Topologia de rede hub and spoke no Azure

Essa arquitetura de referência implementa um padrão de rede hub-spoke com componentes de infraestrutura de hub gerenciados pelo cliente. Para obter uma solução de infraestrutura de hub gerenciada pela Microsoft, consulte Topologia de rede Hub-spoke com WAN Virtual do Azure.

Hub-spoke é uma das topologias de rede recomendadas pelo Cloud Adoption Framework. Consulte Definir uma topologia de rede do Azure entender por que essa topologia é considerada uma prática recomendada para muitas organizações.

Arquitetura

Transfira um ficheiro do Visio desta arquitetura.

Conceitos Hub-spoke

As topologias de rede Hub-spoke normalmente incluem muitos dos seguintes conceitos de arquitetura:

• de rede virtual do Hub - A rede virtual do hub hospeda serviços compartilhados do Azure. Cargas de trabalho hospedadas nas redes virtuais spoke podem usar esses serviços. A rede virtual do hub é o ponto central de conectividade para redes entre locais. O hub contém seu principal ponto de saída e fornece um mecanismo para conectar um falou ao outro em situações onde o tráfego de rede virtual cruzada é necessário.

  Um hub é um recurso regional. As organizações que têm suas cargas de trabalho em várias regiões, devem ter vários hubs, um por região.

  O hub permite os seguintes conceitos:

  • de gateway entre instalações - A conectividade entre instalações é a capacidade de conectar e integrar diferentes ambientes de rede entre si. Esse gateway geralmente é uma VPN ou um circuito de Rota Expressa.

  • Controle de saída - A gestão e regulação do tráfego de saída que se origina nas redes virtuais peered faladas.

  • (opcional) Ingress control - O gerenciamento e a regulação do tráfego de entrada para endpoints que existem em redes virtuais peered spoke.

  • de acesso remoto - O acesso remoto é como cargas de trabalho individuais em redes spoke são acessadas a partir de um local de rede diferente da própria rede falada. Isso pode ser para os dados da carga de trabalho ou o plano de controle.

  • Acesso de raios remotos para máquinas virtuais - O hub pode ser um local conveniente para criar uma solução de conectividade remota entre organizações para acesso RDP e SSH a máquinas virtuais distribuídas em redes spoke.

  • Routing - Gerencia e direciona o tráfego entre o hub e os raios conectados para permitir uma comunicação segura e eficiente.

• Redes virtuais Spoke - As redes virtuais Spoke isolam e gerenciam cargas de trabalho separadamente em cada palestra. Cada carga de trabalho pode incluir várias camadas, com várias sub-redes conectadas por meio de balanceadores de carga do Azure. Os raios podem existir em diferentes assinaturas e representar diferentes ambientes, como produção e não produção. Uma carga de trabalho pode até se espalhar por vários porta-vozes.

  Na maioria dos cenários, um spoke só deve ser emparelhado para uma única rede de hub e essa rede de hub deve estar na mesma região que o spoke.

  Essas redes spoke seguem as regras para acesso de saída padrão. Um objetivo central disso, a topologia de rede hub-spoke, é geralmente direcionar o tráfego de saída da Internet através dos mecanismos de controle oferecidos pelo hub.

• de conectividade cruzada de rede virtual - A conectividade de rede virtual é o caminho no qual uma rede virtual isolada pode se comunicar com outra através de um mecanismo de controle. O mecanismo de controle impõe permissões e permite a direção das comunicações entre redes. Um hub fornecerá uma opção para suportar conexões entre redes selecionadas para fluir através da rede centralizada.

• DNS - As soluções Hub-spoke são frequentemente responsáveis por fornecer uma solução DNS para ser usada por todos os raios emparelhados, especialmente para roteamento entre locais e para registros DNS de ponto final privados.

Componentes

• A Rede Virtual do Azure é o bloco de construção fundamental para redes privadas no Azure. A Rede Virtual permite que muitos recursos do Azure, como VMs do Azure, se comuniquem com segurança entre si, redes entre locais e a Internet.

  Essa arquitetura conecta redes virtuais ao hub usando conexões de emparelhamento que são conexões não transitivas e de baixa latência entre redes virtuais. As redes virtuais emparelhadas podem trocar tráfego pelo backbone do Azure sem precisar de um roteador. Em uma arquitetura hub-spoke, emparelhar diretamente redes virtuais entre si é mínimo e reservado para cenários de casos especiais.

• O Azure Bastion é um serviço totalmente gerenciado que fornece acesso mais seguro e contínuo ao protocolo RDP (Remote Desktop Protocol) e ao protocolo SSH (Secure Shell Protocol) para VMs sem expor seus endereços IP públicos. Nessa arquitetura, o Azure Bastion é usado como uma oferta gerenciada para dar suporte ao acesso direto de VM entre raios conectados.

• O Firewall do Azure é um serviço de segurança de rede gerenciado baseado em nuvem que protege os recursos da Rede Virtual. Este serviço de firewall com monitoração de estado tem alta disponibilidade integrada e escalabilidade irrestrita na nuvem para ajudá-lo a criar, aplicar e registrar políticas de conectividade de aplicativos e redes virtuais em assinaturas e redes virtuais.

  Nessa arquitetura, o Firewall do Azure tem várias funções potenciais. O firewall é o principal ponto de saída para o tráfego destinado à Internet das redes virtuais peered spoke. O firewall também pode ser usado para inspecionar o tráfego de entrada, usando regras IDPS. E, finalmente, o Firewall também pode ser usado como um servidor proxy DNS para suportar regras de tráfego FQDN.

• de Gateway de VPN é um tipo específico de gateway de rede virtual que envia tráfego criptografado entre uma rede virtual no Azure e uma rede diferente pela Internet pública. Você também pode usar o Gateway VPN para enviar tráfego criptografado entre outras redes virtuais de hubs pela rede da Microsoft.

  Nessa arquitetura, essa seria uma opção para conectar alguns ou todos os raios à rede remota. Os porta-vozes normalmente não implantariam seu próprio Gateway VPN e, em vez disso, usariam a solução centralizada oferecida pelo hub. Você precisa estabelecer a configuração de roteamento para gerenciar essa conectividade.

• gateway de Rota Expressa do Azure troca rotas IP e roteia o tráfego de rede entre sua rede local e sua rede virtual do Azure. Nessa arquitetura, o ExpressRoute seria uma opção alternativa a um gateway VPN para conectar alguns ou todos os raios a uma rede remota. Os porta-vozes não implantariam sua própria Rota Expressa e, em vez disso, esses raios usariam a solução centralizada oferecida pelo hub. Como em um gateway VPN, você precisa estabelecer uma configuração de roteamento para gerenciar essa conectividade.

• O Azure Monitor pode coletar, analisar e agir em dados de telemetria de ambientes entre locais, incluindo o Azure e local. O Azure Monitor ajuda-o a maximizar o desempenho e a disponibilidade das suas aplicações e a identificar problemas de forma proativa em segundos. Nessa arquitetura, o Azure Monitor é o coletor de log e métrica para os recursos do hub e para as métricas de rede. O Azure Monitor também pode ser usado como um coletor de log para recursos em redes faladas, mas essa é uma decisão para as várias cargas de trabalho conectadas e não é obrigatória por essa arquitetura.

Alternativas

Essa arquitetura envolve a criação, configuração e manutenção de várias primitivas de recursos do Azure, a saber: virtualNetworkPeerings, routeTablese subnets. do Azure Virtual Network Manager é um serviço de gerenciamento que ajuda você a agrupar, configurar, implantar e gerenciar redes virtuais em escala em assinaturas do Azure, regiões e diretórios do Microsoft Entra. Com o Virtual Network Manager, você pode definir grupos de rede identificar e segmentar logicamente suas redes virtuais. Você pode usar grupos conectados que permitem que redes virtuais dentro de um grupo se comuniquem entre si como se estivessem conectadas manualmente. Essa camada adiciona uma camada de abstração sobre essas primitivas para se concentrar na descrição da topologia de rede versus trabalhar sobre a implementação dessa topologia.

