Roteamento de tráfego de rede virtual
Saiba mais sobre como o Azure roteia o tráfego entre o Azure, locais e recursos da Internet. O Azure cria automaticamente uma tabela de rotas para cada sub-rede dentro de uma rede virtual do Azure e adiciona as rotas de sistema padrão à tabela. Para saber mais sobre as redes virtuais e sub-redes, confira Visão geral da rede virtual. É possível substituir algumas das rotas de sistema do Azure por rotas personalizadas e adicionar outras rotas personalizadas às tabelas de rotas. O Azure roteia o tráfego de saída de uma sub-rede com base nas rotas em uma tabela de rotas da sub-rede.
Rotas do sistema
O Azure cria rotas de sistema automaticamente e as atribui a cada sub-rede em uma rede virtual. Não é possível criar nem remover rotas de sistema, mas é possível substituir algumas rotas de sistema por rotas personalizadas. O Azure cria rotas de sistema padrão para cada sub-rede e adiciona mais rotas padrão opcionais a sub-redes específicas ou a todas as sub-redes quando você usa funcionalidades específicas do Azure.
Padrão
Cada rota contém um prefixo de endereço e o tipo do próximo salto. Quando um tráfego saindo de uma sub-rede é enviado a um endereço IP dentro do prefixo de endereço de uma rota, a rota que contém o prefixo é a que o Azure usa. Saiba mais sobre como o Azure seleciona uma rota quando várias rotas contêm os mesmos prefixos ou prefixos sobrepostos. Sempre que uma rede virtual é criada, o Azure cria automaticamente as rotas de sistema padrão a seguir para cada sub-rede na rede virtual:
| Origem | Prefixos do endereço | Tipo do próximo salto |
|---|---|---|
| Padrão | Exclusivo para a rede virtual | Rede virtual |
| Padrão | 0.0.0.0/0 | Internet |
| Padrão | 10.0.0.0/8 | Nenhum |
| Padrão | 172.16.0.0/12 | Nenhum |
| Padrão | 192.168.0.0/16 | Nenhum |
| Padrão | 100.64.0.0/10 | Nenhum |
Os tipos do próximo salto listados na tabela anterior representam como o Azure roteia o tráfego destinado ao prefixo de endereço listado. As explicações para os tipos do próximo salto seguem:
Rede virtual: encaminha o tráfego entre intervalos de endereços no espaço de endereço de uma rede virtual. O Azure cria uma rota com um prefixo de endereço que corresponde a cada intervalo de endereços definido no espaço de endereço de uma rede virtual. Se o espaço de endereço da rede virtual tiver vários intervalos de endereços definidos, o Azure cria uma rota individual para cada intervalo de endereços. O Azure roteia automaticamente o tráfego entre as sub-redes usando as rotas criadas para cada intervalo de endereços. Não é preciso definir gateways para o Azure para rotear o tráfego entre sub-redes. Embora uma rede virtual tenha sub-redes e cada uma delas tenha um intervalo de endereços definido, o Azure não cria rotas padrão para intervalos de sub-redes. Cada intervalo de endereço de sub-rede está dentro de um intervalo de endereços do espaço de endereços de uma rede virtual.
Internet: encaminha o tráfego especificado pelo prefixo do endereço para a Internet. A rota padrão de sistema especifica o prefixo de endereço 0.0.0.0/0. Se você não substituir as rotas padrão do Azure, o Azure roteará o tráfego para qualquer endereço não especificado por um intervalo de endereços dentro de uma rede virtual para a internet. Existe uma exceção desse roteamento. Se o endereço de destino for para um dos serviços do Azure, o Azure roteia o tráfego diretamente ao serviço da sua rede de backbone em vez de rotear o tráfego para a Internet. O tráfego entre os serviços do Azure não percorre a Internet, independentemente da região do Azure em que a rede virtual exista ou da região do Azure em que uma instância do serviço do Azure esteja implantada. Você pode substituir a rota do sistema padrão do Azure para o prefixo de endereço 0.0.0.0/0 com uma rota personalizada.
Nenhum: o tráfego encaminhado para tipo do próximo salto Nenhum é descartado em vez de ser roteado para fora da sub-rede. O Azure cria automaticamente as rotas padrão para os seguintes prefixos de endereço:
10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16: reservados para uso particular no RFC 1918.
100.64.0.0/10: reservado no RFC 6598.
Se você atribuir algum dos intervalos de endereços anteriores no espaço de endereço de uma rede virtual, o Azure altera automaticamente o tipo do próximo salto da rota de Nenhum para Rede virtual. Se você atribuir um intervalo de endereços para o espaço de endereço de uma rede virtual que inclui, mas não é a mesma que um dos quatro prefixos de endereço reservados, o Azure remove a rota do prefixo e adiciona uma rota para o prefixo de endereço que você adicionou, com a Rede virtual como o tipo do próximo salto.
