Perguntas mais frequentes (FAQ) da Rede Virtual do Azure
Noções Básicas
O que é uma rede virtual?
Uma rede virtual é uma representação da sua própria rede na nuvem, conforme fornecido pelo serviço de Rede Virtual do Azure. Uma rede virtual é um isolamento lógico da nuvem do Azure dedicada à sua assinatura.
Você pode usar redes virtuais para provisionar e gerenciar redes virtuais privadas (VPNs) no Azure. Opcionalmente, você pode vincular redes virtuais com outras redes virtuais no Azure ou com sua infraestrutura de TI local para criar soluções híbridas ou entre locais.
Cada rede virtual que você cria tem seu próprio bloco CIDR. Você pode vincular uma rede virtual a outras redes virtuais e redes locais, desde que os blocos CIDR não se sobreponham. Você também tem controle das configurações do servidor DNS para redes virtuais, juntamente com a segmentação da rede virtual em sub-redes.
Use redes virtuais para:
Crie uma rede virtual dedicada, privada e somente na nuvem. Às vezes, você não precisa de uma configuração entre locais para sua solução. Quando você cria uma rede virtual, seus serviços e máquinas virtuais (VMs) dentro de sua rede virtual podem se comunicar diretamente e com segurança uns com os outros na nuvem. Você ainda pode configurar conexões de ponto de extremidade para VMs e serviços que exigem comunicação com a Internet, como parte de sua solução.
Estenda seu datacenter com segurança. Com redes virtuais, você pode criar VPNs tradicionais site a site (S2S) para dimensionar com segurança a capacidade do seu datacenter. As VPNs S2S usam IPsec para fornecer uma conexão segura entre seu gateway VPN corporativo e o Azure.
Habilite cenários de nuvem híbrida. Você pode conectar com segurança aplicativos baseados em nuvem a qualquer tipo de sistema local, incluindo mainframes e sistemas Unix.
Como é que chego começo?
Visite a documentação da Rede Virtual do Azure para começar. Este conteúdo fornece visão geral e informações de implantação para todos os recursos de rede virtual.
Posso usar redes virtuais sem conectividade entre locais?
Sim. Você pode usar uma rede virtual sem conectá-la às suas instalações. Por exemplo, você pode executar controladores de domínio do Ative Directory do Microsoft Windows Server e farms do SharePoint somente em uma rede virtual do Azure.
Posso realizar a otimização de WAN entre redes virtuais ou entre uma rede virtual e meu datacenter local?
Sim. Você pode implantar um dispositivo virtual de rede para otimização de WAN de vários fornecedores por meio do Azure Marketplace.
Configuração
Que ferramentas utilizo para criar uma rede virtual?
Você pode usar as seguintes ferramentas para criar ou configurar uma rede virtual:
- Portal do Azure
- PowerShell
- CLI do Azure
- Arquivo de configuração de rede (
netcfg
, somente para redes virtuais clássicas)
Que intervalos de endereços posso utilizar nas minhas redes virtuais?
Recomendamos que você use os seguintes intervalos de endereços, que são enumerados no RFC 1918. O IETF reservou esses intervalos para espaços de endereços privados e não roteáveis.
- 10.0.0.0 a 10.255.255.255 (prefixo 10/8)
- 172.16.0.0 a 172.31.255.255 (prefixo 172.16/12)
- 192.168.0.0 a 192.168.255.255 (prefixo 192.168/16)
Você também pode implantar o espaço de endereçamento compartilhado reservado no RFC 6598, que é tratado como um espaço de endereço IP privado no Azure:
- 100.64.0.0 a 100.127.255.255 (prefixo 100.64/10)
Outros espaços de endereço, incluindo todos os outros espaços de endereços privados e não roteáveis reconhecidos pela IETF, podem funcionar, mas têm efeitos colaterais indesejáveis.
Além disso, não é possível adicionar os seguintes intervalos de endereços:
- 224.0.0.0/4 (multicast)
- 255.255.255.255/32 (transmissão)
- 127.0.0.0/8 (loopback)
- 169.254.0.0/16 (link local)
- 168.63.129.16/32 (DNS interno)
Posso ter endereços IP públicos nas minhas redes virtuais?
Sim. Para obter mais informações sobre intervalos de endereços IP públicos, consulte Criar uma rede virtual. Os endereços IP públicos não são diretamente acessíveis a partir da Internet.
Existe um limite para o número de sub-redes na minha rede virtual?
Sim. Consulte Limites de rede para obter detalhes. Os espaços de endereço de sub-rede não podem se sobrepor.
Existem alguma restrição à utilização de endereços IP nestas sub-redes?
Sim. O Azure reserva os quatro primeiros endereços e o último endereço, para um total de cinco endereços IP em cada sub-rede.
Por exemplo, o intervalo de endereços IP 192.168.1.0/24 tem os seguintes endereços reservados:
- 192.168.1.0: Endereço de rede.
- 192.168.1.1: Reservado pelo Azure para o gateway padrão.
- 192.168.1.2, 192.168.1.3: Reservado pelo Azure para mapear os endereços IP DNS do Azure para o espaço de rede virtual.
- 192.168.1.255: Endereço de difusão da rede.
Quão pequenas e grandes podem ser as redes virtuais e as sub-redes?
A menor sub-rede IPv4 suportada é /29 e a maior é /2 (usando definições de sub-rede CIDR). As sub-redes IPv6 devem ter exatamente /64 de tamanho.
Posso trazer minhas VLANs para o Azure usando redes virtuais?
N.º As redes virtuais são sobreposições de Camada 3. O Azure não dá suporte a nenhuma semântica de Camada 2.
Posso especificar políticas de roteamento personalizadas em minhas redes virtuais e sub-redes?
Sim. Você pode criar uma tabela de rotas e associá-la a uma sub-rede. Para obter mais informações sobre roteamento no Azure, consulte Rotas personalizadas.
Qual é o comportamento quando aplico um NSG e um UDR na sub-rede?
Para o tráfego de entrada, as regras de entrada do NSG (grupo de segurança de rede) são processadas. Para o tráfego de saída, as regras de saída do NSG são processadas, seguidas por regras de rota definida pelo usuário (UDR).
Qual é o comportamento quando aplico um NSG em uma NIC e uma sub-rede para uma VM?
Quando você aplica NSGs em um adaptador de rede (NIC) e uma sub-rede para uma VM:
- Um NSG de nível de sub-rede, seguido por um NSG de nível de NIC, é processado para tráfego de entrada.
- Um NSG de nível NIC, seguido por um NSG de nível de sub-rede, é processado para tráfego de saída.
As redes virtuais suportam multicast ou difusão?
N.º Multicast e broadcast não são suportados.
Que protocolos posso usar em redes virtuais?
Você pode usar os protocolos TCP, UDP, ESP, AH e ICMP TCP/IP em redes virtuais.
Unicast é suportado em redes virtuais. Multicast, difusão, pacotes encapsulados IP-in-IP e pacotes GRE (Generic Routing Encapsulation) são bloqueados em redes virtuais. Não é possível utilizar o protocolo DHCP (Dynamic Host Configuration Protocol) via Unicast (porta de origem UDP/68, porta de destino UDP/67). A porta de origem UDP 65330 está reservada para o host.
Posso implantar um servidor DHCP em uma rede virtual?
As redes virtuais do Azure fornecem serviço DHCP e DNS para Máquinas Virtuais do Azure. No entanto, você também pode implantar um Servidor DHCP em uma VM do Azure para atender os clientes locais por meio de um Agente de Retransmissão DHCP.
Os servidores DHCP no Azure eram anteriormente considerados inviáveis, uma vez que o tráfego para a porta UDP/67 era limitado no Azure. No entanto, atualizações recentes da plataforma removeram a limitação de taxa, permitindo esse recurso.
Nota
O cliente local para o Servidor DHCP (porta de origem UDP/68, porta de destino UDP/67) ainda não tem suporte no Azure, pois esse tráfego é intercetado e tratado de forma diferente. Isso resultará em mensagens de tempo limite no momento da renovação do DHCP em T1 quando o cliente tentar acessar diretamente o servidor DHCP no Azure. O DHCP RENEW terá êxito quando a tentativa DHCP RENEW for feita em T2 através do Agente de Retransmissão DHCP. Para obter mais detalhes sobre os temporizadores T1 e T2 DHCP RENEW, consulte RFC 2131.
Posso executar ping em um gateway padrão em uma rede virtual?
N.º Um gateway padrão fornecido pelo Azure não responde a um ping. Mas você pode usar pings em suas redes virtuais para verificar a conectividade e para solucionar problemas entre VMs.
Posso usar o tracert para diagnosticar a conectividade?
Sim.
Posso adicionar sub-redes após a criação da rede virtual?
Sim. Você pode adicionar sub-redes a redes virtuais a qualquer momento, desde que ambas as condições existam:
- O intervalo de endereços da sub-rede não faz parte de outra sub-rede.
- Há espaço disponível no intervalo de endereços da rede virtual.
Posso modificar o tamanho da minha sub-rede depois de criá-la?
Sim. Você pode adicionar, remover, expandir ou reduzir uma sub-rede se nenhuma VM ou serviço for implantado nela.
Posso modificar uma rede virtual depois de criá-la?
Sim. Você pode adicionar, remover e modificar os blocos CIDR que uma rede virtual usa.
Se eu estiver executando meus serviços em uma rede virtual, posso me conectar à Internet?
Sim. Todos os serviços implantados em uma rede virtual podem se conectar de saída à Internet. Para saber mais sobre conexões de Internet de saída no Azure, consulte Usar SNAT (Tradução de Endereço de Rede de Origem) para conexões de saída.
Se você quiser conectar a entrada a um recurso implantado por meio do Gerenciador de Recursos do Azure, o recurso deverá ter um endereço IP público atribuído a ele. Para obter mais informações, consulte Criar, alterar ou excluir um endereço IP público do Azure.
Cada serviço de nuvem implantado no Azure tem um IP virtual (VIP) publicamente endereçável atribuído a ele. Você define pontos de extremidade de entrada para funções de plataforma como serviço (PaaS) e pontos de extremidade para máquinas virtuais para permitir que esses serviços aceitem conexões da Internet.
As redes virtuais suportam IPv6?
Sim. As redes virtuais podem ser apenas IPv4 ou pilha dupla (IPv4 + IPv6). Para obter detalhes, consulte O que é IPv6 para a Rede Virtual do Azure?.
Uma rede virtual pode abranger regiões?
N.º Uma rede virtual é limitada a uma única região. Mas uma rede virtual abrange zonas de disponibilidade. Para saber mais sobre zonas de disponibilidade, consulte O que são regiões e zonas de disponibilidade do Azure?.
Você pode conectar redes virtuais em diferentes regiões usando o emparelhamento de rede virtual. Para obter detalhes, consulte Emparelhamento de rede virtual.
Posso conectar uma rede virtual a outra rede virtual no Azure?
Sim. Você pode conectar uma rede virtual a outra rede virtual usando:
- Emparelhamento de rede virtual. Para obter detalhes, consulte Emparelhamento de rede virtual.
- Um gateway de VPN do Azure. Para obter detalhes, consulte Configurar uma conexão de gateway VPN de rede para rede.
Resolução de nomes (DNS)
Quais são as minhas opções de DNS para redes virtuais?
Use a tabela de decisão em Resolução de nomes para recursos em redes virtuais do Azure para guiá-lo pelas opções de DNS disponíveis.
Posso especificar servidores DNS para uma rede virtual?
Sim. Você pode especificar endereços IP para servidores DNS nas configurações de rede virtual. A configuração é aplicada como o servidor DNS padrão ou servidores para todas as VMs na rede virtual.
Quantos servidores DNS posso especificar?
Consulte Limites de rede.
Posso modificar os meus servidores DNS depois de criar a rede?
Sim. Você pode alterar a lista de servidores DNS para sua rede virtual a qualquer momento.
Se você alterar sua lista de servidores DNS, precisará executar uma renovação de concessão DHCP em todas as VMs afetadas na rede virtual. As novas configurações de DNS entram em vigor após a renovação da concessão. Para VMs que executam o Windows, você pode renovar a concessão inserindo ipconfig /renew
diretamente na VM. Para outros tipos de SO, consulte a documentação para a renovação de concessão DHCP.
O que é o DNS fornecido pelo Azure e funciona com redes virtuais?
