O que é a Rede Virtual do Azure?What is Azure Virtual Network?

A Rede Virtual do Azure (VNet) é o bloco de construção fundamental de sua rede privada no Azure.Azure Virtual Network (VNet) is the fundamental building block for your private network in Azure. Ela permite vários tipos de recursos do Azure, como VMs (Máquinas Virtuais) do Azure, a fim de se comunicar de forma segura com a Internet, com as redes locais e com outras VMs.VNet enables many types of Azure resources, such as Azure Virtual Machines (VM), to securely communicate with each other, the internet, and on-premises networks. A VNet é semelhante a uma rede tradicional que você operaria em seu próprio data center, mas traz benefícios adicionais da infraestrutura do Azure, como escala, disponibilidade e isolamento.VNet is similar to a traditional network that you'd operate in your own data center, but brings with it additional benefits of Azure's infrastructure such as scale, availability, and isolation.

Conceitos de VNetVNet concepts

  • Espaço de endereço: Ao criar uma VNet, é necessário especificar um espaço de endereço IP privado personalizado usando endereços públicos e privados (RFC 1918).Address space: When creating a VNet, you must specify a custom private IP address space using public and private (RFC 1918) addresses. O Azure atribui um endereço IP particular aos recursos em uma rede virtual do espaço de endereço que você atribuiu.Azure assigns resources in a virtual network a private IP address from the address space that you assign. Por exemplo, se você implantar uma VM em uma VNet com o espaço de endereço 10.0.0.0/16, a VM receberá um IP privado como 10.0.0.4.For example, if you deploy a VM in a VNet with address space, 10.0.0.0/16, the VM will be assigned a private IP like 10.0.0.4.
  • Sub-redes: As sub-redes permitem que você segmente a rede virtual em uma ou mais sub-redes e aloque uma parte do espaço de endereço da rede virtual a cada sub-rede.Subnets: Subnets enable you to segment the virtual network into one or more sub-networks and allocate a portion of the virtual network's address space to each subnet. Em seguida, você pode implantar recursos do Azure em uma sub-rede específica.You can then deploy Azure resources in a specific subnet. Assim como em uma rede tradicional, as sub-redes permitem que você divida o espaço de endereço da sua VNet em segmentos que são apropriados para a rede interna da organização.Just like in a traditional network, subnets allow you to segment your VNet address space into segments that are appropriate for the organization's internal network. Isso também melhora a eficiência de alocação de endereço.This also improves address allocation efficiency. É possível proteger os recursos dentro de sub-redes usando grupos de segurança de rede.You can secure resources within subnets using Network Security Groups. Para saber, confira Grupos de segurança.For more information, see Security groups.
  • Regiões: Uma VNet tem como escopo uma única região/localização; no entanto, é possível conectar várias redes virtuais de regiões diferentes usando o Emparelhamento de Rede Virtual.Regions: VNet is scoped to a single region/location; however, multiple virtual networks from different regions can be connected together using Virtual Network Peering.
  • Assinatura: A VNet está no escopo de uma assinatura.Subscription: VNet is scoped to a subscription. É possível implementar várias redes virtuais em cada assinatura e região do Azure.You can implement multiple virtual networks within each Azure subscription and Azure region.

Práticas recomendadasBest practices

Ao criar sua rede no Azure, é importante se lembrar dos seguintes princípios de design universais:As you build your network in Azure, it is important to keep in mind the following universal design principles:

  • Cuidado para não sobrepor espaços de endereço.Ensure non-overlapping address spaces. Verifique se o espaço de endereço de sua VNet (bloco CIDR) não se sobrepõe aos outros intervalos de rede da sua organização.Make sure your VNet address space (CIDR block) does not overlap with your organization's other network ranges.
  • Suas sub-redes não devem abranger todo o espaço de endereço da VNet.Your subnets should not cover the entire address space of the VNet. Planeje com antecedência e reserve algum espaço de endereço para o futuro.Plan ahead and reserve some address space for the future.
  • Recomendamos que você tenha menos VNets maiores do que várias VNets pequenas.It is recommended you have fewer large VNets than multiple small VNets. Isso evitará a sobrecarga no gerenciamento.This will prevent management overhead.
  • Proteja sua VNet usando os NSGs (Grupos de Segurança de Rede).Secure your VNet using Network Security Groups (NSGs).

Comunicação com a InternetCommunicate with the internet

Por padrão, todos os recursos em uma VNet podem se comunicar na saída com a Internet.All resources in a VNet can communicate outbound to the internet, by default. Você pode se comunicar na entrada com um recurso, atribuindo um endereço IP público ou um Load Balancer público.You can communicate inbound to a resource by assigning a public IP address or a public Load Balancer. Você também pode usar o IP público ou Load Balancer público para gerenciar suas conexões de saída.You can also use public IP or public Load Balancer to manage your outbound connections. Para saber mais sobre as conexões de saída no Azure, confira Conexões de saída, Endereços IP públicos e Load Balancer.To learn more about outbound connections in Azure, see Outbound connections, Public IP addresses, and Load Balancer.

Observação

Ao usar somente o Standard Load Balancer interno, a conectividade de saída não está disponível até que você defina como quer que as conexões de saída trabalhem com um IP público no nível da instância, ou um Load Balancer público.When using only an internal Standard Load Balancer, outbound connectivity is not available until you define how you want outbound connections to work with an instance-level public IP or a public Load Balancer.

Comunicação entre recursos do AzureCommunicate between Azure resources

Os recursos do Azure se comunicam com segurança entre si de uma das seguintes maneiras:Azure resources communicate securely with each other in one of the following ways:

  • Por meio de uma rede virtual: você pode implantar VMs e vários outros tipos de recursos do Azure em uma rede virtual, tais como Ambientes de Serviço de Aplicativo do Azure, o Serviço de Kubernetes do Azure (AKS) e Conjuntos de Dimensionamento de Máquinas Virtuais do Azure.Through a virtual network: You can deploy VMs, and several other types of Azure resources to a virtual network, such as Azure App Service Environments, the Azure Kubernetes Service (AKS), and Azure Virtual Machine Scale Sets. Para exibir uma lista completa de recursos do Azure que podem ser implantados em uma rede virtual, confira Integração de serviços de rede virtual.To view a complete list of Azure resources that you can deploy into a virtual network, see Virtual network service integration.
  • Por meio de um ponto de extremidade de serviço de rede virtual: estenda seu espaço de endereço privado da rede virtual e a identidade de sua rede virtual para os recursos de serviço do Azure, como contas de Armazenamento do Azure e Bancos de Dados SQL do Azure, em uma conexão direta.Through a virtual network service endpoint: Extend your virtual network private address space and the identity of your virtual network to Azure service resources, such as Azure Storage accounts and Azure SQL databases, over a direct connection. Os pontos de extremidade de serviço permitem que você proteja os recursos essenciais do serviço do Azure somente em uma rede virtual.Service endpoints allow you to secure your critical Azure service resources to only a virtual network. Para obter mais detalhes, confira Visão geral dos pontos de extremidade de serviço de rede virtual.To learn more, see Virtual network service endpoints overview.
  • Por Emparelhamento VNet: É possível conectar redes virtuais umas às outras, permitindo que os recursos em uma rede virtual se comuniquem com os de qualquer outra por meio de emparelhamento de rede virtual.Through VNet Peering: You can connect virtual networks to each other, enabling resources in either virtual network to communicate with each other, using virtual network peering. As redes virtuais que você conecta podem estar na mesma região ou em regiões diferentes do Azure.The virtual networks you connect can be in the same, or different, Azure regions. Para saber mais, confira Emparelhamento de rede virtual.To learn more, see Virtual network peering.

Comunicação com os recursos locaisCommunicate with on-premises resources

Você pode conectar suas redes e computadores locais a uma rede virtual usando qualquer combinação das seguintes opções:You can connect your on-premises computers and networks to a virtual network using any combination of the following options:

  • VPN (rede privada virtual) ponto a site: estabelecida entre uma rede virtual e um único computador em sua rede.Point-to-site virtual private network (VPN): Established between a virtual network and a single computer in your network. Cada computador que deseja estabelecer conectividade com uma rede virtual precisa configurar suas conexões.Each computer that wants to establish connectivity with a virtual network must configure its connection. Esse tipo de conexão é ótimo se você estiver começando a usar o Azure, ou para os desenvolvedores, pois exige pouca ou nenhuma alteração em sua rede existente.This connection type is great if you're just getting started with Azure, or for developers, because it requires little or no changes to your existing network. A comunicação entre seu computador e uma rede virtual é enviada via Internet, por um túnel criptografado.The communication between your computer and a virtual network is sent through an encrypted tunnel over the internet. Para obter mais informações, confira VPN ponto a site.To learn more, see Point-to-site VPN.
  • VPN site a site: estabelecida entre o dispositivo VPN local e um Gateway de VPN do Azure implantado em uma rede virtual.Site-to-site VPN: Established between your on-premises VPN device and an Azure VPN Gateway that is deployed in a virtual network. Esse tipo de conexão permite que qualquer recurso local que você autorizou acesse uma rede virtual.This connection type enables any on-premises resource that you authorize to access a virtual network. A comunicação entre o dispositivo VPN local e um gateway de VPN do Azure é enviada via Internet, por um túnel criptografado.The communication between your on-premises VPN device and an Azure VPN gateway is sent through an encrypted tunnel over the internet. Para obter mais informações, confira VPN site a site.To learn more, see Site-to-site VPN.
  • Azure ExpressRoute: estabelecido entre sua rede e o Azure, por meio de um parceiro de ExpressRoute.Azure ExpressRoute: Established between your network and Azure, through an ExpressRoute partner. Essa conexão é privada.This connection is private. O tráfego não passa pela Internet.Traffic does not go over the internet. Para saber mais, confira ExpressRoute.To learn more, see ExpressRoute.

Filtrar tráfego de redeFilter network traffic

Filtre o tráfego de rede entre sub-redes usando uma ou as duas opções a seguir:You can filter network traffic between subnets using either or both of the following options:

  • Grupos de segurança: grupos de segurança de rede e grupos de segurança de aplicativo podem conter várias regras de segurança de entrada e saída que permitem filtrar o tráfego para e através de recursos por endereço IP de origem e de destino, porta e protocolo.Security groups: Network security groups and application security groups can contain multiple inbound and outbound security rules that enable you to filter traffic to and from resources by source and destination IP address, port, and protocol. Para saber mais, confira Grupos de segurança de rede ou Grupos de segurança de aplicativo.To learn more, see Network security groups or Application security groups.
  • Soluções de virtualização de rede: uma solução de virtualização de rede é uma VM que executa uma função de rede, como um firewall, otimização WAN ou outra função de rede.Network virtual appliances: A network virtual appliance is a VM that performs a network function, such as a firewall, WAN optimization, or other network function. Para exibir uma lista de soluções de virtualização de rede disponíveis que você pode implantar em uma rede virtual, confira o Azure Marketplace.To view a list of available network virtual appliances that you can deploy in a virtual network, see Azure Marketplace.

Rotear tráfego de redeRoute network traffic

Por padrão, o Azure encaminha o tráfego entre sub-redes, redes virtuais conectadas, redes locais e a Internet.Azure routes traffic between subnets, connected virtual networks, on-premises networks, and the Internet, by default. Você pode implementar uma ou as duas opções a seguir para substituir as rotas padrão criadas pelo Azure:You can implement either or both of the following options to override the default routes Azure creates:

  • Tabelas de rotas: é possível criar tabelas de rotas personalizadas com rotas que controlam para que local o tráfego será roteado para cada sub-rede.Route tables: You can create custom route tables with routes that control where traffic is routed to for each subnet. Saiba mais sobre tabelas de rota.Learn more about route tables.
  • Rotas BGP (Border Gateway Protocol): se você conectar sua rede virtual à rede local usando um Gateway de VPN do Azure ou conexão do ExpressRoute, será possível propagar as rotas BGP locais para suas redes virtuais.Border gateway protocol (BGP) routes: If you connect your virtual network to your on-premises network using an Azure VPN Gateway or ExpressRoute connection, you can propagate your on-premises BGP routes to your virtual networks. Saiba mais sobre como usar o BGP com Gateway de VPN do Azure e ExpressRoute.Learn more about using BGP with Azure VPN Gateway and ExpressRoute.

Limites da VNet do AzureAzure VNet limits

Há certos limites com relação ao número de recursos do Azure que você pode implantar.There are certain limits around the number of Azure resources you can deploy. A maioria dos limites de rede do Azure estão com os valores máximo.Most Azure networking limits are at the maximum values. No entanto, você pode aumentar determinados limites de rede conforme especificado na Página de limites da VNet.However, you can increase certain networking limits as specified on the VNet limits page.

PreçosPricing

O uso do Azure VNet não tem qualquer custo, é gratuito.There is no charge for using Azure VNet, it is free of cost. Os recursos como VMs (máquinas virtuais) e outros produtos sofrem cobranças padrão.Standard charges are applicable for resources, such as Virtual Machines (VMs) and other products. Para saber mais, confira Preços de VNet e a Calculadora de preços do Azure.To learn more, see VNet pricing and the Azure pricing calculator.

Próximas etapasNext steps

Para começar a usar uma rede virtual, crie uma, implante algumas VMs nela, e se comunique entre as VMs.To get started using a virtual network, create one, deploy a few VMs to it, and communicate between the VMs. Para saber como, confira o início rápido Criar uma rede virtual.To learn how, see the Create a virtual network quickstart.