vergleich

Amazon Web Services

Amazon EC2-Classic, das ursprüngliche Angebot von Amazon Web Services, wurde Ende 2013 eingestellt und wird in diesem Artikel nicht mehr behandelt.

Das aktuelle Modell ist Amazon VPC. Das Dienstmodell unterstützt eine Vielzahl von Netzwerkfunktionen in regionalen VPCs, z. B.:

  • Erstellung von privaten Adressräumen und Subnetzen
  • Network Access Control Lists (NACLs)
  • Firewallregeln für eingehenden und ausgehenden Traffic
  • Routing
  • VPN

Google Cloud

In Google Cloud ist das Netzwerk eine globale Funktion, die alle Dienste umfasst. Google Cloud-Netzwerke basieren auf der Andromeda-Architektur von Google, mit der Netzwerkelemente auf jeder beliebigen Ebene mit Software erstellt werden können. Dieses softwarebasierte Netzwerk ermöglicht es den Google Cloud-Diensten, Netzwerkfunktionen zu implementieren, die genau zu den Anforderungen des jeweiligen Dienstes passen. Dies können z. B. Firewalls für virtuelle Maschinen in Compute Engine, schnelle Verbindungen zwischen Datenbankknoten in Cloud Bigtable oder schnelle Abfrageergebnisse in BigQuery sein.

Wenn Sie VM-Instanzen in einem Google Cloud-Projekt erstellen, verbindet Compute Engine sie automatisch mit einem internen Standardnetzwerk. Bei Bedarf können Sie auch zusätzliche Netzwerke erstellen. Wie bei Amazon VPC sind die einzelnen Netzwerke jeweils privat und unterstützen Firewallregeln, Routing, VPNs, private Adressbereiche und Subnetzwerke.

Die meisten Netzwerkentitäten in Google Cloud wie Load-Balancer, Firewallregeln und Routingtabellen existieren auf globaler Ebene. Noch wichtiger ist, dass die Netzwerke selbst globalen Umfang haben. Das bedeutet, dass Sie einen einzigen privaten und globalen IP-Bereich erstellen können, ohne sich mit mehreren privaten Netzwerken verbinden und diese Bereiche separat verwalten zu müssen. Aufgrund dieses einzelnen privaten Netzwerks können Ihre Compute-Engine-Instanzen innerhalb Ihres Netzwerks sowohl über die IP-Adresse als auch über den Namen angesprochen werden.

Google Cloud bietet zwei Netzwerkdienststufen: Standard und Premium.

  • Die Premium-Stufe ist der Standard. Traffic wird über das globale Hochleistungsnetzwerk von Google geleitet.

  • Die Standard-Stufe ist eine kostengünstigere Option, die eine mit anderen öffentlichen Clouds vergleichbare Netzwerkleistung bietet.

Funktionsvergleich

IP-Adressen

Die IP-Adressen von Google Cloud und Amazon VPC weisen folgende Ähnlichkeiten auf:

  • Allen Instanzen wird eine interne IP zugewiesen.

  • Sie können eine externe IP-Adresse anfordern. Standardmäßig ist eine externe IP sitzungsspezifisch: Sie bleibt nur für die Lebensdauer der Instanz bestehen.

  • Sie können eine permanente IP-Adresse anfordern, die an eine Instanz angehängt werden soll. Diese IP-Adresse gehört Ihnen, bis Sie sie freigeben, und kann nach Bedarf an Instanzen angehängt und von diesen getrennt werden.

Die folgende Tabelle zeigt die Terminologieunterschiede bei den IP-Typen:

IP-Typ AWS Google Cloud
Dauerhafte IP Elastische IP Statische IP
Vorläufige IP Öffentliche IP-Adresse Sitzungsspezifische IP
Interne IP Private IP Interne IP

Load-Balancing

Load-Balancer verteilen den eingehenden Traffic auf mehrere Instanzen. Richtig konfiguriert tragen Load-Balancer dazu bei, Anwendungen fehlertoleranter zu machen, und erhöhen die Anwendungsverfügbarkeit.

