Trabalhar com redes híbridas no Azure
Sua organização está ansiosa para continuar com a migração para a nuvem. Você explorou os méritos de usar o Azure ExpressRoute para fornecer uma conexão dedicada de alta velocidade entre sua rede local e o Azure.
A diligência devida exige que você explore as outras opções de arquitetura híbrida disponíveis para conectar sua rede local ao Azure.
Nesta unidade, você irá:
- Obtenha uma compreensão das conexões de rede virtual privada.
- Veja uma opção de resiliência para o ExpressRoute.
- Considere os méritos da topologia de rede hub-spoke.
O que é uma arquitetura de rede híbrida?
de rede híbrida é um termo usado quando duas topologias de rede diferentes se combinam para formar uma única rede coesa. Com o Azure, uma rede híbrida representa a fusão ou combinação de uma rede local com uma rede virtual do Azure. Ele permite o uso contínuo de sua infraestrutura existente, oferecendo todos os benefícios da computação baseada em nuvem e acesso.
Há várias razões pelas quais você pode querer adotar uma solução de rede híbrida. Os dois mais comuns são:
- Para migrar de uma rede local pura para uma rede baseada em nuvem pura.
- Para estender sua rede local e recursos para dar suporte aos serviços de nuvem.
Quaisquer que sejam as suas motivações para adicionar serviços na nuvem à sua infraestrutura, existem várias arquiteturas a considerar. Nós cobrimos ExpressRoute na unidade anterior. As outras arquiteturas são:
- Azure VPN Gateway
- ExpressRoute com a tolerância a falhas de VPN
- Topologia de rede Hub-spoke
Azure VPN Gateway
O Gateway de VPN do Azure, um serviço de gateway de rede virtual, permite a conectividade VPN site a site e ponto a site entre sua rede local e o Azure.
Uma VPN ou rede privada virtual é uma arquitetura de rede bem estabelecida e bem compreendida.
O VPN Gateway usa sua conexão existente com a internet. No entanto, toda a comunicação é criptografada usando os protocolos Internet Key Exchange (IKE) e Internet Protocol Security (IPsec). Você pode ter apenas um gateway de rede virtual por rede virtual.
Ao configurar um gateway de rede virtual, deve especificar se é um gateway VPN ou um gateway ExpressRoute.
O tipo de VPN depende do tipo de topologia de conexão necessária. Por exemplo, se pretender criar um gateway ponto a site (P2S) ou ponto a ponto (P2P), utilize um tipo RouteBased . Existem dois tipos de VPN:
- PolicyBased: usa um túnel IPsec para criptografar pacotes de dados. A configuração da política usa prefixos de endereço extraídos da sua rede virtual do Azure e da sua rede local.
- RouteBased : usa as tabelas de roteamento ou encaminhamento IP para rotear pacotes de dados para o túnel correto. Cada túnel criptografa e descriptografa todos os pacotes.
Depois de especificar o tipo de VPN para o gateway de rede virtual, não é possível alterá-lo. Se você precisar fazer uma alteração, exclua o gateway de rede virtual e crie-o novamente.
De site para site
Todas as conexões de gateway site a site usam um túnel VPN IPsec/IKE para criar uma conexão entre o Azure e sua rede local. Uma conexão site a site requer um dispositivo VPN local com um endereço IP acessível publicamente.
Ponto a local
Uma conexão de gateway ponto a site cria uma conexão segura entre um dispositivo individual e sua rede virtual do Azure. Esse tipo de gateway é adequado para trabalhadores remotos; por exemplo, usuários que participam de uma conferência ou trabalham em casa. Uma conexão ponto a site não requer um dispositivo VPN local dedicado.
Benefícios
Aqui estão alguns dos benefícios de usar uma conexão VPN:
- É uma tecnologia bem conhecida, fácil de configurar e manter.
- Todo o tráfego de dados é encriptado.
- É melhor para lidar com cargas de tráfego de dados mais leves.
Considerações
Ao avaliar o uso dessa arquitetura híbrida, considere os seguintes pontos:
- Uma conexão VPN usa a internet.
- Podem existir potenciais problemas de latência, dependendo do tamanho e da utilização da largura de banda.
- O Azure suporta uma largura de banda máxima de 1,25 Gbps.
- Um dispositivo VPN local é necessário para conexões site a site.
ExpressRoute com failover de VPN
Uma das garantias de usar o ExpressRoute é que ele fornece um alto nível de disponibilidade. Cada circuito de ExpressRoute vem com dois gateways de ExpressRoute. No entanto, mesmo com esse nível de resiliência incorporado no lado Azure da rede, a conectividade pode ser interrompida. Uma maneira de remediar essa situação e manter a conectividade é fornecer um serviço de failover de VPN.
A fusão da conexão VPN e da Rota Expressa melhora a resiliência da sua conexão de rede. Quando opera em condições normais, o ExpressRoute comporta-se exatamente como uma arquitetura ExpressRoute regular, com a conexão VPN permanecendo inativa. Se o circuito da Rota Expressa falhar ou ficar offline, a conexão VPN assumirá o controle. Esta ação garante a disponibilidade da rede em todas as circunstâncias. Quando o circuito ExpressRoute é restaurado, todo o tráfego volta a usar a conexão ExpressRoute.
Arquitetura de referência para ExpressRoute com failover de VPN
O diagrama a seguir ilustra como conectar a sua rede local ao Azure usando o ExpressRoute com um failover de VPN. A topologia escolhida nesta solução é uma conexão site a site baseada em VPN com alto fluxo de tráfego.
Neste modelo, todo o tráfego de rede é encaminhado através da conexão privada da Rota Expressa. Quando a conectividade é perdida no circuito ExpressRoute, a sub-rede do gateway realiza a comutação automática para o circuito do gateway VPN site-a-site. A linha pontilhada entre o gateway e o gateway VPN na rede virtual do Azure indica este cenário.
Quando o circuito ExpressRoute é restaurado, o tráfego volta automaticamente para o gateway VPN.
Benefícios
O seguinte benefício está disponível quando você implementa a Rota Expressa com um failover de VPN:
- Cria uma rede resiliente e de alta disponibilidade.
Considerações
Ao implementar uma ExpressRoute com arquitetura de failover de VPN, considere os seguintes pontos:
Quando ocorre um failover, a largura de banda é reduzida para velocidades de conexão VPN.
Os recursos do gateway ExpressRoute e VPN devem estar na mesma rede virtual.
Há uma configuração altamente complexa.
A implementação requer uma conexão ExpressRoute e uma conexão VPN.
A implementação requer um gateway VPN redundante e hardware VPN local.
Observação
Um gateway VPN redundante incorre em encargos de pagamento, mesmo quando não está a ser utilizado.
Topologia de rede Hub-spoke
A topologia de rede hub-spoke permite estruturar as cargas de trabalho que seus servidores realizam. Ele usa uma única rede virtual como hub, que se conecta à sua rede local por meio de VPN ou Rota Expressa. Os porta-vozes são outras redes virtuais que são emparelhadas com o hub. Você pode atribuir tarefas específicas a cada ramo e usar o hub central para serviços compartilhados.
Você pode implementar o hub e cada spoke em assinaturas ou grupos de recursos separados e, em seguida, emparelhá-los juntos.
Esse modelo usa uma das três abordagens discutidas anteriormente: VPN, ExpressRoute e ExpressRoute com failover de VPN. Os benefícios e desafios associados são discutidos nas seções a seguir.
Benefícios
A implementação de uma arquitetura hub-spoke tem os seguintes benefícios:
- O uso de partilha e de serviços centralizados no centro pode diminuir a necessidade de duplicação nas extremidades, o que pode reduzir custos.
- Os limites de subscrição são ultrapassados através do emparelhamento de redes virtuais.
- O modelo hub-spoke permite a separação das áreas de trabalho organizacionais em ramificações dedicadas, como SecOps, InfraOps e DevOps.
Considerações
Ao avaliar o uso dessa arquitetura híbrida, considere o seguinte ponto:
- Veja os serviços que são compartilhados no hub e o que permanece nos porta-vozes.