O datacenter virtual: Uma perspetiva de redeThe virtual datacenter: A network perspective

As aplicações migradas das instalações beneficiarão da infraestrutura segura e eficiente em termos de custos da Azure, mesmo com alterações mínimas de aplicação.Applications migrated from on-premises will benefit from Azure's secure cost-efficient infrastructure, even with minimal application changes. Mesmo assim, as empresas devem adaptar as suas arquiteturas para melhorar a agilidade e tirar partido das capacidades da Azure.Even so, enterprises should adapt their architectures to improve agility and take advantage of Azure's capabilities.

O Microsoft Azure oferece serviços e infraestruturas de hiperescala com capacidades e fiabilidade de nível empresarial.Microsoft Azure delivers hyperscale services and infrastructure with enterprise-grade capabilities and reliability. Estes serviços e infraestruturas oferecem muitas opções na conectividade híbrida, para que os clientes possam optar por aceder a eles através da internet ou de uma ligação de rede privada.These services and infrastructure offer many choices in hybrid connectivity, so customers can choose to access them over the internet or a private network connection. Os parceiros da Microsoft também podem fornecer capacidades melhoradas, oferecendo serviços de segurança e aparelhos virtuais otimizados para serem executados em Azure.Microsoft partners can also provide enhanced capabilities by offering security services and virtual appliances that are optimized to run in Azure.

Os clientes podem usar o Azure para estender a sua infraestrutura perfeitamente para a nuvem e construir arquiteturas multi-mais.Customers can use Azure to seamlessly extend their infrastructure into the cloud and build multitier architectures.

O que é um datacenter virtual?What is a virtual datacenter?

A nuvem começou como uma plataforma para hospedar aplicações viradas para o público.The cloud began as a platform for hosting public-facing applications. As empresas reconheceram o valor da nuvem e começaram a migrar aplicações internas de linha de negócio.Enterprises recognized the value of the cloud and began migrating internal line-of-business applications. Estas aplicações trouxeram considerações adicionais de segurança, fiabilidade, desempenho e custos que exigiam flexibilidade adicional na prestação de serviços na nuvem.These applications brought additional security, reliability, performance, and cost considerations that required additional flexibility when delivering cloud services. As novas infraestruturas e serviços de networking foram concebidos para proporcionar esta flexibilidade, e novas funcionalidades previstas para a escala elástica, recuperação de desastres e outras considerações.New infrastructure and networking services were designed to provide this flexibility, and new features provided for elastic scale, disaster recovery, and other considerations.

As soluções cloud foram inicialmente concebidas para acolher aplicações únicas e relativamente isoladas no espectro público.Cloud solutions were initially designed to host single, relatively isolated applications in the public spectrum. Esta abordagem funcionou bem durante alguns anos.This approach worked well for a few years. À medida que os benefícios das soluções em nuvem se tornaram claros, várias cargas de trabalho em larga escala foram hospedadas na nuvem.As the benefits of cloud solutions became clear, multiple large-scale workloads were hosted on the cloud. Abordar as preocupações de segurança, fiabilidade, desempenho e custos das implantações em uma ou mais regiões tornou-se vital ao longo do ciclo de vida do serviço em nuvem.Addressing security, reliability, performance, and cost concerns of deployments in one or more regions became vital throughout the lifecycle of the cloud service.

No diagrama de implantação de nuvens abaixo, a caixa vermelha destaca uma lacuna de segurança.In the example cloud deployment diagram below, the red box highlights a security gap. A caixa amarela mostra uma oportunidade de otimizar os aparelhos virtuais da rede através de cargas de trabalho.The yellow box shows an opportunity to optimize network virtual appliances across workloads.

00

Os datacenters virtuais ajudam a alcançar a escala necessária para as cargas de trabalho das empresas.Virtual datacenters help achieve the scale required for enterprise workloads. Esta escala deve responder aos desafios introduzidos na execução de aplicações em larga escala na nuvem pública.This scale must address the challenges introduced when running large-scale applications in the public cloud.

Uma implementação virtual do datacenter (VDC) inclui mais do que as cargas de trabalho da aplicação na nuvem.A virtual datacenter (VDC) implementation includes more than the application workloads in the cloud. Também fornece a rede, segurança, gestão e outras infraestruturas, como os serviços DNS e Ative Directory.It also provides the network, security, management, and other infrastructure such as DNS and Active Directory services. À medida que as empresas migram cargas de trabalho adicionais para Azure, considere as infraestruturas e objetos que suportam estas cargas de trabalho.As enterprises migrate additional workloads to Azure, consider the infrastructure and objects that support these workloads. Estruturar cuidadosamente os seus recursos ajuda a evitar a proliferação de centenas de "ilhas de carga de trabalho" geridas separadamente com fluxos de dados independentes, modelos de segurança e desafios de conformidade.Carefully structuring your resources helps avoid proliferation of hundreds of separately managed "workload islands" with independent data flows, security models, and compliance challenges.

O conceito de datacenter virtual fornece recomendações e desenhos de alto nível para implementar uma coleção de entidades separadas mas relacionadas.The virtual datacenter concept provides recommendations and high-level designs for implementing a collection of separate but related entities. Estas entidades têm frequentemente funções de apoio comuns, características e infraestruturas.These entities often have common supporting functions, features, and infrastructure. Ver as suas cargas de trabalho como um datacenter virtual ajuda a perceber a redução do custo das economias de escala, a segurança otimizada através da centralização de componentes e fluxos de dados, e as auditorias mais fáceis de operações, gestão e conformidade.Viewing your workloads as a virtual datacenter helps realize reduced cost from economies of scale, optimized security via component and data flow centralization, and easier operations, management, and compliance audits.

Nota

Um datacenter virtual não é um serviço Azure específico.A virtual datacenter is not a specific Azure service. Em vez disso, várias funcionalidades e capacidades do Azure são combinadas para satisfazer os seus requisitos.Rather, various Azure features and capabilities are combined to meet your requirements. Um datacenter virtual é uma forma de pensar sobre as suas cargas de trabalho e o uso do Azure para otimizar os seus recursos e capacidades na nuvem.A virtual datacenter is a way of thinking about your workloads and Azure usage to optimize your resources and capabilities in the cloud. Fornece uma abordagem modular para a prestação de serviços de TI em Azure, respeitando ao mesmo tempo os papéis e responsabilidades organizacionais da empresa.It provides a modular approach to providing IT services in Azure while respecting the enterprise's organizational roles and responsibilities.

Um datacenter virtual ajuda as empresas a implementar cargas de trabalho e aplicações em Azure para os seguintes cenários:A virtual datacenter helps enterprises deploy workloads and applications in Azure for the following scenarios:

  • Hospedar várias cargas de trabalho relacionadas.Host multiple related workloads.
  • Migrar cargas de trabalho de um ambiente no local para Azure.Migrate workloads from an on-premises environment to Azure.
  • Implementar requisitos de segurança e acesso partilhados ou centralizados em todas as cargas de trabalho.Implement shared or centralized security and access requirements across workloads.
  • Misture DevOps e centralizou as TI adequadamente para uma grande empresa.Mix DevOps and centralized IT appropriately for a large enterprise.

Quem deve implementar um datacenter virtual?Who should implement a virtual datacenter?

Qualquer cliente que tenha decidido adotar o Azure pode beneficiar da eficiência de configurar um conjunto de recursos para uso comum por todas as aplicações.Any customer that has decided to adopt Azure can benefit from the efficiency of configuring a set of resources for common use by all applications. Dependendo do tamanho, mesmo aplicações individuais podem beneficiar da utilização dos padrões e componentes utilizados para construir uma implementação de VDC.Depending on the size, even single applications can benefit from using the patterns and components used to build a VDC implementation.

Algumas organizações têm equipas ou departamentos centralizados para TI, networking, segurança ou conformidade.Some organizations have centralized teams or departments for IT, networking, security, or compliance. A implementação de um VDC pode ajudar a impor pontos de política, responsabilidades distintas e assegurar a coerência dos componentes comuns subjacentes.Implementing a VDC can help enforce policy points, separate responsibilities, and ensure the consistency of the underlying common components. As equipas de candidatura podem manter a liberdade e o controlo adequados às suas necessidades.Application teams can retain the freedom and control that is suitable for their requirements.

As organizações com uma abordagem DevOps também podem usar conceitos VDC para fornecer bolsos autorizados de recursos Azure.Organizations with a DevOps approach can also use VDC concepts to provide authorized pockets of Azure resources. Este método pode garantir que os grupos DevOps tenham controlo total dentro desse agrupamento, quer ao nível da subscrição, quer dentro de grupos de recursos numa subscrição comum.This method can ensure the DevOps groups have total control within that grouping, at either the subscription level or within resource groups in a common subscription. Ao mesmo tempo, as fronteiras de rede e segurança mantêm-se conformes, tal como definidas por uma política centralizada na rede de hubs e pelo grupo de recursos gerido centralmente.At the same time, the network and security boundaries stay compliant as defined by a centralized policy in the hub network and centrally managed resource group.

Considerações para a implementação de um datacenter virtualConsiderations for implementing a virtual datacenter

Ao desenhar um datacenter virtual, considere estas questões fundamentais:When designing a virtual datacenter, consider these pivotal issues:

Serviço de identidade e diretórioIdentity and directory service

Os serviços de identidade e diretório são capacidades-chave tanto no local como nos centros de dados em nuvem.Identity and directory services are key capabilities of both on-premises and cloud datacenters. A identidade abrange todos os aspetos de acesso e autorização aos serviços no âmbito de uma implementação de VDC.Identity covers all aspects of access and authorization to services within a VDC implementation. Para garantir que apenas utilizadores e processos autorizados acedam aos seus recursos Azure, o Azure utiliza vários tipos de credenciais para autenticação, incluindo palavras-passe de conta, chaves criptográficas, assinaturas digitais e certificados.To ensure that only authorized users and processes access your Azure resources, Azure uses several types of credentials for authentication, including account passwords, cryptographic keys, digital signatures, and certificates. A Azure Multi-Factor Authentication fornece uma camada adicional de segurança para aceder aos serviços Azure usando uma autenticação forte com um leque de opções de verificação fáceis (chamada telefónica, mensagem de texto ou notificação de aplicações móveis) que permitem aos clientes escolher o método que preferem.Azure Multi-Factor Authentication provides an additional layer of security for accessing Azure services using strong authentication with a range of easy verification options (phone call, text message, or mobile app notification) that allow customers to choose the method they prefer.

Qualquer grande empresa precisa de definir um processo de gestão de identidade que descreva a gestão de identidades individuais, a sua autenticação, autorização, funções e privilégios dentro ou em todo o seu VDC.Any large enterprise needs to define an identity management process that describes the management of individual identities, their authentication, authorization, roles, and privileges within or across their VDC. Os objetivos deste processo devem ser aumentar a segurança e a produtividade, reduzindo ao mesmo tempo os custos, o tempo de inatividade e as tarefas manuais repetitivas.The goals of this process should be to increase security and productivity while reducing cost, downtime, and repetitive manual tasks.

As organizações empresariais podem exigir uma exigente mistura de serviços para diferentes linhas de negócio, e os colaboradores muitas vezes têm papéis diferentes quando envolvidos em diferentes projetos.Enterprise organizations may require a demanding mix of services for different lines of business, and employees often have different roles when involved with different projects. O VDC requer uma boa cooperação entre diferentes equipas, cada uma com definições específicas de papel, para que os sistemas funcionassem com boa governação.The VDC requires good cooperation between different teams, each with specific role definitions, to get systems running with good governance. A matriz de responsabilidades, acesso e direitos pode ser complexa.The matrix of responsibilities, access, and rights can be complex. A gestão de identidade no VDC é implementada através do Azure Ative Directory (Azure AD) e do controlo de acesso baseado em funções (RBAC).Identity management in the VDC is implemented through Azure Active Directory (Azure AD) and role-based access control (RBAC).

Um serviço de diretório é uma infraestrutura de informação partilhada que localiza, gere, administra e organiza itens do dia-a-dia e recursos de rede.A directory service is a shared information infrastructure that locates, manages, administers, and organizes everyday items and network resources. Estes recursos podem incluir volumes, pastas, ficheiros, impressoras, utilizadores, grupos, dispositivos e outros objetos.These resources can include volumes, folders, files, printers, users, groups, devices, and other objects. Cada recurso na rede é considerado um objeto pelo servidor de diretório.Each resource on the network is considered an object by the directory server. A informação sobre um recurso é armazenada como uma coleção de atributos associados a esse recurso ou objeto.Information about a resource is stored as a collection of attributes associated with that resource or object.

Todos os serviços de negócios online da Microsoft dependem do Azure Ative Directory (Azure AD) para as necessidades de sedúrsia e outras necessidades de identidade.All Microsoft online business services rely on Azure Active Directory (Azure AD) for sign-on and other identity needs. O Azure Ative Directory é uma solução abrangente e altamente disponível de gestão de identidade e acesso que combina serviços de diretório principal, governação avançada de identidade e gestão de acesso a aplicações.Azure Active Directory is a comprehensive, highly available identity and access management cloud solution that combines core directory services, advanced identity governance, and application access management. O Azure AD pode integrar-se com o Ative Directory no local para permitir um único sinal para todas as aplicações baseadas na nuvem e localmente hospedadas no local.Azure AD can integrate with on-premises Active Directory to enable single sign-on for all cloud-based and locally hosted on-premises applications. Os atributos do utilizador do Ative Directory no local podem ser automaticamente sincronizados com a Azure AD.The user attributes of on-premises Active Directory can be automatically synchronized to Azure AD.

Um único administrador global não é obrigado a atribuir todas as permissões numa implementação de VDC.A single global administrator isn't required to assign all permissions in a VDC implementation. Em vez disso, cada departamento específico, grupo de utilizadores ou serviços no Serviço de Diretório podem ter as permissões necessárias para gerir os seus recursos próprios dentro de uma implementação de VDC.Instead, each specific department, group of users, or services in the Directory Service can have the permissions required to manage their own resources within a VDC implementation. As permissões estruturantes requerem equilíbrio.Structuring permissions requires balancing. Demasiadas permissões podem impedir a eficiência de desempenho, e poucas ou poucas permissões podem aumentar os riscos de segurança.Too many permissions can impede performance efficiency, and too few or loose permissions can increase security risks. O controlo de acesso baseado em funções (RBAC) ajuda a resolver este problema, oferecendo uma gestão de acesso de grãos finos para recursos numa implementação de VDC.Azure role-based access control (RBAC) helps to address this problem, by offering fine-grained access management for resources in a VDC implementation.

Infraestrutura de segurançaSecurity infrastructure

A infraestrutura de segurança refere-se à segregação do tráfego no segmento de rede virtual específico de uma implementação de VDC.Security infrastructure refers to the segregation of traffic in a VDC implementation's specific virtual network segment. Esta infraestrutura especifica como a entrada e a saída são controladas numa implementação de VDC.This infrastructure specifies how ingress and egress are controlled in a VDC implementation. O Azure baseia-se numa arquitetura multitenant que impede o tráfego não autorizado e não intencional entre implementações utilizando o isolamento de rede virtual, listas de controlo de acessos, equilibradores de carga, filtros IP e políticas de fluxo de tráfego.Azure is based on a multitenant architecture that prevents unauthorized and unintentional traffic between deployments by using virtual network isolation, access control lists, load balancers, IP filters, and traffic flow policies. A tradução de endereços de rede (NAT) separa o tráfego interno da rede do tráfego externo.Network address translation (NAT) separates internal network traffic from external traffic.

O tecido Azure aloca recursos de infraestrutura a cargas de trabalho dos inquilinos e gere comunicações de e para máquinas virtuais (VMs).The Azure fabric allocates infrastructure resources to tenant workloads and manages communications to and from virtual machines (VMs). O hipervisor Azure impõe a separação da memória e do processo entre VMs e liga de forma segura o tráfego de rede aos inquilinos convidados do OS.The Azure hypervisor enforces memory and process separation between VMs and securely routes network traffic to guest OS tenants.

Conectividade com a nuvemConnectivity to the cloud

Um datacenter virtual requer conectividade com redes externas para oferecer serviços a clientes, parceiros ou utilizadores internos.A virtual datacenter requires connectivity to external networks to offer services to customers, partners, or internal users. Esta necessidade de conectividade refere-se não só à Internet, mas também às redes e centros de dados no local.This need for connectivity refers not only to the Internet, but also to on-premises networks and datacenters.

Os clientes controlam quais os serviços a que podem aceder e ser acedidos a partir da internet pública.Customers control which services can access and be accessed from the public internet. Este acesso é controlado através da utilização do Azure Firewall ou de outros tipos de aparelhos de rede virtuais (NVAs), políticas de encaminhamento personalizados utilizando rotas definidaspelo utilizador, e filtragem de rede utilizando grupos de segurança de rede.This access is controlled by using Azure Firewall or other types of virtual network appliances (NVAs), custom routing policies by using user-defined routes, and network filtering by using network security groups. Recomendamos que todos os recursos virados para a Internet também sejam protegidos pela Norma de Proteção DDoS Azure.We recommend that all internet-facing resources also be protected by the Azure DDoS Protection Standard.

As empresas podem ter de ligar o seu datacenter virtual a datacenters no local ou outros recursos.Enterprises may need to connect their virtual datacenter to on-premises datacenters or other resources. Esta conectividade entre as redes Azure e as redes no local é um aspeto crucial na conceção de uma arquitetura eficaz.This connectivity between Azure and on-premises networks is a crucial aspect when designing an effective architecture. As empresas têm duas formas diferentes de criar esta interligação: o trânsito através da Internet ou através de ligações diretas privadas.Enterprises have two different ways to create this interconnection: transit over the Internet or via private direct connections.

Uma VPN Azure Site-to-Site conecta redes no local ao seu centro de dados virtual em Azure.An Azure Site-to-Site VPN connects on-premises networks to your virtual datacenter in Azure. A ligação é estabelecida através de ligações encriptadas seguras (túneis IPsec).The link is established through secure encrypted connections (IPsec tunnels). As ligações VPN do Azure Site-to-Site são flexíveis, rápidas de criar e normalmente não requerem nenhuma aquisição adicional de hardware.Azure Site-to-Site VPN connections are flexible, quick to create, and typically don't require any additional hardware procurement. Com base nos protocolos padrão da indústria, a maioria dos dispositivos de rede atuais pode criar ligações VPN ao Azure através da internet ou caminhos de conectividade existentes.Based on industry standard protocols, most current network devices can create VPN connections to Azure over the internet or existing connectivity paths.

O ExpressRoute permite ligações privadas entre o seu datacenter virtual e quaisquer redes no local.ExpressRoute enables private connections between your virtual datacenter and any on-premises networks. As ligações ExpressRoute não passam pela Internet pública e oferecem maior segurança, fiabilidade e velocidades mais altas (até 100 Gbps) juntamente com latência consistente.ExpressRoute connections don't go over the public Internet, and offer higher security, reliability, and higher speeds (up to 100 Gbps) along with consistent latency. A ExpressRoute fornece os benefícios das regras de conformidade associadas às ligações privadas.ExpressRoute provides the benefits of compliance rules associated with private connections. Com o ExpressRoute Direct,pode ligar-se diretamente aos routers da Microsoft a 10 Gbps ou 100 Gbps.With ExpressRoute Direct, you can connect directly to Microsoft routers at either 10 Gbps or 100 Gbps.

A implementação de ligações ExpressRoute envolve geralmente o envolvimento com um prestador de serviços ExpressRoute (ExpressRoute Direct é a exceção).Deploying ExpressRoute connections usually involves engaging with an ExpressRoute service provider (ExpressRoute Direct being the exception). Para os clientes que precisam de começar rapidamente, é comum utilizar inicialmente a VPN site-to-site para estabelecer conectividade entre um datacenter virtual e recursos no local.For customers that need to start quickly, it's common to initially use Site-to-Site VPN to establish connectivity between a virtual datacenter and on-premises resources. Uma vez concluída a sua interligação física com o seu fornecedor de serviços, em seguida, migrar a conectividade sobre a sua ligação ExpressRoute.Once your physical interconnection with your service provider is complete, then migrate connectivity over your ExpressRoute connection.

Para um grande número de ligações VPN ou ExpressRoute, a Azure Virtual WAN é um serviço de networking que fornece conectividade de ramo-a-ramo otimizada e automatizada através do Azure.For large numbers of VPN or ExpressRoute connections, Azure Virtual WAN is a networking service that provides optimized and automated branch-to-branch connectivity through Azure. O WAN virtual permite-lhe ligar e configurar dispositivos de ramificação para comunicar com o Azure.Virtual WAN lets you connect to and configure branch devices to communicate with Azure. A ligação e a configuração podem ser feitas manualmente ou utilizando dispositivos de fornecedor preferidos através de um parceiro VIRTUAL WAN.Connecting and configuring can be done either manually or by using preferred provider devices through a Virtual WAN partner. A utilização de dispositivos de fornecedor preferidos permite facilitar a utilização, a simplificação da conectividade e a gestão da configuração.Using preferred provider devices allows ease of use, simplification of connectivity, and configuration management. O painel incorporado Azure WAN fornece insights instantâneos de resolução de problemas que podem ajudar a economizar tempo, e dá-lhe uma maneira fácil de ver a conectividade site-to-site em larga escala.The Azure WAN built-in dashboard provides instant troubleshooting insights that can help save you time, and gives you an easy way to view large-scale site-to-site connectivity. A VIRTUAL WAN também fornece serviços de segurança com um Azure Firewall e Gestor de Firewall opcional no seu hub Virtual WAN.Virtual WAN also provides security services with an optional Azure Firewall and Firewall Manager in your Virtual WAN hub.

Conectividade dentro da nuvemConnectivity within the cloud

As Redes Virtuais Azure e o espreitamento de rede virtual são os componentes básicos de rede num datacenter virtual.Azure Virtual Networks and virtual network peering are the basic networking components in a virtual datacenter. Uma rede virtual garante um limite de isolamento para recursos de datacenter virtuais.A virtual network guarantees an isolation boundary for virtual datacenter resources. O peering permite a intercomunicação entre diferentes redes virtuais dentro da mesma região de Azure, através de regiões, e até mesmo entre redes em diferentes subscrições.Peering allows intercommunication between different virtual networks within the same Azure region, across regions, and even between networks in different subscriptions. Tanto dentro como entre redes virtuais, os fluxos de tráfego podem ser controlados por conjuntos de regras de segurança especificadas para grupos de segurança de rede,políticas de firewall(Azure Firewall ou aparelhos virtuais de rede) e rotas personalizadas definidas pelo utilizador.Both inside and between virtual networks, traffic flows can be controlled by sets of security rules specified for network security groups, firewall policies (Azure Firewall or network virtual appliances), and custom user-defined routes.

As redes virtuais são também pontos de âncora para integrar a plataforma como um serviço (PaaS) Azure produtos como o Azure Storage, Azure SQL,e outros serviços públicos integrados que têm pontos finais públicos.Virtual networks are also anchor points for integrating platform as a service (PaaS) Azure products like Azure Storage, Azure SQL, and other integrated public services that have public endpoints. Com pontos finais de serviço e Azure Private Link,pode integrar os seus serviços públicos com a sua rede privada.With service endpoints and Azure Private Link, you can integrate your public services with your private network. Pode até levar os seus serviços públicos privados, mas ainda assim usufruir dos benefícios dos serviços PaaS geridos pela Azure.You can even take your public services private, but still enjoy the benefits of Azure-managed PaaS services.

Visão geral do datacenter virtualVirtual datacenter overview

TopologiasTopologies

Um datacenter virtual pode ser construído usando uma destas topologias de alto nível, com base nas suas necessidades e requisitos de escala:A virtual datacenter can be built using one of these high-level topologies, based on your needs and scale requirements:

Numa topologia plana, todos os recursos são implantados numa única rede virtual.In a Flat topology, all resources are deployed in a single virtual network. As sub-redes permitem o controlo do fluxo e a segregação.Subnets allow for flow control and segregation.

1111

Numa topologia de malha, o espreitamento de rede virtual conecta todas as redes virtuais diretamente umas às outras.In a Mesh topology, virtual network peering connects all virtual networks directly to each other.

1212

Um centro de peering e topologia falada é adequado para aplicações distribuídas e equipas com responsabilidades delegadas.A Peering hub and spoke topology is well suited for distributed applications and teams with delegated responsibilities.

1313

Uma topologia Azure Virtual WAN pode suportar cenários de sucursais em larga escala e serviços WAN globais.An Azure Virtual WAN topology can support large-scale branch office scenarios and global WAN services.

1414

O centro de observação e a topologia de fala e a topologia Azure Virtual WAN usam um hub e um design de fala, o que é ideal para a comunicação, recursos partilhados e política de segurança centralizada.The peering hub and spoke topology and the Azure Virtual WAN topology both use a hub and spoke design, which is optimal for communication, shared resources, and centralized security policy. Os hubs são construídos utilizando um centro de observação de rede virtual (rotulado como Hub Virtual Network no diagrama) ou um hub WAN virtual (rotulado como Azure Virtual WAN no diagrama).Hubs are built using either a virtual network peering hub (labeled as Hub Virtual Network in the diagram) or a Virtual WAN hub (labeled as Azure Virtual WAN in the diagram). O Azure Virtual WAN é projetado para comunicações de sucursais em grande escala e de ramo-a-a-azure, ou para evitar as complexidades de construção de todos os componentes individualmente num centro de observação de rede virtual.Azure Virtual WAN is designed for large-scale branch-to-branch and branch-to-Azure communications, or for avoiding the complexities of building all the components individually in a virtual networking peering hub. Em alguns casos, os seus requisitos podem ordenar um design de hub de observação de rede virtual, como a necessidade de aparelhos virtuais de rede no centro.In some cases, your requirements might mandate a virtual network peering hub design, such as the need for network virtual appliances in the hub.

Em ambas as linhas do centro e em cima da palavra, o centro é a zona central de rede que controla e inspeciona todo o tráfego entre diferentes zonas: internet, no local e os porta-vozes.In both of the hub and spoke topologies, the hub is the central network zone that controls and inspects all traffic between different zones: internet, on-premises, and the spokes. O centro e a topologia falada ajudam o departamento de TI a impor centralmente as políticas de segurança.The hub and spoke topology helps the IT department centrally enforce security policies. Também reduz o potencial de configuração incorreta e exposição.It also reduces the potential for misconfiguration and exposure.

O centro contém frequentemente os componentes de serviço comuns consumidos pelos raios.The hub often contains the common service components consumed by the spokes. Os exemplos seguintes são serviços centrais comuns:The following examples are common central services:

  • A infraestrutura do Windows Ative Directory, necessária para a autenticação de terceiros que acedam a redes não fidedquisidas antes de terem acesso às cargas de trabalho no spoke.The Windows Active Directory infrastructure, required for user authentication of third parties that access from untrusted networks before they get access to the workloads in the spoke. Inclui os Active Directory Federation Services (AD FS) relacionados.It includes the related Active Directory Federation Services (AD FS).
  • Um serviço de Sistema de Nome Distribuído (DNS) para resolver o nome para a carga de trabalho nos porta-vozes, para aceder aos recursos no local e na internet se o Azure DNS não for utilizado.A Distributed Name System (DNS) service to resolve naming for the workload in the spokes, to access resources on-premises and on the internet if Azure DNS isn't used.
  • Uma infraestrutura de chaves públicas (PKI) para implementar um início de sessão único nas cargas de trabalho.A public key infrastructure (PKI), to implement single sign-on on workloads.
  • Controlo de fluxo de tráfego TCP e UDP entre as zonas de rede de spoke e a Internet.Flow control of TCP and UDP traffic between the spoke network zones and the internet.
  • Controlo de fluxo entre os spokes e no local.Flow control between the spokes and on-premises.
  • Se necessário, controlo de fluxo entre um spoke e outro.If needed, flow control between one spoke and another.

Um datacenter virtual reduz o custo global usando a infraestrutura de hub compartilhado entre vários porta-vozes.A virtual datacenter reduces overall cost by using the shared hub infrastructure between multiple spokes.

A função de cada spoke pode ser alojar diferentes tipos de carga de trabalho.The role of each spoke can be to host different types of workloads. Os spokes também proporcionam uma abordagem modular para implementações reproduzíveis das mesmas cargas de trabalho.The spokes also provide a modular approach for repeatable deployments of the same workloads. Exemplos incluem dev/teste, testes de aceitação do utilizador, pré-produção e produção.Examples include dev/test, user acceptance testing, preproduction, and production. Os spokes podem também segregar e ativar diferentes grupos dentro da sua organização.The spokes can also segregate and enable different groups within your organization. Um exemplo são os grupos DevOps.An example is DevOps groups. Dentro de um spoke, é possível implementar uma carga de trabalho básica ou cargas de trabalho multicamadas complexas com controlo de tráfego entre as camadas.Inside a spoke, it's possible to deploy a basic workload or complex multitier workloads with traffic control between the tiers.

Limites de subscrições e múltiplos hubsSubscription limits and multiple hubs

Importante

Com base no tamanho das suas implementações do Azure, pode ser necessária uma estratégia de múltiplos hubs.Based on the size of your Azure deployments, a multiple hub strategy may be needed. Ao desenhar o seu hub e a sua estratégia de fala, pergunte "pode esta escala de design usar outra rede virtual de hub nesta região?", também, "pode esta escala de design acomodar várias regiões?"When designing your hub and spoke strategy, ask "can this design scale to use another hub virtual network in this region?", also, "can this design scale to accommodate multiple regions?" É muito melhor planear um projeto que escama e não precisa dele, do que não planear e precisar dele.It's far better to plan for a design that scales and not need it, than to fail to plan and need it.

Quando escalar para um centro secundário (ou mais) dependerá de vários fatores, geralmente baseados em limites inerentes à escala.When to scale to a secondary (or more) hub will depend on myriad factors, usually based on inherent limits on scale. Certifique-se de rever os limites de subscrição, rede virtual e máquina virtual ao desenhar para escala.Be sure to review the subscription, virtual network, and virtual machine limits when designing for scale.

No Azure, cada componente, independentemente do tipo, é implantado numa subscrição do Azure.In Azure, every component, whatever the type, is deployed in an Azure subscription. O isolamento dos componentes do Azure em diferentes subscrições do Azure pode satisfazer os requisitos de diferentes linhas de negócio, como a configuração de níveis diferenciados de acesso e autorização.The isolation of Azure components in different Azure subscriptions can satisfy the requirements of different lines of business, such as setting up differentiated levels of access and authorization.

Uma única implementação de VDC pode escalar até um grande número de raios de voz, embora, como em todos os sistemas de TI, existam limites de plataforma.A single VDC implementation can scale up to large number of spokes, although, as with every IT system, there are platform limits. A implementação do hub está ligada a uma subscrição específica do Azure, que tem restrições e limites (por exemplo, um número máximo de espreitadores de rede virtuais.The hub deployment is bound to a specific Azure subscription, which has restrictions and limits (for example, a maximum number of virtual network peerings. Para mais informações, consulte limites de subscrição e serviço da Azure, quotas e constrangimentos).For details, see Azure subscription and service limits, quotas, and constraints). Nos casos em que os limites podem ser um problema, a arquitetura pode aumentar ainda mais, estendendo o modelo de um único hub-spokes a um conjunto de centros e porta-vozes.In cases where limits may be an issue, the architecture can scale up further by extending the model from a single hub-spokes to a cluster of hub and spokes. Vários hubs em uma ou mais regiões de Azure podem ser conectados usando o espreitamento de rede virtual, ExpressRoute, Virtual WAN ou VPN site-to-site.Multiple hubs in one or more Azure regions can be connected using virtual network peering, ExpressRoute, Virtual WAN, or site-to-site VPN.

22

A introdução de múltiplos hubs aumenta o custo e o esforço de gestão do sistema.The introduction of multiple hubs increases the cost and management effort of the system. Só se justifica devido à escalabilidade, limites do sistema, redundância, replicação regional para o desempenho do utilizador final ou recuperação de desastres.It is only justified due to scalability, system limits, redundancy, regional replication for end-user performance, or disaster recovery. Em cenários que exijam vários hubs, todos os centros devem esforçar-se para oferecer o mesmo conjunto de serviços para facilitar a operação.In scenarios requiring multiple hubs, all the hubs should strive to offer the same set of services for operational ease.

Interligação entre spokesInterconnection between spokes

Dentro de um único spoke, ou um design de rede plana, é possível implementar cargas de trabalho complexas multi-mais.Inside a single spoke, or a flat network design, it's possible to implement complex multitier workloads. Configurações multifunções podem ser implementadas usando sub-redes, uma para cada nível ou aplicação, na mesma rede virtual.Multitier configurations can be implemented using subnets, one for every tier or application, in the same virtual network. O controlo e filtragem do tráfego são feitos utilizando grupos de segurança de rede e rotas definidas pelo utilizador.Traffic control and filtering are done using network security groups and user-defined routes.

Um arquiteto pode querer implementar uma carga de trabalho multicamada em várias redes virtuais.An architect might want to deploy a multitier workload across multiple virtual networks. Com o olhar de rede virtual, os raios podem ligar-se a outros raios no mesmo hub ou em diferentes centros.With virtual network peering, spokes can connect to other spokes in the same hub or different hubs. Um exemplo típico deste cenário é o caso em que os servidores de processamento de aplicações estão em uma rede falada ou virtual.A typical example of this scenario is the case where application processing servers are in one spoke, or virtual network. A base de dados implanta-se numa rede diferente de fala, ou virtual.The database deploys in a different spoke, or virtual network. Neste caso, é fácil interligar os raios com o olhar de rede virtual e, ao fazê-lo, evitar a passagem pelo hub.In this case, it's easy to interconnect the spokes with virtual network peering and, by doing that, avoid transiting through the hub. Deve ser feita uma análise cuidadosa da arquitetura e da segurança para garantir que contornar o hub não contorna importantes pontos de segurança ou de auditoria que possam existir apenas no centro.A careful architecture and security review should be done to ensure that bypassing the hub doesn't bypass important security or auditing points that might exist only in the hub.

33

Os spokes também podem ser interligados a um spoke que funciona como um hub.Spokes can also be interconnected to a spoke that acts as a hub. Esta abordagem cria uma hierarquia de dois níveis: o spoke no nível mais elevado (nível 0) torna-se no hub dos spokes de nível inferior (nível 1) da hierarquia.This approach creates a two-level hierarchy: the spoke in the higher level (level 0) becomes the hub of lower spokes (level 1) of the hierarchy. Os porta-vozes de uma implementação do VDC são necessários para encaminhar o tráfego para o centro central, de modo a que o tráfego possa transitar para o seu destino, quer na rede de instalações, quer na internet pública.The spokes of a VDC implementation are required to forward the traffic to the central hub so that the traffic can transit to its destination in either the on-premises network or the public internet. Uma arquitetura com dois níveis de hubs introduz um encaminhamento complexo que remove os benefícios de uma simples relação com o hub- falada.An architecture with two levels of hubs introduces complex routing that removes the benefits of a simple hub-spoke relationship.

Embora O Azul permita topologias complexas, um dos princípios fundamentais do conceito VDC é a repetibilidade e a simplicidade.Although Azure allows complex topologies, one of the core principles of the VDC concept is repeatability and simplicity. Para minimizar o esforço de gestão, o design simples de hub-spoke é a arquitetura de referência VDC que recomendamos.To minimize management effort, the simple hub-spoke design is the VDC reference architecture that we recommend.

ComponentesComponents

O centro de dados virtual é composto por quatro tipos de componentes básicos: Infraestruturas, Redes de Perímetro, Cargas de Trabalho e Monitorização.The virtual datacenter is made up of four basic component types: Infrastructure, Perimeter Networks, Workloads, and Monitoring.

Cada tipo de componente é composto por várias funcionalidades e recursos Azure.Each component type consists of various Azure features and resources. A sua implementação de VDC é composta por casos de múltiplos tipos de componentes e variações múltiplas do mesmo tipo de componente.Your VDC implementation is made up of instances of multiple components types and multiple variations of the same component type. Por exemplo, você pode ter muitos casos de carga de trabalho diferentes, logicamente separados, que representam diferentes aplicações.For instance, you may have many different, logically separated workload instances that represent different applications. Utiliza estes diferentes tipos e instâncias de componentes para, em última análise, construir o VDC.You use these different component types and instances to ultimately build the VDC.

44

A arquitetura conceptual de alto nível anterior do VDC mostra diferentes tipos de componentes usados em diferentes zonas da topologia dos porta-vozes do hub.The preceding high-level conceptual architecture of the VDC shows different component types used in different zones of the hub-spokes topology. O diagrama mostra componentes de infraestrutura em várias partes da arquitetura.The diagram shows infrastructure components in various parts of the architecture.

Como boas práticas em geral, os direitos de acesso e os privilégios devem basear-se em grupo.As good practice in general, access rights and privileges should be group-based. Lidar com grupos em vez de utilizadores individuais facilita a manutenção das políticas de acesso, fornecendo uma forma consistente de geri-lo entre equipas, e ajuda na minimização de erros de configuração.Dealing with groups rather than individual users eases maintenance of access policies, by providing a consistent way to manage it across teams, and aids in minimizing configuration errors. Atribuir e remover utilizadores de e de grupos apropriados ajuda a manter os privilégios de um utilizador específico atualizados.Assigning and removing users to and from appropriate groups helps keeping the privileges of a specific user up to date.

Cada grupo de papéis deve ter um prefixo único nos seus nomes.Each role group should have a unique prefix on their names. Este prefixo facilita a identificação do grupo a que a carga de trabalho está associada.This prefix makes it easy to identify which group is associated with which workload. Por exemplo, uma carga de trabalho que hospeda um serviço de autenticação pode ter grupos chamados AuthServiceNetOps, AuthServiceSecOps, AuthServiceDevOps e AuthServiceInfraOps.For example, a workload hosting an authentication service might have groups named AuthServiceNetOps, AuthServiceSecOps, AuthServiceDevOps, and AuthServiceInfraOps. Papéis centralizados, ou funções não relacionadas com um serviço específico, podem ser prefaciados com a Corp. Um exemplo é o CorpNetOps.Centralized roles, or roles not related to a specific service, might be prefaced with Corp. An example is CorpNetOps.

Muitas organizações usam uma variação dos seguintes grupos para fornecer uma grande desagregação de papéis:Many organizations use a variation of the following groups to provide a major breakdown of roles:

  • A equipa central de TI chamada Corp tem os direitos de propriedade para controlar componentes de infraestrutura.The central IT team named Corp has the ownership rights to control infrastructure components. Exemplos são networking e segurança.Examples are networking and security. O grupo tem de ter o papel de contribuinte na subscrição, controlo do hub e direitos dos contribuintes da rede nos porta-vozes.The group needs to have the role of contributor on the subscription, control of the hub, and network contributor rights in the spokes. As grandes organizações dividem frequentemente estas responsabilidades de gestão entre várias equipas.Large organizations frequently split up these management responsibilities between multiple teams. Exemplos são um grupo de operações de rede CorpNetOps com foco exclusivo na rede e um grupo de operações de segurança CorpSecOps responsável pela política de firewall e segurança.Examples are a network operations CorpNetOps group with exclusive focus on networking and a security operations CorpSecOps group responsible for the firewall and security policy. Neste caso específico, é necessário criar dois grupos diferentes para a atribuição destas funções personalizadas.In this specific case, two different groups need to be created for assignment of these custom roles.
  • O grupo dev/teste chamado AppDevOps tem a responsabilidade de implementar cargas de trabalho de aplicações ou serviços.The dev/test group named AppDevOps has the responsibility to deploy app or service workloads. Este grupo assume o papel de contribuinte de máquinas virtuais para implementações iaaS ou um ou mais papéis de colaborador do PaaS.This group takes the role of virtual machine contributor for IaaS deployments or one or more PaaS contributor's roles. Para obter mais informações, veja Funções incorporadas para recursos do Azure.For more information, see Built-in roles for Azure resources. Opcionalmente, a equipa dev/teste poderá necessitar de visibilidade sobre as políticas de segurança (grupos de segurança da rede) e políticas de encaminhamento (rotas definidas pelo utilizador) dentro do hub ou de um discurso específico.Optionally, the dev/test team might need visibility on security policies (network security groups) and routing policies (user-defined routes) inside the hub or a specific spoke. Para além do papel do contribuinte para as cargas de trabalho, este grupo precisaria também do papel de leitor de rede.In addition to the role of contributor for workloads, this group would also need the role of network reader.
  • O grupo de operação e manutenção chamado CorpInfraOps ou AppInfraOps tem a responsabilidade de gerir cargas de trabalho na produção.The operation and maintenance group called CorpInfraOps or AppInfraOps has the responsibility of managing workloads in production. Este grupo tem de ser um contribuinte de subscrição sobre cargas de trabalho em quaisquer subscrições de produção.This group needs to be a subscription contributor on workloads in any production subscriptions. Algumas organizações também podem avaliar se precisam de um grupo de equipa de apoio à escalada adicional com o papel de colaborador de subscrição na produção e a subscrição do hub central.Some organizations might also evaluate if they need an additional escalation support team group with the role of subscription contributor in production and the central hub subscription. O grupo adicional corrige potenciais problemas de configuração no ambiente de produção.The additional group fixes potential configuration issues in the production environment.

O VDC foi concebido de modo a que os grupos criados para a equipa central de TI, gerindo o hub, tenham grupos correspondentes ao nível da carga de trabalho.The VDC is designed so that groups created for the central IT team, managing the hub, have corresponding groups at the workload level. Além de gerir apenas os recursos do hub, a equipa central de TI pode controlar o acesso externo e permissões de alto nível na subscrição.In addition to managing hub resources only, the central IT team can control external access and top-level permissions on the subscription. Os grupos de carga de trabalho também podem controlar recursos e permissões da sua rede virtual independentemente da equipa central de TI.Workload groups can also control resources and permissions of their virtual network independently from the central IT team.

O datacenter virtual é dividido para acolher de forma segura vários projetos em diferentes linhas de negócio.The virtual datacenter is partitioned to securely host multiple projects across different lines of business. Todos os projetos requerem diferentes ambientes isolados (dev, UAT e produção).All projects require different isolated environments (dev, UAT, and production). Assinaturas separadas do Azure para cada um destes ambientes podem proporcionar isolamento natural.Separate Azure subscriptions for each of these environments can provide natural isolation.

55

O diagrama anterior mostra a relação entre os projetos, utilizadores e grupos de uma organização e os ambientes onde os componentes do Azure são implantados.The preceding diagram shows the relationship between an organization's projects, users, and groups and the environments where the Azure components are deployed.

Tipicamente em TI, um ambiente (ou nível) é um sistema no qual várias aplicações são implementadas e executadas.Typically in IT, an environment (or tier) is a system in which multiple applications are deployed and executed. As grandes empresas utilizam um ambiente de desenvolvimento (onde as alterações são feitas e testadas) e um ambiente de produção (que utilizadores finais utilizam).Large enterprises use a development environment (where changes are made and tested) and a production environment (what end-users use). Esses ambientes são separados, muitas vezes com vários ambientes de preparação entre eles para permitir a implantação faseada (rollout), testes e reversão em caso de problemas.Those environments are separated, often with several staging environments in between them to allow phased deployment (rollout), testing, and rollback if problems arise. As arquiteturas de implantação variam significativamente, mas geralmente o processo básico de começar no desenvolvimento (DEV) e terminar na produção (PROD) ainda é seguido.Deployment architectures vary significantly, but usually the basic process of starting at development (DEV) and ending at production (PROD) is still followed.

Uma arquitetura comum para este tipo de ambientes multitier consiste em DevOps para desenvolvimento e teste, UAT para encenação e ambientes de produção.A common architecture for these types of multitier environments consists of DevOps for development and testing, UAT for staging, and production environments. As organizações podem usar inquilinos AD únicos ou múltiplos para definir o acesso e os direitos a estes ambientes.Organizations can use single or multiple Azure AD tenants to define access and rights to these environments. O diagrama anterior mostra um caso em que são utilizados dois inquilinos AD Azure diferentes: um para DevOps e UAT, e o outro exclusivamente para produção.The previous diagram shows a case where two different Azure AD tenants are used: one for DevOps and UAT, and the other exclusively for production.

A presença de diferentes inquilinos da AD AZure impõe a separação entre ambientes.The presence of different Azure AD tenants enforces the separation between environments. O mesmo grupo de utilizadores, como a equipa central de TI, precisa de autenticar utilizando um URI diferente para aceder a um inquilino AD Azure diferente para modificar as funções ou permissões dos DevOps ou ambientes de produção de um projeto.The same group of users, such as the central IT team, need to authenticate by using a different URI to access a different Azure AD tenant to modify the roles or permissions of either the DevOps or production environments of a project. A presença de diferentes autenticações de utilizadores para aceder a diferentes ambientes reduz possíveis interrupções e outros problemas causados por erros humanos.The presence of different user authentications to access different environments reduces possible outages and other issues caused by human errors.

Tipo de componente: InfraestruturaComponent type: Infrastructure

Este tipo de componente é onde reside a maior parte da infraestrutura de apoio.This component type is where most of the supporting infrastructure resides. É também onde as suas equipas de TI, segurança e conformidade centralizadas passam a maior parte do tempo.It's also where your centralized IT, security, and compliance teams spend most of their time.

66

Os componentes da infraestrutura proporcionam uma interligação para os diferentes componentes de uma implementação de VDC, e estão presentes tanto no centro como nos raios.Infrastructure components provide an interconnection for the different components of a VDC implementation, and are present in both the hub and the spokes. A responsabilidade pela gestão e manutenção dos componentes da infraestrutura é normalmente atribuída à equipa central de TI ou à equipa de segurança.The responsibility for managing and maintaining the infrastructure components is typically assigned to the central IT team or security team.

Uma das principais tarefas da equipa de infraestruturas de TI é garantir a consistência dos esquemas de endereços IP em toda a empresa.One of the primary tasks of the IT infrastructure team is to guarantee the consistency of IP address schemas across the enterprise. O espaço de endereço IP privado atribuído a uma implementação de VDC deve ser consistente e NÃO se sobrepor a endereços IP privados atribuídos nas suas redes no local.The private IP address space assigned to a VDC implementation must be consistent and NOT overlapping with private IP addresses assigned on your on-premises networks.

Enquanto o NAT nos routers de borda no local ou em ambientes Azure pode evitar conflitos de endereço IP, adiciona complicações aos seus componentes de infraestrutura.While NAT on the on-premises edge routers or in Azure environments can avoid IP address conflicts, it adds complications to your infrastructure components. A simplicidade da gestão é um dos principais objetivos do VDC, pelo que usar o NAT para lidar com as preocupações de IP, enquanto uma solução válida, não é uma solução recomendada.Simplicity of management is one of the key goals of the VDC, so using NAT to handle IP concerns, while a valid solution, is not a recommended solution.

Os componentes da infraestrutura têm a seguinte funcionalidade:Infrastructure components have the following functionality:

  • Serviços de identidade e diretório.Identity and directory services. O acesso a todos os tipos de recursos em Azure é controlado por uma identidade armazenada num serviço de diretório.Access to every resource type in Azure is controlled by an identity stored in a directory service. O serviço de diretório armazena não só a lista de utilizadores, mas também os direitos de acesso aos recursos numa subscrição específica do Azure.The directory service stores not only the list of users, but also the access rights to resources in a specific Azure subscription. Estes serviços podem existir apenas em nuvem, ou podem ser sincronizados com identidade no local armazenada no Ative Directory.These services can exist cloud-only, or they can be synchronized with on-premises identity stored in Active Directory.
  • Rede Virtual.Virtual Network. As redes virtuais são um dos principais componentes do VDC, e permitem criar um limite de isolamento de tráfego na plataforma Azure.Virtual networks are one of main components of the VDC, and enable you to create a traffic isolation boundary on the Azure platform. Uma rede virtual é composta por um único ou múltiplo segmentos de rede virtual, cada um com um prefixo de rede IP específico (uma sub-rede, ou IPv4 ou dual stack IPv4/IPv6).A virtual network is composed of a single or multiple virtual network segments, each with a specific IP network prefix (a subnet, either IPv4 or dual stack IPv4/IPv6). A rede virtual define uma área de perímetro interno onde máquinas virtuais IaaS e serviços PaaS podem estabelecer comunicações privadas.The virtual network defines an internal perimeter area where IaaS virtual machines and PaaS services can establish private communications. Os serviços de VMs (e PaaS) numa rede virtual não podem comunicar diretamente com VMs (e serviços PaaS) numa rede virtual diferente, mesmo que ambas as redes virtuais sejam criadas pelo mesmo cliente, sob a mesma subscrição.VMs (and PaaS services) in one virtual network can't communicate directly to VMs (and PaaS services) in a different virtual network, even if both virtual networks are created by the same customer, under the same subscription. O isolamento é uma propriedade crítica que garante que os VMs do cliente e a comunicação permanecem privados dentro de uma rede virtual.Isolation is a critical property that ensures customer VMs and communication remains private within a virtual network. Onde a conectividade transversal é desejada, as seguintes funcionalidades descrevem como isso pode ser realizado.Where cross-network connectivity is desired, the following features describe how that can be accomplished.
  • Olhando a rede virtual.Virtual network peering. A característica fundamental usada para criar a infraestrutura de um VDC é o perspeção de rede virtual, que liga duas redes virtuais na mesma região, seja através da rede de datacenter Azure ou utilizando a espinha dorsal mundial do Azure em todas as regiões.The fundamental feature used to create the infrastructure of a VDC is virtual network peering, which connects two virtual networks in the same region, either through the Azure datacenter network or using the Azure worldwide backbone across regions.
  • Pontos finais de serviço de rede virtual.Virtual Network service endpoints. Os pontos finais de serviço estendem o seu espaço de endereço privado de rede virtual para incluir o seu espaço PaaS.Service endpoints extend your virtual network private address space to include your PaaS space. Os pontos finais também estendem a identidade da sua rede virtual aos serviços Azure através de uma ligação direta.The endpoints also extend the identity of your virtual network to the Azure services over a direct connection. Os pontos finais permitem-lhe obter os seus recursos críticos de serviço do Azure apenas para as suas redes virtuais.Endpoints allow you to secure your critical Azure service resources to only your virtual networks.
  • Ligação Privada.Private Link. O Azure Private Link permite-lhe aceder aos Serviços Azure PaaS (por exemplo, Azure Storage, Azure Cosmos DBe Azure SQL Database) e a Azure acolheu serviços de cliente/parceiro sobre um Ponto Final Privado na sua rede virtual.Azure Private Link enables you to access Azure PaaS Services (for example, Azure Storage, Azure Cosmos DB, and Azure SQL Database) and Azure hosted customer/partner services over a Private Endpoint in your virtual network. O tráfego entre a rede virtual e o serviço percorre a rede de backbone da Microsoft, eliminando a exposição da Internet pública.Traffic between your virtual network and the service traverses over the Microsoft backbone network, eliminating exposure from the public Internet. Também pode criar o seu próprio Serviço de Ligação Privada na sua rede virtual e entregá-lo em privado aos seus clientes.You can also create your own Private Link Service in your virtual network and deliver it privately to your customers. A experiência de configuração e consumo utilizando o Azure Private Link é consistente em todo o Azure PaaS, propriedade do cliente e serviços de parceiros compartilhados.The setup and consumption experience using Azure Private Link is consistent across Azure PaaS, customer-owned, and shared partner services.
  • Rotas definidas pelo utilizador.User-defined routes. O tráfego numa rede virtual é encaminhado por defeito com base na tabela de encaminhamento do sistema.Traffic in a virtual network is routed by default based on the system routing table. Uma rota definida pelo utilizador é uma tabela de encaminhamento personalizada que os administradores de rede podem associar a uma ou mais sub-redes para anular o comportamento da tabela de encaminhamento do sistema e definir uma via de comunicação dentro de uma rede virtual.A user-defined route is a custom routing table that network administrators can associate to one or more subnets to override the behavior of the system routing table and define a communication path within a virtual network. A presença de rotas definidas pelo utilizador garante que a saída do tráfego do trânsito de raios-falados através de VMs personalizados ou aparelhos virtuais de rede e equilibradores de carga presentes tanto no centro como nos porta-vozes.The presence of user-defined routes guarantees that egress traffic from the spoke transit through specific custom VMs or network virtual appliances and load balancers present in both the hub and the spokes.
  • Grupos de segurança de rede.Network security groups. Um grupo de segurança de rede é uma lista de regras de segurança que funcionam como filtragem de tráfego em fontes IP, destinos IP, protocolos, portas de origem IP e portas de destino IP (também chamada de Camada 4 de cinco tuples).A network security group is a list of security rules that act as traffic filtering on IP sources, IP destinations, protocols, IP source ports, and IP destination ports (also called a Layer 4 five-tuple). O grupo de segurança da rede pode ser aplicado a uma sub-rede, um NIC Virtual associado a um Azure VM, ou ambos.The network security group can be applied to a subnet, a Virtual NIC associated with an Azure VM, or both. Os grupos de segurança da rede são essenciais para implementar um controlo correto do fluxo no centro e nos raios.The network security groups are essential to implement a correct flow control in the hub and in the spokes. O nível de segurança proporcionado pelo grupo de segurança da rede é uma função da qual as portas abrem e com que finalidade.The level of security afforded by the network security group is a function of which ports you open, and for what purpose. Os clientes devem aplicar filtros por VM adicionais com firewalls baseados em hospedeiros, tais como iptables ou o Windows Firewall.Customers should apply additional per-VM filters with host-based firewalls such as iptables or the Windows Firewall.
  • DNS.DNS. O DNS fornece a resolução de nomes para recursos num datacenter virtual.DNS provides name resolution for resources in a virtual datacenter. A Azure presta serviços DNS para resolução de nomes públicos e privados.Azure provides DNS services for both public and private name resolution. As zonas privadas fornecem resolução de nomes tanto dentro de uma rede virtual como através de redes virtuais.Private zones provide name resolution both within a virtual network and across virtual networks. Você pode ter zonas privadas não só abrangem redes virtuais na mesma região, mas também em regiões e subscrições.You can have private zones not only span across virtual networks in the same region, but also across regions and subscriptions. Para resolução pública, o Azure DNS fornece um serviço de hospedagem para domínios DNS, fornecendo resolução de nomes utilizando a infraestrutura Microsoft Azure.For public resolution, Azure DNS provides a hosting service for DNS domains, providing name resolution using Microsoft Azure infrastructure. Ao alojar os seus domínios no Azure, pode gerir os recursos DNS com as mesmas credenciais, APIs, ferramentas e faturação dos seus outros serviços do Azure.By hosting your domains in Azure, you can manage your DNS records using the same credentials, APIs, tools, and billing as your other Azure services.
  • Grupo de gestão, subscriçãoe gestão de grupos de recursos.Management group, subscription, and resource group management. Uma subscrição define um limite natural para criar vários grupos de recursos em Azure.A subscription defines a natural boundary to create multiple groups of resources in Azure. Esta separação pode ser para função, segregação de papéis ou faturação.This separation can be for function, role segregation, or billing. Os recursos numa subscrição são reunidos em recipientes lógicos conhecidos como grupos de recursos.Resources in a subscription are assembled together in logical containers known as resource groups. O grupo de recursos representa um grupo lógico para organizar os recursos num datacenter virtual.The resource group represents a logical group to organize the resources in a virtual datacenter. Se a sua organização tiver várias subscrições, poderá precisar de uma forma de gerir eficazmente o acesso, as políticas e a conformidade para essas subscrições.If your organization has many subscriptions, you may need a way to efficiently manage access, policies, and compliance for those subscriptions. Os grupos de gestão do Azure fornecem um nível de âmbito acima das subscrições.Azure management groups provide a level of scope above subscriptions. Organiza subscrições em contentores conhecidos como grupos de gestão e aplica as suas condições de governação aos grupos de gestão.You organize subscriptions into containers known as management groups and apply your governance conditions to the management groups. Todas as subscrições num grupo de gestão herdam automaticamente as condições aplicadas ao grupo de gestão.All subscriptions within a management group automatically inherit the conditions applied to the management group. Para ver estas três funcionalidades numa visão de hierarquia, consulte a Organização dos seus recursos no Quadro de Adoção em Nuvem.To see these three features in a hierarchy view, see Organizing your resources in the Cloud Adoption Framework.
  • Controlo de acesso baseado em funções (RBAC).Role-based access control (RBAC). O RBAC pode mapear papéis organizacionais e direitos de acesso a recursos específicos do Azure, permitindo-lhe restringir os utilizadores a apenas um determinado subconjunto de ações.RBAC can map organizational roles and rights to access specific Azure resources, allowing you to restrict users to only a certain subset of actions. Se estiver a sincronizar o Azure Ative Directory com um Ative Directory no local, pode utilizar os mesmos grupos de Diretório Ativo em Azure que utiliza no local.If you're synchronizing Azure Active Directory with an on-premises Active Directory, you can use the same Active Directory groups in Azure that you use on-premises. Com o RBAC, pode conceder acesso atribuindo o papel adequado aos utilizadores, grupos e aplicações dentro do âmbito relevante.With RBAC, you can grant access by assigning the appropriate role to users, groups, and applications within the relevant scope. O âmbito de uma atribuição de funções pode ser uma subscrição Azure, um grupo de recursos ou um único recurso.The scope of a role assignment can be an Azure subscription, a resource group, or a single resource. O RBAC permite a herança de permissões.RBAC allows inheritance of permissions. Uma função atribuída num âmbito de parentalidade também permite o acesso às crianças contidas no mesmo.A role assigned at a parent scope also grants access to the children contained within it. Utilizando o RBAC, pode segregar os deveres e conceder apenas a quantidade de acesso aos utilizadores de que necessitam para desempenharem os seus trabalhos.Using RBAC, you can segregate duties and grant only the amount of access to users that they need to perform their jobs. Por exemplo, um funcionário pode gerir máquinas virtuais numa subscrição, enquanto outro pode gerir bases de dados do SQL Server na mesma subscrição.For example, one employee can manage virtual machines in a subscription, while another can manage SQL Server databases in the same subscription.

Tipo de Componente: Redes de PerímetroComponent Type: Perimeter Networks

Os componentes de uma rede de perímetro (por vezes chamada de rede DMZ) ligam as suas redes de datacenter no local ou físicas, juntamente com qualquer conectividade de internet.Components of a perimeter network (sometimes called a DMZ network) connect your on-premises or physical datacenter networks, along with any internet connectivity. O perímetro normalmente requer um investimento significativo de tempo da sua rede e equipas de segurança.The perimeter typically requires a significant time investment from your network and security teams.

Os pacotes de entrada devem fluir através dos aparelhos de segurança no centro antes de chegar aos servidores e serviços de back-end nos raios.Incoming packets should flow through the security appliances in the hub before reaching the back-end servers and services in the spokes. Exemplos incluem firewall, IDS e IPS.Examples include the firewall, IDS, and IPS. Antes de saírem da rede, os pacotes ligados à Internet das cargas de trabalho também devem fluir através dos aparelhos de segurança da rede de perímetro.Before they leave the network, internet-bound packets from the workloads should also flow through the security appliances in the perimeter network. Este fluxo permite a aplicação de políticas, inspeção e auditoria.This flow enables policy enforcement, inspection, and auditing.

Os componentes da rede de perímetro incluem:Perimeter network components include:

Normalmente, a equipa central de TI e as equipas de segurança têm a responsabilidade pela definição e operação de requisitos das redes do perímetro.Usually, the central IT team and security teams have responsibility for requirement definition and operation of the perimeter networks.

77

O diagrama anterior mostra a aplicação de dois perímetros com acesso à internet e uma rede no local, ambos residentes no centro da DMZ.The preceding diagram shows the enforcement of two perimeters with access to the internet and an on-premises network, both resident in the DMZ hub. No hub DMZ, a rede de perímetro para a internet pode escalar para suportar muitas linhas de negócio, usando várias fazendas de Firewalls de Aplicações Web (WAFs) ou Firewalls Azure.In the DMZ hub, the perimeter network to internet can scale up to support many lines of business, using multiple farms of Web Application Firewalls (WAFs) or Azure Firewalls. O hub também permite a conectividade no local através de VPN ou ExpressRoute, se necessário.The hub also allows for on-premises connectivity via VPN or ExpressRoute as needed.

Nota

No diagrama anterior, no "DMZ Hub", muitas das seguintes funcionalidades podem ser agregadas num hub Azure Virtual WAN (como redes virtuais, rotas definidas pelo utilizador, grupos de segurança de rede, gateways VPN, gateways ExpressRoute, equilidores de carga Azure, Firewalls, Firewall Manager e DDOS).In the preceding diagram, in the "DMZ Hub", many of the following features can be bundled together in an Azure Virtual WAN hub (such as virtual networks, user-defined routes, network security groups, VPN gateways, ExpressRoute gateways, Azure load balancers, Azure Firewalls, Firewall Manager, and DDOS). A utilização de hubs Azure Virtual WAN pode tornar a criação da rede virtual hub, e assim o VDC, muito mais fácil, uma vez que a maior parte da complexidade da engenharia é tratada por Azure quando implementa um hub Azure Virtual WAN.Using Azure Virtual WAN hubs can make the creation of the hub virtual network, and thus the VDC, much easier, since most of the engineering complexity is handled for you by Azure when you deploy an Azure Virtual WAN hub.

Redes virtuais.Virtual networks. O hub é tipicamente construído em uma rede virtual com várias sub-redes para hospedar os diferentes tipos de serviços que filtram e inspecionam o tráfego de ou para a internet através de Azure Firewall, NVAs, WAF e Azure Application Gateway instâncias.The hub is typically built on a virtual network with multiple subnets to host the different types of services that filter and inspect traffic to or from the internet via Azure Firewall, NVAs, WAF, and Azure Application Gateway instances.

Rotas definidas pelo utilizador.User-defined routes. Utilizando rotas definidas pelo utilizador, os clientes podem implantar firewalls, IDS/IPS e outros aparelhos virtuais, e encaminhar o tráfego da rede através destes aparelhos de segurança para a aplicação, auditoria e inspeção de políticas de segurança.Using user-defined routes, customers can deploy firewalls, IDS/IPS, and other virtual appliances, and route network traffic through these security appliances for security boundary policy enforcement, auditing, and inspection. As rotas definidas pelo utilizador podem ser criadas tanto no hub como nos raios de comunicação para garantir que o tráfego transite através dos VMs personalizados específicos, aparelhos virtuais de rede e equilibradores de carga utilizados por uma implementação VDC.User-defined routes can be created in both the hub and the spokes to guarantee that traffic transits through the specific custom VMs, Network Virtual Appliances, and load balancers used by a VDC implementation. Para garantir que o tráfego gerado a partir de máquinas virtuais que residem nos trânsitos de raios para os aparelhos virtuais corretos, é necessário definir uma rota definida pelo utilizador nas sub-redes do spoke, definindo o endereço IP frontal do balançador de carga interno como o próximo salto.To guarantee that traffic generated from virtual machines residing in the spoke transits to the correct virtual appliances, a user-defined route needs to be set in the subnets of the spoke by setting the front-end IP address of the internal load balancer as the next hop. O balanceador de carga interno distribui o tráfego interno pelas aplicações virtuais (conjunto de back-end do balanceador de carga).The internal load balancer distributes the internal traffic to the virtual appliances (load balancer back-end pool).

O Azure Firewall é um serviço de segurança de rede gerido que protege os seus recursos da Rede Virtual Azure.Azure Firewall is a managed network security service that protects your Azure Virtual Network resources. É uma firewall gerida pelo estado com alta disponibilidade e escalabilidade em nuvem.It's a stateful managed firewall with high availability and cloud scalability. Pode criar, impor e registar centralmente políticas de conectividade de rede e aplicações entre subscrições e redes virtuais.You can centrally create, enforce, and log application and network connectivity policies across subscriptions and virtual networks. O Azure Firewall utiliza um endereço IP público estático para os recursos de redes virtuais.Azure Firewall uses a static public IP address for your virtual network resources. Permite às firewalls externas identificar o tráfego proveniente da rede virtual.It allows outside firewalls to identify traffic that originates from your virtual network. O serviço está totalmente integrado no Azure Monitor para fins de registo e análise.The service is fully integrated with Azure Monitor for logging and analytics.

Se utilizar a topologia Azure Virtual WAN, o Azure Firewall Manager é um serviço de gestão de segurança que fornece política de segurança central e gestão de rotas para perímetros de segurança baseados na nuvem.If you use the Azure Virtual WAN topology, the Azure Firewall Manager is a security management service that provides central security policy and route management for cloud-based security perimeters. Funciona com o Azure Virtual WAN hub, um recurso gerido pela Microsoft que permite criar facilmente hub e arquiteturas faladas.It works with Azure Virtual WAN hub, a Microsoft-managed resource that lets you easily create hub and spoke architectures. Quando as políticas de segurança e encaminhamento estão associadas a tal hub, é referido como um centro virtual seguro.When security and routing policies are associated with such a hub, it's referred to as a secured virtual hub.

Aparelhos virtuais de rede.Network virtual appliances. No centro, a rede de perímetro com acesso à internet é normalmente gerida através de uma instância Azure Firewall ou de uma fazenda de firewalls ou firewall de aplicações web (WAF).In the hub, the perimeter network with access to the internet is normally managed through an Azure Firewall instance or a farm of firewalls or web application firewall (WAF).

Diferentes linhas de negócio geralmente usam muitas aplicações web, que tendem a sofrer de várias vulnerabilidades e potenciais explorações.Different lines of business commonly use many web applications, which tend to suffer from various vulnerabilities and potential exploits. As firewalls de aplicações web são um tipo especial de produto usado para detetar ataques contra aplicações web, HTTP/HTTPS, em mais profundidade do que uma firewall genérica.Web application firewalls are a special type of product used to detect attacks against web applications, HTTP/HTTPS, in more depth than a generic firewall. Em comparação com a tecnologia de firewall de tradição, os WAFs têm um conjunto de funcionalidades específicas para proteger servidores internos da web de ameaças.Compared with tradition firewall technology, WAFs have a set of specific features to protect internal web servers from threats.

Uma firewall Azure Firewall ou NVA ambos usam um plano de administração comum, com um conjunto de regras de segurança para proteger as cargas de trabalho hospedadas nos raios de porta-vozes, e controlar o acesso a redes no local.An Azure Firewall or NVA firewall both use a common administration plane, with a set of security rules to protect the workloads hosted in the spokes, and control access to on-premises networks. O Azure Firewall tem escalabilidade incorporada, enquanto as firewalls NVA podem ser dimensionadas manualmente atrás de um equilibrador de carga.The Azure Firewall has scalability built in, whereas NVA firewalls can be manually scaled behind a load balancer. Geralmente, uma fazenda de firewall tem software menos especializado em comparação com um WAF, mas tem um âmbito de aplicação mais amplo para filtrar e inspecionar qualquer tipo de tráfego em saídas e entradas.Generally, a firewall farm has less specialized software compared with a WAF, but has a broader application scope to filter and inspect any type of traffic in egress and ingress. Se for utilizada uma abordagem NVA, podem ser encontradas e implantadas a partir do Azure Marketplace.If an NVA approach is used, they can be found and deployed from Azure Marketplace.

Recomendamos que utilize um conjunto de instâncias Azure Firewall, ou NVAs, para tráfego originário da internet.We recommend that you use one set of Azure Firewall instances, or NVAs, for traffic originating on the internet. Utilize outro para o tráfego originário do local.Use another for traffic originating on-premises. A utilização de apenas um conjunto de firewalls para ambos é um risco de segurança, uma vez que não fornece nenhum perímetro de segurança entre os dois conjuntos de tráfego de rede.Using only one set of firewalls for both is a security risk as it provides no security perimeter between the two sets of network traffic. A utilização de camadas de firewall separadas reduz a complexidade da verificação das regras de segurança e deixa claro quais as regras correspondentes às que a rede de entrada solicita.Using separate firewall layers reduces the complexity of checking security rules and makes it clear which rules correspond to which incoming network request.

O Azure Load Balancer oferece um serviço de alta disponibilidade Camada 4 (TCP/UDP), que pode distribuir tráfego de entrada entre instâncias de serviço definidas num conjunto equilibrado de carga.Azure Load Balancer offers a high availability Layer 4 (TCP/UDP) service, which can distribute incoming traffic among service instances defined in a load-balanced set. O tráfego enviado para o equilibrador de carga a partir de pontos finais frontais (pontos finais IP públicos ou pontos finais IP privados) pode ser redistribuído com ou sem tradução de endereço para um conjunto de endereços IP back-end (como aparelhos virtuais de rede ou máquinas virtuais).Traffic sent to the load balancer from front-end endpoints (public IP endpoints or private IP endpoints) can be redistributed with or without address translation to a set of back-end IP address pool (such as network virtual appliances or virtual machines).

O Azure Load Balancer também pode sondar a saúde das várias instâncias do servidor, e quando um caso não responde a uma sonda, o equilibrador de carga deixa de enviar tráfego para o caso pouco saudável.Azure Load Balancer can probe the health of the various server instances as well, and when an instance fails to respond to a probe, the load balancer stops sending traffic to the unhealthy instance. Num datacenter virtual, um equilibrador de carga externo é implantado no centro e nos raios.In a virtual datacenter, an external load balancer is deployed to the hub and the spokes. No centro, o equilibrador de carga é usado para encaminhar eficientemente o tráfego através de instâncias de firewall, e nos raios, os equilibradores de carga são usados para gerir o tráfego de aplicações.In the hub, the load balancer is used to efficiently route traffic across firewall instances, and in the spokes, load balancers are used to manage application traffic.

Azure Front Door (AFD) é a plataforma de aceleração de aplicações web altamente disponíveis e escaláveis da Microsoft, Global HTTP Load Balancer, Application Protection e Content Delivery Network.Azure Front Door (AFD) is Microsoft's highly available and scalable Web Application Acceleration Platform, Global HTTP Load Balancer, Application Protection, and Content Delivery Network. Em execução em mais de 100 localizações na borda da Rede Global da Microsoft, o AFD permite-lhe construir, operar e escalar a sua aplicação web dinâmica e conteúdo estático.Running in more than 100 locations at the edge of Microsoft's Global Network, AFD enables you to build, operate, and scale out your dynamic web application and static content. A AFD fornece a sua aplicação com desempenho de utilizador final de classe mundial, automatização unificada de manutenção regional/selo, automação BCDR, informações unificadas de cliente/utilizador, caching e informações de serviço.AFD provides your application with world-class end-user performance, unified regional/stamp maintenance automation, BCDR automation, unified client/user information, caching, and service insights. A plataforma oferece:The platform offers:

  • Acordos de desempenho, fiabilidade e apoio ao nível do serviço (SLAs).Performance, reliability, and support service-level agreements (SLAs).
  • Certificações de conformidade.Compliance certifications.
  • Práticas de segurança auditáveis que são desenvolvidas, operadas e apoiadas de forma nativa pela Azure.Auditable security practices that are developed, operated, and natively supported by Azure.

A Azure Front Door também fornece uma firewall de aplicação web (WAF), que protege aplicações web de vulnerabilidades e explorações comuns.Azure Front Door also provides a web application firewall (WAF), which protects web applications from common vulnerabilities and exploits.

A azure Application Gateway é um aparelho virtual dedicado que fornece um controlador de entrega de aplicações gerido.Azure Application Gateway is a dedicated virtual appliance providing a managed application delivery controller. Oferece várias capacidades de equilíbrio de carga da Camada 7 para a sua aplicação.It offers various Layer 7 load-balancing capabilities for your application. Permite-lhe otimizar o desempenho da web farm descarregando a rescisão SSL intensiva da CPU para o gateway de aplicações.It allows you to optimize web farm performance by offloading CPU-intensive SSL termination to the application gateway. Também fornece outras capacidades de encaminhamento da Camada 7, tais como distribuição de rodapé de tráfego de entrada, afinidade de sessão baseada em cookies, encaminhamento baseado em caminhos de URL e a capacidade de hospedar vários websites por trás de um único gateway de aplicação.It also provides other Layer 7 routing capabilities, such as round-robin distribution of incoming traffic, cookie-based session affinity, URL-path-based routing, and the ability to host multiple websites behind a single application gateway. Também é fornecida uma firewall de aplicações Web (WAF) como parte do SKU da WAF do gateway de aplicação.A web application firewall (WAF) is also provided as part of the application gateway WAF SKU. Este SKU oferece proteção às aplicações Web contra vulnerabilidades e exploits Web comuns.This SKU provides protection to web applications from common web vulnerabilities and exploits. O Gateway de Aplicação pode ser configurado como um gateway com acesso à Internet, gateway só interno ou uma combinação de ambos.Application Gateway can be configured as internet facing gateway, internal only gateway, or a combination of both.

IPs públicos.Public IPs. Com algumas funcionalidades do Azure, pode associar pontos finais de serviço a um endereço IP público para que o seu recurso seja acessível a partir da internet.With some Azure features, you can associate service endpoints to a public IP address so that your resource is accessible from the internet. Este ponto final utiliza o NAT para encaminhar o tráfego para o endereço interno e para a porta na rede virtual em Azure.This endpoint uses NAT to route traffic to the internal address and port on the virtual network in Azure. Este caminho é a via principal de passagem do tráfego externo para a rede virtual.This path is the primary way for external traffic to pass into the virtual network. Pode configurar endereços IP públicos para determinar em que tráfego é transmitido e como e onde é traduzido para a rede virtual.You can configure public IP addresses to determine which traffic is passed in and how and where it's translated onto the virtual network.

O Azure DDoS Protection Standard fornece capacidades adicionais de mitigação sobre o nível de serviço Básico que são sintonizados especificamente para os recursos da Rede Virtual Azure.Azure DDoS Protection Standard provides additional mitigation capabilities over the Basic service tier that are tuned specifically to Azure Virtual Network resources. O DDoS Protection Standard é simples de ativar e não exige alterações à aplicação.DDoS Protection Standard is simple to enable and requires no application changes. As políticas de proteção são otimizadas através de uma monitorização de tráfego dedicada e de algoritmos de aprendizagem automática.Protection policies are tuned through dedicated traffic monitoring and machine learning algorithms. As políticas são aplicadas aos endereços IP públicos associados aos recursos implementados nas redes virtuais.Policies are applied to public IP addresses associated to resources deployed in virtual networks. Exemplos incluem Azure Load Balancer, Azure Application Gateway e Azure Service Fabric instances.Examples include Azure Load Balancer, Azure Application Gateway, and Azure Service Fabric instances. Em tempo real, os registos gerados pelo sistema estão disponíveis através das vistas do Azure Monitor durante um ataque e para a história.Near real-time, system-generated logs are available through Azure Monitor views during an attack and for history. A proteção da camada de aplicação pode ser adicionada através da firewall da aplicação web Azure Application Gateway.Application layer protection can be added through the Azure Application Gateway web application firewall. A proteção está prevista para os endereços IP públicos IPvv4 e IPv6 Azure.Protection is provided for IPv4 and IPv6 Azure public IP addresses.

O hub e a topologia falada usam a rede virtual de observação e rotas definidas pelo utilizador para encaminhar o tráfego corretamente.The hub and spoke topology uses virtual network peering and user-defined routes to route traffic properly.

88

No diagrama, a rota definida pelo utilizador assegura que o tráfego flui da fala para a firewall antes de passar para as instalações através do gateway ExpressRoute (se a política de firewall permitir esse fluxo).In the diagram, the user-defined route ensures that traffic flows from the spoke to the firewall before passing to on-premises through the ExpressRoute gateway (if the firewall policy allows that flow).

Tipo de componente: MonitorizaçãoComponent type: Monitoring

Os componentes de monitorização proporcionam visibilidade e alerta de todos os outros tipos de componentes.Monitoring components provide visibility and alerting from all the other component types. Todas as equipas devem ter acesso à monitorização dos componentes e serviços a que têm acesso.All teams should have access to monitoring for the components and services they have access to. Se tiver um balcão de ajuda centralizado ou equipas de operações, necessitam de acesso integrado aos dados fornecidos por estes componentes.If you have a centralized help desk or operations teams, they require integrated access to the data provided by these components.

O Azure oferece diferentes tipos de serviços de registo e monitorização para monitorizar o comportamento dos recursos hospedados no Azure.Azure offers different types of logging and monitoring services to track the behavior of Azure-hosted resources. A governação e o controlo das cargas de trabalho em Azure baseiam-se não só na recolha de dados de registo, mas também na capacidade de desencadear ações baseadas em eventos reportados específicos.Governance and control of workloads in Azure is based not just on collecting log data but also on the ability to trigger actions based on specific reported events.

Monitor Azure.Azure Monitor. O Azure inclui vários serviços que efetuam individualmente uma tarefa ou função específica no espaço de monitorização.Azure includes multiple services that individually perform a specific role or task in the monitoring space. Em conjunto, estes serviços fornecem uma solução abrangente para recolher, analisar e atuar em registos gerados pelo sistema a partir das suas aplicações e dos recursos Azure que os suportam.Together, these services deliver a comprehensive solution for collecting, analyzing, and acting on system-generated logs from your applications and the Azure resources that support them. Podem também funcionar para monitorizar recursos críticos no local e fornecer um ambiente de monitorização híbrido.They can also work to monitor critical on-premises resources in order to provide a hybrid monitoring environment. Compreender as ferramentas e dados disponíveis é o primeiro passo para desenvolver uma estratégia completa de monitorização das suas aplicações.Understanding the tools and data that are available is the first step in developing a complete monitoring strategy for your applications.

Existem dois tipos fundamentais de registos no Monitor Azure:There are two fundamental types of logs in Azure Monitor:

  • As métricas são valores numéricos que descrevem algum aspeto de um sistema num determinado momento do tempo.Metrics are numerical values that describe some aspect of a system at a particular point in time. São leves e capazes de suportar cenários quase em tempo real.They are lightweight and capable of supporting near real-time scenarios. Para muitos recursos Azure, você verá dados recolhidos pelo Azure Monitor na sua página geral no portal Azure.For many Azure resources, you'll see data collected by Azure Monitor right in their Overview page in the Azure portal. Como exemplo, veja qualquer máquina virtual e verá vários gráficos exibindo métricas de desempenho.As an example, look at any virtual machine and you'll see several charts displaying performance metrics. Selecione qualquer um dos gráficos para abrir os dados no explorador de métricas no portal Azure, que lhe permite traçar os valores de várias métricas ao longo do tempo.Select any of the graphs to open the data in metrics explorer in the Azure portal, which allows you to chart the values of multiple metrics over time. Pode ver os gráficos interativamente ou fixá-los num dashboard para os visualizar com outras visualizações.You can view the charts interactively or pin them to a dashboard to view them with other visualizations.

  • Os registos contêm diferentes tipos de dados organizados em registos com diferentes conjuntos de propriedades para cada tipo.Logs contain different kinds of data organized into records with different sets of properties for each type. Eventos e vestígios são armazenados como registos juntamente com dados de desempenho, que podem ser combinados para análise.Events and traces are stored as logs along with performance data, which can all be combined for analysis. Os dados de registo recolhidos pelo Azure Monitor podem ser analisados com consultas para recuperar, consolidar e analisar rapidamente os dados recolhidos.Log data collected by Azure Monitor can be analyzed with queries to quickly retrieve, consolidate, and analyze collected data. Os registos são armazenados e consultados a partir de Log Analytics.Logs are stored and queried from Log Analytics. Pode criar e testar consultas utilizando o Log Analytics no portal Azure e, em seguida, analisar diretamente os dados usando estas ferramentas ou guardar consultas para uso com visualizações ou regras de alerta.You can create and test queries using Log Analytics in the Azure portal and then either directly analyze the data using these tools or save queries for use with visualizations or alert rules.

99

O Azure Monitor pode recolher dados de várias origens.Azure Monitor can collect data from a variety of sources. Pode pensar em monitorizar os dados das suas aplicações em níveis que vão desde a sua aplicação, qualquer sistema operativo e os serviços em que se baseia, até à própria plataforma Azure.You can think of monitoring data for your applications in tiers ranging from your application, any operating system, and the services it relies on, down to the Azure platform itself. O Azure Monitor recolhe dados de cada um dos seguintes escalões:Azure Monitor collects data from each of the following tiers:

  • Dados de monitorização da aplicação: Dados sobre o desempenho e funcionalidade do código que tenha escrito, independentemente da sua plataforma.Application monitoring data: Data about the performance and functionality of the code you have written, regardless of its platform.
  • Dados de monitorização do SO do hóspede: Dados sobre o sistema operativo em que a sua aplicação está em execução.Guest OS monitoring data: Data about the operating system on which your application is running. Este SISTEMA pode estar a funcionar em Azure, outra nuvem, ou no local.This OS could be running in Azure, another cloud, or on-premises.
  • Dados de monitorização de recursos Azure: Dados sobre o funcionamento de um recurso Azure.Azure resource monitoring data: Data about the operation of an Azure resource.
  • Dados de monitorização da subscrição Azure: Dados sobre o funcionamento e gestão de uma subscrição do Azure, bem como dados sobre a saúde e funcionamento da própria Azure.Azure subscription monitoring data: Data about the operation and management of an Azure subscription, as well as data about the health and operation of Azure itself.
  • Dados de monitorização do inquilino Azure: Dados sobre o funcionamento dos serviços Azure ao nível do inquilino, como o Azure Ative Directory.Azure tenant monitoring data: Data about the operation of tenant-level Azure services, such as Azure Active Directory.
  • Fontes personalizadas: Os registos enviados a partir de fontes no local também podem ser incluídos.Custom sources: Logs sent from on-premises sources can be included as well. Exemplos incluem eventos de servidor no local ou saída de syslog de dispositivo de rede.Examples include on-premises server events or network device syslog output.

A monitorização dos dados só é útil se puder aumentar a sua visibilidade no funcionamento do seu ambiente informático.Monitoring data is only useful if it can increase your visibility into the operation of your computing environment. O Azure Monitor inclui várias funcionalidades e ferramentas que fornecem informações valiosas sobre as suas aplicações e outros recursos de que dependem.Azure Monitor includes several features and tools that provide valuable insights into your applications and other resources that they depend on. Soluções de monitorização e funcionalidades como Application Insights e Azure Monitor para contentores fornecem informações profundas sobre diferentes aspetos da sua aplicação e serviços específicos da Azure.Monitoring solutions and features such as Application Insights and Azure Monitor for containers provide deep insights into different aspects of your application and specific Azure services.

As soluções de monitorização no Azure Monitor são conjuntos de lógica embalados que fornecem insights para uma determinada aplicação ou serviço.Monitoring solutions in Azure Monitor are packaged sets of logic that provide insights for a particular application or service. Incluem lógica para a recolha de dados de monitorização para a aplicação ou serviço, consultas para analisar esses dados e vistas para visualização.They include logic for collecting monitoring data for the application or service, queries to analyze that data, and views for visualization. As soluções de monitorização estão disponíveis da Microsoft e parceiros para fornecer monitorização para vários serviços Azure e outras aplicações.Monitoring solutions are available from Microsoft and partners to provide monitoring for various Azure services and other applications.

Com todos estes dados recolhidos, é importante tomar medidas proativas sobre os eventos que ocorrem no seu ambiente onde as consultas manuais por si só não serão suficientes.With all of this rich data collected, it's important to take proactive action on events happening in your environment where manual queries alone won't suffice. Os alertas no Azure Monitor notificam-no proativamente de condições críticas e potencialmente tentam tomar medidas corretivas.Alerts in Azure Monitor proactively notify you of critical conditions and potentially attempt to take corrective action. As regras de alerta baseadas em métricas fornecem alertas quase em tempo real com base em valores numéricos, enquanto as regras baseadas em registos permitem uma lógica complexa através de dados de várias fontes.Alert rules based on metrics provide near real-time alerting based on numeric values, while rules based on logs allow for complex logic across data from multiple sources. As regras de alerta no Azure Monitor utilizam grupos de ação, que contêm conjuntos únicos de destinatários e ações que podem ser partilhadas através de várias regras.Alert rules in Azure Monitor use action groups, which contain unique sets of recipients and actions that can be shared across multiple rules. Com base nos seus requisitos, os grupos de ação podem executar ações como usar webhooks que fazem com que os alertas iniciem ações externas ou se integrem com as suas ferramentas ITSM.Based on your requirements, action groups can perform such actions as using webhooks that cause alerts to start external actions or to integrate with your ITSM tools.

O Azure Monitor também permite a criação de dashboards personalizados.Azure Monitor also allows the creation of custom dashboards. Os dashboards Azure permitem combinar diferentes tipos de dados, incluindo métricas e troncos, num único painel no portal Azure.Azure dashboards allow you to combine different kinds of data, including both metrics and logs, into a single pane in the Azure portal. Pode, opcionalmente, partilhar o painel com outros utilizadores do Azure.You can optionally share the dashboard with other Azure users. Elementos em todo o Azure Monitor podem ser adicionados a um dashboard Azure, além da saída de qualquer consulta de registo ou gráfico de métricas.Elements throughout Azure Monitor can be added to an Azure dashboard in addition to the output of any log query or metrics chart. Por exemplo, pode criar um dashboard que combine azulejos que mostrem um gráfico de métricas, uma tabela de registos de atividade, um gráfico de utilização da Application Insights e a saída de uma consulta de registo.For example, you could create a dashboard that combines tiles that show a graph of metrics, a table of activity logs, a usage chart from Application Insights, and the output of a log query.

Finalmente, os dados do Azure Monitor são uma fonte nativa para o Power BI.Finally, Azure Monitor data is a native source for Power BI. Power BI é um serviço de análise de negócios que fornece visualizações interativas em várias fontes de dados e é um meio eficaz de disponibilizar dados a outras pessoas dentro e fora da sua organização.Power BI is a business analytics service that provides interactive visualizations across a variety of data sources and is an effective means of making data available to others within and outside your organization. Pode configurar o Power BI para importar automaticamente dados de registo do Azure Monitor para tirar partido destas visualizações adicionais.You can configure Power BI to automatically import log data from Azure Monitor to take advantage of these additional visualizations.

O Azure Network Watcher fornece ferramentas para monitorizar, diagnosticar e visualizar métricas e ativar ou desativar registos de recursos numa rede virtual em Azure.Azure Network Watcher provides tools to monitor, diagnose, and view metrics and enable or disable logs for resources in a virtual network in Azure. É um serviço multifacetado que permite as seguintes funcionalidades e muito mais:It's a multifaceted service that allows the following functionalities and more:

  • Monitorize a comunicação entre uma máquina virtual e um ponto final.Monitor communication between a virtual machine and an endpoint.
  • Ver recursos numa rede virtual e nas suas relações.View resources in a virtual network and their relationships.
  • Diagnosticar problemas de filtragem do tráfego da rede de ou para um VM.Diagnose network traffic filtering problems to or from a VM.
  • Diagnosticar problemas de encaminhamento de rede a partir de um VM.Diagnose network routing problems from a VM.
  • Diagnosticar ligações de saída de um VM.Diagnose outbound connections from a VM.
  • Capture pacotes de e para um VM.Capture packets to and from a VM.
  • Diagnosticar problemas com uma porta de rede virtual e ligações.Diagnose problems with an virtual network gateway and connections.
  • Determinar atrasos relativos entre as regiões de Azure e os fornecedores de serviços de internet.Determine relative latencies between Azure regions and internet service providers.
  • Ver regras de segurança para uma interface de rede.View security rules for a network interface.
  • Ver métricas de rede.View network metrics.
  • Analise o tráfego de ou para um grupo de segurança de rede.Analyze traffic to or from a network security group.
  • Ver registos de diagnóstico para recursos de rede.View diagnostic logs for network resources.

Tipo de componente: Cargas de trabalhoComponent type: Workloads

Os componentes da carga de trabalho são onde residem as suas aplicações e serviços reais.Workload components are where your actual applications and services reside. É onde as equipas de desenvolvimento de aplicações passam a maior parte do tempo.It's where your application development teams spend most of their time.

As possibilidades de carga de trabalho são infinitas.The workload possibilities are endless. Seguem-se apenas alguns dos tipos possíveis de carga de trabalho:The following are just a few of the possible workload types:

Aplicações internas: As aplicações de linha de negócios são fundamentais para as operações empresariais.Internal applications: Line-of-business applications are critical to enterprise operations. Estas aplicações têm algumas características comuns:These applications have some common characteristics:

  • Interativo: Os dados são introduzidos e os resultados ou relatórios são devolvidos.Interactive: Data is entered, and results or reports are returned.
  • Orientado para os dados: Dados intensivos com acesso frequente a bases de dados ou outro armazenamento.Data-driven: Data intensive with frequent access to databases or other storage.
  • Integrado: Oferecer integração com outros sistemas dentro ou fora da organização.Integrated: Offer integration with other systems within or outside the organization.

Sites voltados para o cliente (virados para a Internet ou virados internamente): A maioria das aplicações de internet são sites web.Customer-facing web sites (internet-facing or internally facing): Most internet applications are web sites. O Azure pode executar um web site através de uma máquina virtual IaaS ou de um site de Aplicações Web Azure (PaaS).Azure can run a web site via either an IaaS virtual machine or an Azure Web Apps site (PaaS). O Azure Web Apps integra-se com redes virtuais para implementar aplicações web numa zona de rede de raios.Azure Web Apps integrates with virtual networks to deploy web apps in a spoke network zone. Os sites de internet virados internamente não precisam de expor um ponto final de internet público porque os recursos são acessíveis através de endereços não internet disponíveis a partir da rede virtual privada.Internally facing web sites don't need to expose a public internet endpoint because the resources are accessible via private non-internet routable addresses from the private virtual network.

Análise de big data: Quando os dados precisam de aumentar para volumes maiores, as bases de dados relacionais podem não funcionar bem sob a extrema carga ou natureza não estruturada dos dados.Big data analytics: When data needs to scale up to larger volumes, relational databases may not perform well under the extreme load or unstructured nature of the data. Azure HDInsight é um serviço de análise gerido, de todo espectro e de código aberto na nuvem para empresas.Azure HDInsight is a managed, full-spectrum, open-source analytics service in the cloud for enterprises. Você pode usar quadros de código aberto como Hadoop, Apache Spark, Apache Hive, LLAP, Apache Kafka, Apache Storm, e R. HDInsight suportam a implantação numa rede virtual baseada em localização, podendo ser implantados num cluster num falou do datacenter virtual.You can use open-source frameworks such as Hadoop, Apache Spark, Apache Hive, LLAP, Apache Kafka, Apache Storm, and R. HDInsight supports deploying into a location-based virtual network, can be deployed to a cluster in a spoke of the virtual datacenter.

Eventos e Mensagens: Azure Event Hubs é uma plataforma de streaming de dados e serviço de ingestão de eventos.Events and Messaging: Azure Event Hubs is a big data streaming platform and event ingestion service. Pode receber e processar milhões de eventos por segundo.It can receive and process millions of events per second. Fornece baixa latência e retenção de tempo configurável, permitindo-lhe ingerir quantidades massivas de dados em Azure e lê-lo a partir de múltiplas aplicações.It provides low latency and configurable time retention, enabling you to ingest massive amounts of data into Azure and read it from multiple applications. Um único fluxo pode suportar tanto os gasodutos em tempo real como os gasodutos baseados em lotes.A single stream can support both real-time and batch-based pipelines.

Pode implementar um serviço de mensagens em nuvem altamente confiável entre aplicações e serviços através do Azure Service Bus.You can implement a highly reliable cloud messaging service between applications and services through Azure Service Bus. Oferece mensagens assíncronos intermediadas entre cliente e servidor, mensagens estruturadas de primeira no primeiro lugar (FIFO) e publica e subscreve capacidades.It offers asynchronous brokered messaging between client and server, structured first-in-first-out (FIFO) messaging, and publishes and subscribe capabilities.

1010

Estes exemplos mal arranham a superfície dos tipos de cargas de trabalho que você pode criar em Azure — tudo, desde uma aplicação web e SQL básica até as mais recentes em IoT, big data, machine learning, IA, e muito mais.These examples barely scratch the surface of the types of workloads you can create in Azure—everything from a basic Web and SQL app to the latest in IoT, big data, machine learning, AI, and so much more.

Alta disponibilidade: vários datacenters virtuaisHighly availability: multiple virtual datacenters

Até agora, este artigo focou-se no desenho de um único VDC, descrevendo os componentes básicos e arquiteturas que contribuem para a resiliência.So far, this article has focused on the design of a single VDC, describing the basic components and architectures that contribute to resiliency. Funcionalidades azure como Azure load balancer, NVAs, zonas de disponibilidade, conjuntos de disponibilidade, conjuntos de escala e outras capacidades que o ajudam a incluir níveis sólidos de SLA nos seus serviços de produção.Azure features such as Azure load balancer, NVAs, availability zones, availability sets, scale sets, and other capabilities that help you include solid SLA levels into your production services.

No entanto, como um centro de dados virtual é normalmente implementado numa única região, pode ser vulnerável a interrupções que afetam toda a região.However, because a virtual datacenter is typically implemented within a single region, it might be vulnerable to outages that affect the entire region. Os clientes que necessitem de elevada disponibilidade devem proteger os serviços através de implantações do mesmo projeto em duas ou mais implementações de VDC implantadas em diferentes regiões.Customers that require high availability must protect the services through deployments of the same project in two or more VDC implementations deployed to different regions.

Além das preocupações com o SLA, vários cenários comuns beneficiam da execução de vários centros de dados virtuais:In addition to SLA concerns, several common scenarios benefit from running multiple virtual datacenters:

  • Presença regional ou global dos seus utilizadores finais ou parceiros.Regional or global presence of your end users or partners.
  • Requisitos de recuperação de desastres.Disaster recovery requirements.
  • Um mecanismo para desviar o tráfego entre centros de dados para carga ou desempenho.A mechanism to divert traffic between datacenters for load or performance.

Presença regional/globalRegional/global presence

Existem centros de dados azure em muitas regiões do mundo.Azure datacenters exist in many regions worldwide. Ao selecionar vários datacenters Azure, considere dois fatores relacionados: distâncias geográficas e latência.When selecting multiple Azure datacenters, consider two related factors: geographical distances and latency. Para otimizar a experiência do utilizador, avalie a distância entre cada datacenter virtual, bem como a distância entre cada datacenter virtual até aos utilizadores finais.To optimize user experience, evaluate the distance between each virtual datacenter as well as the distance from each virtual datacenter to the end users.

Uma região de Azure que acolhe o seu datacenter virtual deve estar em conformidade com os requisitos regulamentares de qualquer jurisdição legal sob a qual a sua organização opera.An Azure region that hosts your virtual datacenter must conform with regulatory requirements of any legal jurisdiction under which your organization operates.

Recuperação após desastreDisaster recovery

A conceção de um plano de recuperação de desastres depende dos tipos de cargas de trabalho e da capacidade de sincronizar o estado dessas cargas de trabalho entre diferentes implementações de VDC.The design of a disaster recovery plan depends on the types of workloads and the ability to synchronize state of those workloads between different VDC implementations. Idealmente, a maioria dos clientes deseja um mecanismo de falha rápida, e este requisito pode precisar de sincronização de dados de aplicação entre implementações em execução em múltiplas implementações de VDC.Ideally, most customers desire a fast fail-over mechanism, and this requirement may need application data synchronization between deployments running in multiple VDC implementations. No entanto, ao desenhar planos de recuperação de desastres, é importante considerar que a maioria das aplicações são sensíveis à latência que pode ser causada por esta sincronização de dados.However, when designing disaster recovery plans, it's important to consider that most applications are sensitive to the latency that can be caused by this data synchronization.

A sincronização e a monitorização do batimento cardíaco das aplicações em diferentes implementações de VDC requerem que se comuniquem através da rede.Synchronization and heartbeat monitoring of applications in different VDC implementations requires them to communicate over the network. Várias implementações de VDC em diferentes regiões podem ser conectadas através de:Multiple VDC implementations in different regions can be connected through:

  • Comunicação hub-to-hub incorporada em hubs Azure Virtual WAN em regiões no mesmo WAN Virtual.Hub-to-hub communication built into Azure Virtual WAN hubs across regions in the same Virtual WAN.
  • Rede virtual olhando para ligar centros em regiões.Virtual network peering to connect hubs across regions.
  • O expressRoute peering privado, quando os hubs em cada implementação de VDC estão ligados ao mesmo circuito ExpressRoute.ExpressRoute private peering, when the hubs in each VDC implementation are connected to the same ExpressRoute circuit.
  • Vários circuitos ExpressRoute conectados através da sua espinha dorsal corporativa, e as suas múltiplas implementações de VDC ligadas aos circuitos ExpressRoute.Multiple ExpressRoute circuits connected via your corporate backbone, and your multiple VDC implementations connected to the ExpressRoute circuits.
  • Ligações VPN site-to-site entre a zona de hub das suas implementações VDC em cada região de Azure.Site-to-site VPN connections between the hub zone of your VDC implementations in each Azure region.

Normalmente, os hubs virtuais WAN, o espreitamento de rede virtual ou as ligações ExpressRoute são preferidos para a conectividade da rede, devido à largura de banda mais alta e níveis de latência consistentes ao passar pela espinha dorsal da Microsoft.Typically, Virtual WAN hubs, virtual network peering, or ExpressRoute connections are preferred for network connectivity, due to the higher bandwidth and consistent latency levels when passing through the Microsoft backbone.

Executar testes de qualificação de rede para verificar a latência e largura de banda destas ligações, e decidir se a replicação de dados sincronizados ou assíncronos é adequada com base no resultado.Run network qualification tests to verify the latency and bandwidth of these connections, and decide whether synchronous or asynchronous data replication is appropriate based on the result. Também é importante pesar estes resultados tendo em conta o objetivo ideal do tempo de recuperação (RTO).It's also important to weigh these results in view of the optimal recovery time objective (RTO).

Recuperação de desastres: desviar o tráfego de uma região para outraDisaster recovery: diverting traffic from one region to another

Tanto o Azure Traffic Manager como o Azure Front Door verificam periodicamente a saúde do serviço de escuta dos pontos finais de audição em diferentes implementações de VDC e, se esses pontos finais falharem, encaminham-se automaticamente para o VDC mais próximo.Both Azure Traffic Manager and Azure Front Door periodically check the service health of listening endpoints in different VDC implementations and, if those endpoints fail, route automatically to the next closest VDC. O Gestor de Tráfego utiliza medições de utilizador em tempo real e DNS para encaminhar os utilizadores para os mais próximos (ou os próximos mais próximos durante a falha).Traffic Manager uses real-time user measurements and DNS to route users to the closest (or next closest during failure). Azure Front Door é um proxy invertido em mais de 100 sites de borda de espinha dorsal da Microsoft, usando qualquercast para encaminhar os utilizadores para o ponto final de audição mais próximo.Azure Front Door is a reverse proxy at over 100 Microsoft backbone edge sites, using anycast to route users to the closest listening endpoint.

ResumoSummary

Uma abordagem virtual do datacenter para a migração do datacenter cria uma arquitetura escalável que otimiza o uso de recursos Azure, reduz custos e simplifica a governação do sistema.A virtual datacenter approach to datacenter migration creates a scalable architecture that optimizes Azure resource use, lowers costs, and simplifies system governance. O datacenter virtual é típico baseado em topos de rede de hub e spoke (usando quer o espremo da rede virtual quer os centros virtuais WAN).The virtual datacenter is typical based on hub and spoke network topologies (using either virtual network peering or Virtual WAN hubs). Os serviços comuns partilhados prestados no centro, e aplicações específicas e cargas de trabalho são implantadas nos porta-vozes.Common shared services provided in the hub, and specific applications and workloads are deployed in the spokes. O datacenter virtual também corresponde à estrutura das funções da empresa, onde diferentes departamentos como Central IT, DevOps e Operações e Manutenção trabalham todos em conjunto enquanto desempenham as suas funções específicas.The virtual datacenter also matches the structure of company roles, where different departments such as Central IT, DevOps, and Operations and Maintenance all work together while performing their specific roles. O datacenter virtual suporta a migração de cargas de trabalho existentes no local para Azure, mas também fornece muitas vantagens para implementações nativas em nuvem.The virtual datacenter supports migrating existing on-premises workloads to Azure, but also provides many advantages to cloud-native deployments.

ReferênciasReferences

Saiba mais sobre as capacidades do Azure discutidas neste documento.Learn more about the Azure capabilities discussed in this document.

Passos seguintesNext steps

  • Saiba mais sobre o espremo da rede virtual,a tecnologia central do hub e falou de topologias.Learn more about virtual network peering, the core technology of hub and spoke topologies.
  • Implementar o Azure Ative Directory para utilizar o controlo de acesso baseado em funções.Implement Azure Active Directory to use role-based access control.
  • Desenvolva um modelo de subscrição e gestão de recursos utilizando o controlo de acesso baseado em papéis que se adequa à estrutura, requisitos e políticas da sua organização.Develop a subscription and resource management model using role-based access control that fits the structure, requirements, and policies of your organization. A atividade mais importante é o planeamento.The most important activity is planning. Analise como as reorganizações, fusões, novas linhas de produtos e outras considerações afetarão os seus modelos iniciais para garantir que pode escalar para atender às necessidades e crescimento futuros.Analyze how reorganizations, mergers, new product lines, and other considerations will affect your initial models to ensure you can scale to meet future needs and growth.