Definir uma topologia de rede do Azure

  • Artigo

A topologia de rede é um elemento crítico de uma arquitetura de zona de aterrissagem porque define como os aplicativos podem se comunicar uns com os outros. Esta seção explora as tecnologias e abordagens de topologia para implantações do Azure. Ele se concentra em duas abordagens principais: topologias baseadas na WAN Virtual do Azure e topologias tradicionais.

A WAN Virtual é usada para atender aos requisitos de interconectividade em grande escala. Como é um serviço gerenciado pela Microsoft, ela também reduz a complexidade geral da rede e ajuda a modernizar a rede da sua organização. Uma topologia de WAN Virtual pode ser mais apropriada se qualquer um dos seguintes requisitos se aplicar à sua organização:

  • Sua organização pretende implantar recursos em várias regiões do Azure e requer conectividade global entre redes virtuais nessas regiões do Azure e vários locais locais.
  • Sua organização pretende integrar uma rede de filial em grande escala diretamente ao Azure por meio de uma implantação de WAN definida por software (SD-WAN) ou requer mais de 30 sites de filial para terminação IPSec nativa.
  • Você precisa de roteamento transitivo entre uma rede virtual privada (VPN) e a Rota Expressa do Azure. Por exemplo, filiais remotas conectadas via VPN site a site ou usuários remotos conectados via VPN ponto a site exigem conectividade com um DC conectado à Rota Expressa via Azure.

Uma topologia de rede hub-and-spoke tradicional ajuda você a criar redes personalizadas e de segurança aprimorada em grande escala no Azure. Com essa topologia, você gerencia o roteamento e a segurança. Uma topologia tradicional pode ser mais apropriada se qualquer um dos seguintes requisitos se aplicar à sua organização:

  • Sua organização pretende implantar recursos em uma ou várias regiões do Azure e, embora algum tráfego entre regiões do Azure seja esperado (por exemplo, tráfego entre duas redes virtuais em duas regiões diferentes do Azure), uma rede de malha completa em todas as regiões do Azure não é necessária.
  • Você tem um número baixo de locais remotos ou de branch por região. Ou seja, você precisa de menos de 30 túneis IPSec site-to-site.
  • Você precisa de controle total e granularidade para configurar manualmente sua política de roteamento de rede do Azure.

Topologia de rede de WAN Virtual (gerenciada pela Microsoft)

Diagram that illustrates a Virtual WAN network topology.

Topologia de rede do Azure tradicional

Diagram that illustrates a traditional Azure network topology.

Gerenciador de Rede Virtual do Azure nas zonas de aterrissagem do Azure

A arquitetura conceitual de zonas de aterrissagem do Azure recomenda uma das duas topologias de rede: uma topologia de rede baseada em WAN Virtual ou uma topologia de rede baseada em uma arquitetura tradicional de hub-and-spoke. À medida que seus requisitos de negócios mudam ao longo do tempo (por exemplo, uma migração de aplicativos locais para o Azure que requer conectividade híbrida), você pode usar o Gerenciador de Rede Virtual para expandir e implementar alterações de rede. Em muitos casos, você pode fazer isso sem interromper o que já está implantado no Azure.

Você pode usar o Virtual Network Manager para criar três tipos de topologias em assinaturas para redes virtuais novas e existentes:

  • Topologia hub-spoke
  • Topologia Hub-and-spoke com conectividade direta entre raios
  • Topologia de malha (em visualização)

Diagram that shows Azure virtual network topologies.

Observação

O Virtual Network Manager não oferece suporte a hubs de WAN Virtual como parte de um grupo de rede ou como o hub em uma topologia. Para obter mais informações, consulte Perguntas frequentes sobre o Gerenciador de Rede Virtual do Azure.

Quando você cria uma topologia hub-and-spoke com conectividade direta no Virtual Network Manager, em que os raios são conectados uns aos outros diretamente, a conectividade direta entre redes virtuais spoke no mesmo grupo de rede é habilitada automaticamente, bidirecionalmente, por meio do recurso Grupo conectado .

Você pode usar o Virtual Network Manager para adicionar estática ou dinamicamente redes virtuais a grupos de rede específicos. Isso define e cria a topologia desejada, com base em sua configuração de conectividade no Virtual Network Manager.

Você pode criar vários grupos de rede para isolar grupos de redes virtuais da conectividade direta. Cada grupo de rede fornece a mesma região e suporte a várias regiões para conectividade spoke-to-spoke. Certifique-se de permanecer dentro dos limites definidos para o Gerenciador de Rede Virtual, que são descritos em Perguntas frequentes do Gerenciador de Rede Virtual do Azure.

De uma perspectiva de segurança, o Virtual Network Manager fornece uma maneira eficiente de aplicar regras de administração de segurança para negar ou permitir fluxos de tráfego centralmente, independentemente do que é definido em NSGs. Esse recurso permite que os administradores de segurança de rede imponham controles de acesso e permitam que os proprietários de aplicativos gerenciem suas próprias regras de nível inferior em NSGs.

Você pode usar o Virtual Network Manager para agrupar redes virtuais. Em seguida, você pode aplicar configurações aos grupos em vez de a redes virtuais individuais. Essa funcionalidade permite um gerenciamento mais eficiente de conectividade, configuração e topologia, regras de segurança e implantação em uma ou mais regiões simultaneamente sem perder o controle refinado.

Você pode segmentar redes por ambientes, equipes, locais, linhas de negócios ou alguma outra função que atenda às suas necessidades. Você pode definir grupos de rede estaticamente ou dinamicamente criando um conjunto de condições que regem a associação ao grupo.

Você pode usar o Gerenciador de Rede Virtual para implementar os princípios de design da zona de aterrissagem do Azure para acomodar toda a migração, modernização e inovação de aplicativos em escala.

Considerações sobre o design

  • Em uma implantação tradicional de hub-and-spoke, as conexões de emparelhamento de rede virtual são criadas e mantidas manualmente. O Virtual Network Manager introduz uma camada de automação para emparelhamento de rede virtual, o que torna topologias de rede grandes e complexas, como malha, mais fáceis de gerenciar em escala. Para obter mais informações, consulte Visão geral do grupo de rede.
  • Os requisitos de segurança de várias funções de negócios determinam a necessidade de criar grupos de rede. Um grupo de rede é um conjunto de redes virtuais selecionado manualmente ou por meio de instruções condicionais, conforme descrito anteriormente neste documento. Ao criar um grupo de rede, você precisa especificar uma diretiva ou o Virtual Network Manager pode criar uma diretiva se você permitir explicitamente isso. Essa política permite que o Virtual Network Manager seja notificado sobre alterações. Para atualizar as iniciativas de política existentes do Azure, você precisa implantar alterações no grupo de rede dentro do recurso Gerenciador de Rede Virtual.
  • Para projetar grupos de rede apropriados, você deve avaliar quais partes da rede compartilham características de segurança comuns. Por exemplo, você pode criar grupos de rede para Corporativo e Online para gerenciar suas regras de conectividade e segurança em escala.
  • Quando várias redes virtuais nas assinaturas da sua organização compartilham os mesmos atributos de segurança, você pode usar o Virtual Network Manager para aplicá-los com eficiência. Você deve, por exemplo, colocar todos os sistemas usados por uma unidade de negócios, como RH ou Finanças, em um grupo de rede separado, pois precisa aplicar regras de administração diferentes a eles.
  • O Virtual Network Manager pode aplicar centralmente regras de administração de segurança, que têm prioridade mais alta do que as regras NSG aplicadas no nível da sub-rede. (Este recurso está em visualização.) Esse recurso permite que as equipes de rede e segurança apliquem efetivamente as políticas da empresa e criem grades de segurança em escala, mas permite que as equipes de produto mantenham simultaneamente o controle dos NSGs dentro de suas assinaturas da zona de aterrissagem.
  • Você pode usar o recurso de regras de administração de segurança do Virtual Network Manager para permitir ou negar explicitamente fluxos de rede específicos, independentemente das configurações do NSG nos níveis de sub-rede ou interface de rede. Você pode usar esse recurso, por exemplo, para permitir que os fluxos de rede de serviços de gerenciamento sejam sempre permitidos. Os NSGs controlados por equipes de aplicativos não podem substituir essas regras.
  • Uma rede virtual pode fazer parte de até dois grupos conectados.

Recomendações sobre design

  • Defina o escopo do Virtual Network Manager. Aplicar regras de administração de segurança que impõem regras no nível da organização no grupo de gerenciamento raiz (o locatário). Isso aplica regras hierarquicamente automaticamente a recursos novos e existentes e a todos os grupos de gerenciamento associados.
  • Crie uma instância do Virtual Network Manager na assinatura Conectividade com um escopo do grupo de gerenciamento raiz intermediário (por exemplo, Contoso). Habilite o recurso de administrador de segurança nesta instância. Essa configuração permite que você defina regras de administração de segurança que se aplicam a todas as redes virtuais e sub-redes em sua hierarquia de zona de aterrissagem do Azure e ajuda a democratizar NSGs para proprietários e equipes de zona de aterrissagem de aplicativos.
  • Segmente redes agrupando redes virtuais de forma estática (manual) ou dinâmica (baseada em políticas).
  • Habilite a conectividade direta entre raios quando raios selecionados precisarem se comunicar com frequência, com baixa latência e alta taxa de transferência, entre si, além de acessar serviços comuns ou NVAs no hub.
  • Habilite a malha global quando todas as redes virtuais entre regiões precisarem se comunicar entre si.
  • Atribua um valor de prioridade a cada regra de administrador de segurança em suas coleções de regras. Quanto menor o valor, maior a prioridade da regra.
  • Use regras de administração de segurança para permitir ou negar explicitamente fluxos de rede, independentemente das configurações NSG controladas por equipes de aplicativos. Isso também permite delegar totalmente o controle de NSGs e suas regras para equipes de aplicativos.