Encaminhamento de tráfego da rede virtual
Neste artigo, você aprenderá como o Azure roteia o tráfego entre o Azure, o local e os recursos da Internet. O Azure cria automaticamente uma tabela de rotas para cada sub-rede dentro de uma rede virtual do Azure e adiciona as rotas predefinidas do sistema à tabela. Para saber mais sobre as redes virtuais e as sub-redes, veja Descrição geral da rede virtual. Você pode substituir algumas das rotas do sistema Azure por rotas personalizadas e adicionar mais rotas personalizadas às tabelas de rotas. O Azure encaminha o tráfego de saída de uma sub-rede com base nas rotas definidas na tabela de rotas dessa sub-rede.
Rotas de sistema
O Azure cria automaticamente as rotas do sistema e atribui-as a cada sub-rede numa rede virtual. Você não pode criar rotas do sistema e não pode remover rotas do sistema, mas pode substituir algumas rotas do sistema por rotas personalizadas. O Azure cria rotas de sistema padrão para cada sub-rede e adiciona mais rotas padrão opcionais a sub-redes específicas, ou a cada sub-rede, quando você usa recursos específicos do Azure.
Predefinido
Cada rota contém um prefixo de endereço e o tipo de salto seguinte. Quando o tráfego que sai de uma sub-rede é enviado para um endereço IP dentro do prefixo de endereço de uma rota, a rota que contém o prefixo é a rota que o Azure usa. Saiba mais sobre como o Azure seleciona uma rota quando várias rotas contêm os mesmos prefixos ou prefixos sobrepostos. Sempre que é criada uma rede virtual, o Azure cria automaticamente as rotas do sistema predefinidas seguintes para cada sub-rede na rede virtual:
| Origem | Prefixos de endereço | Tipo de salto seguinte |
|---|---|---|
| Predefinido | Exclusivos da rede virtual | Rede virtual |
| Predefinido | 0.0.0.0/0 | Internet |
| Predefinido | 10.0.0.0/8 | Nenhuma |
| Predefinido | 172.16.0.0/12 | Nenhuma |
| Predefinido | 192.168.0.0/16 | Nenhuma |
| Predefinido | 100.64.0.0/10 | Nenhuma |
Os tipos de salto seguintes listados na tabela anterior representam a forma como o Azure encaminha o tráfego destinado ao prefixo de endereço listado. Aqui estão explicações para os próximos tipos de salto:
Rede virtual: encaminha o tráfego entre intervalos de endereços dentro do espaço de endereços de uma rede virtual. O Azure cria uma rota com um prefixo de endereço que corresponde a cada intervalo de endereços definido dentro do espaço de endereços de uma rede virtual. Se o espaço de endereços da rede virtual tiver vários intervalos de endereços definidos, o Azure cria uma rota individual para cada intervalo. Por padrão, o Azure roteia o tráfego entre sub-redes. Você não precisa definir tabelas de rotas ou gateways para o Azure rotear o tráfego entre sub-redes. O Azure não cria rotas padrão para intervalos de endereços de sub-rede. Cada intervalo de endereços de sub-rede está dentro de um intervalo de endereços do espaço de endereço de uma rede virtual.
Internet: encaminha o tráfego especificado pelo prefixo de endereço para a Internet. A rota predefinida do sistema especifica o prefixo de endereço 0.0.0.0/0. Se você não substituir as rotas padrão do Azure, o Azure roteia o tráfego de qualquer endereço não especificado por um intervalo de endereços em uma rede virtual para a Internet. Há uma exceção a esse roteamento. Se o endereço de destino for de um serviço do Azure, o Azure roteia o tráfego diretamente para o serviço pela rede de backbone do Azure em vez de rotear o tráfego para a Internet. O tráfego entre os serviços do Azure não atravessa a Internet. Não importa em qual região do Azure a rede virtual existe ou em qual região do Azure uma instância do serviço do Azure está implantada. Você pode substituir a rota do sistema padrão do Azure para o prefixo de endereço 0.0.0.0/0 por uma rota personalizada.
Nenhum: o tráfego roteado para o tipo Nenhum próximo salto é descartado em vez de roteado para fora da sub-rede. O Azure cria automaticamente rotas predefinidas para os seguintes prefixos de endereço:
- 10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16: reservados para utilização privada em RFC 1918.
- 100.64.0.0/10: reservado em RFC 6598.
Se atribuir um dos intervalos de endereços anteriores dentro do espaço de endereços de uma rede virtual, o Azure altera automaticamente o tipo de salto seguinte da rota de Nenhum para Rede virtual. Se atribuir um intervalo de endereços ao espaço de endereços de uma rede virtual que inclui um dos quatro prefixos de endereços reservados, mas não é igual a estes, o Azure remove a rota para o prefixo e adiciona uma rota ao prefixo de endereço que adicionou, tendo Rede virtual como o tipo de salto seguinte.
Rotas predefinidas opcionais
O Azure adiciona mais rotas de sistema padrão para diferentes recursos do Azure, mas somente se você habilitar os recursos. Dependendo da capacidade, o Azure adiciona rotas padrão opcionais a sub-redes específicas dentro da rede virtual ou a todas as sub-redes dentro de uma rede virtual. A tabela a seguir lista as outras rotas do sistema e os tipos de próximo salto que o Azure pode adicionar quando você habilita recursos diferentes.
| Origem | Prefixos de endereço | Tipo de salto seguinte | Sub-rede numa rede virtual à qual a rota é adicionada |
|---|---|---|---|
| Predefinido | Exclusivos da rede virtual, por exemplo, 10.1.0.0/16 | Peering de rede virtual | Todos |
| Gateway de rede virtual | Prefixos anunciados localmente via BGP (Border Gateway Protocol) ou configurados no gateway de rede local | Gateway de rede virtual | Todos |
| Predefinido | Várias | VirtualNetworkServiceEndpoint |
Somente a sub-rede para a qual um ponto de extremidade de serviço está habilitado |
Emparelhamento de rede virtual: Quando você cria um emparelhamento de rede virtual entre duas redes virtuais, o sistema adiciona uma rota para cada intervalo de endereços dentro do espaço de endereço de cada rede virtual envolvida no emparelhamento. Saiba mais sobre o peering de rede virtual.
Gateway de rede virtual: quando é adicionado um gateway de rede virtual a uma rede virtual, são adicionadas uma ou mais rotas que têm o Gateway de rede virtual listado como o tipo de salto seguinte. A origem também é Gateway de rede virtual porque o gateway adiciona as rotas à sub-rede. Se o gateway de rede local trocar rotas BGP com um gateway de rede virtual, o sistema adicionará uma rota para cada rota. Essas rotas são propagadas a partir do gateway de rede local. Recomendamos que você resuma as rotas locais para o maior intervalo de endereços possível para propagar o menor número de rotas para um gateway de rede virtual do Azure. Existem limites ao número de rotas que pode propagar para um gateway de rede virtual do Azure. Para obter mais informações, consulte Limites do Azure.
VirtualNetworkServiceEndpoint: Os endereços IP públicos para determinados serviços são adicionados à tabela de rotas pelo Azure quando você habilita um ponto de extremidade de serviço para o serviço. Os pontos de extremidade de serviço são habilitados para sub-redes individuais dentro de uma rede virtual, portanto, a rota é adicionada somente à tabela de rotas de uma sub-rede para a qual um ponto de extremidade de serviço está habilitado. Os endereços IP públicos dos serviços do Azure mudam periodicamente. O Azure gere os endereços na tabela de rotas automaticamente quando os mesmos são modificados. Saiba mais sobre pontos de extremidade de serviço de rede virtual e os serviços para os quais você pode criar pontos de extremidade de serviço.Nota
O emparelhamento de rede virtual e
VirtualNetworkServiceEndpointos tipos de próximo salto são adicionados somente às tabelas de roteamento de sub-redes em redes virtuais criadas por meio do modelo de implantação do Azure Resource Manager. Os tipos de salto seguinte não são adicionados a tabelas de rotas associadas a sub-redes de rede virtual criadas por meio do modelo de implantação clássico. Saiba mais sobre os modelos de implementação do Azure.
Rotas personalizadas
Você cria rotas personalizadas criando rotas definidas pelo usuário (UDRs) ou trocando rotas BGP entre seu gateway de rede local e um gateway de rede virtual do Azure.
Definidas pelo utilizador
Para personalizar suas rotas de tráfego, você não deve modificar as rotas padrão. Você deve criar rotas personalizadas ou definidas pelo usuário (estáticas), que substituem as rotas padrão do sistema do Azure. No Azure, você cria uma tabela de rotas e associa a tabela de rotas a zero ou mais sub-redes de rede virtual. Cada sub-rede pode ter zero ou uma tabela de rotas associada a si. Para saber mais sobre o número máximo de rotas que você pode adicionar a uma tabela de rotas e o número máximo de tabelas UDR que você pode criar por assinatura do Azure, consulte Limites do Azure.
Por padrão, uma tabela de rotas pode conter até 400 UDRs. Com a configuração de roteamento do Azure Virtual Network Manager, esse número pode se expandir para 1.000 UDRs por tabela de rotas. Esse limite aumentado suporta configurações de roteamento mais avançadas. Um exemplo é direcionar o tráfego de datacenters locais por meio de um firewall para cada rede virtual spoke em uma topologia hub-and-spoke quando você tem um número maior de redes virtuais spoke .
Quando você cria uma tabela de rotas e a associa a uma sub-rede, as rotas da tabela são combinadas com as rotas padrão da sub-rede. Se houver atribuições de rota conflitantes, as UDRs substituem as rotas padrão.
Você pode especificar os seguintes tipos de salto seguinte ao criar um UDR:
Aplicação virtual: uma aplicação virtual é uma máquina virtual que, normalmente, executa uma aplicação de rede, como uma firewall. Para saber mais sobre vários dispositivos virtuais de rede pré-configurados que você pode implantar em uma rede virtual, consulte Azure Marketplace. Ao criar uma rota com o tipo de salto do dispositivo virtual, você também especifica um endereço IP do próximo salto. O endereço IP pode ser:
O endereço IP privado de uma interface de rede ligada a uma máquina virtual. Qualquer interface de rede ligada a uma máquina virtual que reencaminhe o tráfego de rede para um endereço que não o da mesma tem de ter a opção do Azure Ativar reencaminhamento de IP ativada. A configuração desabilita a verificação da origem e do destino de uma interface de rede pelo Azure. Saiba mais sobre como ativar o reencaminhamento de IP em interfaces de rede. Habilitar o encaminhamento de IP é uma configuração do Azure.
Talvez seja necessário habilitar o encaminhamento de IP no sistema operacional da máquina virtual para que o dispositivo encaminhe o tráfego entre endereços IP privados atribuídos às interfaces de rede do Azure. Se o dispositivo precisar rotear o tráfego para um endereço IP público, ele deverá fazer proxy do tráfego ou executar a conversão de endereços de rede (NAT) do endereço IP privado da fonte para seu próprio endereço IP privado. Em seguida, o Azure executa NAT para um endereço IP público antes de enviar o tráfego para a Internet. Para determinar as definições necessárias na máquina virtual, veja a documentação relativa ao seu sistema operativo ou à sua aplicação de rede. Para compreender as ligações de saída no Azure, veja Compreender as ligações de saída.
Nota
Implante um dispositivo virtual em uma sub-rede diferente dos recursos que passam pelo dispositivo virtual. Implantar o dispositivo virtual na mesma sub-rede e, em seguida, aplicar uma tabela de rotas à sub-rede que roteia o tráfego através do dispositivo virtual pode resultar em loops de roteamento em que o tráfego nunca sai da sub-rede.
Um endereço IP privado do próximo salto deve ter conectividade direta sem ter que rotear por meio de um gateway de Rota Expressa do Azure ou por meio da WAN Virtual do Azure. Definir o próximo salto para um endereço IP sem conectividade direta resulta em uma configuração UDR inválida.
O endereço IP privado de um Balanceador de carga interno do Azure. Um balanceador de carga é frequentemente usado como parte de uma estratégia de alta disponibilidade para dispositivos virtuais de rede.
Você pode definir uma rota com 0.0.0.0/0 como o prefixo de endereço e um tipo de dispositivo virtual de próximo salto. Essa configuração permite que o dispositivo inspecione o tráfego e determine se o tráfego deve ser encaminhado ou descartado. Se você pretende criar um UDR que contenha o prefixo de endereço 0.0.0.0/0, leia primeiro o prefixo de endereço 0.0.0.0/0.
Gateway de rede virtual: especifique se quiser que o tráfego destinado a prefixos de endereços específicos seja encaminhado para um gateweay de rede virtual. O gateway de rede virtual deve ser criado com o tipo VPN. Não é possível especificar um gateway de rede virtual criado como o tipo ExpressRoute em uma UDR porque, com a Rota Expressa, você deve usar BGP para rotas personalizadas. Também não é possível especificar gateways de rede virtual se você tiver conexões coexistentes de rede virtual privada (VPN) e Rota Expressa. Pode definir uma rota que direciona o tráfego destinado ao prefixo de endereço 0.0.0.0/0 para um gateway de rede virtual baseado numa rota.
No local, poderá ter um dispositivo que inspeciona o tráfego e determina se este deve ser reencaminhado ou ignorado. Se você pretende criar um UDR para o prefixo de endereço 0.0.0.0/0, leia primeiro o prefixo de endereço 0.0.0.0/0. Em vez de configurar um UDR para o prefixo de endereço 0.0.0.0/0, você pode anunciar uma rota com o prefixo 0.0.0.0/0 via BGP se o BGP para um gateway de rede virtual VPN estiver habilitado.
Nenhum: especifique se quiser ignorar o tráfego para um prefixo de endereço, em vez de o reencaminhar para um destino. O Azure pode mostrar Nenhum para algumas das rotas opcionais do sistema se um recurso não estiver configurado. Por exemplo, se você vir que o endereço IP do próximo salto mostra Nenhum e o tipo de salto seguinte mostra Gateway de rede virtual ou Dispositivo virtual, pode ser porque o dispositivo não está em execução ou não está totalmente configurado. O Azure cria rotas do sistema predefinidas para prefixos de endereço reservado com Nenhum como o tipo de próximo salto.
Rede virtual: especifique a opção Rede virtual quando quiser substituir o roteamento padrão em uma rede virtual. Para obter um exemplo de por que você pode criar uma rota com o tipo de salto de rede virtual, consulte Exemplo de roteamento.
Internet: especifique a opção Internet quando desejar rotear explicitamente o tráfego destinado a um prefixo de endereço para a Internet. Ou use-o se quiser tráfego destinado aos serviços do Azure com endereços IP públicos mantidos na rede de backbone do Azure.
Não é possível especificar emparelhamento de rede virtual ou VirtualNetworkServiceEndpoint como o próximo tipo de salto em UDRs. O Azure cria rotas com emparelhamento de rede virtual ou VirtualNetworkServiceEndpoint tipos de próximo salto somente quando você configura um emparelhamento de rede virtual ou um ponto de extremidade de serviço.
