Implementar uma infraestrutura de migraçãoDeploy a migration infrastructure

Este artigo mostra como a empresa fictícia Contoso prepara a infraestrutura no local para migração, configura uma infraestrutura do Azure preparada para migração e gere o negócio num ambiente híbrido.This article shows how the fictional company Contoso prepares its on-premises infrastructure for migration, sets up an Azure infrastructure in preparation for migration, and runs the business in a hybrid environment.

Quando você usar este exemplo para ajudar a planear os seus próprios esforços de migração de infraestruturas, lembre-se que a arquitetura de amostra fornecida é específica para Contoso.When you use this example to help plan your own infrastructure migration efforts, keep in mind that the provided sample architecture is specific to Contoso. Reveja as necessidades de negócio, estrutura e requisitos técnicos da sua organização ao tomar importantes decisões de infraestrutura sobre design de subscrição ou arquitetura de rede.Review your organization's business needs, structure, and technical requirements when making important infrastructure decisions about subscription design or network architecture.

A necessidade de utilizar ou não todos os elementos descritos neste artigo depende da estratégia de migração.Whether you need all the elements described in this article depends on your migration strategy. Por exemplo, você pode precisar de uma estrutura de rede menos complexa se você estiver construindo apenas aplicações nativas em nuvem em Azure.For example, you might need a less complex network structure if you're building only cloud-native applications in Azure.

Descrição GeralOverview

Antes que a Contoso possa efetuar uma migração para o Azure, é essencial preparar uma infraestrutura do Azure.Before Contoso can migrate to Azure, it's critical to prepare an Azure infrastructure. Geralmente, Contoso precisa pensar em seis áreas:Generally, Contoso needs to think about six areas:

  • Passo 1: Assinaturas Azure.Step 1: Azure subscriptions. Como vai comprar a Azure e interagir com a plataforma e serviços Azure?How will it purchase Azure and interact with the Azure platform and services?
  • Passo 2: Identidade híbrida.Step 2: Hybrid identity. Como é que a Contoso irá gerir e controlar o acesso aos recursos no local e no Azure após a migração?How will it manage and control access to on-premises and Azure resources after migration? Como se estende ou move a gestão de identidade para a nuvem?How does it extend or move identity management to the cloud?
  • Passo 3: Recuperação de desastres e resiliência.Step 3: Disaster recovery and resilience. Como garantirá que as suas aplicações e infraestruturas sejam resistentes se ocorrerem interrupções e catástrofes?How will it ensure that its applications and infrastructure are resilient if outages and disasters occur?
  • Passo 4: Rede.Step 4: Network. Como deve conceber uma infraestrutura de rede e estabelecer conectividade entre o seu datacenter no local e o Azure?How should it design a network infrastructure and establish connectivity between its on-premises datacenter and Azure?
  • Passo 5: Segurança.Step 5: Security. Como vai assegurar a implantação híbrida?How will it secure the hybrid deployment?
  • Passo 6: Governação.Step 6: Governance. Como manterá a implantação alinhada com os requisitos de segurança e governação?How will it keep the deployment aligned with security and governance requirements?

Antes de começarBefore you start

Antes de começarmos a rever a infraestrutura, considere ler algumas informações de fundo sobre as capacidades relevantes do Azure:Before we start reviewing the infrastructure, consider reading some background information about relevant Azure capabilities:

Arquitetura no localOn-premises architecture

Aqui está um diagrama que mostra a atual infraestrutura de Contoso no local.Here's a diagram that shows the current Contoso on-premises infrastructure.

Diagrama da arquitetura Contoso.

Figura 1: Arquitetura Contoso no local.Figure 1: Contoso on-premises architecture.

  • Contoso tem um centro de dados principal localizado em Nova Iorque, no leste dos Estados Unidos.Contoso has one main datacenter located in New York City in the eastern United States.
  • A Contoso tem mais três ramos locais nos Estados Unidos.There are three additional local branches across the United States.
  • O principal datacenter está ligado à internet com uma ligação metro ethernet de fibra ótica (500 Mbps).The main datacenter is connected to the internet with a fiber-optic Metro Ethernet connection (500 Mbps).
  • Cada ramo é conectado localmente à internet através de ligações de classe executiva, com túneis VPN IPsec de volta ao centro de dados principal.Each branch is connected locally to the internet through business-class connections, with IPsec VPN tunnels back to the main datacenter. Esta abordagem permite que toda a rede esteja permanentemente conectada e otimize a conectividade da Internet.This approach allows the entire network to be permanently connected and optimizes internet connectivity.
  • O datacenter principal está totalmente virtualizado com o VMware.The main datacenter is fully virtualized with VMware. O Contoso tem dois anfitriões de virtualização ESXi 6.5 geridos pelo vCenter Server 6.5.Contoso has two ESXi 6.5 virtualization hosts managed by vCenter Server 6.5.
  • A Contoso utiliza servidores ative directory para gestão de identidade e sistema de nome de domínio (DNS) na rede interna.Contoso uses Active Directory for identity management and domain name system (DNS) servers on the internal network.
  • Os controladores de domínio no datacenter funcionam em máquinas virtuais VMware (VMs).The domain controllers in the datacenter run on VMware virtual machines (VMs). Os controladores de domínio em filiais locais são executados em servidores físicos.The domain controllers at local branches run on physical servers.

Passo 1: Comprar e subscrever a AzureStep 1: Buy and subscribe to Azure

A Contoso precisa de descobrir como comprar o Azure, como gerir subscrições e como licenciar serviços e recursos.Contoso needs to figure out how to buy Azure, how to manage subscriptions, and how to license services and resources.

Comprar o AzureBuy Azure

A Contoso está a inscrever-se num Acordo de Empresa.Contoso is enrolling in an Enterprise Agreement. Este acordo implica um compromisso monetário inicial com a Azure.This agreement entails an upfront monetary commitment to Azure. Dá ao Contoso o direito de obter benefícios como opções de faturação flexíveis e preços otimizados.It entitles Contoso to earn benefits like flexible billing options and optimized pricing.

Aqui estão os detalhes:Here are the details:

  • A Contoso calculou uma estimativa das suas despesas anuais com o Azure.Contoso estimated what its yearly Azure spend will be. Quando assinou o contrato, a Contoso pagou o primeiro ano completo.When it signed the agreement, Contoso paid for the first year in full.
  • O Contoso precisa de usar todos os compromissos antes do fim do ano ou perder o valor desses dólares.Contoso needs to use all commitments before the year is over or lose the value for those dollars.
  • Se por alguma razão a Contoso exceder o seu compromisso e gastar mais, a Microsoft faturará a diferença.If for some reason Contoso exceeds its commitment and spends more, Microsoft will invoice for the difference.
  • Qualquer custo incorrido que seja superior às alocações terá as mesmas tarifas que estão mencionadas no contrato da Contoso.Any cost incurred above the commitment will be at the same rates as those in the Contoso contract. Não há penalizações no caso de o valor é superior.There are no penalties for going over.

Gerir subscriçõesManage subscriptions

Depois de pagar pelo Azure, a Contoso tem de perceber como deverá gerir as subscrições do Azure.After paying for Azure, Contoso needs to figure out how to manage Azure subscriptions. Como o Contoso tem um EA, não há limite para o número de assinaturas Azure que pode criar.Because Contoso has an EA, there's no limit on the number of Azure subscriptions it can create. Uma inscrição no Acordo de Empresa Azure define como uma empresa molda e utiliza os serviços Azure, e define uma estrutura de governação central.An Azure Enterprise Agreement enrollment defines how a company shapes and uses Azure services, and defines a core governance structure.

Como primeiro passo, a Contoso definiu uma estrutura conhecida como andaime empresarial para a sua inscrição.As a first step, Contoso has defined a structure known as an enterprise scaffold for its enrollment. Contoso usou a orientação do andaime da empresa Azure para ajudar a entender e desenhar um andaime.Contoso used the Azure enterprise scaffold guidance to help understand and design a scaffold.

Por enquanto, a Contoso decidiu utilizar uma abordagem funcional para gerir subscrições:For now, Contoso has decided to use a functional approach to manage subscriptions:

  • Dentro da empresa, utilizará um único departamento de TI que controla o orçamento do Azure.Inside the enterprise, it will use a single IT department that controls the Azure budget. Este será o único grupo com subscrições.This will be the only group with subscriptions.
  • A Contoso irá alargar este modelo no futuro, para que outros grupos empresariais possam aderir como departamentos na hierarquia de inscrição.Contoso will extend this model in the future, so that other corporate groups can join as departments in the enrollment hierarchy.
  • Dentro do departamento de TI, a Contoso estruturou duas subscrições Production Development e.Inside the IT department, Contoso has structured two subscriptions, Production and Development.
  • Se a Contoso precisar de mais subscrições no futuro, também terá de gerir o acesso, as políticas e o cumprimento dessas subscrições.If Contoso needs more subscriptions in the future, it will also need to manage access, policies, and compliance for those subscriptions. A Contoso fá-lo-á introduzindo os grupos de gestão Azure como uma camada adicional acima das subscrições.Contoso will do that by introducing Azure management groups as an additional layer above subscriptions.

Diagrama da hierarquia empresarial.

Figura 2: Hierarquia empresarial.Figure 2: Enterprise hierarchy.

Examinar as licençasExamine licensing

Com as subscrições configuradas, a Contoso poderá examinar as licenças da Microsoft.With subscriptions configured, Contoso can look at Microsoft licensing. A estratégia de licenciamento dependerá dos recursos que a Contoso quer migrar para a Azure e de como os VMs e serviços são selecionados e implantados no Azure.The licensing strategy will depend on the resources that Contoso wants to migrate to Azure and how VMs and services are selected and deployed in Azure.

Benefício Híbrido do AzureAzure Hybrid Benefit

Para a implementação de VMs em Azure, as imagens padrão incluem uma licença que cobrará Contoso ao minuto para o software que está a ser usado.For deploying VMs in Azure, standard images include a license that will charge Contoso by the minute for the software being used. No entanto, a Contoso tem sido um cliente de longo prazo da Microsoft e tem mantido EAs e licenças abertas com a Software Assurance.However, Contoso has been a long-term Microsoft customer and has maintained EAs and open licenses with Software Assurance.

O Azure Hybrid Benefit fornece um método rentável para a migração.Azure Hybrid Benefit provides a cost-effective method for migration. Permite que o Contoso guarde nas cargas de trabalho do Azure VMs e do SQL Server, convertendo ou reutilizando licenças de datacenter do Windows Server e de edição Standard cobertas com a Software Assurance.It allows Contoso to save on Azure VMs and SQL Server workloads by converting or reusing Windows Server Datacenter and Standard edition licenses covered with Software Assurance. Isto permite que o Contoso pague uma taxa de cálculo base mais baixa para VMs e SQL Server.This allows Contoso to pay a lower base compute rate for VMs and SQL Server. Para mais informações, consulte a Azure Hybrid Benefit.For more information, see Azure Hybrid Benefit.

Mobilidade de LicençasLicense Mobility

A Mobility através de Software Assurance dá ao Microsoft Volume Licenciing clientes como o Contoso a flexibilidade para implementar aplicações de servidores elegíveis com garantia de software ativa no Azure.License Mobility through Software Assurance gives Microsoft Volume Licensing customers like Contoso the flexibility to deploy eligible server applications with active Software Assurance on Azure. o que elimina a necessidade de adquirir novas licenças.This eliminates the need to purchase new licenses. Sem taxas de mobilidade associadas, as licenças existentes podem ser facilmente implementadas no Azure.With no associated mobility fees, existing licenses can easily be deployed in Azure. Para obter mais informações, consulte a Mobility através da Software Assurance on Azure.For more information, see License Mobility through Software Assurance on Azure.

Casos reservados para cargas de trabalho previsíveisReserved instances for predictable workloads

Cargas de trabalho previsíveis precisam sempre de estar disponíveis com VMs em execução, tais como aplicações de linha de negócio como um sistema ERP SAP.Predictable workloads always need to be available with VMs running, such as line-of-business applications like an SAP ERP system. Cargas de trabalho imprevisíveis são variáveis, como os VM que estão em alta procura e fora quando a procura é baixa.Unpredictable workloads are variable, like VMs that are on during high demand and off when demand is low.

Diagrama de Azure Reservado Casos de Máquina Virtual.

Figura 3: Azure Reservado Casos de Máquina Virtual.Figure 3: Azure Reserved Virtual Machine Instances.

Em troca da utilização de instâncias reservadas para instâncias VM específicas que devem ser mantidas por longos períodos, a Contoso pode obter um desconto e uma capacidade prioritária.In exchange for using reserved instances for specific VM instances that must be maintained for long durations, Contoso can get both a discount and prioritized capacity. A utilização de Azure Reserved Virtual Machine Instances juntamente com a Azure Hybrid Benefit pode poupar Até 82% de desconto nos preços regulares do pay-as-you-go (a partir de abril de 2018).Using Azure Reserved Virtual Machine Instances together with Azure Hybrid Benefit can save Contoso up to 82 percent off regular pay-as-you-go pricing (as of April 2018).

Passo 2: Gerir a identidade híbridaStep 2: Manage hybrid identity

Dar e controlar o acesso dos utilizadores aos recursos da Azure com a gestão da identidade e do acesso é um passo importante na junção de uma infraestrutura Azure.Giving and controlling user access to Azure resources with identity and access management is an important step in pulling together an Azure infrastructure.

A Contoso decide alargar o Active Directory no local para a cloud, em vez de criar um novo sistema separado no Azure.Contoso decides to extend its on-premises Active Directory into the cloud, rather than build a new separate system in Azure. Como o Contoso ainda não está a usar o Microsoft 365, precisa de providenciar uma instância AD do Azure.Because Contoso isn't using Microsoft 365 yet, it needs to provision an Azure AD instance. Se o Contoso estivesse a usar o Microsoft 365, já teria um inquilino e diretório AZure AD existente, que poderia usar como a sua principal instância AD Azure.If Contoso were using Microsoft 365, it would already have an existing Azure AD tenant and directory, which it could use as its primary Azure AD instance.

Saiba mais sobre os modelos de identidade microsoft 365 e o Azure Ative Directory.Learn more about Microsoft 365 identity models and Azure Active Directory. Também pode aprender a associar ou adicionar uma subscrição Azure ao seu inquilino Azure Ative Directory.You can also learn how to associate or add an Azure subscription to your Azure Active Directory tenant.

Criar um diretório AD AzureCreate an Azure AD directory

A Contoso está a utilizar a edição Azure AD Gratuito que inclui uma subscrição do Azure.Contoso is using the Azure AD Free edition that's included with an Azure subscription. Os administradores da Contoso criam um diretório AD Azure:Contoso admins create an Azure AD directory:

  1. No portal Azure,vão criar um diretório ativo de identidade de > recurso. > In the Azure portal, they go to Create a resource > Identity > Azure Active Directory.

  2. No Diretório Create, especificam um nome para o diretório, um nome de domínio inicial e a região onde o diretório deve ser criado.In Create directory, they specify a name for the directory, an initial domain name, and the region where the directory should be created.

    Screenshot de seleções para criar um diretório AD Azure.

    Figura 4: Criar um diretório AD Azure.Figure 4: Create an Azure AD directory.

Nota

O diretório que é criado tem um nome de domínio inicial no formulário domain-name.onmicrosoft.com .The directory that's created has an initial domain name in the form domain-name.onmicrosoft.com. O nome não pode ser alterado ou eliminado.The name can't be changed or deleted. Em vez disso, os administradores precisam adicionar o seu nome de domínio registado ao Azure AD.Instead, the admins need to add its registered domain name to Azure AD.

Adicionar o nome de domínioAdd the domain name

Para utilizar o nome de domínio padrão, os administradores do Contoso precisam de adicioná-lo como um nome de domínio personalizado ao Azure AD.To use the standard domain name, Contoso admins need to add it as a custom domain name to Azure AD. Esta opção permite-lhes atribuir os nomes de utilizadores que lhes são familiares.This option allows them to assign familiar user names. Por exemplo, um utilizador pode iniciar s nota com o endereço de e-mail billg@contoso.com em vez de billg@contosomigration.onmicrosoft.com .For example, a user can sign in with the email address billg@contoso.com instead of billg@contosomigration.onmicrosoft.com.

Para configurar um nome de domínio personalizado, os administradores adicionam-no ao diretório, adicionam uma entrada de DNS e, em seguida, verificam o nome em Azure AD.To set up a custom domain name, the admins add it to the directory, add a DNS entry, and then verify the name in Azure AD.

  1. Em nomes de domínio > personalizados Adicione domínio personalizado, eles adicionam o domínio.In Custom domain names > Add custom domain, they add the domain.

  2. Para utilizar uma entrada de DNS em Azure, precisam registá-lo com o seu registo de domínio:To use a DNS entry in Azure, they need to register it with their domain registrar:

    • Na lista Nomes de domínio personalizados, anotam as informações de DNS relativas ao nome.In the Custom domain names list, they note the DNS information for the name. Está a usar um disco MX.It's using an MX record.
    • Precisam de acesso ao servidor de nomes.They need access to the name server. Eles insinam-se no contoso.com domínio e criam um novo registo MX para a entrada dns fornecida pela Azure AD, utilizando os detalhes anotados.They sign in to the contoso.com domain and create a new MX record for the DNS entry provided by Azure AD, by using the details noted.
  3. Após a propagação dos registos DNS, selecionam Verificar para verificar o nome de domínio personalizado nos detalhes do domínio.After the DNS records propagate, they select Verify to check the custom domain name in the details for the domain.

    Screenshot que mostra seleções para Azure Ative Directory D N S.

    Figura 5: Verificação do nome de domínio.Figure 5: Checking the domain name.

Configurar grupos e utilizadores no local e no AzureSet up on-premises and Azure groups and users

Agora que o diretório AD AD da Azure está estabelecido, os administradores da Contoso precisam de adicionar colaboradores a grupos de Diretório Ativo que irão sincronizar com a Azure AD.Now that the Azure AD directory is established, Contoso admins need to add employees to on-premises Active Directory groups that will synchronize to Azure AD. Devem utilizar nomes de grupos no local que correspondam aos nomes de grupos de recursos no Azure.They should use on-premises group names that match the names of resource groups in Azure. Tal facilita a identificação de correspondências para fins de sincronização.This makes it easier to identify matches for synchronization purposes.

Criar grupos de recursos no AzureCreate resource groups in Azure

Os grupos de recursos do Azure reúnem os recursos do Azure.Azure resource groups gather Azure resources together. A utilização de um ID de grupo de recursos permite que o Azure execute operações nos recursos dentro do grupo.Using a resource group ID allows Azure to perform operations on the resources within the group.

Uma subscrição do Azure pode ter vários grupos de recursos.An Azure subscription can have multiple resource groups. Existe um grupo de recursos numa única subscrição.A resource group exists in a single subscription. Além disso, um único grupo de recursos pode ter múltiplos recursos.In addition, a single resource group can have multiple resources. Um recurso pertence a um único grupo de recursos.A resource belongs to a single resource group.

Os administradores da Contoso criaram grupos de recursos Azure, como mostrado na tabela seguinte.Contoso admins set up Azure resource groups as shown in the following table.

Grupo de recursosResource group DetalhesDetails
ContosoCobRG Este grupo contém todos os recursos relacionados com a continuidade do negócio.This group contains all resources related to continuity of business. Inclui cofres que o Contoso utilizará para o serviço de Recuperação do Local Azure e para o serviço de backup Azure.It includes vaults that Contoso will use for the Azure Site Recovery service and the Azure Backup service.

Também inclui recursos utilizados para a migração, incluindo o Azure Migrate e o Azure Database Migration Service.It also includes resources used for migration, including Azure Migrate and Azure Database Migration Service.
ContosoDevRG Este grupo contém recursos dev/teste.This group contains dev/test resources.
ContosoFailoverRG Este grupo serve como uma zona de desembarque para recursos falhados.This group serves as a landing zone for failed-over resources.
ContosoNetworkingRG Este grupo contém todos os recursos de rede.This group contains all network resources.
ContosoRG Este grupo contém recursos relacionados com aplicações de produção e bases de dados.This group contains resources related to production applications and databases.

Os administradores criam grupos de recursos da seguinte forma:They create resource groups as follows:

  1. No portal do Azure > Grupos de recursos, adicionam um grupo.In the Azure portal > Resource groups, they add a group.

  2. Para cada grupo, especificam um nome, a subscrição a que pertence o grupo, e a região.For each group, they specify a name, the subscription to which the group belongs, and the region.

  3. Os grupos de recursos são apresentados na lista Grupos de recursos.Resource groups appear in the Resource groups list.

    Screenshot que mostra uma lista de grupos de recursos

    Figura 6: Grupos de recursos.Figure 6: Resource groups.

Grupos de recursos de escalaScale resource groups

No futuro, a Contoso adicionará outros grupos de recursos com base nas suas necessidades.In future, Contoso will add other resource groups based on needs. Por exemplo, pode definir um grupo de recursos para cada aplicação ou serviço para que cada um possa ser gerido e seguro de forma independente.For example, it might define a resource group for each application or service so that each can be managed and secured independently.

Criar grupos de segurança no local correspondentesCreate matching security groups on-premises

No local, os administradores da Contoso criaram grupos de segurança com nomes que correspondem aos nomes dos grupos de recursos Azure.In the on-premises Active Directory instance, Contoso admins set up security groups with names that match the names of the Azure resource groups.

Screenshot que mostra no local grupos de segurança Ative Directory.

Figura 7: Grupos de segurança do Diretório Ativo no local.Figure 7: On-premises Active Directory security groups.

Para fins de gestão, criam um grupo adicional que será adicionado a todos os outros grupos.For management purposes, they create an additional group that will be added to all of the other groups. Este grupo terá direitos sobre todos os grupos de recursos no Azure.This group will have rights to all resource groups in Azure. Um número limitado de administradores globais será adicionado a este grupo.A limited number of global admins will be added to this group.

Sincronizar o Active DirectorySynchronize Active Directory

A Contoso quer fornecer uma identidade comum que lhe permita aceder aos recursos no local e na cloud.Contoso wants to provide a common identity for accessing resources on-premises and in the cloud. Para tal, integrará o caso do Ative Directory no local com a Azure AD.To do this, it will integrate the on-premises Active Directory instance with Azure AD. Com este modelo, os utilizadores e organizações podem aproveitar uma única identidade para aceder a aplicações no local e serviços na nuvem, como o Microsoft 365, ou milhares de outros sites na internet.With this model, users and organizations can take advantage of a single identity to access on-premises applications and cloud services, such as Microsoft 365, or thousands of other sites on the internet. Os administradores podem utilizar os grupos no Ative Directory para implementar o controlo de acesso baseado em funções Azure (Azure RBAC).Admins can use the groups in Active Directory to implement Azure role-based access control (Azure RBAC).

Para facilitar a integração, a Contoso utiliza a ferramenta Azure AD Connect.To facilitate integration, Contoso uses the Azure AD Connect tool. Quando instala e configura a ferramenta num controlador de domínio, sincroniza as identidades do Ative Directory no local para a Azure AD.When you install and configure the tool on a domain controller, it synchronizes the on-premises Active Directory identities to Azure AD.

Transferir a ferramentaDownload the tool

  1. No portal Azure, os administradores do Contoso vão ao Azure Ative Directory > Azure AD Connect e descarregam a versão mais recente da ferramenta para o servidor que estão a usar para sincronização.In the Azure portal, Contoso admins go to Azure Active Directory > Azure AD Connect and download the latest version of the tool to the server they're using for synchronization.

    Screenshot que mostra um link para baixar Azure A D Connect.

    Figura 8: Descarregar Azure Ad Connect.Figure 8: Downloading Azure AD Connect.

  2. Iniciam a AzureADConnect.msi instalação utilizando as Definições Express.They start the AzureADConnect.msi installation by using Express Settings. Esta é a instalação mais comum, e pode ser usada para uma topologia de uma única floresta com sincronização de hash password para autenticação.This is the most common installation, and it can be used for a single-forest topology with password-hash synchronization for authentication.

    Screenshot que mostra o Assistente de Ligação AD Azure.

    Figura 9: Azure Ad Connect Wizard.Figure 9: Azure AD Connect Wizard.

  3. Em Connect to Azure AD, especificam as credenciais para a ligação ao Azure AD (na forma admin@contoso.com ou admin@contoso.onmicrosoft.com .In Connect to Azure AD, they specify the credentials for connecting to Azure AD (in the form admin@contoso.com or admin@contoso.onmicrosoft.com).

    Screenshot que mostra a página Connect to Azure A D do Azure A D Connect Wizard.

    Figura 10: Assistente de ligação AD Azure: Conecte-se a Azure AD.Figure 10: Azure AD Connect Wizard: Connect to Azure AD.

  4. Em Connect to AD DS, especificam credenciais para o diretório no local (no formulário CONTOSO\admin ou contoso.com\admin .In Connect to AD DS, they specify credentials for the on-premises directory (in the form CONTOSO\admin or contoso.com\admin).

    Screenshot que mostra a página De Ligar a D D S do Azure A D Connect Wizard.

    Figura 11: Assistente de ligação AD Azure: Conecte-se a DS AD.Figure 11: Azure AD Connect Wizard: Connect to AD DS.

  5. Em Pronto para configurar, selecionam Iniciar o processo de sincronização quando a configuração for concluída para iniciar a sincronização imediatamente.In Ready to configure, they select Start the synchronization process when configuration completes to start the sync immediately. Em seguida, é feita a instalação.Then they install.

    Tenha em atenção o seguinte:Note the following:

    • A Contoso apresenta uma ligação direta para o Azure.Contoso has a direct connection to Azure. Se o seu exemplo de Ative Directory está por detrás de um proxy, reveja a conectividade AD de resolução de problemas.If your on-premises Active Directory instance is behind a proxy, review troubleshoot Azure AD connectivity.

    • Após a primeira sincronização, os objetos do Active Directory no local ficam visíveis no diretório do Azure AD.After the first synchronization, on-premises Active Directory objects are visible in the Azure AD directory.

      Screenshot que mostra no local objetos ative directy visíveis no Diretório Ativo Azure.

      Figura 12: No local objetos de diretório ativo visíveis em Azure AD.Figure 12: On-premises Active Directory objects visible in Azure AD.

    • A equipa de TI da Contoso está representada em cada grupo e baseia-se no seu papel.The Contoso IT team is represented in each group and is based on its role.

      Screenshot que mostra a filiação em grupo.

      Figura 13: Membro do grupo.Figure 13: Group membership.

Configurar o Azure RBACSet up Azure RBAC

O Azure RBAC permite uma gestão de acessos finos para o Azure.Azure RBAC enables fine-grained access management for Azure. Ao utilizar o Azure RBAC, pode conceder apenas a quantidade de acesso que os utilizadores precisam para executar tarefas.By using Azure RBAC, you can grant only the amount of access that users need to perform tasks. Atribua o papel Azure adequado aos utilizadores, grupos e aplicações a um nível de âmbito.You assign the appropriate Azure role to users, groups, and applications at a scope level. O âmbito da atribuição de uma função pode ser uma subscrição, um grupo de recursos ou um único recurso.The scope of a role assignment can be a subscription, a resource group, or a single resource.

Os administradores de Contoso atribuem então funções aos grupos ative directory que sincronizaram a partir do local.Contoso admins then assign roles to the Active Directory groups that they synchronized from on-premises.

  1. No ControlCobRG grupo de recursos, selecionam access control (IAM) > Adicionar a atribuição de função.In the ControlCobRG resource group, they select Access control (IAM) > Add role assignment.

  2. No Add Role Assignment > Role > Contributor, selecionam o grupo de segurança da ContosoCobRG lista.In Add role assignment > Role > Contributor, they select the ContosoCobRG security group from the list. Em seguida, o grupo aparece na lista Membros selecionados.The group then appears in the Selected members list.

  3. Repetem-no com as mesmas permissões para os outros grupos de recursos (exceto ContosoAzureAdmins para) adicionando permissões de Contribuinte ao grupo de segurança que corresponde ao grupo de recursos.They repeat this with the same permissions for the other resource groups (except for ContosoAzureAdmins) by adding Contributor permissions to the security group that matches the resource group.

  4. Para o ContosoAzureAdmins grupo de segurança, atribuem o papel de Proprietário.For the ContosoAzureAdmins security group, they assign the Owner role.

    Screenshot que mostra no local grupos de Diretório Ativo Azure.

    Figura 14: Atribuir funções a grupos de segurança.Figure 14: Assigning roles to security groups.

Passo 3: Design para a resiliênciaStep 3: Design for resiliency

Configurar as regiõesSet up regions

Os recursos do Azure são implementados dentro das regiões.Azure resources are deployed within regions. As regiões estão organizadas em geografias.Regions are organized into geographies. Os requisitos de residência de dados, soberania, conformidade e resiliência são respeitados dentro dos limites geográficos.Data residency, sovereignty, compliance, and resiliency requirements are honored within geographical boundaries.

Uma região é constituída por um conjunto de datacenters.A region consists of a set of datacenters. Estes datacenters são implementados dentro de um perímetro definido por latência e são ligados através de uma rede regional de baixa latência dedicada.These datacenters are deployed within a latency-defined perimeter, and connected through a dedicated regional low-latency network.

Cada região do Azure é emparelhada com uma região diferente para resiliência.Each Azure region is paired with a different region for resiliency. Leia mais sobre as regiões do Azure e compreenda o modo como as regiões são emparelhadas.Read about Azure regions, and understand how regions are paired.

Contoso decidiu usar East US 2 (localizada na Virgínia) como a região primária e Central US (localizada no Iowa) como a região secundária, por estas razões:Contoso has decided to use East US 2 (located in Virginia) as the primary region and Central US (located in Iowa) as the secondary region, for these reasons:

  • O datacenter da Contoso está situado em Nova York e a Contoso considerou a latência para o datacenter mais próximo.The Contoso datacenter is located in New York, and Contoso considered latency to the closest datacenter.
  • East US 2 tem todos os serviços e produtos de que a Contoso precisa.East US 2 has all the services and products that Contoso needs. Nem todas as regiões de Azure têm os mesmos produtos e serviços disponíveis.Not all Azure regions have the same products and services available. Para mais informações, consulte os produtos Azure por região.For more information, see Azure products by region.
  • Central US é a região emparelhada Azure para East US 2 .Central US is the Azure paired region for East US 2.

Tendo em conta o ambiente híbrido, a Contoso tem de pensar como pode criar uma estratégia de resiliência e recuperação após desastres no perímetro da região.As it thinks about the hybrid environment, Contoso needs to consider how to build resilience and a disaster recovery strategy into the region design. A estratégia mais simples é uma implantação de uma região única, que se baseia em características da plataforma Azure, tais como domínios de falhas e emparelhamento regional para resiliência.The simplest strategy is a single-region deployment, which relies on Azure platform features such as fault domains and regional pairing for resilience. O mais complexo é um modelo ativo completo no qual os serviços de nuvem e base de dados são implantados e a manutenção de utilizadores de duas regiões.The most complex is a full active-active model in which cloud services and database are deployed and servicing users from two regions.

A Contoso decidiu optar pelo caminho intermédio.Contoso has decided to take a middle road. Implantará aplicações e recursos numa região primária e manterá uma cópia completa das infraestruturas na região secundária.It will deploy applications and resources in a primary region and keep a full copy of the infrastructure in the secondary region. Com essa estratégia, a cópia está pronta para funcionar como um backup completo se ocorrer um desastre de aplicação completo ou falha regional.With that strategy, the copy is ready to act as a full backup if a complete application disaster or regional failure occurs.

Configurar a disponibilidadeSet up availability

Conjuntos de disponibilidadeAvailability sets

Os conjuntos de disponibilidade ajudam a proteger aplicações e dados de uma falha de hardware e rede local dentro de um datacenter.Availability sets help protect applications and data from a local hardware and network outage within a datacenter. Os conjuntos de disponibilidade distribuem VMs Azure através de hardware físico dentro de um datacenter.Availability sets distribute Azure VMs across physical hardware within a datacenter.

Os domínios de falha representam o hardware subjacente com uma fonte de energia e um comutador de rede comuns no datacenter.Fault domains represent underlying hardware with a common power source and network switch within the datacenter. Os VMs num conjunto de disponibilidade são distribuídos por domínios de avaria para minimizar falhas causadas por uma única falha de hardware ou rede.VMs in an availability set are distributed across fault domains to minimize outages caused by a single hardware or network failure.

Os domínios de atualização representam o hardware subjacente que pode entrar em manutenção ou ser reinicializado ao mesmo tempo.Update domains represent underlying hardware that can undergo maintenance or be rebooted at the same time. Os conjuntos de disponibilidade também distribuem VMs em vários domínios de atualização para garantir que pelo menos uma instância estará sempre a ser em execução.Availability sets also distribute VMs across multiple update domains to ensure that at least one instance will be running at all times.

A Contoso implementará conjuntos de disponibilidade sempre que as cargas de trabalho da VM exigirem uma elevada disponibilidade.Contoso will implement availability sets whenever VM workloads require high availability. Para obter mais informações, consulte Gerir a disponibilidade de VMs do Windows em Azure.For more information, see Manage the availability of Windows VMs in Azure.

Zonas de DisponibilidadeAvailability Zones

Zonas de disponibilidade ajudam a proteger aplicações e dados de falhas que afetam todo um datacenter dentro de uma região.Availability Zones help protect applications and data from failures that affect an entire datacenter within a region.

Cada Zona de Disponibilidade representa uma localização física única dentro de uma região do Azure.Each Availability Zone represents a unique physical location within an Azure region. Cada zona é constituída por um ou mais datacenters equipados com potência, arrefecimento e networking independentes.Each zone consists of one or more datacenters equipped with independent power, cooling, and networking.

Existe um mínimo de três zonas em separado em todas as regiões ativadas.There's a minimum of three separate zones in all enabled regions. A separação física das zonas numa região protege as aplicações e os dados contra falhas do datacenter.The physical separation of zones within a region protects applications and data from datacenter failures.

A Contoso utilizará Zonas de Disponibilidade sempre que as aplicações necessitem de maior escalabilidade, disponibilidade e resiliência.Contoso will use Availability Zones whenever applications need greater scalability, availability, and resilience. Para mais informações, consulte Regiões e Zonas de Disponibilidade em Azure.For more information, see Regions and Availability Zones in Azure.

Configurar a cópia de segurançaConfigure backup

Azure BackupAzure Backup

Pode utilizar o Azure Backup para fazer backup e restaurar os discos VM do Azure.You can use Azure Backup to back up and restore Azure VM disks.

O Azure Backup permite cópias de segurança automatizadas de imagens de disco VM armazenadas no Azure Storage.Azure Backup allows automated backups of VM disk images stored in Azure Storage. As cópias de segurança são consistentes com a aplicação para garantir que os dados de backup são consistentes transacionalmente e que as aplicações começarão a ser iniciadas após a restauração.Backups are application consistent to ensure that backed-up data is transactionally consistent and that applications will start post-restore.

O Azure Backup suporta armazenamento localmente redundante (LRS) para replicar várias cópias de dados de backup dentro de um datacenter se ocorrer uma falha de hardware local.Azure Backup supports locally redundant storage (LRS) to replicate multiple copies of backup data within a datacenter if a local hardware failure occurs. Se ocorrer uma paragem regional, o Azure Backup também suporta o armazenamento geo-redundante (GRS), que replica dados de backup para uma região de emparelhamento secundário.If a regional outage occurs, Azure Backup also supports geo-redundant storage (GRS), which replicates backup data to a secondary paired region.

O Azure Backup encripta dados em trânsito utilizando o AES-256.Azure Backup encrypts data in transit by using AES-256. Os dados de back-up em repouso são encriptados através da encriptação do Azure Storage.Backed-up data at rest is encrypted through Azure Storage encryption.

A Contoso utilizará o Azure Backup com GRS em todos os VMs de produção para garantir que os dados de carga de trabalho são apoiados e podem ser rapidamente restaurados se ocorrer uma perturbação.Contoso will use Azure Backup with GRS on all production VMs to ensure that workload data is backed up and can be quickly restored if a disruption occurs. Para mais informações, consulte uma visão geral da cópia de segurança da Azure VM.For more information, see An overview of Azure VM backup.

Configurar a recuperação após desastreSet up disaster recovery

Azure Site RecoveryAzure Site Recovery

A Azure Site Recovery ajuda a garantir a continuidade do negócio mantendo aplicações de negócio e cargas de trabalho em execução durante interrupções regionais.Azure Site Recovery helps ensure business continuity by keeping business applications and workloads running during regional outages.

A Azure Site Recovery replica continuamente os VMs Azure de uma região primária para uma região secundária, garantindo cópias funcionais em ambos os locais.Azure Site Recovery continuously replicates Azure VMs from a primary to a secondary region, ensuring functional copies in both locations. Em caso de paralisação na região primária, a aplicação ou serviço falha na utilização das instâncias VM replicadas na região secundária.In the event of an outage in the primary region, the application or service fails over to using the VM instances replicated in the secondary region. Esta falha minimiza a potencial perturbação.This failover minimizes potential disruption. Quando as operações voltarem ao normal, as aplicações ou serviços podem falhar em VMs na região primária.When operations return to normal, the applications or services can fail back to VMs in the primary region.

A Contoso implementará a Recuperação do Sítio Azure para todos os VMs de produção utilizados em cargas de trabalho críticas de missão, garantindo uma perturbação mínima durante uma paragem na região primária.Contoso will implement Azure Site Recovery for all production VMs used in mission-critical workloads, ensuring minimal disruption during an outage in the primary region.

Passo 4: Conceber uma infraestrutura de redeStep 4: Design a network infrastructure

Com o design regional em vigor, a Contoso está pronta para considerar uma estratégia de rede.With the regional design in place, Contoso is ready to consider a network strategy. A Contoso tem de considerar o modo como o datacenter no local e o Azure comunicam entre si e o modo como criam a infraestrutura de rede no Azure.It needs to think about how the on-premises datacenter and Azure connect and communicate with each other, and how to design the network infrastructure in Azure. Especificamente, Contoso precisa:Specifically, Contoso needs to:

  • Planear a conectividade de rede híbrida.Plan hybrid network connectivity. Perceber como vai ser a ligação entre as redes no local e do Azure.Figure out how it's going to connect networks across on-premises and Azure.
  • Criar uma infraestrutura de rede do Azure.Design an Azure network infrastructure. Decidir como vai implementar as redes nas regiões.Decide how it will deploy networks over regions. Como é que as redes se comunicarão dentro da mesma região e em todas as regiões?How will networks communicate within the same region and across regions?
  • Desenhe e instale redes Azure.Design and set up Azure networks. Configurar as redes e sub-redes do Azure e decidir o que será incluído nas mesmas.Set up Azure networks and subnets, and decide what will reside in them.

Planear a conectividade de rede híbridaPlan hybrid network connectivity

Contoso considerou várias arquiteturas para networking híbrido entre Azure e o datacenter no local.Contoso considered several architectures for hybrid networking between Azure and the on-premises datacenter. Para obter mais informações, veja como Escolher uma solução para ligar uma rede no local ao Azure.For more information, see Choose a solution for connecting an on-premises network to Azure.

Como recordação, a infraestrutura de rede Contoso no local é atualmente composta pelo datacenter em Nova Iorque, e sucursais locais na metade oriental dos Estados Unidos.As a reminder, the Contoso on-premises network infrastructure currently consists of the datacenter in New York, and local branches in the eastern half of the United States. Todos os locais têm uma ligação de classe executiva à internet.All locations have a business-class connection to the internet. Cada um dos ramos é então ligado ao datacenter através de um túnel VPN IPsec através da internet.Each of the branches is then connected to the datacenter via an IPsec VPN tunnel over the internet.

Diagrama da rede Contoso.

Figura 15: A rede Contoso.Figure 15: The Contoso network.

Eis o modo como a Contoso decidiu implementar a conectividade híbrida:Here's how Contoso decided to implement hybrid connectivity:

  1. Crie uma nova ligação VPN site-to-site entre o centro de dados Contoso em Nova Iorque e as duas regiões Azure, East US 2 e Central US .Set up a new Site-to-Site VPN connection between the Contoso datacenter in New York and the two Azure regions, East US 2 and Central US.
  2. O tráfego de agências com destino a redes virtuais em Azure irá passar pelo principal datacenter contoso.Branch office traffic bound for virtual networks in Azure will route through the main Contoso datacenter.
  3. À medida que o Contoso escalar a implantação do Azure, estabelecerá uma ligação Azure ExpressRoute entre o datacenter e as regiões de Azure.As Contoso scales up Azure deployment, it will establish an Azure ExpressRoute connection between the datacenter and the Azure regions. Quando isso acontecer, o Contoso manterá a ligação VPN Site-to-Site apenas para efeitos de falha.When this happens, Contoso will retain the VPN Site-to-Site connection for failover purposes only.

Só VPN:VPN only:

Screenshot que mostra a VPN Contoso.

Figura 16: A VPN Contoso.Figure 16: The Contoso VPN.

VPN e ExpressRoute:VPN and ExpressRoute:

Screenshot que mostra a VPN Contoso e a ExpressRoute.

Figura 17: Contoso VPN e ExpressRoute.Figure 17: Contoso VPN and ExpressRoute.

Criar uma infraestrutura de rede do AzureDesign the Azure network infrastructure

A configuração de rede de Contoso deve tornar a implementação híbrida segura e escalável.Contoso's network configuration must make the hybrid deployment secure and scalable. A Contoso está a ter uma abordagem a longo prazo para isto, projetando redes virtuais para serem resistentes e prontas para a empresa.Contoso is taking a long-term approach to this, designing virtual networks to be resilient and enterprise ready. Para obter mais informações, consulte As redes virtuais do Plano.For more information, see Plan virtual networks.

Para ligar as duas regiões, a Contoso implementará um modelo de rede hub-to-hub.To connect the two regions, Contoso will implement a hub-to-hub network model. Dentro de cada região, Contoso usará um modelo de hub-e-spoke.Within each region, Contoso will use a hub-and-spoke model. Para ligar as redes e os hubs, a Contoso utilizará o peering de rede do Azure.To connect networks and hubs, Contoso will use Azure network peering.

Peering de redeNetwork peering

O espreitamento de rede virtual no Azure liga redes virtuais e centros.Virtual network peering in Azure connects virtual networks and hubs. O persimento global permite ligações entre rede virtual ou centros em diferentes regiões.Global peering allows connections between virtual network or hubs in different regions. O espreitamento local liga redes virtuais na mesma região.Local peering connects virtual networks in the same region.

O espreitamento de rede virtual proporciona várias vantagens:Virtual network peering provides several advantages:

  • O tráfego de rede entre redes virtuais em modo de peering é privado.Network traffic between peered virtual networks is private.
  • O tráfego entre as redes virtuais é mantido na rede principal da Microsoft.Traffic between the virtual networks is kept on the Microsoft backbone network. Não é necessária internet pública, gateways ou encriptação na comunicação entre as redes virtuais.No public internet, gateways, or encryption is required in the communication between the virtual networks.
  • O peering proporciona uma ligação padrão, de baixa latência e largura de banda entre recursos em diferentes redes virtuais.Peering provides a default, low-latency, high-bandwidth connection between resources in different virtual networks.

Modelo hub-to-hub em regiõesHub-to-hub model across regions

A Contoso implementará um hub em cada região.Contoso will deploy a hub in each region. Um hub é uma rede virtual em Azure que funciona como um ponto central de conectividade para a sua rede no local.A hub is a virtual network in Azure that acts as a central point of connectivity to your on-premises network. As redes virtuais do hub ligar-se-ão entre si através do persimento global da rede virtual, que liga redes virtuais em todas as regiões de Azure.The hub virtual networks will connect to each other via global virtual network peering, which connects virtual networks across Azure regions. O hub de cada região encontra-se em modo peering com o hub parceiro noutra região.The hub in each region is peered to its partner hub in the other region. O hub é espreitado por todas as redes da sua região, e pode ligar-se a todos os recursos de rede.The hub is peered to every network in its region, and it can connect to all network resources.

Diagrama de espreitar globalmente.

Figura 18: Olhando globalmente.Figure 18: Global peering.

Modelo hub-and-spoke dentro de uma regiãoHub-and-spoke model within a region

Dentro de cada região, a Contoso irá implementar redes virtuais para diferentes fins como redes de fala do centro da região.Within each region, Contoso will deploy virtual networks for different purposes as spoke networks from the region hub. As redes virtuais dentro de uma região usam o olhar para se conectarem ao seu hub e uns aos outros.Virtual networks within a region use peering to connect to their hub and to each other.

Criar a rede de hubsDesign the hub network

Dentro do modelo hub-and-spoke, Contoso precisava de pensar em como o tráfego do datacenter no local e da internet seria encaminhado.Within the hub-and-spoke model, Contoso needed to think about how traffic from the on-premises datacenter and from the internet would be routed. Eis como Contoso decidiu lidar com o encaminhamento para os centros e para os East US 2 Central US hubs:Here's how Contoso decided to handle routing for both the East US 2 and Central US hubs:

  • A Contoso está a desenhar uma rede que permite o tráfego a partir da internet e da rede corporativa através da utilização de uma VPN para Azure.Contoso is designing a network that allows traffic from the internet and from the corporate network by using a VPN to Azure.
  • A arquitetura de rede tem dois limites, uma zona do perímetro de front-end não fidedigna e uma zona de back-end fidedigna.The network architecture has two boundaries, an untrusted front-end perimeter zone and a back-end trusted zone.
  • Uma firewall terá um adaptador de rede em cada zona e controlará o acesso às zonas fidedignas.A firewall will have a network adapter in each zone, controlling access to trusted zones.
  • Na Internet:From the internet:
    • O tráfego da Internet irá atingir um endereço IP público com balanceamento de carga na rede do perímetro.Internet traffic will hit a load-balanced public IP address on the perimeter network.
    • Este tráfego é encaminhado através da firewall e sujeito às regras de firewall.This traffic is routed through the firewall and subject to firewall rules.
    • Depois de os controlos de acesso à rede serem implementados, o tráfego será reencaminhado para a localização adequada na zona fidedigna.After network access controls are implemented, traffic will be forwarded to the appropriate location in the trusted zone.
    • O tráfego de saída da rede virtual será encaminhado para a internet através de rotas definidas pelo utilizador.Outbound traffic from the virtual network will be routed to the internet through user-defined routes. O trânsito é forçado através da firewall e inspecionado de acordo com as políticas de Contoso.The traffic is forced through the firewall and inspected in line with Contoso policies.
  • No datacenter da Contoso:From the Contoso datacenter:
    • O tráfego de entrada sobre a VPN local ou ExpressRoute atinge o endereço IP público do gateway Azure VPN.Incoming traffic over Site-to-Site VPN or ExpressRoute hits the public IP address of the Azure VPN gateway.
    • Esse tráfego é encaminhado através da firewall e está sujeito às regras da firewall.Traffic is routed through the firewall and subject to firewall rules.
    • Após a aplicação das regras de firewall, o tráfego é encaminhado para um equilibrador de carga interno (Standard SKU) na sub-rede de zona interna fidedigna.After the application of firewall rules, traffic is forwarded to an internal load balancer (Standard SKU) on the trusted internal zone subnet.
    • O tráfego de saída da sub-rede de confiança para o datacenter no local sobre a VPN é encaminhado através da firewall.Outbound traffic from the trusted subnet to the on-premises datacenter over the VPN is routed through the firewall. As regras são aplicadas antes que o tráfego passa pela ligação VPN site-to-site.Rules are applied before traffic goes over the Site-to-Site VPN connection.

Criar e configurar redes do AzureDesign and set up Azure networks

Com uma topologia de rede e encaminhamento no lugar, a Contoso está pronta para criar redes e sub-redes Azure:With a network and routing topology in place, Contoso is ready to set up Azure networks and subnets:

  • A Contoso implementará uma rede privada classe A em Azure 10.0.0.0/8 ().Contoso will implement a class-A private network in Azure (10.0.0.0/8). Isto funciona por causa de instalações; atualmente tem um espaço de endereço privado classe B 172.160.0.0/16 ().This works because of on-premises; it currently has a class-B private address space (172.160.0.0/16). Contoso pode ter certeza de que não haverá qualquer sobreposição entre intervalos de endereços.Contoso can be sure there won't be any overlap between address ranges.
  • A Contoso vai implementar redes virtuais nas regiões primárias e secundárias.Contoso will deploy virtual networks in both the primary and secondary regions.
  • Contoso usará uma convenção de nomeação que inclui o prefixo VNET e a abreviatura da região EUS2 ou CUS .Contoso will use a naming convention that includes the prefix VNET and the region abbreviation EUS2 or CUS. Utilizando esta norma, as redes hub serão nomeadas VNET-HUB-EUS2 na East US 2 região e VNET-HUB-CUS na Central US região.Using this standard, the hub networks will be named VNET-HUB-EUS2 in the East US 2 region and VNET-HUB-CUS in the Central US region.

Redes virtuais em East US 2Virtual networks in East US 2

East US 2 é a região primária que Contoso usará para implantar recursos e serviços.East US 2 is the primary region that Contoso will use to deploy resources and services. Eis como a Contoso vai desenhar redes naquela região:Here's how Contoso will design networks in that region:

  • Hub: A rede virtual do hub East US 2 é considerada a principal conectividade de Contoso para o datacenter no local.Hub: The hub virtual network in East US 2 is considered Contoso's primary connectivity to the on-premises datacenter.

  • Redes virtuais: As redes virtuais faladas East US 2 podem ser usadas para isolar cargas de trabalho, se necessário.Virtual networks: The spoke virtual networks in East US 2 can be used to isolate workloads if necessary. Além da rede virtual hub, a Contoso terá duas redes virtuais faladas em East US 2 :In addition to the hub virtual network, Contoso will have two spoke virtual networks in East US 2:

    • VNET-DEV-EUS2.VNET-DEV-EUS2. Esta rede virtual fornecerá à equipa dev/teste uma rede totalmente funcional para projetos dev.This virtual network will provide the dev/test team with a fully functional network for dev projects. Funcionará como uma área-piloto de produção e dependerá da infraestrutura de produção para trabalhar.It will act as a production pilot area, and will rely on the production infrastructure to function.

    • VNET-PROD-EUS2.VNET-PROD-EUS2. Os componentes de produção IaaS do Azure estão localizados nesta rede.Azure IaaS production components will be located in this network.

    Cada rede virtual terá o seu próprio espaço de endereço único sem sobreposição.Each virtual network will have its own unique address space without overlap. A Contoso pretende configurar o encaminhamento sem necessitar de tradução de endereços de rede (NAT).Contoso intends to configure routing without requiring network address translation (NAT).

  • Sub-redes: Haverá uma sub-rede em cada rede para cada nível de aplicação.Subnets: There will be a subnet in each network for each application tier. Cada sub-rede da rede de produção terá uma sub-rede correspondente na rede virtual de desenvolvimento.Each subnet in the production network will have a matching subnet in the development virtual network. A rede de produção tem uma sub-rede para controladores de domínio.The production network has a subnet for domain controllers.

A tabela seguinte resume as redes virtuais em East US 2 .The following table summarizes virtual networks in East US 2.

Rede virtualVirtual network IntervaloRange Elemento da redePeer
VNET-HUB-EUS2 10.240.0.0/20 VNET-HUB-CUS2, VNET-DEV-EUS2, VNET-PROD-EUS2VNET-HUB-CUS2, VNET-DEV-EUS2, VNET-PROD-EUS2
VNET-DEV-EUS2 10.245.16.0/20 VNET-HUB-EUS2
VNET-PROD-EUS2 10.245.32.0/20 VNET-HUB-EUS2, VNET-PROD-CUSVNET-HUB-EUS2, VNET-PROD-CUS

Diagrama do modelo hub-and-spoke na região primária.

Figura 19: Um modelo de hub-and-spoke.Figure 19: A hub-and-spoke model.

Sub-redes da East US 2 Hub rede VNET-HUB-EUS2 ()Subnets in the East US 2 Hub network (VNET-HUB-EUS2)

Sub-rede/zonaSubnet/zone CIDRCIDR Endereços IP utilizáveisUsable IP addresses
IB-UntrustZone 10.240.0.0/24 251251
IB-TrustZone 10.240.1.0/24 251251
OB-UntrustZone 10.240.2.0/24 251251
OB-TrustZone 10.240.3.0/24 251251
GatewaySubnet 10.240.10.0/24 251251

Sub-redes na East US 2 rede de desenvolvimento VNET-DEV-EUS2 ()Subnets in the East US 2 development network (VNET-DEV-EUS2)

A equipa de desenvolvimento utiliza a rede virtual de desenvolvimento como uma área piloto de produção.The development team uses the development virtual network as a production pilot area. Inclui três sub-redes.It has three subnets.

Sub-redeSubnet CIDRCIDR EndereçosAddresses Na sub-redeIn subnet
DEV-FE-EUS2 10.245.16.0/22 10191019 Extremidades dianteiras/VMs de nível webFront ends/web-tier VMs
DEV-APP-EUS2 10.245.20.0/22 10191019 VMs de nível de aplicaçãoApplication-tier VMs
DEV-DB-EUS2 10.245.24.0/23 507507 VMs da base de dadosDatabase VMs

Sub-redes da East US 2 rede de produção ( VNET-PROD-EUS2 )Subnets in the East US 2 production network (VNET-PROD-EUS2)

Os componentes Azure IaaS estão localizados na rede de produção.Azure IaaS components are located in the production network. Cada nível de aplicação tem a sua própria sub-rede.Each application tier has its own subnet. As subnetas correspondem às da rede de desenvolvimento, com a adição de uma sub-rede para controladores de domínio.Subnets match those in the development network, with the addition of a subnet for domain controllers.

Sub-redeSubnet CIDRCIDR EndereçosAddresses Na sub-redeIn subnet
PROD-FE-EUS2 10.245.32.0/22 10191019 Extremidades dianteiras/VMs de nível webFront ends/web-tier VMs
PROD-APP-EUS2 10.245.36.0/22 10191019 VMs de nível de aplicaçãoApplication-tier VMs
PROD-DB-EUS2 10.245.40.0/23 507507 VMs da base de dadosDatabase VMs
PROD-DC-EUS2 10.245.42.0/24 251251 VMs do controlador de domínioDomain controller VMs

Diagrama da arquitetura da rede hub.

Figura 20: Arquitetura de rede hub.Figure 20: Hub network architecture.

Redes virtuais em Central US (região secundária)Virtual networks in Central US (secondary region)

Central US é a região secundária de Contoso.Central US is Contoso's secondary region. Eis o modo como a Contoso arquitetará as redes dentro da região:Here's how Contoso will architect networks within it:

  • Hub: A rede virtual do hub Central US é considerada o ponto secundário de conectividade com o datacenter no local.Hub: The hub virtual network in Central US is considered the secondary point of connectivity to the on-premises datacenter. As redes virtuais faladas Central US podem ser usadas para isolar cargas de trabalho, se necessário, geridas separadamente de outros porta-vozes.The spoke virtual networks in Central US can be used to isolate workloads if necessary, managed separately from other spokes.

  • Redes virtuais: Contoso terá duas redes virtuais Central US em:Virtual networks: Contoso will have two virtual networks in Central US:

    • VNET-PROD-CUS: Esta é uma rede de produção e pode ser considerada como um centro secundário.VNET-PROD-CUS: This is a production network and can be thought of as a secondary hub.
    • VNET-ASR-CUS: Esta rede virtual funcionará como um local em que os VMs são criados após a falha do local ou como uma localização para VMs Azure falhou da primária para a região secundária.VNET-ASR-CUS: This virtual network will act as a location in which VMs are created after failover from on-premises or as a location for Azure VMs failed over from the primary to the secondary region. Esta rede é semelhante às redes de produção, mas sem controladores de domínio.This network is similar to the production networks but without any domain controllers on it.

    Cada rede virtual da região terá o seu próprio espaço de endereço sem sobreposição.Each virtual network in the region will have its own address space without overlap. A Contoso vai configurar o encaminhamento sem NAT.Contoso will configure routing without NAT.

  • Sub-redes: As sub-redes serão concebidas de forma semelhante à dos East US 2 .Subnets: The subnets will be designed in a similar way to those in East US 2.

A tabela seguinte resume as redes virtuais em Central US .The following table summarizes virtual networks in Central US.

Rede virtualVirtual network IntervaloRange Elemento da redePeer
VNET-HUB-CUS 10.250.0.0/20 VNET-HUB-EUS2, VNET-ASR-CUS, VNET-PROD-CUSVNET-HUB-EUS2, VNET-ASR-CUS, VNET-PROD-CUS
VNET-ASR-CUS 10.255.16.0/20 VNET-HUB-CUS, VNET-PROD-CUSVNET-HUB-CUS, VNET-PROD-CUS
VNET-PROD-CUS 10.255.32.0/20 VNET-HUB-CUS, VNET-ASR-CUS, VNET-PROD-EUS2VNET-HUB-CUS, VNET-ASR-CUS, VNET-PROD-EUS2

Diagrama de um modelo hub-and-spoke em uma região emparelhada.

Figura 21: Um modelo de hub-and-spoke numa região emparelhada.Figure 21: A hub-and-spoke model in a paired region.

Sub-redes na Central US rede hub VNET-HUB-CUS ()Subnets in the Central US hub network (VNET-HUB-CUS)

Sub-redeSubnet CIDRCIDR Endereços IP utilizáveisUsable IP addresses
IB-UntrustZone 10.250.0.0/24 251251
IB-TrustZone 10.250.1.0/24 251251
OB-UntrustZone 10.250.2.0/24 251251
OB-TrustZone 10.250.3.0/24 251251
GatewaySubnet 10.250.10.0/24 251251

Sub-redes da Central US rede de produção ( VNET-PROD-CUS )Subnets in the Central US production network (VNET-PROD-CUS)

Paralelamente à rede de produção na região primária, East US 2 existe uma rede de produção na região secundária Central US .In parallel with the production network in the primary region (East US 2), there's a production network in the secondary region (Central US).

Sub-redeSubnet CIDRCIDR EndereçosAddresses Na sub-redeIn subnet
PROD-FE-CUS 10.255.32.0/22 10191019 Extremidades dianteiras/VMs de nível webFront ends/web-tier VMs
PROD-APP-CUS 10.255.36.0/22 10191019 VMs de nível de aplicaçãoApplication-tier VMs
PROD-DB-CUS 10.255.40.0/23 507507 VMs da base de dadosDatabase VMs
PROD-DC-CUS 10.255.42.0/24 251251 VMs do controlador de domínioDomain controller VMs

Sub-redes na Central US rede de failover/recuperação VNET-ASR-CUS ()Subnets in the Central US failover/recovery network (VNET-ASR-CUS)

A VNET-ASR-CUS rede é utilizada para o fracasso entre regiões.The VNET-ASR-CUS network is used for failover between regions. O Site Recovery será utilizado para replicar e efetuar a ativação pós-falha das VMs do Azure entre as regiões.Site Recovery will be used to replicate and fail over Azure VMs between the regions. Também funciona como um datacenter Contoso para a rede Azure para cargas de trabalho protegidas que permanecem no local, mas falham em Azure para a recuperação de desastres.It also functions as a Contoso datacenter to the Azure network for protected workloads that remain on-premises but fail over to Azure for disaster recovery.

VNET-ASR-CUS é a mesma sub-rede básica que a rede virtual de produção, East US 2 mas sem a necessidade de uma sub-rede de controlador de domínio.VNET-ASR-CUS is the same basic subnet as the production virtual network in East US 2 but without the need for a domain controller subnet.

Sub-redeSubnet CIDRCIDR EndereçosAddresses Na sub-redeIn subnet
ASR-FE-CUS 10.255.16.0/22 10191019 Extremidades dianteiras/VMs de nível webFront ends/web-tier VMs
ASR-APP-CUS 10.255.20.0/22 10191019 VMs de nível de aplicaçãoApplication-tier VMs
ASR-DB-CUS 10.255.24.0/23 507507 VMs da base de dadosDatabase VMs

Diagrama de uma arquitetura de rede de centros.

Figura 22: Arquitetura de rede hub.Figure 22: Hub network architecture.

Configurar as ligações em peeringConfigure peered connections

O centro de cada região será espreitado para o centro da outra região e para todas as redes virtuais dentro da região central.The hub in each region will be peered to the hub in the other region and to all virtual networks within the hub region. Esta configuração permite que os hubs se comuniquem e vejam todas as redes virtuais dentro de uma região.This configuration allows for hubs to communicate and to view all virtual networks within a region. Note que o espreitamento cria uma ligação de duas partes.Note that peering creates a two-sided connection. Um é do par iniciador na primeira rede virtual, e o outro está na segunda rede virtual.One is from the initiating peer on the first virtual network, and the other is on the second virtual network.

Numa implementação híbrida, o tráfego que passa entre os elementos da rede tem de estar visível na ligação de VPN entre o datacenter no local e o Azure.In a hybrid deployment, traffic that passes between peers needs to be visible from the VPN connection between the on-premises datacenter and Azure. Para o ativar, a Contoso deve utilizar definições específicas nas ligações com os olhos.To enable this, Contoso must use specific settings on peered connections. Para quaisquer ligações de redes virtuais faladas através do hub para o datacenter no local, a Contoso precisa de permitir o encaminhamento do tráfego e atravessar os gateways VPN.For any connections from spoke virtual networks through the hub to the on-premises datacenter, Contoso needs to allow traffic to be forwarded and to cross the VPN gateways.

Controlador de domínioDomain controller

Para os controladores de domínio da VNET-PROD-EUS2 rede, a Contoso quer que o tráfego flua tanto entre o EUS2 hub/rede de produção como sobre a ligação VPN ao local.For the domain controllers in the VNET-PROD-EUS2 network, Contoso wants traffic to flow both between the EUS2 hub/production network and over the VPN connection to on-premises. Para tal, os administradores do Contoso devem permitir o seguinte:To do this, Contoso admins must allow the following:

  1. Permitir tráfego reencaminhado e Permitir configurações do tráfego de gateway na ligação em modo de peering.Allow forwarded traffic and Allow gateway transit configurations on the peered connection. No nosso exemplo, esta seria a ligação de VNET-HUB-EUS2 VNET-PROD-EUS2 .In our example, this would be the connection from VNET-HUB-EUS2 to VNET-PROD-EUS2.

    Screenshot que mostra caixas de verificação selecionadas para permitir o tráfego reencaminhado e permitir o trânsito de gateway.

    Figura 23: Uma ligação espreitada.Figure 23: A peered connection.

  2. Permitir o tráfego reencaminhado e utilizar gateways remotos do outro lado do espreitamento, na ligação de VNET-PROD-EUS2 VNET-HUB-EUS2 .Allow forwarded traffic and Use remote gateways on the other side of the peering, on the connection from VNET-PROD-EUS2 to VNET-HUB-EUS2.

    Screenshot que mostra as caixas de verificação selecionadas para permitir o tráfego reencaminhado e usar gateways remotos.

    Figura 24: Uma ligação espreitada.Figure 24: A peered connection.

  3. No local, estabeleceram uma rota estática que direciona o tráfego local para atravessar o túnel VPN para a rede virtual.On-premises, they set up a static route that directs the local traffic to route across the VPN tunnel to the virtual network. A configuração é completada no gateway que fornece o túnel VPN de Contoso a Azure.The configuration is completed on the gateway that provides the VPN tunnel from Contoso to Azure. Utilizam o serviço de encaminhamento e acesso remoto (RRAS) para a rota estática.They use routing and remote access service (RRAS) for the static route.

    Screenshot que mostra seleções para a rota estática.

    Figura 25: Uma ligação esprevada.Figure 25: A peered connection.

Redes de produçãoProduction networks

Uma rede de elementos da rede de spoke não pode ver outra rede semelhante noutra região através de um hub.A spoked peer network can't see a spoked peer network in another region via a hub. Para que as redes de produção de Contoso em ambas as regiões se vejam, os administradores de Contoso precisam de criar uma ligação direta e espreitada para VNET-PROD-EUS2 e VENT-PROD-CUS .For Contoso's production networks in both regions to see each other, Contoso admins need to create a direct peered connection for VNET-PROD-EUS2 and VENT-PROD-CUS.

Diagrama de criação de uma ligação direta.

Figura 26: Criar uma ligação direta.Figure 26: Creating a direct peered connection.

Configurar o DNSSet up DNS

Ao implementar recursos em redes virtuais, existem algumas opções para a resolução de nomes de domínio.When you deploy resources in virtual networks, you have a couple of choices for domain name resolution. Pode utilizar a resolução de nomes fornecida pelo Azure ou fornecer servidores DNS para resolução.You can use name resolution provided by Azure or provide DNS servers for resolution. O tipo de resolução de nomes que usa depende da necessidade dos seus recursos de comunicar uns com os outros.The type of name resolution that you use depends on how your resources need to communicate with each other. Obtenha mais informações sobre o serviço DNS do Azure.Get more information about the Azure DNS service.

Os administradores da Contoso decidiram que o serviço DNS do Azure não é uma boa escolha no ambiente híbrido.Contoso admins have decided that the Azure DNS service isn't a good choice in the hybrid environment. Em vez disso, usarão os servidores DNS no local.Instead, they'll use the on-premises DNS servers. Aqui estão os detalhes:Here are the details:

  • Porque esta é uma rede híbrida, todos os VMs no local e em Azure precisam ser capazes de resolver nomes para funcionar corretamente.Because this is a hybrid network, all VMs on-premises and in Azure need to be able to resolve names to function properly. Isto significa que as definições de DNS personalizadas devem ser aplicadas a todas as redes virtuais.This means that custom DNS settings must be applied to all the virtual networks.

  • ATualmente, a Contoso tem controladores de domínio (DCs) implantados no datacenter Contoso e nas sucursais.Contoso currently has domain controllers (DCs) deployed in the Contoso datacenter and at the branch offices. Os servidores DNS primários são contosodc1 ( ) e ( 172.16.0.10 contosodc2 172.16.0.1 ).The primary DNS servers are contosodc1 (172.16.0.10) and contosodc2 (172.16.0.1).

  • Após a implementação das redes virtuais, os controladores de domínio no local são configurados como servidores DNS nas redes.After the virtual networks are deployed, the on-premises domain controllers are configured as DNS servers in the networks.

  • Se for especificado um DNS personalizado opcional para a rede virtual, o endereço IP virtual 168.63.129.16 para os resolveres recursivos em Azure deve ser adicionado à lista.If an optional custom DNS is specified for the virtual network, the virtual IP address 168.63.129.16 for the recursive resolvers in Azure must be added to the list. Para tal, o Contoso configura as definições do servidor DNS em cada rede virtual.To do this, Contoso configures DNS server settings on each virtual network. Por exemplo, as definições de DNS personalizadas para a rede seriam as VNET-HUB-EUS2 seguintes:For example, the custom DNS settings for the VNET-HUB-EUS2 network would be as follows:

    Screenshot que mostra configuração de DNS personalizado.

    Figura 27: Um DNS personalizado.Figure 27: A custom DNS.

Para além dos controladores de domínio no local, a Contoso implementará quatro controladores de domínio para apoiar as redes Azure (duas para cada região):In addition to the on-premises domain controllers, Contoso will implement four domain controllers to support the Azure networks (two for each region):

RegionRegion DCDC Rede virtualVirtual network Sub-redeSubnet Endereço IPIP address
East US 2 contosodc3 VNET-PROD-EUS2 PROD-DC-EUS2 10.245.42.4
East US 2 contosodc4 VNET-PROD-EUS2 PROD-DC-EUS2 10.245.42.5
Central US contosodc5 VNET-PROD-CUS PROD-DC-CUS 10.255.42.4
Central US contosodc6 VNET-PROD-CUS PROD-DC-CUS 10.255.42.4

Depois de implementar os controladores de domínio no local, a Contoso tem de atualizar as configurações de DNS nas redes de cada região para incluir os novos controladores de domínio na lista de servidores DNS.After deploying the on-premises domain controllers, Contoso needs to update the DNS settings on networks on either region to include the new domain controllers in the DNS server list.

Configurar os controladores de domínio no AzureSet up domain controllers in Azure

Depois de atualizar as definições de rede, os administradores da Contoso estão prontos para criar os controladores de domínio no Azure.After updating network settings, Contoso admins are ready to build out the domain controllers in Azure.

  1. No portal Azure, eles implementam um novo Windows Server VM para a rede virtual apropriada.In the Azure portal, they deploy a new Windows Server VM to the appropriate virtual network.

  2. Criam conjuntos de disponibilidade em cada local para o VM.They create availability sets in each location for the VM. Os conjuntos de disponibilidade garantem que o tecido Azure separa os VMs em diferentes infraestruturas na região de Azure.Availability sets ensure that the Azure fabric separates the VMs into different infrastructures in the Azure region. Os conjuntos de disponibilidade também permitem que a Contoso seja elegível para o acordo de nível de serviço de 99,95 por cento (SLA) para VMs em Azure.Availability sets also allow Contoso to be eligible for the 99.95 percent service-level agreement (SLA) for VMs in Azure.

    Screenshot que mostra a criação de um conjunto de disponibilidade.

    Figura 28: Um conjunto de disponibilidade.Figure 28: An availability set.

  3. Depois de a VM ser implementada, abrem a interface de rede da VM.After the VM is deployed, they open the network interface for the VM. Eles definem o endereço IP privado para estática e especificam um endereço válido.They set the private IP address to static and specify a valid address.

    Screenshot que mostra a ligação de interface de rede VM.

    Figura 29: Um VM NIC.Figure 29: A VM NIC.

  4. Anexam um novo disco de dados ao VM.They attach a new data disk to the VM. Este disco contém a base de dados ative diretório e a partilha SYSVOL.This disk contains the Active Directory database and the SYSVOL share.

    O tamanho do disco determinará o número de IOPS que suporta.The size of the disk will determine the number of IOPS that it supports. Com o tempo, o tamanho do disco pode precisar de aumentar à medida que o ambiente cresce.Over time, the disk size might need to increase as the environment grows.

    Nota

    O disco não deve ser definido para ler/escrever para o cache do hospedeiro.The disk shouldn't be set to read/write for host caching. As bases de dados do Active Directory não suportam esta funcionalidade.Active Directory databases don't support this.

    Screenshot que mostra um disco ative directory.

    Figura 30: Um disco de diretório ativo.Figure 30: An Active Directory disk.

  5. Após a adição do disco, eles conectam-se ao VM sobre serviços de ambiente de trabalho remoto e abrem o Server Manager.After the disk is added, they connect to the VM over Remote Desktop Services and open Server Manager.

  6. Nos Serviços de Arquivo e Armazenamento, executam o Novo Assistente de Volume.In File and Storage Services, they run the New Volume Wizard. Asseguram que a unidade é atribuída à letra F ou acima no VM local.They ensure that the drive is assigned the letter F or above on the local VM.

    Screenshot que mostra o Novo Assistente de Volume.

    Figura 31: Novo Assistente de Volume.Figure 31: New Volume Wizard.

  7. No Gestor de Servidor, adicionam a função Active Directory Domain Services.In Server Manager, they add the Active Directory Domain Services role. Em seguida, configuram a VM como um controlador de domínio.Then, they configure the VM as a domain controller.

    Screenshot que mostra a seleção de uma função de servidor.

    Figura 32: Adicionar a função do servidor.Figure 32: Adding the server role.

  8. Depois de o VM ser configurado como DC e reiniciado, abrem o gestor dns e configuram o Azure DNS resolver como um reencaminhador.After the VM is configured as a DC and restarted, they open DNS manager and configure the Azure DNS resolver as a forwarder. Tal permite que o DC reencaminhe as consultas DNS que não pode resolver no DNS do Azure.This allows the DC to forward DNS queries it can't resolve in the Azure DNS.

    Screenshot que mostra configurar o DNS resolver-se como um reencaminhador.

    Figura 33: Configurar o Azure DNS resolver.Figure 33: Configuring the Azure DNS resolver.

  9. Atualizam as definições de DNS personalizadas para cada rede virtual com o controlador de domínio apropriado para a região da rede virtual.They update the custom DNS settings for each virtual network with the appropriate domain controller for the virtual network region. Incluem DCs no local na lista.They include on-premises DCs in the list.

Configurar o Active DirectorySet up Active Directory

O Ative Directory é um serviço crítico para uma rede e deve ser configurado corretamente.Active Directory is a critical service for a network and must be configured correctly. Os administradores da Contoso vão construir sites de Diretório Ativo para o Datacenter Contoso e para as East US 2 regiões e Central US regiões.Contoso admins will build Active Directory sites for the Contoso datacenter and for the East US 2 and Central US regions.

  1. Criam dois novos sites ( AZURE-EUS2 AZURE-CUS e) juntamente com o site do datacenter ( contoso-datacenter ).They create two new sites (AZURE-EUS2 and AZURE-CUS) along with the datacenter site (contoso-datacenter).

  2. Depois de criarem os sites, criam sub-redes nos sites, para combinar com as redes virtuais e o datacenter.After creating the sites, they create subnets in the sites, to match the virtual networks and datacenter.

    Screenshot que mostra a criação de sub-redes do datacenter.

    Figura 34: Sub-redes do datacenter.Figure 34: Datacenter subnets.

  3. Criam duas ligações de site para ligar tudo.They create two site links to connect everything. Os controladores de domínio devem, em seguida, ser movidos para a respetiva localização.The domain controllers should then be moved to their location.

    Screenshot que mostra a criação de links do datacenter.

    Figura 35: Ligações datacenter.Figure 35: Datacenter links.

  4. Confirmam que a topologia de replicação do Ative Directory está no lugar.They confirm that the Active Directory replication topology is in place.

    Screenshot que mostra a topologia da replicação do datacenter.

    Figura 36: Replicação do Datacenter.Figure 36: Datacenter replication.

Com tudo completo, uma lista dos controladores de domínio e sites é mostrada no Centro Administrativo Ative Directory.With everything complete, a list of the domain controllers and sites is shown in the on-premises Active Directory Administrative Center.

Screenshot que mostra o Ative Directory Administrative Center.

Figura 37: Centro Administrativo De Diretório Ativo.Figure 37: The Active Directory Administrative Center.

Passo 5: Plano de governaçãoStep 5: Plan for governance

O Azure oferece uma variedade de controlos de governação nos serviços e na plataforma do Azure.Azure provides a range of governance controls across services and the Azure platform. Para mais informações, consulte as opções de governação do Azure.For more information, see the Azure governance options.

À medida que configura a identidade e o controlo de acessos, a Contoso já começou a pôr em prática alguns aspetos da governação e da segurança.As it configures identity and access control, Contoso has already begun to put some aspects of governance and security in place. Em termos gerais, deve considerar três áreas:Broadly, it needs to consider three areas:

  • Política: A Azure Policy aplica e aplica regras e efeitos sobre os seus recursos, para que os recursos cumpram os requisitos corporativos e SLAs.Policy: Azure Policy applies and enforces rules and effects over your resources, so the resources comply with corporate requirements and SLAs.
  • Fechaduras: O Azure permite-lhe bloquear subscrições, grupos de recursos e outros recursos para que possam ser modificados apenas por aqueles com permissões.Locks: Azure allows you to lock subscriptions, resource groups, and other resources so that they can be modified only by those with permissions.
  • Etiquetas: Os recursos podem ser controlados, auditados e geridos com etiquetas.Tags: Resources can be controlled, audited, and managed with tags. As etiquetas anexam metadados a recursos, ao disponibilizar as informações sobre os recursos ou os proprietários.Tags attach metadata to resources, providing information about resources or owners.

Configurar as políticasSet up policies

O serviço Azure Policy avalia os seus recursos através da verificação de pessoas que não estão em conformidade com as definições políticas.The Azure Policy service evaluates your resources by scanning for those not compliant with policy definitions. Por exemplo, você pode ter uma política que apenas permite certos tipos de VMs ou requer recursos para ter uma etiqueta específica.For example, you might have a policy that only allows certain types of VMs or requires resources to have a specific tag.

As políticas especificam uma definição de política e uma atribuição de política especifica o âmbito no qual uma política deve ser aplicada.Policies specify a policy definition, and a policy assignment specifies the scope in which a policy should be applied. Este âmbito pode variar entre um grupo de gestão e um grupo de recursos.The scope can range from a management group to a resource group. Saiba como criar e gerir políticas.Learn how to create and manage policies.

Contoso quer começar duas políticas.Contoso wants to begin two policies. Quer uma política que garanta a implantação de recursos apenas nas East US 2 regiões e Central US nas regiões.It wants a policy to ensure that resources can be deployed in the East US 2 and Central US regions only. Pretende também uma política que limite as SKUs da VM apenas a SKUs aprovadas.It also wants a policy to limit VM SKUs to approved SKUs only. A intenção é garantir que as SKUs mais dispendiosas da VM não são utilizadas.The intention is to ensure that expensive VM SKUs aren't used.

Limitar recursos a regiõesLimit resources to regions

A Contoso utiliza a definição Locais permitidos da política interna para limitar as regiões dos recursos.Contoso uses the built-in policy definition Allowed locations to limit resource regions.

  1. No portal do Azure, selecione Todos os serviços e procure Política.In the Azure portal, select All services, and search for Policy.

  2. Selecione Atribuições > Atribuir a política.Select Assignments > Assign policy.

  3. Na lista de políticas, selecione Locais permitidos.In the policy list, select Allowed locations.

  4. Definir Âmbito para o nome da subscrição Azure e selecionar as duas regiões na lista de admissões.Set Scope to the name of the Azure subscription, and select the two regions in the allowlist.

    Screenshot que mostra locais permitidos definidos através da política.

    Figura 38: Locais permitidos definidos através da política.Figure 38: Allowed locations defined via policy.

  5. Por defeito, a política é definida com Deny.By default, the policy is set with Deny. Esta definição significa que se alguém iniciar uma implementação na subscrição que não está na região ou na East US 2 Central US região, a implementação falhará.This setting means that if someone starts a deployment in the subscription that isn't in either the East US 2 or Central US region, the deployment will fail. Eis o que acontece se alguém da assinatura Contoso tentar configurar uma implantação em West US .Here's what happens if someone in the Contoso subscription tries to set up a deployment in West US.

    Screenshot que mostra o erro de uma política falhada.

    Figura 39: Uma política falhada.Figure 39: A failed policy.

Permitir SKUs de VM específicasAllow specific VM SKUs

A Contoso utilizará a definição de política incorporada Allow virtual machine SKUs para limitar os tipos de VMs que podem ser criados na subscrição.Contoso will use the built-in policy definition Allow virtual machine SKUs to limit the types of VMs that can be created in the subscription.

Screenshot que mostra seleções de SKU.

Figura 40: Uma política SKU.Figure 40: A policy SKU.

Verificar conformidade da políticaCheck policy compliance

As políticas entram imediatamente em vigor e a Contoso pode verificar os recursos quanto à conformidade.Policies go into effect immediately, and Contoso can check resources for compliance. No portal do Azure, selecione a hiperligação Conformidade.In the Azure portal, select the Compliance link. É apresentado o dashboard da conformidade.The compliance dashboard appears. Pode aprofundar para mais detalhes.You can drill down for more details.

Screenshot que mostra o painel de conformidade.

Figura 41: Conformidade da política.Figure 41: Policy compliance.

Configurar os bloqueiosSet up locks

Já há bastante tempo que a Contoso utiliza a estrutura de ITIL para a gestão dos seus sistemas.Contoso has long been using the ITIL framework for the management of its systems. Um dos aspetos mais importantes dessa estrutura é o controlo de alterações e a Contoso quer garantir que esse controlo de alterações é implementado na implementação do Azure.One of the most important aspects of the framework is change control, and Contoso wants to make sure that change control is implemented in the Azure deployment.

Contoso vai bloquear recursos.Contoso will lock resources. Qualquer componente de produção ou de failover deve estar num grupo de recursos que tenha um bloqueio apenas de leitura.Any production or failover component must be in a resource group that has a read-only lock. Isto significa que, para modificar ou eliminar itens de produção, os utilizadores autorizados devem remover o bloqueio.This means that to modify or delete production items, authorized users must remove the lock. Os grupos de recursos de não produção terão CanNotDelete fechaduras.Nonproduction resource groups will have CanNotDelete locks. Isto significa que os utilizadores autorizados podem ler ou modificar um recurso, mas não podem eliminá-lo.This means that authorized users can read or modify a resource but can't delete it.

Configurar as etiquetasSet up tagging

Para detetar recursos à medida que vão sendo adicionados, será extremamente importante para a Contoso associar os recursos ao departamento, cliente e ambiente adequados.To track resources as they're added, it will be increasingly important for Contoso to associate resources with an appropriate department, customer, and environment. Além de fornecer informações sobre recursos e proprietários, as tags permitirão à Contoso agregar e agrupar recursos e utilizar esses dados para fins de chargeback.In addition to providing information about resources and owners, tags will enable Contoso to aggregate and group resources and to use that data for chargeback purposes.

A Contoso precisa de visualizar os seus ativos Azure de uma forma que faça sentido para o negócio, como por exemplo, por função ou departamento.Contoso needs to visualize its Azure assets in a way that makes sense for the business, such as by role or department. Tenha em atenção que os recursos não têm de pertencer ao mesmo grupo de recursos para partilhar uma etiqueta.Note that resources don't need to reside in the same resource group to share a tag. Contoso vai criar uma taxonomia para que todos usem as mesmas etiquetas.Contoso will create a tag taxonomy so that everyone uses the same tags.

Nome da etiquetaTag name ValorValue
CostCenter 12345: Deve ser um centro de custos válido da SAP.12345: It must be a valid cost center from SAP.
BusinessUnit Nome da unidade de negócio (da SAP).Name of the business unit (from SAP). CostCenterFósforos.Matches CostCenter.
ApplicationTeam E-mail pseudónimo da equipa que detém suporte para a aplicação.Email alias of the team that owns support for the application.
CatalogName Nome da aplicação ou SharedServices , de acordo com o catálogo de serviços que o recurso suporta.Name of the application or SharedServices, according to the service catalog that the resource supports.
ServiceManager Alias de e-mail do Service Manager ITIL para o recurso.Email alias of the ITIL Service Manager for the resource.
COBPriority Prioridade definida pelo negócio para BCDR.Priority set by the business for BCDR. Valores de 1-5.Values of 1-5.
ENV DEV, STG e são os PROD valores permitidos, representando o desenvolvimento, encenação e produção.DEV, STG, and PROD are the allowed values, representing development, staging, and production.

Por exemplo:For example:

Screenshot que mostra tags Azure.

Figura 42: Etiquetas Azure.Figure 42: Azure tags.

Depois de criar a etiqueta, a Contoso vai voltar e criar novas definições e atribuições políticas para impor o uso das etiquetas necessárias em toda a organização.After creating the tag, Contoso will go back and create new policy definitions and assignments to enforce the use of the required tags across the organization.

Passo 6: Considere a segurançaStep 6: Consider security

A segurança na cloud é fundamental e o Azure oferece uma grande variedade de ferramentas e recursos de segurança.Security is crucial in the cloud, and Azure provides a wide array of security tools and capabilities. Estes ajudam-no a criar soluções seguras na plataforma Azure segura.These help you to create secure solutions on the secure Azure platform. Consulte a sua nuvem para saber mais sobre a segurança do Azure.See Trust your cloud to learn more about Azure security.

Há alguns aspetos que a Contoso deve considerar:There are a few aspects for Contoso to consider:

  • O Azure Security Center fornece uma gestão unificada de segurança e proteção de ameaças avançadas do Azure através de cargas de trabalho em nuvem híbrida.Azure Security Center provides unified security management and Azure Advanced Threat Protection across hybrid cloud workloads. Use-o para aplicar políticas de segurança em todas as suas cargas de trabalho, limitar a sua exposição a ameaças e detetar e responder a ataques.Use it to apply security policies across your workloads, limit your exposure to threats, and detect and respond to attacks.
  • Um grupo de segurança de rede (NSG) filtra o tráfego da rede com base numa lista de regras de segurança que permitem ou negam o tráfego de rede a recursos ligados a redes virtuais em Azure.A network security group (NSG) filters network traffic based on a list of security rules that allow or deny network traffic to resources connected to virtual networks in Azure.
  • A Azure Disk Encryption é uma capacidade que o ajuda a encriptar os discos VM do Windows e Do Linux IaaS.Azure Disk Encryption is a capability that helps you encrypt your Windows and Linux IaaS VM disks.

Trabalhar com o Centro de Segurança do AzureWork with the Azure Security Center

A Contoso está à procura de uma visão rápida da postura de segurança da sua nova nuvem híbrida, e especificamente, das suas cargas de trabalho Azure.Contoso is looking for a quick view into the security posture of its new hybrid cloud, and specifically, its Azure workloads. Como resultado, a Contoso decidiu implementar o Centro de Segurança do Azure, começando pelos seguintes recursos:As a result, Contoso has decided to implement Azure Security Center starting with the following features:

  • Gestão de políticas centralizadaCentralized policy management
  • Avaliação contínuaContinuous assessment
  • Recomendações acionáveisActionable recommendations

Gestão de políticas centralizadaCentralize policy management

Com a gestão de políticas centralizada, a Contoso terá se garantir que cumpre os requisitos de segurança ao gerir centralmente as políticas de segurança em todo o ambiente.With centralized policy management, Contoso will ensure compliance with security requirements by centrally managing security policies across the entire environment. Pode implementar de forma simples e rápida uma política que se aplica a todos os seus recursos Azure.It can simply and quickly implement a policy that applies to all of its Azure resources.

Screenshot que mostra seleções para uma política de segurança.

Figura 43: Uma política de segurança.Figure 43: A security policy.

Avaliar a segurançaAssess security

A Contoso vai aproveitar a avaliação contínua de segurança que monitoriza a segurança das máquinas, redes, armazenamento, dados e aplicações para descobrir potenciais problemas de segurança.Contoso will take advantage of the continuous security assessment that monitors the security of machines, networks, storage, data, and applications to discover potential security issues.

O Centro de Segurança analisa o estado de segurança do cálculo do Contoso, infraestruturas e recursos de dados.Security Center analyzes the security state of the Contoso compute, infrastructure, and data resources. Também analisa o estado de segurança das aplicações e serviços da Azure.It also analyzes the security state of Azure apps and services. A avaliação contínua ajuda a equipa de operações da Contoso a detetar possíveis problemas de segurança, tais como sistemas com atualizações de segurança em falta ou portas de rede expostas.Continuous assessment helps the Contoso operations team to discover potential security issues, such as systems with missing security updates or exposed network ports.

O Contoso quer certificar-se de que todos os VM estão protegidos.Contoso wants to make sure all of the VMs are protected. O Centro de Segurança ajuda nisto.Security Center helps with this. Verifica a saúde do VM, e faz recomendações prioritárias e accitivas para remediar as vulnerabilidades de segurança antes de serem exploradas.It verifies VM health, and it makes prioritized and actionable recommendations to remediate security vulnerabilities before they're exploited.

Screenshot que mostra a monitorização de máquinas virtuais.

Figura 44: Monitorização.Figure 44: Monitoring.

Trabalhar com NSGsWork with NSGs

O Contoso pode limitar o tráfego de rede a recursos numa rede virtual utilizando grupos de segurança de rede.Contoso can limit network traffic to resources in a virtual network by using network security groups.

Os grupos de segurança de rede contêm uma lista das regras de segurança que permitem ou recusam o tráfego de rede de entrada ou saída com base no endereço IP de destino, na porta e no protocolo.A network security group contains a list of security rules that allow or deny inbound or outbound network traffic based on source or destination IP address, port, and protocol. Quando aplicadas a uma sub-rede, as regras são aplicadas a todos os recursos dessa mesma sub-rede.When applied to a subnet, rules are applied to all resources in the subnet. Além das interfaces de rede, estas incluem instâncias dos serviços do Azure implementados na sub-rede.In addition to network interfaces, this includes instances of Azure services deployed in the subnet.

Os grupos de segurança de aplicações (ASGs) permitem-lhe configurar a segurança da rede como uma extensão natural de uma estrutura de aplicação.Application security groups (ASGs) enable you to configure network security as a natural extension of an application structure. Em seguida, pode agrupar VMs e definir políticas de segurança de rede com base nesses grupos.You can then group VMs and define network security policies based on those groups.

A Contoso pode utilizar ASGs para reutilizar a política de segurança em escala sem a manutenção manual de endereços IP explícitos.Contoso can use ASGs to reuse the security policy at scale without manual maintenance of explicit IP addresses. A plataforma lida com a complexidade de endereços IP explícitos e conjuntos de regras múltiplos, para que a organização possa focar-se na lógica do negócio.The platform handles the complexity of explicit IP addresses and multiple rule sets, so the organization can focus on business logic. Contoso pode especificar um ASG como a fonte e destino em uma regra de segurança.Contoso can specify an ASG as the source and destination in a security rule. Após a definição de uma política de segurança, o Contoso pode criar VMs e atribuir os NICs VM a um grupo.After a security policy is defined, Contoso can create VMs and assign the VM NICs to a group.

A Contoso implementará uma combinação de NSGs e ASGs.Contoso will implement a mix of NSGs and ASGs. A Contoso preocupa-se com a gestão de NSG.Contoso is concerned about NSG management. Também está preocupado com o uso excessivo de NSGs e com a complexidade acrescida para o pessoal de operações.It's also worried about the overuse of NSGs and the added complexity for operations staff. Eis as medidas da Contoso:Here's what Contoso will do:

  • Todo o tráfego dentro e fora de todas as sub-redes (norte/sul) estará sujeito a uma regra NSG, exceto para as sub-redes de gateway nas redes do hub.All traffic into and out of all subnets (north/south) will be subject to an NSG rule, except for the gateway subnets in the hub networks.
  • Quaisquer firewalls ou controladores de domínio serão protegidos tanto por NSGs de sub-rede como por NIC NSGs.Any firewalls or domain controllers will be protected by both subnet NSGs and NIC NSGs.
  • Os ASGs serão aplicados em todas as aplicações da produção.All production applications will have ASGs applied.

A Contoso construiu um modelo de como esta configuração de segurança irá procurar as suas aplicações.Contoso has built a model of how this security configuration will look for its applications.

Diagrama do modelo de segurança Contoso.

Figura 45: Modelo de segurança.Figure 45: Security model.

Os NSGs associados aos ASGs serão configurados com privilégios mínimos para garantir que apenas os pacotes permitidos podem fluir de uma parte da rede para o seu destino.The NSGs associated with the ASGs will be configured with least privilege to ensure that only allowed packets can flow from one part of the network to its destination.

AçãoAction NameName OrigemSource DestinoTarget PortaPort
Allow AllowInternetToFE VNET-HUB-EUS1/IB-TrustZone APP1-FE 80, 44380, 443
Allow AllowWebToApp APP1-FE APP1-APP 80, 44380, 443
Allow AllowAppToDB APP1-APP APP1-DB 14331433
Deny DenyAllInbound QualquerAny QualquerAny QualquerAny

Encriptar dadosEncrypt data

A Azure Disk Encryption integra-se com o Azure Key Vault para ajudar a controlar e gerir as chaves e segredos de encriptação do disco para uma subscrição.Azure Disk Encryption integrates with Azure Key Vault to help control and manage the disk-encryption keys and secrets for a subscription. Garante que todos os dados em discos VM são encriptados em repouso no Azure Storage.It ensures that all data on VM disks is encrypted at rest in Azure Storage.

A Contoso determinou que algumas VMs necessitam de encriptação.Contoso has determined that specific VMs require encryption. A Contoso aplicará encriptação a VMs com dados confidenciais ou pessoais.Contoso will apply encryption to VMs with customer, confidential, or personal data.

ConclusãoConclusion

Neste artigo, a Contoso criou uma infraestrutura e política Azure para a subscrição do Azure, identificação híbrida, recuperação de desastres, rede, governação e segurança.In this article, Contoso set up an Azure infrastructure and policy for Azure subscription, hybrid identify, disaster recovery, network, governance, and security.

Nem todos os passos dados aqui são necessários para uma migração em nuvem.Not every step taken here is required for a cloud migration. Neste caso, a Contoso planeou uma infraestrutura de rede que pode lidar com todo o tipo de migrações, sendo segura, resiliente e escalável.In this case, Contoso planned a network infrastructure that can handle all types of migrations while being secure, resilient, and scalable.

Passos seguintesNext steps

Depois de montar a sua infraestrutura Azure, a Contoso está pronta para começar a migrar cargas de trabalho para a nuvem.After setting up its Azure infrastructure, Contoso is ready to begin migrating workloads to the cloud. Veja os padrões de migração e exemplos para uma seleção de cenários que usam esta infraestrutura de amostra como alvo de migração.See the migration patterns and examples overview for a selection of scenarios that use this sample infrastructure as a migration target.