Identificar as funcionalidades de encaminhamento de uma rede virtual do Azure

10 minutos

Para controlar o fluxo de tráfego na sua rede virtual, tem de aprender a finalidade e os benefícios das rotas personalizadas. Tem também de aprender a configurar as rotas para direcionar o fluxo de tráfego através de uma aplicação virtual de rede (NVA).

Encaminhamento do Azure

O tráfego de rede no Azure é encaminhado automaticamente entre sub-redes do Azure, redes virtuais e redes no local. As rotas do sistema controlam esse roteamento. Eles são atribuídos por padrão a cada sub-rede em uma rede virtual. Com essas rotas do sistema, qualquer máquina virtual do Azure implantada em uma rede virtual pode se comunicar com qualquer outra na rede. Estas máquinas virtuais também são potencialmente acessíveis do local através de uma rede híbrida ou da Internet.

Não é possível criar ou excluir rotas do sistema, mas é possível substituir as rotas do sistema adicionando rotas personalizadas para controlar o fluxo de tráfego para o próximo salto.

Cada sub-rede tem as seguintes rotas de sistema predefinidas:

Prefixo de endereço	Tipo de salto seguinte
Exclusivos da rede virtual	Rede virtual
0.0.0.0/0	Internet
10.0.0.0/8	Nenhuma
172.16.0.0/12	Nenhuma
192.168.0.0/16	Nenhuma
100.64.0.0/10	Nenhuma

A coluna Tipo de salto seguinte mostra o caminho de rede seguido pelo tráfego enviado para cada prefixo de endereço. O caminho pode ser um dos seguintes tipos de salto:

Rede virtual: uma rota é criada no prefixo de endereço. O prefixo representa cada intervalo de endereços criado no nível da rede virtual. Se forem especificados múltiplos intervalos de endereços, são criadas múltiplas rotas para cada intervalo de endereços.
Internet: a rota padrão do sistema 0.0.0.0/0 roteia qualquer intervalo de endereços para a Internet, a menos que você substitua a rota padrão do Azure por uma rota personalizada.
Nenhum: Qualquer tráfego roteado para esse tipo de salto é descartado e não é roteado fora da sub-rede. Por padrão, os seguintes prefixos de endereço privado IPv4 são criados: 10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16. O prefixo 100.64.0.0/10 para um espaço de endereços partilhado também é adicionado. Nenhum destes intervalos de endereços é globalmente encaminhável.

O seguinte diagrama mostra uma descrição geral das rotas do sistema e como o tráfego flui entre sub-redes e a Internet por predefinição. Pode ver no diagrama que o tráfego flui livremente entre as duas sub-redes e a Internet.

Diagrama do tráfego que flui entre sub-redes e a internet.

No Azure, existem outras rotas do sistema. O Azure cria essas rotas se os seguintes recursos estiverem habilitados:

Peering de rede virtual
Encadeamento de serviços
Gateway de rede virtual
Ponto final de serviço de rede virtual

Peering de rede virtual e encadeamento de serviços

O peering de rede virtual e o encadeamento de serviços permitem que as redes virtuais no Azure sejam ligadas umas às outras. Com esta ligação, as máquinas virtuais podem comunicar entre si dentro da mesma região ou entre regiões. Essa comunicação, por sua vez, cria mais rotas dentro da tabela de rotas padrão. O encadeamento de serviços possibilita a substituição destas rotas através da criação de rotas definidas pelo utilizador entre redes em modo de peering.

O seguinte diagrama mostra duas redes virtuais com peering configurado. As rotas definidas pelo utilizador são configuradas para encaminhar o tráfego através de uma NVA ou de um gateway de VPN do Azure.

Diagrama de emparelhamento de rede virtual com rotas definidas pelo usuário.

Gateway de rede virtual

Utilize um gateway de rede virtual para enviar tráfego encriptado entre o Azure e o local pela Internet, bem como para enviar tráfego encriptado entre redes do Azure. Um gateway de rede virtual contém tabelas de rotas e serviços de gateway.

Diagrama da estrutura de um gateway de rede virtual.

Ponto final de serviço de rede virtual

Os pontos finais de rede virtual expandem o seu espaço de endereços privados no Azure ao fornecer uma ligação direta aos seus recursos do Azure. Esta ligação limita o fluxo de tráfego: as suas máquinas virtuais do Azure podem aceder à conta de armazenamento diretamente a partir do espaço de endereços privados e negar o acesso a partir de uma máquina virtual pública. O Azure cria rotas na tabela de rotas para direcionar este tráfego à medida que ativa pontos finais de serviço.

Rotas personalizadas

As rotas do sistema podem facilitar a rápida colocação em funcionamento do seu ambiente. No entanto, há muitos cenários em que você deseja controlar mais de perto o fluxo de tráfego dentro da sua rede. Por exemplo, você pode querer rotear o tráfego através de um NVA ou através de um firewall. As rotas personalizadas permitem este controlo.

Você tem duas opções para implementar rotas personalizadas: criar uma rota definida pelo usuário ou usar o BGP (Border Gateway Protocol) para trocar rotas entre o Azure e redes locais.

Rotas definidas pelo utilizador

Você pode usar uma rota definida pelo usuário para substituir as rotas padrão do sistema para que o tráfego possa ser roteado por firewalls ou NVAs.

Por exemplo, poderá ter uma rede com duas sub-redes e querer adicionar uma máquina virtual na rede de perímetro para ser utilizada como uma firewall. Você pode criar uma rota definida pelo usuário para que o tráfego passe pelo firewall e não vá diretamente entre as sub-redes.

Ao criar rotas definidas pelo utilizador, pode especificar estes tipos de salto seguintes:

Dispositivo virtual: um dispositivo virtual é normalmente um dispositivo de firewall usado para analisar ou filtrar o tráfego que está entrando ou saindo da rede. Você pode especificar o endereço IP privado de uma placa de interface de rede (NIC) conectada a uma máquina virtual para que o encaminhamento IP possa ser habilitado. Em alternativa, pode fornecer o endereço IP privado de um balanceador de carga interno.
Gateway de rede virtual: use para indicar quando você deseja que as rotas de um endereço específico sejam roteadas para um gateway de rede virtual. O gateway de rede virtual é especificado como uma VPN para o tipo de salto seguinte.
Rede virtual: use para substituir a rota padrão do sistema dentro de uma rede virtual.
Internet: Use para rotear o tráfego para um prefixo de endereço especificado que é roteado para a Internet.
Nenhum: Use para descartar o tráfego enviado para um prefixo de endereço especificado.

Com as rotas definidas pelo utilizador, não consegue especificar o tipo de salto seguinte VirtualNetworkServiceEndpoint, que indica o peering de rede virtual.

Tags de serviço para rotas definidas pelo usuário

Você pode especificar uma marca de serviço como o prefixo de endereço para uma rota definida pelo usuário em vez de um intervalo de IP explícito. Uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. A Microsoft gerencia os prefixos de endereço incluídos pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços mudam. Assim, minimizando a complexidade de atualizações frequentes para rotas definidas pelo usuário e reduzindo o número de rotas que você precisa criar.

BGP (Border Gateway Protocol)

Os gateways de rede na sua rede no local conseguem trocar rotas com um gateway de rede virtual no Azure ao utilizar o BGP (Border Gateway Protocol). BGP é o protocolo de roteamento padrão que normalmente é usado para trocar informações de roteamento entre duas ou mais redes. O BGP é usado para transferir dados e informações entre sistemas autônomos na internet, como diferentes gateways de host.

Normalmente, você usa o BGP para anunciar rotas locais para o Azure quando está conectado a um datacenter do Azure por meio da Rota Expressa do Azure. Pode também configurar o BGP se ligar a uma rede virtual do Azure através de uma ligação VPN site a site.

O seguinte diagrama mostra uma topologia com caminhos que podem passar dados entre o Gateway de VPN do Azure e as redes no local:

Diagrama mostrando um exemplo de uso do Border Gateway Protocol.

O BGP oferece estabilidade de rede, porque os roteadores podem alterar rapidamente as conexões para enviar pacotes se um caminho de conexão cair.

Seleção e prioridade de rotas

Se estiverem disponíveis múltiplas rotas numa tabela de rotas, o Azure utiliza a rota com a correspondência de prefixo mais longa. Por exemplo, uma mensagem é enviada para o endereço IP 10.0.0.2, mas duas rotas estão disponíveis com os prefixos 10.0.0.0/16 e 10.0.0.0/24. O Azure seleciona a rota com o prefixo 10.0.0.0/24 porque é mais específico.

Quanto mais longo for o prefixo da rota, mais curta será a lista de endereços IP disponíveis através desse prefixo. Quando você usa prefixos mais longos, o algoritmo de roteamento pode selecionar o endereço pretendido mais rapidamente.

Não pode configurar múltiplas rotas definidas pelo utilizador com o mesmo prefixo de endereço.

Se houver várias rotas com o mesmo prefixo de endereço, o Azure selecionará a rota com base no tipo na seguinte ordem de prioridade:

Rotas definidas pelo utilizador
Rotas BGP
Rotas de sistema

Verifique o seu conhecimento

Por que razão utilizaria uma rota personalizada numa rede virtual?

Para balancear a carga do tráfego dentro da sua rede virtual.

Para se ligar às suas máquinas virtuais do Azure com RDP ou SSH.

Para controlar o fluxo de tráfego na sua rede virtual do Azure.

Para se ligar aos recursos noutra rede virtual alojada no Azure.

Por que razão utilizaria o peering de rede virtual?

Para ligar redes virtuais entre si na mesma região ou entre regiões.

Para atribuir endereços IP públicos a todos os seus recursos em múltiplas redes virtuais.

Para que os balanceadores de carga possam controlar o fluxo de tráfego nas suas redes virtuais.

Para executar relatórios personalizados que analisem e identifiquem que recursos estão a ser executados em todas as suas redes virtuais, em vez de executar relatórios em cada rede virtual.

Tem de responder a todas as questões antes de verificar o seu trabalho.

Continuar