Explorar o Azure ExpressRoute
Conforme sua empresa lida com os dados altamente confidenciais e gera grandes quantidades de informações que são armazenadas no Azure, aparecem algumas preocupações sobre segurança e confiabilidade das conexões pela Internet pública. A empresa não está disposta a migrar totalmente para o Azure, a menos que ele pode demonstrar níveis mais altos de conectividade, segurança e confiabilidade.
Aqui, vamos além das conexões executadas pela Internet para examinar linhas dedicadas diretas para datacenters do Azure.
Azure ExpressRoute
O Microsoft Azure ExpressRoute permite que as organizações estendam suas redes locais até o Microsoft Cloud por meio de uma conexão privada implementada por um provedor de conectividade. Essa disposição faz com que a conectividade com datacenters do Azure não passe pela Internet e, sim, por um link dedicado. O ExpressRoute também facilita conexões eficientes com outros serviços baseados em nuvem da Microsoft, como o Microsoft 365 e o Dynamics 365.
As vantagens que o ExpressRoute fornece incluem:
Velocidades mais rápidas, de 50 Mbps a 10 Gbps, com dimensionamento dinâmico da largura de banda
Menor latência
Maior confiabilidade com emparelhamento interno
Altamente seguro
O ExpressRoute traz mais benefícios, como:
Conectividade com todos os serviços do Azure com suporte
Conectividade global com todas as regiões (requer o complemento premium)
Roteamento dinâmico pelo Border Gateway Protocol
Contratos de Nível de Serviço (SLAs) pelo tempo de atividade da conexão
QoS (Qualidade de Serviço) para o Skype for Business
Além disso, há o complemento Premium do ExpressRoute, que oferece benefícios como aumento de limites de rota, conectividade de serviço global e aumento de links de rede virtual por circuito.
Modelos de conectividade do ExpressRoute
As conexões para o ExpressRoute podem ocorrer por meio dos seguintes mecanismos:
Rede VPN IP (de qualquer ponto a qualquer ponto)
Conexão cruzada virtual por meio de uma troca de Ethernet
Conexão Ethernet ponto a ponto
Os recursos do ExpressRoute são idênticos em todos os modelos de conectividade mencionados acima.
O que é conectividade de camada 3?
A Microsoft usa um protocolo padrão do setor para roteamento dinâmico (BGP) a fim de trocar rotas entre sua rede local, suas instâncias no Azure e os endereços públicos da Microsoft. Estabelecemos várias sessões BGP com sua rede para perfis de tráfego diferentes.
Redes de qualquer ponto a qualquer ponto (IPVPN)
Provedores IPVPN normalmente fornecem conectividade entre as filiais e seu datacenter corporativo por meio de conexões gerenciadas de camada 3. Com o ExpressRoute, os datacenters do Azure aparecem como se fossem outra filial.
Conexão cruzada virtual por meio de uma troca de Ethernet
Se sua organização estiver colocalizada com instalações de troca de nuvem, solicite conexões cruzadas para o Microsoft Cloud pela troca de Ethernet de seu provedor. Essas conexões cruzadas para o Microsoft Cloud podem operar nas conexões gerenciadas de camada 2 ou camada 3, assim como no modelo de rede OSI.
Conexão Ethernet ponto a ponto
Os links de Ethernet ponto a ponto podem fornecer conexões de camada 2 ou conexões gerenciadas de camada 3 entre seus escritórios ou datacenters locais e o Microsoft Cloud.
Como funciona o ExpressRoute
O Azure ExpressRoute usa uma combinação de circuitos do ExpressRoute e domínios de roteamento para fornecer conectividade de alta largura de banda para o Microsoft Cloud.
O que são os circuitos do ExpressRoute
Um circuito do ExpressRoute é a conexão lógica entre sua infraestrutura local e o Microsoft Cloud. Um provedor de conectividade implementa essa conexão, embora algumas organizações usem vários provedores de conectividade para fins de redundância. Cada circuito tem uma largura de banda fixa de 50, 100, 200 ou 500 Mbps, ou 1 ou 10 Gbps, e cada um desses circuitos mapeia para um provedor de conectividade e um local de emparelhamento. Além disso, cada circuito do ExpressRoute tem cotas e limites padrão.
Um circuito do ExpressRoute não é equivalente a uma conexão de rede ou um dispositivo de rede. Cada circuito é definido por um GUID, chamado de service ou s-key. Essa s-key fornece o link de conectividade entre a Microsoft, seu provedor de conectividade e sua organização; ela não é um segredo de criptografia. Cada s-key é mapeado individualmente para um circuito do Azure ExpressRoute.
Cada circuito pode ter até dois emparelhamentos, que são um par de sessões BGP configuradas para redundância. Eles são:
- Privado do Azure
- Microsoft
Domínios de roteamento
Os circuitos do ExpressRoute, em seguida, mapeiam para domínios de roteamento, com cada circuito do ExpressRoute apresentando vários domínios de roteamento. Esses domínios são os mesmos dois emparelhamentos listados anteriormente. Em uma configuração ativo-ativo, cada par de roteadores teria cada domínio de roteamento configurado de modo idêntico, oferecendo alta disponibilidade. Os nomes de emparelhamento privado do Azure representam os esquemas de endereçamento IP.
Emparelhamento privado do Azure
O emparelhamento privado do Azure conecta-se aos serviços de computação do Azure, como máquinas virtuais e serviços de nuvem, que são implantados com uma rede virtual. Em termos de segurança, o domínio de emparelhamento privado é simplesmente uma extensão de sua rede local para o Azure. Em seguida, habilite a conectividade bidirecional entre a rede e as redes virtuais do Azure, se houver, tornando os endereços IP da VM do Azure visíveis dentro de sua rede interna.
Você só pode conectar uma rede virtual ao domínio de emparelhamento privado.
Emparelhamento da Microsoft
O emparelhamento da Microsoft dá suporte a conexões com ofertas de SaaS baseadas em nuvem, como o Microsoft 365 e o Dynamics 365. Essa opção de emparelhamento fornece conectividade bidirecional entre os serviços de WAN de sua empresa e os serviços em nuvem da Microsoft.
Integridade do ExpressRoute
Assim como acontece com a maioria dos recursos do Microsoft Azure, você pode monitorar as conexões do ExpressRoute para ter certeza de que elas estão sendo executadas de maneira satisfatória. O monitoramento inclui a cobertura das seguintes áreas:
- Disponibilidade
- Conectividade com redes virtuais
- Utilização de largura de banda
A principal ferramenta para essa atividade de monitoramento é o Monitor de Desempenho de Rede, particularmente para o ExpressRoute.
O Azure ExpressRoute é usado para criar conexões privadas entre os datacenters do Azure e a infraestrutura no seu local ou em um ambiente de colocalização. As conexões do ExpressRoute não passam pela Internet pública e oferecem mais confiabilidade, velocidades maiores, latências menores e mais segurança do que conexões típicas pela Internet.