Conectar uma rede local ao Azure usando o ExpressRoute

Esta arquitetura de referência mostra como conectar uma rede local a uma rede virtual do Azure usando a Rota Expressa do Azure, com uma VPN (rede virtual privada) site a site como uma conexão de failover.

Arquitetura

Baixe um Arquivo Visio dessa arquitetura.

Workflow

A arquitetura consiste nos componentes a seguir.

• Rede local. Uma rede de área local privada em execução dentro de uma organização.
• Dispositivo de VPN. Um dispositivo ou serviço que fornece conectividade externa com a rede local. O dispositivo VPN pode ser um dispositivo de hardware ou pode ser uma solução de software, como o RRAS (Serviço de Roteamento e Acesso Remoto) no Windows Server 2012. Para obter uma lista de dispositivos de VPN com suporte e informações sobre como configurar dispositivos de VPN selecionados para se conectar ao Azure, consulte Sobre dispositivos VPN para conexões de Gateway de VPN Site a Site.
• Circuito do ExpressRoute. Um circuito de camada 2 ou de camada 3 fornecido pelo provedor de conectividade que une a rede local com o Azure por meio de roteadores de borda. O circuito usa a infraestrutura de hardware gerenciada pelo provedor de conectividade.
• Gateway de rede virtual do ExpressRoute. O gateway de rede virtual da Rota Expressa permite que a rede virtual do Azure se conecte ao circuito da Rota Expressa usado para conectividade com sua rede local.
• Gateway de rede virtual VPN. O gateway de rede virtual VPN permite que a rede virtual do Azure se conecte ao dispositivo VPN na rede local. O gateway de rede virtual VPN está configurado para aceitar solicitações da rede local apenas por meio do dispositivo VPN. Para obter mais informações, confira Conectar uma rede local a uma rede virtual do Microsoft Azure.
• Conexão VPN. A conexão tem propriedades que especificam o tipo de conexão (IPsec) e a chave compartilhada com o dispositivo de VPN local para criptografar o tráfego.
• Rede virtual do Azure. Cada rede virtual reside em uma única região do Azure e pode hospedar várias camadas de aplicativo. As camadas de aplicativo podem ser segmentadas usando sub-redes em cada rede virtual.
• Gateway de sub-rede. Os gateways de rede virtual são mantidos na mesma sub-rede.

Componentes

• Azure ExpressRoute
• Gateway de VPN do Azure
• Rede Virtual do Azure

Detalhes do cenário

Esta arquitetura de referência mostra como conectar uma rede local a uma rede virtual do Azure usando a Rota Expressa, com uma VPN (rede virtual privada) site a site como uma conexão de failover. O tráfego flui entre a rede local e a rede virtual do Azure por meio de uma conexão de Rota Expressa. Se houver uma perda de conectividade no circuito da Rota Expressa, o tráfego será roteado por meio de um túnel VPN IPSec. Implante essa solução.

Observe que, se o circuito da Rota Expressa não estiver disponível, a rota VPN manipulará apenas conexões de emparelhamento privadas. Emparelhamento público e conexões de emparelhamento da Microsoft passam pela Internet.

Recomendações

As seguintes recomendações aplicam-se à maioria dos cenários. Siga estas recomendações, a menos que você tenha um requisito específico que as substitua.

A rede virtual e GatewaySubnet

Crie a conexão de gateway de rede virtual ExpressRoute e a conexão de gateway de rede virtual VPN na mesma rede virtual com um objeto Gateway já instalado. Ambos compartilharão a mesma sub-rede chamada GatewaySubnet.

Se a rede virtual já incluir uma sub-rede chamada GatewaySubnet, verifique se ela tem um espaço de endereçamento /27 ou maior. Se a sub-rede existente for muito pequena, use o seguinte comando do PowerShell para removê-la:

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Remove-AzVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet

Se a rede virtual não contiver uma sub-rede chamada GatewaySubnet, crie uma nova usando o seguinte comando do PowerShell:

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.224/27"
$vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet

Gateways VPN e ExpressRoute

Verifique se a sua organização cumpre os requisitos de pré-requisitos do ExpressRoute para se conectar ao Azure.

Se você já tiver um gateway de rede virtual VPN em sua rede virtual do Azure, use o seguinte comando do PowerShell para removê-lo:

Remove-AzVirtualNetworkGateway -Name <your-gateway-name> -ResourceGroupName <your-resource-group>

Siga as instruções em Configurar uma arquitetura de rede híbrida com o Azure ExpressRoute para estabelecer sua conexão de Rota Expressa.

Siga as instruções em Configurar uma arquitetura de rede híbrida com o Azure e a VPN local para estabelecer sua conexão de gateway de rede virtual VPN.

Depois de estabelecer as conexões de gateway de rede virtual, teste o ambiente da seguinte maneira:

1. Verifique se você pode se conectar de sua rede local à sua rede virtual do Azure.
2. Contate o provedor para interromper a conectividade do ExpressRoute para teste.
3. Verifique se você ainda pode se conectar de sua rede local à sua rede virtual do Azure usando a conexão de gateway de rede virtual VPN.
4. Contate o provedor para restabelecer a conectividade do ExpressRoute.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios de orientação que podem ser usados para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.

Segurança

A segurança fornece garantias contra ataques deliberados e o abuso de seus dados e sistemas valiosos. Para saber mais, confira Visão geral do pilar de segurança.

Para considerações gerais de segurança do Azure, consulte Serviços em nuvem da Microsoft e segurança de rede.

Otimização de custo

A otimização de custos é a análise de maneiras de reduzir as despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, confira Visão geral do pilar de otimização de custo.

Para considerações de custo do ExpressRoute, confira estes artigos:

• Considerações de custo na configuração de uma Arquitetura de Rede Híbrida com o Azure ExpressRoute.

Excelência operacional

A excelência operacional abrange os processos de operações que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, confira Visão geral do pilar de excelência operacional.

Para considerações sobre o DevOps da Rota Expressa, consulte a orientação Configurar uma arquitetura de rede híbrida com a Rota Expressa do Azure.

Para obter considerações sobre DevOps de VPN site a site, consulte a orientação Configurar uma arquitetura de rede híbrida com o Azure e VPN local .

Implantar este cenário

Pré-requisitos. Você deve ter uma infraestrutura local existente já configurada com um dispositivo de rede adequado.

Para implantar a solução, execute as etapas a seguir.

1. Selecione o link abaixo.

   

2. Aguarde até que o link seja aberto no portal do Azure e selecione o Grupo de recursos no qual você deseja implantar esses recursos ou criar um novo grupo de recursos. A Região e o Local serão alterados automaticamente para corresponder ao grupo de recursos.

3. Atualize os campos restantes se quiser alterar os nomes de recursos, provedores, SKU ou endereços IP de rede para seu ambiente.

4. Selecione Revisar + criar e, em seguida, Criar para implantar esses recursos.

5. Aguarde até que a implantação seja concluída.

   Observação

   Essa implantação de modelo implanta apenas os seguintes recursos:

   • Um grupo de recursos (se você criar novo)
   • Um circuito da Rota Expressa
   • Uma Rede virtual do Azure
   • Um gateway de rede virtual ExpressRoute

   Para que você estabeleça com êxito a conectividade de emparelhamento privado do local para o circuito da Rota Expressa, você precisará envolver seu provedor de serviços com a chave de serviço do circuito. A chave de serviço pode ser encontrada na página de visão geral do recurso de circuito da Rota Expressa. Para obter mais informações sobre como configurar o circuito da Rota Expressa, consulte Criar ou modificar a configuração de emparelhamento. Depois de configurar o emparelhamento privado com êxito, você pode vincular o gateway de rede virtual da Rota Expressa ao circuito. Para obter mais informações, consulte Tutorial: Conectar uma rede virtual a um circuito da Rota Expressa usando o portal do Azure.

6. Para concluir a implantação da VPN site a site como um backup da Rota Expressa, consulte Criar uma conexão VPN site a site.

7. Depois de configurar com êxito uma conexão VPN para a mesma rede local que você configurou a Rota Expressa, você terá concluído a configuração para fazer backup da conexão da Rota Expressa se houver falha total no local de emparelhamento.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Autor principal:

• Sarah Parkes - Brasil | Arquiteto de Soluções Cloud Sênior

Para ver perfis não públicos do LinkedIn, entre no LinkedIn.

Próximas etapas

• Documentação do ExpressRoute
• Linha de base de segurança do Azure para ExpressRoute
• Como criar um circuito de ExpressRoute
• Blog de Rede do Azure
• Configurar conexões de coexistência de Rota Expressa e Site a Site usando o PowerShell

Recursos relacionados

• Projeto de arquitetura híbrida
• Opções híbridas do Azure
• Topologia de rede hub-spoke no Azure
• Rede spoke-to-spoke
• Conectar uma rede local ao Azure
• Estender uma rede local usando a Rota Expressa
• Implementar uma rede híbrida segura
• Integrar o AD local ao Azure