Topologia de rede hub and spoke no Azure

Azure Bastion
Azure Firewall
Azure Network Watcher
Azure Virtual Network
Azure VPN Gateway

Essa arquitetura de referência implementa um padrão de rede hub-spoke com componentes de infraestrutura de hub gerenciados pelo cliente. Para obter uma solução de infraestrutura de hub gerenciada pela Microsoft, consulte Topologia de rede Hub-spoke com WAN Virtual do Azure.

Arquitetura

Diagrama que mostra uma topologia de rede virtual hub-spoke no Azure com redes spoke conectadas através do hub ou diretamente.

Transfira um ficheiro do Visio desta arquitetura.

Fluxo de Trabalho

Esta configuração de rede hub-spoke usa os seguintes elementos de arquitetura:

  • Rede virtual do Hub. A rede virtual do hub hospeda serviços compartilhados do Azure. Cargas de trabalho hospedadas nas redes virtuais spoke podem usar esses serviços. A rede virtual do hub é o ponto central de conectividade para redes entre locais.

  • Falou em redes virtuais. As redes virtuais spoke isolam e gerenciam cargas de trabalho separadamente em cada palestra. Cada carga de trabalho pode incluir várias camadas, com várias sub-redes conectadas por meio de balanceadores de carga do Azure. Os raios podem existir em diferentes assinaturas e representar diferentes ambientes, como Produção e Não Produção.

  • Conectividade de rede virtual. Essa arquitetura conecta redes virtuais usando conexões de emparelhamento ou grupos conectados. Conexões de emparelhamento e grupos conectados são conexões não transitivas e de baixa latência entre redes virtuais. Redes virtuais emparelhadas ou conectadas podem trocar tráfego pelo backbone do Azure sem precisar de um roteador. O Azure Virtual Network Manager cria e gerencia grupos de rede e suas conexões.

  • Azure Bastion host. O Azure Bastion fornece conectividade segura do portal do Azure para máquinas virtuais (VMs) usando seu navegador. Um host do Azure Bastion implantado dentro de uma rede virtual do Azure pode acessar VMs nessa rede virtual ou em redes virtuais conectadas.

  • Firewall do Azure. Existe uma instância de firewall gerenciada do Firewall do Azure em sua própria sub-rede.

  • Gateway de VPN do Azure ou gateway de Rota Expressa do Azure. Um gateway de rede virtual permite que uma rede virtual se conecte a um dispositivo de rede virtual privada (VPN) ou circuito de Rota Expressa do Azure. O gateway fornece conectividade de rede entre locais. Para obter mais informações, consulte Conectar uma rede local a uma rede virtual do Microsoft Azure e Estender uma rede local usando VPN.

  • Dispositivo VPN. Um dispositivo ou serviço VPN fornece conectividade externa à rede entre locais. O dispositivo VPN pode ser um dispositivo de hardware ou uma solução de software, como o Serviço de Roteamento e Acesso Remoto (RRAS) no Windows Server. Para obter mais informações, consulte Dispositivos VPN validados e guias de configuração de dispositivos.

Componentes

  • O Virtual Network Manager é um serviço de gerenciamento que ajuda você a agrupar, configurar, implantar e gerenciar redes virtuais em escala entre assinaturas, regiões e locatários do Azure. Com o Virtual Network Manager, você pode definir grupos de redes virtuais para identificar e segmentar logicamente suas redes virtuais. Você pode definir e aplicar configurações de conectividade e segurança em todas as redes virtuais em um grupo de rede de uma só vez.

  • A Rede Virtual do Azure é o bloco de construção fundamental para redes privadas no Azure. A Rede Virtual permite que muitos recursos do Azure, como VMs do Azure, se comuniquem com segurança entre si, redes entre locais e a Internet.

  • O Azure Bastion é um serviço totalmente gerenciado que fornece acesso mais seguro e contínuo ao protocolo RDP (Remote Desktop Protocol) e ao protocolo SSH (Secure Shell Protocol) para VMs sem expor seus endereços IP públicos.

  • O Firewall do Azure é um serviço de segurança de rede gerenciado baseado em nuvem que protege os recursos da Rede Virtual. Este serviço de firewall com monitoração de estado tem alta disponibilidade integrada e escalabilidade irrestrita na nuvem para ajudá-lo a criar, aplicar e registrar políticas de conectividade de aplicativos e redes virtuais em assinaturas e redes virtuais.

  • O Gateway VPN é um tipo específico de gateway de rede virtual que envia tráfego criptografado entre uma rede virtual e um local local pela Internet pública. Também pode utilizar o Gateway VPN para enviar tráfego encriptado entre redes virtuais do Azure através da rede Microsoft.

  • O Azure Monitor pode coletar, analisar e agir em dados de telemetria de ambientes entre locais, incluindo o Azure e local. O Azure Monitor ajuda-o a maximizar o desempenho e a disponibilidade das suas aplicações e a identificar problemas de forma proativa em segundos.

Detalhes do cenário

Esta arquitetura de referência implementa um padrão de rede hub-spoke onde a rede virtual hub atua como um ponto central de conectividade para muitas redes virtuais faladas. As redes virtuais spoke se conectam com o hub e podem ser usadas para isolar cargas de trabalho. Você também pode habilitar cenários entre locais usando o hub para se conectar a redes locais.

Essa arquitetura descreve um padrão de rede com componentes de infraestrutura de hub gerenciados pelo cliente. Para obter uma solução de infraestrutura de hub gerenciada pela Microsoft, consulte Topologia de rede Hub-spoke com WAN Virtual do Azure.

Os benefícios de usar uma configuração de hub e spoke incluem:

  • Poupança de custos
  • Ultrapassar os limites de subscrição
  • Isolamento de cargas de trabalho

Para obter mais informações, consulte Topologia de rede Hub-and-spoke.

Potenciais casos de utilização

Os usos típicos de uma arquitetura hub e spoke incluem cargas de trabalho que:

  • Ter vários ambientes que exigem serviços compartilhados. Por exemplo, uma carga de trabalho pode ter ambientes de desenvolvimento, teste e produção. Os serviços partilhados podem incluir IDs de DNS, NTP (Network Time Protocol) ou AD DS (Serviços de Domínio Ative Directory). Os serviços compartilhados são colocados na rede virtual do hub e cada ambiente é implantado em uma rede diferente para manter o isolamento.
  • Não exigem conectividade entre si, mas exigem acesso a serviços compartilhados.
  • Exija controle central sobre a segurança, como um firewall de rede de perímetro (também conhecido como DMZ) no hub com gerenciamento de carga de trabalho segregada em cada raio.
  • Exigem controle central sobre a conectividade, como conectividade seletiva ou isolamento entre raios de determinados ambientes ou cargas de trabalho.

Recomendações

As recomendações a seguir se aplicam à maioria dos cenários. Siga estas recomendações, a menos que tenha requisitos específicos que os substituam.

Grupos de recursos, assinaturas e regiões

Esta solução de exemplo usa um único grupo de recursos do Azure. Você também pode implementar o hub e cada spoke em diferentes grupos de recursos e assinaturas.

Quando você emparelha redes virtuais em assinaturas diferentes, pode associar as assinaturas aos mesmos ou diferentes locatários do Microsoft Entra. Essa flexibilidade permite o gerenciamento descentralizado de cada carga de trabalho, mantendo os serviços compartilhados no hub. Consulte Criar um emparelhamento de rede virtual - Gerenciador de Recursos, assinaturas diferentes e locatários do Microsoft Entra.

Como regra geral, é melhor ter pelo menos um hub por região. Essa configuração ajuda a evitar um único ponto de falha, por exemplo, para evitar que os recursos da Região A sejam afetados no nível da rede por uma interrupção na Região B.

Sub-redes de rede virtual

As recomendações a seguir descrevem como configurar as sub-redes na rede virtual.

GatewaySubnet

O gateway de rede virtual requer essa sub-rede. Você também pode usar uma topologia hub-spoke sem um gateway se não precisar de conectividade de rede entre locais.

Crie uma sub-rede chamada GatewaySubnet com um intervalo de endereços de pelo menos /27. O /27 intervalo de endereços oferece à sub-rede opções de configuração de escalabilidade suficientes para evitar atingir as limitações de tamanho do gateway no futuro. Para obter mais informações sobre como configurar o gateway, veja as seguintes arquiteturas de referência, consoante o tipo de ligação:

Para uma maior disponibilidade, pode utilizar o ExpressRoute e uma VPN para a ativação pós-falha. Veja Ligar uma rede no local ao Azure através do ExpressRoute com a ativação pós-falha de VPN.

AzureFirewallSubnet

Crie uma sub-rede chamada AzureFirewallSubnet com um intervalo de endereços de pelo menos /26. Independentemente da escala, o /26 intervalo de endereços é o tamanho recomendado e cobre quaisquer limitações de tamanho futuras. Esta sub-rede não suporta grupos de segurança de rede (NSGs).

O Firewall do Azure requer essa sub-rede. Se você usar um dispositivo virtual (NVA) de rede de parceiros, siga seus requisitos de rede.

Conectividade de rede spoke

Emparelhamento de rede virtual ou grupos conectados são relações não transitivas entre redes virtuais. Se você precisar de redes virtuais spoke para se conectar umas às outras, adicione uma conexão de emparelhamento entre esses raios ou coloque-os no mesmo grupo de rede.

Conexões spoke por meio do Firewall do Azure ou NVA

O número de emparelhamentos de rede virtual por rede virtual é limitado. Se você tiver muitos raios que precisam se conectar uns com os outros, você pode ficar sem conexões de emparelhamento. Os grupos conectados também têm limitações. Para obter mais informações, consulte Limites de rede e Limites de grupos conectados.

Nesse cenário, considere usar rotas definidas pelo usuário (UDRs) para forçar o tráfego falado a ser enviado para o Firewall do Azure ou outro NVA que atue como um roteador no hub. Essa mudança permite que os raios se conectem uns aos outros. Para dar suporte a essa configuração, você deve implementar o Firewall do Azure com a configuração de túnel forçada habilitada. Para obter mais informações, consulte Encapsulamento forçado do Firewall do Azure.

A topologia neste projeto arquitetônico facilita os fluxos de saída. Embora o Firewall do Azure seja principalmente para segurança de saída, ele também pode ser um ponto de entrada. Para obter mais considerações sobre o roteamento de ingresso NVA do hub, consulte Firewall e Application Gateway para redes virtuais.

Conexões spoke para redes remotas através de um gateway de hub

Para configurar raios para se comunicar com redes remotas por meio de um gateway de hub, você pode usar emparelhamentos de rede virtual ou grupos de rede conectados.

Para usar emparelhamentos de rede virtual, na configuração de emparelhamento de rede virtual:

  • Configure a conexão de emparelhamento no hub para Permitir o trânsito do gateway.
  • Configure a conexão de emparelhamento em cada spoke para Usar o gateway da rede virtual remota.
  • Configure todas as conexões de emparelhamento para Permitir tráfego encaminhado.

Para obter mais informações, consulte Criar um emparelhamento de rede virtual.

Para usar grupos de rede conectados:

  1. No Virtual Network Manager, crie um grupo de rede e adicione redes virtuais de membros.
  2. Crie uma configuração de conectividade de hub e spoke.
  3. Para os grupos de rede Spoke, selecione Hub como gateway.

Para obter mais informações, consulte Criar uma topologia de hub e spoke com o Azure Virtual Network Manager.

Comunicações de rede spoke

Existem duas maneiras principais de permitir que as redes virtuais faladas se comuniquem entre si:

  • Comunicação através de um NVA como um firewall e roteador. Este método incorre em um salto entre os dois raios.
  • Comunicação usando emparelhamento de rede virtual ou conectividade direta do Virtual Network Manager entre raios. Essa abordagem não causa um salto entre os dois raios e é recomendada para minimizar a latência.

Comunicação através de um NVA

Se você precisar de conectividade entre raios, considere implantar o Firewall do Azure ou outro NVA no hub. Em seguida, crie rotas para encaminhar o tráfego de um spoke para o firewall ou NVA, que pode então rotear para o segundo spoke. Neste cenário, tem de configurar as ligações de peering para permitir tráfego reencaminhado.

Diagrama que mostra o roteamento entre raios usando o Firewall do Azure

Você também pode usar um gateway VPN para rotear o tráfego entre raios, embora essa opção afete a latência e a taxa de transferência. Para obter detalhes de configuração, consulte Configurar o trânsito do gateway VPN para emparelhamento de rede virtual.

Avalie os serviços que você compartilha no hub para garantir que ele seja dimensionado para um número maior de raios. Por exemplo, se o hub fornecer serviços de firewall, considere os limites de largura de banda da solução de firewall ao adicionar vários raios. Você pode mover alguns desses serviços compartilhados para um segundo nível de hubs.

Comunicação direta entre redes faladas

Para se conectar diretamente entre redes virtuais spoke sem atravessar a rede virtual do hub, você pode criar conexões de emparelhamento entre raios ou habilitar a conectividade direta para o grupo de rede. É melhor limitar o emparelhamento ou a conectividade direta a redes virtuais faladas que fazem parte do mesmo ambiente e carga de trabalho.

Ao usar o Virtual Network Manager, você pode adicionar redes virtuais spoke a grupos de rede manualmente ou adicionar redes automaticamente com base nas condições definidas. Para obter mais informações, consulte Rede Spoke-to-spoke.

O diagrama a seguir ilustra o uso do Virtual Network Manager para conectividade direta entre raios.

Diagrama que mostra o uso do Virtual Network Manager para conectividade direta entre raios.

Recomendações de gestão

Para gerenciar centralmente os controles de conectividade e segurança, use o Virtual Network Manager para criar novas topologias de rede virtual hub e spoke ou integrar topologias existentes. O uso do Virtual Network Manager garante que suas topologias de rede hub e spoke estejam preparadas para o crescimento futuro em grande escala em várias assinaturas, grupos de gerenciamento e regiões.

Exemplos de cenários de caso de uso do Virtual Network Manager incluem:

  • Democratização do gerenciamento de redes virtuais para grupos como unidades de negócios ou equipes de aplicativos. A democratização pode resultar em um grande número de requisitos de conectividade de rede virtual para rede virtual e regras de segurança de rede.
  • Padronização de várias arquiteturas de réplica em várias regiões do Azure para garantir uma pegada global para aplicativos.

Para garantir regras uniformes de conectividade e segurança de rede, você pode usar grupos de rede para agrupar redes virtuais em qualquer assinatura, grupo de gerenciamento ou região sob o mesmo locatário do Microsoft Entra. Você pode integrar automática ou manualmente redes virtuais a grupos de rede por meio de atribuições de associação dinâmicas ou estáticas.

Você define a capacidade de descoberta das redes virtuais que o Virtual Network Manager gerencia usando escopos. Esse recurso fornece flexibilidade para um número desejado de instâncias do gerenciador de rede, o que permite maior democratização do gerenciamento para grupos de rede virtual.

Para conectar redes virtuais spoke no mesmo grupo de rede entre si, use o Virtual Network Manager para implementar emparelhamento de rede virtual ou conectividade direta. Use a opção de malha global para estender a conectividade direta de malha para redes spoke em diferentes regiões. O diagrama a seguir mostra a conectividade de malha global entre regiões.

Diagrama mostrando a conectividade direta de malha global falada em regiões.

Você pode associar redes virtuais dentro de um grupo de rede a um conjunto de linha de base de regras de administração de segurança. As regras de administração de segurança de grupo de rede impedem que os proprietários de redes virtuais faladas substituam as regras de segurança de linha de base, permitindo que eles adicionem de forma independente seus próprios conjuntos de regras de segurança e NSGs. Para obter um exemplo de como usar regras de administração de segurança em topologias de hub e spoke, consulte Tutorial: Criar uma rede segura de hub e spoke.

Para facilitar uma distribuição controlada de grupos de rede, conectividade e regras de segurança, as implantações de configuração do Virtual Network Manager ajudam você a liberar com segurança alterações de configuração potencialmente significativas para ambientes de hub e spoke. Para obter mais informações, consulte Implantações de configuração no Gerenciador de Rede Virtual do Azure.

Para começar a usar o Gerenciador de Rede Virtual, consulte Criar uma topologia de hub e spoke com o Gerenciador de Rede Virtual do Azure.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que podem ser usados para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.

Segurança

A segurança oferece garantias contra ataques deliberados e o abuso de seus valiosos dados e sistemas. Para obter mais informações, consulte Visão geral do pilar de segurança.

Para garantir um conjunto de regras de segurança de linha de base, certifique-se de associar regras de administração de segurança a redes virtuais em grupos de rede. As regras de administração de segurança têm precedência e são avaliadas antes das regras NSG. Como as regras NSG, as regras de administração de segurança suportam priorização, tags de serviço e protocolos L3-L4. Para obter mais informações, consulte Regras de administração de segurança no Virtual Network Manager.

Use implantações do Virtual Network Manager para facilitar a implantação controlada de alterações potencialmente significativas nas regras de segurança do grupo de rede.

A Proteção contra DDoS do Azure, combinada com as práticas recomendadas de design de aplicativos, fornece recursos aprimorados de mitigação de DDoS para fornecer mais defesa contra ataques DDoS. Você deve habilitar a Proteção DDOS do Azure em qualquer rede virtual de perímetro.

Otimização de custos

A otimização de custos tem a ver com formas de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Visão geral do pilar de otimização de custos.

Considere os seguintes fatores relacionados a custos ao implantar e gerenciar redes hub e spoke. Para obter mais informações, consulte Preços de rede virtual.

Custos do Firewall do Azure

Essa arquitetura implanta uma instância do Firewall do Azure na rede de hub. Usar uma implantação do Firewall do Azure como uma solução compartilhada consumida por várias cargas de trabalho pode economizar significativamente os custos da nuvem em comparação com outros NVAs. Para obter mais informações, consulte Firewall do Azure versus dispositivos virtuais de rede.

Para usar todos os recursos implantados de forma eficaz, escolha o tamanho correto do Firewall do Azure. Decida quais recursos você precisa e qual camada melhor se adapta ao seu conjunto atual de cargas de trabalho. Para saber mais sobre as SKUs do Firewall do Azure disponíveis, consulte O que é o Firewall do Azure?

Custos de endereço IP privado

Você pode usar endereços IP privados para rotear o tráfego entre redes virtuais emparelhadas ou entre redes em grupos conectados. Aplicam-se as seguintes considerações de custo:

  • O tráfego de entrada e saída é cobrado em ambas as extremidades das redes emparelhadas ou conectadas. Por exemplo, a transferência de dados de uma rede virtual na zona 1 para outra rede virtual na zona 2 incorre em uma taxa de transferência de saída para a zona 1 e uma taxa de entrada para a zona 2.
  • Diferentes zonas têm diferentes taxas de transferência.

Planeje o endereçamento IP com base em seus requisitos de emparelhamento e certifique-se de que o espaço de endereço não se sobreponha entre locais entre locais e locais do Azure.

Excelência operacional

A excelência operacional abrange os processos operacionais que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, consulte Visão geral do pilar de excelência operacional.

Use o Azure Network Watcher para monitorar e solucionar problemas de componentes de rede com as seguintes ferramentas:

  • O Traffic Analytics mostra-lhe os sistemas nas suas redes virtuais que geram mais tráfego. Você pode identificar visualmente os gargalos antes que eles se tornem problemas.
  • O Monitor de Desempenho de Rede monitora informações sobre circuitos de Rota Expressa.
  • O diagnóstico de VPN ajuda a solucionar problemas de conexões VPN site a site que conectam seus aplicativos a usuários locais.

Considere também habilitar o log de diagnóstico do Firewall do Azure para obter melhores informações sobre as solicitações DNS e os resultados de permissão/negação nos logs.

Implementar este cenário

Essa implantação inclui uma rede virtual de hub e dois raios conectados, além de implantar uma instância do Firewall do Azure e um host do Azure Bastion. Opcionalmente, a implantação pode incluir VMs na rede first spoke e um gateway VPN.

Você pode escolher entre emparelhamento de rede virtual ou grupos conectados do Gerenciador de Rede Virtual para criar as conexões de rede. Cada método tem várias opções de implantação.

Usar emparelhamento de rede virtual

  1. Execute o seguinte comando para criar um grupo de recursos nomeado hub-spoke na eastus região para a implantação. Selecione Experimentar para usar um shell incorporado.

    az group create --name hub-spoke --location eastus
    
  2. Execute o seguinte comando para baixar o modelo Bicep.

    curl https://raw.githubusercontent.com/mspnp/samples/main/solutions/azure-hub-spoke/bicep/main.bicep > main.bicep
    
  3. Execute o comando a seguir para implantar a configuração de rede hub e spoke, emparelhamentos de rede virtual entre o hub e os raios e um host do Azure Bastion. Quando solicitado, digite um nome de usuário e senha. Você pode usar esse nome de usuário e senha para acessar VMs nas redes faladas.

    az deployment group create --resource-group hub-spoke --template-file main.bicep
    

Para obter informações detalhadas e opções de implantação extras, consulte os modelos Hub e Spoke ARM e Bicep que implantam esta solução.

Usar grupos conectados do Virtual Network Manager

  1. Execute o seguinte comando para criar um grupo de recursos para a implantação. Selecione Experimentar para usar um shell incorporado.

    az group create --name hub-spoke --location eastus
    
  2. Execute o seguinte comando para baixar o modelo Bicep.

    curl https://raw.githubusercontent.com/mspnp/samples/main/solutions/azure-hub-spoke-connected-group/bicep/main.bicep > main.bicep
    
  3. Execute os seguintes comandos para baixar todos os módulos necessários para um novo diretório.

    mkdir modules
    
    curl https://raw.githubusercontent.com/mspnp/samples/main/solutions/azure-hub-spoke-connected-group/bicep/modules/avnm.bicep > modules/avnm.bicep
    curl https://raw.githubusercontent.com/mspnp/samples/main/solutions/azure-hub-spoke-connected-group/bicep/modules/avnmDeploymentScript.bicep > modules/avnmDeploymentScript.bicep
    curl https://raw.githubusercontent.com/mspnp/samples/main/solutions/azure-hub-spoke-connected-group/bicep/modules/hub.bicep > modules/hub.bicep
    curl https://raw.githubusercontent.com/mspnp/samples/main/solutions/azure-hub-spoke-connected-group/bicep/modules/spoke.bicep > modules/spoke.bicep
    
  4. Execute o seguinte comando para implantar a configuração de rede hub e spoke, conexões de rede virtual entre o hub e os raios e um host Bastion. Quando solicitado, digite um nome de usuário e senha. Você pode usar esse nome de usuário e senha para acessar VMs nas redes faladas.

    az deployment group create --resource-group hub-spoke --template-file main.bicep
    

Para obter informações detalhadas e opções de implantação extras, consulte os modelos Hub e Spoke ARM e Bicep que implantam esta solução.

Contribuidores

Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.

Autor principal:

Alejandra Palacios - Brasil | Engenheiro de Clientes Sênior

Outros contribuidores:

Para ver perfis não públicos do LinkedIn, inicie sessão no LinkedIn.

Próximos passos

  • Para saber mais sobre hubs virtuais seguros e as políticas de segurança e roteamento associadas que o Gerenciador de Firewall do Azure configura, consulte O que é um hub virtual seguro?

  • O hub em uma topologia de rede hub-spoke é o componente principal de uma assinatura de conectividade em uma zona de aterrissagem do Azure. Para obter mais informações sobre como criar redes de grande escala no Azure com roteamento e segurança gerenciados pelo cliente ou pela Microsoft, consulte Definir uma topologia de rede do Azure.

Explore as seguintes arquiteturas relacionadas: