Editar

Topologia de rede hub-spoke no Azure

Azure Bastion
Firewall do Azure
Observador de Rede do Azure
Rede Virtual do Azure
Gateway de VPN do Azure

Essa arquitetura de referência implementa um padrão de rede hub-spoke com componentes de infraestrutura de hub gerenciados pelo cliente. Para obter uma solução de infraestrutura de hub gerenciada pela Microsoft, consulte Topologia de rede Hub-spoke com WAN Virtual do Azure.

Arquitetura

Diagrama que mostra uma topologia de rede virtual hub-spoke no Azure com redes spoke conectadas por meio do hub ou diretamente.

Baixe um Arquivo Visio dessa arquitetura.

Workflow

Essa configuração de rede hub-spoke usa os seguintes elementos de arquitetura:

  • Rede virtual hub. A rede virtual de hub hospeda serviços compartilhados do Azure. As cargas de trabalho hospedadas nas redes virtuais spoke podem usar esses serviços. A rede virtual de hub é o ponto central de conectividade para redes entre locais.

  • Redes virtuais spoke. As redes virtuais spoke isolam e gerenciam cargas de trabalho separadamente em cada raio. Cada carga de trabalho pode incluir várias camadas, com várias sub-redes conectadas por meio de balanceadores de carga do Azure. Os raios podem existir em diferentes assinaturas e representar diferentes ambientes, como Produção e Não Produção.

  • Conectividade da rede virtual. Essa arquitetura conecta redes virtuais usando conexões de emparelhamento ou grupos conectados. Conexões de emparelhamento e grupos conectados são conexões não transitivas e de baixa latência entre redes virtuais. Redes virtuais emparelhadas ou conectadas podem trocar tráfego pelo backbone do Azure sem precisar de um roteador. O Gerenciador de Rede Virtual do Azure cria e gerencia grupos de rede e suas conexões.

  • Host do Bastião do Azure. O Bastião do Azure fornece conectividade segura do portal do Azure para máquinas virtuais (VMs) usando seu navegador. Um host do Bastião do Azure implantado dentro de uma rede virtual do Azure pode acessar VMs nessa rede virtual ou em redes virtuais conectadas.

  • Firewall do Azure. Existe uma instância de firewall gerenciada do Firewall do Azure em sua própria sub-rede.

  • Gateway de VPN do Azure ou gateway do Azure ExpressRoute. Um gateway de rede virtual permite que uma rede virtual se conecte a um dispositivo de rede virtual privada (VPN) ou a um circuito da Rota Expressa do Azure. O gateway fornece conectividade de rede entre locais. Para obter mais informações, consulte Conectar uma rede local a uma rede virtual do Microsoft Azure e Estender uma rede local usando VPN.

  • Dispositivo VPN. Um dispositivo ou serviço VPN fornece conectividade externa à rede entre locais. O dispositivo VPN pode ser um dispositivo de hardware ou uma solução de software, como o RRAS (Serviço de Roteamento e Acesso Remoto) no Windows Server. Para obter mais informações, consulte Dispositivos VPN validados e guias de configuração de dispositivos.

Componentes

  • O Virtual Network Manager é um serviço de gerenciamento que ajuda você a agrupar, configurar, implantar e gerenciar redes virtuais em escala entre assinaturas, regiões e locatários do Azure. Com o Virtual Network Manager, você pode definir grupos de redes virtuais para identificar e segmentar logicamente suas redes virtuais. Você pode definir e aplicar configurações de conectividade e segurança em todas as redes virtuais em um grupo de rede de uma só vez.

  • A Rede Virtual Azure é o bloco de construção fundamental das redes privadas no Azure. A rede virtual permite que vários recursos do Azure, como as Máquinas Virtuais do Azure, se comuniquem de maneira segura entre si, entre redes locais e com a Internet.

  • O Azure Bastion é um serviço totalmente gerenciado que fornece acesso mais seguro e contínuo ao protocolo RDP (Remote Desktop Protocol) e SSH (Secure Shell Protocol) às VMs sem expor seus endereços IP públicos.

  • O Firewall do Azure é um serviço de segurança de rede gerenciado baseado em nuvem que protege os recursos da Rede Virtual. Esse serviço de firewall com monitoração de estado tem alta disponibilidade interna e escalabilidade irrestrita na nuvem para ajudá-lo a criar, aplicar e registrar políticas de conectividade de aplicativos e redes virtuais em assinaturas e redes virtuais.

  • O Gateway VPN é um tipo específico de gateway de rede virtual que envia tráfego criptografado entre uma rede virtual e um local local pela Internet pública. Também é possível usar um Gateway de VPN para enviar tráfego criptografado entre as redes virtuais do Azure pela rede da Microsoft.

  • O Azure Monitor pode coletar, analisar e agir em dados de telemetria de ambientes entre locais, incluindo o Azure e local. O Azure Monitor ajuda você a maximizar o desempenho e a disponibilidade de seus aplicativos e a identificar problemas de forma proativa em segundos.

Detalhes do cenário

Essa arquitetura de referência implementa um padrão de rede hub-spoke onde a rede virtual hub atua como um ponto central de conectividade com muitas redes virtuais spoke. As redes virtuais spoke se conectam ao hub e podem ser usadas para isolar cargas de trabalho. Você também pode habilitar cenários entre locais usando o hub para se conectar a redes locais.

Essa arquitetura descreve um padrão de rede com componentes de infraestrutura de hub gerenciados pelo cliente. Para obter uma solução de infraestrutura de hub gerenciada pela Microsoft, consulte Topologia de rede Hub-spoke com WAN Virtual do Azure.

Os benefícios de usar uma configuração de hub e spoke incluem:

  • Economia de custos
  • Superando os limites de assinatura
  • Isolamento de carga de trabalho

Para obter mais informações, consulte Topologia de rede Hub-and-spoke.

Possíveis casos de uso

Os usos típicos de uma arquitetura de hub e spoke incluem cargas de trabalho que:

  • Possuem vários ambientes que exigem serviços compartilhados. Por exemplo, uma carga de trabalho pode ter ambientes de desenvolvimento, teste e produção. Os serviços compartilhados podem incluir IDs DNS, NTP (Network Time Protocol) ou AD DS (Serviços de Domínio Active Directory). Os serviços compartilhados são colocados na rede virtual do hub e cada ambiente é implantado em um spoke diferente para manter o isolamento.
  • Não exigem conectividade entre si, mas exigem acesso a serviços compartilhados.
  • Exigir controle central sobre a segurança, como um firewall de rede de perímetro (também conhecido como DMZ) no hub com gerenciamento de carga de trabalho segregado em cada raio.
  • Exigir controle central sobre a conectividade, como conectividade seletiva ou isolamento entre raios de determinados ambientes ou cargas de trabalho.

Recomendações

As recomendações a seguir aplicam-se à maioria dos cenários. Siga estas recomendações, a menos que você tenha requisitos específicos que as substituam.

Grupos de recursos, assinaturas e regiões

Esta solução de exemplo usa um único grupo de recursos do Azure. Você também pode implementar o hub e cada um falou em diferentes grupos de recursos e assinaturas.

Ao emparelhar redes virtuais em assinaturas diferentes, você pode associar as assinaturas aos mesmos locatários do Microsoft Entra ou a diferentes locatários. Essa flexibilidade permite o gerenciamento descentralizado de cada carga de trabalho, mantendo serviços compartilhados no hub. Consulte Criar um emparelhamento de rede virtual - Gerenciador de Recursos, assinaturas diferentes e locatários do Microsoft Entra.

Como regra geral, é melhor ter pelo menos um hub por região. Essa configuração ajuda a evitar um único ponto de falha, por exemplo, para evitar que os recursos da Região A sejam afetados no nível da rede por uma interrupção na Região B.

Sub-redes da rede virtual

As recomendações a seguir descrevem como configurar as sub-redes na rede virtual.

GatewaySubnet

O gateway de rede virtual requer essa sub-rede. Você também pode usar uma topologia hub-spoke sem um gateway se não precisar de conectividade de rede entre locais.

Crie uma sub-rede chamada GatewaySubnet com um intervalo de endereços de pelo menos /27. O /27 intervalo de endereços fornece à sub-rede opções de configuração de escalabilidade suficientes para evitar atingir as limitações de tamanho do gateway no futuro. Para obter mais informações sobre como configurar o gateway, consulte as seguintes arquiteturas de referência, dependendo do seu tipo de conexão:

Para maior disponibilidade, você pode usar o ExpressRoute e uma VPN para failover. Consulte Conectar uma rede local ao Azure usando o ExpressRoute com failover de VPN.

AzureFirewallSubnet

Crie uma sub-rede chamada AzureFirewallSubnet com um intervalo de endereços de pelo menos /26. Independentemente da escala, o /26 intervalo de endereços é o tamanho recomendado e cobre quaisquer limitações de tamanho futuras. Essa sub-rede não oferece suporte a NSGs (grupos de segurança de rede).

O Firewall do Azure requer essa sub-rede. Se você usar um dispositivo virtual de rede de parceiro (NVA), siga seus requisitos de rede.

Conectividade de rede Spoke

Emparelhamento de rede virtual ou grupos conectados são relações não transitivas entre redes virtuais. Se você precisar de redes virtuais spoke para se conectar umas às outras, adicione uma conexão de emparelhamento entre esses raios ou coloque-os no mesmo grupo de rede.

Conexões spoke por meio do Firewall do Azure ou NVA

O número de emparelhamentos de rede virtual por rede virtual é limitado. Se você tiver muitos raios que precisam se conectar uns com os outros, você pode ficar sem conexões de emparelhamento. Grupos conectados também têm limitações. Para obter mais informações, consulte Limites de rede e Limites de grupos conectados.

Nesse cenário, considere o uso de rotas definidas pelo usuário (UDRs) para forçar o tráfego spoke a ser enviado para o Firewall do Azure ou outro NVA que atue como um roteador no hub. Essa alteração permite que os raios se conectem uns aos outros. Para dar suporte a essa configuração, você deve implementar o Firewall do Azure com a configuração de túnel forçada habilitada. Para obter mais informações, confira Túnel forçado do Firewall do Azure.

A topologia neste projeto arquitetônico facilita os fluxos de saída. Embora o Firewall do Azure seja principalmente para segurança de saída, ele também pode ser um ponto de entrada. Para obter mais considerações sobre o roteamento de entrada NVA de hub, consulte Firewall e gateway de aplicativo para redes virtuais.

Conexões spoke para redes remotas por meio de um gateway de hub

Para configurar raios para se comunicar com redes remotas por meio de um gateway de hub, você pode usar emparelhamentos de rede virtual ou grupos de rede conectados.

Para usar emparelhamentos de rede virtual, na configuração Emparelhamento de rede virtual:

  • Configure a conexão de emparelhamento no hub para Permitir o trânsito do gateway.
  • Configure a conexão de emparelhamento em cada spoke para Usar o gateway da rede virtual remota.
  • Configure todas as conexões de emparelhamento para Permitir tráfego encaminhado.

Para obter mais informações, consulte Criar um emparelhamento de rede virtual.

Para usar grupos de rede conectados:

  1. No Virtual Network Manager, crie um grupo de rede e adicione redes virtuais de membro.
  2. Crie uma configuração de conectividade de hub e spoke.
  3. Para os grupos de rede Spoke , selecione Hub como gateway.

Para obter mais informações, consulte Criar uma topologia de hub e spoke com o Gerenciador de Rede Virtual do Azure.

Comunicações de rede spoke

Existem duas maneiras principais de permitir que as redes virtuais faladas se comuniquem entre si:

  • Comunicação através de um NVA como um firewall e roteador. Este método incorre em um salto entre os dois raios.
  • Comunicação usando emparelhamento de rede virtual ou conectividade direta do Virtual Network Manager entre raios. Essa abordagem não causa um salto entre os dois raios e é recomendada para minimizar a latência.

Comunicação através de um NVA

Se você precisar de conectividade entre raios, considere implantar o Firewall do Azure ou outro NVA no hub. Em seguida, crie rotas para encaminhar o tráfego de um spoke para o firewall ou NVA, que pode então rotear para o segundo spoke. Nesse cenário, você precisa configurar todas as conexões de emparelhamento para permitir tráfego encaminhado.

Diagrama que mostra o roteamento entre raios usando o Firewall do Azure

Você também pode usar um gateway VPN para rotear o tráfego entre raios, embora essa opção afete a latência e a taxa de transferência. Para obter detalhes de configuração, consulte Configurar o trânsito do gateway VPN para emparelhamento de rede virtual.

Avalie os serviços que você compartilha no hub para garantir que o hub seja dimensionado para um número maior de raios. Por exemplo, se o hub fornecer serviços de firewall, considere os limites de largura de banda da solução de firewall ao adicionar vários raios. Você pode mover alguns desses serviços compartilhados para um segundo nível de hubs.

Comunicação direta entre redes spoke

Para se conectar diretamente entre redes virtuais spoke sem atravessar a rede virtual de hub, você pode criar conexões de emparelhamento entre raios ou habilitar a conectividade direta para o grupo de rede. É melhor limitar o emparelhamento ou a conectividade direta a redes virtuais spoke que fazem parte do mesmo ambiente e carga de trabalho.

Ao usar o Virtual Network Manager, você pode adicionar redes virtuais spoke a grupos de rede manualmente ou adicionar redes automaticamente com base nas condições definidas. Para obter mais informações, consulte Rede de fala para spoke.

O diagrama a seguir ilustra o uso do Virtual Network Manager para conectividade direta entre raios.

Diagrama que mostra o uso do Virtual Network Manager para conectividade direta entre raios.

Recomendações de gerenciamento

Para gerenciar centralmente os controles de conectividade e segurança, use o Virtual Network Manager para criar novas topologias de rede virtual de hub e spoke ou integrar topologias existentes. O uso do Virtual Network Manager garante que suas topologias de rede hub e spoke estejam preparadas para um crescimento futuro em grande escala em várias assinaturas, grupos de gerenciamento e regiões.

Exemplos de cenários de caso de uso do Virtual Network Manager incluem:

  • Democratização do gerenciamento de redes virtuais para grupos como unidades de negócios ou equipes de aplicativos. A democratização pode resultar em um grande número de requisitos de conectividade de rede virtual para rede virtual e regras de segurança de rede.
  • Padronização de várias arquiteturas de réplica em várias regiões do Azure para garantir uma pegada global para aplicativos.

Para garantir regras uniformes de conectividade e segurança de rede, você pode usar grupos de rede para agrupar redes virtuais em qualquer assinatura, grupo de gerenciamento ou região sob o mesmo locatário do Microsoft Entra. Você pode integrar automaticamente ou manualmente redes virtuais a grupos de rede por meio de atribuições de associação dinâmicas ou estáticas.

Você define a capacidade de descoberta das redes virtuais que o Virtual Network Manager gerencia usando escopos. Esse recurso fornece flexibilidade para um número desejado de instâncias do gerenciador de rede, o que permite uma maior democratização do gerenciamento para grupos de rede virtual.

Para conectar redes virtuais spoke no mesmo grupo de rede entre si, use o Virtual Network Manager para implementar o emparelhamento de rede virtual ou a conectividade direta. Use a opção de malha global para estender a conectividade direta de malha para redes spoke em diferentes regiões. O diagrama a seguir mostra a conectividade de malha global entre regiões.

Diagrama mostrando a conectividade direta de malha global sobre regiões.

Você pode associar redes virtuais dentro de um grupo de rede a um conjunto de regras de administração de segurança de linha de base. As regras de administração de segurança de grupo de rede impedem que os proprietários de redes virtuais substituam as regras de segurança de linha de base, ao mesmo tempo em que permitem que eles adicionem independentemente seus próprios conjuntos de regras de segurança e NSGs. Para obter um exemplo de uso de regras de administração de segurança em topologias de hub e spoke, consulte Tutorial: Criar uma rede segura de hub e spoke.

Para facilitar uma distribuição controlada de grupos de rede, conectividade e regras de segurança, as implantações de configuração do Virtual Network Manager ajudam você a liberar com segurança alterações de configuração potencialmente quebrantes em ambientes de hub e spoke. Para obter mais informações, consulte Implantações de configuração no Gerenciador de Rede Virtual do Azure.

Para começar a usar o Virtual Network Manager, consulte Criar uma topologia de hub e spoke com o Gerenciador de Rede Virtual do Azure.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios de orientação que podem ser usados para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.

Segurança

A segurança fornece garantias contra ataques deliberados e o abuso de seus dados e sistemas valiosos. Para saber mais, confira Visão geral do pilar de segurança.

Para garantir um conjunto de regras de segurança de linha de base, associe as regras de administração de segurança a redes virtuais em grupos de rede. As regras de administração de segurança têm precedência e são avaliadas antes das regras NSG. Assim como as regras NSG, as regras de administração de segurança oferecem suporte à priorização, às tags de serviço e aos protocolos L3-L4. Para obter mais informações, consulte Regras de administração de segurança no Virtual Network Manager.

Use implantações do Virtual Network Manager para facilitar a implantação controlada de alterações potencialmente violadoras nas regras de segurança do grupo de rede.

A Proteção contra DDoS do Azure, combinada com as práticas recomendadas de design de aplicativos, fornece recursos aprimorados de mitigação de DDoS para fornecer mais defesa contra ataques de DDoS. Você deve habilitar a Proteção contra DDOS do Azure em qualquer rede virtual do perímetro.

Otimização de custo

A otimização de custos trata de maneiras de reduzir gastos desnecessários e melhorar a eficiência operacional. Para obter mais informações, confira Visão geral do pilar de otimização de custo.

Considere os seguintes fatores relacionados a custos ao implantar e gerenciar redes de hub e spoke. Para saber mais, confira Preços de rede virtual.

Custos do Firewall do Azure

Essa arquitetura implanta uma instância do Firewall do Azure na rede de hub. Usar uma implantação do Firewall do Azure como uma solução compartilhada consumida por várias cargas de trabalho pode economizar significativamente os custos de nuvem em comparação com outros NVAs. Para obter mais informações, consulte Firewall do Azure versus dispositivos virtuais de rede.

Para usar todos os recursos implantados com eficiência, escolha o tamanho correto do Firewall do Azure. Decida quais recursos você precisa e qual camada melhor se adapta ao seu conjunto atual de cargas de trabalho. Para saber mais sobre os SKUs do Firewall do Azure disponíveis, consulte O que é o Firewall do Azure?

Custos de endereço IP privado

Você pode usar endereços IP privados para rotear o tráfego entre redes virtuais emparelhadas ou entre redes em grupos conectados. Aplicam-se as seguintes considerações de custo:

  • O tráfego de entrada e saída é cobrado em ambas as extremidades das redes emparelhadas ou conectadas. Por exemplo, a transferência de dados de uma rede virtual na zona 1 para outra rede virtual na zona 2 incorre em uma taxa de transferência de saída para a zona 1 e uma taxa de entrada para a zona 2.
  • Zonas diferentes têm taxas de transferência diferentes.

Planeje o endereçamento IP com base em seus requisitos de emparelhamento e verifique se o espaço de endereço não se sobrepõe entre locais entre locais e locais do Azure.

Excelência operacional

A excelência operacional abrange os processos de operações que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, confira Visão geral do pilar de excelência operacional.

Use o Inspetor de Rede do Azure para monitorar e solucionar problemas de componentes de rede com as seguintes ferramentas:

  • A Análise de Tráfego mostra os sistemas em suas redes virtuais que geram mais tráfego. Você pode identificar visualmente gargalos antes que eles se tornem problemas.
  • O Monitor de Desempenho de Rede monitora informações sobre circuitos de Rota Expressa.
  • O diagnóstico de VPN ajuda a solucionar problemas de conexões VPN site a site que conectam seus aplicativos a usuários locais.

Considere também habilitar o log de diagnóstico do Firewall do Azure para obter melhores insights sobre as solicitações DNS e os resultados de permitir/negar nos logs.

Implantar este cenário

Essa implantação inclui uma rede virtual de hub e dois raios conectados, além de implantar uma instância do Firewall do Azure e um host do Bastião do Azure. Opcionalmente, a implantação pode incluir VMs na primeira rede spoke e um gateway VPN.

Você pode escolher entre emparelhamento de rede virtual ou grupos conectados do Virtual Network Manager para criar as conexões de rede. Cada método tem várias opções de implantação.

Usar emparelhamento de rede virtual

  1. Execute o comando a seguir para criar um grupo de recursos nomeado hub-spoke na eastus região para a implantação. Selecione Experimentar para usar um shell incorporado.

    az group create --name hub-spoke --location eastus

  2. Execute o seguinte comando para baixar o modelo Bicep.

    curl https://raw.githubusercontent.com/mspnp/samples/main/solutions/azure-hub-spoke/bicep/main.bicep > main.bicep

  3. Execute o comando a seguir para implantar a configuração de rede hub e spoke, emparelhamentos de rede virtual entre o hub e os raios e um host do Bastião do Azure. Quando solicitado, digite o nome de usuário e a senha. Você pode usar esse nome de usuário e senha para acessar VMs nas redes de spoke.

    az deployment group create --resource-group hub-spoke --template-file main.bicep

Para obter informações detalhadas e opções de implantação extras, consulte os modelos Hub and Spoke ARM e Bicep que implantam esta solução.

Usar grupos conectados do Virtual Network Manager

  1. Execute o comando a seguir para criar um grupo de recursos para a implantação. Selecione Experimentar para usar um shell incorporado.

    az group create --name hub-spoke --location eastus

  2. Execute o seguinte comando para baixar o modelo Bicep.

    curl https://raw.githubusercontent.com/mspnp/samples/main/solutions/azure-hub-spoke-connected-group/bicep/main.bicep > main.bicep

  3. Execute os seguintes comandos para baixar todos os módulos necessários para um novo diretório.

    mkdir modules

curl https://raw.githubusercontent.com/mspnp/samples/main/solutions/azure-hub-spoke-connected-group/bicep/modules/avnm.bicep > modules/avnm.bicep
curl https://raw.githubusercontent.com/mspnp/samples/main/solutions/azure-hub-spoke-connected-group/bicep/modules/avnmDeploymentScript.bicep > modules/avnmDeploymentScript.bicep
curl https://raw.githubusercontent.com/mspnp/samples/main/solutions/azure-hub-spoke-connected-group/bicep/modules/hub.bicep > modules/hub.bicep
curl https://raw.githubusercontent.com/mspnp/samples/main/solutions/azure-hub-spoke-connected-group/bicep/modules/spoke.bicep > modules/spoke.bicep

  4. Execute o comando a seguir para implantar a configuração de rede hub e spoke, conexões de rede virtual entre o hub e os raios e um host Bastion. Quando solicitado, digite o nome de usuário e a senha. Você pode usar esse nome de usuário e senha para acessar VMs nas redes de spoke.

    az deployment group create --resource-group hub-spoke --template-file main.bicep

Para obter informações detalhadas e opções de implantação extras, consulte os modelos Hub and Spoke ARM e Bicep que implantam esta solução.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Autor principal:

Alejandra Palacios - Brasil | Engenheiro de Clientes Sênior

Outros colaboradores:

Para ver perfis não públicos do LinkedIn, entre no LinkedIn.

Próximas etapas

  • Para saber mais sobre hubs virtuais seguros e as políticas de segurança e roteamento associadas que o Gerenciador de Firewall do Azure configura, consulte O que é um hub virtual seguro?

  • O hub em uma topologia de rede hub-spoke é o componente principal de uma assinatura de conectividade em uma zona de aterrissagem do Azure. Para obter mais informações sobre como criar redes de grande escala no Azure com roteamento e segurança gerenciados pelo cliente ou pela Microsoft, consulte Definir uma topologia de rede do Azure.

Explore as seguintes arquiteturas relacionadas: