Topologia de rede hub-spoke com a WAN Virtual do Azure

Essa arquitetura hub-spoke fornece uma solução alternativa para as arquiteturas de referência, topologia de rede hub-spoke no Azure e implementar uma rede híbrida segura.

O hub é uma rede virtual no Azure que atua como um ponto central de conectividade com sua rede local. Os spokes são redes virtuais que se emparelham com o hub e podem ser usados para isolar cargas de trabalho. O tráfego flui entre o datacenter local e o hub por meio de uma conexão de gateway de VPN ou ExpressRoute. O principal diferencial dessa abordagem é o uso de WAN Virtual do Azure (VWAN) para substituir hubs como um serviço gerenciado.

Essa arquitetura inclui os benefícios da topologia de rede hub-spoke padrão e apresenta novos benefícios:

• Menos sobrecarga operacional substituindo hubs existentes por um serviço VWAN totalmente gerenciado.

• Economia de custos usando um serviço gerenciado e removendo a necessidade de uma dispositivo de rede virtual.

• Segurança aprimorada introduzindo Hubs protegidos centralmente gerenciados com Firewall do Azure e VWAN para minimizar os riscos de segurança relacionados à configuração indefinida.

• Separação de preocupações entre TI central (SecOps, InfraOps) e cargas de trabalho (DevOps).

Possíveis casos de uso

Usos típicos para essa arquitetura incluem casos em que:

• A conectividade entre cargas de trabalho requer controle central e acesso a serviços compartilhados.

• Uma empresa requer controle central sobre aspectos de segurança, como um firewall, e requer gerenciamento separado para as cargas de trabalho em cada spoke.

Arquitetura

Baixe um Arquivo Visio dessa arquitetura.

A arquitetura consiste em:

• Rede local. Uma rede LAN (área local) privada em execução dentro de uma organização.

• Dispositivo VPN. Um dispositivo ou serviço que fornece conectividade externa com a rede local.

• Gateway de rede virtual de VPN ou gateway de ExpressRoute. O gateway de rede virtual permite que a rede virtual se conecte ao dispositivo VPN ou ao circuito de ExpressRoute usado para conectividade com a rede local.

• Hub de WAN Virtual. A WAN Virtual é usada como hub na topologia hub-spoke. O hub é o ponto central de conectividade com sua rede local e um local para hospedar serviços que podem ser consumidos pelas diferentes cargas de trabalho hospedadas nas redes virtuais spoke.

• Hub virtual seguro. Um hub da WAN Virtual do Azure com políticas de roteamento e segurança associadas configuradas pelo Gerenciador de Firewall do Azure. Um hub virtual seguro vem com um roteamento interno para que não haja necessidade de configurar rotas definidas pelo usuário.

• Gateway de sub-rede. Os gateways de rede virtual são mantidos na mesma sub-rede.

• Redes virtuais spoke. Uma ou mais redes virtuais que são usadas como spokes na topologia hub-spoke. Os spokes podem ser usados para isolar cargas de trabalho em suas próprias redes virtuais e são gerenciados separadamente de outros spokes. Cada carga de trabalho pode incluir várias camadas, com várias sub-redes conectadas por meio de balanceadores de carga do Azure.

• Emparelhamento de rede virtual. Emparelhamento de rede virtual – duas redes virtuais podem ser conectadas usando uma conexão de emparelhamento VNET. As conexões de emparelhamento são conexões não transitivas e de baixa latência entre redes virtuais. Uma vez emparelhadas, as redes virtuais trocam tráfego usando o backbone do Azure, sem a necessidade de um roteador. Em uma topologia de rede hub-spoke, você usa o emparelhamento de rede virtual para conectar o hub a cada spoke. A WAN Virtual do Azure habilita a transitividade entre hubs, o que não é possível apenas usando o emparelhamento.

Componentes

• Rede Virtual do Azure
• WAN Virtual do Azure
• Gateway de VPN do Azure
• Azure ExpressRoute
• Firewall do Azure

Alternativas

Uma arquitetura hub-spoke pode ser alcançada de duas maneiras: uma infraestrutura de hub gerenciado pelo cliente ou uma infraestrutura de hub gerenciado pela Microsoft. Em ambos os casos, os spokes são conectados ao hub usando o emparelhamento de rede virtual.

Vantagens

Baixe um Arquivo Visio dessa arquitetura.

Este diagrama ilustra algumas das vantagens que essa arquitetura pode fornecer:

• Um hub de malha completo entre redes virtuais do Azure
• Conectividade de ramificação para o Azure
• Conectividade de ramificação para ramificação
• Uso misto de VPN e Express Route
• Uso misto de VPN do usuário para o site
• Conectividade de VNET para Vnet

Recomendações

As recomendações a seguir aplicam-se à maioria dos cenários. Siga-as, a menos que você tenha um requisito específico que as substitua.

