Topologia de rede hub-spoke no Azure

Observador de Rede
Firewall
Rede Virtual
Bastion
Gateway de VPN

Esta arquitetura de referência detalha uma topologia hub-spoke no Azure. A rede virtual do hub atua como um ponto central de conectividade para muitas redes virtuais spoke. O hub também pode ser usado como ponto de conectividade para as redes locais. As redes virtuais spoke são emparelhadas com o hub e podem ser usadas para isolar cargas de trabalho.

Arquitetura

Topologia hub-spoke no Azure

Baixe um Arquivo Visio dessa arquitetura.

Fluxo de trabalho

A arquitetura consiste nos seguintes componentes:

  • Rede virtual do hub: a rede virtual do hub é o ponto central de conectividade com sua rede local. Ela é um local para hospedar serviços que podem ser consumidos por diferentes cargas de trabalho hospedadas nas redes virtuais spoke.

  • Redes virtuais spoke: as redes virtuais spoke são usadas para isolar cargas de trabalho nas próprias redes virtuais, gerenciadas separadamente de outros spokes. Cada carga de trabalho pode incluir várias camadas, com várias sub-redes conectadas por meio de balanceadores de carga do Azure.

  • Emparelhamento de rede virtual: duas redes virtuais podem ser conectadas usando uma conexão de emparelhamento. As conexões de emparelhamento são conexões não transitivas e de baixa latência entre redes virtuais. Uma vez emparelhadas, as redes virtuais trocam tráfego usando o backbone do Azure, sem a necessidade de um roteador.

  • Bastion Host: o Azure Bastion permite que você se conecte com segurança a uma máquina virtual usando seu navegador e o portal do Azure. Um Azure Bastion host é implantado dentro de uma Rede Virtual do Azure e pode acessar máquinas virtuais na VNet (rede virtual) ou máquinas virtuais em VNets emparelhadas.

  • Firewall do Azure: o Firewall do Azure é um firewall gerenciado como um serviço. A instância do firewall é inserida na própria sub-rede.

  • Gateway de rede virtual de VPN ou gateway de ExpressRoute. O gateway de rede virtual permite que a rede virtual se conecte ao dispositivo VPN ou ao circuito de ExpressRoute usado para conectividade com a rede local. Para obter mais informações, confira Conectar uma rede local a uma rede virtual do Microsoft Azure.

  • Dispositivo VPN. Um dispositivo ou serviço que fornece conectividade externa com a rede local. O dispositivo VPN pode ser um dispositivo de hardware ou uma solução de software, como o RRAS (serviço de acesso remoto e roteamento) no Windows Server 2012. Para obter mais informações, confira Sobre dispositivos VPN para conexões de Gateway de VPN site a site.

Componentes

  • Rede Virtual do Microsoft Azure. A Rede Virtual do Azure (VNet) é o bloco de construção fundamental de sua rede privada no Azure. A VNet permite que muitos tipos de recursos do Azure, como VMs (Máquinas Virtuais do Azure), se comuniquem entre si com segurança, com a Internet e com as redes locais.

  • Azure Bastion. O Azure Bastion é um serviço totalmente gerenciado que fornece acesso rdp (protocolo RDP) mais seguro e contínuo e SSH (Secure Shell Protocol) a máquinas virtuais (VMs), sem qualquer exposição por meio de endereços IP públicos.

  • Firewall do Azure. Firewall do Azure é um serviço de segurança de rede gerenciado e baseado em nuvem que protege seus recursos de Rede Virtual do Azure. O serviço de firewall com estado tem alta disponibilidade interna e escalabilidade de nuvem irrestrita para ajudá-lo a criar, impor e registrar políticas de conectividade de aplicativo e rede entre assinaturas e redes virtuais.

  • Gateway de VPN. Gateway de VPN envia tráfego criptografado entre uma rede virtual do Azure e um local pela Internet pública. Também é possível usar um Gateway de VPN para enviar tráfego criptografado entre as redes virtuais do Azure pela rede da Microsoft. Um gateway de VPN é um tipo específico de gateway de rede virtual.

  • Azure Monitor. Colete, analise e aja sobre dados de telemetria de seus ambientes locais e do Azure. O Azure Monitor ajuda você a maximizar o desempenho e a disponibilidade de seus aplicativos e ajuda a identificar problemas proativamente em segundos.

Detalhes do cenário

Os benefícios de usar uma configuração de hub e spoke incluem economia de custos, limites de assinatura de superação e isolamento de carga de trabalho.

Possíveis casos de uso

Alguns usos típicos dessa arquitetura:

  • As cargas de trabalho implantadas em diferentes ambientes, como desenvolvimento, teste e produção, que exigem serviços compartilhados como DNS, IDS, NTP ou AD DS. Os serviços compartilhados são colocados na rede virtual do hub, enquanto cada ambiente é implantado em um spoke para manter o isolamento.
  • Cargas de trabalho que não exigem conectividade entre si, mas precisam de acesso aos serviços compartilhados.
  • Empresas que exigem o controle centralizado sobre aspectos de segurança, como um firewall no hub como uma DMZ e gerenciamento separado para cargas de trabalho em cada spoke.

Recomendações

As recomendações a seguir aplicam-se à maioria dos cenários. Siga estas recomendações, a menos que você tenha um requisito específico que as substitua.

Grupos de recursos

A solução de exemplo incluída neste documento usa um grupo de recursos do Azure. Na prática, o hub e cada spoke podem ser implementados em diferentes grupos de recursos e até mesmo em diferentes assinaturas. Ao usar redes virtuais de par em diferentes assinaturas, ambas as assinaturas podem ser associadas ao mesmo locatário ou a um locatário diferente do Azure Active Directory. Essa flexibilidade possibilita o gerenciamento descentralizado de cada carga de trabalho e ao mesmo tempo compartilha os serviços mantidos no hub. Confira Criar um emparelhamento de rede virtual – Resource Manager, assinaturas diferentes e locatários do Azure Active Directory.

Rede virtual e GatewaySubnet

Crie uma sub-rede denominada GatewaySubnet, com um intervalo de endereços de /27. O gateway de rede virtual requer essa sub-rede. Alocar 32 endereços para essa sub-rede ajudará a evitar que as limitações de tamanho do gateway sejam atingidas no futuro.

Para obter mais informações sobre como configurar o gateway, consulte as seguintes arquiteturas de referência, dependendo do seu tipo de conexão:

Para maior disponibilidade, você pode usar o ExpressRoute e uma VPN para failover. Consulte Conectar uma rede local ao Azure usando o ExpressRoute com failover de VPN.

Uma topologia hub-spoke também poderá ser usada sem um gateway, se você não precisar de conectividade com a rede local.

Emparelhamento de rede virtual

O emparelhamento de rede virtual é uma relação não transitiva entre duas redes virtuais. Se você precisar que os spokes se conectem entre si, considere adicionar uma conexão de emparelhamento separada entre os spokes.

Suponha que você tenha vários spokes que precisam se conectar entre si. Nesse caso, você ficará sem possíveis conexões de emparelhamento rapidamente, pois o número de emparelhamentos de rede virtual por rede virtual é limitado. Para obter mais informações, consulte Limites de rede. Nesse cenário, considere usar UDRs (rotas definidas pelo usuário) para forçar o tráfego destinado a um spoke a ser enviado para o Firewall do Azure ou uma solução de virtualização de rede que age como um roteador no hub. Essa mudança permitirá que os spokes se conectem entre si.

Você também pode configurar os spokes para usar o gateway do hub para se comunicar com redes remotas. Para permitir que o tráfego de gateway flua do spoke para o hub e se conecte a redes remotas, é necessário fazer o seguinte:

  • Configurar a conexão de emparelhamento no hub para permitir trânsito de gateway.
  • Configurar a conexão de emparelhamento em cada spoke para usar os gateways remotos.
  • Configurar todas as conexões de emparelhamento para permitir tráfego encaminhado.

Para obter mais informações, confira Criar emparelhamentos de VNet.

Conectividade de spoke

Se você precisar de conectividade entre spokes, considere implantar um Firewall do Azure ou outra solução de virtualização de rede. Em seguida, crie rotas para encaminhar o tráfego do spoke para o firewall ou a solução de virtualização de rede, que pode então rotear para o segundo spoke. Nesse cenário, você precisa configurar todas as conexões de emparelhamento para permitir tráfego encaminhado.

Roteamento entre os spokes usando o Firewall do Azure

Baixe um Arquivo Visio dessa arquitetura.

Você também pode usar um gateway de VPN para rotear o tráfego entre spokes, embora essa escolha afete a latência e a taxa de transferência. Confira Configurar o trânsito de gateway de VPN para o emparelhamento de rede virtual para obter detalhes de configuração.

Considere quais serviços são compartilhados no hub para garantir que o hub seja dimensionado para um número maior de spokes. Por exemplo, se o seu hub fornecer serviços de firewall, considere os limites de largura de banda da sua solução de firewall ao adicionar vários spokes. Pode ser útil mover alguns desses serviços compartilhados para um segundo nível de hubs.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios de orientação que podem ser usados para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.

Gerenciamento

Use o AVNM (Gerenciador de Rede Virtual do Azure) para criar topologias de rede virtual de hub e spoke (e integrar as existentes) para o gerenciamento central de controles de segurança e conectividade.

O AVNM garante que suas topologias de rede hub e spoke estejam preparadas para crescimento futuro em grande escala em várias assinaturas, grupos de gerenciamento e regiões. Confira os seguintes cenários de exemplo:

  • A democratização do gerenciamento de redes virtuais spoke para grupos de uma organização, como unidades de negócios ou equipes de aplicativos, o que resulta em um grande número de requisitos de conectividade VNet para VNet e de regras de segurança de rede.
  • A padronização de várias arquiteturas de hub e spoke de réplica em várias regiões do Azure para garantir um volume global para aplicativos.

A descoberta das redes virtuais desejadas a serem gerenciadas por meio do AVNM pode ser definida usando o recurso Escopos. Esse recurso permite flexibilidade em um número desejado de instâncias de recurso do AVNM, o que permite a democratização adicional do gerenciamento para grupos de VNets.

As VNets em qualquer assinatura, grupo de gerenciamento ou região, no mesmo locatário do Azure AD, podem ser agrupadas em grupos de rede para garantir a uniformidade das regras de rede e de conectividade esperadas. As redes virtuais podem ser integradas automaticamente ou manualmente ao grupo de rede por meio de associações dinâmicas ou estáticas.

As VNets spoke no mesmo grupo de rede podem ser conectadas entre si, habilitando o emparelhamento VNet por meio do recurso de conectividade direta do AVNM. Para estender as funcionalidades para que spokes em diferentes regiões tenham conectividade direta, use o recurso de malha global, que facilita a criação de emparelhamentos de VNet globais. Confira o diagrama de exemplo abaixo:

Diagrama mostrando a conectividade direta de spoke.

Além disso, para garantir um conjunto de regras de segurança de linha de base, as VNets no mesmo grupo de rede podem ser associadas a regras de administrador de segurança. As regras de administrador de segurança são avaliadas antes das regras do NSG e têm a mesma natureza de NSGs, com suporte para priorização, marcas de serviço e protocolos L3-L4.

Por fim, para facilitar a distribuição controlada de alterações de grupos de rede, de conectividade e de regras de segurança, o recurso de implantações do AVNM permite que você lance com segurança as alterações interruptivas dessas configurações nos ambientes hub e spoke.

Para obter mais informações sobre como começar, confira Criar uma topologia hub e spoke com o Gerenciador de Rede Virtual do Azure.

Considerações operacionais

Considere as informações a seguir ao implantar e gerenciar redes hub e spoke.

Monitoramento de rede

Use o Observador de Rede do Azure para monitorar e solucionar problemas dos componentes de rede. Ferramentas como a Análise de Tráfego mostrarão os sistemas em suas redes virtuais que geram mais tráfego. Em seguida, você pode identificar visualmente gargalos antes que eles se tornem problemas. O Gerenciador de Desempenho de Rede é a ferramenta certa para monitorar informações sobre circuitos do Microsoft ExpressRoute. O diagnóstico de VPN é outra ferramenta que pode ajudar a solucionar problemas de conexões VPN site a site que conectam seus aplicativos a usuários locais.

Para obter mais informações, consulte Azure Observador de Rede.

Otimização de custo

A otimização de custos é a análise de maneiras de reduzir as despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, confira Visão geral do pilar de otimização de custo.

Considere os itens relacionados a custo a seguir ao implantar e gerenciar redes hub e spoke.

Firewall do Azure

Um Firewall do Azure é implantado na rede do hub nessa arquitetura. Quando usado como uma solução compartilhada e consumido por várias cargas de trabalho, um Firewall do Azure pode ter uma economia de 30 a 50% em relação a outras soluções de virtualização de rede. Para obter mais informações, confira Firewall do Azure vs. solução de virtualização de rede.

Emparelhamento de rede virtual

Você pode usar o emparelhamento de rede virtual para rotear o tráfego entre redes virtuais usando endereços IP privados. Estes são alguns pontos:

  • O tráfego de entrada e saída é cobrado nas duas extremidades das redes emparelhadas.
  • Zonas diferentes têm taxas de transferência diferentes.

Por exemplo, a transferência de dados de uma rede virtual na zona 1 para outra rede virtual na zona 2 incorrerá na taxa de transferência de saída para a zona 1 e na taxa de entrada para a zona 2. Para saber mais, confira Preços de rede virtual.

Implantar este cenário

Essa implantação inclui uma rede virtual de hub e dois spokes emparelhados. Um Azure Bastion host e o Firewall do Azure também são implantados. Opcionalmente, a implantação pode incluir máquinas virtuais na primeira rede spoke e um gateway de VPN.

Use o comando a seguir para criar um grupo de recursos para a implantação. Clique no botão Experimentar para usar um shell inserido.

az group create --name hub-spoke --location eastus

Execute o comando a seguir para implantar a configuração de rede hub e spoke, emparelhamentos de VNet entre o hub e o spoke e um bastion host. Quando solicitado, digite o nome de usuário e a senha. Esses valores podem ser usados para acessar a máquina virtual localizada na rede spoke.

az deployment group create --resource-group hub-spoke \
    --template-uri https://raw.githubusercontent.com/mspnp/samples/main/solutions/azure-hub-spoke/azuredeploy.json

Para obter informações detalhadas e opções de implantação adicionais, confira os modelos do ARM (Azure Resource Manager) usados para implantar essa solução.

Próximas etapas

Saiba mais sobre as tecnologias dos componentes:

Explore as seguintes arquiteturas relacionadas: