Redes virtuais e máquinas virtuais no Azure
Quando você cria uma VM (máquina virtual), cria também uma rede virtual ou usa uma existente. Decida como suas máquinas virtuais devem ser acessadas na rede virtual. É importante planejar antes de criar recursos e compreender os limites de recursos de rede.
Na figura abaixo, as máquinas virtuais são representadas como servidores Web e servidores de aplicativo. Cada conjunto de máquinas virtuais é atribuído a sub-redes diferentes na rede virtual.
Você pode criar uma rede virtual antes de criar a máquina virtual ou pode criar a rede virtual durante a criação da máquina virtual.
Você cria esses recursos para dar suporte à comunicação com uma máquina virtual:
Interfaces de rede
Endereços IP
Rede virtual e sub-redes
Além disso, considere estes três recursos opcionais:
Grupos de segurança de rede
Balanceadores de carga
Interfaces de rede
Um NIC (adaptador de rede) é a interconexão entre uma máquina virtual e uma rede virtual. Uma máquina virtual precisa ter pelo menos um NIC. Uma máquina virtual pode ter mais de um NIC, dependendo do tamanho da VM criada. Para saber mais sobre o número de NICs que cada tamanho de VM aceita, confira Tamanhos de VM.
Você pode criar uma VM com várias placas de rede e, em seguida, adicionar ou remover NICs por meio do ciclo de vida de uma VM. Vários NICs permitem que uma VM se conecte a sub-redes diferentes.
Cada NIC conectada a uma VM deve existir no mesmo local e assinatura que a VM. Cada NIC deve ser conectada a uma VNet que existe na mesma localização e assinatura do Azure que a NIC. Depois de criada, você pode alterar a sub-rede na qual a VM está conectada. Não é possível alterar a rede virtual. Um endereço MAC é atribuído a cada NIC conectada a uma VM e ele não é alterado até que a VM seja excluída.
Esta tabela lista os métodos que você pode usar para criar uma interface de rede.
| Método | Descrição |
|---|---|
| Azure portal | Ao criar uma VM no portal do Azure, um adaptador de rede será criado automaticamente para você. O portal cria uma VM com apenas uma NIC. Se quiser criar uma VM com mais de uma NIC, você deverá criá-la com um método diferente. |
| PowerShell do Azure | Use New-AzNetworkInterface com o parâmetro -PublicIpAddressId para fornecer o identificador do endereço IP público que você criou anteriormente. |
| CLI do Azure | Para fornecer o identificador do endereço IP público que você criou anteriormente, use az network nic create com o parâmetro --public-ip-address. |
| Modelo | Para obter mais informações sobre como implantar um adaptador de rede usando um modelo, confira Adaptador de rede em uma Rede Virtual com endereço IP público. |
Endereços IP
Você pode atribuir estes tipos de endereços IP a um adaptador de rede no Azure:
Endereços IP públicos: usados para comunicação de entrada e saída (sem NAT (conversão de endereços de rede)) com a Internet e outros recursos do Azure não conectados a uma VNet. Atribuir um endereço IP público a uma NIC é opcional. Os endereços IP públicos têm um custo nominal, e há um número máximo que pode ser usado por assinatura.
Endereços IP privados: usados para comunicação em uma rede virtual, sua rede local e a Internet (com NAT). Pelo menos um endereço IP privado precisa ser atribuído a uma VM. Para saber mais sobre NAT no Azure, leia Noções básicas sobre conexões de saída no Azure.
Você pode atribuir endereços IP públicos a:
Máquinas virtuais
Balanceadores de carga públicos
Você pode atribuir um endereço IP privado a:
Máquinas virtuais
Balanceadores de carga internos
Você atribui endereços IP a uma VM usando uma interface de rede.
Há dois métodos de concessão de um endereço IP a um recurso: dinâmico ou estático. O método padrão do Azure para conceder endereços IP é dinâmico. O endereço IP não é concedido quando é criado. O endereço IP é concedido quando você cria uma VM ou inicia uma VM parada. O endereço IP é liberado quando você para ou exclui a VM.
Para garantir que o endereço IP para a VM permaneça o mesmo, você pode definir o método de alocação explicitamente como estático. Nesse caso, um endereço IP é atribuído imediatamente. Ele é liberado apenas quando você exclui a VM ou altera o método de alocação para dinâmico.
Esta tabela lista os métodos que você pode usar para criar um endereço IP.
| Método | Descrição |
|---|---|
| Azure portal | Por padrão, os endereços IP públicos são dinâmicos. O endereço IP pode mudar quando a VM é interrompida ou excluída. Para assegurar que a VM sempre use o mesmo endereço IP público, crie um endereço IP público estático. Por padrão, o portal atribui um endereço IP privado dinâmico a uma NIC ao criar uma VM. Você pode alterar esse endereço IP para estático após a criação da VM. |
| PowerShell do Azure | Você usa New-AzPublicIpAddress com o parâmetro -AllocationMethod como Dinâmico ou Estático. |
| CLI do Azure | Você usa az network public-ip create com o parâmetro --allocation-method como Dinâmico ou Estático. |
| Modelo | Para obter mais informações sobre como implantar um endereço IP público usando um modelo, confira Adaptador de rede em uma Rede Virtual com endereço IP público. |
Após criar um endereço IP público, você pode associá-lo a uma VM, atribuindo-o a uma NIC.
Observação
O Azure fornece um IP de acesso de saída padrão para VMs que não receberam um endereço IP público ou que estão no pool de back-end de um balanceador de carga do Azure básico interno. O mecanismo de IP de acesso de saída padrão fornece um endereço IP de saída que não é configurável.
O IP de acesso de saída padrão é desabilitado quando um dos seguintes eventos acontece:
- Um endereço IP público é atribuído à VM.
- A VM é colocada no pool de back-end de um balanceador de carga padrão, com ou sem regras de saída.
- Um recurso do Gateway da NAT do Azure é atribuído à sub-rede da VM.
As VMs criadas por conjuntos de dimensionamento de máquinas virtuais no modo de orquestração flexível não têm acesso de saída padrão.
Para mais informações sobre conexões de saída no Azure, confira Acesso de saída padrão no Azure e Usar SNAT (conversão de endereços de rede de origem) para conexões de saída.
Rede virtual e sub-redes
Uma sub-rede é um intervalo de endereços IP na rede virtual. Você pode dividir a rede virtual em várias sub-redes para fins de organização e segurança. Cada NIC em uma VM está conectado a uma sub-rede em uma rede virtual. NICs conectadas às sub-redes (iguais ou diferentes) em uma rede virtual podem se comunicar sem nenhuma configuração adicional.
Ao configurar uma rede virtual, você pode especificar a topologia, incluindo os espaços de endereço e sub-redes disponíveis. Selecione intervalos de endereços que não se sobreponham caso a rede virtual esteja conectada a outras redes virtuais ou locais. Os endereços IP são privados e não podem ser acessados pela Internet. O Azure trata todos os intervalos de endereços como parte do espaço de endereços IP da rede virtual privada. O intervalo de endereços só pode ser alcançado na rede virtual, nas redes virtuais interconectadas e localmente.
Se trabalha em uma organização em que outra pessoa é responsável por redes internas, converse com essa pessoa antes de selecionar o espaço de endereço. Verifique se não há sobreposição dos espaços de endereços. Comunique o espaço que você deseja usar para que não tentem usar o mesmo intervalo de endereços IP.
Não existem limites de segurança por padrão entre sub-redes. As máquinas virtuais em cada uma dessas sub-redes podem se comunicar. Se sua implantação exigir limites de segurança, use NSGs (Grupos de Segurança de Rede) , que controlam o fluxo de tráfego de entrada e saída de sub-redes e de entrada e saída de VMs.
Esta tabela lista os métodos que você pode usar para criar uma rede virtual e sub-redes.
| Método | Descrição |
|---|---|
| Azure portal | Se você permitir que o Azure crie uma rede virtual quando você criar uma VM, o nome será uma combinação do nome do grupo de recursos que contém a rede virtual e -vnet . O espaço de endereço é 10.0.0.0/24, o nome da sub-rede necessária é default e o intervalo de endereços de sub-rede é 10.0.0.0/24. |
| PowerShell do Azure | Você usa New-AzVirtualNetworkSubnetConfig e New-AzVirtualNetwork para criar uma sub-rede e uma rede virtual. Você também pode usar Add-AzVirtualNetworkSubnetConfig para adicionar uma sub-rede a uma rede virtual existente. |
| CLI do Azure | A sub-rede e a rede virtual são criadas ao mesmo tempo. Forneça um parâmetro --subnet-name para azure network vnet create com o nome da sub-rede. |
| Modelo | Para obter mais informações sobre como usar um modelo para criar uma rede virtual e as sub-redes, confira Rede Virtual com duas sub-redes. |
Grupos de segurança de rede
Um NSG (grupo de segurança de rede) contém uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam o tráfego de rede para sub-redes, NICs ou ambos. Os NSGs podem ser associados a sub-redes ou NICs individuais conectadas a uma sub-rede. Quando um NSG é associado a uma sub-rede, as regras de ACL se aplicam a todas as VMs na sub-rede. O tráfego para um NIC individual pode ser restringido pela associação de um NSG diretamente a um NIC.
Os NSGs contêm dois conjuntos de regras: entrada e saída. A prioridade de uma regra deve ser exclusiva em cada conjunto.
Cada regra tem propriedades de:
Protocolo
Intervalos de portas de origem e de destino
Prefixos do endereço
Direção de tráfego
Prioridade
Tipo de acesso
Todos os NSGs contêm um conjunto de regras padrão. Não é possível excluir ou substituir essas regras padrão, pois elas têm a prioridade mais baixa e nenhuma regra criada pode substituí-las.
Quando um NSG é associado a uma NIC, as regras de acesso à rede no NSG são aplicadas somente a essa NIC. Se um NSG for aplicado a um único NIC em uma VM com vários NICs, isso não afetará o tráfego para os outros NICs. É possível associar diferentes NSGs a um NIC (ou VM, dependendo do modelo de implantação) e à sub-rede a qual uma NIC ou VM está associada. A prioridade é fornecida com base na direção do tráfego.
Não deixe de planejar seus NSGs quando planejar as máquinas virtuais e a rede virtual.
Esta tabela lista os métodos que você pode usar para criar um grupo de segurança de rede.
| Método | Descrição |
|---|---|
| Azure portal | Quando você cria uma VM no portal do Azure, um NSG é criado e associado automaticamente à NIC que o portal cria. O nome do NSG é uma combinação do nome da VM e -nsg . Esse NSG contém uma regra de entrada: Com prioridade de 1000. O serviço definido como RDP. O protocolo definido como TCP. A porta definida como 3389. O conjunto de ações definido como Permitir. Se quiser permitir outros tipos de tráfego de entrada para a VM, crie outras regras. |
| PowerShell do Azure | Use New-AzNetworkSecurityRuleConfig e forneça as informações de regra necessárias. Use New-AzNetworkSecurityGroup para criar o NSG. Use Set-AzVirtualNetworkSubnetConfig para configurar o NSG da sub-rede. Use Set-AzVirtualNetwork para adicionar o NSG à rede virtual. |
| CLI do Azure | Use az network nsg create para criar inicialmente o NSG. Use az network nsg rule create para adicionar regras para o NSG. Use az network vnet subnet update para adicionar o NSG à sub-rede. |
| Modelo | Use Criar um grupo de segurança de rede como um guia para a implantação de um grupo de segurança de rede usando um modelo. |
Balanceadores de carga
O Azure Load Balancer oferece alta disponibilidade e desempenho de rede para seus aplicativos. Um balanceador de carga pode ser configurado para equilibrar o tráfego da Internet para VMs ou equilibrar o tráfego entre VMs em uma rede virtual. Um balanceador de carga também pode equilibrar o tráfego entre computadores locais e VMs em uma rede entre locais ou encaminhar tráfego externo para uma VM específica.
O balanceador de carga mapeia o tráfego de entrada e de saída entre:
O endereço IP público e a porta no balanceador de carga.
O endereço IP privado e a porta da VM.
Ao criar um balanceador de carga, você também deve considerar estes elementos de configuração:
Configuração de IP front-end – um balanceador de carga pode incluir um ou mais endereços IP front-end. Esses endereços IP servem como entrada para o tráfego.
Pool de endereços de back-end – endereços IP que estão associados à NIC para a qual a carga é distribuída.
Encaminhamento de porta – define como o tráfego de entrada flui pelo IP de front-end e é distribuído para o IP de back-end usando regras NAT de entrada.
Regras do balanceador de carga -mapeia determinada combinação de porta e IP front-end para um conjunto de endereços IP back-end e combinação de portas. Um balanceador de carga único pode ter várias regras de balanceamento de carga. Cada regra é uma combinação de um IP de front-end e IP de porta e back-end e porta associada a VMs.
Sondas - monitora a integridade das VMs. Quando uma investigação não responde, o balanceador de carga interrompe o envio de novas conexões para a VM não íntegra. As conexões existentes não são afetadas e novas conexões são enviadas para VMs íntegras.
Regras de saída – uma regra de saída configura a NAT (conversão de endereços de rede) de saída para todas as máquinas virtuais identificadas pelo pool de back-end do Standard Load Balancer a serem convertidas no front-end.
Esta tabela lista os métodos que você pode usar para criar um balanceador de carga voltado para a Internet.
| Método | Descrição |
|---|---|
| Portal do Azure | Você pode balancear a carga de tráfego de Internet para VMs que estejam usando o portal do Azure. |
| PowerShell do Azure | Para fornecer o identificador do endereço IP público que você criou anteriormente, use New-AzLoadBalancerFrontendIpConfig com o parâmetro -PublicIpAddress. Use New-AzLoadBalancerBackendAddressPoolConfig para criar a configuração do pool de endereços de back-end. Use New-AzLoadBalancerInboundNatRuleConfig para criar regras NAT de entrada associadas à configuração de IP front-end que você criou. Use New-AzLoadBalancerProbeConfig para criar os testes de que você precisa. Use New-AzLoadBalancerRuleConfig para criar a configuração de balanceador de carga. Use New-AzLoadBalancer para criar o balanceador de carga. |
| CLI do Azure | Use az network lb create para criar a configuração de balanceador de carga inicial. Use az network lb frontend-ip create para adicionar o endereço IP público que você criou anteriormente. Use az network lb address-pool create para adicionar a configuração do pool de endereços de back-end. Use az network lb inbound-nat-rule create para adicionar regras de NAT. Use az network lb rule create para adicionar as regras do balanceador de carga. Use az network lb probe create para adicionar as sondas. |
| Modelo | Use Três VMs em um balanceador de carga como um guia para a implantação de um balanceador de carga usando um modelo. |
Esta tabela lista os métodos que você pode usar para criar um balanceador de carga interno.
