Explorar o Azure ExpressRoute
Como sua empresa lida com dados altamente confidenciais e tem grandes quantidades de informações que armazenará no Azure, há algumas preocupações sobre a segurança e a confiabilidade das conexões pela Internet pública. A empresa não quer migrar completamente para o Azure, a não ser que este serviço demonstre níveis de conectividade, segurança e fiabilidade mais altos.
Aqui, vamos além das conexões que são executadas pela Internet para linhas dedicadas diretamente nos datacenters do Azure.
Azure ExpressRoute
O Microsoft Azure ExpressRoute permite às organizações expandirem as redes no local para a Microsoft Cloud através de uma ligação privada implementada por um fornecedor de conectividade. Essa disposição significa que a conectividade com os datacenters do Azure não passa pela Internet, mas por um link dedicado. O ExpressRoute também permite uma ligação eficiente a outros serviços baseados na cloud da Microsoft, como o Microsoft 365 e o Dynamics 365.
As vantagens que o ExpressRoute oferece incluem:
Velocidades mais rápidas, de 50 Mbps a 10 Gbps, com dimensionamento de largura de banda dinâmico
Latência mais baixa
Mais fiabilidade, através do peering incorporado
Segurança forte
O ExpressRoute traz mais benefícios, como:
Conectividade a todos os serviços do Azure suportados
Conectividade global a todas as regiões (requer o suplemento premium)
Encaminhamento dinâmico através de Protocolo BGP
Contratos de nível de serviço (SLAs) para tempo de atividade das ligações
Quality of Service (QoS) para o Skype para Empresas
Além disso, também existe o suplemento premium do ExpressRoute, que proporciona vantagens como limites de rotas superiores, conectividade de serviço global e mais ligações de rede virtual por circuito.
Modelos de conectividade do ExpressRoute
As ligações para o ExpressRoute podem ser feitas através dos seguintes mecanismos:
Rede IP VPN (qualquer para qualquer)
Ligação cruzada virtual através de uma troca ethernet
Ligação Ethernet ponto a ponto
As funcionalidades e capacidades do ExpressRoute são idênticas em todos os modelos de conetividade acima.
O que é a conectividade de Camada 3?
A Microsoft utiliza um protocolo de encaminhamento dinâmico (BGP) padrão da indústria para trocar rotas entre a sua rede no local, as instâncias no Azure e os endereços públicos da Microsoft. Estabelecemos várias sessões BGP com a sua rede para diferentes perfis de tráfego.
Redes qualquer a qualquer (VPN de IP)
Geralmente, os fornecedores de IPVPN fornecem conectividade entre as sucursais e o datacenter empresarial através de ligações de camada 3. Com o ExpressRoute, os datacenters do Azure funcionam como se fossem outra sucursal.
Ligação cruzada virtual através de uma troca ethernet
Se sua organização estiver colocalizada com um recurso de troca de nuvem, você solicitará conexões cruzadas com o Microsoft Cloud por meio da troca ethernet do seu provedor. Essas ligações cruzadas pedidas à Microsoft Cloud podem funcionar em ligações geridas de camada 2 ou camada 3, tal como no modelo OSI de rede.
Ligação Ethernet ponto a ponto
Os links ethernet ponto a ponto podem fornecer conexões de camada 2 ou de camada 3 gerenciadas entre seus datacenters ou escritórios locais e o Microsoft Cloud.
Como funciona o ExpressRoute
O Azure ExpressRoute utiliza uma combinação de circuitos do ExpressRoute e domínios de encaminhamento, para fornecer conectividade de largura de banda alta à Microsoft Cloud.
O que são os circuitos do ExpressRoute?
Os circuitos do ExpressRoute são a ligação lógica entre a infraestrutura no local e a Microsoft Cloud. Essa ligação é implementada por um fornecedor de conectividade, embora algumas organizações utilizem vários fornecedores de conectividade, por motivos de redundância. Cada circuito tem uma largura de banda fixa de 50, 100, 200 ou 500 Mbps ou 1 ou 10 Gbps e é mapeado para um fornecedor de conectividade e uma localização de peering. Além disso, cada circuito do ExpressRoute tem quotas e limites predefinidos.
Os circuitos do ExpressRoute não são o mesmo que ligações de rede ou dispositivos de rede. Cada circuito é definido por um GUID, denominado service ou s-key. A s-key fornece a ligação de conectividade entre a Microsoft, o fornecedor de conectividade e a sua organização; não é um segredo criptográfico. Cada s-key tem um mapeamento de um para muitos para um circuito do Azure ExpressRoute.
Cada circuito pode ter até dois peerings, que são um par de sessões BGP configuradas para redundância. Eles são:
- Peering privado do Azure
- Microsoft
Domínios de encaminhamento
Em seguida, os circuitos do ExpressRoute são mapeados para domínios de encaminhamento, existindo vários domínios destes em cada circuito do ExpressRoute. Esses domínios são os mesmos que os dois peerings listados anteriormente. Numa configuração ativa/ativa, cada par de routers teria o domínio de encaminhamento configurado da mesma forma, fornecendo assim elevada disponibilidade. Os nomes dos peerings privados do Azure representam os esquemas dos endereços IP.
Peering privado do Azure
O peering privado do Azure liga-se a serviços de computação do Azure, como máquinas virtuais e serviços cloud que são implementados com uma rede virtual. No que diz respeito à segurança, o domínio de peering privado é apenas uma extensão da sua rede no local para o Azure. Depois, tem de ativar a conectividade bidirecional entre essa rede e as redes virtuais do Azure e torna os endereços IP da VM do Azure visíveis na sua rede interna.
Só pode ligar uma rede virtual ao domínio de peering privado.
Peering da Microsoft
O peering da Microsoft suporta ligações a serviços SaaS baseados na cloud, como o Microsoft 365 e o Dynamics 365. Esta opção de peering fornece conectividade bidirecional entre a WAN da sua empresa e os serviços cloud da Microsoft.
Estado de funcionamento do ExpressRoute
Como acontece com a maioria dos recursos do Microsoft Azure, você pode monitorar as conexões de Rota Expressa para garantir que elas tenham um desempenho satisfatório. A monitorização inclui cobrir as seguintes áreas:
- Disponibilidade
- Conectividade com as redes virtuais
- Utilização da largura de banda
A principal ferramenta para essa atividade de monitoramento é o Monitor de Desempenho de Rede, particularmente para a Rota Expressa.
O Azure ExpressRoute é utilizado para criar ligações privadas entre os datacenters do Azure e a infraestrutura no local ou num ambiente de colocalização. As ligações do ExpressRoute não passam pela Internet pública e oferecem mais fiabilidade, velocidades superiores e latências inferiores em relação às ligações típicas através da Internet.