Editar

Topologia de rede hub-spoke IPv6

Firewall do Azure
Rede Virtual do Azure
WAN Virtual do Azure
Gateway de VPN do Azure

Este artigo descreve como fazer a transição de uma topologia de rede hub-and-spoke IPv4 para IPv6. Ele apresenta a topologia de rede hub-and-spoke como ponto de partida e descreve as etapas que você pode seguir para implementar o suporte a IPv6.

Na topologia hub-and-spoke, a rede virtual hub é um ponto central de conectividade para as redes virtuais spoke. As redes virtuais spoke se conectam ao hub e podem fornecer isolamento para recursos do aplicativo. Para obter mais informações, consulte Transição para IPv6.

Arquitetura

Diagrama que mostra uma arquitetura hub-and-spoke com os componentes necessários para suporte a IPv6.

Baixe um Arquivo Visio dessa arquitetura.

Workflow

  1. Internet pública e rede entre locais: os usuários ou serviços podem acessar os recursos do Azure por meio da Internet pública. A rede entre locais tem máquinas virtuais locais que se conectam com segurança à rede do Azure por meio de um gateway VPN.

  2. Gerenciador de Rede Virtual do Azure: esse componente é a camada de gerenciamento que supervisiona toda a infraestrutura de rede no Azure. Ele lida com o roteamento, as políticas e a integridade geral da rede virtual.

  3. Rede virtual de hub: o hub é o ponto central da topologia de rede. A configuração de rede suporta IPv4 e IPv6 (pilha dupla).

    • O Bastião do Azure fornece conectividade segura e perfeita do Protocolo de Área de Trabalho Remota/Shell Seguro (RDP/SSH) do portal do Azure para as máquinas virtuais diretamente pelo TLS (Transport Layer Security).
    • O Firewall do Azure inspeciona e filtra o tráfego entre o hub e a Internet pública.
    • O ExpressRoute conecta a rede entre locais ao hub.
    • O Gateway de VPN também conecta a rede entre locais ao hub e fornece redundância.
    • Os serviços na rede virtual de hub enviam logs e métricas (diagnósticos) para o Azure Monitor para monitoramento.

  4. Redes virtuais faladas: há quatro raios conectados ao hub. Cada spoke é uma rede de pilha dupla, com suporte a IPv4 e IPv6.

    • As UDRs (rotas definidas pelo usuário) IPv6 definem rotas personalizadas para o tráfego IPv6 a partir do spoke.
    • As redes virtuais spoke são conectadas por meio de conexões de emparelhamento ou grupos conectados. As conexões de emparelhamento e os grupos conectados são conexões não transitivas e de baixa latência entre redes virtuais. As redes virtuais emparelhadas ou conectadas podem trocar tráfego pelo backbone do Azure.
    • Todo o tráfego de saída das redes virtuais spoke flui pelo hub, usando uma configuração no Firewall do Azure chamada túnel forçado.
    • Dentro de cada raio, há três sub-redes designadas como sub-redes de recursos, cada uma hospedando uma máquina virtual.
    • Cada máquina virtual se conecta a um balanceador de carga interno configurado para oferecer suporte a intervalos de endereços IPv4 e IPv6. O balanceador de carga distribui o tráfego de rede de entrada entre as máquinas virtuais.

Componentes

  • A Rede Virtual Azure é o bloco de construção fundamental das redes privadas no Azure. A Rede Virtual permite que muitos recursos do Azure, como as Máquinas Virtuais do Azure, se comuniquem com segurança entre si, redes entre locais e a Internet.
  • Uma interface de rede virtual é necessária para a comunicação entre máquinas virtuais. Você pode configurar máquinas virtuais e outros recursos para ter várias interfaces de rede, o que permite criar configurações de pilha dupla (IPv4 e IPv6).
  • Um endereço IP público é usado para conectividade IPv4 e IPv6 de entrada com recursos do Azure.
  • O Virtual Network Manager é usado para criar e gerenciar grupos de rede e suas conexões.
  • O Firewall do Azure é um serviço de segurança de rede gerenciado e baseado em nuvem. Ele protege seus recursos da Rede Virtual do Azure. Uma instância de firewall gerenciada do Firewall do Azure está em sua própria sub-rede.
  • O Gateway de VPN do Azure ou o Azure ExpressRoute pode ser usado para criar um gateway de rede virtual para conectar uma rede virtual a um dispositivo de VPN (rede virtual privada) ou a um circuito do ExpressRoute. O gateway fornece conectividade de rede entre locais.
  • O Balanceador de Carga do Azure é usado para habilitar vários computadores que têm a mesma finalidade para compartilhar tráfego. Nessa arquitetura, os balanceadores de carga distribuem o tráfego entre várias sub-redes que oferecem suporte a IPv6.
  • Uma tabela de rotas no Azure é um conjunto de UDRs que fornecem definições de caminho personalizadas para o tráfego de rede.
  • As Máquinas Virtuais do Azure são uma solução de computação IaaS (infraestrutura como serviço) que oferece suporte a IPv6.
  • O Azure Bastion é uma oferta de PaaS (plataforma como serviço) totalmente gerenciada que a Microsoft fornece e mantém. Ele fornece protocolo de área de trabalho remota seguro e contínuo e acesso SSH a máquinas virtuais sem exposição de endereço IP público.
  • O Azure Monitor é uma abrangente solução de monitoramento para coletar, analisar e responder à dados de monitoramento dos seus ambientes de nuvem e no local. Você pode usar o Monitor para maximizar a disponibilidade e o desempenho de seus aplicativos e serviços.

Fazer a transição de uma rede virtual de hub para IPv6

Para fazer a transição de uma rede virtual de hub para oferecer suporte a IPv6, você deve atualizar a infraestrutura de rede para acomodar intervalos de endereços IPv6, para que a parte central e controladora da rede possa lidar com o tráfego IPv6. Essa abordagem garante que o hub central possa rotear e gerenciar com eficiência o tráfego entre vários segmentos de rede (spokes) usando IPv6. Para implementar o IPv6 na rede virtual do hub, execute estas etapas:

Adicionar espaço de endereço IPv6 à rede virtual de hub e às sub-redes de hub

Você precisa adicionar intervalos de endereços IPv6 à rede virtual do hub primeiro e, em seguida, às suas sub-redes. Use o bloco de endereços /56 para a rede virtual e o bloco de endereços /64 para cada sub-rede. A tabela a seguir mostra um exemplo de configuração.

Intervalo de endereços de rede virtual de hub Intervalo de endereços de sub-rede de hub
Rede virtual de hub: 2001:db8:1234:0000::/56 Sub-rede do Azure Bastion: 2001:db8:1234:0000::/64
Sub-rede do Firewall do Azure: 2001:db8:1234:0001::/64
Sub-rede do Gateway de VPN: 2001:db8:1234:0002::/64
Sub-rede do ExpressRoute: 2001:db8:1234:0003::/64

Esses endereços IPv6 são exemplos. Você deve substituir 2001:db8:1234:: pelo bloco de endereços IPv6 da sua organização. Planeje e documente cuidadosamente suas alocações de endereços IPv6 para evitar sobreposições e garantir o uso eficiente do espaço de endereço. Para adicionar o espaço de endereço IPv6 à rede virtual de hub, você pode usar o portal do Azure, o PowerShell ou a CLI do Azure.

Configurar rotas definidas pelo usuário (UDRs) para cada sub-rede de hub

UDRs são rotas que você configura manualmente para substituir as rotas padrão do sistema do Azure. No Azure, os UDRs são essenciais para controlar o fluxo de tráfego de rede em uma rede virtual. Você pode usar UDRs para direcionar o tráfego de uma sub-rede para dispositivos, gateways ou destinos específicos no Azure ou para redes locais. Ao adicionar suporte a IPv6 à rede virtual do hub, você precisa:

  • Adicionar rotas IPv6. Se houver uma tabela de rotas estabelecida, adicione novas rotas que especifiquem os prefixos de endereço IPv6.
  • Modificar rotas existentes. Se já houver rotas para IPv4, talvez seja necessário modificá-las para garantir que elas também se apliquem ao tráfego IPv6 ou criar rotas específicas para IPv6 separadas.
  • Associar a tabela de rotas a sub-redes. Depois de definir as rotas, associar a tabela de rotas às sub-redes relevantes dentro da rede virtual. Essa associação determina quais sub-redes usam as rotas que você definiu.

Você não precisa adicionar uma rota para cada recurso, mas precisa de uma rota para cada sub-rede. Cada sub-rede pode ter vários recursos e todos eles seguem as regras definidas na tabela de rotas associada à sua sub-rede. Para obter mais informações, consulte Visão geral da definição de rota do usuário.

Para a arquitetura de exemplo, a rede virtual de hub tem quatro sub-redes: Azure Bastion, Firewall do Azure, Gateway de VPN e ExpressRoute. A tabela a seguir mostra UDRs de exemplo para cada sub-rede.

Sub-rede de hub Descrição Intervalo de endereços IPv6 Nome da rota Destino Próximo salto
Azure Bastion Rota para o firewall 2001:db8:1234:0000::/64 Rota da Internet ::/0 2001:db8:1234:0001::/64 (Firewall do Azure)
Firewall do Azure Rota padrão 2001:db8:1234:0001::/64 Rota da Internet ::/0 Gateway de Internet
Gateway de VPN Rota local 2001:db8:1234:0002::/64 Rota local 2001:db8:abcd::/56 Gateway de VPN
ExpressRoute Rota local 2001:db8:1234:0003::/64 Rota local 2001:db8:efgh::/56 ExpressRoute

Ao configurar seus UDRs, você deve alinhá-los com suas políticas de rede organizacional e a arquitetura de sua implantação do Azure.

Modificar o circuito de ExpressRoute (se aplicável)

Para fornecer suporte a IPv6 ao circuito do ExpressRoute, você precisa:

  • Habilitar o emparelhamento privado IPv6. Habilitar o emparelhamento privado IPv6 para o circuito do ExpressRoute. Essa configuração habilita o tráfego IPv6 entre sua rede local e a rede virtual de hub.
  • Alocar espaço de endereço IPv6. Fornecer sub-redes IPv6 para os links primários e secundários do ExpressRoute.
  • Atualizar tabelas de rotas:. Direcione o tráfego IPv6 adequadamente por meio do circuito do ExpressRoute.

Essas configurações estendem a conectividade IPv6 aos seus serviços do Azure por meio de um circuito do ExpressRoute, para que você possa rotear recursos de pilha dupla simultaneamente. Para modificar o ExpressRoute, você pode usar o portal do Azure, o PowerShell ou a CLI do Azure.

Transição de redes virtuais spoke para IPv6

As redes virtuais spoke são conectadas ao hub central. Quando você fornece as redes virtuais spoke com suporte a IPv6, cada rede spoke pode se comunicar por meio do protocolo IPv6 mais avançado e isso estende a uniformidade em toda a rede. Para fornecer às redes virtuais spoke suporte a IPv6, siga estas etapas:

Adicionar espaço de endereço IPv6 às redes virtuais spoke e sub-redes spoke

Como a rede virtual de hub, você deve adicionar intervalos de endereços IPv6 a cada rede virtual spoke e, em seguida, suas sub-redes. Usar o bloco de endereços /56 para redes virtuais e o bloco de endereços /64 para as sub-redes. A tabela a seguir fornece um exemplo de intervalos de endereços IPv6 para redes virtuais spoke e suas sub-redes.

