Arquitetura de rede de trânsito global e WAN Virtual
As empresas modernas exigem conectividade ubíqua entre aplicativos, dados e usuários hiperdistribuídos na nuvem e no local. A arquitetura de rede de trânsito global está sendo adotada pelas empresas para consolidar, conectar e controlar a pegada de TI empresarial moderna e global centrada na nuvem.
A arquitetura de rede de trânsito global é baseada em um modelo clássico de conectividade hub-and-spoke, onde o "hub" de rede hospedado na nuvem permite conectividade transitiva entre pontos finais que podem ser distribuídos em diferentes tipos de "raios".
Neste modelo, um spoke pode ser:
- Rede virtual (VNets)
- Site de filial física
- Usuário remoto
- Internet
Figura 1: Rede global de hub-and-spoke de trânsito
A Figura 1 mostra a visão lógica da rede de trânsito global onde usuários geograficamente distribuídos, locais físicos e redes virtuais estão interconectados por meio de um hub de rede hospedado na nuvem. Essa arquitetura permite a conectividade lógica de trânsito de um salto entre os pontos de extremidade de rede.
Rede de trânsito global com WAN Virtual
A WAN Virtual do Azure é um serviço de rede na nuvem gerido pela Microsoft. Todos os componentes de rede que compõem este serviço são hospedados e gerenciados pela Microsoft. Para obter mais informações sobre a WAN Virtual, consulte o artigo Visão geral da WAN Virtual.
A WAN Virtual do Azure permite uma arquitetura de rede de trânsito global ao permitir conectividade ubíqua, de qualquer para qualquer lugar, entre conjuntos globalmente distribuídos de cargas de trabalho na nuvem em redes virtuais, sites de filiais, aplicativos SaaS e PaaS e usuários.
Figura 2: Rede de trânsito global e WAN virtual
Na arquitetura WAN Virtual do Azure, os hubs WAN virtuais são provisionados em regiões do Azure, às quais você pode optar por conectar suas ramificações, redes virtuais e usuários remotos. As filiais físicas são conectadas ao hub por Rota Expressa Premium ou Standard ou VPNs site a site, as redes virtuais são conectadas ao hub por conexões VNet e os usuários remotos podem se conectar diretamente ao hub usando VPN de usuário (VPNs ponto a site). A WAN Virtual também suporta conexão VNet entre regiões, onde uma VNet em uma região pode ser conectada a um hub WAN virtual em uma região diferente.
Você pode estabelecer uma WAN virtual criando um único hub WAN virtual na região que tem o maior número de raios (ramificações, VNets, usuários) e, em seguida, conectando os raios que estão em outras regiões ao hub. Esta é uma boa opção quando uma pegada empresarial está principalmente em uma região com alguns raios remotos.
Conectividade hub-to-hub
Uma pegada de nuvem corporativa pode abranger várias regiões de nuvem e é ideal (em termos de latência) acessar a nuvem de uma região mais próxima de seu site físico e usuários. Um dos princípios-chave da arquitetura de rede de trânsito global é permitir a conectividade entre regiões entre todos os pontos de extremidade de rede na nuvem e no local. Isso significa que o tráfego de uma filial conectada à nuvem em uma região pode chegar a outra filial ou a uma VNet em uma região diferente usando a conectividade hub-to-hub habilitada pela Rede Global do Azure.
Figura 3: Conectividade entre regiões da WAN virtual
Quando vários hubs são habilitados em uma única WAN virtual, os hubs são automaticamente interconectados por meio de links hub-to-hub, permitindo assim a conectividade global entre filiais e Vnets distribuídas em várias regiões.
Além disso, os hubs que fazem parte da mesma WAN virtual podem ser associados a diferentes políticas regionais de acesso e segurança. Para obter mais informações, consulte Segurança e controle de políticas mais adiante neste artigo.
Conectividade de qualquer para qualquer lugar
A arquitetura de rede de trânsito global permite conectividade de qualquer lugar para qualquer lugar por meio de hubs WAN virtuais. Essa arquitetura elimina ou reduz a necessidade de conectividade de malha total ou parcial entre raios que são mais complexos de construir e manter. Além disso, o controle de roteamento em redes hub-and-spoke versus mesh é mais fácil de configurar e manter.
A conectividade de qualquer para qualquer (no contexto de uma arquitetura global) permite que uma empresa com usuários, filiais, datacenters, redes virtuais e aplicativos distribuídos globalmente se conecte entre si por meio do(s) hub(s) de "trânsito". A WAN Virtual do Azure atua como o sistema de trânsito global.
Figura 4: Caminhos de tráfego da WAN virtual
A WAN Virtual do Azure dá suporte aos seguintes caminhos de conectividade de trânsito global. As letras entre parênteses são mapeadas para a Figura 4.
- Sucursal para VNet (a)
- Sucursal a sucursal (b)
- Alcance Global da Rota Expressa e WAN Virtual
- Usuário remoto para VNet (c)
- Usuário remoto para ramificação (d)
- VNet-to-VNet (e)
- Branch-to-hub-hub-to-Branch (f)
- Branch-to-hub-hub-to-VNet (g)
- VNet-to-hub-hub-to-VNet (h)
Branch-to-VNet (a) e Branch-to-VNet Cross-region (g)
Branch-to-VNet é o caminho principal suportado pela WAN Virtual do Azure. Esse caminho permite conectar filiais a cargas de trabalho corporativas do Azure IAAS implantadas em redes virtuais do Azure. As filiais podem ser conectadas à WAN virtual via ExpressRoute ou VPN site a site. O tráfego transita para VNets conectadas aos hubs WAN virtuais por meio de conexões VNet. O trânsito explícito do gateway não é necessário para a WAN Virtual porque a WAN Virtual habilita automaticamente o trânsito do gateway para o site da filial. Consulte o artigo Virtual WAN Partners sobre como conectar um CPE SD-WAN à WAN Virtual.
Alcance Global da Rota Expressa e WAN Virtual
O ExpressRoute é uma maneira privada e resiliente de conectar suas redes locais ao Microsoft Cloud. A WAN Virtual suporta conexões de circuito de Rota Expressa. As seguintes SKUs de circuito de Rota Expressa podem ser conectadas à WAN Virtual: Local, Standard e Premium.
Há duas opções para habilitar a conectividade de trânsito da Rota Expressa para a Rota Expressa ao usar a WAN Virtual do Azure:
Você pode habilitar a conectividade de trânsito da Rota Expressa para a Rota Expressa habilitando o Alcance Global da Rota Expressa em seus circuitos da Rota Expressa. O Global Reach é um recurso complementar da Rota Expressa que permite vincular circuitos da Rota Expressa em diferentes locais de emparelhamento para criar uma rede privada. A conectividade de trânsito do ExpressRoute para ExpressRoute entre circuitos com o complemento Global Reach não transitará pelo hub da WAN Virtual porque o Global Reach permite um caminho mais ideal sobre o backbone global.
Você pode usar o recurso Intenção de Roteamento com políticas de roteamento de tráfego privado para habilitar a conectividade de trânsito da Rota Expressa por meio de um dispositivo de segurança implantado no Hub WAN Virtual. Esta opção não requer Alcance Global. Para obter mais informações, consulte a seção Rota Expressa na documentação de intenção de roteamento.
Filial-a-sucursal (b) e ramo-a-filial entre regiões (f)
As filiais podem ser conectadas a um hub WAN virtual do Azure usando circuitos de Rota Expressa e/ou conexões VPN site a site. Você pode conectar as ramificações ao hub WAN virtual que está na região mais próxima da filial.
Essa opção permite que as empresas aproveitem o backbone do Azure para conectar filiais. No entanto, mesmo que esse recurso esteja disponível, você deve avaliar os benefícios de conectar filiais pela WAN Virtual do Azure versus usar uma WAN privada.
Nota
Desativando a conectividade de filial a filial na WAN virtual - a WAN virtual pode ser configurada para desabilitar a conectividade de filial a filial. Essa configuração bloqueará a propagação de rotas entre VPN (S2S e P2S) e sites conectados à Rota Expressa. Essa configuração não afetará a propagação e a conectividade da rota branch-to-Vnet e Vnet-to-Vnet. Para definir essa configuração usando o Portal do Azure: no menu Configuração da WAN Virtual, escolha Configuração: Branch-to-Branch - Disabled.
Usuário remoto para VNet (c)
Você pode habilitar o acesso remoto direto e seguro ao Azure usando a conexão ponto a site de um cliente de usuário remoto para uma WAN virtual. Os usuários remotos corporativos não precisam mais acessar a nuvem usando uma VPN corporativa.
Usuário remoto para ramificação (d)
O caminho de usuário remoto para ramificação permite que os usuários remotos que estão usando uma conexão ponto a site com o Azure acessem cargas de trabalho e aplicativos locais transitando pela nuvem. Esse caminho dá aos usuários remotos a flexibilidade de acessar cargas de trabalho implantadas no Azure e no local. As empresas podem habilitar o serviço de acesso remoto seguro baseado em nuvem central na WAN Virtual do Azure.
Trânsito VNet-to-VNet (e) e VNet-to-VNet entre regiões (h)
O trânsito VNet-to-VNet permite que as VNets se conectem umas às outras para interconectar aplicativos de várias camadas que são implementados em várias VNets. Opcionalmente, você pode conectar VNets entre si por meio do emparelhamento de VNet e isso pode ser adequado para alguns cenários em que o trânsito pelo hub VWAN não é necessário.
Túnel forçado e rota padrão
O Túnel Forçado pode ser habilitado configurando a rota padrão de habilitação em uma conexão VPN, Rota Expressa ou Rede Virtual na WAN Virtual.
Um hub virtual propaga uma rota padrão aprendida para uma conexão VPN/Rota Expressa de rede virtual/site a site se o sinalizador padrão de ativação for 'Habilitado' na conexão.
Esse sinalizador fica visível quando o usuário edita uma conexão de rede virtual, uma conexão VPN ou uma conexão de Rota Expressa. Por padrão, esse sinalizador é desativado quando um site ou um circuito de Rota Expressa está conectado a um hub. Ele é habilitado por padrão quando uma conexão de rede virtual é adicionada para conectar uma VNet a um hub virtual. A rota padrão não se origina no hub WAN Virtual; a rota padrão será propagada se já tiver sido aprendida pelo hub WAN Virtual como resultado da implantação de um firewall no hub ou se outro site conectado tiver o encapsulamento forçado habilitado.
Segurança e controlo de políticas
Os hubs WAN Virtual do Azure interconectam todos os pontos finais de rede na rede híbrida e, potencialmente, veem todo o tráfego da rede de trânsito. Os hubs WAN virtuais podem ser convertidos em Hubs Virtuais Seguros implantando uma solução de segurança bump-in-the-wire no hub. Você pode implantar o Firewall do Azure, selecionar Dispositivos Virtuais de Rede de Firewall de Próxima Geração ou software como serviço (SaaS) de segurança dentro de hubs WAN virtuais para habilitar a segurança, o acesso e o controle de políticas baseados em nuvem. Você pode configurar a WAN Virtual para rotear o tráfego para soluções de segurança no hub usando a Intenção de Roteamento de Hub Virtual.
A orquestração de Firewalls do Azure em hubs WAN virtuais pode ser executada pelo Gerenciador de Firewall do Azure. O Azure Firewall Manager fornece os recursos para gerenciar e dimensionar a segurança para redes de trânsito globais. O Azure Firewall Manager permite gerir centralmente o encaminhamento, a gestão de políticas globais, os serviços avançados de segurança da Internet através de terceiros juntamente com a Firewall do Azure.
Para obter mais informações sobre como implantar e orquestrar Dispositivos Virtuais de Rede de Firewall de Próxima Geração no hub WAN Virtual, consulte Dispositivos Virtuais de Rede Integrada no Hub Virtual. Para obter mais informações sobre soluções de segurança SaaS que podem ser implantadas no hub WAN Virtual, consulte software como serviço.
Figura 5: Hub virtual seguro com o Firewall do Azure
A WAN Virtual suporta os seguintes caminhos de conectividade de trânsito seguro global. Embora o diagrama e os padrões de tráfego nesta seção descrevam os casos de uso do Firewall do Azure, os mesmos padrões de tráfego são suportados com as Ferramentas Virtuais de Rede e as soluções de segurança SaaS implantadas no hub. As letras entre parênteses são mapeadas para a Figura 5.
- Trânsito seguro de ramificação para VNet (c)
- Trânsito seguro de ramificação para VNet entre hubs virtuais (g), suportado com intenção de roteamento
- Trânsito seguro de VNet-to-VNet (e)
- Trânsito seguro de VNet-to-VNet entre Hubs Virtuais (h), suportado com Intenção de Roteamento
- Trânsito seguro de filial para filial (b), suportado com intenção de roteamento
- Trânsito seguro de filial para filial entre Hubs Virtuais (f), suportado com Intenção de Roteamento
- Serviço de segurança VNet-to-Internet ou de terceiros (i)
- Serviço de segurança de filial para Internet ou de terceiros (j)
Trânsito seguro VNet-to-VNet (e), VNet-to-VNet trânsito seguro entre regiões(h)
O trânsito seguro de VNet-to-VNet permite que as VNets se conectem umas às outras por meio de dispositivos de segurança (Firewall do Azure, NVA e SaaS selecionados) implantados no hub WAN Virtual.
Serviço de segurança VNet-to-Internet ou de terceiros (i)
A rede virtual para Internet permite que as redes virtuais se conectem à Internet por meio dos dispositivos de segurança (Firewall do Azure, selecione NVA e SaaS) no hub WAN virtual. O tráfego para a Internet através de serviços de segurança de terceiros suportados não flui através de um dispositivo de segurança e é encaminhado diretamente para o serviço de segurança de terceiros. Você pode configurar o caminho Vnet para Internet por meio do serviço de segurança de terceiros com suporte usando o Gerenciador de Firewall do Azure.
Serviço de segurança de filial para Internet ou de terceiros (j)
O Branch-to-Internet permite que as filiais se conectem à Internet por meio do Firewall do Azure no hub WAN virtual. O tráfego para a Internet através de serviços de segurança de terceiros suportados não flui através de um dispositivo de segurança e é encaminhado diretamente para o serviço de segurança de terceiros. Você pode configurar o caminho de ramificação para a Internet por meio do serviço de segurança de terceiros com suporte usando o Gerenciador de Firewall do Azure.
Trânsito seguro de sucursal a sucursal, trânsito seguro de filial a sucursal entre regiões (b), (f)
As filiais podem ser conectadas a um hub virtual seguro com o Firewall do Azure usando circuitos de Rota Expressa e/ou conexões VPN site a site. Você pode conectar as ramificações ao hub WAN virtual que está na região mais próxima da filial. A configuração da Intenção de Roteamento em hubs WAN virtuais permite a inspeção interhub/inter-região de filial para filial ou de filial para filial por dispositivos de segurança (Firewall do Azure, selecione NVA e SaaS) implantados no Hub WAN Virtual.
Essa opção permite que as empresas aproveitem o backbone do Azure para conectar filiais. No entanto, mesmo que esse recurso esteja disponível, você deve avaliar os benefícios de conectar filiais pela WAN Virtual do Azure versus usar uma WAN privada.
Trânsito seguro de ramificação para VNet (c), trânsito seguro de filial para VNet entre regiões (g)
O trânsito seguro Branch-to-VNet permite que as filiais se comuniquem com redes virtuais na mesma região que o hub WAN virtual, bem como outra rede virtual conectada a outro hub WAN virtual em outra região (inspeção de tráfego entre hubs suportada apenas com Intenção de Roteamento).
Como habilitar a rota padrão (0.0.0.0/0) em um Hub Virtual Seguro
O Firewall do Azure implantado em um hub WAN Virtual (Hub Virtual Seguro) pode ser configurado como roteador padrão para a Internet ou Provedor de Segurança Confiável para todas as filiais (conectadas por VPN ou Rota Expressa), Vnets spoke e Usuários (conectados via VPN P2S). Essa configuração deve ser feita usando o Gerenciador de Firewall do Azure. Consulte Rotear Tráfego para seu hub para configurar todo o tráfego de filiais (incluindo Usuários), bem como Vnets para a Internet por meio do Firewall do Azure.
Esta é uma configuração de duas etapas:
Configure o roteamento de tráfego da Internet usando o menu Configuração de Rota do Hub Virtual Seguro. Configure Vnets e Branches que podem enviar tráfego para a Internet através do Firewall.
Configure quais Conexões (Vnet e Filial) podem rotear o tráfego para a Internet (0.0.0.0/0) por meio do Azure FW no hub ou no Provedor de Segurança Confiável. Esta etapa garante que a rota padrão seja propagada para ramificações e Vnets selecionadas que estão conectadas ao hub WAN Virtual por meio das Conexões.
Forçar o tráfego de encapsulamento para o firewall local em um Hub Virtual Seguro
Se já houver uma rota padrão aprendida (via BGP) pelo Hub Virtual de uma das Filiais (sites VPN ou ER), essa rota padrão será substituída pela rota padrão aprendida na configuração do Gerenciador de Firewall do Azure. Nesse caso, todo o tráfego que está entrando no hub de Vnets e ramificações destinadas à Internet, será roteado para o Firewall do Azure ou Provedor de Segurança Confiável.
Nota
Atualmente, não há nenhuma opção para selecionar o firewall local ou o Firewall do Azure (e o Provedor de Segurança Confiável) para o tráfego vinculado à Internet originado de Vnets, Filiais ou Usuários. A rota padrão aprendida com a configuração do Gerenciador de Firewall do Azure é sempre preferida sobre a rota padrão aprendida em uma das ramificações.
Próximos passos
Crie uma conexão usando a WAN Virtual e implante o Firewall do Azure no(s) hub(s) VWAN.