Descrever topologias de rede do Azure

  • 10 minutos

A Contoso tem uma extensa rede local que fornece uma base para comunicações entre recursos implantados em vários datacenters e escritórios. É importante que a equipe de TI possa implantar componentes de rede no Azure para habilitar as comunicações entre os recursos do Azure e entre os recursos do Azure e os recursos locais.

Como engenheiro de sistema principal, você determina que a rede do Microsoft Azure fornece conectividade a recursos no Azure, entre ambos os serviços no Azure e entre o Azure e seu ambiente local. Como um benefício adicional, há vários componentes de rede do Azure que podem fornecer e ajudar a proteger aplicativos e melhorar a segurança da sua rede.

O que é uma rede virtual?

Quando você implanta computadores em seu ambiente local, normalmente os conecta a uma rede para permitir que eles se comuniquem diretamente uns com os outros. As redes virtuais do Azure (VNets) servem a mesma finalidade básica.

Ao colocar uma VM na mesma VNet que outras VMs, você efetivamente fornece conectividade IP direta entre elas dentro do mesmo espaço de endereço IP privado. Você também pode conectar diferentes redes virtuais juntas. Além disso, é possível conectar redes virtuais no Azure às suas redes locais, tornando o Azure efetivamente uma extensão do seu próprio datacenter.

Uma VNet do Azure constitui um limite lógico definido por um espaço de endereço IP privado de sua escolha. Você divide esse espaço de endereço IP em uma ou mais sub-redes, assim como faria em uma rede local. No entanto, no Azure, quaisquer tarefas adicionais de gerenciamento de rede são mais simples.

Por exemplo, alguns recursos de rede, como roteamento entre sub-redes na mesma rede virtual, estão automaticamente disponíveis. Da mesma forma, por padrão, cada VM pode acessar a Internet, o que inclui suporte para conexões de saída e resolução de nomes DNS.

O que é uma interface de rede?

Uma interface de rede é a interconexão entre uma VM e uma VNet. Uma VM deve ter pelo menos uma interface de rede (conectada a uma VNet), mas pode ter mais de uma, dependendo do tamanho da VM criada. Você pode criar uma VM com várias interfaces de rede e adicionar ou remover interfaces de rede durante todo o ciclo de vida de uma VM. Várias interfaces de rede permitem que uma VM se conecte a diferentes sub-redes na mesma rede virtual e envie ou receba tráfego pela interface mais apropriada.

A screenshot of the Overview page in the Azure portal, of a VNet interface called ContosoVM1VNET. Three connected devices are listed: ContosoVM1VMNIC, ContosoVM2VMNIC, and ContosoVM3VMNIC.

Cada interface de rede conectada a uma VM deve:

  • Existem no mesmo local e assinatura que a VM.
  • Esteja conectado a uma VNet que exista no mesmo local e assinatura do Azure que a VM.

O que é um grupo de segurança de rede?

Um NSG (grupo de segurança de rede) filtra o tráfego de rede de entrada e saída e contém regras de segurança usadas para permitir ou negar tráfego de rede filtrado. A configuração dessas regras de segurança do NSG permite controlar o tráfego de rede permitindo ou negando tipos de tráfego específicos.

Você pode atribuir um NSG a:

  • Uma interface de rede para filtrar o tráfego de rede apenas nessa interface.
  • Uma sub-rede para filtrar o tráfego em todas as interfaces de rede conectadas na sub-rede.

Você também pode atribuir NSGs a interfaces de rede e sub-redes. Em seguida, cada NSG é avaliado de forma independente.

A subnet object contains two virtual machines: VM1 and VM2. VM1 is protected through the assignment of an NSG called NSG1. The entire subnet is protected by a network security group called NSG2.

O que é o Azure Firewall?

O Firewall do Azure é um serviço de segurança de rede baseado em nuvem que ajuda a proteger seus recursos de rede virtual. Usando o Firewall do Azure, você pode criar e gerenciar centralmente perfis de conectividade de rede em toda a sua organização.

An Azure Firewall solution contains a number of spoke VNets that are connected to a central VNet that contains the firewall. This VNet is in turn connected to both an on-premises network and the internet. Traffic is filtered according to different rules between these different environments.

O Firewall do Azure usa um endereço IP público estático para seus recursos de rede virtual. Consequentemente, os firewalls externos podem identificar o tráfego originado da rede virtual da sua organização. O Firewall do Azure também está totalmente integrado ao Azure Monitor, permitindo o suporte para registro em log e análise.

O que é o gateway de VPN do Azure?

Um gateway VPN é um tipo específico de gateway VNet que você pode usar para enviar tráfego criptografado entre locais. Por exemplo, você pode usar o gateway de VPN do Azure para enviar tráfego criptografado entre:

  • Uma VNet do Azure e a sua localização no local através da Internet.
  • VNets do Azure e outras VNets do Azure na rede da Microsoft.

Cada VNet pode ter apenas um gateway VPN, mas você pode criar várias conexões com o mesmo gateway VPN.

O que é o Azure ExpressRoute?

Com a Rota Expressa, você pode estender suas redes locais para a nuvem da Microsoft. Ao contrário de uma conexão VPN, o ExpressRoute usa uma conexão privada facilitada por um provedor de telecomunicações. Usando a Rota Expressa, você pode estabelecer conexões com os serviços de nuvem da Microsoft, incluindo o Azure e o Microsoft Office 365.

O que é a WAN Virtual do Azure?

A WAN Virtual do Azure é um serviço de rede que fornece funcionalidades de rede, segurança e roteamento. A WAN Virtual usa arquitetura hub and spoke com escala e desempenho integrados. As regiões do Azure servem como hubs aos quais você pode optar por se conectar. Todos os hubs são conectados em malha completa em uma WAN Virtual Padrão, tornando mais fácil para o usuário usar o backbone da Microsoft para qualquer conectividade (qualquer falada).

A WAN Virtual do Azure inclui as seguintes funcionalidades:

  • Conectividade de filiais
  • Conectividade VPN site a site (S2S)
  • Conectividade VPN ponto a site (P2S) (usuário remoto)
  • Conectividade de Rota Expressa
  • Conectividade intracloud
  • Interconectividade VPN ExpressRoute
  • Encaminhamento
  • Azure Firewall
  • Encriptação

Você não precisa habilitar e usar todas essas funcionalidades para começar a usar a WAN Virtual. Em vez disso, você pode escolher a funcionalidade que você precisa agora e adicionar mais conforme suas necessidades organizacionais ditarem.

Extensão de sub-rede do Azure

Ao considerar estender suas cargas de trabalho para a nuvem, a equipe da Contoso investigou várias soluções oferecidas pelo Azure, incluindo extensões de sub-rede do Azure. A extensão de uma sub-rede permite que você inclua recursos do Azure como parte de suas próprias sub-redes locais locais, o que essencialmente torna esses locais separados parte do mesmo domínio de transmissão IP. Um recurso particularmente atraente de uma extensão de sub-rede é que a equipe de infraestrutura da Contoso não precisará necessariamente rearquitetar a topologia de rede local.

Atenção

Você deve evitar usar a extensão de sub-rede, exceto talvez como uma medida temporária para resolver um problema específico.

Você pode estender uma sub-rede local para o Azure usando uma solução baseada em rede de sobreposição de camada 3. Normalmente, você usará uma solução VXLAN para estender a rede de camada 2 usando uma rede de sobreposição de camada 3.

O diagrama a seguir demonstra um cenário generalizado. No cenário, a sub-rede 10.0.1.0/24 existe em ambos os lados; ou seja, tanto no Azure como no local. Ambas as sub-redes contêm cargas de trabalho virtualizadas. A extensão de sub-rede conecta essas duas partes da mesma sub-rede. A equipe de infraestrutura atribuiu endereços IP da sub-rede a VMs no Azure e no local.

Em outra parte da infraestrutura, no ambiente local, um dispositivo virtual de rede (NVA) se conecta por meio de uma conexão de Rota Expressa a um NVA em uma sub-rede diferente no Azure. Quando uma VM na rede local tenta se comunicar com uma VM do Azure, a NVA local captura o pacote, encapsula-o e o envia pela conexão VPN/ExpressRoute para a rede do Azure. O NVA do Azure recebe o pacote, descapsula-o e encaminha-o para o destinatário pretendido na sua rede. O tráfego de retorno funciona usando a mesma lógica, mas em sentido inverso.

A diagram of an on-premises VNet and an Azure VNet connected by both an ExpressRoute connection and Subnet Extension, as described in the previous text.