Explorar a rede virtual do Azure
Tem um datacenter no local e pretende mantê-lo, mas também deseja utilizar o Azure para descarregar o tráfego de pico com máquinas virtuais (VM) alojadas no Azure. Pretende manter o esquema de endereçamento IP e os aparelhos de rede existentes e garantir, ao mesmo tempo, que quaisquer transferências de dados são seguras.
O que é a rede virtual do Azure?
As redes virtuais do Azure permitem que os recursos do Azure, como máquinas virtuais, aplicações Web e bases de dados, comuniquem entre si, com utilizadores na Internet e com computadores cliente no local. Pode encarar uma rede do Azure como sendo um conjunto de recursos que liga a outros recursos do Azure.
As redes virtuais do Azure proporcionam capacidades de rede fundamentais:
- Isolamento e segmentação
- Comunicações através da Internet
- Comunicar entre os recursos do Azure
- Comunicação com os recursos no local
- Encaminhar o tráfego de rede
- Filtre o tráfego de rede
- Ligar redes virtuais
Isolamento e segmentação
O Azure permite criar várias redes virtuais isoladas. Quando configura uma rede virtual, define um espaço de endereços de protocolo IP (Internet Protocol) privados da Internet mediante a utilização de intervalos de endereços IP públicos ou privados. Depois, pode segmentar esse espaço de endereços IP em sub-redes e alocar parte do espaço definido a cada sub-rede nomeada.
Para a resolução de nomes, pode utilizar o serviço de resolução de nomes que está incorporado no Azure ou pode configurar a rede virtual para utilizar um servidor de Sistema de Nomes de Domínio (DNS) interno ou externo.
Comunicações através da Internet
Uma VM no Azure pode se conectar à Internet por padrão. Pode ativar as ligações de entrada da Internet através da definição de um endereço IP público ou de um balanceador de carga público. Para a gestão da VM, pode ligar através da CLI do Azure, Protocolo RDP (Remote Desktop Protocol) ou Secure Shell (SSH).
Comunicar entre os recursos do Azure
Deve permitir que os recursos do Azure comuniquem entre si de forma segura. Pode fazê-lo de duas maneiras:
Redes virtuais
As redes virtuais podem ligar não só VMs, mas também outros recursos do Azure, como Ambientes do Serviço de Aplicações, o Azure Kubernetes Service e conjuntos de dimensionamento de máquinas virtuais do Azure.
Pontos finais de serviço
Pode utilizar pontos finais de serviço para ligar a outros tipos de recursos do Azure, como as bases de dados SQL do Azure e as contas de armazenamento. Com esta abordagem, pode ligar múltiplos recursos do Azure a redes virtuais, melhorando, dessa forma, a segurança e fornecendo um encaminhamento ideal entre os recursos.
Comunicação com os recursos no local
As redes virtuais do Azure permitem-lhe ligar recursos entre si no seu ambiente no local e na sua subscrição do Azure, criando, de facto, uma rede que abrange, tanto o ambiente no local, como na cloud. Pode obter esta conectividade de três formas:
Redes privadas virtuais de ponto a site
Esta abordagem é semelhante a uma Rede Privada Virtual (VPN) que um computador fora da sua organização estabelece de volta à rede da empresa, com a diferença de que está a funcionar no sentido oposto. Neste caso, o computador cliente inicia uma ligação VPN encriptada ao Azure, que o liga à rede virtual do Azure.
Redes Privadas Virtuais site a site Uma VPN site a site liga o seu dispositivo ou gateway de VPN no local ao gateway de VPN do Azure numa rede virtual. Na verdade, os dispositivos do Azure podem ser apresentados como localizados na rede local. A ligação é encriptada e funciona através da Internet.
Azure ExpressRoute
Em ambientes nos quais necessita de mais largura de banda e de níveis de segurança ainda mais elevados, o Azure ExpressRoute é a melhor abordagem. O Azure ExpressRoute fornece conectividade privada dedicada ao Azure que não viaja pela Internet.
Encaminhar o tráfego de rede
Por predefinição, o Azure encaminha tráfego entre sub-redes em qualquer rede virtual ligada, redes no local e na Internet. No entanto, pode controlar o encaminhamento e substituir essas definições da forma seguinte:
Tabelas de rotas
Uma tabela de rotas permite definir regras sobre como o tráfego deve ser direcionado. Pode criar tabelas de rotas personalizadas que controlam o modo como os pacotes são encaminhados entre sub-redes.
Protocolo BGP
O protocolo BGP pode ser utilizado em conjunto com os gateways de VPN do Azure ou com o ExpressRoute para propagar as rotas de BGP no local para as redes virtuais do Azure.
Filtre o tráfego de rede
Com as redes virtuais do Azure, pode filtrar o tráfego entre sub-redes através das abordagens abaixo:
Grupos de segurança de rede
Um NSG (grupo de segurança de rede) é um recurso do Azure que pode conter várias regras de segurança de entrada e saída. Pode definir essas regras para permitirem ou negarem o tráfego com base em fatores como o endereço IP de origem e de destino, a porta e o protocolo.
Aplicações virtuais de rede
Uma aplicação virtual de rede é uma VM especializada que pode ser comparada a uma aplicação de rede protegida. A aplicação virtual de rede leva a cabo uma função de rede específica, como executar uma firewall ou realizar a otimização de WAN.
Ligar redes virtuais
Pode utilizar o peering de rede virtual para ligar as redes virtuais entre si. Com o peering, os recursos em cada rede virtual podem comunicar entre si. Essas redes virtuais podem estar em regiões separadas, o que lhe permite criar uma rede global interligada através do Azure.
Definições da rede virtual do Azure
Pode criar e configurar redes virtuais do Azure a partir do portal do Azure, do Azure PowerShell no seu computador local ou com o Azure Cloud Shell.
Criar uma rede virtual
Ao criar uma rede virtual do Azure, você define muitas configurações básicas. Você também pode definir configurações avançadas, como várias sub-redes, proteção distribuída contra negação de serviço (DDoS) e pontos de extremidade de serviço.
Vai configurar as definições seguintes para uma rede virtual básica:
Nome da rede
O nome da rede deve ser exclusivo na sua assinatura, mas não precisa ser globalmente exclusivo. Crie um nome descritivo e que seja facilmente memorizável e distinguível de outras redes virtuais.
Espaço de endereços
Quando configura uma rede virtual, define o espaço de endereços interno no formato Classless Interdomain Routing (CIDR). Este espaço de endereços tem de ser exclusivo dentro da sua subscrição e de quaisquer outras redes às quais estabelece ligação.
Vamos supor que escolhe um espaço de endereços de 10.0.0.0/24 para a primeira rede virtual. Os endereços definidos neste espaço de endereços são de entre 10.0.0.1 e 10.0.0.254. Em seguida, crie uma segunda rede virtual e escolha um espaço de endereço de 10.0.0.0/8. O endereço definido neste espaço de endereços é de entre 10.0.0.1 e 10.255.255.254. Alguns do endereço sobrepõe-se e não podem ser utilizados para as duas redes virtuais.
No entanto, pode utilizar 10.0.0.0/16, com endereços entre 10.0.0.1 e 10.0.255.254 e 10.1.0.0/16 com endereços entre 10.1.0.1 e 10.1.255.254. Pode atribuir estes espaços de endereços às redes virtuais, dado que não existe sobreposição de endereços.
Nota
Pode adicionar os espaços de endereços depois de criar a rede virtual.
Subscrição
Só se aplica se tiver várias subscrições por onde escolher.
Grupo de recursos
Tal como qualquer outro recurso do Azure, as redes virtuais têm de existir num grupo de recursos. Você pode selecionar um grupo de recursos existente ou criar um novo.
Location
Selecione a localização na qual pretende que a rede virtual exista.
Sub-rede
No espaço de endereços de cada rede virtual, pode criar uma ou mais sub-redes que particionem o espaço de endereços dessas redes. O encaminhamento entre as sub-redes dependerá, então, das rotas de tráfego predefinidas ou pode definir rotas personalizadas. Em alternativa, pode definir uma sub-rede que abranja todos os intervalos de endereços das redes virtuais.
Nota
Os nomes das sub-redes têm de começar com uma letra ou um número, terminar com uma letra, número ou caráter de sublinhado e só podem ter letras, números, carateres de sublinhado, pontos ou hífenes.
Proteção contra ataques Denial of Service (DDoS) distribuídos
Pode selecionar o DDoS Protection Básico ou Standard. O DDoS Protection Standard é um serviço Premium. A Proteção contra DDoS do Azure fornece mais informações sobre a Proteção contra DDoS.
Pontos Finais de Serviço
Aqui, vai permitir os pontos finais de serviço e, em seguida, selecionar, a partir da lista, os pontos finais dos serviços do Azure que pretende ativar. Entre as opções estão o Azure Cosmos DB, o Azure Service Bus, o Azure Key Vault e assim sucessivamente.
Depois de definir essas configurações, selecione Criar.
Definir outras configurações
Depois de criar uma rede virtual, pode definir mais definições. Estas definições incluem:
Grupo de segurança de rede
Os grupos de segurança de rede têm regras de segurança através das quais pode filtrar o tipo de tráfego que pode fluir de e para as sub-redes da rede virtual e interfaces de rede. O grupo de segurança de rede é criado em separado e, posteriormente, associado à rede virtual.
Tabela de rotas
O Azure cria automaticamente uma tabela de rotas para cada sub-rede dentro de uma rede virtual do Azure e adiciona rotas padrão do sistema à tabela. No entanto, pode adicionar tabelas de rotas personalizadas para modificar o tráfego entre as redes virtuais.
Também pode corrigir os pontos finais de serviço.
Configurar redes virtuais
Quando tiver criado uma rede virtual, pode alterar quaisquer definições adicionais a partir do painel Redes Virtuais no portal do Azure. Em alternativa, pode fazer as alterações com os comandos do PowerShell ou do Cloud Shell.
Em seguida, pode rever e alterar as definições noutros subpainéis. Estas definições incluem:
Espaços de endereço: você pode adicionar mais espaços de endereço à definição inicial.
Dispositivos conectados: use a rede virtual para conectar máquinas.
Sub-redes: adicione mais sub-redes.
Peerings: Vincule redes virtuais em arranjos de emparelhamento.
Também pode monitorizar e resolver problemas nas redes virtuais ou criar um script de automatização para gerar a rede virtual atual.
As redes virtuais são mecanismos avançados e altamente configuráveis para ligar entidades no Azure. Você pode conectar recursos do Azure uns aos outros ou a recursos que você tem no local. Pode isolar, filtrar e encaminhar o seu tráfego de rede, e o Azure permite-lhe aumentar a segurança onde achar que precisa dela.