Perguntas frequentes sobre a rede virtual do Azure (FAQ)Azure Virtual Network frequently asked questions (FAQ)

Noções básicas sobre redes virtuaisVirtual Network basics

O que é uma Rede Virtual (VNet) do Azure?What is an Azure Virtual Network (VNet)?

Uma Rede Virtual do Azure (VNet) é uma representação da sua própria rede na nuvem.An Azure Virtual Network (VNet) is a representation of your own network in the cloud. É um isolamento lógico da nuvem do Azure dedicada à sua assinatura.It is a logical isolation of the Azure cloud dedicated to your subscription. Você pode usar redes virtuais para provisionar e gerenciar VPNs (redes virtuais privadas) no Azure e, se desejar, vincular as redes virtuais no Azure a outras redes virtuais no Azure ou à sua infraestrutura de TI local para criar soluções híbridas e entre locais.You can use VNets to provision and manage virtual private networks (VPNs) in Azure and, optionally, link the VNets with other VNets in Azure, or with your on-premises IT infrastructure to create hybrid or cross-premises solutions. Cada VNet que você cria tem seu próprio bloco CIDR e pode ser vinculada a outras VNets e redes locais, desde que os blocos CIDR não se sobreponham.Each VNet you create has its own CIDR block and can be linked to other VNets and on-premises networks as long as the CIDR blocks do not overlap. Você também controla as configurações do servidor DNS para redes virtuais e a segmentação da VNet em sub-redes.You also have control of DNS server settings for VNets, and segmentation of the VNet into subnets.

Use redes virtuais para:Use VNets to:

  • Crie uma VNet somente de nuvem privada dedicada.Create a dedicated private cloud-only VNet. Às vezes, você não precisa de uma configuração entre locais para sua solução.Sometimes you don't require a cross-premises configuration for your solution. Quando você cria uma redes virtuais, seus serviços e VMs na rede virtual podem se comunicar de forma direta e segura entre si na nuvem.When you create a VNet, your services and VMs within your VNet can communicate directly and securely with each other in the cloud. Adicionalmente, é possível configurar conexões de ponto de extremidade para VMs e serviços que exigem comunicação via Internet, como parte de sua solução.You can still configure endpoint connections for the VMs and services that require Internet communication, as part of your solution.

  • Estenda com segurança seu data center.Securely extend your data center. Com as redes virtuais, você pode criar VPNs S2S (site a site) tradicionais para escalar com segurança a capacidade do data center.With VNets, you can build traditional site-to-site (S2S) VPNs to securely scale your datacenter capacity. As VPNs S2S usam IPSEC para fornecer uma conexão segura entre o gateway de VPN corporativo e o Azure.S2S VPNs use IPSEC to provide a secure connection between your corporate VPN gateway and Azure.

  • Habilite cenários de nuvem híbrida.Enable hybrid cloud scenarios. As redes virtuais proporcionam a flexibilidade para oferecer suporte a uma variedade de cenários de nuvem híbrida.VNets give you the flexibility to support a range of hybrid cloud scenarios. É possível conectar com segurança aplicativos baseados em nuvem a qualquer tipo de sistema local, como mainframes e sistemas Unix.You can securely connect cloud-based applications to any type of on-premises system such as mainframes and Unix systems.

Como começar?How do I get started?

Acesse a documentação da Rede Virtual para saber como começar a usar.Visit the Virtual network documentation to get started. Este conteúdo fornece informações gerais e de implantação para todos os recursos de VNet.This content provides overview and deployment information for all of the VNet features.

Posso usar redes virtuais sem conectividade entre locais?Can I use VNets without cross-premises connectivity?

Sim.Yes. É possível utilizar uma VNet sem conectá-la às suas instalações.You can use a VNet without connecting it to your premises. Por exemplo, você pode executar controladores de domínio do Microsoft Windows Server Active Directory e farms do SharePoint exclusivamente em uma VNet do Azure.For example, you could run Microsoft Windows Server Active Directory domain controllers and SharePoint farms solely in an Azure VNet.

Posso realizar uma otimização de WAN entre redes virtuais ou entre uma rede virtual e meu data center local?Can I perform WAN optimization between VNets or a VNet and my on-premises data center?

Sim.Yes. Você pode implantar um dispositivo virtual de rede de otimização de WAN de vários fornecedores por meio do Marketplace do Azure.You can deploy a WAN optimization network virtual appliance from several vendors through the Azure Marketplace.

ConfiguraçãoConfiguration

Quais ferramentas eu uso para criar uma redes virtuais?What tools do I use to create a VNet?

Você pode usar as seguintes ferramentas para criar ou configurar uma rede virtual:You can use the following tools to create or configure a VNet:

Quais intervalos de endereço posso usar em minhas redes virtuais?What address ranges can I use in my VNets?

Qualquer intervalo de endereços IP definido na RFC 1918.Any IP address range defined in RFC 1918. Por exemplo, 10.0.0.0/16.For example, 10.0.0.0/16. Não é possível adicionar os seguintes intervalos de endereços:You cannot add the following address ranges:

  • 224.0.0.0/4 (Multicast)224.0.0.0/4 (Multicast)
  • 255.255.255.255/32 (Broadcast)255.255.255.255/32 (Broadcast)
  • 127.0.0.0/8 (Loopback)127.0.0.0/8 (Loopback)
  • 169.254.0.0/16 (Link-local)169.254.0.0/16 (Link-local)
  • 168.63.129.16/32 (DNS interno)168.63.129.16/32 (Internal DNS)

Posso ter endereços IP públicos em minhas redes virtuais?Can I have public IP addresses in my VNets?

Sim.Yes. Para obter mais informações sobre intervalos de endereços IP públicos, consulte Criar uma rede virtual.For more information about public IP address ranges, see Create a virtual network. Os endereços IP públicos não são acessíveis diretamente da Internet.Public IP addresses are not directly accessible from the internet.

Há um limite para o número de sub-redes na minha VNet?Is there a limit to the number of subnets in my VNet?

Sim.Yes. Consulte Limites do Azure para obter detalhes.See Azure limits for details. Espaços de endereço de sub-rede não podem se sobrepor.Subnet address spaces cannot overlap one another.

Existem restrições quanto ao uso de endereços IP dentro dessas sub-redes?Are there any restrictions on using IP addresses within these subnets?

Sim.Yes. O Azure reserva cinco endereços IP dentro de cada sub-rede.Azure reserves 5 IP addresses within each subnet. Esses são x. x. x. 0-x. x. x. 3 e o último endereço da sub-rede.These are x.x.x.0-x.x.x.3 and the last address of the subnet. x. x. x. 1-x. x. 3 é reservado em cada sub-rede para os serviços do Azure.x.x.x.1-x.x.x.3 is reserved in each subnet for Azure services.

  • x. x. x. 0: endereço de redex.x.x.0: Network address
  • x. x. x. 1: reservado pelo Azure para o gateway padrãox.x.x.1: Reserved by Azure for the default gateway
  • x. x. x. 2, x. x. 3: reservado pelo Azure para mapear os IPs de DNS do Azure para o espaço da VNetx.x.x.2, x.x.x.3: Reserved by Azure to map the Azure DNS IPs to the VNet space
  • x. x. x. 255: endereço de difusão de redex.x.x.255: Network broadcast address

Que tamanho, máximo e mínimo, as redes virtuais e sub-redes podem ter?How small and how large can VNets and subnets be?

A menor sub-rede IPv4 com suporte é/29 e a maior é/8 (usando definições de sub-rede CIDR).The smallest supported IPv4 subnet is /29, and the largest is /8 (using CIDR subnet definitions). As sub-redes IPv6 devem ter exatamente/64 de tamanho.IPv6 subnets must be exactly /64 in size.

Posso levar minhas VLANs para o Azure usando redes virtuais?Can I bring my VLANs to Azure using VNets?

Não.No. As v são sobreposições da Camada 3.VNets are Layer-3 overlays. O Azure não oferece suporte a nenhuma semântica da Camada 2.Azure does not support any Layer-2 semantics.

Posso especificar políticas de roteamento personalizadas nas minhas redes virtuais e sub-redes?Can I specify custom routing policies on my VNets and subnets?

Sim.Yes. É possível criar uma tabela de rota e associá-la a uma sub-rede.You can create a route table and associate it to a subnet. Para obter mais informações sobre o roteamento no Azure, consulte Visão geral de roteamento.For more information about routing in Azure, see Routing overview.

As redes virtuais oferecem suporte ao multicast ou à difusão?Do VNets support multicast or broadcast?

Não.No. Não há suporte para difusão ou multicast.Multicast and broadcast are not supported.

Quais protocolos posso usar nas redes virtuais?What protocols can I use within VNets?

Você pode usar protocolos TCP, UDP e ICMP TCP/IP em redes virtuais.You can use TCP, UDP, and ICMP TCP/IP protocols within VNets. O Unicast tem suporte em VNets, com exceção do Protocolo DHCP via Unicast (porta de origem UDP/68 / porta de destino UDP/67).Unicast is supported within VNets, with the exception of Dynamic Host Configuration Protocol (DHCP) via Unicast (source port UDP/68 / destination port UDP/67). Pacotes encapsulados de IP em IP, multicast, difusão e pacotes de Encapsulamento de Roteamento Genérico (GRE) são bloqueados nas redes virtuais.Multicast, broadcast, IP-in-IP encapsulated packets, and Generic Routing Encapsulation (GRE) packets are blocked within VNets.

Posso executar ping em meus roteadores padrão em uma rede virtual?Can I ping my default routers within a VNet?

Não.No.

Posso usar tracert para diagnosticar a conectividade?Can I use tracert to diagnose connectivity?

Não.No.

Posso adicionar sub-redes depois que a rede virtual é criada?Can I add subnets after the VNet is created?

Sim.Yes. As sub-redes podem ser adicionadas às VNets a qualquer momento, desde que o alcance do endereço de sub-rede não faça parte de outra sub-rede e tenha espaço disponível no intervalo de endereços da rede virtual.Subnets can be added to VNets at any time as long as the subnet address range is not part of another subnet and there is available space left in the virtual network's address range.

Posso modificar o tamanho da minha sub-rede depois de criá-la?Can I modify the size of my subnet after I create it?

Sim.Yes. Você poderá adicionar, remover, expandir ou reduzir uma sub-rede se não houver VMs ou serviços implantados nela.You can add, remove, expand, or shrink a subnet if there are no VMs or services deployed within it.

Posso modificar sub-redes depois de criá-las?Can I modify subnets after I created them?

Sim.Yes. Você pode adicionar, remover e modificar os blocos CIDR usados por uma rede virtual.You can add, remove, and modify the CIDR blocks used by a VNet.

Se eu estiver executando meus serviços em uma VNet, posso conectar-me à internet?If I am running my services in a VNet, can I connect to the internet?

Sim.Yes. Todos os serviços implantados dentro de uma VNet podem conectar-se à internet.All services deployed within a VNet can connect outbound to the internet. Para saber mais sobre as conexões de internet de saída no Azure, consulte Conexões de Saída.To learn more about outbound internet connections in Azure, see Outbound connections. Se você quiser conectar a entrada a um recurso implantado através do Gerenciador de Recursos, o recurso deverá ter um endereço IP público atribuído a ele.If you want to connect inbound to a resource deployed through Resource Manager, the resource must have a public IP address assigned to it. Para saber mais sobre endereços IP públicos, consulte Endereços IP públicos.To learn more about public IP addresses, see Public IP addresses. Cada Serviço de Nuvem do Azure implantado no Azure tem um VIP publicamente endereçável atribuído a ele.Every Azure Cloud Service deployed in Azure has a publicly addressable VIP assigned to it. Você define pontos de extremidade de entrada para funções de PaaS e pontos de extremidade para máquinas virtuais para permitir que esses serviços aceitem conexões da Internet.You define input endpoints for PaaS roles and endpoints for virtual machines to enable these services to accept connections from the internet.

As redes virtuais oferecem suporte ao IPv6?Do VNets support IPv6?

Sim, VNets pode ser somente IPv4 ou pilha dupla (IPv4 + IPv6).Yes, VNets can be IPv4-only or dual stack (IPv4+IPv6). Para obter detalhes, consulte visão geral do IPv6 para redes virtuais do Azure.For details, see Overview of IPv6 for Azure Virtual Networks.

Uma rede virtual pode abranger regiões?Can a VNet span regions?

Não.No. A rede virtual é limitada a uma única região.A VNet is limited to a single region. Todavia, uma rede virtual abrange zonas de disponibilidade.A virtual network does, however, span availability zones. Para saber mais sobre as zonas de disponibilidade, consulte Visão geral das zonas de disponibilidade.To learn more about availability zones, see Availability zones overview. É possível conectar redes virtuais em diferentes regiões com emparelhamento de rede virtual.You can connect virtual networks in different regions with virtual network peering. Para obter detalhes, consulte Visão geral do emparelhamento de rede virtualFor details, see Virtual network peering overview

Posso conectar uma rede virtual a outra rede virtual no Azure?Can I connect a VNet to another VNet in Azure?

Sim.Yes. É possível conectar uma VNet a outra VNet, utilizando:You can connect one VNet to another VNet using either:

Resolução de nomes (DNS)Name Resolution (DNS)

Quais são minhas opções DNS para redes virtuais?What are my DNS options for VNets?

Use a tabela de decisão na página Resolução de nome para VMs e instâncias de função , que orientará você por todas as opções DNS disponíveis.Use the decision table on the Name Resolution for VMs and Role Instances page to guide you through all the DNS options available.

Posso especificar servidores DNS para uma rede virtual?Can I specify DNS servers for a VNet?

Sim.Yes. Você pode especificar endereços IP do servidor DNS nas configurações da rede virtual.You can specify DNS server IP addresses in the VNet settings. A configuração é aplicada como o(s) servidor(es) DNS padrão a todas as VMs na VNet.The setting is applied as the default DNS server(s) for all VMs in the VNet.

Quantos servidores DNS posso especificar?How many DNS servers can I specify?

Referência Limites do Azure.Reference Azure limits.

Posso modificar meus servidores DNS depois de ter criado a rede?Can I modify my DNS servers after I have created the network?

Sim.Yes. Você pode alterar a lista de servidores DNS para sua rede virtual a qualquer momento.You can change the DNS server list for your VNet at any time. Se você alterar a lista de servidores DNS, será necessário executar uma renovação de concessão DHCP em todas as VMs afetadas na VNet para que as novas configurações de DNS entrem em vigor.If you change your DNS server list, you need to perform a DHCP lease renewal on all affected VMs in the VNet, for the new DNS settings to take effect. Para VMs que executam o sistema operacional Windows, você pode fazer isso digitando ipconfig /renew diretamente na VM.For VMs running Windows OS you can do this by typing ipconfig /renew directly on the VM. Para outros tipos de sistema operacional, consulte a documentação de renovação de concessão de DHCP para o tipo de SO específico.For other OS types, refer to the DHCP lease renewal documentation for the specific OS type.

O que é o DNS fornecido pelo Azure? Ele funciona com redes virtuais?What is Azure-provided DNS and does it work with VNets?

O DNS fornecido pelo Azure é um serviço DNS multilocatário oferecido pela Microsoft.Azure-provided DNS is a multi-tenant DNS service offered by Microsoft. O Azure registra todas as VMs e instâncias de função do serviço de nuvem nesse serviço.Azure registers all of your VMs and cloud service role instances in this service. Esse serviço fornece resolução de nome por nome de host para VMs e instâncias de função contidas no mesmo serviço de nuvem e por FQDN para VMs e instâncias de função na mesma rede virtual.This service provides name resolution by hostname for VMs and role instances contained within the same cloud service, and by FQDN for VMs and role instances in the same VNet. Para saber mais sobre DNS, consulte Resolução de nomes para instâncias da função dos Serviços de Nuvem e VMs.To learn more about DNS, see Name Resolution for VMs and Cloud Services role instances.

Existe uma limitação para os primeiros 100 serviços de nuvem em uma VNet para resolução de nome entre locatários usando DNS fornecido pelo Azure.There is a limitation to the first 100 cloud services in a VNet for cross-tenant name resolution using Azure-provided DNS. Se você estiver usando seu próprio servidor DNS, essa limitação não se aplicará.If you are using your own DNS server, this limitation does not apply.