Load-Balancing-Dienste von AWS und Google Cloud

AWS und Google Cloud bieten verschiedene Load-Balancing-Dienste an, die als Elastic Load Balancing (AWS) bzw. Cloud Load Balancing (Google Cloud) bezeichnet werden:

  • Externes Layer-4-Load-Balancing
  • Externes Layer-7-Load-Balancing
  • Internes Load-Balancing

Die Load-Balancing-Dienste von AWS können intern und extern verwendet werden. Bei den Google Cloud-Diensten wird zwischen externem und internem Zugriff unterschieden. Bei Google Cloud heißt die interne Variante Internes Load-Balancing.

Load-Balancing-Optionen von AWS und Google Cloud im Vergleich

Die folgende Tabelle zeigt einen Vergleich der externen Layer-4-Load-Balancing-Optionen: AWS Network Load Balancer und Google Cloud Netzwerk-Load-Balancing.

Option AWS Google Cloud
Netzwerk-Load-Balancing Ja Ja
Unterstützte Protokolle TCP, TLS TCP, UDP
Mehrere Ports Ja Ja
Portbereiche Nein Ja
Unterstützt statische IP-Adresse Ja, eine pro Subnetz Ja, eine pro Load-Balancer
DNS-Failover Ja Nicht erforderlich, da GCP-Failover eine einzelne Anycast-IP verwendet
Beibehalten der Quell-IP-Adresse Ja Ja
Ortsbezogenheit Regional Regional
Direct Server Return (DSR) Nein Ja
Ziele VM-Instanzen, ECS-Container, IP-Adressen VM-Instanzen

In der folgenden Tabelle wird das externe Layer-7-Load-Balancing verglichen. Das Layer-7-Load-Balancing kann in AWS mit dem Application Load Balancer und in Google Cloud mit HTTP(S)-Load-Balancing, TCP oder SSL-Proxy implementiert werden.

Option AWS Google Cloud
Unterstützte Protokolle HTTP, HTTPS HTTP, HTTPS, SSL/TLS, TCP
SSL-Offloading Ja Ja
Beibehalten der Quell-IP-Adresse Nein Nein
Mehrere Ports Ja Ja
Portbereiche Nein Nein
Ortsbezogenheit Regional Global
WebSockets-Unterstützung Ja Ja
Pfad- und hostbasiertes Routing Ja Ja
IPv6-Unterstützung Ja Ja
HTTP/2-Unterstützung Ja Ja
QUIC-Unterstützung Nein Ja
Ziele VM-Instanzen, ECS-Container, IP-Adressen VM-Instanzen,
Google Kubernetes Engine-Container,
IP-Adressen

Die folgende Tabelle zeigt einen Vergleich der internen Load-Balancer. Die Load-Balancing-Dienste von AWS können intern und extern verwendet werden. Google Cloud unterstützt internes Load-Balancing für interne Verbindungen.

Option AWS Google Cloud
Unterstützte Protokolle HTTP, HTTPS,
TCP
TCP, UDP
Beibehalten der Quell-IP-Adresse Ja Ja
Mehrere Ports Ja Ja
Portbereiche Nein Nein
Ortsbezogenheit Regional Regional
Pfad- und hostbasiertes Routing Ja Nein
Ziele VM-Instanzen, ECS-Container, IP-Adressen VM-Instanzen

AWS Load-Balancing

Der ELB-Dienst (Elastic Load Balancing) von AWS bietet folgende Funktionen:

  • Weiterleitung von Traffic zu Ihren Instanzen innerhalb einer oder mehrerer Verfügbarkeitszonen in einer bestimmten Region

  • Regelmäßige Systemdiagnosen für jede Zielinstanz und Weiterleitung von Traffic, wenn eine Instanz fehlerhaft wird

  • Optionale Integration in Autoscaling, den automatischen Skalierungsdienst von AWS, mit dem Instanzen automatisch hinzugefügt und entfernt werden können, wenn sie von Autoscaling hoch- oder herunterskaliert werden

Wenn Sie einen Elastic Load Balancer erstellen, bietet AWS einen CNAME, an den Sie Traffic weiterleiten können. Wenn Sie den Route 53-Dienst von AWS nutzen, können Sie den Elastic Load Balancer als Stammdomain festlegen. Andernfalls müssen Sie für den Elastic Load Balancer einen CNAME verwenden.

AWS bietet den Application Load Balancer, der inhaltsbasiertes Routing und SSL-Offloading unterstützt, sowie den Network Load Balancer für Layer-4-Verbindungen mit hohem Durchsatz und niedriger Latenz. Auf der Vergleichsseite für Elastic Load Balancing von AWS finden Sie eine detaillierte Übersicht.

Google Cloud Load Balancing

Die Load-Balancer von Compute Engine leiten wie ELB-Traffic zu Back-End-Instanzen in einer oder mehreren Zonen. Im Gegensatz zu ELB wird Ihnen bei der Bereitstellung eines Compute Engine-Load-Balancers jedoch eine einzige global zugängliche IP-Adresse zugewiesen. Diese IP-Adresse kann für die gesamte Lebensdauer des Load-Balancers genutzt und für DNS-A-Einträge, allowlists oder Konfigurationen in Anwendungen eingesetzt werden. Compute Engine bietet drei Arten von Load-Balancern:

  • Das Netzwerk-Load-Balancing für externes Layer-4-Load-Balancing basiert auf der Maglev-Technologie von Google und unterstützt den regionalen Ausgleich von UDP- und TCP-Traffic. Der Traffic kann auf mehrere Ports oder Portbereiche verteilt werden und der Load-Balancer liegt nicht auf dem Rückweg des Traffics.

  • Für das externe Layer-7-Load-Balancing kommen HTTP(S)-Load-Balancing, TCP-Proxy und SSL-Proxy in Frage. Diese können den Traffic zwischen verschiedenen Protokollen sowohl global als auch regional ausgleichen. Der Traffic wird abhängig von der verfügbaren Kapazität automatisch an die nächstgelegenen Back-Ends weitergeleitet.

  • Das interne Load-Balancing ist ein regionaler Dienst für TCP- und UDP-Traffic auf Basis des Virtualisierungsstacks für das Andromeda-Netzwerk. Das Load-Balancing erfolgt softwarebasiert. Traffic wird direkt von der Clientinstanz an eine Back-End-Instanz geleitet.

Kosten

Die Load-Balancing-Dienste von AWS und Google Cloud haben leicht unterschiedliche Preismodelle.

AWS berechnet für:

  • jede Stunde oder angefangene Stunde, die der Load-Balancer ausgeführt wird, und
  • die Anzahl der verbrauchten LCU-Einheiten (Load Balancer Capacity Units) pro Stunde.

Weitere Informationen zur AWS-Preisgestaltung und zur Berechnung von LCU-Einheiten finden Sie in der AWS-Dokumentation.

Google berechnet für:

  • den eingehenden Traffic, der vom Load-Balancer verarbeitet wird, und
  • die Anzahl der Weiterleitungsregeln, die auf die Load-Balancing-Dienste verweisen.

Instanzenmigration

Die Hostgeräte im Rechenzentrum, auf denen die Instanzen normalerweise ausgeführt werden, müssen für Wartungsarbeiten oder zum Austausch gelegentlich abgeschaltet werden.

  • AWS: Nutzer müssen die betroffenen Instanzen von Hostgeräten manuell migrieren. Dafür werden die Instanzen entweder neu gestartet oder mithilfe von Instanz-Snapshots neu erstellt.

  • Google Cloud: Instanzen werden mithilfe der Live-Migration automatisch und transparent migriert.

Verbindungen zwischen VPCs

Sowohl AWS als auch Google Cloud ermöglichen Netzwerkverbindungen zwischen VPCs.

  • AWS unterstützt VPC-Peering und freigegebene VPCs.

    • VPC-Peering ermöglicht Verbindungen zu VPCs innerhalb oder zwischen AWS-Konten oder -Regionen.

    • Mit freigegebenen VPCs können mehrere AWS-Konten auf zentral verwaltete VPCs zugreifen. Subnetze können mit einem AWS-Konto geteilt werden. Sicherheitsgruppen in einem Subnetz werden vom Subnetzinhaber gesteuert, während Netzwerk-ACLs zwischen Subnetzen und anderen VPC-Ressourcen zentral verwaltet werden.

  • Google Cloud unterstützt VPC-Netzwerk-Peering und freigegebene VPCs.

    • VPC-Netzwerk-Peering ermöglicht Verbindungen zwischen Google Cloud-Projekten in derselben Organisation oder zwischen verschiedenen Organisationen. Firewallregeln und Routing werden in jedem Projekt einzeln gesteuert.

