Conectar uma rede local ao Azure usando o ExpressRoute

ExpressRoute
Rede Virtual
Gateway de VPN

Essa arquitetura de referência mostra como conectar uma rede local a uma VNet (rede virtual) do Azure usando o ExpressRoute, com uma VPN (rede virtual privada) site a site como uma conexão de failover. O tráfego flui entre a rede local e a rede virtual do Azure por meio de uma conexão do ExpressRoute. Se houver uma perda de conectividade no circuito do ExpressRoute, o tráfego será roteado por um túnel VPN IPsec. Implantar esta solução.

Observe que, se o circuito do ExpressRoute não estiver disponível, a rota VPN administrará apenas conexões de emparelhamento privadas. Conexões de emparelhamento público e da Microsoft passarão pela Internet.

Arquitetura

Reference architecture for a highly available hybrid network architecture using ExpressRoute and VPN gateway

Baixe um Arquivo Visio dessa arquitetura.

Fluxo de trabalho

A arquitetura consiste nos componentes a seguir.

  • Rede local. Uma rede de área local privada em execução dentro de uma organização.

  • Dispositivo de VPN. Um dispositivo ou serviço que fornece conectividade externa com a rede local. O dispositivo de VPN pode ser um dispositivo de hardware ou uma solução de software, como o RRAS (Serviço de Roteamento e Acesso Remoto) do Windows Server 2012. Para obter uma lista de dispositivos VPN com suporte e informações sobre como configurar dispositivos VPN selecionados para se conectar ao Azure, consulte Sobre dispositivos VPN para conexões de Gateway de VPN site a site.

  • Circuito do ExpressRoute. Um circuito de camada 2 ou de camada 3 fornecido pelo provedor de conectividade que une a rede local com o Azure por meio de roteadores de borda. O circuito usa a infraestrutura de hardware gerenciada pelo provedor de conectividade.

  • Gateway de rede virtual do ExpressRoute. O gateway de rede virtual ExpressRoute permite que a VNet se conecte ao circuito ExpressRoute usado para conectividade com a rede local.

  • Gateway de rede virtual VPN. O gateway de rede virtual VPN permite que a VNet conecte-se ao dispositivo VPN na rede local. O gateway de rede virtual VPN está configurado para aceitar solicitações da rede local apenas por meio do dispositivo VPN. Para obter mais informações, consulte Conexão uma rede local para uma rede virtual Microsoft Azure.

  • Conexão VPN. A conexão tem propriedades que especificam o tipo de conexão (IPsec) e a chave compartilhada com o dispositivo de VPN local para criptografar o tráfego.

  • VNet (VNet) Rede Virtual do Azure. Cada VNet reside em uma única região do Azure e pode hospedar várias camadas de aplicativos. As camadas de aplicativo podem ser segmentadas usando sub-redes em cada VNet.

  • Gateway de sub-rede. Os gateways de rede virtual são mantidos na mesma sub-rede.

  • Aplicativo de nuvem. O aplicativo hospedado no Azure. Ele pode incluir várias camadas, com várias sub-redes conectadas por meio de balanceadores de carga do Azure. Para obter mais informações sobre a infraestrutura do aplicativo, consulte Executando Windows cargas de trabalho de VM e executando cargas de trabalho de VM linux.

Recomendações

As seguintes recomendações aplicam-se à maioria dos cenários. Siga estas recomendações, a menos que você tenha um requisito específico que as substitua.

VNet e GatewaySubnet

Crie a conexão de gateway de rede virtual do ExpressRoute e a conexão de gateway de rede virtual VPN na mesma VNet com um objeto Gateway já em vigor. Ambos compartilharão a mesma sub-rede chamada GatewaySubnet.

Se a VNet já incluir uma sub-rede chamada GatewaySubnet, garanta que ela tenha um espaço de endereço /27 ou maior. Se a sub-rede existente for muito pequena, use o seguinte comando do PowerShell para removê-la:

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Remove-AzVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet

Se a VNet não contiver uma sub-rede chamada GatewaySubnet, crie uma nova usando o seguinte comando do PowerShell:

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.224/27"
$vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet

Gateways VPN e ExpressRoute

Verifique se a sua organização cumpre os requisitos de pré-requisitos do ExpressRoute para se conectar ao Azure.

Se você já tiver um gateway de rede virtual VPN em sua VNet do Azure, use o seguinte comando do PowerShell para removê-lo:

Remove-AzVirtualNetworkGateway -Name <your-gateway-name> -ResourceGroupName <your-resource-group>

Siga as instruções em Implementar uma arquitetura de rede híbrida com o Azure ExpressRoute para estabelecer a conexão do ExpressRoute.

Siga as instruções em Implementar uma arquitetura de rede híbrida com o Azure e VPN local para estabelecer sua conexão de gateway de rede virtual VPN.

Depois de estabelecer as conexões de gateway de rede virtual, teste o ambiente da seguinte maneira:

  1. Verifique se que você pode conectar sua rede local à VNet do Azure.
  2. Contate o provedor para interromper a conectividade do ExpressRoute para teste.
  3. Verifique se que você ainda pode se conectar da sua rede local à VNet do Azure usando a conexão de gateway de rede virtual VPN.
  4. Contate o provedor para restabelecer a conectividade do ExpressRoute.

Considerações

DevOps

Para considerações sobre DevOps ExpressRoute, consulte a implementação de uma arquitetura de rede híbrida com as diretrizes do Azure ExpressRoute.

Para obter considerações sobre DevOps VPN site a site, consulte a implementação de uma arquitetura de rede híbrida com diretrizes de VPN local e do Azure.

Segurança

Para considerações gerais de segurança do Azure, consulte Serviços em nuvem da Microsoft e segurança de rede.

Otimização de custo

Para considerações de custo do ExpressRoute, consulte estes artigos:

Implantar este cenário

Pré-requisitos. Você deve ter uma infraestrutura local existente já configurada com um dispositivo de rede adequado.

Para implantar a solução, execute as etapas a seguir.

  1. Clique no link abaixo.

    Deploy to Azure

  2. Aguarde até o link abrir no Portal do Azure e siga estas etapas:

    • O nome do Grupo de recursos já está definido no arquivo de parâmetros, portanto, selecione Criar novo e digite ra-hybrid-vpn-er-rg na caixa de texto.
    • Selecione a região na caixa suspensa Local.
    • Não edite as caixas de texto URI da raiz do modelo ou URI da raiz do parâmetro.
    • Analise os termos e condições e clique na caixa de seleção Concordo com os termos e condições declarados acima.
    • Clique no botão Comprar.
  3. Aguarde até que a implantação seja concluída.

  4. Clique no link abaixo.

    Deploy to Azure

  5. Aguarde até o link abrir no portal do Azure e siga estas etapas:

    • Selecione Usar existente na seção Grupo de recursos e digite ra-hybrid-vpn-er-rg na caixa de texto.
    • Selecione a região na caixa suspensa Local.
    • Não edite as caixas de texto URI da raiz do modelo ou URI da raiz do parâmetro.
    • Analise os termos e condições e clique na caixa de seleção Concordo com os termos e condições declarados acima.
    • Clique no botão Comprar.

Próximas etapas