Topologia de rede WAN virtual

Explore as principais considerações e recomendações de design para redes virtuais de longa distância (WAN Virtual) no Microsoft Azure.

Diagrama que ilustra uma topologia de rede WAN Virtual.

Figura 1: Topologia de rede WAN virtual. Baixe um arquivo Visio desta arquitetura.

Considerações de design de rede WAN virtual

A WAN Virtual do Azure é uma solução gerenciada pela Microsoft que fornece conectividade de trânsito completa, global e dinâmica por padrão. Os hubs da WAN Virtual eliminam a necessidade de configurar manualmente a conectividade de rede. Por exemplo, você não precisa gerenciar rotas definidas pelo usuário (UDR) ou dispositivos virtuais de rede (NVAs) para habilitar a conectividade de trânsito global.

  • A WAN Virtual do Azure simplifica a conectividade de rede de ponta a ponta no Azure e para o Azure no local, criando uma arquitetura de rede hub-and-spoke. A arquitetura é facilmente dimensionada para dar suporte a várias regiões do Azure e locais locais (conectividade de qualquer para qualquer lugar), conforme mostrado na figura a seguir:

    Diagrama que ilustra uma rede de trânsito global com WAN Virtual.

Figura 2: Rede de trânsito global com WAN virtual.

  • A conectividade transitiva da WAN Virtual do Azure de qualquer para qualquer pessoa dá suporte aos seguintes caminhos (dentro da mesma região e entre regiões):

    • Rede virtual para rede virtual
    • Rede virtual para filial
    • Ramificação para rede virtual
    • Sucursal a sucursal
  • Os hubs WAN Virtual do Azure são restritos à implantação de recursos gerenciados pela Microsoft. Os únicos recursos que você pode implantar nos hubs WAN são:

    • Gateways de rede virtual (VPN ponto a site, VPN site a site e Rota Expressa do Azure)
    • Firewall do Azure através do Firewall Manager
    • Tabelas de rotas
    • Algumas ferramentas virtuais de rede (NVA) para recursos SD-WAN específicos do fornecedor
  • A WAN Virtual está vinculada aos limites de assinatura do Azure para a WAN Virtual.

  • A conectividade transitiva de rede para rede (dentro de uma região e entre regiões via hub-to-hub) está em disponibilidade geral (GA).

  • A função de roteamento gerenciada pela Microsoft que faz parte de cada hub virtual permite a conectividade de trânsito entre redes virtuais na WAN Virtual Padrão. Cada hub suporta uma taxa de transferência agregada de até 50 Gbps para tráfego VNet-to-VNet.

  • Um único hub WAN Virtual do Azure dá suporte a um número máximo específico de cargas de trabalho de VM em todas as VNets conectadas diretamente. Para obter mais informações, consulte Limites da WAN Virtual do Azure.

  • Você pode implantar vários hubs WAN Virtual do Azure na mesma região para escalar além dos limites de hub único.

  • A WAN virtual integra-se com vários fornecedores de SD-WAN.

  • Muitos provedores de serviços gerenciados oferecem serviços gerenciados para WAN Virtual.

  • Os gateways VPN (ponto a site) do usuário na WAN Virtual podem ser dimensionados para uma taxa de transferência agregada de 20 Gbps e 100.000 conexões de cliente por hub virtual. Para obter mais informações, consulte Limites da WAN Virtual do Azure.

  • Os gateways VPN site a site na WAN Virtual podem ser dimensionados para uma taxa de transferência agregada de 20 Gbps.

  • Você pode conectar circuitos de Rota Expressa a um hub WAN Virtual usando uma SKU Local, Standard ou Premium.

  • Para implantações na mesma cidade, considere o ExpressRoute Metro.

  • Os circuitos ExpressRoute Standard ou Premium, em locais suportados pelo Azure ExpressRoute Global Reach, podem se conectar a um gateway de Rota Expressa da WAN Virtual. E eles têm todos os recursos de trânsito da WAN Virtual (VPN para VPN, VPN e trânsito ExpressRoute). Os circuitos ExpressRoute Standard ou Premium que estão em locais não suportados pelo Global Reach podem se conectar aos recursos do Azure, mas não podem usar os recursos de trânsito da WAN Virtual.

  • O Azure Firewall Manager dá suporte à implantação do Firewall do Azure no hub WAN Virtual, conhecido como hub virtual seguro. Para obter mais informações, consulte a visão geral do Gerenciador de Firewall do Azure para hubs virtuais seguros e as restrições mais recentes.

  • O tráfego de hub para hub da WAN virtual que passa pelo Firewall do Azure nos hubs de origem e nos hubs de destino (hubs virtuais protegidos) é suportado quando você habilita a intenção e as políticas de roteamento. Para obter mais informações, consulte Casos de uso para políticas de roteamento e intenção de roteamento do hub WAN virtual.

  • A experiência do portal WAN Virtual requer que todos os recursos da WAN Virtual sejam implantados juntos no mesmo grupo de recursos.

  • Você pode compartilhar um plano de Proteção contra DDoS do Azure em todas as redes virtuais em um único locatário do Microsoft Entra para proteger recursos com endereços IP públicos. Para obter mais informações, consulte Proteção contra DDoS do Azure.

    • Os hubs virtuais seguros de WAN virtual não oferecem suporte a planos de proteção padrão de DDoS do Azure. Para obter mais informações, consulte Problemas conhecidos do Gerenciador de Firewall do Azure e Comparação de rede virtual e hub virtual seguro.

    • Os planos de Proteção contra DDoS do Azure cobrem apenas recursos com endereços IP públicos.

      • Um plano de Proteção contra DDoS do Azure inclui 100 endereços IP públicos. Esses endereços IP públicos abrangem todas as redes virtuais protegidas associadas ao plano de proteção contra DDoS. Quaisquer outros endereços IP públicos, além dos 100 incluídos no plano, são cobrados separadamente. Para obter mais informações sobre os preços da Proteção contra DDoS do Azure, consulte a página de preços ou as Perguntas frequentes.
    • Analise os recursos suportados dos planos de Proteção contra DDoS do Azure.

Recomendações de design de rede WAN virtual

Recomendamos a WAN Virtual para novas implementações de rede de grandes dimensões ou globais no Azure onde é necessária conectividade de trânsito global entre regiões do Azure e entre localizações no local. Dessa forma, não tem de configurar manualmente o itinerário transitivo para a rede Azure.

A figura a seguir mostra um exemplo de implantação corporativa global com datacenters espalhados pela Europa e pelos Estados Unidos. A implantação contém muitas filiais em ambas as regiões. O ambiente está globalmente conectado por meio da WAN Virtual do Azure e do Alcance Global da Rota Expressa.

Diagrama de uma topologia de rede de exemplo.

Figura 3: Exemplo de topologia de rede.

  • Use um hub WAN Virtual por região do Azure para conectar várias zonas de aterrissagem juntas entre regiões do Azure por meio de uma WAN Virtual do Azure global comum.

  • Implante todos os recursos da WAN Virtual em um único grupo de recursos na assinatura de conectividade, inclusive quando estiver implantando em várias regiões.

  • Use os recursos de roteamento de hub virtual para segmentar ainda mais o tráfego entre redes virtuais e filiais.

  • Conecte hubs WAN virtuais a datacenters locais usando a Rota Expressa.

  • Implante os serviços compartilhados necessários, como servidores DNS, em uma rede virtual spoke dedicada. Os recursos compartilhados implantados pelo cliente não podem ser implantados dentro do próprio hub da WAN Virtual.

  • Conecte filiais e locais remotos ao hub WAN Virtual mais próximo por meio de VPN Site a Site ou habilite a conectividade de filial à WAN Virtual por meio de uma solução de parceiro SD-WAN.

  • Conecte os usuários ao hub WAN virtual por meio de uma VPN ponto a site.

  • Siga o princípio de "o tráfego no Azure permanece no Azure" para que a comunicação entre recursos no Azure ocorra através da rede de backbone da Microsoft, mesmo quando os recursos estão em regiões diferentes.

  • Para proteção e filtragem de saída pela Internet, considere implantar o Firewall do Azure no hub virtual.

  • Segurança fornecida por firewalls NVA. Os clientes também podem implantar NVAs em um hub WAN virtual que executa conectividade SD-WAN e recursos de firewall de próxima geração. Os clientes podem conectar dispositivos locais ao NVA no hub e também usar o mesmo dispositivo para inspecionar todo o tráfego Norte-Sul, Leste-Oeste e ligado à Internet.

  • Ao implantar tecnologias de rede de parceiros e NVAs, siga as orientações do fornecedor do parceiro para garantir que não haja configurações conflitantes com a rede do Azure.

  • Para cenários brownfield em que você está migrando de uma topologia de rede hub-and-spoke não baseada em WAN Virtual, consulte Migrar para a WAN Virtual do Azure.

  • Crie recursos da WAN Virtual do Azure e do Firewall do Azure na assinatura de conectividade.

  • Use a intenção de roteamento do hub WAN virtual e as políticas de roteamento para dar suporte ao tráfego que vai entre hubs protegidos.

  • Não crie mais de 500 conexões de rede virtual por hub virtual WAN Virtual.

    • Se você precisar de mais de 500 conexões de rede virtual por hub virtual WAN virtual, poderá implantar outro hub virtual WAN virtual. Implante-o na mesma região como parte da mesma WAN Virtual e do mesmo grupo de recursos.
  • Planeje sua implantação cuidadosamente e verifique se sua arquitetura de rede está dentro dos limites da WAN Virtual do Azure.

  • Use as informações no Azure Monitor for Virtual WAN (visualização) para monitorar a topologia de ponta a ponta da sua WAN Virtual e as métricas de status e chave.

  • Implante um único plano de proteção padrão de DDoS do Azure na assinatura de conectividade.

    • Todas as zonas de aterragem e plataformas virtuais devem utilizar este plano.