Compartilhar via


Planejar redes virtuais

Criar uma rede virtual para fazer experiências com ela é bastante simples, mas é provável que você implante múltiplas redes virtuais ao longo do tempo para dar suporte às necessidades de produção da sua organização. Com algum planejamento, você pode implantar redes virtuais e conectar-se aos recursos de que precisa com mais eficiência. As informações neste artigo serão mais úteis se você já estiver familiarizado com as redes virtuais e tiver alguma experiência de trabalhar com elas. Se você não estiver familiarizado com redes virtuais, é recomendável que você leia Visão geral da rede virtual.

Nomenclatura

Todos os recursos do Azure têm um nome. O nome precisa ser exclusivo dentro de um escopo, o que pode variar para cada tipo de recurso. Por exemplo, o nome de uma rede virtual deve ser exclusivo dentro de um grupo de recursos, mas pode usar um nome duplicado em uma assinatura ou região do Azure. Definir uma convenção de nomenclatura que você pode usar consistentemente ao nomear recursos é útil ao gerenciar vários recursos de rede ao longo do tempo. Para sugestões, consulte Convenções de nomenclatura.

Regiões

Todos os recursos do Microsoft Azure são criados na região do Azure e assinatura. Você pode criar um recurso somente em uma rede virtual que exista na mesma região e assinatura que o recurso. Mas você pode conectar redes virtuais que existem em diferentes assinaturas e regiões. Para obter mais informações, consulte Conectividade. Ao decidir quais regiões implantar recursos, considere onde os consumidores de recursos estão localizados fisicamente:

  • Você tem baixa latência de rede? Os consumidores de recursos normalmente desejam a menor latência de rede para seus recursos. Para determinar as latências relativas entre um local especificado e regiões do Azure, consulte Exibir latências relativas.
  • Você tem requisitos de residência, soberania, conformidade ou resiliência de dados? Nesse caso, escolher a região que atenda aos requisitos é fundamental. Para obter mais informações, consulte Geografias do Microsoft Azure.
  • Você precisa de resiliência em Zonas de Disponibilidade do Azure na mesma zona do Azure para os recursos que você implantar? Você pode implantar os recursos, como VMs (máquinas virtuais) para zonas de disponibilidade diferente na mesma rede virtual. Nem todas as regiões do Azure oferecem suporte a zonas de disponibilidade. Para saber mais sobre as zonas de disponibilidade e as regiões que a suportam, consulte zonas de disponibilidade.

Assinaturas

Você pode implantar tantas redes virtuais, quanto for necessário em cada assinatura, até o limite. Algumas organizações têm assinaturas diferentes para diferentes departamentos, por exemplo. Para obter mais informações e considerações de assinaturas, consulte Governança de assinatura.

Segmentação

Você pode criar várias redes virtuais por assinatura e por região. Você pode criar várias sub-redes em cada rede virtual. As considerações a seguir ajudarão você a determinar quantas redes virtuais e sub-redes que você precisa.

Redes virtuais

Uma rede virtual é uma parte virtual, isolada da rede pública do Azure. Cada rede virtual é dedicado à sua assinatura. Ao decidir se deseja criar uma rede virtual, ou várias redes virtuais em uma assinatura, considere os seguintes pontos:

  • Os requisitos de segurança organizacional existem para isolar o tráfego em redes virtuais separadas? Você pode optar por conectar redes virtuais ou não. Se você se conectar a redes virtuais, será possível implementar um dispositivo virtual de rede, como um firewall, para controlar o fluxo de tráfego entre as redes virtuais. Para obter mais informações, confira Segurança e Conectividade.
  • Há algum requisito organizacional para as redes virtuais de isolamento em assinaturas ou regiões separadas?
  • Você tem requisitos de adaptador de rede? Uma interface de rede permite que uma máquina virtual se comunique com outros recursos. Cada interface pode ter um ou mais endereços IP públicos ou privados atribuídos a ela. Quantas interfaces de rede e endereços IP privados são necessários em uma rede virtual? Há limites para o número de endereços IP públicos e privados que você pode ter dentro de uma rede virtual.
  • Você deseja conectar a rede virtual à outra rede virtual na rede local? Você pode optar por conectar a algumas redes virtuais entre si ou redes locais, mas não outras. Para obter mais informações, consulte Conectividade. Cada rede virtual que você conectar a outra rede virtual ou a uma rede local precisa ter um espaço de endereço exclusivo. Cada rede virtual tem um ou mais intervalos de endereço público ou privado atribuídos ao seu espaço de endereço. Um intervalo de endereços é especificado em roteamento do domínio de internet de classes (CIDR), como 10.0.0.0/16. Saiba mais sobre intervalos de endereços para redes virtuais.
  • Você tem os requisitos de administração organizacional de recursos em diferentes redes virtuais? Em caso positivo, você pode separar os recursos em redes virtuais separadas para simplificar atribuição de permissão a indivíduos na sua organização ou atribuir diferentes políticas para diferentes redes virtuais.
  • Você tem requisitos para recursos que podem criar uma rede virtual própria? Quando você implanta alguns recursos de serviço do Azure em uma rede virtual, eles criam sua própria rede virtual. Para determinar se um serviço do Azure cria sua própria rede virtual, confira as informações para cada serviço do Azure que pode ser implantado em uma rede virtual.

Sub-redes

Você pode segmentar uma rede virtual em uma ou mais sub-redes até os limites. Para decidir se você deseja criar uma sub-rede ou várias redes virtuais em uma assinatura, considere os seguintes pontos:

  • Tenha um intervalo de endereço exclusivo para cada sub-rede, especificado no formato CIDR, dentro no espaço de endereço da rede virtual. O intervalo de endereços não pode se sobrepor a outras sub-redes na rede virtual.
  • Lembre-se de que, se você planeja implantar alguns recursos de serviço do Azure em uma rede virtual, eles podem exigir ou criar uma sub-rede própria. Precisa haver espaço não alocado suficiente para eles fazerem isso. Para determinar se um serviço do Azure cria sua própria sub-rede, consulte as informações para cada serviço do Azure que você pode implantar em uma rede virtual. Por exemplo, se você se conectar a uma rede virtual a uma rede local usando um Gateway de VPN do Azure, a rede virtual deve ter uma sub-rede dedicada para o gateway. Saiba mais sobre as sub-redes de gateway.
  • Substitua o roteamento padrão para o tráfego de rede entre todas as sub-redes em uma rede virtual. Você deseja substituir o roteamento do Azure entre sub-redes ou rotear o tráfego entre as sub-redes através de uma solução de virtualização de rede, por exemplo. Se você precisar que o tráfego entre os recursos dos mesmos fluxos de rede virtual por meio de um dispositivo de rede virtual (NVA), implante os recursos em sub-redes diferentes. Saiba mais em Segurança.
  • Limite o acesso a recursos do Microsoft Azure como uma conta de Armazenamento do Microsoft Azure ou Banco de Dados SQL do Azure, para especificar sub-redes com um ponto de extremidade de serviço de rede virtual. Além disso, você pode negar o acesso aos recursos da Internet. Você pode criar várias sub-redes e habilitar um ponto de extremidade de serviço para algumas sub-redes, mas não para outras. Saiba mais sobre pontos de extremidade de serviço e os recursos do Azure para os quais você poe habilitá-los.
  • Associe o grupo de segurança a uma rede ou zero para cada sub-rede em uma rede virtual. Você pode associar o mesmo ou um grupo de segurança de rede para cada sub-rede. Cada grupo de segurança de rede contém regras que permitem ou negam o tráfego de e para origens e destinos. Saiba mais sobre grupos de segurança de rede.

Segurança

Você pode filtrar o tráfego de rede para e de recursos em uma rede virtual usando grupos de segurança de rede e dispositivos de rede virtual. Você pode controlar como o Azure direciona o tráfego de sub-redes. Você também pode limitar quem pode trabalhar com recursos em redes virtuais na sua organização.

Filtragem de tráfego

  • Para filtrar o tráfego de rede entre os recursos em uma rede virtual, use um grupo de segurança de rede, uma NVA que filtra o tráfego de rede, ou ambos. Para implantar uma NVA, como um firewall, para filtrar o tráfego de rede, confira o Azure Marketplace. Ao usar uma NVA, você também cria rotas personalizadas para rotear o tráfego de sub-redes para a NVA. Saiba mais sobre roteamento de tráfego.
  • Um grupo de segurança de rede contém várias regras de segurança padrão que permitem ou negam o tráfego para ou de recursos. Você pode associar um grupo de segurança de rede a um adaptador de rede, à sub-rede na qual o adaptador de rede está ou ambos. Para simplificar o gerenciamento das regras de segurança, é recomendável que você associe um grupo de segurança de rede para as sub-redes individuais, em vez de interfaces de rede individuais dentro da sub-rede, sempre que possível.
  • Se diferentes VMs dentro de uma sub-rede estiverem dentro das regras de segurança aplicadas a elas, você pode associar a interface de rede na VM a um ou mais grupos de segurança do aplicativo. Uma regra de segurança pode especificar um grupo de segurança do aplicativo em sua origem, destino ou ambos. Essa regra, em seguida, só se aplica aos adaptadores de rede que são membros do grupo de segurança de aplicativos. Saiba mais sobre grupos de segurança de rede e grupos de segurança de aplicativo.
  • Quando um grupo de segurança de rede é associado no nível da sub-rede, ele se aplica a todos os controladores de adaptador de rede na sub-rede, não apenas ao tráfego proveniente de fora da sub-rede. O tráfego entre as VMs contidas na sub-rede também pode ser afetado.
  • O Azure cria várias regras de segurança padrão dentro de cada grupo de segurança de rede. Uma regra padrão permite que todo o tráfego flua entre todos os recursos em uma rede virtual. Para substituir esse comportamento, use os grupos de segurança de rede, personalizar roteamento para rotear o tráfego a um NVA, ou ambos. É recomendável que você se familiarize com todas as regras de segurança padrão do Azure e compreenda como as regras de grupo de segurança de rede são aplicadas a um recurso.

Você pode exibir projetos de exemplo para a implementação de uma rede de perímetro (também conhecida como DMZ) entre o Azure e a Internet usando uma NVA.

Roteamento de tráfego

O Azure cria várias rotas padrão para tráfego de saída de uma sub-rede. Você pode substituir o roteamento padrão do Azure criando uma tabela de roteamento e associando-a a uma sub-rede. Os motivos comuns para a substituição do roteamento padrão do Azure são:

  • Você deseja que o tráfego entre sub-redes flua por meio de uma NVA. Saiba mais sobre como configurar tabelas de roteamento para forçar o tráfego por meio de uma NVA.
  • Você deseja forçar todo o tráfego direcionado à internet por meio de uma NVA, ou no local, por meio de um gateway de VPN do Azure. Forçar o tráfego de internet no local para inspeção e registro em log também é conhecido como túnel forçado. Saiba mais sobre como configurar o túnel forçado.

Se você precisar implementar roteamento personalizado, é recomendável que você se familiarize com o roteamento no Azure.

Conectividade

Você pode conectar uma rede virtual para outras redes virtuais usando o emparelhamento de rede virtual, ou para sua rede local, usando um gateway de VPN do Azure.

Emparelhamento

Ao usar o emparelhamento de rede virtual, as redes virtuais podem estar na mesma região do Azure com suporte ou em regiões diferentes. Você pode ter redes virtuais nas mesmas assinaturas do Azure ou em assinaturas diferentes (até mesmo assinaturas pertencentes a locatários diferentes do Microsoft Entra).

Antes de criar um emparelhamento, recomendamos que você se familiarize com todos os requisitos e restrições de emparelhamento. A largura de banda entre recursos em redes virtuais emparelhada na mesma região é a mesma que se os recursos estivessem na mesma rede virtual.

gateway de VPN

Você pode usar um Gateway de VPN do Azure para se conectar a uma rede virtual para sua rede local usando um VPN site a site, ou uma conexão dedicada ao Azure ExpressRoute.

É possível combinar emparelhamento e um gateway de VPN para criar redes de spoke e hub, em que as redes virtuais spoke conectam-se a uma rede virtual do hub, e o hub conecta-se a uma rede local, por exemplo.

Resolução de nomes

Os recursos em uma rede virtual não podem resolver os nomes dos recursos em uma rede virtual emparelhada usando o DNS (Sistema de Nomes de Domínio) interno do Azure. Para resolver nomes em redes virtuais emparelhadas, você precisa implantar seu servidor DNS ou usar domínios privados do DNS do Azure. Resolução de nomes entre redes locais e recursos em uma rede virtual também requer que você implante seu próprio servidor DNS.

Permissões

O Azure usa o controle de acesso baseado em função do Azure. As permissões são atribuídas a um escopo na hierarquia de grupo de gerenciamento, assinatura, grupo de recursos e recurso individual. Para saber mais sobre a hierarquia, consulte Organizar os recursos.

Para trabalhar com redes virtuais do Azure e todos os seus recursos relacionados como emparelhamento, grupos de segurança de rede, pontos de extremidade de serviço e tabelas de rotas, atribua membros de sua organização para as funções interas de Proprietário, Colaborador ouColaborador de rede. Em seguida, atribua a função ao escopo apropriado. Se você quiser atribuir permissões específicas para um subconjunto de recursos de rede virtual, crie uma função personalizada e atribua as permissões específicas necessárias para:

Policy

Com o Azure Policy, você pode criar, atribuir e gerenciar definições de política. As definições de políticas impõem regras diferentes sobre os recursos, portanto, os recursos permanecem em conformidade com os padrões organizacionais e contratos de nível de serviço. O Azure Policy executa uma avaliação de seus recursos. Ele verifica se há recursos que não estão em conformidade com as definições de política que você tem.

Por exemplo, é possível definir e aplicar uma política que permita a criação de redes virtuais em apenas um grupo ou região de recursos específicos. Outra política pode exigir que cada sub-rede tenha um grupo de segurança de rede associado a ela. As políticas então são avaliadas quando você cria e atualiza recursos.

As políticas são aplicadas para a hierarquia a seguir: grupo de gerenciamento, assinatura e grupo de recursos. Saiba mais sobre o Azure Policy ou implante algumas definições do Azure Policy de rede virtual.

Saiba mais sobre todas as tarefas, configurações e opções para um(a):