Ligar uma rede no local ao Azure através de um gateway de VPNConnect an on-premises network to Azure using a VPN gateway

Esta arquitetura de referência mostra como expandir uma rede no local para o Azure através de uma rede de VPNs (Redes Privadas Virtuais).This reference architecture shows how to extend an on-premises network to Azure, using a site-to-site virtual private network (VPN). O tráfego flui entre a rede no local e uma Rede Virtual do Azure (VNet) através de um túnel VPN IPSec.Traffic flows between the on-premises network and an Azure Virtual Network (VNet) through an IPSec VPN tunnel. Implementar esta solução.Deploy this solution.

Rede híbrida presente no local e nas infraestruturas do Azure

Transferir um ficheiro do Visio desta arquitetura.Download a Visio file of this architecture.

ArquiteturaArchitecture

A arquitetura é composta pelos seguintes componentes.The architecture consists of the following components.

  • Rede no local.On-premises network. Uma rede de área local privada em execução numa organização.A private local-area network running within an organization.

  • Aplicação VPN.VPN appliance. Um dispositivo ou serviço que fornece conectividade externa à rede no local.A device or service that provides external connectivity to the on-premises network. A aplicação VPN pode ser um dispositivo de hardware ou uma solução de software, tal como o Serviço de Encaminhamento e Acesso Remoto (RRAS) no Windows Server 2012.The VPN appliance may be a hardware device, or it can be a software solution such as the Routing and Remote Access Service (RRAS) in Windows Server 2012. Para obter uma lista de aplicações de VPN e informações sobre como as configurar para estabelecer ligação a um gateway de VPN do Azure suportado, veja as instruções do dispositivo selecionado no artigo Acerca dos dispositivos de VPN para ligações do Gateway de Rede de VPNs.For a list of supported VPN appliances and information on configuring them to connect to an Azure VPN gateway, see the instructions for the selected device in the article About VPN devices for Site-to-Site VPN Gateway connections.

  • Rede virtual (VNet) .Virtual network (VNet). A aplicação na cloud e os componentes do gateway de VPN do Azure estão na mesma VNet.The cloud application and the components for the Azure VPN gateway reside in the same VNet.

  • Gateway de VPN do Azure.Azure VPN gateway. O serviço Gateway de VPN permite-lhe ligar a VNet à rede no local através de uma aplicação VPN.The VPN gateway service enables you to connect the VNet to the on-premises network through a VPN appliance. Para obter mais informações, veja Connect an on-premises network to a Microsoft Azure virtual network (Ligar uma rede no local a uma rede virtual do Microsoft Azure).For more information, see Connect an on-premises network to a Microsoft Azure virtual network. O gateway de VPN inclui os seguintes elementos:The VPN gateway includes the following elements:

    • Gateway de rede virtual.Virtual network gateway. Um recurso que oferece uma aplicação VPN virtual para a VNet.A resource that provides a virtual VPN appliance for the VNet. É responsável pelo encaminhamento do tráfego da rede no local para a VNet.It is responsible for routing traffic from the on-premises network to the VNet.
    • Gateway de rede local.Local network gateway. Uma abstração da aplicação VPN no local.An abstraction of the on-premises VPN appliance. O tráfego de rede da aplicação na cloud para a rede no local é encaminhado através deste gateway.Network traffic from the cloud application to the on-premises network is routed through this gateway.
    • Ligação.Connection. A ligação tem propriedades que especificam o tipo de ligação (IPSec) e a chave partilhada com a aplicação VPN no local para encriptar o tráfego.The connection has properties that specify the connection type (IPSec) and the key shared with the on-premises VPN appliance to encrypt traffic.
    • Sub-rede do gateway.Gateway subnet. O gateway de rede virtual está retido na sua própria sub-rede, que está sujeita a vários requisitos, descritos na secção Recomendações abaixo.The virtual network gateway is held in its own subnet, which is subject to various requirements, described in the Recommendations section below.
  • Aplicação na cloud.Cloud application. A aplicação alojada no Azure.The application hosted in Azure. Esta pode incluir várias camadas com várias sub-redes ligadas através de balanceadores de carga do Azure.It might include multiple tiers, with multiple subnets connected through Azure load balancers. Para obter mais informações sobre a infraestrutura da aplicação, veja Executar cargas de trabalho da VM do Windows e Executar cargas de trabalho da VM do Linux.For more information about the application infrastructure, see Running Windows VM workloads and Running Linux VM workloads.

  • Balanceador de carga interno.Internal load balancer. O tráfego de rede do gateway de VPN é encaminhado para a aplicação na cloud através de um balanceador de carga interno.Network traffic from the VPN gateway is routed to the cloud application through an internal load balancer. O balanceador de carga encontra-se na sub-rede front-end da aplicação.The load balancer is located in the front-end subnet of the application.

RecomendaçõesRecommendations

As recomendações seguintes aplicam-se à maioria dos cenários.The following recommendations apply for most scenarios. Siga-as, a não ser que tenha requisitos específicos que as anulem.Follow these recommendations unless you have a specific requirement that overrides them.

Sub-rede de gateway e VNetVNet and gateway subnet

Crie uma VNet do Azure com um espaço de endereços suficientemente grande para todos os seus recursos necessários.Create an Azure VNet with an address space large enough for all of your required resources. Garanta que o espaço de endereços da VNet tem espaço suficiente para crescer caso preveja que sejam precisas mais VMs no futuro.Ensure that the VNet address space has sufficient room for growth if additional VMs are likely to be needed in the future. O espaço de endereços da VNet não pode sobrepor-se à rede no local.The address space of the VNet must not overlap with the on-premises network. Por exemplo, o diagrama acima utiliza o espaço de endereços 10.20.0.0/16 para a VNet.For example, the diagram above uses the address space 10.20.0.0/16 for the VNet.

Crie uma sub-rede designada GatewaySubnet, com um intervalo de endereços de /27.Create a subnet named GatewaySubnet, with an address range of /27. Esta sub-rede é necessária para o gateway de rede virtual.This subnet is required by the virtual network gateway. A alocação de 32 endereços para esta sub-rede ajudará a evitar que atinja as limitações de tamanho do gateway no futuro.Allocating 32 addresses to this subnet will help to prevent reaching gateway size limitations in the future. Além disso, evite colocar esta sub-rede no meio do espaço de endereços.Also, avoid placing this subnet in the middle of the address space. Uma boa prática é definir o espaço de endereços para a sub-rede do gateway na extremidade superior do espaço de endereços da VNet.A good practice is to set the address space for the gateway subnet at the upper end of the VNet address space. O exemplo mostrado no diagrama utiliza 10.20.255.224/27.The example shown in the diagram uses 10.20.255.224/27. Veja a seguir um procedimento rápido para calcular o CIDR:Here is a quick procedure to calculate the CIDR:

  1. Defina os bits variáveis no espaço de endereços da VNet como 1, até aos bits utilizados pela sub-rede do gateway e, em seguida, defina os bits restantes como 0.Set the variable bits in the address space of the VNet to 1, up to the bits being used by the gateway subnet, then set the remaining bits to 0.
  2. Converta os bits resultantes num valor decimal e expresse-o como um espaço de endereços com o comprimento de prefixo definido para o tamanho da sub-rede do gateway.Convert the resulting bits to decimal and express it as an address space with the prefix length set to the size of the gateway subnet.

Por exemplo, para uma VNet com um intervalo de endereços IP de 10.20.0.0/16, ao realizar o passo 1 acima obterá 10.20.0b11111111.0b11100000.For example, for a VNet with an IP address range of 10.20.0.0/16, applying step #1 above becomes 10.20.0b11111111.0b11100000. Ao convertê-lo para um valor decimal e ao expressá-lo como um espaço de endereços gera 10.20.255.224/27.Converting that to decimal and expressing it as an address space yields 10.20.255.224/27.

Aviso

Não implemente VMs na sub-rede do gateway.Do not deploy any VMs to the gateway subnet. Além disso, não atribua um NSG a esta sub-rede, pois vai fazer com que o gateway deixe de funcionar.Also, do not assign an NSG to this subnet, as it will cause the gateway to stop functioning.

Gateway de rede virtualVirtual network gateway

Atribua o endereço IP público ao gateway de rede virtual.Allocate a public IP address for the virtual network gateway.

Crie o gateway de rede virtual na sub-rede de gateway e atribua o endereço IP público recém-alocado.Create the virtual network gateway in the gateway subnet and assign it the newly allocated public IP address. Utilize o tipo de gateway que melhor corresponde aos seus requisitos e que é ativado pela sua aplicação VPN:Use the gateway type that most closely matches your requirements and that is enabled by your VPN appliance:

  • Crie um gateway baseado na política se precisar de controlar rigorosamente a forma como são encaminhados os pedidos com base nos critérios de políticas, tais como prefixos de endereços.Create a policy-based gateway if you need to closely control how requests are routed based on policy criteria such as address prefixes. Os gateways baseados na política utilizam o encaminhamento estático e funcionam apenas com as ligações site a site.Policy-based gateways use static routing, and only work with site-to-site connections.

  • Crie um gateway baseado na rota se estabelecer ligação à rede no local através do RRAS, se suportar ligações multilocal ou entre regiões ou se implementar ligações VNet a VNet (incluindo rotas que atravessam várias VNets).Create a route-based gateway if you connect to the on-premises network using RRAS, support multi-site or cross-region connections, or implement VNet-to-VNet connections (including routes that traverse multiple VNets). Os gateways baseados na rota utilizam o encaminhamento dinâmico para direcionar o tráfego entre as redes.Route-based gateways use dynamic routing to direct traffic between networks. Estes podem tolerar falhas no caminho de rede melhor do que as rotas estáticas porque podem tentar rotas alternativas.They can tolerate failures in the network path better than static routes because they can try alternative routes. Os gateways baseados na rota também podem reduzir os custos de gestão, porque as rotas poderão não ter de ser atualizadas manualmente quando os endereços de rede são alterados.Route-based gateways can also reduce the management overhead because routes might not need to be updated manually when network addresses change.

Para obter uma lista de aplicações de VPN suportadas, veja Acerca dos dispositivos VPN para ligações de Gateway de Rede de VPNs.For a list of supported VPN appliances, see About VPN devices for Site-to-Site VPN Gateway connections.

Nota

Depois de criar o gateway, não pode alternar entre tipos de gateway sem eliminar e voltar a criar o gateway.After the gateway has been created, you cannot change between gateway types without deleting and re-creating the gateway.

Selecione o SKU de gateway de VPN do Azure que mais se aproxima dos seus requisitos de débito.Select the Azure VPN gateway SKU that most closely matches your throughput requirements. Para obter mais informações, consulte SKUs de GatewayFor more information, see Gateway SKUs

Nota

O SKU Básico não é compatível com o Azure ExpressRoute.The Basic SKU is not compatible with Azure ExpressRoute. Pode alterar o SKU depois de criar o gateway.You can change the SKU after the gateway has been created.

O montante cobrado baseia-se no número de vezes que esse gateway é aprovisionado e está disponível.You are charged based on the amount of time that the gateway is provisioned and available. Veja Preços de Gateway de VPN.See VPN Gateway Pricing.

Crie regras de encaminhamento para a sub-rede do gateway para direcionar o tráfego da aplicação de entrada do gateway para o balanceador de carga interno, em vez de permitir que os pedidos passem diretamente para as VMs de aplicação.Create routing rules for the gateway subnet that direct incoming application traffic from the gateway to the internal load balancer, rather than allowing requests to pass directly to the application VMs.

Ligação da rede no localOn-premises network connection

Crie um gateway de rede local.Create a local network gateway. Especifique o endereço IP público da aplicação VPN no local e o espaço de endereços da rede no local.Specify the public IP address of the on-premises VPN appliance, and the address space of the on-premises network. Tenha em atenção que a aplicação VPN no local tem de ter um endereço IP público que possa ser acedido pelo gateway de rede local no Gateway de VPN do Azure.Note that the on-premises VPN appliance must have a public IP address that can be accessed by the local network gateway in Azure VPN Gateway. O dispositivo VPN não pode estar localizado atrás de um dispositivo de tradução de endereços de rede (NAT).The VPN device cannot be located behind a network address translation (NAT) device.

Crie uma ligação site a site para o gateway de rede virtual e o gateway de rede local.Create a site-to-site connection for the virtual network gateway and the local network gateway. Selecione o tipo de ligação site a site (IPSec) e especifique a chave partilhada.Select the site-to-site (IPSec) connection type, and specify the shared key. A encriptação site a site com o gateway de VPN do Azure baseia-se no protocolo IPSec, com chaves pré-partilhadas de autenticação.Site-to-site encryption with the Azure VPN gateway is based on the IPSec protocol, using preshared keys for authentication. Especifique a chave ao criar o gateway de VPN do Azure.You specify the key when you create the Azure VPN gateway. Tem de configurar o dispositivo de VPN em execução no local com a mesma chave.You must configure the VPN appliance running on-premises with the same key. Outros mecanismos de autenticação não são atualmente suportados.Other authentication mechanisms are not currently supported.

Garanta que a infraestrutura de encaminhamento no local está configurada para encaminhar pedidos que se destinam a endereços na VNet do Azure para o dispositivo VPN no local.Ensure that the on-premises routing infrastructure is configured to forward requests intended for addresses in the Azure VNet to the VPN device.

Abra as portas exigidas pela aplicação na cloud na rede no local.Open any ports required by the cloud application in the on-premises network.

Teste a ligação para verificar se:Test the connection to verify that:

  • A aplicação VPN no local encaminha corretamente o tráfego para a aplicação na cloud através do gateway de VPN do Azure.The on-premises VPN appliance correctly routes traffic to the cloud application through the Azure VPN gateway.
  • A VNet encaminha corretamente o tráfego para a rede no local.The VNet correctly routes traffic back to the on-premises network.
  • O tráfego proibido em ambas as direções está corretamente bloqueado.Prohibited traffic in both directions is blocked correctly.

Considerações de escalabilidadeScalability considerations

Pode alcançar uma escalabilidade vertical limitada ao mover os SKUs de Gateway de VPN Básica ou Padrão para o SKU de VPN de Elevado Desempenho.You can achieve limited vertical scalability by moving from the Basic or Standard VPN Gateway SKUs to the High Performance VPN SKU.

Para VNets que esperam um grande volume de tráfego de VPN, considere distribuir as cargas de trabalho diferentes em VNets mais pequenas separadas e configurar um gateway de VPN para cada uma delas.For VNets that expect a large volume of VPN traffic, consider distributing the different workloads into separate smaller VNets and configuring a VPN gateway for each of them.

Pode criar partições para a VNet horizontal ou verticalmente.You can partition the VNet either horizontally or vertically. Para a partição horizontal, mova algumas instâncias de VM de cada camada para sub-redes da nova VNet.To partition horizontally, move some VM instances from each tier into subnets of the new VNet. O resultado é que cada VNet tenha a mesma estrutura e funcionalidade.The result is that each VNet has the same structure and functionality. Para a partição vertical, reformule cada camada para dividir a funcionalidade em diferentes áreas lógicas (tais como processar encomendas, faturação, gestão de contas do cliente e assim sucessivamente).To partition vertically, redesign each tier to divide the functionality into different logical areas (such as handling orders, invoicing, customer account management, and so on). Em seguida, cada área funcional pode ser colocada na sua própria VNet.Each functional area can then be placed in its own VNet.

Replicar um controlador de domínio do Active Directory no local na VNet e implementar o DNS na VNet podem ajudar a reduzir algum tráfego administrativo, relacionado com a segurança, que flui do local para a cloud.Replicating an on-premises Active Directory domain controller in the VNet, and implementing DNS in the VNet, can help to reduce some of the security-related and administrative traffic flowing from on-premises to the cloud. Para obter mais informações, veja Expandir o Active Directory Domain Services [AD DS] para o Azure.For more information, see Extending Active Directory Domain Services (AD DS) to Azure.

Considerações de disponibilidadeAvailability considerations

Para garantir que a rede no local permanece disponível para o gateway de VPN do Azure, implemente um cluster de ativação pós-falha no gateway de VPN no local.If you need to ensure that the on-premises network remains available to the Azure VPN gateway, implement a failover cluster for the on-premises VPN gateway.

Se a sua organização tiver vários sites no local, crie ligações multilocal para uma ou mais VNets do Azure.If your organization has multiple on-premises sites, create multi-site connections to one or more Azure VNets. Esta abordagem requer o encaminhamento dinâmico (baseado na rota), por isso garanta que o gateway de VPN no local suporta esta funcionalidade.This approach requires dynamic (route-based) routing, so make sure that the on-premises VPN gateway supports this feature.

Para obter mais informações sobre contratos de nível de serviço, veja SLA para o Gateway de VPN.For details about service level agreements, see SLA for VPN Gateway.

Considerações sobre a capacidade de gestãoManageability considerations

Monitorize informações de diagnóstico de aplicações de VPN no local.Monitor diagnostic information from on-premises VPN appliances. Este processo depende das funcionalidades proporcionadas pela aplicação VPN.This process depends on the features provided by the VPN appliance. Por exemplo, se estiver a utilizar o Serviço de Encaminhamento e Acesso Remoto no Windows Server 2012, registo RRAS.For example, if you are using the Routing and Remote Access Service on Windows Server 2012, RRAS logging.

Utilize o diagnóstico do gateway de VPN do Azure para recolher informações sobre problemas de conectividade.Use Azure VPN gateway diagnostics to capture information about connectivity issues. Estes registos podem ser utilizados para controlar informações como a origem e os destinos dos pedidos de ligação, o protocolo que foi utilizado e como a ligação foi estabelecida (ou por que razão a tentativa falhou).These logs can be used to track information such as the source and destinations of connection requests, which protocol was used, and how the connection was established (or why the attempt failed).

Monitorize os registos operacionais do gateway de VPN do Azure através dos registos de auditoria disponíveis no portal do Azure.Monitor the operational logs of the Azure VPN gateway using the audit logs available in the Azure portal. Estão disponíveis registos separados para o gateway de rede local, o gateway de rede do Azure e a ligação.Separate logs are available for the local network gateway, the Azure network gateway, and the connection. Estas informações podem ser utilizadas para controlar todas as alterações feitas no gateway e podem ser úteis se um gateway anteriormente funcional deixar de funcionar por algum motivo.This information can be used to track any changes made to the gateway, and can be useful if a previously functioning gateway stops working for some reason.

Registos de auditoria no portal do Azure

Monitorize a conectividade e controle os eventos de falha de conectividade.Monitor connectivity, and track connectivity failure events. Pode utilizar um pacote de monitorização como o Nagios para recolher e comunicar estas informações.You can use a monitoring package such as Nagios to capture and report this information.

Considerações de segurançaSecurity considerations

Gere uma chave partilhada diferente para cada gateway de VPN.Generate a different shared key for each VPN gateway. Utilize uma chave partilhada segura para ajudar a resistir a ataques de força bruta.Use a strong shared key to help resist brute-force attacks.

Nota

Atualmente, não pode utilizar o Azure Key Vault para pré-partilhar chaves para o gateway de VPN do Azure.Currently, you cannot use Azure Key Vault to preshare keys for the Azure VPN gateway.

Garanta que a aplicação de VPN no local utiliza um método de encriptação que seja compatível com o gateway de VPN do Azure.Ensure that the on-premises VPN appliance uses an encryption method that is compatible with the Azure VPN gateway. Para um encaminhamento baseado em políticas, o gateway de VPN do Azure suporta algoritmos de encriptação AES256, AES128 e 3DES.For policy-based routing, the Azure VPN gateway supports the AES256, AES128, and 3DES encryption algorithms. Os gateways baseados na rota suportam AES256 e 3DES.Route-based gateways support AES256 and 3DES.

Se a aplicação VPN no local estiver numa rede de perímetro (DMZ) que tem uma firewall entre a rede de perímetro e a Internet, poderá ter de configurar regras de firewall adicionais para permitir a ligação de rede de VPNs.If your on-premises VPN appliance is on a perimeter network (DMZ) that has a firewall between the perimeter network and the Internet, you might have to configure additional firewall rules to allow the site-to-site VPN connection.

Se a aplicação na VNet enviar dados para a Internet, considere implementar um túnel forçado para encaminhar todo o tráfego vinculado à Internet através da rede no local.If the application in the VNet sends data to the Internet, consider implementing forced tunneling to route all Internet-bound traffic through the on-premises network. Esta abordagem permite-lhe auditar pedidos a enviar realizados pela aplicação da infraestrutura no local.This approach enables you to audit outgoing requests made by the application from the on-premises infrastructure.

Nota

O túnel forçado pode afetar a conectividade dos serviços do Azure (o Serviço de Armazenamento, por exemplo) e o Gestor de licenciamento do Windows.Forced tunneling can impact connectivity to Azure services (the Storage Service, for example) and the Windows license manager.

Implementar a soluçãoDeploy the solution

Pré-requisitos.Prerequisites. Tem de possuir uma infraestrutura no local existente já configurada com uma aplicação de rede adequada.You must have an existing on-premises infrastructure already configured with a suitable network appliance.

Para implementar a solução, realize os seguintes passos.To deploy the solution, perform the following steps.

  1. Clique no botão abaixo:Click the button below:
  2. Aguarde até que a ligação abra no portal do Azure e, em seguida, siga estes passos:Wait for the link to open in the Azure portal, then follow these steps:
    • O nome do Grupo de recursos já está definido no ficheiro de parâmetros, por isso, selecione Criar Novo e introduza ra-hybrid-vpn-rg na caixa de texto.The Resource group name is already defined in the parameter file, so select Create New and enter ra-hybrid-vpn-rg in the text box.
    • Selecione a região na caixa pendente Localização.Select the region from the Location drop down box.
    • Não edite as caixas de texto Uri da Raiz de Modelo nem Uri da Raiz de Parâmetro.Do not edit the Template Root Uri or the Parameter Root Uri text boxes.
    • Reveja os termos e condições e clique na caixa de seleção Aceito os termos e condições acima apresentados.Review the terms and conditions, then click the I agree to the terms and conditions stated above checkbox.
    • Clique no botão Comprar.Click the Purchase button.
  3. Aguarde pela conclusão da implementação.Wait for the deployment to complete.

Para resolver problemas relacionados com a ligação, veja resolver problemas de uma ligação VPN de híbrida.To troubleshoot the connection, see Troubleshoot a hybrid VPN connection.