Rede de cloud híbrida

Concluído

Assim como uma rede no local multilocal tradicional pode precisar de ligar múltiplas sucursais a uma sede, também a rede de cloud híbrida envolve a utilização de tecnologias apropriadas para interligar diretamente os utilizadores, as aplicações e os dados no local a aplicações e dados alojados na cloud.

No nosso cenário, a Tailwind Traders tem de ser capaz de ligar as suas localizações no local de forma segura aos recursos que estão em execução no Azure. A Tailwind Traders precisa de o fazer para que, para a sua equipa, não haja nenhuma diferença real entre aceder a uma carga de trabalho em execução num datacenter no local da Tailwind Traders e num datacenter que esteja em execução no Azure.

Nesta unidade, irá saber mais sobre tecnologias de rede que permitem que os recursos no local e na cloud funcionem em rede numa única cloud híbrida.

O que é uma VPN do Azure?

Um gateway de VPN do Azure permite que ligue a sua rede no local ao Azure através de um túnel VPN seguro na Internet pública. As ligações VPN do Azure são como ligações VPN tradicionais que podem existir entre uma sucursal e a localização de uma sede. Cada rede virtual só pode ter um único gateway de VPN, mas cada gateway de VPN suporta múltiplas ligações.

A imagem a seguir mostra uma ligação entre um dispositivo de gateway de perímetro da rede no local e um gateway de VPN numa rede virtual do Azure. Descreve a ligação entre um dispositivo do Azure Stack e um gateway de VPN.

Diagrama de uma rede híbrida que abrange infraestruturas no local e do Azure.

No exemplo da Tailwind Traders, a empresa pode utilizar gateways de VPN do Azure para permitir ligações de sucursais mais pequenas que não precisam do tipo de ligação dedicada que uma ligação do Azure ExpressRoute fornece. A principal desvantagem dos gateways de VPN do Azure é o facto de dependerem da ligação de Internet do fornecedor de serviços de Internet (ISP). Se o seu ISP sofrer uma interrupção, as ligações VPN não podem ser estabelecidas. Da mesma forma, se o seu ISP sofrer um congestionamento substancial, a velocidade da ligação VPN entre uma localização no local e o Azure pode ser degradada.

As organizações com ligações de VPN existentes entre locais de sucursais já enfrentam desafios que as ligações VPN dedicadas representam.

O que é o Azure ExpressRoute?

O Microsoft Azure ExpressRoute permite que uma organização tenha uma ligação privada e dedicada de alta velocidade entre a sua rede no local e o Azure. Esta ligação não passa pela Internet pública. Funcionalmente, é uma linha de fibra ótica dedicada que liga diretamente uma localização no local ao datacenter do Azure mais próximo.

Ao contrário de um gateway de VPN, o equipamento que fornece esta ligação é gerido pelo fornecedor do ExpressRoute. Como o fornecedor do ExpressRoute gere todo o equipamento, consegue fornecer um contrato de nível de serviço (SLA) em termos de fiabilidade e largura de banda que não está disponível para os utilizadores de ligações de gateway de VPN do Azure.

A seguinte imagem mostra a ligação do ExpressRoute entre o ambiente no local e as cargas de trabalho em execução no Azure. O fornecedor do ExpressRoute gere o circuito do ExpressRoute e os routers periféricos locais.

Diagrama de uma arquitetura de rede híbrida com recurso ao Azure ExpressRoute.

Além de fornecer uma ligação de largura de banda dedicada entre o ambiente no local e o Azure, o ExpressRoute permite que as organizações garantam que o tráfego confidencial não passe pela Internet pública. Isto é importante em jurisdições nas quais os requisitos de governação proíbem a transmissão de determinados tipos de informações pela Internet.

No exemplo de caso prático, a Tailwind Traders pode implementar uma ligação ExpressRoute a partir de escritórios maiores, tais como os de Melbourne, Sydney e Auckland, onde estão presentes mais pessoas. A empresa também pode precisar de utilizar o ExpressRoute se certos tipos de dados que ela processa não puderem ser transferidos pela Internet devido aos requisitos de conformidade.

O que é o DNS híbrido?

Quando estiver a implementar uma cloud híbrida, é necessário garantir que as cargas de trabalho no local conseguem resolver endereços de cargas de trabalho da cloud e que as cargas de trabalho da cloud conseguem resolver endereços de cargas de trabalho no local. As implementações de DNS (Sistema de Nomes de Domínio) numa cloud híbrida geralmente exigem servidores DNS no local e no Azure. Além disso, as transferências de zona DNS têm de estar configuradas entre o local e a cloud. Uma alternativa consiste em configurar reencaminhadores DNS se a zona DNS no local estiver separada da zona DNS associada a cargas de trabalho em execução no Azure.

A imagem a seguir mostra os servidores DNS no local a replicar informações de DNS para servidores DNS em execução no Azure. Nesse cenário, uma máquina virtual (VM) é implantada como um servidor DNS no Azure. Na imagem, o DNS no local liga-se à subscrição do hub com servidores DNS em VMs. Outras subscrições do Azure ligam-se à subscrição do hub.

Diagrama que mostra uma arquitetura de DNS híbrida.

Como alternativa, o Azure DNS Private Resolver é um serviço que permite consultar zonas privadas do DNS do Azure a partir de um ambiente local e vice-versa sem implantar servidores DNS baseados em VM. O serviço de resolução privada é totalmente gerenciado e tem recursos integrados de alta disponibilidade.

Os Tailwind Traders podem usar o Azure DNS Private Resolver para garantir que todas as suas cargas de trabalho em execução no Azure possam resolver os nomes DNS dos hosts na rede interna do Tailwind Traders. Também garantiria que todos os anfitriões da rede interna da Tailwind Traders conseguissem resolver os nomes DNS das cargas de trabalho em execução na cloud.

O que é a WAN Virtual do Azure?

A WAN Virtual do Azure permite que uma organização utilize a rede do Azure numa arquitetura hub-and-spoke. A rede do Azure funciona como um hub para conectividade transitiva entre pontos finais que funcionam como spokes.

Tradicionalmente, pode ter uma topologia de rede em que cada sucursal tem uma ligação VPN ao local da sede. Se o tráfego passar de uma sucursal para outra, passa pelo local do hub para chegar lá. Se os locais dos escritórios da sede e das sucursais estiverem todos ligados ao Azure (quer através de uma VPN ou do ExpressRoute), estas ligações podem formar os spokes. A WAN Virtual do Azure pode funcionar como o hub de encaminhamento do tráfego entre as localizações no local.

A imagem a seguir mostra uma topologia de WAN Virtual do Azure.

Diagrama que mostra a topologia WAN Virtual do Azure com vários sites conectados entre si em uma topologia de hub e spoke por meio do Azure.

A WAN Virtual do Azure permite que a Tailwind Traders se afaste da utilização de ligações VPN para ligar sucursais e localizações de datacenters em Sydney, Melbourne e Auckland. Fornece uma topologia na qual cada sucursal e datacenter está ligada ao Azure através de uma VPN ou do ExpressRoute. O serviço da WAN Virtual do Azure gere o encaminhamento do tráfego entre localizações.

Verifique o seu conhecimento

1.

A Tailwind Traders tem de garantir que os dados transmitidos do escritório de Camberra para cargas de trabalho em execução no Azure não passam pela Internet pública, mesmo num túnel encriptado. Qual das tecnologias a seguir pode ser utilizada pela Tailwind Traders para ligar esse escritório a cargas de trabalho em execução no Azure?

2.

De momento, todas as localizações de sucursais da Tailwind Traders estão ligadas ao escritório de Sydney através de uma ligação VPN. O tráfego interno entre as sucursais é todo encaminhado através de Sydney numa arquitetura hub-and-spoke. Em vez de utilizar o escritório de Sydney como o hub para encaminhar o tráfego entre sucursais, a Tailwind Traders prefere utilizar o Azure. Qual das tecnologias a seguir pode ser utilizada pela Tailwind Traders para atingir este objetivo?