Prepare-se para conectar o Gateway de Comunicações do Azure à sua própria rede virtual (versão prévia)
Este artigo descreve as etapas necessárias para conectar um Gateway de Comunicações do Azure à sua própria rede virtual usando a injeção de VNet para o Gateway de Comunicações do Azure (versão prévia). Este procedimento é necessário para implantar o Gateway de Comunicações do Azure em uma sub-rede que você controla e é usada ao conectar sua rede local com o Emparelhamento Privado do ExpressRoute ou por meio de um Gateway de VPN do Azure. O Gateway de Comunicações do Azure tem duas regiões de serviço com sua própria conectividade, o que significa que você precisa fornecer redes virtuais e sub-redes em cada uma dessas regiões.
O diagrama a seguir mostra uma visão geral do Gateway de Comunicações do Azure implantado com injeção de VNet. Os adaptadores de rede no Gateway de Comunicações do Azure voltados para sua rede são implantados em sua sub-rede, enquanto as interfaces de rede voltadas para serviços de comunicação de back-end permanecem gerenciadas pela Microsoft.
Pré-requisitos
- Obtenha sua assinatura do Azure habilitada para o Gateway de Comunicações do Azure.
- Informe sua equipe de integração que você pretende usar suas próprias redes virtuais.
- Crie uma rede virtual do Azure em cada uma das regiões do Azure a ser usada como as regiões de serviço do Gateway de Comunicações do Azure. Saiba como criar uma rede virtual.
- Crie uma sub-rede em cada rede virtual do Azure para uso exclusivo do Gateway de Comunicações do Azure. Cada uma dessas sub-redes deve ter pelo menos 16 endereços IP (um intervalo IPv4 /28 ou maior). Nada mais deve usar essa sub-rede. Saiba como criar uma sub-rede.
- Verifique se sua conta do Azure tem a função Colaborador de Rede ou um pai dessa função nas redes virtuais.
- Implante sua solução de conectividade escolhida (por exemplo, ExpressRoute) em sua assinatura do Azure e verifique se ela está pronta para uso.
Dica
As implantações de laboratório têm apenas uma região de serviço, portanto, só é necessário configurar uma única região durante esse procedimento.
Delegar as sub-redes de rede virtual
Para usar sua rede virtual com o Gateway de Comunicações do Azure, é necessário delegar as sub-redes ao Gateway de Comunicações do Azure. A delegação de sub-rede dá permissões explícitas ao Gateway de Comunicações do Azure para criar recursos específicos de serviço, como NICs (adaptadores de rede), nas sub-redes.
Siga estas etapas para delegar suas sub-redes para uso com o Gateway de Comunicações do Azure:
Vá para suas redes virtuais e selecione a rede virtual a ser usada na primeira região de serviço do Gateway de Comunicações do Azure.
Selecione sub-redes.
Selecione uma sub-rede que você quer delegar ao Gateway de Comunicações do Azure.
Importante
A sub-rede que você usa deve ser dedicada ao Gateway de Comunicações do Azure.
Em Delegar sub-rede a um serviço, selecione Microsoft.AzureCommunicationsGateway/networkSettings e, em seguida, selecione Salvar.
Verifique se Microsoft.AzureCommunicationsGateway/networkSettings aparece na coluna Delegado a para sua sub-rede.
Repita as etapas acima para a rede virtual e a sub-rede na outra região de serviço do Gateway de Comunicações do Azure.
Configurar grupos de segurança de rede
Ao conectar o Gateway de Comunicações do Azure a redes virtuais, é necessário configurar um NSG (grupo de segurança de rede) para permitir que o tráfego da rede alcance o Gateway de Comunicações do Azure. Um NSG contém regras de controle de acesso que permitem ou negam o tráfego com base na direção do tráfego, no protocolo, no endereço e porta de origem e no endereço e porta de destino.
As regras de um NSG podem ser alteradas a qualquer momento e as alterações se aplicam a todas as instâncias associadas. Pode levar até 10 minutos para que as alterações do NSG entrem em vigor.
Importante
Se você não configurar um grupo de segurança de rede, o tráfego não poderá acessar as interfaces de rede do Gateway de Comunicações do Azure.
A configuração do grupo de segurança de rede consiste em duas etapas, a serem executadas em cada região de serviço:
- Crie um grupo de segurança de rede que permita o tráfego desejado.
- Associe o grupo de segurança de rede às sub-redes de rede virtual.
Você pode usar um NSG para controlar o tráfego em uma ou mais instâncias de máquina virtual (VM), adaptadores de rede (NICs) ou sub-redes em sua rede virtual. Um NSG contém regras de controle de acesso que permitem ou negam o tráfego com base na direção do tráfego, no protocolo, no endereço e porta de origem e no endereço e porta de destino. As regras de um NSG podem ser alteradas a qualquer momento e as alterações se aplicam a todas as instâncias associadas.
Para saber mais sobre NSGs, visite O que é NSG.
Criar o grupo de segurança de rede relevante
Trabalhe com sua equipe de integração para determinar a configuração correta do grupo de segurança de rede para suas redes virtuais. Essa configuração depende de sua escolha de conectividade (por exemplo, ExpressRoute) e de sua topologia de rede virtual.
Sua configuração de grupo de segurança de rede deve permitir o tráfego para os intervalos de portas necessários usados pelo Gateway de Comunicações do Azure.
Dica
Você pode usar as recomendações dos grupos de segurança de rede para ajudar a garantir que sua configuração corresponda às melhores práticas de segurança.
Associar a sub-rede ao grupo de segurança de rede
- Vá para o grupo de segurança da rede e selecione Sub-redes.
- Selecione + Associar na barra de menus superior.
- Para Rede virtual, selecione a sua rede virtual.
- Em Sub-rede, selecione a sub-rede de sua rede virtual.
- Selecione OK para associar a sub-rede de rede virtual ao grupo de segurança de rede.
- Repita essas etapas para a outra região de serviço.