Compartilhar via


Diretrizes para planejamento de rede do Azure NetApp Files

O planejamento da arquitetura de rede é um elemento fundamental da criação de qualquer infraestrutura de aplicativo. Este artigo ajuda você a criar uma arquitetura de rede eficaz para suas cargas de trabalho para se beneficiar dos recursos avançados do Azure NetApp Files.

Azure NetApp Files volumes são projetados para serem contidos em uma sub-rede de finalidade especial chamada de sub-rede delegada em sua rede virtual do Azure. Portanto, você pode acessar os volumes diretamente do Azure por meio de emparelhamento de rede virtual (VNet) ou no local por meio de um Gateway de Rede Virtual (ExpressRoute ou Gateway de VPN). A sub-rede é dedicada a Azure NetApp Files e não há conectividade com a Internet.

A opção de definir recursos de rede Standard em novos volumes e modificar recursos de rede para volumes existentes tem suporte em todas as regiões habilitadas para Azure NetApp Files.

Recursos de rede configuráveis

Você pode criar novos volumes ou modificar os volumes existentes para usar os recursos de rede Standard ou Básico. Para obter mais informações, confira Configurar recursos de rede.

  • Standard
    Selecionar essa configuração permite limites de IP mais altos e recursos de VNet padrão, como grupos de segurança de rede e rotas definidas pelo usuário em sub-redes delegadas e padrões de conectividade adicionais, conforme indicado neste artigo.

  • Basic
    Selecionar essa configuração permite padrões de conectividade seletivos e escala de IP limitada, conforme mencionado na seção Considerações. Todas as restrições se aplicam a essa configuração.

Considerações

Você deve entender algumas considerações ao planejar a rede Azure NetApp Files.

Restrições

A tabela a seguir descreve o que possui suporte para cada configuração dos recursos de rede:

Recursos Recursos de rede Standard Recursos de rede Basic
Número de IPs em uma VNet (incluindo VNets emparelhadas imediatamente) acessando volumes em uma VNet de hospedagem do Azure NetApp Files Os mesmos limites padrão das máquinas virtuais (VMs) 1000
Sub-redes delegadas do Azure NetApp Files por VNet 1 1
Grupos de Segurança de Rede (NSGs) nas sub-redes delegadas do Azure NetApp Files Sim Não
Rotas definidas pelo usuário (UDRs) nas sub-redes delegadas do Azure NetApp Files Sim Não
Conectividade com o Ponto de extremidade privado Sim* Não
Conectividade com o Ponto de extremidade de serviço Sim Não
Políticas do Azure (por exemplo, políticas de nomenclatura personalizadas) na interface Azure NetApp Files Não Não
Balanceadores de carga para tráfego de Azure NetApp Files Não Não
VNet (IPv4 e IPv6) de pilha dual Nenhum
(Suporte somente para IPv4)
Nenhum
(Suporte somente para IPv4)
Tráfego roteado por meio de NVA da VNet emparelhada Sim Não

* Não há suporte para aplicar grupos de segurança de rede do Azure na sub-rede de link privado ao Azure Key Vault para as chaves gerenciadas pelo cliente do Azure NetApp Files. Os grupos de segurança de rede não afetam a conectividade com o Link Privado, a menos que a política de rede do ponto de extremidade Privado esteja habilitada na sub-rede. É recomendável manter essa opção desabilitada.

Topologias de rede com suporte

A tabela a seguir descreve as topologias de rede com suporte por cada configuração dos recursos de rede do Azure NetApp Files.

Topologias Recursos de rede Standard Recursos de rede Basic
Conectividade com o volume em uma VNet local Sim Yes
Conectividade com o volume em uma VNet emparelhada (mesma região) Sim Yes
Conectividade com o volume em uma VNet emparelhada (entre regiões ou emparelhamento global) Sim* Não
Conectividade com um volume por meio do gateway de ExpressRoute Sim Yes
ExpressRoute (ER) FastPath Sim Não
Conectividade do local para um volume em uma VNet spoke em um gateway de ExpressRoute e emparelhamento VNet com trânsito de gateway Sim Yes
Conectividade do local para um volume em uma VNet do spoke em um gateway de VPN Sim Yes
Conectividade do local para um volume em uma VNet do spoke por meio de gateway de VPN e emparelhamento VNet com trânsito de gateway Sim Yes
Conectividade por gateways de VPN Ativos/Passivos Sim Yes
Conectividade por gateways de VPN Ativos/Ativos Sim Não
Conectividade por gateways com redundância de zona Ativos/Ativos Sim Não
Conectividade por gateways com redundância de zona Ativos/Passivos Sim Yes
Conectividade pela WAN Virtual (VWAN) Sim Não

*Esta opção incorre em uma taxa sobre o tráfego de entrada e saída que utiliza uma conexão de emparelhamento de rede virtual. Para saber mais, confira Preços de rede virtual. Para obter mais informações gerais, consulte Emparelhamento de rede virtual.

Rede virtual para volumes de Azure NetApp Files

Esta seção explica os conceitos que o ajudam com o planejamento de rede virtual.

Redes virtuais do Azure

Antes de provisionar um volume Azure NetApp Files, você precisa criar uma rede virtual do Azure (VNet) ou usar uma que já exista na mesma assinatura. A VNet define o limite de rede do volume. Para obter mais informações sobre como criar redes virtuais, consulte a documentação da Rede Virtual do Azure.

Sub-redes

Sub-redes segmentam a rede virtual em espaços de endereço separados que são utilizáveis pelos recursos do Azure nelas. Os volumes Azure NetApp Files estão contidos em uma sub-rede de finalidade especial chamada de sub-rede delegada.

A delegação de sub-rede fornece permissões explícitas ao serviço de Azure NetApp Files para criar recursos específicos de serviço na sub-rede. Ele usa um identificador exclusivo na implantação do serviço. Nesse caso, uma interface de rede é criada para permitir a conectividade com Azure NetApp Files.

Se você usar uma nova VNet, poderá criar uma sub-rede e delegar a sub-rede para Azure NetApp Files seguindo as instruções em Delegar uma sub-rede para Azure NetApp Files. Você também pode delegar uma sub-rede vazia existente que não esteja delegada a outros serviços.

Se a VNet estiver emparelhada com outra VNet, você não poderá expandir o espaço de endereço da VNet. Por esse motivo, a nova sub-rede delegada precisa ser criada dentro do espaço de endereço da VNet. Se você precisar estender o espaço de endereço, deverá excluir o emparelhamento VNet antes de expandir o espaço de endereço.

Importante

Verifique se o tamanho do espaço de endereço da VNet do Azure NetApp Files é maior que sua sub-rede delegada.

Por exemplo, se a sub-rede delegada for /24, o espaço de endereço da VNet que contém a sub-rede deverá ser /23 ou maior. A não conformidade com essa diretriz pode levar a problemas inesperados em alguns padrões de tráfego: o tráfego que atravessa uma topologia hub e spoke e chega ao Azure NetApp Files por meio de uma Solução de Virtualização de Rede não funciona corretamente. Além disso, essa configuração pode resultar em falhas ao criar volumes SMB e CIFS (Sistema de Arquivos de Internet Comum) se eles tentarem alcançar o DNS por meio da topologia de rede hub e spoke.

Também é recomendável que o tamanho da sub-rede delegada seja pelo menos /25 para cargas de trabalho SAP e /26 para outros cenários de carga de trabalho.

Rotas definidas pelo usuário (UDRs) e grupos de segurança de rede (NSGs)

Se a sub-rede tiver uma combinação de volumes com os recursos de redes Padrão e Básicos, as rotas definidas pelo usuário (UDRs) e os grupos de segurança de rede (NSGs) aplicados nas sub-redes delegadas, serão aplicados apenas aos volumes com os recursos de rede Padrão.

Observação

Não há suporte para a associação de NSGs no nível de interface de rede para as interfaces de rede do Azure NetApp Files.

Não há suporte para configurar UDRs nas sub-redes das VMs de origem com prefixo de endereço da sub-rede delegada e do próximo salto como NVA para volumes com os recursos de rede Básicos. Essa configuração resultará em problemas de conectividade.

Observação

Para acessar um volume do Azure NetApp Files de uma rede local por meio de um gateway de VNet (ExpressRoute ou VPN) e firewall, configure a tabela de rotas atribuída ao gateway de VNet para incluir o endereço IPv4 /32 do volume do Azure NetApp Files listado e aponte para o firewall como o próximo salto. O uso de um espaço de endereço agregado que inclui o endereço IP do volume do Azure NetApp Files não encaminhará o tráfego do Azure NetApp Files para o firewall.

Observação

Se você quiser configurar uma tabela de rotas (rota UDR) para controlar o roteamento de pacotes por uma aliança virtual de rede ou firewall destinado a um volume padrão do Azure NetApp Files de uma fonte na mesma VNet ou uma VNet emparelhada, o prefixo UDR deve ser mais específico ou igual ao tamanho da sub-rede delegada do volume do Azure NetApp Files. Se o prefixo UDR for menos específico do que o tamanho da sub-rede delegada, ele não será efetivo.

Por exemplo, se a sub-rede delegada for x.x.x.x/24, você deverá configurar o UDR para x.x.x.x/24 (igual) ou x.x.x.x/32 (mais específico). Se você configurar a rota UDR para ser x.x.x.x/16, comportamentos indefinidos, como o roteamento assimétrico, poderão causar uma queda de rede no firewall.

Ambientes nativos do Azure

O diagrama a seguir ilustra um ambiente nativo do Azure:

Diagrama que descreve a configuração do ambiente nativo do Azure.

VNet local

Um cenário básico é criar ou conectar-se a um volume de Azure NetApp Files de uma VM na mesma VNet. Para a VNet 2 no diagrama, o volume 1 é criado em uma sub-rede delegada e pode ser montado na VM 1 na sub-rede padrão.

Emparelhamento VNet

Se você tiver outras VNets na mesma região que precisam de acesso aos recursos umas das outras, as VNets podem ser conectadas usando o emparelhamento de VNet para habilitar a conectividade segura por meio da infraestrutura do Azure.

Considere VNet 2 e VNet 3 no diagrama acima. Se a VM 1 precisar se conectar à VM 2 ou ao volume 2, ou se a VM 2 precisar se conectar à VM 1 ou volume 1, você precisará habilitar o emparelhamento VNet entre VNet 2 e VNet 3.

Além disso, considere um cenário em que a VNet 1 está emparelhada com VNet 2 e a VNet 2 é emparelhada com VNet 3 na mesma região. Os recursos da VNet 1 podem se conectar a recursos na VNet 2, mas não podem se conectar a recursos na VNet 3, a menos que a VNet 1 e a VNet 3 sejam emparelhadas.

No diagrama acima, embora a VM 3 possa se conectar ao volume 1, a VM 4 não pode se conectar ao volume 2. O motivo disso é que os VNets spoke não são emparelhados e roteamento de trânsito não tem suporte por emparelhamento VNet.

Emparelhamento de VNet global ou entre regiões

O diagrama a seguir ilustra um ambiente nativo do Azure com emparelhamento entre regiões da VNet.

Diagrama que descreve a configuração do ambiente nativo do Azure com emparelhamento de VNet entre regiões.

Com recursos de rede Standard, as VMs podem se conectar a volumes em outra região por meio de emparelhamento VNet global ou entre regiões. O diagrama acima adiciona uma segunda região à configuração na seção de emparelhamento de VNet local. Para a VNet 4 neste diagrama, um volume o Azure NetApp Files é criado em uma sub-rede delegada e pode ser montado na VM5 na sub-rede do aplicativo.

No diagrama, a VM2 na Região 1 pode se conectar ao Volume 3 na Região 2. A VM5 na região 2 pode se conectar ao volume 2 na região 1 por meio de emparelhamento de VNet entre a região 1 e a região 2.

Ambientes híbridos

O diagrama a seguir ilustra um ambiente híbrido:

Diagrama que descreve o ambiente de rede híbrido.

No cenário híbrido, os aplicativos de data centers locais precisam de acesso aos recursos no Azure. Este é o caso se você deseja estender seu datacenter para o Azure ou deseja usar os serviços nativos do Azure ou para recuperação de desastres. Consulte Opções de planejamento de gateway de VPN para obter informações sobre como conectar vários recursos locais a recursos no Azure por meio de uma VPN site a site ou um ExpressRoute.

Em uma topologia de hub-spoke híbrida, a VNet do Hub no Azure atua como um ponto central de conectividade para sua rede local. Os spokes são VNets emparelhados com o Hub e podem ser usados para isolar cargas de trabalho.

Dependendo da configuração, você pode conectar recursos locais a recursos no Hub e nos spokes.

Na topologia ilustrada acima, a rede local está conectada a uma VNet de Hub no Azure e há 2 spoke VNets na mesma região emparelhada com a VNet do Hub. Nesse cenário, as opções de conectividade com suporte para volumes Azure NetApp Files são as seguintes:

  • Os recursos locais VM 1 e VM 2 podem se conectar ao volume 1 no Hub por meio de um circuito VPN site a site ou de ExpressRoute.
  • Os recursos locais VM 1 e VM 2 podem se conectar ao volume 2 ou volume 3 em um VPN site a site e um emparelhamento de VNet regional.
  • A VM 3 na VNet do Hub pode se conectar ao volume 2 na VNet 1 do spoke e no volume 3 na VNet 2 do spoke.
  • A VM 4 do spoke VNet 1 e a VM 5 da VNet 2 do spoke podem se conectar ao volume 1 na VNet do Hub.
  • A VM 4 na VNet do spoke 1 não pode se conectar ao volume 3 na VNet 2 do spoke. Além disso, a VM 5 no spoke VNet2 não pode se conectar ao volume 2 na VNet 1 do spoke. Esse é o caso porque os VNets de spoke não são emparelhados e roteamento de trânsito não tem suporte por emparelhamento VNet.
  • Na arquitetura acima, se também houver um gateway na VNet spoke, a conectividade com o volume ANF da conexão local pelo gateway no Hub será perdida. Por design, a preferência seria dada ao gateway na VNet do spoke e, portanto, somente os computadores que se conectam através desse gateway podem se conectar ao volume seja.

Próximas etapas