Descrição geral dos serviços de rede do Azure

Os serviços de rede no Azure fornecem vários recursos de rede que podem ser usados juntos ou separadamente. Selecione cada um dos seguintes cenários de rede para saber mais sobre eles:

  • Fundação de rede: os serviços de base de rede do Azure fornecem conectividade central para seus recursos no Azure - Rede Virtual (VNet), Link Privado, DNS do Azure, Bastião do Azure, Servidor de Rotas, Gateway NAT e Gerenciador de Tráfego.
  • Balanceamento de carga e entrega de conteúdo: os serviçosde balanceamento de carga e entrega de conteúdo do Azure permitem o gerenciamento, a distribuição e a otimização de seus aplicativos e cargas de trabalho - Balanceador de carga, Gateway de Aplicativo e Azure Front Door.
  • Conectividade híbrida: os serviços de conectividade híbrida do Azure protegem a comunicação de e para os seus recursos no Azure - Gateway de VPN, Rota Expressa, WAN Virtual e Serviço de Emparelhamento.
  • Segurança de rede: os serviços de segurança de rede do Azure protegem as suas aplicações Web e serviços IaaS contra ataques DDoS e agentes maliciosos - Gestor de Firewall, Firewall, Firewall de Aplicações Web e Proteção contra DDoS.
  • Gerenciamento e monitoramento de rede: os serviços de gerenciamento e monitoramento de rede do Azure fornecem ferramentas para gerenciar e monitorar seus recursos de rede - Network Watcher, Azure Monitor e Azure Virtual Network Manager.

Fundação de rede

Esta seção descreve os serviços que fornecem os blocos de construção para projetar e arquitetar um ambiente de rede no Azure - Rede Virtual (VNet), Link Privado, DNS do Azure, Bastião do Azure, Servidor de Rotas, Gateway NAT e Gerenciador de Tráfego.

Rede virtual

A Rede Virtual do Azure (VNet) é o bloco de construção fundamental para a sua rede privada no Azure. Você pode usar redes virtuais para:

  • Comunicar entre recursos do Azure: pode implementar máquinas virtuais e vários outros tipos de recursos do Azure numa rede virtual, tais como Ambientes do Serviço de Aplicações do Azure, o Serviço Kubernetes do Azure (AKS) e os Conjuntos de Escala de Máquinas Virtuais do Azure. Para ver uma lista completa dos recursos do Azure que pode implementar numa rede virtual, veja Integração de serviço da rede virtual.
  • Comunicar entre si: pode ligar redes virtuais entre si, permitindo que os recursos em qualquer rede virtual comuniquem entre si, utilizando o emparelhamento de rede virtual ou o Azure Virtual Network Manager. As redes virtuais a que liga podem estar nas mesmas regiões ou em regiões diferentes do Azure. Para obter mais informações, consulte Emparelhamento de rede virtual e Gerenciador de Rede Virtual do Azure.
  • Comunicar com a Internet: Todos os recursos numa rede virtual podem comunicar de saída para a Internet, por predefinição. Pode comunicar com um recurso à entrada, ao atribuir-lhe um endereço IP público ou um Balanceador de Carga público. Você também pode usar endereços IP públicos ou Balanceador de Carga público para gerenciar suas conexões de saída.
  • Comunique-se com redes locais: você pode conectar seus computadores e redes locais a uma rede virtual usando o Gateway VPN ou a Rota Expressa.
  • Criptografar tráfego entre recursos: você pode usar a criptografia de rede virtual para criptografar o tráfego entre recursos em uma rede virtual.

Grupos de segurança de rede

Pode filtrar o tráfego de rede de e para recursos do Azure numa rede virtual do Azure com um grupo de segurança de rede. Para obter mais informações, consulte Grupos de segurança de rede.

Pontos finais de serviço

Os pontos de extremidade de serviço de Rede Virtual (VNet) estendem seu espaço de endereçamento privado de rede virtual e a identidade de sua rede virtual para os serviços do Azure, por meio de uma conexão direta. Os pontos finais permitem-lhe obter os seus recursos críticos de serviço do Azure apenas para as suas redes virtuais. O tráfego da sua rede virtual para o serviço do Azure permanece sempre na rede de backbone do Microsoft Azure.

Diagrama de pontos de extremidade de serviço de rede virtual.

O Azure Private Link permite que você acesse os Serviços PaaS do Azure (por exemplo, Armazenamento do Azure e Banco de Dados SQL) e os serviços hospedados pelo Azure de propriedade do cliente/parceiro em um ponto de extremidade privado em sua rede virtual. O tráfego entre a sua rede virtual e o serviço viaja através da rede de backbone da Microsoft. Expor o seu serviço à Internet pública já não é necessário. Pode criar o seu próprio serviço de ligação privada na sua rede virtual e fornecê-lo aos seus clientes.

Captura de tela da visão geral do ponto de extremidade privado.

Azure DNS

O DNS do Azure fornece hospedagem e resolução de DNS usando a infraestrutura do Microsoft Azure. O DNS do Azure consiste em três serviços:

  • O DNS Público do Azure é um serviço de hospedagem para domínios DNS. Ao alojar os seus domínios no Azure, pode gerir os recursos DNS com as mesmas credenciais, APIs, ferramentas e faturação dos seus outros serviços do Azure.
  • O DNS Privado do Azure é um serviço DNS para as suas redes virtuais. O DNS Privado do Azure gerencia e resolve nomes de domínio na rede virtual sem a necessidade de configurar uma solução DNS personalizada.
  • O Resolvedor Privado de DNS do Azure é um serviço que permite consultar zonas privadas do DNS do Azure a partir de um ambiente local e vice-versa sem implantar servidores DNS baseados em VM.

Usando o DNS do Azure, você pode hospedar e resolver domínios públicos, gerenciar a resolução de DNS em suas redes virtuais e habilitar a resolução de nomes entre o Azure e seus recursos locais.

Azure Bastion

O Azure Bastion é um serviço que você pode implantar em uma rede virtual para permitir que você se conecte a uma máquina virtual usando seu navegador e o portal do Azure. Você também pode se conectar usando o cliente SSH ou RDP nativo já instalado no computador local. O serviço Azure Bastion é um serviço PaaS totalmente gerenciado por plataforma que você implanta dentro de sua rede virtual. Fornece conectividade RDP/SSH segura e totalmente integrada às suas máquinas virtuais diretamente no portal do Azure por TLS. Quando se liga através do Azure Bastion, as máquinas virtuais não necessitam de um endereço IP público, agente ou software cliente especial. Há várias SKU/camadas diferentes disponíveis para o Azure Bastion. A camada selecionada afeta os recursos disponíveis. Para obter mais informações, consulte Sobre as definições de configuração do Bastion.

Diagrama mostrando a arquitetura do Azure Bastion.

Azure Route Server

O Azure Route Server simplifica o roteamento dinâmico entre seu dispositivo virtual de rede (NVA) e sua rede virtual. Ele permite que você troque informações de roteamento diretamente por meio do protocolo de roteamento BGP (Border Gateway Protocol) entre qualquer NVA que ofereça suporte ao protocolo de roteamento BGP e a Rede Definida por Software (SDN) do Azure na Rede Virtual do Azure (VNet) sem a necessidade de configurar ou manter tabelas de rotas manualmente.

Diagrama mostrando o Azure Route Server configurado em uma rede virtual.

NAT Gateway

O NAT Gateway simplifica a conectividade à Internet somente de saída para redes virtuais. Quando configurada em uma sub-rede, toda a conectividade de saída usa seus endereços IP públicos estáticos especificados. A conectividade de saída é possível sem balanceador de carga ou endereços IP públicos diretamente conectados a máquinas virtuais. Para obter mais informações, consulte O que é o gateway NAT do Azure?

Diagrama do gateway NAT da rede virtual.

Gestor de Tráfego

O Azure Traffic Manager é um balanceador de carga de tráfego baseado em DNS que permite distribuir o tráfego de forma otimizada para serviços em regiões globais do Azure, ao mesmo tempo em que fornece alta disponibilidade e capacidade de resposta. O Gerenciador de Tráfego fornece uma variedade de métodos de roteamento de tráfego para distribuir o tráfego, como prioridade, ponderado, desempenho, geográfico, multivalor ou sub-rede.

O diagrama a seguir mostra o roteamento baseado em prioridade de ponto de extremidade com o Gerenciador de Tráfego:

Diagrama do método de roteamento de tráfego 'Priority' do Azure Traffic Manager.

Para obter mais informações sobre o Gerenciador de Tráfego, consulte O que é o Gerenciador de Tráfego do Azure?.

Balanceamento de carga e entrega de conteúdo

Esta seção descreve os serviços de rede no Azure que ajudam a fornecer aplicativos e cargas de trabalho - Balanceador de Carga, Gateway de Aplicativo e Serviço de Porta de Entrada do Azure.

Balanceador de Carga

O Azure Load Balancer fornece balanceamento de carga de Camada 4 de alto desempenho e baixa latência para todos os protocolos UDP e TCP. Ele gerencia conexões de entrada e saída. Você pode configurar pontos de extremidade com balanceamento de carga público e interno. Você pode definir regras para mapear conexões de entrada para destinos do pool de back-end usando as opções de sondagem de integridade TCP e HTTP para gerenciar a disponibilidade do serviço.

O Azure Load Balancer está disponível em SKUs Padrão, Regional e de Gateway.

A imagem a seguir mostra um aplicativo multicamadas voltado para a Internet que utiliza balanceadores de carga externos e internos:

Captura de ecrã do exemplo do Azure Load Balancer.

Gateway de Aplicação

O Gateway de Aplicação do Azure é um balanceador de carga do tráfego da Web que lhe permite gerir o tráfego das suas aplicações Web. É um Application Delivery Controller (ADC) como um serviço, oferecendo vários recursos de balanceamento de carga de camada 7 para seus aplicativos.

O diagrama a seguir mostra o roteamento baseado em caminho de url com o Application Gateway.

Imagem do exemplo do Application Gateway.

Azure Front Door

O Azure Front Door permite definir, gerenciar e monitorar o roteamento global para seu tráfego da Web, otimizando para obter o melhor desempenho e failover global instantâneo para alta disponibilidade. Com o Front Door, pode transformar as suas aplicações empresariais e para consumidores globais (múltiplas regiões) em aplicações, APIs e conteúdos robustos, modernos e personalizados, com um elevado desempenho e que alcancem uma audiência global com o Azure.

Diagrama do serviço Azure Front Door com Web Application Firewall.

Conectividade híbrida

Esta seção descreve os serviços de conectividade de rede que fornecem uma comunicação segura entre sua rede local e o Azure - Gateway VPN, Rota Expressa, WAN Virtual e Serviço de Emparelhamento.

Gateway de VPN

O Gateway VPN ajuda você a criar conexões criptografadas entre locais para sua rede virtual a partir de locais locais ou criar conexões criptografadas entre redes virtuais. Há diferentes configurações disponíveis para conexões de Gateway VPN. Algumas das principais características incluem:

  • Conectividade VPN site a site
  • Conectividade VPN ponto a site
  • Conectividade VPN VNet-to-VNet

O diagrama a seguir ilustra várias conexões VPN site a site para a mesma rede virtual. Para ver mais diagramas de conexão, consulte VPN Gateway - design.

Diagrama mostrando várias conexões site a site do Gateway de VPN do Azure.

ExpressRoute

O ExpressRoute permite que você estenda suas redes locais para a nuvem da Microsoft por meio de uma conexão privada facilitada por um provedor de conectividade. Esta ligação é privada. O tráfego não passa pela internet. Com o ExpressRoute, pode estabelecer ligação aos serviços cloud da Microsoft, como o Microsoft Azure, o Microsoft 365 e o Dynamics 365.

Captura de ecrã do Azure ExpressRoute.

WAN Virtual

A WAN Virtual do Azure é um serviço de rede que reúne muitas funcionalidades de rede, segurança e roteamento para fornecer uma única interface operacional. A conectividade com as redes virtuais do Azure é estabelecida usando conexões de rede virtual. Algumas das principais características incluem:

  • Conectividade de filial (via automação de conectividade de dispositivos de Parceiro de WAN Virtual, como SD-WAN ou VPN CPE)
  • Conectividade VPN site a site
  • Conectividade VPN de usuário remoto (ponto a site)
  • Conectividade privada (Rota Expressa)
  • Conectividade intracloud (conectividade transitiva para redes virtuais)
  • Interconectividade VPN ExpressRoute
  • Roteamento, Firewall do Azure e criptografia para conectividade privada

Diagrama WAN virtual.

Peering Service

O Serviço de Emparelhamento do Azure melhora a conectividade do cliente com os serviços de nuvem da Microsoft, como o Microsoft 365, Dynamics 365, serviços de software como serviço (SaaS), Azure ou quaisquer serviços da Microsoft acessíveis através da Internet pública.

Segurança da rede

Esta seção descreve os serviços de rede no Azure que protegem e monitoram seus recursos de rede - Gerenciador de Firewall, Firewall, Firewall de Aplicativo Web e Proteção contra DDoS.

Firewall Manager

O Azure Firewall Manager é um serviço de gerenciamento de segurança que fornece política de segurança central e gerenciamento de roteamento para perímetros de segurança baseados em nuvem. O gerenciador de firewall pode fornecer gerenciamento de segurança para dois tipos diferentes de arquitetura de rede: hub virtual seguro e rede virtual de hub. Com o Azure Firewall Manager, pode implementar várias instâncias da Firewall do Azure em regiões e subscrições do Azure, implementar planos de proteção contra DDoS, gerir políticas de firewall de aplicações Web e integrar-se com a segurança como serviço de parceiros para uma segurança melhorada.

Diagrama de vários Firewalls do Azure em um hub virtual seguro e uma rede virtual de hub.

