Ligar uma rede no local ao Azure através do ExpressRoute

Esta arquitetura de referência mostra como conectar uma rede local a uma rede virtual do Azure usando a Rota Expressa do Azure, com uma VPN (rede virtual privada) site a site como uma conexão de failover.

Arquitetura

Transfira um ficheiro do Visio desta arquitetura.

Fluxo de Trabalho

A arquitetura é composta pelos seguintes componentes.

• Rede no local. Uma rede de área local privada em execução numa organização.
• Aplicação VPN. Um dispositivo ou serviço que fornece conectividade externa à rede no local. O dispositivo VPN pode ser um dispositivo de hardware ou uma solução de software, como o RRAS (Serviço de Roteamento e Acesso Remoto) no Windows Server 2012. Para obter uma lista de aplicações VPN suportadas e informações sobre como configurar aplicações VPN selecionadas para estabelecer ligação ao Azure, veja Acerca dos dispositivos de VPN para ligações do Gateway da Rede de VPNs.
• Circuito do ExpressRoute. Um circuito de duas ou três camadas disponibilizado pelo fornecedor de conectividade que associa a rede no local ao Azure através dos routers de periferia. O circuito utiliza a infraestrutura de hardware gerida pelo fornecedor de conectividade.
• Gateway da rede virtual do ExpressRoute. O gateway de rede virtual ExpressRoute permite que a rede virtual do Azure se conecte ao circuito ExpressRoute usado para conectividade com sua rede local.
• Gateway da rede virtual VPN. O gateway de rede virtual VPN permite que a rede virtual do Azure se conecte ao dispositivo VPN na rede local. O gateway da rede virtual VPN está configurado para aceitar pedidos da rede no local apenas através de aplicações VPN. Para obter mais informações, veja Connect an on-premises network to a Microsoft Azure virtual network (Ligar uma rede no local a uma rede virtual do Microsoft Azure).
• Ligação VPN. A ligação tem propriedades que especificam o tipo de ligação (IPSec) e a chave partilhada com a aplicação VPN no local para encriptar o tráfego.
• Rede virtual do Azure. Cada rede virtual reside em uma única região do Azure e pode hospedar várias camadas de aplicativo. As camadas de aplicativos podem ser segmentadas usando sub-redes em cada rede virtual.
• Sub-rede do gateway. Os gateways de rede virtual são guardados na mesma sub-rede.

Componentes

• Azure ExpressRoute
• Gateway de VPN do Azure
• Rede Virtual do Azure

Detalhes do cenário

Esta arquitetura de referência mostra como conectar uma rede local a uma rede virtual do Azure usando a Rota Expressa, com uma VPN (rede virtual privada) site a site como uma conexão de failover. O tráfego flui entre a rede local e a rede virtual do Azure por meio de uma conexão de Rota Expressa. Se houver uma perda de conectividade no circuito da Rota Expressa, o tráfego será roteado através de um túnel VPN IPSec. Implementar esta solução.

Observe que, se o circuito ExpressRoute não estiver disponível, a rota VPN lidará apenas com conexões de emparelhamento privadas. O emparelhamento público e as conexões de emparelhamento da Microsoft passam pela Internet.

Recomendações

As recomendações seguintes aplicam-se à maioria dos cenários. Siga-as, a não ser que tenha requisitos específicos que as anulem.

A rede virtual e GatewaySubnet

Crie a conexão do gateway de rede virtual ExpressRoute e a conexão do gateway de rede virtual VPN na mesma rede virtual com um objeto Gateway já instalado. Ambos compartilharão a mesma sub-rede chamada GatewaySubnet.

Se a rede virtual já incluir uma sub-rede chamada GatewaySubnet, verifique se ela tem um espaço de endereçamento /27 ou maior. Se a sub-rede existente for demasiado pequena, utilize o seguinte comando do PowerShell para remover a sub-rede:

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Remove-AzVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet

Se a rede virtual não contiver uma sub-rede chamada GatewaySubnet, crie uma nova usando o seguinte comando do PowerShell:

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.224/27"
$vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet

Gateways do ExpressRoute e VPN

Verifique se a sua organização satisfaz os requisitos necessários do ExpressRoute para a ligação ao Azure.

Se você já tiver um gateway de rede virtual VPN em sua rede virtual do Azure, use o seguinte comando do PowerShell para removê-lo:

Remove-AzVirtualNetworkGateway -Name <your-gateway-name> -ResourceGroupName <your-resource-group>

Siga as instruções em Configurar uma arquitetura de rede híbrida com o Azure ExpressRoute para estabelecer sua conexão de Rota Expressa.

Siga as instruções em Configurar uma arquitetura de rede híbrida com o Azure e VPN local para estabelecer sua conexão de gateway de rede virtual VPN.

Depois de estabelecer as conexões de gateway de rede virtual, teste o ambiente da seguinte maneira:

1. Certifique-se de que consegue ligar a partir da sua rede local à sua rede virtual do Azure.
2. Contacte o seu fornecedor para interromper a conectividade do ExpressRoute por motivos de teste.
3. Verifique se você ainda pode se conectar da sua rede local à sua rede virtual do Azure usando a conexão do gateway de rede virtual VPN.
4. Contacte o seu fornecedor para restabelecer a conectividade do ExpressRoute.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que podem ser usados para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.

Segurança

A segurança oferece garantias contra ataques deliberados e o abuso de seus valiosos dados e sistemas. Para obter mais informações, consulte Visão geral do pilar de segurança.

Para obter as considerações gerais de segurança do Azure, veja Segurança de rede e serviços cloud da Microsoft.

Otimização de custos

A otimização de custos consiste em procurar formas de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Visão geral do pilar de otimização de custos.

Para obter considerações sobre o custo da Rota Expressa, consulte estes artigos:

• Considerações de custo na configuração de uma Arquitetura de Rede Híbrida com o Azure ExpressRoute.

Excelência operacional

A excelência operacional abrange os processos operacionais que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, consulte Visão geral do pilar de excelência operacional.

Para obter considerações sobre DevOps da Rota Expressa, consulte a orientação Configurar uma arquitetura de rede híbrida com a Rota Expressa do Azure.

Para obter considerações sobre DevOps de VPN site a site, consulte a orientação Configurar uma arquitetura de rede híbrida com o Azure e VPN local.

Implementar este cenário

Pré-requisitos. Tem de possuir uma infraestrutura no local existente já configurada com uma aplicação de rede adequada.

Para implementar a solução, realize os seguintes passos.

1. Selecione o link abaixo.

   

2. Aguarde até que o link seja aberto no portal do Azure e selecione o Grupo de recursos no qual você deseja implantar esses recursos ou crie um novo grupo de recursos. A Região e a Localização serão alteradas automaticamente para corresponderem ao grupo de recursos.

3. Atualize os campos restantes se quiser alterar os nomes de recursos, provedores, SKU ou endereços IP de rede do seu ambiente.

4. Selecione Rever + criar e, em seguida, Criar para implementar estes recursos.

5. Aguarde pela conclusão da implementação.

   Nota

   Esta implantação de modelo implanta apenas os seguintes recursos:

   • Um grupo de recursos (se você criar um novo)
   • Um circuito de Rota Expressa
   • Uma rede virtual do Azure
   • Um gateway de rede virtual ExpressRoute

   Para que você possa estabelecer com sucesso a conectividade de emparelhamento privado do local para o circuito de Rota Expressa, você precisará envolver seu provedor de serviços com a chave de serviço do circuito. A chave de serviço pode ser encontrada na página de visão geral do recurso de circuito ExpressRoute. Para obter mais informações sobre como configurar seu circuito de Rota Expressa, consulte Criar ou modificar a configuração de emparelhamento. Depois de configurar o emparelhamento privado com êxito, você pode vincular o gateway de rede virtual ExpressRoute ao circuito. Para obter mais informações, consulte Tutorial: Conectar uma rede virtual a um circuito de Rota Expressa usando o portal do Azure.

6. Para concluir a implantação da VPN site a site como backup para a Rota Expressa, consulte Criar uma conexão VPN site a site.

7. Depois de configurar com êxito uma conexão VPN para a mesma rede local que você configurou a Rota Expressa, você terá concluído a configuração para fazer backup da conexão da Rota Expressa se houver falha total no local de emparelhamento.

Contribuidores

Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.

Autor principal:

• Sarah Parkes - Brasil | Arquiteto de Soluções Cloud Sênior

Para ver perfis não públicos do LinkedIn, inicie sessão no LinkedIn.

Próximos passos

• Documentação do ExpressRoute
• Linha de base da Segurança do Azure para ExpressRoute
• Como criar um circuito do ExpressRoute
• Azure Networking Blog
• Configurar conexões coexistentes de Rota Expressa e Site a Site usando o PowerShell

Recursos relacionados

• Design de arquitetura híbrida
• Opções híbridas do Azure
• Topologia de rede Hub-spoke no Azure
• Rede Spoke-to-spoke
• Conectar uma rede local ao Azure
• Estenda uma rede local usando a Rota Expressa
• Implementar uma rede híbrida segura
• Integrar o AD local com o Azure