Descrição geral dos serviços de rede do Azure

  • Artigo

Os serviços de rede no Azure fornecem vários recursos de rede que podem ser usados juntos ou separadamente. Selecione qualquer um dos seguintes recursos principais para saber mais sobre eles:

  • Serviços de conectividade: conecte recursos do Azure e recursos locais usando qualquer um ou uma combinação desses serviços de rede no Azure - Rede Virtual (VNet), WAN Virtual, Rota Expressa, Gateway VPN, Gateway NAT, DNS do Azure, Serviço de emparelhamento, Gerenciador de Rede Virtual do Azure, Servidor de Rotas e Azure Bastion.
  • Serviços de proteção de aplicativos: proteja seus aplicativos usando qualquer um ou uma combinação desses serviços de rede no Azure - Balanceador de Carga, Link Privado, Proteção contra DDoS, Firewall, Grupos de Segurança de Rede, Firewall de Aplicativo Web e Pontos de Extremidade de Rede Virtual.
  • Serviços de entrega de aplicativos: entregue aplicativos na rede do Azure usando qualquer um ou uma combinação desses serviços de rede no Azure - Rede de Entrega de Conteúdo (CDN), Serviço de Porta de Entrada do Azure, Gerenciador de Tráfego, Gateway de Aplicativo, Internet Analyzer e Balanceador de Carga.
  • Monitoramento de rede: monitore seus recursos de rede usando qualquer um ou uma combinação desses serviços de rede no Azure - Network Watcher, ExpressRoute Monitor, Azure Monitor ou VNet Terminal Access Point (TAP).

Serviços de conectividade

Esta seção descreve os serviços que fornecem conectividade entre recursos do Azure, conectividade de uma rede local com recursos do Azure e conectividade de filial para filial no Azure - Rede Virtual (VNet), Rota Expressa, Gateway VPN, WAN Virtual, Gateway NAT de rede virtual, DNS do Azure, Serviço de emparelhamento, Servidor de Rotas e Bastião do Azure.

Rede virtual

A Rede Virtual do Azure (VNet) é o bloco de construção fundamental para a sua rede privada no Azure. Você pode usar redes virtuais para:

  • Comunicar entre recursos do Azure: pode implementar máquinas virtuais e vários outros tipos de recursos do Azure numa rede virtual, tais como Ambientes do Serviço de Aplicações do Azure, o Serviço Kubernetes do Azure (AKS) e os Conjuntos de Escala de Máquinas Virtuais do Azure. Para ver uma lista completa dos recursos do Azure que pode implementar numa rede virtual, veja Integração de serviço da rede virtual.
  • Comunicar entre si: pode ligar redes virtuais entre si, permitindo que os recursos em qualquer rede virtual comuniquem entre si, utilizando o emparelhamento de rede virtual ou o Azure Virtual Network Manager. As redes virtuais a que liga podem estar nas mesmas regiões ou em regiões diferentes do Azure. Para obter mais informações, consulte Emparelhamento de rede virtual e Gerenciador de Rede Virtual do Azure.
  • Comunicar com a Internet: Todos os recursos de uma rede virtual podem comunicar de saída para a Internet, por predefinição. Pode comunicar com um recurso à entrada, ao atribuir-lhe um endereço IP público ou um Balanceador de Carga público. Você também pode usar endereços IP públicos ou Balanceador de Carga público para gerenciar suas conexões de saída.
  • Comunique-se com redes locais: você pode conectar seus computadores e redes locais a uma rede virtual usando o Gateway VPN ou a Rota Expressa.
  • Criptografar tráfego entre recursos: você pode usar a criptografia de rede virtual para criptografar o tráfego entre recursos em uma rede virtual.

Azure Virtual Network Manager

O Azure Virtual Network Manager é um serviço de gestão que lhe permite agrupar, configurar, implementar e gerir redes virtuais globalmente através de subscrições. Com o Virtual Network Manager, você pode definir grupos de rede para identificar e segmentar logicamente suas redes virtuais. Em seguida, você pode determinar as configurações de conectividade e segurança desejadas e aplicá-las em todas as redes virtuais selecionadas em grupos de rede de uma só vez.

Diagrama de recursos implantados para uma topologia de rede virtual de malha com o gerenciador de rede virtual do Azure.

ExpressRoute

O ExpressRoute permite que você estenda suas redes locais para a nuvem da Microsoft por meio de uma conexão privada facilitada por um provedor de conectividade. Esta ligação é privada. O tráfego não passa pela internet. Com o ExpressRoute, pode estabelecer ligação aos serviços cloud da Microsoft, como o Microsoft Azure, o Microsoft 365 e o Dynamics 365.

