Compartilhar via


Considerações sobre topologia de rede e conectividade para o Red Hat Enterprise Linux no Azure

Este artigo descreve as considerações e recomendações de rede do RHEL (Red Hat Enterprise Linux) baseadas nas diretrizes na área de design da zona de destino do Azure para topologia e conectividade de rede.

Arquitetura

A arquitetura RHEL a seguir é um ponto de partida que você pode adaptar ainda mais para atender aos seus requisitos técnicos e de negócios específicos. Você pode implantar os vários componentes e funções da plataforma RHEL em VMs (máquinas virtuais) com dimensionamento e redundância específicos, conforme necessário. O layout de rede simplificado nesses exemplos demonstra princípios de arquitetura e não descreve uma rede corporativa inteira.

Diagrama que mostra uma arquitetura de referência do RHEL.

Baixe um Arquivo Visio dessa arquitetura.

Element Descrição
Um Componentes no Contrato de Cliente da Microsoft e cobrança
B Componentes no gerenciamento de identidade e acesso do Microsoft Entra
C Componentes em grupos de gerenciamento do Azure
D Componentes na assinatura de gerenciamento de identidades do Windows Server Active Directory
E Componentes na assinatura do hub de rede
F Componentes na assinatura de gerenciamento e identidade do RHEL
G Componentes na assinatura do Grupo de Gerenciamento do Azure
H Componentes na assinatura da carga de trabalho de produção do RHEL
I Componentes locais
J Serviços do Red Hat Cloud

Considerações de design para redes de zonas de destino RHEL

Considere as seguintes recomendações para o design de rede da zona de destino:

  • Use uma topologia de rede hub-and-spoke para implantações de região única ou multirregião. O Hub da WAN Virtual do Azure fornece recursos extras ou você pode usar um hub de rede virtual tradicional. Para obter mais informações, consulte Rede de zona de destino do Azure.

  • Use a infraestrutura como código para automatizar suas implantações, gerenciamento de configuração e operações de dia 2 para todos os componentes relacionados à rede da zona de destino.

  • Use pontos de extremidade privados para todos os serviços do Azure com suporte para melhorar a segurança. Os pontos de extremidade privados garantem que todo o tráfego seja roteado por sua rede privada em vez de por endereços IP públicos.

Considerações sobre o firewall

O diagrama a seguir mostra uma arquitetura de zona de destino RHEL da região híbrida do Azure.

Diagrama que mostra uma arquitetura de zona de destino RHEL da região híbrida do Azure.

Element Descrição
Um Componentes na rede virtual do Red Hat Management contidos por meio da assinatura do Red Hat Management
B Componentes na rede virtual de cargas de trabalho do RHEL contidos por meio da assinatura de cargas de trabalho de produção do RHEL
C Componentes na rede virtual do Identity Management contidos por meio da assinatura do Red Hat Identity Management
D Componentes na rede virtual de cargas de trabalho do RHEL contidos por meio da assinatura de cargas de trabalho de produção do RHEL
  • Para topologias de WAN Virtual, considere usar o Firewall do Azure para rotear o tráfego entre zonas de destino. O Firewall do Azure fornece recursos de filtragem e registro em log de tráfego.

  • Um gateway de VPN do Azure ou um gateway do Azure ExpressRoute controla a conectividade híbrida com o hub. Para monitorar e controlar o tráfego, use o Firewall do Azure ou uma NVA (solução de virtualização) no hub.

  • Você pode usar um firewall local para proteger e rotear todo o tráfego de entrada e saída da Internet. Um firewall pode introduzir latência para recursos baseados em nuvem. Entenda seus requisitos de desempenho e segurança para determinar como você deve rotear o tráfego de entrada e saída.

Considerações sobre sub-rede

O diagrama a seguir mostra as sub-redes de gerenciamento e carga de trabalho em uma configuração resiliente de zona.

Diagrama que mostra as sub-redes de gerenciamento e carga de trabalho em uma configuração resiliente de zona.

  • Ao planejar escopos de endereço IP e tamanho de rede virtual para a zona de destino RHEL, considere sub-redes dedicadas para recursos de aplicativo, banco de dados e armazenamento.

  • Adote uma abordagem baseada em Zero Trust para sua rede de perímetro e segurança de tráfego. Para obter mais informações, confira Estratégias de segurança de rede no Azure.

Considerações sobre o grupo de segurança de rede

Diagrama que mostra uma configuração de NSG para segurança de tráfego.

  • Use NSGs (grupos de segurança de rede) para ajudar a proteger o tráfego entre sub-redes e o tráfego leste e oeste na plataforma (tráfego entre zonas de destino). O Azure Policy pode tornar essa configuração padrão para todas as sub-redes.

  • Use NSGs e grupos de segurança de aplicativos para microssegmentar o tráfego dentro da zona de destino e evite usar uma NVA central para filtrar fluxos de tráfego.

  • Habilite os logs de fluxo do NSG e alimente-os na análise de tráfego. Para otimizar a capacidade de auditoria e a segurança, habilite os logs de fluxo em todas as redes virtuais e sub-redes críticas em sua assinatura.

  • Use NSGs para permitir seletivamente a conectividade entre as zonas de destino.

  • A equipe de aplicativos deve usar grupos de segurança de aplicativos nos NSGs de nível de sub-rede para ajudar a proteger VMs de várias camadas na zona de destino.

  • Se sua organização implementar o túnel forçado ou uma rota padrão anunciada para locais locais, considere incorporar regras de NSG de saída para negar o tráfego de saída da rede virtual diretamente para a Internet. Essa configuração fornece resiliência se a sessão do BGP (Border Gateway Protocol) cair. Para obter mais informações, consulte Planejar a segmentação de rede da zona de destino.

Outras considerações

  • Habilite a internet e filtre e inspecione o tráfego. As opções de saída para habilitar a Internet e filtrar e inspecionar o tráfego incluem:

    • Acesso de saída ao Red Hat Cloud por meio da rede de hubs.
    • Rota padrão local que usa acesso à Internet local.
    • WAN Virtual ou hub de rede virtual tradicional protegido com o Firewall do Azure ou uma NVA.
  • Forneça conteúdo e aplicativos. As opções de entrada para entregar conteúdo e aplicativos incluem:

    • Gateway de Aplicativo do Azure com L7, terminação TLS (Transport Layer Security) e Firewall de Aplicativo Web.
    • Tradução de Rede Dinâmica (DNAT) e um balanceador de carga local.
    • Rede Virtual do Azure com Firewall do Azure ou uma NVA e Servidor de Rota do Azure em vários cenários.
    • Hub de WAN Virtual com Firewall do Azure, com L4 e DNAT.
    • Hub de WAN Virtual com NVA em vários cenários.
  • Configure a resolução de nomes de domínio para recursos locais e do Azure. O ambiente RHEL geralmente usa recursos locais e do Azure, o que requer resolução de nomes efetiva de recursos. Considere as seguintes recomendações:

    • O Azure fornece uma resolução de nome interna padrão em uma rede virtual. Esse cenário não requer nenhuma configuração. Você não pode modificar o sufixo de resolução de nome de domínio ou executar o registro manual. Para obter mais informações, consulte Resolução de nomes que o Azure fornece.
    • Para resolução de nomes em redes virtuais, as implantações do RHEL geralmente usam serviços DNS (Sistema de Nomes de Domínio) do IdM (Redhat Identity Management Server) ou do DNS do Azure. Para fornecer encaminhamento baseado em regras, combine o Resolvedor de DNS Privado do Azure e a infraestrutura DNS existente.

Próxima etapa