Este artigo descreve como fazer a transição de uma topologia de rede hub-and-spoke IPv4 para IPv6. Ele apresenta a topologia de rede hub-and-spoke como ponto de partida e descreve as etapas que você pode seguir para implementar o suporte a IPv6.
Na topologia hub-and-spoke, a rede virtual hub é um ponto central de conectividade para as redes virtuais spoke. As redes virtuais spoke se conectam ao hub e podem fornecer isolamento para recursos do aplicativo. Para obter mais informações, consulte Transição para IPv6.
Arquitetura
Baixe um Arquivo Visio dessa arquitetura.
Workflow
Internet pública e rede entre instalações: usuários ou serviços podem acessar recursos do Azure por meio da Internet pública. A rede entre instalações tem máquinas virtuais locais que se conectam com segurança à rede do Azure por meio de um gateway de VPN.
Gerenciador de Rede Virtual do Azure: esse componente é a camada de gerenciamento que supervisiona toda a infraestrutura de rede do Azure. Ele lida com o roteamento, as políticas e a integridade geral da rede virtual.
Rede virtual do hub: o hub é o ponto central da topologia de rede. A configuração de rede suporta IPv4 e IPv6 (pilha dupla).
- O Azure Bastion fornece conectividade RDP/SSH (Remote Desktop Protocol/Secure Shell) segura e contínua do portal do Azure para as máquinas virtuais diretamente sobre TLS (Transport Layer Security).
- O Firewall do Azure inspeciona e filtra o tráfego entre o hub e a Internet pública.
- O ExpressRoute conecta a rede entre locais ao hub.
- O Gateway de VPN também conecta a rede entre locais ao hub e fornece redundância.
- Os serviços na rede virtual de hub enviam logs e métricas (diagnósticos) para o Azure Monitor para monitoramento.
Redes virtuais spoke: há quatro spokes conectados ao hub. Cada spoke é uma rede de pilha dupla, com suporte a IPv4 e IPv6.
- As UDRs (rotas definidas pelo usuário) IPv6 definem rotas personalizadas para o tráfego IPv6 a partir do spoke.
- As redes virtuais spoke são conectadas por meio de conexões de emparelhamento ou grupos conectados. As conexões de emparelhamento e os grupos conectados são conexões não transitivas e de baixa latência entre redes virtuais. As redes virtuais emparelhadas ou conectadas podem trocar tráfego pelo backbone do Azure.
- Todo o tráfego de saída das redes virtuais spoke flui pelo hub, usando uma configuração no Firewall do Azure chamada túnel forçado.
- Em cada spoke, há três sub-redes designadas como sub-redes de recursos, cada uma hospedando uma máquina virtual.
- Cada máquina virtual é conectada a um balanceador de carga interno configurado para oferecer suporte a intervalos de endereços IPv4 e IPv6. O balanceador de carga distribui o tráfego de rede de entrada entre as máquinas virtuais.
Componentes
- A Rede Virtual Azure é o bloco de construção fundamental das redes privadas no Azure. A Rede Virtual permite que vários recursos do Azure, como Máquinas Virtuais do Azure, se comuniquem de forma segura entre si, com as redes entre instalações e com a Internet.
- Uma interface de rede virtual é necessária para a comunicação das máquinas virtuais. Você pode configurar máquinas virtuais e outros recursos para ter várias interfaces de rede, o que permite criar configurações de pilha dupla (IPv4 e IPv6).
- Um endereço IP público é usado para conectividade IPv4 e IPv6 de entrada com recursos do Azure.
- O Virtual Network Manager é usado para criar e gerenciar grupos de rede e suas conexões.
- O Firewall do Azure é um serviço de segurança de rede gerenciado e baseado na nuvem. Ele protege seus recursos da Rede Virtual do Azure. Uma instância de firewall gerenciada do Firewall do Azure está em sua própria sub-rede.
- O Gateway de VPN do Azure ou o Azure ExpressRoute pode ser usado para criar um gateway de rede virtual para conectar uma rede virtual a um dispositivo de VPN (rede virtual privada) ou a um circuito do ExpressRoute. O gateway fornece conectividade de rede entre locais.
- O Balanceador de Carga do Azure é usado para habilitar vários computadores que têm a mesma finalidade para compartilhar tráfego. Nessa arquitetura, os balanceadores de carga distribuem o tráfego entre várias sub-redes que oferecem suporte a IPv6.
- Uma tabela de rotas no Azure é um conjunto de UDRs que fornecem definições de caminho personalizadas para o tráfego de rede.
- As Máquinas Virtuais do Azure são uma solução de computação IaaS (infraestrutura como serviço) que oferece suporte a IPv6.
- O Azure Bastion é uma oferta de PaaS (plataforma como serviço) totalmente gerenciada que a Microsoft fornece e mantém. Ele fornece protocolo de RDP seguro e contínuo e acesso SSH a máquinas virtuais sem exposição do endereço IP público.
- O Azure Monitor é uma abrangente solução de monitoramento para coletar, analisar e responder à dados de monitoramento dos seus ambientes de nuvem e no local. Você pode usar o Monitor para maximizar a disponibilidade e o desempenho de seus aplicativos e serviços.
Fazer a transição de uma rede virtual de hub para IPv6
Para fazer a transição de uma rede virtual de hub para oferecer suporte a IPv6, você deve atualizar a infraestrutura de rede para acomodar intervalos de endereços IPv6, para que a parte central e controladora da rede possa lidar com o tráfego IPv6. Essa abordagem garante que o hub central possa rotear e gerenciar com eficiência o tráfego entre vários segmentos de rede (spokes) usando IPv6. Para implementar o IPv6 na rede virtual do hub, siga estas etapas:
Adicionar espaço de endereço IPv6 à rede virtual hub e às sub-redes hub.
Você precisa adicionar intervalos de endereços IPv6 à rede virtual do hub primeiro e, em seguida, às suas sub-redes. Use o bloco de endereços /56 para a rede virtual e o bloco de endereços /64 para cada sub-rede. A tabela a seguir mostra um exemplo de configuração.
Intervalo de endereços de rede virtual hub | Intervalo de endereços da sub-rede hub |
---|---|
Rede virtual de hub: 2001:db8:1234:0000::/56 |
Sub-rede do Azure Bastion: 2001:db8:1234:0000::/64 Sub-rede do Firewall do Azure: 2001:db8:1234:0001::/64 Sub-rede do Gateway de VPN: 2001:db8:1234:0002::/64 Sub-rede do ExpressRoute: 2001:db8:1234:0003::/64 |
Esses endereços IPv6 são exemplos. Você deve substituir 2001:db8:1234::
pelo bloco de endereços IPv6 da sua organização. Planeje e documente cuidadosamente suas alocações de endereços IPv6 para evitar sobreposições e garantir o uso eficiente do espaço de endereço. Para adicionar o espaço de endereço IPv6 à rede virtual hub, você pode usar o portal do Azure, o PowerShell ou a CLI do Azure.
Configurar UDRs (rotas definidas pelo usuário) para cada sub-rede hub
UDRs são rotas que você configura manualmente para substituir as rotas padrão do sistema do Azure. No Azure, os UDRs são essenciais para controlar o fluxo de tráfego de rede em uma rede virtual. Você pode usar UDRs para direcionar o tráfego de uma sub-rede para dispositivos, gateways ou destinos específicos no Azure ou para redes locais. Ao adicionar suporte a IPv6 à rede virtual do hub, você precisa:
- Adicionar rotas IPv6. Se houver uma tabela de rotas estabelecida, adicione novas rotas que especifiquem os prefixos de endereço IPv6.
- Modificar rotas existentes. Se já houver rotas para IPv4, talvez seja necessário modificá-las para garantir que elas também se apliquem ao tráfego IPv6 ou criar rotas específicas para IPv6 separadas.
- Associar a tabela de rotas a sub-redes. Depois de definir as rotas, associar a tabela de rotas às sub-redes relevantes dentro da rede virtual. Essa associação determina quais sub-redes usam as rotas que você definiu.
Você não precisa adicionar uma rota para cada recurso, mas precisa de uma rota para cada sub-rede. Cada sub-rede pode ter vários recursos e todos eles seguem as regras definidas na tabela de rotas associada à sua sub-rede. Para saber mais, consulte Visão geral das rotas definidas pelo usuário.
Para a arquitetura de exemplo, a rede virtual de hub tem quatro sub-redes: Azure Bastion, Firewall do Azure, Gateway de VPN e ExpressRoute. A tabela a seguir mostra UDRs de exemplo para cada sub-rede.
Sub-rede hub | Descrição | Intervalo de endereços IPv6 | Nome da rota | Destino | Próximo salto |
---|---|---|---|---|---|
Azure Bastion | Rota para o firewall | 2001:db8:1234:0000::/64 |
Rota da Internet | ::/0 |
2001:db8:1234:0001::/64 (Firewall do Azure) |
Firewall do Azure | Rota padrão | 2001:db8:1234:0001::/64 |
Rota da Internet | ::/0 |
Gateway de Internet |
Gateway de VPN | Rota local | 2001:db8:1234:0002::/64 |
Rota local | 2001:db8:abcd::/56 |
Gateway de VPN |
ExpressRoute | Rota local | 2001:db8:1234:0003::/64 |
Rota local | 2001:db8:efgh::/56 |
ExpressRoute |
Ao configurar seus UDRs, você deve alinhá-los com suas políticas de rede organizacional e a arquitetura de sua implantação do Azure.
Modificar o circuito de ExpressRoute (se aplicável)
Para fornecer suporte a IPv6 ao circuito do ExpressRoute, você precisa:
- Habilitar o emparelhamento privado IPv6. Habilitar o emparelhamento privado IPv6 para o circuito do ExpressRoute. Essa configuração habilita o tráfego IPv6 entre sua rede local e a rede virtual de hub.
- Alocar espaço de endereço IPv6. Fornecer sub-redes IPv6 para os links primários e secundários do ExpressRoute.
- Atualizar tabelas de rotas:. Direcione o tráfego IPv6 adequadamente por meio do circuito do ExpressRoute.
Essas configurações estendem a conectividade IPv6 aos seus serviços do Azure por meio de um circuito do ExpressRoute, para que você possa rotear recursos de pilha dupla simultaneamente. Para modificar o ExpressRoute, você pode usar o portal do Azure, o PowerShell ou a CLI do Azure.
Transição de redes virtuais spoke para IPv6
As redes virtuais spoke são conectadas ao hub central. Quando você fornece as redes virtuais spoke com suporte a IPv6, cada rede spoke pode se comunicar por meio do protocolo IPv6 mais avançado e isso estende a uniformidade em toda a rede. Para fornecer suporte a IPv6 às redes virtuais spoke, siga estas etapas:
Adicionar espaço de endereço IPv6 às redes virtuais spoke e às sub-redes spoke
Como a rede virtual de hub, você deve adicionar intervalos de endereços IPv6 a cada rede virtual spoke e, em seguida, suas sub-redes. Usar o bloco de endereços /56 para redes virtuais e o bloco de endereços /64 para as sub-redes. A tabela a seguir fornece um exemplo de intervalos de endereços IPv6 para redes virtuais spoke e suas sub-redes.
Intervalo de endereços de rede virtual spoke | Intervalo de endereços de sub-rede spoke |
---|---|
Rede virtual spoke 1: 2001:db8:1234:0100::/56 |
Sub-rede 1: 2001:db8:1234:0100::/64 Sub-rede 2: 2001:db8:1234:0101::/64 Sub-rede 3: 2001:db8:1234:0102::/64 |
Rede virtual spoke 2: 2001:db8:1234:0200::/56 |
Sub-rede 1: 2001:db8:1234:0200::/64 Sub-rede 2: 2001:db8:1234:0201::/64 Sub-rede 3: 2001:db8:1234:0202::/64 |
Rede virtual spoke 3: 2001:db8:1234:0300::/56 |
Sub-rede 1: 2001:db8:1234:0300::/64 Sub-rede 2: 2001:db8:1234:0301::/64 Sub-rede 3: 2001:db8:1234:0302::/64 |
Rede virtual spoke 4: 2001:db8:1234:0400::/56 |
Sub-rede 1: 2001:db8:1234:0400::/64 Sub-rede 2: 2001:db8:1234:0401::/64 Sub-rede 3: 2001:db8:1234:0402::/64 |
Para sua configuração, ajuste os endereços IPv6 de acordo com a alocação e as necessidades da sua organização.
Modificar recursos de rede virtual spoke
Cada rede virtual spoke contém várias máquinas virtuais e um balanceador de carga interno. O balanceador de carga interno permite rotear o tráfego IPv4 e IPv6 para as máquinas virtuais. Você deve modificar as máquinas virtuais e os balanceadores de carga internos para que eles ofereçam suporte a IPv6.
Para cada máquina virtual, você deve criar uma interface de rede IPv6 e associá-la à máquina virtual para adicionar suporte a IPv6. Para obter mais informações, consulte Adicionar configuração de IPv6 a uma máquina virtual.
Se não houver um balanceador de carga interno em cada rede virtual spoke, você deverá criar um balanceador de carga interno de pilha dupla. Para obter mais informações, consulte Criar um balanceador de carga interno de pilha dupla. Se houver um balanceador de carga interno, você poderá usar o PowerShell ou a CLI do Azure para adicionar suporte a IPv6.
Configurar rotas definidas pelo usuário (UDRs) para cada sub-rede spoke
Para configurar UDRs, as redes virtuais spoke usam a mesma configuração que as redes virtuais hub. Ao adicionar suporte a IPv6 a uma rede virtual spoke, você precisa de:
Adicionar rotas IPv6. Se houver uma tabela de rotas estabelecida, adicione novas rotas que especifiquem os prefixos de endereço IPv6.
Modificar rotas existentes. Se já houver rotas para IPv4, talvez seja necessário modificá-las para garantir que elas também se apliquem ao tráfego IPv6 ou criar rotas específicas para IPv6 separadas.
Associar a tabela de rotas a sub-redes. Depois de definir as rotas, associar a tabela de rotas às sub-redes relevantes dentro da rede virtual. Essa associação determina quais sub-redes usam as rotas que você definiu.
A tabela a seguir mostra UDRs de exemplo para cada sub-rede em uma rede virtual de spoke.
Sub-rede spoke | Descrição | Intervalo de endereços IPv6 | Nome da rota | Destino | Próximo salto |
---|---|---|---|---|---|
Sub-rede 1 | Rota para o firewall | 2001:db8:1234:0100::/64 |
Rota da Internet | ::/0 |
2001:db8:1234:0001::/64 (Firewall do Azure) |
Sub-rede 2 | Rota para o Gateway de VPN | 2001:db8:1234:0101::/64 |
Rota VPN | 2001:db8:abcd::/64 |
2001:db8:1234:0002::/64 (Gateway de VPN) |
Sub-rede 3 | Rota para ExpressRoute | 2001:db8:1234:0102::/64 |
Rota do ExpressRoute | 2001:db8:5678::/64 |
2001:db8:1234:0003::/64 (ExpressRoute) |
Para sua configuração, você deve alinhar os UDRs com suas políticas de rede organizacional e a arquitetura de sua implantação do Azure.
Colaboradores
A Microsoft mantém este artigo. Os colaboradores a seguir escreveram originalmente o artigo.
Autor principal:
- Werner Rall | Engenheiro Arquiteto de Soluções em Nuvem Sênior
Outros colaboradores:
- Sherri Babylon | Gerente de Programa Técnico Sênior
- Dawn Bedard | Gerente de Programa Técnico Principal
- Brandon Stephenson | Engenheiro de Clientes Sênior
Para ver perfis não públicos no LinkedIn, entre no LinkedIn.
Próximas etapas
- Criar uma máquina virtual com uma rede IPv6 de pilha dupla
- Gerenciar intervalos de endereços IP
- Cloud Adoption Framework: planejar o endereçamento IP
- IPv6 para Rede Virtual do Azure
- Adicionar suporte a IPv6 via ExpressRoute
- Suporte a IPv6 do DNS do Azure
- IPv6 para Azure Load Balancer
- Adicionar suporte a IPv6 para emparelhamento privado usando o portal do Azure