Rotas padrão opcionais
O Azure adiciona mais rotas de sistema padrão para diferentes funcionalidades do Azure, mas somente se você habilitar as funcionalidades. Dependendo do recurso, o Azure adiciona rotas padrão opcionais para sub-redes específicas na rede virtual ou para todas as sub-redes em uma rede virtual. As outras rotas de sistema e os tipos próximo salto que o Azure pode adicionar quando você habilita funcionalidades diferentes são:
| Fonte | Prefixos do endereço | Tipo do próximo salto | A sub-rede na rede virtual que roteia é adicionada a |
|---|---|---|---|
| Padrão | Exclusivo para a rede virtual, por exemplo: 10.1.0.0/16 | Emparelhamento VNet | Todos |
| Gateway de rede virtual | Prefixos anunciados do local via BGP ou configurada no gateway de rede local | Gateway de rede virtual | Todos |
| Padrão | Vários | VirtualNetworkServiceEndpoint | Somente a sub-rede para a qual um ponto de extremidade de serviço está habilitado. |
Peering de rede virtual (VNet): quando você cria um peering de rede virtual entre duas redes virtuais, o sistema adiciona uma rota para cada intervalo de endereços dentro do espaço de endereços de cada rede virtual envolvida no peering. Saiba mais sobre emparelhamento de rede virtual.
Gateway de rede virtual: uma ou mais rotas com Gateway de rede virtual listado como o tipo do próximo salto são adicionadas quando um gateway de rede virtual é adicionado a uma rede virtual. A fonte também é gateway de rede virtual porque o gateway adiciona as rotas à sub-rede. Se o seu gateway de rede local fizer um intercâmbio de rotas entre o protocolo de gateway de borda (BGP) e um gateway de rede virtual, o sistema adicionará uma rota para cada rota. Essas rotas são propagadas a partir do gateway de rede local. Recomendamos que você resuma as rotas locais para os maiores intervalos de endereços possíveis, de modo a propagar o menor número de rotas para um gateway de rede virtual do Azure. Há limites para o número de rotas que podem ser propagadas para um gateway de rede virtual do Azure. Para obter detalhes, confira Limites do Azure.
VirtualNetworkServiceEndpoint: os endereços IP públicos para determinados serviços são adicionados à tabela de rotas pelo Azure quando você habilita um ponto de extremidade de serviço para o serviço. Pontos de extremidade de serviço são habilitados para sub-redes individuais em uma rede virtual, de modo que a rota só seja adicionada à tabela de rotas de uma sub-rede para a qual está habilitado um ponto de extremidade de serviço. Os endereços IP públicos de serviços do Azure mudam periodicamente. O Azure gerencia os endereços na tabela de rotas automaticamente quando os endereços mudam. Saiba mais sobre pontos de extremidade de serviço de rede virtual e os serviços para os quais é possível criar pontos de extremidade de serviço.
Observação
Os tipos do próximo salto emparelhamento VNet e VirtualNetworkServiceEndpoint só são adicionados a tabelas de rota de sub-redes em redes virtuais criadas por meio do modelo de implantação do Azure Resource Manager. Os tipos próximo salto não são adicionados a tabelas de rotas que estão associadas a sub-redes da rede virtual criadas por meio do modelo de implantação clássico. Saiba mais sobre os modelos de implantação do Azure.
Rotas personalizadas
É possível criar rotas personalizadas criando rotas definidas pelo usuário ou trocando rotas de protocolo BGP entre seu local de gateway de rede e um gateway de rede virtual do Azure.
Definido pelo usuário
É possível criar rotas personalizadas ou definidas pelo usuário (estáticas) no Azure para substituir as rotas de sistema padrão do Azure ou adicionar mais rotas a uma tabela de rotas da sub-rede. No Azure, você cria uma tabela de rotas e depois a associa para zero ou mais sub-redes de rede virtual. Cada sub-rede pode ter zero ou uma tabela de rotas associada a ela. Para saber mais sobre o número máximo de rotas que podem ser adicionadas a uma tabela de rotas e o número máximo de tabelas de rotas definidas pelo usuário que podem ser criadas por assinatura do Azure, confira os Limites do Azure. Quando você cria uma tabela de rotas e a associa a uma sub-rede, as rotas dessa tabela são combinadas com as rotas padrão da sub-rede. Se houver atribuições de rota conflitantes, as rotas definidas pelo usuário substituirão as rotas padrão.
Você pode especificar os seguintes tipos do próximo salto ao criar uma rota definida pelo usuário:
Solução de virtualização: uma solução de virtualização é uma máquina virtual que normalmente executa um aplicativo de rede, como um firewall. Para saber mais sobre as várias soluções de virtualização de rede pré-configuradas que você pode implantar em uma rede virtual, confira Azure Marketplace. Quando você cria uma rota com o tipo de salto solução de virtualização, também especifica o endereço IP de um próximo salto. O endereço IP pode ser:
O endereço IP privado de uma interface de rede anexada a uma máquina virtual. Qualquer interface de rede anexada a uma máquina virtual que encaminhe tráfego de rede para um endereço diferente do seu próprio deve ter a opção Habilitar encaminhamento de IP do Azure habilitada para isso. A configuração desabilita a verificação do Azure sobre a origem e o destino de uma interface de rede. Saiba mais sobre como habilitar o encaminhamento de IP de uma interface de rede. Embora Habilitar encaminhamento de IP seja uma configuração do Azure, talvez também seja preciso habilitar o encaminhamento de IP no sistema operacional da máquina virtual para que o dispositivo encaminhe o tráfego entre os endereços IP para as interfaces de rede do Azure. Se precisar rotear o tráfego para um endereço IP público, o dispositivo precisará fazer proxy do tráfego ou executar uma conversão de endereços de rede (NAT) do endereço IP privado da origem para seu próprio endereço IP privado. A seguir, o Azure executa uma NAT em um endereço IP público antes de enviar o tráfego para a internet. Para determinar as configurações necessárias na máquina virtual, confira a documentação para seu sistema operacional ou aplicativo de rede. Para entender as conexões de saída no Azure, consulte Entender as conexões de saída.
