Explore a rede virtual do Azure
Você tem um datacenter local que planeja manter, mas deseja usar o Azure para descarregar o pico de tráfego usando máquinas virtuais (VMs) hospedadas no Azure. Você deseja manter seu esquema de endereçamento IP e dispositivos de rede existentes, garantindo que qualquer transferência de dados seja segura.
O que é a rede virtual do Azure?
Redes virtuais do Azure permitem que os recursos do Azure, como máquinas virtuais, aplicativos web e bases de dados, se comuniquem com: entre si, utilizadores na Internet, e computadores cliente no local. Você pode pensar em uma rede do Azure como um conjunto de recursos que vincula outros recursos do Azure.
As redes virtuais do Azure fornecem os principais recursos de rede:
- Isolamento e segmentação
- Comunicações via Internet
- Comunicar entre recursos do Azure
- Comunique-se com recursos locais
- Rotear tráfego de rede
- Filtrar tráfego de rede
- Conectar redes virtuais
Isolamento e segmentação
O Azure permite criar várias redes virtuais isoladas. Ao configurar uma rede virtual, você define um espaço de endereço IP (Internet Protocol) privado, usando intervalos de endereços IP públicos ou privados. Em seguida, você pode segmentar esse espaço de endereço IP em sub-redes e alocar parte do espaço de endereço definido para cada sub-rede nomeada.
Para resolução de nomes, pode utilizar o serviço de resolução de nomes incorporado no Azure ou pode configurar a rede virtual para utilizar um servidor DNS (Sistema de Nomes de Domínio) interno ou externo.
Comunicações via Internet
Uma VM no Azure pode se conectar à Internet por padrão. Você pode habilitar conexões de entrada da Internet definindo um endereço IP público ou um balanceador de carga público. Para gerenciamento de VM, você pode se conectar por meio da CLI do Azure, do protocolo RDP (Remote Desktop Protocol) ou do Secure Shell (SSH).
Comunicar entre recursos do Azure
Você desejará habilitar os recursos do Azure para se comunicarem com segurança uns com os outros. Você pode fazer isso de duas maneiras:
Redes virtuais
As redes virtuais podem conectar não apenas VMs, mas outros recursos do Azure, como o Ambiente do Serviço de Aplicativo, o Serviço Kubernetes do Azure e os conjuntos de dimensionamento de máquina virtual do Azure.
Pontos de extremidade de serviço
Você pode usar pontos de extremidade de serviço para se conectar a outros tipos de recursos do Azure, como bancos de dados SQL do Azure e contas de armazenamento. Essa abordagem permite vincular vários recursos do Azure a redes virtuais, melhorando assim a segurança e fornecendo roteamento ideal entre recursos.
Comunique-se com recursos locais
As redes virtuais do Azure permitem que você vincule recursos em seu ambiente local e em sua assinatura do Azure, criando de fato uma rede que abrange seus ambientes locais e de nuvem. Há três mecanismos para você conseguir essa conectividade:
Redes Virtuais Privadas Ponto a Site
Essa abordagem é como uma conexão de Rede Privada Virtual (VPN) que um computador fora da sua organização faz de volta à sua rede corporativa, exceto que ele está funcionando na direção oposta. Nesse caso, o computador cliente inicia uma conexão VPN criptografada com o Azure, conectando esse computador à rede virtual do Azure.
Redes Virtuais Privadas Site-a-Site Uma VPN site-a-site vincula o seu dispositivo de VPN local ou gateway ao gateway VPN do Azure em uma rede virtual. Na verdade, os dispositivos no Azure podem aparecer como estando na rede local. A ligação é encriptada e funciona através da Internet.
Azure ExpressRoute
Para ambientes onde você precisa de maior largura de banda e níveis ainda mais altos de segurança, o Azure ExpressRoute é a melhor abordagem. O Azure ExpressRoute fornece conectividade privada dedicada ao Azure que não transita pela Internet.
Rotear tráfego de rede
Por padrão, o Azure roteará o tráfego entre sub-redes em quaisquer redes virtuais conectadas, redes locais e na Internet. No entanto, você pode controlar o roteamento e substituir essas configurações da seguinte maneira:
Tabelas de rotas
Uma tabela de rotas permite definir regras sobre como o tráfego deve ser direcionado. Você pode criar tabelas de rotas personalizadas que controlam como os pacotes são roteados entre sub-redes.
Protocolo Border Gateway
O BGP (Border Gateway Protocol) funciona com gateways de VPN do Azure ou ExpressRoute para propagar rotas BGP locais para redes virtuais do Azure.
Filtrar tráfego de rede
As redes virtuais do Azure permitem filtrar o tráfego entre sub-redes usando as seguintes abordagens:
Grupos de segurança de rede
Um NSG (grupo de segurança de rede) é um recurso do Azure que pode conter várias regras de segurança de entrada e saída. Você pode definir essas regras para permitir ou bloquear o tráfego, com base em fatores como endereço IP de origem e destino, porta e protocolo.
Dispositivos virtuais de rede
Um dispositivo virtual de rede é uma VM especializada que pode ser comparada a um dispositivo de rede protegido. Um dispositivo virtual de rede executa uma função de rede específica, como executar um firewall ou executar a otimização da WAN.
Conectar redes virtuais
Você pode vincular redes virtuais usando rede virtual emparelhamento. O emparelhamento permite que os recursos em cada rede virtual se comuniquem entre si. Essas redes virtuais podem estar em regiões separadas, permitindo que você crie uma rede global interconectada por meio do Azure.
Configurações de rede virtual do Azure
Pode criar e configurar redes virtuais do Azure a partir do portal do Azure, do Azure PowerShell no seu computador local ou do Azure Cloud Shell.
Criar uma rede virtual
Ao criar uma rede virtual do Azure, você define muitas configurações básicas. Você também pode definir configurações avançadas, como várias sub-redes, proteção distribuída contra negação de serviço (DDoS) e pontos de extremidade de serviço.
Você definirá as seguintes configurações para uma rede virtual básica:
Nome da rede
O nome da rede deve ser exclusivo na sua assinatura, mas não precisa ser globalmente exclusivo. Faça do nome um nome descritivo que seja fácil de lembrar e identificado a partir de outras redes virtuais.
Espaço de endereço
Ao configurar uma rede virtual, você define o espaço de endereço interno no formato CIDR (Roteamento de Inter-Domain sem classes). Esse espaço de endereçamento precisa ser exclusivo dentro da sua assinatura e de quaisquer outras redes às quais você se conecte.
Vamos supor que você escolha um espaço de endereço de 10.0.0.0/24 para sua primeira rede virtual. Os endereços definidos neste espaço de endereçamento variam de 10.0.0.1 a 10.0.0.254. Em seguida, crie uma segunda rede virtual e escolha um espaço de endereço de 10.0.0.0/8. O endereço neste espaço de endereço varia de 10.0.0.1 - 10.255.255.254. Alguns dos endereços se sobrepõem e não podem ser usados para as duas redes virtuais.
No entanto, você pode usar 10.0.0.0/16, com endereços que variam de 10.0.0.1 - 10.0.255.254 e 10.1.0.0/16, com endereços que variam de 10.1.0.1 - 10.1.255.254. Você pode atribuir esses espaços de endereço às suas redes virtuais porque não há sobreposição de endereços.
Observação
Você pode adicionar espaços de endereço depois de criar a rede virtual.
Assinatura
Aplica-se apenas se tiver várias subscrições à sua escolha.
Grupo de recursos
Como qualquer outro recurso do Azure, uma rede virtual precisa existir em um grupo de recursos. Você pode selecionar um grupo de recursos existente ou criar um novo.
Localização
Selecione o local onde deseja que a rede virtual exista.
Sub-rede
Dentro de cada intervalo de endereços de rede virtual, você pode criar uma ou mais sub-redes que particionam o espaço de endereço da rede virtual. O roteamento entre sub-redes dependerá das rotas de tráfego padrão ou você poderá definir rotas personalizadas. Como alternativa, você pode definir uma sub-rede que englobe todos os intervalos de endereços das redes virtuais.
Observação
Os nomes das sub-redes devem começar com uma letra ou número, terminar com uma letra, número ou sublinhado e podem conter apenas letras, números, sublinhados, pontos ou hífenes.
Proteção contra a negação de serviço distribuída (DDoS)
Você pode selecionar a proteção DDoS básica ou padrão. A proteção contra DDoS padrão é um serviço premium. O Azure DDoS Protection fornece mais informações sobre a Proteção contra DDoS.
Terminais de serviço
Aqui, você habilita pontos de extremidade de serviço e seleciona na lista quais pontos de extremidade de serviço do Azure você deseja habilitar. As opções incluem Azure Cosmos DB, Azure Service Bus, Azure Key Vault e assim por diante.
Depois de definir essas configurações, selecione Criar.
Definir outras configurações
Depois de criar uma rede virtual, você pode definir outras configurações. Essas configurações incluem:
Grupo de segurança de rede
Os grupos de segurança de rede têm regras de segurança que permitem filtrar o tipo de tráfego de rede que pode entrar e sair de sub-redes de rede virtual e interfaces de rede. Criar o grupo de segurança de rede separadamente e, em seguida, associá-lo à rede virtual.
Tabela de rotas
O Azure cria automaticamente uma tabela de rotas para cada sub-rede dentro de uma rede virtual do Azure e adiciona rotas padrão do sistema à tabela. No entanto, você pode adicionar tabelas de rotas personalizadas para modificar o tráfego entre redes virtuais.
Você também pode alterar os pontos de extremidade de serviço.
Configurar redes virtuais
Quando tiver criado uma rede virtual, pode alterar quaisquer definições adicionais a partir do painel Redes Virtuais no portal do Azure. Como alternativa, você pode usar comandos do PowerShell ou comandos no Cloud Shell para fazer alterações.
Em seguida, você pode revisar e alterar as configurações em outros subpainéis. Essas configurações incluem:
Espaços de endereço: você pode adicionar mais espaços de endereço à definição inicial.
Dispositivos conectados: use a rede virtual para conectar máquinas.
Sub-redes: adicione mais sub-redes.
Peerings: Vincule redes virtuais em arranjos de interligação.
Você também pode monitorar e solucionar problemas de redes virtuais ou criar um script de automação para gerar a rede virtual atual.
As redes virtuais são mecanismos poderosos e altamente configuráveis para conectar entidades no Azure. Você pode conectar recursos do Azure uns aos outros ou a recursos que você tem no local. Pode isolar, filtrar e encaminhar o seu tráfego de rede, e o Azure permite-lhe aumentar a segurança onde achar que precisa dela.