Estender uma rede local usando o ExpressRoute

ExpressRoute
Rede Virtual
Máquinas Virtuais

Essa arquitetura de referência mostra como conectar uma rede local a redes virtuais no Azure usando o Azure ExpressRoute. Conexões do ExpressRoute usam uma conexão privada dedicada por meio de um provedor de conectividade de terceiros. A conexão privada estende sua rede local para o Azure.

Arquitetura

0

Baixe um Arquivo Visio dessa arquitetura.

Fluxo de trabalho

A arquitetura consiste nos componentes a seguir.

  • Rede corporativa local. Uma rede de área local privada em execução dentro de uma organização.

  • Circuito do ExpressRoute. Um circuito de camada 2 ou de camada 3 fornecido pelo provedor de conectividade que une a rede local com o Azure por meio de roteadores de borda. O circuito usa a infraestrutura de hardware gerenciada pelo provedor de conectividade.

  • Roteadores de borda locais. Roteadores que se conectam a rede local ao circuito gerenciado pelo provedor. Dependendo de como sua conexão é provisionada, talvez seja necessário fornecer endereços IP públicos usados pelos roteadores.

  • Roteadores de borda da Microsoft. Dois roteadores em uma configuração altamente disponível de tipo ativo-ativo. Esses roteadores permitem que um provedor de conectividade conecte seus circuitos diretamente ao seu datacenter. Dependendo de como sua conexão é provisionada, talvez seja necessário fornecer endereços IP públicos usados pelos roteadores.

  • Redes virtuais do Azure (VNets). Cada VNet reside em uma única região do Azure e pode hospedar várias camadas de aplicativos. As camadas de aplicativo podem ser segmentadas usando sub-redes em cada VNet.

  • Serviços públicos do Azure. Serviços do Azure que podem ser usados em um aplicativo híbrido. Esses serviços também estão disponíveis na Internet, mas acessá-los usando um circuito do ExpressRoute fornece baixa latência e desempenho mais previsível, porque o tráfego não passa pela Internet.

  • Microsoft 365 serviços. Os aplicativos e serviços Microsoft 365 publicamente disponíveis fornecidos pela Microsoft. Conexões são realizadas usando emparelhamento da Microsoft, com os endereços pertencentes à sua organização ou fornecidos pelo seu provedor de conectividade. Você também pode se conectar diretamente ao Microsoft CRM Online por meio do emparelhamento da Microsoft.

  • Provedores de conectividade (não mostrados). Empresas que fornecem uma conexão usando conectividade de camada 2 ou camada 3 entre o seu datacenter e um datacenter do Azure.

Recomendações

As seguintes recomendações aplicam-se à maioria dos cenários. Siga estas recomendações, a menos que você tenha um requisito específico que as substitua.

Provedores de conectividade

Selecione um provedor de conectividade do ExpressRoute adequado para sua localização. Para obter uma lista de provedores de conectividade disponíveis no local, use o seguinte comando do Azure PowerShell:

Get-AzExpressRouteServiceProvider

Provedores de conectividade do ExpressRoute conectam seu datacenter à Microsoft das seguintes maneiras:

  • Co-localizado em uma troca de nuvem. Se você estiver localizado em uma instalação com uma troca de nuvem, poderá solicitar conexões cruzadas virtuais com o Azure por meio da troca Ethernet do provedor de co-localização. Os provedores da colocalização podem oferecer conexões cruzadas de camada 2 ou conexões cruzadas gerenciadas de camada 3 entre sua infraestrutura na instalação de colocalização e o Azure.
  • Conexões Ethernet ponto a ponto. Você pode conectar seus data centers/escritórios locais ao Azure por meio de links de Ethernet ponto a ponto. Os provedores de Ethernet ponto a ponto podem oferecer conexões de camada 2 ou conexões gerenciadas de camada 3 entre seu site e o Azure.
  • Redes IPVPN (qualquer para qualquer). Você pode integrar sua WAN (rede de longa distância) com o Azure. Provedores de Internet IPVPN (rede virtual privada de protocolo IP), normalmente uma VPN de mudança de rótulo multiprotocolo, oferecem conectividade de qualquer para qualquer entre suas filiais e data centers. O Azure pode ser interconectado à sua WAN para que ela fique exatamente igual a qualquer outra filial. Normalmente, os provedores de rede WAN oferecem conectividade gerenciada de camada 3.

Para obter mais informações sobre provedores de conectividade, consulte a Introdução ao ExpressRoute.

Circuito do ExpressRoute

Verifique se a sua organização cumpre os pré-requisitos do ExpressRoute para se conectar ao Azure.

Se você ainda não o fez, adicione uma sub-rede denominada GatewaySubnet à sua VNet do Azure e crie um gateway de rede virtual do ExpressRoute usando o serviço de gateway VPN do Azure. Para obter mais informações sobre este processo, consulte Fluxos de trabalho do ExpressRoute para provisionamento e estados do circuito.

Crie um circuito do ExpressRoute conforme descrito a seguir:

  1. Execute o seguinte comando do PowerShell:

    New-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>> -Location <<location>> -SkuTier <<sku-tier>> -SkuFamily <<sku-family>> -ServiceProviderName <<service-provider-name>> -PeeringLocation <<peering-location>> -BandwidthInMbps <<bandwidth-in-mbps>>
    
  2. Envie o ServiceKey para o novo circuito para o provedor de serviços.

  3. Aguarde até que o provedor provisione o circuito. Para verificar o estado de provisionamento de um circuito, execute o seguinte comando do PowerShell:

    Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
    

    O campo Provisioning state na seção Service Provider da saída será alterado de NotProvisioned para Provisioned quando o circuito estiver pronto.

    Observação

    Se você estiver usando uma conexão de camada 3, o provedor deverá configurar e gerenciar o roteamento para você. Você fornece as informações necessárias para habilitar o provedor a implementar as rotas apropriadas.

  4. Se você estiver usando uma conexão de camada 2:

    1. Reserve duas sub-redes /30 compostas de endereços IP públicos válidos para cada tipo de emparelhamento que você deseja implementar. Essas sub-redes /30 serão usadas para fornecer endereços IP para os roteadores usados para o circuito. Se você estiver implementando o emparelhamento privado e da Microsoft, precisará de 4/30 sub-redes com endereços IP públicos válidos.

    2. Configure o roteamento para o circuito do ExpressRoute. Execute os seguintes comandos do PowerShell para cada tipo de emparelhamento que você deseja configurar (privado e Microsoft). Para obter mais informações, consulte Criar e modificar o roteamento de um circuito do ExpressRoute.

      Set-AzExpressRouteCircuitPeeringConfig -Name <<peering-name>> -ExpressRouteCircuit <<circuit-name>> -PeeringType <<peering-type>> -PeerASN <<peer-asn>> -PrimaryPeerAddressPrefix <<primary-peer-address-prefix>> -SecondaryPeerAddressPrefix <<secondary-peer-address-prefix>> -VlanId <<vlan-id>>
      
      Set-AzExpressRouteCircuit -ExpressRouteCircuit <<circuit-name>>
      
    3. Reserve outro pool de endereços IP públicos válidos a serem usados para conversão de endereços de rede (NAT) para emparelhamento da Microsoft. É recomendável ter um pool diferente para cada emparelhamento. Especifica o pool para seu provedor de conectividade, assim ele pode configurar anúncios do Protocolo BGP (Border Gateway Protocol) para esses intervalos.

  5. Execute os comandos do PowerShell a seguir para vincular suas VNets privadas ao circuito do ExpressRoute. Para obter mais informações, consulte Vincular uma rede virtual a um circuito do ExpressRoute.

    $circuit = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
    $gw = Get-AzVirtualNetworkGateway -Name <<gateway-name>> -ResourceGroupName <<resource-group>>
    New-AzVirtualNetworkGatewayConnection -Name <<connection-name>> -ResourceGroupName <<resource-group>> -Location <<location> -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute
    

Você pode conectar múltiplas VNets localizadas em regiões diferentes ao mesmo circuito do ExpressRoute, desde que todas as VNets e o circuito do ExpressRoute estejam localizados na mesma região geopolítica.

Solução de problemas

Se um circuito do ExpressRoute que funcionava anteriormente agora falha ao se conectar sem que tenha ocorrido nenhuma alteração de configuração local ou dentro de sua VNet privada, você provavelmente precisará entrar em contato com o provedor de conectividade e trabalhar com eles para corrigir o problema. Use os seguintes comandos do PowerShell para verificar se o circuito do ExpressRoute foi provisionado:

Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

A saída desse comando mostra várias propriedades para o circuito, incluindo ProvisioningState, CircuitProvisioningState e ServiceProviderProvisioningState conforme mostrado abaixo.

ProvisioningState                : Succeeded
Sku                              : {
                                     "Name": "Standard_MeteredData",
                                     "Tier": "Standard",
                                     "Family": "MeteredData"
                                   }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : NotProvisioned

Se o ProvisioningState não está definido como Succeeded após uma tentativa de criar um novo circuito, remova o circuito usando o comando a seguir e tente criá-lo novamente.

Remove-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

Se seu provedor já tinha provisionado o circuito e o ProvisioningState está definido para Failed ou então, se o CircuitProvisioningState não é Enabled, entre em contato com seu provedor para obter assistência adicional.

Considerações

Escalabilidade

Os circuitos do ExpressRoute fornecem um caminho de alta largura de banda entre redes. Em geral, quanto maior a largura de banda, maior o custo.

O ExpressRoute oferece dois planos de preços para clientes, um plano limitado e um plano de dados ilimitado. Os encargos variam de acordo com a largura de banda do circuito. A largura de banda disponível provavelmente será diferente para cada provedor. Use o cmdlet Get-AzExpressRouteServiceProvider para ver os provedores disponíveis na sua região e as larguras de banda que eles oferecem.

Um único circuito do ExpressRoute pode dar suporte a um determinado número de emparelhamentos e links de VNet. Para obter mais informações, consulte limites do ExpressRoute.

A um custo adicional, o complemento ExpressRoute Premium oferece algumas funcionalidades adicionais:

  • Aumento dos limites de rota para o emparelhamento privado.
  • Aumento do número de links de VNet por circuito do ExpressRoute.
  • Conectividade global para serviços.

Consulte Preços do ExpressRoute para obter detalhes.

Circuitos de ExpressRoute são projetados para permitir intermitências de rede temporárias de até duas vezes o limite de largura de banda que você adquiriu, sem nenhum custo adicional. Isso é alcançado por meio de links redundantes. No entanto, nem todos os provedores de conectividade dão suporte a esse recurso. Verifique se que o seu provedor de conectividade permite esse recurso antes de depender dele.

Embora alguns provedores permitam que você altere a largura de banda, verifique se você escolheu uma largura de banda inicial que ultrapassa a suas necessidades e deixa margem para crescimento. Se você precisar aumentar a largura de banda no futuro, haverá duas opções:

  • Aumentar a largura de banda. Evite essa opção sempre que possível; inclusive, nem todos os provedores permitem aumentar dinamicamente a largura de banda. Mas se um aumento de largura de banda for necessário, verifique com o provedor para verificar se eles dão suporte à alteração das propriedades de largura de banda do ExpressRoute por meio de comandos do PowerShell. Se esse for o caso, execute os comandos abaixo.

    $ckt = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
    $ckt.ServiceProviderProperties.BandwidthInMbps = <<bandwidth-in-mbps>>
    Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
    

    Você pode aumentar a largura de banda sem perda de conectividade. Fazer downgrade da largura de banda resultará em interrupções na conectividade, porque você deverá excluir o circuito e recriá-lo com a nova configuração.

  • Alterar o plano de preços e/ou fazer upgrade para Premium. Para fazer isso, execute os comandos a seguir. A propriedade Sku.Tier pode ser Standard ou Premium; a propriedade Sku.Name pode ser MeteredData ou UnlimitedData.

    $ckt = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
    
    $ckt.Sku.Tier = "Premium"
    $ckt.Sku.Family = "MeteredData"
    $ckt.Sku.Name = "Premium_MeteredData"
    
    Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
    

    Importante

    Verifique se a propriedade Sku.Name corresponde a Sku.Tier e Sku.Family. Se você alterar a família e camada, mas não o nome, a conexão será desabilitada.

    Você pode fazer upgrade do SKU sem interrupções, mas você não pode mudar do plano de preços ilimitado para o limitado. Ao fazer o downgrade do SKU, o consumo de largura de banda deve permanecer dentro do limite padrão do SKU padrão.

Disponibilidade

O ExpressRoute não dá suporte a protocolos de redundância de roteador como HSRP (protocolo de roteamento de espera ativa) e VRRP (protocolo de redundância de roteador virtual) para implementar a alta disponibilidade. Em vez disso, ele usa um par redundante de sessões de BGP por emparelhamento. Para facilitar as conexões de alta disponibilidade à sua rede, o Azure provisiona duas portas redundantes em dois roteadores (parte do Microsoft edge) em uma configuração ativo-ativo.

Por padrão, as sessões BGP usam um valor de tempo limite de ociosidade de 60 segundos. Se uma sessão expirar três vezes (total de 180 segundos), o roteador será marcado como não disponível e todo o tráfego será redirecionado para o roteador restante. Esse tempo limite de 180 segundos pode ser muito longo para aplicativos críticos. Nesse caso, você pode alterar as configurações de tempo limite de BGP no roteador local para um valor menor. O ExpressRoute também dá suporte à BFD (Detecção de Encaminhamento Bidirecional) em emparelhamento privado. Ao habilitar BFD no ExpressRoute, é possível acelerar a detecção de falhas de vínculo entre os dispositivos de borda do Microsoft Enterprise (MSEE) e os roteadores em que terminam o circuito do ExpressRoute (PE). É possível terminar o ExpressRoute nos dispositivos de roteamento de Borda de Clientes ou dispositivos de roteamento de Borda do Parceiro (se tiver optado pelo serviço de conexão gerenciado da Camada 3).

Você poderá configurar a alta disponibilidade para a conexão do Azure de maneiras diferentes, dependendo do tipo de provedor que você usar e do número de circuitos do ExpressRoute e de conexões de gateway de rede virtual que você pretender configurar. O exemplo a seguir resume as opções de disponibilidade:

  • Se você estiver usando uma conexão de camada 2, implante roteadores redundantes em sua rede local em uma configuração ativo-ativo. Conecte o circuito primário a um roteador e o circuito secundário ao outro. Isso lhe dará uma conexão altamente disponível em ambas as extremidades da conexão. Isso é necessário se você precisar de contrato de nível de serviço (SLA) do ExpressRoute. Consulte SLA para o Azure ExpressRoute para obter detalhes.

    O diagrama a seguir mostra uma configuração com roteadores locais redundantes conectados aos circuitos primários e secundários. Cada circuito manipula o tráfego para emparelhamento privado (cada emparelhamento é designado como um par de espaços de endereço /30, conforme descrito na seção anterior).

    1

  • Se você estiver usando uma conexão de camada 3, verifique se que ele forneça sessões de BGP redundantes que controlem a disponibilidade para você.

  • Conecte a VNet a vários circuitos do ExpressRoute fornecidos por diferentes provedores de serviço. Essa estratégia fornece funcionalidades adicionais de recuperação de desastre e alta disponibilidade.

  • Configure uma VPN site a site como um caminho de failover para o ExpressRoute. Para obter mais informações sobre essa opção, consulte Conectar uma rede local ao Azure usando o ExpressRoute com failover de VPN. Essa opção só se aplica ao emparelhamento privado. Para serviços do Azure e Microsoft 365, a Internet é o único caminho de failover.

Segurança

Você pode configurar opções de segurança para sua conexão do Azure de maneiras diferentes, dependendo de suas necessidades de conformidade e questões de segurança.

O ExpressRoute funciona na camada 3. Ameaças na camada de aplicativo podem ser evitadas por meio de um dispositivo de segurança de rede que restringe o tráfego a recursos legítimos.

Para maximizar a segurança, adicione dispositivos de segurança de rede entre a rede local e os roteadores de borda do provedor. Isso ajudará a restringir o fluxo de entrada de tráfego não autorizado da VNet:

2

Para fins de auditoria ou a conformidade, pode ser necessário impedir o acesso direto de componentes em execução na VNet à Internet e implementar túnel forçado. Nessa situação, o tráfego de Internet deve ser redirecionado por meio de um proxy executado localmente, de modo que possa ser auditado. O proxy pode ser configurado para bloquear a saída de tráfego não autorizado e filtrar tráfego de entrada potencialmente mal-intencionado.

3

Para maximizar a segurança, não habilite um endereço IP público para suas VMs e use os NSGs para garantir que essas VMs não fiquem acessíveis publicamente. VMs só devem estar disponíveis usando o endereço IP interno. Esses endereços podem se tornar acessíveis através da rede de do ExpressRoute, permitindo que a equipe de DevOps local realize a configuração ou a manutenção.

Se você precisar expor pontos de extremidade de gerenciamento para VMs a uma rede externa, use NSGs ou listas de controle de acesso para restringir a visibilidade dessas portas a uma lista permitida de endereços IP ou redes.

Observação

As VMs do Azure implantadas por meio do portal do Azure podem incluir um endereço IP público que fornece acesso de logon. No entanto, é uma prática recomendada não permitir isso.

Monitoramento de rede

Use o Observador de Rede para monitorar e solucionar problemas de componentes de rede, ferramentas como a Análise de Tráfego mostrarão os sistemas em suas redes virtuais que geram a maioria do tráfego, para que você possa identificar visualmente gargalos antes que eles se degeneram em problemas. O Gerenciador de Desempenho de Rede tem a capacidade de monitorar informações sobre circuitos do Microsoft ExpressRoute.

Você também pode usar o Azure Connectivity Toolkit (AzureCT) para monitorar a conectividade entre o datacenter local e o Azure.

Para obter mais informações, consulte a seção DevOps no Microsoft Azure Well-Architected Framework. Para obter informações específicas do monitoramento, consulte Monitoramento para DevOps.

Otimização de custo

Use a Calculadora de Preços do Azure para estimar os custos. Para considerações gerais, consulte a seção Custo no Microsoft Azure Well-Architected Framework.

Os serviços usados nesta arquitetura são cobrados da seguinte maneira:

Azure ExpressRoute

Nesta arquitetura, um circuito do ExpressRoute é usado para ingressar a rede local com o Azure por meio dos roteadores de borda.

Há dois planos principais. No plano Dados Medidos , toda a transferência de dados de entrada é gratuita. Toda transferência de dados de saída é cobrada com base em uma taxa pré-determinada.

Você também pode optar pelo plano dados ilimitados no qual toda a transferência de dados de entrada e saída é gratuita. Os usuários cobram uma taxa de porta mensal fixa com base em portas duplas de alta disponibilidade.

Calcule sua utilização e escolha um plano de cobrança adequadamente. O plano dados ilimitados é recomendado se você exceder cerca de 68% da utilização.

Para obter mais informações, confira os Preços do Azure ExpressRoute.

Rede Virtual do Azure

Todas as camadas de aplicativo são hospedadas em uma única rede virtual e são segmentadas usando sub-redes.

A Rede Virtual do Microsoft Azure é gratuita. Cada assinatura tem permissão para criar até 50 redes virtuais em todas as regiões. Todo o tráfego que ocorre dentro dos limites de uma rede virtual é gratuito. Portanto, a comunicação entre duas VMs na mesma rede virtual é gratuita.

Máquina virtual e balanceadores de carga internos

Nessa arquitetura, os balanceadores de carga internos são usados para balancear o tráfego de carga dentro de uma rede virtual. O balanceamento de carga básico entre máquinas virtuais que residem na mesma rede virtual é gratuito.

Os conjuntos de dimensionamento de máquinas virtuais estão disponíveis em todos os tamanhos de VM do Linux e do Windows. Você só é cobrado pelas VMs do Azure implantadas e pelos recursos de infraestrutura subjacentes consumidos, como armazenamento e rede. Não há encargos incrementais para o serviço de conjuntos de dimensionamento de máquinas virtuais.

Para obter mais informações, consulte os preços da VM do Azure.

Próximas etapas

Documentação do produto:

Módulos do Microsoft Learn: