Trabalhar com redes híbridas no Azure
Sua organização está ansiosa em continuar com a migração para a nuvem. Você explorou os méritos de usar o Azure ExpressRoute para fornecer uma conexão dedicada e de alta velocidade entre sua rede local e o Azure.
A diligência prévia exige que você explore as outras opções de arquitetura híbrida disponíveis para conectar a rede local ao Azure.
Nesta unidade, você vai:
- Conhecer as conexões de rede virtual privada.
- Examinar uma opção de resiliência para o ExpressRoute.
- Considerar os méritos da topologia de rede hub-spoke.
O que é uma arquitetura de rede híbrida?
Rede híbrida é um termo usado quando duas topologias de rede diferentes são combinadas para formar uma só rede coesa. Com o Azure, uma rede híbrida representa a mesclagem ou a combinação de uma rede local com uma rede virtual do Azure. Ela permite o uso contínuo da infraestrutura existente, oferecendo todos os benefícios da computação e do acesso baseados em nuvem.
Há várias razões pelas quais você pode querer adotar uma solução de rede híbrida. As duas mais comuns são:
- Para migrar de uma rede local pura para uma rede pura baseada em nuvem.
- Para estender a rede local e os recursos para dar suporte aos serviços de nuvem.
Seja qual for sua motivação para a adição de serviços de nuvem à sua infraestrutura, há várias arquiteturas a serem consideradas. Abordamos o ExpressRoute na unidade anterior. As outras arquiteturas são:
- Gateway de VPN do Azure
- ExpressRoute com failover de VPN
- Topologia de rede hub-spoke
Gateway de VPN do Azure
O Gateway de VPN do Azure, um serviço de gateway de rede virtual, permite a conectividade VPN site a site e ponto a site entre a rede local e o Azure.
Uma VPN ou uma rede virtual privada é uma arquitetura de rede bem estabelecida e compreendida.
O Gateway de VPN usa a conexão existente com a Internet. No entanto, toda a comunicação é criptografada usando os protocolos IKE e IPsec. Só é possível ter um gateway de rede virtual por rede virtual.
Ao configurar um gateway de rede virtual, você precisará especificar se ele é um gateway de VPN ou um gateway do ExpressRoute.
O tipo de VPN depende do tipo de topologia de conexão de que você precisa. Por exemplo, se você desejar criar um gateway P2S (ponto a site) ou P2P (ponto a ponto), usará um tipo RouteBased. Há dois tipos de VPN:
- PolicyBased: usa um túnel IPsec para criptografar pacotes de dados. A configuração da política usa prefixos de endereço extraídos da sua rede virtual do Azure e da sua rede local.
- RouteBased: usa as tabelas de roteamento ou encaminhamento IP para rotear pacotes de dados para o túnel correto. Cada túnel criptografa e descriptografa todos os pacotes.
Depois de especificar o tipo VPN para o gateway de rede virtual, você não poderá alterá-lo. Se você precisar fazer alterações, exclua o gateway de rede virtual e crie-o novamente.
Site a site
Todas as conexões de gateway site a site usam um túnel VPN IPsec/IKE para criar uma conexão entre o Azure e a rede local. Uma conexão site a site requer um dispositivo VPN local com um endereço IP acessível publicamente.
Ponto a site
Uma conexão de gateway ponto a site cria uma conexão segura entre um dispositivo individual e a rede virtual do Azure. Esse tipo de gateway é adequado para trabalhadores remotos; por exemplo, os usuários que participam de uma conferência ou que trabalham em casa. Uma conexão ponto a site não exige um dispositivo VPN local dedicado.
Benefícios
Estes são alguns dos benefícios do uso de uma conexão VPN:
- É uma tecnologia bem conhecida, fácil de ser configurada e mantida.
- Todo o tráfego de dados é criptografado.
- Ela é melhor para lidar com cargas de tráfego de dados mais leves.
Considerações
Quando estiver avaliando o uso dessa arquitetura híbrida, considere os seguintes pontos:
- Uma conexão VPN usa a Internet.
- Pode haver problemas de latência, dependendo do tamanho e do uso da largura de banda.
- O Azure dá suporte a uma largura de banda máxima de 1,25 Gbps.
- Um dispositivo VPN local é necessário para conexões site a site.
ExpressRoute com failover de VPN
Uma das garantias de usar o ExpressRoute é que ele fornece um alto nível de disponibilidade. Cada circuito do ExpressRoute é fornecido com gateways duplos do ExpressRoute. No entanto, mesmo com esse nível de resiliência interno no lado da rede do Azure, a conectividade pode ser interrompida. Uma maneira de corrigir essa situação e manter a conectividade é fornecer um serviço de failover de VPN.
A mesclagem da conexão VPN e do ExpressRoute aprimora a resiliência da conexão de rede. Ao operar sob condições normais, o ExpressRoute se comporta precisamente como uma arquitetura normal do ExpressRoute, com a conexão VPN restante inativa. Se o circuito do ExpressRoute falhar ou ficar offline, a conexão VPN assumirá. Essa ação garante a disponibilidade da rede em todas as circunstâncias. Quando o circuito do ExpressRoute é restaurado, todo o tráfego é revertido para usar a conexão do ExpressRoute.
Arquitetura de referência do ExpressRoute com failover de VPN
O diagrama a seguir ilustra como conectar a rede local ao Azure usando o ExpressRoute com um failover de VPN. A topologia escolhida nesta solução é uma conexão site a site baseada em VPN com alto fluxo de tráfego.
Nesse modelo, todo o tráfego de rede é roteado por meio da conexão privada do ExpressRoute. Quando a conectividade é perdida no circuito do ExpressRoute, a sub-rede de gateway faz o failover automaticamente para o circuito do gateway de VPN site a site. A linha pontilhada do gateway para o gateway de VPN na rede virtual do Azure indica esse cenário.
Quando o circuito do ExpressRoute é restaurado, o tráfego é alternado automaticamente de volta para o gateway de VPN.
Benefícios
O seguinte benefício fica disponível quando você implementa o ExpressRoute com um failover de VPN:
- Ele cria uma rede resiliente de alta disponibilidade.
Considerações
Ao implementar um ExpressRoute com a arquitetura de failover de VPN, considere os seguintes pontos:
Quando ocorre um failover, a largura de banda é reduzida para as velocidades da conexão VPN.
Os recursos do ExpressRoute e do gateway de VPN precisam estar na mesma rede virtual.
Há uma configuração altamente complexa.
A implementação exige uma conexão do ExpressRoute e de uma conexão VPN.
A implementação exige um gateway de VPN do Azure redundante e um hardware de VPN local.
Observação
Um gateway de VPN redundante gera custos de pagamento, mesmo quando não está sendo usado.
Topologia de rede hub-spoke
A topologia de rede hub-spoke permite estruturar as cargas de trabalho executadas pelos seus servidores. Ela usa uma só rede virtual como hub, que se conecta à rede local por meio de uma VPN ou do ExpressRoute. Os spokes são outras redes virtuais emparelhadas com o hub. Você pode atribuir cargas de trabalho específicas a cada spoke e usar o hub para serviços compartilhados.
Implemente o hub e cada spoke em assinaturas ou grupos de recursos separados e, em seguida, emparelhe-os.
Este modelo usa uma das três abordagens indicadas anteriormente: VPN, ExpressRoute e ExpressRoute com failover de VPN. Os benefícios e os desafios associados são abordados nas seções a seguir.
Benefícios
A implementação de uma arquitetura hub-spoke traz os seguintes benefícios:
- O uso do compartilhamento e de serviços centralizados no hub pode reduzir a necessidade de duplicação nos spokes, o que pode reduzir os custos.
- Os limites de assinatura são superados pelo emparelhamento de redes virtuais.
- O modelo hub-spoke permite a separação de áreas de trabalho organizacionais em spokes dedicados, como SecOps, InfraOps e DevOps.
Considerações
Quando estiver avaliando o uso dessa arquitetura híbrida, considere o seguinte ponto:
- Examine os serviços que são compartilhados no hub e o que permanece nos spokes.