Conectar um circuito de Rota Expressa a uma rede virtual

  • 5 minutos

Um circuito ExpressRoute representa uma ligação lógica entre a sua infraestrutura no local e os serviços cloud da Microsoft através de um fornecedor de conectividade. Pode encomendar vários circuitos ExpressRoute. Cada circuito pode estar nas mesmas regiões ou diferentes regiões e pode ser ligado às suas instalações através de diferentes fornecedores de conectividade. Os circuitos de Rota Expressa não são mapeados para nenhuma entidade física. Um circuito é identificado exclusivamente por um GUID padrão chamado como uma chave de serviço (s-key).

Nos exercícios anteriores, você criou um gateway de Rota Expressa e um circuito de Rota Expressa. Em seguida, você aprendeu como configurar o emparelhamento para um circuito de rota expressa. Agora você aprenderá como criar uma conexão entre seu circuito ExpressRoute e a rede virtual do Azure.

Ligar uma rede virtual a um circuito ExpressRoute

  • Deve ter um circuito ExpressRoute ativo.
  • Certifique-se de ter o emparelhamento privado do Azure configurado para o seu circuito.
  • Certifique-se de que o emparelhamento privado do Azure seja configurado e estabeleça o emparelhamento BGP entre sua rede e a Microsoft para conectividade de ponta a ponta.
  • Certifique-se de ter uma rede virtual e um gateway de rede virtual criados e totalmente provisionados. Um gateway de rede virtual para ExpressRoute usa o GatewayType 'ExpressRoute', não VPN.
  • Você pode conectar até 10 redes virtuais a um circuito de Rota Expressa padrão. Todas as redes virtuais devem estar na mesma região geopolítica ao usar um circuito de Rota Expressa padrão.
  • Uma única VNet pode ser ligada a até 16 circuitos de Rota Expressa. Use o processo a seguir para criar um novo objeto de conexão para cada circuito de Rota Expressa ao qual você está se conectando. Os circuitos da Rota Expressa podem estar na mesma assinatura, em assinaturas diferentes ou em uma combinação de ambas.
  • Se você habilitar o complemento premium ExpressRoute, poderá vincular redes virtuais fora da região geopolítica do circuito ExpressRoute. O complemento premium também permitirá que você conecte mais de 10 redes virtuais ao seu circuito ExpressRoute, dependendo da largura de banda escolhida.
  • Para criar a conexão do circuito da Rota Expressa com o gateway de rede virtual da Rota Expressa de destino, o número de espaços de endereço anunciados das redes virtuais locais ou emparelhadas precisa ser igual ou inferior a 200. Depois que a conexão for criada com êxito, você poderá adicionar espaços de endereço adicionais, até 1.000, às redes virtuais locais ou emparelhadas.

Adicionar uma VPN a uma implantação da Rota Expressa

Esta seção ajuda você a configurar a conectividade criptografada segura entre sua rede local e suas redes virtuais do Azure (VNets) por meio de uma conexão privada de Rota Expressa. Você pode usar o emparelhamento da Microsoft para estabelecer um túnel VPN IPsec/IKE site a site entre suas redes locais selecionadas e as VNets do Azure. A configuração de um túnel seguro através da Rota Expressa permite a troca de dados com confidencialidade, anti-repetição, autenticidade e integridade.

Nota

Quando você configura a VPN site a site através do emparelhamento da Microsoft, você é cobrado pelo gateway de VPN e pela saída de VPN.

Para alta disponibilidade e redundância, você pode configurar vários túneis nos dois pares MSEE-PE de um circuito ExpressRoute e habilitar o balanceamento de carga entre os túneis.

Os túneis VPN no emparelhamento da Microsoft podem ser encerrados usando o gateway VPN ou usando um NVA (Network Virtual Appliance) apropriado disponível por meio do Azure Marketplace. Você pode trocar rotas estática ou dinamicamente pelos túneis criptografados sem expor a troca de rotas ao emparelhamento subjacente da Microsoft. Nesta seção, o BGP (diferente da sessão BGP usada para criar o emparelhamento da Microsoft) é usado para trocar prefixos dinamicamente nos túneis criptografados.

Importante

No local, normalmente o emparelhamento da Microsoft é encerrado na DMZ e o emparelhamento privado é encerrado na zona da rede principal. As duas zonas seriam segregadas usando firewalls. Se você estiver configurando o emparelhamento da Microsoft exclusivamente para habilitar o tunelamento seguro na Rota Expressa, lembre-se de filtrar apenas os IPs públicos de interesse que estão sendo anunciados por meio do emparelhamento da Microsoft.

Passos

  • Configure o emparelhamento da Microsoft para seu circuito de Rota Expressa.
  • Anuncie prefixos públicos regionais do Azure selecionados para sua rede local por meio do emparelhamento da Microsoft.
  • Configurar um gateway VPN e estabelecer túneis IPsec
  • Configure o dispositivo VPN local.
  • Crie a conexão IPsec/IKE site a site.
  • (Opcional) Configure firewalls/filtragem no dispositivo VPN local.
  • Teste e valide a comunicação IPsec no circuito ExpressRoute.