Reveja as opções de redeReview your network options

Conceber e implementar funcionalidades de rede do Azure é uma parte essencial dos seus esforços de adoção da cloud.Designing and implementing Azure networking capabilities is a critical part of your cloud adoption efforts. Precisará de tomar decisões sobre a conceção da rede para suportar corretamente as cargas de trabalho e os serviços que serão alojados na cloud.You'll need to make networking design decisions to properly support the workloads and services that will be hosted in the cloud. Os produtos e serviços de rede do Azure suportam uma grande variedade de funcionalidades de rede.Azure networking products and services support a wide variety of networking capabilities. A forma como estrutura estes serviços e as arquiteturas de rede que escolhe dependem dos requisitos de carga de trabalho, gestão e conetividade da sua organização.How you structure these services and the networking architectures you choose depends on your organization's workload, governance, and connectivity requirements.

Identificar os requisitos de rede da carga de trabalhoIdentify workload networking requirements

Como parte da avaliação e preparação da zona de destino, precisa de identificar as funcionalidades de rede que a zona de destino terá de suportar.As part of your landing zone evaluation and preparation, you need to identify the networking capabilities that your landing zone needs to support. Este processo envolve a avaliação de cada uma das aplicações e serviços que compõem as cargas de trabalho para determinar os seus requisitos de controlo de rede de conetividade.This process involves assessing each of the applications and services that make up your workloads to determine their connectivity network control requirements. Depois de identificar e documentar os requisitos, pode criar políticas para a zona de destino de forma a controlar a configuração e os recursos de rede permitidos com base nas necessidades da sua carga de trabalho.After you identify and document the requirements, you can create policies for your landing zone to control the allowed networking resources and configuration based on your workload needs.

Para cada aplicação ou serviço que implementar no ambiente da zona de destino, utilize a seguinte árvore de decisões como ponto de partida para o ajudar a determinar as ferramentas ou os serviços de rede a utilizar:For each application or service you'll deploy to your landing zone environment, use the following decision tree as a starting point to help you determine the networking tools or services to use:

Azure networking serviços decisão árvore figura 1: A árvore de decisão do serviço de rede Azure.Azure networking services decision tree Figure 1: The Azure networking service decision tree.

Principais perguntasKey questions

Responda às seguintes perguntas sobre as suas cargas de trabalho para o ajudar a tomar decisões com base na árvore de decisões dos serviços de rede do Azure:Answer the following questions about your workloads to help you make decisions based on the Azure networking services decision tree:

  • As cargas de trabalho precisarão de uma rede virtual?Will your workloads require a virtual network? Os tipos de recursos PaaS (plataforma como serviço) geridos utilizam funcionalidades de rede de plataforma subjacentes que nem sempre exigem uma rede virtual.Managed platform as a service (PaaS) resource types use underlying platform network capabilities that don't always require a virtual network. Se as cargas de trabalho não exigirem funcionalidades de rede avançadas e não precisar de implementar os recursos IaaS (infraestrutura como um serviço), a predefinição das funcionalidades de rede nativas fornecidas pelos recursos PaaS poderão satisfazer os seus requisitos de gestão de tráfego e de conetividade da carga de trabalho.If your workloads don't require advanced networking features and you don't need to deploy infrastructure as a service (IaaS) resources, the default native networking capabilities provided by PaaS resources might meet your workload connectivity and traffic management requirements.
  • As cargas de trabalho requerem conetividade entre as redes virtuais e o datacenter no local?Will your workloads require connectivity between virtual networks and your on-premises datacenter? A Azure fornece duas soluções para o estabelecimento de capacidades de rede híbrida: gateway Azure VPN e Azure ExpressRoute.Azure provides two solutions for establishing hybrid networking capabilities: Azure VPN gateway and Azure ExpressRoute. O gateway Azure VPN liga as suas redes no local ao Azure através de VPNs site-to-site semelhante à forma como pode configurar e ligar a uma filial remota.Azure VPN gateway connects your on-premises networks to Azure through Site-to-Site VPNs similar to how you might set up and connect to a remote branch office. O gateway VPN tem uma largura de banda máxima de 10 Gbps.VPN gateway has a maximum bandwidth of 10 Gbps. O Microsoft Azure ExpressRoute oferece maior fiabilidade e menor latência graças a uma ligação privada entre o Azure e a infraestrutura no local.Azure ExpressRoute offers higher reliability and lower latency by using a private connection between Azure and your on-premises infrastructure. As opções de largura de banda para ExpressRoute variam de 50 Mbps a 100 Gbps.Bandwidth options for ExpressRoute range from 50 Mbps to 100 Gbps.
  • Será necessário inspecionar e auditar o tráfego de saída com os dispositivos de rede no local?Will you need to inspect and audit outgoing traffic by using on-premises network devices? Para cargas de trabalho nativas em nuvem, pode utilizar Azure Firewall ou aparelhos virtuais de rede de terceiros (NVAs) para inspecionar e auditar o tráfego que se desloca de ou para a internet pública.For cloud-native workloads, you can use Azure Firewall or cloud-hosted, third-party network virtual appliances (NVAs) to inspect and audit traffic moving to or from the public internet. Mas muitas políticas de segurança de TI da empresa exigem que o tráfego de saída ligado à Internet passe por dispositivos geridos centralmente no ambiente da organização no local.But many enterprise IT security policies require internet-bound outgoing traffic to pass through centrally managed devices in the organization's on-premises environment. O túnel forçado suporta estes cenários.Forced tunneling supports these scenarios. Nem todos os serviços geridos suportam o túnel forçado.Not all managed services support forced tunneling. Serviços e funcionalidades como App Service Environment in Azure App Service, Azure API Management, Azure Kubernetes Service (AKS), Azure SQL Managed Instance, Azure Databrickse Azure HDInsight suportam esta configuração quando o serviço ou funcionalidade é implantado dentro de uma rede virtual.Services and features like App Service Environment in Azure App Service, Azure API Management, Azure Kubernetes Service (AKS), Azure SQL Managed Instance, Azure Databricks, and Azure HDInsight support this configuration when the service or feature is deployed inside a virtual network.
  • Precisa de ligar várias redes virtuais?Do you need to connect multiple virtual networks? Pode utilizar o peering de rede virtual para ligar múltiplas instâncias da Rede Virtual do Microsoft Azure.You can use virtual network peering to connect multiple instances of Azure Virtual Network. O peering é capaz de suportar ligações entre subscrições e regiões.Peering can support connections across subscriptions and regions. Para cenários em que fornece serviços que são partilhados entre múltiplas subscrições ou em que precisa de gerir um grande número de peerings de rede, considere a adoção de uma arquitetura de rede hub and spoke ou a utilização da WAN Virtual do Azure.For scenarios where you provide services that are shared across multiple subscriptions or need to manage a large number of network peerings, consider adopting a hub and spoke networking architecture or using Azure Virtual WAN. O peering de rede virtual oferece conetividade apenas entre duas redes de peering.Virtual network peering provides connectivity only between two peered networks. Por predefinição, não oferece conetividade transitiva entre múltiplos peerings.By default, it doesn't provide transitive connectivity across multiple peerings.
  • As cargas de trabalho ficarão acessíveis através da Internet?Will your workloads be accessible over the internet? O Azure fornece serviços concebidos para o ajudar a gerir e a proteger o acesso externo às suas aplicações e serviços:Azure provides services that are designed to help you manage and secure external access to your applications and services:
  • Vai precisar de suportar uma gestão de DNS personalizada?Will you need to support custom DNS management? O DNS do Azure é um serviço de alojamento para domínios DNS.Azure DNS is a hosting service for DNS domains. O DNS do Azure oferece resolução de nomes através da infraestrutura do Azure.Azure DNS provides name resolution by using the Azure infrastructure. Se as cargas de trabalho exigirem uma resolução de nomes que ultrapasse as funcionalidades fornecidas pelo DNS do Azure, poderá ter de implementar soluções adicionais.If your workloads require name resolution that goes beyond the features that are provided by Azure DNS, you might need to deploy additional solutions. Se as cargas de trabalho também exigirem serviços Active Directory, considere a utilização do Azure Active Directory Domain Services para aumentar as funcionalidades do DNS do Azure.If your workloads also require Active Directory services, consider using Azure Active Directory Domain Services to augment Azure DNS capabilities. Para mais funcionalidades, pode também implementar máquinas virtuais IaaS personalizadas para dar resposta aos seus requisitos.For more capabilities, you can also deploy custom IaaS virtual machines to support your requirements.

Cenários de rede comunsCommon networking scenarios

A rede do Azure é composta por múltiplos produtos e serviços que oferecem diferentes funcionalidades de rede.Azure networking is composed of multiple products and services that provide different networking capabilities. Como parte do processo de conceção da rede, pode comparar os seus requisitos de carga de trabalho com os cenários de rede da tabela seguinte para identificar as ferramentas ou os serviços do Azure que pode utilizar para fornecer estas funcionalidades de rede:As part of your networking design process, you can compare your workload requirements to the networking scenarios in the following table to identify the Azure tools or services you can use to provide these networking capabilities:

CenárioScenario Produto ou serviço de redeNetworking product or service
Preciso da infraestrutura de rede para ligar tudo, desde máquinas virtuais a ligações VPN de entrada.I need the networking infrastructure to connect everything, from virtual machines to incoming VPN connections. Rede Virtual do AzureAzure Virtual Network
Preciso de equilibrar as ligações e pedidos de entrada e saída das minhas aplicações e serviços.I need to balance inbound and outbound connections and requests to my applications or services. Balanceador de Carga do AzureAzure Load Balancer
Quero otimizar a entrega das explorações de servidores de aplicações, aumentando a segurança da aplicação com uma Firewall de Aplicação Web.I want to optimize delivery from application server farms while increasing application security with a Web Application Firewall. Gateway de Aplicação do AzureAzure Application Gateway
Azure Front DoorAzure Front Door
Preciso de utilizar a Internet com segurança para aceder à Rede Virtual do Azure através de gateways VPN de alto desempenho.I need to securely use the internet to access Azure Virtual Network through high-performance VPN gateways. Gateway Azure VPNAzure VPN gateway
Quero garantir respostas de DNS ultra rápidas e disponibilidade ultra elevada para todas as minhas necessidades relacionadas com domínios.I want to ensure ultra-fast DNS responses and ultra-high availability for all my domain needs. DNS do AzureAzure DNS
Quero acelerar a entrega de conteúdo com elevada largura de banda a clientes em todo o mundo, desde aplicações e conteúdo armazenado até à transmissão em fluxo de vídeo.I need to accelerate the delivery of high-bandwidth content to customers worldwide, from applications and stored content to streaming video. Rede de Entrega de Conteúdos do Azure (CDN)Azure Content Delivery Network (CDN)
Preciso de proteger as minhas aplicações do Azure contra ataques DDoS.I need to protect my Azure applications from DDoS attacks. Azure DDoS ProtectionAzure DDoS protection
Preciso de distribuir o tráfego de forma otimizada para os serviços em regiões globais do Azure e fornecer em simultâneo disponibilidade e capacidade de resposta elevadas.I need to distribute traffic optimally to services across global Azure regions, while providing high availability and responsiveness. Gestor de Tráfego do AzureAzure Traffic Manager

Azure Front DoorAzure Front Door
Preciso de adicionar conectividade de rede privada para aceder a serviços cloud da Microsoft a partir das minhas redes empresariais, como se existissem no local e a residir no meu próprio datacenter.I need to add private network connectivity to access Microsoft cloud services from my corporate networks, as if they were on-premises and residing in my own datacenter. Azure ExpressRouteAzure ExpressRoute
Quero monitorizar e diagnosticar condições ao nível do cenário de rede.I want to monitor and diagnose conditions at a network-scenario level. Observador de Rede do AzureAzure Network Watcher
Preciso de capacidades nativas de firewall, com alta disponibilidade incorporada, escalabilidade de nuvens sem restrições e manutenção zero.I need native firewall capabilities, with built-in high availability, unrestricted cloud scalability, and zero maintenance. Azure FirewallAzure Firewall
Preciso de ligar escritórios comerciais, locais de retalho e sites em segurança.I need to connect business offices, retail locations, and sites securely. WAN Virtual do AzureAzure Virtual WAN
Preciso de um ponto de entrega dimensionável, com segurança melhorada para aplicações Web globais baseadas em microsserviços.I need a scalable, security-enhanced delivery point for global microservices-based web applications. Azure Front DoorAzure Front Door

Escolher uma arquitetura de redeChoose a networking architecture

Após identificar os serviços de rede do Azure de que precisa para suportar as cargas de trabalho, tem de conceber a arquitetura que combinará estes serviços para estabelecer a infraestrutura de rede da cloud da zona de destino.After you identify the Azure networking services that you need to support your workloads, you also need to design the architecture that will combine these services to provide your landing zone's cloud networking infrastructure. O Guia de decisão de Redes Definidas por Software do Framework de Adoção da Cloud fornece detalhes sobre alguns dos padrões de arquitetura de rede mais comuns utilizados no Azure.The Cloud Adoption Framework Software Defined Networking decision guide provides details about some of the most common networking architecture patterns used on Azure.

A tabela seguinte resume os principais cenários suportados por estes padrões:The following table summarizes the primary scenarios that these patterns support:

CenárioScenario Arquitetura de rede sugeridaSuggested network architecture
Todas as cargas de trabalho azure-hospedadas para a sua zona de aterragem serão inteiramente baseadas em PaaS, não exigirão uma rede virtual, e não fazem parte de um esforço mais amplo de adoção em nuvem que inclui recursos IaaS.All of the Azure-hosted workloads deployed to your landing zone will be entirely PaaS-based, won't require a virtual network, and aren't part of a wider cloud adoption effort that includes IaaS resources. Só PaaSPaaS-only
As cargas de trabalho alojadas no Azure implementarão recursos baseados em IaaS como máquinas virtuais ou exigirão uma rede virtual, mas não requerem conetividade com o ambiente no local.Your Azure-hosted workloads will deploy IaaS-based resources like virtual machines or otherwise require a virtual network, but don't require connectivity to your on-premises environment. Nativo da cloudCloud-native
As cargas de trabalho alojadas no Azure requerem acesso limitado a recursos no local, mas precisa de tratar as ligações de cloud como não fidedignas.Your Azure-hosted workloads require limited access to on-premises resources, but you're required to treat cloud connections as untrusted. Cloud de Rede de PerímetroCloud DMZ
As cargas de trabalho alojadas no Azure requerem acesso limitado a recursos no local e planeia implementar políticas de segurança maduras e conetividade segura entre a cloud e o ambiente no local.Your Azure-hosted workloads require limited access to on-premises resources, and you plan to implement mature security policies and secure connectivity between the cloud and your on-premises environment. HíbridaHybrid
Precisa de implementar e gerir um grande número de VMs e cargas de trabalho, que podem exceder os limites da subscrição do Azure, precisa de partilhar serviços entre subscrições ou precisa de uma estrutura mais segmentada para segregação da função, aplicação ou permissão.You need to deploy and manage a large number of VMs and workloads, potentially exceeding Azure subscription limits, you need to share services across subscriptions, or you need a more segmented structure for role, application, or permission segregation. Hub-and-spokeHub and spoke
Possui muitas filiais que têm de ser ligadas entre si e ao Azure.You have many branch offices that need to connect to each other and to Azure. WAN Virtual do AzureAzure Virtual WAN

Datacenter Virtual do AzureAzure Virtual Datacenter

Além disso, utilizando um destes padrões de arquitetura, se o seu grupo de TI da empresa gere grandes ambientes em nuvem, considere consultar a zona de aterragem em escala empresarial da CAF.In addition using one of these architecture patterns, if your enterprise IT group manages large cloud environments, consider consulting the CAF enterprise-scale landing zone. Ao conceber a sua infraestrutura em nuvem baseada em Azure, a zona de desembarque em escala empresarial da CAF proporciona uma abordagem combinada de networking, segurança, gestão e infraestrutura se tiver um objetivo de médio prazo (no prazo de 24 meses) para acolher mais de 1.000 ativos (aplicações, infraestruturas ou ativos de dados) na nuvem.When you design your Azure-based cloud infrastructure, the CAF enterprise-scale landing zone provides a combined approach to networking, security, management, and infrastructure if you have a mid-term objective (within 24 months) to host more than 1,000 assets (applications, infrastructure, or data assets) in the cloud.

As organizações que cumprem os seguintes critérios também podem começar a utilizar a zona de destino à escala empresarial do CAF:For organizations that meet the following criteria, you may also want to start with the CAF enterprise-scale landing zone:

  • A sua empresa está sujeita a requisitos de conformidade regulamentares que exigem capacidades de monitorização e auditoria centralizadas.Your enterprise is subject to regulatory compliance requirements that require centralized monitoring and audit capabilities.
  • Tem de manter a conformidade com políticas e governança comuns e o controlo centralizado de TI sobre os serviços principais.You need to maintain common policy and governance compliance and centralized IT control over core services.
  • O seu setor depende de uma plataforma complexa que exige controlos complexos e um profundo conhecimento do domínio para governar a plataforma.Your industry depends on a complex platform which requires complex controls and deep domain expertise to govern the platform. Isso é mais comum em grandes empresas no setor das finanças, petróleo e gás ou fabrico.This is most common in large enterprises within finance, oil and gas, or manufacturing.
  • As políticas de governação de TI atuais requerem uma paridade mais rígida com as funcionalidades existentes, mesmo durante a adoção antecipada da fase.Your existing IT governance policies require tighter parity with existing features, even during early stage adoption.

Seguir as melhores práticas de rede do AzureFollow Azure networking best practices

Como parte do processo de conceção da rede, veja estes artigos:As part of your networking design process, see these articles: