Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A topologia hub e spoke é um padrão comum de arquitetura de rede no Azure. Nessa configuração, o hub é uma rede virtual (VNet) que atua como ponto central de conectividade para a sua rede local. Os spokes são VNets que fazem par com o hub e podem ser usadas para isolar cargas de trabalho. O hub pode proteger e rotear o tráfego entre os spokes usando vários métodos.
Por exemplo, você pode usar o Servidor de Rota do Azure com roteamento dinâmico e soluções de virtualização de rede (NVAs) para rotear o tráfego entre spokes, embora o processo possa ser complexo. Um método mais simples envolve o uso do Firewall do Azure e de rotas estáticas.
Este artigo demonstra como você pode usar o Firewall do Azure com rotas estáticas definidas pelo usuário (UDRs) para rotear tráfego em uma topologia com vários hubs e spokes. O diagrama a seguir ilustra a topologia:
Arquitetura de linha de base
O Firewall do Azure não apenas protege e inspeciona o tráfego de rede, mas também roteia o tráfego entre VNets. Cria automaticamente rotas do sistema para os spokes locais, o hub e os prefixos locais aprendidos por seu Gateway de Rede Virtual local. Colocar uma NVA no hub e consultar as rotas efetivas mostraria uma tabela de rotas semelhante à encontrada dentro do Firewall do Azure.
Nessa arquitetura de roteamento estático, o caminho mais curto para um outro hub é alcançado usando o peering global de VNets entre hubs. Cada hub está ciente dos outros hubs e cada firewall local contém a tabela de rotas de cada hub conectado diretamente. No entanto, os hubs locais só estão cientes de seus spokes locais. Esses hubs podem estar na mesma região ou em regiões diferentes.
Roteamento na sub-rede do firewall
Cada firewall local precisa saber como alcançar os spokes remotos, então você precisa criar UDRs nas sub-redes do firewall. Comece criando uma rota padrão e, a seguir, adicione rotas mais específicas aos outros spokes. As capturas de tela a seguir mostram as tabelas de rotas para as duas VNets de hub:
Observação
O prefixo de endereço na tabela de rotas virtuais do hub deve abranger os espaços de endereços das duas redes virtuais spoke.
Tabela de rotas do Hub-01
Tabela de rotas do Hub-02
Roteamento nas sub-redes spoke
Essa topologia permite que o tráfego migre de um hub para outro, atingindo o próximo salto diretamente conectado por meio do peering global.
Conforme ilustrado no diagrama, é melhor colocar uma UDR nas sub-redes spoke que têm uma rota 0/0 (gateway padrão) apontando para o firewall local como o próximo salto. Isso garante um único ponto de saída por meio do firewall local e reduz o risco de roteamento assimétrico se prefixos mais específicos do seu ambiente local fizerem com que o tráfego ignore o firewall. Para obter mais informações, confira Não deixe suas Rotas do Azure se voltarem contra você.
Aqui temos um exemplo de tabela de rotas para as sub-redes spoke conectadas ao Hub-01:
Próximas etapas
- Aprenda a implantar e configurar um Firewall do Azure.