Configuração de conectividade no Gerenciador de Rede Virtual do Azure
Neste artigo, você aprenderá sobre os diferentes tipos de configurações que você pode criar e implantar usando o Gerenciador de Rede Virtual do Azure. Há dois tipos de configurações disponíveis no momento: Conectividade e Administradores de Segurança.
Configuração de conectividade
As configurações de Conectividade permitem que você crie diferentes topologias de rede de acordo com as necessidades de rede. Você pode escolher entre duas topologias, uma rede de malha e um hub e spoke. As conectividades entre redes virtuais são estabelecidas nas definições de configuração.
Topologia de rede de malha
Uma rede de malha é uma topologia em que todas as redes virtuais no grupo de rede estão conectadas entre si. Todas as redes virtuais estão conectadas e podem passar o tráfego bidirecionalmente entre si.
Um caso de uso comum de uma topologia de rede em malha é permitir que algumas redes virtuais spoke em uma topologia hub e spoke se comuniquem diretamente entre si sem que o tráfego passe pela rede virtual do hub. Essa abordagem reduz a latência que, de outra forma, poderia resultar do roteamento do tráfego por meio de um roteador no hub. Além disso, você pode manter a segurança e a supervisão sobre as conexões diretas entre as redes spoke implementando regras de Grupos de Segurança de Rede ou regras administrativas de segurança no Gerenciador de Rede Virtual do Azure. O tráfego também pode ser monitorado e registrado por meio de logs de fluxo da rede virtual.
Por padrão, a malha é regional, portanto, somente as redes virtuais na mesma região podem se comunicar entre si. A malha global pode ser habilitada para estabelecer a conectividade de redes virtuais em todas as regiões do Azure. Uma rede virtual pode fazer parte de até cinco grupos conectados. Os espaços de endereço da rede virtual podem se sobrepor em uma configuração de malha, diferente dos emparelhamentos de rede virtual. No entanto, o tráfego para as sub-redes sobrepostas específicas será removido, pois o roteamento não é determinístico.
Grupo conectado
Quando você cria uma topologia de malha ou conectividade direta na topologia hub e spoke, é criada uma nova construção de conectividade chamada Grupo conectado. As redes virtuais em um grupo conectado podem se comunicar entre si como se você conectasse as redes virtuais juntas manualmente. Ao examinar as rotas efetivas de um adaptador de rede, você verá um tipo de próximo salto do ConnectedGroup. As redes virtuais conectadas em um grupo conectado não têm uma configuração de emparelhamento listada em Emparelhamentos para a rede virtual.
Observação
- Se você tiver sub-redes conflitantes em duas ou mais redes virtuais, os recursos nessas sub-redes não poderão se comunicar entre si, mesmo se fizerem parte da mesma rede de malha.
- Uma rede virtual pode ser parte de até duas configurações de malha.
Topologia hub-spoke
Um hub e spoke é uma topologia de rede em que você tem uma rede virtual selecionada como a rede virtual do hub. Essa rede virtual é emparelhada bidirecionalmente com todas as redes virtuais spoke na configuração. Essa topologia é útil para quando você deseja isolar uma rede virtual, mas que ainda tenha conectividade com os recursos comuns na rede virtual do Hub.
Nessa configuração, você tem definições que podem ser habilitadas, como a conectividade direta entre redes virtuais spoke. Por padrão, essa conectividade é apenas para redes virtuais na mesma região. Para permitir a conectividade entre diferentes regiões do Azure, você precisará habilitar a Malha global. Você também pode habilitar o trânsito de Gateway para permitir que as redes virtuais spoke usem o gateway de VPN ou de ExpressRoute implantado no hub.
Se marcada, quaisquer emparelhamentos que não correspondam ao conteúdo dessa configuração poderão ser removidos, mesmo que esses emparelhamentos tenham sido criados manualmente após a implantação dessa configuração. Se você remover uma VNet de um grupo de rede usado na configuração, o gerenciador virtual removerá apenas os emparelhamentos criados.
Conectividade direta
Habilitar a Conectividade direta cria uma sobreposição de um grupo conectado na parte superior da topologia hub-spoke, que contém redes virtuais spoke de um determinado grupo. A conectividade direta permite que uma VNet spoke fale diretamente com outras VNets no mesmo grupo spoke, mas não com VNets em outros spokes.
Por exemplo, você cria dois grupos de rede. Você habilita a conectividade direta para o grupo de rede de Produção, mas não para o grupo de rede de Teste. Essa configuração permite que apenas as redes virtuais no grupo de rede de Produção se comuniquem entre si, mas não as no grupo de rede de Teste.
Quando você examina as rotas efetivas em uma VM, a rota entre o hub e as redes virtuais spoke terá o tipo de próximo salto de VNetPeering ou GlobalVNetPeering. As rotas entre as redes virtuais spoke serão exibidas com o tipo de próximo salto do ConnectedGroup. Com o exemplo acima, somente o grupo de rede Produção teria um ConnectedGroup, pois ele está com a Conectividade direta habilitada.
Descobrindo a topologia do grupo de rede com a Exibição de Topologia
Para ajudá-lo a entender a topologia do seu grupo de rede, o Gerenciador de Rede Virtual do Azure fornece uma Exibição de Topologia que mostra a conectividade entre grupos de rede e suas redes virtuais membros. Você pode exibir a topologia do grupo de rede durante a criação da configuração de conectividade com as seguintes etapas:
- Navegue até a página Configurações e crie uma configuração de conectividade.
- Na guia Topologia, selecione o tipo de topologia desejado, adicione um ou mais grupos de rede à topologia e defina outras configurações de conectividade desejadas.
- Selecione a guia Pré-visualização de Topologiapara testar a Exibição de Topologia e examinar a conectividade atual da configuração.
- Conclua a criação da configuração de conectividade.
Você pode examinar a topologia atual de um grupo de rede selecionando Visualização em Configurações na página de detalhes do grupo de rede. A exibição mostra a conectividade entre as redes virtuais membro no grupo de rede.
Casos de uso
Habilitar a conectividade direta entre redes virtuais spoke pode ser útil quando você deseja ter um NVA ou um serviço comum na rede virtual do hub, mas o hub não precisa ser acessado sempre. Mas, em vez disso, você precisa que as redes virtuais spoke no grupo de rede se comuniquem entre si. Em comparação às redes de hub e spoke tradicionais, essa topologia melhora o desempenho removendo o salto adicional por meio da rede virtual do hub.
Malha global
Como a malha, esses grupos conectados spoke podem ser configurados como regionais ou globais. A malha global é necessária quando você deseja que as redes virtuais spoke se comuniquem entre si em todas as regiões. Essa conectividade é limitada à rede virtual no mesmo grupo de rede. Para habilitar a conectividade para redes virtuais entre regiões, você precisará Habilitar conectividade de malha entre regiões para o grupo de rede. As conexões criadas entre as redes virtuais spoke estão em um Grupo conectado.
Usar hub como gateway
Outra opção que você pode habilitar em uma configuração de hub e spoke é usar o hub como gateway. Essa configuração permitirá que todas as redes virtuais no grupo de rede usem o gateway VPN ou ExpressRoute na rede virtual do hub para passar o tráfego. Confira Gateways e conectividade local.
Quando você implanta uma topologia de hub e spoke do portal do Azure, a opção Usar hub como gateway é habilitada por padrão para as redes virtuais spoke no grupo de rede. O Gerenciador de Rede Virtual do Azure tentará criar uma conexão de emparelhamento de rede virtual entre o hub e a rede virtual spoke no grupo de recursos. Se o gateway não existir na rede virtual do hub, ocorrerá uma falha na criação do emparelhamento da rede virtual spoke para o hub. A conexão de emparelhamento do hub com o spoke ainda será criada sem uma conexão estabelecida.
Próximas etapas
- Implantar uma instância do Gerenciador de Rede Virtual do Azure usando o Terraform.
- Saiba mais sobre implantações de configuração no Gerenciador de Rede Virtual do Azure.
- Saiba como bloquear o tráfego de rede com uma configuração de administrador de segurança.