Topologia de rede WAN virtual
Explore as principais considerações e recomendações de design para redes virtuais de longa distância (WAN Virtual) no Microsoft Azure.
Figura 1: Topologia de rede de WAN Virtual. Baixe um Arquivo Visio dessa arquitetura.
Considerações sobre o design da rede WAN Virtual
A WAN Virtual do Azure é uma solução gerenciada pela Microsoft que fornece conectividade de trânsito de ponta a ponta, global e dinâmica por padrão. Os hubs da WAN Virtual eliminam a necessidade de configurar manualmente a conectividade de rede. Por exemplo, você não precisa gerenciar UDRs (rotas definidas pelo usuário) nem NVAs (soluções de virtualização de rede) para habilitar a conectividade de trânsito global.
A WAN Virtual do Azure simplifica a conectividade de rede de ponta a ponta no Azure e no Azure local, criando uma arquitetura de rede hub-and-spoke. A arquitetura é facilmente dimensionada para dar suporte a várias regiões do Azure e locais (conectividade de qualquer para qualquer), conforme mostrado na figura a seguir:
Figura 2: Rede de trânsito global com a WAN Virtual.
A conectividade transitiva de qualquer para qualquer WAN Virtual do Azure dá suporte aos seguintes caminhos (dentro da mesma região e entre regiões):
- Rede virtual à rede virtual
- Rede virtual para branch
- Branch para rede virtual
- Entre branches
Os hubs da WAN Virtual do Azure são restritos à implantação de recursos gerenciados da Microsoft. Os únicos recursos que você pode implantar nos hubs de WAN são:
- Gateways de rede virtual (VPN ponto a site, VPN site a site e Azure ExpressRoute)
- Firewall do Azure por meio do Gerenciador de Firewall
- Tabelas de rotas
- Algumas soluções de virtualização de rede (NVA) para recursos de SD-WAN específicos do fornecedor
A WAN Virtual está associada aos limites de assinatura do Azure para a WAN Virtual.
A conectividade transitiva de rede para rede (dentro de uma região e entre regiões via hub a hub) está em GA (disponibilidade geral).
A função de roteamento gerenciada pela Microsoft que faz parte de cada hub virtual permite a conectividade de trânsito entre redes virtuais na WAN Virtual Standard. Cada hub dá suporte a uma taxa de transferência agregada de até 50 Gbps para o tráfego de VNet para VNet.
Um único hub da WAN Virtual do Azure dá suporte a um número máximo específico de cargas de trabalho de VM em todas as VNets diretamente anexadas. Para obter mais informações, consulte Limites da WAN Virtual do Azure.
Você pode implantar vários hubs da WAN Virtual do Azure na mesma região para dimensionar além dos limites de hub único.
A WAN Virtual se integra a vários provedores de SD-WAN.
Muitos provedores de serviços gerenciados oferecem serviços gerenciados para a WAN Virtual.
Os gateways de VPN de usuário (ponto a site) na WAN Virtual podem ser dimensionados para uma taxa de transferência agregada de até 20 Gbps e 100.000 conexões de cliente por hub virtual. Para obter mais informações, consulte Limites da WAN Virtual do Azure.
Os gateways de VPN site a site na WAN Virtual são dimensionados para até 20 Gbps de taxa de transferência agregada.
Você pode conectar circuitos do ExpressRoute a um hub da WAN Virtual usando um SKU Local, Standard ou Premium.
Para implantações na mesma cidade, considere o ExpressRoute Metro.
Os circuitos Standard ou Premium do ExpressRoute, em locais compatíveis com o Alcance Global do Azure ExpressRoute, podem se conectar a um gateway do ExpressRoute da WAN Virtual. E eles têm todos os recursos de trânsito da WAN Virtual (VPN para VPN, VPN e trânsito do ExpressRoute). Os circuitos do ExpressRoute Standard ou Premium que estão em locais sem suporte do Alcance Global podem se conectar aos recursos do Azure, mas não podem usar os recursos de trânsito da WAN Virtual.
O Gerenciador de Firewall do Azure dá suporte à implantação do Firewall do Azure no hub da WAN Virtual, conhecido como hub virtual seguro. Para obter mais informações, consulte a visão geral do Gerenciador de Firewall do Azure para hubs virtuais protegidos e as restrições mais recentes.
O tráfego de hub a hub da WAN Virtual que passa pelo Firewall do Azure em hubs de origem e hubs de destino (hubs virtuais protegidos) tem suporte quando você habilita a intenção e as políticas de roteamento. Para obter mais informações, consulte Casos de uso para intenção de roteamento e políticas de roteamento do hub da WAN Virtual.
A experiência do portal da WAN Virtual requer que todos os recursos da WAN Virtual sejam implantados juntos no mesmo grupo de recursos.
Você pode compartilhar um plano de Proteção contra DDoS do Azure em todas as VNets em um único locatário do Microsoft Entra para proteger recursos com endereços IP públicos. Para saber mais, confira Proteção contra DDoS do Azure.
Os hubs virtuais seguros da WAN Virtual não dão suporte aos planos de proteção padrão contra DDoS do Azure. Para obter mais informações, confira Problemas conhecidos do Gerenciador de Firewall do Azure e Comparação entre a rede virtual do hub e o hub virtual seguro.
Os planos de Proteção contra DDoS do Azure abrangem apenas recursos com endereços IP públicos.
- Um plano de Proteção contra DDoS do Azure inclui 100 endereços IP públicos. Esses endereços IP públicos abrangem todas as VNets protegidas associadas ao plano de proteção contra DDoS. Quaisquer outros endereços IP públicos, além dos 100 incluídos no plano, são cobrados separadamente. Para obter mais informações sobre os preços da Proteção contra DDoS do Azure, consulte a página de preços ou as perguntas frequentes.
Examine os recursos com suporte dos planos de Proteção contra DDoS do Azure.
Recomendações de design de rede WAN Virtual
Recomendamos a WAN virtual para novas implantações de rede grandes ou globais no Azure, em que você precisa de conectividade de trânsito global entre regiões do Azure e pontos locais. Dessa forma, você não precisa configurar manualmente o roteamento transitivo para a rede do Azure.
A figura a seguir mostra um exemplo de implantação de empresa global com datacenters distribuídos pela Europa e pelos Estados Unidos. A implantação contém muitas filiais em ambas as regiões. O ambiente é conectado globalmente por meio da WAN Virtual do Azure e do Alcance Global do ExpressRoute.
Figura 3: Exemplo de topologia de rede.
Use um hub de WAN Virtual por região do Azure para conectar várias zonas de destino entre regiões do Azure por meio de uma WAN Virtual do Azure global comum.
Implante todos os recursos da WAN Virtual em um único grupo de recursos na assinatura de conectividade, inclusive quando você estiver implantando em várias regiões.
Use recursos de roteamento do hub virtual para segmentar ainda mais o tráfego entre VNets e branches.
Conecte hubs da WAN Virtual a datacenters locais usando o ExpressRoute.
Implante os serviços compartilhados necessários, como servidores DNS, em uma rede virtual spoke dedicada. Os recursos compartilhados implantados pelo cliente não podem ser implantados dentro do próprio hub da WAN Virtual.
Conecte branches e locais remotos ao hub da WAN Virtual mais próximo por meio do VPN Site a Site ou habilite a conectividade do branch com a WAN Virtual por meio de uma solução de parceiros de SD-WAN.
Conecte os usuários ao hub da WAN Virtual por meio de uma VPN Ponto a Site.
Siga o princípio de que "o tráfego no Azure permanece no Azure" para que a comunicação entre recursos no Azure ocorra por meio da rede de backbone da Microsoft, mesmo quando os recursos estiverem em regiões diferentes.
Para proteção e filtragem de saída da Internet, considere implantar o Firewall do Azure no hub virtual.
Segurança fornecida por firewalls NVA. Os clientes também podem implantar NVAs em um hub de WAN Virtual que executa a conectividade SD-WAN e funcionalidades de firewall de última geração. Os clientes podem conectar dispositivos locais à NVA no hub e também usar o mesmo dispositivo para inspecionar todo o tráfego norte-sul, leste-oeste e vinculado à Internet.
Quando estiver implantando tecnologias de rede e NVAs de parceiros, siga as diretrizes do fornecedor parceiro para garantir que não haja configurações conflitantes com a rede do Azure.
Para cenários brownfield em que você está migrando de uma topologia de rede hub-spoke não baseada na WAN Virtual, consulte Migrar para a WAN Virtual do Azure.
Crie recursos da WAN Virtual do Azure e do Firewall do Azure na assinatura de conectividade.
Use a intenção de roteamento e as políticas de roteamento do hub da WAN Virtual para dar suporte ao tráfego que vai entre hubs protegidos.
Não crie mais de 500 conexões de rede virtual por hub virtual da WAN Virtual.
- Se você precisar de mais de 500 conexões de rede virtual por hub virtual da WAN Virtual, poderá implantar outro hub virtual da WAN Virtual. Implante-o na mesma região como parte da mesma WAN Virtual e grupo de recursos.
Planeje sua implantação com atenção e verifique se a arquitetura de rede está dentro dos Limitas da WAN Virtual do Azure.
Use insights no Azure Monitor para a WAN Virtual (versão prévia) para monitorar a topologia de ponta a ponta da WAN Virtual, bem como o status e as métricas chave.
Implante um só plano de proteção de DDoS padrão do Azure na assinatura de conectividade.
- Todas as VNets da plataforma e da zona de destino devem usar esse plano.