Configuração de conectividade no Azure Virtual Network Manager
Neste artigo, você aprenderá sobre os diferentes tipos de configurações que você pode criar e implantar usando o Gerenciador de Rede Virtual do Azure. Existem dois tipos de configurações atualmente disponíveis: Administradores de conectividade e de segurança.
Configuração de conectividade
As configurações de conectividade permitem que você crie diferentes topologias de rede com base em suas necessidades de rede. Você tem duas topologias para escolher, uma rede mesh e um hub e spoke. A conectividade entre redes virtuais é definida dentro das definições de configuração.
Topologia de rede Mesh
Uma rede mesh é uma topologia na qual todas as redes virtuais no grupo de rede estão conectadas entre si. Todas as redes virtuais estão conectadas e podem passar o tráfego bidirecionalmente entre si.
Um caso de uso comum de uma topologia de rede mesh é permitir que algumas redes virtuais spoke em uma topologia hub e spoke se comuniquem diretamente entre si sem que o tráfego passe pela rede virtual do hub. Essa abordagem reduz a latência que, de outra forma, poderia resultar do roteamento de tráfego através de um roteador no hub. Além disso, você pode manter a segurança e a supervisão sobre as conexões diretas entre redes spoke implementando regras de Grupos de Segurança de Rede ou regras administrativas de segurança no Gerenciador de Rede Virtual do Azure. O tráfego também pode ser monitorado e registrado usando logs de fluxo de rede virtual.
Por padrão, a malha é uma malha regional, portanto, apenas redes virtuais na mesma região podem se comunicar entre si. A malha global pode ser habilitada para estabelecer a conectividade de redes virtuais em todas as regiões do Azure. Uma rede virtual pode fazer parte de até dois grupos conectados. Os espaços de endereço de rede virtual podem se sobrepor em uma configuração de malha, ao contrário dos emparelhamentos de rede virtual. No entanto, o tráfego para as sub-redes sobrepostas específicas é descartado, uma vez que o roteamento não é determinístico.
Grupo conectado
Quando você cria uma topologia de malha ou conectividade direta na topologia hub e spoke, uma nova construção de conectividade é criada chamada Grupo conectado. As redes virtuais em um grupo conectado podem se comunicar entre si como se você conectasse redes virtuais manualmente. Ao examinar as rotas efetivas para uma interface de rede, você verá um próximo tipo de salto de ConnectedGroup. As redes virtuais conectadas em um grupo conectado não têm uma configuração de emparelhamento listada em Emparelhamento para a rede virtual.
Nota
- Se você tiver sub-redes conflitantes em duas ou mais redes virtuais, os recursos nessas sub-redes não poderão se comunicar entre si, mesmo que façam parte da mesma rede mesh.
- Uma rede virtual pode fazer parte de até duas configurações de malha.
Topologia hub-and-spoke
Um hub-and-spoke é uma topologia de rede na qual você tem uma rede virtual selecionada como a rede virtual do hub. Esta rede virtual é emparelhada bidirecionalmente com cada rede virtual falada na configuração. Essa topologia é útil para quando você deseja isolar uma rede virtual, mas ainda deseja que ela tenha conectividade com recursos comuns na rede virtual do hub.
Nessa configuração, você tem configurações que pode ativar, como conectividade direta entre redes virtuais faladas. Por padrão, essa conectividade é apenas para redes virtuais na mesma região. Para permitir a conectividade entre diferentes regiões do Azure, você precisa habilitar a malha global. Você também pode habilitar o trânsito do Gateway para permitir que redes virtuais spoke usem o gateway VPN ou ExpressRoute implantado no hub.
Se estiver marcada, quaisquer emparelhamentos que não correspondam ao conteúdo dessa configuração poderão ser removidos, mesmo que esses emparelhamentos tenham sido criados manualmente após a implantação dessa configuração. Se você remover uma VNet de um grupo de rede usado na configuração, seu gerenciador virtual removerá apenas os emparelhamentos criados.
Conectividade direta
Habilitar a conectividade direta cria uma sobreposição de um grupo conectado sobre sua topologia de hub e spoke, que contém redes virtuais faladas de um determinado grupo. A conectividade direta permite que uma VNet falada fale diretamente com outras VNets em seu grupo falado, mas não com VNets em outros raios.
Por exemplo, você cria dois grupos de rede. Você habilita a conectividade direta para o grupo de rede de produção, mas não para o grupo de rede de teste. Essa configuração permite apenas que as redes virtuais no grupo Rede de produção se comuniquem entre si, mas não as do grupo Rede de teste .
Quando você analisa rotas efetivas em uma VM, a rota entre o hub e as redes virtuais spoke terá o próximo tipo de salto de VNetPeering ou GlobalVNetPeering. As rotas entre redes virtuais de raios aparecerão com o próximo tipo de salto do ConnectedGroup. Com o exemplo acima, apenas o grupo de rede de produção teria um ConnectedGroup porque tem conectividade direta habilitada.
Descobrindo topologia de grupo de rede com o Modo de Exibição de Topologia
Para ajudá-lo a entender a topologia do seu grupo de rede, o Gerenciador de Rede Virtual do Azure fornece um Modo de Exibição de Topologia que mostra a conectividade entre grupos de rede e suas redes virtuais membros. Você pode exibir a topologia do seu grupo de rede durante a criação da configuração de conectividade com as seguintes etapas:
- Navegue até a página Configurações e crie uma configuração de conectividade.
- Na guia Topologia, selecione o tipo de topologia desejado, adicione um ou mais grupos de rede à topologia e defina outras configurações de conectividade desejadas.
- Selecione a guia Visualizar Topologia para testar a Visualização de Topologia e revisar a conectividade atual da sua configuração.
- Conclua a criação da sua configuração de conectividade.
Você pode revisar a topologia atual de um grupo de rede selecionando Visualização em Configurações na página de detalhes do grupo de rede. O modo de exibição mostra a conectividade entre as redes virtuais membros no grupo de rede.
Casos de utilização
Habilitar a conectividade direta entre redes virtuais de raios pode ser útil quando você deseja ter um NVA ou um serviço comum na rede virtual do hub, mas o hub não precisa ser sempre acessado. Mas, em vez disso, você precisa de suas redes virtuais faladas no grupo de rede para se comunicar uns com os outros. Em comparação com as redes hub e spoke tradicionais, essa topologia melhora o desempenho removendo o salto extra através da rede virtual do hub.
Malha global
Como a malha, esses grupos conectados podem ser configurados como regionais ou globais. A malha global é necessária quando você deseja que suas redes virtuais faladas se comuniquem entre si entre regiões. Essa conectividade é limitada à rede virtual no mesmo grupo de rede. Para habilitar a conectividade para redes virtuais entre regiões, você precisa Habilitar a conectividade de malha entre regiões para o grupo de rede. As conexões criadas entre redes virtuais de raios estão em um grupo Conectado.
Usar hub como gateway
Outra opção que você pode habilitar em uma configuração hub-and-spoke é usar o hub como um gateway. Essa configuração permite que todas as redes virtuais do grupo de rede usem o gateway VPN ou ExpressRoute na rede virtual do hub para passar tráfego. Veja Gateways e conetividade no local.
Quando você implanta uma topologia de hub e spoke a partir do portal do Azure, o hub Usar como gateway é habilitado por padrão para as redes virtuais spoke no grupo de rede. O Azure Virtual Network Manager tenta criar uma conexão de emparelhamento de rede virtual entre o hub e a rede virtual de raios no grupo de recursos. Se o gateway não existir na rede virtual do hub, a criação do emparelhamento da rede virtual spoke para o hub falhará. A conexão de emparelhamento do hub para o spoke ainda será criada sem uma conexão estabelecida.
Próximos passos
- Implante uma instância do Azure Virtual Network Manager usando o Terraform.
- Saiba mais sobre implantações de configuração no Gerenciador de Rede Virtual do Azure.
- Saiba como bloquear o tráfego de rede com uma configuração de administrador de segurança.