Descrição geral dos serviços de rede do Azure

Os serviços de networking em Azure fornecem uma variedade de capacidades de networking que podem ser usadas em conjunto ou separadamente. Clique em qualquer uma das seguintes capacidades-chave para saber mais sobre eles:

  • Serviços de conectividade: Conecte recursos Azure e recursos no local utilizando qualquer ou uma combinação destes serviços de rede em Azure - Rede Virtual (VNet), Virtual WAN, ExpressRoute, VPN Gateway, Virtual network NAT Gateway, Azure DNS, Serviço de Peering e Azure Bastion.
  • Serviços de proteção de aplicações: Proteja as suas aplicações utilizando qualquer ou uma combinação destes serviços de rede em Azure - Balancer de carga, Private Link, Proteção DDoS, Firewall, Grupos de Segurança de Rede, Firewall de Aplicações Web e Pontos Finais de Rede Virtual.
  • Serviços de entrega de aplicações: Entregar aplicações na rede Azure utilizando qualquer ou uma combinação destes serviços de networking em Azure - Rede de Entrega de Conteúdos (CDN), Serviço de Porta Frontal Azure, Gestor de Tráfego, Gateway de Aplicação, Analisador de Internet e Balanceador de Carga.
  • Monitorização da rede: Monitorize os seus recursos de rede utilizando qualquer ou uma combinação destes serviços de rede em Azure - Monitor de Rede, Monitor ExpressRoute, Monitor Azure ou Ponto de Acesso ao Terminal VNet (TAP).

Serviços de conectividade

Esta secção descreve serviços que fornecem conectividade entre recursos Azure, conectividade de uma rede no local para recursos Azure, e sucursal para sucursal conectividade em Azure - Rede Virtual (VNet), ExpressRoute, VPN Gateway, Virtual WAN, Virtual network NAT Gateway, Azure DNS, Azure Peering e Azure Bastion.

Rede virtual

A Azure Virtual Network (VNet) é o bloco de construção fundamental para a sua rede privada em Azure. Pode utilizar um VNets para:

  • Comunicar entre recursos Azure: Pode implementar VMs e vários outros tipos de recursos Azure para uma rede virtual, como os Ambientes de Serviço de Aplicações Azure, o Serviço Azure Kubernetes (AKS) e conjuntos de escala de máquina virtual Azure. Para ver uma lista completa dos recursos do Azure que pode implementar numa rede virtual, veja Integração de serviço da rede virtual.
  • Comunicar entre si: Pode ligar redes virtuais entre si, permitindo que os recursos em qualquer rede virtual se comuniquem entre si, utilizando o olhar de rede virtual. As redes virtuais a que liga podem estar nas mesmas regiões ou em regiões diferentes do Azure. Para obter mais informações, consulte a rede Virtual a espreitar.
  • Comunicar à internet: Todos os recursos num VNet podem comunicar saída para a internet, por padrão. Pode comunicar com um recurso à entrada, ao atribuir-lhe um endereço IP público ou um Balanceador de Carga público. Também pode utilizar endereços IP públicos ou Balancer de Carga pública para gerir as suas ligações de saída.
  • Comunicar com redes no local: Pode ligar os computadores e redes no local a uma rede virtual utilizando o VPN Gateway ou o ExpressRoute.

Para mais informações, veja o que é a Rede Virtual Azure?

ExpressRoute

O ExpressRoute permite-lhe estender as suas redes no local para a nuvem da Microsoft através de uma ligação privada facilitada por um fornecedor de conectividade. Esta ligação é privada. O tráfego não é transmitido pela Internet. Com o ExpressRoute, pode estabelecer ligação aos serviços cloud da Microsoft, como o Microsoft Azure, o Microsoft 365 e o Dynamics 365. Para mais informações, veja o que é ExpressRoute?

Azure ExpressRoute

Gateway de VPN

O VPN Gateway ajuda-o a criar ligações cruzadas encriptadas à sua rede virtual a partir de locais no local ou a criar ligações encriptadas entre VNets. Existem configurações diferentes disponíveis para ligações VPN Gateway, tais como, site-to-site, ponto a site ou VNet-to-VNet. O diagrama seguinte ilustra várias ligações VPN site-to-site à mesma rede virtual.

Ligações site-to-site Azure VPN Gateway

Para obter mais informações sobre diferentes tipos de ligações VPN, consulte o Gateway VPN.

WAN Virtual

Azure Virtual WAN é um serviço de networking que fornece conectividade de ramo otimizado e automatizado para, e através, Azure. As regiões de Azure servem como centros aos quais pode escolher ligar os seus ramos. Você pode aproveitar a espinha dorsal Azure para também conectar ramos e desfrutar da conectividade branch-to-VNet. A Azure Virtual WAN reúne muitos serviços de conectividade em nuvem Azure, tais como VPN site-to-site, ExpressRoute, VPN de utilizador ponto-a-local numa única interface operacional. A conectividade com os VNets Azure é estabelecida utilizando ligações de rede virtuais. Para mais informações, veja o que é Azure virtual WAN?

Diagrama da WAN Virtual

DNS do Azure

O DNS do Azure é um serviço de alojamento para domínios DNS que fornece resolução de nomes através da infraestrutura do Microsoft Azure. Ao alojar os seus domínios no Azure, pode gerir os recursos DNS com as mesmas credenciais, APIs, ferramentas e faturação dos seus outros serviços do Azure. Para mais informações, veja o que é Azure DNS?

Azure Bastion

O serviço Azure Bastion é um novo serviço PaaS totalmente gerido pela plataforma que fornece dentro da sua rede virtual. Fornece conectividade RDP/SSH segura e sem emenda às suas máquinas virtuais diretamente no portal Azure sobre TLS. Ao ligar-se através do Azure Bastion, as suas máquinas virtuais não precisam de um endereço IP público. Para mais informações, veja o que é Azure Bastion?

Arquitetura Azure Bastion

Rede virtual NAT Gateway

O VIRTUAL Network NAT (tradução de endereços de rede) simplifica a conectividade de saída da Internet para redes virtuais. Quando configurados numa sub-rede, toda a conectividade de saída utiliza os seus endereços IP públicos estáticos especificados. A conectividade de saída é possível sem o balanceador de carga ou endereços IP públicos diretamente ligados a máquinas virtuais. Para mais informações, veja o que é a rede virtual NAT gateway?

Gateway NAT de rede virtual

Serviço de Peering Azure

O serviço Azure Peering melhora a conectividade do cliente com os serviços na nuvem da Microsoft, tais como o Microsoft 365, Dynamics 365, software como serviço (SaaS), Azure, ou quaisquer serviços da Microsoft acessíveis através da internet pública. Para mais informações, veja o que é o Serviço de Espreitamento Azure?

Azure Edge Zone

Azure Edge Zone é uma família de ofertas da Microsoft Azure que permite o processamento de dados perto do utilizador. Pode implantar VMs, contentores e outros serviços Azure selecionados em Edge Zones para responder aos baixos requisitos de latência e de produção elevada das aplicações.

Azure Orbital

O Azure Orbital é uma estação terrestre totalmente gerida com base em nuvem como um serviço que permite comunicar com as suas constelações de naves espaciais ou satélites, dados de downlink e uplink, processar os seus dados na nuvem, serviços em cadeia com serviços Azure em cenários únicos e gerar produtos para os seus clientes. Este sistema é construído em cima da infraestrutura global Azure e da rede global de fibra de baixa latência.

Serviços de proteção de aplicações

Esta secção descreve serviços de networking em Azure que ajudam a proteger os seus recursos de rede - Proteja as suas aplicações utilizando qualquer ou uma combinação destes serviços de rede em Azure - proteção DDoS, Link Privado, Firewall, Firewall, Web Application Firewall, Grupos de Segurança de Rede e Endpoints de Serviço de Rede Virtual.

DDos Proteção

A Azure DDoS Protection fornece contramedidas contra as ameaças mais sofisticadas do DDoS. O serviço fornece capacidades de mitigação de DDoS melhoradas para a sua aplicação e recursos implantados nas suas redes virtuais. Além disso, os clientes que usam a Azure DDoS Protection têm acesso ao suporte DDoS Rapid Response para envolver especialistas em DDoS durante um ataque ativo.

DDos Proteção

O Azure Private Link permite-lhe aceder aos Serviços Azure PaaS (por exemplo, Azure Storage e SQL Database) e à Azure aloja serviços de propriedade do cliente/parceiro sobre um ponto final privado na sua rede virtual. O tráfego entre a sua rede virtual e o serviço percorre a rede de espinha dorsal da Microsoft. Expor o seu serviço à internet pública já não é necessário. Pode criar o seu próprio serviço de ligação privada na sua rede virtual e entregá-lo aos seus clientes.

Visão geral do ponto final privado

Azure Firewall

O Azure Firewall é um serviço de segurança de rede gerido e com base na cloud que protege os recursos da Rede Virtual do Azure. Utilizando o Azure Firewall, pode criar, impor e registar políticas de aplicação e conectividade de rede em subscrições e redes virtuais. O Azure Firewall utiliza um endereço IP público estático para os recursos de rede virtual que permite às firewalls externas identificar o tráfego com origem na sua rede virtual.

Para obter mais informações sobre o Azure Firewall, consulte a documentação do Azure Firewall.

Descrição geral das firewalls

Firewall de Aplicações Web

O Azure Web Application Firewall (WAF) fornece proteção às suas aplicações web a partir de explorações web comuns e vulnerabilidades, tais como injeção de SQL e scripts de sites cruzados. A Azure WAF fornece proteção fora da caixa das 10 principais vulnerabilidades da OWASP através de regras geridas. Além disso, os clientes também podem configurar regras personalizadas, que são regras geridas pelo cliente para fornecer proteção adicional com base na gama IP de origem, e solicitar atributos como cabeçalhos, cookies, formar campos de dados ou parâmetros de cadeia de consulta.

Os clientes podem optar por implantar a Azure WAF com o Application Gateway, que fornece proteção regional às entidades no espaço de endereços públicos e privados. Os clientes também podem optar por implementar a Azure WAF com Porta Frontal, que fornece proteção na borda da rede para os pontos finais públicos.

Firewall de Aplicação Web

Grupos de segurança de rede

Pode filtrar o tráfego de rede de e para recursos do Azure numa rede virtual do Azure com um grupo de segurança de rede. Para obter mais informações, consulte os grupos de segurança da Rede.

Pontos finais de serviço

Os pontos finais de serviço da Rede Virtual (VNet) expandem o seu espaço de endereços privados de rede virtual e da identidade da sua VNet para os serviços do Azure através de uma ligação direta. Os pontos finais permitem-lhe obter os seus recursos críticos de serviço do Azure apenas para as suas redes virtuais. O tráfego da sua VNet para o serviço do Azure permanece sempre na rede backbone do Microsoft Azure. Para obter mais informações, consulte os pontos finais do serviço de rede Virtual.

Pontos finais de serviço de rede virtual

Serviços de entrega de aplicativos

Esta secção descreve os serviços de networking em Azure que ajudam a entregar aplicações - Rede de Entrega de Conteúdos, Serviço de Porta Frontal Azure, Gestor de Tráfego, Balanceador de Carga e Gateway de Aplicações.

Rede de Entrega de Conteúdos

A Rede de Entrega de Conteúdos (CDN) oferece aos programadores uma solução global para o fornecimento rápido de conteúdo de largura de banda alta aos utilizadores, ao colocar em cache o respetivo conteúdo em nós físicos estrategicamente colocados em todo o mundo. Para obter mais informações sobre a Azure CDN, consulte a Rede de Entrega de Conteúdos Azure.

CDN do Azure

Azure Front Door Service

O Azure Front Door Service permite-lhe definir, gerir e monitorizar o encaminhamento global do tráfego da Web ao otimizar para o melhor desempenho e ativação pós-falha instantânea para uma elevada disponibilidade. Com o Front Door, pode transformar as suas aplicações empresariais e para consumidores globais (múltiplas regiões) em aplicações, APIs e conteúdos robustos, modernos e personalizados, com um elevado desempenho e que alcancem uma audiência global com o Azure. Para mais informações, consulte a Porta frontal Azure.

Visão geral do serviço da porta da frente

Gestor de Tráfego

O Gestor de Tráfego do Azure é um balanceador de carga de tráfego baseado em DNS que lhe permite distribuir o tráfego de forma otimizada para serviços nas regiões globais do Azure, proporcionando, ao mesmo tempo, elevada disponibilidade e capacidade de resposta. O Gestor de Tráfego fornece uma gama de métodos de encaminhamento de tráfego para distribuir tráfego, tais como prioridade, ponderação, desempenho, geográfico, multi-valor ou sub-rede. Para obter mais informações sobre os métodos de encaminhamento de tráfego, consulte os métodos de encaminhamento do Gestor de Tráfego.

O diagrama que se segue mostra o encaminhamento baseado na prioridade do ponto final com o Gestor de Tráfego:

Método de encaminhamento de tráfego 'prioritário' do gestor de tráfego da Azure

Para mais informações sobre o Gestor de Tráfego, veja o que é O Gestor de Tráfego da Azure?

Balanceador de Carga

O Azure Load Balancer proporciona um equilíbrio de carga de alto desempenho e baixa latência camada 4 para todos os protocolos UDP e TCP. Gere ligações de entrada e saída. Pode configurar pontos finais públicos e internos equilibrados em carga. Pode definir regras para mapear ligações de entrada para destinos de piscina back-end, utilizando opções de sondagem de saúde TCP e HTTP para gerir a disponibilidade do serviço. Para saber mais sobre o Balanceador de Carga, leia o artigo de visão geral do Balancer de Carga.

A seguinte imagem mostra uma aplicação multi-camadas virada para a Internet que utiliza os equilibradores de carga externos e internos:

Exemplo do balançador de carga de Azure

Gateway de Aplicação

O Gateway de Aplicação do Azure é um balanceador de carga do tráfego da Web que lhe permite gerir o tráfego para as suas aplicações Web. É um Controlador de Entrega de Aplicações (ADC) como um serviço, oferecendo várias capacidades de equilíbrio de carga de camada 7 para as suas aplicações. Para mais informações, veja o que é O Gateway de Aplicação Azure?

O diagrama seguinte mostra o encaminhamento baseado em url path com o Application Gateway.

Exemplo de Gateway de aplicação

Serviços de monitorização da rede

Esta secção descreve os serviços de networking em Azure que ajudam a monitorizar os recursos da sua rede - Monitor de Rede, Azure Monitor Network Insights, Azure Monitor, ExpressRoute Monitor e Virtual Network TAP.

Observador de Rede

O Observador de Rede do Azure oferece ferramentas para monitorizar, diagnosticar, ver métricas e ativar ou desativar registos de recursos numa rede virtual do Azure. Para mais informações, consulte o que é o Network Watcher?

Insights da rede Azure Monitor

O Azure Monitor for Networks proporciona uma visão abrangente da saúde e métricas para todos os recursos de rede implantados, sem necessidade de qualquer configuração. Também fornece acesso a capacidades de monitorização de rede como Connection Monitor, registo de fluxos para grupos de segurança de rede, e Traffic Analytics. Para obter mais informações, consulte a Azure Monitor Network Insights.

ExpressRoute Monitor

Para saber como ver as métricas do circuito ExpressRoute, registos de recursos e alertas, consulte a monitorização, métricas e alertas ExpressRoute.

Azure Monitor

O Azure Monitor maximiza a disponibilidade e o desempenho das aplicações ao disponibilizar uma solução abrangente para recolher, analisar e agir na telemetria dos ambientes na cloud e no local. Ajuda a compreender o desempenho das suas aplicações e identifica proativamente os problemas que as afetam e os recursos de que dependem. Para mais informações, consulte a Visão Geral do Monitor Azure.

Rede Virtual TAP

A rede virtual Azure TAP (Terminal Access Point) permite-lhe transmitir continuamente o tráfego da rede de máquinas virtuais para um coletor de pacotes de rede ou uma ferramenta de análise. A ferramenta de coletor ou de análise é fornecida por um parceiro de aparelho virtual de rede.

A imagem a seguir mostra como funciona a rede virtual TAP:

Como funciona a rede virtual TAP

Para mais informações, consulte O que é a Rede Virtual TAP.

Passos seguintes

  • Crie a sua primeira rede virtual e conecte alguns VMs a ela, completando os passos no Criar o seu primeiro artigo de rede virtual.
  • Ligue o computador a uma rede virtual completando os passos no Configure um artigo de ligação ponto-a-local.
  • Carregue o tráfego de Internet para servidores públicos completando os passos no artigo Do equilíbrio de carga virado para a Internet.