Tags de serviço para rotas definidas pelo usuário
Agora você pode especificar uma marca de serviço como o prefixo de endereço para um UDR em vez de um intervalo de IP explícito. Uma marca de serviço representa um grupo de prefixos de endereço IP de um serviço específico do Azure. A Microsoft gerencia os prefixos de endereço incluídos pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços mudam. Esse suporte minimiza a complexidade de atualizações frequentes para UDRs e reduz o número de rotas que você precisa criar. Atualmente, você pode criar 25 ou menos rotas com tags de serviço em cada tabela de rotas. Com esta versão, o uso de tags de serviço em cenários de roteamento para contêineres também é suportado.
Correspondência exata
O sistema dá preferência à rota com o prefixo explícito quando há uma correspondência de prefixo exata entre uma rota com um prefixo IP explícito e uma rota com uma etiqueta de serviço. Quando várias rotas com tags de serviço têm prefixos IP correspondentes, as rotas são avaliadas na seguinte ordem:
Tags regionais (por exemplo,
Storage.EastUSouAppService.AustraliaCentral)Tags de nível superior (por exemplo,
StorageouAppService)AzureCloudtags regionais (por exemplo,AzureCloud.canadacentralouAzureCloud.eastasia)A
AzureCloudtag
Para usar esse recurso, especifique um nome de marca de serviço para o parâmetro de prefixo de endereço nos comandos da tabela de rotas. Por exemplo, no PowerShell, você pode criar uma nova rota para direcionar o tráfego enviado para um prefixo IP de Armazenamento do Azure para um dispositivo virtual usando este comando:
$param = @{
Name = 'StorageRoute'
AddressPrefix = 'Storage'
NextHopType = 'VirtualAppliance'
NextHopIpAddress = '10.0.100.4'
}
New-AzRouteConfig @param
O mesmo comando para a CLI do Azure é:
az network route-table route create \
--resource-group MyResourceGroup \
--route-table-name MyRouteTable \
--name StorageRoute \
--address-prefix Storage \
--next-hop-type VirtualAppliance \
--next-hop-ip-address 10.0.100.4
Tipos de próximo salto transversais às ferramentas do Azure
O nome exibido e referenciado para os tipos de próximo salto é diferente entre o portal do Azure e as ferramentas de linha de comando, e o Gerenciador de Recursos e os modelos de implantação clássicos. A tabela a seguir lista os nomes usados para se referir a cada tipo de salto seguinte com as diferentes ferramentas e modelos de implantação.
| Tipo de salto seguinte | CLI do Azure e PowerShell (Resource Manager) | CLI clássica do Azure e PowerShell (clássico) |
|---|---|---|
| Gateway de rede virtual | VirtualNetworkGateway |
VPNGateway |
| Rede virtual | VNetLocal |
VNETLocal (não disponível na CLI clássica no modo de modelo de implantação clássico) |
| Internet | Internet | Internet (não disponível na CLI clássica no modo de modelo de implantação clássico) |
| Aplicação virtual | VirtualAppliance |
VirtualAppliance |
| Nenhuma | Nenhuma | Nulo (não disponível na CLI clássica no modo de modelo de implantação clássico) |
| Peering de rede virtual | Peering de rede virtual | Não aplicável |
| Ponto final de serviço de rede virtual | VirtualNetworkServiceEndpoint |
Não aplicável |
Protocolo BGP
Um gateway de rede local pode trocar rotas com um gateway de rede virtual do Azure usando o BGP. Usar BGP com um gateway de rede virtual do Azure depende do tipo selecionado quando você criou o gateway:
- ExpressRoute: tem de utilizar o BGP para anunciar rotas no local no router de periferia da Microsoft. Não é possível criar UDRs para forçar o tráfego para o gateway de rede virtual ExpressRoute se você implantar um gateway de rede virtual implantado como o tipo ExpressRoute. Você pode usar UDRs para forçar o tráfego da rota expressa para, por exemplo, um dispositivo virtual de rede.
- VPN: Opcionalmente, você pode usar BGP. Para obter mais informações, consulte BGP com conexões VPN site a site.
Quando você troca rotas com o Azure usando BGP, uma rota separada é adicionada à tabela de rotas de todas as sub-redes em uma rede virtual para cada prefixo anunciado. A rota é adicionada com Gateway de rede virtual listado como a origem e o tipo de próximo salto.
Você pode desabilitar a propagação de rotas da Rota Expressa e do Gateway de VPN do Azure em uma sub-rede usando uma propriedade em uma tabela de rotas. Quando desativa a propagação de encaminhamento, o sistema não adiciona rotas à tabela de encaminhamento de todas as sub-redes com a propagação de encaminhamento do Gateway de rede virtual desativada. Este processo aplica-se a rotas estáticas e a rotas BGP. A conectividade com conexões VPN é obtida usando rotas personalizadas com um tipo de próximo salto de gateway de rede virtual. Para obter mais informações, consulte Desabilitar a propagação de rota do gateway de rede virtual.
