Integração de rede local no Azure

Concluído

Sua empresa planeja migrar a maioria de seus recursos locais para o Azure. No entanto, um pequeno datacenter deve permanecer no local para integração na rede do Azure. O modelo de arquitetura precisa considerar o uso da conectividade de rede do Azure para vários escritórios satélites. Você deseja usar uma arquitetura de rede híbrida que conceda acesso aos seus recursos locais e baseados em nuvem.

Para lidar com a migração, você produz um plano de integração de rede para o Azure que inclui uma seleção das melhores opções de rede híbrida disponíveis no Azure. As opções devem atender aos requisitos da organização para conectividade híbrida.

Nesta unidade, você explora a conectividade local na plataforma Azure. Você também obtém uma visão geral da Rede Virtual do Azure e vê como usar o Gateway de VPN do Azure para proteger o tráfego para uma rede local.

Sobre a Rede Virtual do Azure

O serviço de Rede Virtual do Azure tem um conjunto específico de ferramentas e recursos para criar uma arquitetura de rede baseada na nuvem para a sua organização. As redes virtuais do Azure fornecem um canal de comunicação virtual seguro para todos os recursos permitidos do Azure na sua subscrição.

Com uma rede virtual do Azure, você pode:

• Conecte máquinas virtuais à Internet.
• Forneça comunicações seguras entre recursos do Azure hospedados em vários datacenters e regiões.
• Isolar e gerenciar recursos do Azure.
• Conecte-se a computadores locais.
• Gerencie o tráfego da rede.

Por padrão, todos os recursos do Azure em uma rede virtual têm conectividade de saída com a Internet. A comunicação de entrada externa deve vir através de um endpoint público. Todos os recursos internos usam um ponto de extremidade privado para acessar a rede virtual.

Uma rede virtual é composta por muitos elementos. Incluindo, mas não limitado a, interfaces de rede, balanceadores de carga, sub-redes, grupos de segurança de rede e endereços IP públicos. Esses elementos trabalham juntos e permitem uma comunicação de rede segura e confiável entre seus recursos do Azure, a Internet e as redes locais.

Roteamento de tráfego em uma rede virtual do Azure

O tráfego de saída de uma sub-rede é roteado com base no endereço IP de destino. Uma tabela de roteamento define como as rotas de tráfego e o que acontece em seguida. Um endereço IP de destino pode existir em várias definições de prefixo de tabela de roteamento (por exemplo, 10.0.0.0/16 e 10.0.0.0/24). O roteador usa um algoritmo sofisticado para encontrar a correspondência de prefixo mais longa. O tráfego que está a dirigir-se para um endereço 10.0.0.6 resolve-se para o prefixo 10.0.0.0/24 e é roteado de acordo.

Existem duas tabelas de roteamento principais: sistema e personalizado.

Tabelas de roteamento do sistema

O Azure cria automaticamente um conjunto de tabelas de roteamento padrão para a rede virtual e cada máscara de sub-rede dentro da rede virtual. Essas rotas do sistema são fixas e não podem ser editadas ou excluídas. No entanto, você pode substituir as configurações padrão usando uma tabela de roteamento personalizada.

Uma tabela de roteamento padrão típica pode ter esta aparência:

Fonte	Prefixos de endereço	Tipo de salto seguinte
Padrão	Exclusivo para a rede virtual	Rede virtual
Padrão	0.0.0.0/0	Internet
Padrão	10.0.0.0/8	Nenhum
Padrão	172.16.0.0/12	Nenhum
Padrão	192.168.0.0/16	Nenhum
Padrão	100.64.0.0/10	Nenhum

Uma tabela de roteamento consiste em uma origem, um prefixo de endereço e um tipo de de salto seguinte. Todo o tráfego que sai da sub-rede usa a tabela de roteamento para descobrir para onde ele deve ir em seguida. Com efeito, o tráfego procura o próximo passo no seu percurso.

Um próximo salto define o que acontece com o fluxo de tráfego em seguida, com base no prefixo. Existem três tipos de próximo salto:

• de rede virtual: O tráfego é roteado de acordo com o endereço IP dentro da rede virtual.
• Internet: O tráfego é encaminhado para a Internet.
• Nenhum: O tráfego é interrompido.

