Automatizar o gerenciamento de rotas definidas pelo usuário (UDRs) com o Gerenciador de Rede Virtual do Azure
Este artigo apresenta uma visão geral do gerenciamento de UDRs, por que ele é importante, como funciona e os cenários comuns de roteamento que você pode simplificar e automatizar usando o gerenciamento de UDR.
O que é o gerenciamento de UDR?
O Gerenciador de Rede Virtual do Azure permite descrever o comportamento de roteamento desejado e orquestrar UDRs (rotas definidas pelo usuário) para criar e manter o comportamento de roteamento desejado. As rotas definidas pelo usuário atendem à necessidade de automação e simplificação no gerenciamento de comportamentos de roteamento. Atualmente, é necessário criar manualmente UDRs (rotas definidas pelo usuário) ou utilizar scripts personalizados. No entanto, esses métodos são propensos a erros e excessivamente complicados. Você pode utilizar o hub gerenciado pelo Azure na WAN Virtual. Essa opção tem certas limitações (como a incapacidade de personalizar o hub ou a falta de suporte ao IPV6) que não são relevantes para sua organização. Com o gerenciamento de UDR no gerenciador de rede virtual, você tem um hub centralizado para gerenciar e manter comportamentos de roteamento.
Como funciona o gerenciamento de UDR?
No gerenciador de rede virtual, crie uma configuração de roteamento. Dentro da configuração, crie coleções de regras para descrever as UDRs necessárias para um grupo de rede (grupo de rede de destino). Na coleção de regras, as regras de rota são usadas para descrever o comportamento de roteamento desejado para as sub-redes ou redes virtuais no grupo de rede de destino. Depois que a configuração for criada, você precisará implantar a configuração para que ela se aplique aos seus recursos. Após a implantação, todas as rotas são armazenadas em uma tabela de rotas localizada dentro de um grupo de recursos gerenciados pelo gerenciador de rede virtual.
As configurações de roteamento criam UDRs para você com base no que as regras de rota especificam. Por exemplo, você pode especificar que o grupo de rede spoke, composto por duas redes virtuais, acesse o endereço do serviço DNS por meio de um firewall. Seu gerenciador de rede cria UDRs para fazer esse comportamento de roteamento acontecer.
Configuração de roteamento
As configurações de roteamento são os blocos de construção do gerenciamento de UDR. Eles são usados para descrever o comportamento de roteamento desejado para um grupo de rede. Uma configuração de roteamento consiste nas seguintes definições:
| Atributo | Descrição |
|---|---|
| Nome | O nome da configuração de roteamento. |
| Descrição | A descrição da configuração de roteamento. |
Configurações da coleção de rotas
Uma coleção de rotas consiste nas seguintes definições:
| Atributo | Descrição |
|---|---|
| Nome | O nome da coleção de rotas. |
| Habilitar a propagação de rotas BGP | As configurações do BGP para a coleção de rotas. |
| Grupo de rede de destino | O grupo de rede de destino para a coleção de rotas. |
| Regras de rota | As regras de rota que descrevem o comportamento de roteamento desejado para o grupo de rede de destino. |
Configurações de regras de rota
Cada regra de rota consiste nas seguintes definições:
| Atributo | Descrição |
|---|---|
| Nome | O nome da regra de rota. |
| Tipo de destino | |
| Endereço IP | O endereço IP do destino. |
| Intervalos de CIDR /endereço IP de destino | O endereço IP ou o intervalo CIDR do destino. |
| Marca do serviço | A marca de serviço do destino. |
| Tipo do próximo salto | |
| Gateway de rede virtual | O gateway de rede virtual como o próximo salto. |
| Rede virtual | A rede virtual como o próximo salto. |
| Internet | A Internet como o próximo salto. |
| Solução de virtualização | A solução de virtualização como o próximo salto. |
| Endereço do próximo salto | O endereço IP do próximo salto. |
Para cada tipo de próximo salto, confira as rotas definidas usadas.
Padrões de destino comuns para endereços IP
Ao criar regras de rota, você pode especificar o tipo e o endereço de destino. Ao especificar o tipo de destino como um endereço IP, você pode especificar as informações de endereço IP. Veja a seguir padrões de destino comuns: Veja a seguir os padrões de destino comuns:
| Destino de tráfego | Descrição |
|---|---|
| Internet > NVA | Para o tráfego destinado à Internet por meio de uma solução de virtualização de rede, insira 0.0.0.0/0 como o destino na regra. |
| Tráfego privado > NVA | Para o tráfego destinado ao espaço privado por meio de uma solução de virtualização de rede, insira 192.168.0.0/16, 172.16.0.0/12, 40.0.0.0/24, 10.0.0.0/24 como o destino na regra. Esses destinos se baseiam no espaço de endereço IP privado RFC1918. |
| Rede spoke > NVA | Para o tráfego limitado entre duas redes virtuais de spoke que se conectam por meio de uma solução de virtualização de rede, insira os CIDRs dos spokes como o destino na regra. |
Usar o Firewall do Azure como o próximo salto
Você também pode escolher facilmente um Firewall do Azure como o próximo salto, selecionando Importar endereço IP privado do Firewall do Azure ao criar sua regra de roteamento. O endereço IP do Firewall do Azure é usado como o próximo salto.
Usar mais rotas definidas pelo usuário em uma única tabela de rotas
No gerenciamento de UDR do Gerenciador de Rede Virtual do Azure, os usuários agora podem criar até 1.000 rotas definidas pelo usuário (UDRs) em uma única tabela de rotas, se comparadas ao limite tradicional de 400 rotas. Esse limite mais alto permite configurações de roteamento mais complexas, como direcionar o tráfego de data centers locais por meio de um firewall para cada rede virtual spoke em uma topologia hub e spoke. Essa capacidade expandida é especialmente útil para gerenciar a inspeção de tráfego e a segurança nas grandes arquiteturas de rede com inúmeros spokes.
Por exemplo, em uma topologia hub e spoke, é comum que os usuários exijam que o tráfego de rede seja inspecionado ou filtrado por um firewall na rede virtual do hub antes de acessar as redes virtuais spoke. O Gerenciador de Rede Virtual do Azure dá suporte a até 1.000 redes virtuais spoke e permite que a configuração da tabela de rotas da sub-rede de firewall dê suporte a até 1.000 Rotas Definidas pelo Usuário para tráfego do firewall para as redes virtuais spoke. Para fazer isso, siga estas etapas:
- Crie uma instância do Gerenciador de Rede Virtual do Azure.
- Crie um grupo de rede e inclua a sub-rede que contém o firewall nesse grupo.
- Estabeleça uma configuração de roteamento e crie uma coleção de regras, definindo o grupo de rede de destino como o criado na Etapa 2.
- Defina uma regra de roteamento adicionando os espaços de endereço das redes virtuais spoke. Defina o próximo salto como "dispositivo virtual" e especifique o endereço IP do firewall como o endereço do próximo salto.
- Implante esta configuração de roteamento na região em que a sub-rede de firewall está localizada.
Este método permite que a tabela de rotas da sub-rede de firewall acomode até 1.000 UDRs. Ao adicionar uma nova rede virtual spoke, basta incluir seus espaços de endereço na regra existente e reimplantar a configuração de roteamento.
Cenários comuns de roteamento com gerenciamento de UDR
Veja os cenários comuns de roteamento que você pode simplificar e automatizar usando o gerenciamento de UDR.
| Cenários de roteamento | Descrição |
|---|---|
| Rede spoke –> Solução de virtualização de rede –> Rede spoke | Use esse cenário para o tráfego associado entre duas redes virtuais spoke que se conectam por meio de uma solução de virtualização de rede. |
| Rede spoke –>Solução de virtualização de rede –> Ponto de extremidade ou serviço na rede hub | Use esse cenário para o tráfego de rede de spoke para um ponto de extremidade de serviço em uma rede de hub que se conecta por meio de uma solução de virtualização de rede. |
| Sub-rede –> Solução de virtualização de rede –> Sub-rede mesmo na mesma rede virtual | |
| Rede Spoke –> Solução de virtualização de rede –> Internet/rede local | Use esse cenário quando você tiver tráfego de saída da Internet por meio de uma solução de virtualização de rede ou de um local, como em cenários de rede híbrida. |
| Rede entre hubs e spoke por meio de soluções de virtualização de rede em cada hub | |
| a rede hub e spoke com a rede spoke para o local precisa passar pela solução de virtualização de rede | |
| Gateway –> Solução de virtualização de rede –> Rede spoke |
Adicionar outras redes virtuais
Quando você adiciona outras redes virtuais a um grupo de rede, a configuração de roteamento é aplicada automaticamente à nova rede virtual. O gerenciador de rede detecta automaticamente a nova rede virtual e aplica a configuração de roteamento a ela. Ao remover uma rede virtual do grupo de rede, a configuração de roteamento aplicada também é removida automaticamente.
As sub-redes recém-criadas ou excluídas têm a tabela de rotas delas atualizada com consistência eventual. O tempo de processamento pode variar com base no volume de criação e exclusão de sub-redes.
Impacto do Gerenciamento de UDR sobre rotas e tabelas de rotas
Veja a seguir os impactos exercidos pelo gerenciamento de UDR com o Gerenciador de Rede Virtual do Azure sobre rotas e tabelas de rotas:
- Quando existirem regras de roteamento conflitantes (regras com o mesmo destino, mas saltos seguintes diferentes), apenas uma das regras conflitantes será aplicada, enquanto as outras serão ignoradas. Qualquer uma das regras conflitantes pode ser selecionada aleatoriamente. É importante observar que não há suporte para regras conflitantes dentro ou entre coleções de regras direcionadas à mesma rede ou sub-rede virtual.
- Quando você cria uma regra de roteamento com o mesmo destino de uma rota existente na tabela de rotas, a regra de roteamento é ignorada.
- Quando uma tabela de rotas com UDRs existentes está presente, o Gerenciador de Rede Virtual do Azure cria uma nova tabela de rotas gerenciadas que inclui as rotas existentes e as novas rotas com base na configuração de roteamento implantada.
- Outras UDRs adicionadas a uma tabela de rotas gerenciadas não são afetadas e não serão excluídas quando a configuração de roteamento for removida. Somente as rotas criadas pelo Gerenciador de Rede Virtual do Azure são removidas.
- Se uma UDR gerenciada pelo Gerenciador de Rede Virtual do Azure for editada manualmente na tabela de rotas, essa rota será excluída quando a configuração for removida da região.
- O Gerenciador de Rede Virtual do Azure não interfere com suas UDRs existentes. Ele apenas adiciona as novas UDRs às atuais, garantindo que o roteamento continue funcionando como funciona agora. Além disso, as UDRs para serviços específicos do Azure ainda funcionam junto com as UDRs do gerenciador de rede sem encontrar novas limitações.
- O Gerenciador de Rede Virtual do Azure requer um grupo de recursos gerenciados para armazenar a tabela de rotas. Se um Azure Policy impor marcas ou propriedades específicas em grupos de recursos, essas políticas deverão ser desabilitadas ou ajustadas para o grupo de recursos gerenciados para evitar problemas de implantação. Além disso, se você precisar excluir esse grupo de recursos gerenciados, certifique-se de que a exclusão ocorra antes de iniciar novas implantações de recursos na mesma assinatura.
- O gerenciamento de UDR permite que os usuários criem até 1.000 UDRs por tabela de rotas.