Nota
A propagação de rotas não deve ser desativada no GatewaySubnet. O gateway não funcionará se essa configuração estiver desabilitada.
Como o Azure seleciona uma rota
Quando o tráfego de saída é enviado de uma sub-rede, o Azure seleciona uma rota com base no endereço IP de destino usando o algoritmo de correspondência de prefixo mais longo. Por exemplo, uma tabela de rotas tem duas rotas. Uma rota especifica o prefixo de endereço 10.0.0.0/24 e a outra rota especifica o prefixo de endereço 10.0.0.0/16.
O Azure direciona o tráfego destinado a 10.0.0.5 para o próximo tipo de salto especificado na rota com o prefixo de endereço 10.0.0.0/24. Esse processo ocorre porque 10.0.0.0/24 é um prefixo mais longo do que 10.0.0.0/16, embora 10.0.0.5 esteja dentro de ambos os prefixos de endereço.
O Azure direciona o tráfego destinado a 10.0.1.5 para o próximo tipo de salto especificado na rota com o prefixo de endereço 10.0.0.0/16. Esse processo ocorre porque 10.0.1.5 não está incluído no prefixo de endereço 10.0.0.0/24, o que torna a rota com o prefixo de endereço 10.0.0.0/16 o prefixo de correspondência mais longo.
Se várias rotas contiverem o mesmo prefixo de endereço, o Azure selecionará o tipo de rota com base na seguinte prioridade:
Rota definida pelo utilizador
Rota BGP
Rota de sistema
Nota
As rotas do sistema para tráfego relacionado à rede virtual, emparelhamentos de rede virtual ou pontos de extremidade de serviço de rede virtual são rotas preferenciais. Eles são preferidos, mesmo que as rotas BGP sejam mais específicas. As rotas com um ponto de extremidade de serviço de rede virtual como o próximo tipo de salto não podem ser substituídas, mesmo quando você usa uma tabela de rotas.
Por exemplo, uma tabela de rotas contém as rotas seguintes:
| Origem | Prefixos de endereço | Tipo de salto seguinte |
|---|---|---|
| Predefinido | 0.0.0.0/0 | Internet |
| User | 0.0.0.0/0 | Gateway de rede virtual |
Quando o tráfego é destinado a um endereço IP fora dos prefixos de endereço de quaisquer outras rotas na tabela de rotas, o Azure seleciona a rota com a origem do usuário . O Azure faz essa escolha porque as UDRs são uma prioridade maior do que as rotas padrão do sistema.
Para obter uma tabela de roteamento abrangente com explicações das rotas na tabela, consulte Exemplo de roteamento.
Prefixo de endereço 0.0.0.0/0
Uma rota com o prefixo de endereço 0.0.0.0/0 fornece instruções ao Azure. O Azure usa estas instruções para rotear o tráfego destinado a um endereço IP que não se enquadra no prefixo de endereço de nenhuma outra rota na tabela de rotas de uma sub-rede. Quando é criada uma sub-rede, o Azure cria uma rota predefinida para o prefixo de endereço 0.0.0.0/0, com o tipo de próximo seguinte Internet. Se você não substituir essa rota, o Azure roteia todo o tráfego destinado a endereços IP não incluídos no prefixo de endereço de qualquer outra rota para a Internet.
A exceção é que o tráfego para os endereços IP públicos dos serviços do Azure permanece na rede de backbone do Azure e não é roteado para a Internet. Quando você substitui essa rota por uma rota personalizada , o tráfego destinado a endereços que não estão dentro dos prefixos de endereço de qualquer outra rota na tabela de rotas é direcionado. O destino depende se você especificar um dispositivo virtual de rede ou gateway de rede virtual na rota personalizada.
Quando você substitui o prefixo de endereço 0.0.0.0/0, o tráfego de saída da sub-rede flui através do gateway de rede virtual ou dispositivo virtual. As seguintes alterações também ocorrem com o roteamento padrão do Azure:
O Azure envia o tráfego ao tipo de próximo salto especificado na rota, incluindo o tráfego destinado aos endereços IP públicos dos serviços do Azure.
Quando o próximo tipo de salto para a rota com o prefixo de endereço 0.0.0.0/0 é Internet, o tráfego da sub-rede destinada aos endereços IP públicos dos serviços do Azure nunca sai da rede de backbone do Azure, independentemente da região do Azure na qual a rede virtual ou o recurso de serviço do Azure existe.
Quando você cria uma rota UDR ou BGP com um gateway de rede virtual ou um tipo de próximo salto de dispositivo virtual, todo o tráfego é enviado para o próximo tipo de salto especificado na rota. Isso inclui o tráfego enviado para endereços IP públicos de serviços do Azure para os quais você não habilitou pontos de extremidade de serviço.
Quando você habilita um ponto de extremidade de serviço para um serviço, o Azure cria uma rota com prefixos de endereço para o serviço. O tráfego para o serviço não é encaminhado para o próximo tipo de salto em uma rota com o prefixo de endereço 0.0.0.0/0. Os prefixos de endereço para o serviço são maiores que 0.0.0.0/0.
Você não pode mais acessar diretamente os recursos na sub-rede a partir da Internet. Você pode acessar recursos na sub-rede da Internet indiretamente. O dispositivo especificado pelo próximo tipo de salto para uma rota com o prefixo de endereço 0.0.0.0/0 deve processar o tráfego de entrada. Depois que o tráfego atravessa o dispositivo, o tráfego atinge o recurso na rede virtual. Se a rota contiver os seguintes valores para o próximo tipo de salto:
Aplicação virtual: a aplicação tem de:
- Ser acessível a partir da internet.
- Ter um endereço IP público atribuído a ele.
- Não ter uma regra de grupo de segurança de rede associada a ela que impeça a comunicação com o dispositivo.
- Não negar a comunicação.
- Ser capaz de traduzir e encaminhar endereços de rede, ou proxy o tráfego para o recurso de destino na sub-rede e retornar o tráfego de volta para a Internet.
Gateway de rede virtual: se o gateway for um gateway de rede virtual da Rota Expressa, um dispositivo conectado à Internet no local poderá converter e encaminhar endereços de rede ou fazer proxy do tráfego para o recurso de destino na sub-rede, por meio do emparelhamento privado da Rota Expressa.
Se sua rede virtual estiver conectada a um gateway de VPN do Azure, não associe uma tabela de rotas à sub-rede do gateway que inclua uma rota com um destino de 0.0.0.0/0. Se o fizer, poderá impedir que o gateway funcione corretamente. Para obter mais informações, consulte Por que certas portas são abertas no meu gateway VPN?.
Para obter detalhes de implementação quando você usa gateways de rede virtual entre a Internet e o Azure, consulte DMZ entre o Azure e seu datacenter local.
Exemplo de encaminhamento
Para ilustrar os conceitos deste artigo, as seguintes seções descrevem:
- Um cenário, com requisitos.
- As rotas personalizadas que são necessárias para atender aos requisitos.
- A tabela de rotas que existe para uma sub-rede que inclui as rotas padrão e personalizadas necessárias para atender aos requisitos.
Nota
Este exemplo não se destina a ser uma implementação recomendada ou de práticas recomendadas. É fornecido apenas para ilustrar conceitos neste artigo.
Requisitos
Implemente duas redes virtuais na mesma região do Azure e ative os recursos para comunicarem entre as redes virtuais.
Habilite uma rede local para se comunicar com segurança com ambas as redes virtuais por meio de um túnel VPN pela Internet. Como alternativa, você pode usar uma conexão ExpressRoute, mas este exemplo usa uma conexão VPN.
Para uma sub-rede numa rede virtual:
- Encaminhe todo o tráfego de saída da sub-rede por meio de um dispositivo virtual de rede para inspeção e registro. Exclua o tráfego para o Armazenamento do Azure e dentro da sub-rede desse roteamento.
- Não inspecione o tráfego entre endereços IP privados dentro da sub-rede. Permita que o tráfego flua diretamente entre todos os recursos.
- Ignore todo o tráfego de saída destinado à outra rede virtual.
- Habilite o tráfego de saída para o Armazenamento do Azure para fluir diretamente para o armazenamento, sem forçá-lo por meio de um dispositivo virtual de rede.
Permita todo o tráfego entre todas as outras sub-redes e redes virtuais.
Implementação
O diagrama a seguir mostra uma implementação por meio do modelo de implantação do Resource Manager que atende aos requisitos anteriores.
As setas mostram o fluxo do tráfego.
Tabelas de rotas
Aqui estão as tabelas de rotas para o exemplo de roteamento anterior.
Subnet1
A tabela de rotas para Subnet1 no diagrama anterior contém as seguintes rotas:
| ID | Origem | Estado | Prefixos de endereço | Tipo de salto seguinte | Endereço IP do próximo salto | Nome UDR |
|---|---|---|---|---|---|---|
| 1 | Predefinido | Inválido | 10.0.0.0/16 | Rede virtual | ||
| 2 | User | Ativos | 10.0.0.0/16 | Aplicação virtual | 10.0.100.4 | Within-VNet1 |
| 3 | User | Ativos | 10.0.0.0/24 | Rede virtual | Within-Subnet1 | |
| 4 | Predefinido | Inválido | 10.1.0.0/16 | Peering de rede virtual | ||
| 5 | Predefinido | Inválido | 10.2.0.0/16 | Peering de rede virtual | ||
| 6 | User | Ativos | 10.1.0.0/16 | Nenhuma | ToVNet2-1-Drop | |
| 7 | User | Ativos | 10.2.0.0/16 | Nenhuma | ToVNet2-2-Drop | |
| 8 | Predefinido | Inválido | 10.10.0.0/16 | Gateway de rede virtual | [X.X.X.X] | |
| 9 | User | Ativos | 10.10.0.0/16 | Aplicação virtual | 10.0.100.4 | To-On-Prem |
| 10 | Predefinição | Ativos | [X.X.X.X] | VirtualNetworkServiceEndpoint |
||
| 11 | Predefinido | Inválido | 0.0.0.0/0 | Internet | ||
| 12 | User | Ativos | 0.0.0.0/0 | Aplicação virtual | 10.0.100.4 | Default-NVA |
Aqui está uma explicação de cada ID de rota:
ID1: O Azure adicionou automaticamente esta rota para todas as sub-redes na rede virtual-1 porque 10.0.0.0/16 é o único intervalo de endereços definido no espaço de endereços da rede virtual. Se você não criar o UDR na rota ID2, o tráfego enviado para qualquer endereço entre 10.0.0.1 e 10.0.255.254 será roteado dentro da rede virtual. Esse processo ocorre porque o prefixo é maior que 0.0.0.0/0 e não se enquadra nos prefixos de endereço de nenhuma outra rota.
O Azure alterou automaticamente o estado de Ativo para Inválido, quando ID2, um UDR, foi adicionado. Ele tem o mesmo prefixo que a rota padrão, e UDRs substituem rotas padrão. O estado dessa rota ainda está ativo para Subnet2 porque a tabela de rotas em que o UDR, ID2, está não está associada a Subnet2.
ID2: O Azure adicionou essa rota quando um UDR para o prefixo de endereço 10.0.0.0/16 foi associado à sub-rede Subnet1 na rede virtual Virtual-network-1 . O UDR especifica 10.0.100.4 como o endereço IP do dispositivo virtual porque o endereço é o endereço IP privado atribuído à máquina virtual do dispositivo virtual. A tabela de rotas na qual essa rota existe não está associada a Subnet2, portanto, a rota não aparece na tabela de rotas para Subnet2.
Esta rota substitui a rota predefinida para o prefixo 10.0.0.0/16 (ID1), que encaminhou automaticamente o tráfego dirigido a 10.0.0.1 e 10.0.255.254 dentro da rede virtual através do tipo de próximo salto da rede virtual. Essa rota existe para atender ao requisito 3, que é forçar todo o tráfego de saída por meio de um dispositivo virtual.
ID3: O Azure adicionou essa rota quando um UDR para o prefixo de endereço 10.0.0.0/24 foi associado à sub-rede Subnet1 . O tráfego destinado a endereços entre 10.0.0.1 e 10.0.0.254 permanece na sub-rede. O tráfego não é roteado para o dispositivo virtual especificado na regra anterior (ID2) porque tem um prefixo mais longo do que a rota ID2.
Essa rota não foi associada a Subnet2, portanto, a rota não aparece na tabela de rotas para Subnet2. Esta rota substitui eficazmente a rota ID2 para o tráfego em Subnet1. Esta rota existe para satisfazer o requisito 3.
ID4: O Azure adicionou automaticamente as rotas nas IDs 4 e 5 para todas as sub-redes em Virtual-network-1 quando a rede virtual foi emparelhada com Virtual-network-2. A rede virtual-2 tem dois intervalos de endereços em seu espaço de endereço, 10.1.0.0/16 e 10.2.0.0/16, portanto, o Azure adicionou uma rota para cada intervalo. Se você não criar os UDRs nas IDs de rota 6 e 7, o tráfego enviado para qualquer endereço entre 10.1.0.1-10.1.255.254 e 10.2.0.1-10.2.255.254 será roteado para a rede virtual emparelhada. Esse processo ocorre porque o prefixo é maior que 0.0.0.0/0 e não se enquadra nos prefixos de endereço de nenhuma outra rota.
Quando você adicionou as rotas nas IDs 6 e 7, o Azure alterou automaticamente o estado de Ativo para Inválido. Esse processo ocorre porque eles têm os mesmos prefixos que as rotas nas IDs 4 e 5, e UDRs substituem rotas padrão. O estado das rotas nas IDs 4 e 5 ainda está Ativo para Subnet2 porque a tabela de rotas na qual as UDRs nas IDs 6 e 7 não está associada à Subnet2. Foi criado um peering de rede virtual para cumprir o requisito 1.
ID5: Mesma explicação que ID4.
ID6: O Azure adicionou essa rota e a rota em ID7 quando UDRs para os prefixos de endereço 10.1.0.0/16 e 10.2.0.0/16 foram associados à sub-rede Subnet1 . O Azure descarta o tráfego destinado a endereços entre 10.1.0.1-10.1.255.254 e 10.2.0.1-10.2.255.254, em vez de ser roteado para a rede virtual emparelhada, porque as UDRs substituem as rotas padrão. As rotas não estão associadas à Subnet2, portanto, as rotas não aparecem na tabela de rotas da Subnet2. As rotas substituem as rotas com os ID4 e ID5 para o tráfego que sai de Subnet1. As rotas com os ID6 e ID7 existem para satisfazer o requisito 3 para ignorar o tráfego destinado à outra rede virtual.
ID7: Mesma explicação que ID6.
ID8: O Azure adicionou automaticamente essa rota para todas as sub-redes na rede virtual-1 quando um gateway de rede virtual do tipo VPN foi criado na rede virtual. O Azure adicionou o endereço IP público do gateway de rede virtual à tabela de rotas. O tráfego enviado para qualquer endereço entre 10.10.0.1 e 10.10.255.254 é encaminhado para o gateway de rede virtual. O prefixo é mais longo do que 0.0.0.0/0 e não está dentro dos prefixos de endereço de nenhuma das outras rotas. Foi criado um gateway de rede virtual para cumprir o requisito 2.
ID9: O Azure adicionou essa rota quando um UDR para o prefixo de endereço 10.10.0.0/16 foi adicionado à tabela de rotas associada a Subnet1. Esta rota substitui o ID8. A rota envia todo o tráfego destinado à rede local para um dispositivo virtual de rede para inspeção, em vez de rotear o tráfego diretamente no local. Esta rota foi criada para satisfazer o requisito 3.
ID10: O Azure adicionou automaticamente essa rota à sub-rede quando um ponto de extremidade de serviço para um serviço do Azure foi habilitado para a sub-rede. O Azure encaminha o tráfego da sub-rede para um endereço IP público do serviço através da rede da infraestrutura do Azure. O prefixo é mais longo do que 0.0.0.0/0 e não está dentro dos prefixos de endereço de nenhuma das outras rotas. Um ponto de extremidade de serviço foi criado para atender ao requisito 3 para permitir que o tráfego destinado ao Armazenamento do Azure flua diretamente para o Armazenamento do Azure.
ID11: O Azure adicionou automaticamente essa rota à tabela de rotas de todas as sub-redes em Virtual-network-1 e Virtual-network-2. O prefixo de endereço 0.0.0.0/0 é o prefixo mais curto. Qualquer tráfego enviado para endereços dentro de prefixos mais longos é encaminhado com base noutras rotas.
Por padrão, o Azure roteia todo o tráfego destinado a endereços diferentes dos endereços especificados em uma das outras rotas para a Internet. O Azure alterou automaticamente o estado de Ativo para Inválido para a sub-rede Subnet1 quando um UDR para o prefixo de endereço 0.0.0.0/0 (ID12) foi associado à sub-rede. O estado dessa rota ainda está ativo para todas as outras sub-redes em ambas as redes virtuais porque a rota não está associada a nenhuma outra sub-rede em nenhuma outra rede virtual.
ID12: O Azure adicionou essa rota quando um UDR para o prefixo de endereço 0.0.0.0/0 foi associado à sub-rede Subnet1 . O UDR especifica 10.0.100.4 como o endereço IP do dispositivo virtual. Essa rota não está associada a Subnet2, portanto, a rota não aparece na tabela de rotas para Subnet2. Todo o tráfego destinado a qualquer endereço que não esteja incluído nos prefixos de endereço de uma das outras rotas é enviado para a aplicação virtual.
A adição dessa rota alterou o estado da rota padrão para o prefixo de endereço 0.0.0.0/0 (ID11) de Ativo para Inválido para Subnet1 porque um UDR substitui uma rota padrão. Esta rota existe para satisfazer o requisito 3.
Subnet2
A tabela de rotas para Subnet2 no diagrama anterior contém as seguintes rotas:
| Origem | Estado | Prefixos de endereço | Tipo de salto seguinte | Endereço IP do próximo salto |
|---|---|---|---|---|
| Predefinido | Ativos | 10.0.0.0/16 | Rede virtual | |
| Predefinido | Ativos | 10.1.0.0/16 | Peering de rede virtual | |
| Predefinido | Ativos | 10.2.0.0/16 | Peering de rede virtual | |
| Predefinido | Ativos | 10.10.0.0/16 | Gateway de rede virtual | [X.X.X.X] |
| Predefinido | Ativos | 0.0.0.0/0 | Internet | |
| Predefinido | Ativos | 10.0.0.0/8 | Nenhuma | |
| Predefinido | Ativos | 100.64.0.0/10 | Nenhuma | |
| Predefinido | Ativos | 192.168.0.0/16 | Nenhuma |
A tabela de rotas para Subnet2 contém todas as rotas padrão criadas pelo Azure e as rotas opcionais de emparelhamento de rede virtual e gateway de rede virtual. O Azure adicionou as rotas opcionais a todas as sub-redes na rede virtual quando o gateway e o peering foram adicionados à rede virtual.
O Azure removeu as rotas para os prefixos de endereço 10.0.0.0/8, 192.168.0.0/16 e 100.64.0.0/10 da tabela de rotas Subnet1 quando o UDR para o prefixo de endereço 0.0.0.0/0 foi adicionado à Subnet1.
Conteúdos relacionados
- Crie uma tabela UDR com rotas e um dispositivo virtual de rede.
- Configure o BGP para um Gateway de VPN do Azure.
- Use BGP com a Rota Expressa.
- Ver todas as rotas de uma sub-rede. Uma tabela UDR mostra apenas as UDRs, não o padrão, e as rotas BGP para uma sub-rede. A visualização de todas as rotas mostra o padrão, BGP e UDRs para a sub-rede na qual uma interface de rede está localizada.
- Determinar o tipo de próximo salto entre uma máquina virtual e um endereço IP de destino. Você pode usar o recurso de próximo salto do Observador de Rede do Azure para determinar se o tráfego está saindo de uma sub-rede e sendo roteado para onde você acha que deveria estar.