Descrever as topologias de rede do Azure
A Contoso tem uma ampla rede local que fornece uma base para comunicações entre os recursos implantados em vários data centers e escritórios. É importante que a equipe de TI possa implantar componentes de rede no Azure para habilitar a comunicação dos recursos do Azure entre si e com recursos locais.
Como engenheiro-chefe do sistema, você determina que a rede do Microsoft Azure fornece conectividade com recursos no Azure, entre os serviços do Azure e entre o Azure e seu ambiente local. Como um benefício adicional, há vários componentes de rede do Azure que podem fornecer e ajudar na proteção de aplicativos e que aprimoram a segurança da sua rede.
O que é uma rede virtual?
Ao implantar computadores no ambiente local, normalmente, você os conecta a uma rede, permitindo que eles se comuniquem diretamente entre si. As VNets (redes virtuais) do Azure servem para a mesma finalidade básica.
Ao colocar uma VM na mesma VNet que outras VMs, você efetivamente fornece conectividade IP direta entre elas no mesmo espaço de endereços IP privados. Você também pode conectar VNets diferentes. Além disso, é possível conectar VNets no Azure às redes locais, efetivamente tornando o Azure uma extensão do próprio datacenter.
Uma VNet do Azure constitui um limite lógico definido por um espaço de endereços IP privados de sua escolha. Você divide esse espaço de endereços IP em uma ou mais sub-redes, assim como faria em uma rede local. No entanto, no Azure, as tarefas adicionais de gerenciamento de rede são mais simples.
Por exemplo, alguns recursos de rede, como o roteamento entre sub-redes na mesma VNet, estão automaticamente disponíveis. Da mesma forma, por padrão, cada VM pode acessar a Internet, o que inclui o suporte para conexões de saída e a resolução de nomes DNS.
O que é um adaptador de rede?
Um adaptador de rede é a interconexão entre uma VM e uma VNet. Uma VM precisa ter, no mínimo, um adaptador de rede (conectado a uma VNet), mas pode ter mais de um, dependendo do tamanho da VM que você criar. Você pode criar uma VM com vários adaptadores de rede e adicioná-los ou removê-los por meio do ciclo de vida de uma VM. Vários adaptadores de rede permitem que uma VM se conecte a sub-redes diferentes na mesma VNet e envie ou receba o tráfego pelo adaptador mais apropriado.
Cada adaptador de rede anexado a uma VM deve:
- Existir na mesma localização e assinatura que a VM.
- Estar conectado a uma VNet que existe na mesma localização e assinatura do Azure que a VM.
O que é um Grupo de Segurança de Rede?
Um NSG (grupo de segurança de rede) filtra o tráfego de rede de entrada e saída e contém regras de segurança que são usadas para permitir ou negar o tráfego de rede filtrado. Configurar as regras de segurança de NSG possibilita que você controle o tráfego de rede, permitindo ou negando tipos específicos de tráfego.
Você pode atribuir um NSG a:
- Um adaptador de rede para filtrar o tráfego de rede apenas nesse adaptador.
- Uma sub-rede para filtrar o tráfego em todos os adaptadores de rede conectados na sub-rede.
Você também pode atribuir NSGs tanto a adaptadores de rede quanto a sub-redes. Em seguida, cada NSG é avaliado de maneira independente.
O que é o Firewall do Azure?
O Firewall do Azure é um serviço de segurança de rede baseado em nuvem que ajuda a proteger seus recursos de VNet. Usando o Firewall do Azure, você pode criar e gerenciar de maneira centralizada os perfis de conectividade de rede em sua organização.
O Firewall do Azure usa um endereço IP público estático para seus recursos de VNet. Consequentemente, os firewalls externos podem identificar o tráfego originado da VNet da sua organização. O Firewall do Azure também é totalmente integrado ao Azure Monitor, permitindo o suporte para registro em log e análise.
O que é o gateway de VPN do Azure?
Um gateway de VPN é um tipo específico de gateway de VNet que você pode usar para enviar tráfego criptografado entre locais. Por exemplo, você pode usar o Gateway de VPN do Azure para enviar tráfego criptografado entre:
- Uma VNet do Azure e seu ambiente local pela Internet.
- Diferentes VNets do Azure na rede da Microsoft.
Cada VNet pode ter apenas um gateway de VPN, mas você pode criar várias conexões com o mesmo gateway de VPN.
O que é o Azure ExpressRoute?
Com o Azure ExpressRoute, você pode estender as redes locais diretamente para a nuvem da Microsoft. Ao contrário de uma conexão VPN, o ExpressRoute usa uma conexão privada facilitada por um provedor de telecomunicações. Com o ExpressRoute, você pode estabelecer conexões com os serviços em nuvem da Microsoft, incluindo o Azure e o Microsoft Office 365.
O que é a WAN Virtual do Azure?
A WAN Virtual do Azure é um serviço de rede que fornece funcionalidades de rede, segurança e roteamento. A WAN Virtual usa a arquitetura hub e spoke com dimensionamento e desempenho internos. As regiões do Azure servem como hubs para os quais é possível optar por se conectar. Todos os hubs são conectados em malha completa em uma WAN Virtual Padrão, o que facilita para o usuário usar o backbone da Microsoft para conectividade de qualquer um para qualquer um (qualquer spoke).
A WAN Virtual do Azure inclui as seguintes funcionalidades:
- Conectividade de filial
- Conectividade de VPN S2S (site a site)
- Conectividade de VPN P2S (ponto a site) (usuário remoto)
- Conectividade do ExpressRoute
- Conectividade dentro da nuvem
- Interconectividade do ExpressRoute de VPN
- Roteamento
- Firewall do Azure
- Criptografia
Você não precisa habilitar e usar todas essas funcionalidades para começar a usar a WAN Virtual. Em vez disso, pode escolher a funcionalidade de que precisa agora e adicionar mais conforme suas necessidades organizacionais.
Extensão de sub-rede do Azure
Ao considerar a extensão de suas cargas de trabalho para a nuvem, a equipe da Contoso investigou várias soluções que estão sendo oferecidas pelo Azure, incluindo as extensões de sub-rede do Azure. Estender uma sub-rede permite que você inclua recursos do Azure como parte de suas próprias sub-redes locais, o que essencialmente torna esses locais separados parte do mesmo domínio de difusão IP. Um recurso especialmente atrativo de uma extensão de sub-rede é que a equipe de infraestrutura da Contoso não precisa necessariamente rearquitetar a topologia de rede local.
Cuidado
Evite usar a extensão de sub-rede, exceto talvez como uma medida temporária para resolver um problema específico.
Você pode estender uma sub-rede local para o Azure usando uma solução baseada em rede de sobreposição de camada 3. Normalmente, você usará uma solução VXLAN para estender a rede de camada 2 usando uma rede de sobreposição de camada 3.
O diagrama a seguir demonstra um cenário generalizado. No cenário, a sub-rede 10.0.1.0/24 existe em ambos os lados; ou seja, no Azure e também no local. Ambas as sub-redes contêm cargas de trabalho virtualizadas. A extensão de sub-rede conecta essas duas partes da mesma sub-rede. A equipe de infraestrutura atribuiu endereços IP da sub-rede a VMs no Azure e no local.
Em outro lugar da infraestrutura, no ambiente local, uma NVA (solução de virtualização de rede) conecta-se por meio de uma conexão do ExpressRoute a uma NVA em uma sub-rede diferente no Azure. Quando uma VM na rede local tenta se comunicar com uma VM do Azure, a NVA local captura o pacote, encapsula-o e o envia pela conexão VPN/ExpressRoute à rede do Azure. A NVA do Azure recebe o pacote, desencapsula-o e o encaminha para o destinatário pretendido em sua rede. O tráfego de retorno funciona usando a mesma lógica, mas na ordem inversa.
