Share via

Topologia de rede WAN virtual

  • Artigo

Explore as principais considerações e recomendações de design para redes virtuais de longa distância (WAN Virtual) no Microsoft Azure.

Diagram that illustrates a Virtual WAN network topology.

Figura 1: Topologia de rede de WAN Virtual. Baixe um Arquivo Visio dessa arquitetura.

Considerações sobre o design da rede WAN virtual

A WAN Virtual do Azure é uma solução gerenciada pela Microsoft que fornece conectividade de trânsito de ponta a ponta, global e dinâmica por padrão. Os hubs da WAN Virtual eliminam a necessidade de configurar manualmente a conectividade de rede. Por exemplo, você não precisa gerenciar UDRs (rotas definidas pelo usuário) nem NVAs (soluções de virtualização de rede) para habilitar a conectividade de trânsito global.

  • A WAN Virtual do Azure simplifica a conectividade de rede de ponta a ponta no Azure e para o Azure a partir do local, criando uma arquitetura de rede hub-and-spoke. A arquitetura é facilmente dimensionada para oferecer suporte a várias regiões do Azure e locais locais (qualquer conectividade para qualquer um), conforme mostrado na figura a seguir:

    Diagram that illustrates a global transit network with Virtual WAN.

Figura 2: Rede de trânsito global com a WAN Virtual.

  • A conectividade transitiva da WAN Virtual do Azure para qualquer dá suporte aos seguintes caminhos (dentro da mesma região e entre regiões):

    • Rede virtual à rede virtual
    • Rede virtual para branch
    • Branch para rede virtual
    • Entre branches

  • Os hubs de WAN Virtual do Azure são restritos à implantação de recursos gerenciados pela Microsoft. Os únicos recursos que você pode implantar nos hubs WAN são:

    • Gateways de rede virtual (VPN ponto a site, VPN site a site e Azure ExpressRoute)
    • Azure Firewall via Firewall Manager
    • Tabelas de rotas
    • Alguns dispositivos virtuais de rede (NVA) para recursos SD-WAN específicos do fornecedor

  • A WAN Virtual está vinculada aos limites de assinatura do Azure para WAN Virtual.

  • A conectividade transitiva de rede para rede (dentro de uma região e entre regiões via hub-to-hub) está em disponibilidade geral (GA).

  • A função de roteamento gerenciada pela Microsoft que faz parte de cada hub virtual habilita a conectividade de trânsito entre redes virtuais na WAN Virtual Padrão. Cada hub dá suporte a uma taxa de transferência agregada de até 50 Gbps para o tráfego de VNet para VNet.

  • Um único hub de WAN Virtual do Azure dá suporte a um número máximo específico de cargas de trabalho de VM em todas as VNets conectadas diretamente. Para obter mais informações, consulte Limites de WAN Virtual do Azure.

  • Você pode implantar vários hubs de WAN Virtual do Azure na mesma região para dimensionar além dos limites de hub único.

  • A WAN Virtual se integra a vários provedores de SD-WAN.

  • Muitos provedores de serviços gerenciados oferecem serviços gerenciados para a WAN Virtual.

  • Os gateways VPN do usuário (ponto a site) na WAN Virtual são dimensionados até 20 Gbps de taxa de transferência agregada e 100.000 conexões de cliente por hub virtual. Para obter mais informações, consulte Limites de WAN Virtual do Azure.

  • Os gateways VPN site a site na WAN Virtual são dimensionados até a taxa de transferência agregada de 20 Gbps.

  • Você pode conectar circuitos da Rota Expressa a um hub WAN Virtual usando uma SKU Local, Standard ou Premium.

  • Os circuitos ExpressRoute Standard ou Premium, em locais com suporte no Alcance Global do Azure ExpressRoute, podem se conectar a um gateway de Rota Expressa de WAN Virtual. E eles têm todos os recursos de trânsito de WAN Virtual (VPN para VPN, VPN e trânsito de Rota Expressa). Os circuitos ExpressRoute Standard ou Premium que estão em locais não suportados pelo Global Reach podem se conectar aos recursos do Azure, mas não podem usar os recursos de trânsito da WAN Virtual.

  • O Azure Firewall Manager dá suporte à implantação do Firewall do Azure no hub de WAN Virtual, conhecido como hub virtual seguro. Para obter mais informações, consulte a visão geral do Gerenciador de Firewall do Azure para hubs virtuais seguros e as restrições mais recentes.

  • O tráfego de hub para hub da WAN virtual, por meio do Firewall do Azure, não tem suporte no momento quando o Firewall do Azure é implantado dentro do próprio hub da WAN Virtual (hub virtual seguro). Dependendo de suas necessidades, você tem soluções alternativas. Você pode colocar o Firewall do Azure em uma rede virtual spoke ou usar NSGs para filtragem de tráfego.

  • A experiência do portal de WAN Virtual requer que todos os recursos de WAN Virtual sejam implantados juntos no mesmo grupo de recursos.

  • Você pode compartilhar um plano de Proteção contra DDoS do Azure em todas as redes virtuais em um único locatário do Microsoft Entra para proteger recursos com endereços IP públicos. Para saber mais, confira Proteção contra DDoS do Azure.

Recomendações de design de rede WAN virtual

Recomendamos a WAN virtual para novas implantações de rede grandes ou globais no Azure, em que você precisa de conectividade de trânsito global entre regiões do Azure e pontos locais. Dessa forma, você não precisa configurar manualmente o roteamento transitivo para a rede do Azure.

A figura a seguir mostra um exemplo de implantação de empresa global com datacenters distribuídos pela Europa e pelos Estados Unidos. A implantação contém muitas filiais em ambas as regiões. O ambiente é conectado globalmente por meio da WAN Virtual do Azure e do Alcance Global do ExpressRoute.

Diagram of a sample network topology.

Figura 3: Exemplo de topologia de rede.

  • Use um hub de WAN Virtual por região do Azure para conectar várias zonas de aterrissagem entre regiões do Azure por meio de uma WAN Virtual do Azure global comum.

  • Implante todos os recursos de WAN Virtual em um único grupo de recursos na assinatura de conectividade, inclusive quando você estiver implantando em várias regiões.

  • Use recursos de roteamento do hub virtual para segmentar ainda mais o tráfego entre VNets e branches.

  • Conecte hubs da WAN Virtual a datacenters locais usando o ExpressRoute.

  • Implante os serviços compartilhados necessários, como servidores DNS, em uma rede virtual spoke dedicada. Os recursos compartilhados implantados pelo cliente não podem ser implantados dentro do próprio hub de WAN Virtual.

  • Conecte branches e locais remotos ao hub da WAN Virtual mais próximo por meio do VPN Site a Site ou habilite a conectividade do branch com a WAN Virtual por meio de uma solução de parceiros de SD-WAN.

  • Conecte os usuários ao hub da WAN Virtual por meio de uma VPN Ponto a Site.

  • Siga o princípio de que "o tráfego no Azure permanece no Azure" para que a comunicação entre recursos no Azure ocorra por meio da rede de backbone da Microsoft, mesmo quando os recursos estiverem em regiões diferentes.

  • Para proteção e filtragem de saída da Internet, considere implantar o Firewall do Azure no hub virtual.

  • Segurança fornecida por firewalls NVA. Os clientes também podem implantar NVAs em um hub de WAN Virtual que executa a conectividade SD-WAN e funcionalidades de firewall de última geração. Os clientes podem conectar dispositivos locais à NVA no hub e também usar o mesmo dispositivo para inspecionar todo o tráfego norte-sul, leste-oeste e vinculado à Internet.

  • Quando estiver implantando tecnologias de rede e NVAs de parceiros, siga as diretrizes do fornecedor parceiro para garantir que não haja configurações conflitantes com a rede do Azure.

  • Para cenários brownfield em que você está migrando de uma topologia de rede hub-spoke não baseada na WAN Virtual, consulte Migrar para a WAN Virtual do Azure.

  • Crie recursos da WAN Virtual do Azure e do Firewall do Azure na assinatura de conectividade.

  • Não crie mais de 500 conexões de rede virtual por hub virtual da WAN Virtual.

    • Se você precisar de mais de 500 conexões de rede virtual por hub virtual WAN, poderá implantar outro hub virtual WAN. Implante-o na mesma região como parte da mesma WAN Virtual e grupo de recursos.

  • Planeje sua implantação com atenção e verifique se a arquitetura de rede está dentro dos Limitas da WAN Virtual do Azure.

  • Use insights no Azure Monitor para a WAN Virtual (versão prévia) para monitorar a topologia de ponta a ponta da WAN Virtual, bem como o status e as métricas chave.

  • Implante um só plano de proteção de DDoS padrão do Azure na assinatura de conectividade.

    • Todas as VNets da plataforma e da zona de destino devem usar esse plano.