Visão geral dos serviços de rede do Azure

  • Artigo

Os serviços de rede no Azure fornecem diversos recursos de rede que podem ser usados juntos ou separadamente. Selecione qualquer uma das seguintes funcionalidades principais para saber mais sobre elas:

  • Serviços de conectividade: conecte recursos do Azure e recursos locais usando qualquer ou uma combinação desses serviços de rede no Azure – Rede Virtual (VNet), WAN Virtual, ExpressRoute, Gateway de VPN, Gateway da NAT, DNS do Azure, serviço de emparelhamento, Gerenciador de Rede Virtual do Azure, Servidor de Rota e Azure Bastion.
  • Serviços de proteção de aplicativo: Proteja seus aplicativos usando qualquer um ou uma combinação desses serviços de rede no Azure-Load Balancer, link privado, proteção contra DDoS, firewall, grupos de segurança de rede, firewall de aplicativo Web e pontos de extremidade de rede virtual.
  • Serviços de entrega de aplicativo: entregue aplicativos na rede do Azure usando um destes serviços de rede ou uma combinação deles no Azure: CDN (Rede de Distribuição de Conteúdo), Azure Front Door Service, Gerenciador de Tráfego, Gateway de Aplicativo, Analisador de Internet e Load Balancer.
  • Monitoramento de rede: monitore seus recursos de rede usando um destes serviços de rede ou uma combinação deles no Azure: Observador de Rede, ExpressRoute Monitor, Azure Monitor ou TAP (Ponto de Acesso do Terminal) de VNet.

Serviços de conectividade

Esta seção descreve os serviços que fornecem conectividade entre os recursos do Azure, a conectividade de uma rede local com recursos do Azure e a conectividade de branch para branch no Azure: VNet (Rede Virtual), ExpressRoute, Gateway de VPN, WAN Virtual, Gateway da NAT de Rede Virtual, DNS do Azure, Serviço de Emparelhamento, Servidor de rota e Azure Bastion.

Rede virtual

A Rede Virtual do Azure (VNet) é o bloco de construção fundamental de sua rede privada no Azure. Você pode usar VNets para:

  • Comunicação entre recursos do Azure: você pode implantar máquinas virtuais e vários outros tipos de recursos do Azure em uma rede virtual, como Ambientes do Serviço de Aplicativo do Azure, o AKS (Serviço de Kubernetes do Azure) e Conjuntos de Dimensionamento de Máquinas Virtuais do Azure. Para exibir uma lista completa de recursos do Azure que podem ser implantados em uma rede virtual, confira Integração de serviços de rede virtual.
  • Comunicar-se entre si: você pode conectar redes virtuais umas às outras, permitindo que recursos em qualquer rede virtual se comuniquem entre si, usando emparelhamento de rede virtual ou o Gerenciador de Rede Virtual do Azure. As redes virtuais que você conecta podem estar na mesma região ou em regiões diferentes do Azure. Para obter mais informações, confira Emparelhamento de rede virtual e Gerenciador de Rede Virtual do Azure.
  • Comunicação com a internet: por padrão, todos os recursos em uma VNet podem se comunicar na saída com a Internet. Você pode se comunicar na entrada com um recurso, atribuindo um endereço IP público ou um Load Balancer público. Você também pode usar endereços IP públicos ou o Load Balancer público para gerenciar suas conexões de saída.
  • Comunicação com redes locais: você pode conectar seus computadores e redes locais a uma rede virtual usando o Gateway de VPN ou o ExpressRoute.
  • Criptografar o tráfego entre recursos: você pode usar a criptografia de rede virtual para criptografar o tráfego entre recursos em uma rede virtual.

Gerenciador de Rede Virtual do Azure

O Gerenciador de Rede Virtual do Azure é um serviço de gerenciamento que permite agrupar, configurar, implantar e gerenciar redes virtuais globalmente em assinaturas. Com o Gerenciador de Rede Virtual, você pode definir grupos de rede para identificar e segmentar logicamente suas redes virtuais. Em seguida, você pode determinar a conectividade e as configurações de segurança que quiser e aplicá-las em todas as redes virtuais selecionadas nos grupos de rede de uma só vez.

Diagrama dos recursos implantados para uma topologia de rede virtual de malha com o gerenciador de rede virtual do Azure.

ExpressRoute

O ExpressRoute permite que você estenda as redes locais para a nuvem da Microsoft por meio de uma conexão privada, facilitada por um provedor de conectividade. Essa conexão é privada. O tráfego não passa pela Internet. Com o ExpressRoute, é possível estabelecer conexões com os serviços em nuvem da Microsoft, como Microsoft Azure, Microsoft 365 e Dynamics 365.

Azure ExpressRoute

Gateway de VPN

O Gateway de VPN ajuda você a criar conexões criptografadas entre locais para sua rede virtual pelos locais ou criar conexões criptografadas entre as VNets. Há configurações diferentes disponíveis para conexões de Gateway de VPN. Alguns dos principais recursos incluem:

  • Problemas de conectividade de VPN de site a site
  • Conectividade VPN ponto a site
  • Conectividade VPN VNet para VNet

O diagrama a seguir ilustra várias conexões VPN site a site para a mesma rede virtual. Para exibir mais diagramas de conexão, consulte Gateway de VPN – design.

Diagrama mostrando múltiplas conexões de Gateway de VPN do Azure site a site.

WAN Virtual

A WAN Virtual do Azure é um serviço de rede que reúne muitas funcionalidades de rede, segurança e roteamento para fornecer uma interface operacional. A conectividade com VNets do Azure é estabelecida usando conexões de rede virtual. Alguns dos principais recursos incluem:

  • Conectividade de ramificação (por meio da automação de conectividade de dispositivos de parceiros da WAN Virtual, como SD-WAN ou VPN CPE)
  • Problemas de conectividade de VPN de site a site
  • Conectividade de VPN de usuário remoto (ponto a site)
  • Conectividade privada (ExpressRoute)
  • Conectividade intranuvem como conectividade transitiva para redes virtuais
  • Interconectividade do ExpressRoute de VPN
  • Roteamento, Firewall do Azure e criptografia para conectividade privada

Diagrama de WAN virtual.

DNS do Azure

O DNS do Azure fornece hospedagem e resolução de DNS usando a infraestrutura do Microsoft Azure. O DNS do Azure consiste em três serviços:

  • O DNS do Público do Azure é um serviço de hospedagem para domínios DNS. Ao hospedar seus domínios no Azure, você pode gerenciar seus registros DNS usando as mesmas credenciais, APIs, ferramentas e faturamento que os outros serviços do Azure.
  • O DNS privado do Azure é um serviço DNS para suas redes virtuais. O DNS Privado do Azure gerencia e resolve nomes de domínio em uma rede virtual sem a necessidade de configurar uma solução DNS personalizada.
  • O Resolvedor Privado de DNS do Azure é um serviço que permite consultar zonas privadas de DNS do Azure de um ambiente local e vice-versa sem implantar servidores DNS baseados em VM.

Usando o DNS do Azure, você pode hospedar e resolver domínios públicos, gerenciar a resolução de DNS em suas redes virtuais e habilitar a resolução de nomes entre o Azure e seus recursos locais.

Azure Bastion

O Azure Bastion é um serviço que você pode implantar para se conectar a uma máquina virtual usando o navegador e o portal do Azure ou por meio do cliente nativo de SSH ou RDP já instalado em seu computador local. O serviço Azure Bastion é um serviço PaaS totalmente gerenciado por plataforma que você implanta dentro da sua rede virtual. Ele fornece uma conectividade RDP/SSH segura e contínua para suas máquinas virtuais diretamente do portal do Azure via TLS. Ao se conectar por meio do Azure Bastion, suas máquinas virtuais não precisarão de um endereço IP público, nem de um agente e tampouco de um software cliente especial. Há uma variedade de diferentes SKU/camadas disponíveis para o Azure Bastion. A camada selecionada afeta os recursos disponíveis. Para obter mais informações, consulte Sobre as configurações do Bastion.

Diagrama mostrando a arquitetura do Azure Bastion.

Gateway da NAT

A NAT da Rede Virtual (conversão de endereços de rede) simplifica a conectividade com a Internet somente de saída para redes virtuais. Quando configurado em uma sub-rede, toda a conectividade de saída usa seus endereços IP públicos estáticos especificados. A conectividade de saída é possível sem endereços IP públicos ou de balanceador de carga conectados diretamente a máquinas virtuais. Para obter mais informações, consulte O que é o Gateway da NAT do Azure?

Gateway da NAT de Rede Virtual

Servidor de Rota

Servidor de Rota do Azure simplifica o roteamento dinâmico entre a NVA (solução de virtualização de rede) e a rede virtual. Ele permite a troca de informações de roteamento diretamente por meio do protocolo de roteamento BGP (Border Gateway Protocol) entre qualquer NVA que dê suporte ao protocolo de roteamento BGP e a SDN (rede definida pelo software) do Azure na VNet (Rede Virtual) do Azure, sem a necessidade de configurar nem manter manualmente as tabelas de rotas.