Azure ExpressRoute

Gateway de VPN

O Gateway VPN ajuda você a criar conexões criptografadas entre locais para sua rede virtual a partir de locais locais ou criar conexões criptografadas entre redes virtuais. Há diferentes configurações disponíveis para conexões de Gateway VPN. Algumas das principais características incluem:

  • Conectividade VPN site a site
  • Conectividade VPN ponto a site
  • Conectividade VPN VNet-to-VNet

O diagrama a seguir ilustra várias conexões VPN site a site para a mesma rede virtual. Para ver mais diagramas de conexão, consulte VPN Gateway - design.

Diagrama mostrando várias conexões site a site do Gateway de VPN do Azure.

WAN Virtual

A WAN Virtual do Azure é um serviço de rede que reúne muitas funcionalidades de rede, segurança e roteamento para fornecer uma única interface operacional. A conectividade com as redes virtuais do Azure é estabelecida usando conexões de rede virtual. Algumas das principais características incluem:

  • Conectividade de filial (via automação de conectividade de dispositivos de Parceiro de WAN Virtual, como SD-WAN ou VPN CPE)
  • Conectividade VPN site a site
  • Conectividade VPN de usuário remoto (ponto a site)
  • Conectividade privada (Rota Expressa)
  • Conectividade intracloud (conectividade transitiva para redes virtuais)
  • Interconectividade VPN ExpressRoute
  • Roteamento, Firewall do Azure e criptografia para conectividade privada

Diagrama WAN virtual.

Azure DNS

O DNS do Azure fornece hospedagem e resolução de DNS usando a infraestrutura do Microsoft Azure. O DNS do Azure consiste em três serviços:

  • O DNS Público do Azure é um serviço de hospedagem para domínios DNS. Ao alojar os seus domínios no Azure, pode gerir os recursos DNS com as mesmas credenciais, APIs, ferramentas e faturação dos seus outros serviços do Azure.
  • O DNS Privado do Azure é um serviço DNS para as suas redes virtuais. O DNS Privado do Azure gerencia e resolve nomes de domínio na rede virtual sem a necessidade de configurar uma solução DNS personalizada.
  • O Resolvedor Privado de DNS do Azure é um serviço que permite consultar zonas privadas do DNS do Azure a partir de um ambiente local e vice-versa sem implantar servidores DNS baseados em VM.

Usando o DNS do Azure, você pode hospedar e resolver domínios públicos, gerenciar a resolução de DNS em suas redes virtuais e habilitar a resolução de nomes entre o Azure e seus recursos locais.

Azure Bastion

O Azure Bastion é um serviço que você pode implantar para permitir que você se conecte a uma máquina virtual usando seu navegador e o portal do Azure ou por meio do cliente SSH ou RDP nativo já instalado em seu computador local. O serviço Azure Bastion é um serviço PaaS totalmente gerenciado por plataforma que você implanta dentro de sua rede virtual. Fornece conectividade RDP/SSH segura e totalmente integrada às suas máquinas virtuais diretamente no portal do Azure por TLS. Quando se liga através do Azure Bastion, as máquinas virtuais não necessitam de um endereço IP público, agente ou software cliente especial. Há uma variedade de diferentes SKU/camadas disponíveis para o Azure Bastion. A camada selecionada afeta os recursos disponíveis. Para obter mais informações, consulte Sobre as definições de configuração do Bastion.

Diagrama mostrando a arquitetura do Azure Bastion.

NAT Gateway

NAT de rede virtual (conversão de endereços de rede) simplifica a conectividade de Internet somente de saída para redes virtuais. Quando configurada em uma sub-rede, toda a conectividade de saída usa seus endereços IP públicos estáticos especificados. A conectividade de saída é possível sem balanceador de carga ou endereços IP públicos diretamente conectados a máquinas virtuais. Para obter mais informações, consulte O que é o gateway NAT do Azure?

Gateway NAT de rede virtual

Servidor de Rotas

O Azure Route Server simplifica o roteamento dinâmico entre seu dispositivo virtual de rede (NVA) e sua rede virtual. Ele permite que você troque informações de roteamento diretamente por meio do protocolo de roteamento BGP (Border Gateway Protocol) entre qualquer NVA que ofereça suporte ao protocolo de roteamento BGP e a Rede Definida por Software (SDN) do Azure na Rede Virtual do Azure (VNet) sem a necessidade de configurar ou manter tabelas de rotas manualmente.

Peering Service

O Serviço de Emparelhamento do Azure melhora a conectividade do cliente com os serviços de nuvem da Microsoft, como o Microsoft 365, Dynamics 365, serviços de software como serviço (SaaS), Azure ou quaisquer serviços da Microsoft acessíveis através da Internet pública.

Serviços de proteção de aplicativos

Esta seção descreve os serviços de rede no Azure que ajudam a proteger seus recursos de rede - Proteja seus aplicativos usando qualquer um ou uma combinação desses serviços de rede no Azure - Proteção contra DDoS, Link Privado, Firewall, Firewall de Aplicativo Web, Grupos de Segurança de Rede e Pontos de Extremidade do Serviço de Rede Virtual.

Proteção contra DDoS

A Proteção contra DDoS do Azure fornece contramedidas contra as ameaças DDoS mais sofisticadas. O serviço fornece recursos aprimorados de mitigação de DDoS para seu aplicativo e recursos implantados em suas redes virtuais. Além disso, os clientes que usam a Proteção contra DDoS do Azure têm acesso ao suporte de Resposta Rápida contra DDoS para envolver especialistas em DDoS durante um ataque ativo.

A Proteção contra DDoS do Azure consiste em duas camadas:

  • A Proteção de Rede DDoS, combinada com as práticas recomendadas de design de aplicativos, fornece recursos aprimorados de mitigação de DDoS para defesa contra ataques DDoS. Ele é ajustado automaticamente para ajudar a proteger seus recursos específicos do Azure em uma rede virtual.
  • DDoS IP Protection é um modelo de IP pago por protegido. O DDoS IP Protection contém os mesmos recursos principais de engenharia que o DDoS Network Protection, mas será diferente nos seguintes serviços de valor agregado: suporte de resposta rápida DDoS, proteção de custos e descontos no WAF.

Diagrama da arquitetura de referência para uma aplicação Web PaaS protegida contra DDoS.

O Azure Private Link permite que você acesse os Serviços PaaS do Azure (por exemplo, Armazenamento do Azure e Banco de Dados SQL) e os serviços hospedados pelo Azure de propriedade do cliente/parceiro em um ponto de extremidade privado em sua rede virtual. O tráfego entre a sua rede virtual e o serviço viaja através da rede de backbone da Microsoft. Expor o seu serviço à Internet pública já não é necessário. Pode criar o seu próprio serviço de ligação privada na sua rede virtual e fornecê-lo aos seus clientes.

Visão geral do ponto final privado

Azure Firewall

O Firewall do Azure é um serviço de segurança de rede gerenciado e baseado em nuvem que protege seus recursos da Rede Virtual do Azure. Usando o Firewall do Azure, você pode criar, impor e registrar centralmente políticas de conectividade de aplicativos e redes em assinaturas e redes virtuais. O Azure Firewall utiliza um endereço IP público estático para os recursos de rede virtual que permite às firewalls externas identificar o tráfego com origem na sua rede virtual.

Descrição geral das firewalls

Firewall de Aplicações Web

O Azure Web Application Firewall (WAF) fornece proteção aos seus aplicativos Web contra vulnerabilidades e explorações da Web comuns, como injeção de SQL e scripts entre sites. O Azure WAF fornece proteção imediata contra as 10 principais vulnerabilidades do OWASP por meio de regras gerenciadas. Além disso, os clientes também podem configurar regras personalizadas, que são regras gerenciadas pelo cliente para fornecer proteção extra com base no intervalo de IP de origem, e solicitar atributos como cabeçalhos, cookies, campos de dados de formulário ou parâmetros de cadeia de caracteres de consulta.

Os clientes podem optar por implantar o Azure WAF com o Application Gateway, que fornece proteção regional para entidades no espaço de endereçamento público e privado. Os clientes também podem optar por implantar o Azure WAF com Front Door , que fornece proteção na borda da rede para pontos de extremidade públicos.

Firewall de Aplicações Web

Grupos de segurança de rede

Pode filtrar o tráfego de rede de e para recursos do Azure numa rede virtual do Azure com um grupo de segurança de rede. Para obter mais informações, consulte Grupos de segurança de rede.

Pontos finais de serviço

Os pontos de extremidade de serviço de Rede Virtual (VNet) estendem seu espaço de endereçamento privado de rede virtual e a identidade de sua VNet para os serviços do Azure, por meio de uma conexão direta. Os pontos finais permitem-lhe obter os seus recursos críticos de serviço do Azure apenas para as suas redes virtuais. O tráfego da sua VNet para o serviço do Azure permanece sempre na rede backbone do Microsoft Azure.

Pontos finais de serviço de rede virtual

Serviços de entrega de aplicativos

Esta seção descreve os serviços de rede no Azure que ajudam a fornecer aplicativos - Content Delivery Network, Azure Front Door Service, Traffic Manager, Load Balancer e Application Gateway.

Azure Front Door

O Azure Front Door permite definir, gerenciar e monitorar o roteamento global para seu tráfego da Web, otimizando para obter o melhor desempenho e failover global instantâneo para alta disponibilidade. Com o Front Door, pode transformar as suas aplicações empresariais e para consumidores globais (múltiplas regiões) em aplicações, APIs e conteúdos robustos, modernos e personalizados, com um elevado desempenho e que alcancem uma audiência global com o Azure.

Diagrama do serviço Azure Front Door com Web Application Firewall.

Gestor de Tráfego

Gestor de Tráfego do Azure. é um balanceador de carga de tráfego baseado em DNS que permite distribuir o tráfego de forma otimizada para serviços em regiões globais do Azure, ao mesmo tempo em que fornece alta disponibilidade e capacidade de resposta. O Gerenciador de Tráfego fornece uma variedade de métodos de roteamento de tráfego para distribuir o tráfego, como prioridade, ponderado, desempenho, geográfico, multivalor ou sub-rede.

O diagrama a seguir mostra o roteamento baseado em prioridade de ponto de extremidade com o Gerenciador de Tráfego:

Método de roteamento de tráfego 'Priority' do Azure Traffic Manager

Para obter mais informações sobre o Gerenciador de Tráfego, consulte O que é o Gerenciador de Tráfego do Azure?

Balanceador de Carga

O Azure Load Balancer fornece balanceamento de carga de Camada 4 de alto desempenho e baixa latência para todos os protocolos UDP e TCP. Ele gerencia conexões de entrada e saída. Você pode configurar pontos de extremidade com balanceamento de carga público e interno. Você pode definir regras para mapear conexões de entrada para destinos do pool de back-end usando as opções de sondagem de integridade TCP e HTTP para gerenciar a disponibilidade do serviço.

O Azure Load Balancer está disponível em SKUs Padrão, Regional e de Gateway.

A imagem a seguir mostra um aplicativo multicamadas voltado para a Internet que utiliza balanceadores de carga externos e internos:

Exemplo do Azure Load Balancer

Gateway de Aplicação

O Gateway de Aplicação do Azure é um balanceador de carga do tráfego da Web que lhe permite gerir o tráfego das suas aplicações Web. É um Application Delivery Controller (ADC) como um serviço, oferecendo vários recursos de balanceamento de carga de camada 7 para seus aplicativos.

O diagrama a seguir mostra o roteamento baseado em caminho de url com o Application Gateway.

Exemplo de gateway de aplicativo

Rede de Entrega de Conteúdos

Rede de Entrega de Conteúdo (CDN) do Azure. oferece aos desenvolvedores uma solução global para fornecer rapidamente conteúdo de alta largura de banda aos usuários, armazenando em cache seu conteúdo em nós físicos estrategicamente posicionados em todo o mundo.

CDN do Azure

Serviços de monitorização de rede

Esta seção descreve os serviços de rede no Azure que ajudam a monitorar seus recursos de rede - Azure Network Watcher, Azure Monitor Network Insights, Azure Monitor e ExpressRoute Monitor.

Observador de Rede do Azure

O Observador de Rede do Azure oferece ferramentas para monitorizar, diagnosticar, ver métricas e ativar ou desativar registos de recursos numa rede virtual do Azure. Para obter mais informações, consulte [O que é o Network Watcher?

Azure Monitor

O Azure Monitor maximiza a disponibilidade e desempenho das suas aplicações ao fornecer uma solução abrangente para recolher, analisar e atuar de acordo com a telemetria dos seus ambientes no local e na cloud. Ajuda a compreender o desempenho das suas aplicações e identifica proativamente os problemas que as afetam e os recursos de que dependem. Para obter mais informações, consulte [Visão geral do Azure Monitor

Monitor de Rota Expressa

Para saber mais sobre como exibir métricas de circuito, logs de recursos e alertas da Rota Expressa, consulte Monitoramento, métricas e alertas da Rota Expressa.

Informações da Rede

Azure Monitor for Networks (Network Insights). Fornece uma visão abrangente da integridade e métricas para todos os recursos de rede implantados, sem exigir qualquer configuração.

Próximos passos