Compartilhar via

Como criar uma Solução de Virtualização de Rede em um hub de WAN Virtual do Azure

  • Artigo

Este artigo mostra como implantar uma Solução de Virtualização de Rede Integrada (NVA) em um hub de WAN Virtual do Azure.

Tela de fundo

As NVAs implantadas no hub de WAN Virtual costumam ser divididas em três categorias:

  • Dispositivos de conectividade: usados para terminar conexões de VPN e SD-WAN a partir do local. Os dispositivos de conectividade usam o Border Gateway Protocol (BGP) para compartilhar rotas com o hub de WAN Virtual.
  • Dispositivos de Firewall de Última Geração (NGFW): usados com Intenção de Roteamento para fornecer uma inspeção tipo bump-in-the-wire do tráfego que atravessa o hub de WAN Virtual.
  • Dispositivos de dupla função com conectividade e firewall: um único dispositivo que tanto conecta os dispositivos locais ao Azure quanto inspeciona o tráfego que atravessa o hub de WAN Virtual com Intenção de Roteamento.

Para obter a lista de NVAs que podem ser implantadas no hub de WAN Virtual e seus respectivos recursos, confira Parceiros de NVA para WAN Virtual.

Mecanismos de implantação

As Soluções de Virtualização de Rede podem ser implantadas por meio de fluxos de trabalho diferentes. Diferentes parceiros de Solução de Virtualização de Rede dão suporte a diferentes mecanismos de implantação. Todos os parceiros de NVA integrada à WAN Virtual dão suporte ao fluxo de trabalho do Aplicativo Gerenciado do Azure Marketplace. Para obter informações sobre outros métodos de implantação, consulte a documentação do seu provedor de NVA.

  • Aplicativo Gerenciado do Azure Marketplace: todos os parceiros de NVA de WAN Virtual usam Aplicativos Gerenciados do Azure para implantar NVAs integradas no hub de WAN Virtual. Os Aplicativos Gerenciados do Azure oferecem uma maneira fácil de implantar NVAs no hub de WAN Virtual por meio de uma experiência no portal do Azure criada pelo provedor de NVA. A experiência no portal do Azure coleta os parâmetros críticos de implantação e configuração necessários para implantar e inicializar a NVA. Para obter mais informações sobre os Aplicativos Gerenciados do Azure, confira a documentação de Aplicativos Gerenciados. Consulte a documentação do seu provedor sobre o fluxo de trabalho completo de implantação por meio do Aplicativo Gerenciado do Azure.
  • Implantações do orquestrador de NVAs: determinados parceiros de NVA permitem que você implante NVAs no hub diretamente a partir do software de gerenciamento ou orquestração de NVAs. As implantações de NVAs a partir do software de orquestração de NVAs costumam requerer que você forneça uma entidade de serviço do Azure para o software de orquestração de NVAs. A entidade de serviço do Azure é usada pelo software de orquestração de NVAs para interagir com as APIs do Azure ao implantar e gerenciar NVAs no hub. Esse fluxo de trabalho é específico para a implementação do provedor de NVA. Consulte a documentação do seu provedor para obter mais informações.
  • Outros mecanismos de implantação: os parceiros de NVA também podem oferecer outros mecanismos para implantar NVAs no hub, como modelos do ARM e o Terraform. Consulte a documentação do seu provedor para obter mais informações sobre outros mecanismos de implantação com suporte.

Pré-requisitos

O tutorial a seguir pressupõe que você tenha implantado um recurso de WAN Virtual com pelo menos um hub de WAN Virtual. O tutorial também pressupõe que você esteja implantando NVAs por meio do Aplicativo Gerenciado do Azure Marketplace.

Permissões necessárias

Para implantar uma Solução de Virtualização de Rede em um hub de WAN Virtual, o usuário ou entidade de serviço que criam e gerenciam a NVA devem ter, no mínimo, as seguintes permissões:

  • Microsoft.Network/virtualHubs/read no hub de WAN Virtual em que a NVA estiver implantada.
  • Microsoft.Network/networkVirtualAppliances/write no grupo de recursos em que a NVA estiver implantada.
  • Microsoft.Network/publicIpAddresses/join nos recursos de endereços IP públicos implantados junto com a Solução de Virtualização de Rede para casos de uso de entrada da internet.

Essas permissões precisam ser concedidas ao Aplicativo Gerenciado do Azure Marketplace para garantir que as implantações sejam bem-sucedidas. Outras permissões podem ser necessárias com base na implementação do fluxo de trabalho de implantação desenvolvido por seu parceiro de NVA.

Atribuição de permissões ao Aplicativo Gerenciado do Azure

As Soluções de Virtualização de Rede implantadas por meio do Aplicativo Gerenciado do Azure Marketplace são implantadas em um grupo de recursos especial no seu locatário do Azure chamado grupo de recursos gerenciados. Quando você cria um Aplicativo Gerenciado na sua assinatura, um grupo de recursos gerenciados correspondente e separado é criado na assinatura. Todos os recursos do Azure criados pelo Aplicativo Gerenciado (incluindo a Solução de Virtualização de Rede) são implantados no grupo de recursos gerenciados.

O Azure Marketplace possui uma entidade de serviço interna que executa a implantação de recursos no grupo de recursos gerenciados. Essa entidade de segurança interna tem permissões para criar recursos no grupo de recursos gerenciados, mas não tem permissões para ler, atualizar ou criar recursos do Azure fora do grupo de recursos gerenciados.

Para garantir que sua implantação de NVA seja executada com o nível suficiente de permissões, conceda permissões adicionais à entidade de serviço de implantação do Azure Marketplace ao implantar seu Aplicativo Gerenciado com uma identidade gerenciada atribuída pelo usuário que tenha permissões sobre o hub de WAN Virtual e o endereço IP público que você quiser usar com sua Solução de Virtualização de Rede. Essa identidade gerenciada atribuída pelo usuário é usada apenas para a implantação inicial de recursos no grupo de recursos gerenciados e somente no contexto dessa implantação do Aplicativo Gerenciado.

Observação

Somente as identidades do sistema atribuídas pelo usuário podem ser atribuídas aos Aplicativos Gerenciados do Azure para implantar Soluções de Virtualização de Rede no hub de WAN Virtual. As identidades atribuídas pelo sistema ainda não têm suporte.

  1. Crie uma nova identidade atribuída pelo usuário. Para obter as etapas da criação de novas identidades atribuídas pelo usuário, confira a documentação de identidade gerenciada. Você também pode usar uma identidade atribuída pelo usuário existente.
  2. Atribua permissões à sua identidade atribuída pelo usuário para ter, no mínimo, as permissões descritas na seção Permissões Necessárias, juntamente com todas as permissões requeridas por seu provedor de NVA. Você também pode conceder à identidade atribuída pelo usuário uma função integrada do Azure, como Colaborador de Rede, que contenha um superconjunto das permissões necessárias.

Alternativamente, você também pode criar uma função personalizada com a amostra de definição a seguir e atribuir a função personalizada à sua identidade gerenciada atribuída pelo usuário.

{  
"Name": "Virtual WAN NVA Operator", 
  "IsCustom": true,
  "Description": "Can perform deploy and manage NVAs in the Virtual WAN hub.",
  "Actions": [
    "Microsoft.Network/virtualHubs/read",
    "Microsoft.Network/publicIPAddresses/join",
    "Microsoft.Network/networkVirtualAppliances/*",
    "Microsoft.Network/networkVirtualAppliances/inboundSecurityRules/*"    
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
    "/subscriptions/{subscription where Virtual Hub and NVA is deployed}",
    "/subscriptions/{subscription where Public IP used for NVA is deployed}",
  ]
}

Implantação da NVA

A seção a seguir descreve as etapas necessárias para implantar uma Solução de Virtualização de Rede no hub de WAN Virtual usando o Aplicativo Gerenciado do Azure Marketplace.

  1. Navegue até seu hub de WAN Virtual e selecione Soluções de Virtualização de Rede na guia Provedores de terceiros.

Captura de tela mostrando como navegar até o menu da NVA no hub de WAN virtual.

  1. Selecione Criar solução de virtualização de rede.

Captura de tela mostrando como criar a NVA.

  1. Escolha o fornecedor de NVA. Nesse exemplo, "fortinet-ngfw" está selecionado; selecione Criar. Nesta altura, você será redirecionado para o aplicativo gerenciado do Azure Marketplace do parceiro de NVA.

Captura de tela mostrando como selecionar o fornecedor de NVA.

  1. Siga a experiência de criação do aplicativo gerenciado para implantar sua NVA e consulte a documentação do provedor. Certifique-se de que a identidade do sistema atribuída pelo usuário criada na seção anterior esteja selecionada como parte do fluxo de trabalho de criação do aplicativo gerenciado.

Erros de implantação comuns

Erros de permissão

Observação

A mensagem de erro associada a um LinkedAuthorizationFailed mostra apenas uma permissão ausente. Como resultado, você poderá ver uma permissão ausente diferente após atualizar as permissões atribuídas à sua entidade de serviço ou ao seu usuário.

  • Se estiver vendo uma mensagem de erro com o código de erro LinkedAuthorizationFailed, isso significa que a identidade atribuída pelo usuário fornecida como parte da implantação do Aplicativo Gerenciado não tinha as permissões adequadas atribuídas. As exatas permissões ausentes estão descritas na mensagem de erro. No exemplo a seguir, verifique novamente se a identidade gerenciada atribuída pelo usuário tem permissões READ (leitura) no hub de WAN Virtual em que você está tentando implantar a NVA.
The client with object id '<>' does not have authorization to perform action 'Microsoft.Network/virtualHubs/read' over scope '/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>' or the scope is invalid. If access was recently granted, please refresh your credentials

Próximas etapas