Observação
Implante uma solução de virtualização em uma sub-rede diferente daquela em que estão implantados os recursos que são roteados por meio da solução de virtualização. A implantação a solução de virtualização à mesma sub-rede e a posterior aplicação de uma tabela de rotas à sub-rede que roteia o tráfego por meio da solução de virtualização podem resultar em loops de roteamento em que o tráfego nunca sai da sub-rede.
Um endereço IP privado do próximo salto deve ter conectividade direta sem precisar roteá-lo por meio do Gateway do ExpressRoute ou da WAN Virtual. Definir o próximo salto como um endereço IP sem conectividade direta resulta em uma configuração inválida do roteamento definida pelo usuário.
O endereço IP privado de um balanceador de carga interno do Azure. Um balanceador de carga geralmente é usado como parte de uma estratégia de alta disponibilidade para soluções de virtualização de rede.
Você pode definir uma rota com o prefixo de endereço 0.0.0.0/0 e um tipo de solução de virtualização de próximo salto. Essa configuração permite que o dispositivo inspecione o tráfego e determine se deve encaminhar ou remover o tráfego. Se você pretende criar uma rota definida pelo usuário que contenha o prefixo de endereço 0.0.0.0/0, primeiro confira Prefixo de endereço 0.0.0.0/0.
Gateway de rede virtual: especifique quando você deseja que o tráfego destinado para prefixos de endereço específicos seja encaminhado para um gateway de rede virtual. O gateway de rede virtual deve ser criado com o tipo VPN. Você não pode especificar um gateway de rede virtual criado como tipo ExpressRoute em uma rota definida pelo usuário porque, com o ExpressRoute, você deve usar BGP para rotas personalizadas. Você não pode especificar Gateways de Rede Virtual se houver conexões coexistentes de VPN e ExpressRoute. Você pode definir uma rota que direciona o tráfego destinado para o prefixo de endereço 0.0.0.0/0 para um gateway de rede virtual baseado em rota. Em seus locais, você pode ter um dispositivo que inspecione o tráfego e determine encaminhar ou descartar o tráfego. Se você pretende criar uma rota definida pelo usuário para o prefixo de endereço 0.0.0.0/0, primeiro confira Prefixo de endereço 0.0.0.0/0. Em vez de configurar uma rota definida pelo usuário para o prefixo de endereço 0.0.0.0/0, é possível anunciar uma rota com o prefixo 0.0.0.0/0 por meio do BGP, caso tenha habilitado o BGP para um gateway de rede virtual de VPN.
Nenhum: especifique quando você deseja remover o tráfego para um prefixo de endereço em vez de encaminhar o tráfego para um destino. Se você ainda não configurou totalmente um recurso, o Azure pode listar Nenhum para algumas das rotas de sistema opcionais. Por exemplo, se você vir Nenhum listado como o Endereço IP do próximo salto com um Tipo do próximo salto de Gateway de rede virtual ou Solução de virtualização, isso pode ocorrer porque o dispositivo não está em execução ou não está totalmente configurado. O Azure cria rotas padrão de sistema para prefixos de endereço reservados com Nenhum como o tipo do próximo salto.
Rede virtual: especifique a opção Rede virtual se você quiser substituir o roteamento padrão dentro de uma rede virtual. Confira Exemplo de roteamento para obter um exemplo de por que você pode criar uma rota com o tipo de salto Rede virtual.
Internet: especifique a opção Internet quando você quiser rotear explicitamente o tráfego destinado a um prefixo de endereço para a internet ou se quiser que o tráfego destinado aos serviços do Azure com endereços IP públicos seja mantido dentro da rede backbone do Azure.
Você não pode especificar um Peering de rede virtual ou VirtualNetworkServiceEndpoint como o tipo próximo salto nas rotas definidas pelo usuário. As rotas com os tipos de próximo salto Peering de rede virtual ou VirtualNetworkServiceEndpoint somente são criadas pelo Azure quando você configura um peering de rede virtual ou um ponto de extremidade de serviço.
Marcas de serviço para rotas definidas pelo usuário
Agora você pode especificar uma marca de serviço como o prefixo de endereço para uma rota definida pelo usuário em vez de um intervalo de IP explícito. Uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. A Microsoft gerencia os prefixos de endereço englobados pela marca de serviço e atualiza automaticamente a marca de serviço em caso de alteração de endereços. Minimizando assim a complexidade das atualizações frequentes para rotas definidas pelo usuário e reduzindo o número de rotas que você precisa criar. No momento, você pode criar 25 ou menos rotas com marcas de serviço em cada tabela de rotas. Com essa versão, também há suporte para o uso de marcas de serviço em cenários de roteamento para contêineres.
Correspondência exata
O sistema dá preferência à rota que tiver o prefixo explícito quando há uma correspondência de prefixo exata entre uma rota com um prefixo de IP explícito e uma rota com uma Marca de Serviço. Quando várias rotas com Marcas de Serviço tiverem prefixos de IP correspondentes, as rotas serão avaliadas na seguinte ordem:
Marcas regionais (por exemplo, Storage.EastUS, AppService.AustraliaCentral)
Marcas de nível superior (por exemplo, Storage, AppService)
Marcas regionais do AzureCloud (por exemplo, AzureCloud.canadacentral, AzureCloud.eastasia)
A marca AzureCloud
Para usar esse recurso, especifique um nome de Marca de Serviço para o parâmetro de prefixo de endereço nos comandos da tabela de rotas. Por exemplo, no PowerShell, é possível criar uma nova rota para direcionar o tráfego enviado a um prefixo IP de Armazenamento do Microsoft Azure para uma solução de virtualização usando:
$param = @{
Name = 'StorageRoute'
AddressPrefix = 'Storage'
NextHopType = 'VirtualAppliance'
NextHopIpAddress = '10.0.100.4'
}
New-AzRouteConfig @param
O mesmo comando para CLI é o seguinte:
az network route-table route create \
--resource-group MyResourceGroup \
--route-table-name MyRouteTable \
--name StorageRoute \
--address-prefix Storage \
--next-hop-type VirtualAppliance \
--next-hop-ip-address 10.0.100.4
Tipos do próximo salto nas ferramentas do Azure
O nome exibido e referenciado para tipos do próximo salto é diferente entre o portal do Azure e as ferramentas de linha de comando, e entre o Azure Resource Manager e modelos clássicos de implantação. A tabela a seguir lista os nomes usados para se referir a cada tipo do próximo salto com as diferentes ferramentas e modelos de implantação:
| Tipo do próximo salto | CLI do Azure e o PowerShell (Resource Manager) | CLI clássica do Azure e o PowerShell (clássico) |
|---|---|---|
| Gateway de rede virtual | VirtualNetworkGateway | VPNGateway |
| Rede virtual | VNetLocal | VNETLocal (não disponível na CLI clássica no modo Gerenciamento de Serviços) |
| Internet | Internet | Internet (não disponível na CLI clássica no modo Gerenciamento de Serviços) |
| Solução de virtualização | VirtualAppliance | VirtualAppliance |
| Nenhum | Nenhum | NULL (não disponível na CLI clássica no modo Gerenciamento de Serviços) |
| Emparelhamento de rede virtual | Emparelhamento VNet | Não aplicável |
| Ponto de extremidade de serviço de rede virtual | VirtualNetworkServiceEndpoint | Não aplicável |
Protocolo BGP
Um gateway de rede local pode trocar rotas com um gateway de rede virtual do Azure usando o protocolo BGP (Border Gateway Protocol). O uso do BGP com um gateway de rede virtual do Azure depende do tipo que você selecionou ao criar o gateway:
ExpressRoute: você deve usar o BGP para anunciar rotas locais para o roteador Microsoft Edge. Não é possível criar rotas definidas pelo usuário para forçar o tráfego ao gateway de rede virtual do ExpressRoute caso você implante um gateway de rede virtual implantado como tipo: ExpressRoute. Você pode usar as rotas definidas pelo usuário para forçar o tráfego do ExpressRoute para, por exemplo, uma Solução de Virtualização de Rede.
VPN: você pode, opcionalmente, usar o BGP. Para obter detalhes, confira BGP com conexões VPN site a site.
Ao trocar de rotas com o Azure usando o BGP, uma rota separada é adicionada à tabela de rotas de todas as sub-redes em uma rede virtual para cada prefixo anunciado. A rota é adicionada com o Gateway de rede virtual listado como a fonte e o tipo do próximo salto.
A propagação de rotas de Gateway de VPN e ER pode ser desabilitada em uma sub-rede usando uma propriedade em uma tabela de rotas. Quando você desabilita a propagação de rota, o sistema não adiciona rotas à tabela de rotas de todas as sub-redes com a propagação de rota do gateway de rede virtual desabilitada. Esse processo se aplica tanto a rotas estáticas quanto a rotas do BGP. A conectividade com conexões VPN é feita usando rotas personalizadas com um tipo de gateway de rede virtual de próximo salto. A propagação de rota não deve ser desabilitada na GatewaySubnet. O gateway não funcionará com essa configuração desabilitada. Para obter detalhes, confira Como desabilitar a propagação de rota de gateway de rede virtual.
