Expandir uma rede no local com uma VPN

Bastion
Azure Stack
Máquinas Virtuais
Rede Virtual
Gateway de VPN

Esta arquitetura de referência mostra como estender uma rede de instalações ou de Azure Stack para uma rede virtual Azure, usando uma rede privada virtual site-to-site (VPN).This reference architecture shows how to extend a network from on premises or from Azure Stack into an Azure virtual network, using a site-to-site virtual private network (VPN). O tráfego flui entre a rede no local e o Azure através de um túnel IPSec VPN ou através do gateway VPN multitenant Azure Stack.Traffic flows between the on-premises network and Azure through an IPSec VPN tunnel or through the Azure Stack multitenant VPN gateway. Implementar esta solução.Deploy this solution.

Hybrid network spanning on-premises and Azure infrastructures

Um diagrama da arquitetura de gateway VPN.A diagram of the VPN gateway architecture. Uma rede no local conecta-se a uma rede virtual Azure através de um gateway VPN.An on-premises network connects to an Azure virtual network through a VPN gateway. Uma rede virtual em Azure Stack também se conecta à porta de entrada VPN através de VIPs públicos.A virtual network in Azure Stack also connects to the VPN gateway through public VIPs.

Transfira um ficheiro do Visio desta arquitetura.Download a Visio file of this architecture.

ArquiteturaArchitecture

A arquitetura é composta pelos seguintes componentes.The architecture consists of the following components.

  • Rede no local.On-premises network. Uma rede de área local privada em execução numa organização.A private local-area network running within an organization.

  • Pilha Azure.Azure Stack. Um ambiente de rede numa subscrição de inquilino azure Stack, em execução dentro de uma organização.A network environment on an Azure Stack tenant subscription, running within an organization. O gateway VPN Azure Stack envia tráfego encriptado através de uma ligação pública aos endereços IP virtuais (VIP) e inclui os seguintes componentes:The Azure Stack VPN gateway sends encrypted traffic across a public connection to virtual IP (VIP) addresses and includes the following components:

    • Sub-rede gateway.Gateway subnet. Uma sub-rede especial necessária para implantar o Gateway VPN na Azure Stack.A special subnet required to deploy the VPN Gateway on Azure Stack.
    • Gateway de rede local.Local network gateway. Indica o IP alvo do gateway VPN em Azure, bem como o espaço de endereço da rede virtual Azure.Indicates the target IP of the VPN gateway in Azure, as well as the address space of the Azure virtual network.
    • Túnel VPN local.Site-to-site VPN tunnel. O tipo de ligação (IPSec) e a chave partilhada com o Gateway Azure VPN para encriptar o tráfego.The connection type (IPSec) and the key shared with the Azure VPN Gateway to encrypt traffic.
  • Aplicação VPN.VPN appliance. Um dispositivo ou serviço que fornece conectividade externa à rede no local.A device or service that provides external connectivity to the on-premises network. A aplicação VPN pode ser um dispositivo de hardware ou uma solução de software, tal como o Serviço de Encaminhamento e Acesso Remoto (RRAS) no Windows Server 2012.The VPN appliance may be a hardware device, or it can be a software solution such as the Routing and Remote Access Service (RRAS) in Windows Server 2012. Para obter uma lista de aplicações de VPN e informações sobre como as configurar para estabelecer ligação a um gateway de VPN do Azure suportado, veja as instruções do dispositivo selecionado no artigo Acerca dos dispositivos de VPN para ligações do Gateway de Rede de VPNs.For a list of supported VPN appliances and information on configuring them to connect to an Azure VPN gateway, see the instructions for the selected device in the article About VPN devices for Site-to-Site VPN Gateway connections.

  • Rede virtual.Virtual network. A aplicação em nuvem e os componentes do gateway Azure VPN residem na mesma rede virtual.The cloud application and the components for the Azure VPN gateway reside in the same virtual network.

  • Gateway Azure VPN.Azure VPN gateway. O serviço de gateway VPN permite-lhe ligar a rede virtual à rede no local através de um aparelho VPN ou ligar-se ao Azure Stack através de um túnel VPN local.The VPN gateway service enables you to connect the virtual network to the on-premises network through a VPN appliance or to connect to Azure Stack through a site-to-site VPN tunnel. Para obter mais informações, veja Connect an on-premises network to a Microsoft Azure virtual network (Ligar uma rede no local a uma rede virtual do Microsoft Azure).For more information, see Connect an on-premises network to a Microsoft Azure virtual network. O gateway de VPN inclui os seguintes elementos:The VPN gateway includes the following elements:

    • Gateway de rede virtual.Virtual network gateway. Um recurso que fornece um aparelho VPN virtual para a rede virtual.A resource that provides a virtual VPN appliance for the virtual network. É responsável pelo encaminhamento do tráfego da rede no local para a rede virtual.It is responsible for routing traffic from the on-premises network to the virtual network.
    • Gateway de rede local.Local network gateway. Uma abstração da aplicação VPN no local.An abstraction of the on-premises VPN appliance. O tráfego de rede da aplicação na cloud para a rede no local é encaminhado através deste gateway.Network traffic from the cloud application to the on-premises network is routed through this gateway.
    • Ligação.Connection. A ligação tem propriedades que especificam o tipo de ligação (IPSec) e a chave partilhada com a aplicação VPN no local para encriptar o tráfego.The connection has properties that specify the connection type (IPSec) and the key shared with the on-premises VPN appliance to encrypt traffic.
    • Sub-rede gateway.Gateway subnet. O gateway de rede virtual está retido na sua própria sub-rede, que está sujeita a vários requisitos, descritos na secção Recomendações abaixo.The virtual network gateway is held in its own subnet, which is subject to various requirements, described in the Recommendations section below.
  • Aplicação na cloud.Cloud application. A aplicação alojada no Azure.The application hosted in Azure. Esta pode incluir várias camadas com várias sub-redes ligadas através de balanceadores de carga do Azure.It might include multiple tiers, with multiple subnets connected through Azure load balancers. Para obter mais informações sobre a infraestrutura da aplicação, veja Executar cargas de trabalho da VM do Windows e Executar cargas de trabalho da VM do Linux.For more information about the application infrastructure, see Running Windows VM workloads and Running Linux VM workloads.

  • Balanceador de carga interno.Internal load balancer. O tráfego de rede do gateway de VPN é encaminhado para a aplicação na cloud através de um balanceador de carga interno.Network traffic from the VPN gateway is routed to the cloud application through an internal load balancer. O balanceador de carga encontra-se na sub-rede front-end da aplicação.The load balancer is located in the front-end subnet of the application.

  • Bastião.Bastion. O Azure Bastion permite-lhe iniciar sessão em VMs na rede virtual através do SSH ou do protocolo de ambiente de trabalho remoto (RDP) sem expor os VMs diretamente à internet.Azure Bastion allows you to log into VMs in the virtual network through SSH or remote desktop protocol (RDP) without exposing the VMs directly to the internet. Se perder conectividade através da VPN, ainda pode utilizar Bastion para gerir os VMs na rede virtual.If you lose connectivity through the VPN, you can still use Bastion to manage the VMs in the virtual network.

RecomendaçõesRecommendations

As recomendações seguintes aplicam-se à maioria dos cenários.The following recommendations apply for most scenarios. Siga-as, a não ser que tenha requisitos específicos que as anulem.Follow these recommendations unless you have a specific requirement that overrides them.

Rede virtual e sub-rede gatewayVirtual network and gateway subnet

Crie uma rede virtual Azure com um espaço de endereço suficientemente grande para todos os recursos necessários.Create an Azure virtual network with an address space large enough for all of your required resources. Certifique-se de que o espaço de endereço de rede virtual tem espaço suficiente para o crescimento se forem necessários VM adicionais no futuro.Ensure that the virtual network address space has sufficient room for growth if additional VMs are likely to be needed in the future. O espaço de endereço da rede virtual não deve sobrepor-se à rede no local.The address space of the virtual network must not overlap with the on-premises network. Por exemplo, o diagrama acima utiliza o espaço de endereço 10.20.0.0/16 para a rede virtual.For example, the diagram above uses the address space 10.20.0.0/16 for the virtual network.

Crie uma sub-rede designada GatewaySubnet, com um intervalo de endereços de /27.Create a subnet named GatewaySubnet, with an address range of /27. Esta sub-rede é necessária para o gateway de rede virtual.This subnet is required by the virtual network gateway. A alocação de 32 endereços para esta sub-rede ajudará a evitar que atinja as limitações de tamanho do gateway no futuro.Allocating 32 addresses to this subnet will help to prevent reaching gateway size limitations in the future. Além disso, evite colocar esta sub-rede no meio do espaço de endereços.Also, avoid placing this subnet in the middle of the address space. Uma boa prática é definir o espaço de endereço para a sub-rede gateway na extremidade superior do espaço de endereço de rede virtual.A good practice is to set the address space for the gateway subnet at the upper end of the virtual network address space. O exemplo mostrado no diagrama utiliza 10.20.255.224/27.The example shown in the diagram uses 10.20.255.224/27. Veja a seguir um procedimento rápido para calcular o CIDR:Here is a quick procedure to calculate the CIDR:

  1. Desloca as bits variáveis no espaço de endereço da rede virtual para 1, até aos bits utilizados pela sub-rede gateway e, em seguida, deslome os restantes bits para 0.Set the variable bits in the address space of the virtual network to 1, up to the bits being used by the gateway subnet, then set the remaining bits to 0.
  2. Converta os bits resultantes num valor decimal e expresse-o como um espaço de endereços com o comprimento de prefixo definido para o tamanho da sub-rede do gateway.Convert the resulting bits to decimal and express it as an address space with the prefix length set to the size of the gateway subnet.

Por exemplo, para uma rede virtual com um intervalo de endereço IP de 10.20.0.0/16, aplicar passo #1 acima torna-se 10.20.0b11111111.0b11100000.For example, for a virtual network with an IP address range of 10.20.0.0/16, applying step #1 above becomes 10.20.0b11111111.0b11100000. Ao convertê-lo para um valor decimal e ao expressá-lo como um espaço de endereços gera 10.20.255.224/27.Converting that to decimal and expressing it as an address space yields 10.20.255.224/27.

Aviso

Não implemente VMs na sub-rede do gateway.Do not deploy any VMs to the gateway subnet. Além disso, não atribua um NSG a esta sub-rede, pois vai fazer com que o gateway deixe de funcionar.Also, do not assign an NSG to this subnet, as it will cause the gateway to stop functioning.

Gateway de rede virtualVirtual network gateway

Atribua o endereço IP público ao gateway de rede virtual.Allocate a public IP address for the virtual network gateway.

Crie o gateway de rede virtual na sub-rede de gateway e atribua o endereço IP público recém-alocado.Create the virtual network gateway in the gateway subnet and assign it the newly allocated public IP address. Utilize o tipo de gateway que melhor corresponde aos seus requisitos e que é ativado pela sua aplicação VPN:Use the gateway type that most closely matches your requirements and that is enabled by your VPN appliance:

  • Crie um gateway baseado na política se precisar de controlar rigorosamente a forma como são encaminhados os pedidos com base nos critérios de políticas, tais como prefixos de endereços.Create a policy-based gateway if you need to closely control how requests are routed based on policy criteria such as address prefixes. Os gateways baseados na política utilizam o encaminhamento estático e funcionam apenas com as ligações site a site.Policy-based gateways use static routing, and only work with site-to-site connections.

  • Criar um portal baseado em rotasCreate a route-based gateway

    • Liga-se à rede no local utilizando o RRAS,You connect to the on-premises network using RRAS,
    • Você suporta ligações multi-locais ou transversais, ouYou support multi-site or cross-region connections, or
    • Tem ligações entre redes virtuais, incluindo rotas que atravessam várias redes virtuais.You have connections between virtual networks, including routes that traverse multiple virtual networks.

    Os gateways baseados na rota utilizam o encaminhamento dinâmico para direcionar o tráfego entre as redes.Route-based gateways use dynamic routing to direct traffic between networks. Estes podem tolerar falhas no caminho de rede melhor do que as rotas estáticas porque podem tentar rotas alternativas.They can tolerate failures in the network path better than static routes because they can try alternative routes. Os gateways baseados na rota também podem reduzir os custos de gestão, porque as rotas poderão não ter de ser atualizadas manualmente quando os endereços de rede são alterados.Route-based gateways can also reduce the management overhead because routes might not need to be updated manually when network addresses change.

Para obter uma lista de aplicações de VPN suportadas, veja Acerca dos dispositivos VPN para ligações de Gateway de Rede de VPNs.For a list of supported VPN appliances, see About VPN devices for Site-to-Site VPN Gateway connections.

Nota

Depois de criar o gateway, não pode alternar entre tipos de gateway sem eliminar e voltar a criar o gateway.After the gateway has been created, you cannot change between gateway types without deleting and re-creating the gateway.

Selecione o SKU de gateway de VPN do Azure que mais se aproxima dos seus requisitos de débito.Select the Azure VPN gateway SKU that most closely matches your throughput requirements. Para mais informações, consulte Gateway SKUsFor more information, see Gateway SKUs

Nota

O SKU Básico não é compatível com o Azure ExpressRoute.The Basic SKU is not compatible with Azure ExpressRoute. Pode alterar o SKU depois de criar o gateway.You can change the SKU after the gateway has been created.

Crie regras de encaminhamento para a sub-rede do gateway para direcionar o tráfego da aplicação de entrada do gateway para o balanceador de carga interno, em vez de permitir que os pedidos passem diretamente para as VMs de aplicação.Create routing rules for the gateway subnet that direct incoming application traffic from the gateway to the internal load balancer, rather than allowing requests to pass directly to the application VMs.

Ligação da rede no localOn-premises network connection

Crie um gateway de rede local.Create a local network gateway. Especifique o endereço IP público da aplicação VPN no local e o espaço de endereços da rede no local.Specify the public IP address of the on-premises VPN appliance, and the address space of the on-premises network. Tenha em atenção que a aplicação VPN no local tem de ter um endereço IP público que possa ser acedido pelo gateway de rede local no Gateway de VPN do Azure.Note that the on-premises VPN appliance must have a public IP address that can be accessed by the local network gateway in Azure VPN Gateway. O dispositivo VPN não pode estar localizado atrás de um dispositivo de tradução de endereços de rede (NAT).The VPN device cannot be located behind a network address translation (NAT) device.

Crie uma ligação site a site para o gateway de rede virtual e o gateway de rede local.Create a site-to-site connection for the virtual network gateway and the local network gateway. Selecione o tipo de ligação site a site (IPSec) e especifique a chave partilhada.Select the site-to-site (IPSec) connection type, and specify the shared key. A encriptação site a site com o gateway de VPN do Azure baseia-se no protocolo IPSec, com chaves pré-partilhadas de autenticação.Site-to-site encryption with the Azure VPN gateway is based on the IPSec protocol, using preshared keys for authentication. Especifique a chave ao criar o gateway de VPN do Azure.You specify the key when you create the Azure VPN gateway. Tem de configurar o dispositivo de VPN em execução no local com a mesma chave.You must configure the VPN appliance running on-premises with the same key. Outros mecanismos de autenticação não são atualmente suportados.Other authentication mechanisms are not currently supported.

Certifique-se de que a infraestrutura de encaminhamento no local está configurada para encaminhar os pedidos destinados a moradas na rede virtual Azure para o dispositivo VPN.Ensure that the on-premises routing infrastructure is configured to forward requests intended for addresses in the Azure virtual network to the VPN device.

Abra as portas exigidas pela aplicação na cloud na rede no local.Open any ports required by the cloud application in the on-premises network.

Teste a ligação para verificar se:Test the connection to verify that:

  • A aplicação VPN no local encaminha corretamente o tráfego para a aplicação na cloud através do gateway de VPN do Azure.The on-premises VPN appliance correctly routes traffic to the cloud application through the Azure VPN gateway.
  • A rede virtual encaminha corretamente o tráfego para a rede no local.The virtual network correctly routes traffic back to the on-premises network.
  • O tráfego proibido em ambas as direções está corretamente bloqueado.Prohibited traffic in both directions is blocked correctly.

Ligação de rede Azure StackAzure Stack network connection

Esta arquitetura de referência mostra como ligar uma rede virtual na sua implementação Azure Stack a uma rede virtual em Azure através do gateway VPN multitenant Azure Stack.This reference architecture shows how to connect a virtual network in your Azure Stack deployment to a virtual network in Azure through the Azure Stack multitenant VPN gateway. Um cenário comum é isolar operações críticas e dados sensíveis em Azure Stack e aproveitar o Azure para transações públicas e operações transitórias e não sensíveis.A common scenario is to isolate critical operations and sensitive data in Azure Stack and take advantage of Azure for public transaction and transitory, non-sensitive operations.

Nesta arquitetura, o tráfego de rede flui através de um túnel VPN usando o gateway multitenant em Azure Stack.In this architecture, network traffic flows through a VPN tunnel using the multitenant gateway on Azure Stack. Em alternativa, o tráfego pode fluir através da Internet entre Azure Stack e Azure através de VIPs de inquilino, Azure ExpressRoute, ou um aparelho virtual de rede que funciona como o ponto final VPN.Alternatively, traffic can flow over the Internet between Azure Stack and Azure through tenant VIPs, Azure ExpressRoute, or a network virtual appliance that acts as the VPN endpoint.

Capacidade de gateway de rede virtual Azure StackAzure Stack virtual network gateway capacity

Tanto o Gateway Azure VPN como o Azure Stack Gateway VPN apoiam o Border Gateway Protocol (BGP) para a troca de informações de encaminhamento entre Azure e Azure Stack.Both the Azure VPN Gateway and the Azure Stack VPN gateway support Border Gateway Protocol (BGP) for exchanging routing information between Azure and Azure Stack. A Azure Stack não suporta o encaminhamento estático para o gateway multitenant.Azure Stack does not support static routing for the multitenant gateway.

Crie uma rede virtual Azure Stack com um espaço de endereço IP atribuído suficientemente grande para todos os recursos necessários.Create an Azure Stack virtual network with an assigned IP address space large enough for all your required resources. O espaço de endereço da rede virtual não deve sobrepor-se a qualquer outra rede que esteja ligada a esta rede virtual.The address space of the virtual network must not overlap with any other network that is going to be connected to this virtual network.

Um endereço IP público é atribuído ao gateway multitenant durante a implementação de Azure Stack.A public IP address is assigned to the multitenant gateway during the deployment of Azure Stack. É tirada da piscina VIP pública.It is taken from the public VIP pool. O operador Azure Stack não tem controlo sobre o endereço IP utilizado, mas pode determinar a sua atribuição.The Azure Stack operator has no control over what IP address is used but can determine its assignment.

Atenção

Os VMs de carga de trabalho não podem ser implantados na sub-rede de gateway Azure Stack.Workload VMs cannot be deployed on the Azure Stack gateway subnet. Além disso, não atribua um NSG a esta sub-rede, pois vai fazer com que o gateway deixe de funcionar.Also, do not assign an NSG to this subnet, as it will cause the gateway to stop functioning.

Considerações de escalabilidadeScalability considerations

Pode alcançar uma escalabilidade vertical limitada ao mover os SKUs de Gateway de VPN Básica ou Padrão para o SKU de VPN de Elevado Desempenho.You can achieve limited vertical scalability by moving from the Basic or Standard VPN Gateway SKUs to the High Performance VPN SKU.

Para redes virtuais que esperam um grande volume de tráfego VPN, considere distribuir as diferentes cargas de trabalho em redes virtuais separadas e configurar uma porta de entrada VPN para cada uma delas.For virtual networks that expect a large volume of VPN traffic, consider distributing the different workloads into separate smaller virtual networks and configuring a VPN gateway for each of them.

Pode dividir a rede virtual horizontal ou verticalmente.You can partition the virtual network either horizontally or vertically. Para a divisão horizontal, mova algumas instâncias VM de cada nível para sub-redes da nova rede virtual.To partition horizontally, move some VM instances from each tier into subnets of the new virtual network. O resultado é que cada rede virtual tem a mesma estrutura e funcionalidade.The result is that each virtual network has the same structure and functionality. Para a partição vertical, reformule cada camada para dividir a funcionalidade em diferentes áreas lógicas (tais como processar encomendas, faturação, gestão de contas do cliente e assim sucessivamente).To partition vertically, redesign each tier to divide the functionality into different logical areas (such as handling orders, invoicing, customer account management, and so on). Cada área funcional pode então ser colocada na sua própria rede virtual.Each functional area can then be placed in its own virtual network.

Replicar um controlador de domínio ative diretório no local na rede virtual, e implementar o DNS na rede virtual, pode ajudar a reduzir alguns dos tráfegos administrativos e relacionados com a segurança que fluem das instalações para a nuvem.Replicating an on-premises Active Directory domain controller in the virtual network, and implementing DNS in the virtual network, can help to reduce some of the security-related and administrative traffic flowing from on-premises to the cloud. Para obter mais informações, veja Expandir o Active Directory Domain Services [AD DS] para o Azure.For more information, see Extending Active Directory Domain Services (AD DS) to Azure.

Considerações de disponibilidadeAvailability considerations

Para garantir que a rede no local permanece disponível para o gateway de VPN do Azure, implemente um cluster de ativação pós-falha no gateway de VPN no local.If you need to ensure that the on-premises network remains available to the Azure VPN gateway, implement a failover cluster for the on-premises VPN gateway.

Se a sua organização tiver vários sites no local, crie ligações multi-locais a uma ou mais redes virtuais Azure.If your organization has multiple on-premises sites, create multi-site connections to one or more Azure virtual networks. Esta abordagem requer o encaminhamento dinâmico (baseado na rota), por isso garanta que o gateway de VPN no local suporta esta funcionalidade.This approach requires dynamic (route-based) routing, so make sure that the on-premises VPN gateway supports this feature.

Para obter mais informações sobre contratos de nível de serviço, veja SLA para o Gateway de VPN.For details about service level agreements, see SLA for VPN Gateway.

No Azure Stack, pode expandir gateways VPN para incluir interfaces para vários selos Azure Stack e implementações Azure Stack.On Azure Stack, you can expand VPN gateways to include interfaces to multiple Azure Stack stamps and Azure deployments.

Considerações de DevOpsDevOps considerations

Utilize o processo de Infraestrutura como Código (IAC) para implantação da infraestrutura.Use the Infrastructure as Code (IaC) process for deploying the infrastructure. Nesta arquitetura, usamos um conjunto de modelos personalizados Azure Building Blocks implantados usando o portal Azure.In this architecture, we've used a set of Azure Building Blocks custom templates deployed using the Azure portal. Para automatizar a implementação da infraestrutura, pode utilizar o Azure DevOps Services ou outras soluções CI/CD.To automate infrastructure deployment, you can use Azure DevOps Services or other CI/CD solutions. O processo de implantação também é idempotente.The deployment process is also idempotent.

Para um determinado recurso, pode haver outros recursos que devem existir antes de o recurso ser implantado.For a given resource, there can be other resources that must exist before the resource is deployed. Os modelos Azure Building Blocks também são bons para o rastreio da dependência porque permitem definir dependências para recursos que são implantados no mesmo modelo.Azure Building Blocks templates are also good for dependency tracking because they allow you to define dependencies for resources that are deployed in the same template.

Todos os recursos principais (conjunto de escala de máquina virtual, gateway VPN, Azure Bastion) estão na mesma rede virtual, pelo que estão isolados na mesma carga de trabalho básica.All the main resources (Virtual machine scale set, VPN gateway, Azure Bastion) are in the same virtual network so they are isolated in the same basic workload. É então mais fácil associar os recursos específicos da carga de trabalho a uma equipa, para que a equipa possa gerir independentemente todos os aspetos desses recursos.It's then easier to associate the workload's specific resources to a team, so that the team can independently manage all aspects of those resources. Este isolamento permite que os DevOps realizem uma integração contínua e uma entrega contínua (CI/CD).This isolation enables DevOps to perform continuous integration and continuous delivery (CI/CD).

MonitorizaçãoMonitoring

Monitorize informações de diagnóstico de aplicações de VPN no local.Monitor diagnostic information from on-premises VPN appliances. Este processo depende das funcionalidades proporcionadas pela aplicação VPN.This process depends on the features provided by the VPN appliance. Por exemplo, se estiver a utilizar o Serviço de Encaminhamento e Acesso Remoto no Windows Server 2012, registo RRAS.For example, if you are using the Routing and Remote Access Service on Windows Server 2012, RRAS logging.

Utilize o diagnóstico do gateway de VPN do Azure para recolher informações sobre problemas de conectividade.Use Azure VPN gateway diagnostics to capture information about connectivity issues. Estes registos podem ser utilizados para controlar informações como a origem e os destinos dos pedidos de ligação, o protocolo que foi utilizado e como a ligação foi estabelecida (ou por que razão a tentativa falhou).These logs can be used to track information such as the source and destinations of connection requests, which protocol was used, and how the connection was established (or why the attempt failed).

Monitorize os registos operacionais do gateway de VPN do Azure através dos registos de auditoria disponíveis no portal do Azure.Monitor the operational logs of the Azure VPN gateway using the audit logs available in the Azure portal. Estão disponíveis registos separados para o gateway de rede local, o gateway de rede do Azure e a ligação.Separate logs are available for the local network gateway, the Azure network gateway, and the connection. Estas informações podem ser utilizadas para controlar todas as alterações feitas no gateway e podem ser úteis se um gateway anteriormente funcional deixar de funcionar por algum motivo.This information can be used to track any changes made to the gateway, and can be useful if a previously functioning gateway stops working for some reason.

Audit logs in the Azure portal

Uma imagem do portal Azure, mostrando eventos de registo de auditoria filtrados por data.A screenshot of the Azure portal, showing audit log events filtered by date.

Monitorize a conectividade e controle os eventos de falha de conectividade.Monitor connectivity, and track connectivity failure events. Pode utilizar um pacote de monitorização como o Nagios para recolher e comunicar estas informações.You can use a monitoring package such as Nagios to capture and report this information.

Para resolver os problemas da ligação, consulte Troubleshoot uma ligação híbrida VPN.To troubleshoot the connection, see Troubleshoot a hybrid VPN connection.

Se a conectividade gateway da sua rede de acesso a Azure estiver em baixo, ainda pode chegar aos VMs na rede virtual Azure através do Azure Bastion.If gateway connectivity from your on-premises network to Azure is down, you can still reach the VMs in the Azure virtual network through Azure Bastion.

Considerações de segurançaSecurity considerations

Gere uma chave partilhada diferente para cada gateway de VPN.Generate a different shared key for each VPN gateway. Utilize uma chave partilhada segura para ajudar a resistir a ataques de força bruta.Use a strong shared key to help resist brute-force attacks.

Para as ligações Azure Stack, gere uma chave partilhada diferente para cada túnel VPN.For Azure Stack connections, generate a different shared key for each VPN tunnel. Utilize uma chave partilhada segura para ajudar a resistir a ataques de força bruta.Use a strong shared key to help resist brute-force attacks.

Nota

Atualmente, não pode utilizar o Azure Key Vault para pré-partilhar chaves para o gateway de VPN do Azure.Currently, you cannot use Azure Key Vault to preshare keys for the Azure VPN gateway.

Garanta que a aplicação de VPN no local utiliza um método de encriptação que seja compatível com o gateway de VPN do Azure.Ensure that the on-premises VPN appliance uses an encryption method that is compatible with the Azure VPN gateway. Para um encaminhamento baseado em políticas, o gateway de VPN do Azure suporta algoritmos de encriptação AES256, AES128 e 3DES.For policy-based routing, the Azure VPN gateway supports the AES256, AES128, and 3DES encryption algorithms. Os gateways baseados na rota suportam AES256 e 3DES.Route-based gateways support AES256 and 3DES.

Se a aplicação VPN no local estiver numa rede de perímetro (DMZ) que tem uma firewall entre a rede de perímetro e a Internet, poderá ter de configurar regras de firewall adicionais para permitir a ligação de rede de VPNs.If your on-premises VPN appliance is on a perimeter network (DMZ) that has a firewall between the perimeter network and the Internet, you might have to configure additional firewall rules to allow the site-to-site VPN connection.

Se a aplicação na rede virtual enviar dados para a Internet, considere implementar túneis forçados para encaminhar todo o tráfego ligado à Internet através da rede de instalações.If the application in the virtual network sends data to the Internet, consider implementing forced tunneling to route all Internet-bound traffic through the on-premises network. Esta abordagem permite-lhe auditar pedidos a enviar realizados pela aplicação da infraestrutura no local.This approach enables you to audit outgoing requests made by the application from the on-premises infrastructure.

Nota

O túnel forçado pode afetar a conectividade dos serviços do Azure (o Serviço de Armazenamento, por exemplo) e o Gestor de licenciamento do Windows.Forced tunneling can impact connectivity to Azure services (the Storage Service, for example) and the Windows license manager.

Considerações de custosCost considerations

Utilize a calculadora de preços do Azure para prever os custos.Use the Azure pricing calculator to estimate costs. Para obter considerações gerais, consulte a secção Custo no Quadro de Well-Architected Microsoft Azure.For general considerations, see the Cost section in Microsoft Azure Well-Architected Framework.

Os serviços utilizados nesta arquitetura são cobrados da seguinte forma:The services used in this architecture are charged as follows:

Gateway de VPN do AzureAzure VPN Gateway

A principal componente desta arquitetura é o serviço de gateway VPN.The main component of this architecture is the VPN gateway service. O montante cobrado baseia-se no número de vezes que esse gateway é aprovisionado e está disponível.You are charged based on the amount of time that the gateway is provisioned and available.

Todo o tráfego de entrada é livre, todo o tráfego de saída é carregado.All inbound traffic is free, all outbound traffic is charged. São aplicados os custos com a largura de banda da Internet ao tráfego de saída da VPN.Internet bandwidth costs are applied to VPN outbound traffic.

Para obter mais informações, veja Preços do Gateway de VPN.For more information, see VPN Gateway Pricing.

Rede Virtual do AzureAzure Virtual Network

A Rede Virtual do Azure é gratuita.Azure Virtual Network is free. Todas as subscrições podem criar até 50 redes virtuais em todas as regiões.Every subscription is allowed to create up to 50 virtual networks across all regions.

Todo o tráfego que ocorre dentro dos limites de uma rede virtual é gratuito.All traffic that occurs within the boundaries of a virtual network is free. Assim, a comunicação entre duas máquinas virtuais na mesma rede virtual é gratuita.So, communication between two virtual machines in the same virtual network is free.

Azure BastionAzure Bastion

O Azure Bastion liga-se seguramente à sua máquina virtual na rede virtual sobre RDP e SSH sem ter a necessidade de configurar um IP público na máquina virtual.Azure Bastion securely connects to your virtual machine in the virtual network over RDP and SSH without having the need to configure a public IP on the virtual machine. Você precisará de Bastion em todas as redes virtuais que contenham máquinas virtuais a que pretende ligar.You will need Bastion in every virtual network that contains virtual machines that you want to connect to. Esta solução é mais económica e segura do que usar caixas de salto.This solution is more economical and secure than using jump boxes.

Por exemplo, consulte a Azure Bastion Pricing.For examples, see Azure Bastion Pricing.

Máquina virtual e equilibradores internos de cargaVirtual machine and internal load balancers

Nesta arquitetura, os equilibradores de carga internos são usados para carregar o tráfego de equilíbrio dentro de uma rede virtual.In this architecture, internal load balancers are used to load balance traffic inside a virtual network. O equilíbrio básico de carga entre máquinas virtuais que residem na mesma rede virtual é gratuito.Basic load balancing between virtual machines that reside in the same virtual network is free.

Os conjuntos de escala de máquina virtual estão disponíveis em todos os tamanhos Linux e Janelas VM.Virtual machine scale sets are available on all Linux and windows VM sizes. Você é cobrado apenas para os VMs Azure que você implanta e recursos de infraestrutura subjacentes consumidos, tais como armazenamento e networking.You are only charged for the Azure VMs you deploy and underlying infrastructure resources consumed such as storage and networking. Não existem custos incrementais para o serviço de conjuntos de escala de máquina virtual.There are no incremental charges for the virtual machine scale sets service.

Para mais informações, consulte os preços da Azure VM.For more information, see Azure VM pricing.

Implementar a soluçãoDeploy the solution

Para implementar esta arquitetura de referência, consulte a leitura do GitHub.To deploy this reference architecture, see the GitHub readme.

Passos seguintesNext steps

Embora as VPNs possam ser usadas para ligar redes virtuais dentro do Azure, nem sempre é a melhor escolha.Although VPNs can be used to connect virtual networks within Azure, it's not always the best choice. Para obter mais informações, consulte Escolha entre o espremo da rede virtual e as portas VPN em Azure.For more information, see Choose between virtual network peering and VPN gateways in Azure.