Implementar o Azure ExpressRoute

Concluído

A equipe de segurança de TI da Contoso está preocupada em implementar uma conexão VPN de seus datacenters para o Microsoft Cloud. Ao investigar as opções do Gateway VPN, você descobriu que a Rota Expressa é uma solução potencial. Com a Rota Expressa, as conexões não passam pela Internet, reduzindo assim as possíveis ameaças à segurança dos dados em trânsito entre a infraestrutura corporativa da Contoso e os recursos do Azure nos datacenters da Microsoft.

O que é o ExpressRoute?

O ExpressRoute fornece uma maneira de conectar sua organização aos Recursos do Azure. Ao implementar a Rota Expressa, você pode implementar as seguintes opções de conexão:

  • Uma conexão VPN de qualquer para qualquer lugar. Permite integrar sua WAN ao Azure. O Azure integra-se com a sua ligação WAN para fornecer uma ligação perfeita. Com as ligações qualquer a qualquer, todos os fornecedores de WAN proporcionam conectividade de Camada 3.
  • Uma conexão Ethernet P2P. Fornece conectividade de Camada 2 e Camada 3 entre seu site local e o Azure. Você conecta seus datacenters ou escritórios ao Azure usando os links P2P.
  • Colocalização do CloudExchange. Normalmente, oferece conexões de Camada 2 e Camada 3 entre a infraestrutura da sua organização, que reside em um recurso de colocalização, como um provedor de serviços de Internet (ISP), e o Microsoft Cloud.

Nota

A conectividade do ExpressRoute não é via internet, o que significa que as conexões têm menor latência, são de alta velocidade e mais seguras.

O gráfico a seguir exibe um cenário típico para conexões de Rota Expressa duplas.

Um diagrama identifica maneiras pelas quais você pode usar conexões de Rota Expressa. No gráfico, a rede de um cliente está conectada a uma rede de borda de parceiro. Duas conexões, uma primária e uma secundária, conectam-se à rede Microsoft Edge. O tráfego é roteado através de ambos os circuitos para o Microsoft Peering para Office 365 e serviços relacionados, e também para outras VNets usando o emparelhamento privado do Azure.

O ExpressRoute é uma das três soluções que pode utilizar para ligar a sua rede no local ao Azure. Os outros dois, S2S e P2S, são descritos na tabela a seguir.

Solução alternativa Description
VPN S2S Permite que você conecte sua rede local ao Azure por meio de um túnel IPsec/IKE para criar uma rede híbrida. Para habilitar uma conexão S2S, configure um dispositivo VPN local com um endereço IP público. Em seguida, você conecta esse dispositivo a uma VNet do Azure por meio de um gateway de VNet do Azure.
P2S VPN Permite estabelecer uma conexão segura de computadores individuais com recursos localizados em uma rede local. Essa solução é útil para organizações que desejam habilitar conexões com o Azure a partir de locais remotos, como as casas dos usuários. As conexões P2S são úteis se você tiver apenas alguns clientes que devem se conectar a uma rede virtual.

O Azure ExpressRoute é mais provável que seja o serviço apropriado nos seguintes cenários:

  • Para organizações que estão migrando sistemas locais corporativos para o Azure
  • Para redes seguras, onde é desejável evitar a Internet
  • Para grandes datacenters com muitos usuários e sistemas acessando sistemas e produtos de software como serviço (SaaS)

Considere o uso do ExpressRoute nas seguintes situações:

  • Para implementar conectividade de baixa latência para serviços baseados em nuvem
  • Para acessar sistemas baseados em nuvem de alto volume que trabalham com grandes volumes de dados
  • Para conectar-se aos serviços de nuvem da Microsoft, como o Office 365 e o Microsoft Dynamics 365

Benefícios da Rota Expressa

O ExpressRoute oferece uma série de benefícios em relação a outras opções de conectividade, conforme descrito na tabela a seguir.

