Link Privado do Azure em uma rede hub-spoke

Azure ExpressRoute
Link Privado do Azure
Rede Virtual do Azure

Este artigo fornece diretrizes para usar o Link Privado do Azure em uma topologia de rede hub-spoke. O público-alvo inclui arquitetos de rede e arquitetos de soluções de nuvem. Especificamente, este guia discute como usar o Ponto de Extremidade Privado do Azure para acessar recursos de PaaS (plataforma como serviço) privadamente.

Este guia não abrange integração de rede virtual, pontos de extremidade de serviço e outras soluções para conectar componentes de IaaS (infraestrutura como serviço) a recursos de PaaS do Azure. Para obter mais informações sobre essas soluções, confira Integrar serviços do Azure com redes virtuais para isolamento de rede.

Visão geral

As seções a seguir fornecem informações gerais sobre o Link Privado e seu ambiente.

Topologias hub-spoke do Azure

Hub-spoke é uma topologia de rede que você pode usar no Azure. Essa topologia funciona bem para gerenciar com eficiência os serviços de comunicação e atender aos requisitos de segurança em escala. Para obter mais informações sobre modelos de rede hub-spoke, confira Topologia de rede hub-spoke.

Usando uma arquitetura hub-spoke, você pode aproveitar estes benefícios:

  • Implantar cargas de trabalho individuais entre as equipes de TI centrais e as equipes de cargas de trabalho
  • Economizar custos minimizando recursos redundantes
  • Gerenciar redes com eficiência centralizando serviços que várias cargas de trabalho compartilham
  • Superar limites associados a assinaturas individuais do Azure

Este diagrama mostra uma topologia típica de hub-spoke que você pode implantar no Azure:

Diagrama de arquitetura mostrando uma rede virtual de hub e dois spokes. One spoke é uma rede local. O outro é uma rede virtual de zona de destino.

À esquerda, o diagrama contém uma caixa pontilhada rotulada como Rede local. Ele contém ícones para máquinas virtuais e servidores de nome de domínio. Uma seta bidirecional conecta essa caixa a uma caixa pontilhada intitulada Rede virtual do Hub, à direita. Um ícone acima dessa seta é rotulado como Azure ExpressRoute. A caixa de hub contém ícones para encaminhadores DNS. As setas apontam para fora da caixa do hub em direção a ícones para zonas de DNS privadas. Uma seta bidirecional conecta a caixa do hub a uma caixa abaixo dela, intitulada Rede virtual da zona de destino. À direita da seta, um ícone é rotulado como Emparelhamento de rede virtual. A caixa de zona de destino contém ícones para uma máquina virtual e um ponto de extremidade privado. Uma seta aponta do ponto de extremidade privado para um ícone de armazenamento que está fora da caixa de zona de destino.

Baixe um arquivo do PowerPoint dessa arquitetura.

Essa arquitetura é uma das duas opções de topologia de rede compatível com o Azure. Esse design de referência clássico usa componentes de rede básicos, como Rede Virtual do Azure, emparelhamento de rede virtual e UDRs (rotas definidas pelo usuário). Quando você usa hub-spoke, é responsável por configurar os serviços. Você também precisa garantir que a rede atenda aos requisitos de segurança e roteamento.

O WAN Virtual do Azure fornece uma alternativa para implantações em escala. Esse serviço usa um design de rede simplificado. O WAN Virtual também reduz a sobrecarga de configuração associada ao roteamento e à segurança.

O Link Privado dá suporte a diferentes opções de redes de hub-spoke tradicionais e redes de WAN Virtual.

O Link Privado fornece acesso aos serviços pelo adaptador de rede do Ponto de Extremidade Privado. O Ponto de Extremidade Privado usa um endereço IP privado em sua rede virtual. Você pode acessar vários serviços por esse endereço IP privado:

  • Serviços de PaaS do Azure
  • Serviços de propriedade do cliente que o Azure hospeda
  • Serviços de parceiros que o Azure hospeda

O tráfego entre sua rede virtual e o serviço que você está acessando passa pelo backbone de rede do Azure. Como resultado, você não acessa mais o serviço em um ponto de extremidade público. Para obter mais informações, confira O que é o Link Privado do Azure?.

O seguinte diagrama mostra como os usuários locais se conectam a uma rede virtual e usam o Link Privado para acessar recursos de PaaS:

Diagrama de arquitetura mostrando como o Link Privado do Azure conecta uma rede virtual a recursos de PaaS.

O diagrama contém uma caixa pontilhada à esquerda rotulada como Rede do consumidor. Um ícone fica na borda dela e é rotulado como Azure ExpressRoute. Fora da caixa à esquerda estão ícones para usuários locais e um emparelhamento privado. Dentro da caixa há uma caixa pontilhada menor chamada de Sub-rede que contém ícones para computadores e pontos de extremidade privados. A borda da caixa menor contém um ícone para um grupo de segurança de rede. Duas setas pontilhadas fluem para fora da caixa interna. Elas também passam pela borda da caixa externa. Um aponta para uma caixa pontilhada à direita que está preenchida com ícones para os serviços do Azure. A outra seta aponta para uma caixa pontilhada à direita chamada Rede do provedor. A caixa de rede do provedor contém uma caixa pontilhada menor e um ícone para o Link Privado do Azure. A caixa pontilhada menor contém ícones para computadores. Sua borda contém dois ícones: um para um balanceador de carga e outro para um grupo de segurança de rede.

Baixe um arquivo do PowerPoint dessa arquitetura.

Você pode implantar pontos de extremidade privados em um hub ou em um spoke. Alguns fatores determinam qual local funciona melhor em cada situação. Os fatores são relevantes para os serviços de PaaS do Azure e para serviços de parceiros e de propriedade do cliente que o Azure hospeda.

Questões a serem consideradas

Use as seguintes perguntas a fim de determinar a melhor configuração para seu ambiente:

O WAN Virtual é sua solução de conectividade de rede?

Se você usar o WAN Virtual, só poderá implantar pontos de extremidade privados em redes virtuais spoke que se conectam ao hub virtual. Não é possível implantar recursos em seu hub virtual ou hub seguro.

Para obter mais informações sobre como integrar o Ponto de Extremidade Privado à sua rede, confira estes artigos:

Você usa uma NVA (solução de virtualização de rede), como o Firewall do Azure?

O tráfego para o Ponto de Extremidade Privado usa o backbone de rede do Azure e é criptografado. Talvez seja necessário registrar ou filtrar esse tráfego. Talvez também convenha usar um firewall para analisar o tráfego que flui para o Ponto de Extremidade Privado caso você use um firewall em qualquer uma destas áreas:

  • Entre spokes
  • Entre seu hub e spokes
  • Entre componentes locais e suas redes do Azure

Nesse caso, implante pontos de extremidade privados em seu hub em uma sub-rede dedicada. Essa disposição:

  • Simplifica sua configuração de regra de SNAT (conversão de endereços de rede) segura. Você pode criar uma única regra de SNAT em sua NVA para tráfego para a sub-rede dedicada que contém seus pontos de extremidade privados. É possível pode rotear o tráfego para outros aplicativos sem aplicar a SNAT.
  • Simplifica a configuração da tabela de rotas. Para o tráfego que está fluindo para pontos de extremidade privados, você pode adicionar uma regra a fim de rotear esse tráfego por meio da NVA. Você pode reutilizar essa regra em todos os seus spokes, gateways de VPN (rede virtual privada) e gateways do Azure ExpressRoute.
  • Torna possível aplicar regras de grupo de segurança de rede para o tráfego de entrada na sub-rede que você dedica ao Ponto de Extremidade Privado. Essas regras filtram o tráfego para seus recursos. Elas fornecem um único local para controlar o acesso aos recursos.
  • Centraliza o gerenciamento de pontos de extremidade privados. Se você implantar todos os pontos de extremidade privados em um só lugar, poderá gerenciá-los com mais eficiência em todas as suas redes virtuais e assinaturas.

Quando todas as cargas de trabalho precisam de acesso a cada recurso de PaaS que você está protegendo com o Link Privado, essa configuração é apropriada. Mas se as cargas de trabalho acessarem diferentes recursos de PaaS, não implante pontos de extremidade privados em uma sub-rede dedicada. Em vez disso, melhore a segurança seguindo o princípio do privilégio mínimo:

  • Coloque cada ponto de extremidade privado em uma sub-rede separada.
  • Forneça apenas cargas de trabalho que usam um recurso protegido de acesso a esse recurso.

Você usa o ponto de extremidade privado de um sistema local?

