Estender as sub-redes locais para o Azure usando a rede estendida do Azure

Visão geral

A rede estendida do Azure permite que você alongue uma sub-rede local no Azure para permitir que as máquinas virtuais locais mantenham seus endereços IP privados locais originais ao migrar para o Azure.

A rede é estendida usando um túnel VXLAN bidirecional entre duas VMs do Windows Server 2019 atuando como soluções virtuais, uma em execução local e outra em execução no Azure, cada uma também conectada à sub-rede a ser estendida. Cada sub-rede que você vai estender exige um par de dispositivos. Várias sub-redes podem ser estendidas usando vários pares.

Observação

A rede estendida do Azure deve ser usada somente em computadores que não podem ter o próprio endereço IP alterado ao migrar para o Azure. É sempre melhor alterar o endereço IP e conectá-lo a uma sub-rede que existe totalmente no Azure, se essa for uma opção.

Planejamento

A fim de se preparar para usar a rede estendida do Azure, você deve identificar qual sub-rede deseja alongar e executar as seguintes etapas:

Planejamento da capacidade

Você pode estender até 250 endereços IP usando a rede estendida do Azure. Você pode esperar uma taxa de transferência agregada de cerca de 700 Mbps, com alguma variabilidade dependendo da velocidade da CPU da rede estendida para dispositivos virtuais do Azure.

Configuração no Azure

Antes de usar o Windows Admin Center, você deve executar as seguintes etapas por meio do portal do Azure:

  1. Crie uma rede virtual no Azure com pelo menos duas sub-redes, além das sub-redes necessárias para sua conexão de gateway. Uma das sub-redes criadas deve usar a mesma CIDR de sub-rede que a sub-rede local que você deseja estender. A sub-rede deve ser exclusiva em seu domínio de roteamento para que ela não se sobreponha a nenhuma sub-rede local.

  2. Configure um gateway de rede virtual para usar uma conexão site a site ou ExpressRoute para conectar a rede virtual à rede local.

  3. Crie uma VM do Windows Server 2022 Azure Edition no Azure capaz de executar a virtualização aninhada. Essa é uma de suas duas soluções de virtualização. Conecte o adaptador de rede primário à sub-rede roteável e o segundo adaptador de rede à sub-rede estendida.

Observação

A rede estendida do Azure exige o Windows Server 2022 Azure Edition para a VM em execução no Azure.

  1. Inicie a VM, habilite a função Hyper-V e reinicialize. Por exemplo:

    Install-WindowsFeature -Name Hyper-V -IncludeManagementTools -Restart
    
  2. Crie dois comutadores virtuais externos na VM e conecte um a cada um dos adaptadores de rede. Por exemplo:

    New-VMSwitch -Name "External" -AllowManagementOS $true -NetAdapterName "Ethernet"
    New-VMSwitch -Name "Extended" -AllowManagementOS $true -NetAdapterName "Ethernet 2"
    

Configuração local

Você também deve executar algumas configurações manuais em sua infraestrutura local, incluindo a criação de uma VM para servir como a solução de virtualização local:

  1. Verifique se as sub-redes estão disponíveis no computador físico em que você implantará a VM local (solução de virtualização). Inclusive a sub-rede que você deseja estender e uma segunda sub-rede exclusiva e que não se sobrepõe a nenhuma sub-rede na rede virtual do Azure.

  2. Crie uma VM do Windows Server 2019 ou 2022 em qualquer hipervisor que dê suporte à virtualização aninhada. Essa é a solução de virtualização local. É recomendável criá-la como uma VM altamente disponível em um cluster. Conecte um adaptador de rede virtual à sub-rede roteável e um segundo adaptador de rede virtual à sub-rede estendida.

  3. Inicie a VM e execute esse comando em uma sessão do PowerShell na VM para habilitar a função Hyper-V e reinicie a VM:

    Install-WindowsFeature -Name Hyper-V -IncludeManagementTools -Restart
    
  4. Execute os seguintes comandos em uma sessão do PowerShell na VM para criar dois comutadores virtuais externos na VM e conectar um a cada uma das interfaces de rede:

    New-VMSwitch -Name "External" -AllowManagementOS $true -NetAdapterName "Ethernet"
    New-VMSwitch -Name "Extended" -AllowManagementOS $true -NetAdapterName "Ethernet 2"
    

Pré-requisitos adicionais

Se você tiver um firewall entre sua rede local e o Azure, configure-o para permitir o roteamento assimétrico. Isso pode incluir etapas para desabilitar a randomização de números de sequência e habilitar o bypass de estado TCP. Consulte a documentação do fornecedor de firewall para obter estas etapas.

Implantar

A implantação é orientada por meio do Windows Admin Center.

Instalar e configurar o Windows Admin Center

  1. Baixar e instalar o Windows Admin Center em um computador capaz de executar o Windows Admin Center, além das duas soluções virtuais criadas anteriormente.

  2. No Windows Admin Center, selecione Configurações (no canto superior direito da página) >Extensões. Em seguida, selecione Extensões:

    Captura de tela mostrando a guia extensões disponíveis de Configurações

  3. Na guia Extensões disponíveis, selecione Rede estendida e, em seguida, selecione Instalar.

    Após alguns segundos, você receberá uma mensagem indicando uma instalação bem-sucedida.

  4. Conectar o Windows Admin Center ao Azure, caso ainda não tenha feito isso. Se você ignorar esta etapa agora, mais tarde no processo será solicitado que você faça isso.

  5. No Windows Admin Center, acesse Todas as conexões>Adicionar e, em seguida, selecione Adicionar no bloco do Windows Server. Insira o nome do servidor (e as credenciais, se necessário) para a solução de virtualização local.

    Captura de tela do Windows Admin Center mostrando a ferramenta de rede estendida no Gerenciador do Servidor na solução de virtualização local.

  6. Clique em Rede estendida para começar. Na primeira vez será apresentado a você uma visão geral e um botão de instalação:

    Imagem

Implantar rede estendida do Azure

  1. Clique em Configurar para começar a configuração.

  2. Clique em Avançar para continuar depois da Visão geral.

  3. No painel Carregar pacote, será necessário baixar o pacote de agente da rede estendida do Azure e carregá-lo na solução de virtualização. Siga as instruções apresentadas no painel.

    Importante

    Role para baixo se necessário e clique em Carregar antes de clicar em Avançar: instalação de rede estendida.

  4. Selecione a CIDR da sub-rede da rede local que você deseja estender. A lista de sub-redes é lida na solução de virtualização. Se você não tiver conectado a solução de virtualização ao conjunto correto de sub-redes, não será possível exibir a CIDR da sub-rede desejada nesta lista.

  5. Clique em Avançar depois de selecionar a CIDR da sub-rede.

  6. Selecione a assinatura, o grupo de recursos e a rede virtual para a qual você está estendendo:

    Rede do Azure

    A região (local do Azure) e a sub-rede são selecionadas automaticamente. Selecione Avançar: instalação de gateway de rede estendida para continuar.

  7. Agora você configurará as soluções de virtualização. O gateway local deve ter suas informações preenchidas automaticamente:

    gateway de rede local

    Se parecer correto, você pode clicar em Avançar.

  8. Para a solução de virtualização do Azure, você precisará selecionar o grupo de recursos e a VM a serem usados:

    Gateway de Rede do Azure

Observação

A lista de VMs para a solução de virtualização do Azure inclui apenas VMs do Azure que contêm o Windows Server 2022 Azure Edition. Se você não visualizar sua VM na lista, verifique se ela está na Azure Edition e a recrie se não estiver.

  1. Depois de selecionar a VM, você também precisará selecionar a CIDR da sub-rede do gateway de rede estendida do Azure. Em seguida, clique em Avançar: implantar.

  2. Examine as informações de resumo e clique em Implantar para iniciar o processo de implantação. A implantação levará cerca de 5 a 10 minutos. Quando a implantação for concluída, o seguinte painel será exibido para gerenciar os endereços IP estendidos e o status deverá ser OK:

    Instalação concluída

Gerenciar

Cada endereço IP que você deseja que seja acessível em toda a rede estendida precisará ser configurado. Você pode configurar até 250 endereços para estender. Para estender um endereço

  1. Clique em Adicionar Endereços IPv4:

    Adicionando endereços IPv4

  2. Você visualizará o submenu Adicionar novos endereços IPv4 à direita:

    Adicionar painel de endereços IPv4

  3. Use o botão Adicionar para adicionar um endereço manualmente. Os endereços que você adicionar localmente poderão ser acessados pelos Endereços do Azure que você adicionar à lista de Endereços do Azure e vice-versa.

  4. A rede estendida do Azure verifica a rede para descobrir endereços IP e preenche as listas de sugestões com base nessa verificação. Para estender esses endereços, você deve usar a lista suspensa e marcar a caixa de seleção ao lado do endereço descoberto. Nem todos os endereços serão descobertos. Opcionalmente, use o botão Adicionar para adicionar manualmente endereços que não são descobertos automaticamente.

    Adicionar painel de endereços IPv4 com informações

  5. Clique em Enviar ao concluir. Você verá o status mudar para Atualizando e, em seguida, Progredindo e, por fim, voltar para OK quando a configuração for concluída.

    Seus endereços agora são estendidos. Use o botão Adicionar Endereços IPv4 para adicionar endereços adicionais a qualquer momento. Se um endereço IP não estiver mais em uso em ambas as extremidades da rede estendida, marque a caixa de seleção ao lado dele e selecione Remover Endereços IPv4.

Se você não quiser mais usar a rede estendida do Azure, clique no botão Remover Rede Estendida do Azure. Isso desinstalará o agente das duas soluções de virtualização e removerá os endereços IP estendidos. A rede deixará de ser estendida. Você precisará executar novamente a instalação depois de removê-la, se desejar usar a rede estendida novamente.

Solução de problemas

Se você receber um erro durante a implantação da rede estendida do Azure, use as seguintes etapas:

  1. Verifique se as soluções de virtualização locais estão usando o Windows Server 2019 ou 2022. Verifique se a solução de virtualização do Azure está usando o Windows Server 2022 Azure Edition.

  2. Verifique se você não está executando o Windows Admin Center em uma das soluções de virtualização. É recomendável executar o Windows Admin Center a partir de uma rede local.

  3. Verifique se você pode acessar remotamente a VM local de gateway do Windows Admin Center usando enter-pssession.

  4. Se houver um firewall entre o Azure e o local, confirme se ele está configurado para permitir o tráfego UDP na porta selecionada (padrão 4789). Use uma ferramenta como ctsTraffic para configurar um ouvinte e um remetente. Verifique se o tráfego pode ser enviado nas duas direções na porta especificada.

  5. Use pktmon para verificar se os pacotes estão sendo enviados e recebidos conforme o esperado. Execute pktmon em cada solução de virtualização:

    Pktmon start –etw
    
  6. Execute a configuração da rede estendida do Azure e interrompa o rastreamento:

    Pktmon stop
    Netsh trace convert input=<path to pktmon etl file>
    
  7. Abra o arquivo de texto produzido de cada solução de virtualização e pesquise o tráfego UDP na porta especificada (padrão 4789). Caso veja tráfego sendo enviado da solução de virtualização local, mas não sendo recebido pela solução de virtualização do Azure, será necessário verificar o roteamento e o firewall entre os dispositivos. Caso veja tráfego enviado do local para o Azure, você deve ver a solução de virtualização do Azure enviar um pacote em resposta. Se esse pacote nunca for recebido pela solução de virtualização local, será necessário verificar se o roteamento está correto e se não há um firewall bloqueando o tráfego no meio.

Diagnosticando o demarcador de dados após a configuração inicial

Depois de configurar a rede estendida do Azure, os problemas adicionais que você pode encontrar normalmente são devido a firewalls bloqueando o tráfego ou MTU excedido se a falha for intermitente.

  1. Verifique se as duas soluções de virtualização estão em execução.

  2. Verifique se o agente de rede estendido está em execução em cada uma das soluções de virtualização:

    get-service extnwagent
    
  3. Se o status não estiver Em execução, você pode iniciá-lo:

    start-service extnwagent
    
  4. Use packetmon conforme descrito na etapa 5 acima, enquanto o tráfego é enviado entre duas VMs na rede estendida para verificar se o tráfego é recebido pelas soluções de virtualização, enviado pela porta UDP configurada e, em seguida, recebido e encaminhado pela outra solução de virtualização.