Eu posso substituir minhas configurações DNS com base em serviço de nuvem ou por VM?Can I override my DNS settings on a per-VM or cloud service basis?

Sim.Yes. É possível configurar servidores DNS por VM ou serviço de nuvem para substituir as configurações de rede padrão.You can set DNS servers per VM or cloud service to override the default network settings. No entanto, é recomendável utilizar o DNS em toda a rede tanto quanto possível.However, it's recommended that you use network-wide DNS as much as possible.

Posso colocar meu próprio sufixo DNS?Can I bring my own DNS suffix?

Não.No. Você não pode especificar um sufixo DNS personalizado para suas redes virtuais.You cannot specify a custom DNS suffix for your VNets.

Conexão de máquinas virtuaisConnecting virtual machines

Posso implantar VMs em uma rede virtual?Can I deploy VMs to a VNet?

Sim.Yes. Todas as interfaces de rede (NIC) anexadas a uma VM implantada por meio do modelo de implantação do Gerenciador de Recursos devem estar conectadas a uma rede virtual.All network interfaces (NIC) attached to a VM deployed through the Resource Manager deployment model must be connected to a VNet. VMs implantadas por meio do modelo de implantação clássico podem ser conectadas a uma rede virtual.VMs deployed through the classic deployment model can optionally be connected to a VNet.

Quais são os diferentes tipos de endereços IP que posso atribuir a VMs?What are the different types of IP addresses I can assign to VMs?

  • Privado: atribuído a cada NIC em cada VM.Private: Assigned to each NIC within each VM. O endereço é atribuído usando o método estático ou dinâmico.The address is assigned using either the static or dynamic method. Os endereços IP privados são atribuídos do intervalo que você especificou nas configurações de sub-rede da VNet.Private IP addresses are assigned from the range that you specified in the subnet settings of your VNet. Recursos implantados por meio do modelo de implantação clássico recebem endereços IP privados mesmo que não estejam conectados a uma VNet.Resources deployed through the classic deployment model are assigned private IP addresses, even if they're not connected to a VNet. O comportamento do método de alocação é diferente, dependendo se um recurso foi implantado com o modelo de implantação do Azure Resource Manager ou clássico:The behavior of the allocation method is different depending on whether a resource was deployed with the Resource Manager or classic deployment model:

    • Azure Resource Manager: um endereço IP privado atribuído com o método dinâmico ou estático permanece atribuído a uma máquina virtual (Gerenciador de Recursos) até que o recurso seja excluído.Resource Manager: A private IP address assigned with the dynamic or static method remains assigned to a virtual machine (Resource Manager) until the resource is deleted. A diferença é que você seleciona o endereço a ser atribuído quando usar estático e o Azure escolhe quando usar dinâmico.The difference is that you select the address to assign when using static, and Azure chooses when using dynamic.
    • Clássico: um endereço IP privado atribuído com o método dinâmico poderá alterar quando uma VM da máquina virtual (clássica) é reiniciada após ter ficado no estado parado (desalocado).Classic: A private IP address assigned with the dynamic method may change when a virtual machine (classic) VM is restarted after having been in the stopped (deallocated) state. Se você precisar garantir que o endereço IP privado de um recurso implantado através do modelo de implantação clássico nunca altere, atribua um endereço IP privado com o método estático.If you need to ensure that the private IP address for a resource deployed through the classic deployment model never changes, assign a private IP address with the static method.
  • Público: opcionalmente atribuído a NICs anexadas a VMs implantadas por meio do modelo de implantação do Azure Resource Manager.Public: Optionally assigned to NICs attached to VMs deployed through the Azure Resource Manager deployment model. O endereço pode ser atribuído com o método de alocação estática ou dinâmica.The address can be assigned with the static or dynamic allocation method. Todas as instâncias de função de VMs e Serviços de Nuvem implantadas por meio do modelo de implantação clássico existem dentro de um serviço de nuvem, ao qual é atribuído um endereço IP endereço virtual IP (VIP) dinâmico e público.All VMs and Cloud Services role instances deployed through the classic deployment model exist within a cloud service, which is assigned a dynamic, public virtual IP (VIP) address. Um endereço IP público e estático, chamado de endereço IP Reservado, pode ser atribuído como VIP.A public static IP address, called a Reserved IP address, can optionally be assigned as a VIP. Você pode atribuir endereços IP públicos a instâncias de função de VMs ou serviços de nuvem individuais implantados por meio do modelo de implantação clássico.You can assign public IP addresses to individual VMs or Cloud Services role instances deployed through the classic deployment model. Eles são chamados de endereços IP públicos em nível de instância (ILPIP) e podem ser atribuídos dinamicamente.These addresses are called Instance level public IP (ILPIP addresses and can be assigned dynamically.

Posso reservar um endereço IP privado para uma VM que vou criar mais tarde?Can I reserve a private IP address for a VM that I will create at a later time?

Não.No. Não é possível reservar um endereço IP privado.You cannot reserve a private IP address. Se um endereço IP privado estiver disponível, será atribuído a uma VM ou instância de função pelo servidor DHCP.If a private IP address is available, it is assigned to a VM or role instance by the DHCP server. A VM pode ou não ser aquela à qual você deseja que o endereço IP privado seja atribuído.The VM may or may not be the one that you want the private IP address assigned to. No entanto, você pode alterar o endereço IP privado de uma VM já criada para qualquer endereço IP privado disponível.You can, however, change the private IP address of an already created VM, to any available private IP address.

Os endereços IP privado mudam para VMs em uma rede virtual?Do private IP addresses change for VMs in a VNet?

Isso depende.It depends. Se a VM foi implantada por meio do Resource Manager, não, independentemente se o endereço IP foi atribuído com o método de alocação estática ou dinâmica.If the VM was deployed through Resource Manager, no, regardless of whether the IP address was assigned with the static or dynamic allocation method. Se a VM foi implantada através do modelo de implantação clássico, os endereços IP dinâmicos poderão alterar quando uma VM for iniciada após ter ficado no estado parado (desalocado).If the VM was deployed through the classic deployment model, dynamic IP addresses can change when a VM is started after having been in the stopped (deallocated) state. O endereço é liberado de uma VM implantada através de um modelo de implantação quando a VM é excluída.The address is released from a VM deployed through either deployment model when the VM is deleted.

Posso atribuir endereços IP a NICs manualmente dentro do sistema operacional da VM?Can I manually assign IP addresses to NICs within the VM operating system?

Sim, mas não é recomendado, a menos que seja necessário, como quando atribuir vários endereços IP a uma máquina virtual.Yes, but it's not recommended unless necessary, such as when assigning multiple IP addresses to a virtual machine. Para obter detalhes, consulte Adicionar vários endereços IP a uma máquina virtual.For details, see Adding multiple IP addresses to a virtual machine. Se o endereço IP atribuído a um NIC do Azure anexado a uma VM alterar, e o endereço IP dentro do sistema operacional da VM for diferente, você perderá conectividade com a VM.If the IP address assigned to an Azure NIC attached to a VM changes, and the IP address within the VM operating system is different, you lose connectivity to the VM.

Se eu parar um slot de implantação no Serviço de Nuvem ou desligar uma VM do sistema operacional, o que acontecerá com os endereços IP?If I stop a Cloud Service deployment slot or shutdown a VM from within the operating system, what happens to my IP addresses?

Nada.Nothing. Os endereços IP (VIP público, público e privado) permanecem atribuídos ao slot de implantação do Serviço de Nuvem ou à VM.The IP addresses (public VIP, public, and private) remain assigned to the cloud service deployment slot or VM.

Eu posso mover VMs de uma sub-rede para outra sub-rede em uma VNet sem reimplantação?Can I move VMs from one subnet to another subnet in a VNet without redeploying?

Sim.Yes. Você pode encontrar mais informações no artigo Como mover uma VM ou instância de função para uma sub-rede diferente.You can find more information in the How to move a VM or role instance to a different subnet article.

Posso configurar um endereço MAC estático para minha VM?Can I configure a static MAC address for my VM?

Não.No. Um endereço MAC não pode ser configurado estaticamente.A MAC address cannot be statically configured.

O endereço MAC permanecerá o mesmo para a minha VM depois de criado?Will the MAC address remain the same for my VM once it's created?

Sim, o endereço MAC continua o mesmo para uma VM implantada por meio do Gerenciador de Recursos e dos modelos de implantação clássicos até que esta seja excluída.Yes, the MAC address remains the same for a VM deployed through both the Resource Manager and classic deployment models until it's deleted. Anteriormente, o endereço MAC era lançado se a máquina virtual fosse interrompida (desalocada), mas agora o endereço MAC é mantido mesmo quando a VM está no estado desalocado.Previously, the MAC address was released if the VM was stopped (deallocated), but now the MAC address is retained even when the VM is in the deallocated state. O endereço MAC permanece atribuído ao adaptador de rede até que o mesmo seja excluído ou o endereço IP privado atribuído à configuração de IP primário do adaptador de rede primário seja alterado.The MAC address remains assigned to the network interface until the network interface is deleted or the private IP address assigned to the primary IP configuration of the primary network interface is changed.

Posso me conectar à internet de uma VM em uma rede virtual?Can I connect to the internet from a VM in a VNet?

Sim.Yes. Todas as instâncias de função de VMs e Serviços de Nuvem implantados em uma rede virtual podem se conectar à internet.All VMs and Cloud Services role instances deployed within a VNet can connect to the Internet.

Serviços do Azure que se conectam a redes virtuaisAzure services that connect to VNets

Posso usar os Aplicativos Web do Serviço de Aplicativo do Azure em uma rede virtual?Can I use Azure App Service Web Apps with a VNet?

Sim.Yes. Você pode implantar aplicativos Web dentro de uma VNet usando um ASE (Ambiente do Serviço de Aplicativo), conectar o back-end de seus aplicativos ao seu VNets com integração VNet e bloquear o tráfego de entrada para seu aplicativo com pontos de extremidade de serviço.You can deploy Web Apps inside a VNet using an ASE (App Service Environment), connect the backend of your apps to your VNets with VNet Integration, and lock down inbound traffic to your app with service endpoints. Para obter mais informações, consulte os seguintes artigos:For more information, see the following articles:

Posso implantar Serviços de Nuvem com funções web e de trabalho (PaaS) em uma rede virtual?Can I deploy Cloud Services with web and worker roles (PaaS) in a VNet?

Sim.Yes. Você pode implantar instâncias de função de Serviços de Nuvem em redes virtuais.You can (optionally) deploy Cloud Services role instances within VNets. Para fazer isso, especifique o nome e os mapeamentos de função/sub-rede na seção de configuração de rede da sua configuração de serviço.To do so, you specify the VNet name and the role/subnet mappings in the network configuration section of your service configuration. Não é preciso atualizar nenhum dos binários.You do not need to update any of your binaries.

Posso conectar um conjunto de dimensionamento de máquinas virtuais a uma VNet?Can I connect a virtual machine scale set to a VNet?

Sim.Yes. Você deve conectar um conjunto de dimensionamento de máquinas virtuais a uma VNet.You must connect a virtual machine scale set to a VNet.

Há uma lista completa dos serviços do Azure, dos quais eu posso implantar recursos em uma VNet?Is there a complete list of Azure services that can I deploy resources from into a VNet?

Sim. Para obter detalhes, consulte Integração de rede virtual para os serviços do Azure.Yes, For details, see Virtual network integration for Azure services.

Como posso restringir o acesso aos recursos de PaaS do Azure de uma VNet?How can I restrict access to Azure PaaS resources from a VNet?

Os recursos implantados por meio de alguns serviços de PaaS do Azure (como o armazenamento do Azure e banco de dados SQL do Azure) podem restringir o acesso à rede para VNet através do uso de pontos de extremidade de serviço de rede virtual ou do link privado do Azure.Resources deployed through some Azure PaaS services (such as Azure Storage and Azure SQL Database), can restrict network access to VNet through the use of virtual network service endpoints or Azure Private Link. Para obter detalhes, consulte visão geral de pontos de extremidade de serviço de rede virtual, visão geral do link privado do AzureFor details, see Virtual network service endpoints overview, Azure Private Link overview

Posso mover meus serviços para dentro e fora das redes virtuais?Can I move my services in and out of VNets?

Não.No. Não é possível mover serviços para dentro e fora das redes virtuais.You cannot move services in and out of VNets. Para mover um recurso para outra VNet, você deverá excluir e reimplantar o recurso.To move a resource to another VNet, you have to delete and redeploy the resource.

SegurançaSecurity

Qual é o modelo de segurança para redes virtuais?What is the security model for VNets?

As VNets são isoladas uma da outra e outros serviços hospedados na infraestrutura do Azure.VNets are isolated from one another, and other services hosted in the Azure infrastructure. Uma rede virtual é um limite de confiança.A VNet is a trust boundary.

Posso restringir o fluxo de tráfego de entrada ou saída para recursos conectados à rede virtual?Can I restrict inbound or outbound traffic flow to VNet-connected resources?

Sim.Yes. Você pode aplicar Grupos de Segurança de Rede a sub-redes individuais em uma rede virtual, NICs conectados a uma rede virtual ou ambos.You can apply Network Security Groups to individual subnets within a VNet, NICs attached to a VNet, or both.

Posso implementar um firewall entre os recursos conectados à rede virtual?Can I implement a firewall between VNet-connected resources?

Sim.Yes. Você pode implantar dispositivos virtuais de rede de firewall de vários fornecedores por meio do Marketplace do Azure.You can deploy a firewall network virtual appliance from several vendors through the Azure Marketplace.

Existem informações disponíveis sobre como proteger redes virtuais?Is there information available about securing VNets?

Sim.Yes. Para obter detalhes, consulte Visão geral da segurança de rede do Azure.For details, see Azure Network Security Overview.

APIs, esquemas e ferramentasAPIs, schemas, and tools

Posso gerenciar redes virtuais usando código?Can I manage VNets from code?

Sim.Yes. Você pode usar APIs REST para VNets nos modelos de implantação Azure Resource Manager e clássico .You can use REST APIs for VNets in the Azure Resource Manager and classic deployment models.

Há suporte a ferramentas para redes virtuais?Is there tooling support for VNets?

Sim.Yes. Saiba mais sobre como usar:Learn more about using:

Emparelhamento VNetVNet peering

O que é emparelhamento VNet?What is VNet peering?

O emparelhamento VNet (ou emparelhamento de rede virtual) permite que você conecte redes virtuais.VNet peering (or virtual network peering) enables you to connect virtual networks. Uma conexão de emparelhamento VNet entre redes virtuais permite rotear o tráfego entre elas de modo privado por meio de endereços IPv4.A VNet peering connection between virtual networks enables you to route traffic between them privately through IPv4 addresses. As máquinas virtuais nas VNets emparelhadas podem se comunicar entre si, como se elas estivessem na mesma rede.Virtual machines in the peered VNets can communicate with each other as if they are within the same network. Essas redes virtuais podem estar na mesma região ou em regiões diferentes (também conhecido como Emparelhamento VNet Global).These virtual networks can be in the same region or in different regions (also known as Global VNet Peering). As conexões de emparelhamento VNet também podem ser criadas entre assinaturas do Azure.VNet peering connections can also be created across Azure subscriptions.

É possível criar uma conexão de emparelhamento para uma VNet em uma região diferente?Can I create a peering connection to a VNet in a different region?

Sim.Yes. O emparelhamento VNet global permite emparelhar VNets em diferentes regiões.Global VNet peering enables you to peer VNets in different regions. O emparelhamento VNet global está disponível em todas as regiões públicas do Azure, nas regiões de nuvem da China e nas regiões de nuvem do governo.Global VNet peering is available in all Azure public regions, China cloud regions, and Government cloud regions. Não é possível globalmente emparelhar de regiões públicas do Azure para regiões de nuvem nacionais.You cannot globally peer from Azure public regions to national cloud regions.

Se as duas redes virtuais em duas regiões diferentes estiverem emparelhadas sobre o emparelhamento VNet global, você não poderá se conectar aos recursos que estão atrás de um Load Balancer básico por meio do IP de front-end do Load Balancer.If the two virtual networks in two different regions are peered over Global VNet Peering, you cannot connect to resources that are behind a Basic Load Balancer through the Front End IP of the Load Balancer. Essa restrição não existe para um Standard Load Balancer.This restriction does not exist for a Standard Load Balancer. Os recursos a seguir podem usar balanceadores de carga básicos, o que significa que você não pode acessá-los por meio do IP de front-end Load Balancer sobre o emparelhamento VNet global.The following resources can use Basic Load Balancers which means you cannot reach them through the Load Balancer's Front End IP over Global VNet Peering. No entanto, você pode usar o emparelhamento de VNet global para alcançar os recursos diretamente por meio de seus IPs de VNet privada, se permitido.You can however use Global VNet peering to reach the resources directly through their private VNet IPs, if permitted.

  • VMs por trás de balanceadores de carga básicosVMs behind Basic Load Balancers
  • Conjuntos de dimensionamento de máquinas virtuais com balanceadores de carga básicosVirtual machine scale sets with Basic Load Balancers
  • Cache RedisRedis Cache
  • SKU do gateway de aplicativo (v1)Application Gateway (v1) SKU
  • Service FabricService Fabric
  • MI SQLSQL MI
  • Gerenciamento de APIAPI Management
  • Serviço de Domínio do Active Directory (ADDS)Active Directory Domain Service (ADDS)
  • Aplicativos LógicosLogic Apps
  • HDInsightHDInsight
  • Lote do AzureAzure Batch
  • Ambiente do Serviço de AplicativoApp Service Environment

Você pode se conectar a esses recursos via ExpressRoute ou VNet a VNet por meio de gateways de VNet.You can connect to these resources via ExpressRoute or VNet-to-VNet through VNet Gateways.

É possível habilitar emparelhamento VNet se as redes virtuais pertencerem a assinaturas em diferentes locatários do Azure Active Directory?Can I enable VNet Peering if my virtual networks belong to subscriptions within different Azure Active Directory tenants?

Sim.Yes. É possível estabelecer Emparelhamento de VNet (local ou global) se as assinaturas pertencerem a diferentes locatários do Azure Active Directory.It is possible to establish VNet Peering (whether local or global) if your subscriptions belong to different Azure Active Directory tenants. Você pode fazer isso via PowerShell ou CLI.You can do this via PowerShell or CLI. Ainda não há suporte para o portal.Portal is not yet supported.

A conexão de emparelhamento VNet está no estado Iniciado, por que não consigo conectar?My VNet peering connection is in Initiated state, why can't I connect?

Se a conexão de emparelhamento estiver em um estado iniciado , isso significa que você criou apenas um link.If your peering connection is in an Initiated state, this means you have created only one link. Um link bidirecional deve ser criado para estabelecer uma conexão com êxito.A bidirectional link must be created in order to establish a successful connection. Por exemplo, para emparelhar VNet A a VNet B, um vínculo deve ser criado da VNetA para VNetB e da VNetB para VNetA.For example, to peer VNet A to VNet B, a link must be created from VNetA to VNetB and from VNetB to VNetA. A criação de ambos os links alterará o estado para conectado.Creating both links will change the state to Connected.

Minha conexão de emparelhamento VNet está no estado Desconectado, por que não consigo criar uma conexão de emparelhamento?My VNet peering connection is in Disconnected state, why can't I create a peering connection?

Se a conexão de emparelhamento VNet estiver em um estado desconectado , isso significará que um dos links criados foi excluído.If your VNet peering connection is in a Disconnected state, it means one of the links created was deleted. Para restabelecer uma conexão de emparelhamento, será necessário excluir o link e recriá-lo.In order to re-establish a peering connection, you will need to delete the link and recreate it.

Eu posso emparelhar minha VNet com uma VNet em uma assinatura diferente?Can I peer my VNet with a VNet in a different subscription?

Sim.Yes. É possível emparelhar VNets entre assinaturas e entre regiões.You can peer VNets across subscriptions and across regions.

Eu posso emparelhar duas VNets com intervalos de endereços sobrepostos ou correspondentes?Can I peer two VNets with matching or overlapping address ranges?

Não.No. Espaços de endereço não devem sobrepor para habilitar o Emparelhamento VNET.Address spaces must not overlap to enable VNet Peering.

Não há encargos para criar uma conexão de emparelhamento VNet.There is no charge for creating a VNet peering connection. É cobrada a transferência de dados entre as conexões de emparelhamento.Data transfer across peering connections is charged. Consulte aqui.See here.

O tráfego de emparelhamento VNet é criptografado?Is VNet peering traffic encrypted?

Não.No. O tráfego entre recursos em VNets emparelhadas é privado e isolado.Traffic between resources in peered VNets is private and isolated. Ele permanece completamente no backbone da Microsoft.It remains completely on the Microsoft Backbone.

Por que minha conexão de emparelhamento está em um estado desconectado ?Why is my peering connection in a Disconnected state?

As conexões de emparelhamento VNet entram no estado Desconectado quando um vínculo de emparelhamento VNet é excluído.VNet peering connections go into Disconnected state when one VNet peering link is deleted. É necessário excluir ambos os vínculos para restabelecer uma conexão de emparelhamento com êxito.You must delete both links in order to reestablish a successful peering connection.

Se emparelhar VNetA para VNetB e emparelhar VNetB para VNetC, isso significa que VNetA e VNetC estão emparelhadas?If I peer VNetA to VNetB and I peer VNetB to VNetC, does that mean VNetA and VNetC are peered?

Não.No. Não há suporte para emparelhamento transitivo.Transitive peering is not supported. É necessário emparelhar a VNetA e VNetC para que isso seja realizado.You must peer VNetA and VNetC for this to take place.

Há alguma limitação de largura de banda para conexões de emparelhamento?Are there any bandwidth limitations for peering connections?

Não.No. O emparelhamento VNet, seja local ou global, não impõe restrições de largura de banda.VNet peering, whether local or global, does not impose any bandwidth restrictions. A largura de banda é limitada apenas pela VM ou pelo recurso de computação.Bandwidth is only limited by the VM or the compute resource.

Como posso solucionar problemas de emparelhamento VNet?How can I troubleshoot VNet Peering issues?

Este é um Guia de solução de problemas que você pode experimentar.Here is a troubleshooter guide you can try.

TAP de rede virtualVirtual network TAP

Quais regiões do Azure estão disponíveis para o TAP de rede virtual?Which Azure regions are available for virtual network TAP?

A visualização de toque de rede virtual está disponível em todas as regiões do Azure.Virtual network TAP preview is available in all Azure regions. Os adaptadores de rede monitorados, o recurso do TAP de rede virtual e a solução de análise ou coletor devem ser implantados na mesma região.The monitored network interfaces, the virtual network TAP resource, and the collector or analytics solution must be deployed in the same region.

O TAP de rede virtual é compatível com alguma funcionalidade de filtragem nos pacotes espelhados?Does Virtual Network TAP support any filtering capabilities on the mirrored packets?

Não há suporte para funcionalidades de filtragem com a versão prévia do TAP da rede virtual.Filtering capabilities are not supported with the virtual network TAP preview. Quando uma configuração TAP é adicionada a um adaptador de rede, uma cópia profunda de todo o tráfego de entrada e de saída no adaptador de rede é transmitida para o destino do TAP.When a TAP configuration is added to a network interface a deep copy of all the ingress and egress traffic on the network interface is streamed to the TAP destination.

Várias configurações TAP podem ser adicionadas a um adaptador de rede monitorado?Can multiple TAP configurations be added to a monitored network interface?

Um adaptador de rede monitorado pode ter apenas uma configuração TAP.A monitored network interface can have only one TAP configuration. Consulte a solução de parceiro individual para obter a capacidade de transmitir várias cópias do tráfego de toque para as ferramentas de análise de sua escolha.Check with the individual partner solution for the capability to stream multiple copies of the TAP traffic to the analytics tools of your choice.

O mesmo recurso de TAP de rede virtual pode agregar tráfego de adaptadores de rede monitorados em mais de uma rede virtual?Can the same virtual network TAP resource aggregate traffic from monitored network interfaces in more than one virtual network?

Sim.Yes. O mesmo recurso de TAP de rede virtual pode ser usado para agregar tráfego espelhado dos adaptadores de rede monitorados em redes virtuais emparelhadas na mesma assinatura ou em uma assinatura diferente.The same virtual network TAP resource can be used to aggregate mirrored traffic from monitored network interfaces in peered virtual networks in the same subscription or a different subscription. O recurso de TAP de rede virtual e o balanceador de carga de destino ou adaptador de rede de destino devem estar na mesma assinatura.The virtual network TAP resource and the destination load balancer or destination network interface must be in the same subscription. Todas as assinaturas deve estar no mesmo locatário do Azure Active Directory.All subscriptions must be under the same Azure Active Directory tenant.

Haverá alguma consideração de desempenho sobre o tráfego da produção se eu habilitar uma configuração do TAP de rede virtual em um adaptador de rede?Are there any performance considerations on production traffic if I enable a virtual network TAP configuration on a network interface?

O toque da rede virtual está em versão prévia.Virtual network TAP is in preview. Durante a versão prévia, não há nenhum contrato de nível de serviço.During preview, there is no service level agreement. A funcionalidade não deve ser usada para cargas de trabalho de produção.The capability should not be used for production workloads. Quando uma interface de rede de máquina virtual é habilitada com uma configuração TAP, os mesmos recursos no host do Azure alocados para a máquina virtual para enviar o tráfego de produção são usados para executar a função de espelhamento e enviar os pacotes espelhados.When a virtual machine network interface is enabled with a TAP configuration, the same resources on the Azure host allocated to the virtual machine to send the production traffic is used to perform the mirroring function and send the mirrored packets. Selecione o tamanho de máquina virtual Linux ou Windows correto para garantir que os recursos suficientes estejam disponíveis para a máquina virtual enviar o tráfego de produção e o tráfego espelhado.Select the correct Linux or Windows virtual machine size to ensure that sufficient resources are available for the virtual machine to send the production traffic and the mirrored traffic.

Há suporte para a rede acelerada para Linux ou Windows com o TAP de rede virtual?Is accelerated networking for Linux or Windows supported with virtual network TAP?

Será possível adicionar uma configuração TAP em um adaptador de rede anexado a uma máquina virtual habilitada com uma rede acelerada.You will be able to add a TAP configuration on a network interface attached to a virtual machine that is enabled with accelerated networking. Mas o desempenho e a latência na máquina virtual serão afetados ao adicionar a configuração TAP, porque, no momento, hão há suporte para o descarregamento do tráfego de espelhamento pela rede acelerada do Azure.But the performance and latency on the virtual machine will be affected by adding TAP configuration since the offload for mirroring traffic is currently not supported by Azure accelerated networking.

Pontos de extremidade de serviço de rede virtualVirtual network service endpoints

Qual é a sequência correta de operações para configurar os pontos de extremidade de serviço em um serviço do Azure?What is the right sequence of operations to set up service endpoints to an Azure service?

Há duas etapas para proteger um recurso de serviço do Azure por meio de pontos de extremidade de serviço:There are two steps to secure an Azure service resource through service endpoints:

  1. Ativar os pontos de extremidade de serviço para o serviço do Azure.Turn on service endpoints for the Azure service.
  2. Configurar ACLs da VNet no serviço do Azure.Set up VNet ACLs on the Azure service.

A primeira etapa é uma operação de rede; a segunda é uma operação do recurso do serviço.The first step is a network side operation and the second step is a service resource side operation. Ambas as etapas podem ser executadas pelo mesmo administrador ou administradores diferentes com base nas permissões RBAC concedidas à função de administrador.Both steps can be performed either by the same administrator or different administrators based on the RBAC permissions granted to the administrator role. É recomendável ativar os pontos de extremidade de serviço da rede virtual antes de configurar as ACLs da VNet no serviço do Azure.We recommend that you first turn on service endpoints for your virtual network prior to setting up VNet ACLs on Azure service side. Portanto, as etapas devem ser executadas na sequência listada acima para configurar pontos de extremidade de serviço de VNet.Hence, the steps must be performed in the sequence listed above to set up VNet service endpoints.

Observação

As duas operações descritas anteriormente precisam ser concluídas antes de limitar o acesso ao serviço do Azure para a VNet e a sub-rede permitidas.Both the operations described above must be completed before you can limit the Azure service access to the allowed VNet and subnet. Ativar somente os pontos de extremidade de serviço do Azure na rede não oferece acesso limitado.Only turning on service endpoints for the Azure service on the network side does not provide you the limited access. Além disso, também é necessário configurar as ACLs da VNet no serviço do Azure.In addition, you must also set up VNet ACLs on the Azure service side.

Determinados serviços (como SQL e CosmosDB) permitem exceções à sequência acima por meio do sinalizador IgnoreMissingVnetServiceEndpoint .Certain services (such as SQL and CosmosDB) allow exceptions to the above sequence through the IgnoreMissingVnetServiceEndpoint flag. Depois que o sinalizador é definido como true, as ACLs de VNet podem ser definidas no lado do serviço do Azure antes de configurar os pontos de extremidade de serviço no lado da rede.Once the flag is set to True, VNet ACLs can be set on the Azure service side prior to setting up the service endpoints on the network side. Esse sinalizador é oferecido para ajudar os clientes nos casos em que firewalls de IPs específicos estão configurados nos serviços do Azure e ativar os pontos de extremidade de serviço na rede pode gerar uma queda na conectividade, pois o IP de origem é alterado de um endereço IPv4 público para um endereço privado.Azure services provide this flag to help customers in cases where the specific IP firewalls are configured on Azure services and turning on the service endpoints on the network side can lead to a connectivity drop since the source IP changes from a public IPv4 address to a private address. Configurar as ACLs da VNet no serviço do Azure antes de configurar os pontos de extremidade de serviço na rede pode ajudar a evitar quedas na conectividade.Setting up VNet ACLs on the Azure service side before setting service endpoints on the network side can help avoid a connectivity drop.

Todos os serviços do Azure residem na rede virtual do Azure fornecida pelo cliente?Do all Azure services reside in the Azure virtual network provided by the customer? Como o ponto de extremidade de serviço da VNet funciona com os serviços do Azure?How does VNet service endpoint work with Azure services?

Não. Nem todos os serviços do Azure residem na rede virtual do cliente.No, not all Azure services reside in the customer's virtual network. A maioria dos serviços de dados do Azure, como o armazenamento do Azure, o SQL do Azure e o Azure Cosmos DB, são serviços de vários locatários que podem ser acessados por endereços IP públicos.The majority of Azure data services such as Azure Storage, Azure SQL, and Azure Cosmos DB, are multi-tenant services that can be accessed over public IP addresses. Saiba mais sobre a integração de rede virtual para os serviços do Azure aqui.You can learn more about virtual network integration for Azure services here.

Ao usar o recurso de ponto de extremidade de serviço da VNet (ativando-o na rede e configurando as ACLs de VNet corretas no serviço do Azure), o acesso a um serviço do Azure fica restrito em uma VNet e uma sub-rede permitidas.When you use the VNet service endpoints feature (turning on VNet service endpoint on the network side and setting up appropriate VNet ACLs on the Azure service side), access to an Azure service is restricted from an allowed VNet and subnet.

Como o ponto de extremidade de serviço da VNet oferece segurança?How does VNet service endpoint provide security?

O recurso de ponto de extremidade do serviço VNet (ativar o ponto de extremidade do serviço VNet no lado da rede e configurar ACLs de VNet apropriadas no lado do serviço do Azure) limita o acesso do serviço do Azure à VNet e à sub-rede permitidas, fornecendo, assim, segurança no nível da rede e isolamento do tráfego do serviço do Azure.The VNet service endpoint feature (turning on VNet service endpoint on the network side and setting up appropriate VNet ACLs on the Azure service side) limits the Azure service access to the allowed VNet and subnet, thus providing a network level security and isolation of the Azure service traffic. Todo o tráfego que usa os pontos de extremidade de serviço da VNet passa pelo backbone da Microsoft. Dessa forma, oferece mais uma camada de isolamento da Internet pública.All traffic using VNet service endpoints flows over Microsoft backbone, thus providing another layer of isolation from the public internet. Além disso, os clientes podem escolher remover completamente o acesso à Internet pública dos recursos do serviço do Azure e permitir tráfego somente da rede virtual, por meio de uma combinação de firewall de IP e ACLs de VNet. Desse modo, os recursos do serviço do Azure ficam protegidos de acessos não autorizados.Moreover, customers can choose to fully remove public Internet access to the Azure service resources and allow traffic only from their virtual network through a combination of IP firewall and VNet ACLs, thus protecting the Azure service resources from unauthorized access.

O que o ponto de extremidade de serviço da VNet protege: os recursos da VNet ou o serviço do Azure?What does the VNet service endpoint protect - VNet resources or Azure service?

Os pontos de extremidade de serviço da VNet ajudam a proteger os recursos do serviço do Azure.VNet service endpoints help protect Azure service resources. Os recursos da VNet são protegidos por meio dos NSGs (Grupos de Segurança de Rede).VNet resources are protected through Network Security Groups (NSGs).

Há algum custo para usar os pontos de extremidade de serviço da VNet?Is there any cost for using VNet service endpoints?

Não há custos adicionais para usar os pontos de extremidade de serviço da VNet.No, there is no additional cost for using VNet service endpoints.

É possível ativar os pontos de extremidade de serviço e configurar as ACLs da VNet se a rede virtual e os recursos do serviço do Azure pertencerem a assinaturas diferentes?Can I turn on VNet service endpoints and set up VNet ACLs if the virtual network and the Azure service resources belong to different subscriptions?

Sim, isso é possível.Yes, it is possible. As redes virtuais e os recursos do serviço do Azure podem estar na mesma assinatura ou em assinaturas diferentes.Virtual networks and Azure service resources can be either in the same or different subscriptions. O único requisito é que tanto a rede virtual quanto os recursos do serviço do Azure precisam estar no mesmo locatário do AD (Active Directory).The only requirement is that both the virtual network and Azure service resources must be under the same Active Directory (AD) tenant.

É possível ativar os pontos de extremidade de serviço e configurar as ACLs da VNet se a rede virtual e os recursos do serviço do Azure pertencerem a locatários do AD diferentes?Can I turn on VNet service endpoints and set up VNet ACLs if the virtual network and the Azure service resources belong to different AD tenants?

Não, os pontos de extremidade de serviço e as ACLs da VNet não são compatíveis com todos os locatários do AD.No, VNet service endpoints and VNet ACLs are not supported across AD tenants.

É possível um endereço IP do dispositivo local conectado por meio do gateway de rede virtual do Azure (VPN) ou do gateway do ExpressRoute acessar o serviço de PaaS do Azure por meio de pontos de extremidade de serviço de VNet?Can an on-premises device’s IP address that is connected through Azure Virtual Network gateway (VPN) or ExpressRoute gateway access Azure PaaS Service over VNet service endpoints?

Por padrão, os recursos do serviço do Azure garantidos para redes virtuais não podem ser acessados nas redes locais.By default, Azure service resources secured to virtual networks are not reachable from on-premises networks. Se você quiser permitir o tráfego do local, também deverá permitir endereços IP públicos (normalmente, NAT) do seu local ou ExpressRoute.If you want to allow traffic from on-premises, you must also allow public (typically, NAT) IP addresses from your on-premises or ExpressRoute. Esses endereços IP podem ser adicionados por meio da configuração de firewall de IP dos recursos de serviço do Azure.These IP addresses can be added through the IP firewall configuration for the Azure service resources.

Posso usar o recurso de ponto de extremidade de serviço de VNet para proteger o serviço do Azure em várias sub-redes em uma rede virtual ou em várias redes virtuais?Can I use VNet Service Endpoint feature to secure Azure service to multiple subnets within a virtual network or across multiple virtual networks?

Para proteger os serviços do Azure para várias sub-redes em uma rede virtual ou entre várias redes virtuais, habilite os pontos de extremidade de serviço no lado da rede em cada uma das sub-redes de forma independente e, em seguida, proteja os recursos de serviço do Azure para todas as sub-redes Configurando ACLs de VNet apropriadas no lado do serviço do Azure.To secure Azure services to multiple subnets within a virtual network or across multiple virtual networks, enable service endpoints on the network side on each of the subnets independently and then secure Azure service resources to all of the subnets by setting up appropriate VNet ACLs on the Azure service side.

Como filtrar o tráfego de saída de uma rede virtual dos serviços do Azure e ainda usar os pontos de extremidade de serviço?How can I filter outbound traffic from a virtual network to Azure services and still use service endpoints?

Se deseja verificar ou filtrar o tráfego destinado a um serviço do Azure por meio de uma rede virtual, você pode implantar um dispositivo de rede virtual na rede virtual.If you want to inspect or filter the traffic destined to an Azure service from a virtual network, you can deploy a network virtual appliance within the virtual network. Em seguida, você poderá aplicar os pontos de extremidade de serviço à sub-rede em que o dispositivo de rede virtual está implantado e proteger os recursos do serviço do Azure apenas nessa sub-rede por meio das ACLs da VNet.You can then apply service endpoints to the subnet where the network virtual appliance is deployed and secure Azure service resources only to this subnet through VNet ACLs. Esse cenário pode ser útil se você deseja restringir o acesso do serviço do Azure da sua rede virtual somente a recursos específicos do Azure usando a filtragem por dispositivo de rede virtual.This scenario might also be helpful if you wish to restrict Azure service access from your virtual network only to specific Azure resources using network virtual appliance filtering. Para obter mais informações, consulte Saída com dispositivos de rede virtual.For more information, see egress with network virtual appliances.

O que acontece quando você acessa uma conta de serviço do Azure que tem uma ACL (lista de controle de acesso) de rede virtual habilitada de fora da VNet?What happens when you access an Azure service account that has a virtual network access control list (ACL) enabled from outside the VNet?

Os erros HTTP 403 e HTTP 404 serão retornados.The HTTP 403 or HTTP 404 error is returned.

As sub-redes de uma rede virtual criada em regiões diferentes podem acessar uma conta de serviço do Azure em outra região?Are subnets of a virtual network created in different regions allowed to access an Azure service account in another region?

Sim. Na maioria dos serviços do Azure, as redes virtuais criadas em regiões diferentes podem acessá-los em outra região por meio dos pontos de extremidade de serviço da VNet.Yes, for most of the Azure services, virtual networks created in different regions can access Azure services in another region through the VNet service endpoints. Por exemplo, se uma conta do Azure Cosmos DB estiver no Oeste dos EUA ou no Leste dos EUA e as redes virtuais estiverem em várias regiões, a rede virtual conseguirá acessar o Azure Cosmos DB.For example, if an Azure Cosmos DB account is in West US or East US and virtual networks are in multiple regions, the virtual network can access Azure Cosmos DB. O armazenamento e o SQL são exceções e são regionais por natureza. A rede virtual e o serviço do Azure precisam estar na mesma região.Storage and SQL are exceptions and are regional in nature and both the virtual network and the Azure service need to be in the same region.

Um serviço do Azure pode ter uma ACL de VNet e um firewall de IP?Can an Azure service have both a VNet ACL and an IP firewall?

Sim, uma ACL de VNet e um firewall de IP podem coexistir.Yes, a VNet ACL and an IP firewall can co-exist. Os dois recursos se complementam para garantir a segurança e o isolamento.Both features complement each other to ensure isolation and security.

O que acontecerá se você excluir uma rede virtual ou uma sub-rede que tenha o ponto de extremidade de serviço ativado para o serviço do Azure?What happens if you delete a virtual network or subnet that has service endpoint turned on for Azure service?

A exclusão de VNets e sub-redes é uma operação independente, compatível até mesmo quando os pontos de extremidade de serviço estão ativados para os serviços do Azure.Deletion of VNets and subnets are independent operations and are supported even when service endpoints are turned on for Azure services. Nos casos em que os serviços do Azure têm ACLs de VNet configuradas, para essas VNets e sub-redes, as informações de ACL de VNet associadas a esse serviço do Azure são desabilitadas quando uma VNet ou sub-rede com o ponto de extremidade de serviço VNet ativado é excluída.In cases where the Azure services have VNet ACLs set up, for those VNets and subnets, the VNet ACL information associated with that Azure service is disabled when a VNet or subnet that has VNet service endpoint turned on is deleted.

O que acontece se uma conta de serviço do Azure que tem um ponto de extremidade de serviço de VNet habilitado for excluída?What happens if an Azure service account that has a VNet Service endpoint enabled is deleted?

A exclusão de uma conta de serviço do Azure é uma operação independente e tem suporte mesmo quando o ponto de extremidade de serviço está habilitado no lado da rede e as ACLs de VNet são configuradas no lado do serviço do Azure.The deletion of an Azure service account is an independent operation and is supported even when the service endpoint is enabled on the network side and VNet ACLs are set up on Azure service side.

O que acontece com o endereço IP de origem do recurso (como a VM em uma sub-rede) que tem o ponto de extremidade de serviço habilitado?What happens to the source IP address of a resource (like a VM in a subnet) that has VNet service endpoint enabled?

Quando pontos de extremidade de serviço de rede virtual estão habilitados, os endereços IP de origem dos recursos na sub-rede da rede virtual alternarão do uso de endereços IPV4 públicos para endereços privados da Rede Virtual do Azure do tráfego para o serviço do Azure.When virtual network service endpoints are enabled, the source IP addresses of the resources in your virtual network's subnet switches from using public IPV4 addresses to the Azure virtual network's private IP addresses for traffic to Azure service. Observe que isso pode fazer com que os firewalls IP específicos definidos como um endereço IPV4 público anteriormente nos serviços do Azure falhem.Note that this can cause specific IP firewalls that are set to public IPV4 address earlier on the Azure services to fail.

A rota de ponto de extremidade de serviço sempre tem precedência?Does the service endpoint route always take precedence?

Os pontos de extremidade de serviço adicionam uma rota do sistema que tem precedência sobre rotas BGP e fornece roteamento ideal para o tráfego do ponto de extremidade de serviço.Service endpoints add a system route which takes precedence over BGP routes and provides optimum routing for the service endpoint traffic. Os pontos de extremidade sempre usam o tráfego do serviço diretamente da sua rede virtual para o serviço na rede de backbone do Microsoft Azure.Service endpoints always take service traffic directly from your virtual network to the service on the Microsoft Azure backbone network. Para obter mais informações sobre como o Azure seleciona uma rota, consulte Roteamento de tráfego de rede virtual do Azure.For more information about how Azure selects a route, see Azure Virtual network traffic routing.

Como o NSG de uma sub-rede funciona com os pontos de extremidade de serviço?How does NSG on a subnet work with service endpoints?

Para alcançar o serviço do Azure, os NSGs precisam permitir a conectividade de saída.To reach the Azure service, NSGs need to allow outbound connectivity. Se os NSGs estiverem abertos para todo o tráfego de saída da Internet, o tráfego do ponto de extremidade de serviço funcionará.If your NSGs are opened to all Internet outbound traffic, then the service endpoint traffic should work. Também é possível limitar o tráfego de saída aos IPs de serviço usando somente as tags do Serviço.You can also limit the outbound traffic to service IPs only using the Service tags.

Quais permissões preciso para configurar os pontos de extremidade de serviço?What permissions do I need to set up service endpoints?

Os pontos de extremidade de serviço podem ser configurados em redes virtuais de forma independente por um usuário com acesso de gravação à rede virtual.Service endpoints can be configured on a virtual network independently by a user with write access to the virtual network. Para proteger os recursos de serviço do Azure para uma VNet, o usuário deve ter permissão Microsoft. Network/virtualNetworks/sub-redes/joinViaServiceEndpoint/Action para as sub-redes que estão sendo adicionadas.To secure Azure service resources to a VNet, the user must have permission Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action for the subnets being added. Essa permissão está incluída nas funções de administrador de serviços internas por padrão e pode ser modificada com a criação de funções personalizadas.This permission is included in the built-in service administrator role by default and can be modified by creating custom roles. Saiba mais sobre funções internas e como atribuir permissões específicas a funções personalizadas.Learn more about built-in roles and assigning specific permissions to custom roles.

É possível filtrar o tráfego de rede virtual para serviços do Azure, permitindo apenas recursos específicos do serviço do Azure, em pontos de extremidade de serviço da VNet?Can I filter virtual network traffic to Azure services, allowing only specific azure service resources, over VNet service endpoints?

As políticas de ponto de extremidade de serviço de VNet (Rede Virtual) permitem filtrar o tráfego de rede virtual para serviços do Azure, permitindo apenas recursos específicos do serviço do Azure em pontos de extremidade de serviço.Virtual network (VNet) service endpoint policies allow you to filter virtual network traffic to Azure services, allowing only specific Azure service resources over the service endpoints. As políticas de ponto de extremidade de serviço fornecem controle de acesso granular para tráfego de rede virtual para serviços do Azure.Endpoint policies provide granular access control from the virtual network traffic to the Azure services. Saiba mais sobre as políticas do ponto de extremidade de serviço aqui.You can learn more about the service endpoint policies here.

O Azure Active Directory (Azure AD) dá suporte a pontos de extremidade de serviço de VNet?Does Azure Active Directory (Azure AD) support VNet service endpoints?

O Azure Active Directory (AD do Azure) não dá suporte a pontos de extremidade de serviço nativamente.Azure Active Directory (Azure AD) doesn't support service endpoints natively. A lista completa de serviços do Azure que dão suporte a pontos de extremidade de serviço VNet pode ser vista aqui.Complete list of Azure Services supporting VNet service endpoints can be seen here. Observe que a marca "Microsoft. AzureActiveDirectory" listada em serviços que dão suporte a pontos de extremidade de serviço é usada para dar suporte a pontos de extremidade de serviço para o ADLS Gen 1.Note that the "Microsoft.AzureActiveDirectory" tag listed under services supporting service endpoints is used for supporting service endpoints to ADLS Gen 1. Para o ADLS Gen 1, a integração de rede virtual para Azure Data Lake Storage Gen1 usa a segurança do ponto de extremidade do serviço de rede virtual entre sua rede virtual e Azure Active Directory (AD do Azure) para gerar declarações de segurança adicionais no token de acesso.For ADLS Gen 1, virtual network integration for Azure Data Lake Storage Gen1 makes use of the virtual network service endpoint security between your virtual network and Azure Active Directory (Azure AD) to generate additional security claims in the access token. Essas declarações, em seguida, são usadas para autenticar sua rede virtual na conta do Data Lake Storage Gen1 e permitir o acesso.These claims are then used to authenticate your virtual network to your Data Lake Storage Gen1 account and allow access. Saiba mais sobre a integração de VNet do Azure data Lake Store Gen 1Learn more about Azure Data Lake Store Gen 1 VNet Integration

Há limites de pontos de extremidade de serviço de VNet que podem ser configurados em uma VNet?Are there any limits on how many VNet service endpoints I can set up from my VNet?

Não há limite para o número total de pontos de extremidade de serviço de VNet em uma rede virtual.There is no limit on the total number of VNet service endpoints in a virtual network. Para um recurso de serviço do Azure (como uma conta de armazenamento do Azure), os serviços podem impor limites no número de sub-redes usadas para proteger o recurso.For an Azure service resource (such as an Azure Storage account), services may enforce limits on the number of subnets used for securing the resource. A tabela a seguir mostra limites de exemplo:The following table shows some example limits:

Serviço do AzureAzure service Limites de regras de VNetLimits on VNet rules
Armazenamento do AzureAzure Storage 100100
SQL do AzureAzure SQL 128128
SQL Data Warehouse do AzureAzure SQL Data Warehouse 128128
Azure KeyVaultAzure KeyVault 127127
BD Cosmos do AzureAzure Cosmos DB 6464
Hub de Eventos do AzureAzure Event Hub 128128
Barramento de Serviço do AzureAzure Service Bus 128128
Azure Data Lake Storage V1Azure Data Lake Store V1 100100

Observação

Os limites estão sujeitos a alterações a critério do serviço do Azure.The limits are subjected to changes at the discretion of the Azure service. Veja a documentação do respectivo serviço para saber detalhes.Refer to the respective service documentation for services details.