Preparar para conectar o Azure Communications Gateway à sua própria rede virtual (visualização)
Este artigo descreve as etapas necessárias para conectar um Gateway de Comunicação do Azure à sua própria rede virtual usando injeção de VNet para o Azure Communications Gateway (visualização). Este procedimento é necessário para implantar o Azure Communications Gateway em uma sub-rede que você controla e é usado ao conectar sua rede local com o Emparelhamento Privado de Rota Expressa ou por meio de um Gateway de VPN do Azure. O Azure Communications Gateway tem duas regiões de serviço com sua própria conectividade, o que significa que você precisa fornecer redes virtuais e sub-redes em cada uma dessas regiões.
O diagrama a seguir mostra uma visão geral do Azure Communications Gateway implantado com injeção de VNet. As interfaces de rede no Gateway de Comunicação do Azure voltadas para sua rede são implantadas em sua sub-rede, enquanto as interfaces de rede voltadas para serviços de comunicações de back-end permanecem gerenciadas pela Microsoft.
Pré-requisitos
- Obtenha sua assinatura do Azure habilitada para o Azure Communications Gateway.
- Informe a sua equipa de onboarding que pretende utilizar as suas próprias redes virtuais.
- Crie uma rede virtual do Azure em cada uma das regiões do Azure para ser usada como as regiões de serviço do Azure Communications Gateway. Saiba como criar uma rede virtual.
- Crie uma sub-rede em cada rede virtual do Azure para uso exclusivo do Azure Communications Gateway. Cada uma dessas sub-redes deve ter pelo menos 16 endereços IP (um intervalo IPv4 /28 ou maior). Nada mais deve usar esta sub-rede. Saiba como criar uma sub-rede.
- Verifique se sua conta do Azure tem a função de Colaborador de Rede, ou um pai dessa função, nas redes virtuais.
- Implante sua solução de conectividade escolhida (por exemplo, Rota Expressa) em sua assinatura do Azure e verifique se ela está pronta para uso.
Gorjeta
As implantações de laboratório têm apenas uma região de serviço, portanto, você só precisa configurar uma única região durante este procedimento.
Delegar as sub-redes de rede virtual
Para usar sua rede virtual com o Azure Communications Gateway, você precisa delegar as sub-redes ao Azure Communications Gateway. A delegação de sub-rede concede permissões explícitas ao Azure Communications Gateway para criar recursos específicos do serviço, como interfaces de rede (NICs), nas sub-redes.
Siga estas etapas para delegar suas sub-redes para uso com seu Gateway de Comunicação do Azure:
Vá para suas redes virtuais e selecione a rede virtual a ser usada na primeira região de serviço do Azure Communications Gateway.
Selecione Sub-redes.
Selecione uma sub-rede que você deseja delegar ao Azure Communications Gateway.
Importante
A sub-rede que você usa deve ser dedicada ao Azure Communications Gateway.
Em Delegar sub-rede a um serviço, selecione Microsoft.AzureCommunicationsGateway/networkSettings e, em seguida, selecione Guardar.
Verifique se Microsoft.AzureCommunicationsGateway/networkSettings aparece na coluna Delegado a da sua sub-rede.
Repita as etapas acima para a rede virtual e a sub-rede na outra região de serviço do Azure Communications Gateway.
Configurar grupos de segurança de rede
Ao conectar seu Gateway de Comunicação do Azure a redes virtuais, você precisa configurar um NSG (grupo de segurança de rede) para permitir que o tráfego de sua rede chegue ao Gateway de Comunicações do Azure. Um NSG contém as regras de controlo de acesso que permitem ou negam tráfego com base na direção, protocolo, endereço e porta de origem e endereço e porta de destino do tráfego.
As regras de um NSG podem ser alteradas a qualquer momento e as alterações são aplicadas a todas as instâncias associadas. Pode levar até 10 minutos para que as alterações do NSG sejam efetivas.
Importante
Se você não configurar um grupo de segurança de rede, seu tráfego não poderá acessar as interfaces de rede do Gateway de Comunicação do Azure.
A configuração do grupo de segurança de rede consiste em duas etapas, a serem executadas em cada região de serviço:
- Crie um grupo de segurança de rede que permita o tráfego desejado.
- Associe o grupo de segurança de rede às sub-redes de rede virtual.
Você pode usar um NSG para controlar o tráfego para uma ou mais máquinas virtuais (VMs), instâncias de função, adaptadores de rede (NICs) ou sub-redes em sua rede virtual. Um NSG contém as regras de controlo de acesso que permitem ou negam tráfego com base na direção, protocolo, endereço e porta de origem e endereço e porta de destino do tráfego. As regras de um NSG podem ser alteradas a qualquer momento e as alterações são aplicadas a todas as instâncias associadas.
Para obter mais informações sobre NSGs, visite o que é um NSG.
Criar o grupo de segurança de rede relevante
Trabalhe com sua equipe de integração para determinar a configuração correta do grupo de segurança de rede para suas redes virtuais. Essa configuração depende da sua opção de conectividade (por exemplo, Rota Expressa) e da topologia da rede virtual.
Sua configuração de grupo de segurança de rede deve permitir o tráfego para os intervalos de portas necessários usados pelo Azure Communications Gateway.
Gorjeta
Você pode usar recomendações para grupos de segurança de rede para ajudar a garantir que sua configuração corresponda às práticas recomendadas de segurança.
Associar a sub-rede ao grupo de segurança de rede
- Vá para o grupo de segurança de rede e selecione Sub-redes.
- Selecione + Associar na barra de menu superior.
- Em Rede virtual, selecione sua rede virtual.
- Em Sub-rede, selecione sua sub-rede de rede virtual.
- Selecione OK para associar a sub-rede de rede virtual ao grupo de segurança de rede.
- Repita estas etapas para a outra região de serviço.