Tipos de endereços IP e métodos de alocação (clássico) no Azure
Pode atribuir endereços IP a recursos do Azure para comunicar com outros recursos do Azure, a rede no local e a Internet. Existem dois tipos de endereços IP que pode utilizar no Azure: público e privado.
Os endereços IP públicos são utilizados para comunicação com a Internet, incluindo serviços destinados ao público do Azure.
Os endereços IP privados são utilizados para comunicação numa rede virtual (VNet) do Azure, um serviço cloud e a sua rede no local quando utiliza um gateway de VPN ou circuito do ExpressRoute para expandir a sua rede para o Azure.
Importante
O Azure tem dois modelos de implementação para criar e trabalhar com recursos: Resource Manager e Clássico. Este artigo cobre a utilização do modelo de implementação clássica. A Microsoft recomenda que a maioria das novas implementações utilize Resource Manager. Saiba mais sobre os endereços IP no Resource Manager ao ler o artigo Endereços IP.
Endereços IP públicos
Os endereços IP públicos permitem que os recursos do Azure comuniquem com a Internet e serviços destinados ao público do Azure, como Cache do Azure para Redis, Hubs de Eventos do Azure, bases de dados SQL e armazenamento do Azure.
Um endereço IP público está associado aos seguintes tipos de recursos:
- Serviços em nuvem
- Máquinas Virtuais IaaS (VMs)
- Instâncias de função PaaS
- Gateways de VPN
- Gateways de aplicação
Método de alocação
Quando um endereço IP público tem de ser atribuído a um recurso do Azure, este é alocado dinamicamente a partir de um conjunto de endereços IP públicos disponíveis na localização em que o recurso é criado. Este endereço IP é libertado quando o recurso é parado. Com o serviço cloud, isto acontece quando todas as instâncias de função são paradas, o que pode ser evitado com um endereço IP estático (reservado) (veja Serviços Cloud).
Nota
A lista de intervalos de IP a partir dos quais os endereços IP públicos são alocados aos recursos do Azure é publicada nos intervalos de IP do Datacenter do Azure.
Resolução de nomes de anfitrião DNS
Quando cria um serviço cloud ou uma VM IaaS, tem de fornecer um nome DNS de serviço cloud exclusivo em todos os recursos no Azure. Isto cria um mapeamento nos servidores DNS geridos pelo Azure para dnsname.cloudapp.net para o endereço IP público do recurso. Por exemplo, quando cria um serviço cloud com um nome DNS de serviço cloud da contoso, o nome de domínio completamente qualificado (FQDN) contoso.cloudapp.net será resolvido para um endereço IP público (VIP) do serviço cloud. Pode utilizar este FQDN para criar um registo CNAME de domínio personalizado que aponte para o endereço IP público no Azure.
Serviços em nuvem
Um serviço cloud tem sempre um endereço IP público referido como um endereço IP virtual (VIP). Pode criar pontos finais num serviço cloud para associar portas diferentes no VIP a portas internas em VMs e instâncias de função no serviço cloud.
Um serviço cloud pode conter várias VMs IaaS ou instâncias de função PaaS, todas expostas através do mesmo VIP do serviço cloud. Também pode atribuir vários VIPs a um serviço cloud, o que permite cenários multi-VIP, como ambiente multi-inquilino com sites baseados em SSL.
Pode garantir que o endereço IP público de um serviço cloud permanece o mesmo, mesmo quando todas as instâncias de função são paradas, utilizando um endereço IP público estático , referido como IP Reservado. Pode criar um recurso IP estático (reservado) numa localização específica e atribuí-lo a qualquer serviço cloud nessa localização. Não é possível especificar o endereço IP real para o IP reservado, este é alocado a partir do conjunto de endereços IP disponíveis na localização em que é criado. Este endereço IP não é libertado até que o elimine explicitamente.
Os endereços IP públicos estáticos (reservados) são normalmente utilizados nos cenários em que um serviço cloud:
- requer que as regras de firewall sejam configuradas pelos utilizadores finais.
- depende da resolução de nomes DNS externos e um IP dinâmico exigiria a atualização de registos A.
- consome serviços Web externos que utilizam um modelo de segurança baseado em IP.
- utiliza certificados SSL ligados a um endereço IP.