| Método | Descrição |
|---|---|
| Portal do Azure | É possível balancear carga de tráfego interna com um balanceador de carga no portal do Azure. |
| PowerShell do Azure | Para fornecer um endereço IP privado na sub-rede, use New-AzLoadBalancerFrontendIpConfig com o parâmetro -PrivateIpAddress. Use New-AzLoadBalancerBackendAddressPoolConfig para criar a configuração do pool de endereços de back-end. Use New-AzLoadBalancerInboundNatRuleConfig para criar regras NAT de entrada associadas à configuração de IP front-end que você criou. Use New-AzLoadBalancerProbeConfig para criar os testes de que você precisa. Use New-AzLoadBalancerRuleConfig para criar a configuração de balanceador de carga. Use New-AzLoadBalancer para criar o balanceador de carga. |
| CLI do Azure | Use o comando az network lb create para criar a configuração de balanceador de carga inicial. Para definir o endereço IP privado, use az network lb frontend-ip create com o parâmetro --private-ip-address. Use az network lb address-pool create para adicionar a configuração do pool de endereços de back-end. Use az network lb inbound-nat-rule create para adicionar regras de NAT. Use az network lb rule create para adicionar as regras do balanceador de carga. Use az network lb probe create para adicionar as sondas. |
| Modelo | Use Duas VMs em um balanceador de carga como um guia para a implantação de um balanceador de carga usando um modelo. |
Máquinas virtuais
As máquinas virtuais podem ser criadas na mesma rede virtual e podem se conectar umas às outras por meio de endereços IP privados. As máquinas virtuais podem se conectar se estiverem em sub-redes diferentes. Elas se conectam sem precisar configurar um gateway ou usar endereços IP públicos. Para colocar VMs em uma rede virtual, crie a rede virtual. Quando criar cada VM, você a atribuirá à rede virtual e a uma sub-rede. As máquinas virtuais adquirem suas configurações de rede durante a implantação ou a inicialização.
As máquinas virtuais recebem um endereço IP quando são implantadas. Quando você implanta várias VMs em uma rede virtual ou sub-rede, elas recebem endereços IP quando são iniciadas. Você também pode atribuir um IP estático a uma VM. Se você atribuir um IP estático, considere usar uma sub-rede específica para evitar a reutilização acidental de um IP estático para outra VM.
Se você criar uma VM e, depois, quiser migrá-la para uma rede virtual, essa não será uma alteração simples na configuração. Reimplante a VM na rede virtual. A maneira mais fácil der reimplantar é excluir a VM, mas não os discos anexados a ela e, em seguida, recriar a VM usando os discos originais na rede virtual.
Esta tabela lista os métodos que você pode usar para criar uma VM em uma VNet.
| Método | Descrição |
|---|---|
| Azure portal | Usa as configurações de rede padrão mencionadas anteriormente para criar uma VM com uma única NIC. Para criar uma VM com várias NICs, você deve usar um método diferente. |
| PowerShell do Azure | Inclui o uso de Add-AzVMNetworkInterface para adicionar o NIC que você criou anteriormente para a configuração da VM. |
| CLI do Azure | Crie e conecte uma VM a uma rede virtual, a uma sub-rede e a um NIC como etapas individuais. |
| Modelo | Use Implantação muito simples de uma VM do Windows como um guia para implantar uma VM usando um modelo. |
Gateway da NAT
O Gateway da NAT do Azure simplifica a conectividade com a Internet somente de saída para redes virtuais. Quando configurado em uma sub-rede, toda a conectividade de saída usa seus endereços IP públicos estáticos especificados. A conectividade de saída é possível sem endereços IP públicos ou de balanceador de carga conectados diretamente a máquinas virtuais. A NAT é totalmente gerenciada e altamente resiliente.
A conectividade de saída pode ser definida para cada sub-rede com a NAT. Várias sub-redes dentro da mesma rede virtual podem ter NATs diferentes. Uma sub-rede é configurada especificando qual recurso de Gateway da NAT deverá ser usado. Todos os fluxos de saída UDP e TCP de uma instância de máquina virtual usarão o Gateway da NAT. O NAT é compatível com recursos de endereço IP público ou com recursos de prefixo IP público do SKU Standard ou uma combinação de ambos. Você pode usar um prefixo IP público diretamente ou distribuir os endereços IP públicos do prefixo entre vários recursos do gateway da NAT. A NAT limpa todo o tráfego para o intervalo de endereços IP do prefixo. Ficou mais fácil filtrar qualquer IP em suas implantações.
