Endereçamento IP público e privado no Azure
Você trabalha para uma empresa de manufatura e está movendo recursos para o Azure. O servidor de banco de dados deve estar acessível para clientes em sua rede local. Os recursos públicos, como servidores Web, devem ser acessíveis a partir da Internet. Você deseja garantir que planeja endereços IP que ofereçam suporte a esses dois requisitos.
Nesta unidade, você explora as restrições e limitações para endereços IP públicos e privados no Azure. Além disso, você examina os recursos disponíveis no Azure para reatribuir endereços IP em sua rede.
Tipos de endereços IP
No Azure, você pode usar dois tipos de endereços IP:
- Endereços IP públicos
- Endereços IP privados
Você pode alocar ambos os tipos de endereços IP de duas maneiras:
- Dinâmico
- Estático
Vejamos mais detalhadamente como os tipos de endereço IP funcionam em conjunto.
Endereços IP públicos
Utilize um endereço IP público para serviços destinados ao público. Um endereço público pode ser estático ou dinâmico. Um endereço IP público pode ser atribuído a uma máquina virtual (VM), um balanceador de carga voltado para a Internet, um gateway VPN ou um gateway de aplicativo.
Os endereços IP públicos dinâmicos são endereços atribuídos que podem mudar durante o ciclo de vida do recurso do Azure. É alocado o endereço IP dinâmico quando cria ou inicia uma VM. O endereço IP é libertado quando para ou elimina a VM. Em cada região do Azure, os endereços IP públicos são atribuídos a partir de um conjunto de endereços exclusivo. O método de alocação predefinido é o dinâmico.
Endereços IP públicos estáticos são endereços atribuídos que não mudam ao longo da vida útil do recurso do Azure. Para garantir que o endereço IP do recurso permaneça o mesmo, você pode definir o método de alocação como estático. Nesse caso, um endereço IP é atribuído imediatamente e é liberado somente quando você exclui o recurso ou altera o método de alocação de IP para dinâmico.
SKUs para endereços IP públicos
Para endereços IP públicos, há dois SKUs para escolher: Basic e Standard. Todos os endereços IP públicos criados antes da introdução de SKUs são endereços IP públicos de SKU Básico. Com a introdução das SKUs, você pode escolher a escala, os recursos e os preços para o tráfego de Internet de balanceamento de carga.
As SKUs Basic e Standard têm, por padrão:
- Um tempo limite de inatividade de fluxo originado de entrada de quatro minutos, que é ajustável para até 30 minutos.
- Um tempo limite de inatividade de fluxo de saída originado fixo de quatro minutos.
SKU Básico
Você pode atribuir IPs públicos básicos usando métodos de alocação estáticos ou dinâmicos. Você pode atribuir IPs públicos básicos a qualquer recurso do Azure que possa ser atribuído a um endereço IP público. Incluindo interfaces de rede, gateways VPN, gateways de aplicativos e balanceadores de carga voltados para a Internet.
Por padrão, endereços IP SKU básicos:
- Estão abertos. Os grupos de segurança de rede são recomendados, mas opcionais, para restringir o tráfego de entrada ou de saída.
- Estão disponíveis apenas para tráfego de entrada.
- Estão disponíveis ao usar o serviço de metadados de instância (IMDS).
- Não suporta zonas de disponibilidade.
- Não suporta preferências de roteamento.
SKU Standard
Por padrão, endereços IP SKU padrão:
- Use sempre a alocação estática.
- São seguros e, portanto, fechados ao tráfego de entrada. Você deve habilitar o tráfego de entrada usando um grupo de segurança de rede.
- São redundantes de zona e, opcionalmente, zonais (podem ser criados como zonais e garantidos em uma zona de disponibilidade específica).
- Pode ser atribuído a interfaces de rede, balanceadores de carga públicos padrão, gateways de aplicativos ou gateways VPN.
- Pode ser utilizado com a preferência de roteamento para habilitar um controle mais granular de como o tráfego é roteado entre o Azure e a Internet.
- Pode ser usado como IPs de frontend anycast para balanceadores de carga entre regiões.
Para obter mais informações, consulte Comparação de SKU, Visão geral do Balanceador de Carga e componentes.
Prefixo de endereço IP público
No Azure, um prefixo de endereço IP público é um intervalo estático reservado de endereços IP públicos. O Azure atribui um endereço IP de um pool de endereços disponíveis que é exclusivo para cada região em cada nuvem do Azure. Quando você define um prefixo de endereço IP público, os endereços IP públicos associados são atribuídos a partir de um pool para uma região do Azure.
Em uma região com zonas de disponibilidade, os prefixos de endereço IP público podem ser criados como redundantes de zona ou associados a uma zona de disponibilidade específica.
A vantagem de um prefixo de endereço IP público é que você pode especificar regras de firewall para um intervalo conhecido de endereços IP. Se sua empresa precisa ter datacenters em regiões diferentes, você precisa de um intervalo de endereços IP públicos diferente para cada região. Você pode atribuir os endereços de um prefixo de endereço IP público a qualquer recurso do Azure que ofereça suporte a endereços IP públicos.
Você pode criar um prefixo de endereço IP público especificando um nome e um tamanho de prefixo. O tamanho do prefixo é o número de endereços reservados disponíveis para uso.
- Os prefixos de endereços IP públicos consistem em endereços IPv4 ou IPv6.
- Você pode usar tecnologias como o Gerenciador de Tráfego do Azure para equilibrar instâncias específicas da região.
- Você só pode trazer seus próprios endereços IP públicos de redes locais para o Azure usando um prefixo de endereço IP personalizado.
- Não é possível especificar endereços ao criar um prefixo; O Azure atribui-os. Depois que um prefixo é criado, os endereços IP são fixados em um intervalo contíguo.
- Os endereços IP públicos não podem ser movidos entre regiões. Todos os endereços IP são específicos da região.
Endereços IP privados
Os endereços IP privados são usados para comunicação dentro de uma Rede Virtual do Azure, incluindo redes virtuais e suas redes locais. Você pode definir endereços IP privados como dinâmicos (concessão DHCP) ou estáticos (reserva DHCP).
Os endereços IP privados dinâmicos são atribuídos através de uma concessão de DHCP e podem mudar durante o ciclo de vida do recurso do Azure.
Os endereços IP privados estáticos são atribuídos através de uma reserva DHCP e não são alterados ao longo da vida útil do recurso do Azure. Os endereços IP privados estáticos serão mantidos se um recurso for interrompido ou desalocado.
Endereçamento IP para redes virtuais do Azure
No Azure, uma rede virtual é um componente fundamental que atua como a rede de uma organização. O administrador tem controle total sobre a atribuição de endereços IP, configurações de segurança e regras de segurança. Quando cria uma rede virtual, define um âmbito de endereços IP. O endereçamento IP privado funciona da mesma forma que em uma rede local. Você escolhe os endereços IP privados que a Internet Assigned Numbers Authority (IANA) reserva com base em seus requisitos de rede:
- 10.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16
Uma sub-rede é um intervalo de endereços IP na rede virtual. Você pode dividir uma rede virtual em várias sub-redes. Cada sub-rede deve ter um intervalo de endereços exclusivo, que é especificado no formato CIDR (roteamento entre domínios sem classe). O CIDR é uma forma de representar um bloco de endereços IP de rede. Um CIDR IPv4, especificado como parte do endereço IP, mostra o comprimento do prefixo de rede.
Considere-se, por exemplo, o CIDR 192.168.10.0/24. "192.168.10.0" é o endereço de rede, e "24" indica que os primeiros 24 bits fazem parte do endereço de rede, deixando os últimos 8 bits para endereços de host específicos. O intervalo de endereços de uma sub-rede não pode sobrepor-se a outras sub-redes na rede virtual ou à rede local.
Para todas as sub-redes no Azure, os três primeiros endereços IP são reservados por padrão. Para conformidade com o protocolo, o primeiro e último endereço IP de todas as sub-redes também são reservados. No Azure, um serviço DHCP interno atribui e mantém a concessão de endereços IP. Os .1
endereços IP , .2
, .3
e último não são visíveis ou configuráveis pelo cliente do Azure. Estes endereços são reservados e utilizados por serviços internos do Azure.
Nas redes virtuais do Azure, os endereços IP podem ser alocados aos seguintes tipos de recursos:
- Interfaces de rede de máquina virtual
- Balanceadores de carga
- Gateways de aplicação