Editar

Conectar servidores autônomos usando o Adaptador de Rede do Azure

Azure Bastion
Rede Virtual do Azure
Gateway de VPN do Azure
Windows Server
Máquinas Virtuais do Azure

Esta arquitetura de referência mostra como conectar um servidor autônomo local a redes virtuais do Microsoft Azure usando o Adaptador de Rede do Azure implantado por meio do Windows Admin Center (WAC). O Adaptador de Rede do Azure cria uma conexão virtual segura pela Internet, que estende sua rede local para o Azure.

Arquitetura

Use a VPN do Azure para conectar um servidor autônomo a uma rede virtual do Azure implantando um Adaptador de Rede do Azure usando o Windows Admin Center. Em seguida, você pode gerenciar as máquinas virtuais (VMs) do Azure a partir do servidor autônomo usando o endereço IP privado das VMs.

Implante um Adaptador de Rede do Azure usando o Windows Admin Center para conectar um servidor autônomo via VPN do Azure à rede virtual do Azure de uma rede corporativa, uma filial ou a rede de outro provedor de nuvem. Em seguida, você pode usar o servidor autônomo para gerenciar as VMs do Azure por meio de seus endereços IP privados, de qualquer local.

Baixe um arquivo do Visio dessas arquiteturas.

Workflow

A arquitetura consiste em:

  • Rede local. Esse componente é a rede local privada (LAN) de uma organização.
  • Filial. Esse componente é uma LAN privada em uma filial remota que se conecta por meio de uma WAN (rede de longa distância) corporativa.
  • Outro provedor de nuvem. Esse componente é uma rede virtual privada que um provedor de nuvem oferece. Ele se conecta através de uma rede privada virtual (VPN).
  • Windows Server com o Windows Admin Center instalado. O servidor que você usa para implantar o Adaptador de Rede do Azure.
  • Windows Server (autônomo). O servidor no qual o Adaptador de Rede do Azure está instalado. Esse servidor pode estar em uma rede de filial ou em uma rede de outro provedor de nuvem.
  • Rede virtual do Azure (VNet). Os servidores virtuais e outros serviços e componentes para o Gateway de VPN do Azure que estão na mesma rede virtual dentro do Azure.
  • Gateway de VPN do Azure. O serviço Gateway VPN que permite conectar a rede virtual à rede local ou a servidores autônomos por meio de um dispositivo VPN ou adaptadores de rede do Azure. Para obter mais informações, confira Conectar uma rede local a uma rede virtual do Microsoft Azure. Existem vários níveis de preços, ou unidades de manutenção de estoque (SKUs), disponíveis para gateways VPN. Cada SKU oferece suporte a requisitos diferentes com base nos tipos de cargas de trabalho, taxa de transferência, recursos e SLAs (contratos de nível de serviço). O gateway VPN inclui os seguintes componentes:
    • Gateway de rede virtual (ativo). Esse recurso do Azure fornece um dispositivo VPN virtual para a rede virtual e é responsável por rotear o tráfego entre a rede local e a rede virtual.
    • Gateway de rede virtual (passivo). Esse recurso do Azure fornece um dispositivo VPN virtual para a rede virtual e é a instância em espera do Gateway de VPN do Azure ativo. Para obter mais informações, consulte Sobre a redundância do gateway de VPN do Azure.
    • Gateway de sub-rede. O gateway de rede virtual é mantido em sua própria sub-rede, que está sujeita a vários requisitos que a seção Recomendações a seguir detalha.
    • Conexão. A conexão tem propriedades que especificam o tipo de conexão. Essas propriedades incluem IPsec (Internet Protocol Security) e a chave compartilhada com o dispositivo VPN local para criptografar o tráfego.
  • Aplicativo de nuvem. Esse componente é o aplicativo hospedado no Azure. Ele pode incluir muitas camadas com várias sub-redes que se conectam por meio de balanceadores de carga do Azure. Para obter mais informações sobre a infraestrutura do aplicativo, confira Execução de cargas de trabalho de VM do Windows e Execução de cargas de trabalho de VM do Linux.
  • Balanceador Interno de carga. O tráfego de rede do gateway VPN é roteado para o aplicativo de nuvem por meio de um balanceador de carga interno, que está na sub-rede de produção do aplicativo.
  • Bastião do Azure. O Bastião do Azure permite que você faça logon em VMs na rede virtual do Azure sem expor as VMs diretamente à Internet. Ele usa Secure Shell (SSH) ou Remote Desktop Protocol (RDP). Se você perder a conectividade VPN, ainda poderá usar o Bastião do Azure para gerenciar suas VMs na rede virtual do Azure. No entanto, não há suporte para o gerenciamento de servidores locais por meio do Bastião do Azure.

Componentes

  • Rede Virtual. A Rede Virtual do Azure (VNet) é o bloco de construção fundamental de sua rede privada no Azure. Ela permite vários tipos de recursos do Azure, como VMs (Máquinas Virtuais) do Azure, a fim de se comunicar de forma segura com a Internet, com as redes locais e com outras VMs.

  • Bastião do Azure. O Azure Bastion é um serviço totalmente gerenciado que fornece acesso contínuo e mais seguro usando o protocolo RDP ou SSH às VMs (máquinas virtuais) sem nenhuma exposição por meio de endereços IP públicos.

  • Gateway de VPN. O Gateway de VPN envia tráfego criptografado entre uma rede virtual do Azure e uma localização local pela internet pública. Também é possível usar um Gateway de VPN para enviar tráfego criptografado entre as redes virtuais do Azure pela rede da Microsoft. Um gateway de VPN é um tipo específico de gateway de rede virtual.

  • Centro de administração do Windows. O Windows Admin Center é um aplicativo baseado em navegador, implantado localmente, que gerencia os servidores, os clusters e a infraestrutura hiperconvergente do Windows, além de computadores com Windows 10. É um produto gratuito e está pronto para uso na produção.

Recomendações

As seguintes recomendações aplicam-se à maioria dos cenários. Siga estas recomendações, a menos que você tenha um requisito específico que as substitua.

Conectar um servidor autônomo

Para conectar um servidor autônomo por meio do WAC, você deve adicionar o servidor à lista de servidores gerenciados na instalação do WAC do servidor dedicado. Depois de adicionar o servidor a essa lista, você pode selecionar o servidor para o qual deseja instalar o Adaptador de Rede do Azure e, em seguida, selecionar Rede nas ferramentas seguidas pela opção "+ Adicionar Adaptador de Rede do Azure (Visualização)" no painel Rede .

Dica

Se você não vir a opção "+ Adicionar Adaptador de Rede do Azure (Visualização)" na janela do navegador, talvez seja necessário ampliar a janela ou observar um botão Ação com um cursor suspenso. Selecione o cursor suspenso para acessar a opção e adicione o Adaptador de Rede do Azure.

Quando você seleciona a opção + Adicionar Adaptador de Rede do Azure (Visualização), a folha de configuração Adicionar Adaptador de Rede do Azure é aberta em uma janela do navegador. Há várias opções que você pode configurar dentro dessa folha.

Observação

Se você não tiver se autenticado anteriormente da WAC em relação ao locatário do Azure que deseja usar, uma caixa de diálogo de autenticação será exibida. Forneça as informações de autenticação do locatário para prosseguir. As credenciais de usuário que você usa para autenticar devem ter permissões suficientes para criar os recursos do Azure que você configurará durante as etapas subsequentes.

As seguintes informações são necessárias:

Campo Valor Informações adicionais
Assinatura Selecionar no menu suspenso Este campo lista apenas as subscrições atribuídas ao seu inquilino.
Localidade Selecionar no menu suspenso Selecione uma região do Azure para sua implantação.
Rede Virtual Selecione na lista suspensa ou use o hiperlink fornecido para Criar uma nova Rede Virtual no portal do Azure Dependendo da sua seleção, o conteúdo do campo varia. Se a Rede Virtual existir, você observará um hiperlink que poderá seguir para revisar a Rede Virtual no portal do Azure. Se a Rede Virtual selecionada já contiver um Gateway de Rede Virtual, um hiperlink para esse recurso do Azure será fornecido.
Sub-rede do gateway Prefixo de sub-rede, como 10.0.1.0/24 Dependendo da Rede Virtual selecionada, esse campo variará. Se a rede virtual selecionada não contiver nenhuma sub-rede rotulada como GatewaySubnet, o campo será pré-preenchido com um prefixo de sub-rede que inclua o intervalo de endereços e a máscara de sub-rede. Se a Rede Virtual selecionada já contiver um Gateway de Rede Virtual, um hiperlink para esse recurso do Azure será fornecido.
SKU de gateway Selecionar no menu suspenso Para obter mais informações, consulte os SKUs de gateway.
Espaço de endereço do cliente Prefixo de sub-rede, como 192.168.1.0/24 O campo será pré-preenchido com um prefixo de sub-rede que inclui o intervalo de endereços e a máscara de sub-rede. É a rede que será usada entre o servidor ao qual você adiciona o Adaptador de Rede do Azure e o Gateway de VPN do Azure. Ele deve ter um intervalo de endereços que não se sobreponha a nenhum dos intervalos de endereços usados no local ou em qualquer uma das Redes Virtuais do Azure conectadas.
Certificado de autenticação Selecione uma das opções A opção "Certificado de cliente e raiz autoassinado gerado automaticamente" está pré-selecionada e funciona melhor na maioria dos cenários. Ao selecionar a opção "Usar a própria raiz e certificado de cliente", você deve fornecer dois arquivos: um certificado raiz (.cer) e um certificado de cliente (.pfx) e, em seguida, a senha para o certificado do cliente.

Depois de preencher todos os campos necessários, o botão Criar fica ativo e você deve selecioná-lo para iniciar a implantação do Adaptador de Rede do Azure no servidor selecionado.

O processo de implantação tem duas partes principais, a primeira das quais é a implantação e a seleção do Gateway de VPN do Azure. Se você precisar implantar seu Gateway de VPN do Azure primeiro, aguarde de 25 a 45 minutos para que a implantação seja concluída. (Algumas configurações podem levar tanto tempo para serem implantadas.) A WAC fornecerá informações sobre o progresso da implantação. A segunda parte é a instalação real do Adaptador de Rede do Azure, que pode levar 10 minutos. A WAC também irá notificá-lo sobre o progresso da instalação.

Quando a implantação começar, você poderá alterar o foco do WAC selecionando outras ferramentas ou servidores. O processo de implantação continua em segundo plano.

Se você selecionar a opção Certificado de cliente e raiz autoassinado gerado automaticamente, o Azure criará os dois certificados necessários para você automaticamente e os armazenará no repositório de certificados do servidor selecionado. Você pode usar a ferramenta Certificados no WAC para localizá-los e, em seguida, pode localizar um certificado raiz no contêiner Máquina Local/Raiz. O nome do certificado começa com Windows Admin Center-Created-vpngw e contém a cadeia de caracteres P2SRoot . A cauda da cadeia de caracteres inclui um carimbo de data/hora codificado com a data de criação do certificado. Esse certificado também será armazenado no contêiner Máquina Local/CA. O segundo certificado é armazenado no contêiner Máquina Local/Meu. O nome desse certificado começa com Windows Admin Center-Created-vpngw e contém a cadeia de caracteres P2SClient . A cauda da cadeia de caracteres inclui um carimbo de data/hora codificado com a data de criação do certificado.

Após a conclusão da implantação, a ferramenta Redes do servidor selecionado é atualizada com o novo Adaptador de Rede do Azure, que é iniciado automaticamente após o término da implantação e indica um status ativo. Você pode selecionar o adaptador para ativar a lista suspensa Mais , que pode ser selecionada para desconectar ou excluir o adaptador. No servidor real, o Adaptador de Rede do Azure é instalado como uma conexão VPN. O nome do adaptador começa com Windows Admin CenterVPN, seguido por um número aleatório de três dígitos.

Quando o Adaptador de Rede do Azure estiver instalado e conectado, você poderá usar essa nova conexão de rede para se conectar diretamente às VNets do Azure e seus sistemas. Esse tipo de conexão normalmente é usado para estabelecer uma sessão de área de trabalho remota por meio do endereço IP interno de uma VM do Azure, em vez de usar o endereço IP público da VM.

Usando um servidor WAC dedicado

Para uma administração centralizada, recomendamos que você use uma instalação dedicada do Windows Admin Server, a partir da qual você pode adicionar outros servidores. Essa abordagem significa que nenhum servidor administrado requer software extra. Para obter mais informações, consulte Windows Admin Center.

Preparar uma rede virtual dedicada

A interface de instalação do Adaptador de Rede do Azure pode não atender às suas necessidades de convenção de nomenclatura ou camada de preços. Para evitar esse conflito, você pode criar os recursos necessários do Azure antes de implantar o adaptador. Durante a implantação, você seleciona os recursos já existentes em vez de criá-los por meio da interface de instalação.

Observação

Certifique-se de selecionar a SKU de Gateway VPN correta, pois nem todas elas oferecem suporte à conexão VPN que vem com o Adaptador de Rede do Azure. A caixa de diálogo de instalação oferece VpnGw1, VpnGw2 e VpnGw3. Atualmente, o adaptador não oferece suporte às versões com redundância de zona do Gateway VPN.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios de orientação que podem ser usados para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.

Escalabilidade

  • SKU do Gateway VPN:
    • O SKU do Gateway VPN que você está selecionando determina quantas conexões ele pode ter em paralelo e a largura de banda disponível para todas essas conexões. O número de conexões simultâneas varia de 250 a 1.000 quando você estiver usando a opção P2S IKEv2/OpenVPN . IKE refere-se à troca de chaves IPsec. É aconselhável começar com VpnGw1 e expandir mais tarde se você precisar de mais conexões. Se você precisar alternar a geração do Gateway VPN, será necessário instalar um novo gateway e implantar um novo Adaptador de Rede do Azure para se conectar a ele.
  • Conecte vários servidores autônomos:
    • Você pode usar o WAC para implantar o Adaptador de Rede do Azure em quantos servidores forem necessários. Você também pode adicionar muitos adaptadores de rede do Azure a um único servidor para se conectar a diferentes VNets do Azure. Quando a implantação inicial do Gateway VPN estiver concluída, você poderá configurar servidores extras para usar o mesmo gateway selecionando o gateway existente na interface de instalação.
    • Os servidores autônomos podem estar localizados na mesma rede, em uma rede de filial ou em uma rede baseada em nuvem diferente. Você pode usar a conexão de rede que estabeleceu, como sua WAN corporativa ou uma VPN dedicada a um provedor de nuvem diferente, se as portas de rede necessárias estiverem disponíveis por meio dessas conexões. Para obter mais informações, consulte a seção "Considerações de segurança" neste artigo.
  • Conexão Site a Site do Azure:
    • O Adaptador de Rede do Azure é uma única instalação em um único servidor. Se você quiser conectar vários servidores, poderá enfrentar um esforço administrativo significativo. No entanto, você pode evitar esse esforço conectando seus sistemas locais usando o método de conexão do Site 2 (S2S) do Azure, que conecta uma rede local existente a uma rede virtual do Azure e suas sub-redes. No núcleo desta conexão está um Gateway de VPN do Azure por meio do qual você pode conectar um gateway VPN local com o Gateway de VPN do Azure remoto. Essa conexão segura permite que os dois segmentos de rede se comuniquem de forma transparente entre si.

Disponibilidade

  • O Adaptador de Rede do Azure oferece suporte apenas a uma configuração ativa-passiva do Gateway de VPN do Azure. Durante a configuração do adaptador, você pode apontar para um gateway de VPN do Azure ativo-ativo existente. A instalação reconfigurará o gateway para a configuração ativo-passivo. Uma reconfiguração manual do gateway para o estado ativo-ativo é possível, mas o Adaptador de Rede do Azure não se conectará a esse gateway.

    Aviso

    Configurar um Adaptador de Rede do Azure em um Gateway de VPN do Azure existente com uma configuração ativo-ativo reconfigurará o gateway para ativo-passivo. Isso afetará todas as conexões VPN existentes para esse gateway. A alteração da configuração ativa-ativa para a configuração ativa-espera causará uma queda de um dos dois túneis VPN IPsec para cada conexão. Não prossiga sem avaliar seus requisitos gerais de conexão e consultar seus administradores de rede.

Capacidade de gerenciamento

  • Conta administrativa:

    • O WAC é a ferramenta principal que você usa para implantar o Adaptador de Rede do Azure e configurar o tratamento de conta. Para obter mais informações sobre as opções disponíveis, consulte Opções de acesso do usuário com o Windows Admin Center. Você pode configurar uma conta individual por conexão de servidor.

      Observação

      A caixa de diálogo na qual você configura a conta administrativa por servidor validará suas credenciais quando você selecionar Continuar. Para abrir a caixa de diálogo, no WAC, selecione a linha com o nome do servidor aplicável e selecione Gerenciar como. Não selecione o hiperlink que representa o servidor, pois ele o conectará a esse servidor imediatamente.

    • Além disso, você deve configurar uma conta de usuário para a conexão do Azure abrindo a caixa de diálogo Configurações no WAC e modificando a seção de conta. Você também pode alternar usuários ou fazer logout da sessão de um usuário na caixa de diálogo Configurações .

  • Integração do Azure Recovery Vault:
    • Ao instalar o Adaptador de Rede do Azure em um servidor autônomo, você pode considerar esse servidor uma porta para sua continuidade de negócios. Você pode integrar esse servidor aos seus procedimentos de backup e recuperação de desastres usando os serviços do Cofre de Recuperação do Azure que você configura selecionando Backup do Azure na seção Ferramentas do WAC. O Backup do Azure ajuda a proteger seu servidor Windows contra corrupções, ataques ou desastres, fazendo backup do servidor diretamente no Microsoft Azure.

Segurança

A segurança fornece garantias contra ataques deliberados e o abuso de seus dados e sistemas valiosos. Para saber mais, confira Visão geral do pilar de segurança.

  • Portas de rede necessárias:

    • As portas de rede para comunicação remota do PowerShell devem estar abertas se você quiser usar o WAC para implantar o Adaptador de Rede do Azure.

    • O PowerShell Remoting usa o Gerenciamento Remoto do Windows (WinRM). Para obter mais informações, consulte Considerações de segurança remota do PowerShell e Configurações padrão de comunicação remota do PowerShell.

    • Em alguns cenários, é necessário usar métodos de autenticação extras. O WAC pode usar o PowerShell com o protocolo CredSSP (Credential Security Support Provider) para se conectar a servidores remotos. Para obter mais informações, consulte PowerShell Remoting e CredSSP e como o Windows Admin Center usa o CredSSP.

    • O PowerShell Remoting (e o WinRM) usa as seguintes portas:

      Protocolo Porta
      HTTP 5985
      HTTPS 5986

    • A forma como você se conecta ao servidor no qual o Windows Admin Center (WAC) está instalado depende do tipo de instalação do WAC. A porta padrão varia e pode ser a porta 6516 quando instalada no Windows 10 ou a porta 443 quando instalada no Windows Server. Para obter mais informações, consulte Instalar o Windows Admin Center.

  • Integração com o Microsoft Defender for Cloud:
    • Para ajudar a proteger o servidor no qual o Adaptador de Rede do Azure está instalado, você pode integrar o servidor ao Microsoft Defender for Cloud selecionando Microsoft Defender for Cloud na seção Ferramentas do WAC. Durante a integração, você deve selecionar um espaço de trabalho existente do Azure Log Analytics ou criar um novo. Você será cobrado separadamente por cada servidor integrado ao Microsoft Defender for Cloud. Para obter mais informações, consulte preços do Microsoft Defender para Nuvem.

DevOps

  • Automação do Azure:
    • O WAC fornece acesso ao código do PowerShell que cria o Adaptador de Rede do Azure e você pode revisá-lo selecionando a ferramenta Rede e, em seguida, selecionando o ícone Exibir scripts do PowerShell na parte superior da página do WAC. O nome do script é Complete-P2SVPNConfiguration, e ele é implementado como uma função do PowerShell. O código é assinado digitalmente e está pronto para ser reutilizado. Você pode integrá-lo à Automação do Azure configurando mais serviços dentro do portal do Azure.

Otimização de custo

A otimização de custos é a análise de maneiras de reduzir as despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, confira Visão geral do pilar de otimização de custo.

  • Calculadora de Preços do Azure:
    • Usar o Adaptador de Rede do Azure não custa nada, pois é um componente que você implanta em um sistema local. O Gateway de VPN do Azure, como parte da solução, gera custos extras, assim como o uso de outros serviços, como o Cofre de Recuperação do Azure ou o Microsoft Defender for Cloud. Para obter mais informações sobre custos reais, consulte a Calculadora de Preços do Azure. É importante observar que os custos reais variam de acordo com a região do Azure e seu contrato individual. Entre em contato com um representante de vendas da Microsoft para obter mais informações sobre preços.
  • Custos de saída:
    • Há custos extras associados às transferências de dados Inter-VNet de saída. Esses custos dependem do SKU do seu gateway VPN e da quantidade real de dados que você está usando. Para obter mais informações, consulte a Calculadora de Preços do Azure. É importante observar que os custos reais variam de acordo com a região do Azure e seu contrato individual. Entre em contato com um representante de vendas da Microsoft para obter informações adicionais sobre preços.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Autor principal:

  • Frank Migacz - Brasil | Especialista em Inovação de Aplicativos

Para ver perfis não públicos do LinkedIn, entre no LinkedIn.

Próximas etapas

Saiba mais sobre as tecnologias dos componentes:

Explorar arquiteturas relacionadas: