Identificar funcionalidades de roteamento de uma Rede Virtual do Azure

Concluído

Para controlar o fluxo de tráfego em sua rede virtual, você deve aprender a finalidade e os benefícios das rotas personalizadas. Você também deve aprender como configurar as rotas para direcionar o fluxo de tráfego por meio de uma NVA (solução de virtualização de rede).

Roteamento do Azure

O tráfego de rede no Azure é roteado automaticamente entre sub-redes do Azure, redes virtuais e redes locais. As rotas do sistema controlam esse roteamento. Elas são atribuídas por padrão a cada sub-rede em uma rede virtual. Com essas rotas do sistema, qualquer máquina virtual do Azure implantada em uma rede virtual pode se comunicar com qualquer outra na rede. Essas máquinas virtuais também podem ser potencialmente acessadas localmente por meio de uma rede híbrida ou da Internet.

Não é possível criar ou excluir rotas do sistema, mas é possível substituir as rotas do sistema adicionando rotas personalizadas para controlar o fluxo de tráfego para o próximo salto.

Cada sub-rede tem as rotas do sistema padrão a seguir:

Prefixo de endereço	Tipo do próximo salto
Exclusivo para a rede virtual	Rede virtual
0.0.0.0/0	Internet
10.0.0.0/8	Nenhum
172.16.0.0/12	Nenhum
192.168.0.0/16	Nenhum
100.64.0.0/10	Nenhum

A coluna Tipo do próximo salto mostra o caminho de rede usado pelo tráfego enviado a cada prefixo de endereço. O caminho pode ser um dos seguintes tipos de salto:

• Rede virtual: Uma rota é criada no prefixo de endereço. O prefixo representa cada intervalo de endereços criado no nível de rede virtual. Se vários intervalos de endereços forem especificados, várias rotas serão criadas para cada intervalo de endereços.
• Internet: A rota do sistema padrão de 0.0.0.0/0 roteia qualquer intervalo de endereços para a Internet, a menos que você substitua a rota padrão do Azure por uma rota personalizada.
• Nenhum: O tráfego roteado para esse tipo do salto é removido e não é roteado fora da sub-rede. Por padrão, os seguintes prefixos de endereço IP IPv4 privados são criados: 10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16. O prefixo 100.64.0.0/10 para um espaço de endereço compartilhado também é adicionado. Nenhum desses intervalos de endereços é roteável globalmente.

O diagrama a seguir oferece uma visão geral das rotas do sistema e da maneira como o tráfego flui entre sub-redes e a Internet por padrão. Você pode ver no diagrama que o tráfego flui livremente entre as duas sub-redes e a Internet.

No Azure, existem outras rotas do sistema. O Azure criará essas rotas se os seguintes recursos estiverem habilitados:

• Emparelhamento de rede virtual
• Encadeamento de serviços
• Gateway de rede virtual
• Ponto de extremidade de serviço de rede virtual

Emparelhamento de rede virtual e encadeamento de serviços

O emparelhamento de rede virtual e o encadeamento de serviço permitem que as redes virtuais no Azure se conectem umas às outras. Com essa conexão, as máquinas virtuais podem se comunicar entre si dentro da mesma região ou entre regiões. Essa comunicação, por sua vez, cria mais rotas dentro da tabela de rotas padrão. O encadeamento de serviços permite que você substitua essas rotas, criando rotas definidas pelo usuário entre redes emparelhadas.

O diagrama a seguir mostra duas redes virtuais com emparelhamento configurado. As rotas definidas pelo usuário são configuradas para rotear o tráfego por meio de uma NVA ou de um gateway de VPN do Azure.

Gateway de rede virtual

Use um gateway de rede virtual para enviar o tráfego criptografado entre o Azure e o local pela Internet e para enviar tráfego criptografado entre redes do Azure. Um gateway de rede virtual contém tabelas de roteamento e serviços de gateway.

Ponto de extremidade de serviço de rede virtual

Os pontos de extremidade de rede virtual estendem seu espaço de endereço privado no Azure, fornecendo uma conexão direta com os recursos do Azure. Essa conexão restringe o fluxo de tráfego: as máquinas virtuais do Azure podem acessar a conta de armazenamento diretamente do espaço de endereço privado e negar o acesso de uma máquina virtual pública. À medida que você habilita os pontos de extremidade de serviço, o Azure cria rotas na tabela de rotas para direcionar esse tráfego.

Rotas personalizadas

As rotas do sistema podem tornar mais fácil para você colocar seu ambiente em funcionamento rapidamente. No entanto, há muitos cenários em que é recomendável controlar mais de perto o fluxo de tráfego em sua rede. Por exemplo, talvez você queira rotear o tráfego por meio de um NVA ou de um firewall. Esse controle é possível com rotas personalizadas.

Você tem duas opções para implementar rotas personalizadas: criar uma rota definida pelo usuário ou usar um BGP (Border Gateway Protocol) para trocar rotas entre redes locais e do Azure.

Rotas definidas pelo usuário

Você pode usar uma rota definida pelo usuário para substituir as rotas do sistema padrão para que o tráfego possa ser roteado por meio de firewalls ou de NVAs.

Por exemplo, você pode ter uma rede com duas sub-redes e querer adicionar uma máquina virtual na rede de perímetro para ser usada como um firewall. Você pode criar uma rota definida pelo usuário para que o tráfego passe pelo firewall e não passe diretamente entre as sub-redes.

Ao criar rotas definidas pelo usuário, você pode especificar esses tipos de próximo salto:

• Solução de virtualização: uma solução de virtualização normalmente é um dispositivo de firewall, usada para analisar ou filtrar o tráfego que entra ou sai da rede. Você pode especificar o endereço IP privado de uma Placa de Interface de Rede (NIC) anexada a uma máquina virtual para que o encaminhamento de IP possa ser habilitado. Ou você pode fornecer o endereço IP privado de um balanceador de carga interno.
• Gateway de rede virtual: use-o para indicar quando você quer que as rotas para um endereço específico sejam roteadas para um gateway de rede virtual. O gateway de rede virtual é especificado como um VPN para o tipo de próximo salto.
• Rede virtual: use esse tipo de próximo salto para substituir a rota do sistema padrão dentro de uma rede virtual.
• Internet: use para rotear o tráfego para um prefixo de endereço especificado que é roteado para a Internet.
• Nenhum: use para descartar o tráfego enviado para um prefixo de endereço especificado.

Com as rotas definidas pelo usuário, você não pode especificar o tipo de próximo salto VirtualNetworkServiceEndpoint, que indica emparelhamento de rede virtual.

Marcas de serviço para rotas definidas pelo usuário

Você pode especificar uma marca de serviço como o prefixo de endereço para uma rota definida pelo usuário em vez de um intervalo de IP explícito. Uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. A Microsoft gerencia os prefixos de endereço englobados pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço conforme os endereços mudam, minimizando assim a complexidade das atualizações frequentes para rotas definidas pelo usuário e reduzindo o número de rotas que você precisa criar.

Border Gateway Protocol

Um gateway de rede em sua rede local pode trocar rotas com um gateway de rede virtual no Azure usando o BGP. BGP é o protocolo de roteamento padrão que normalmente é usado para trocar informações de roteamento entre duas ou mais redes. O BGP é usado para transferir dados e informações entre sistemas autônomos na Internet, como gateways de host diferentes.

Normalmente, você usa o BGP para anunciar rotas locais para o Azure quando você está conectado a um datacenter do Azure por meio do Azure ExpressRoute. Você poderá configurar o BGP se você se conectar a uma rede virtual do Azure usando a conexão VPN site a site.

O diagrama a seguir mostra uma topologia com caminhos que podem transitar dados entre o Gateway de VPN do Azure e as redes locais:

O BGP oferece estabilidade de rede porque os roteadores poderão alterar rapidamente as conexões para enviar pacotes se um caminho de conexão ficar inativo.

Seleção e prioridade de rotas

Se várias rotas ficarem disponíveis em uma tabela de rotas, o Azure usará a rota com a correspondência de maior prefixo. Por exemplo, uma mensagem é enviada para o endereço IP 10.0.0.2, mas duas rotas estão disponíveis com os prefixos 10.0.0.0/16 e 10.0.0.0/24. O Azure seleciona a rota com o prefixo 10.0.0.0/24 porque é mais específica.

Quanto mais longo o prefixo de rota, mais curta a lista de endereços IP disponíveis por meio desse prefixo. Com o uso de prefixos mais longos, o algoritmo de roteamento pode selecionar o endereço pretendido mais rapidamente.

Não é possível configurar várias rotas definidas pelo usuário com o mesmo prefixo de endereço.

Se houver várias rotas com o mesmo prefixo de endereço, o Azure seleciona a rota com base em seu tipo, na seguinte ordem de prioridade:

1. Rotas definidas pelo usuário
2. Rotas BGP
3. Rotas do sistema

Verificar seu conhecimento

1.

Por que você usaria uma rota personalizada em uma rede virtual?

Para balancear a carga do tráfego na sua rede virtual.

Para se conectar às suas Máquinas Virtuais do Azure usando RDP ou SSH.

Para controlar o fluxo de tráfego na sua rede virtual do Azure.

Para conectar a recursos em outra rede virtual hospedada no Azure.

2.

Por que você pode usar o emparelhamento de rede virtual?

Para conectar redes virtuais na mesma região ou entre regiões.

Para atribuir endereços IP públicos a todos os seus recursos entre várias redes virtuais.

Para que os balanceadores de carga possam controlar o fluxo de tráfego entre suas redes virtuais.

Para executar relatórios personalizados que verificam e identificam quais recursos estão sendo executados em todas as suas redes virtuais, em vez de executar relatórios em cada rede virtual.

É necessário responder a todas as perguntas antes de verificar o trabalho.