Tabelas de roteamento personalizadas

Além das tabelas de roteamento definidas pelo sistema, você também pode criar tabelas de roteamento personalizadas. Essas tabelas de roteamento definidas pelo usuário substituem a tabela padrão do sistema. Há limitações no número de itens de roteamento que você pode ter em uma tabela personalizada.

A tabela a seguir lista algumas das muitas limitações que se aplicam a redes virtuais:

Recurso	Número padrão ou máximo
Redes virtuais	1,000
Sub-redes por rede virtual	3,000
Emparelhamentos de redes virtuais por cada rede virtual	500
Endereços IP privados por rede virtual	65,536

Assim como a tabela de roteamento do sistema, as tabelas de roteamento personalizadas também têm um tipo de salto seguinte. Mas as tabelas de roteamento personalizadas oferecem mais algumas opções:

• Dispositivo virtual: Esta opção geralmente é uma máquina virtual que executa um aplicativo de rede específico, como um firewall.
• Gateway de rede virtual: Use esta opção quando quiser enviar tráfego para um gateway de rede virtual. Um tipo de gateway de rede virtual deve ser VPN. O tipo não pode ser Azure ExpressRoute, que requer a definição de um processo de roteamento BGP (Border Gateway Protocol).
• Nenhum: Esta opção deixa cair o tráfego em vez de o reencaminhar.
• Rede virtual: Esta opção permite substituir um encaminhamento padrão do sistema.
• Internet: Esta opção permite especificar que qualquer prefixo encaminha o tráfego para a Internet.

Conectar redes virtuais do Azure

Você pode conectar suas redes virtuais de várias maneiras. Você pode usar o Azure VPN Gateway ou o ExpressRoute, ou pode optar pelo método de emparelhamento diretamente.

Azure VPN Gateway

Quando você está trabalhando para integrar sua rede local com o Azure, você precisa de uma ponte entre eles. O Gateway VPN é um serviço do Azure que fornece essa funcionalidade. Um gateway VPN pode enviar tráfego criptografado entre as duas redes. Os gateways VPN suportam várias conexões, o que lhes permite rotear túneis VPN que usam qualquer largura de banda disponível. Uma rede virtual pode ter apenas um gateway atribuído. Os gateways de VPN também podem ser usados para conexões entre redes virtuais no Azure.

Ao implementar um gateway VPN, é necessário implantar duas ou mais máquinas virtuais na sub-rede criada ao configurar a rede virtual. Nesse caso, a sub-rede também é chamada de sub-rede de gateway. A cada máquina virtual é atribuída uma configuração padrão para serviços de roteamento e gateway, explícita para o gateway provisionado. Não é possível configurar essas máquinas virtuais diretamente.

Quando você cria um gateway, várias topologias estão disponíveis. Essas topologias, também conhecidas como tipos de gateway , determinam quais elementos são configurados e o tipo de conexão esperado.

Entre sites

Você usa uma conexão site a site para configurações de rede híbrida e entre locais. Essa topologia de conexão requer que um dispositivo VPN local tenha um endereço IP acessível publicamente e não esteja atrás de tradução de endereços de rede (NAT). A conexão usa uma cadeia de caracteres ASCII secreta de até 128 caracteres para autenticar entre o gateway e o dispositivo VPN.

Multisite

Uma conexão multissite é semelhante a uma conexão site a site, mas com uma pequena variação. Multisite suporta várias conexões VPN para seus dispositivos VPN locais. Essa topologia de conexão requer uma VPN RouteBased conhecida como gateway dinâmico. É importante notar que, com uma configuração multissite, todas as conexões passam por e partilham toda a largura de banda disponível.

Ponto-a-sítio

Uma conexão ponto-a-site é adequada para um dispositivo cliente individual remoto que se conecta à sua rede. Você deve autenticar o dispositivo cliente por meio da ID do Microsoft Entra ou usando a autenticação de certificado do Azure. Este modelo adequa-se a cenários de trabalho em casa.

De rede para rede

Você usa uma conexão de rede para rede para criar conexões entre várias redes virtuais do Azure. Essa topologia de conexão, ao contrário das outras, não requer um IP público ou dispositivo VPN. Você também pode usar uma conexão de rede para rede em uma configuração multissite para estabelecer conexões cruzadas entre locais com conectividade entre redes virtuais.

Rota Expressa

O ExpressRoute cria uma conexão direta entre sua rede local e a rede virtual do Azure que não usa a Internet. Você usa o ExpressRoute para expandir de forma integrada a sua rede local para o espaço de rede virtual do Azure. Muitos provedores de conectividade que não são da Microsoft oferecem o serviço ExpressRoute. Existem três tipos diferentes de conexão ExpressRoute:

• Colocation do CloudExchange
• Conexão Ethernet ponto-a-ponto
• Ligação qualquer-para-qualquer (IPVPN)

Emparelhamento

As redes virtuais podem fazer peering entre assinaturas e regiões do Azure. Depois que as redes virtuais são emparelhadas, os recursos nessas redes se comunicam entre si como se estivessem na mesma rede. O tráfego é roteado entre recursos usando apenas endereços IP privados. Uma rede virtual emparelhada roteia o tráfego através da rede do Azure e mantém a conexão privada como parte da rede de backbone do Azure. A rede de backbone fornece conexões de rede de baixa latência e alta largura de banda.

Arquitetura de referência de gateway VPN entre locais

Embora muitas arquiteturas de referência estejam disponíveis quando você projeta uma rede híbrida, uma arquitetura popular é a configuração site a site. A arquitetura de referência simplificada mostrada no diagrama a seguir ilustra como você conectaria uma rede local à plataforma Azure. A conexão com a Internet usa um túnel VPN IPsec.

A arquitetura apresenta vários componentes:

• A rede local representa o Active Directory no local e quaisquer dados ou recursos.
• O de gateway é responsável por enviar tráfego criptografado para um endereço IP virtual quando usa uma conexão pública.
• A rede virtual Azure abrange todas as suas aplicações na nuvem e quaisquer componentes do gateway de VPN do Azure.
• Um gateway VPN do Azure fornece o link criptografado entre a rede virtual do Azure e a sua rede local. Um gateway de VPN do Azure consiste nesses elementos.
  • Gateway de rede virtual
  • Gateway de rede local
  • Ligação
  • Sub-rede do gateway
• aplicativos de nuvem são aqueles que você disponibilizou por meio do Azure.
• Um balanceador de carga interno , localizado no front-end, roteia o tráfego na nuvem para o aplicativo ou recurso correto baseado em nuvem.

O uso dessa arquitetura oferece vários benefícios, incluindo:

• A configuração e manutenção são simplificadas.
• O uso de um gateway VPN ajuda a garantir que todos os dados e tráfego sejam criptografados entre o gateway local e o gateway do Azure.
• A arquitetura pode ser dimensionada e estendida para atender às necessidades de rede da sua organização.

Essa arquitetura não é aplicável em todas as situações, porque usa uma conexão de internet existente como o link entre os dois pontos de gateway. As restrições de largura de banda podem causar problemas de latência resultantes da reutilização da infraestrutura existente.

Verifique os seus conhecimentos

1.

Onde é estabelecida uma conexão VPN ponto-a-site?

O gateway VPN inicializa a conexão.

A conexão é estabelecida a partir da máquina host.

A conexão é estabelecida a partir de um computador cliente.

Em uma rede virtual do Azure.

2.

Como é autenticada uma VPN site a site?

Nenhuma autenticação é necessária.

Usando uma conta de administrador.

Através de uma entidade de serviço, no Microsoft Entra ID.

Usando um segredo de cadeia de caracteres ASCII.

3.

Quando você se conecta ao Azure usando uma VPN, qual método de conexão você usaria?

Um gateway VPN

Uma ligação encriptada

Uma máquina virtual do Azure

Um túnel VPN

Tem de responder a todas as questões antes de verificar o seu trabalho.