Configurar conexões coexistentes de site a site e do ExpressRoute com o portal do Azure

Este artigo descreve como configurar as conexões VPN site a site e de ExpressRoute que coexistam. Poder configurar a VPN site a site e o ExpressRoute tem várias vantagens. É possível configurar uma VPN site a site como um caminho de failover seguro para o ExpressRoute ou usar VPNs site a site para se conectar a sites que não estão conectados por meio do ExpressRoute. Neste artigo, analisamos as etapas para configurar as duas situações. Este artigo se aplica ao modelo de implantação do Gerenciador de Recursos.

Configurar conexões coexistentes VPN Site a Site e a ExpressRoute tem várias vantagens:

  • Você pode configurar uma VPN site a site como um caminho de failover seguro para o ExpressRoute.
  • Como alternativa, é possível usar VPNs site a site para se conectar a sites que não estão conectados por meio do ExpressRoute.

As etapas para configurar as duas situações são cobertas neste artigo. Você pode configurar um gateway pela primeira vez. Normalmente, você não gera nenhum tempo de inatividade ao adicionar uma nova conexão de gateway ou um novo gateway.

Observação

  • Para criar uma VPN site a site por uma conexão do ExpressRoute, confira Site a site via emparelhamento da Microsoft.
  • Para a coexistência do Gateway de VPN do ExpressRoute, se você já implantou um ExpressRoute, não será necessário criar uma rede virtual e uma sub-rede de gateway, pois esses são pré-requisitos na criação de um ExpressRoute.
  • Para o Gateway de Rota Expressa Criptografada, a fixação MSS é feita pelo Gateway de VPN do Azure para fixar o tamanho do pacote TCP em 1250 bytes

Limites e limitações

  • Há suporte para apenas um gateway de VPN baseado em rotas. Você deve usar uma rota baseada no gateway de VPN. Você também pode usar um gateway de VPN baseado em rota com uma conexão VPN configurada para “seletores de tráfego baseados em políticas”, conforme descrito em Conectar-se a vários dispositivos VPN baseados em políticas.
  • As configurações de coexistência do ExpressRoute-Gateway de VPN não têm suporte na SKU Básica.
  • Tanto o ExpressRoute quanto os gateways de VPN devem ser capazes de se comunicar entre si por meio do BGP para funcionar corretamente. Se estiver usando uma UDR na sub-rede do gateway, verifique se ela não inclui uma rota para o próprio intervalo de sub-rede do gateway, pois isso interferirá no tráfego BGP.
  • Se você quiser usar o roteamento de trânsito entre o ExpressRoute e a VPN, defina o ASN do Gateway de VPN do Azure como 65515. O Gateway de VPN do Azure dá suporte ao protocolo de roteamento BGP. Para que o ExpressRoute e a VPN do Azure funcionem juntos, você precisa manter o número do sistema autônomo do seu gateway de VPN do Azure no valor padrão, 65515. Se você tiver selecionado um ASN diferente de 65515 e mudar a configuração para 65515, precisará redefinir o gateway de VPN para que a configuração entre em vigor.
  • A sub-rede do gateway deve ser /27 ou um prefixo mais curto, como /26, /25, ou você receberá uma mensagem de erro ao adicionar o gateway de rede virtual do ExpressRoute.

Designs de configuração

Configurar uma VPN site a site como um caminho de failover para o ExpressRoute

Você pode configurar uma conexão VPN site a site como um backup para o ExpressRoute. Esta conexão se aplica apenas às redes virtuais vinculadas ao caminho de emparelhamento privado do Azure. Não há uma solução de failover com base em VPN para serviços acessíveis por meio de emparelhamentos da Microsoft no Azure. O circuito do ExpressRoute sempre será o link principal. Os dados só fluirão pelo caminho da VPN Site a Site se o circuito do ExpressRoute falhar. Para evitar o roteamento assimétrico, sua configuração de rede local também deve preferir o circuito de ExpressRoute pela VPN Site a Site. Você pode preferir que o caminho de rota expressa por preferência mais alta local de configuração para as rotas que recebeu a ExpressRoute.

Observação

Se você habilitar o emparelhamento da Microsoft do ExpressRoute, você poderá receber o endereço IP público do gateway de VPN do Azure na conexão do ExpressRoute. Para configurar a conexão site a site de VPN como um backup, você precisa configurar a rede local para que a conexão VPN seja roteada para a Internet.

Observação

Embora o circuito ExpressRoute seja preferencial em relação à VPN Site a Site quando ambas as rotas são as mesmas, o Azure usa a correspondência de prefixo mais longa para escolher a rota até o destino do pacote.

Diagrama de uma conexão VPN site a site usada como backup para o ExpressRoute.

Configurar uma VPN site a site para se conectar a sites não conectados por meio do ExpressRoute

Você pode configurar sua rede de modo que alguns sites se conectem diretamente ao Azure através da VPN site a site, e alguns sites se conectem por meio do ExpressRoute.

Diagrama de uma conexão VPN site a site coexistindo com uma conexão do ExpressRoute para dois sites diferentes.

Selecionando as etapas de uso

Há dois conjuntos diferentes de procedimentos para escolher. O procedimento de configuração selecionado varia conforme você já tenha uma rede virtual à qual deseja se conectar ou queira criar uma nova rede virtual.

  • Não tenho uma VNet e preciso criar uma.

    Se você ainda não tiver uma rede virtual, esse procedimento explica como criar uma nova rede virtual usando o modelo de implantação do Gerenciador de Recursos e criando novas conexões de VPN Site a Site e de ExpressRoute. Para configurar uma rede virtual, siga as etapas em Para criar uma nova rede virtual e conexões coexistentes.

