Integração de rede local no Azure

• 10 minutos

Sua empresa pretende migrar a maioria dos recursos locais para o Azure. No entanto, um datacenter pequeno precisa permanecer no local para ser integrado à rede do Azure. O modelo de arquitetura precisa considerar o uso da conectividade de rede do Azure para vários escritórios satélite. Você deseja usar uma arquitetura de rede híbrida que permita acesso aos recursos locais e baseados em nuvem.

Para lidar com a migração, você produz um plano de integração de rede para o Azure que inclui uma seleção das melhores opções de rede híbrida disponíveis no Azure. As opções precisam atender aos requisitos de conectividade híbrida da organização.

Nesta unidade, você vai explorar a conectividade local na plataforma Azure. Você também obterá uma visão geral da Rede Virtual do Azure e verá como usar o Gateway de VPN do Azure para proteger o tráfego em uma rede local.

Sobre a Rede Virtual do Azure

O serviço Rede Virtual do Azure tem um conjunto específico de ferramentas e recursos para criar uma arquitetura de rede baseada em nuvem para a sua organização. As redes virtuais do Azure fornecem um canal de comunicação virtual seguro para todos os recursos do Azure permitidos na sua assinatura.

Com uma rede virtual do Azure, você pode:

• Conectar máquinas virtuais à Internet.
• Fornecer comunicação segura entre os recursos do Azure hospedados em uma série de datacenters e regiões.
• Isolar e gerenciar recursos do Azure.
• Conectar-se aos computadores locais.
• Gerenciar o tráfego de rede.

Por padrão, todos os recursos do Azure em uma rede virtual têm conectividade de saída com a Internet. A comunicação de entrada externa precisa ser recebida por meio de um ponto de extremidade voltado ao público. Todos os recursos internos usam um ponto de extremidade privado para acessar a rede virtual.

Uma rede virtual é composta por muitos elementos. Incluindo, entre outros, adaptadores de rede, balanceadores de carga, sub-redes, grupos de segurança de rede e endereços IP públicos. Esses elementos trabalham juntos e permitem uma comunicação de rede segura e confiável entre os recursos do Azure, a Internet e as redes locais.

Roteiros de tráfego em uma rede virtual do Azure

O tráfego de saída de uma sub-rede é roteado com base no endereço IP de destino. Uma tabela de roteamento define como o tráfego é roteado e o que acontece em seguida. Um endereço IP de destino pode existir em várias definições de prefixo da tabela de roteamento (por exemplo, 10.0.0.0/16 e 10.0.0.0/24). O roteador usa um algoritmo sofisticado para encontrar a correspondência de prefixo mais longa. O tráfego encaminhado para um endereço 10.0.0.6 será resolvido para o prefixo 10.0.0.0/24 e roteado de acordo.

Há duas tabelas de roteamento principais: sistema e personalizada.

Tabelas de roteamento do sistema

O Azure cria automaticamente um conjunto de tabelas de roteamento padrão para a rede virtual e cada máscara de sub-rede dentro da rede virtual. Essas rotas do sistema são fixas e não podem ser editadas nem excluídas. No entanto, você pode substituir as configurações padrão usando uma tabela de roteamento personalizada.

Uma tabela de roteamento padrão típica pode ter a seguinte aparência:

Fonte	Prefixos do endereço	Tipo do próximo salto
Padrão	Exclusivo para a rede virtual	Rede virtual
Padrão	0.0.0.0/0	Internet
Padrão	10.0.0.0/8	Nenhum
Padrão	172.16.0.0/12	Nenhum
Padrão	192.168.0.0/16	Nenhum
Padrão	100.64.0.0/10	Nenhum

Uma tabela de roteamento é composta por uma origem, um prefixo de endereço e um tipo de próximo salto. Todo o tráfego que sai da sub-rede usa a tabela de roteamento a fim de descobrir o local para o qual deverá ir em seguida. Na verdade, o tráfego procura o próximo salto no percurso.

Um próximo salto define o que acontece com o fluxo de tráfego em seguida, com base no prefixo. Há três tipos de próximo salto:

• Rede virtual: o tráfego é roteado de acordo com o endereço IP dentro da rede virtual.
• Internet: o tráfego é roteado para a Internet.
• Nenhum: o tráfego é removido.

Tabelas de roteamento personalizadas

Além das tabelas de roteamento definidas pelo sistema, você também pode criar tabelas de roteamento personalizadas. Essas tabelas de roteamento definidas pelo usuário substituem a tabela padrão do sistema. Há limitações no número de itens de roteiros que é possível ter em uma tabela personalizada.

Algumas das muitas limitações que se aplicam às redes virtuais são listadas na seguinte tabela:

Recurso	Número padrão ou máximo
Redes virtuais	1.000
Sub-redes por rede virtual	3.000
Emparelhamentos de rede virtual por rede virtual	500
Endereços IP privados por rede virtual	65.536

Assim como a tabela de roteamento do sistema, as tabelas de roteamento personalizadas também têm um tipo de próximo salto. Porém, as tabelas de roteamento personalizadas oferecem mais algumas opções:

• Solução de virtualização: essa opção geralmente é uma máquina virtual que executa um aplicativo de rede específico, como um firewall.
• Gateway de rede virtual: use essa opção quando desejar enviar o tráfego para um gateway de rede virtual. Um tipo de gateway de rede virtual precisa ser VPN. O tipo não pode ser o Azure ExpressRoute, que exige a configuração de um processo de roteiros do BGP (Border Gateway Protocol).
• Nenhum: essa opção remove o tráfego em vez de encaminhá-lo.
• Rede virtual: essa opção permite substituir roteiros do sistema padrão.
• Internet: essa opção permite especificar que qualquer prefixo encaminhe o tráfego para a Internet.

Conectar redes virtuais do Azure

Você pode conectar suas redes virtuais de várias maneiras. Use o Gateway de VPN do Azure ou o ExpressRoute ou o método de emparelhamento diretamente.

Gateway de VPN do Azure

Quando você trabalha no sentido de estabelecer a integração da sua rede local com o Azure, é necessário haver uma ponte entre eles. O Gateway de VPN é um serviço do Azure que fornece essa funcionalidade. Um gateway de VPN pode enviar o tráfego criptografado entre as duas redes. Os gateways de VPN dão suporte a várias conexões, permitindo a eles rotear túneis VPN que usam qualquer largura de banda disponível. Uma rede virtual só pode ter um gateway atribuído. Os gateways de VPN também podem ser usados para conexões entre redes virtuais no Azure.

Quando você implementa um gateway de VPN, é necessário implantar duas ou mais máquinas virtuais na sub-rede criada ao configurar a rede virtual. Nessa instância, a sub-rede também é chamada de sub-rede de gateway. Cada máquina virtual recebe uma configuração padrão para serviços de roteamento e gateway, explícita para o gateway provisionado. Não é possível configurar essas máquinas virtuais diretamente.

Quando você cria um gateway, várias topologias ficam disponíveis. Essas topologias, também conhecidas como tipos de gateway, determinam quais elementos estão configurados e o tipo de conexão esperado.

Site a site

Use uma conexão site a site para configurações entre instalações e redes híbridas. Essa topologia de conexão exige um dispositivo VPN local para ter um endereço IP acessível publicamente e não deve estar atrás de um NAT (Conversão de endereços de rede). A conexão usa uma cadeia de caracteres ASCII secreta de até 128 caracteres para autenticação entre o gateway e o dispositivo VPN.

Multissite

Uma conexão multissite é semelhante a uma conexão site a site, mas com uma pequena variação. O multissite dá suporte a várias conexões VPN com os dispositivos VPN locais. Essa topologia de conexão exige uma VPN RouteBased conhecida como um gateway dinâmico. É importante observar que, com uma configuração multissite, todas as conexões são roteadas por toda a largura de banda disponível e compartilham essa largura de banda.

Ponto a site

Uma conexão ponto a site é adequada para um dispositivo cliente individual remoto que se conecta à rede. É necessário autenticar o dispositivo cliente por meio do Microsoft Entra ID ou da autenticação de certificado do Azure. Esse modelo é adequado para cenários de trabalho em casa.

Rede a rede

Use uma conexão rede a rede para criar conexões entre várias redes virtuais do Azure. Essa topologia de conexão, ao contrário das outras, não exige um IP público nem um dispositivo VPN. Você também pode usar uma conexão de rede a rede em uma configuração multissite para estabelecer conexões combinadas entre instalações com a conectividade entre redes virtuais.

ExpressRoute

O ExpressRoute cria uma conexão direta entre a rede local e a rede virtual do Azure que não usa a Internet. Use o ExpressRoute para estender diretamente a rede local para o espaço de rede virtual do Azure. Muitos provedores de conectividade que não são da Microsoft oferecem o serviço ExpressRoute. Há três tipos diferentes de conexão do ExpressRoute:

• Colocação do CloudExchange
• Conexão Ethernet ponto a ponto
• Conexão qualquer ponto a qualquer ponto (IPVPN)

Emparelhamento

As redes virtuais podem ser emparelhadas entre assinaturas e regiões do Azure. Depois que as redes virtuais são emparelhadas, os recursos dessas redes se comunicam entre si como se estivessem na mesma rede. O tráfego é roteado entre recursos usando apenas endereços IP privados. Uma rede virtual emparelhada roteia o tráfego pela rede do Azure e mantém a conexão privada como parte da rede de backbone do Azure. A rede de backbone fornece conexões de rede de alta largura de banda e baixa latência.

Arquitetura de referência do gateway de VPN site a site

Embora haja muitas arquiteturas de referência disponíveis quando você cria uma rede híbrida, uma arquitetura popular é a configuração site a site. A arquitetura de referência simplificada mostrada no diagrama a seguir ilustra como você conectará uma rede local à plataforma Azure. A conexão com a Internet usa um túnel VPN IPsec.

A arquitetura apresenta vários componentes:

• A rede local representa o Active Directory local e os dados ou os recursos.
• O gateway é responsável por enviar o tráfego criptografado para um endereço IP virtual quando ele usa uma conexão pública.
• A rede virtual do Azure armazena todos os aplicativos de nuvem e os componentes do gateway de VPN do Azure.
• Um gateway de VPN do Azure fornece o link criptografado entre a rede virtual do Azure e a rede local. Um gateway de VPN do Azure consiste nesses elementos.
  • Gateway de rede virtual
  • Gateway de rede local
  • Conexão
  • Sub-rede do gateway
• Os aplicativos de nuvem são os que você disponibilizou por meio do Azure.
• Um balanceador de carga interno, localizado no front-end, roteia o tráfego de nuvem para o aplicativo ou o recurso correto baseado em nuvem.

O uso dessa arquitetura oferece vários benefícios, incluindo:

• A configuração e a manutenção são simplificadas.
• O uso de um gateway de VPN ajuda a garantir que todos os dados e tráfego sejam criptografados entre o gateway local e o gateway do Azure.
• Essa arquitetura pode ser dimensionada e estendida de acordo com as necessidades de rede da sua organização.

Essa arquitetura não é aplicável a todas as situações, porque ela usa uma conexão com a Internet existente como o link entre os dois pontos do gateway. As restrições de largura de banda podem causar problemas de latência que resultam na reutilização da infraestrutura existente.

Verificar seus conhecimentos

1.

Em que local é estabelecida uma conexão VPN ponto a site?

O gateway de VPN inicializa a conexão.

A conexão é estabelecida a partir do computador host.

A conexão é estabelecida a partir de um computador cliente.

Em uma rede virtual do Azure.

2.

Como uma VPN site a site é autenticada?

Nenhuma autenticação é necessária.

Usando uma conta de administrador.

Por meio de uma entidade de serviço, no Microsoft Entra ID.

Usando um segredo de cadeia de caracteres ASCII.

3.

Quando você se conectar ao Azure usando uma VPN, qual método de conexão usará?

Um gateway de VPN

Uma conexão criptografada

Uma máquina virtual do Azure

Um túnel VPN

É necessário responder a todas as perguntas antes de verificar o trabalho.