Topologia de rede do Azure tradicional

  • Artigo

Importante

Experimente a nova experiência de Topologia (Pré-visualização), que oferece uma visualização dos recursos do Azure para facilitar a gestão de inventário e monitorizar a rede em escala. Use a visualização de topologia para visualizar recursos e suas dependências entre assinaturas, regiões e locais. Selecione este link para navegar até a experiência.

Explore as principais considerações de design e recomendações sobre topologias de rede no Microsoft Azure.

Diagram that illustrates a traditional Azure network topology.

Figura 1: uma topologia de rede tradicional do Azure.

Considerações sobre o design:

  • Várias topologias de rede podem conectar várias redes virtuais da zona de destino. Exemplos de topologias de rede incluem uma grande rede virtual plana, várias redes virtuais conectadas com vários circuitos ou conexões da Rota Expressa do Azure, hub e spoke, malha completa e híbrida.

  • As redes virtuais não podem atravessar os limites da assinatura. No entanto, você pode obter conectividade entre redes virtuais em assinaturas diferentes usando o emparelhamento de rede virtual, um circuito do ExpressRoute ou gateways de VPN.

  • O emparelhamento de rede virtual é o método preferencial para conectar redes virtuais no Azure. Você pode usar o emparelhamento de rede virtual para conectar redes virtuais na mesma região, em diferentes regiões do Azure e em diferentes locatários do Microsoft Entra.

  • O emparelhamento de rede virtual e o emparelhamento de rede virtual global não são transitivos. Para habilitar uma rede de trânsito, você precisa de rotas definidas pelo usuário (UDRs) e dispositivos virtuais de rede (NVAs). Para obter mais informações, confira Topologia de rede hub-spoke no Azure.

  • Você pode compartilhar um plano de Proteção contra DDoS do Azure em todas as redes virtuais em um único locatário do Microsoft Entra para proteger recursos com endereços IP públicos. Para saber mais, confira Proteção contra DDoS do Azure.

    • Os planos de Proteção contra DDoS do Azure cobrem apenas recursos com endereços IP públicos.

    • O custo de um plano de Proteção contra DDoS do Azure inclui 100 endereços IP públicos em todas as redes virtuais protegidas associadas ao plano de Proteção contra DDoS. A proteção para mais recursos está disponível a um custo separado. Para obter mais informações sobre os preços do plano de Proteção contra DDoS do Azure, consulte a página de preços da Proteção contra DDoS do Azure ou as Perguntas frequentes.

    • Analise os recursos com suporte dos planos de Proteção contra DDoS do Azure.

  • Use os circuitos do ExpressRoute para estabelecer a conectividade entre redes virtuais na mesma região geopolítica ou usando o complemento premium para conectividade entre regiões geopolíticas. Lembre-se destes pontos:

    • O tráfego de rede para rede pode ter mais latência, porque o tráfego deve ser bloqueado nos roteadores Microsoft Enterprise Edge (MSEE).

    • A SKU do gateway da Rota Expressa restringe a largura de banda.

    • Implante e gerencie UDRs se precisar inspecionar ou registrar em log UDRs para tráfego em redes virtuais.

  • Os gateways VPN com BGP (Border Gateway Protocol) são transitórios no Azure e nas redes locais, mas não fornecem acesso transitivo às redes conectadas via Rota Expressa por padrão. Se você precisar de acesso transitivo a redes conectadas via Rota Expressa, considere o Servidor de Rotas do Azure.

  • Quando você conecta vários circuitos de Rota Expressa à mesma rede virtual, use pesos de conexão e técnicas BGP para garantir um caminho ideal para o tráfego entre redes locais e o Azure. Para obter mais informações, confira Otimizar o roteamento do ExpressRoute.

  • O uso de métricas do BGP para influenciar o roteamento do ExpressRoute é uma alteração de configuração feita fora da plataforma Azure. Sua organização ou seu provedor de conectividade precisa configurar os roteadores locais de acordo.

  • Os circuitos do ExpressRoute que têm complementos premium fornecem conectividade global.

  • A Rota Expressa tem certos limites; há um número máximo de conexões de Rota Expressa por gateway de Rota Expressa, e o emparelhamento privado da Rota Expressa pode identificar um número máximo de rotas do Azure para o local. Para obter mais informações sobre limites de Rota Expressa, consulte Limites de Rota Expressa.