  • Eu já tenho uma VNet do modelo de implantação do Gerenciador de Recursos.

    Talvez você já tenha uma rede virtual implementada com uma conexão de VPN Site a Site ou uma conexão de ExpressRoute existente. Nesse cenário, se o prefixo de sub-rede do gateway for /28 ou mais (/29, /30 etc.), você precisará excluir o gateway existente. A seção Para configurar conexões coexistentes para uma VNet já existente explica como excluir o gateway e, em seguida, criar novas conexões de VPN Site a Site e de ExpressRoute.

    Se você excluir e recriar o gateway, terá tempo de inatividade nas conexões entre locais. No entanto, as VMs e os serviços ainda podem se comunicar por meio do balanceador de carga enquanto você configura o gateway, caso eles estejam definidos para essa função.

Para criar uma nova rede virtual e conexões coexistentes

Esse procedimento mostra como criar uma VNet e conexões site a site e do ExpressRoute coexistentes.

  1. Entre no portal do Azure.

  2. No canto superior esquerdo da tela, selecione + Criar um recurso e pesquise Rede virtual.

  3. Selecione Criar para começar a configurar a rede virtual.

    Captura de tela da página Criar uma rede virtual.

  4. Na guia Básico, selecione ou crie um grupo de recursos para armazenar a rede virtual. Em seguida, insira o nome e selecione a região para implantar a rede virtual. Selecione Avançar: endereços IP > para configurar o espaço de endereço e as sub-redes.

    Captura de tela da guia Básico para criação de uma rede virtual.

  5. Na guia Endereços IP, configure o espaço de endereço da rede virtual. Em seguida, defina as sub-redes que você deseja criar, incluindo a sub-rede do gateway. Selecione Examinar + criar e Criar* para implantar a rede virtual. Para saber mais sobre como criar uma rede virtual, confira Criar uma rede virtual. Para saber mais sobre como criar sub-redes, confira Criar uma sub-rede

    Importante

    A Sub-rede de Gateway deve ser /27 ou um prefixo mais curto (como /26 ou /25).

    Captura de tela da guia Endereços IP para criação de uma rede virtual.

  6. Crie os gateways da VPN site a site e da rede local. Para obter mais informações sobre a configuração do gateway de VPN, consulte Configurar uma VNet com uma conexão Site a Site. O GatewaySku tem suporte para os gateway VPN em VpnGw1, VpnGw2, VpnGw3, Standard e HighPerformance. As configurações de gateway coexistentes do ExpressRoute e de VPN não têm suporte na SKU Básica. O VpnType deve ser RouteBased.

  7. Configure seu dispositivo VPN local para conectar o novo gateway de VPN do Azure. Para obter mais informações sobre a configuração de dispositivo VPN, consulte Configuração do Dispositivo VPN.

  8. Se você estiver se conectando a um circuito existente do ExpressRoute, ignore as etapas 8 e 9 e vá para a etapa 10. Configurar circuitos do ExpressRoute. Para obter mais informações sobre a configuração de circuito de ExpressRoute, consulte criar um circuito de ExpressRoute.

  9. Configure o emparelhamento particular do Azure através do circuito de ExpressRoute. Para obter mais informações sobre como configurar o emparelhamento particular do Azure através do circuito de ExpressRoute, consulte Configurar emparelhamento

  10. Selecione + Criar um recurso e pesquise Gateway de rede virtual. Em seguida, selecione Criar.

  11. Selecione o tipo de gateway do ExpressRoute, a SKU apropriada e a rede virtual para implantá-lo.

    Captura de tela de Criar um gateway de rede virtual para ExpressRoute.

  12. Vincule o gateway de ExpressRoute ao circuito de ExpressRoute. Após essa etapa for concluída, a conexão entre sua rede local e o Azure, por meio de ExpressRoute, é estabelecida. Para obter mais informações sobre a operação de vinculação, confira Vincular VNets à ExpressRoute.

Para configurar conexões coexistentes para uma VNet já existente

Caso você tenha uma rede virtual com apenas um gateway de rede virtual, por exemplo, o gateway de VPN site a site, e deseje adicionar outro gateway de um tipo diferente, como um gateway do ExpressRoute, verifique o tamanho da sub-rede do gateway. Se a sub-rede do gateway for /27 ou maior, ignore as etapas a seguir e realize as etapas da seção anterior para adicionar um gateway de VPN site a site ou um gateway do ExpressRoute. Se a sub-rede do gateway é /28 ou /29, você deve primeiro excluir o gateway da rede virtual e aumentar o tamanho de sub-rede do gateway. As etapas nesta seção mostram como fazer isso.

  1. Exclua o gateway existente do ExpressRoute ou da VPN site a site.

  2. Exclua e recrie a sub-rede do gateway com um prefixo /27 ou menor.

  3. Configure uma VNet com uma conexão site a site e, em seguida, Configure o gateway do ExpressRoute.

  4. Depois que o gateway do ExpressRoute for implantado, será possível vincular a rede virtual ao circuito do ExpressRoute.

Para adicionar a configuração de ponto a site ao gateway de VPN

É possível adicionar uma configuração de ponto a site ao conjunto de itens coexistentes seguindo a instrução descrita em Configurar uma conexão VPN ponto a site com a autenticação de certificado do Azure

Para habilitar o roteamento de trânsito entre o ExpressRoute e a VPN do Azure

Se você quiser habilitar a conectividade entre uma de suas redes locais conectadas ao ExpressRoute e outra de sua rede local conectada a uma conexão site a site, será necessário configurar o Servidor de Rota do Azure.

Próximas etapas

Para obter mais informações sobre o ExpressRoute, consulte Perguntas Frequentes sobre ExpressRoute.