Se você planeja usar pontos de extremidade privados para acessar recursos de um sistema local, implante os pontos de extremidade em seu hub. Com essa disposição, você pode aproveitar alguns dos benefícios que a seção anterior descreve:

  • Usar grupos de segurança de rede para controlar o acesso aos seus recursos
  • Gerenciar seus pontos de extremidade privados em um local centralizado

Se você estiver planejando acessar recursos de aplicativos implantados no Azure, a situação será diferente:

  • Se apenas um aplicativo precisar de acesso aos seus recursos, implante o Ponto de Extremidade Privado no spoke desse aplicativo.
  • Se mais de um aplicativo precisar de acesso aos seus recursos, implante o Ponto de Extremidade Privado em seu hub.

Fluxograma

O fluxograma a seguir resume as várias opções e recomendações. Como cada cliente tem um ambiente exclusivo, considere os requisitos do sistema ao decidir onde colocar pontos de extremidade privados.

Fluxograma que orienta os usuários no processo de decisão de colocar o Link Privado do Azure em um spoke ou no hub de uma rede hub-spoke.

Na parte superior do fluxograma, há uma caixa verde rotulada Início. Uma seta aponta dessa caixa para uma caixa azul rotulada como Topologia do WAN Virtual do Azure. Duas setas saem dessa caixa. Uma rotulada como Sim aponta para uma caixa laranja chamada de Spoke. A segunda seta é rotulada como Não. Ela aponta para uma caixa azul intitulada Análise de tráfego com NVA ou Firewall do Azure. Duas setas também fluem para fora da caixa de análise de tráfego. Uma rotulada como Sim aponta para uma caixa laranja chamada de Hub. A segunda seta é rotulada como Não. Ela aponta para uma caixa azul rotulada como Acesso de Ponto de Extremidade Privado do local. Duas setas fluem para fora da caixa Ponto de Extremidade Privado. Uma rotulada como Sim aponta para a caixa laranja chamada de Hub. A segunda seta é rotulada como Não. Ela aponta para uma caixa azul rotulada como Acesso de aplicativo único. Duas setas saem dessa caixa. Uma rotulada como Não aponta para a caixa laranja chamada de Hub. A segunda seta é rotulada como Sim. Ele aponta para a caixa laranja chamada de Spoke.

Baixe um arquivo do PowerPoint dessa arquitetura.

Considerações

Alguns fatores podem afetar a implementação do Ponto de Extremidade Privado. Eles se aplicam aos serviços de PaaS do Azure e aos serviços de cliente e parceiros que o Azure hospeda. Considere estes pontos ao implantar o Ponto de Extremidade Privado:

Rede

Quando você usa o Ponto de Extremidade Privado em uma rede virtual spoke, a tabela de rotas padrão da sub-rede inclui uma rota /32 com um tipo de próximo salto.InterfaceEndpoint

A rota /32 é propagada para estas áreas:

  • Qualquer emparelhamento de rede virtual configurado
  • Qualquer conexão VPN ou do ExpressRoute com um sistema local

Para restringir o acesso do hub ou sistema local ao Ponto de Extremidade Privado, use um grupo de segurança de rede na sub-rede em que você implantou o Ponto de Extremidade Privado. Configura regras de entrada apropriadas.

Resolução de nomes

Os componentes em sua rede virtual associam um endereço IP privado a cada ponto de extremidade privado. Esses componentes só poderão resolver esse endereço IP privado se você usar uma configuração específica do DNS (Sistema de Nomes de Domínio). Se você usar uma solução DNS personalizada, será melhor usar grupos de zona DNS. Integre o Ponto de Extremidade Privado a uma zona DNS privada do Azure centralizada. Não importa se você implantou recursos em um hub ou em um spoke. Vincule a zona DNS privada a todas as redes virtuais que precisam resolver o nome DNS do Ponto de Extremidade Privado.

Com essa abordagem, clientes DNS locais e do Azure podem resolver o nome e acessar o endereço IP privado. Para obter uma implementação de referência, confira Link Privado e integração DNS em escala.

Custos

  • Quando você usa o Ponto de Extremidade Privado em um emparelhamento de rede virtual regional, não são cobradas taxas de emparelhamento para o tráfego de ida e volta do Ponto de Extremidade Privado.
  • Os custos de emparelhamento ainda se aplicam com outros tráfegos de recursos de infraestrutura que fluem em um emparelhamento de rede virtual.
  • Se você implantar pontos de extremidade privados em diferentes regiões, serão aplicadas taxas de Link Privado e taxas de entrada e saída de emparelhamento global.

Para saber mais, confira Preços de largura de banda.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Autor principal:

  • Jose Angel Fernandez Rodrigues | Especialista Sênior GBB

Outro colaborador:

Para ver perfis não públicos do LinkedIn, entre no LinkedIn.

Próximas etapas