Azure Firewall

O Firewall do Azure é um serviço de segurança de rede gerenciado e baseado em nuvem que protege seus recursos da Rede Virtual do Azure. Usando o Firewall do Azure, você pode criar, impor e registrar centralmente políticas de conectividade de aplicativos e redes em assinaturas e redes virtuais. O Azure Firewall utiliza um endereço IP público estático para os recursos de rede virtual que permite às firewalls externas identificar o tráfego com origem na sua rede virtual.

Visão geral do diagrama do firewall.

Firewall de Aplicações Web

O Azure Web Application Firewall (WAF) fornece proteção aos seus aplicativos Web contra vulnerabilidades e explorações da Web comuns, como injeção de SQL e scripts entre sites. O Azure WAF fornece proteção imediata contra as 10 principais vulnerabilidades do OWASP por meio de regras gerenciadas. Além disso, os clientes também podem configurar regras personalizadas, que são regras gerenciadas pelo cliente para fornecer proteção extra com base no intervalo de IP de origem, e solicitar atributos como cabeçalhos, cookies, campos de dados de formulário ou parâmetros de cadeia de caracteres de consulta.

Os clientes podem optar por implantar o Azure WAF com o Application Gateway, que fornece proteção regional para entidades no espaço de endereçamento público e privado. Os clientes também podem optar por implantar o Azure WAF com Front Door , que fornece proteção na borda da rede para pontos de extremidade públicos.

Captura de tela do Web Application Firewall.

Proteção contra DDoS

A Proteção contra DDoS do Azure fornece contramedidas contra as ameaças DDoS mais sofisticadas. O serviço fornece recursos aprimorados de mitigação de DDoS para seu aplicativo e recursos implantados em suas redes virtuais. Além disso, os clientes que usam a Proteção contra DDoS do Azure têm acesso ao suporte de Resposta Rápida contra DDoS para envolver especialistas em DDoS durante um ataque ativo.

A Proteção contra DDoS do Azure consiste em duas camadas:

  • A Proteção de Rede DDoS, combinada com as práticas recomendadas de design de aplicativos, fornece recursos aprimorados de mitigação de DDoS para defesa contra ataques DDoS. Ele é ajustado automaticamente para ajudar a proteger seus recursos específicos do Azure em uma rede virtual.
  • DDoS IP Protection é um modelo de IP pago por protegido. O DDoS IP Protection contém os mesmos recursos principais de engenharia que o DDoS Network Protection, mas difere nos seguintes serviços de valor agregado: suporte de resposta rápida DDoS, proteção de custos e descontos no WAF.

Diagrama da arquitetura de referência para uma aplicação Web PaaS protegida contra DDoS.

Segurança da rede de contentores

A segurança da rede de contêineres faz parte dos ACNS (Advanced Container Networking Services). Ele fornece controle aprimorado sobre a segurança da rede AKS. Com recursos como filtragem de nome de domínio totalmente qualificado (FQDN), os clusters que usam o Azure CNI Powered by Cilium podem implementar políticas de rede baseadas em FQDN para obter uma arquitetura de segurança Zero Trust no AKS.

Gestão e monitorização de redes

Esta seção descreve os serviços de gerenciamento e monitoramento de rede no Azure - Network Watcher, Azure Monitor e Azure Virtual Network Manager.

Observador de Rede do Azure

O Observador de Rede do Azure oferece ferramentas para monitorizar, diagnosticar, ver métricas e ativar ou desativar registos de recursos numa rede virtual do Azure.

Diagrama mostrando os recursos do Azure Network Watcher.

Azure Monitor

O Azure Monitor maximiza a disponibilidade e desempenho das suas aplicações ao fornecer uma solução abrangente para recolher, analisar e atuar de acordo com a telemetria dos seus ambientes no local e na cloud. Ajuda a compreender o desempenho das suas aplicações e identifica proativamente os problemas que as afetam e os recursos de que dependem.

Azure Virtual Network Manager

O Azure Virtual Network Manager é um serviço de gestão que lhe permite agrupar, configurar, implementar e gerir redes virtuais globalmente através de subscrições. Com o Virtual Network Manager, você pode definir grupos de rede para identificar e segmentar logicamente suas redes virtuais. Em seguida, você pode determinar as configurações de conectividade e segurança desejadas e aplicá-las em todas as redes virtuais selecionadas em grupos de rede de uma só vez.

Diagrama de recursos implantados para uma topologia de rede virtual de malha com o gerenciador de rede virtual do Azure.

Observabilidade da rede de contêineres

A observabilidade da rede de contêineres faz parte dos ACNS (Advanced Container Networking Services). O ACNS usa o plano de controle do Hubble para fornecer visibilidade abrangente da rede e do desempenho do AKS. Ele oferece informações detalhadas e em tempo real em métricas de nível de nó, nível de pod, TCP e DNS, garantindo um monitoramento completo de sua infraestrutura de rede.

Diagrama de Observabilidade da Rede de Contêineres.

Próximos passos