Planear redes virtuais

Criar uma rede virtual para experimentar é bastante fácil, mas é provável que você implante várias redes virtuais ao longo do tempo para dar suporte às necessidades de produção da sua organização. Com algum planeamento, pode implementar redes virtuais e ligar os recursos de que necessita de forma mais eficaz. As informações neste artigo são mais úteis se você já estiver familiarizado com redes virtuais e tiver alguma experiência em trabalhar com elas. Se você não estiver familiarizado com redes virtuais, recomendamos que leia Visão geral da rede virtual.

Atribuição de nomes

Todos os recursos do Azure têm um nome. O nome deve ser exclusivo dentro de um escopo, que pode variar para cada tipo de recurso. Por exemplo, o nome de uma rede virtual deve ser exclusivo dentro de um grupo de recursos, mas você pode usar um nome duplicado em uma assinatura ou região do Azure. Definir uma convenção de nomenclatura que você pode usar consistentemente ao nomear recursos é útil quando você gerencia vários recursos de rede ao longo do tempo. Para obter sugestões, consulte Convenções de nomenclatura.

Regiões

Todos os recursos do Azure são criados em uma região e assinatura do Azure. Você pode criar um recurso somente em uma rede virtual que exista na mesma região e assinatura que o recurso. Mas você pode conectar redes virtuais que existem em diferentes assinaturas e regiões. Para obter mais informações, consulte Conectividade. Ao decidir em quais regiões implantar recursos, considere onde os consumidores dos recursos estão fisicamente localizados:

• Você tem baixa latência de rede? Os consumidores de recursos normalmente querem a menor latência de rede para seus recursos. Para determinar latências relativas entre um local especificado e regiões do Azure, consulte Exibir latências relativas.
• Você tem requisitos de residência, soberania, conformidade ou resiliência de dados? Nesse caso, escolher a região que se alinha aos requisitos é fundamental. Para obter mais informações, consulte Geografias do Azure.
• Você precisa de resiliência nas zonas de disponibilidade do Azure dentro da mesma região do Azure para os recursos que você implanta? Você pode implantar recursos, como máquinas virtuais (VMs), em diferentes zonas de disponibilidade dentro da mesma rede virtual. Nem todas as regiões do Azure oferecem suporte a zonas de disponibilidade. Para saber mais sobre as zonas de disponibilidade e as regiões que as suportam, consulte Zonas de disponibilidade.

Subscrições

Você pode implantar quantas redes virtuais forem necessárias em cada assinatura, até o limite. Algumas organizações têm assinaturas diferentes para diferentes departamentos, por exemplo. Para obter mais informações e considerações sobre assinaturas, consulte Governança de assinaturas.

Segmentação

Você pode criar várias redes virtuais por assinatura e por região. Você pode criar várias sub-redes dentro de cada rede virtual. As considerações a seguir ajudam a determinar quantas redes virtuais e sub-redes são necessárias.

Redes virtuais

Uma rede virtual é uma parte virtual e isolada da rede pública do Azure. Cada rede virtual é dedicada à sua subscrição. Ao decidir se deseja criar uma rede virtual ou várias redes virtuais em uma assinatura, considere os seguintes pontos:

• Existem requisitos de segurança organizacionais para isolar o tráfego em redes virtuais separadas? Você pode optar por conectar redes virtuais ou não. Se você conectar redes virtuais, poderá implementar um dispositivo virtual de rede, como um firewall, para controlar o fluxo de tráfego entre as redes virtuais. Para obter mais informações, consulte Segurança e conectividade.
• Existem requisitos organizacionais para isolar redes virtuais em assinaturas ou regiões separadas?
• Você tem requisitos de interface de rede? Uma interface de rede permite que uma VM se comunique com outros recursos. Cada interface de rede tem um ou mais endereços IP privados atribuídos a ela. Quantas interfaces de rede e endereços IP privados são necessários em uma rede virtual? Há limites para o número de interfaces de rede e endereços IP privados que você pode ter dentro de uma rede virtual.
• Deseja conectar a rede virtual a outra rede virtual ou local? Você pode decidir conectar algumas redes virtuais entre si ou redes locais, mas não a outras. Para obter mais informações, consulte Conectividade. Cada rede virtual conectada a outra rede virtual ou rede local deve ter um espaço de endereçamento exclusivo. Cada rede virtual tem um ou mais intervalos de endereços públicos ou privados atribuídos ao seu espaço de endereço. Um intervalo de endereços é especificado no formato CIDR (roteamento de domínio da Internet) sem classe, como 10.0.0.0/16. Saiba mais sobre intervalos de endereços para redes virtuais.
• Você tem algum requisito de administração organizacional para recursos em diferentes redes virtuais? Nesse caso, você pode separar recursos em redes virtuais separadas para simplificar a atribuição de permissão a indivíduos em sua organização ou para atribuir políticas diferentes a redes virtuais diferentes.
• Você tem requisitos para recursos que podem criar sua própria rede virtual? Quando você implanta alguns recursos de serviço do Azure em uma rede virtual, eles criam sua própria rede virtual. Para determinar se um serviço do Azure cria sua própria rede virtual, consulte as informações de cada serviço do Azure que você pode implantar em uma rede virtual.

Sub-redes

Você pode segmentar uma rede virtual em uma ou mais sub-redes até os limites. Ao decidir se deseja criar uma sub-rede ou várias redes virtuais em uma assinatura, considere os seguintes pontos:

• Ter um intervalo de endereços exclusivo para cada sub-rede, especificado no formato CIDR, dentro do espaço de endereço da rede virtual. O intervalo de endereços não pode se sobrepor a outras sub-redes na rede virtual.
• Lembre-se de que, se você planeja implantar alguns recursos de serviço do Azure em uma rede virtual, eles podem exigir ou criar sua própria sub-rede. Tem de haver espaço suficiente não atribuído para o fazerem. Para determinar se um serviço do Azure cria sua própria sub-rede, consulte as informações de cada serviço do Azure que você pode implantar em uma rede virtual. Por exemplo, se você conectar uma rede virtual a uma rede local usando um gateway de VPN do Azure, a rede virtual deverá ter uma sub-rede dedicada para o gateway. Saiba mais sobre sub-redes de gateway.
• Substitua o roteamento padrão para o tráfego de rede entre todas as sub-redes em uma rede virtual. Você deseja impedir o roteamento do Azure entre sub-redes ou rotear o tráfego entre sub-redes por meio de um dispositivo virtual de rede, por exemplo. Se você precisar que o tráfego entre recursos na mesma rede virtual flua através de um dispositivo virtual de rede (NVA), implante os recursos em sub-redes diferentes. Saiba mais em Segurança.
• Limite o acesso aos recursos do Azure, como uma conta de Armazenamento do Azure ou o Banco de Dados SQL do Azure, a sub-redes específicas com um ponto de extremidade de serviço de rede virtual. Você também pode negar o acesso aos recursos da Internet. Você pode criar várias sub-redes e habilitar um ponto de extremidade de serviço para algumas sub-redes, mas não para outras. Saiba mais sobre pontos de extremidade de serviço e os recursos do Azure para os quais você pode habilitá-los.
• Associe zero ou um grupo de segurança de rede a cada sub-rede em uma rede virtual. Você pode associar o mesmo grupo de segurança de rede ou um grupo de segurança de rede diferente a cada sub-rede. Cada grupo de segurança de rede contém regras que permitem ou negam o tráfego de e para fontes e destinos. Saiba mais sobre grupos de segurança de rede.

Segurança

Você pode filtrar o tráfego de rede de e para recursos em uma rede virtual usando grupos de segurança de rede e dispositivos virtuais de rede. Você pode controlar como o Azure roteia o tráfego de sub-redes. Você também pode limitar quem em sua organização pode trabalhar com recursos em redes virtuais.

Filtragem do tráfego

• Para filtrar o tráfego de rede entre recursos em uma rede virtual, use um grupo de segurança de rede, um NVA que filtre o tráfego de rede ou ambos. Para implantar um NVA, como um firewall, para filtrar o tráfego de rede, consulte Azure Marketplace. Ao usar um NVA, você também cria rotas personalizadas para rotear o tráfego de sub-redes para o NVA. Saiba mais sobre o roteamento de tráfego.
• Um grupo de segurança de rede contém várias regras de segurança padrão que permitem ou negam tráfego de ou para recursos. Você pode associar um grupo de segurança de rede a uma interface de rede, à sub-rede em que a interface de rede está ou a ambos. Para simplificar o gerenciamento de regras de segurança, recomendamos que você associe um grupo de segurança de rede a sub-redes individuais em vez de interfaces de rede individuais dentro da sub-rede, sempre que possível.
• Se VMs diferentes dentro de uma sub-rede precisarem de regras de segurança diferentes aplicadas a elas, você poderá associar a interface de rede na VM a um ou mais grupos de segurança de aplicativos. Uma regra de segurança pode especificar um grupo de segurança de aplicativo em sua origem, destino ou ambos. Essa regra então se aplica apenas às interfaces de rede que são membros do grupo de segurança do aplicativo. Saiba mais sobre grupos de segurança de rede e grupos de segurança de aplicativos.
• Quando um grupo de segurança de rede é associado no nível da sub-rede, ele se aplica a todos os controladores de interface de rede na sub-rede, não apenas ao tráfego proveniente de fora da sub-rede. O tráfego entre as VMs contidas na sub-rede também pode ser afetado.
• O Azure cria várias regras de segurança padrão dentro de cada grupo de segurança de rede. Uma regra padrão permite que todo o tráfego flua entre todos os recursos em uma rede virtual. Para substituir esse comportamento, use grupos de segurança de rede, roteamento personalizado para rotear o tráfego para um NVA ou ambos. Recomendamos que você se familiarize com todas as regras de segurança padrão do Azure e entenda como as regras de grupo de segurança de rede são aplicadas a um recurso.

Você pode exibir designs de exemplo para implementar uma rede de perímetro (também conhecida como DMZ) entre o Azure e a Internet usando um NVA.

Roteamento de tráfego

O Azure cria várias rotas padrão para o tráfego de saída de uma sub-rede. Você pode substituir o roteamento padrão do Azure criando uma tabela de rotas e associando-a a uma sub-rede. Os motivos comuns para substituir o roteamento padrão do Azure são:

• Você deseja que o tráfego entre sub-redes flua através de um NVA. Saiba mais sobre como configurar tabelas de rotas para forçar o tráfego através de um NVA.
• Você deseja forçar todo o tráfego vinculado à Internet por meio de um NVA ou local, por meio de um gateway de VPN do Azure. Forçar o tráfego da Internet no local para inspeção e registro é muitas vezes referido como tunelamento forçado. Saiba mais sobre como configurar o túnel forçado.

Se você precisar implementar o roteamento personalizado, recomendamos que você se familiarize com o roteamento no Azure.

Conectividade

Você pode conectar uma rede virtual a outras redes virtuais usando o emparelhamento de rede virtual ou à sua rede local usando um gateway de VPN do Azure.

Peering

Ao usar o emparelhamento de rede virtual, você pode ter redes virtuais nas mesmas regiões do Azure ou em regiões diferentes com suporte. Você pode ter redes virtuais na mesma ou em diferentes assinaturas do Azure (até mesmo assinaturas que pertencem a diferentes locatários do Microsoft Entra).

Antes de criar um emparelhamento, recomendamos que você se familiarize com todos os requisitos e restrições de emparelhamento. A largura de banda entre recursos em redes virtuais emparelhadas na mesma região é a mesma como se os recursos estivessem na mesma rede virtual.

Gateway de VPN

Você pode usar um gateway de VPN do Azure para conectar uma rede virtual à sua rede local usando uma VPN site a site ou uma conexão dedicada com a Rota Expressa do Azure.

Você pode combinar emparelhamento e um gateway VPN para criar redes hub-and-spoke, onde redes virtuais spoke se conectam a uma rede virtual de hub e o hub se conecta a uma rede local, por exemplo.

Resolução de nomes

Os recursos em uma rede virtual não podem resolver os nomes dos recursos em uma rede virtual emparelhada usando o DNS (Sistema de Nomes de Domínio) interno do Azure. Para resolver nomes em uma rede virtual emparelhada, implante seu próprio servidor DNS ou use domínios privados DNS do Azure. A resolução de nomes entre recursos em uma rede virtual e redes locais também exige que você implante seu próprio servidor DNS.

Permissões

O Azure usa o controle de acesso baseado em função do Azure. As permissões são atribuídas a um escopo na hierarquia de grupo de gerenciamento, assinatura, grupo de recursos e recurso individual. Para saber mais sobre a hierarquia, consulte Organizar seus recursos.

Para trabalhar com redes virtuais do Azure e todos os seus recursos relacionados, como emparelhamento, grupos de segurança de rede, pontos de extremidade de serviço e tabelas de rotas, atribua membros da sua organização às funções internas de Proprietário, Colaborador ou Colaborador de Rede. Em seguida, atribua a função ao escopo apropriado. Se você quiser atribuir permissões específicas para um subconjunto de recursos de rede virtual, crie uma função personalizada e atribua as permissões específicas necessárias para:

• Redes virtuais
• Sub-redes e pontos de extremidade de serviço
• Interfaces de rede
• Emparelhamento
• Grupos de segurança de redes e aplicações
• Tabelas de rotas

Política

Com a Política do Azure, você pode criar, atribuir e gerenciar definições de política. As definições de política impõem regras diferentes sobre seus recursos, para que os recursos permaneçam em conformidade com seus padrões organizacionais e contratos de nível de serviço. O Azure Policy executa uma avaliação dos seus recursos. Ele verifica se há recursos que não estão em conformidade com as definições de política que você tem.

Por exemplo, você pode definir e aplicar uma política que permita a criação de redes virtuais em apenas um grupo de recursos ou região específica. Outra política pode exigir que cada sub-rede tenha um grupo de segurança de rede associado a ela. As políticas são então avaliadas quando você cria e atualiza recursos.

As políticas são aplicadas à seguinte hierarquia: grupo de gerenciamento, assinatura e grupo de recursos. Saiba mais sobre a Política do Azure ou implante algumas definições de Política do Azure de rede virtual.

Conteúdos relacionados

Saiba mais sobre todas as tarefas, configurações e opções para:

• Rede virtual
• Ponto de extremidade de sub-rede e serviço
• Interface de Rede
• Emparelhamento
• Grupo de segurança de redes e aplicações
• Tabela de rotas