Caraterística Benefício
Conectividade de Camada 3 Essas conexões podem ser P2P, qualquer rede para qualquer rede, ou podem ser conexões cruzadas virtuais através de uma troca.
Redundância incorporada Cada provedor de conectividade usa dispositivos redundantes para ajudar a fornecer alta disponibilidade.
Conectividade com serviços da Microsoft Cloud Suporta ligações ao Office 365, Dynamics 365 e a serviços do Azure, como VMs do Azure, Azure Cosmos DB e Armazenamento do Azure.
Na conectividade local com Alcance Global do ExpressRoute Permite que você conecte seus datacenters privados por meio de vários circuitos de Rota Expressa e permite que seu tráfego entre datacenters viaje pela rede da Microsoft.
Encaminhamento dinâmico Permite o roteamento dinâmico entre sua infraestrutura local e os serviços executados no Microsoft Cloud. Usa o BGP (Border Gateway Protocol), que troca rotas entre redes locais e recursos em execução no Azure.

Como funciona

Para implementar a Rota Expressa, você deve trabalhar com um parceiro da Rota Expressa. O parceiro fornece uma conexão autorizada e autenticada chamada serviço de borda. É através deste serviço de borda que você pode conectar sua organização ao Microsoft Cloud. O parceiro selecionado habilita a conexão com o roteador de borda do Microsoft Cloud, conhecido como ponto de extremidade da Rota Expressa. As conexões através do serviço de borda com o ponto de extremidade da Rota Expressa são conhecidas como circuitos. Os circuitos são estabelecidos através de um link privado, não através da internet.

Pré-requisitos

Antes de implementar um circuito de Rota Expressa, sua organização deve atender a vários pré-requisitos, incluindo:

  • Trabalhando com um parceiro de conectividade ExpressRoute ou provedor de troca de nuvem.

Nota

Estas organizações facilitam a disponibilização do circuito.

  • Registar a sua subscrição do Azure com o seu parceiro de conectividade ExpressRoute.
  • Solicitar um circuito de Rota Expressa usando uma conta ativa do Azure.
  • Opcionalmente, ter uma assinatura ativa do Office 365 para conectividade com os serviços do Office 365.

Como o ExpressRoute funciona emparelhando sua infraestrutura local com redes de nuvem da Microsoft, os recursos em suas redes podem se comunicar diretamente com recursos hospedados pela Microsoft. No entanto, para apoiar esses pares, você deve:

  • Certifique-se de ter configurado todas as sessões BGP necessárias para roteamento de domínios.
  • Implemente um serviço de conversão de endereços de rede (NAT) para traduzir os endereços IP privados usados no local para endereços IP públicos.
  • Reserve vários blocos de endereços IP em sua rede para rotear o tráfego para o Microsoft Cloud.

Gorjeta

Você configura esses blocos reservados como uma sub-rede /29 ou duas sub-redes /30 em seu espaço de endereço IP.

Configurar o ExpressRoute

Para facilitar uma conexão com recursos da Microsoft no Azure usando a Rota Expressa, você deve executar várias etapas de alto nível para concluir o processo de estabelecimento de uma conexão de Rota Expressa. Tem de:

  • Crie um circuito.
  • Crie uma configuração de emparelhamento.
  • Conecte uma VNet a um circuito de Rota Expressa.

Criar um circuito

Para criar um circuito, entre no portal do Azure e use o seguinte procedimento:

  1. No portal do Azure, selecione Criar um recurso.

  2. Selecione Rede e, em seguida, selecione Rota Expressa.

  3. Na folha Criar Rota Expressa, selecione a Assinatura, o grupo de Recursos e a Região e insira um nome para o circuito.

  4. Selecione Next: Configuration >.

  5. Na guia Configuração, configure as seguintes informações:

    • Tipo de porta. Selecione Provedor.
    • Selecione o Provedor.
    • Selecione o local de emparelhamento.
    • Escolha a largura de banda.
    • Selecione o SKU.

    Uma captura de tela da folha Criar Rota Expressa, guia Configuração. O tipo de porta é definido como Provedor. O Fornecedor é a British Telecom. A localização de Peering é Londres. A largura de banda é de 1 Gbps. O SKU padrão está selecionado.

  6. Selecione Rever + criar e, em seguida, selecione Criar.

Levará alguns minutos para concluir o provisionamento do circuito. Depois que isso for concluído, abra o recurso recém-criado. Na página Visão geral do seu circuito, você deve observar que o status do circuito está habilitado, mas o status do provedor não está provisionado. Esses valores significam que o lado Microsoft do circuito está pronto para aceitar conexões, mas que o provedor ainda não configurou seu lado do circuito.

Uma captura de tela da página ContosoExpressRoute no portal do Azure. O status do Circuito está habilitado, mas o status do Provedor é Não provisionado.

Criar a configuração de peering

A próxima etapa é configurar emparelhamentos. Você pode revisar emparelhamentos para o circuito na guia Visão geral . Você pode criar um emparelhamento privado do Azure, um emparelhamento público do Azure e um emparelhamento da Microsoft. Nesse caso, você precisará criar um emparelhamento privado do Azure e um emparelhamento da Microsoft.

Configurar o peering privado

Você usa o emparelhamento privado para conectar sua rede às suas redes virtuais em execução no Azure. Para configurar o peering privado, tem de fornecer as seguintes informações:

  • ASN de elemento da rede. O número do sistema autónomo (ASN) para o seu lado do emparelhamento.
  • Sub-rede principal. Este é um intervalo de endereços da sub-rede /30 primária que você cria na rede.
  • Sub-rede secundária. Trata-se do intervalo de endereços da sua sub-rede secundária /30.
  • ID de VLAN. Esta é a rede local virtual (VLAN) na qual você deseja habilitar o emparelhamento.
  • Chave partilhada. Esta é uma chave opcional que é usada para codificar mensagens que passam pelo circuito.

Para modificar o emparelhamento privado do Azure, na folha do circuito ExpressRoute, na página Emparelhamentos , selecione Azure private e configure os valores necessários.

Configurar o peering da Microsoft

Você usa o emparelhamento da Microsoft para se conectar ao Office 365 e seus serviços relacionados. Para configurar o emparelhamento da Microsoft, você fornece os mesmos detalhes de um emparelhamento privado, mas também deve fornecer as seguintes informações:

  • Prefixos públicos anunciados. Uma lista dos prefixos de endereço que você usará na sessão BGP.
  • ASN de cliente. Um valor opcional.
  • Nome de registo de encaminhamento. Identifica o registro no qual você registra o ASN do cliente e os prefixos públicos.

Nota

Você só pode configurar o emparelhamento quando o status Provedor estiver definido como Provisionado.

Para modificar o emparelhamento da Microsoft, na folha do circuito ExpressRoute, na página Emparelhamentos, selecione Microsoft e configure os valores necessários.

Uma captura de tela da folha de emparelhamento da Microsoft. Nenhum valor pode ser configurado, pois o circuito não é provisionado. No entanto, os valores configuráveis são os descritos anteriormente.

Conecte uma VNet ao circuito

Depois que o status do provedor for provisionado e depois de configurar os emparelhamentos, você poderá conectar uma VNet ao circuito. Para isso, utilize o seguinte procedimento:

  1. No portal do Azure, selecione Criar um recurso.

  2. Procure e selecione Gateway de rede virtual.

  3. Na folha Gateway de rede virtual, selecione Criar.

  4. Na folha Criar gateway de rede virtual, crie o gateway especificando as propriedades apropriadas: Assinatura, Nome e Região.

  5. Para Tipo de gateway, selecione Rota Expressa.

    Uma captura de tela da folha Criar gateway de rede virtual. O administrador configurou os valores descritos no texto anterior.

  6. Selecione a SKU e, em seguida, selecione a rede virtual à qual você deseja se conectar.

  7. Configure o intervalo de endereços de sub-rede do Gateway e as configurações de endereço IP público.

  8. Selecione Rever + criar e, em seguida, selecione Criar.

Finalmente, você pode conectar um emparelhamento a um gateway VNet da seguinte maneira:

  1. Na página Circuito do ExpressRoute do seu circuito, selecione Ligações.
  2. Na página Ligações, selecione Adicionar.
  3. Na página Adicionar conexão, forneça um nome à sua conexão e selecione seu gateway de rede virtual.

Após a conclusão da operação, sua rede local será conectada por meio do gateway de rede virtual à sua rede virtual no Azure. A ligação será estabelecida através da ligação do ExpressRoute.

Nota

Você só pode executar esta etapa final quando o status do provedor estiver definido como Provisionado.

Leitura adicional

Pode saber mais ao consultar os seguintes documentos: