Integração da rede no local no Azure
A sua empresa tenciona migrar a maioria dos seus recursos no local para o Azure. No entanto, um pequeno datacenter deve permanecer no local para integração na rede do Azure. O modelo de arquitetura tem de ter em conta a utilização de conectividade de rede do Azure para várias subsidiárias. Quer utilizar uma arquitetura de rede híbrida que conceda acesso aos seus recursos no local e com base na cloud.
Para lidar com a migração, você produz um plano de integração de rede para o Azure que inclui uma seleção das melhores opções de rede híbrida disponíveis no Azure. As opções têm de satisfazer as condições da organização relativamente à conectividade híbrida.
Nesta unidade, você explora a conectividade local na plataforma Azure. Você também obtém uma visão geral da Rede Virtual do Azure e vê como usar o Gateway de VPN do Azure para proteger o tráfego para uma rede local.
Acerca da rede virtual do Azure
O serviço Rede Virtual do Azure tem um conjunto específico de ferramentas e recursos para criar uma arquitetura de rede com base na cloud para a sua organização. As redes virtuais do Azure fornecem um canal de comunicação virtual seguro para todos os recursos do Azure permitidos na sua subscrição.
Com uma rede virtual do Azure, pode:
- Ligar máquinas virtuais à Internet.
- Forneça comunicações seguras entre recursos do Azure hospedados em vários datacenters e regiões.
- Isolar e gerir recursos do Azure.
- Ligar a computadores no local.
- Gerir o tráfego.
Por predefinição, todos os recursos do Azure numa rede virtual têm conectividade de saída com a Internet. A comunicação de entrada externa tem de ser efetuada através de um ponto final destinado ao público. Todos os recursos internos utilizam um ponto final privado para aceder à rede virtual.
Uma rede virtual é composta por muitos elementos. Incluindo, mas não limitado a, interfaces de rede, balanceadores de carga, sub-redes, grupos de segurança de rede e endereços IP públicos. Estes elementos funcionam em conjunto e permitem uma comunicação de rede segura e fiável entre os recursos do Azure, a Internet e as redes locais.
Encaminhamento de tráfego para uma rede virtual do Azure
O tráfego de saída de uma sub-rede é encaminhado com base no endereço IP de destino. Uma tabela de encaminhamento define as rotas de tráfego e o que acontece em seguida. Um endereço IP de destino pode existir em múltiplas definições de prefixos da tabela de encaminhamento (por exemplo, 10.0.0.0/16 e 10.0.0.0/24). O router utiliza um algoritmo complexo para localizar a correspondência de prefixo mais longa. O tráfego que está indo para um endereço 10.0.0.6 seria resolvido para o prefixo 10.0.0.0/24 e seria roteado de acordo.
Existem duas tabelas de encaminhamento principais: do sistema e personalizada.
Tabelas de encaminhamento do sistema
O Azure cria automaticamente um conjunto de tabelas de encaminhamento predefinidas para a rede virtual e cada uma das máscaras de sub-rede na rede virtual. Estas rotas do sistema são fixas e não podem ser editadas nem eliminadas. No entanto, pode substituir as predefinições com uma tabela de encaminhamento personalizada.
Uma tabela de encaminhamento predefinida típica poderá ter o seguinte aspeto:
| Source | Prefixos de endereço | Tipo de salto seguinte |
|---|---|---|
| Predefinição | Exclusivos da rede virtual | Rede virtual |
| Predefinição | 0.0.0.0/0 | Internet |
| Predefinição | 10.0.0.0/8 | Nenhuma |
| Predefinição | 172.16.0.0/12 | Nenhuma |
| Predefinição | 192.168.0.0/16 | Nenhuma |
| Predefinição | 100.64.0.0/10 | Nenhuma |
Uma tabela de roteamento consiste em uma origem, um prefixo de endereço e um tipo de salto seguinte. Todo o tráfego que sai da sub-rede utiliza a tabela de encaminhamento para descobrir para onde deve ir a seguir. De facto, o tráfego procura o próximo salto no seu percurso.
Um salto seguinte define o que acontece em seguida com o fluxo de tráfego, com base no prefixo. Existem três tipos de salto seguinte:
- Rede virtual: O tráfego é roteado de acordo com o endereço IP dentro da rede virtual.
- Internet: O tráfego é encaminhado para a Internet.
- Nenhum: O tráfego é interrompido.
Tabelas de encaminhamento personalizadas
Além das tabelas de encaminhamento definidas pelo sistema, também pode criar tabelas de encaminhamento personalizadas. Estas tabelas de encaminhamento definidas pelo utilizador substituem a tabela do sistema predefinida. Existem limitações no número de itens de encaminhamento que pode ter numa tabela personalizada.
A tabela a seguir lista algumas das muitas limitações que se aplicam a redes virtuais:
| Recurso | Número máximo ou predefinido |
|---|---|
| Redes virtuais | 1,000 |
| Sub-redes por rede virtual | 3,000 |
| Peerings de rede virtual por rede virtual | 500 |
| Endereços IP privados por rede virtual | 65 536 |
Tal como a tabela de encaminhamento do sistema, as tabelas de encaminhamento personalizadas também têm um tipo de salto seguinte. No entanto, as mesas de encaminhamento personalizadas fornecem mais algumas opções.
- Dispositivo virtual: essa opção geralmente é uma máquina virtual que executa um aplicativo de rede específico, como um firewall.
- Gateway de rede virtual: use esta opção quando quiser enviar tráfego para um gateway de rede virtual. Um tipo de gateway de rede virtual tem de ser VPN. O tipo não pode ser Azure ExpressRoute, uma vez que este tipo exige a definição de um processo de encaminhamento do Protocolo BGP (Border Gateway Protocol).
- Nenhum: esta opção deixa cair o tráfego em vez de o reencaminhar.
- Rede virtual: esta opção permite substituir um roteamento padrão do sistema.
- Internet: esta opção permite especificar que qualquer prefixo encaminha o tráfego para a Internet.
Ligar redes virtuais do Azure
Pode ligar as suas redes virtuais de várias formas. Pode utilizar um Gateway de VPN do Azure ou o ExpressRoute ou utilizar diretamente o método de peering.
Gateway de VPN do Azure
Quando você está trabalhando para integrar sua rede local com o Azure, você precisa de uma ponte entre eles. O gateway de VPN é um serviço do Azure que proporciona essa funcionalidade. Um gateway de VPN pode enviar tráfego encriptado entre as duas redes. Os gateways de VPN suportam múltiplas ligações que permitem que encaminhem túneis VPN com qualquer largura de banda disponível. Uma rede virtual apenas pode ter um gateway atribuído. Também é possível utilizar gateways de VPN para ligações entre redes virtuais no Azure.
Ao implementar um gateway VPN, é necessário implantar duas ou mais máquinas virtuais na sub-rede criada ao configurar a rede virtual. Nesse caso, a sub-rede também é chamada de sub-rede do gateway. É atribuída uma configuração predefinida a cada máquina virtual para os serviços de encaminhamento e gateway, explicitamente para o gateway aprovisionado. Não pode configurar diretamente estas máquinas virtuais.
Ao criar um gateway, estão disponíveis várias topologias. Essas topologias, também conhecidas como tipos de gateway, determinam quais elementos são configurados e o tipo de conexão esperado.
Site a Site
É utilizada uma ligação site a site para configurações de redes híbridas e entre instalações. Essa topologia de conexão requer que um dispositivo VPN local tenha um endereço IP acessível publicamente e não deve estar atrás de NAT (Network Address Translation). A ligação utiliza uma cadeia de carateres ASCII secreta até 128 carateres para autenticar entre o gateway e o dispositivo VPN.
Múltiplos sites
Uma ligação de múltiplos sites é semelhante a uma ligação site a site, mas com uma ligeira variação. A ligação de múltiplos sites suporta múltiplas ligações VPN para os seus dispositivos VPN no local. Essa topologia de ligação requer uma VPN RouteBased conhecida como gateway dinâmico. É importante ter em atenção que, com uma configuração de múltiplos sites, todas as ligações são encaminhadas e partilham toda a largura de banda disponível.
Ponto a site
Uma ligação ponto a site é adequada para um dispositivo cliente individual remoto que se liga à sua rede. Você deve autenticar o dispositivo cliente por meio da ID do Microsoft Entra ou usando a autenticação de certificado do Azure. Esse modelo é adequado para cenários de trabalho em casa.
Rede a rede
Deve utilizar uma ligação rede a rede para criar ligações entre múltiplas redes virtuais do Azure. Ao contrário das outras, esta topologia de ligação não requer um IP público ou um dispositivo VPN. Você também pode usar uma conexão de rede para rede em uma configuração multissite para estabelecer conexões combinadas entre locais com conectividade de rede intervirtual.
ExpressRoute
O ExpressRoute cria uma ligação direta entre a sua rede no local e a rede virtual do Azure que não utiliza a Internet. O ExpressRoute é utilizado para expandir a sua rede local para o espaço de rede virtual do Azure de forma totalmente integrada. Muitos provedores de conectividade que não são da Microsoft oferecem o serviço ExpressRoute. Existem três tipos de ligação do ExpressRoute diferentes:
- Colocalização CloudExchange
- Ligação de Ethernet ponto a ponto
- Ligação qualquer a qualquer (IPVPN)
Peering
As redes virtuais estabelecem ligações de peering em várias subscrições e regiões do Azure. Quando as redes virtuais estiverem em modo peering, os recursos nessas redes comunicam entre si como se estivessem na mesma rede. O tráfego é roteado entre recursos usando apenas endereços IP privados. Uma rede virtual emparelhada roteia o tráfego através da rede do Azure e mantém a conexão privada como parte da rede de backbone do Azure. A rede backbone proporciona ligações de rede de largura de banda elevada e baixa latência.
Arquitetura de referência do gateway de VPN site a site
Embora existam várias arquiteturas de referência disponíveis ao criar uma rede híbrida, uma arquitetura popular é a configuração site a site. A arquitetura de referência simplificada apresentada no diagrama que se segue mostra como ligaria uma rede no local à plataforma do Azure. A ligação à Internet utiliza um túnel VPN IPsec.
A arquitetura inclui vários componentes:
- A rede no local, que representa o seu Active Directory no local e todos os dados ou recursos.
- O gateway, que é responsável por enviar tráfego encriptado para um endereço IP virtual quando utiliza uma ligação pública.
- A rede virtual do Azure, que contém todas as suas aplicações na cloud e componentes do gateway de VPN do Azure.
- Um gateway de VPN do Azure, que proporciona a ligação encriptada entre a rede virtual do Azure e a sua rede no local. Um gateway de VPN do Azure consiste nesses elementos.
- Gateway de rede virtual
- Gateway de rede local
- Connection
- Sub-rede de gateway
- As aplicações na nuvem são as que disponibilizou através do Azure.
- Um balanceador de carga interno, localizado no front-end, que encaminha o tráfego da cloud para a aplicação ou o recurso com base na cloud correto.
A utilização desta arquitetura proporciona vários benefícios, incluindo:
- A configuração e manutenção são simplificadas.
- O uso de um gateway VPN ajuda a garantir que todos os dados e tráfego sejam criptografados entre o gateway local e o gateway do Azure.
- A arquitetura pode ser dimensionada e expandida para satisfazer as necessidades de rede da sua organização.
Esta arquitetura não é aplicável a todas as situações, uma vez que utiliza uma ligação à Internet existente como a ligação entre os dois pontos de gateway. As restrições de largura de banda podem causar problemas de latência devido à reutilização da infraestrutura existente.