Excelência operacional e Rede Virtual do Azure
Um bloco de construção fundamental para sua rede privada, a Rede Virtual do Azure permite que os recursos do Azure se comuniquem com segurança entre si, com a Internet e com redes locais.
Os principais recursos da Rede Virtual do Azure incluem:
- Comunicação com recursos do Azure
- Comunicação com a internet
- Comunicação com recursos locais
- Filtragem de tráfego de rede
Para obter mais informações, consulte O que é a Rede Virtual do Azure?
Para compreender como a Rede Virtual do Azure suporta a excelência operacional, consulte os seguintes tópicos:
- Monitorando a Rede Virtual do Azure
- Monitorando a referência de dados da Rede Virtual do Azure
- Conceitos e práticas recomendadas da Rede Virtual do Azure
Considerações de design
A Rede Virtual (VNet) inclui as seguintes considerações de design para excelência operacional:
- A sobreposição de espaços de endereços IP entre regiões locais e do Azure cria grandes desafios de contenção.
- Embora um espaço de endereçamento de Rede Virtual possa ser adicionado após a criação, esse processo requer uma interrupção se a Rede Virtual já estiver conectada a outra Rede Virtual por meio de emparelhamento. Uma interrupção é necessária porque o emparelhamento da Rede Virtual é excluído e recriado.
- Alguns serviços do Azure exigem sub-redes dedicadas, como:
- Azure Firewall
- Azure Bastion
- Gateway de Rede Virtual
- As sub-redes podem ser delegadas a determinados serviços para criar instâncias desse serviço dentro da sub-rede.
- O Azure reserva cinco endereços IP em cada sub-rede, que devem ser considerados ao dimensionar Redes Virtuais e sub-redes abrangidas.
Lista de Verificação
Você configurou a Rede Virtual do Azure com a excelência operacional em mente?
- Use os Planos de Proteção Padrão contra DDoS do Azure para proteger todos os pontos de extremidade públicos hospedados nas Redes Virtuais do cliente.
- Os clientes corporativos devem planejar o endereçamento IP no Azure para garantir que não haja espaço de endereço IP sobreposto em locais considerados locais e regiões do Azure.
- Use endereços IP da alocação de endereços para internets privadas (Request for Comment (RFC) 1918).
- Para ambientes com disponibilidade limitada de endereços IP privados (RFC 1918), considere o uso do IPv6.
- Não crie redes virtuais desnecessariamente grandes (por exemplo:
/16) para garantir que não haja desperdício desnecessário de espaço de endereço IP. - Não crie Redes Virtuais sem planejar o espaço de endereçamento necessário com antecedência.
- Não use endereços IP públicos para Redes Virtuais, especialmente se os endereços IP públicos não pertencerem ao cliente.
- Use os Pontos de Extremidade de Serviço VNet para proteger o acesso aos serviços de PaaS (Plataforma Azure como Serviço) de dentro de uma rede virtual do cliente.
- Para resolver problemas de exfiltração de dados com Pontos de Extremidade de Serviço, use a filtragem NVA (Network Virtual Appliance) e as Políticas de Ponto de Extremidade do Serviço VNet para o Armazenamento do Azure.
- Não implemente o túnel forçado para habilitar a comunicação do Azure para os recursos do Azure.
- Aceda aos serviços PaaS do Azure a partir do local através do Emparelhamento Privado da Rota Expressa.
- Para acessar os serviços PaaS do Azure a partir de redes locais quando a injeção de VNet ou o Link Privado não estiverem disponíveis, use a Rota Expressa com o Emparelhamento da Microsoft quando não houver problemas de exfiltração de dados.
- Não replique conceitos e arquiteturas de rede de perímetro local (também conhecida como DMZ, zona desmilitarizada e sub-rede filtrada) no Azure.
- Verifique se a comunicação entre os serviços PaaS do Azure que foram injetados em uma Rede Virtual está bloqueada dentro da Rede Virtual usando UDRs (rotas definidas pelo usuário) e NSGs (grupos de segurança de rede).
- Não use pontos de extremidade de serviço VNet quando houver problemas de exfiltração de dados, a menos que a filtragem NVA seja usada.
- Não habilite os pontos de extremidade do serviço VNet por padrão em todas as sub-redes.
Recomendações de configuração
Considere as seguintes recomendações para excelência operacional ao configurar uma Rede Virtual do Azure:
| Recomendação | Description |
|---|---|
| Não crie Redes Virtuais sem planejar o espaço de endereçamento necessário com antecedência. | Adicionar espaço de endereço causará uma interrupção quando uma Rede Virtual estiver conectada por meio do emparelhamento de Rede Virtual. |
| Use os Pontos de Extremidade de Serviço VNet para proteger o acesso aos serviços de PaaS (Plataforma Azure como Serviço) de dentro de uma rede virtual do cliente. | Apenas quando o Private Link não está disponível e quando não há preocupações com a exfiltração de dados. |
| Aceda aos serviços PaaS do Azure a partir do local através do Emparelhamento Privado da Rota Expressa. | Use a injeção de VNet para serviços dedicados do Azure ou o Azure Private Link para serviços compartilhados disponíveis do Azure. |
| Para acessar os serviços PaaS do Azure a partir de redes locais quando a injeção de VNet ou o Link Privado não estiverem disponíveis, use a Rota Expressa com o Emparelhamento da Microsoft quando não houver problemas de exfiltração de dados. | Evita o trânsito pela internet pública. |
| Não replique conceitos e arquiteturas de rede de perímetro local (também conhecida como DMZ, zona desmilitarizada e sub-rede filtrada) no Azure. | Os clientes podem obter recursos de segurança semelhantes no Azure como no local, mas a implementação e a arquitetura precisarão ser adaptadas à nuvem. |
| Verifique se a comunicação entre os serviços PaaS do Azure que foram injetados em uma Rede Virtual está bloqueada dentro da Rede Virtual usando UDRs (rotas definidas pelo usuário) e NSGs (grupos de segurança de rede). | Os serviços PaaS do Azure que foram injetados em uma Rede Virtual ainda executam operações de plano de gerenciamento usando endereços IP públicos. |