Explorar a Rede Virtual do Azure
Você tem um datacenter local que planeja manter, mas deseja usar o Azure para desanuviar o tráfego de pico usando VMs (máquinas virtuais) hospedadas no Azure. Você deseja manter seu esquema de endereçamento IP e dispositivos de rede existentes com a garantia de a transferência de dados será segura.
O que é a rede virtual do Azure?
As redes virtuais do Azure habilitam recursos do Azure, como máquinas virtuais, aplicativos Web e bancos de dados, para se comunicarem: uns com os outros, usuários na Internet e computadores cliente locais. Pense em uma rede do Azure como um conjunto de recursos que vincula outros recursos do Azure.
As redes virtuais do Azure oferecem funcionalidades de rede essenciais:
- Isolamento e segmentação
- Comunicação pela Internet
- Comunicação entre recursos do Azure
- Comunicação com os recursos locais
- Rotear tráfego de rede
- Filtrar tráfego de rede
- Conectar redes virtuais
Isolamento e segmentação
O Azure permite criar várias redes virtuais isoladas. Quando você configura uma rede virtual, define um espaço de endereço IP (Internet Protocol) privado, usando intervalos de endereços IP públicos ou privados. Em seguida, você segmenta esse espaço de endereço IP em sub-redes e aloca parte do espaço de endereço definido para cada sub-rede nomeada.
Para resolução de nomes, você pode usar o serviço de resolução de nomes interno do Azure ou pode configurar a rede virtual para usar um servidor DNS (Sistema de Nomes de Domínio) interno ou externo.
Comunicações com a Internet
Uma VM no Azure pode se conectar à Internet por padrão. É possível habilitar conexões de entrada da Internet definindo um endereço IP público ou um balanceador de carga público. Para o gerenciamento de VM, você pode se conectar por meio da CLI do Azure, do protocolo RDP ou do SSH (Secure Shell).
Comunicação entre recursos do Azure
Convém habilitar recursos do Azure para que se comuniquem entre si com segurança. Você pode fazer isso de duas maneiras:
Redes virtuais
As redes virtuais podem conectar não apenas VMs, mas outros recursos do Azure, como os Ambientes do Serviço de Aplicativo, o Serviço de Kubernetes do Azure e os conjuntos de dimensionamento de máquinas virtuais do Azure.
Pontos de extremidade de serviço
Você pode usar pontos de extremidade de serviço para se conectar a outros tipos de recursos do Azure, como bancos de dados SQL do Azure e contas de armazenamento. Essa abordagem permite que você vincule vários recursos do Azure às redes virtuais, aumentando a segurança e fazendo o encaminhamento ideal entre recursos.
Comunicação com os recursos locais
As redes virtuais do Azure permitem vincular recursos em seu ambiente local e na assinatura do Azure, na verdade criando uma rede que abrange ambos os locais e ambientes de nuvem. Há três mecanismos para você obter essa conectividade:
Redes Virtuais Privadas Ponto a Site
Essa abordagem é como uma conexão VPN (rede virtual privada) que um computador fora da sua organização retorna para sua rede corporativa, exceto que funciona na direção oposta. Nesse caso, o computador cliente inicia uma conexão VPN criptografada com o Azure, conectando o computador à Rede Virtual do Azure.
Redes virtuais privadas site a site Uma VPN (rede virtual privada) site a site vincula seu dispositivo VPN ou Gateway de VPN local ao Gateway de VPN do Azure em uma rede virtual. Na verdade, os dispositivos no Azure podem aparecer como estando na rede local. A conexão é criptografada e funciona pela Internet.
Azure ExpressRoute
Em ambientes em que você precisa de maior largura de banda e níveis de segurança ainda mais altos, o Azure ExpressRoute é a melhor abordagem. O Azure ExpressRoute fornece conectividade privada dedicada para o Azure que não passa pela Internet.
Rotear tráfego de rede
Por padrão, o Azure encaminhará o tráfego entre sub-redes, em redes virtuais conectadas, em redes locais e na Internet. No entanto, você pode controlar o encaminhamento e substituir essas configurações da seguinte maneira:
Tabelas de rotas
Uma tabela de rotas permite que você defina regras sobre como o tráfego deve ser direcionado. Você pode criar tabelas de rotas personalizadas que controlam como os pacotes são encaminhados entre as sub-redes.
Border Gateway Protocol
O BGP (Border Gateway Protocol) funciona com gateways de VPN do Azure ou ExpressRoute para propagar as rotas BGP locais para redes virtuais do Azure.
Filtrar tráfego de rede
As redes virtuais do Azure permitem filtrar o tráfego entre sub-redes usando as seguintes abordagens:
Grupos de segurança de rede
Um NSG (grupo de segurança de rede) é um recurso do Azure que pode conter várias regras de segurança de entrada e saída. Você pode definir essas regras para permitir ou bloquear tráfego com base em fatores como endereço IP de origem e de destino, porta e protocolo.
Soluções de virtualização de rede
Uma solução de virtualização de rede é uma VM especializada que pode ser comparada a um dispositivo de rede protegida. Uma solução de virtualização de rede realiza uma função de rede específica, como execução de um firewall ou otimização de WAN.
Conectar redes virtuais
Você pode vincular redes virtuais usando emparelhamento de rede virtual. O emparelhamento permite que os recursos em cada rede virtual se comuniquem entre si. Essas redes virtuais podem estar em regiões separadas, permitindo que você crie uma rede global interconectada por meio do Azure.
Configurações de rede virtual do Azure
Você pode criar e configurar redes virtuais do Azure no portal do Azure, no Azure PowerShell no computador local ou no Azure Cloud Shell.
Criar uma rede virtual
Ao criar uma rede virtual do Azure, você poderá definir várias configurações básicas. Você também poderá definir configurações avançadas, como sub-redes múltiplas, proteção contra DDoS (ataque de negação de serviço distribuído) e pontos de extremidade de serviço.
Você vai configurar as seguintes configurações para uma rede virtual básica:
Nome da rede
O nome da rede precisa ser exclusivo na sua assinatura, mas não precisa ser globalmente exclusivo. Crie um descritivo que seja fácil de lembrar e diferenciar de outras redes virtuais.
Espaço de endereço
Quando você configura uma rede virtual, define o espaço de endereço interno no formato CIDR (Roteamento entre Domínios sem Classificação). Esse espaço de endereço deve ser exclusivo dentro de sua assinatura e quaisquer redes às quais você deseje se conectar.
Vamos supor que você escolha um espaço de endereço de 10.0.0.0/24 para sua primeira rede virtual. Os endereços definidos nesse espaço de endereço vão de 10.0.0.1 a 10.0.0.254. Em seguida, você criará uma segunda rede virtual e escolherá o espaço de endereço 10.0.0.0/8. O endereço nesse espaço de endereço vai de 10.0.0.1 a 10.255.255.254. Alguns do endereço se sobrepõem e não podem ser usados para as duas redes virtuais.
No entanto, você pode usar 10.0.0.0/16, com os endereços que variam de 10.0.0.1 a 10.0.255.254 e 10.1.0.0/16, com os endereços que variam de 10.1.0.1 a 10.1.255.254. Você pode atribuir esses espaços de endereço às suas redes virtuais porque não há nenhuma sobreposição de endereços.
Observação
Você pode adicionar espaços de endereço depois de criar a rede virtual.
Assinatura
Só se aplica se você tem várias assinaturas para escolher.
Grupo de recursos
Como qualquer outro recurso do Azure, uma rede virtual precisa existir em um grupo de recursos. Você pode selecionar um grupo de recursos existente ou criar um.
Localização
Selecione o local onde você deseja criar a rede virtual.
Sub-rede
Em cada intervalo de endereços de rede virtual, você pode criar uma ou mais sub-redes que particionam o espaço de endereço da rede virtual. O encaminhamento entre sub-redes dependerá das rotas padrão do tráfego; você pode definir rotas personalizadas. Como alternativa, você pode definir uma sub-rede que abrange todos os intervalos de endereços das redes virtuais.
Observação
Os nomes de sub-rede precisam começar com uma letra ou número, terminar com uma letra, número ou sublinhado e podem conter somente letras, números, sublinhados, pontos ou hifens.
Proteção contra DDoS (negação de serviço distribuída)
Você pode selecionar a proteção contra DDoS Básica ou Standard. A proteção contra DDoS Standard é um serviço Premium. A Proteção contra DDoS do Azure fornece mais informações sobre a Proteção contra DDoS.
Pontos de Extremidade de Serviço
Aqui, você habilita pontos de extremidade de serviço e seleciona na lista quais pontos de extremidade de serviço do Azure deseja habilitar. As opções incluem o Azure Cosmos DB, o Barramento de Serviço do Azure, o Azure Key Vault e assim por diante.
Depois de definir essas configurações, selecione Criar.
Definir outras configurações
Depois de criar uma rede virtual, você pode definir outras configurações. Essas configurações incluem:
Grupo de segurança de rede
Grupos de segurança de rede têm regras de segurança que lhe permitem filtrar o tipo de tráfego de rede que pode fluir para dentro e fora das sub-redes da rede virtual e dos adaptadores de rede. Você cria o grupo de segurança de rede separadamente e o associa com a rede virtual.
Tabela de rotas
O Azure cria automaticamente uma tabela de rotas para cada sub-rede dentro de uma rede virtual do Azure e adiciona as rotas de sistema padrão à tabela. No entanto, você pode adicionar tabelas de rotas personalizadas para modificar o tráfego entre redes virtuais.
Também é possível corrigir os pontos de extremidade de serviço.
Configurar redes virtuais
Depois de criar uma rede virtual, você poderá alterar outras configurações no painel Redes Virtuais do portal do Azure. Como alternativa, você pode usar comandos do PowerShell ou comandos no Cloud Shell para fazer alterações.
Você pode examinar e alterar as configurações nos subpainéis adicionais. Essas configurações incluem:
Espaços de endereço: Você pode adicionar mais espaços de endereço à definição inicial.
Dispositivos conectados: use a rede virtual para conectar computadores.
Sub-redes: adicionar mais sub-redes.
Emparelhamentos: vincular redes virtuais em disposições de emparelhamento.
Você também pode monitorar e solucionar problemas de redes virtuais ou criar um script de automação para gerar a rede virtual atual.
Redes virtuais são mecanismos avançados e altamente configuráveis para conectar entidades no Azure. Você pode conectar recursos do Azure entre si ou a recursos existentes no local. Você pode isolar, filtrar e encaminhar o tráfego de rede, e o Azure permite que você aumente a segurança quando achar necessário.