Rede de nuvem híbrida

  • 10 minutos

Uma rede local tradicional multisite pode precisar conectar várias filiais a uma sede. De modo semelhante, a rede de nuvem híbrida envolve o uso de tecnologias adequadas para interconectar diretamente usuários, aplicativos e dados locais a aplicativos e dados hospedados na nuvem.

No nosso cenário, a Tailwind Traders precisa conseguir conectar os pontos locais dela de maneira segura aos recursos que eles estão executando no Azure. A Tailwind Traders precisa fazer isso para que, para a equipe dela, não haja nenhuma diferença real entre acessar uma carga de trabalho em execução em um datacenter local da Tailwind Traders e um que esteja em execução no Azure.

Nesta unidade, você saberá mais sobre tecnologias de rede que permitem que recursos locais e de nuvem estejam em rede com uma nuvem híbrida.

O que é uma VPN do Azure?

Um gateway de VPN do Azure permite que você conecte sua rede local ao Azure usando um túnel VPN seguro na Internet pública. As conexões de VPN do Azure são como conexões VPN tradicionais que podem existir entre uma filial e uma sede. Cada rede virtual só pode ter um gateway de VPN, mas cada gateway de VPN dá suporte a várias conexões.

A imagem a seguir mostra uma conexão entre um dispositivo de gateway de perímetro da rede local e um gateway de VPN em uma rede virtual do Azure. Ela ilustra a conexão entre um dispositivo do Azure Stack e um gateway de VPN.

Diagrama de uma rede híbrida que abrange infraestruturas locais e do Azure.

No exemplo da Tailwind Traders, a empresa pode usar gateways de VPN do Azure para permitir conexões de sites de filial menores que não precisam do tipo de link dedicado fornecido por uma conexão do Azure ExpressRoute. A principal desvantagem dos gateways de VPN do Azure é que eles dependem da conexão com a Internet do ISP (provedor de serviços de Internet). Se houver uma interrupção no seu ISP, as conexões VPN não poderão ser estabelecidas. Da mesma forma, se houver um congestionamento substancial no seu ISP, a velocidade da conexão VPN entre um ponto local e o Azure poderá ser degradada.

As organizações com conexões VPN existentes entre sites de filiais já enfrentam desafios que as conexões VPN dedicadas representam.

O que é o Azure ExpressRoute?

O Microsoft Azure ExpressRoute permite que uma organização tenha uma conexão privada de alta velocidade dedicada da rede local dela com o Azure. Essa conexão não passa pela Internet pública. Funcionalmente, ela é uma linha de fibra óptica dedicada diretamente de um ponto local para o datacenter do Azure mais próximo.

Ao contrário de um gateway de VPN, o equipamento que fornece essa conexão é gerenciado pelo provedor do ExpressRoute. Como o provedor do ExpressRoute gerencia todo o equipamento, ele pode fornecer um SLA (contrato de nível de serviço) em termos de confiabilidade e de largura de banda que não está disponível para usuários de conexões de gateway de VPN do Azure.

A imagem a seguir mostra a conexão do ExpressRoute entre o ambiente local e as cargas de trabalho em execução no Azure. O provedor do ExpressRoute gerencia o circuito do ExpressRoute e os roteadores de borda locais.

Diagrama de uma arquitetura de rede híbrida usando o Azure ExpressRoute.

Além de fornecer uma conexão de largura de banda dedicada entre o ambiente local e o Azure, o ExpressRoute também permite que uma organização garanta que o tráfego confidencial não atravesse a Internet pública. Isso é importante em jurisdições em que os requisitos de governança proíbem a transmissão de determinados tipos de informações pela Internet.

No estudo de caso de exemplo, a Tailwind Traders pode implementar uma conexão do ExpressRoute de escritórios maiores, como Melbourne, Sydney e Auckland, em que há mais pessoas presentes. Talvez a empresa também precise usar o ExpressRoute caso haja determinados tipos de dados que ela administra que não podem ser transferidos pela Internet devido aos requisitos de conformidade.

O que é o DNS híbrido?

Durante a implementação de uma nuvem híbrida, é necessário garantir que as cargas de trabalho locais possam resolver os endereços de cargas de trabalho de nuvem e que as cargas de trabalho de nuvem possam resolver os endereços de cargas de trabalho locais. As implantações de DNS (Sistema de Nomes de Domínio) em uma nuvem híbrida geralmente exigem servidores DNS locais e no Azure. Além disso, as transferências de zona DNS precisam ser configuradas entre o local e a nuvem. Uma alternativa será configurar os encaminhadores DNS se a zona DNS local for separada da zona DNS associada a cargas de trabalho em execução no Azure.

A imagem a seguir mostra os servidores DNS locais que replicam as informações de DNS para servidores DNS em execução no Azure. Nesse cenário, uma VM (máquina virtual) é implantada como um servidor DNS no Azure. Na imagem, o DNS local se conecta à assinatura de hub com servidores DNS em VMs. Outras assinaturas do Azure se conectam à assinatura do hub.

Diagrama que mostra uma arquitetura de DNS híbrida.

Como alternativa, o Resolvedor Privado de DNS do Azure é um serviço que permite consultar zonas privadas de DNS do Azure de um ambiente local e vice-versa sem implantar servidores DNS baseados em VM. O serviço de resolvedor privado é totalmente gerenciado e tem recursos internos de alta disponibilidade.

A Tailwind Traders pode usar o Resolvedor Privado de DNS do Azure para garantir que todas as cargas de trabalho em execução no Azure possam resolver os nomes DNS dos hosts na rede interna da Tailwind Traders. Isso também garantiria que todos os hosts de rede internos da Tailwind Traders possam resolver os nomes DNS das cargas de trabalho em execução na nuvem.

O que é a WAN Virtual do Azure?

A WAN Virtual do Azure permite que uma organização use a rede do Azure em uma arquitetura hub e spoke. A rede do Azure funciona como um hub para conectividade transitiva entre pontos de extremidade que funcionam como spokes.

Tradicionalmente, você pode ter uma topologia de rede em que cada filial tem uma conexão VPN com o site da sede. Se o tráfego passar de uma filial para outra, ele passará pelo site do hub para chegar lá. Se todos os sites da sede e das filiais estiverem conectados ao Azure, seja por VPN ou pelo ExpressRoute, essas conexões poderão formar os spokes. A WAN Virtual do Azure pode funcionar como o hub de roteamento para o tráfego entre aos pontos locais.

A imagem a seguir mostra uma topologia da WAN Virtual do Azure.

Diagrama que mostra a topologia da WAN Virtual do Azure com vários sites conectados entre si em uma topologia de hub e spoke por meio do Azure.

A WAN Virtual do Azure permite que a Tailwind Traders deixe de usar conexões VPN para conectar filiais e locais de datacenter em Sydney, Melbourne e Auckland. Ela fornece uma topologia em que cada filial e datacenter têm uma conexão VPN ou ExpressRoute com o Azure. O serviço de WAN Virtual do Azure gerencia o roteamento de tráfego entre as localizações.

Verificar seu conhecimento

1.

A Tailwind Traders precisa verificar se os dados transmitidos do escritório de Camberra para as cargas de trabalho em execução no Azure não passam pela Internet pública, nem mesmo em um túnel criptografado. Quais das tecnologias a seguir podem ser usadas pela Tailwind Traders para conectar esse escritório a cargas de trabalho em execução no Azure?

2.

No momento, todas as filiais da Tailwind Traders se conectam ao escritório de Sydney usando conexões VPN. O tráfego de rede interno entre filiais é todo roteado por Sydney em uma arquitetura hub-and-spoke. Em vez de usar o escritório de Sydney como o hub para rotear o tráfego entre filiais, a Tailwind Traders prefere usar o Azure. Quais das tecnologias a seguir poderiam ser usadas pela Tailwind Traders para atingir essa meta?