Nota
Quando cria uma VM clássica, um serviço cloud de contentor é criado pelo Azure, que tem um endereço IP virtual (VIP). Quando a criação é feita através do portal, um ponto final RDP ou SSH predefinido é configurado pelo portal para que possa ligar à VM através do VIP do serviço cloud. Este VIP do serviço cloud pode ser reservado, que fornece efetivamente um endereço IP reservado para ligar à VM. Pode abrir portas adicionais ao configurar mais pontos finais.
VMs IaaS e instâncias de função PaaS
Pode atribuir um endereço IP público diretamente a uma VM IaaS ou a uma instância de função PaaS num serviço cloud. Isto é referido como um endereço IP público ao nível da instância (ILPIP). Este endereço IP público só pode ser dinâmico.
Nota
Isto é diferente do VIP do serviço cloud, que é um contentor para VMs IaaS ou instâncias de função PaaS, uma vez que um serviço cloud pode conter várias VMs IaaS ou instâncias de função PaaS, todas expostas através do mesmo VIP do serviço cloud.
Gateways de VPN
Um gateway de VPN pode ser utilizado para ligar uma VNet do Azure a outras VNets do Azure ou redes no local. Um gateway de VPN é atribuído dinamicamente a um endereço IP público, o que permite a comunicação com a rede remota.
Gateways de aplicação
Um gateway de Aplicação do Azure pode ser utilizado para balanceamento de carga de Camada7 para encaminhar o tráfego de rede com base em HTTP. É atribuído um endereço IP público dinamicamente ao gateway de aplicação, que funciona como o VIP com balanceamento de carga.
Síntese
A tabela abaixo mostra cada tipo de recurso com os métodos de alocação possíveis (dinâmicos/estáticos) e a capacidade de atribuir vários endereços IP públicos.
| Recurso | Dinâmica | Estático | Vários endereços IP |
|---|---|---|---|
| Serviço cloud | Yes | Yes | Yes |
| VM IaaS ou instância de função PaaS | Yes | No | No |
| Gateway de VPN | Yes | No | No |
| Gateway de aplicação | Yes | No | No |
Endereços IP privados
Os endereços IP privados permitem que os recursos do Azure comuniquem com outros recursos num serviço cloud ou numa rede virtual (VNet) ou numa rede no local (através de um gateway de VPN ou circuito do ExpressRoute), sem utilizar um endereço IP acessível pela Internet.
No modelo de implementação clássica do Azure, pode ser atribuído um endereço IP privado aos seguintes recursos do Azure:
- VMs IaaS e instâncias de função PaaS
- Balanceador de carga interno
- Gateway de aplicação
VMs IaaS e instâncias de função PaaS
As máquinas virtuais (VMs) criadas com o modelo de implementação clássica são sempre colocadas num serviço cloud, semelhante às instâncias de função PaaS. O comportamento dos endereços IP privados é, portanto, semelhante a estes recursos.
É importante ter em atenção que um serviço cloud pode ser implementado de duas formas:
- Como um serviço cloud autónomo , onde não está dentro de uma rede virtual.
- Como parte de uma rede virtual.
Método de alocação
No caso de um serviço cloud autónomo , os recursos obtêm um endereço IP privado alocado dinamicamente a partir do intervalo de endereços IP privados do datacenter do Azure. Só pode ser utilizada para comunicação com outras VMs no mesmo serviço cloud. Este endereço IP pode ser alterado quando o recurso é parado e iniciado.
No caso de um serviço cloud implementado numa rede virtual, os recursos obtêm endereços IP privados alocados a partir do intervalo de endereços das sub-redes associadas (conforme especificado na respetiva configuração de rede). Estes endereços IP privados podem ser utilizados para comunicação entre todas as VMs na VNet.
Além disso, no caso de serviços cloud numa VNet, um endereço IP privado é alocado dinamicamente (com DHCP) por predefinição. Pode mudar quando o recurso é parado e iniciado. Para garantir que o endereço IP permanece o mesmo, tem de definir o método de alocação como estático e fornecer um endereço IP válido dentro do intervalo de endereços correspondente.
Geralmente, os endereços IP privados estáticos são utilizados para:
- VMs que funcionam como controladores de domínio ou servidores DNS.
- VMs que requerem regras de firewall com endereços IP.
- VMs a executar serviços acedidos por outras aplicações através de um endereço IP.
Resolução interna do nome de anfitrião DNS
Por predefinição, todas as VMs do Azure e as instâncias de função PaaS são configuradas com servidores DNS geridos pelo Azure , a menos que configure explicitamente servidores DNS personalizados. Estes servidores DNS fornecem resolução de nomes internos para VMs e instâncias de função que residem na mesma VNet ou serviço cloud.
Quando cria uma VM, é adicionado aos servidores DNS geridos pelo Azure um mapeamento do nome de anfitrião para o respetivo endereço IP privado. Com a VM multi-NIC, o nome do anfitrião é mapeado para o endereço IP privado da NIC primária. No entanto, estas informações de mapeamento estão restritas a recursos dentro do mesmo serviço cloud ou VNet.
No caso de um serviço cloud autónomo , poderá resolver nomes de anfitrião de todas as VMs/instâncias de função apenas no mesmo serviço cloud. No caso de um serviço cloud numa VNet, poderá resolver nomes de anfitrião de todas as VMs/instâncias de função na VNet.
Balanceadores de carga internos (ILBs) e gateways de aplicação
Pode atribuir um endereço IP privado à configuração de front-end de um Balanceador de Carga Interno do Azure (ILB) ou de um Gateway de Aplicação. Este endereço IP privado funciona como o ponto final interno, que só é acessível pelos recursos dentro da respetiva rede virtual (VNet) e pelas redes remotas ligadas à VNet. Pode atribuir um endereço IP privado dinâmico ou estático à configuração de front-end. Também pode atribuir vários endereços IP privados para ativar cenários multi-vip.
Síntese
A tabela abaixo mostra cada tipo de recurso com os métodos de alocação possíveis (dinâmicos/estáticos) e a capacidade de atribuir vários endereços IP privados.
| Recurso | Dinâmica | Estático | Vários endereços IP |
|---|---|---|---|
| VM (num serviço cloud autónomo ou VNet) | Yes | Yes | Yes |
| Instância de função PaaS (num serviço cloud autónomo ou VNet) | Yes | No | No |
| Front-end do balanceador de carga interno | Yes | Yes | Yes |
| Front-end do gateway de aplicação | Yes | Yes | Yes |
Limites
A tabela abaixo mostra os limites impostos ao endereçamento IP no Azure por subscrição. Pode contactar o suporte para aumentar os limites predefinidos até aos limites máximos, com base nas necessidades da sua atividade.
| Limite predefinido | Limite máximo | |
|---|---|---|
| Endereços IP públicos (dinâmico) | 5 | contactar o suporte |
| Endereços IP públicos reservados | 20 | contactar o suporte |
| VIP público por implementação (serviço cloud) | 5 | contactar o suporte |
| VIP privado (ILB) por implementação (serviço cloud) | 1 | 1 |
Certifique-se de que lê o conjunto completo de limites para Redes no Azure.
Preços
Na maioria dos casos, os endereços IP públicos são gratuitos. Existe um custo nominal para utilizar endereços IP públicos adicionais e/ou estáticos. Certifique-se de que compreende a estrutura de preços dos IPs públicos.
Diferenças entre implementações Resource Manager e clássicas
Segue-se uma comparação das funcionalidades de endereçamento IP no Resource Manager e no modelo de implementação clássica.
| Recurso | Clássico | Resource Manager | |
|---|---|---|---|
| Endereço IP público | VM | Referido como um ILPIP (apenas dinâmico) | Referido como UM IP público (dinâmico ou estático) |
| Atribuído a uma VM IaaS ou a uma instância de função PaaS | Associado ao NIC da VM | ||
| Balanceador de carga com acesso à Internet | Referido como VIP (dinâmico) ou IP Reservado (estático) | Referido como UM IP público (dinâmico ou estático) | |
| Atribuído a um serviço cloud | Associado à configuração de front-end do balanceador de carga | ||
| Endereço IP Privado | VM | Referido como dip | Referido como um endereço IP privado |
| Atribuído a uma VM IaaS ou a uma instância de função PaaS | Atribuído ao NIC da VM | ||
| Balanceador de carga interno (ILB) | Atribuído ao ILB (dinâmico ou estático) | Atribuído à configuração de front-end do ILB (dinâmica ou estática) |
Passos seguintes
- Implemente uma VM com um endereço IP privado estático com o portal do Azure.