Grupos de recursos

O hub e cada spoke podem ser implementados em diferentes grupos de recursos e, até melhor, em diferentes assinaturas. Ao usar redes virtuais em diferentes assinaturas, ambas as assinaturas podem ser associadas ao mesmo locatário ou a um locatário diferente do Microsoft Entra. Isso possibilita o gerenciamento descentralizado de cada carga de trabalho, compartilhando os serviços mantidos no hub.

WAN Virtual

Crie uma WAN Virtual Padrão se você tiver um requisito para qualquer um dos seguintes:

• Dimensionamento para taxas de transferência mais altas

• Conectividade Privada (requer Circuito Premium no local de Alcance Global)

• Interconectividade de VPN do ExpressRoute

• Monitoramento integrado com o Azure Monitor (Métricas e Integridade de Recursos)

Por padrão, as WANs Virtuais são conectadas a uma malha completa. A WAN Virtual Padrão oferece suporte a qualquer conectividade (VPN Site a Site, VNet, ExpressRoute, pontos de extremidade Ponto a Site) em um único hub, bem como entre hubs. A WAN virtual básica oferece suporte apenas à conectividade VPN Site a Site, à conectividade de ramificação para ramificação e à conectividade de ramificação para rede virtual em um único hub.

Hub de WAN Virtual

Um hub virtual é uma rede virtual gerenciada pela Microsoft. O hub contém vários pontos de extremidade de serviço para habilitar a conectividade. O hub é o núcleo da sua rede em uma região. Pode haver vários hubs por região do Azure. Para obter mais informações, consulte as Perguntas frequentes sobre WAN Virtual.

Quando você cria um hub usando o portal do Azure, ele cria uma VNet de hub virtual e um gateway de VPN de hub virtual. Um Hub de WAN Virtual requer um intervalo de endereços mínimo de /24. Esse espaço de endereço IP será usado para reservar uma sub-rede para gateway e outros componentes.

Hub virtual seguro

Um hub virtual pode ser criado como um hub virtual seguro ou convertido em um hub seguro a qualquer momento após a criação. Para obter informações adicionais, consulte Proteger seu hub virtual usando o Gerenciador de Firewall do Azure.

GatewaySubnet

Para obter mais informações sobre como configurar o gateway, consulte as seguintes arquiteturas de referência, dependendo do seu tipo de conexão:

• Rede híbrida usando o ExpressRoute

• Rede híbrida usando um gateway de VPN

Para maior disponibilidade, você pode usar o ExpressRoute e uma VPN para failover. Consulte Conectar uma rede local ao Azure usando o ExpressRoute com failover de VPN.

Uma topologia hub-spoke não poderá ser usada sem um gateway, mesmo se você não precisar de conectividade com a rede local.

Emparelhamento de rede virtual

O emparelhamento de rede virtual é uma relação não transitiva entre duas redes virtuais. No entanto, a WAN Virtual do Azure permite que os spokes se conectem uns com os outros sem ter um emparelhamento dedicado entre eles.

No entanto, se houver vários spokes que precisam se conectar entre si, você ficará sem conexões de emparelhamento possíveis rapidamente devido à limitação do número de emparelhamentos de rede virtual por rede virtual. (Para obter mais informações, consulte Limites de rede). Nesse cenário, a VWAN do Azure resolverá esse problema com sua funcionalidade pronta. Para obter informações adicionais, consulte Arquitetura de rede de trânsito global e WAN Virtual.

Você também pode configurar os spokes para usar o gateway do hub para se comunicar com redes remotas. Para permitir que o tráfego de gateway flua do spoke para o hub e se conecte a redes remotas, é necessário fazer o seguinte:

• Configurar a conexão de emparelhamento no hub para permitir trânsito de gateway.

• Configurar a conexão de emparelhamento em cada spoke para usar os gateways remotos.

• Configurar todas as conexões de emparelhamento para permitir tráfego encaminhado.

Para obter mais informações adicionais, consulte Escolha entre o emparelhamento de rede virtual e gateways de VPN no Azure.

Extensões de hub

Para oferecer suporte a serviços compartilhados em toda a rede, como recursos DNS, NVAs personalizados, Azure Bastion e outros, implemente cada serviço seguindo o padrão de extensão de hub virtual. Seguindo esse modelo, você pode criar e operar extensões de responsabilidade única para expor individualmente esses serviços compartilhados críticos para os negócios que, de outra forma, não seria possível implantar diretamente em um hub virtual.

Considerações

Operações

A VWAN do Azure é um serviço gerenciado fornecido pela Microsoft. Do ponto de vista da tecnologia, não é completamente diferente de uma infraestrutura de hub gerenciada pelo cliente. A WAN Virtual do Azure simplifica a arquitetura de rede geral oferecendo uma topologia de rede de malha com conectividade de rede transitiva entre spokes. O monitoramento da VWAN do Azure pode ser obtido usando o Azure Monitor. A configuração site a site e a conectividade entre as redes locais e o Azure pode ser totalmente automatizada.

Confiabilidade

A WAN Virtual do Azure lida com o roteamento, o que ajuda a otimizar a latência de rede entre os spokes, além de garantir a previsibilidade da latência. A WAN Virtual do Azure também fornece conectividade confiável entre diferentes regiões do Azure para as cargas de trabalho que abrangem várias regiões. Com essa configuração, o fluxo de ponta a ponta no Azure se torna mais visível.

Desempenho

Com a ajuda da WAN Virtual do Azure, é possível obter menor latência entre spokes e entre regiões. A WAN Virtual do Azure permite que você escale até uma taxa de transferência agregada de 20 Gbps.

Escalabilidade

A WAN Virtual do Azure fornece uma conectividade de malha completa entre spokes, preservando a capacidade de restringir o tráfego com base nas necessidades. Com essa arquitetura, é possível ter um desempenho site a site em larga escala. Além disso, você pode criar uma arquitetura de rede de trânsito global habilitando a conectividade any-to-any entre conjuntos de cargas de trabalho de nuvem distribuídos globalmente.

Segurança

Os Hubs na VWAN do Azure podem ser convertidos em HUBs seguros aproveitando o Firewall do Azure. As rotas definidas pelo usuário (UDRs) ainda podem ser aproveitadas da mesma maneira para obter o isolamento da rede. A VWAN do Azure habilita a criptografia de tráfego entre as redes locais e as redes virtuais do Azure pelo ExpressRoute.

A Proteção contra DDoS do Azure, combinada com as práticas recomendadas de design de aplicativos, fornece recursos aprimorados de mitigação de DDoS para fornecer mais defesa contra ataques de DDoS. Você deve habilitar a Proteção contra DDOS do Azure em qualquer rede virtual do perímetro.

Conectividade de spoke e serviços compartilhados

A conectividade entre spokes já é alcançada usando a WAN Virtual do Azure. No entanto, o uso de UDRs no tráfego de spoke é útil para isolar redes virtuais. Qualquer serviço compartilhado também pode ser hospedado na mesma WAN Virtual do que um spoke.

Emparelhamento de rede virtual - conexão de hub

O emparelhamento de rede virtual é uma relação não transitiva entre duas redes virtuais. Ao usar a WAN Virtual do Azure, o emparelhamento de rede virtual é gerenciado pela Microsoft. Cada conexão adicionada a um hub também configurará o emparelhamento de rede virtual. Com a ajuda da WAN Virtual, todos os spokes terão um relacionamento transitivo.

Otimização de custo

Uma infraestrutura de hub gerenciada pelo cliente introduz o custo de gerenciamento aos recursos subjacentes do Azure. Para obter uma conectividade transitiva com uma latência previsível, você deve ter um NVA (Dispositivo Virtual de Rede) ou Firewall do Azure implantado em cada hub. Usar o Firewall do Azure com qualquer uma das opções reduzirá o custo em comparação com um NVA. Os custos do Firewall do Azure são os mesmos para ambas as opções. Há um custo extra para a WAN Virtual do Azure; no entanto, é muito menos dispendioso do que gerenciar sua própria infraestrutura de hub.

Para obter mais informações, consulte Preço da WAN Virtual do Azure.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Autor principal:

• Yunus Emre Alpozen | Arquiteto de Programas Entre Cargas de Trabalho

Para ver perfis não públicos do LinkedIn, entre no LinkedIn.

Próximas etapas

Saiba mais:

• Topologia de rede hub-spoke no Azure

• Criar uma solução híbrida do Sistema de Nomes de Domínio com o Azure

• Implementar uma rede híbrida segura

• O que é o Azure ExpressRoute?

• Conectar uma rede local ao Azure usando o ExpressRoute

• Firewall e Gateway de Aplicativo para redes virtuais

• Ampliar uma rede local usando uma VPN

• Proteger e controlar cargas de trabalho com segmentação de nível de rede

Recursos relacionados

• Fortaleça sua situação de segurança com o Azure

• Rede Virtual

• Azure ExpressRoute

• Gateway de VPN

• Firewall do Azure