Topologia de rede hub-spoke no Azure

Essa arquitetura de referência implementa um padrão de rede hub-spoke com componentes de infraestrutura de hub gerenciados pelo cliente. Para obter uma solução de infraestrutura de hub gerenciada pela Microsoft, consulte Topologia de rede Hub-spoke com a WAN Virtual do Azure.

O Hub-Spoke é uma das topologias de rede recomendadas pelo Cloud Adoption Framework. Veja Definir uma topologia de rede do Azure para entender por que essa topologia é considerada uma prática recomendada para muitas organizações.

Arquitetura

Baixe um Arquivo Visio dessa arquitetura.

Conceitos de hub-spoke

As topologias de rede hub-spoke normalmente incluem muitos dos seguintes conceitos arquitetônicos:

• de rede virtual do Hub – a rede virtual do hub hospeda serviços compartilhados do Azure. As cargas de trabalho hospedadas nas redes virtuais spoke podem usar esses serviços. A rede virtual de hub é o ponto central da conectividade entre redes locais. O hub contém seu ponto principal de saída e fornece um mecanismo para conectar um spoke a outro em situações em que o tráfego entre redes virtuais é necessário.

  Um hub é um recurso regional. As organizações que têm suas cargas de trabalho em várias regiões deverão ter vários hubs, um por região.

  O hub habilita os seguintes conceitos:

  • de gateway entre instalações – a conectividade entre instalações é a capacidade de se conectar e integrar diferentes ambientes de rede uns aos outros. Esse gateway geralmente é uma VPN ou um circuito do ExpressRoute.

  • controle de saída – o gerenciamento e a regulamentação do tráfego de saída que se origina nas redes virtuais spoke emparelhadas.

  • (opcional) controle de entrada – o gerenciamento e a regulamentação do tráfego de entrada para pontos de extremidade que existem em redes virtuais spoke emparelhadas.

  • Acesso remoto – Acesso remoto é como cargas de trabalho individuais em redes spoke são acessadas do local da rede diferente da própria rede do spoke. Isso pode ser para os dados ou o plano de controle da carga de trabalho.

  • acesso de spoke remoto para máquinas virtuais – o hub pode ser um local conveniente para criar uma solução de conectividade remota entre organizações para acesso RDP e SSH a máquinas virtuais distribuídas em redes spoke.

  • Roteamento – Gerencia e direciona o tráfego entre o hub e os spokes conectados para habilitar a comunicação segura e eficiente.

• redes virtuais Spoke – redes virtuais spoke isolam e gerenciam cargas de trabalho separadamente em cada spoke. Cada carga de trabalho é capaz de incluir várias camadas, com várias sub-redes conectadas por meio de balanceadores de carga do Azure. Os spokes podem existir em assinaturas diferentes e representar ambientes diferentes, como produção e não produção. Uma carga de trabalho pode até se espalhar por vários spokes.

  Na maioria dos cenários, um spoke só deve ser emparelhado com uma única rede de hub e essa rede de hub deve estar na mesma região que o spoke.

  Essas redes spoke seguem as regras para acesso de saída padrão. Uma das principais finalidades dessa topologia de rede hub-spoke é direcionar geralmente o tráfego da Internet de saída por meio dos mecanismos de controle oferecidos pelo hub.

• rede virtual de conectividade cruzada – A conectividade de rede virtual é o caminho no qual uma rede virtual isolada pode se comunicar com outra por meio de um mecanismo de controle. O mecanismo de controle impõe permissões e a direção permitida de comunicações entre redes. Um hub fornecerá uma opção para dar suporte a conexões entre redes selecionadas para fluir pela rede centralizada.

• DNS – as soluções hub-spoke geralmente são responsáveis por fornecer uma solução DNS a ser usada por todos os spokes emparelhados, especialmente para roteamento entre locais e para registros DNS de ponto de extremidade privado.

Componentes

• A Rede Virtual Azure é o bloco de construção fundamental das redes privadas no Azure. A rede virtual permite que vários recursos do Azure, como as Máquinas Virtuais do Azure, se comuniquem de maneira segura entre si, entre redes locais e com a Internet.

  Essa arquitetura conecta redes virtuais ao hub usando conexões de emparelhamento que são conexões não transitivas e de baixa latência entre redes virtuais. As redes virtuais emparelhadas podem trocar o tráfego pelo backbone do Azure sem precisar de um roteador. Em uma arquitetura hub-spoke, o emparelhamento direto de redes virtuais entre si é mínimo e reservado para cenários de casos especiais.

• O Azure Bastion é um serviço totalmente gerenciado que fornece acesso contínuo e mais seguro usando o protocolo RDP ou SSH às VMs sem expor seus endereços IP públicos. Nessa arquitetura, o Azure Bastion é usado como uma oferta gerenciada para dar suporte ao acesso direto à VM entre spokes conectados.

• O Firewall do Azure é um serviço de segurança de rede gerenciado e baseado em nuvem que protege seus recursos da rede virtual. Esse serviço de firewall com estado tem alta disponibilidade interna e escalabilidade irrestrita na nuvem para ajudá-lo a criar, aplicar e registrar políticas de conectividade de aplicativos e redes em assinaturas e redes virtuais.

  Nessa arquitetura, o Firewall do Azure tem várias funções potenciais. O firewall é o principal ponto de saída para o tráfego destinado à Internet das redes virtuais spoke emparelhadas. O firewall também pode ser usado para inspecionar o tráfego de entrada usando regras IDPS. Por fim, o Firewall também pode ser usado como um servidor proxy DNS para dar suporte a regras de tráfego FQDN.

• gateway de VPN é um tipo específico de gateway de rede virtual que envia tráfego criptografado entre uma rede virtual no Azure e uma rede diferente pela Internet pública. Você também pode usar o Gateway de VPN para enviar tráfego criptografado entre outras redes virtuais de hubs pela rede da Microsoft.

  Nessa arquitetura, essa seria uma opção para conectar alguns ou todos os spokes à rede remota. Os Spokes normalmente não implantariam seu próprio Gateway de VPN e, em vez disso, usariam a solução centralizada oferecida pelo hub. Você precisa estabelecer a configuração de roteamento para gerenciar essa conectividade.

• gateway do Azure ExpressRoute troca rotas IP e roteia o tráfego de rede entre sua rede local e sua rede virtual do Azure. Nessa arquitetura, o ExpressRoute seria uma opção alternativa a um Gateway de VPN para conectar alguns ou todos os spokes a uma rede remota. Os Spokes não implantariam seu próprio ExpressRoute e, em vez disso, esses spokes usariam a solução centralizada oferecida pelo hub. Assim como acontece com um Gateway de VPN, você precisa estabelecer a configuração de roteamento para gerenciar essa conectividade.

• O Azure Monitor pode coletar, analisar e agir sobre dados de telemetria entre ambientes locais, incluindo o Azure e local. O Azure Monitor ajuda você a maximizar o desempenho e a disponibilidade dos aplicativos e a identificar problemas proativamente em segundos. Nessa arquitetura, o Azure Monitor é o coletor de logs e métricas dos recursos do hub e das métricas de rede. O Azure Monitor também pode ser usado como um coletor de log para recursos em redes spoke, mas essa é uma decisão para as várias cargas de trabalho conectadas e não é exigida por essa arquitetura.

Alternativas

Essa arquitetura envolve a criação, a configuração e a manutenção de vários primitivos de recursos do Azure, ou seja: virtualNetworkPeerings, routeTablese subnets. o Azure Virtual Network Manager é um serviço de gerenciamento que ajuda você a agrupar, configurar, implantar e gerenciar redes virtuais em escala entre assinaturas, regiões e diretórios do Microsoft Entra do Azure. Com o Virtual Network Manager, você pode definir grupos de rede para identificar e segmentar logicamente suas redes virtuais. Você pode usar grupos conectados que permitem que redes virtuais em um grupo se comuniquem entre si como se estivessem conectadas manualmente. Essa camada adiciona uma camada de abstração sobre esses primitivos para se concentrar em descrever a topologia de rede versus trabalhar sobre a implementação dessa topologia.

É recomendável que você avalie o uso do Virtual Network Manager como uma forma de otimizar o tempo gasto com operações de gerenciamento de rede. Avalie o custo do serviço em relação ao seu valor calculado/economia para determinar se o Virtual Network Manger é um benefício líquido para o tamanho e a complexidade da rede.

Detalhes do cenário

Essa arquitetura de referência implementa um padrão de rede hub-spoke onde a rede virtual hub atua como um ponto central de conectividade com muitas redes virtuais spoke. As redes virtuais spoke são conectadas com o hub e podem ser usadas para isolar cargas de trabalho. Você também pode habilitar cenários entre locais usando o hub para se conectar a redes locais.

Essa arquitetura descreve um padrão de rede com componentes de infraestrutura de hub gerenciados pelo cliente. Para obter uma solução de infraestrutura de hub gerenciada pela Microsoft, consulte Topologia de rede Hub-spoke com a WAN Virtual do Azure.

Os benefícios de usar um hub gerenciado pelo cliente e a configuração de spoke incluem:

• Economia de custos
• Superar os limites de assinatura
• Isolamento de carga de trabalho
• Flexibilidade
  • Mais controle sobre como os NVAs (dispositivos virtuais de rede) são implantados, como número de NICs, número de instâncias ou o tamanho da computação.
  • Uso de NVAs que não têm suporte na WAN Virtual

Para obter mais informações, confira Topologia de rede hub-and-spoke.

Possíveis casos de uso

Usos típicos para uma arquitetura de hub e spoke incluem cargas de trabalho que:

• Possuem vários ambientes que exigem serviços compartilhados. Por exemplo, uma carga de trabalho pode ter ambientes de desenvolvimento, teste e produção. Os serviços compartilhados podem incluir IDs DNS, protocolo NTP ou Serviços de Domínio do Active Directory (AD DS). Os serviços compartilhados são colocados na rede virtual do hub e cada ambiente é implantado em um spoke diferente para manter o isolamento.
• Não exigem conectividade entre si, mas precisam de acesso aos serviços compartilhados.
• Exigem controle central sobre a segurança, como um firewall de rede de perímetro (também conhecido como DMZ) no hub com gerenciamento de carga de trabalho segregado em cada spoke.
• Exigem controle central sobre a conectividade, como conectividade seletiva ou isolamento entre spokes de determinados ambientes ou cargas de trabalho.

Recomendações

As recomendações a seguir aplicam-se à maioria dos cenários. Siga estas recomendações, a menos que você tenha um requisito específico que as substitua.

Grupos, assinaturas e regiões de recursos

Esta solução de exemplo usa um único grupo de recursos do Azure. Você também pode implementar o hub e cada spoke em assinaturas ou grupos de recursos diferentes.

Ao usar redes virtuais emparelhadas em diferentes assinaturas, você pode associar as assinaturas aos mesmos ou a diferentes locatários do Microsoft Entra. Essa flexibilidade possibilita o gerenciamento descentralizado de cada carga de trabalho, mantendo os serviços compartilhados no hub. Consulte Criar um emparelhamento de rede virtual: Resource Manager, diferentes assinaturas e locatários do Microsoft Entra.

Zonas de destino do Azure

O arquitetura da zona de destino do Azure é baseado na topologia hub-spoke. Nessa arquitetura, os recursos compartilhados e a rede do hub são gerenciados por uma equipe de plataforma centralizada, enquanto os spokes compartilham um modelo de coproprieção com a equipe de plataforma e a equipe de carga de trabalho que está usando a rede spoke. Todos os hubs residem em uma assinatura "Conectividade" para gerenciamento centralizado, enquanto as redes virtuais spoke existem em muitas assinaturas de carga de trabalho individuais, chamadas de assinaturas de zona de destino do aplicativo.

Sub-redes da rede virtual

As recomendações a seguir descrevem como configurar as sub-redes na rede virtual.

GatewaySubnet

O gateway de rede virtual requer essa sub-rede. Você também pode usar uma topologia hub-spoke sem um gateway se você não precisar de conectividade entre redes locais.

Criar uma sub-rede chamada gatewaySubnet com um intervalo de endereços de pelo menos 26. O intervalo de endereços /26 fornece à sub-rede opções de configuração de escalabilidade suficientes para evitar atingir as limitações de tamanho do gateway no futuro e acomodar um número maior de circuitos do ExpressRoute. Para obter mais informações sobre como configurar o gateway, consulte Rede híbrida usando um gateway de VPN.

AzureFirewallSubnet

Crie uma sub-rede chamada AzureFirewallSubnet com um intervalo de endereços de pelo menos /26. Independentemente da escala, o intervalo de endereços /26 é o tamanho recomendado e cobre quaisquer limitações de tamanho futuras. Essa sub-rede não oferece suporte a NSGs (grupos de segurança de rede).

O Firewall do Azure requer essa sub-rede. Se você usar um dispositivo virtual de rede de parceiro (NVA), siga os seus requisitos de rede.

Conectividade de rede spoke

Emparelhamento de rede virtual ou grupos conectados são relações não transitivas entre redes virtuais. Se você precisar que redes virtuais spoke se conectem umas às outras, adicione uma conexão de emparelhamento entre esses spokes ou coloque-os no mesmo grupo de rede.

Conexões spoke por meio do Firewall do Azure ou NVA

O número de emparelhamentos de rede virtual por rede virtual é limitado. Se você tiver muitos spokes que precisam se conectar uns com os outros, você pode ficar sem conexões de emparelhamento. Grupos conectados também têm limitações. Para obter mais informações, confira Limites de rede e Limites de grupos conectados.

Nesse cenário, considere usar UDRs (rotas definidas pelo usuário) para forçar o tráfego de spoke a ser enviado para o Firewall do Azure ou outra NVA que atua como um roteador no hub. Essa mudança permite que os spokes se conectem entre si. Para dar suporte a essa configuração, você deve implementar o Firewall do Azure com a configuração de túnel forçado habilitada. Para obter mais informações, confira Túnel forçado do Firewall do Azure.

A topologia neste projeto arquitetônico facilita os fluxos de saída. Embora o Firewall do Azure seja principalmente para segurança de saída, ele também pode ser um ponto de entrada. Para obter mais considerações sobre o roteamento de entrada NVA de hub, consulte Firewall e Gateway de Aplicativo para redes virtuais.

Conexões spoke para redes remotas por meio de um gateway de hub

Para configurar spokes para se comunicarem com redes remotas por meio de um gateway de hub, você pode usar emparelhamentos de rede virtual ou grupos de rede conectados.

Para usar emparelhamentos de rede virtual, na configuração Emparelhamento de rede virtual:

• Configurar a conexão de emparelhamento no hub para Permitir trânsito de gateway.
• Configure a conexão de emparelhamento em cada spoke para Usar o gateway remoto da rede virtual.
• Configurar todas as conexões de emparelhamento para permitir tráfego encaminhado.

Para obter mais informações, consulte Criar um emparelhamento de rede virtual.

Para usar grupos de rede conectados:

1. No Gerenciador de rede virtual, crie um grupo de rede e adicione redes virtuais membros.
2. Criar uma configuração de conectividade de hub e spoke.
3. Para os grupos de rede Spoke, selecione Hub como gateway.

Para obter mais informações, consulte Criar uma topologia hub e spoke com o Gerenciador de rede virtual do Azure.

Comunicações de rede spoke

Existem duas maneiras principais de permitir que as redes virtuais spoke se comuniquem entre si:

• Comunicação através de um NVA como um firewall e roteador. Este método incorre em um salto entre os dois spokes.
• Comunicação usando emparelhamento de rede virtual ou conectividade direta do Gerenciador de rede virtual entre spokes. Essa abordagem não causa um salto entre os dois spokes e é recomendada para minimizar a latência.
• O Link Privado pode ser usado para expor seletivamente recursos individuais a outras redes virtuais. Por exemplo, expor um balanceador de carga interno a uma rede virtual diferente, sem a necessidade de formar ou manter relações de emparelhamento ou roteamento.

Para obter mais informações sobre padrões de rede spoke-to-spoke, consulte de rede spoke-to-spoke .

Comunicação através de um NVA

Se você precisar de conectividade entre spokes, considere implantar o Firewall do Azure ou outro NVA no hub. Em seguida, crie rotas para encaminhar o tráfego de um spoke para o firewall ou NVA, que pode então rotear para o segundo spoke. Nesse cenário, você precisa configurar todas as conexões de emparelhamento para permitir tráfego encaminhado.

Você também pode usar um gateway de VPN para rotear o tráfego entre spokes, embora essa escolha afete a latência e a taxa de transferência. Para detalhes sobre a configuração, consulte Configurar o trânsito de gateway de VPN para o emparelhamento de rede virtual.

Avalie os serviços compartilhados no hub para garantir que ele seja dimensionado para um número maior de spokes. Por exemplo, se o seu hub fornecer serviços de firewall, considere os limites de largura de banda da sua solução de firewall ao adicionar vários spokes. Você pode mover alguns desses serviços compartilhados para um segundo nível de hubs.

Comunicação direta entre redes spoke

Para se conectar diretamente entre redes virtuais spoke sem atravessar a rede virtual de hub, você pode criar conexões de emparelhamento entre spokes ou habilitar a conectividade direta para o grupo de rede. É melhor limitar o emparelhamento ou a conectividade direta a redes virtuais spoke que fazem parte do mesmo ambiente e carga de trabalho.

Ao usar o Gerenciador de rede virtual, você pode adicionar redes virtuais spoke a grupos de rede manualmente ou adicionar redes automaticamente com base nas condições definidas.

O diagrama a seguir ilustra o uso do Gerenciador de rede virtual para conectividade direta entre spokes.

Considerações

Estas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios de orientação que podem ser usados para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.

Fiabilidade

A confiabilidade garante que seu aplicativo possa atender aos compromissos que você faz aos seus clientes. Para obter mais informações, consulte Visão geral do pilar de confiabilidade.

Use zonas de disponibilidade para serviços do Azure no hub que dão suporte a eles.

Como regra geral, é melhor ter pelo menos um hub por região e conectar apenas spokes a esses hubs da mesma região. Essa configuração ajuda as regiões bulkhead a evitar uma falha no hub de uma região, causando falhas generalizadas de roteamento de rede em regiões não relacionadas.

Para maior disponibilidade, você pode usar o ExpressRoute e uma VPN para failover. Consulte Conectar uma rede local ao Azure usando o ExpressRoute com de failover de VPN e siga as diretrizes para design e arquitetar o Azure ExpressRoute parade resiliência.

Devido à forma como o Firewall do Azure implementa regras de aplicativo FQDN, verifique se todos os recursos que estão sendo colocados por meio do firewall estão usando o mesmo provedor DNS que o próprio firewall. Sem isso, o Firewall do Azure pode bloquear o tráfego legítimo porque a resolução de IP do firewall do FQDN difere da resolução DE IP do criador de tráfego do mesmo FQDN. Incorporar o proxy do Firewall do Azure como parte da resolução de DNS spoke é uma solução para garantir que os FQDNs estejam em sincronia com o originador de tráfego e o Firewall do Azure.

Segurança

A segurança fornece garantias contra ataques deliberados e o abuso de seus dados e sistemas valiosos. Para obter mais informações, consulte Lista de verificação de revisão de design parade segurança.

Para proteger contra ataques DDoS, habilite proteção contra DDOS do Azure em qualquer rede virtual de perímetro. Qualquer recurso que tenha um IP público é suscetível a um ataque DDoS. Mesmo que suas cargas de trabalho não sejam expostas publicamente, você ainda tem IPs públicos que precisam ser protegidos, como:

• IPs públicos do Firewall do Azure
• IPs públicos do gateway de VPN
• IP público do painel de controle do ExpressRoute

Para minimizar o risco de acesso não autorizado e impor políticas de segurança estritas, sempre defina regras de negação explícitas em NSGs (grupos de segurança de rede).

Use a versão do Firewall do Azure Premium para habilitar a inspeção do TLS, o IDPS (sistema de detecção e prevenção de intrusões de rede) e a filtragem de URL.

Segurança do Virtual Network Manager

Para garantir um conjunto de regras de segurança de linha de base, associe as regras de administração de segurança a redes virtuais em grupos de rede. As regras de administração de segurança têm precedência e são avaliadas antes das regras NSG. Assim como as regras NSG, as regras de administração de segurança oferecem suporte à priorização, às marcas de serviço e aos protocolos L3-L4. Para obter mais informações, consulte Regras de administração de segurança no Gerenciador de rede virtual.

Use implantações do Gerenciador de rede virtual para facilitar a implantação controlada de alterações potencialmente com falha a regras de segurança do grupo de rede.

Otimização de custos

A Otimização de Custos é sobre maneiras de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Lista de verificação de revisão de design parade Otimização de Custos.

Considere os fatores relacionados a custo a seguir ao implantar e gerenciar redes hub e spoke. Para saber mais, confira Preços de rede virtual.

Custos do Firewall do Azure

Essa arquitetura implanta uma instância do Firewall do Azure na rede hub. Usar uma implantação do Firewall do Azure como uma solução compartilhada consumida por várias cargas de trabalho pode economizar significativamente os custos de nuvem em comparação com outros NVAs. Para obter mais informações, confira Firewall do Azure vs. dispositivos de rede virtual.

Para usar todos os recursos implantados com eficiência, escolha o tamanho correto para o Firewall do Azure. Decida quais recursos você precisa e qual camada melhor se adapta ao seu conjunto atual de cargas de trabalho. Para saber mais sobre os SKUs do Firewall do Azure disponíveis, confira O que é o Firewall do Azure?.

Emparelhamento direto

O uso seletivo de emparelhamento direto ou outra comunicação roteada não hub entre spokes pode evitar o custo do processamento do Firewall do Azure. A economia pode ser significativa para redes que têm cargas de trabalho com alta taxa de transferência, comunicação de baixo risco entre spokes, como sincronização de banco de dados ou operações de cópia de arquivos grandes.

Excelência Operacional

A Excelência Operacional abrange os processos de operações que implantam um aplicativo e o mantêm em execução em produção. Para obter mais informações, consulte Lista de verificação de revisão de design parade Excelência Operacional.

Habilite as configurações de diagnóstico para todos os serviços, como o Azure Bastion, o Firewall do Azure e o gateway de pré-inicialidade cruzada. Determine quais configurações são significativas para suas operações. Desative as configurações que não são significativas para evitar custos indevidos. Recursos como o Firewall do Azure podem ser detalhados com o registro em log e você pode incorrer em altos custos de monitoramento.

Use monitor de conexão para monitoramento de ponta a ponta para detectar anomalias e identificar e solucionar problemas de rede.

Use do Observador de Rede do Azure para monitorar e solucionar problemas de componentes de rede, incluindo o uso análise de tráfego para mostrar os sistemas em suas redes virtuais que geram mais tráfego. Você pode identificar visualmente gargalos antes que eles se tornem problemas.

Se você estiver usando o ExpressRoute, use Coletor de Tráfego do ExpressRoute em que você pode analisar os logs de fluxo para os fluxos de rede enviados pelos circuitos do ExpressRoute. O Coletor de Tráfego do ExpressRoute oferece visibilidade do tráfego que flui sobre os roteadores de borda empresarial da Microsoft.

Use regras baseadas em FQDN no Firewall do Azure para protocolos diferentes de HTTP ou ao configurar o SQL Server. O uso de FQDNs reduz a carga de gerenciamento sobre o gerenciamento de endereços IP individuais.

Planeje o endereçamento IP com base em seus requisitos de emparelhamento e verifique se o espaço do endereço não se sobrepõe entre lugares locais e locais do Azure.

Automação com o Gerenciador de Rede Virtual do Azure

Para gerenciar centralmente controles de conectividade e segurança, use do Gerenciador de Rede Virtual do Azure para criar topologias de rede virtual hub e spoke ou integrar topologias existentes. Usar o Gerenciador de rede virtual garante que as suas topologias de rede hub e spoke estejam preparadas para o crescimento futuro em grande escala em várias assinaturas, grupos de gerenciamento e regiões.

Exemplos de cenários de caso de uso do Gerenciador de rede virtual incluem:

• Democratização do gerenciamento de rede virtual spoke para grupos, como unidades de negócios ou equipes de aplicativos. A democratização pode resultar em um grande número de requisitos de conectividade de rede virtual para rede virtual e regras de segurança de rede.
• Padronização de várias arquiteturas de réplica em várias regiões do Azure para garantir um volume global para aplicativos.

Para garantir regras uniformes de conectividade e segurança de rede, você pode usar grupos de rede para agrupar redes virtuais em qualquer assinatura, grupo de gerenciamento ou região sob o mesmo locatário do Microsoft Entra. Você pode integrar redes virtuais automaticamente ou manualmente aos grupos de rede por meio de atribuições de associações dinâmicas ou estáticas.

Você define a capacidade de descoberta das redes virtuais que o Gerenciador de rede virtual gerencia usando Escopos. Esse recurso fornece flexibilidade para um número desejado de instâncias do gerenciador de rede, o que permite uma maior democratização do gerenciamento para grupos de rede virtual.

Para conectar redes virtuais spoke no mesmo grupo de rede entre si, use o Gerenciador de rede virtual para implementar o emparelhamento de rede virtual ou a conectividade direta. Use a opção malha global para estender a conectividade direta de malha para redes spoke em diferentes regiões. O diagrama a seguir mostra a conectividade de malha global entre regiões.

Você pode associar redes virtuais dentro de um grupo de rede a um conjunto de regras de administração de segurança de linha de base. As regras de administração de segurança de grupo de rede impedem que os proprietários de redes virtuais substituam as regras de segurança de linha de base, ao mesmo tempo em que permitem adicionar independentemente seus próprios conjuntos de regras de segurança e NSGs. Para obter um exemplo de uso de regras de administração de segurança em topologias de hub e spoke, consulte Tutorial: criar uma rede segura de hub e spoke.

Para facilitar uma distribuição controlada de grupos de rede, conectividade e regras de segurança, as implantações de configuração do Gerenciador de rede virtual ajudam a liberar com segurança alterações de configuração potencialmente com falha em ambientes de hub e spoke. Para obter mais informações, consulte Implantações de configuração no Gerenciador de rede virtual do Azure.

Para simplificar e simplificar o processo de criação e manutenção de configurações de rota, você pode usar gerenciamento automatizado de UDRs (rotas definidas pelo usuário) no Azure Virtual Network Manager.

Para simplificar e centralizar o gerenciamento de endereços IP, você pode usar IPAM (gerenciamento de endereço IP) no Azure Virtual Network Manager. O IPAM impede conflitos de espaço de endereço IP entre redes virtuais locais e de nuvem.

Para começar a usar o Gerenciador de rede virtual, consulte Criar uma topologia de hub e spoke com o Gerenciador de rede virtual do Azure.

Eficiência de desempenho

A eficiência de desempenho é a capacidade da sua carga de trabalho de dimensionar para atender às demandas colocadas nele pelos usuários de maneira eficiente. Para obter mais informações, consulte visão geral do pilar de Eficiência de Desempenho.

