Compartilhar via

Configurar a integração de rede virtual exigida pelo gateway

Importante

A integração de rede virtual que requer gateway será desativada em 31 de março de 2027. Para obter mais informações, consulte o comunicado de desativação e migre de SSTP para IKEv2 ou OpenVPN. Recomendamos migrar para a integração de rede virtual regional, que mitiga as limitações das integrações de rede virtual que exigem gateway.

A integração de rede virtual necessária pelo gateway oferece suporte à conexão a uma rede virtual em outra região ou a uma rede virtual clássica. A integração de rede virtual necessária pelo gateway só funciona para planos do Windows. Recomendamos usar integração de rede virtual regional para integrar com redes virtuais.

Integração de rede virtual necessária pelo gateway:

  • Permite que um aplicativo se conecte a apenas uma rede virtual por vez.
  • Permite a integração de até cinco redes virtuais em um Plano do Serviço de Aplicativo.
  • Permite que a mesma rede virtual seja usada por vários aplicativos em um plano do Serviço de Aplicativo sem afetar o número total que pode ser usado por um plano do Serviço de Aplicativo. Se você tiver seis aplicativos usando a mesma rede virtual no mesmo plano do Serviço de Aplicativo, isso contará como uso de uma rede virtual.
  • O SLA no gateway pode afetar o SLA geral.
  • Permite que seus aplicativos usem o DNS com o qual a rede virtual está configurada.
  • Requer um gateway baseado em rota de rede virtual configurado com uma VPN ponto a site SSTP antes que possa ser conectado a um aplicativo.

Você não pode usar a integração de rede virtual exigida por gateway:

  • Com uma rede virtual conectada com o ExpressRoute.
  • De um aplicativo Linux.
  • De um contêiner windows.
  • Para acessar recursos protegidos pelo ponto de extremidade do serviço.
  • Para resolver as Configurações de Aplicativo que fazem referência a um Cofre de Chaves protegido pela rede.
  • Com um gateway de coexistência que suporta tanto o ExpressRoute quanto VPNs ponto a site ou site a site.

A integração de redes virtuais regionais atenua as limitações mencionadas acima.

Configurar um gateway na sua rede virtual do Azure

Para criar um gateway:

  1. Crie o gateway de VPN e a sub-rede. Selecione um tipo de VPN baseado em rota.

  2. Defina os endereços de ponto a site. Se o gateway não estiver no SKU básico, o IKEV2 deverá ser desabilitado na configuração ponto-a-site e o SSTP deverá ser selecionado. O espaço de endereço ponto-a-site deve estar nos blocos de endereço RFC 1.918 10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16.

Se você criar o gateway para uso com a integração de rede virtual necessária do gateway, não precisará carregar um certificado. A criação do gateway pode levar 30 minutos. Você não poderá integrar seu aplicativo à rede virtual até que o gateway seja criado.

Como a integração de rede virtual exigida por gateway funciona

O recurso de integração de rede virtual exigida por gateway se baseia na tecnologia de VPN ponto a site. VPNs ponto a site limitam o acesso da rede à máquina virtual que hospeda o aplicativo. Os aplicativos são restritos apenas ao envio de tráfego para a Internet por meio de conexões híbridas ou da integração de rede virtual. Quando seu aplicativo é configurado com o portal para usar a integração de rede virtual exigida por gateway, uma negociação complexa é gerenciada em seu nome para criar e atribuir certificados no gateway e no lado do aplicativo. O resultado é que os trabalhadores usados ​​para hospedar seus aplicativos podem se conectar diretamente ao gateway de rede virtual na rede virtual selecionada.

Diagrama que mostra como funciona a integração de rede virtual necessária ao gateway.

Acessar recursos locais

Aplicativos podem acessar recursos locais ao integrarem-se com redes virtuais que têm conexões site a site. Se você usar a integração de rede virtual exigida por gateway, atualize as rotas de gateway de VPN locais com os blocos de endereços ponto a site. Quando a VPN de site para site é configurada pela primeira vez, os scripts usados ​​para configurá-la devem configurar as rotas corretamente. Se você adicionar os endereços ponto a site depois de criar sua VPN site a site, precisará atualizar as rotas manualmente. Os detalhes sobre como fazer isso variam de acordo com o gateway e não são descritos aqui.

As rotas BGP locais não serão propagadas automaticamente para o Serviço de Aplicativo. Você precisa propagá-los manualmente na configuração ponto a site usando as etapas nesse documento Anunciar rotas personalizadas para clientes VPN P2S.

Observação

O recurso de integração de rede virtual exigido pelo gateway não integra um aplicativo a uma rede virtual que tenha um gateway ExpressRoute. Mesmo se o Gateway do ExpressRoute estiver configurado no modo de coexistência, a Integração com a rede virtual não funcionará. Caso precise acessar recursos por meio de uma conexão do ExpressRoute, use o recurso de integração de rede virtual regional ou um Ambiente do Serviço de Aplicativo, que é executado na sua rede virtual.

Emparelhamento

Se você usar a integração de rede virtual exigida pelo gateway com emparelhamento, precisará configurar mais alguns itens. Para configurar o emparelhamento para funcionar com seu aplicativo:

  1. Adicione que uma conexão de emparelhamento na rede virtual à qual o aplicativo se conecta. Ao adicionar a conexão de emparelhamento, habilite Permitir acesso à rede virtual e selecione Permitir tráfego encaminhado e Permitir trânsito de gateway.
  2. Adicione uma conexão de emparelhamento na rede virtual que está sendo conectada à rede virtual à qual você está conectado. Ao adicionar a conexão de emparelhamento à rede virtual de destino, habilite Permitir acesso à rede virtual e selecione Permitir tráfego encaminhado e Permitir gateways remotos.
  3. Acesse a interface do usuário Plano do Serviço de Aplicativo>Rede>Integração de rede virtual no portal. Selecione a rede virtual à qual seu aplicativo se conecta. Na seção de roteamento, adicione o intervalo de endereços da rede virtual que está emparelhada com a rede virtual à qual o aplicativo está conectado.

Gerenciar a integração de rede virtual

A conexão e a desconexão com uma rede virtual estão no nível do aplicativo. As operações que podem afetar a integração da rede virtual em vários aplicativos estão no nível do Plano do Serviço de Aplicativo. No portal do aplicativo >Rede>Integração de VNet, veja os detalhes da sua rede virtual. Você pode ver informações semelhantes no nível do plano do App Service no portal de integração Plano do Serviço de Aplicativo>Rede>VNet.

A única operação que você pode executar na exibição de aplicativo da instância da integração de rede virtual é desconectar seu aplicativo da rede virtual à qual ele está atualmente conectado. Para desconectar o aplicativo de uma rede virtual, selecione Desconectar. Seu aplicativo é reiniciado quando você se desconecta de uma rede virtual. Desconectar-se não altera a rede virtual. A sub-rede ou gateway não é removido. Caso deseje excluir sua rede virtual, primeiro desconecte seu aplicativo da rede virtual e exclua os recursos dele, como os gateways.

A interface do usuário da integração de rede virtual do Plano do Serviço de Aplicativo mostra todas as integrações de rede virtual usadas pelos aplicativos no Plano do Serviço de Aplicativo. Para ver detalhes sobre cada rede virtual, selecione aquela em que você está interessado. Há duas ações que você pode executar aqui para integração de rede virtual necessária ao gateway:

  • Rede de sincronização: a operação de sincronização de rede é usada somente para o recurso de integração de rede virtual exigida por gateway. Realizar uma operação de sincronização de rede garante que seus certificados e informações de rede estejam sincronizados. Se você adicionar ou alterar o DNS da sua rede virtual, execute uma operação de sincronização de rede. Essa operação reinicia todos os aplicativos que usam essa rede virtual. Essa operação não funcionará se você estiver usando um aplicativo e uma rede virtual pertencentes a assinaturas diferentes.
  • Adicionar rotas: a adição de rotas orientará o tráfego de saída em sua rede virtual.

