Partilhar via

Fiabilidade e Conectividade de rede

  • Artigo

A conectividade de rede inclui três modelos do Azure para conectividade de rede privada:

A injeção de VNet aplica-se a serviços que são implementados especificamente para si, tais como:

  • nós Azure Kubernetes Service (AKS)
  • Instância Gerida do SQL
  • Máquinas Virtuais

Estes recursos ligam-se diretamente à sua rede virtual.

Rede Virtual pontos finais de serviço (VNet) fornecem conectividade segura e direta aos serviços do Azure. Estes pontos finais de serviço utilizam uma rota otimizada através da rede do Azure. Os pontos finais de serviço permitem que os endereços IP privados na VNet acedam ao ponto final de um serviço do Azure, sem precisar de um endereço IP público na VNet.

Private Link fornece acesso dedicado através de endereços IP privados para instâncias paaS do Azure ou serviços personalizados protegidos por um Balanceador de Carga do Azure Standard.

Considerações de design

A conectividade de rede inclui as seguintes considerações de conceção relacionadas com uma carga de trabalho fiável:

  • Utilize Private Link, sempre que disponível, para serviços PaaS partilhados do Azure. Private Link está geralmente disponível para vários serviços e está em pré-visualização pública para vários serviços.

  • Aceda aos serviços PaaS do Azure a partir do local através do peering privado do ExpressRoute .

  • Utilize a injeção de rede virtual para serviços dedicados do Azure ou Azure Private Link para serviços partilhados disponíveis do Azure. Para aceder aos serviços PaaS do Azure a partir do local quando a injeção de rede virtual ou Private Link não estiver disponível, utilize o ExpressRoute com o peering da Microsoft. Este método evita a transição através da Internet pública.

  • Utilize pontos finais de serviço de rede virtual para proteger o acesso aos serviços PaaS do Azure a partir da sua rede virtual. Utilize pontos finais de serviço de rede virtual apenas quando Private Link não está disponível e não existem preocupações com o movimento não autorizado de dados.

  • Os Pontos Finais de Serviço não permitem que um serviço PaaS seja acedido a partir de redes no local. Os Pontos Finais Privados sim.

  • Para resolver problemas relacionados com o movimento não autorizado de dados com pontos finais de serviço, utilize a filtragem de aplicações virtuais de rede (NVA). Também pode utilizar políticas de ponto final de serviço de rede virtual para o Armazenamento do Azure.

  • Os seguintes serviços de segurança de rede nativos são serviços totalmente geridos. Os clientes não incorrem nos custos operacionais e de gestão associados a implementações de infraestrutura, o que pode tornar-se complexo em escala:

    • Azure Firewall
    • Gateway de Aplicação
    • Azure Front Door

  • Normalmente, os serviços PaaS são acedidos através de pontos finais públicos. A plataforma do Azure fornece capacidades para proteger estes pontos finais ou torná-los totalmente privados.

  • Também pode utilizar aplicações virtuais de rede (NVAs) de terceiros se o cliente as preferir para situações em que os serviços nativos não satisfazem requisitos específicos.

Lista de Verificação

Configurou a Conectividade de rede tendo em conta a fiabilidade?

  • Não implemente o túnel forçado para permitir a comunicação do Azure para os recursos do Azure.
  • A menos que utilize a filtragem de aplicações virtuais de rede (NVA), não utilize pontos finais de serviço de rede virtual quando existirem preocupações sobre o movimento não autorizado de dados.
  • Não ative os pontos finais de serviço de rede virtual por predefinição em todas as sub-redes.

Passo seguinte

Otimização de custos e Conectividade de rede