Planear redes virtuaisPlan virtual networks

Criar uma rede virtual para experimentar é fácil o suficiente, mas é provável que implemente várias redes virtuais ao longo do tempo para suportar as necessidades de produção da sua organização.Creating a virtual network to experiment with is easy enough, but chances are, you will deploy multiple virtual networks over time to support the production needs of your organization. Com algum planeamento, poderá implementar redes virtuais e ligar os recursos de que necessita de forma mais eficaz.With some planning, you will be able to deploy virtual networks and connect the resources you need more effectively. A informação neste artigo é muito útil se já estiver familiarizado com redes virtuais e tiver alguma experiência a trabalhar com elas.The information in this article is most helpful if you're already familiar with virtual networks and have some experience working with them. Se não estiver familiarizado com redes virtuais, é aconselhável ler a visão geral da rede virtual.If you are not familiar with virtual networks, it's recommended that you read Virtual network overview.

Atribuição de nomesNaming

Todos os recursos Azure têm um nome.All Azure resources have a name. O nome deve ser único dentro de um âmbito, que pode variar para cada tipo de recurso.The name must be unique within a scope, that may vary for each resource type. Por exemplo, o nome de uma rede virtual deve ser único dentro de um grupo de recursos,mas pode ser duplicado dentro de uma subscrição ou regiãode Azure .For example, the name of a virtual network must be unique within a resource group, but can be duplicated within a subscription or Azure region. Definir uma convenção de nomeação que você pode usar de forma consistente ao nomear recursos é útil na gestão de vários recursos de rede ao longo do tempo.Defining a naming convention that you can use consistently when naming resources is helpful when managing several network resources over time. Para sugestões, consulte as convenções de nomeação.For suggestions, see Naming conventions.

RegiõesRegions

Todos os recursos Azure são criados numa região de Azure e subscrição.All Azure resources are created in an Azure region and subscription. Um recurso só pode ser criado numa rede virtual que exista na mesma região e subscrição que o recurso.A resource can only be created in a virtual network that exists in the same region and subscription as the resource. No entanto, pode ligar redes virtuais que existem em diferentes subscrições e regiões.You can however, connect virtual networks that exist in different subscriptions and regions. Para mais informações, consulte a conectividade.For more information, see connectivity. Ao decidir em que região ou regiões devem mobilizar recursos, considere onde os consumidores dos recursos estão fisicamente localizados:When deciding which region(s) to deploy resources in, consider where consumers of the resources are physically located:

  • Os consumidores de recursos normalmente querem a menor latência da rede aos seus recursos.Consumers of resources typically want the lowest network latency to their resources. Para determinar as latências relativas entre uma determinada localização e regiões de Azure, consulte as latências relativas.To determine relative latencies between a specified location and Azure regions, see View relative latencies.
  • Tem requisitos de residência, soberania, conformidade ou resiliência dos dados?Do you have data residency, sovereignty, compliance, or resiliency requirements? Em caso afirmativo, escolher a região que se alinha com os requisitos é fundamental.If so, choosing the region that aligns to the requirements is critical. Para mais informações, consulte as geografias Azure.For more information, see Azure geographies.
  • Necessita de resiliência através das Zonas de Disponibilidade Azure dentro da mesma região do Azure para os recursos que utiliza?Do you require resiliency across Azure Availability Zones within the same Azure region for the resources you deploy? Pode implementar recursos, como máquinas virtuais (VM) para diferentes zonas de disponibilidade dentro da mesma rede virtual.You can deploy resources, such as virtual machines (VM) to different availability zones within the same virtual network. No entanto, nem todas as regiões de Azure apoiam zonas de disponibilidade.Not all Azure regions support availability zones however. Para saber mais sobre as zonas de disponibilidade e as regiões que as suportam, consulte zonas de disponibilidade.To learn more about availability zones and the regions that support them, see Availability zones.

SubscriçõesSubscriptions

Pode implementar o número de redes virtuais necessárias em cada subscrição, até ao limite.You can deploy as many virtual networks as required within each subscription, up to the limit. Algumas organizações têm subscrições diferentes para diferentes departamentos, por exemplo.Some organizations have different subscriptions for different departments, for example. Para obter mais informações e considerações em torno das subscrições, consulte a governação da subscrição.For more information and considerations around subscriptions, see Subscription governance.

SegmentaçãoSegmentation

Pode criar várias redes virtuais por subscrição e por região.You can create multiple virtual networks per subscription and per region. Pode criar várias sub-redes dentro de cada rede virtual.You can create multiple subnets within each virtual network. As considerações que se seguem ajudam-no a determinar quantas redes virtuais e sub-redes necessita:The considerations that follow help you determine how many virtual networks and subnets you require:

Redes virtuaisVirtual networks

Uma rede virtual é uma parte virtual e isolada da rede pública Azure.A virtual network is a virtual, isolated portion of the Azure public network. Cada rede virtual é dedicada à sua subscrição.Each virtual network is dedicated to your subscription. Coisas a considerar ao decidir se cria uma rede virtual ou várias redes virtuais numa subscrição:Things to consider when deciding whether to create one virtual network, or multiple virtual networks in a subscription:

  • Existem requisitos de segurança organizacionais para isolar o tráfego em redes virtuais separadas?Do any organizational security requirements exist for isolating traffic into separate virtual networks? Pode optar por ligar redes virtuais ou não.You can choose to connect virtual networks or not. Se ligar redes virtuais, pode implementar um aparelho virtual de rede, como uma firewall, para controlar o fluxo de tráfego entre as redes virtuais.If you connect virtual networks, you can implement a network virtual appliance, such as a firewall, to control the flow of traffic between the virtual networks. Para mais informações, consulte a segurança e a conectividade.For more information, see security and connectivity.
  • Existem requisitos organizacionais para isolar redes virtuais em assinaturas ou regiões separadas?Do any organizational requirements exist for isolating virtual networks into separate subscriptions or regions?
  • Uma interface de rede permite que um VM comunique com outros recursos.A network interface enables a VM to communicate with other resources. Cada interface de rede tem um ou mais endereços IP privados atribuídos à mesma.Each network interface has one or more private IP addresses assigned to it. Quantas interfaces de rede e endereços IP privados necessita numa rede virtual?How many network interfaces and private IP addresses do you require in a virtual network? Existem limites para o número de interfaces de rede e endereços IP privados que pode ter dentro de uma rede virtual.There are limits to the number of network interfaces and private IP addresses that you can have within a virtual network.
  • Deseja ligar a rede virtual a outra rede virtual ou rede no local?Do you want to connect the virtual network to another virtual network or on-premises network? Pode optar por ligar algumas redes virtuais entre si ou redes no local, mas não outras.You may choose to connect some virtual networks to each other or on-premises networks, but not others. Para mais informações, consulte a conectividade.For more information, see connectivity. Cada rede virtual que se conecta a outra rede virtual, ou rede no local, deve ter um espaço de endereço único.Each virtual network that you connect to another virtual network, or on-premises network, must have a unique address space. Cada rede virtual tem uma ou mais gamas de endereços públicos ou privados atribuídas ao seu espaço de endereço.Each virtual network has one or more public or private address ranges assigned to its address space. Uma gama de endereços é especificada no formato de encaminhamento de domínio de internet sem classe (CIDR), tal como 10.0.0.0/16.An address range is specified in classless internet domain routing (CIDR) format, such as 10.0.0.0/16. Saiba mais sobre os intervalos de endereços para redes virtuais.Learn more about address ranges for virtual networks.
  • Tem algum requisito de administração organizacional para recursos em diferentes redes virtuais?Do you have any organizational administration requirements for resources in different virtual networks? Em caso afirmativo, poderá separar os recursos em rede virtual separada para simplificar a atribuição de permissão a indivíduos da sua organização ou atribuir diferentes políticas a diferentes redes virtuais.If so, you might separate resources into separate virtual network to simplify permission assignment to individuals in your organization or to assign different policies to different virtual networks.
  • Quando colocas alguns recursos de serviço da Azure numa rede virtual, eles criam a sua própria rede virtual.When you deploy some Azure service resources into a virtual network, they create their own virtual network. Para determinar se um serviço Azure cria a sua própria rede virtual, consulte informações para cada serviço Azure que pode ser implantado numa rede virtual.To determine whether an Azure service creates its own virtual network, see information for each Azure service that can be deployed into a virtual network.

Sub-redesSubnets

Uma rede virtual pode ser segmentada em uma ou mais subesí redes até aos limites.A virtual network can be segmented into one or more subnets up to the limits. Coisas a considerar ao decidir se cria uma sub-rede ou várias redes virtuais numa subscrição:Things to consider when deciding whether to create one subnet, or multiple virtual networks in a subscription:

  • Cada sub-rede deve ter uma gama de endereços única, especificada no formato CIDR, dentro do espaço de endereço da rede virtual.Each subnet must have a unique address range, specified in CIDR format, within the address space of the virtual network. O intervalo de endereços não pode sobrepor-se a outras sub-redes na rede virtual.The address range cannot overlap with other subnets in the virtual network.
  • Se planeia implantar alguns recursos de serviço Azure numa rede virtual, eles podem necessitar ou criar a sua própria sub-rede, por isso deve haver espaço suficiente para que o façam.If you plan to deploy some Azure service resources into a virtual network, they may require, or create, their own subnet, so there must be enough unallocated space for them to do so. Para determinar se um serviço Azure cria a sua própria sub-rede, consulte informações para cada serviço Azure que pode ser implantado numa rede virtual.To determine whether an Azure service creates its own subnet, see information for each Azure service that can be deployed into a virtual network. Por exemplo, se ligar uma rede virtual a uma rede no local utilizando um Gateway Azure VPN, a rede virtual deve ter uma sub-rede dedicada para o gateway.For example, if you connect a virtual network to an on-premises network using an Azure VPN Gateway, the virtual network must have a dedicated subnet for the gateway. Saiba mais sobre as sub-redes gateway.Learn more about gateway subnets.
  • A Azure liga o tráfego de rede entre todas as sub-redes numa rede virtual, por padrão.Azure routes network traffic between all subnets in a virtual network, by default. Pode anular o encaminhamento padrão da Azure para evitar o encaminhamento do Azure entre sub-redes ou para encaminhar o tráfego entre sub-redes através de um aparelho virtual de rede, por exemplo.You can override Azure's default routing to prevent Azure routing between subnets, or to route traffic between subnets through a network virtual appliance, for example. Se necessitar que o tráfego entre recursos na mesma rede virtual flua através de um aparelho virtual de rede (NVA), implante os recursos em diferentes sub-redes.If you require that traffic between resources in the same virtual network flow through a network virtual appliance (NVA), deploy the resources to different subnets. Saiba mais em segurança.Learn more in security.
  • Pode limitar o acesso aos recursos do Azure, como uma conta de armazenamento Azure ou Azure SQL Database, a sub-redes específicas com um ponto final de serviço de rede virtual.You can limit access to Azure resources such as an Azure storage account or Azure SQL Database, to specific subnets with a virtual network service endpoint. Além disso, pode negar o acesso aos recursos a partir da internet.Further, you can deny access to the resources from the internet. Pode criar várias sub-redes e ativar um ponto final de serviço para algumas sub-redes, mas não para outras.You may create multiple subnets, and enable a service endpoint for some subnets, but not others. Saiba mais sobre os pontos finaisde serviço e os recursos Azure para os quais pode capacitá-los.Learn more about service endpoints, and the Azure resources you can enable them for.
  • Pode associar zero ou um grupo de segurança de rede a cada sub-rede numa rede virtual.You can associate zero or one network security group to each subnet in a virtual network. Pode associar o mesmo, ou um grupo de segurança de rede diferente a cada sub-rede.You can associate the same, or a different, network security group to each subnet. Cada grupo de segurança da rede contém regras que permitem ou negam o tráfego de e para fontes e destinos.Each network security group contains rules, which allow or deny traffic to and from sources and destinations. Saiba mais sobre grupos de segurança de rede.Learn more about network security groups.

SegurançaSecurity

Pode filtrar o tráfego de rede de e para recursos numa rede virtual utilizando grupos de segurança de rede e aparelhos virtuais de rede.You can filter network traffic to and from resources in a virtual network using network security groups and network virtual appliances. Pode controlar como a Azure encaminha o tráfego a partir de sub-redes.You can control how Azure routes traffic from subnets. Também pode limitar quem na sua organização pode trabalhar com recursos em redes virtuais.You can also limit who in your organization can work with resources in virtual networks.

Filtragem do tráfegoTraffic filtering

  • Pode filtrar o tráfego de rede entre recursos numa rede virtual utilizando um grupo de segurança de rede, um NVA que filtra o tráfego da rede, ou ambos.You can filter network traffic between resources in a virtual network using a network security group, an NVA that filters network traffic, or both. Para implantar um NVA, como uma firewall, para filtrar o tráfego da rede, consulte o Azure Marketplace.To deploy an NVA, such as a firewall, to filter network traffic, see the Azure Marketplace. Ao utilizar um NVA, também cria rotas personalizadas para encaminhar o tráfego de sub-redes para a NVA.When using an NVA, you also create custom routes to route traffic from subnets to the NVA. Saiba mais sobre o encaminhamento de tráfego.Learn more about traffic routing.
  • Um grupo de segurança de rede contém várias regras de segurança padrão que permitem ou negam o tráfego de ou para recursos.A network security group contains several default security rules that allow or deny traffic to or from resources. Um grupo de segurança de rede pode ser associado a uma interface de rede, a sub-rede em que a interface de rede está, ou ambos.A network security group can be associated to a network interface, the subnet the network interface is in, or both. Para simplificar a gestão das regras de segurança, recomenda-se que associe um grupo de segurança de rede a sub-redes individuais, em vez de interfaces de rede individuais dentro da sub-rede, sempre que possível.To simplify management of security rules, it's recommended that you associate a network security group to individual subnets, rather than individual network interfaces within the subnet, whenever possible.
  • Se diferentes VMs dentro de uma sub-rede precisarem de diferentes regras de segurança aplicadas a eles, pode associar a interface de rede no VM a um ou mais grupos de segurança de aplicações.If different VMs within a subnet need different security rules applied to them, you can associate the network interface in the VM to one or more application security groups. Uma regra de segurança pode especificar um grupo de segurança de aplicação na sua origem, destino ou ambos.A security rule can specify an application security group in its source, destination, or both. Esta regra aplica-se então apenas às interfaces de rede que são membros do grupo de segurança de aplicações.That rule then only applies to the network interfaces that are members of the application security group. Saiba mais sobre grupos de segurança de rede e grupos de segurança de aplicações.Learn more about network security groups and application security groups.
  • A Azure cria várias regras de segurança predefinidas dentro de cada grupo de segurança da rede.Azure creates several default security rules within each network security group. Uma regra padrão permite que todo o tráfego flua entre todos os recursos de uma rede virtual.One default rule allows all traffic to flow between all resources in a virtual network. Para anular este comportamento, utilize grupos de segurança de rede, encaminhamento personalizado para encaminhar o tráfego para um NVA, ou ambos.To override this behavior, use network security groups, custom routing to route traffic to an NVA, or both. Recomenda-se que se familiarize com todas as regras de segurança padrão do Azure e compreenda como as regras do grupo de segurança de rede são aplicadas a um recurso.It's recommended that you familiarize yourself with all of Azure's default security rules and understand how network security group rules are applied to a resource.

Pode ver projetos de amostras para implementar uma rede de perímetro (também conhecida como DMZ) entre o Azure e a internet utilizando uma NVA.You can view sample designs for implementing a perimeter network (also known as a DMZ) between Azure and the internet using an NVA.

Encaminhamento de tráfegoTraffic routing

A Azure cria várias rotas predefinidas para o tráfego de saída a partir de uma sub-rede.Azure creates several default routes for outbound traffic from a subnet. Pode anular o encaminhamento padrão do Azure criando uma tabela de rotas e associando-a a uma sub-rede.You can override Azure's default routing by creating a route table and associating it to a subnet. As razões comuns para anular o encaminhamento padrão do Azure são:Common reasons for overriding Azure's default routing are:

  • Porque quer que o tráfego entre sub-redes flua através de uma NVA.Because you want traffic between subnets to flow through an NVA. Para saber mais sobre como configurar tabelas de rotas para forçar o tráfego através de uma NVA.To learn more about how to configure route tables to force traffic through an NVA.
  • Porque você quer forçar todo o tráfego ligado à Internet através de um NVA, ou no local, através de um gateway Azure VPN.Because you want to force all internet-bound traffic through an NVA, or on-premises, through an Azure VPN gateway. Forçar o tráfego de internet no local para inspeção e exploração madeireira é muitas vezes referido como túnel forçado.Forcing internet traffic on-premises for inspection and logging is often referred to as forced tunneling. Saiba mais sobre como configurar túneis forçados.Learn more about how to configure forced tunneling.

Se precisar de implementar o encaminhamento personalizado, recomenda-se que se familiarize com o encaminhamento em Azure.If you need to implement custom routing, it's recommended that you familiarize yourself with routing in Azure.

ConectividadeConnectivity

Pode ligar uma rede virtual a outras redes virtuais utilizando o espreitamento de rede virtual ou à sua rede no local, utilizando um gateway Azure VPN.You can connect a virtual network to other virtual networks using virtual network peering, or to your on-premises network, using an Azure VPN gateway.

PeeringPeering

Ao utilizar o espreitamento de rede virtual,as redes virtuais podem estar nas mesmas regiões Azure suportadas ou diferentes.When using virtual network peering, the virtual networks can be in the same, or different, supported Azure regions. As redes virtuais podem estar nas mesmas ou diferentes subscrições do Azure (mesmo subscrições pertencentes a diferentes inquilinos do Azure Ative Directory).The virtual networks can be in the same or different Azure subscriptions (even subscriptions belonging to different Azure Active Directory tenants). Antes de criar um espreitamento, recomenda-se que se familiarize com todos os requisitos e constrangimentosde espreitar.Before creating a peering, it's recommended that you familiarize yourself with all of the peering requirements and constraints. A largura de banda entre os recursos em redes virtuais espreitadas na mesma região é a mesma que se os recursos estivessem na mesma rede virtual.Bandwidth between resources in virtual networks peered in the same region is the same as if the resources were in the same virtual network.

Gateway de VPNVPN gateway

Pode utilizar um Gateway Azure VPN para ligar uma rede virtual à sua rede no local utilizando uma VPN site-to-site,ou utilizando uma ligação dedicada com a Azure ExpressRoute.You can use an Azure VPN Gateway to connect a virtual network to your on-premises network using a site-to-site VPN, or using a dedicated connection with Azure ExpressRoute.

Você pode combinar o peering e uma porta de entrada VPN para criar redes de hub e spoke, onde redes virtuais faladas se conectam a uma rede virtual hub, e o hub conecta-se a uma rede no local, por exemplo.You can combine peering and a VPN gateway to create hub and spoke networks, where spoke virtual networks connect to a hub virtual network, and the hub connects to an on-premises network, for example.

Resolução de nomesName resolution

Os recursos numa rede virtual não conseguem resolver os nomes dos recursos numa rede virtual espreitada utilizando o DNS incorporadoda Azure.Resources in one virtual network cannot resolve the names of resources in a peered virtual network using Azure's built-in DNS. Para resolver nomes numa rede virtual espreitada, implemente o seu próprio servidor DNSou utilize domínios privadosAzure DNS .To resolve names in a peered virtual network, deploy your own DNS server, or use Azure DNS private domains. A resolução de nomes entre recursos numa rede virtual e redes no local também requer que implemente o seu próprio servidor DNS.Resolving names between resources in a virtual network and on-premises networks also requires you to deploy your own DNS server.

PermissõesPermissions

A Azure utiliza o controlo de acesso baseado em funções Azure (Azure RBAC) para recursos.Azure utilizes Azure role-based access control (Azure RBAC) to resources. As permissões são atribuídas a um âmbito na seguinte hierarquia: grupo de gestão, subscrição, grupo de recursos e recursos individuais.Permissions are assigned to a scope in the following hierarchy: management group, subscription, resource group, and individual resource. Para saber mais sobre a hierarquia, consulte Organizar os seus recursos.To learn more about the hierarchy, see Organize your resources. Para trabalhar com redes virtuais Azure e todas as suas capacidades relacionadas, tais como peering, grupos de segurança de rede, pontos finais de serviço e tabelas de rotas, pode atribuir membros da sua organização às funções de ProprietárioIncorporado, Contribuinteou Network, e atribuir o papel ao âmbito apropriado.To work with Azure virtual networks and all of their related capabilities such as peering, network security groups, service endpoints, and route tables, you can assign members of your organization to the built-in Owner, Contributor, or Network contributor roles, and then assign the role to the appropriate scope. Se pretender atribuir permissões específicas para um subconjunto de capacidades de rede virtuais, crie uma função personalizada e atribua as permissões específicas necessárias para redes virtuais, sub-redes e pontos finais de serviço, interfaces de rede, gruposde segurança de rede e aplicações,ou tabelas de rota para a função.If you want to assign specific permissions for a subset of virtual network capabilities, create a custom role and assign the specific permissions required for virtual networks, subnets and service endpoints, network interfaces, peering, network and application security groups, or route tables to the role.

PolíticaPolicy

A Política Azure permite-lhe criar, atribuir e gerir definições políticas.Azure Policy enables you to create, assign, and manage policy definitions. As definições de política impõem regras diferentes sobre os seus recursos, para que os recursos permaneçam conformes com os seus padrões organizacionais e acordos de nível de serviço.Policy definitions enforce different rules over your resources, so the resources stay compliant with your organizational standards and service level agreements. A Azure Policy faz uma avaliação dos seus recursos, procurando recursos que não estejam em conformidade com as definições políticas que tem.Azure Policy runs an evaluation of your resources, scanning for resources that are not compliant with the policy definitions you have. Por exemplo, pode definir e aplicar uma política que permita a criação de redes virtuais apenas num grupo ou região de recursos específicos.For example, you can define and apply a policy that allows creation of virtual networks in only a specific resource group or region. Outra política pode exigir que cada sub-rede tenha um grupo de segurança de rede associado a ela.Another policy can require that every subnet has a network security group associated to it. As políticas são então avaliadas na criação e atualização de recursos.The policies are then evaluated when creating and updating resources.

As políticas são aplicadas à seguinte hierarquia: grupo de gestão, subscrição e grupo de recursos.Policies are applied to the following hierarchy: management group, subscription, and resource group. Saiba mais sobre a Política Azure ou implemente algumas definições de Política Azure derede virtual .Learn more about Azure Policy or deploy some virtual network Azure Policy definitions.

Passos seguintesNext steps

Conheça todas as tarefas, configurações e opções para uma rede virtual, sub-rede e ponto final de serviço, interface de rede, peering, grupo de segurança de rede e aplicação,ou tabela de rotas.Learn about all tasks, settings, and options for a virtual network, subnet and service endpoint, network interface, peering, network and application security group, or route table.