Planear redes virtuais

  • Artigo

Criar uma rede virtual para experimentar é bastante fácil, mas é provável que você implante várias redes virtuais ao longo do tempo para dar suporte às necessidades de produção da sua organização. Com algum planejamento, você poderá implantar redes virtuais e conectar os recursos de que precisa de forma mais eficaz. As informações neste artigo são mais úteis se você já estiver familiarizado com redes virtuais e tiver alguma experiência em trabalhar com elas. Se você não estiver familiarizado com redes virtuais, é recomendável ler Visão geral da rede virtual.

Atribuição de nomes

Todos os recursos do Azure têm um nome. O nome deve ser exclusivo dentro de um escopo, que pode variar para cada tipo de recurso. Por exemplo, o nome de uma rede virtual deve ser exclusivo dentro de um grupo de recursos, mas pode ser duplicado dentro de uma assinatura ou região do Azure. Definir uma convenção de nomenclatura que você possa usar consistentemente ao nomear recursos é útil ao gerenciar vários recursos de rede ao longo do tempo. Para obter sugestões, consulte Convenções de nomenclatura.

Regiões

Todos os recursos do Azure são criados em uma região e assinatura do Azure. Um recurso só pode ser criado em uma rede virtual que exista na mesma região e assinatura que o recurso. No entanto, você pode conectar redes virtuais que existem em diferentes assinaturas e regiões. Para obter mais informações, consulte conectividade. Ao decidir em quais regiões implantar recursos, considere onde os consumidores dos recursos estão fisicamente localizados:

  • Os consumidores de recursos normalmente querem a menor latência de rede para seus recursos. Para determinar latências relativas entre um local especificado e regiões do Azure, consulte Exibir latências relativas.
  • Você tem requisitos de residência, soberania, conformidade ou resiliência de dados? Nesse caso, escolher a região que se alinha aos requisitos é fundamental. Para obter mais informações, consulte Geografias do Azure.
  • Você precisa de resiliência nas Zonas de Disponibilidade do Azure dentro da mesma região do Azure para os recursos que você implanta? Você pode implantar recursos, como máquinas virtuais (VM) em diferentes zonas de disponibilidade dentro da mesma rede virtual. No entanto, nem todas as regiões do Azure oferecem suporte a zonas de disponibilidade. Para saber mais sobre as zonas de disponibilidade e as regiões que as suportam, consulte Zonas de disponibilidade.

Subscrições

Você pode implantar quantas redes virtuais forem necessárias em cada assinatura, até o limite. Algumas organizações têm assinaturas diferentes para diferentes departamentos, por exemplo. Para obter mais informações e considerações sobre assinaturas, consulte Governança de assinaturas.

Segmentação

Você pode criar várias redes virtuais por assinatura e por região. Você pode criar várias sub-redes dentro de cada rede virtual. As considerações a seguir ajudam a determinar quantas redes virtuais e sub-redes são necessárias:

Redes virtuais

Uma rede virtual é uma parte virtual e isolada da rede pública do Azure. Cada rede virtual é dedicada à sua subscrição. Coisas a considerar ao decidir se deseja criar uma rede virtual ou várias redes virtuais em uma assinatura:

  • Existem requisitos de segurança organizacionais para isolar o tráfego em redes virtuais separadas? Você pode optar por conectar redes virtuais ou não. Se você conectar redes virtuais, poderá implementar um dispositivo virtual de rede, como um firewall, para controlar o fluxo de tráfego entre as redes virtuais. Para obter mais informações, consulte Segurança e conectividade.
  • Existem requisitos organizacionais para isolar redes virtuais em assinaturas ou regiões separadas?
  • Uma interface de rede permite que uma VM se comunique com outros recursos. Cada interface de rede tem um ou mais endereços IP privados atribuídos a ela. Quantas interfaces de rede e endereços IP privados são necessários em uma rede virtual? Há limites para o número de interfaces de rede e endereços IP privados que você pode ter dentro de uma rede virtual.
  • Deseja conectar a rede virtual a outra rede virtual ou local? Você pode optar por conectar algumas redes virtuais entre si ou redes locais, mas não outras. Para obter mais informações, consulte conectividade. Cada rede virtual conectada a outra rede virtual, ou rede local, deve ter um espaço de endereçamento exclusivo. Cada rede virtual tem um ou mais intervalos de endereços públicos ou privados atribuídos ao seu espaço de endereço. Um intervalo de endereços é especificado no formato CIDR (roteamento de domínio da Internet) sem classe, como 10.0.0.0/16. Saiba mais sobre intervalos de endereços para redes virtuais.
  • Você tem algum requisito de administração organizacional para recursos em diferentes redes virtuais? Nesse caso, você pode separar recursos em rede virtual separada para simplificar a atribuição de permissão a indivíduos em sua organização ou para atribuir políticas diferentes a redes virtuais diferentes.
  • Quando você implanta alguns recursos de serviço do Azure em uma rede virtual, eles criam sua própria rede virtual. Para determinar se um serviço do Azure cria sua própria rede virtual, consulte as informações de cada serviço do Azure que pode ser implantado em uma rede virtual.

Sub-redes

Uma rede virtual pode ser segmentada em uma ou mais sub-redes até os limites. Coisas a considerar ao decidir se deseja criar uma sub-rede ou várias redes virtuais em uma assinatura:

  • Cada sub-rede deve ter um intervalo de endereços exclusivo, especificado no formato CIDR, dentro do espaço de endereço da rede virtual. O intervalo de endereços não pode se sobrepor a outras sub-redes na rede virtual.
  • Se você planeja implantar alguns recursos de serviço do Azure em uma rede virtual, eles podem exigir ou criar sua própria sub-rede, portanto, deve haver espaço não alocado suficiente para que eles façam isso. Para determinar se um serviço do Azure cria sua própria sub-rede, consulte as informações de cada serviço do Azure que pode ser implantado em uma rede virtual. Por exemplo, se você conectar uma rede virtual a uma rede local usando um Gateway de VPN do Azure, a rede virtual deverá ter uma sub-rede dedicada para o gateway. Saiba mais sobre sub-redes de gateway.
  • O Azure roteia o tráfego de rede entre todas as sub-redes em uma rede virtual, por padrão. Você pode substituir o roteamento padrão do Azure para impedir o roteamento do Azure entre sub-redes ou para rotear o tráfego entre sub-redes por meio de um dispositivo virtual de rede, por exemplo. Se você precisar que o tráfego entre recursos na mesma rede virtual flua por meio de um dispositivo virtual de rede (NVA), implante os recursos em sub-redes diferentes. Saiba mais em segurança.
  • Você pode limitar o acesso aos recursos do Azure, como uma conta de armazenamento do Azure ou o Banco de Dados SQL do Azure, a sub-redes específicas com um ponto de extremidade de serviço de rede virtual. Além disso, você pode negar o acesso aos recursos da internet. Você pode criar várias sub-redes e habilitar um ponto de extremidade de serviço para algumas sub-redes, mas não para outras. Saiba mais sobre pontos de extremidade de serviço e os recursos do Azure para os quais você pode habilitá-los.
  • Você pode associar zero ou um grupo de segurança de rede a cada sub-rede em uma rede virtual. Você pode associar o mesmo grupo de segurança de rede ou um grupo de segurança de rede diferente a cada sub-rede. Cada grupo de segurança de rede contém regras que permitem ou negam o tráfego de e para fontes e destinos. Saiba mais sobre grupos de segurança de rede.

Segurança

Você pode filtrar o tráfego de rede de e para recursos em uma rede virtual usando grupos de segurança de rede e dispositivos virtuais de rede. Você pode controlar como o Azure roteia o tráfego de sub-redes. Você também pode limitar quem em sua organização pode trabalhar com recursos em redes virtuais.

Filtragem do tráfego

  • Você pode filtrar o tráfego de rede entre recursos em uma rede virtual usando um grupo de segurança de rede, um NVA que filtra o tráfego de rede ou ambos. Para implantar um NVA, como um firewall, para filtrar o tráfego de rede, consulte o Azure Marketplace. Ao usar um NVA, você também cria rotas personalizadas para rotear o tráfego de sub-redes para o NVA. Saiba mais sobre o roteamento de tráfego.
  • Um grupo de segurança de rede contém várias regras de segurança padrão que permitem ou negam tráfego de ou para recursos. Um grupo de segurança de rede pode ser associado a uma interface de rede, à sub-rede em que a interface de rede está ou a ambos. Para simplificar o gerenciamento de regras de segurança, é recomendável associar um grupo de segurança de rede a sub-redes individuais, em vez de interfaces de rede individuais dentro da sub-rede, sempre que possível.
  • Se VMs diferentes dentro de uma sub-rede precisarem de regras de segurança diferentes aplicadas a elas, você poderá associar a interface de rede na VM a um ou mais grupos de segurança de aplicativos. Uma regra de segurança pode especificar um grupo de segurança de aplicativo em sua origem, destino ou ambos. Essa regra só se aplica às interfaces de rede que são membros do grupo de segurança do aplicativo. Saiba mais sobre grupos de segurança de rede e grupos de segurança de aplicativos.
  • Quando um grupo de segurança de rede é associado no nível da sub-rede, ele se aplica a todas as NICs na sub-rede, não apenas ao tráfego proveniente de fora da sub-rede. Isso significa que o tráfego entre as VMs contidas na sub-rede também pode ser afetado.
  • O Azure cria várias regras de segurança padrão dentro de cada grupo de segurança de rede. Uma regra padrão permite que todo o tráfego flua entre todos os recursos em uma rede virtual. Para substituir esse comportamento, use grupos de segurança de rede, roteamento personalizado para rotear o tráfego para um NVA ou ambos. É recomendável que você se familiarize com todas as regras de segurança padrão do Azure e entenda como as regras de grupo de segurança de rede são aplicadas a um recurso.

Você pode exibir designs de exemplo para implementar uma rede de perímetro (também conhecida como DMZ) entre o Azure e a Internet usando um NVA.

Roteamento de tráfego

O Azure cria várias rotas padrão para o tráfego de saída de uma sub-rede. Você pode substituir o roteamento padrão do Azure criando uma tabela de rotas e associando-a a uma sub-rede. Os motivos comuns para substituir o roteamento padrão do Azure são:

  • Porque você deseja que o tráfego entre sub-redes flua através de um NVA. Para saber mais sobre como configurar tabelas de rotas para forçar o tráfego através de um NVA.
  • Porque pretende forçar todo o tráfego ligado à Internet através de um NVA, ou no local, através de um gateway de VPN do Azure. Forçar o tráfego da Internet no local para inspeção e registro é muitas vezes referido como tunelamento forçado. Saiba mais sobre como configurar o túnel forçado.

Se você precisar implementar o roteamento personalizado, é recomendável que você se familiarize com o roteamento no Azure.

Conectividade

Você pode conectar uma rede virtual a outras redes virtuais usando emparelhamento de rede virtual ou à sua rede local, usando um gateway de VPN do Azure.

Peering

Ao usar o emparelhamento de rede virtual, as redes virtuais podem estar nas mesmas regiões do Azure com suporte ou em regiões diferentes. As redes virtuais podem estar nas mesmas ou em diferentes assinaturas do Azure (até mesmo assinaturas pertencentes a diferentes locatários do Microsoft Entra). Antes de criar um peering, é recomendável que você se familiarize com todos os requisitos e restrições de peering. A largura de banda entre recursos em redes virtuais emparelhadas na mesma região é a mesma como se os recursos estivessem na mesma rede virtual.

Gateway de VPN

Você pode usar um Gateway de VPN do Azure para conectar uma rede virtual à sua rede local usando uma VPN site a site ou usando uma conexão dedicada com a Rota Expressa do Azure.

Você pode combinar emparelhamento e um gateway VPN para criar redes hub e spoke, onde redes virtuais spoke se conectam a uma rede virtual de hub e o hub se conecta a uma rede local, por exemplo.

Resolução de nomes

Os recursos em uma rede virtual não podem resolver os nomes dos recursos em uma rede virtual emparelhada usando o DNS interno do Azure. Para resolver nomes em uma rede virtual emparelhada, implante seu próprio servidor DNS ou use domínios privados DNS do Azure. A resolução de nomes entre recursos em uma rede virtual e redes locais também exige que você implante seu próprio servidor DNS.

Permissões

O Azure utiliza o controle de acesso baseado em função do Azure (Azure RBAC) para recursos. As permissões são atribuídas a um escopo na seguinte hierarquia: grupo de gerenciamento, assinatura, grupo de recursos e recurso individual. Para saber mais sobre a hierarquia, consulte Organizar seus recursos. Para trabalhar com redes virtuais do Azure e todos os seus recursos relacionados, como emparelhamento, grupos de segurança de rede, pontos de extremidade de serviço e tabelas de rotas, você pode atribuir membros da sua organização às funções internas de Proprietário, Colaborador ou Colaborador de Rede e, em seguida, atribuir a função ao escopo apropriado. Se desejar atribuir permissões específicas para um subconjunto de recursos de rede virtual, crie uma função personalizada e atribua as permissões específicas necessárias para redes virtuais, sub-redes e pontos de extremidade de serviço, interfaces de rede, emparelhamento, grupos de segurança de rede e aplicativos ou tabelas de rotas à função.

Política

A Política do Azure permite criar, atribuir e gerir definições de política. As definições de política impõem regras diferentes sobre seus recursos, para que eles permaneçam em conformidade com seus padrões organizacionais e contratos de nível de serviço. A Política do Azure executa uma avaliação dos seus recursos, procurando recursos que não estejam em conformidade com as definições de política que possui. Por exemplo, você pode definir e aplicar uma política que permita a criação de redes virtuais em apenas um grupo de recursos ou região específica. Outra política pode exigir que cada sub-rede tenha um grupo de segurança de rede associado a ela. As políticas são então avaliadas ao criar e atualizar recursos.

As políticas são aplicadas à seguinte hierarquia: grupo de gerenciamento, assinatura e grupo de recursos. Saiba mais sobre a Política do Azure ou implante algumas definições de Política do Azure de rede virtual.

Próximos passos

Saiba mais sobre todas as tarefas, configurações e opções para uma rede virtual, sub-rede e ponto de extremidade de serviço, interface de rede, emparelhamento, grupo de segurança de rede e aplicativo ou tabela de rotas.