    • Freigegebene VPCs ermöglichen private Verbindungen innerhalb einer Organisation. Der Dienst stellt eine VPC bereit, die von mehreren Projekten gemeinsam genutzt werden kann. Der Vorteil liegt in der zentralen Verwaltung und Kontrolle. Subnetze können mit einer oder mehreren Personen oder Teams geteilt werden. Alle Firewallregeln und -Routen werden zentral im Hostprojekt gesteuert.

Preis

Für die Nutzung dieser Dienste fallen keine fixen Gebühren an.

AWS berechnet eine Gebühr für ausgehenden Traffic zwischen Peered-VPCs, selbst wenn sich die Ressourcen in derselben Region oder Zone befinden.

Private Verbindungen zu anderen Netzwerken

Sowohl AWS als auch Google Cloud bieten mehrere Dienste, die eine private Verbindung zu externen Netzwerken ermöglichen, z. B. zu Ihrer lokalen Umgebung.

In der folgenden Tabelle werden die AWS- und Google Cloud-Dienste verglichen.

Funktion AWS Google Cloud
Virtuelles privates Netzwerk VPC-VPN Cloud VPN
Private Verbindung zu einer VPC Direct Connect Dedicated Interconnect
Partner Interconnect
Hochgeschwindigkeitsverbindung zu anderen Clouddiensten Direct Connect Direct Peering
Carrier Peering
CDN-Konnektivität CDN Interconnect

Virtuelles privates Netzwerk

AWS und Google Cloud stellen VPN-Dienste bereit, mit denen Sie einen Tunnel von einem externen Netzwerk zu Ihrem internen Amazon EC2- oder Compute Engine-Netzwerk erstellen. Sie können dann eine private Verbindung über diesen Tunnel herstellen.

  • Google Cloud: Cloud Router ermöglicht dynamische BGP-Routenaktualisierungen zwischen Compute Engine-Netzwerken und Nicht-Google-Netzwerken.

  • AWS: Amazon VPC bietet einen ähnlichen Routingdienst.

Private Verbindung zu einer VPC

In manchen Fällen reicht die Geschwindigkeit eines VPN für eine bestimmte Arbeitslast nicht aus oder es ist dedizierte Kapazität erforderlich. Private Verbindungsdienste ermöglichen die Nutzung einer gemieteten Netzwerkleitung mit dedizierter Kapazität, die über RFC 1918-Adressen direkt mit einer VPC verbunden wird.

  • Bei AWS heißt dieser Dienst Direct Connect. Damit können Sie eine private Mietleitung zu AWS von einem Partnerunternehmen aus einrichten. Entweder Sie entscheiden sich für eine direkte 1- oder 10-Gbit/s-Verbindung zu dieser Einrichtung oder Sie arbeiten mit einem AWS Partner zusammen, der die Verbindung zu Ihrem Standort für Sie herstellt. Dabei sind Geschwindigkeiten von bis zu 50 Mbit/s möglich. Der Zugriff auf entfernte Regionen erfolgt über ein Direct Connect Gateway.

  • Bei Google Cloud heißt dieser Dienst Dedicated Interconnect. Damit können Sie direkte physische Verbindungen von einer Partnereinrichtung in 10-Gbit/s-Schritten zu Ihrer GCP-VPC-Umgebung herstellen. Mit Partner Interconnect können Sie eine Leitung mit bis zu 50 Mbit/s über einen unserer Partner bereitstellen. Bei Cloud Router können Sie auswählen, ob Sie regional oder global auf Ihre VPC zugreifen möchten.

Hochgeschwindigkeitsverbindung zu anderen Clouddiensten

Sowohl AWS als auch Google Cloud ermöglichen den Hochgeschwindigkeitszugriff auf Cloud-Dienste außerhalb von VPCs.

Google Cloud bietet die folgenden Dienste:

  • Mit Direct Peering von Google Cloud können Sie über öffentliche IP-Adressen eine Verbindung zu Cloud-Diensten außerhalb Ihrer VPC herstellen. Der Dienst ermöglicht den direkten Zugriff auf alle Google-Dienste, einschließlich der G Suite, über eine private Netzwerkleitung in einem der Edge Points of Presence von Google.

  • Carrier Peering bietet dieselben Funktionen wie Direct Peering, die Verbindung wird jedoch über einen Partner bereitgestellt.

  • Privater Google Access für lokale Hosts ermöglicht den privaten Zugriff auf Dienste über Dedicated Interconnect oder Partner Interconnect.

AWS Direct Connect ermöglicht den Zugriff auf alle AWS-Dienste über eine separate virtuelle Schnittstelle.

Verbindung zu einem Content Delivery Network (CDN)

CDN-Verbindungen sind eine günstigere Option für ausgehenden Traffic, der von Ihren Cloudressourcen zu einem CDN-Anbieter übertragen wird.

  • CDN Interconnect von Google Cloud bietet für verschiedene CDN-Anbieter ermäßigte Preise für ausgehenden Traffic.

  • Amazon bietet Preisermäßigungen für ausgehenden Traffic nur für seinen eigenen CDN-Dienst Amazon CloudFront an.

Kosten für Verbindungsdienste

AWS und Google Cloud erheben Gebühren für VPN-Dienste auf stündlicher Basis.

Google Cloud und AWS erheben eine monatliche Gebühr pro Port für ihre direkten privaten Konnektivitätsdienste: Direct Connect in AWS sowie Dedicated Interconnect und Partner Interconnect in Google Cloud. Sowohl Google Cloud als auch AWS bieten über diese Dienste eine reduzierte Ausgangsbandbreite. Durch Partnerverbindungen entstehen separate Kosten, die direkt an den Partner gezahlt werden.

Google Cloud stellt Ihnen die folgenden Dienste nicht in Rechnung:

  • Direct Peering oder Carrier Peering. Google Cloud berechnet für diese Dienste keine Gebühren, für Carrier Peering fallen jedoch Partnergebühren an.

  • CDN Interconnect. Google Cloud berechnet keine Gebühren für diesen Dienst, Partner-CDNs aber legen ihre eigenen Gebühren fest und berechnen sie den Kunden direkt. Mit CDN Interconnect bietet Google Cloud einen Rabatt auf ausgehenden Traffic in Richtung der CDN-Partner.

Netzwerktelemetrie

AWS stellt Netzwerktelemetriedaten über VPC Flow Logs bereit. Mit diesem Dienst können Sie Informationen zum Traffic zwischen verschiedenen Adressen und Schnittstellen erfassen. Google Cloud stellt die gleichen Funktionen über VPC-Flusslogs bereit. Die Daten liegen jedoch in einem JSON-Format vor, das zusätzliche Informationen wie den geografischen Standort externer Entitäten oder die TCP-Umlaufzeit enthält.

Kosten

Sowohl Google Cloud als auch AWS werden je nach Datenmenge berechnet.

DNS

Ein DNS-Dienst übersetzt für den Menschen lesbare Domainnamen in IP-Adressen, die von Servern verwendet werden, um sich miteinander zu verbinden. Verwaltete DNS-Dienste wie Amazon Route 53 (AWS) und Cloud DNS (Google Cloud) bieten skalierbare, verwaltete DNS-Dienste in der Cloud.

Cloud DNS und Amazon Route 53 weisen die folgenden Ähnlichkeiten auf:

  • Unterstützung fast aller DNS-Eintragstypen
  • Anycast-basierte Bereitstellung
  • Domainnamenregistrierung

Amazon Route 53 unterstützt zwei Arten von Routing, die Cloud DNS nicht unterstützt: geografiebasiertes Routing und latenzbasiertes Routing. Mit dem geografiebasierten Routing können Sie Ihre Inhalte auf bestimmte geografische Regionen der Welt beschränken. Mit dem latenzbasierten Routing können Sie den Traffic basierend auf der vom DNS-Dienst gemessenen Latenz leiten.

In der folgenden Tabelle sind die Funktionen von Amazon Route 53 und Cloud DNS gegenübergestellt:

Funktion Amazon Route 53 Cloud DNS
Zone Gehostete Zone Verwaltete Zone
Support für die meisten DNS-Eintragstypen Ja Ja
Anycast-basierte Bereitstellung Ja Ja
Latenzbasiertes Routing Ja Nein
Geografiebasiertes Routing Ja Nein
DNSSEC für DNS-Dienst Nein Ja
Private Zonen/Split Horizon Ja Ja

Kosten

Die Gebühren für Amazon Route 53 und Cloud DNS richten sich nach der Anzahl der pro Monat gehosteten Zonen und den monatlichen Abfragen. Route 53 erhebt eine höhere Gebühr für das geografiebasierte Routing und für latenzbasierte Routing-Abfragen.

Weitere Informationen

Weitere Artikel zu Google Cloud für AWS-Experten: