Expandir uma rede no local com o ExpressRoute

Esta arquitetura de referência mostra como ligar uma rede no local a redes virtuais no Azure, com o Microsoft Azure ExpressRoute. As ligações do ExpressRoute utilizam uma ligação privada dedicada através de um fornecedor de conectividade de terceiros. A ligação privada expande a sua rede no local no Azure.

Arquitetura

Transfira um ficheiro do Visio desta arquitetura.

Fluxo de trabalho

A arquitetura é composta pelos seguintes componentes.

• Rede empresarial no local. Uma rede de área local privada em execução numa organização.

• Circuito do ExpressRoute. Um circuito de duas ou três camadas disponibilizado pelo fornecedor de conectividade que associa a rede no local ao Azure através dos routers de periferia. O circuito utiliza a infraestrutura de hardware gerida pelo fornecedor de conectividade.

• Routers de periferia locais. Os routers que ligam a rede no local ao circuito gerido pelo fornecedor. Consoante a forma como a ligação é aprovisionada, pode ter de fornecer os endereços IP públicos utilizados pelos routers.

• Routers de periferia da Microsoft. Dois routers numa configuração de elevada disponibilidade no modo ativo-ativo. Estes routers permitem que um fornecedor de conectividade ligue os circuitos diretamente ao datacenter. Consoante a forma como a ligação é aprovisionada, pode ter de fornecer os endereços IP públicos utilizados pelos routers.

• Redes virtuais (VNets) do Azure. Cada VNet reside numa única região do Azure e pode alojar várias camadas da aplicação. As camadas da aplicação podem ser segmentadas com sub-redes em cada VNet.

• Serviços público do Azure. Os serviços do Azure que podem ser utilizados numa aplicação híbrida. Estes serviços também estão disponíveis através da Internet, mas o acesso aos mesmos com um circuito do ExpressRoute proporciona uma baixa latência e um desempenho mais previsível, uma vez que o tráfego não passa pela Internet.

• Serviços Microsoft 365. Os aplicativos e serviços do Microsoft 365 disponíveis publicamente fornecidos pela Microsoft. As ligações são realizadas através do peering da Microsoft, com endereços pertencentes à sua organização ou fornecidos pelo seu fornecedor de conectividade. Também pode ligar-se diretamente ao Microsoft CRM Online através do peering da Microsoft.

• Fornecedores de conetividade (não mostrados). As empresas que fornecem uma ligação através de uma conectividade de camada 2 ou camada 3 entre o datacenter e um datacenter do Azure.

Componentes

• Azure ExpressRoute. O ExpressRoute permite que você estenda suas redes locais para a nuvem da Microsoft por meio de uma conexão privada, com a ajuda de um provedor de conectividade. Com o ExpressRoute, pode estabelecer ligação aos serviços cloud da Microsoft, como o Microsoft Azure e o Microsoft 365.

• Rede virtual do Azure. A Rede Virtual do Azure (VNet) é o bloco de construção fundamental para a sua rede privada no Azure. A VNet permite que muitos tipos de recursos do Azure, como VMs (Máquinas Virtuais) do Azure, se comuniquem com segurança entre si, com a Internet e com redes locais.

Recomendações

As recomendações seguintes aplicam-se à maioria dos cenários. Siga-as, a não ser que tenha requisitos específicos que as anulem.

Fornecedores de conetividade

Selecione um fornecedor de conectividade do ExpressRoute adequado para a sua localização. Para obter uma lista de fornecedores de conectividade disponíveis na sua localização, utilize o seguinte comando do Azure PowerShell:

Get-AzExpressRouteServiceProvider

Os fornecedores de conectividade do ExpressRoute ligam o seu datacenter à Microsoft das seguintes formas:

• Localizado conjuntamente numa troca de cloud. Se estiver colocalizado numa instalação com uma bolsa na nuvem, pode encomendar ligações cruzadas virtuais para o Azure através da troca Ethernet do fornecedor de colocalização. Os fornecedores de localização conjunta podem oferecer ligações cruzadas de camada 2 ou ligações cruzadas de camada 3 geridas entre a sua infraestrutura na localização conjunta e o Azure.
• Ligações de Ethernet ponto a ponto. Pode ligar os datacenters/escritórios no local ao Azure através de ligações de Ethernet ponto a ponto. Os fornecedores de Ethernet ponto a ponto podem oferecer ligações de camada 2 ou ligações de camada 3 geridas entre o seu site e o Azure.
• Redes qualquer a qualquer (VPN de IP). Pode integrar a sua rede alargada (WAN) com o Azure. Os fornecedores de rede privada virtual de protocolo Internet (VPN de IP) (normalmente uma VPN de comutação de etiqueta multiprotocolo) oferecem uma conectividade qualquer a qualquer entre as suas sucursais e os datacenters. O Azure pode ser interligado à WAN para torná-la mais semelhante a qualquer outra sucursal. Os fornecedores de WAN oferecem normalmente uma conectividade de camada 3 gerida.

Para obter mais informações sobre os fornecedores de conectividade, veja a Descrição geral do ExpressRoute.

Circuito do ExpressRoute

Confirme se a sua organização cumpre os requisitos necessários do ExpressRoute para se ligar ao Azure.

Se ainda não o fez, adicione uma sub-rede designada GatewaySubnet à VNet do Azure e crie um gateway de rede virtual do ExpressRoute com o serviço de gateway de VPN do Azure. Para obter mais informações sobre este processo, veja Fluxos de trabalho do ExpressRoute do aprovisionamento do circuito e estados do circuito.

Crie um circuito do ExpressRoute da seguinte forma:

1. Execute o seguinte comando do PowerShell:

   New-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>> -Location <<location>> -SkuTier <<sku-tier>> -SkuFamily <<sku-family>> -ServiceProviderName <<service-provider-name>> -PeeringLocation <<peering-location>> -BandwidthInMbps <<bandwidth-in-mbps>>
   

2. Envie a ServiceKey do novo circuito ao fornecedor de serviços.

3. Aguarde até que o fornecedor aprovisione o circuito. Para verificar o estado de aprovisionamento de um circuito, execute o seguinte comando do PowerShell:

   Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
   

   O campo Provisioning state na secção Service Provider da saída vai mudar de NotProvisioned para Provisioned quando o circuito estiver pronto.

   Nota

   Se estiver a utilizar uma ligação de camada 3, o fornecedor deverá configurar e gerir o encaminhamento por si. Forneça as informações necessárias para ativar o fornecedor para implementar as rotas adequadas.

4. Se estiver a utilizar uma ligação de camada 2:

   1. Reserve duas sub-redes /30 compostas por endereços IP públicos válidos para cada tipo de peering que pretende implementar. Estas sub-redes /30 vão ser utilizadas para fornecer endereços IP aos routers utilizados para o circuito. Se você estiver implementando emparelhamento privado e Microsoft, precisará de 4 /30 sub-redes com endereços IP públicos válidos.

   2. Configure o encaminhamento do circuito do ExpressRoute. Execute os seguintes comandos do PowerShell para cada tipo de emparelhamento que você deseja configurar (privado e Microsoft). Para obter mais informações, veja Criar e modificar o encaminhamento de um circuito do ExpressRoute.

      Set-AzExpressRouteCircuitPeeringConfig -Name <<peering-name>> -ExpressRouteCircuit <<circuit-name>> -PeeringType <<peering-type>> -PeerASN <<peer-asn>> -PrimaryPeerAddressPrefix <<primary-peer-address-prefix>> -SecondaryPeerAddressPrefix <<secondary-peer-address-prefix>> -VlanId <<vlan-id>>
      
      Set-AzExpressRouteCircuit -ExpressRouteCircuit <<circuit-name>>
      

   3. Reserve outro pool de endereços IP públicos válidos para usar na NAT (conversão de endereços de rede) para emparelhamento da Microsoft. É recomendado ter um conjunto diferente para cada peering. Especifique o conjunto para o seu fornecedor de conectividade, para que possa configurar os anúncios do BGP (Border Gateway Protocol) para esses intervalos.

5. Execute os comandos PowerShell seguintes para ligar as suas VNets privadas ao circuito do ExpressRoute. Para obter mais informações, consulte Vincular uma rede virtual a um circuito de Rota Expressa.

   $circuit = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
   $gw = Get-AzVirtualNetworkGateway -Name <<gateway-name>> -ResourceGroupName <<resource-group>>
   New-AzVirtualNetworkGatewayConnection -Name <<connection-name>> -ResourceGroupName <<resource-group>> -Location <<location> -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute
   

Pode ligar várias VNets localizadas em regiões diferentes ao mesmo circuito do ExpressRoute, desde que todas as VNets e o circuito do ExpressRoute estejam localizados na mesma região geopolítica.

Resolução de Problemas

Se um circuito do ExpressRoute anteriormente funcional não conseguir agora estabelecer ligação, não tendo ocorrido nenhuma alteração na configuração no local ou na VNet privada, poderá ter de contactar o fornecedor de conectividade e trabalhar com este para corrigir o problema. Use os seguintes comandos do PowerShell para verificar se o circuito ExpressRoute foi provisionado:

Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

O resultado deste comando mostra várias propriedades do circuito, incluindo ProvisioningState, CircuitProvisioningState e ServiceProviderProvisioningState, conforme mostrado abaixo.

ProvisioningState                : Succeeded
Sku                              : {
                                     "Name": "Standard_MeteredData",
                                     "Tier": "Standard",
                                     "Family": "MeteredData"
                                   }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : NotProvisioned

Se ProvisioningState não estiver definido como Succeeded depois de ter tentado criar um circuito novo, remova o circuito com o comando abaixo e tente criá-lo novamente.

Remove-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

Se o circuito já tiver sido aprovisionado pelo e ProvisioningState estiver definido como Failed ou se CircuitProvisioningState não for Enabled, contacte o fornecedor para obter assistência.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que podem ser usados para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.

Escalabilidade

Os circuitos do ExpressRoute fornecem um caminho de largura de banda alta entre as redes. Geralmente, quanto maior a largura de banda maior o custo.

O ExpressRoute oferece dois planos de preços aos clientes, um plano de dados limitado e outro ilimitado. Os encargos variam de acordo com largura de banda do circuito. A largura de banda disponível vai, provavelmente, variar de fornecedor para fornecedor. Utilize o cmdlet Get-AzExpressRouteServiceProvider para ver os fornecedores disponíveis na sua região e as larguras de banda que oferecem.

Um circuito do ExpressRoute único pode suportar um determinado número de peerings e ligações VNet. Para obter mais informações, veja Limites do ExpressRoute.

Por um custo adicional, o suplemento ExpressRoute Premium fornece algumas capacidades adicionais:

• Aumento dos limites de rota para emparelhamento privado.
• Maior número de ligações VNet por circuito do ExpressRoute.
• Conectividade global para os serviços.

Para obter mais detalhes, veja Preços do ExpressRoute.

Os circuitos do ExpressRoute foram concebidos para permitir picos temporários de rede até duas vezes o limite da largura de banda obtido sem custos adicionais, graças a ligações redundantes. No entanto, nem todos os fornecedores de conectividade suportam esta funcionalidade. Antes de mais, verifique se o seu fornecedor de conectividade permite esta funcionalidade.

Embora alguns fornecedores permitam que altere a largura de banda, confirme que escolhe uma largura de banda inicial que exceda as suas necessidades e disponibilize espaço para crescimento. Se precisar de aumentar a largura de banda no futuro, terá duas opções à escolha:

• Aumentar a largura de banda. Deve evitar esta opção sempre que possível, pois nem todos os fornecedores permitem o aumento da largura de banda de forma dinâmica. Mas se for necessário um aumento de largura de banda, verifique com seu provedor se eles oferecem suporte à alteração das propriedades de largura de banda da Rota Expressa por meio de comandos do PowerShell. Se suportar, execute os comandos abaixo.

  $ckt = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
  $ckt.ServiceProviderProperties.BandwidthInMbps = <<bandwidth-in-mbps>>
  Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
  

  Pode aumentar a largura de banda sem perda de conectividade. A mudança para uma largura de banda de escalão inferior resultará na interrupção da conectividade, uma vez que tem de eliminar o circuito e recriá-lo com a nova configuração.

• Alterar o plano de preços e/ou atualizar para o Premium. Para tal, execute os seguintes comandos. A propriedade Sku.Tier pode ser Standard ou Premium; a propriedade Sku.Name pode ser MeteredData ou UnlimitedData.

  $ckt = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
  
  $ckt.Sku.Tier = "Premium"
  $ckt.Sku.Family = "MeteredData"
  $ckt.Sku.Name = "Premium_MeteredData"
  
  Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
  

  Importante

  Verifique se a propriedade Sku.Name corresponde a Sku.Tier e Sku.Family. Se alterar a família e a camada, mas não o nome, a ligação será desativada.

  Pode atualizar o SKU sem interrupção, mas não pode mudar de um plano de preços ilimitado para um limitado. Quando muda para uma SKU de escalão inferior, o consumo da largura de banda tem de permanecer dentro do limite predefinido do SKU padrão.

Disponibilidade

O ExpressRoute não suporta protocolos de redundância de router, tal como o protocolo de encaminhamento de reserva ativa (HSRP) e o protocolo de redundância de router (VRRP), para implementar elevada disponibilidade. Em vez disso, utiliza um par de sessões de BGP redundante por peering. Para facilitar as ligações de elevada disponibilidade para a sua rede, o Azure aprovisiona com duas portas redundantes nos dois routers (parte do limite da Microsoft) numa configuração de modo ativo-ativo.

Por predefinição, as sessões de BGP utilizam um valor de tempo limite de inatividade de 60 segundos. Se uma sessão expirar três vezes (total de 180 segundos), o router será marcado como indisponível e todo o tráfego será redirecionado para os routers restantes. Este tempo limite de 180 segundos pode ser demasiado longo para as aplicações críticas. Se assim for, poderá alterar as definições do tempo limite de BGP no router no local para um valor inferior. O ExpressRoute também suporta BFD (Bidirectional Forwarding Detection) em emparelhamento privado. Ao habilitar o BFD sobre a Rota Expressa, você pode agilizar a deteção de falha de link entre dispositivos Microsoft Enterprise Edge (MSEE) e os roteadores nos quais você encerra o circuito de Rota Expressa (PE). Você pode encerrar a Rota Expressa em dispositivos de roteamento de Borda do Cliente ou dispositivos de roteamento de Borda de Parceiro (se tiver usado o serviço de conexão de Camada 3 gerenciado).

Pode configurar a elevada disponibilidade para a ligação do Azure de diversas formas, consoante o tipo de fornecedor que utiliza e o número de circuitos do ExpressRoute e ligações de gateway de rede virtual que está disposto a configurar. Veja a seguir um resumo das opções de disponibilidade:

• Se estiver a utilizar uma ligação de camada 2, implemente routers redundantes na rede no local numa configuração de modo ativo-ativo. Ligue o circuito primário a um router e o circuito secundário a outro. Beneficiará assim de uma ligação de elevada disponibilidade em ambas as extremidades da ligação. Tal será necessário se precisar do contrato de nível de serviço (SLA) do ExpressRoute. Para obter mais detalhes, veja SLA para o Azure ExpressRoute.

  O diagrama seguinte mostra uma configuração com routers redundantes no local ligados aos circuitos primário e secundário. Cada circuito lida com o tráfego para emparelhamento privado (cada emparelhamento é designado um par de /30 espaços de endereço, conforme descrito na seção anterior).

  

• Se estiver a utilizar uma ligação de camada 3, verifique se esta fornece sessões de BGP redundantes que processam a disponibilidade por si.

• Ligue a VNet a vários circuitos do ExpressRoute, disponibilizados por fornecedores de serviços diferentes. Esta estratégia fornece funcionalidades adicionais de elevada disponibilidade e recuperação após desastre.

• Configure uma Rede de VPNs como um caminho de ativação pós-falha para o ExpressRoute. Para obter mais informações sobre esta opção, veja Ligar uma rede no local ao Azure através do ExpressRoute com a ativação pós-falha de VPN. Esta opção aplica-se apenas ao peering privado. Para os serviços do Azure e do Microsoft 365, a Internet é o único caminho de failover.

Segurança

A segurança oferece garantias contra ataques deliberados e o abuso de seus valiosos dados e sistemas. Para obter mais informações, consulte Visão geral do pilar de segurança.

Pode configurar opções de segurança para a ligação do Azure de diversas formas, consoante as suas questões de segurança e necessidades de conformidade.

O ExpressRoute funciona na camada 3. As ameaças na camada de aplicação podem ser impedidas com uma aplicação de segurança de rede que restringe o tráfego a recursos legítimos.

Para maximizar a segurança, adicione dispositivos de segurança de rede entre a rede no local e os routers de limite de fornecedor. Este procedimento ajudará a restringir a entrada de tráfego não autorizado a partir da VNet:

Para fins de auditoria ou conformidade, pode ser necessário proibir o acesso direto de componentes em execução na VNet à Internet e implementar o túnel forçado. Nesta situação, o tráfego da Internet deve ser redirecionado através de um proxy em execução no local onde pode ser auditado. O proxy pode ser configurado para bloquear o fluxo de tráfego não autorizado e filtrar o tráfego de entrada potencialmente malicioso.

Para maximizar a segurança, não ative nenhum endereço IP público para as suas VMs e utilize os NSGs para confirmar que estas VMs não são acessíveis publicamente. As VMs só devem estar disponíveis através do endereço IP. Estes endereços podem ser tornados acessíveis através da rede do ExpressRoute, permitindo à equipa de DevOps no local a realização da configuração ou manutenção.

Se você precisar expor pontos de extremidade de gerenciamento para VMs a uma rede externa, use NSGs ou listas de controle de acesso para restringir a visibilidade dessas portas a uma lista permitida de endereços IP ou redes.

Monitorização de rede

Use o Observador de Rede para monitorar e solucionar problemas dos componentes de rede, ferramentas como o Traffic Analytics mostrarão os sistemas em suas redes virtuais que geram mais tráfego, para que você possa identificar visualmente gargalos antes que eles degenerem em problemas. O Network Performance Manager tem a capacidade de monitorar informações sobre circuitos do Microsoft ExpressRoute.

Você também pode usar o Kit de Ferramentas de Conectividade do Azure (AzureCT) para monitorar a conectividade entre seu datacenter local e o Azure.

Para obter mais informações, consulte a seção DevOps no Microsoft Azure Well-Architected Framework. Para obter informações específicas sobre monitoramento, consulte Monitoramento para DevOps.

Otimização de custos

A otimização de custos consiste em procurar formas de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Visão geral do pilar de otimização de custos.

Utilize a calculadora de preços do Azure para prever os custos.

As próximas seções explicam as taxas de serviço usadas nessa arquitetura.

Azure ExpressRoute

Nessa arquitetura, um circuito de Rota Expressa é usado para unir a rede local com o Azure por meio dos roteadores de borda.

Existem dois planos principais. No plano de dados limitados, toda a transferência de dados de entrada é gratuita. Toda a transferência de dados de saída é cobrada com base em uma taxa pré-determinada.

Você também pode optar pelo plano de Dados Ilimitados, no qual toda a transferência de dados de entrada e saída é gratuita. Os usuários são cobrados uma taxa de porta fixa mensal com base em portas duplas de alta disponibilidade.

Calcule sua utilização e escolha um plano de faturamento de acordo. O plano de Dados Ilimitados é recomendado se você exceder cerca de 68% de utilização.

Para obter mais informações, consulte Preços do Azure ExpressRoute.

Rede Virtual do Azure

Todas as camadas de aplicativos são hospedadas em uma única rede virtual e são segmentadas usando sub-redes.

A Rede Virtual do Azure é gratuita. Todas as subscrições podem criar até 50 redes virtuais em todas as regiões. Todo o tráfego que ocorre dentro dos limites de uma rede virtual é gratuito. Assim, a comunicação entre duas VMs na mesma rede virtual é gratuita.

Próximos passos

Documentação do produto:

• Serviços do Microsoft 365
• O que é o Azure ExpressRoute?
• O que é a Rede Virtual do Azure?

Módulos do Microsoft Learn:

• Configurar a Rota Expressa e a WAN Virtual
• Configurar emparelhamento de rede virtual
• Projetar e implementar o Azure ExpressRoute
• Explore os serviços da plataforma Microsoft 365

Recursos relacionados

• Design de arquitetura híbrida
• Conectar uma rede local ao Azure usando a Rota Expressa
• Estenda uma rede local usando VPN