Como o Azure seleciona uma rota
Quando o tráfego de saída é enviado de uma sub-rede, o Azure seleciona uma rota com base no endereço IP de destino usando o algoritmo de correspondência com o prefixo mais longo. Por exemplo, uma tabela de rotas tem duas rotas: uma rota especifica o prefixo de endereço 10.0.0.0/24, enquanto a outra especifica o prefixo de endereço 10.0.0.0/16. O Azure direciona o tráfego destinado ao 10.0.0.5 para o tipo de próximo salto especificado na rota com o prefixo de endereço 10.0.0.0/24. Esse processo ocorre porque 10.0.0.0/24 é um prefixo mais longo do que 10.0.0.0/16, mesmo que 10.0.0.5 se enquadre em ambos os prefixos de endereço. O Azure direciona o tráfego destinado ao 10.0.1.5 para o tipo de próximo salto especificado na rota com o prefixo de endereço 10.0.0.0/16. Esse processo ocorre porque 10.0.1.5 não está incluído no prefixo do endereço 10.0.0.0/24, fazendo com que a rota com o prefixo de endereço 10.0.0.0/16 se torne o prefixo correspondente mais longo.
Se várias rotas contêm o mesmo prefixo de endereço, o Azure seleciona o tipo de rota com base na seguinte ordem de prioridade:
Rota definida pelo usuário
Rota BGP
Rota de sistema
Observação
As rotas de sistema para o tráfego relativas à rede virtual, aos emparelhamentos de rede virtual ou aos pontos de extremidade de serviço de rede virtual são rotas preferenciais, mesmo que as rotas BGP sejam mais específicas.
Por exemplo, uma tabela de rotas contém as seguintes rotas:
| Fonte | Prefixos do endereço | Tipo do próximo salto |
|---|---|---|
| Padrão | 0.0.0.0/0 | Internet |
| Usuário | 0.0.0.0/0 | Gateway de rede virtual |
Quando o tráfego é destinado a um endereço IP fora dos prefixos de endereço de qualquer outra rota na tabela de rotas, o Azure seleciona a rota com a fonte de Usuário porque rotas definidas pelo usuário têm prioridade maior do que as rotas de sistema padrão.
Confira Exemplo de roteamento para ver uma tabela de roteamento abrangente com explicações sobre as rotas na tabela.
Prefixo de endereço 0.0.0.0/0
Uma rota com o prefixo de endereço 0.0.0.0/0 fornece instruções ao Azure. O Azure usa essas instruções para rotear o tráfego destinado a um endereço IP que se enquadra no prefixo de endereço de nenhuma outra rota na tabela de rotas de uma sub-rede. Quando uma sub-rede é criada, o Azure cria uma rota padrão para o prefixo de endereço 0.0.0.0/0, com o tipo do próximo salto Internet. Se você não substituir essa rota, o Azure roteia para a Internet todo o tráfego destinado para endereços IP não incluídos no prefixo de endereço de nenhuma outra rota. A exceção é que o tráfego para os endereços IP públicos de serviços do Azure permanece na rede de backbone do Azure e não é roteado para a Internet. Quando você substitui essa rota por uma rota personalizada , o tráfego destinado a endereços que não estejam dentro dos prefixos de endereço de qualquer outra rota na tabela de rotas é direcionado. O destino depende de você especificar uma solução de virtualização de rede ou gateway de rede virtual na rota personalizada.
Quando você substitui o prefixo de endereço 0.0.0.0/0, não apenas o tráfego de saída da sub-rede flui através do gateway de rede virtual ou da solução de virtualização, como as seguintes alterações também ocorrem com o roteamento padrão do Azure:
O Azure envia todo o tráfego para o tipo do próximo salto especificado na rota para incluir o tráfego destinado a endereços IP públicos de serviços do Azure. Quando o tipo do próximo salto para a rota com o prefixo de endereço 0.0.0.0/0 é Internet, o tráfego da sub-rede destinado a endereços IP públicos de serviços do Azure nunca deixa a rede de backbone do Azure, independentemente da região do Azure na qual existe a rede virtual ou o recurso de serviço do Azure. Porém, quando você cria uma rota definida pelo usuário ou BGP com um tipo do próximo salto Gateway de rede virtual ou solução de virtualização, todo o tráfego, incluindo o tráfego enviado aos endereços IP públicos dos serviços do Azure para os quais você ainda não habilitou os pontos de extremidade de serviço, é enviado para o tipo do próximo salto especificado na rota. Quando você habilita um ponto de extremidade de serviço para um serviço, o Azure cria uma rota com prefixos de endereço para o serviço. O tráfego para o serviço não é roteado para o tipo de próximo salto em uma rota com o prefixo de endereço 0.0.0.0/0. Os prefixos de endereço para o serviço são mais longos do que 0.0.0.0/0.