O IP privado atribuído à instância é exposto por meio da variável de ambiente WEBSITE_PRIVATE_IP. A interface do console do Kudu também mostra a lista de variáveis ​​de ambiente disponíveis para o aplicativo web. Esse IP é um IP do intervalo de endereços do pool de endereços ponto a site configurado no gateway de rede virtual. Esse IP será usado pelo aplicativo web para se conectar aos recursos por meio da rede virtual do Azure.

Observação

OO valor de WEBSITE_PRIVATE_IP certamente mudará. No entanto, será um IP dentro do intervalo de endereços ponto-a-site, então você precisa permitir o acesso de todo o intervalo de endereços.

Roteamento de integração de rede virtual necessário para gateway

As rotas definidas em sua rede virtual são usadas para direcionar o tráfego do aplicativo para a sua rede virtual. Para enviar mais tráfego de saída para a rede virtual, adicione esses blocos de endereço aqui. Esse recurso só funciona com integração de rede virtual exigida pelo gateway. As tabelas de rotas não afetam o tráfego do seu aplicativo quando você usa a integração de rede virtual necessária ao gateway.

Certificados de integração de rede virtual exigidos pelo gateway

Quando a integração de rede virtual exigida por gateway está habilitada, há uma troca de certificados necessária para garantir a segurança da conexão. Junto com os certificados estão a configuração de DNS, rotas e outras coisas semelhantes que descrevem a rede.

Se os certificados ou informações de rede forem alterados, selecione Sincronizar rede. Ao selecionar Sincronizar Rede, você causa uma breve interrupção na conectividade entre o aplicativo e a rede virtual. Seu aplicativo não será reiniciado, mas a perda de conectividade pode fazer com que seu site não funcione corretamente.

Renovação de certificado

O certificado usado pela integração de rede virtual necessária ao gateway tem uma vida útil de oito anos. Se você tiver aplicativos com integrações de rede virtual que exigem gateway e permanecem ativas por mais tempo, será necessário renovar o certificado. Você pode validar se o certificado expirou ou se tem menos de seis meses para expirar visitando a página integração VNet no portal do Azure.

Captura de tela que mostra um certificado de integração de rede virtual necessário para o gateway que está quase expirando.

Você pode renovar seu certificado quando o portal mostrar que ele está próximo do vencimento ou expirado. Para renovar o certificado, você precisa desconectar e reconectar a rede virtual. A reconexão causa uma breve interrupção na conectividade entre seu aplicativo e sua rede virtual. Seu aplicativo não será reiniciado, mas a perda de conectividade pode fazer com que seu site não funcione corretamente.

Detalhes de preços

Três cobranças estão relacionadas ao uso do recurso de integração de rede virtual exigido pelo gateway:

  • Encargos do tipo de preço do plano do Serviço de Aplicativo: seus aplicativos precisam estar em um plano Básico, Standard, Premium, Premium v2, Premium v3 ou Serviço de Aplicativo Premium v4. Para obter mais informações sobre esses custos, veja os preços do Serviço de Aplicativo do Azure.
  • Custos de transferência de dados: há uma cobrança pela saída de dados, mesmo se a rede virtual estiver no mesmo datacenter. Essas cobranças são descritas em Detalhes de preços de transferência de dados.
  • Custos do gateway VPN: Há um custo para o gateway de rede virtual que é necessário para a VPN ponto a site. Para obter mais informações, veja os preços do gateway VPN.

Solução de problemas

Muitas coisas podem impedir que seu aplicativo alcance um host e uma porta específicos. Na maioria das vezes é uma dessas coisas:

  • Um firewall está no caminho. Se você tiver um firewall no caminho, você atingirá o tempo limite do TCP. O tempo limite do TCP é de 21 segundos nesse caso. Use a ferramenta tcpping para testar a conectividade. Os tempos limite de TCP podem ser causados ​​por muitas coisas além de firewalls, mas comece por aí.
  • O DNS não está acessível. O tempo limite de DNS é de 3 segundos por servidor DNS. Se você tiver dois servidores DNS, o tempo limite será de 6 segundos. Use o nameresolver para verificar se o DNS está funcionando. Você não pode usar o nslookup, porque ele não usa o DNS com o qual sua rede virtual está configurada. Se estiver inacessível, você pode ter um firewall ou NSG bloqueando o acesso ao DNS ou pode estar inoperante.

Se esses itens não resolverem seus problemas, procure primeiro por coisas como:

  • O intervalo de endereços ponto a site está nos intervalos RFC 1918 (10.0.0.0-10.255.255.255 / 172.16.0.0-172.31.255.255 / 192.168.0.0-192.168.255.255)?
  • O gateway aparece como em execução no portal? Se o seu gateway estiver inativo, ligue-o novamente.
  • Os certificados estão sincronizados ou você suspeita que a configuração da rede foi alterada? Se os certificados estiverem fora de sincronia ou se você suspeitar que uma alteração foi feita em sua configuração de rede virtual que não foi sincronizada com seus ASPs, selecione Sincronizar rede.
  • Se você estiver entrando no Azure ExpressRoute ou em uma VPN, seu gateway local será configurado para rotear o tráfego de volta para o Azure? Se você puder acessar pontos de extremidade em sua rede virtual, mas não no local, verifique suas rotas.
  • Você está tentando usar um gateway de coexistência que suporte ponto a site e ExpressRoute? Não há suporte para gateways de coexistência com integração de rede virtual.

Depurar problemas de rede é um desafio porque você não consegue ver o que está bloqueando o acesso a uma combinação específica de host:porta. Esses motivos incluem:

  • você tem um firewall no seu host que impede o acesso à porta do aplicativo usando o intervalo de IP ponto a site. o cruzamento de sub-redes geralmente exige acesso Público.
  • o host de destino está inoperante.
  • seu aplicativo está inoperante.
  • você tinha o IP ou nome de host incorreto.
  • seu aplicativo está escutando em uma porta diferente da que você esperava. Você pode comparar seu ID de processo com a porta de escuta usando "netstat -aon" no host do ponto de extremidade.
  • Os grupos de segurança de rede estão configurados de modo a impedir o acesso ao host do aplicativo e à porta do intervalo de IP ponto a site.

Você não sabe qual endereço seu aplicativo realmente usa. Pode ser qualquer endereço no intervalo de endereços ponto-a-site, então você precisa permitir o acesso de todo o intervalo de endereços.

Mais etapas de depuração incluem:

  • Conecte-se a uma VM na sua rede virtual e tente acessar seu host de recursos:porta a partir dela. Para testar o acesso TCP, use o comando do PowerShell Test-NetConnection. A sintaxe do é:
Test-NetConnection hostname [optional: -Port]
  • Abra um aplicativo em uma VM e teste o acesso a esse host e porta a partir do console do seu aplicativo usando tcpping.

Recursos locais

Se seu aplicativo não conseguir acessar um recurso local, verifique se você consegue acessar o recurso pela sua rede virtual. Use o comando do PowerShell Test-NetConnection para verificar se há acesso TCP. Se sua VM não conseguir acessar seu recurso local, sua conexão VPN ou ExpressRoute pode não estar configurada corretamente.

Se sua VM hospedada em rede virtual pode alcançar seu sistema local, mas seu aplicativo não, a causa é provavelmente um dos seguintes motivos:

  • As rotas não estão configuradas com sua sub-rede ou intervalos de endereços ponto a site em seu gateway local.
  • Os grupos de segurança de rede estão bloqueando o acesso ao seu intervalo de IP ponto a site.
  • Seus firewalls locais estão bloqueando o tráfego do seu intervalo de IP ponto a site.
  • Você está tentando acessar um endereço não RFC 1918 usando o recurso de integração de rede virtual regional.

Para obter mais informações, veja o guia de solução de problemas de integração de rede virtual.

  • Last updated on