Design de arquitetura VWAN em grande escala
Este exemplo de carga de trabalho mostra a implantação de uma WAN Virtual do Azure com vários hubs por região. Para melhorar a disponibilidade e a escalabilidade, cada hub é emparelhado com circuitos redundantes e geograficamente dispersos do Azure ExpressRoute. Esta arquitetura destina-se a cargas de trabalho excepcionalmente grandes e críticas. Ela comporta unidades de negócios e aplicativos que residem em redes virtuais spoke. As redes virtuais spoke costumam ter requisitos de segurança para conectividade internet-para-spoke ou spoke-para-spoke.
Arquitetura
Baixe um arquivo do Visio dessa arquitetura.
Fluxo de Trabalho
O fluxo de dados a seguir corresponde ao diagrama anterior:
O tráfego das redes virtuais spoke para a internet é encaminhado por meio dos firewalls da solução de virtualização de rede (NVA) nas redes virtuais de segurança conectadas ao mesmo hub que a spoke.
As NVAs conectadas ao mesmo hub que a origem ou o destino de spoke inspecionam todo o tráfego entre as redes virtuais spoke e no local. Esse roteamento otimiza o desempenho e retém o tráfego seguro entre o local e o Azure.
O tráfego entre spokes que residem em hubs diferentes seguem o caminho que ohub>>spoke>hub spoke falou. Se os proprietários de spoke quiserem mais inspeções, deverão fazer a implementação em suas spokes. Esse tráfego não atravessa as conexões do ExpressRoute, e as NVAs da rede virtual de segurança não o inspecionam.
O tráfego spoke-to-spoke no mesmo hub segue o caminho que ohub>spoke>falou. As NVAs da rede virtual de segurança não inspecionam esse tráfego.
Componentes
- O ExpressRoute é um serviço que fornece uma conexão privada entre o ambiente local e os recursos do Azure.
-
A WAN Virtual é um serviço de rede que fornece ramificação otimizada e automatizada para ramificar a conectividade por meio do Azure. Ele fornece trânsito para rede e roteamento via ExpressRoute entre os recursos locais e os recursos do Azure.
- Tabelas de rotas personalizadas otimizam o roteamento na solução de modo que o tráfego de rede para rede possa ignorar os firewalls. O tráfego entre as redes e os ambientes locais continua sendo inspecionado.
- Os rótulos simplificam o roteamento ao eliminar a necessidade de propagar extensivamente as rotas de redes individuais para todas as tabelas de rotas.
- Os Virtual Appliances de Rede são máquinas virtuais que controlam o roteamento para gerenciar o fluxo de tráfego de rede. Essa arquitetura usa NVAs. Organizações de grande porte que têm um investimento estabelecido em tecnologia e gerenciamento de firewalls geralmente precisam de NVAs.
Alternativas
Uma alternativa é um modelo de rede virtual hub e spoke com servidores de rota do Azure. Você pode ter um desempenho melhor do que o limite de 50 Gbps por hub. Esta alternativa tem limites de desempenho melhores, mas é mais complexa. Para obter mais informações, consulte a topologia de rede hub-spoke no Azure.
Como outra alternativa, o ExpressRoute Direct divide os circuitos do ExpressRoute em circuitos locais e padrão. Esse serviço pode otimizar o custo se a largura de banda necessária for suficiente para justificar o uso do ExpressRoute Direct.
Detalhes do cenário
Esta implantação maximiza a escalabilidade da WAN Virtual por usar vários hubs de WAN Virtual por região. Para saber o número de conexões de rede virtual que cada hub pode suportar, subtraia o total de hubs de WAN virtual da sua solução de 500. Nesta solução com quatro hubs, cada hub pode comportar 496 conexões de rede virtual. O desempenho é dimensionado linearmente de acordo com o número de hubs, por isso a solução fornece desempenho e dimensionamento de rede virtual excepcionais.
Esta solução usa um design de gravata borboleta aberta para conectividade do ExpressRoute com o hub de WAN Virtual. Cada hub tem dois circuitos do ExpressRoute geograficamente dispersos. Este design resolve muitos problemas e permite o uso de NVAs.
O ExpressRoute é um caminho preferencial para a WAN Virtual porque o tráfego pode transitar entre as duas spokes conectadas a hubs diferentes, por exemplo, entre a Spoke VNet1 e a Spoke VNet5. Se o design for uma gravata borboleta completa com um único circuito do ExpressRoute que se conecta ao Hub1 da VWAN da Região 1 e ao Hub1 da VWAN da Região2, o tráfego entre spokes começa na Spoke VNet1 e depois vai para o Hub1 da VWAN1 da Região 1. Ele desce o circuito do ExpressRoute e depois volta para o caminho do ExpressRoute até o Hub1 da VWAN da Região 2, e depois, até a Spoke VNet5. O design de gravata borboleta aberta elimina esse caminho e habilita o caminho spoke-para-hub-para-hub-para-spoke.
Essa solução usa diferentes circuitos do ExpressRoute, por isso você pode a SKU do ExpressRoute local para todo o tráfego operacional padrão. O caminho de recuperação de desastre raramente é usado e é uma SKU de circuito padrão, o que otimiza o custo de largura de banda da solução.
O tráfego pode usar a NVA da rede virtual de segurança conectada ao mesmo hub da rede virtual em que reside a origem do tráfego. Durante uma falha do ExpressRoute, o caminho de backup continua usando a NVA local. O caminho de backup simplifica o roteamento, otimiza o desempenho evitando a inspeção em várias regiões e minimiza o risco de rotas assimétricas ao limitar a complexidade.
O design de NVA personalizado permite flexibilidade de roteamento usando tabelas de rotas definidas pelo cliente na WAN Virtual.
Esta implantação fornece conectividade altamente redundante do ExpressRoute para cada hub. NVAs altamente redundantes são conectadas a cada hub.
Tabelas de rotas do Hub1 da Região1
As tabelas a seguir mostram as opções de roteamento definidas para o Hub1 da Região1.
Padrão (Hub1)
Destino | Próximo salto | Associado | Propagado | Rótulos |
---|---|---|---|---|
10.0.0.0/16 | Endereço IP interno de SecurityVNet1Connection/NVA | Ramificações | Ramificações | padrão, Hub1Default |
Raios (Hub1)
Destino | Próximo salto | Associado | Propagado | Rótulos |
---|---|---|---|---|
172.16.0.0/16 | Endereço IP interno de SecurityVNet1Connection/NVA | VNet1 spoke, VNet2 spoke | - | AllWorkloadSpokes |
0.0.0.0/0 | Endereço IP interno de SecurityVNet1Connection/NVA | VNet1 spoke, VNet2 spoke | - | AllWorkloadSpokes |
Segurança (Hub1)
Destino | Próximo salto | Associado | Propagado | Rótulos |
---|---|---|---|---|
- | - | VNet1 de segurança | - | Hub1SecuritySpokes, AllSecuritySpokes |
Tabelas de rotas do Hub2 da Região1
As tabelas a seguir mostram as opções de roteamento definidas para o Hub2 da Região1.
Tabela de rotas padrão (Hub2)
Destino | Próximo salto | Associado | Propagado | Rótulos |
---|---|---|---|---|
10.1.0.0/16 | Endereço IP interno de SecurityVNet2Connection/NVA | Ramificações | Ramificações | padrão, Hub2Default |
Raios (Hub2)
Destino | Próximo salto | Associado | Propagado | Rótulos |
---|---|---|---|---|
172.16.0.0/16 | Endereço IP interno de SecurityVNet2Connection/NVA | VNet3 com raios, VNet4 com spoke | - | AllWorkloadSpokes |
0.0.0.0/0 | Endereço IP interno de SecurityVNet2Connection/NVA | VNet3 com raios, VNet4 com spoke | - | AllWorkloadSpokes |
Segurança (Hub2)
Destino | Próximo salto | Associado | Propagado | Rótulos |
---|---|---|---|---|
- | - | VNet2 de segurança | - | Hub2SecuritySpokes, AllSecuritySpokes |
Tabelas de rotas do Hub1 da Região2
As tabelas a seguir mostram as opções de roteamento definidas para o Hub1 da Região2.
