Excelência operacional e Rede Virtual do Azure
Um bloco de construção fundamental para sua rede privada, a Rede Virtual do Azure permite que os recursos do Azure se comuniquem com segurança entre si, com a Internet e com as redes locais.
Os principais recursos da Rede Virtual do Azure incluem:
- Comunicação com recursos do Azure
- Comunicação com a internet
- Comunicação com recursos locais
- Filtragem de tráfego de rede
Para obter mais informações, consulte O que é a Rede Virtual do Azure?
Para entender como a Rede Virtual do Azure dá suporte à excelência operacional, consulte os seguintes tópicos:
- Monitorando a Rede Virtual do Azure
- Referência de dados da Rede Virtual do Azure
- Conceitos e as melhores práticas da Rede virtual do Azure
Considerações sobre o design
A VNet (Rede Virtual) inclui as seguintes considerações de design para excelência operacional:
- A sobreposição de espaços de endereço IP entre regiões locais e do Azure cria grandes desafios de contenção.
- Embora um espaço de endereço de Rede Virtual possa ser adicionado após a criação, esse processo exigirá uma interrupção se a Rede Virtual já estiver conectada a outra Rede Virtual por meio de emparelhamento. Uma interrupção é necessária porque o emparelhamento de Rede Virtual é excluído e recriado.
- Alguns serviços do Azure exigem sub-redes dedicadas, como:
- Firewall do Azure
- Azure Bastion
- Gateway de Rede Virtual
- As sub-redes podem ser delegadas a determinados serviços para criar instâncias desse serviço dentro da sub-rede.
- O Azure reserva cinco endereços IP em cada sub-rede, que devem ser levados em consideração ao dimensionar Redes Virtuais e sub-redes abrangidas.
Lista de Verificação
Você configurou a Rede Virtual do Azure com a excelência operacional em mente?
- Use os Planos de Proteção Standard contra DDoS do Azure para proteger todos os pontos de extremidade públicos hospedados nas Redes Virtuais do cliente.
- Os clientes corporativos devem planejar o endereçamento IP no Azure para garantir que não haja espaço de endereço IP sobreposto entre locais considerados e regiões do Azure.
- Use endereços IP da alocação de endereços para internets privadas (Request for Comment (RFC) 1918).
- Para ambientes com disponibilidade limitada de endereços IP privados (RFC 1918), considere o uso de IPv6.
- Não crie Redes Virtuais desnecessariamente grandes (por exemplo:
/16) para garantir que não haja desperdício desnecessário de espaço de endereço IP. - Não crie Redes Virtuais sem planejar o espaço de endereço necessário com antecedência.
- Não use endereços IP públicos para Redes Virtuais, especialmente se os endereços IP públicos não pertencerem ao cliente.
- Use os Pontos de Extremidade de Serviço de VNet para proteger o acesso aos serviços de PaaS (Plataforma como Serviço) do Azure de dentro de uma VNet do cliente.
- Para resolver problemas de exfiltração de dados com pontos de extremidade de serviço, use a filtragem de NVA (Solução de Virtualização de Rede) e as políticas de ponto de extremidade de serviço de VNet para o Armazenamento do Azure.
- Não implemente o túnel forçado para habilitar a comunicação do Azure com os recursos do Azure.
- Acesse os serviços de PaaS do Azure localmente por meio do Emparelhamento Privado do ExpressRoute.
- Para acessar os serviços de PaaS do Azure de redes locais quando a injeção de VNet ou o Link Privado não estiverem disponíveis, use o ExpressRoute com o Emparelhamento da Microsoft quando não houver preocupações de exfiltração de dados.
- Não replique conceitos e arquiteturas de rede de perímetro local (também conhecida como DMZ, zona desmilitarizada e sub-rede filtrada) no Azure.
- Verifique se a comunicação entre os serviços de PaaS do Azure que foram injetados em uma Rede Virtual está bloqueada na Rede Virtual usando UDRs (rotas definidas pelo usuário) e NSGs (grupos de segurança de rede).
- Não use pontos de extremidade de serviço de VNet quando houver preocupações de exfiltração de dados, a menos que a filtragem de NVA seja usada.
- Não habilite Pontos de Extremidade de Serviço de VNet por padrão em todas as sub-redes.
Recomendações de configuração
Considere as seguintes recomendações para excelência operacional ao configurar uma Rede Virtual do Azure:
| Recomendação | Descrição |
|---|---|
| Não crie Redes Virtuais sem planejar o espaço de endereço necessário com antecedência. | Adicionar espaço de endereço causará uma interrupção depois que uma Rede Virtual for conectada por meio do emparelhamento de Rede Virtual. |
| Use os Pontos de Extremidade de Serviço de VNet para proteger o acesso aos serviços de PaaS (Plataforma como Serviço) do Azure de dentro de uma VNet do cliente. | Somente quando o Link Privado não estiver disponível e quando não houver preocupações com a exfiltração de dados. |
| Acesse os serviços de PaaS do Azure localmente por meio do Emparelhamento Privado do ExpressRoute. | Use a injeção de VNet para serviços dedicados do Azure ou o Link Privado do Azure para serviços compartilhados disponíveis do Azure. |
| Para acessar os serviços de PaaS do Azure de redes locais quando a injeção de VNet ou o Link Privado não estiverem disponíveis, use o ExpressRoute com o Emparelhamento da Microsoft quando não houver preocupações de exfiltração de dados. | Evita o trânsito pela Internet pública. |
| Não replique conceitos e arquiteturas de rede de perímetro local (também conhecida como DMZ, zona desmilitarizada e sub-rede filtrada) no Azure. | Os clientes podem obter recursos de segurança semelhantes no Azure como locais, mas a implementação e a arquitetura precisarão ser adaptadas à nuvem. |
| Verifique se a comunicação entre os serviços de PaaS do Azure que foram injetados em uma Rede Virtual está bloqueada na Rede Virtual usando UDRs (rotas definidas pelo usuário) e NSGs (grupos de segurança de rede). | Os serviços de PaaS do Azure que foram injetados em uma Rede Virtual ainda executam operações de plano de gerenciamento usando endereços IP públicos. |