Implementar o Azure ExpressRoute

  • 15 minutos

A equipe de segurança de TI da Contoso está preocupada com a implementação de uma conexão VPN de seus data centers com o Microsoft Cloud. Ao investigar as opções de Gateway de VPN, você descobriu que o ExpressRoute é uma solução em potencial. Com o ExpressRoute, as conexões não passam pela Internet, reduzindo assim as possíveis ameaças de segurança para os dados em trânsito entre a infraestrutura corporativa da Contoso e os recursos do Azure nos datacenters da Microsoft.

O que é ExpressRoute?

O ExpressRoute fornece uma maneira de conectar sua organização aos Recursos do Azure. Ao implementar o ExpressRoute, você pode implementar as seguintes opções de conexão:

  • Uma conexão VPN qualquer para qualquer. Permite que você integre sua WAN ao Azure. O Azure integra-se à conexão WAN para fornecer uma conexão direta. Com conexões qualquer para qualquer, todos os provedores de WAN oferecem conectividade de Camada 3.
  • Uma conexão Ethernet P2P. Fornece conectividade de Camada 2 e Camada 3 entre o site local e o Azure. Conecte seus data centers ou escritórios com o Azure usando os links P2P.
  • Colocalização do CloudExchange. Normalmente, oferece conexões de Camada 2 e 3 entre a infraestrutura da sua organização, que reside em uma instalação de colocalização, como um ISP (provedor de serviços de Internet), e o Microsoft Cloud.

Observação

A conectividade do ExpressRoute não é via Internet, o que significa que as conexões têm menor latência, são de alta velocidade e mais seguras.

O gráfico a seguir exibe um cenário típico para conexões duplas do ExpressRoute.

A diagram identifies ways in which you can use ExpressRoute connections. In the graphic, a customer's network is connected to a partner edge network. Two connections, one primary and a secondary, connect to the Microsoft Edge network. Traffic is routed through both circuits to Microsoft Peering for Office 365 and related services, and also to other VNets by using Azure Private peering.

O ExpressRoute é uma das três soluções que você pode usar para conectar a rede local ao Azure. As outras duas, S2S e P2S, são descritas na tabela a seguir.

Solução alternativa Descrição
VPN S2S Permite que você conecte sua rede local ao Azure por meio de um túnel IPsec/IKE para criar uma rede híbrida. Para habilitar uma conexão site a site, configure um dispositivo VPN local com um endereço IP público. Em seguida, conecte esse dispositivo a uma VNet do Azure por meio de um gateway de VNet do Azure.
VPN P2S Permite que você estabeleça uma conexão segura de computadores individuais com recursos existentes em uma rede local. Essa solução é útil para organizações que desejam habilitar conexões com o Azure de locais remotos, como as residências dos usuários. As conexões P2S serão úteis se você tiver apenas alguns clientes que devem se conectar a uma VNet.

É mais provável que o Azure ExpressRoute seja o serviço apropriado nos seguintes cenários:

  • Para organizações que estão migrando sistemas locais corporativos para o Azure
  • Para redes seguras, em que evitar a Internet é desejável
  • Para data centers grandes com muitos usuários e sistemas que acessam sistemas e produtos de SaaS (software como serviço)

Considere usar o ExpressRoute nas seguintes situações:

  • Para implementar conectividade de baixa latência em serviços baseados em nuvem
  • Para acessar sistemas baseados em nuvem de grande volume que funcionam com grandes volumes de dados
  • Para conectar-se a serviços em nuvem da Microsoft, como o Office 365 e o Microsoft Dynamics 365

Benefícios do ExpressRoute

O ExpressRoute oferece vários benefícios em relação a outras opções de conectividade, conforme descrito na tabela a seguir.

Recurso Benefício
Conectividade de Camada 3 Essas conexões podem ser P2P, rede qualquer para qualquer ou conexões cruzadas virtuais por meio de uma troca.
Redundância interna Cada provedor de conectividade usa dispositivos redundantes para ajudar a fornecer alta disponibilidade.
Conectividade com serviços em nuvem da Microsoft Dá suporte a conexões com o Office 365, o Dynamics 365 e os serviços do Azure, como VMs do Azure, Azure Cosmos DB e Armazenamento do Azure.
Conectividade local com Alcance Global do ExpressRoute Permite que você conecte seus data centers privados por meio de vários circuitos do ExpressRoute e que o tráfego entre datacenters passe pela rede da Microsoft.
Roteamento dinâmico Permite o roteamento dinâmico entre a infraestrutura local e os serviços em execução na nuvem da Microsoft. Usa o BGP (Border Gateway Protocol), que troca rotas entre redes locais e recursos em execução no Azure.

Como ele funciona

Para implementar o ExpressRoute, você precisa trabalhar com um parceiro do ExpressRoute. O parceiro fornece uma conexão autorizada e autenticada chamada serviço de borda. É por meio desse serviço que você pode conectar sua organização ao Microsoft Cloud. O parceiro que você selecionar habilitará a conexão com o roteador de borda do Microsoft Cloud, chamado de ponto de extremidade do ExpressRoute. As conexões por meio do serviço de borda com o ponto de extremidade do ExpressRoute são conhecidas como circuitos. Os circuitos são estabelecidos por um link privado, não pela Internet.

Pré-requisitos

Antes de implementar um circuito do ExpressRoute, sua organização deverá atender a vários pré-requisitos, incluindo:

  • Trabalhar com um parceiro de conectividade do ExpressRoute ou um provedor de troca de nuvem.

Observação

Essas organizações facilitam o provisionamento do circuito.

  • Registrar sua assinatura do Azure no parceiro de conectividade do ExpressRoute.
  • Solicitar um circuito do ExpressRoute usando uma conta ativa do Azure.
  • Opcionalmente, ter uma assinatura do Office 365 ativa para conectividade com os serviços do Office 365.

Como o ExpressRoute funciona por meio do emparelhamento de sua infraestrutura local com redes de nuvem da Microsoft, os recursos em suas redes podem se comunicar diretamente com os recursos hospedados pela Microsoft. No entanto, para dar suporte a esses emparelhamentos, você deve:

  • Verificar se configurou todas as sessões BGP necessárias para domínios de roteamento.
  • Implementar um serviço de NAT (conversão de endereços de rede) para converter os endereços IP privados usados localmente em endereços IP públicos.
  • Reservar vários blocos de endereços IP em sua rede a fim de rotear o tráfego para o Microsoft Cloud.

Dica

Configure esses blocos reservados como uma sub-rede /29 ou duas sub-redes /30 em seu espaço de endereços IP.

Configurar o ExpressRoute

Para facilitar uma conexão com os recursos da Microsoft no Azure usando o ExpressRoute, você deverá executar várias etapas de alto nível para concluir o processo de estabelecimento de uma conexão do ExpressRoute. Você deve:

  • Criar um circuito.
  • Criar uma configuração de emparelhamento.
  • Conectar uma VNet a um circuito do ExpressRoute.

Criar um circuito

Para criar um circuito, entre no portal do Azure e use o seguinte procedimento:

  1. No portal do Azure, selecione Criar um recurso.

  2. Selecione Rede e ExpressRoute.

  3. Na folha Criar ExpressRoute, selecione Assinatura, Grupo de recursos e Região e insira um nome para o circuito.

  4. Selecione Avançar: configuração>.

  5. Na guia Configuração, defina as seguintes informações:

    • Tipo de porta. Selecione Provedor.
    • Selecione o Provedor.
    • Selecione a Localização do emparelhamento.
    • Escolha a Largura de Banda.
    • Selecione o SKU.

    A screenshot of the Create ExpressRoute blade, Configuration tab. The Port type is set to Provider. The Provider is British Telecom. The Peering location is London. The bandwidth is 1 Gbps. The Standard SKU is selected.

  6. Selecione Examinar + Criar e, em seguida, selecione Criar.

Levará alguns minutos para concluir o provisionamento do circuito. Depois que isso for concluído, abra o recurso recém-criado. Na página Visão geral do circuito, você deve observar que o Status do circuito está habilitado, mas o Status do provedor é Não provisionado. Esses valores significam que o lado da Microsoft do circuito está pronto para aceitar conexões, mas o provedor ainda não configurou seu lado do circuito.

A screenshot of the ContosoExpressRoute page in the Azure portal. The Circuit status is enabled but Provider status is Not provisioned.

Criar uma configuração de emparelhamento

A próxima etapa é configurar emparelhamentos. Você pode examinar os emparelhamentos do circuito na guia Visão geral. Você pode criar um emparelhamento público ou privado do Azure e um emparelhamento da Microsoft. Neste caso, você precisará criar um emparelhamento privado do Azure e um emparelhamento da Microsoft.

Configurar o emparelhamento privado

Use um emparelhamento privado para conectar sua rede às VNets em execução no Azure. Para configurar o emparelhamento privado, você precisa fornecer as seguintes informações:

  • Par ASN. O ASN (número do sistema autônomo) referente ao seu lado do emparelhamento.
  • Sub-rede primária. É um intervalo de endereços da sub-rede /30 primária que você criou em sua rede.
  • Sub-rede secundária. É o intervalo de endereços de sua sub-rede /30 secundária.
  • ID de VLAN. Essa é a VLAN (rede de área local virtual) na qual você deseja habilitar o emparelhamento.
  • Chave compartilhada. É uma chave opcional usada para codificar mensagens que passam pelo circuito.

Para modificar o emparelhamento privado do Azure, na folha Circuito do ExpressRoute, na página Emparelhamentos, selecione Privado do Azure e configure os valores necessários.

Configurar o emparelhamento da Microsoft

Use o emparelhamento da Microsoft para se conectar ao Office 365 e seus serviços relacionados. Para configurar o emparelhamento da Microsoft, você fornecerá os mesmos detalhes de um emparelhamento privado, mas também deve fornecer as seguintes informações:

  • Prefixos públicos anunciados. Uma lista dos prefixos de endereço que você usará em sua sessão BGP.
  • ASN do cliente. Um valor opcional.
  • Nome do registro de roteamento. Identifica o registro no qual você grava os prefixos de ASN e público do cliente.

Observação

Você só poderá configurar o emparelhamento quando o status do Provedor estiver definido como Provisionado.

Para modificar o emparelhamento da Microsoft, na folha Circuito do ExpressRoute, na página Emparelhamentos, selecione Microsoft e configure os valores necessários.

A screenshot pf the Microsoft peering blade. No values can be configured as the circuit is not provisioned. However, configurable values are as previously described.

Conectar uma VNet ao circuito

Depois que o status do provedor for provisionado e após configurar os emparelhamentos, você poderá conectar uma VNet ao circuito. Para fazer isso, use o seguinte procedimento:

  1. No portal do Azure, selecione Criar um recurso.

  2. Pesquise e selecione Gateway de rede virtual.

  3. Na folha Gateway de rede virtual, selecione Criar.

  4. Na folha Criar gateway de rede virtual, crie o gateway especificando as propriedades adequadas: Assinatura, Nome e Região.

  5. Em Tipo de gateway, selecione ExpressRoute.

    A screenshot of the Create virtual network gateway blade. The administrator has configured the values described in the preceding text.

  6. Selecione o SKU e a Rede virtual à qual você deseja se conectar.

  7. Defina o Intervalo de endereços de sub-rede de gateway e as configurações do Endereço IP público.

  8. Selecione Examinar + Criar e, em seguida, selecione Criar.

Por fim, você pode conectar um emparelhamento a um gateway de VNet da seguinte maneira:

  1. Na página Circuito do ExpressRoute de seu circuito, selecione Conexões.
  2. Na página Conexões, selecione Adicionar.
  3. Na página Adicionar conexão, dê um nome à sua conexão e selecione seu gateway de VNet.

Quando a operação for concluída, a rede local estará conectada por meio do gateway de VNet à sua VNet no Azure. A conexão será feita por meio da conexão do ExpressRoute.

Observação

Você só poderá executar essa etapa final quando o status do provedor estiver definido como Provisionado.

Leituras adicionais

É possível saber mais revisando os seguintes documentos: