Please enable JavaScript.
Coggle requires JavaScript to display documents.
Serviços de rede do Azure - Coggle Diagram
Serviços de rede do Azure
Conceitos básicos
O que é a rede virtual do Azure?
Um conjunto de recursos que vincula outros recursos do Azure.
Funcionalidade essenciais
Isolamento e segmentação
Quando você configura uma rede virtual, define um espaço de endereço IP. Você pode dividir esse espaço em sub-redes e alocar parte do espaço de endereço definido para cada sub-rede nomeada.
Comunicação pela Internet
Uma VM no Azure pode se conectar à Internet por padrão. É possível habilitar conexões de entrada da Internet definindo um endereço IP público ou um balanceador de carga público. Para o gerenciamento de VM, você pode se conectar por meio da CLI do Azure, do protocolo RDP ou do Secure Shell.
Comunicação entre recursos do Azure
Duas maneiras
Redes virtuais
Pontos de extremidade de serviço
Comunicação com os recursos locais
Você pode criar uma rede que abranja os ambientes locais e de nuvem. Há três mecanismos para você obter essa conectividade:
Redes virtuais privadas site a site
Vincula seu dispositivo VPN ou gateway de VPN local ao Gateway de VPN do Azure em uma rede virtual.
Azure ExpressRoute
Fornece conectividade privada dedicada para o Azure que não passa pela Internet.
oferece mais segurança.
Redes virtuais privadas ponto a site
Abordagem típica de uma conexão de VPN. O computador cliente inicia uma conexão VPN criptografada para conectar o computador à rede virtual do Azure.
Rotear tráfego de rede
O Azure faz o roteamento de tráfego entre sub-redes em redes virtuais conectadas, em redes locais e na Internet. Você também pode controlar o roteamento e substituir essas configurações da seguinte maneira:
Tabelas de rotas
Permite definir regras sobre como o tráfego deve ser direcionado. Você pode criar tabelas de rotas personalizadas que controlam como os pacotes são encaminhados entre as sub-redes.
Border Gateway Protocol (BGP)
Funciona com Gateways de VPN do Azure ou ExpressRoute para propagar as rotas BGP locais para redes virtuais do Azure.
Filtrar tráfego de rede
Permitem filtrar o tráfego entre sub-redes usando as seguintes abordagens:
É um recurso do Azure que pode conter várias regras de segurança de entrada e saída. Você pode definir essas regras para permitir ou bloquear tráfego com base em fatores como endereço IP de origem e de destino, porta e protocolo.
É uma VM especializada que pode ser comparada a um dispositivo de rede protegida. Realiza uma função de rede específica, como execução de um firewall ou otimização de WAN (rede de longa distância
Redes virtuais são mecanismos avançados e altamente configuráveis para conectar entidades no Azure. Você pode conectar recursos do Azure entre si ou aos recursos existentes no local. Você pode isolar, filtrar e rotear o tráfego de rede.
Configurações de Rede Virtual do Azure
Configurações para uma rede virtual básica:
Assinatura
Só se aplica se você tem várias assinaturas para escolher.
Grupo de recursos
Como qualquer outro recurso, uma rede virtual precisa existir em um grupo de recursos.
Espaço de endereço
Interno no formato CIDR (roteamento entre domínios). deve ser exclusivo dentro de sua assinatura e quaisquer redes às quais você deseje se conectar. Endereços que se sobrepõem, não podem ser usados para duas redes virtuais.
Local
Local onde você deseja criar a rede virtual.
Nome da rede
Deve ser exclusivo em sua assinatura, mas não precisa ser globalmente exclusivo.
Sub-rede
Em cada intervalo de endereços de rede virtual, você pode criar uma ou mais sub-redes que particionam o espaço de endereço da rede virtual. O roteamento entre sub-redes dependerá das rotas padrão de tráfego. Você também pode definir rotas personalizadas.
Os nomes de sub-rede devem começar com uma letra ou um número e terminar com uma letra, um número ou um sublinhado. Eles podem conter apenas letras, números, sublinhados, pontos ou hifens.
Proteção contra DDoS
Básica ou Standard.
A proteção Standard é um serviço Premium.
Pontos de extremidade de serviço
Selecione quais pontos você deseja habilitar. As opções incluem o Azure Cosmos DB, o Barramento de Serviço do Azure, o Azure Key Vault e assim por diante.
Configurações adicionais
Grupo de segurança de rede
Têm regras de segurança que permitem filtrar o tipo de tráfego de rede que pode entrar e sair das sub-redes da rede virtual e dos adaptadores de rede.
Tabela do rotas
O Azure cria automaticamente uma tabela de rotas para cada sub-rede e adiciona as rotas de sistema padrão à tabela. Você pode adicionar tabelas de rotas personalizadas para modificar o tráfego entre redes virtuais.
Gateway de VPN do Azure
VPNs são implantadas para conectar duas ou mais redes privadas confiáveis entre si em uma rede não confiável.
Gateways VPN
É um tipo de gateway de rede virtual. São implantados em instâncias da Rede Virtual do Azure e permitem a seguinte conectividade:
Conexão site a site
Conecte datacenters locais a redes virtuais.
Conexão ponto a site
Conecte dispositivos individuais a redes virtuais.
Conexão rede a rede
Conecte redes virtuais a outras redes virtuais.
Todos os dados transferidos são criptografados em um túnel privado à medida que atravessam a Internet.
Você só poderá implantar um gateway de VPN em cada rede virtual, mas poderá usar um gateway para se conectar a vários locais.
Ao implantar um gateway de VPN, você especifica o tipo de VPN:
baseada em política ou baseada em rota.
A principal diferença é como o tráfego a ser criptografado é especificado.
No Azure, ambos os tipos de gateways de VPN usam uma chave pré-compartilhada como o único método de autenticação.
Ambos os tipos também dependem do protocolo IKE na versão 1 ou na versão 2 e do protocolo IPsec.
O IKE é usado para configurar uma associação de segurança (um contrato da criptografia) entre dois pontos de extremidade.
Essa associação é passada para o conjunto do IPsec, que criptografa e descriptografa os pacotes de dados encapsulados no túnel VPN.
VPNs baseadas em política
Especificam estaticamente o endereço IP dos pacotes que devem ser criptografados por meio de cada túnel.
Esse tipo de dispositivo avalia cada pacote de dados em relação a esses conjuntos de endereços IP para escolher o túnel para o qual o pacote será enviado.
Principais recursos
Suporte apenas para IKEv1.
Uso do roteamento estático
As combinações de prefixos de endereço controlam o modo como o tráfego é criptografado e descriptografado. A origem e o destino das redes por túnel são declarados na política e não precisam ser declarados em tabelas de roteamento.
Devem ser usadas em cenários específicos que as exigem, por exemplo, para compatibilidade com os dispositivos VPN locais herdados.
VPNs baseadas em rota
Os túneis IPSec são modelados como uma interface de rede ou uma interface de túnel virtual.
O roteamento de IP (protocolos de roteamento dinâmico ou rotas estáticas) decide qual dessas interfaces de túnel usar ao enviar cada pacote.
VPNs baseadas em rota são o método preferido para conectar dispositivos locais. Elas são mais resilientes a alterações de topologia, como a criação de novas sub-redes.
Principais recursos
Suporte ao IKEv2
Usa seletores de tráfego any-to-any
Pode usar protocolos de roteamento dinâmico, em que as tabelas de roteamento/encaminhamento direcionam o tráfego para túneis IPsec diferentes.
Nesse caso, as redes de origem e de destino não são definidas estaticamente. Em vez disso, os pacotes de dados são criptografados com base em tabelas de roteamento de rede que são criadas dinamicamente usando protocolos de roteamento como o BGP (Border Gateway Protocol).
Use um gateway de VPN baseado em rota se precisar de qualquer um dos seguintes tipos de conectividade:
Conexões entre redes virtuais
Conexões ponto a site
Conexões multissite
Coexistência com um gateway do Azure ExpressRoute
Tamanhos do gateway de VPN
As funcionalidades do seu gateway de VPN são determinadas pelo SKU ou tamanho implantado.
Um Gateway de VPN Básico deve ser usado apenas para cargas de trabalho de Desenvolvimento/Teste.
Não há suporte para migrar do Básico para os SKUs VpnGW1/2/3/Az posteriormente sem precisar remover e reimplantar o gateway.
Implantar gateways de VPN
São necessários os seguintes recursos para implantar um gateway de VPN operacional.
Gateway de rede local
Crie um gateway de rede local para definir a configuração da rede local, como onde o gateway de VPN se conectará e a que ele se conectará.
Essa configuração inclui o endereço IPv4 público do dispositivo VPN local e as redes roteáveis locais. Essas informações são usadas pelo gateway de VPN para rotear, por meio do túnel IPsec, pacotes destinados a redes locais.
Gateway de rede virtual
Crie o gateway de rede virtual para rotear tráfego entre a rede virtual e o datacenter local ou outras redes virtuais.
O gateway de rede virtual pode ser um gateway de VPN ou ExpressRoute.
Endereço IP público
Crie um endereço IP público dinâmico do SKU Básico se você estiver usando um gateway sem reconhecimento de zona.
Esse endereço fornece um endereço IP roteável público como o destino do dispositivo VPN local.
Ele não será alterado a menos que você exclua e recrie o gateway de VPN.
Conexão
Crie um recurso de conexão para criar uma conexão lógica entre o gateway de VPN e o gateway de rede local.
A conexão é realizada com o endereço IPv4 do dispositivo VPN local conforme definido pelo gateway de rede local.
A conexão é realizada do gateway de rede virtual e seu endereço IP público associado.
É possível criar várias conexões.
GatewaySubnet
Implante uma sub-rede chamada
GatewaySubnet
para o gateway de VPN.
Use uma máscara de endereço de pelo menos /27 para garantir que você tenha endereços IP suficientes na sub-rede para crescimento futuro.
Não é possível usar essa sub-rede para nenhum outro serviço.
Rede virtual
Implante uma rede virtual com espaço de endereço suficiente para a sub-rede do gateway de VPN.
O espaço de endereço não pode se sobrepor à rede local à qual você se conectará.
Só é possível implantar um único gateway de VPN em uma rede virtual.
Para conectar seu datacenter a um gateway de VPN, serão necessários os seguintes recursos locais:
Um dispositivo VPN que dá suporte a gateways de VPN.
Um endereço IPv4 (roteável pela Internet) voltado para o público.
Cenários de alta disponibilidade
Ativo/em espera
Apenas um nó está no modo ativo enquanto o outro está no modo em espera. Quando um problema é identificado no sistema Ativo, o nó em espera tomará seu lugar até que o problema seja resolvido.
Ativo/ativo
Ambos os nós estão no modo ativo. Se houver uma falha em um nó ativo, o outro nó ativo manipulará automaticamente o tráfego e a função de ambos os nós até que o problema seja resolvido.
Failover do ExpressRoute
Os circuitos ExpressRoute têm resiliência integrada. Mas não são imunes a problemas físicos que afetam os cabos que fornecem conectividade nem a interrupções que afetam toda a localização do ExpressRoute.
Outra opção de alta disponibilidade é configurar um gateway de VPN como um caminho de failover seguro para conexões ExpressRoute.
Diferenças entre os tipos de configuração
O método
Active / Standby
é menos complexo, e uma vez que apenas um caminho está ativo o tempo todo, os problemas que ocorrem na rede são mais fáceis de solucionar,.
Na configuração
Ativo / Ativo
, a falha em um caminho não levará à interrupção do serviço, enquanto que com a configuração
Ativo / Em espera
, a interrupção pode variar dependendo do tempo de identificação da falha e do tempo de deslocamento do nó ativo para o nó em espera.
Balanceamento de Carga
Na configuração
Ativo / Em espera
não há necessidade de implementar um método de balanceamento de carga antes dos nós para compartilhar a carga, uma vez que apenas um nó estará ativo em um determinado momento.
Na configuração
Ativo / Ativo
, deve haver um método de balanceamento de carga para manter os dois nós no modo ativo simultaneamente. Além disso, a identificação da falha deve ocorrer no ponto de balanceamento de carga, a fim de deslocar toda a carga para o nó disponível.
A vantagem da configuração
Ativo / Ativo
sobre o
Ativo / Em espera
é que, a carga de trabalho pode ser partilhada entre ambos os servidores minimizando o desperdício de poder de processamento.
Gateways com redundância de zona
A implantação de gateways em zonas de disponibilidade do Azure separa de forma física e lógica os gateways em uma região, enquanto protege a conectividade de rede local com o Azure contra falhas no nível da zona.
Nas regiões que dão suporte a zonas de disponibilidade, os gateways de VPN e os gateways de ExpressRoute podem ser implantados em uma configuração com redundância de zona.
Esses gateways exigem SKUs de gateway diferentes e usam os endereços IP públicos Standard em vez dos Básicos.
Essa configuração oferece resiliência, escalabilidade e maior disponibilidade para os gateways de rede virtual.
ExpressRoute
Permite que você estenda suas redes locais para a nuvem da Microsoft em uma conexão privada. Com o ExpressRoute, você pode estabelecer conexões com os serviços em nuvem da Microsoft.
As conexões do ExpressRoute não passam pela Internet pública, oferecendo mais confiabilidade, mais velocidade, latências consistentes e muito mais segurança do que as conexões típicas pela Internet.
Recursos e benefícios
Conectividade de Camada 3
Camada 2 (L2):
Camada de Vínculo de Dados, que fornece comunicação de nó para nó entre dois nós na mesma rede.
Camada 3 (L3):
Camada de Rede, que fornece endereçamento e roteamento entre nós em uma rede de vários nós.
Redundância interna
Cada provedor de conectividade usa dispositivos redundantes para verificar se as conexões estabelecidas com a Microsoft estão altamente disponíveis.
Conectividade com os serviços de nuvem em todas as regiões.
Conectividade local com Alcance Global
Você pode habilitar o Alcance Global do ExpressRoute para trocar dados entre sites locais conectando seus circuitos do ExpressRoute.
Por exemplo, suponha que você tenha um datacenter privado na Califórnia conectado ao ExpressRoute no Vale do Silício. Você tem outro datacenter privado no Texas conectado ao ExpressRoute em Dallas. Com o Alcance Global do ExpressRoute, você pode conectar seus datacenters privados por meio de dois circuitos do ExpressRoute. Seu tráfego entre datacenters percorrerá a rede da Microsoft.
Roteamento dinâmico
Usa o protocolo de roteamento BGP, que é usado para trocar rotas entre as redes locais e os recursos em execução no Azure.
Esse protocolo permite o roteamento dinâmico entre a rede local e os serviços em execução na nuvem da Microsoft.
Modelos de conectividade
Dá suporte a três modelos que podem ser usados para conectar a rede local à nuvem da Microsoft:
Colocação do CloudExchange
Conexão Ethernet ponto a ponto
Conexão qualquer para qualquer
Consultas DNS, verificações de listas de certificados revogados e solicitações da Rede de Distribuição de Conteúdo do Azure ainda serão enviadas pela Internet pública.