Serviço de Emparelhamento

O Serviço de Emparelhamento do Azure aprimora a conectividade do cliente com os serviços em nuvem da Microsoft, como o Microsoft 365, o Dynamics 365, os serviços de SaaS (software como serviço), o Azure ou qualquer serviço da Microsoft acessível por meio da Internet pública.

Serviços de proteção de aplicativo

Esta seção descreve os serviços de rede no Azure que ajudam a proteger seus recursos de rede – proteja seus aplicativos usando qualquer ou uma combinação desses serviços de rede no Azure – proteção contra DDoS, Link Privado, Firewall, Firewall do Aplicativo Web, Grupos de Segurança de Rede e Pontos de Extremidade de Serviço de Rede Virtual.

Proteção contra DDoS

A Proteção contra DDoS do Azure fornece medidas de defesa contra as ameaças de DDoS mais sofisticadas. O serviço oferece recursos aprimorados de mitigação de DDoS para os aplicativos e recursos implantados em redes virtuais. Além disso, os clientes que usam a Proteção contra DDoS do Azure têm acesso ao suporte de Resposta Rápida a DDoS para envolver especialistas em DDoS durante um ataque ativo.

A Proteção contra DDoS do Azure consiste em duas camadas:

  • A Proteção de Rede contra DDoS, combinada com as melhores práticas de design de aplicativos, oferece recursos aprimorados de mitigação de DDoS para a defesa contra ataques de DDoS. Se ajusta automaticamente para proteger os recursos específicos do Azure em uma rede virtual.
  • A Proteção de IP contra DDoS é um modelo de pagamento por IP protegido. A Proteção de IP contra DDoS contém os mesmos recursos principais de engenharia da Proteção de Rede contra DDoS, mas se diferencia nos seguintes serviços de valor agregado: suporte a resposta rápida de DDoS, proteção de custos e descontos no WAF.

Diagrama da arquitetura de referência para um aplicativo da Web de PaaS protegido contra DDoS.

O Link Privado do Azure permite acessar os serviços de PaaS do Azure (por exemplo, o Armazenamento do Azure e o Banco de Dados SQL) e serviços de parceiros/de propriedade de clientes hospedados no Azure em um ponto de extremidade privado da sua rede virtual. O tráfego entre sua rede virtual e o serviço viaja na rede de backbone da Microsoft. Expor seu serviço à Internet pública não é mais necessário. Você pode criar o próprio serviço de link privado em sua rede virtual e oferecê-lo aos seus clientes.

Visão geral do ponto de extremidade privado

Firewall do Azure

O Firewall do Azure é um serviço de segurança de rede gerenciado e baseado em nuvem que protege seus recursos da Rede Virtual do Azure. Usando o Firewall do Azure, é possível criar, impor e registrar centralmente políticas de conectividade de rede e de aplicativo em assinaturas e redes virtuais. O Firewall do Azure usa um endereço IP público estático para seus recursos de rede virtual, permitindo que firewalls externos identifiquem o tráfego originário de sua rede virtual.

Visão geral do firewall

Firewall do Aplicativo Web

O WAF (Firewall de Aplicativo Web) do Azure oferece proteção para aplicativos Web contra explorações e vulnerabilidades comuns da Web, como injeção de SQL e cross-site scripting. O WAF do Azure fornece proteção pronta para uso contra as dez principais vulnerabilidades do OWASP por meio de regras gerenciadas. Além disso, os clientes também podem configurar regras personalizadas, que são regras gerenciadas pelo cliente para fornecer uma proteção adicional com base no intervalo de IP de origem e nos atributos da solicitação, como cabeçalhos, cookies, campos de dados de formulário ou parâmetros de cadeia de caracteres de consulta.

Os clientes podem optar por implantar o WAF do Azure com o Gateway de Aplicativo, que fornece proteção regional para entidades no espaço de endereços públicos e privados. Os clientes também podem implantar o WAF do Azure com o Front Door, que fornece proteção na borda de rede para pontos de extremidade públicos.

Firewall do Aplicativo Web

Grupos de segurança de rede

Você pode filtrar o tráfego de rede de e para recursos do Azure em uma rede virtual do Azure com um grupo de segurança de rede. Para saber mais, confira Grupos de segurança de rede.

Pontos de extremidade de serviço

Os pontos de extremidade de serviço de VNet (rede virtual) estendem o espaço de endereço privado e a identidade da sua rede virtual para os serviços do Azure por meio de uma conexão direta. Os pontos de extremidade permitem que você possa garantir os recursos essenciais do serviço do Azure somente para suas redes virtuais. O tráfego de sua rede virtual para o serviço do Azure sempre permanece na rede de backbone do Microsoft Azure.

Pontos de extremidade de serviço de rede virtual

Serviços de entrega de aplicativo

Esta seção descreve os serviços de rede no Azure que ajudam a fornecer aplicativos – Rede de Distribuição de Conteúdo, Azure Front Door Service, Gerenciador de Tráfego, Load Balancer e Gateway de Aplicativo.

Porta da frente do Azure

O Azure Front Door permite que você defina, gerencie e monitore o roteamento global para seu tráfego da Web otimizando para melhor desempenho e failover global instantâneo para ter alta disponibilidade. Com o Front Door, é possível transformar seus aplicativos consumidores e empresariais globais (de várias regiões) em modernos aplicativos robustos altamente personalizados e com alto desempenho, APIs e conteúdo que alcançam um público global com o Azure.

Diagrama do serviço do Azure Front Door com Firewall do Aplicativo Web.

Gerenciador de Tráfego

Gerenciador de Tráfego do Microsoft Azure. é um balanceador de carga de tráfego baseado em DNS que permite distribuir o tráfego de forma ideal para serviços em regiões globais do Azure, fornecendo alta disponibilidade e capacidade de resposta. O Gerenciador de Tráfego fornece uma série de métodos de roteamento de tráfego para distribuir tráfego, como prioridade, peso, desempenho, dados geográficos, vários valores ou sub-rede.

O seguinte diagrama mostra o roteamento baseado em prioridade do ponto de extremidade com o Gerenciador de Tráfego:

Método de roteamento de tráfego por “Prioridade” do Gerenciador de Tráfego do Azure

Para obter mais informações sobre o Gerenciador de Tráfego, confira O que é o Gerenciador de Tráfego do Azure?

Load Balancer

O Azure Load Balancer fornece balanceamento de carga de Camada 4 de baixa latência e alto desempenho para todos os protocolos TCP e UDP. Ele gerencia conexões de entrada e saída. Você pode configurar pontos de extremidade com balanceamento de carga públicos e internos. Você também pode definir regras para mapear conexões de entrada para destinos de pool de back-end usando opções de investigação de integridade TCP e HTTP para gerenciar a disponibilidade do serviço.

O Azure Load Balancer está disponível nas SKUs Standard, Regional e Gateway.

A imagem a seguir mostra um aplicativo de várias camadas voltado para a Internet que usa balanceadores de carga internos e externos:

Exemplo do Azure Load Balancer

Gateway de Aplicativo

O Gateway de Aplicativo do Azure é um balanceador de carga do tráfego da Web que permite que você gerencie o tráfego para seus aplicativos Web. Ele é um ADC (Controlador de Entrega de Aplicativo) como serviço que oferece diversas funcionalidades de balanceamento de carga da camada sete para seus aplicativos.

O diagrama a seguir mostra o roteamento baseado em caminho da URL com o Gateway de Aplicativo.

Exemplo de Gateway de Aplicativo

Rede de Distribuição de Conteúdo

CDN (Rede de Distribuição de Conteúdo do Azure). oferece aos desenvolvedores uma solução global de fornecimento rápido de conteúdo de alta largura de banda para usuários armazenando em cache o conteúdo em nós físicos estrategicamente posicionados em todo o mundo.

CDN do Azure

Serviços de monitoramento de rede

Esta seção descreve os serviços de rede no Azure que ajudam a monitorar os recursos de rede: Observador de Rede do Azure, Insights da Rede do Azure Monitor, Azure Monitor e Monitor do ExpressRoute.

Observador de Rede do Azure

O Observador de Rede do Azure fornece ferramentas para monitorar, diagnosticar, exibir métricas e habilitar ou desabilitar os logs de recursos em uma rede virtual do Azure. Para obter mais informações, confira O que é o Observador de Rede?

Azure Monitor

O Azure Monitor maximiza a disponibilidade e o desempenho de seus aplicativos fornecendo uma solução abrangente para coletar, analisar e agir em relação a dados telemétricos de seus ambientes locais e de nuvem. Ele ajuda a entender o desempenho de seus aplicativos, além de identificar de maneira proativa os problemas que os estão afetando e os recursos dos quais eles dependem. Para saber mais, confira Visão geral do Azure Monitor

ExpressRoute Monitor

Para saber mais sobre como exibir métricas de circuito, logs de recursos e alertas do ExpressRoute, confira Monitoramento, métricas e alertas do ExpressRoute.

Insights de rede

Azure Monitor para Redes (Insights de Rede). fornece uma visão abrangente da integridade e das métricas para todos os recursos de rede implementados, sem exigir nenhuma configuração.

Próximas etapas