É recomendável que você avalie o uso do Virtual Network Manager como uma maneira de otimizar seu tempo gasto com operações de gerenciamento de rede. Avalie o custo do serviço em relação ao seu valor/economia calculada para determinar se o Virtual Network Manager é um benefício líquido para o tamanho e a complexidade da sua rede.

Detalhes do cenário

Esta arquitetura de referência implementa um padrão de rede hub-spoke onde a rede virtual hub atua como um ponto central de conectividade para muitas redes virtuais faladas. As redes virtuais spoke se conectam com o hub e podem ser usadas para isolar cargas de trabalho. Você também pode habilitar cenários entre locais usando o hub para se conectar a redes locais.

Essa arquitetura descreve um padrão de rede com componentes de infraestrutura de hub gerenciados pelo cliente. Para obter uma solução de infraestrutura de hub gerenciada pela Microsoft, consulte Topologia de rede Hub-spoke com WAN Virtual do Azure.

Os benefícios de usar uma configuração de hub e spoke gerenciados pelo cliente incluem:

• Poupança de custos
• Ultrapassar os limites de subscrição
• Isolamento de cargas de trabalho
• Flexibilidade
  • Mais controle sobre como os dispositivos virtuais de rede (NVAs) são implantados, como o número de NICs, o número de instâncias ou o tamanho da computação.
  • Uso de NVAs que não são suportados pela WAN Virtual

Para obter mais informações, consulte Topologia de rede Hub-and-spoke.

Potenciais casos de utilização

Os usos típicos de uma arquitetura hub e spoke incluem cargas de trabalho que:

• Ter vários ambientes que exigem serviços compartilhados. Por exemplo, uma carga de trabalho pode ter ambientes de desenvolvimento, teste e produção. Os serviços partilhados podem incluir IDs de DNS, NTP (Network Time Protocol) ou AD DS (Serviços de Domínio Ative Directory). Os serviços compartilhados são colocados na rede virtual do hub e cada ambiente é implantado em uma rede diferente para manter o isolamento.
• Não exigem conectividade entre si, mas exigem acesso a serviços compartilhados.
• Exija controle central sobre a segurança, como um firewall de rede de perímetro (também conhecido como DMZ) no hub com gerenciamento de carga de trabalho segregada em cada raio.
• Exigem controle central sobre a conectividade, como conectividade seletiva ou isolamento entre raios de determinados ambientes ou cargas de trabalho.

Recomendações

As recomendações a seguir se aplicam à maioria dos cenários. Siga estas recomendações, a menos que tenha requisitos específicos que os substituam.

Grupos de recursos, assinaturas e regiões

Esta solução de exemplo usa um único grupo de recursos do Azure. Você também pode implementar o hub e cada spoke em diferentes grupos de recursos e assinaturas.

Quando você emparelha redes virtuais em assinaturas diferentes, pode associar as assinaturas aos mesmos ou diferentes locatários do Microsoft Entra. Essa flexibilidade permite o gerenciamento descentralizado de cada carga de trabalho, mantendo os serviços compartilhados no hub. Consulte Criar um emparelhamento de rede virtual - Gerenciador de Recursos, assinaturas diferentes e locatários do Microsoft Entra.

Zonas de aterrissagem do Azure

O de arquitetura da zona de aterrissagem do Azure é baseado na topologia hub-spoke. Nessa arquitetura, os recursos compartilhados e a rede do hub são gerenciados por uma equipe de plataforma centralizada, enquanto os porta-vozes compartilham um modelo de copropriedade com a equipe da plataforma e a equipe de carga de trabalho que está usando a rede falada. Todos os hubs residem em uma assinatura de "Conectividade" para gerenciamento centralizado, enquanto as redes virtuais spoke existem em muitas assinaturas de carga de trabalho individuais, chamadas assinaturas de zona de aterrissagem de aplicativos.

Sub-redes de rede virtual

As recomendações a seguir descrevem como configurar as sub-redes na rede virtual.

GatewaySubnet

O gateway de rede virtual requer essa sub-rede. Você também pode usar uma topologia hub-spoke sem um gateway se não precisar de conectividade de rede entre locais.

Crie uma sub-rede chamada GatewaySubnet com um intervalo de endereços de pelo menos 26. O intervalo de endereços /26 oferece à sub-rede opções de configuração de escalabilidade suficientes para evitar atingir as limitações de tamanho do gateway no futuro e acomodar um número maior de circuitos de Rota Expressa. Para obter mais informações sobre como configurar o gateway, consulte Rede híbrida usando um gateway VPN.

AzureFirewallSubnet

Crie uma sub-rede chamada AzureFirewallSubnet com um intervalo de endereços de pelo menos /26. Independentemente da escala, o /26 intervalo de endereços é o tamanho recomendado e cobre quaisquer limitações de tamanho futuras. Esta sub-rede não suporta grupos de segurança de rede (NSGs).

O Firewall do Azure requer essa sub-rede. Se você usar um dispositivo virtual (NVA) de rede de parceiros, siga seus requisitos de rede.

Conectividade de rede spoke

Emparelhamento de rede virtual ou grupos conectados são relações não transitivas entre redes virtuais. Se você precisar de redes virtuais spoke para se conectar umas às outras, adicione uma conexão de emparelhamento entre esses raios ou coloque-os no mesmo grupo de rede.

Conexões spoke por meio do Firewall do Azure ou NVA

O número de emparelhamentos de rede virtual por rede virtual é limitado. Se você tiver muitos raios que precisam se conectar uns com os outros, você pode ficar sem conexões de emparelhamento. Os grupos conectados também têm limitações. Para obter mais informações, consulte Limites de rede e Limites de grupos conectados.

Nesse cenário, considere usar rotas definidas pelo usuário (UDRs) para forçar o tráfego falado a ser enviado para o Firewall do Azure ou outro NVA que atue como um roteador no hub. Tal permitirá que os spokes se liguem entre si. Para dar suporte a esta configuração, tem de implementar o Azure Firewall com a configuração de túnel forçado ativada. Para obter mais informações, veja Túnel forçado do Azure Firewall.

A topologia neste projeto arquitetónico facilita os fluxos de saída. Embora o Azure Firewall seja principalmente para segurança de saída, também pode ser um ponto de entrada. Para obter mais considerações sobre o reencaminhamento de entrada de NVA do hub, consulte Firewall e Gateway de Aplicação para redes virtuais.

Conexões spoke para redes remotas através de um gateway de hub

Para configurar raios para se comunicar com redes remotas por meio de um gateway de hub, você pode usar emparelhamentos de rede virtual ou grupos de rede conectados.

Para usar emparelhamentos de rede virtual, na configuração de emparelhamento de rede virtual:

• Configure a conexão de emparelhamento no hub para Permitir o trânsito do gateway.
• Configure a conexão de emparelhamento em cada spoke para Usar o gateway da rede virtual remota.
• Configure todas as conexões de emparelhamento para Permitir tráfego encaminhado.

Para obter mais informações, consulte Criar um emparelhamento de rede virtual.

Para usar grupos de rede conectados:

1. No Virtual Network Manager, crie um grupo de rede e adicione redes virtuais de membros.
2. Crie uma configuração de conectividade de hub e spoke.
3. Para os grupos de rede Spoke, selecione Hub como gateway.

Para obter mais informações, consulte Criar uma topologia de hub e spoke com o Azure Virtual Network Manager.

Comunicações de rede spoke

Existem duas maneiras principais de permitir que as redes virtuais faladas se comuniquem entre si:

• Comunicação através de um NVA como um firewall e roteador. Este método incorre em um salto entre os dois raios.
• Comunicação usando emparelhamento de rede virtual ou conectividade direta do Virtual Network Manager entre raios. Essa abordagem não causa um salto entre os dois raios e é recomendada para minimizar a latência.
• O Private Link pode ser usado para expor seletivamente recursos individuais a outras redes virtuais. Por exemplo, expor um balanceador de carga interno a uma rede virtual diferente, sem a necessidade de formar ou manter relações de emparelhamento ou roteamento.

Para obter mais informações sobre padrões de rede spoke-to-spoke, consulte Spoke-to-spoke networking.

Comunicação através de um NVA

Se você precisar de conectividade entre raios, considere implantar o Firewall do Azure ou outro NVA no hub. Em seguida, crie rotas para encaminhar o tráfego de um spoke para o firewall ou NVA, que pode então rotear para o segundo spoke. Neste cenário, tem de configurar as ligações de peering para permitir tráfego reencaminhado.

Você também pode usar um gateway VPN para rotear o tráfego entre raios, embora essa opção afete a latência e a taxa de transferência. Para obter detalhes de configuração, consulte Configurar o trânsito do gateway VPN para emparelhamento de rede virtual.

Avalie os serviços que você compartilha no hub para garantir que ele seja dimensionado para um número maior de raios. Por exemplo, se o hub fornecer serviços de firewall, considere os limites de largura de banda da solução de firewall ao adicionar vários raios. Você pode mover alguns desses serviços compartilhados para um segundo nível de hubs.

Comunicação direta entre redes faladas

Para se conectar diretamente entre redes virtuais spoke sem atravessar a rede virtual do hub, você pode criar conexões de emparelhamento entre raios ou habilitar a conectividade direta para o grupo de rede. É melhor limitar o emparelhamento ou a conectividade direta a redes virtuais faladas que fazem parte do mesmo ambiente e carga de trabalho.

Ao usar o Virtual Network Manager, você pode adicionar redes virtuais spoke a grupos de rede manualmente ou adicionar redes automaticamente com base nas condições definidas.

O diagrama a seguir ilustra o uso do Virtual Network Manager para conectividade direta entre raios.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que podem ser usados para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.

Fiabilidade

A confiabilidade garante que seu aplicativo possa atender aos compromissos que você assume com seus clientes. Para obter mais informações, consulte Visão geral do pilar de confiabilidade.

Use zonas de disponibilidade para serviços do Azure no hub que oferecem suporte a eles.

Como regra geral, é melhor ter pelo menos um hub por região e conectar apenas raios a esses hubs da mesma região. Essa configuração ajuda as regiões de anteparas a evitar uma falha no hub de uma região, causando falhas generalizadas de roteamento de rede em regiões não relacionadas.

Para uma maior disponibilidade, pode utilizar o ExpressRoute e uma VPN para a ativação pós-falha. Consulte Conectar uma rede local ao Azure usando a Rota Expressa com de failover de VPN e siga as orientações para projetar e arquitetar o Azure ExpressRoute parade resiliência.

Devido à forma como o Firewall do Azure implementa regras de aplicativo FQDN, verifique se todos os recursos que estão saindo pelo firewall estão usando o mesmo provedor de DNS que o próprio firewall. Sem isso, o Firewall do Azure pode bloquear o tráfego legítimo porque a resolução IP do FQDN do firewall difere da resolução IP do originador do tráfego do mesmo FQDN. Incorporar o proxy do Firewall do Azure como parte da resolução de DNS spoke é uma solução para garantir que os FQDNs estejam sincronizados com o originador de tráfego e o Firewall do Azure.

Segurança

A segurança oferece garantias contra ataques deliberados e o abuso de seus valiosos dados e sistemas. Para obter mais informações, consulte Lista de verificação de revisão de design parade segurança .

Para proteger contra ataques DDoS, habilite Proteção DDOS do Azure em qualquer rede virtual de perímetro. Qualquer recurso que tenha um IP público é suscetível a um ataque DDoS. Mesmo que suas cargas de trabalho não sejam expostas publicamente, você ainda tem IPs públicos que precisam ser protegidos, como:

• IPs públicos do Firewall do Azure
• IPs públicos do gateway VPN
• IP público do plano de controle da Rota Expressa

Para minimizar o risco de acesso não autorizado e aplicar políticas de segurança rígidas, sempre defina regras explícitas de negação em grupos de segurança de rede (NSGs).

Use a versão do Firewall do Azure para habilitar a inspeção TLS, o sistema de deteção e prevenção de intrusões de rede (IDPS) e a filtragem de URL.

Segurança do Virtual Network Manager

Para garantir um conjunto de regras de segurança de linha de base, certifique-se de associar regras de administração de segurança a redes virtuais em grupos de rede. As regras de administração de segurança têm precedência e são avaliadas antes das regras NSG. Como as regras NSG, as regras de administração de segurança suportam priorização, tags de serviço e protocolos L3-L4. Para obter mais informações, consulte Regras de administração de segurança no Virtual Network Manager.

Use implantações do Virtual Network Manager para facilitar a implantação controlada de alterações potencialmente significativas nas regras de segurança do grupo de rede.

Otimização de Custos

A Otimização de Custos tem a ver com formas de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Lista de verificação de revisão de projeto para Otimização de custos.

Considere os seguintes fatores relacionados a custos ao implantar e gerenciar redes hub e spoke. Para obter mais informações, consulte Preços de rede virtual.

Custos do Firewall do Azure

Essa arquitetura implanta uma instância do Firewall do Azure na rede de hub. Usar uma implantação do Firewall do Azure como uma solução compartilhada consumida por várias cargas de trabalho pode economizar significativamente os custos da nuvem em comparação com outros NVAs. Para obter mais informações, consulte Firewall do Azure versus dispositivos virtuais de rede.

Para usar todos os recursos implantados de forma eficaz, escolha o tamanho correto do Firewall do Azure. Decida quais recursos você precisa e qual camada melhor se adapta ao seu conjunto atual de cargas de trabalho. Para saber mais sobre as SKUs do Firewall do Azure disponíveis, consulte O que é o Firewall do Azure?

Emparelhamento direto

O uso seletivo de emparelhamento direto ou outra comunicação roteada não hub entre raios pode evitar o custo do processamento do Firewall do Azure. A economia pode ser significativa para redes que têm cargas de trabalho com comunicação de alto rendimento e baixo risco entre raios, como sincronização de banco de dados ou operações de cópia de arquivos grandes.

Excelência Operacional

A Excelência Operacional abrange os processos operacionais que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, consulte Lista de verificação de revisão de projeto para o Operational Excellence.

Habilite as configurações de diagnóstico para todos os serviços, como o Azure Bastion, o Firewall do Azure e seu gateway cross-premesis. Determine quais configurações são significativas para suas operações. Desative as configurações que não são significativas para evitar custos indevidos. Recursos como o Firewall do Azure podem ser detalhados com o registro em log e você pode incorrer em altos custos de monitoramento.

Use Monitor de conexão para monitoramento de ponta a ponta para detetar anomalias e identificar e solucionar problemas de rede.

Use do Observador de Rede do Azure para monitorar e solucionar problemas de componentes de rede, incluindo o uso de de Análise de Tráfego para mostrar os sistemas em suas redes virtuais que geram mais tráfego. Você pode identificar visualmente os gargalos antes que eles se tornem problemas.

Se você estiver usando a Rota Expressa, use do Coletor de Tráfego da Rota Expressa, onde você pode analisar os logs de fluxo dos fluxos de rede enviados pelos circuitos da Rota Expressa. O ExpressRoute Traffic Collector oferece visibilidade do tráfego que flui nos roteadores de borda empresariais da Microsoft.

Use regras baseadas em FQDN no Firewall do Azure para protocolos diferentes de HTTP(s) ou ao configurar o SQL Server. O uso de FQDNs reduz a carga de gerenciamento sobre o gerenciamento de endereços IP individuais.

Planeje o endereçamento IP com base em seus requisitos de emparelhamento e certifique-se de que o espaço de endereço não se sobreponha entre locais entre locais e locais do Azure.

Automação com o Azure Virtual Network Manager

Para gerenciar centralmente os controles de conectividade e segurança, use do Gerenciador de Rede Virtual do Azure para criar novas topologias de rede virtual hub e spoke ou integrar topologias existentes. O uso do Virtual Network Manager garante que suas topologias de rede hub e spoke estejam preparadas para o crescimento futuro em grande escala em várias assinaturas, grupos de gerenciamento e regiões.

Exemplos de cenários de caso de uso do Virtual Network Manager incluem:

• Democratização do gerenciamento de redes virtuais para grupos como unidades de negócios ou equipes de aplicativos. A democratização pode resultar em um grande número de requisitos de conectividade de rede virtual para rede virtual e regras de segurança de rede.
• Padronização de várias arquiteturas de réplica em várias regiões do Azure para garantir uma pegada global para aplicativos.

Para garantir regras uniformes de conectividade e segurança de rede, você pode usar grupos de rede para agrupar redes virtuais em qualquer assinatura, grupo de gerenciamento ou região sob o mesmo locatário do Microsoft Entra. Você pode integrar automática ou manualmente redes virtuais a grupos de rede por meio de atribuições de associação dinâmicas ou estáticas.

Você define a capacidade de descoberta das redes virtuais que o Virtual Network Manager gerencia usando escopos. Esse recurso fornece flexibilidade para um número desejado de instâncias do gerenciador de rede, o que permite maior democratização do gerenciamento para grupos de rede virtual.

Para conectar redes virtuais spoke no mesmo grupo de rede entre si, use o Virtual Network Manager para implementar emparelhamento de rede virtual ou conectividade direta. Use a opção de malha global para estender a conectividade direta de malha para redes spoke em diferentes regiões. O diagrama a seguir mostra a conectividade de malha global entre regiões.

Você pode associar redes virtuais dentro de um grupo de rede a um conjunto de linha de base de regras de administração de segurança. As regras de administração de segurança de grupo de rede impedem que os proprietários de redes virtuais faladas substituam as regras de segurança de linha de base, permitindo que eles adicionem de forma independente seus próprios conjuntos de regras de segurança e NSGs. Para obter um exemplo de como usar regras de administração de segurança em topologias de hub e spoke, consulte Tutorial: Criar uma rede segura de hub e spoke.

Para facilitar uma distribuição controlada de grupos de rede, conectividade e regras de segurança, as implantações de configuração do Virtual Network Manager ajudam você a liberar com segurança alterações de configuração potencialmente significativas para ambientes de hub e spoke. Para obter mais informações, consulte Implantações de configuração no Gerenciador de Rede Virtual do Azure.

Para simplificar e agilizar o processo de criação e manutenção de configurações de rota, você pode usar gerenciamento automatizado de rotas definidas pelo usuário (UDRs) no Azure Virtual Network Manager.

Para simplificar e centralizar o gerenciamento de endereços IP, você pode usar gerenciamento de endereços IP (IPAM) no Azure Virtual Network Manager. O IPAM evita conflitos de espaço de endereço IP em redes virtuais locais e na nuvem.

Para começar a usar o Gerenciador de Rede Virtual, consulte Criar uma topologia de hub e spoke com o Gerenciador de Rede Virtual do Azure.

Eficiência de desempenho

Eficiência de desempenho é a capacidade de sua carga de trabalho de escalar para atender às demandas colocadas pelos usuários de maneira eficiente. Para obter mais informações, consulte visão geral do pilar Eficiência de Desempenho.

Para cargas de trabalho que se comunicam do local para máquinas virtuais em uma rede virtual do Azure que exigem baixa latência e alta largura de banda, considere usar ExpressRoute FastPath. O FastPath permite que você envie tráfego diretamente para máquinas virtuais em sua rede virtual localmente, ignorando o gateway de rede virtual ExpressRoute, aumentando o desempenho.

Para comunicações spoke-to-spoke que exigem baixa latência, considere configurar rede spoke-to-spoke.

Escolha os de SKU de gateway de apropriados que atendam às suas necessidades, como número de conexões ponto a site ou site a site, pacotes necessários por segundo, requisitos de largura de banda e fluxos TCP.

Para fluxos sensíveis à latência, como SAP ou acesso ao armazenamento, considere ignorar o Firewall do Azure ou até mesmo rotear pelo hub. Você pode latência de teste introduzida pelo do Firewall do Azure para ajudar a informar sua decisão. Você pode usar recursos como de emparelhamento de VNet que conecta duas ou mais redes ou de Link Privado do Azure que permite que você se conecte a um serviço por meio de um ponto de extremidade privado em sua rede virtual.

Entenda que habilitar determinados recursos no Firewall do Azure, como o sistema de deteção e prevenção de intrusões (IDPS), reduz sua taxa de transferência. Para obter mais informações, consulte de desempenho do Firewall do Azure .

Implementar este cenário

Essa implantação inclui uma rede virtual de hub e dois raios conectados, além de implantar uma instância do Firewall do Azure e um host do Azure Bastion. Opcionalmente, a implantação pode incluir VMs na rede first spoke e um gateway VPN. Você pode escolher entre emparelhamento de rede virtual ou grupos conectados do Gerenciador de Rede Virtual para criar as conexões de rede. Cada método tem várias opções de implantação.

• Hub-and-spoke com de implantação de emparelhamento de rede virtual

• Hub-and-spoke com grupos conectados do Virtual Network Manager

Contribuidores

Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.

Principais autores:

• Alejandra Palacios - Brasil | Engenheiro de Clientes Sênior
• Jose Moreno - Brasil | Engenheiro Principal
• Adam Torkar | Azure Networking Global Blackbelt na Microsoft

Outros contribuidores:

• Matthew Bratschun - Brasil | Engenheiro de Clientes
• Jay Li - Brasil | Gerente de Produto Sênior
• Telmo Sampaio - Portugal | Gerente Principal de Engenharia de Serviços

Para ver perfis não públicos do LinkedIn, inicie sessão no LinkedIn.

Próximos passos

• Para saber mais sobre hubs virtuais seguros e as políticas de segurança e roteamento associadas que o Gerenciador de Firewall do Azure configura, consulte O que é um hub virtual seguro?

Cenários avançados

Sua arquitetura pode diferir dessa arquitetura hub-spoke simples. Segue-se uma lista de orientações para alguns cenários avançados:

• Adicione mais regiões e faça a malha total dos hubs entre si - de rede Spoke-to-spoke para padrões de conectividade de várias regiões e rede multirregião com o Azure Route Server

• Substitua o Firewall do Azure por um dispositivo virtual de rede (NVA) personalizado - Implantar NVAs altamente disponíveis

• Substitua o Gateway de Rede Virtual do Azure por NVA SDWAN personalizado - integração SDWAN com topologias de rede hub-and-spoke do Azure

• Use o Servidor de Rotas do Azure para fornecer transitividade entre sua Rota Expressa e VPN ou SDWAN, ou para personalizar prefixos anunciados por BGP em gateways de rede virtual do Azure - suporte do Servidor de Rotas do Azure para ExpressRoute e Azure VPN

• Adicionar resolvedor privado ou servidores DNS - de arquitetura de resolvedor privado

Recursos relacionados

Explore as seguintes arquiteturas relacionadas:

• Guia de arquitetura do firewall do Azure
• Firewall e Application Gateway para redes virtuais
• Solucionar problemas de uma conexão VPN híbrida
• Rede Spoke-to-spoke
• Arquitetura de linha de base para um cluster do Serviço Kubernetes do Azure (AKS)