Padrão (Hub3)
Destino | Próximo salto | Associado | Propagado | Rótulos |
---|---|---|---|---|
10.2.0.0/16 | Endereço IP interno de SecurityVNet3Connection/NVA | Ramificações | Ramificações | padrão, Hub3Default |
Raios (Hub3)
Destino | Próximo salto | Associado | Propagado | Rótulos |
---|---|---|---|---|
172.16.0.0/16 | Endereço IP interno de SecurityVNet3Connection/NVA | VNet5 spoke, VNet6 spoke | - | AllWorkloadSpokes |
0.0.0.0/0 | Endereço IP interno de SecurityVNet3Connection/NVA | VNet5 spoke, VNet6 spoke | - | AllWorkloadSpokes |
Segurança (Hub3)
Destino | Próximo salto | Associado | Propagado | Rótulos |
---|---|---|---|---|
- | - | VNet3 de segurança | - | Hub3SecuritySpokes, AllSecuritySpokes |
Tabelas de rotas do Hub2 da Região2
As tabelas a seguir mostram as opções de roteamento definidas para o Hub2 da Região2.
Padrão (Hub4)
Destino | Próximo salto | Associado | Propagado | Rótulos |
---|---|---|---|---|
10.3.0.0/16 | Endereço IP interno de SecurityVNet4Connection/NVA | Ramificações | Ramificações | padrão, Hub4Default |
Raios (Hub4)
Destino | Próximo salto | Associado | Propagado | Rótulos |
---|---|---|---|---|
172.16.0.0/16 | Endereço IP interno de SecurityVNet4Connection/NVA | Spoke VNet7, Spoke VNet8 | - | AllWorkloadSpokes |
0.0.0.0/0 | Endereço IP interno de SecurityVNet3Connection/NVA | Spoke VNet7, Spoke VNet8 | - | AllWorkloadSpokes |
Segurança (Hub4)
Destino | Próximo salto | Associado | Propagado | Rótulos |
---|---|---|---|---|
- | - | VNet4 de segurança | - | Hub4SecuritySpokes, AllSecuritySpokes |
Rótulos
Etiqueta | Conexões de rede virtual propagadas |
---|---|
AllWorkloadSpokes | SpokeVNet1Connection, SpokeVNet2Connection, SpokeVNet3Connection, SpokeVNet4Connection, SpokeVNet5Connection, SpokeVNet6Connection, SpokeVNet7Connection, SpokeVNet8Connection, SecurityVNet1Connection, SecurityVNet2Connection, SecurityVNet3Connection, SecurityVNet4Connection |
AllSecuritySpokes | SpokeVNet1Connection, SpokeVNet2Connection, SpokeVNet3Connection, SpokeVNet4Connection, SpokeVNet5Connection, SpokeVNet6Connection, SpokeVNet7Connection, SpokeVNet8Connection |
Hub1Padrão | SecurityVNet1Connection |
Hub2Padrão | Conexão de segurança VNet2 |
Hub3Padrão | SecurityVNet3Connection |
Hub4Padrão | SegurançaVNet4Conexão |
Hub1SecuritySpokes | SpokeVNet1Connection, SpokeVNet2Connection, SecurityVNet1Connection |
Hub2SecuritySpokes | SpokeVNet3Connection, SpokeVNet4Connection, SecurityVNet2Connection |
Hub3SecuritySpokes | SpokeVNet5Connection, SpokeVNet6Connection, SecurityVNet3Connection |
Hub4SecuritySpokes | SpokeVNet7Connection, SpokeVNet8Connection, SecurityVNet4Connection |
Essa arquitetura de rede integra-se perfeitamente ao Cloud Adoption Framework para WAN Virtual. O serviço de WAN Virtual, as conexões do ExpressRoute, os firewalls e, neste caso, as redes virtuais de segurança estão na assinatura de conectividade. As cargas de trabalho, os grupos de segurança de rede e as redes virtuais spoke estão nas assinaturas de carga de trabalho ou de zona de destino separadas do proprietário do aplicativo.
Para obter mais informações, consulte a topologia de rede wan virtual.
Possíveis casos de uso
Este design é aplicável a qualquer empresa de tamanho e volume suficientes no Azure. A empresa pode usar o design para:
- Substituir implantações já existentes de terceiros de MPLS (Multiprotocol Label Switching) ou de WAN virtual.
- Conectar ambientes de nuvem de grande escala a ambientes locais.
- Comportar várias unidades de negócios e aplicativos com requisitos e propriedade diferentes em um mesmo locatário.
Recomendações
ExpressRoute
- Clientes com redes em grande escala geralmente têm pontos de conectividade previamente estabelecidos e precisam de alta largura de banda para seus circuitos. Se você migrar de um MPLS de grande escala, como o NetBond, e precisar de conectividade de circuito de mais de 40 Gbps, poderá aproveitar sua infraestrutura de rede e estabelecer o ExpressRoute Direct. O ExpressRoute Direct dá suporte à criptografia MACsec para cargas de trabalho de alta segurança.
- Para otimização de custos, use conexões locais do ExpressRoute para emparelhar o circuito principal do ExpressRoute com o hub regional escolhido. O circuito reserva do ExpressRoute deve usar conexões padrão do ExpressRoute.
Raio
- Saída da Internet: o tráfego de Internet de saída deve rotear por meio do firewall NVA local conectado ao mesmo hub que a rede virtual de origem para esse tráfego.
- Inspeção de entrada na Internet: os clientes podem inspecionar a conectividade com a Internet de entrada para as cargas de trabalho de spoke. Eles podem usar o Gateway de Aplicativo do Azure ou o Azure Front Door para inspeção WAF do tráfego nas spokes. A SNAT é necessária para evitar conflitos de roteamento com a rota 0.0.0.0/0 anunciada pelo hub de WAN Virtual.
- Grupos de segurança de rede: use grupos de segurança de rede para personalizar a segurança do aplicativo que reside em sua rede virtual spoke.
NVA
- Redundância: siga uma arquitetura de prática recomendada para redundância de implantação de NVA. Use várias máquinas virtuais ou conjuntos de dimensionamento e balanceadores de carga para fornecer suporte de front-end e back-end.
Roteamento de hub da VWAN Virtual
- As conexões de rede virtual spoke só devem ser propagadas para rótulos de tabela de rotas e não para tabelas de rotas específicas. Essa prática simplifica abordagens que usam a infraestrutura como código.
- Cada hub deve ter o próprio rótulo de hub padrão para permitir e limitar a propagação das rotas da rede virtual de segurança apenas para a tabela de rotas padrão do hub. Se você usar o rótulo padrão interno, ele se propagará por todos os hubs.
- Cada hub deve ter um rótulo de tabela de rotas para a rede virtual de segurança desse hub. Essa prática simplifica a infraestrutura como código, porque as conexões de rede virtual se propagam para o rótulo e não para uma tabela de rotas específica.
Considerações
Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que você pode usar para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Well-Architected Framework.
Confiabilidade
A confiabilidade ajuda a garantir que seu aplicativo possa cumprir os compromissos que você faz aos seus clientes. Para obter mais informações, consulte a lista de verificação de revisão de design para Confiabilidade.
Essa carga de trabalho otimiza a alta disponibilidade com a WAN Virtual, circuitos redundantes do ExpressRoute e conjuntos de dimensionamento para NVAs. Essa combinação resulta na redundância necessária para cargas de trabalho altamente críticas.
Segurança
A segurança fornece garantias contra ataques deliberados e o uso indevido de seus valiosos dados e sistemas. Para obter mais informações, consulte a lista de verificação de revisão de design para Segurança.
Essa carga de trabalho fornece inspeção de firewall entre o Azure e os sistemas locais e inspeção para tráfego de saída da internet do Azure. Para o tráfego de internet de entrada, considere o Azure Front Door ou o Gateway de Aplicativo. Use a SNAT para evitar conflitos de roteamento.
Otimização de custos
A Otimização de Custos concentra-se em maneiras de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte a lista de verificação de revisão de design para Otimização de Custos.
Para obter custos de componentes do Azure, consulte a calculadora de preços do Azure. Os preços desta solução baseiam-se em fatores como:
- Serviços do Azure usados.
- O dimensionamento do ExpressRoute.
- O dimensionamento da WAN Virtual e as quantidades de tráfego de dados processadas por cada hub.
- O preço da NVA.
Essa carga de trabalho prioriza o desempenho e a disponibilidade em detrimento do baixo custo. Porém, o uso do ExpressRoute Local para conexões primárias otimiza o custo porque limita as despesas de largura de banda. Se quiser comprometer o desempenho e a confiabilidade para otimizar os custos, você pode reduzir o número de firewalls e circuitos do ExpressRoute. Quando você reduz esses recursos, ele diminui o custo, mas atravessa os hubs de WAN Virtual com menos eficiência quando você se conecta a destinos locais ou na nuvem.
Excelência operacional
A Excelência operacional abrange os processos de operações que implantam uma aplicação e as mantêm em execução em produção. Para obter mais informações, consulte a lista de verificação de revisão de design para Excelência Operacional.
Este design é compatível com Terraform e infraestrutura como código. Ele requer o provedor de API do Azure Terraform para implantação devido ao atraso da WAN Virtual na disponibilidade de recursos.
Eficiência de desempenho
A Eficiência de Desempenho refere-se à capacidade da carga de trabalho de dimensionar para atender às demandas do usuário com eficiência. Para obter mais informações, consulte a lista de verificação de revisão de design para Eficiência de Desempenho.
Esta rede tem alto desempenho. Mesmo quando uma conexão falha, o desempenho e o roteamento usam o melhor caminho disponível.
Implantar este cenário
As etapas a seguir estabelecem o serviço de WAN Virtual, hubs, redes virtuais spoke e conexões do ExpressRoute. Para obter um tutorial, consulte Criar uma associação do ExpressRoute à WAN Virtual do Azure.
- Crie um serviço de WAN Virtual.
- Implante vários hubs e um gateway do ExpressRoute em cada hub.
- Implante o número necessário de redes virtuais spoke de carga de trabalho para comportar a carga de trabalho e as conecte aos hubs desejados.
- Estabeleça conexões entre os circuitos do ExpressRoute e os hubs.
- Implante uma rede virtual de segurança para cada hub.
- Implante a NVA de sua escolha e configure o firewall. Use a documentação específica da NVA para esta etapa. Para estabelecer as tabelas e rótulos de rotas, use o exemplo em Como configurar o roteamento de hub virtual: portal do Azure – WAN Virtual do Azure.
- Verifique o roteamento.
Colaboradores
Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.
Principais autores:
- Ethan Haslett | Arquiteto sênior de soluções de nuvem
- John Poetzinger | Arquiteto sênior de soluções de nuvem
Outros colaboradores:
- Jimmy Avila | Arquiteto sênior de soluções de nuvem
- Andrew Delosky | Arquiteto principal de soluções de nuvem
- Robert Lightner | Arquiteto sênior de soluções de nuvem
- Rodrigo Santos | Arquiteto principal de soluções de nuvem
Para ver perfis não públicos do LinkedIn, entre no LinkedIn.
Próximas etapas
- Sobre o roteamento de hub virtual
- Rotear o tráfego por meio de NVAs usando configurações personalizadas
- Sobre conexões do ExpressRoute na WAN Virtual do Azure
- O que é a WAN Virtual do Azure