O DNS fornecido pelo Azure é um serviço DNS multilocatário da Microsoft. O Azure registra todas as suas VMs e instâncias de função de serviço de nuvem neste serviço. Este serviço fornece resolução de nomes:
- Por nome de host para VMs e instâncias de função no mesmo serviço de nuvem.
- Por FQDN (núcleo de domínio totalmente qualificado) para VMs e instâncias de função na mesma rede virtual.
Para saber mais sobre DNS, consulte Resolução de nomes para recursos em redes virtuais do Azure.
Há uma limitação para os primeiros 100 serviços de nuvem em uma rede virtual para resolução de nomes entre locatários por meio do DNS fornecido pelo Azure. Se estiver a utilizar o seu próprio servidor DNS, esta limitação não se aplica.
Posso substituir minhas configurações de DNS para cada VM ou serviço de nuvem?
Sim. Você pode definir servidores DNS para cada VM ou serviço de nuvem para substituir as configurações de rede padrão. No entanto, recomendamos que você use o DNS de toda a rede tanto quanto possível.
Posso trazer o meu próprio sufixo DNS?
N.º Não é possível especificar um sufixo DNS personalizado para suas redes virtuais.
Conectando máquinas virtuais
Posso implantar VMs em uma rede virtual?
Sim. Todos os adaptadores de rede (NICs) conectados a uma VM implantada por meio do modelo de implantação do Resource Manager devem estar conectados a uma rede virtual. Opcionalmente, você pode conectar VMs implantadas por meio do modelo de implantação clássico a uma rede virtual.
Quais são os tipos de endereços IP que posso atribuir às VMs?
Privado: atribuído a cada NIC dentro de cada VM, através do método estático ou dinâmico. Os endereços IP privados são atribuídos a partir do intervalo especificado nas configurações de sub-rede da sua rede virtual.
Os recursos implantados por meio do modelo de implantação clássico recebem endereços IP privados, mesmo que não estejam conectados a uma rede virtual. O comportamento do método de alocação é diferente dependendo se você implantou um recurso usando o Gerenciador de Recursos ou o modelo de implantação clássico:
- Gerenciador de Recursos: Um endereço IP privado atribuído por meio do método dinâmico ou estático permanece atribuído a uma máquina virtual (Gerenciador de Recursos) até que o recurso seja excluído. A diferença é que você seleciona o endereço a ser atribuído quando estiver usando o método estático e o Azure escolhe quando estiver usando o método dinâmico.
- Clássico: Um endereço IP privado atribuído através do método dinâmico pode mudar quando uma máquina virtual (clássica) é reiniciada depois de estar no estado interrompido (deslocalizado). Se você precisar garantir que o endereço IP privado de um recurso implantado por meio do modelo de implantação clássico nunca seja alterado, atribua um endereço IP privado usando o método estático.
Público: opcionalmente atribuído a NICs anexadas a VMs implantadas por meio do modelo de implantação do Resource Manager. Você pode atribuir o endereço usando o método de alocação estática ou dinâmica.
Todas as VMs e instâncias de função dos Serviços de Nuvem do Azure implantadas por meio do modelo de implantação clássico existem em um serviço de nuvem. Ao serviço de nuvem é atribuído um endereço VIP dinâmico e público. Opcionalmente, você pode atribuir um endereço IP estático público, chamado de endereço IP reservado, como um VIP.
Você pode atribuir endereços IP públicos a VMs individuais ou instâncias de função de Serviços de Nuvem implantadas por meio do modelo de implantação clássico. Esses endereços são chamados de endereços IP públicos no nível da instância e podem ser atribuídos dinamicamente.
Posso reservar um endereço IP privado para uma VM que criarei posteriormente?
N.º Não é possível reservar um endereço IP privado. Se um endereço IP privado estiver disponível, o servidor DHCP o atribuirá a uma VM ou instância de função. A VM pode ou não ser aquela à qual você deseja que o endereço IP privado seja atribuído. No entanto, você pode alterar o endereço IP privado de uma VM existente para qualquer endereço IP privado disponível.
Os endereços IP privados são alterados para VMs em uma rede virtual?
Depende. Se você implantou a VM usando o Gerenciador de Recursos, os endereços IP não poderão ser alterados, independentemente de você ter atribuído os endereços usando o método de alocação estática ou dinâmica. Se você implantou a VM usando o modelo de implantação clássico, os endereços IP dinâmicos podem ser alterados quando você inicia uma VM que estava no estado interrompido (deslocalizado).
O endereço é liberado de uma VM implantada por meio de qualquer modelo de implantação quando você exclui a VM.
Posso atribuir manualmente endereços IP a NICs dentro do sistema operacional da VM?
Sim, mas não recomendamos a menos que seja necessário, como quando você está atribuindo vários endereços IP a uma máquina virtual. Para obter detalhes, consulte Atribuir vários endereços IP a máquinas virtuais.
Se o endereço IP atribuído a uma NIC do Azure anexada a uma VM for alterado e o endereço IP dentro do sistema operacional da VM for diferente, você perderá a conectividade com a VM.
Se eu parar um slot de implantação de serviço de nuvem ou desligar uma VM de dentro do sistema operacional, o que acontece com meus endereços IP?
Nada. Os endereços IP (público VIP, público e privado) permanecem atribuídos ao slot de implantação do serviço de nuvem ou à VM.
Posso mover VMs de uma sub-rede para outra sub-rede em uma rede virtual sem reimplantar?
Sim. Você pode encontrar mais informações em Mover uma VM ou instância de função para uma sub-rede diferente.
Posso configurar um endereço MAC estático para minha VM?
N.º Não é possível configurar estaticamente um endereço MAC.
O endereço MAC permanece o mesmo para a minha VM depois de criada?
Sim. O endereço MAC permanece o mesmo para uma VM que você implantou por meio do Gerenciador de Recursos e dos modelos de implantação clássicos até excluí-lo.
Anteriormente, o endereço MAC era liberado se você parasse (deslocalizasse) a VM. Mas agora, a VM mantém o endereço MAC quando está no estado desalocado. O endereço MAC permanece atribuído ao adaptador de rede até que você execute uma destas tarefas:
- Exclua o adaptador de rede.
- Altere o endereço IP privado atribuído à configuração IP primária do adaptador de rede primário.
Serviços do Azure que se conectam a redes virtuais
Posso usar aplicativos Web com uma rede virtual?
Sim. Você pode implantar o recurso Aplicativos Web do Serviço de Aplicativo do Azure dentro de uma rede virtual usando um Ambiente do Serviço de Aplicativo. Em seguida, pode:
- Conecte o back-end de seus aplicativos às suas redes virtuais usando a integração de rede virtual.
- Bloqueie o tráfego de entrada para seu aplicativo usando pontos de extremidade de serviço.
Para obter mais informações, consulte os seguintes artigos:
- Recursos de rede do Serviço de Aplicativo
- Usar um ambiente do Serviço de Aplicativo
- Integrar a aplicação numa rede virtual do Azure
- Configurar restrições de acesso para o Serviço de Aplicações do Azure
Posso implantar serviços de nuvem com funções Web e de trabalho (PaaS) em uma rede virtual?
Sim. Você pode (opcionalmente) implantar instâncias de função de Serviços de Nuvem em redes virtuais. Para fazer isso, especifique o nome da rede virtual e os mapeamentos de função/sub-rede na seção de configuração de rede da configuração de serviço. Você não precisa atualizar nenhum dos seus binários.
Posso conectar um conjunto de dimensionamento de máquina virtual a uma rede virtual?
Sim. Você deve conectar um conjunto de escala de máquina virtual a uma rede virtual.
Existe uma lista completa dos serviços do Azure dos quais posso implantar recursos em uma rede virtual?
Sim. Para obter detalhes, consulte Implantar serviços dedicados do Azure em redes virtuais.
Como posso restringir o acesso aos recursos de PaaS do Azure a partir de uma rede virtual?
Os recursos implantados por meio de alguns serviços PaaS do Azure (como o Armazenamento do Azure e o Banco de Dados SQL do Azure) podem restringir o acesso à rede a redes virtuais por meio do uso de pontos de extremidade de serviço de rede virtual ou do Azure Private Link. Para obter detalhes, consulte Pontos de extremidade de serviço de rede virtual e O que é o Azure Private Link?.
Posso mover meus serviços para dentro e para fora de redes virtuais?
N.º Não é possível mover serviços para dentro e para fora de redes virtuais. Para mover um recurso para outra rede virtual, você precisa excluir e reimplantar o recurso.
Segurança
Qual é o modelo de segurança para redes virtuais?
As redes virtuais são isoladas umas das outras e de outros serviços hospedados na infraestrutura do Azure. Uma rede virtual é um limite de confiança.
Posso restringir o fluxo de tráfego de entrada ou saída a recursos conectados a uma rede virtual?
Sim. Você pode aplicar grupos de segurança de rede a sub-redes individuais dentro de uma rede virtual, NICs conectadas a uma rede virtual ou ambas.
Posso implementar um firewall entre recursos conectados a uma rede virtual?
Sim. Você pode implantar um dispositivo virtual de rede de firewall de vários fornecedores por meio do Azure Marketplace.
Há informações disponíveis sobre como proteger redes virtuais?
Sim. Consulte Visão geral da segurança de rede do Azure.
As redes virtuais armazenam dados de clientes?
N.º As redes virtuais não armazenam dados de clientes.
Posso definir a propriedade FlowTimeoutInMinutes para uma assinatura inteira?
N.º Você deve definir a propriedade FlowTimeoutInMinutes na rede virtual. O código a seguir pode ajudá-lo a definir essa propriedade automaticamente para assinaturas maiores:
$Allvnet = Get-AzVirtualNetwork
$time = 4 #The value should be 4 to 30 minutes (inclusive) to enable tracking, or null to disable tracking.
ForEach ($vnet in $Allvnet)
{
$vnet.FlowTimeoutInMinutes = $time
$vnet | Set-AzVirtualNetwork
}
APIs, esquemas e ferramentas
Posso gerir redes virtuais a partir do código?
Sim. Você pode usar APIs REST para redes virtuais no Azure Resource Manager e modelos de implantação clássicos .
Existe suporte de ferramentas para redes virtuais?
Sim. Saiba mais sobre como usar:
- O portal do Azure para implantar redes virtuais por meio do Azure Resource Manager e modelos de implantação clássicos .
- PowerShell para gerenciar redes virtuais implantadas por meio do modelo de implantação do Resource Manager .
- A CLI do Azure ou a CLI clássica do Azure para implantar e gerenciar redes virtuais implantadas por meio do Gerenciador de Recursos e modelos de implantação clássicos .
Peering de rede virtual
O que é emparelhamento de rede virtual?
O emparelhamento de rede virtual permite conectar redes virtuais. Uma conexão de emparelhamento entre redes virtuais permite rotear o tráfego entre elas de forma privada por meio de endereços IPv4.
As máquinas virtuais em redes virtuais emparelhadas podem comunicar entre si como se estivessem na mesma rede. Essas redes virtuais podem estar na mesma região ou em regiões diferentes (também conhecido como emparelhamento de rede virtual global).
Você também pode criar conexões de emparelhamento de rede virtual entre assinaturas do Azure.
Posso criar uma conexão de emparelhamento com uma rede virtual em uma região diferente?
Sim. O emparelhamento de rede virtual global permite emparelhar redes virtuais em diferentes regiões. O emparelhamento de rede virtual global está disponível em todas as regiões públicas do Azure, regiões de nuvem da China e regiões de nuvem do governo. Não é possível emparelhar globalmente de regiões públicas do Azure para regiões de nuvem nacionais.
Quais são as restrições relacionadas ao emparelhamento de rede virtual global e balanceadores de carga?
Se as duas redes virtuais em duas regiões estiverem emparelhadas no emparelhamento de rede virtual global, não poderá conectar-se a recursos que estão atrás de um balanceador de carga básico através do IP front-end do balanceador de carga. Essa restrição não existe para um balanceador de carga padrão.
Os recursos a seguir podem usar balanceadores de carga básicos, o que significa que você não pode alcançá-los por meio do IP front-end de um balanceador de carga sobre emparelhamento de rede virtual global. Mas você pode usar o emparelhamento de rede virtual global para alcançar os recursos diretamente por meio de seus IPs de rede virtual privada, se permitido.
- VMs protegidas por balanceadores de carga básicos
- Conjuntos de dimensionamento de máquinas virtuais com balanceadores de carga básicos
- Cache do Azure para Redis
- Gateway de Aplicação do Azure v1
- Azure Service Fabric
- Gestão de API do Azure stv1
- Microsoft Entra Domain Services
- Azure Logic Apps
- Azure HDInsight
- Azure Batch
- Ambiente do Serviço de Aplicações v1 e v2
Pode ligar-se a estes recursos através do Azure ExpressRoute ou de ligações de rede para rede por meio de gateways de rede virtual.
Posso habilitar o emparelhamento de rede virtual se minhas redes virtuais pertencerem a assinaturas em diferentes locatários do Microsoft Entra?
Sim. É possível estabelecer emparelhamento de rede virtual (local ou global) se suas assinaturas pertencerem a diferentes locatários do Microsoft Entra. Você pode fazer isso por meio do portal do Azure, do PowerShell ou da CLI do Azure.
Minha conexão de emparelhamento de rede virtual está em um estado Iniciado. Por que não consigo me conectar?
Se sua conexão de emparelhamento estiver em um estado Iniciado , você criou apenas um link. Você deve criar um link bidirecional para estabelecer uma conexão bem-sucedida.
Por exemplo, para emparelhar VNetA a VNetB, você deve criar um link de VNetA para VNetB e de VNetB para VNetA. A criação de ambos os links altera o estado para Conectado.
Minha conexão de emparelhamento de rede virtual está em um estado Desconectado. Por que não consigo criar uma conexão de emparelhamento?
Se sua conexão de emparelhamento de rede virtual estiver em um estado Desconectado , um dos links que você criou foi excluído. Para restabelecer uma conexão de emparelhamento, você precisa excluir o link restante e recriar ambos.
Posso emparelhar minha rede virtual com uma rede virtual que esteja em uma assinatura diferente?
Sim. Você pode emparelhar redes virtuais entre assinaturas e entre regiões.
Posso emparelhar duas redes virtuais com intervalos de endereços correspondentes ou sobrepostos?
N.º Não é possível ativar o emparelhamento de rede virtual se os espaços de endereço se sobreporem.
Posso emparelhar uma rede virtual a duas redes virtuais com a opção Usar gateway remoto habilitada em ambos os pares?
N.º Você pode habilitar a opção Usar gateway remoto em apenas um emparelhamento para uma das redes virtuais.
Posso mover uma rede virtual que tenha uma conexão de emparelhamento para outra rede virtual?
N.º Não é possível mover uma rede virtual que tenha uma conexão de emparelhamento para outra rede virtual. Você deve excluir a conexão de emparelhamento antes de mover a rede virtual.
Quanto custam os links de emparelhamento de rede virtual?
Não há nenhum custo para criar uma conexão de emparelhamento de rede virtual. A transferência de dados entre conexões de emparelhamento é cobrada. Para obter mais informações, consulte a página de preços da Rede Virtual do Azure.
O tráfego de emparelhamento de rede virtual é criptografado?
Quando o tráfego do Azure se move entre datacenters (fora dos limites físicos não controlados pela Microsoft ou em nome da Microsoft), o hardware de rede subjacente usa criptografia de camada de link de dados MACsec. Essa criptografia é aplicável ao tráfego de emparelhamento de rede virtual.
Por que minha conexão de emparelhamento está em um estado Desconectado?
As conexões de emparelhamento de rede virtual entram em um estado Desconectado quando um link de emparelhamento de rede virtual é excluído. Você deve excluir ambos os links para restabelecer uma conexão de emparelhamento bem-sucedida.
Se eu emparelhar VNetA para VNetB e eu peer VNetB para VNetC, isso significa que VNetA e VNetC estão emparelhados?
N.º Não há suporte para emparelhamento transitivo. Você deve emparelhar manualmente VNetA para VNetC.
Existem limitações de largura de banda para emparelhamento de conexões?
N.º O emparelhamento de rede virtual, seja local ou global, não impõe nenhuma restrição de largura de banda. A largura de banda é limitada apenas pela VM ou pelo recurso de computação.
Como posso solucionar problemas com emparelhamento de rede virtual?
Experimente o guia de solução de problemas.
TAP de rede virtual
Quais regiões do Azure estão disponíveis para TAP de rede virtual?
A visualização do ponto de acesso de terminal de rede virtual (TAP) está disponível em todas as regiões do Azure. Você deve implantar os adaptadores de rede monitorados, o recurso TAP de rede virtual e o coletor ou solução de análise na mesma região.
A rede virtual TAP suporta alguma capacidade de filtragem nos pacotes espelhados?
As capacidades de filtragem não são suportadas com a pré-visualização TAP da rede virtual. Quando você adiciona uma configuração TAP a um adaptador de rede, uma cópia profunda de todo o tráfego de entrada e saída no adaptador de rede é transmitida para o destino TAP.
Posso adicionar várias configurações TAP a um adaptador de rede monitorado?
Um adaptador de rede monitorado pode ter apenas uma configuração TAP. Verifique com a solução de parceiro individual a capacidade de transmitir várias cópias do tráfego TAP para as ferramentas de análise da sua escolha.
O mesmo recurso TAP de rede virtual pode agregar tráfego de adaptadores de rede monitorados em mais de uma rede virtual?
Sim. Você pode usar o mesmo recurso TAP de rede virtual para agregar tráfego espelhado de adaptadores de rede monitorados em redes virtuais emparelhadas na mesma assinatura ou em uma assinatura diferente.
O recurso TAP da rede virtual e o balanceador de carga ou adaptador de rede de destino devem estar na mesma assinatura. Todas as assinaturas devem estar sob o mesmo locatário do Microsoft Entra.
Há considerações de desempenho no tráfego de produção se eu habilitar uma configuração TAP de rede virtual em um adaptador de rede?
A rede virtual TAP está em pré-visualização. Durante a visualização, não há contrato de nível de serviço. Você não deve usar o recurso para cargas de trabalho de produção.
Quando você habilita um adaptador de rede de máquina virtual com uma configuração TAP, os mesmos recursos no host do Azure alocados à máquina virtual para enviar o tráfego de produção são usados para executar a função de espelhamento e enviar os pacotes espelhados. Selecione o tamanho correto da máquina virtual Linux ou Windows para garantir que recursos suficientes estejam disponíveis para que a máquina virtual envie o tráfego de produção e o tráfego espelhado.
A rede acelerada para Linux ou Windows é suportada com a rede virtual TAP?
Você pode adicionar uma configuração TAP em um adaptador de rede conectado a uma máquina virtual habilitada com rede acelerada para Linux ou Windows. Mas adicionar a configuração TAP afetará o desempenho e a latência na máquina virtual porque a rede acelerada do Azure atualmente não suporta o descarregamento para espelhamento de tráfego.
Pontos finais de serviço de rede virtual
Qual é a sequência correta de operações para configurar pontos de extremidade de serviço para um serviço do Azure?
Há duas etapas para proteger um recurso de serviço do Azure por meio de pontos de extremidade de serviço:
- Ative os pontos de extremidade de serviço para o serviço do Azure.
- Configure listas de controle de acesso à rede virtual (ACLs) no serviço do Azure.
A primeira etapa é uma operação do lado da rede, e a segunda etapa é uma operação do lado do recurso do serviço. O mesmo administrador ou administradores diferentes podem executar as etapas, com base nas permissões RBAC (controle de acesso baseado em função) do Azure concedidas à função de administrador.
Recomendamos que você ative os pontos de extremidade de serviço para sua rede virtual antes de configurar ACLs de rede virtual no lado do serviço do Azure. Para configurar pontos de extremidade de serviço de rede virtual, você deve executar as etapas na sequência anterior.
Nota
Você deve concluir ambas as operações anteriores antes de poder limitar o acesso ao serviço do Azure à rede virtual e à sub-rede permitidas. Apenas ativar pontos de extremidade de serviço para o serviço do Azure no lado da rede não lhe dá o acesso limitado. Você também deve configurar ACLs de rede virtual no lado do serviço do Azure.
Determinados serviços (como o Azure SQL e o Azure Cosmos DB) permitem exceções à sequência anterior através do IgnoreMissingVnetServiceEndpoint
sinalizador. Depois de definir o sinalizador como True
, você pode configurar ACLs de rede virtual no lado do serviço do Azure antes de ativar os pontos de extremidade de serviço no lado da rede. Os serviços do Azure fornecem esse sinalizador para ajudar os clientes nos casos em que os firewalls IP específicos são configurados nos serviços do Azure.
Ativar os pontos de extremidade de serviço no lado da rede pode levar a uma queda de conectividade, porque o IP de origem muda de um endereço IPv4 público para um endereço privado. Configurar ACLs de rede virtual no lado do serviço do Azure antes de ativar pontos de extremidade de serviço no lado da rede pode ajudar a evitar uma queda de conectividade.
Nota
Se você habilitar o Ponto de Extremidade de Serviço em determinados serviços, como "Microsoft.AzureActiveDirectory", poderá ver conexões de endereço IPV6 em Logs de Entrada. A Microsoft usa um intervalo privado IPV6 interno para esse tipo de conexão.
Todos os serviços do Azure residem na rede virtual do Azure fornecida pelo cliente? Como funciona um ponto de extremidade de serviço de rede virtual com os serviços do Azure?
Nem todos os serviços do Azure residem na rede virtual do cliente. A maioria dos serviços de dados do Azure (como o Armazenamento do Azure, o Azure SQL e o Azure Cosmos DB) são serviços multilocatários que podem ser acessados por endereços IP públicos. Para obter mais informações, consulte Implantar serviços dedicados do Azure em redes virtuais.
Quando você ativa pontos de extremidade de serviço de rede virtual no lado da rede e configura ACLs de rede virtual apropriadas no lado do serviço do Azure, o acesso a um serviço do Azure é restrito a uma rede virtual e sub-rede permitidas.
Como os pontos de extremidade de serviço de rede virtual fornecem segurança?
Os pontos de extremidade do serviço de rede virtual limitam o acesso do serviço do Azure à rede virtual e à sub-rede permitidas. Dessa forma, eles fornecem segurança em nível de rede e isolamento do tráfego de serviço do Azure.
Todo o tráfego que usa pontos de extremidade de serviço de rede virtual flui pelo backbone da Microsoft para fornecer outra camada de isolamento da Internet pública. Os clientes também podem optar por remover totalmente o acesso público à Internet aos recursos de serviço do Azure e permitir o tráfego apenas da sua rede virtual através de uma combinação de firewall IP e ACLs de rede virtual. Remover o acesso à Internet ajuda a proteger os recursos de serviço do Azure contra acesso não autorizado.
O que o ponto de extremidade do serviço de rede virtual protege - recursos de rede virtual ou recursos de serviço do Azure?
Os pontos de extremidade do serviço de rede virtual ajudam a proteger os recursos do serviço do Azure. Os recursos de rede virtual são protegidos por meio de grupos de segurança de rede.
Existe algum custo para o uso de pontos de extremidade de serviço de rede virtual?
N.º Não há custo adicional para o uso de pontos de extremidade de serviço de rede virtual.
Posso ativar pontos de extremidade de serviço de rede virtual e configurar ACLs de rede virtual se a rede virtual e os recursos de serviço do Azure pertencerem a assinaturas diferentes?
Sim, é possível. As redes virtuais e os recursos de serviço do Azure podem estar na mesma assinatura ou em assinaturas diferentes. O único requisito é que a rede virtual e os recursos de serviço do Azure estejam sob o mesmo locatário do Microsoft Entra.
Posso ativar pontos de extremidade de serviço de rede virtual e configurar ACLs de rede virtual se a rede virtual e os recursos de serviço do Azure pertencerem a locatários diferentes do Microsoft Entra?
Sim, é possível quando você estiver usando pontos de extremidade de serviço para o Armazenamento do Azure e o Cofre da Chave do Azure. Para outros serviços, não há suporte para pontos de extremidade de serviço de rede virtual e ACLs de rede virtual entre locatários do Microsoft Entra.
O endereço IP de um dispositivo local conectado por meio de um gateway de rede virtual (VPN) do Azure ou gateway de Rota Expressa pode acessar os serviços PaaS do Azure por meio de pontos de extremidade de serviço de rede virtual?
Por predefinição, os recursos de serviço do Azure obtidos para redes virtuais não são acessíveis a partir de redes no local. Se quiser permitir o tráfego local, você também deve permitir endereços IP públicos (normalmente, NAT) do local ou da Rota Expressa. Você pode adicionar esses endereços IP por meio da configuração do firewall IP para os recursos de serviço do Azure.
Como alternativa, você pode implementar pontos de extremidade privados para serviços suportados.
Posso usar pontos de extremidade de serviço de rede virtual para proteger os serviços do Azure em várias sub-redes dentro de uma rede virtual ou em várias redes virtuais?
Para proteger os serviços do Azure a várias sub-redes dentro de uma rede virtual ou em várias redes virtuais, habilite pontos de extremidade de serviço no lado da rede em cada uma das sub-redes de forma independente. Em seguida, proteja os recursos de serviço do Azure para todas as sub-redes configurando ACLs de rede virtual apropriadas no lado do serviço do Azure.
Como posso filtrar o tráfego de saída de uma rede virtual para os serviços do Azure e ainda usar pontos de extremidade de serviço?
Se quiser inspecionar ou filtrar o tráfego destinado a um serviço do Azure a partir de uma rede virtual, você pode implantar um dispositivo virtual de rede na rede virtual. Em seguida, você pode aplicar pontos de extremidade de serviço à sub-rede onde o dispositivo virtual de rede é implantado e proteger os recursos de serviço do Azure somente a essa sub-rede por meio de ACLs de rede virtual.
Esse cenário também pode ser útil se você quiser restringir o acesso ao serviço do Azure de sua rede virtual apenas a recursos específicos do Azure usando a filtragem de dispositivo virtual de rede. Para obter mais informações, consulte Implantar NVAs altamente disponíveis.
O que acontece quando alguém acessa uma conta de serviço do Azure que tem uma ACL de rede virtual habilitada de fora da rede virtual?
O serviço retorna um erro HTTP 403 ou HTTP 404.
As sub-redes de uma rede virtual criadas em regiões diferentes têm permissão para acessar uma conta de serviço do Azure em outra região?
Sim. Para a maioria dos serviços do Azure, as redes virtuais criadas em diferentes regiões podem acessar os serviços do Azure em outra região por meio dos pontos de extremidade do serviço de rede virtual. Por exemplo, se uma conta do Azure Cosmos DB estiver na região Oeste dos EUA ou Leste dos EUA e as redes virtuais estiverem em várias regiões, as redes virtuais poderão acessar o Azure Cosmos DB.
O Azure SQL é uma exceção e é de natureza regional. A rede virtual e o serviço do Azure precisam estar na mesma região.
Um serviço do Azure pode ter uma ACL de rede virtual e um firewall IP?
Sim. Uma ACL de rede virtual e um firewall IP podem coexistir. As funcionalidades complementam-se para ajudar a garantir o isolamento e a segurança.
O que acontece se você excluir uma rede virtual ou sub-rede que tenha pontos de extremidade de serviço ativados para serviços do Azure?
A exclusão de redes virtuais e a exclusão de sub-redes são operações independentes. Eles são suportados mesmo quando você ativa pontos de extremidade de serviço para serviços do Azure.
Se você configurar ACLs de rede virtual para serviços do Azure, as informações de ACL associadas a esses serviços do Azure serão desabilitadas quando você excluir uma rede virtual ou sub-rede que tenha pontos de extremidade de serviço de rede virtual ativados.
O que acontece se eu excluir uma conta de serviço do Azure que tenha um ponto de extremidade de serviço de rede virtual ativado?
A exclusão de uma conta de serviço do Azure é uma operação independente. Ele é suportado mesmo se você ativou o ponto de extremidade de serviço no lado da rede e configurou ACLs de rede virtual no lado do serviço do Azure.
O que acontece com o endereço IP de origem de um recurso (como uma VM em uma sub-rede) que tem pontos de extremidade de serviço de rede virtual ativados?
Quando você ativa os pontos de extremidade do serviço de rede virtual, os endereços IP de origem dos recursos na sub-rede da sua rede virtual mudam do uso de endereços IPv4 públicos para o uso dos endereços IP privados da rede virtual do Azure para o tráfego para os serviços do Azure. Essa opção pode fazer com que firewalls IP específicos definidos para um endereço IPv4 público anteriormente nos serviços do Azure falhem.
A rota do ponto de extremidade de serviço sempre tem precedência?
Os pontos de extremidade de serviço adicionam uma rota do sistema que tem precedência sobre as rotas BGP (Border Gateway Protocol) e fornece roteamento ideal para o tráfego do ponto de extremidade do serviço. Os pontos de extremidade de serviço sempre levam o tráfego de serviço diretamente da sua rede virtual para o serviço na rede de backbone do Microsoft Azure.
Para obter mais informações sobre como o Azure seleciona uma rota, consulte Roteamento de tráfego de rede virtual.
Os pontos de extremidade de serviço funcionam com ICMP?
N.º O tráfego ICMP proveniente de uma sub-rede com pontos de extremidade de serviço habilitados não levará o caminho do túnel de serviço para o ponto de extremidade desejado. Os pontos de extremidade de serviço lidam apenas com o tráfego TCP. Se você quiser testar a latência ou a conectividade com um ponto de extremidade por meio de pontos de extremidade de serviço, ferramentas como ping e tracert não mostrarão o caminho verdadeiro que os recursos dentro da sub-rede tomarão.
Como os NSGs em uma sub-rede funcionam com pontos de extremidade de serviço?
Para acessar o serviço do Azure, os NSGs precisam permitir a conectividade de saída. Se os NSGs estiverem abertos para todo o tráfego de saída da Internet, o tráfego do ponto de extremidade do serviço deverá funcionar. Você também pode limitar o tráfego de saída a apenas endereços IP de serviço usando as tags de serviço.
De que permissões necessito para configurar pontos de extremidade de serviço?
Você pode configurar pontos de extremidade de serviço em uma rede virtual independentemente se tiver acesso de gravação a essa rede.
Para proteger os recursos de serviço do Azure a uma rede virtual, tem de ter permissão Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action para as sub-redes que está a adicionar. Essa permissão está incluída na função interna de administrador de serviço por padrão e pode ser modificada por meio da criação de funções personalizadas.
Para obter mais informações sobre funções internas e atribuição de permissões específicas a funções personalizadas, consulte Funções personalizadas do Azure.
Posso filtrar o tráfego de rede virtual para os serviços do Azure através de pontos de extremidade de serviço?
Você pode usar políticas de ponto de extremidade de serviço de rede virtual para filtrar o tráfego de rede virtual para serviços do Azure, permitindo apenas recursos de serviço específicos do Azure sobre os pontos de extremidade de serviço. As políticas de ponto de extremidade fornecem controle de acesso granular do tráfego de rede virtual para os serviços do Azure.
Para saber mais, consulte Políticas de ponto de extremidade do serviço de rede virtual para o Armazenamento do Azure.
O Microsoft Entra ID suporta pontos de extremidade de serviço de rede virtual?
O Microsoft Entra ID não suporta pontos de extremidade de serviço nativamente. Para obter uma lista completa dos serviços do Azure que dão suporte a pontos de extremidade de serviço de rede virtual, consulte Pontos de extremidade de serviço de rede virtual.
Nessa lista, a marca Microsoft.AzureActiveDirectory listada em serviços que dão suporte a pontos de extremidade de serviço é usada para dar suporte a pontos de extremidade de serviço para o Azure Data Lake Storage Gen1. A integração de rede virtual para o Data Lake Storage Gen1 usa a segurança de ponto de extremidade do serviço de rede virtual entre sua rede virtual e o ID do Microsoft Entra para gerar declarações de segurança adicionais no token de acesso. Essas afirmações são, posteriormente, utilizadas para autenticar a rede virtual na conta do Data Lake Storage Gen1 e permitir o acesso.
Existem limites para quantos pontos de extremidade de serviço posso configurar a partir da minha rede virtual?
Não existe limite para o número total de pontos finais de serviço numa rede virtual. Para um recurso de serviço do Azure (como uma conta de Armazenamento do Azure), os serviços podem impor limites ao número de sub-redes que você usa para proteger o recurso. A tabela a seguir mostra alguns limites de exemplo:
Serviço do Azure | Limites das regras de rede virtual |
---|---|
Armazenamento do Azure | 200 |
SQL do Azure | 128 |
Azure Synapse Analytics | 128 |
Azure Key Vault | 200 |
Azure Cosmos DB | 64 |
Hubs de Eventos do Azure | 128 |
Azure Service Bus | 128 |
Nota
Os limites estão sujeitos a alterações a critério dos serviços do Azure. Consulte a respetiva documentação de serviço para obter detalhes.
Migração de recursos de rede clássicos para o Resource Manager
O que é o Azure Service Manager e o que significa o termo "clássico"?
O Azure Service Manager é o antigo modelo de implantação do Azure que era responsável por criar, gerenciar e excluir recursos. A palavra clássico em um serviço de rede refere-se a recursos gerenciados pelo modelo do Azure Service Manager. Para obter mais informações, consulte a comparação de modelos de implantação.
O que é o Azure Resource Manager?
O Azure Resource Manager é o modelo de implantação e gerenciamento mais recente no Azure que é responsável por criar, gerenciar e excluir recursos em sua assinatura do Azure. Para obter mais informações, consulte O que é o Azure Resource Manager?.
Posso reverter a migração depois que os recursos forem comprometidos com o Gerenciador de Recursos?
Você pode cancelar a migração desde que os recursos ainda estejam no estado preparado. Não há suporte para a reversão para o modelo de implantação anterior depois que você migra recursos com êxito por meio da operação de confirmação.
Posso reverter a migração se a operação de confirmação falhar?
Não é possível reverter uma migração se a operação de confirmação falhar. Todas as operações de migração, incluindo a operação de confirmação, não podem ser alteradas depois de iniciá-las. Recomendamos que você tente novamente a operação após um curto período. Se a operação continuar a falhar, envie uma solicitação de suporte.
Posso verificar se a minha subscrição ou os meus recursos podem ser migrados?
Sim. A primeira etapa na preparação para a migração é validar que os recursos podem ser migrados. Se a validação falhar, você receberá mensagens por todos os motivos pelos quais a migração não pode ser concluída.
Os recursos do Application Gateway são migrados como parte da migração de rede virtual do clássico para o Gerenciador de Recursos?
Os recursos do Gateway de Aplicativo do Azure não são migrados automaticamente como parte do processo de migração de rede virtual. Se um estiver presente na rede virtual, a migração não será bem-sucedida. Para migrar um recurso do Application Gateway para o Resource Manager, você precisa remover e recriar a instância do Application Gateway após a conclusão da migração.
Os recursos do Gateway VPN são migrados como parte da migração de rede virtual do clássico para o Gerenciador de Recursos?
Os recursos do Gateway de VPN do Azure são migrados como parte do processo de migração de rede virtual. A migração é concluída uma rede virtual de cada vez, sem outros requisitos. As etapas de migração são as mesmas da migração de uma rede virtual sem um gateway VPN.
Uma interrupção de serviço está associada à migração de gateways VPN clássicos para o Resource Manager?
Você não sofrerá nenhuma interrupção de serviço com sua conexão VPN quando estiver migrando para o Gerenciador de Recursos. As cargas de trabalho existentes continuarão a funcionar com conectividade local completa durante a migração.
Preciso reconfigurar meu dispositivo local depois que o gateway VPN for migrado para o Gerenciador de Recursos?
O endereço IP público associado ao gateway VPN permanece o mesmo após a migração. Não é necessário reconfigurar o roteador local.
Quais são os cenários suportados para a migração do gateway VPN do clássico para o Resource Manager?
A migração do clássico para o Resource Manager abrange a maioria dos cenários comuns de conectividade VPN. Os cenários suportados incluem:
Conectividade ponto-a-site.
Conectividade site a site com um gateway VPN conectado a um local local.
Conectividade de rede para rede entre duas redes virtuais que usam gateways VPN.
Várias redes virtuais conectadas ao mesmo local local.
Conectividade de vários locais.
Redes virtuais com tunelamento forçado habilitado.
Quais cenários não são suportados para a migração do gateway VPN do clássico para o Gerenciador de Recursos?
Os cenários que não são suportados incluem:
Uma rede virtual com um gateway ExpressRoute e um gateway VPN.
Uma rede virtual com um gateway ExpressRoute conectado a um circuito em uma assinatura diferente.
Cenários de trânsito em que as extensões de VM estão conectadas a servidores locais.
Onde posso encontrar mais informações sobre a migração do clássico para o Gerenciador de Recursos?
Consulte Perguntas frequentes sobre migração clássica para o Azure Resource Manager.
Como posso comunicar um problema?
Você pode postar perguntas sobre problemas de migração na página de Perguntas e Respostas da Microsoft. Recomendamos que você poste todas as suas perguntas neste fórum. Se tiver um contrato de suporte, também pode apresentar um pedido de suporte.