Você já não consegue acessar diretamente os recursos na sub-rede pela Internet. Você pode acessar recursos na sub-rede indiretamente a partir da internet. O dispositivo especificado pelo tipo de próximo salto para uma rota com o prefixo de endereço 0.0.0.0/0 precisa processar o tráfego de entrada. Depois que o tráfego atravessa o dispositivo, o tráfego chega ao recurso na rede virtual. Se a rota contiver os seguintes valores para o tipo do próximo salto:
Solução de virtualização: A solução deve:
Ser acessíveis pela Internet
Ter um endereço IP público atribuído a ela
Não ter uma regra de grupo de segurança de rede associada a ela que impeça a comunicação com o dispositivo
Não negar a comunicação
Ser capaz de converter o endereço de rede e encaminhar ou ser proxy do tráfego para o recurso de destino na sub-rede e retornar o tráfego de volta para a Internet.
Gateway de rede virtual: se o gateway for um gateway de rede virtual ExpressRoute, um dispositivo local conectado à Internet poderá converter o endereço de rede e encaminhar ou ser proxy do tráfego para o recurso de destino na sub-rede por meio do emparelhamento privado do ExpressRoute.
Se sua rede virtual está conectada a um gateway de VPN do Azure, não associe uma tabela de rota à sub-rede do gateway que inclui uma rota com um destino igual a 0.0.0.0/0. Isso pode impedir que o gateway funcione corretamente. Para obter detalhes, consulte a pergunta Por que determinadas portas estão abertas no meu gateway de VPN? em Perguntas frequentes sobre o Gateway de VPN.
Confira DMZ entre o Azure e seu datacenter local para obter detalhes da implementação ao usar gateways de rede virtual entre a Internet e o Azure.
Exemplo de roteamento
Para ilustrar os conceitos neste artigo, as seções a seguir descrevem:
Um cenário, com requisitos
As rotas personalizadas necessárias para atender aos requisitos
A tabela de rotas que existe para uma sub-rede que inclui as rotas padrão e personalizadas necessárias para atender aos requisitos
Observação
Este exemplo não tem a pretensão de ser uma implementação recomendada ou de melhor prática. Em vez disso, é fornecido apenas para ilustrar conceitos neste artigo.
Requisitos
Implementar duas redes virtuais na mesma região do Azure e habilitar recursos para se comunicar entre as redes virtuais.
Habilitar uma rede local para se comunicar de modo seguro com ambas as redes virtuais por meio de um túnel VPN pela Internet. Como alternativa, pode ser usada uma conexão ExpressRoute, mas uma conexão VPN é usada neste exemplo.
Para uma sub-rede em uma rede virtual:
Forçar todo o tráfego de saída da sub-rede, exceto para o Armazenamento do Azure e dentro da sub-rede, a fluir por meio de uma solução de virtualização de rede para inspeção e registro em log.
Não inspecione o tráfego entre os endereços IP privados na sub-rede; permita que o tráfego flua diretamente entre todos os recursos.
Descartar qualquer tráfego de saída destinado para outra rede virtual.
Habilitar o tráfego de saída no armazenamento do Azure a fluir diretamente ao armazenamento, sem forçá-lo por meio de uma solução de virtualização de rede.
Permitir todo o tráfego entre todas as outras sub-redes e redes virtuais.
Implementação
A figura a seguir mostra uma implementação por meio do Modelo de implantação do Azure Resource Manager que atende aos requisitos anteriores:
As setas mostram o fluxo de tráfego.
Tabelas de rotas
Subnet1
A tabela de rotas da Subnet1 na imagem contém as seguintes rotas:
| ID | Fonte | Estado | Prefixos do endereço | Tipo do próximo salto | Endereço IP do próximo salto | Nome da rota definida pelo usuário |
|---|---|---|---|---|---|---|
| 1 | Padrão | Inválido | 10.0.0.0/16 | Rede virtual | ||
| 2 | Usuário | Ativo | 10.0.0.0/16 | Solução de virtualização | 10.0.100.4 | Within-VNet1 |
| 3 | Usuário | Ativo | 10.0.0.0/24 | Rede virtual | Within-Subnet1 | |
| 4 | Padrão | Inválido | 10.1.0.0/16 | Emparelhamento VNet | ||
| 5 | Padrão | Inválido | 10.2.0.0/16 | Emparelhamento VNet | ||
| 6 | Usuário | Ativo | 10.1.0.0/16 | Nenhum | ToVNet2-1-Drop | |
| 7 | Usuário | Ativo | 10.2.0.0/16 | Nenhum | ToVNet2-2-Drop | |
| 8 | Padrão | Inválido | 10.10.0.0/16 | Gateway de rede virtual | [X.X.X.X] | |
| 9 | Usuário | Ativo | 10.10.0.0/16 | Solução de virtualização | 10.0.100.4 | To-On-Prem |
| 10 | Padrão | Ativo | [X.X.X.X] | VirtualNetworkServiceEndpoint | ||
| 11 | Padrão | Inválido | 0.0.0.0/0 | Internet | ||
| 12 | Usuário | Ativo | 0.0.0.0/0 | Solução de virtualização | 10.0.100.4 | Default-NVA |
Segue uma explicação de cada ID de rota:
ID1: o Azure adicionou automaticamente essa rota para todas as sub-redes dentro da Virtual-network-1, pois 10.0.0.0/16 é o único intervalo de endereços definido no espaço de endereço da rede virtual. Se você não criasse a rota definida pelo usuário na route ID2, o tráfego enviado para qualquer endereço entre 10.0.0.1 e 10.0.255.254 seria roteado dentro da rede virtual. Esse processo ocorre porque o prefixo é mais longo do que 0.0.0.0/0 e não se enquadra nos prefixos de endereço de nenhuma outra rota. O Azure alterou automaticamente o estado de Ativo para Inválido quando ID2, uma rota definida pelo usuário, foi adicionada, uma vez que ela tem o mesmo prefixo que a rota padrão, e rotas definidas pelo usuário substituem rotas padrão. O estado dessa rota ainda é Ativo para a Subnet2, pois a tabela de rotas na qual está a rota definida pelo usuário ID2 não está associada à Subnet2.
