Topologia de rede hub and spoke no Azure

Azure Active Directory
ExpressRoute
Firewall
Balanceador de Carga
Observador de Rede

Esta arquitetura de referência mostra como implementar uma topologia hub-and-spoke no Azure.This reference architecture shows how to implement a hub-spoke topology in Azure. O hub é uma rede virtual em Azure que funciona como um ponto central de conectividade para a sua rede no local.The hub is a virtual network in Azure that acts as a central point of connectivity to your on-premises network. Os porta-vozes são redes virtuais que se juntam ao hub, e podem ser usadas para isolar cargas de trabalho.The spokes are virtual networks that peer with the hub, and can be used to isolate workloads. O tráfego flui entre o datacenter no local e o hub através de uma ligação de gateway ExpressRoute ou de VPN.Traffic flows between the on-premises datacenter and the hub through an ExpressRoute or VPN gateway connection. Implementar esta solução.Deploy this solution.

00

Faça o download de um arquivo Visio desta arquiteturaDownload a Visio file of this architecture

Os benefícios desta topologia incluem:The benefits of this topology include:

  • Reduções de custos ao centralizar os serviços que podem ser partilhados entre várias cargas de trabalho, tal como aplicações virtuais de rede (NVAs) e servidores DNS, numa única localização.Cost savings by centralizing services that can be shared by multiple workloads, such as network virtual appliances (NVAs) and DNS servers, in a single location.
  • Supere os limites de subscrições observando redes virtuais de diferentes subscrições para o centro central.Overcome subscriptions limits by peering virtual networks from different subscriptions to the central hub.
  • Separação das preocupações entre o TI central (SecOps, InfraOps) e as cargas de trabalho (DevOps).Separation of concerns between central IT (SecOps, InfraOps) and workloads (DevOps).

Utilizações típicas desta arquitetura:Typical uses for this architecture include:

  • Cargas de trabalho implementadas em ambientes diferentes, tal como o desenvolvimento, o teste e a produção, que precisam de serviços partilhados, tal como DNS, IDS, NTP ou AD DS.Workloads deployed in different environments, such as development, testing, and production, that require shared services such as DNS, IDS, NTP, or AD DS. Os serviços partilhados são colocados na rede virtual do hub, enquanto cada ambiente é implantado para um discurso para manter o isolamento.Shared services are placed in the hub virtual network, while each environment is deployed to a spoke to maintain isolation.
  • Cargas de trabalho que não precisam de conectividade entre si, mas que precisam de acesso aos serviços partilhados.Workloads that do not require connectivity to each other, but require access to shared services.
  • Empresas que precisam de um controlo central sobre os aspetos de segurança, por exemplo, uma firewall no hub como uma rede de perímetro, e uma gestão separada para as cargas de trabalho em cada spoke.Enterprises that require central control over security aspects, such as a firewall in the hub as a DMZ, and segregated management for the workloads in each spoke.

ArquiteturaArchitecture

A arquitetura é composta pelos seguintes componentes.The architecture consists of the following components.

  • Rede no local.On-premises network. Uma rede de área local privada em execução numa organização.A private local-area network running within an organization.

  • Dispositivo VPN.VPN device. Um dispositivo ou serviço que fornece conectividade externa à rede no local.A device or service that provides external connectivity to the on-premises network. O dispositivo VPN pode ser um dispositivo de hardware ou uma solução de software, tal como o Serviço de Encaminhamento e Acesso Remoto (RRAS) no Windows Server 2012.The VPN device may be a hardware device, or a software solution such as the Routing and Remote Access Service (RRAS) in Windows Server 2012. Para obter uma lista de aplicações VPN suportadas e informações sobre como configurar aplicações VPN selecionadas para estabelecer ligação ao Azure, veja Acerca dos dispositivos de VPN para ligações do Gateway da Rede de VPNs.For a list of supported VPN appliances and information on configuring selected VPN appliances for connecting to Azure, see About VPN devices for Site-to-Site VPN Gateway connections.

  • Gateway da rede virtual VPN ou gateway do ExpressRoute.VPN virtual network gateway or ExpressRoute gateway. O gateway de rede virtual permite que a rede virtual se conecte ao dispositivo VPN, ou circuito ExpressRoute, utilizado para a conectividade com a sua rede no local.The virtual network gateway enables the virtual network to connect to the VPN device, or ExpressRoute circuit, used for connectivity with your on-premises network. Para obter mais informações, veja Connect an on-premises network to a Microsoft Azure virtual network (Ligar uma rede no local a uma rede virtual do Microsoft Azure).For more information, see Connect an on-premises network to a Microsoft Azure virtual network.

  • Rede virtual hub.Hub virtual network. A rede virtual usada como centro na topologia falada pelo hub.The virtual network used as the hub in the hub-spoke topology. O hub é o ponto central de conectividade para a sua rede no local, e um local para hospedar serviços que podem ser consumidos pelas diferentes cargas de trabalho hospedadas nas redes virtuais faladas.The hub is the central point of connectivity to your on-premises network, and a place to host services that can be consumed by the different workloads hosted in the spoke virtual networks.

  • Sub-rede gateway.Gateway subnet. Os gateways de rede virtual são guardados na mesma sub-rede.The virtual network gateways are held in the same subnet.

  • Redes virtuais faladas.Spoke virtual networks. Uma ou mais redes virtuais que são usadas como raios na topologia falada pelo hub.One or more virtual networks that are used as spokes in the hub-spoke topology. Os raios-raios podem ser usados para isolar cargas de trabalho nas suas próprias redes virtuais, geridas separadamente de outros porta-vozes.Spokes can be used to isolate workloads in their own virtual networks, managed separately from other spokes. Cada carga de trabalho pode incluir várias camadas com várias sub-redes ligadas através de balanceadores de carga do Azure.Each workload might include multiple tiers, with multiple subnets connected through Azure load balancers. Para obter mais informações sobre a infraestrutura da aplicação, veja Executar cargas de trabalho da VM do Windows e Executar cargas de trabalho da VM do Linux.For more information about the application infrastructure, see Running Windows VM workloads and Running Linux VM workloads.

  • Olhando a rede virtual.Virtual network peering. Duas redes virtuais podem ser ligadas através de uma ligação de espreitar.Two virtual networks can be connected using a peering connection. As ligações de perspeção são ligações não transitivas e de baixa latência entre redes virtuais.Peering connections are non-transitive, low latency connections between virtual networks. Uma vez espreitadas, as redes virtuais trocam tráfego utilizando a espinha dorsal do Azure, sem a necessidade de um router.Once peered, the virtual networks exchange traffic by using the Azure backbone, without the need for a router. Numa topologia de rede falada por hub, você usa o olhar de rede virtual para ligar o hub a cada um dos falados.In a hub-spoke network topology, you use virtual network peering to connect the hub to each spoke. Você pode espreitar redes virtuais na mesma região, ou em diferentes regiões.You can peer virtual networks in the same region, or different regions. Para mais informações, consulte Requisitos e constrangimentos.For more information, see Requirements and constraints.

RecomendaçõesRecommendations

As recomendações seguintes aplicam-se à maioria dos cenários.The following recommendations apply for most scenarios. Siga-as, a não ser que tenha requisitos específicos que as anulem.Follow these recommendations unless you have a specific requirement that overrides them.

Grupos de recursosResource groups

O hub e cada um dos discursos podem ser implementados em diferentes grupos de recursos e até assinaturas diferentes.The hub and each spoke can be implemented in different resource groups and even different subscriptions. Ao consultar redes virtuais em diferentes subscrições, ambas as subscrições podem ser associadas ao mesmo ou diferente inquilino do Azure Ative Directory.When you peer virtual networks in different subscriptions, both subscriptions can be associated with the same or different Azure Active Directory tenant. Isto permite uma gestão descentralizada de cada carga de trabalho, partilhando serviços mantidos no centro.This allows for decentralized management of each workload while sharing services maintained in the hub.

Rede virtual e GatewaySubnetVirtual network and GatewaySubnet

Crie uma sub-rede designada GatewaySubnet, com um intervalo de endereços de /27.Create a subnet named GatewaySubnet, with an address range of /27. Esta sub-rede é necessária para o gateway de rede virtual.This subnet is required by the virtual network gateway. A alocação de 32 endereços para esta sub-rede ajudará a evitar que atinja as limitações de tamanho do gateway no futuro.Allocating 32 addresses to this subnet will help to prevent reaching gateway size limitations in the future.

Para obter mais informações sobre como configurar o gateway, veja as seguintes arquiteturas de referência, consoante o tipo de ligação:For more information about setting up the gateway, see the following reference architectures, depending on your connection type:

Para uma maior disponibilidade, pode utilizar o ExpressRoute e uma VPN para a ativação pós-falha.For higher availability, you can use ExpressRoute plus a VPN for failover. Veja Ligar uma rede no local ao Azure através do ExpressRoute com a ativação pós-falha de VPN.See Connect an on-premises network to Azure using ExpressRoute with VPN failover.

Uma topologia hub-and-spoke também pode ser utilizada sem gateway, se não precisar de conectividade para a rede no local.A hub-spoke topology can also be used without a gateway, if you don't need connectivity with your on-premises network.

Peering de rede virtualVirtual network peering

O espreitamento de rede virtual é uma relação não transitiva entre duas redes virtuais.Virtual network peering is a non-transitive relationship between two virtual networks. Se precisar que os spokes se liguem entre si, considere adicionar uma ligação peering separada entre esses spokes.If you require spokes to connect to each other, consider adding a separate peering connection between those spokes.

No entanto, suponha que têm vários porta-vozes que precisam de se relacionar uns com os outros.However, suppose you have several spokes that need to connect with each other. Nesse caso, ficará sem possíveis ligações de observação muito rapidamente devido à limitação do número de espreitadores de rede virtuais por rede virtual.In that case, you will run out of possible peering connections very quickly due to the limitation on the number of virtual network peerings per virtual network. (Para mais informações, consulte os limites de rede.) Neste cenário, considere a utilização de rotas definidas pelo utilizador (UDRs) para forçar o tráfego destinado a um porta-voz a ser enviado para a Azure Firewall ou um NVA agindo como um router no centro.(For more information, see Networking limits.) In this scenario, consider using user-defined routes (UDRs) to force traffic destined to a spoke to be sent to Azure Firewall or an NVA acting as a router at the hub. Tal permitirá que os spokes se liguem entre si.This will allow the spokes to connect to each other.

Também pode configurar raios para usar a porta do hub para comunicar com redes remotas.You can also configure spokes to use the hub gateway to communicate with remote networks. Para permitir que o tráfego de gateway flua de falei para o hub e ligar-se a redes remotas, deve:To allow gateway traffic to flow from spoke to hub and connect to remote networks, you must:

  • Configure a ligação de espreitar no centro para permitir o trânsito de gateway.Configure the peering connection in the hub to allow gateway transit.
  • Configure a ligação de espreitar em cada um dos portais de observação para utilizar gateways remotos.Configure the peering connection in each spoke to use remote gateways.
  • Configure todas as ligações de observação para permitir o tráfego reencaminhado.Configure all peering connections to allow forwarded traffic.

Para obter informações adicionais sobre a criação de um espremia de rede virtual, consulte crie os pares VNet.For additional information on creating virtual network peering, see Create VNet peerings.

ConsideraçõesConsiderations

Conectividade do spokeSpoke connectivity

Se necessitar de conectividade entre os raios, considere a implementação do Azure Firewall ou um NVA para encaminhamento no hub e utilizar UDRs no tráfego de encaminhamento para o centro.If you require connectivity between spokes, consider deploying Azure Firewall or an NVA for routing in the hub and using UDRs in the spoke to forward traffic to the hub. Os passos de implantação abaixo incluem um passo opcional que configura esta configuração.The deployment steps below include an optional step that sets up this configuration.

22

Neste cenário, tem de configurar as ligações de peering para permitir tráfego reencaminhado.In this scenario, you must configure the peering connections to allow forwarded traffic.

Você também pode usar uma porta de entrada VPN para encaminhar o tráfego entre os raios, embora isso tenha impactos em termos de latência e produção.You can also use a VPN gateway to route traffic between spokes, although this will have impacts in terms of latency and throughput. Além disso, o Azure Firewall ou um aparelho de firewall de rede fornece uma camada adicional de segurança.Also, Azure Firewall or a network firewall appliance provides an additional layer of security.

Considere também quais os serviços partilhados no centro para garantir as escalas do hub para um maior número de porta-vozes.Also consider what services are shared in the hub to ensure the hub scales for a larger number of spokes. Por exemplo, se o hub fornecer serviços de firewall, considere os limites de largura de banda da sua solução de firewall quando adicionar vários spokes.For instance, if your hub provides firewall services, consider the bandwidth limits of your firewall solution when adding multiple spokes. Pode querer mover alguns destes serviços partilhados para um segundo nível de hubs.You might want to move some of these shared services to a second level of hubs.

Considerações de DevOpsDevOps considerations

Nesta arquitetura, toda a infraestrutura de networking é criada utilizando um modelo de Gestor de Recursos Azure, pelo que segue o processo iaC para a implementação dos recursos.In this architecture, the entire networking infrastructure is created by using an Azure Resource Manager template, so it follows the IaC process for deploying the resources. Para automatizar a implementação de infraestruturas, pode utilizar Azure DevOps, GitHub Actions ou outras soluções CI/CD.To automate infrastructure deployment, you can use Azure DevOps, GitHub Actions or other CI/CD solutions. O processo de implementação também é idempotente, ou seja, repetível para produzir os mesmos resultados.The deployment process is also idempotent - that is, repeatable to produce the same results.

Os modelos também são bons para o rastreio da dependência, uma vez que permitem definir dependências para recursos que são implantados no mesmo modelo.Templates are also good for dependency tracking since they allow you to define dependencies for resources that are deployed in the same template. Para um determinado recurso, pode haver outros recursos que devem existir antes de o recurso ser implantado.For a given resource, there can be other resources that must exist before the resource is deployed.

Monitorização de redeNetwork monitoring

Utilize o Azure Network Watcher para monitorizar e resolver problemas dos componentes da rede, ferramentas como o Traffic Analytics mostrar-lhe-ão os sistemas nas suas redes virtuais que geram mais tráfego para que possa identificar visualmente estrangulamentos antes que se degenerem em problemas.Use Azure Network Watcher to monitor and troubleshoot the network components, tools like Traffic Analytics will show you the systems in your virtual networks that generate the most traffic so that you can visually identify bottlenecks before they degenerate into problems. O Network Performance Manager é a ferramenta certa para monitorizar informações sobre os circuitos Microsoft ExpressRoute.Network Performance Manager is the right tool to monitor information about Microsoft ExpressRoute circuits. O diagnóstico VPN é outra ferramenta que pode ajudar a resolver as ligações VPN site-to-site que ligam as suas aplicações aos utilizadores no local.VPN diagnostics is another tool that can help troubleshoot site-to-site VPN connections connecting your applications to users on-premises.

Para mais informações, consulte o Observador de Redes Azure no Quadro de Well-Architected Azure.For more information, see Azure Network Watcher in the Azure Well-Architected Framework.

Considerações de custosCost considerations

Centralizar serviços que podem ser partilhados por múltiplas cargas de trabalho num único local pode ser rentável.Centralizing services that can be shared by multiple workloads in a single location can be cost-efficient.

Utilize a calculadora de preços do Azure para prever os custos.Use the Azure pricing calculator to estimate costs. Outras considerações são descritas na secção Custo no Quadro de Well-Architected microsoft Azure.Other considerations are described in the Cost section in Microsoft Azure Well-Architected Framework.

Azure FirewallAzure Firewall

Nesta arquitetura, a Azure Firewall é implantada no centro, que fornece uma camada de segurança adicional.In this architecture, Azure Firewall is deployed in the hub, which provides an additional security layer. O Azure Firewall é rentável, especialmente se for usado como uma solução partilhada consumida por várias cargas de trabalho.Azure Firewall is cost-effective, especially if it's used as a shared solution consumed by multiple workloads. Aqui estão os modelos de preços Azure Firewall:Here are the Azure Firewall pricing models:

  • Taxa fixa por hora de implantação.Fixed-rate per deployment hour.
  • Dados processados por GB para suportar a auto-escala.Data processed per GB to support auto-scaling.

Em comparação com os aparelhos virtuais de rede (NVAs), com o Azure Firewall pode economizar até 30-50%.Compared to network virtual appliances (NVAs), with Azure Firewall you can save up to 30-50%. Para mais informações, consulte Azure Firewall vs NVA.For more information, see Azure Firewall vs NVA.

Peering de rede virtualVirtual network peering

Pode utilizar a rede virtual que espreita para encaminhar o tráfego entre redes virtuais utilizando endereços IP privados.You can use virtual network peering to route traffic between virtual networks by using private IP addresses. Aqui estão alguns pontos:Here are some points:

  • O tráfego de entradas e saídas é carregado em ambas as extremidades das redes.Ingress and egress traffic is charged at both ends of the peered networks.
  • Diferentes zonas têm taxas de transferência diferentes.Different zones have different transfer rates.

Por exemplo, a transferência de dados de uma rede virtual na zona 1 para outra rede virtual na zona 2, incorrerá na taxa de transferência de saída para a zona 1 e taxa de entrada para a zona 2.For instance, data transfer from a virtual network in zone 1 to another virtual network in zone 2, will incur outbound transfer rate for zone 1 and inbound rate for zone 2. Para obter mais informações, consulte os preços da rede Virtual.For more information, see Virtual network pricing.

Implementar a soluçãoDeploy the solution

Um centro de amostras e uma implantação de fala podem ser encontrados aqui.A sample hub and spoke deployment can be found here. Esta implantação cria os seguintes recursos:This deployment creates the following resources:

  • Hub VNet com três sub-redes (DMZ, Gestão e Partilhado).Hub VNet with three subnets (DMZ, Management, and Shared).
  • Dois VNets falados (desenvolvimento e produção).Two spoke VNets (development and production).
  • Uma máquina virtual Windows ligada à sub-rede de gestão do hub.A Windows virtual machine connected to the hub management subnet.
  • VNet espreita entre o centro e falou VNets.VNet peerings between the hub and spoke VNets.

Os seguintes comandos podem ser utilizados para implantar a amostra.The following commands can be used to deploy the sample.

Criar um grupo de recursos para a implantação.Create a resource group for the deployment.

az group create --name hub-spoke-sample --location eastus

Atualize os valores de implementação de acordo com as suas necessidades e implemente o modelo.Update the deployment values to suit your needs and deploy the template.

# Virtual machine admin user name and password
ADMIN_USER=adminuser
ADMIN_PASSWORD=Password2020!

# DNS prefix for the virtual machine
VM_DNS_PREFIX=hubSpokeSample

az deployment group create \
    --resource-group hub-spoke-sample \
    --template-uri https://raw.githubusercontent.com/Azure/azure-quickstart-templates/master/101-hub-and-spoke-sandbox/azuredeploy.json \
    --parameters winVmUser=$ADMIN_USER winVmPassword=$ADMIN_PASSWORD winVmDnsPrefix=$VM_DNS_PREFIX