Para cargas de trabalho que se comunicam do local para máquinas virtuais em uma rede virtual do Azure que exigem baixa latência e alta largura de banda, considere usar do ExpressRoute FastPath. O FastPath permite que você envie o tráfego diretamente para máquinas virtuais em sua rede virtual do local, ignorando o gateway de rede virtual do ExpressRoute, aumentando o desempenho.

Para comunicações spoke-to-spoke que exigem baixa latência, considere configurar de rede spoke-to-spoke.

Escolha o SKU de gateway apropriado que atendam aos seus requisitos, como número de conexões ponto a site ou site a site, pacotes necessários por segundo, requisitos de largura de banda e fluxos TCP.

Para fluxos sensíveis à latência, como SAP ou acesso ao armazenamento, considere ignorar o Firewall do Azure ou até mesmo rotear pelo hub. Você pode latência de teste introduzida pelo Firewall do Azure para ajudar a informar sua decisão. Você pode usar recursos como de emparelhamento de VNet que conecta duas ou mais redes ou de Link Privado do Azure que permite que você se conecte a um serviço por meio de um ponto de extremidade privado em sua rede virtual.

Entenda que habilitar determinados recursos no Firewall do Azure, como iDPS (sistema de detecção e prevenção de intrusões), reduz sua taxa de transferência. Para obter mais informações, consulte de desempenho do Firewall do Azure.

Implantar este cenário

Essa implantação inclui uma rede virtual hub e dois spokes conectados, além de implantar uma instância do Firewall do Azure e um host do Azure Bastion. Opcionalmente, a implantação pode incluir VMs na primeira rede spoke e um gateway de VPN. Você pode escolher entre emparelhamento de rede virtual ou grupos conectados do Gerenciador de rede virtual para criar as conexões de rede. Cada método tem várias opções de implantação.

• Hub-and-spoke com implantação de emparelhamento de rede virtual

• Hub-and-spoke com implantação de grupos conectados do Virtual Network Manager

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Autores principais:

• Alejandra Palacios | Engenheira de clientes sênior
• José Moreno | Engenheiro principal
• Adam Torkar | Blackbelt Global de Rede do Azure na Microsoft

Outros colaboradores:

• Matthew Bratschun | Engenheiro de clientes
• Jay Li | Gerente de Produto Sênior
• Telmo Sampaio | Gerente principal de engenharia de serviços

Para ver perfis não públicos do LinkedIn, entre no LinkedIn.

Próximas etapas

• Para saber mais sobre hubs virtuais seguros e as políticas de segurança e roteamento associadas que o Gerenciador de Firewall do Azure configura, consulte O que é um hub virtual seguro?

Cenários avançados

Sua arquitetura pode ser diferente dessa arquitetura de hub-spoke simples. Veja a seguir uma lista de diretrizes para alguns cenários avançados:

• Adicionar mais regiões e unir totalmente os hubs uns aos outros - de rede spoke-to-spoke para padrões de conectividade de várias regiões e rede de várias regiões com o Servidor de Rota do Azure

• Substituir o Firewall do Azure por uma NVA (solução de virtualização de rede) personalizada - Implantar NVAs altamente disponíveis

• Substituir o Gateway de Rede Virtual do Azure pela integração personalizada do SDWAN NVA - SDWAN com topologias de rede hub-and-spoke do Azure

• usar o Servidor de Rota do Azure para fornecer transitividade entre o ExpressRoute e VPN ou SDWAN ou personalizar prefixos anunciados por BGP em gateways de rede virtual do Azure - suporte ao Servidor de Rota do Azure para o ExpressRoute e a VPN do Azure

• adicionar servidores DNS ou resolvedores privados - arquitetura de resolvedor privado

Recursos relacionados

Explore as seguintes arquiteturas relacionadas:

• Guia de arquitetura do Firewall do Azure
• Firewall e Gateway de Aplicativo para redes virtuais
• Solucionar problemas de uma conexão VPN híbrida
• Rede spoke-to-spoke
• Proteger e controlar cargas de trabalho com segmentação de nível de rede
• Arquitetura de linha de base de um cluster do AKS (Serviço de Kubernetes do Azure)