Topologia de rede tradicional do Azure

Importante

Experimente a experiência de topologia, que oferece uma visualização dos recursos do Azure para facilitar o gerenciamento de inventário e o monitoramento da rede em escala. Use o recurso de topologia para visualizar recursos e suas dependências em assinaturas, regiões e locais.

Este artigo descreve as principais considerações de design e recomendações para topologias de rede no Microsoft Azure. O diagrama a seguir mostra uma topologia de rede tradicional do Azure:

Diagrama que ilustra uma topologia de rede tradicional do Azure.

Considerações de design

  • Várias topologias de rede podem conectar várias redes virtuais de zona de aterrissagem. Exemplos de topologias de rede incluem topologias hub-and-spoke, full-mesh e híbridas. Você também pode ter várias redes virtuais conectadas por meio de vários circuitos ou conexões do Azure ExpressRoute.

  • As redes virtuais não podem ultrapassar os limites da subscrição. No entanto, você pode usar emparelhamento de rede virtual, um circuito de Rota Expressa ou gateways VPN para obter conectividade entre redes virtuais em assinaturas diferentes.

  • O emparelhamento de rede virtual é o método preferencial para conectar redes virtuais no Azure. Você pode usar o emparelhamento de rede virtual para conectar redes virtuais na mesma região, em diferentes regiões do Azure e em diferentes locatários do Microsoft Entra.

  • O emparelhamento de rede virtual e o emparelhamento de rede virtual global não são transitivos. Para habilitar uma rede de trânsito, você precisa de rotas definidas pelo usuário (UDRs) e dispositivos virtuais de rede (NVAs). Para obter mais informações, consulte Topologia de rede Hub-spoke no Azure.

  • Você pode compartilhar um plano de Proteção contra DDoS do Azure em todas as redes virtuais em um único locatário do Microsoft Entra para proteger recursos com endereços IP públicos. Para obter mais informações, consulte Proteção contra DDoS.

    • Os planos de Proteção contra DDoS cobrem apenas recursos com endereços IP públicos.

    • O custo de um plano de Proteção contra DDoS inclui 100 endereços IP públicos em redes virtuais protegidas associadas ao plano de Proteção contra DDoS. A proteção de mais recursos custa mais. Para obter mais informações, consulte Preços da Proteção contra DDoS ou as Perguntas frequentes.

    • Analise os recursos suportados dos planos de Proteção contra DDoS.

  • Você pode usar circuitos de Rota Expressa para estabelecer conectividade entre redes virtuais dentro da mesma região geopolítica ou usar o complemento premium para conectividade entre regiões geopolíticas. Tenha em consideração estes pontos:

    • O tráfego de rede para rede pode ter mais latência, porque o tráfego deve ser fixado nos roteadores de borda Microsoft Enterprise (MSEE).

    • O SKU do gateway ExpressRoute restringe a largura de banda.

    • Implante e gerencie UDRs se precisar inspecionar ou registrar UDRs para tráfego em redes virtuais.

  • Os gateways VPN com BGP (Border Gateway Protocol) são transitivos no Azure e em redes locais, mas não fornecem acesso transitivo a redes conectadas por meio da Rota Expressa por padrão. Se precisar de acesso transitivo a redes conectadas por meio da Rota Expressa, considere o Servidor de Rotas do Azure.

  • Ao conectar vários circuitos de Rota Expressa à mesma rede virtual, use pesos de conexão e técnicas de BGP para garantir um caminho ideal para o tráfego entre redes locais e o Azure. Para obter mais informações, consulte Otimizar o roteamento da Rota Expressa.

Se você usar métricas BGP para influenciar o roteamento da Rota Expressa, precisará alterar a configuração fora da plataforma Azure. Sua organização ou seu provedor de conectividade deve configurar os roteadores locais de acordo.

  • Os circuitos ExpressRoute com complementos premium fornecem conectividade global.

  • A Rota Expressa tem certos limites, incluindo um número máximo de conexões de Rota Expressa para cada gateway de Rota Expressa. E o emparelhamento privado da Rota Expressa tem um limite máximo para o número de rotas que ele pode identificar do Azure para o local. Para obter mais informações, consulte Limites da Rota Expressa.

  • A taxa de transferência agregada máxima de um gateway VPN é de 10 gigabits por segundo. Um gateway VPN suporta até 100 túneis site a site ou rede a rede.

  • Se um NVA fizer parte da arquitetura, considere o Route Server para simplificar o roteamento dinâmico entre o NVA e a rede virtual. Use o Servidor de Rotas para trocar informações de roteamento diretamente por meio do BGP entre qualquer NVA que ofereça suporte ao BGP e a rede definida por software (SDN) do Azure na rede virtual do Azure. Não é necessário configurar ou manter manualmente tabelas de rotas com essa abordagem.

Recomendações de design

  • Considere um design de rede baseado na topologia de rede hub-and-spoke tradicional para os seguintes cenários:

    • Uma arquitetura de rede implantada em uma única região do Azure.

    • Uma arquitetura de rede que abrange várias regiões do Azure, sem necessidade de conectividade transitiva entre redes virtuais para zonas de aterrissagem entre regiões.

    • Uma arquitetura de rede que abrange várias regiões do Azure e emparelhamento de rede virtual global que pode conectar redes virtuais entre regiões do Azure.

    • Não há necessidade de conectividade transitiva entre conexões VPN e ExpressRoute.

    • O principal método de conectividade híbrida em vigor é a Rota Expressa, e o número de conexões VPN é inferior a 100 por gateway VPN.

    • Há uma dependência de NVAs centralizados e roteamento granular.

  • Para implantações regionais, use principalmente a topologia hub-and-spoke com um hub regional para cada região spoke do Azure. Use redes virtuais de zona de aterrissagem de aplicativo que usam emparelhamento de rede virtual para se conectar a uma rede virtual de hub central regional para os seguintes cenários:

    • Conectividade entre locais por meio da Rota Expressa, habilitada em dois locais de emparelhamento diferentes. Para obter mais informações, consulte Design e arquiteto ExpressRoute para resiliência.

    • Uma VPN para conectividade de filiais.

    • Conectividade Spoke-to-spoke através de NVAs e UDRs.

    • Proteção de saída da Internet por meio do Firewall do Azure ou outro NVA que não seja da Microsoft.

  • O diagrama a seguir mostra a topologia hub-and-spoke. Use essa configuração para garantir o controle de tráfego adequado e atender à maioria dos requisitos de segmentação e inspeção.

    Diagrama que ilustra uma topologia de rede hub-and-spoke.

  • Use a topologia que tem várias redes virtuais conectadas por meio de vários circuitos de Rota Expressa em diferentes locais de emparelhamento se:

    • Você precisa de um alto nível de isolamento. Para obter mais informações, consulte Design e arquiteto ExpressRoute para resiliência.

    • Você precisa de largura de banda dedicada da Rota Expressa para unidades de negócios específicas.

    • Você atinge o número máximo de conexões para cada gateway de Rota Expressa. Para determinar o número máximo, consulte Limites da Rota Expressa.

  • O diagrama a seguir mostra essa topologia.

    Diagrama que ilustra várias redes virtuais conectadas com vários circuitos de Rota Expressa.

  • Para emparelhamento de duas casas dentro da mesma cidade, considere o ExpressRoute Metro.

  • Implante o Firewall do Azure ou NVAs de parceiros na rede virtual do hub central para proteção e filtragem de tráfego leste/oeste ou sul/norte.

  • Implante um conjunto de serviços compartilhados mínimos, incluindo gateways de Rota Expressa, gateways de VPN (conforme necessário) e Firewall do Azure ou NVAs de parceiros (conforme necessário) na rede virtual do hub central. Se necessário, implante também controladores de domínio do Ative Directory e servidores DNS.

  • Implante um único plano padrão de Proteção contra DDoS na assinatura de conectividade. Use este plano para todas as zonas de aterrissagem e redes virtuais da plataforma.

  • Use sua rede existente, MPLS (multiprotocol label switching) e SD-WAN para conectar filiais com sedes corporativas. Se você não usa o Servidor de Rotas, não tem suporte para trânsito no Azure entre conexões de Rota Expressa e gateways de VPN.

  • Implante o Firewall do Azure ou NVAs de parceiros para proteção e filtragem de tráfego leste/oeste ou sul/norte, na rede virtual do hub central.

  • Ao implantar tecnologias de rede de parceiros ou NVAs, siga as orientações do fornecedor do parceiro para garantir que:

    • O fornecedor oferece suporte à implantação.

    • As orientações suportam alta disponibilidade e desempenho máximo.

    • Não há configurações conflitantes com a rede do Azure.

  • Não implante NVAs de entrada da Camada 7, como o Gateway de Aplicativo do Azure, como um serviço compartilhado na rede virtual do hub central. Em vez disso, implante-os junto com o aplicativo em suas respetivas zonas de pouso.

  • Implante um único plano de proteção padrão contra DDoS na assinatura de conectividade.

    • Todas as zonas de aterragem e plataformas de redes virtuais devem utilizar este plano.
  • Use sua rede existente, comutação de rótulos multiprotocolo e SD-WAN para conectar filiais com sedes corporativas. Se você não usar o Servidor de Rotas, não haverá suporte para trânsito no Azure entre gateways de Rota Expressa e VPN.

  • Se você precisar de transitividade entre gateways de Rota Expressa e VPN em um cenário de hub-and-spoke, use o Servidor de Rotas. Para obter mais informações, consulte Suporte do Route Server para ExpressRoute e Azure VPN.

    Diagrama que ilustra a transitividade entre gateways ER e VPN com o Route Server.

  • Quando você tiver redes hub-and-spoke em várias regiões do Azure e precisar conectar algumas zonas de aterrissagem entre regiões, use o emparelhamento de rede virtual global. Você pode conectar diretamente redes virtuais de zona de aterrissagem que precisam rotear o tráfego entre si. Dependendo da SKU da máquina virtual que se comunica, o emparelhamento de rede virtual global pode fornecer alta taxa de transferência de rede. O tráfego que vai entre redes virtuais de zona de aterrissagem diretamente emparelhadas ignora NVAs dentro de redes virtuais de hub. As limitações no emparelhamento de rede virtual global aplicam-se ao tráfego.

  • Quando você tiver redes hub-and-spoke em várias regiões do Azure e precisar conectar a maioria das zonas de aterrissagem entre regiões, use NVAs de hub para conectar redes virtuais de hub em cada região entre si e rotear o tráfego entre regiões. Você também pode usar essa abordagem se não puder usar o emparelhamento direto para ignorar NVAs de hub devido à incompatibilidade com seus requisitos de segurança. O emparelhamento de rede virtual global ou circuitos de Rota Expressa podem ajudar a conectar redes virtuais de hub das seguintes maneiras:

    • O emparelhamento de rede virtual global fornece uma conexão de baixa latência e alta taxa de transferência, mas gera taxas de tráfego.

    • Se você rotear pela Rota Expressa, poderá aumentar a latência devido ao hairpin. A SKU do gateway de Rota Expressa selecionada limita a taxa de transferência.

O diagrama a seguir mostra opções para conectividade hub-to-hub:

Diagrama que ilustra opções de conectividade hub-to-hub.

  • Quando precisar conectar duas regiões do Azure, use o emparelhamento de rede virtual global para conectar as redes virtuais de hub em cada região.

  • Use uma arquitetura de rede de trânsito global gerenciada baseada na WAN Virtual do Azure se sua organização:

    • Requer arquiteturas de rede hub-and-spoke em mais de duas regiões do Azure.

    • Requer conectividade de trânsito global entre zonas de aterrissagem, redes virtuais em regiões do Azure.

    • Deseja minimizar a sobrecarga de gerenciamento de rede.

  • Quando você precisar conectar mais de duas regiões do Azure, recomendamos que as redes virtuais de hub em cada região se conectem aos mesmos circuitos de Rota Expressa. O emparelhamento de rede virtual global requer que você gerencie um grande número de relações de emparelhamento e um conjunto complexo de UDRs em várias redes virtuais. O diagrama a seguir mostra como conectar redes hub-and-spoke em três regiões:

    Diagrama que ilustra a Rota Expressa fornecendo conectividade hub-to-hub entre várias regiões.

  • Quando você usa circuitos de Rota Expressa para conectividade entre regiões, raios em diferentes regiões se comunicam diretamente e ignoram o firewall porque aprendem através de rotas BGP para os raios do hub remoto. Se você precisar dos NVAs de firewall nas redes virtuais do hub para inspecionar o tráfego entre raios, deverá implementar uma destas opções:

    • Crie entradas de rota mais específicas nos UDRs spoke para o firewall na rede virtual do hub local para redirecionar o tráfego entre hubs.

    • Para simplificar a configuração de rotas, desative a propagação BGP nas tabelas de rotas spoke.

  • Quando sua organização requer arquiteturas de rede hub-and-spoke em mais de duas regiões do Azure e conectividade de trânsito global entre zonas de aterrissagem, redes virtuais em regiões do Azure, e você deseja minimizar a sobrecarga de gerenciamento de rede, recomendamos uma arquitetura de rede de trânsito global gerenciada baseada na WAN Virtual.

  • Implante os recursos de rede do hub de cada região em grupos de recursos separados e classifique-os em cada região implantada.

  • Use o Gerenciador de Rede Virtual do Azure para gerenciar a conectividade e a configuração de segurança de redes virtuais globalmente entre assinaturas.

  • Use as informações de rede do Azure Monitor para monitorar o estado de ponta a ponta de suas redes no Azure.

  • Você deve considerar os dois limites a seguir ao conectar redes virtuais spoke à rede virtual do hub central:

    • O número máximo de conexões de emparelhamento de rede virtual por rede virtual.

    • O número máximo de prefixos que a Rota Expressa com emparelhamento privado anuncia do Azure para o local.

    • Certifique-se de que o número de redes virtuais spoke conectadas à rede virtual do hub não exceda esses limites.

Próximo passo