Fiabilidade e Rede Virtual do Azure
Um bloco modular fundamental para a sua rede privada, o Azure Rede Virtual permite que os recursos do Azure comuniquem entre si, com a Internet e com as redes no local em segurança.
As principais funcionalidades do Azure Rede Virtual incluem:
- Comunicação com recursos do Azure
- Comunicação com a Internet
- Comunicação com recursos no local
- Filtragem de tráfego de rede
Para obter mais informações, veja O que é o Azure Rede Virtual?
Para compreender como o Azure Rede Virtual suporta uma carga de trabalho fiável, veja os seguintes tópicos:
- Tutorial: Mover VMs do Azure entre regiões
- Início Rápido: criar uma rede virtual com o Portal do Azure
- Rede Virtual – Continuidade do Negócio
Considerações de design
O Rede Virtual (VNet) inclui as seguintes considerações de conceção para uma carga de trabalho fiável do Azure:
- A sobreposição de espaços de endereços IP em regiões no local e no Azure cria grandes desafios de contenção.
- Embora possa ser adicionado um espaço de endereços Rede Virtual após a criação, este processo requer uma indisponibilidade se o Rede Virtual já estiver ligado a outro Rede Virtual através do peering. É necessária uma indisponibilidade porque o Rede Virtual peering é eliminado e recriado.
- O redimensionamento de Redes Virtuais em modo de peering está em pré-visualização pública (20 de agosto de 2021).
- Alguns serviços do Azure necessitam de sub-redes dedicadas, tais como:
- Azure Firewall
- Azure Bastion
- Gateway de Rede Virtual
- As sub-redes podem ser delegadas a determinados serviços para criar instâncias desse serviço na sub-rede.
- O Azure reserva cinco endereços IP em cada sub-rede, que devem ser considerados ao dimensionar Redes Virtuais e sub-redes englobadas.
Lista de Verificação
Configurou o Azure Rede Virtual tendo em conta a fiabilidade?
- Utilize os Planos de Proteção Standard do Azure DDoS para proteger todos os pontos finais públicos alojados nas Redes Virtuais do cliente.
- Os clientes empresariais têm de planear o endereçamento IP no Azure para garantir que não existe espaço de endereços IP sobrepostos em localizações no local e regiões do Azure.
- Utilize endereços IP da alocação de endereços para internets privadas (Pedido de Comentário (RFC) 1918).
- Para ambientes com disponibilidade limitada de endereços IP privados (RFC 1918), considere utilizar o IPv6.
- Não crie Redes Virtuais desnecessariamente grandes (por exemplo:
/16) para garantir que não há desperdícios desnecessários de espaço de endereços IP. - Não crie Redes Virtuais sem planear antecipadamente o espaço de endereços necessário.
- Não utilize endereços IP públicos para Redes Virtuais, especialmente se os endereços IP públicos não pertencerem ao cliente.
- Utilize Pontos Finais de Serviço da VNet para proteger o acesso aos serviços PaaS (Plataforma como Serviço) do Azure a partir de uma VNet do cliente.
- Para resolver problemas de transferência de dados não autorizada com pontos finais de serviço, utilize a filtragem da Aplicação Virtual de Rede (NVA) e as Políticas de Ponto Final de Serviço da VNet para o Armazenamento do Azure.
- Não implemente o túnel forçado para permitir a comunicação do Azure para os recursos do Azure.
- Aceda aos serviços PaaS do Azure a partir do local através do Peering Privado do ExpressRoute.
- Para aceder aos serviços PaaS do Azure a partir de redes no local quando a injeção de VNet ou Private Link não estão disponíveis, utilize o ExpressRoute com o Peering da Microsoft quando não existirem preocupações de exfiltração de dados.
- Não replique os conceitos e arquiteturas da rede de perímetro no local (também conhecida como DMZ, zona desmilitarizada e sub-rede filtrada) no Azure.
- Confirme que a comunicação entre os serviços PaaS do Azure que foram injetados num Rede Virtual está bloqueada no Rede Virtual com rotas definidas pelo utilizador (UDRs) e grupos de segurança de rede (NSGs).
- Não utilize Pontos Finais de Serviço da VNet quando existirem problemas de transferência de dados não autorizada, a menos que seja utilizada a filtragem da NVA.
- Não ative os Pontos Finais de Serviço da VNet por predefinição em todas as sub-redes.
Recomendações de configuração
Considere as seguintes recomendações para otimizar a fiabilidade ao configurar um Rede Virtual do Azure:
| Recomendação | Description |
|---|---|
| Não crie Redes Virtuais sem planear antecipadamente o espaço de endereços necessário. | A adição de espaço de endereços causará uma indisponibilidade assim que um Rede Virtual estiver ligado através Rede Virtual peering. |
| Utilize Pontos Finais de Serviço da VNet para proteger o acesso aos serviços PaaS (Plataforma como Serviço) do Azure a partir de uma VNet do cliente. | Apenas quando Private Link não está disponível e quando não existem preocupações com a transferência de dados não autorizada. |
| Aceda aos serviços PaaS do Azure a partir do local através do Peering Privado do ExpressRoute. | Utilize a injeção de VNet para serviços dedicados do Azure ou Azure Private Link para serviços do Azure partilhados disponíveis. |
| Para aceder aos serviços PaaS do Azure a partir de redes no local quando a injeção de VNet ou Private Link não estão disponíveis, utilize o ExpressRoute com o Peering da Microsoft quando não existirem preocupações de exfiltração de dados. | Evita o trânsito através da Internet pública. |
| Não replique os conceitos e arquiteturas da rede de perímetro no local (também conhecida como DMZ, zona desmilitarizada e sub-rede filtrada) no Azure. | Os clientes podem obter capacidades de segurança semelhantes no Azure como no local, mas a implementação e a arquitetura terão de ser adaptadas à cloud. |
| Confirme que a comunicação entre os serviços PaaS do Azure que foram injetados num Rede Virtual está bloqueada no Rede Virtual com rotas definidas pelo utilizador (UDRs) e grupos de segurança de rede (NSGs). | Os serviços PaaS do Azure que foram injetados num Rede Virtual ainda executam operações do plano de gestão com endereços IP públicos. |