O Gateway da NAT processa automaticamente todo o tráfego de saída sem nenhuma configuração do cliente. Rotas definidas pelo usuário não são necessárias. O NAT tem precedência sobre outros cenários de saída e substitui o destino de Internet padrão de uma sub-rede.
Os conjunto de dimensionamento de máquinas virtuais que criam máquinas virtuais no modo de Orquestração Flexível não têm acesso de saída padrão. O Gateway da NAT do Azure é o mecanismo de acesso de saída recomendado para o modo de Orquestração Flexível de conjuntos de dimensionamento de máquinas virtuais.
Para obter mais informações sobre o Gateway da NAT do Azure, confira O que é o Gateway da NAT do Azure?.
Esta tabela lista os métodos que você pode usar para criar um recurso de gateway de NAT.
| Método | Descrição |
|---|---|
| Azure portal | Cria uma rede virtual, uma sub-rede, um IP público, um gateway de NAT e uma máquina virtual para testar o recurso de gateway de NAT. |
| PowerShell do Azure | Inclui o uso de New-AzNatGateway para criar um recurso de gateway de NAT. Cria uma rede virtual, uma sub-rede, um IP público, um gateway de NAT e uma máquina virtual para testar o recurso de gateway de NAT. |
| CLI do Azure | Inclui o uso de az network nat gateway create para criar um recurso de gateway de NAT. Cria uma rede virtual, uma sub-rede, um IP público, um gateway de NAT e uma máquina virtual para testar o recurso de gateway de NAT. |
| Modelo | Cria uma rede virtual, uma sub-rede, um IP público e um recurso de gateway de NAT. |
Azure Bastion
O Azure Bastion é implantado para fornecer conectividade de gerenciamento seguro a máquinas virtuais em uma rede virtual. O serviço do Azure Bastion permite que você use RDP e SSH de maneira segura e integral para as VMs em sua rede virtual. O Azure Bastion habilita conexões sem expor um IP público na VM. As conexões são feitas diretamente no portal do Azure, sem a necessidade de um cliente/agente extra ou de uma parte do software. O Azure Bastion é compatível com endereços IP públicos de SKU padrão.
Os preços por hora começam a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para saber mais, confira Preços e SKUs. Se você estiver implantando o Bastion como parte de um tutorial ou teste, recomendamos que você exclua esse recurso depois de terminar de usá-lo.
Para obter mais informações sobre o Azure Bastion, confira O que é o Azure Bastion?.
Esta tabela lista os métodos que você pode usar para criar uma implantação do Azure Bastion.
| Método | Descrição |
|---|---|
| Azure portal | Cria uma rede virtual, sub-redes, IP público, bastion host e máquinas virtuais. |
| PowerShell do Azure | Cria rede virtual, sub-redes, IP público e bastion host. Inclui o uso de New-AzBastion para criar o bastion host. |
| CLI do Azure | Cria rede virtual, sub-redes, IP público e bastion host. Inclui o uso de az network bastion create para criar o bastion host. |
| Modelo | Para obter um exemplo de implantação de modelo que integra o host do Azure Bastion com uma implantação de amostra, confira Início Rápido: Criar um balanceador de carga público para balancear cargas de VMs por meio de um modelo do ARM. |
Próximas etapas
Para etapas de VM específicas sobre como gerenciar redes virtuais do Azure para máquinas virtuais, veja os tutoriais do Windows ou Linux.
Também existem tutoriais sobre como balancear a carga de VMs e criar aplicativos altamente disponíveis por meio de CLI ou do PowerShell
Saiba como configurar conexões de VNet para VNet.
Saiba como Solucionar problemas de rotas.
Saiba mais sobre largura de banda de rede da máquina virtual.