ID2: o Azure adicionou essa rota quando uma rota definida pelo usuário para o prefixo de endereço 10.0.0.0/16 estava associada à sub-rede Subnet1 na rede virtual Virtual-network-1. A rota definida pelo usuário especifica 10.0.100.4 como o endereço IP da solução de virtualização porque o endereço é o endereço IP atribuído à máquina virtual da solução de virtualização. A tabela de rotas em que essa rota existe não está associada à Subnet2, assim, ela não aparece na tabela de rotas da Subnet2. Essa rota substitui a rota padrão do prefixo 10.0.0.0/16 (ID1), que roteou automaticamente o tráfego endereçado a 10.0.0.1 e 10.0.255.254 dentro da rede virtual por meio do tipo do próximo salto da rede virtual. Essa rota existe para atender ao requisito 3, para forçar todo o tráfego de saída por meio de uma solução de virtualização.
ID3: o Azure adicionou essa rota quando uma rota definida pelo usuário para o prefixo de endereço 10.0.0.0/24 foi associada à sub-rede Subnet1. O tráfego destinado a endereços entre 10.0.0.1 e 10.0.0.254 permanece dentro da sub-rede em vez de ser roteado para a solução de virtualização especificada na regra anterior (ID2) porque ela tem um prefixo mais longo que a rota ID2. Essa rota não estava associada à Subnet2, assim, a rota não aparece na tabela de rotas da Subnet2. Essa rota substitui efetivamente a rota ID2 para o tráfego dentro da Subnet1. Essa rota existe para atender ao requisito 3.
ID4: O Azure adicionou automaticamente as rotas nas IDs 4 e 5 para todas as sub-redes dentro da Virtual-network-1, quando a rede virtual foi emparelhada com a Virtual-network-2. A Virtual-network-2 tem dois intervalos de endereços em seu espaço de endereço: 10.1.0.0/16 e 10.2.0.0/16, portanto, o Azure adicionou uma rota para cada intervalo. Se você não criasse a rota definida pelo usuário nas route IDs 6 e 7, o tráfego enviado para qualquer endereço entre 10.1.0.1-10.1.255.254 e 10.2.0.1-10.2.255.254 seria roteado dentro da rede virtual com peering. Esse processo ocorre porque o prefixo é mais longo do que 0.0.0.0/0 e não se enquadra nos prefixos de endereço de nenhuma outra rota. Quando você adicionou as rotas com IDs 6 e 7, o Azure alterou o estado automaticamente de Ativo para Inválido. Esse processo ocorre porque elas têm os mesmos prefixos que as rotas nas IDs 4 e 5 e as rotas definidas pelo usuário substituem as rotas padrão. O estado das rotas nas IDs 4 e 5 ainda é Ativo para a Subnet2, pois a tabela de rotas na qual estão as rotas definidas pelo usuário nas IDs 6 e 7 não está associada à Subnet2. Um emparelhamento de rede virtual foi criado para atender ao requisito 1.
ID5: mesma explicação que a ID4.
ID6: o Azure adicionou essa rota e a rota da ID7 quando rotas definidas pelo usuário para os prefixos de endereço 10.1.0.0/16 e 10.2.0.0/16 foram associados à sub-rede Subnet1. O Azure remove o tráfego destinado aos endereços entre 10.1.0.1-10.1.255.254 e 10.2.0.1-10.2.255.254, em vez de ser roteado para a rede virtual com peering, porque as rotas definidas pelo usuário substituem as rotas padrão. As rotas não estão associadas à Subnet2, assim, as rotas não aparecem na tabela de rotas da Subnet2. As rotas substituem as rotas ID4 e ID5 para o tráfego deixando a Subnet1. As rotas ID6 e ID7 existem para atender ao requisito 3 para descartar o tráfego destinado à outra rede virtual.
ID7: mesma explicação que a ID6.
ID8: o Azure adicionou automaticamente essa rota para todas as sub-redes da Virtual-network-1 quando um gateway de rede virtual do tipo VPN foi criado dentro da rede virtual. O Azure adicionou o endereço IP público do gateway de rede virtual à tabela de rotas. O tráfego enviado para qualquer endereço entre 10.10.0.1 e 10.10.255.254 é roteado para o gateway de rede virtual. O prefixo é maior do que 0.0.0.0/0 e não está dentro dos prefixos de endereço de nenhuma das outras rotas. Um gateway de rede virtual foi criado para atender ao requisito 2.
ID9: o Azure adicionou essa rota quando uma rota definida pelo usuário para o prefixo de endereço 10.10.0.0/16 foi adicionada à tabela de rotas associada à Subnet1. Essa rota substitui a ID8. A rota envia todo o tráfego destinado para a rede local para uma NVA para inspeção em vez de rotear o tráfego diretamente no local. Essa rota foi criada para atender ao requisito 3.
ID10: o Azure adicionou automaticamente essa rota à sub-rede quando um ponto de extremidade de serviço para um serviço do Azure foi habilitado para a sub-rede. O Azure roteia o tráfego da sub-rede para um endereço IP público do serviço pela rede de infraestrutura do Azure. O prefixo é maior do que 0.0.0.0/0 e não está dentro dos prefixos de endereço de nenhuma das outras rotas. Um ponto de extremidade de serviço foi criado para atender ao requisito 3 para permitir que o tráfego destinado ao Armazenamento do Azure flua diretamente a ele.
ID11: o Azure adicionou automaticamente essa rota à tabela de rotas de todas as sub-redes dentro da Virtual-network-1 e da Virtual-network-2. O prefixo de endereço 0.0.0.0/0 é o mais curto. Qualquer tráfego enviado para endereços dentro de um prefixo de endereço mais longo é roteado com base em outras rotas. Por padrão, o Azure roteia todo o tráfego destinado para endereços que não sejam os endereços especificados em uma das outras rotas para a Internet. O Azure alterou automaticamente o estado de Ativo para Inválido para a sub-rede Subnet1 quando uma rota definida pelo usuário para o prefixo de endereço 0.0.0.0/0 (ID12) estava associada à sub-rede. O estado dessa rota ainda é Ativo para todas as outras sub-redes dentro de ambas as redes virtuais porque a rota não está associada a nenhuma outra sub-rede em nenhuma outra rede virtual.
ID12: o Azure adicionou essa rota quando uma rota definida pelo usuário para o prefixo de endereço 0.0.0.0/0 estava associada à sub-rede Subnet1. A rota definida pelo usuário especifica 10.0.100.4 como o endereço IP da solução de virtualização. Essa rota não estava associada à Subnet2, assim, a rota não aparece na tabela de rotas da Subnet2. Todo o tráfego para qualquer endereço não incluído nos prefixos de endereço de nenhuma das outras rotas é enviado para a solução de virtualização. A adição dessa rota alterou o estado da rota padrão para o prefixo de endereço 0.0.0.0/0 (ID11) de Ativo para Inválido da Subnet1, pois uma rota definida pelo usuário substitui uma rota padrão. Essa rota existe para atender ao terceiro requisito.
Subnet2
A tabela de rotas da Subnet2 na imagem contém as seguintes rotas:
| Fonte | Estado | Prefixos do endereço | Tipo do próximo salto | Endereço IP do próximo salto |
|---|---|---|---|---|
| Padrão | Ativo | 10.0.0.0/16 | Rede virtual | |
| Padrão | Ativo | 10.1.0.0/16 | Emparelhamento de rede virtual | |
| Padrão | Ativo | 10.2.0.0/16 | Emparelhamento de rede virtual | |
| Padrão | Ativo | 10.10.0.0/16 | Gateway de rede virtual | [X.X.X.X] |
| Padrão | Ativo | 0.0.0.0/0 | Internet | |
| Padrão | Ativo | 10.0.0.0/8 | Nenhum | |
| Padrão | Ativo | 100.64.0.0/10 | Nenhum | |
| Padrão | Ativo | 192.168.0.0/16 | Nenhum |
A tabela de rotas para a Subnet2 contém todas as rotas padrão criadas pelo Azure, além das rotas com peering de rede virtual opcional e as rotas opcionais do gateway de rede virtual. O Azure adicionou as rotas opcionais para todas as sub-redes na rede virtual quando o gateway e o emparelhamento foram adicionados à rede virtual. O Azure removeu as rotas para os prefixos de endereço 10.0.0.0/8, 192.168.0.0/16 e 100.64.0.0/10 da tabela de rotas da Subnet1 quando a rota definida pelo usuário para o prefixo de endereço 0.0.0.0/0 foi adicionada à Subnet1.
Próximas etapas
Criar uma tabela de rotas definidas pelo usuário com rotas e uma solução de virtualização de rede
Exibir todas as rotas de uma sub-rede. Uma tabela de rotas definidas pelo usuário só mostra as rotas definidas pelo usuário, não as rotas padrão e BGP de uma sub-rede. Exibir todas as rotas mostra as rotas padrão, BGP e definidas pelo usuário da sub-rede na qual está uma interface de rede.
Determinar o tipo do próximo salto entre uma máquina virtual e um endereço IP de destino. O recurso do salto seguinte do Observador de Rede do Azure permite que você determine se o tráfego está deixando uma sub-rede e sendo roteado para onde você acha que ele devem estar.