Planejar e implementar o emparelhamento de Rede Virtual ou o gateway
Uma rede virtual é uma parte virtual isolada da rede pública do Azure. Por padrão, o tráfego não pode ser roteado entre duas redes virtuais. No entanto, é possível conectar redes virtuais, dentro de uma única região ou em duas regiões, para que o tráfego possa ser roteado entre elas.
Tipos de conexão de rede virtual
Emparelhamento de rede virtual. O pareamento de rede virtual conecta duas redes virtuais do Azure. Uma vez emparelhadas, as redes virtuais aparecem como uma para fins de conectividade. O tráfego entre máquinas virtuais nas redes virtuais emparelhadas é roteado por meio da infraestrutura de backbone da Microsoft, somente por meio de endereços IP privados. Nenhuma internet pública está envolvida. Você também pode emparelhar redes virtuais em regiões do Azure (emparelhamento global).
Gateways de VPN. Um gateway de VPN é um tipo específico de gateway de rede virtual que é usado para enviar tráfego entre uma rede virtual do Azure e um local pela Internet pública. Você também pode usar um gateway de VPN para enviar tráfego entre redes virtuais do Azure. Cada rede virtual pode ter no máximo um gateway de VPN. Você deve habilitar a Proteção contra DDoS Standard do Azure em qualquer rede virtual de borda.
O emparelhamento de rede virtual fornece uma conexão de baixa latência e alta largura de banda. Não existe um gateway no caminho, portanto, não há saltos adicionais, garantindo conexões de baixa latência. Ele é útil em cenários como replicação de dados entre regiões e transferência automática de banco de dados em caso de falha. Como o tráfego é privado e permanece no backbone da Microsoft, considere também o emparelhamento de rede virtual se você tiver políticas de dados rigorosas e quiser evitar o envio de qualquer tráfego pela Internet.
Os gateways de VPN fornecem uma conexão de largura de banda limitada e são úteis em cenários em que você precisa de criptografia, mas pode tolerar restrições de largura de banda. Nesses cenários, os clientes também não são tão sensíveis à latência.
Transporte por gateway
O emparelhamento de rede virtual e os Gateways VPN também podem coexistir por meio do trânsito de gateway.
O trânsito de gateway permite que você use o gateway de uma rede virtual emparelhada para se conectar à rede local, em vez de criar um novo gateway para a conexão. À medida que você aumenta suas cargas de trabalho no Azure, você precisa dimensionar suas redes entre regiões e redes virtuais para acompanhar o crescimento. O trânsito de gateway permite que você compartilhe um gateway de VPN ou ExpressRoute com todas as redes virtuais emparelhadas e permite que você gerencie a conectividade em um só lugar. O compartilhamento permite economia de custos e redução na sobrecarga de gerenciamento.
Com o trânsito de gateway habilitado no emparelhamento de rede virtual, você pode criar uma rede virtual de trânsito que contenha seu gateway de VPN, solução de virtualização de rede e outros serviços compartilhados. À medida que sua organização cresce com novos aplicativos ou unidades de negócios e à medida que você cria novas redes virtuais, você pode se conectar à rede virtual de trânsito usando o emparelhamento. Isso impede a adição de complexidade à rede e reduz a sobrecarga de gerenciamento do gerenciamento de vários gateways e outros dispositivos.
Configurando conexões
O emparelhamento de rede virtual e os gateways de VPN dão suporte aos seguintes tipos de conexão:
- Redes virtuais em regiões diferentes.
- Redes virtuais em diferentes locatários do Microsoft Entra.
- Redes virtuais em assinaturas diferentes do Azure.
- Redes virtuais que usam uma combinação de modelos de implantação do Azure (Resource Manager e clássico).
Comparação de emparelhamento de rede virtual e Gateway de VPN
| Item | Emparelhamento de rede virtual | Gateway de VPN |
|---|---|---|
| Limites | Até 500 emparelhamentos de rede virtual por rede virtual | Um gateway de VPN por rede virtual. O número máximo de túneis por gateway depende da SKU do gateway. |
| Modelo de preços | Entrada/saída | Hora + Saída |
| Encriptação | A criptografia no nível do software é recomendada. | A política IPsec/IKE personalizada pode ser aplicada a conexões novas ou existentes. |
| Limitações de largura de banda | Sem limitações de largura de banda. | Varia de acordo com a SKU. |
| Privado? | Sim. Roteado por meio do backbone da Microsoft e privado. Nenhuma internet pública envolvida. | IP público envolvido, mas roteado por meio do backbone da Microsoft se a rede global da Microsoft estiver habilitada. |
| Relação transitiva | As conexões de emparelhamento não são transitivas. A rede transitiva pode ser obtida com o uso de NVAs ou gateways na rede virtual do hub. | Se as redes virtuais estiverem conectadas por meio de gateways de VPN e o BGP estiver habilitado nas conexões de rede virtual, a transitividade funcionará. |
| Tempo de instalação inicial | Rápido | ~30 minutos |
| Cenários típicos | Replicação de dados, failover de banco de dados e outros cenários que precisam de backups frequentes de dados grandes. | Cenários específicos de criptografia que não são sensíveis à latência e não precisam de alta taxa de transferência. |