Compartilhar via


Visão geral dos serviços de rede do Azure

Os serviços de rede no Azure fornecem diversos recursos de rede que podem ser usados juntos ou separadamente. Selecione cada um dos cenários de rede a seguir para saber mais sobre eles:

Base de rede

Esta seção descreve os serviços que fornecem os blocos de construção para projetar e arquitetar um ambiente de rede no Azure - Rede Virtual (VNet), Link Privado, DNS do Azure, Azure Bastion, Servidor de Rota, Gateway da NAT e Gerenciador de Tráfego.

Rede virtual

A Rede Virtual do Azure (VNet) é o bloco de construção fundamental de sua rede privada no Azure. Você pode usar VNets para:

  • Comunicação entre recursos do Azure: você pode implantar máquinas virtuais e vários outros tipos de recursos do Azure em uma rede virtual, como Ambientes do Serviço de Aplicativo do Azure, o AKS (Serviço de Kubernetes do Azure) e Conjuntos de Dimensionamento de Máquinas Virtuais do Azure. Para exibir uma lista completa de recursos do Azure que podem ser implantados em uma rede virtual, confira Integração de serviços de rede virtual.
  • Comunicar-se entre si: você pode conectar redes virtuais umas às outras, permitindo que recursos em qualquer rede virtual se comuniquem entre si, usando emparelhamento de rede virtual ou o Gerenciador de Rede Virtual do Azure. As redes virtuais que você conecta podem estar na mesma região ou em regiões diferentes do Azure. Para obter mais informações, confira Emparelhamento de rede virtual e Gerenciador de Rede Virtual do Azure.
  • Comunicação com a Internet: Todos os recursos em uma rede virtual podem se comunicar com a Internet, por padrão. Você pode se comunicar na entrada com um recurso, atribuindo um endereço IP público ou um Load Balancer público. Você também pode usar endereços IP públicos ou o Load Balancer público para gerenciar suas conexões de saída.
  • Comunicação com redes locais: você pode conectar seus computadores e redes locais a uma rede virtual usando o Gateway de VPN ou o ExpressRoute.
  • Criptografar o tráfego entre recursos: você pode usar a criptografia de rede virtual para criptografar o tráfego entre recursos em uma rede virtual.

Grupos de segurança de rede

Você pode filtrar o tráfego de rede de e para recursos do Azure em uma rede virtual do Azure com um grupo de segurança de rede. Para saber mais, confira Grupos de segurança de rede.

Pontos de extremidade de serviço

Os pontos de extremidade do serviço de rede virtual (VNet) estendem o espaço de endereço privado da sua rede virtual e a identidade da sua rede virtual aos serviços do Azure, por meio de uma conexão direta. Os pontos de extremidade permitem que você possa garantir os recursos essenciais do serviço do Azure somente para suas redes virtuais. O tráfego da sua rede virtual para o serviço do Azure sempre permanece na rede de backbone do Microsoft Azure.

Diagrama dos pontos de extremidade do serviço de rede virtual.

O Link Privado do Azure permite acessar os serviços de PaaS do Azure (por exemplo, o Armazenamento do Azure e o Banco de Dados SQL) e serviços de parceiros/de propriedade de clientes hospedados no Azure em um ponto de extremidade privado da sua rede virtual. O tráfego entre sua rede virtual e o serviço viaja na rede de backbone da Microsoft. Expor seu serviço à Internet pública não é mais necessário. Você pode criar o próprio serviço de link privado em sua rede virtual e oferecê-lo aos seus clientes.

Captura de tela da visão geral do ponto de extremidade privado.

DNS do Azure

O DNS do Azure fornece hospedagem e resolução de DNS usando a infraestrutura do Microsoft Azure. O DNS do Azure consiste em três serviços:

  • O DNS do Público do Azure é um serviço de hospedagem para domínios DNS. Ao hospedar seus domínios no Azure, você pode gerenciar seus registros DNS usando as mesmas credenciais, APIs, ferramentas e faturamento que os outros serviços do Azure.
  • O DNS privado do Azure é um serviço DNS para suas redes virtuais. O DNS Privado do Azure gerencia e resolve nomes de domínio em uma rede virtual sem a necessidade de configurar uma solução DNS personalizada.
  • O Resolvedor Privado de DNS do Azure é um serviço que permite consultar zonas privadas de DNS do Azure de um ambiente local e vice-versa sem implantar servidores DNS baseados em VM.

Usando o DNS do Azure, você pode hospedar e resolver domínios públicos, gerenciar a resolução de DNS em suas redes virtuais e habilitar a resolução de nomes entre o Azure e seus recursos locais.

Azure Bastion

Azure Bastion é um serviço que você pode implantar em uma rede virtual para permitir que você se conecte a uma máquina virtual usando seu navegador e o portal do Azure. Você também pode se conectar usando o cliente SSH ou RDP nativo já instalado em seu computador local. O serviço Azure Bastion é um serviço PaaS totalmente gerenciado por plataforma que você implanta dentro da sua rede virtual. Ele fornece uma conectividade RDP/SSH segura e contínua para suas máquinas virtuais diretamente do portal do Azure via TLS. Ao se conectar por meio do Azure Bastion, suas máquinas virtuais não precisarão de um endereço IP público, nem de um agente e tampouco de um software cliente especial. Há várias SKUs/camadas diferentes disponíveis para o Azure Bastion. A camada selecionada afeta os recursos disponíveis. Para obter mais informações, consulte Sobre as configurações do Bastion.

Diagrama mostrando a arquitetura do Azure Bastion.

Servidor de Rota do Azure

Servidor de Rota do Azure simplifica o roteamento dinâmico entre a NVA (solução de virtualização de rede) e a rede virtual. Ele permite a troca de informações de roteamento diretamente por meio do protocolo de roteamento BGP (Border Gateway Protocol) entre qualquer NVA que dê suporte ao protocolo de roteamento BGP e a SDN (rede definida pelo software) do Azure na VNet (Rede Virtual) do Azure, sem a necessidade de configurar nem manter manualmente as tabelas de rotas.

Diagrama que mostra o Servidor de Rota do Azure configurado em uma rede virtual.

Gateway da NAT

O Gateway NAT simplifica a conectividade de Internet somente de saída para redes virtuais. Quando configurado em uma sub-rede, toda a conectividade de saída usa seus endereços IP públicos estáticos especificados. A conectividade de saída é possível sem endereços IP públicos ou de balanceador de carga conectados diretamente a máquinas virtuais. Para obter mais informações, consulte O que é o Gateway da NAT do Azure?

Diagrama do gateway da NAT da rede virtual.

Gerenciador de Tráfego

Gerenciador de Tráfego do Azure é um balanceador de carga de tráfego baseado em DNS que permite distribuir o tráfego de forma otimizada para serviços em regiões globais do Azure, ao mesmo tempo em que fornece alta disponibilidade e capacidade de resposta. O Gerenciador de Tráfego fornece uma série de métodos de roteamento de tráfego para distribuir tráfego, como prioridade, peso, desempenho, dados geográficos, vários valores ou sub-rede.

O seguinte diagrama mostra o roteamento baseado em prioridade do ponto de extremidade com o Gerenciador de Tráfego:

Diagrama do método de roteamento de tráfego

Para obter mais informações sobre o Gerenciador de Tráfego, consulte O que é o Gerenciador de Tráfego do Azure?.

Balanceamento de carga e entrega de conteúdo

Esta seção descreve os serviços de rede no Azure que ajudam a fornecer aplicativos e cargas de trabalho - Load Balancer, Gateway de Aplicativo e Serviço do Azure Front Door.

Load Balancer

O Azure Load Balancer fornece balanceamento de carga de Camada 4 de baixa latência e alto desempenho para todos os protocolos TCP e UDP. Ele gerencia conexões de entrada e saída. Você pode configurar pontos de extremidade com balanceamento de carga públicos e internos. Você também pode definir regras para mapear conexões de entrada para destinos de pool de back-end usando opções de investigação de integridade TCP e HTTP para gerenciar a disponibilidade do serviço.

O Azure Load Balancer está disponível nas SKUs Standard, Regional e Gateway.

A imagem a seguir mostra um aplicativo de várias camadas voltado para a Internet que usa balanceadores de carga internos e externos:

Captura de tela do exemplo do Azure Load Balancer.

Gateway de Aplicativo

O Gateway de Aplicativo do Azure é um balanceador de carga do tráfego da Web que permite que você gerencie o tráfego para seus aplicativos Web. Ele é um ADC (Controlador de Entrega de Aplicativo) como serviço que oferece diversas funcionalidades de balanceamento de carga da camada sete para seus aplicativos.

O diagrama a seguir mostra o roteamento baseado em caminho da URL com o Gateway de Aplicativo.

Imagem do exemplo do Gateway de Aplicativo.

Porta da frente do Azure

O Azure Front Door permite que você defina, gerencie e monitore o roteamento global para seu tráfego da Web otimizando para melhor desempenho e failover global instantâneo para ter alta disponibilidade. Com o Front Door, é possível transformar seus aplicativos consumidores e empresariais globais (de várias regiões) em modernos aplicativos robustos altamente personalizados e com alto desempenho, APIs e conteúdo que alcançam um público global com o Azure.

Diagrama do serviço do Azure Front Door com Firewall do Aplicativo Web.

Conectividade híbrida

Esta seção descreve os serviços de conectividade de rede que fornecem uma comunicação segura entre sua rede local e o Azure - Gateway de VPN, ExpressRoute, WAN Virtual e Serviço de Emparelhamento.

Gateway de VPN

O Gateway de VPN ajuda você a criar conexões criptografadas entre locais para sua rede virtual pelos locais ou criar conexões criptografadas entre as VNets. Há configurações diferentes disponíveis para conexões de Gateway de VPN. Alguns dos principais recursos incluem:

  • Problemas de conectividade de VPN de site a site
  • Conectividade VPN ponto a site
  • Conectividade VPN VNet para VNet

O diagrama a seguir ilustra várias conexões VPN site a site para a mesma rede virtual. Para exibir mais diagramas de conexão, consulte Gateway de VPN – design.

Diagrama mostrando múltiplas conexões de Gateway de VPN do Azure site a site.

ExpressRoute

O ExpressRoute permite que você estenda as redes locais para a nuvem da Microsoft por meio de uma conexão privada, facilitada por um provedor de conectividade. Essa conexão é privada. O tráfego não passa pela Internet. Com o ExpressRoute, é possível estabelecer conexões com os serviços em nuvem da Microsoft, como Microsoft Azure, Microsoft 365 e Dynamics 365.

Captura de tela do Azure ExpressRoute.

WAN Virtual

A WAN Virtual do Azure é um serviço de rede que reúne muitas funcionalidades de rede, segurança e roteamento para fornecer uma interface operacional. A conectividade com VNets do Azure é estabelecida usando conexões de rede virtual. Alguns dos principais recursos incluem:

  • Conectividade de ramificação (por meio da automação de conectividade de dispositivos de parceiros da WAN Virtual, como SD-WAN ou VPN CPE)
  • Problemas de conectividade de VPN de site a site
  • Conectividade de VPN de usuário remoto (ponto a site)
  • Conectividade privada (ExpressRoute)
  • Conectividade intranuvem como conectividade transitiva para redes virtuais
  • Interconectividade do ExpressRoute de VPN
  • Roteamento, Firewall do Azure e criptografia para conectividade privada

Diagrama de WAN virtual.

Serviço de Emparelhamento

O Serviço de Emparelhamento do Azure aprimora a conectividade do cliente com os serviços em nuvem da Microsoft, como o Microsoft 365, o Dynamics 365, os serviços de SaaS (software como serviço), o Azure ou qualquer serviço da Microsoft acessível por meio da Internet pública.

Segurança de rede

Esta seção descreve os serviços de rede no Azure que protegem e monitoram seus recursos de rede - Gerenciador de Firewall, Firewall, Firewall do Aplicativo Web e Proteção contra DDoS.

Gerenciador de Firewall

Gerenciador de Firewall do Azure é um serviço de gerenciamento de segurança que fornece política de segurança central e gerenciamento de roteamento para perímetros de segurança baseados em nuvem. O Gerenciador de Firewall pode fornecer gerenciamento de segurança para dois tipos diferentes de arquitetura de rede: hub virtual seguro e rede virtual de hub. Com o Gerenciador de Firewall do Azure, você pode implantar várias instâncias do Firewall do Azure em regiões e assinaturas do Azure, implementar planos de proteção contra DDoS, gerenciar políticas de firewall de aplicativos Web e integrar-se à segurança como serviço de parceiros para aumentar a segurança.

Diagrama de vários Firewalls do Azure em um hub virtual seguro e uma rede virtual de hub.

Firewall do Azure

O Firewall do Azure é um serviço de segurança de rede gerenciado e baseado em nuvem que protege seus recursos da Rede Virtual do Azure. Usando o Firewall do Azure, é possível criar, impor e registrar centralmente políticas de conectividade de rede e de aplicativo em assinaturas e redes virtuais. O Firewall do Azure usa um endereço IP público estático para seus recursos de rede virtual, permitindo que firewalls externos identifiquem o tráfego originário de sua rede virtual.

Diagrama da visão geral do Firewall.

Firewall do Aplicativo Web

O WAF (Firewall de Aplicativo Web) do Azure oferece proteção para aplicativos Web contra explorações e vulnerabilidades comuns da Web, como injeção de SQL e cross-site scripting. O WAF do Azure fornece proteção pronta para uso contra as dez principais vulnerabilidades do OWASP por meio de regras gerenciadas. Além disso, os clientes também podem configurar regras personalizadas, que são regras gerenciadas pelo cliente para fornecer proteção extra com base no intervalo de IPs de origem e atributos de solicitação, como cabeçalhos, cookies, campos de dados de formulário ou parâmetros de cadeia de caracteres de consulta.

Os clientes podem optar por implantar o WAF do Azure com o Gateway de Aplicativo, que fornece proteção regional para entidades no espaço de endereços públicos e privados. Os clientes também podem implantar o WAF do Azure com o Front Door, que fornece proteção na borda de rede para pontos de extremidade públicos.

Captura de tela do Firewall do Aplicativo Web.

Proteção contra DDoS

A Proteção contra DDoS do Azure fornece medidas de defesa contra as ameaças de DDoS mais sofisticadas. O serviço oferece recursos aprimorados de mitigação de DDoS para os aplicativos e recursos implantados em redes virtuais. Além disso, os clientes que usam a Proteção contra DDoS do Azure têm acesso ao suporte de Resposta Rápida a DDoS para envolver especialistas em DDoS durante um ataque ativo.

A Proteção contra DDoS do Azure consiste em duas camadas:

  • A Proteção de Rede contra DDoS, combinada com as melhores práticas de design de aplicativos, oferece recursos aprimorados de mitigação de DDoS para a defesa contra ataques de DDoS. Se ajusta automaticamente para proteger os recursos específicos do Azure em uma rede virtual.
  • A Proteção de IP contra DDoS é um modelo de pagamento por IP protegido. A Proteção de IP contra DDoS contém os mesmos recursos básicos de engenharia que a Proteção de Rede contra DDoS, mas difere nos seguintes serviços de valor agregado: Suporte de resposta rápida a DDoS, proteção de custos e descontos no WAF.

Diagrama da arquitetura de referência para um aplicativo da Web de PaaS protegido contra DDoS.

Segurança de rede de contêiner

A segurança de rede de contêiner faz parte do ACNS (Serviços Avançados de Rede de Contêineres). Ele fornece controle aprimorado sobre a segurança de rede do AKS. Com recursos como filtragem de FQDN (nome de domínio totalmente qualificado), os clusters que usam o CNI do Azure alimentado pelo Cilium podem implementar políticas de rede baseadas em FQDN para obter uma arquitetura de segurança de Confiança Zero no AKS.

Gerenciamento e monitoramento de rede

Esta seção descreve os serviços de gerenciamento e monitoramento de rede no Azure – Observador de Rede, Azure Monitor e Gerenciador de Rede Virtual do Azure.

Observador de Rede do Azure

O Observador de Rede do Azure fornece ferramentas para monitorar, diagnosticar, exibir métricas e habilitar ou desabilitar os logs de recursos em uma rede virtual do Azure.

Diagrama mostrando as funcionalidades do Observador de Rede do Azure.

Azure Monitor

O Azure Monitor maximiza a disponibilidade e o desempenho de seus aplicativos fornecendo uma solução abrangente para coletar, analisar e agir em relação a dados telemétricos de seus ambientes locais e de nuvem. Ele ajuda a entender o desempenho de seus aplicativos, além de identificar de maneira proativa os problemas que os estão afetando e os recursos dos quais eles dependem.

Gerenciador de Rede Virtual do Azure

O Gerenciador de Rede Virtual do Azure é um serviço de gerenciamento que permite agrupar, configurar, implantar e gerenciar redes virtuais globalmente em assinaturas. Com o Gerenciador de Rede Virtual, você pode definir grupos de rede para identificar e segmentar logicamente suas redes virtuais. Em seguida, você pode determinar a conectividade e as configurações de segurança que quiser e aplicá-las em todas as redes virtuais selecionadas nos grupos de rede de uma só vez.

Diagrama dos recursos implantados para uma topologia de rede virtual de malha com o gerenciador de rede virtual do Azure.

Observabilidade de rede de contêiner

A observabilidade da rede de contêiner faz parte dos ACNS (Serviços Avançados de Rede de Contêineres). O ACNS usa o plano de controle do Hubble para fornecer visibilidade abrangente sobre a rede e o desempenho do AKS. Ele oferece insights detalhados em tempo real em nível de nó, nível de pod, TCP e métricas DNS, garantindo um monitoramento completo da infraestrutura de rede.

Diagrama da Observabilidade da Rede de Contêineres.

Próximas etapas