Partilhar via

Azure para engenheiros de rede

  • Artigo

Como engenheiro de rede convencional, você lidou com ativos físicos, como roteadores, switches, cabos, firewalls para construir infraestrutura. Em uma camada lógica, você configurou LAN virtual (VLAN), STP (Spanning Tree Protocol), protocolos de roteamento (RIP, OSPF, BGP). Você gerenciou sua rede usando ferramentas de gerenciamento e CLI. A rede na nuvem é diferente, onde os pontos de extremidade de rede são lógicos e o uso de protocolos de roteamento é mínimo. Você trabalhará com a API do Azure Resource Manager, a CLI do Azure e o PowerShell para configurar e gerenciar ativos no Azure. Você começará sua jornada de rede na nuvem entendendo os locatários básicos da rede do Azure.

Rede virtual

Quando você projeta uma rede de baixo para cima, você reúne algumas informações básicas. Essas informações podem ser número de hosts, dispositivos de rede, número de sub-redes, roteamento entre sub-redes, domínios de isolamento, como VLANs. Essas informações ajudam no dimensionamento da rede e dos dispositivos de segurança, bem como na criação da arquitetura para suportar aplicativos e serviços.

Ao planejar implantar seus aplicativos e serviços no Azure, você começará criando um limite lógico no Azure, que é chamado de rede virtual. Esta rede virtual é semelhante a um limite de rede física. Como é uma rede virtual, você não precisa de equipamentos físicos, mas ainda precisa planejar as entidades lógicas, como endereços IP, sub-redes IP, roteamento e políticas.

Quando você cria uma rede virtual no Azure, ela é pré-configurada com um intervalo de IP (10.0.0.0/16). Este intervalo não é fixo, você pode definir seu próprio intervalo de IP. Você pode definir intervalos de endereços IPv4 e IPv6. Os intervalos de IP definidos para a rede virtual não são anunciados para a Internet. Você pode criar várias sub-redes a partir do seu intervalo de IP. Essas sub-redes serão usadas para atribuir endereços IP a interfaces de rede virtual (vNICs). Os primeiros quatro endereços IP de cada sub-rede são reservados e não podem ser usados para alocação de IP. Não há nenhum conceito de VLANs em uma nuvem pública. No entanto, você pode criar isolamento dentro de uma rede virtual com base em suas sub-redes definidas.

Você pode criar uma sub-rede grande abrangendo todo o espaço de endereço da rede virtual ou optar por criar várias sub-redes. No entanto, se você estiver usando um gateway de rede virtual, o Azure exigirá que você crie uma sub-rede com o nome "sub-rede de gateway". O Azure usará essa sub-rede para atribuir endereços IP a gateways de rede virtual.

Atribuição de PI

Quando você atribui um endereço IP a um host, na verdade atribui IP a uma placa de interface de rede (NIC). Você pode atribuir dois tipos de endereços IP a uma NIC no Azure:

  • Endereços IP públicos - Utilizados para comunicar entradas e saídas (sem conversão de endereços de rede (NAT)) com a Internet e outros recursos do Azure não ligados a uma rede virtual. A atribuição de endereços IP públicos a uma NIC é opcional. Os endereços IP públicos pertencem ao espaço de endereços IP da Microsoft.
  • Endereços IP privados - Usados para comunicação dentro de uma rede virtual, sua rede local e a Internet (com NAT). O espaço de endereço IP definido na rede virtual é considerado privado mesmo se você configurar o espaço de endereço IP público. A Microsoft não anuncia este espaço para a Internet. Tem de atribuir, pelo menos, um endereço IP privado a uma VM.

Tal como acontece com anfitriões ou dispositivos físicos, existem duas formas de atribuir um endereço IP a um recurso - dinâmico ou estático. No Azure, o método de alocação padrão é dinâmico, onde um endereço IP é alocado quando você cria uma máquina virtual (VM) ou inicia uma VM interrompida. O endereço IP é libertado quando para ou elimina a VM. Para garantir que o endereço IP da VM fica o mesmo, pode definir o método de alocação explicitamente como estático. Neste caso, é atribuído imediatamente um endereço IP. Só é libertado quando elimina a VM ou altera o método de alocação para dinâmico.

Os endereços IP privados são alocados a partir das sub-redes que você definiu dentro de uma rede virtual. Para uma VM, você escolhe uma sub-rede para a alocação de IP. Se uma VM contiver várias NICs, você poderá escolher uma sub-rede diferente para cada NIC.

Encaminhamento

Quando você cria uma rede virtual, o Azure cria uma tabela de roteamento para sua rede. Esta tabela de roteamento contém os seguintes tipos de rotas.

  • Rotas de sistema
  • Rotas padrão de sub-rede
  • Rotas de outras redes virtuais
  • Rotas BGP
  • Rotas de ponto de extremidade de serviço
  • Rotas definidas pelo usuário (UDR)

Quando você cria uma rede virtual pela primeira vez sem definir nenhuma sub-rede, o Azure cria entradas de roteamento na tabela de roteamento. Essas rotas são chamadas de rotas do sistema. As rotas do sistema são definidas neste local. Não é possível modificar essas rotas. No entanto, você pode substituir rotas de sistemas configurando UDRs.

Quando você cria uma ou várias sub-redes dentro de uma rede virtual, o Azure cria entradas padrão na tabela de roteamento para habilitar a comunicação entre essas sub-redes em uma rede virtual. Essas rotas podem ser modificadas usando rotas estáticas, que são UDR (Rotas Definidas pelo Usuário) no Azure.

Quando você cria um emparelhamento de rede virtual entre duas redes virtuais, uma rota é adicionada para cada intervalo de endereços dentro do espaço de endereço de cada rede virtual para a qual um emparelhamento é criado.

Se o seu gateway de rede no local trocar de rotas de protocolo BGP (Border Gateway Protocol) com um gateway de rede virtual do Azure, é adicionada uma rota a cada rota propagada a partir do gateway de rede no local. Essas rotas aparecem na tabela de roteamento como rotas BGP.

Os endereços IP públicos para determinados serviços são adicionados à tabela de rotas pelo Azure quando você habilita um ponto de extremidade de serviço para o serviço. Os pontos de extremidade de serviço são habilitados para sub-redes individuais dentro de uma rede virtual. Quando você habilita um ponto de extremidade de serviço, a rota só é adicionada à tabela de rotas da sub-rede que pertence a esse serviço. O Azure gere os endereços na tabela de rotas automaticamente quando os mesmos são modificados.

As rotas definidas pelo usuário também são chamadas de rotas personalizadas. Você cria UDR no Azure para substituir as rotas padrão do sistema do Azure ou para adicionar rotas adicionais à tabela de rotas de uma sub-rede. No Azure, você cria uma tabela de rotas e, em seguida, associa a tabela de rotas a sub-redes de rede virtual.

Quando você tem entradas concorrentes em uma tabela de roteamento, o Azure seleciona o próximo salto com base na correspondência de prefixo mais longa semelhante aos roteadores tradicionais. No entanto, se houver várias entradas de próximo salto com o mesmo prefixo de endereço, o Azure selecionará as rotas na seguinte ordem.

  1. Rotas definidas pelo utilizador (UDRs)
  2. Rotas BGP
  3. Rotas de sistema

Segurança

Você pode filtrar o tráfego de rede de e para recursos em uma rede virtual usando grupos de segurança de rede. Você também pode usar dispositivos virtuais de rede (NVA), como o Firewall do Azure, ou firewalls de outros fornecedores. Você pode controlar como o Azure roteia o tráfego de sub-redes. Você também pode limitar quem em sua organização pode trabalhar com recursos em redes virtuais.

Os grupo de segurança de rede (NSG) contêm uma lista de regras da Lista de Controlo de Acesso (ACL) que permitem ou negam o tráfego de rede para sub-redes, NICs ou ambas. Os NSGs podem ser associados a sub-redes ou a NICs individuais ligadas a sub-redes. Quando um NSG é associado a uma sub-rede, as regras da ACL são aplicadas a todas as VM nessa sub-rede. Além disso, o tráfego para uma NIC individual pode ser restringido associando um NSG diretamente a uma NIC.

Os NSGs contêm dois conjuntos de regras: de entrada e de saída. A prioridade para uma regra tem de ser exclusiva dentro de cada conjunto. Cada regra tem propriedades de protocolo, de intervalos de portas de origem e destino, de prefixos de endereços, de direção do tráfego, de prioridade e de tipo de acesso. Todos os NSGs contêm um conjunto de regras predefinidas. As regras predefinidas não podem ser eliminadas, mas como lhes é atribuída a prioridade mais baixa, podem ser substituídas pelas regras que criar.

Verificação

Rotas em rede virtual

A combinação de rotas que você cria, as rotas padrão do Azure e quaisquer rotas propagadas de sua rede local por meio de um gateway de VPN do Azure (se sua rede virtual estiver conectada à sua rede local) por meio do protocolo de gateway de borda (BGP) são as rotas efetivas para todas as interfaces de rede em uma sub-rede. Você pode ver essas rotas efetivas navegando para a NIC via Portal, PowerShell ou CLI. Para obter mais informações sobre rotas efetivas em uma NIC, consulte Get-AzEffectiveRouteTable.

Grupos de Segurança de Rede

As regras de segurança efetivas aplicadas a uma interface de rede são uma agregação das regras existentes no NSG associado a uma interface de rede e à sub-rede em que a interface de rede se encontra. Você pode exibir todas as regras de segurança eficazes dos NSGs que são aplicadas às interfaces de rede da sua VM navegando até a NIC via Portal, PowerShell ou CLI.

Próximos passos

Saiba mais sobre a rede virtual.

Saiba mais sobre o roteamento de rede virtual.

Saiba mais sobre os grupos de segurança de rede.