Intervalo de endereços de rede virtual spoke Intervalo de endereços de sub-rede spoke
Rede virtual spoke 1: 2001:db8:1234:0100::/56 Sub-rede 1: 2001:db8:1234:0100::/64
Sub-rede 2: 2001:db8:1234:0101::/64
Sub-rede 3: 2001:db8:1234:0102::/64
Rede virtual spoke 2: 2001:db8:1234:0200::/56 Sub-rede 1: 2001:db8:1234:0200::/64
Sub-rede 2: 2001:db8:1234:0201::/64
Sub-rede 3: 2001:db8:1234:0202::/64
Rede virtual spoke 3: 2001:db8:1234:0300::/56 Sub-rede 1: 2001:db8:1234:0300::/64
Sub-rede 2: 2001:db8:1234:0301::/64
Sub-rede 3: 2001:db8:1234:0302::/64
Rede virtual spoke 4: 2001:db8:1234:0400::/56 Sub-rede 1: 2001:db8:1234:0400::/64
Sub-rede 2: 2001:db8:1234:0401::/64
Sub-rede 3: 2001:db8:1234:0402::/64

Para sua configuração, ajuste os endereços IPv6 de acordo com a alocação e as necessidades da sua organização.

Modificar recursos de rede virtual spoke

Cada rede virtual spoke contém várias máquinas virtuais e um balanceador de carga interno. O balanceador de carga interno permite rotear o tráfego IPv4 e IPv6 para as máquinas virtuais. Você deve modificar as máquinas virtuais e os balanceadores de carga internos para que eles ofereçam suporte a IPv6.

Para cada máquina virtual, você deve criar uma interface de rede IPv6 e associá-la à máquina virtual para adicionar suporte a IPv6. Para obter mais informações, consulte Adicionar configuração IPv6 a uma máquina virtual.

Se não houver um balanceador de carga interno em cada rede virtual spoke, você deverá criar um balanceador de carga interno de pilha dupla. Para obter mais informações, consulte Criar um balanceador de carga interno de pilha dupla. Se houver um balanceador de carga interno, você poderá usar o PowerShell ou a CLI do Azure para adicionar suporte a IPv6.

Configurar rotas definidas pelo usuário (UDRs) para cada sub-rede spoke

Para configurar UDRs, as redes virtuais spoke usam a mesma configuração que as redes virtuais de hub Ao adicionar suporte IPv6 a uma rede virtual spoke, você precisa:

  • Adicionar rotas IPv6. Se houver uma tabela de rotas estabelecida, adicione novas rotas que especifiquem os prefixos de endereço IPv6.

  • Modificar rotas existentes. Se já houver rotas para IPv4, talvez seja necessário modificá-las para garantir que elas também se apliquem ao tráfego IPv6 ou criar rotas específicas para IPv6 separadas.

  • Associar a tabela de rotas a sub-redes. Depois de definir as rotas, associar a tabela de rotas às sub-redes relevantes dentro da rede virtual. Essa associação determina quais sub-redes usam as rotas que você definiu.

A tabela a seguir mostra UDRs de exemplo para cada sub-rede em uma rede virtual de spoke.

Sub-rede Spoke Descrição Intervalo de endereços IPv6 Nome da rota Destino Próximo salto
Sub-rede 1 Rota para o firewall 2001:db8:1234:0100::/64 Rota da Internet ::/0 2001:db8:1234:0001::/64 (Firewall do Azure)
Sub-rede 2 Rota para o Gateway de VPN 2001:db8:1234:0101::/64 Rota VPN 2001:db8:abcd::/64 2001:db8:1234:0002::/64 (Gateway de VPN)
Sub-rede 3 Rota para ExpressRoute 2001:db8:1234:0102::/64 Rota do ExpressRoute 2001:db8:5678::/64 2001:db8:1234:0003::/64 (ExpressRoute)

Para sua configuração, você deve alinhar os UDRs com suas políticas de rede organizacional e a arquitetura de sua implantação do Azure.

Colaboradores

A Microsoft mantém este artigo. Os colaboradores a seguir escreveram originalmente o artigo.

Autor principal:

  • Werner Rall | Engenheiro Arquiteto de Soluções em Nuvem Sênior

Outros colaboradores:

Para ver perfis não públicos no LinkedIn, entre no LinkedIn.

Próximas etapas