  • A taxa de transferência máxima agregada de um gateway de VPN é de dez gigabits por segundo. Um gateway VPN suporta até 100 túneis site a site ou de rede a rede.

  • Se um NVA fizer parte da arquitetura, considere o Azure Route Server para simplificar o roteamento dinâmico entre seu dispositivo virtual de rede (NVA) e sua rede virtual. O Servidor de Rotas do Azure permite que você troque informações de roteamento diretamente por meio do protocolo de roteamento BGP (Border Gateway Protocol) entre qualquer NVA que ofereça suporte ao protocolo de roteamento BGP e a rede definida por software (SDN) do Azure na rede virtual (VNet) do Azure sem a necessidade de configurar ou manter tabelas de rotas manualmente.

Recomendações de design:

  • Considere o uso de um design de rede com base na topologia de rede hub-spoke tradicional nos seguintes cenários:

    • Uma arquitetura de rede implantada em uma região individual do Azure.

    • Uma arquitetura de rede que abrange várias regiões do Azure, sem necessidade de conectividade transitiva entre as redes virtuais para as zonas de destino entre regiões.

    • Uma arquitetura de rede que abrange várias regiões do Azure e emparelhamento de rede virtual global que pode conectar redes virtuais entre regiões do Azure.

    • Não há necessidade de conectividade transitiva entre as conexões VPN e do ExpressRoute.

    • O principal método de conectividade híbrida em vigor é a Rota Expressa, e o número de conexões VPN é inferior a 100 por Gateway VPN.

    • Há uma dependência de NVAs centralizadas e de um roteamento granular.

  • Para implantações regionais, use principalmente a topologia hub-spoke. Use redes virtuais de zona de aterrissagem que se conectam com emparelhamento de rede virtual para uma rede virtual de hub central para os seguintes cenários:

    • Conectividade entre locais via Rota Expressa.

    • VPN para conectividade de filial.

    • Conectividade Spoke-to-spoke via NVAs e UDRs.

    • Proteção de saída da Internet via Firewall do Azure ou outro NVA de terceiros.

O diagrama a seguir mostra a topologia hub-and-spoke. Essa configuração permite que o controle de tráfego apropriado atenda à maioria dos requisitos de segmentação e inspeção.

Diagram that illustrates a hub-and-spoke network topology.

Figura 2: topologia de rede hub-spoke.

  • Use a topologia de várias redes virtuais conectadas a vários circuitos do ExpressRoute quando uma destas condições for verdadeira:

    • Você precisa ter um alto nível de isolamento.

    • Você precisa ter largura de banda dedicada do ExpressRoute para unidades de negócios específicas.

    • Você atingiu o número máximo de conexões por gateway do ExpressRoute (veja o artigo Limites do ExpressRoute para saber o número máximo).

A figura a seguir mostra essa topologia.

Diagram that illustrates multiple virtual networks connected with multiple ExpressRoute circuits.

Figura 3: várias redes virtuais conectadas a vários circuitos do ExpressRoute.

  • Implante um conjunto de serviços compartilhados mínimos, incluindo gateways do ExpressRoute, gateways de VPN (conforme necessário) e o Firewall do Azure ou NVAs de parceiros (conforme necessário) na rede virtual de hub central. Se necessário, implante também controladores de domínio do Active Directory e servidores DNS.

  • Implante o Firewall do Azure ou NVAs de parceiros para proteção e filtragem de tráfego leste/oeste ou sul/norte na rede virtual de hub central.

  • Ao implantar tecnologias de rede de parceiros ou NVAs, siga as diretrizes do fornecedor do parceiro para verificar se:

    • O fornecedor dá suporte à implantação.

    • A orientação oferece suporte a alta disponibilidade e desempenho máximo.

    • Não há configurações conflitantes com a rede do Azure.

  • Não implante NVAs de entrada da Camada 7, como o Gateway de Aplicativo do Azure, como um serviço compartilhado na rede virtual de hub central. Em vez disso, implante-as junto com o aplicativo nas respectivas zonas de destino.

  • Implante um só plano de proteção de DDoS padrão do Azure na assinatura de conectividade.

    • Todas as redes virtuais de plataforma e de zona de destino devem usar esse plano.

  • Use a rede existente, a alternância de rótulos multiprotocolo e a SD-WAN para conectar locais de branch com a sede corporativa. Se você não usar o Servidor de Rotas do Azure, não haverá suporte para trânsito no Azure entre gateways de Rota Expressa e VPN.

  • Se você precisar de transitividade entre gateways de Rota Expressa e VPN em um cenário de hub-and-spoke, use o Servidor de Rotas do Azure conforme descrito neste cenário de referência.

    Diagram that illustrates transitivity between ER and VPN gateways with Azure Route Server.

  • Quando você tiver redes hub e spoke em várias regiões do Azure e algumas zonas de destino precisarem se conectar entre regiões, use o emparelhamento de rede virtual global para conectar diretamente as redes virtuais da zona de destino que precisam rotear o tráfego entre si. Dependendo do SKU da VM de comunicação, o emparelhamento de rede virtual global pode fornecer alta taxa de transferência de rede. O tráfego entre redes virtuais de zona de aterrissagem diretamente emparelhadas ignora NVAs dentro de redes virtuais de hub. As limitações no emparelhamento de rede virtual global se aplicam ao tráfego.

  • Quando você tiver redes hub-and-spoke em várias regiões do Azure e a maioria das zonas de aterrissagem precisar se conectar entre regiões (ou quando o uso de emparelhamento direto para ignorar NVAs de hub não for compatível com seus requisitos de segurança), use NVAs de hub para conectar redes virtuais de hub em cada região entre si e rotear o tráfego entre regiões. O emparelhamento de rede virtual global ou os circuitos do ExpressRoute podem ajudar a conectar redes virtuais de hub das seguintes maneiras:

    • O emparelhamento de rede virtual global fornece uma conexão de baixa latência e alta taxa de transferência, mas gera valores de tráfego.

    • O roteamento via Rota Expressa pode levar ao aumento da latência (devido ao hairpin MSEE), e a SKU do gateway da Rota Expressa selecionada limita a taxa de transferência.

A seguinte figura mostra as duas opções:

Diagram that illustrates options for hub-to-hub connectivity.

Figura 4: opções para conectividade hub a hub.

  • Quando duas regiões do Azure precisarem se conectar, use o emparelhamento de rede virtual global para conectar ambas as redes virtuais de hub.

  • Quando mais de duas regiões do Azure precisarem se conectar, recomendamos que as redes virtuais de hub em cada região se conectem aos mesmos circuitos da Rota Expressa. O emparelhamento de rede virtual global exigirá o gerenciamento de um grande número de relações de emparelhamento e um conjunto complexo de UDRs (rotas definidas pelo usuário) em várias redes virtuais. O diagrama a seguir mostra como conectar redes hub-and-spoke em três regiões:

Diagram that illustrates ExpressRoute providing hub-to-hub connectivity between multiple regions.

Figura 5: ExpressRoute fornecendo conectividade hub a hub entre várias regiões.

  • Quando você usa circuitos de Rota Expressa para conectividade entre regiões, os raios em diferentes regiões se comunicam diretamente e ignoram o firewall porque aprendem por meio de rotas BGP para os raios do hub remoto. Se você precisar dos NVAs de firewall nas redes virtuais de hub para inspecionar o tráfego entre raios, implemente uma destas opções:

    • Crie entradas de rota mais específicas nas UDRs spoke para o firewall na rede virtual de hub local para redirecionar o tráfego entre os hubs.

    • Para simplificar a configuração de rota, desabilite a propagação do BGP nas tabelas de rotas spoke.

  • Quando sua organização exige arquiteturas de rede hub-and-spoke em mais de duas regiões do Azure e conectividade de trânsito global entre zonas de aterrissagem, redes virtuais entre regiões do Azure, e você deseja minimizar a sobrecarga de gerenciamento de rede, recomendamos uma arquitetura de rede de trânsito global gerenciada baseada em WAN Virtual.

  • Implante os recursos de rede do hub de cada região em grupos de recursos separados e os classifique em cada região implantada.

  • Use o Gerenciador de Rede Virtual do Azure para gerenciar a conectividade e a configuração de segurança de redes virtuais globalmente entre assinaturas.

  • Use o Azure Monitor for Networks para monitorar o estado de ponta a ponta de suas redes no Azure.

  • Você deve considerar os dois limites a seguir ao conectar redes virtuais spoke à rede virtual do hub central:

    • O número máximo de conexões de emparelhamento de rede virtual por rede virtual.
    • O número máximo de prefixos que a Rota Expressa com emparelhamento privado anuncia do Azure para o local.

    Verifique se o número de redes virtuais spoke conectadas à rede virtual de hub não excede esses limites.