Compartilhar via


Perguntas frequentes sobre a rede virtual do Azure (FAQ)

Noções básicas

O que é uma rede virtual?

Uma rede virtual é uma representação da sua própria rede na nuvem, conforme fornecido pelo serviço de Rede Virtual do Microsoft Azure. Uma rede virtual é um isolamento lógico da nuvem do Azure que é dedicada à sua assinatura.

Você pode usar redes virtuais para provisionar e gerenciar VPNs (redes virtuais privadas) no Azure. Opcionalmente, você pode vincular as redes virtuais a outras redes virtuais no Azure ou à sua infraestrutura de TI local, para criar soluções híbridas ou entre locais.

Cada rede virtual que você criar tem seu próprio bloco CIDR. Você pode vincular uma rede virtual a outras redes virtuais e redes locais, desde que os blocos CIDR não se sobreponham. Você também tem o controle das definições do servidor DNS para redes virtuais, juntamente com a segmentação da rede virtual em sub-redes.

Utilize redes virtuais para:

  • Criar uma rede virtual dedicada, privada e somente na nuvem. Às vezes, você não precisa de uma configuração entre locais para sua solução. Quando você cria uma rede virtual, seus serviços e máquinas virtuais (VMs) dentro da sua rede virtual podem se comunicar diretamente e de forma segura entre si na nuvem. Você ainda pode configurar conexões de ponto de extremidade para VMs e serviços que exigem comunicação com a Internet como parte de sua solução.

  • Amplie seu datacenter de forma segura. Com as redes virtuais, você pode criar VPNs site a site (S2S) tradicionais para escalar de forma segura a capacidade do datacenter. As VPNs S2S utilizam IPsec para fornecer uma conexão segura entre o gateway de VPN corporativo e o Azure.

  • Habilitar cenários de nuvem híbrida. Você pode conectar de forma segura aplicativos baseados em nuvem a qualquer tipo de sistema local, incluindo mainframes e sistemas Unix.

Como começar?

Visite a documentação da Rede do Azure Virtual para começar. Este conteúdo fornece uma visão geral e informações sobre a implantação de todos os recursos da rede virtual.

Posso utilizar redes virtuais sem conectividade entre locais?

Sim. Você pode utilizar uma rede virtual sem conectá-la às suas instalações. Por exemplo, você pode executar controladores de domínio do Microsoft Windows Server AD e farms do SharePoint somente em uma rede virtual do Azure.

Posso executar a otimização de WAN entre redes virtuais ou entre uma rede virtual e meu datacenter local?

Sim. Você pode implantar um dispositivo virtual de rede para otimização de WAN de vários fornecedores por meio do Azure Marketplace.

Configuração

Quais ferramentas devo usar para criar uma rede virtual?

Você pode usar as seguintes ferramentas para criar ou configurar uma rede virtual:

Quais intervalos de endereços posso utilizar em minhas redes virtuais?

Recomendamos que você utilize os intervalos de endereços a seguir, que estão enumerados em RFC 1918. O IETF reservou esses intervalos para espaços de endereços privados e não roteáveis.

  • 10.0.0.0 a 10.255.255.255 (prefixo 10/8)
  • 172.16.0.0 a 172.31.255.255 (prefixo 172.16/12)
  • 192.168.0.0 a 192.168.255.255 (prefixo 192.168/16)

Você também pode implantar o espaço do endereço compartilhado reservado em RFC 6598, tratado como um espaço de endereço IP privado no Azure:

  • 100.64.0.0 a 100.127.255.255 (prefixo 100.64/10)

Outros espaços de endereços, incluindo todos os outros espaços de endereços privados e não roteáveis reconhecidos pelo IETF, podem funcionar, mas têm efeitos colaterais indesejáveis.

Além disso, não é possível adicionar os seguintes intervalos de endereços:

  • 224.0.0.0/4 (multicast)
  • 255.255.255.255/32 (difundido)
  • 127.0.0.0/8 (loopback)
  • 169.254.0.0/16 (link local)
  • 168.63.129.16/32 (DNS interno)

Posso ter endereços IP públicos em minhas redes virtuais?

Sim. Para obter mais informações sobre intervalos de endereços IP públicos, consulte Criar uma rede virtual. Os endereços IP públicos não são acessíveis diretamente da Internet.

Há um limite para o número de sub-redes na minha rede virtual?

Sim. Consulte Limites de rede para obter detalhes. Os espaços de endereços de sub-rede não podem se sobrepor uns aos outros.

Existem restrições quanto ao uso de endereços IP dentro dessas sub-redes?

Sim. O Azure reserva os quatro primeiros e o último endereço, em um total de cinco endereços IP em cada sub-rede.

Por exemplo, o intervalo de endereços IP de 192.168.1.0/24 tem os seguintes endereços reservados:

  • 192.168.1.0: endereço de rede.
  • 192.168.1.1: reservado pelo Azure para o gateway padrão.
  • 192.168.1.2, 192.168.1.3: reservados pelo Azure para mapear os endereços IP do DNS do Azure para o espaço da rede virtual.
  • 192.168.1.255: endereço de transmissão de rede.

Quão pequenas e quão grandes podem ser as redes virtuais e sub-redes?

A menor sub-rede IPv4 com suporte é /29 e a maior é /2 (usando definições de sub-rede CIDR). As sub-redes IPv6 devem ter exatamente /64 de tamanho.

Posso trazer minhas VLANs para o Azure utilizando redes virtuais?

Não. As redes virtuais são sobreposições de Camada 3. O Azure não dá suporte a nenhuma semântica de camada 2.

Posso especificar políticas de roteamento personalizadas nas minhas redes e sub-redes virtuais?

Sim. Você pode criar uma tabela de rotas e associá-la a uma sub-rede. Para obter mais informações sobre o roteamento no Azure, confira Rotas personalizadas.

Qual é o comportamento quando aplico um NSG e um UDR na sub-rede?

Para o tráfego de entrada, as regras de entrada do Grupo de Segurança de Rede (NSG) são processadas. Para o tráfego de saída, as regras de saída do NSG são processadas, seguidas pelas regras de rota definida pelo usuário (UDR).

Qual é o comportamento quando aplico um NSG em uma NIC e uma sub-rede para uma VM?

Quando você aplica NSGs em um adaptador de rede (NIC) e em uma sub-rede para uma VM:

  • Para o tráfego de entrada, um NSG no nível da sub-rede é processado, seguido por um NSG no nível da NIC.
  • Para o tráfego de saída, um NSG no nível da NIC é processado, seguido por um NSG no nível da sub-rede.

As redes virtuais dão suporte a multicast ou difusão?

Não. Não há suporte para difusão ou multicast.

Quais protocolos posso utilizar em redes virtuais?

Você pode utilizar os protocolos TCP, UDP, ESP, AH e ICMP TCP/IP em redes virtuais.

Há suporte para unicast em redes virtuais. Pacotes multicast, difusão, encapsulados IP-in-IP e pacotes de Encapsulamento de Roteamento Genérico (GRE) são bloqueados em redes virtuais. Você não pode utilizar o protocolo DHCP (DHCP) via Unicast (porta de origem UDP/68, porta de destino UDP/67). A porta de origem UDP 65330 está reservada para o host.

Posso implantar um servidor DHCP em uma rede virtual?

As redes virtuais do Azure fornecem o serviço DHCP e o DNS para Máquinas Virtuais do Azure. No entanto, você também pode implantar um servidor DHCP em uma VM do Azure para atender aos clientes locais por meio de um Agente de Retransmissão DHCP.

O servidor DHCP no Azure foi marcado anteriormente como sem suporte, pois o tráfego para a porta UDP/67 era limitado por taxa no Azure. No entanto, as atualizações recentes da plataforma removeram a limitação de taxa, permitindo essa funcionalidade.

Observação

O cliente local para o servidor DHCP (porta de origem UDP/68, porta de destino UDP/67) ainda não tem suporte no Azure, pois esse tráfego é interceptado e tratado de forma diferente. Portanto, isso resultará em algumas mensagens de tempo limite no momento do DHCP RENEW em T1, quando o cliente tenta acessar diretamente o servidor DHCP no Azure, mas isso deve ser bem-sucedido quando a tentativa DHCP RENEW for feita no T2 por meio do Agente de Retransmissão DHCP. Para obter mais detalhes sobre os temporizadores T1 e T2 DHCP RENEW, consulte RFC 2131.

Posso executar ping em um gateway padrão de uma rede virtual?

Não. Um gateway padrão fornecido pelo Azure não responde a um ping. Mas você pode utilizar pings em suas redes virtuais para verificar a conectividade e para solucionar problemas entre VMs.

Posso usar tracert para diagnosticar a conectividade?

Sim.

Posso adicionar sub-redes após a rede virtual ser criada?

Sim. Você pode adicionar sub-redes a redes virtuais a qualquer momento, desde que essas duas condições existam:

  • O intervalo de endereços de sub-rede não faz parte de outra sub-rede.
  • Existe espaço disponível no intervalo de endereços da rede virtual.

Posso modificar o tamanho da minha sub-rede depois de criá-la?

Sim. Você pode adicionar, remover, expandir ou reduzir uma sub-rede se nenhuma VM ou serviço estiver implantado nela.

Posso modificar uma rede virtual após criá-la?

Sim. Você pode adicionar, remover e modificar os blocos CIDR que uma rede virtual utiliza.

Se eu estiver executando meus serviços em uma rede virtual, posso me conectar à Internet?

Sim. Todos os serviços implantados em uma rede virtual podem se conectar à saída da Internet. Para obter mais informações sobre as conexões de saída da Internet no Azure, confira Usar a Conversão de Endereços de Rede de Origem (SNAT) para conexões de saída.

Se você deseja estabelecer uma conexão de entrada com um recurso implantado através do Azure Resource Manager, o recurso deve ter um endereço IP público atribuído a ele. Para obter mais informações, confira Criar, alterar ou excluir um endereço IP público do Azure.

Todo serviço de nuvem implantado no Azure tem um IP virtual (VIP) endereçável publicamente atribuído a ele. Você define pontos de extremidade de entrada para funções de plataforma como serviço (PaaS) e pontos de extremidade para máquinas virtuais para habilitar esses serviços a aceitar conexões da Internet.

As redes virtuais dão suporte ao IPv6?

Sim. As redes virtuais podem ser somente IPv4 ou de pilha dupla (IPv4 + IPv6). Para obter mais detalhes, confira O que é IPv6 para a Rede Virtual do Azure?.

Uma rede virtual pode abranger regiões?

Não. Uma rede virtual é limitada a uma única região. Mas uma rede virtual abrange zonas de disponibilidade. Para obter mais informações sobre as zonas de disponibilidade, confira O que são regiões e zonas de disponibilidade do Azure?.

Você pode conectar redes virtuais em diferentes regiões utilizando o emparelhamento de redes virtuais. Para obter detalhes, confira Emparelhamento de rede virtual.

Posso conectar uma rede virtual a outra rede virtual no Azure?

Sim. Você pode conectar uma rede virtual a outra rede virtual utilizando uma das duas:

Resolução de nomes (DNS)

Quais são minhas opções de DNS para redes virtuais?

Use a tabela de decisão em Resolução de nomes para recursos em redes virtuais do Azure para guiar você pelas opções de DNS disponíveis.

Posso especificar servidores DNS para uma rede virtual?

Sim. Você pode especificar endereços IP para servidores DNS nas definições da rede virtual. A definição está definida como o servidor ou servidores DNS padrão para todas as VMs na rede virtual.

Quantos servidores DNS posso especificar?

Consulte Limites de rede.

Posso modificar meus servidores DNS após criar a rede?

Sim. Você pode alterar a lista de servidores DNS da sua rede virtual a qualquer momento.

Se alterar sua lista de servidores DNS, você deverá executar uma renovação de concessão do DHCP em todas as VMs afetadas na rede virtual. As novas configurações de DNS entrarão em vigor após a renovação da concessão. Para VMs que executam o Windows, você pode renovar a concessão inserindo ipconfig /renew diretamente na VM. Para outros tipos de SO, referencie a documentação para a renovação da concessão do DHCP.

O que é o DNS fornecido pelo Azure e ele funciona com redes virtuais?

O DNS fornecido pelo Azure é um serviço de DNS multilocatário da Microsoft. O Azure registra todas as VMs e instâncias de função do serviço de nuvem nesse serviço. Esse serviço fornece resolução de nomes:

  • Por nome de host para VMs e instâncias de função no mesmo serviço de nuvem.
  • Por FQDN (nome de domínio totalmente qualificado) para VMs e instâncias de função na mesma rede virtual.

Para obter mais informações sobre o DNS, confira Resolução de nomes para recursos em redes virtuais do Azure.

Existe uma limitação para os primeiros 100 serviços de nuvem em uma rede virtual para resolução de nomes entre locatários por meio do DNS fornecido pelo Azure. Se estiver utilizando seu próprio servidor DNS, essa limitação não se aplicará.

Posso substituir minhas configurações de DNS para cada VM ou serviço de nuvem?

Sim. Você pode definir servidores DNS em cada VM ou serviço de nuvem para substituir as configurações de rede padrão. No entanto, é recomendável usar DNS para toda a rede, tanto quanto possível.

Posso colocar meu próprio sufixo DNS?

Não. Você não pode especificar um sufixo DNS personalizado para suas redes virtuais.

Conexão de máquinas virtuais

Posso implantar VMs em uma rede virtual?

Sim. Todos os adaptadores de rede (NICs) anexados a uma VM implantada por meio do modelo de implantação do Resource Manager devem estar conectados a uma rede virtual. Opcionalmente, você pode conectar as VMs implantadas por meio do modelo de implantação clássico a uma rede virtual.

Quais são os tipos de endereços IP que posso atribuir às VMs?

  • Privada: atribuído a cada NIC em cada VM, por meio do método estático ou dinâmico. Os endereços IP privados são atribuídos a partir do intervalo que você especificou nas configurações de sub-rede da sua rede virtual.

    Os recursos implantados por meio do modelo clássico de implantação são atribuídos a endereços IP privados, mesmo que não estejam conectados a uma rede virtual. O comportamento do método de alocação é diferente, dependendo do fato de você ter implantado um recurso utilizando o Resource Manager ou o modelo clássico de implantação:

    • Resource Manager: um endereço IP privado atribuído por meio do método dinâmico ou estático permanece atribuído a uma máquina virtual (Resource Manager) até que o recurso seja excluído. A diferença é que você deve selecionar o endereço que será atribuído quando estiver utilizando o método estático, e o Azure escolhe quando você estiver utilizando o método dinâmico.
    • Clássico: um endereço IP privado atribuído por meio do método dinâmico pode ser alterado quando uma máquina virtual (clássica) é reiniciada após estar no estado parado (desalocado). Se for necessário garantir que o endereço IP privado de um recurso implantado por meio do modelo de implantação clássico nunca seja alterado, atribua um endereço IP privado utilizando o método estático.
  • Public: opcionalmente atribuído a NICs anexadas a VMs implantadas por meio do modelo de implantação do Resource Manager. Você pode atribuir o endereço utilizando o método de alocação estática ou dinâmica.

    Todas as VMs e instâncias de função dos Serviços de Nuvem do Azure implantadas por meio do modelo de implantação clássico existem em um serviço de nuvem. O serviço de nuvem é atribuído a um endereço VIP público e dinâmico. Opcionalmente, você pode atribuir um endereço IP estático público, chamado endereço IP reservado, como um VIP.

    Você pode atribuir endereços IP públicos a instâncias de função de VMs ou serviços de nuvem individuais implantados por meio do modelo de implantação clássico. Esses endereços são chamados de endereços IP públicos em nível de instância e podem ser atribuídos dinamicamente.

Posso reservar um endereço IP privado para uma VM que criarei posteriormente?

Não. Não é possível reservar um endereço IP privado. Se um endereço IP privado estiver disponível, o servidor DHCP o atribuirá a uma VM ou instância de função. A VM pode ou não ser aquela para a qual você deseja que o endereço IP privado seja atribuído. Entretanto, você pode alterar o endereço IP privado de uma VM existente para qualquer endereço IP privado disponível.

Os endereços IP privados são alterados para as VMs em uma rede virtual?

Depende. Se você implantou a VM utilizando o Resource Manager, os endereços IP não poderão ser alterados, independentemente de você ter atribuído os endereços utilizando o método de alocação estática ou dinâmica. Se você implantou a VM utilizando o modelo de implantação clássico, os endereços IP dinâmicos podem ser alterados quando você iniciar uma VM que estava no estado parado (desalocado).

O endereço é resolvido de uma VM implantada por meio de um dos modelos de implantação quando você exclui a VM.

Posso atribuir endereços IP a NICs manualmente dentro do sistema operacional da VM?

Sim, mas não recomendamos a menos que seja necessário, como quando você deve atribuir vários endereços IP a uma máquina virtual. Para obter detalhes, confira Atribuir vários endereços IP a máquinas virtuais.

Se o endereço IP atribuído a uma NIC do Azure anexada a uma VM for alterado e o endereço IP no sistema operacional da VM for diferente, você perderá a conectividade com a VM.

Se eu interromper um slot de implantação de serviço de nuvem ou desligar uma VM de dentro do sistema operacional, o que acontecerá com meus endereços IP?

Nada. Os endereços IP (VIP público, público e privado) permanecem atribuídos ao slot de implantação do serviço de nuvem ou à VM.

Posso mover VMs de uma sub-rede para outra sub-rede em uma rede virtual sem reimplantar?

Sim. Você pode encontrar mais informações em Mover uma VM ou instância de função para uma sub-rede diferente.

Posso configurar um endereço MAC estático para minha VM?

Não. Você não pode configurar estaticamente um endereço MAC.

O endereço MAC permanece o mesmo para minha VM após ela ter sido criada?

Sim. O endereço MAC permanece o mesmo para uma VM que você implantou por meio dos modelos de implantação do Resource Manager e clássico até que você o exclua.

Anteriormente, o endereço MAC era liberado se você interrompesse (desalocado) a VM. Mas agora, a VM retém o endereço MAC quando está no estado desalocado. O endereço MAC permanece atribuído ao adaptador de rede até que você execute uma dessas tarefas:

  • Excluir o adaptador de rede.
  • Altere o endereço IP privado atribuído à configuração de IP primário do adaptador de rede primário.

Posso conectar-me à Internet a partir de uma VM em uma rede virtual?

Sim. Todas as VMs e instâncias de função dos Serviços de Nuvem implantadas em uma rede virtual podem se conectar à Internet.

Serviços do Azure que se conectam a redes virtuais

Posso utilizar aplicativos Web com uma rede virtual?

Sim. Você pode implantar o recurso Aplicativos Web do Serviço de Aplicativo do Azure em uma rede virtual utilizando um Ambiente do Serviço de Aplicativo. Em seguida, você pode:

  • Conecte o back-end de seus aplicativos às suas redes virtuais utilizando a integração de redes virtuais.
  • Bloqueie o tráfego de entrada em seu aplicativo utilizando pontos de extremidade de serviço.

Para obter mais informações, consulte os seguintes artigos:

Posso implantar os Serviços de Nuvem com funções Web e de trabalho (PaaS) em uma rede virtual?

Sim. Você pode (opcionalmente) implantar instâncias de função dos Serviços de Nuvem em redes virtuais. Para isso, você deve especificar o nome da rede virtual e os mapeamentos de função/sub-rede na seção de configuração de rede da sua configuração de serviço. Você não precisa atualizar nenhum dos seus binários.

Posso conectar um conjunto de dimensionamento de máquinas virtuais a uma rede virtual?

Sim. Você deve conectar um conjunto de dimensionamento de máquinas virtuais a uma rede virtual.

Existe uma lista completa de serviços do Azure que podem ser concluídos para implantar recursos em uma rede virtual?

Sim. Para obter detalhes, confira Implantar serviços dedicados do Azure em redes virtuais.

Como posso restringir o acesso aos recursos de PaaS do Azure a partir de uma rede virtual?

Os recursos implantados por meio de alguns serviços de PaaS do Azure (como o Armazenamento do Microsoft Azure e o Banco de Dados SQL do Azure) podem restringir o acesso a redes virtuais por meio do uso de pontos de extremidade de serviço de rede virtual ou do Link Privado do Azure. Para obter detalhes, confira ponto de extremidade de serviço de rede virtual e O que é o Link Privado do Azure?.

Posso mover meus serviços para dentro e fora das redes virtuais?

Não. Não é possível mover serviços para dentro e para fora de redes virtuais. Para mover um recurso para outra rede virtual, você precisa excluir e reimplantar o recurso.

Segurança

Qual é o modelo de segurança para redes virtuais?

As redes virtuais são isoladas umas das outras e de outros serviços hospedados na infraestrutura do Azure. Uma rede virtual é um limite de confiança.

Posso restringir o fluxo de tráfego de entrada ou saída para os recursos que estão conectados a uma rede virtual?

Sim. Você pode aplicar grupos de segurança de rede a sub-redes individuais em uma rede virtual, a NICs anexadas a uma rede virtual ou a ambas.

Posso implementar um firewall entre os recursos que estão conectados a uma rede virtual?

Sim. Você deve implantar um dispositivo virtual de rede firewall de vários fornecedores por meio do Azure Marketplace.

Há informações disponíveis sobre como proteger redes virtuais?

Sim. Confira Visão geral da segurança da rede do Azure.

As redes virtuais armazenam dados dos clientes?

Não. As redes virtuais não armazenam dados de clientes.

Posso definir a propriedade FlowTimeoutInMinutes para uma assinatura inteira?

Não. Você deve definir a propriedade FlowTimeoutInMinutes na rede virtual. O código a seguir pode ajudar você a definir essa propriedade automaticamente para assinaturas maiores:

$Allvnet = Get-AzVirtualNetwork
$time = 4 #The value should be 4 to 30 minutes (inclusive) to enable tracking, or null to disable tracking. 
ForEach ($vnet in $Allvnet)
{
    $vnet.FlowTimeoutInMinutes = $time
    $vnet | Set-AzVirtualNetwork
}

APIs, esquemas e ferramentas

Posso gerenciar redes virtuais a partir do código?

Sim. Você pode utilizar as APIs REST para redes virtuais nos modelos de implantação Azure Resource Manager e clássico.

Existe suporte de ferramentas para redes virtuais?

Sim. Saiba mais sobre como usar:

  • O portal do Microsoft Azure para implantar redes virtuais por meio dos modelos de implantação Azure Resource Manager e clássico.
  • PowerShell para gerenciar redes virtuais implantadas por meio do modelo de implantação Resource Manager.
  • A CLI do Azure ou a CLI clássica do Azure para implantar e gerenciar redes virtuais implantadas por meio dos modelos de implantação Resource Manager e clássico.

Emparelhamento de rede virtual

O que é o emparelhamento de rede virtual?

O emparelhamento de redes virtuais permite que você conecte redes virtuais. Uma conexão de emparelhamento entre redes virtuais permite rotear o tráfego entre elas de forma privada por meio de endereços IPv4.

Os computadores virtuais em redes virtuais emparelhadas podem se comunicar uns com os outros como se estivessem na mesma rede. Essas redes virtuais podem ser da mesma região ou de regiões diferentes (também conhecidas como emparelhamento de rede virtual global).

Você também pode criar conexões de emparelhamento de rede virtual entre assinaturas do Azure.

Posso criar uma conexão de emparelhamento de rede virtual em uma região diferente?

Sim. O emparelhamento de rede virtual global permite que você emparelhe redes virtuais em diferentes regiões. O emparelhamento de rede virtual global está disponível em todas as regiões públicas do Azure, regiões de nuvem da China e regiões da nuvem governamental. Não é possível fazer emparelhamento global de regiões públicas do Azure para regiões de nuvem nacionais.

Se as duas redes virtuais em duas regiões estiverem emparelhadas por meio do emparelhamento de rede virtual global, não será possível conectar você aos recursos que estão atrás de um balanceador de carga básico por meio do IP de front-end do balanceador de carga. Essa restrição não existe em um balanceador de carga padrão.

Os recursos a seguir podem utilizar balanceadores de carga básicos, o que significa que você não pode alcançá-los por meio do IP de front-end de um balanceador de carga em emparelhamento de rede virtual global. Mas você pode utilizar o emparelhamento de rede virtual global para alcançar os recursos diretamente por meio de seus IPs de rede virtual privada, se permitido.

  • VMs por trás de balanceadores de carga básicos
  • Conjuntos de Dimensionamento de Máquinas Virtuais com balanceadores de carga básicos
  • Cache Redis do Azure
  • Gateway de Aplicativo do Azure v1
  • Azure Service Fabric
  • Gerenciamento de API do Azure stv1
  • Serviços de Domínio do Microsoft Entra
  • Aplicativo Lógico do Azure
  • Azure HDInsight
  • Lote do Azure
  • Ambiente do Serviço de Aplicativo v1 e v2

Você pode se conectar a esses recursos por meio do Azure ExpressRoute ou de conexões de rede para rede por meio de gateways de rede virtual.

Posso habilitar o emparelhamento de rede virtual se minhas redes virtuais pertencerem a assinaturas em diferentes locatários do Microsoft Entra?

Sim. É possível estabelecer o emparelhamento de rede virtual (local ou global) se suas assinaturas pertencerem a diferentes locatários do Microsoft Entra. Você pode fazer isso através do portal do Azure, do PowerShell ou da CLI do Azure.

Minha conexão de emparelhamento de rede virtual está em um estado Iniciado. Por que não consigo conectar?

Se sua conexão de emparelhamento estiver no estado Iniciado, você criou apenas um link. Você deve criar um link bidirecional para estabelecer uma conexão bem-sucedida.

Por exemplo, para emparelhar a VNetA com a VNetB, você precisa criar um link da VNetA para a VNetB e da VNetB para a VNetA. A criação de ambos os links altera o estado para Conectado.

Minha conexão de emparelhamento de rede virtual está em estado de desconexão. Por que não consigo criar uma conexão de emparelhamento?

Se a sua conexão de emparelhamento de rede virtual estiver no estado Desconectado, um dos links que você criou foi excluído. Para restabelecer uma conexão de emparelhamento, você precisa excluir o link restante e recriar ambos.

Posso emparelhar minha rede virtual com uma rede virtual que esteja em uma assinatura diferente?

Sim. Você pode emparelhar redes virtuais entre assinaturas e entre regiões.

Posso emparelhar duas redes virtuais que tenham intervalos de endereços correspondentes ou sobrepostos?

Não. Você não pode habilitar o emparelhamento de rede virtual se os espaços de endereço se sobrepuserem.

Posso emparelhar uma rede virtual a duas redes virtuais com a opção Usar Gateway de Rede Virtual habilitada em ambos os emparelhamentos?

Não. Você pode habilitar a opção Usar Gateway Remoto em apenas um emparelhamento para uma das redes virtuais.

Não há preço para criar uma conexão de emparelhamento de rede virtual. É cobrada a transferência de dados entre as conexões de emparelhamento. Para obter mais informações, confira a Página de preços da Rede do Azure Virtual.

O tráfego de emparelhamento de rede virtual é criptografado?

Quando o tráfego do Azure se move entre datacenters (fora dos limites físicos não controlados pela Microsoft ou em nome da Microsoft), o hardware de rede subjacente utiliza a criptografia de camada de link de dados MACsec. Essa criptografia é aplicável ao tráfego de emparelhamento de rede virtual.

Por que a conexão de emparelhamento está em um estado Desconectado?

As conexões de emparelhamento de rede virtual entram em um estado Desconectado quando um emparelhamento de rede virtual é excluído. Você deve excluir ambos os links para restabelecer uma conexão de emparelhamento bem-sucedida.

Se emparelhar VNetA para VNetB e emparelhar VNetB para VNetC, isso significa que VNetA e VNetC estão emparelhadas?

Não. Não há suporte para emparelhamento transitivo. Você precisa emparelhar manualmente a VNetA com a VNetC.

Há alguma limitação de largura de banda para conexões de emparelhamento?

Não. O emparelhamento de rede virtual, seja local ou global, não impõe nenhuma restrição de largura de banda. A Largura de Banda é limitada apenas pela VM ou pelo recurso de computação.

Como posso solucionar problemas com o emparelhamento de rede virtual?

Experimente o guia de solução de problemas.

TAP de rede virtual

Quais regiões do Azure estão disponíveis para o TAP de rede virtual?

A versão prévia do ponto de acesso do terminal de rede virtual (TAP) está disponível em todas as regiões do Azure. Você precisa implantar os adaptadores de rede monitorados, o recurso TAP de rede virtual e o coletor ou a solução de análise na mesma região.

O TAP de rede virtual dá suporte a alguma funcionalidade de filtragem nos pacotes espelhados?

Não há suporte para funcionalidades de filtragem com a versão prévia do TAP da rede virtual. Quando você adicionar uma configuração TAP a um adaptador de rede, uma cópia profunda de todo o tráfego de entrada e saída no adaptador de rede é transmitida para o destino do TAP.

Posso adicionar várias configurações de TAP a um adaptador de rede monitorado?

Um adaptador de rede monitorado pode ter apenas uma configuração de TAP. Confira se as soluções de parceiros individuais têm a funcionalidade para transmitir várias cópias do tráfego do TAP para as ferramentas de análise de sua escolha.

O mesmo recurso TAP de rede virtual pode agregar tráfego de adaptadores de rede monitorados em mais de uma rede virtual?

Sim. Você pode utilizar o mesmo recurso TAP de rede virtual para agregar o tráfego espelhado dos adaptadores de rede monitorados em redes virtuais emparelhadas na mesma assinatura ou em uma assinatura diferente.

O recurso TAP de rede virtual e o balanceador de carga de destino ou o adaptador de rede de destino devem estar na mesma assinatura. Todas as assinaturas devem estar no mesmo locatário do Microsoft Entra.

Existem considerações de desempenho no tráfego de produção se eu habilitar uma configuração de TAP de rede virtual em um adaptador de rede?

O TAP de rede virtual está em versão prévia. Durante a versão prévia, não existe contrato de nível de serviço. Você não deve usar a funcionalidade para cargas de trabalho de produção.

Quando você habilita um adaptador de rede de máquina virtual com uma configuração TAP, os mesmos recursos no host do Azure alocados para a máquina virtual para enviar o tráfego de produção são usados para executar a função de espelhamento e enviar os pacotes espelhados. Selecione o tamanho de máquina virtual Linux ou Windows correto para garantir que os recursos suficientes estejam disponíveis para a máquina virtual enviar o tráfego de produção e o tráfego espelhado.

Há suporte para a rede acelerada para Linux ou Windows com o TAP de rede virtual?

É possível adicionar uma configuração TAP em um adaptador de rede anexado a uma máquina virtual que esteja habilitada com a rede acelerada para Linux ou Windows. Mas adicionar a configuração TAP afetará o desempenho e a latência na máquina virtual porque a rede acelerada do Azure atualmente não dá suporte à descarga para o espelhamento de tráfego.

Pontos de extremidade de serviço de rede virtual

Qual é a sequência correta de operações para configurar os pontos de extremidade de serviço em um serviço do Azure?

Há duas etapas a seguir para proteger um recurso do serviço do Azure por meio dos pontos de extremidade de serviço:

  1. Ativar os pontos de extremidade de serviço para o serviço do Azure.
  2. Configure listas de controle de acesso à rede virtual (ACLs) no serviço do Azure.

A primeira etapa é uma operação do lado da rede e a segunda etapa é uma operação do lado do recurso de serviço. O mesmo administrador ou administradores diferentes podem executar as etapas, com base nas permissões de controle de acesso baseado em função (RBAC) do Azure concedidas à função de administrador.

Recomendamos que você ative os pontos de extremidade de serviço para sua rede virtual antes de configurar as ACLs da rede virtual no lado do serviço do Azure. Para configurar os ponto de extremidade de serviço de rede virtual, você deve executar as etapas na sequência anterior.

Observação

Você deve concluir as duas operações anteriores antes de limitar o acesso do serviço do Azure à rede virtual e à sub-rede permitidas. Apenas ativar os pontos de extremidade de serviço para o serviço do Azure no lado da rede não lhe dá o acesso limitado. Você também deve configurar ACLs de rede virtual no lado do serviço do Azure.

Certos serviços (como o SQL do Azure e o Azure Cosmos DB) permitem exceções à sequência anterior através do indicador IgnoreMissingVnetServiceEndpoint. Após definir o sinalizador como True, você pode configurar ACLs de rede virtual no lado do serviço do Azure antes de ativar os pontos de extremidade de serviço no lado da rede. Os serviços do Azure fornecem esse sinalizador para ajudar os clientes nos casos em que os firewalls de IP específicos estão configurados nos serviços do Azure.

A ativação dos pontos de extremidade de serviço no lado da rede pode resultar em uma queda de conectividade, pois o IP de origem é alterado de um endereço IPv4 público para um endereço privado. Configurar ACLs de rede virtual no lado do serviço do Azure antes de ativar os pontos de extremidade de serviço no lado da rede pode ajudar a evitar uma queda de conectividade.

Observação

Se você habilitar o Ponto de Extremidade de Serviço em determinados serviços, por exemplo, o "Microsoft.AzureActiveDirectory", poderá ver conexões de endereço IPV6 nos Logs de Entrada. A Microsoft usa um intervalo privado IPV6 interno para esse tipo de conexão.

Todos os serviços do Azure residem na rede virtual do Azure que o cliente fornece? Como um ponto de extremidade de serviço de rede virtual funciona com os serviços do Azure?

Nem todos os serviços do Azure residem na rede virtual do cliente. A maioria dos serviços de dados do Azure (como o Armazenamento do Microsoft Azure, o SQL do Azure e o Azure Cosmos DB) são serviços multilocatários que podem ser acessados por endereços IP públicos. Para obter mais informações, confira Implantar serviços dedicados do Azure em redes virtuais.

Quando você ativa os ponto de extremidade de serviço de rede virtual no lado da rede e configura as ACLs de rede virtual apropriadas no lado do serviço do Azure, o acesso a um serviço do Azure é restrito a uma rede e sub-rede virtual permitida.

Como os pontos de extremidade de serviço de rede virtual fornecem segurança?

Os ponto de extremidade de serviço de rede virtual limitam o acesso do serviço do Azure à rede virtual e à sub-rede permitidas. Dessa forma, eles fornecem segurança em nível de rede e isolamento do tráfego do serviço do Azure.

Todo o tráfego que utiliza pontos de extremidade de serviço de rede virtual flui pelo backbone da Microsoft para fornecer outra camada de isolamento da Internet pública. Os clientes também podem optar por remover totalmente o acesso público à Internet aos recursos do serviço do Azure e permitir o tráfego somente da sua rede virtual por meio de uma combinação de firewall de IP e ACLs de rede virtual. A remoção do acesso à Internet ajuda a proteger os recursos do serviço do Azure contra o acesso não autorizado.

O que o ponto de extremidade de serviço de rede virtual protege, recursos de rede virtual ou recursos de serviço do Azure?

Os ponto de extremidade de serviço de rede virtual ajudam a proteger os recursos do serviço do Azure. Os recursos da rede virtual são protegidos por meio de grupos de recursos de segurança de rede.

Existe algum custo para utilizar os ponto de extremidade de serviço de rede virtual?

Não. Não existe custo adicional para utilizar os ponto de extremidade de serviço de rede virtual.

Posso ativar ponto de extremidade de serviço de rede virtual e configurar ACLs de rede virtual se a rede virtual e os recursos de serviço do Azure pertencerem a diferentes assinaturas?

Sim, é possível. As redes virtuais e os recursos de serviço do Azure podem estar na mesma assinatura ou em assinaturas diferentes. O único requisito é que tanto a rede virtual quanto os recursos de serviço do Azure estejam sob o mesmo locatário do Microsoft Entra.

Posso ativar ponto de extremidade de serviço de rede virtual e configurar ACLs de rede virtual se a rede virtual e os recursos de serviço do Azure pertencerem a diferentes locatários do Microsoft Entra?

Sim, isso é possível quando você está utilizando pontos de extremidade de serviço para o Armazenamento do Microsoft Azure e o Azure Key Vault. Para outros serviços, não há suporte para pontos de extremidade de serviço de rede virtual e ACLs de rede virtual entre os locatários do Microsoft Entra.

O endereço IP de um dispositivo local conectado por meio de um Gateway de Rede Virtual (VPN) do Azure ou Gateway do ExpressRoute pode acessar os serviços de PaaS do Azure por meio de pontos de extremidade de serviço de rede virtual?

Por padrão, os recursos do serviço do Azure garantidos para redes virtuais não podem ser acessados nas redes locais. Se você deseja permitir o tráfego do local, também deve permitir endereços IP públicos (normalmente, NAT) do local ou do ExpressRoute. Você pode adicionar esses endereços IP por meio da configuração do firewall do Azure para os recursos de serviço do Azure.

Posso utilizar pontos de extremidade de serviço de rede virtual para proteger os serviços do Azure em várias sub-redes dentro de uma rede virtual ou em várias redes virtuais?

Para proteger os serviços do Azure em várias sub-redes em uma rede virtual ou em várias redes virtuais, habilite os pontos de extremidade de serviço no lado da rede em cada uma das sub-redes de forma independente. Em seguida, proteja os recursos de serviço do Azure em todas as sub-redes, configurando as ACLs de rede virtual apropriadas no lado do serviço do Azure.

Como filtrar o tráfego de saída de uma rede virtual dos serviços do Azure e ainda usar os pontos de extremidade de serviço?

Se deseja verificar ou filtrar o tráfego destinado a um serviço do Azure por meio de uma rede virtual, implante um dispositivo de rede virtual na rede virtual. Em seguida, você pode aplicar os pontos de extremidade de serviço à sub-rede em que o dispositivo virtual de rede está implantado e proteger os recursos de serviço do Azure somente para essa sub-rede por meio de ACLs de rede virtual.

Esse cenário também pode ser útil se você desejar restringir o acesso ao serviço do Azure da sua rede virtual apenas a recursos específicos do Azure utilizando a filtragem de dispositivos virtuais de rede. Para obter mais informações, confira Implantar NVAs altamente disponíveis.

O que acontece quando alguém acessa uma conta de serviço do Azure com uma ACL de rede virtual habilitada de fora da rede virtual?

O serviço retorna um erro HTTP 403 ou HTTP 404.

As sub-redes de uma rede virtual criada em regiões diferentes podem acessar uma conta de serviço do Azure em outra região?

Sim. Para a maioria dos serviços do Azure, as redes virtuais criadas em diferentes regiões podem acessar os serviços do Azure em outra região por meio dos ponto de extremidade de serviço de rede virtual. Por exemplo, se uma conta do Azure Cosmos DB estiver na Oeste dos EUA ou Leste dos EUA e as redes virtuais estiverem em várias regiões, as redes virtuais poderão acessar o Azure Cosmos DB.

O Armazenamento do Microsoft Azure e o SQL do Azure são exceções e são de natureza regional. Tanto a rede virtual quanto o serviço do Azure precisam estar na mesma região.

Um serviço do Azure pode ter uma ACL de rede virtual e um firewall de IP?

Sim. Uma ACL de rede virtual e um firewall IP podem coexistir. Os recursos se complementam para ajudar a garantir o isolamento e a segurança.

O que acontece se você excluir uma rede ou sub-rede virtual que tenha pontos de extremidade de serviço ativados para os serviços do Azure?

A exclusão de redes virtuais e sub-redes são operações independentes. Eles têm suporte mesmo quando você ativa os pontos de extremidade de serviço para os serviços do Azure.

Se você configurar ACLs de rede virtual para os serviços do Azure, as informações da ACL associadas a esses serviços do Azure serão desabilitadas quando você excluir uma rede ou sub-rede virtual que tenha pontos de extremidade de serviço de rede virtual ativados.

O que acontece se eu excluir uma conta de serviço do Azure que tenha um ponto de extremidade de serviço de rede virtual ativado?

A exclusão de uma conta de serviço do Azure é uma operação independente. Ele é tem suporte mesmo que você tenha ativado o ponto de extremidade de serviço no lado da rede e configurado ACLs de rede virtual no lado do serviço do Azure.

O que acontece com o endereço IP de origem de um recurso (como uma VM em uma sub-rede) que tem ponto de extremidade de serviço de rede virtual ativados?

Quando você ativa os pontos de extremidade de serviço de rede virtual, os endereços IP de origem dos recursos na sub-rede da sua rede virtual alternam do uso de endereços IPv4 públicos para o uso dos endereços IP privados da rede virtual do Azure para o tráfego para os serviços do Azure. Essa alternância pode fazer com que os firewalls de IP específicos que estão definidos como um endereço IPv4 público anteriormente nos serviços do Azure falhem.

A rota do ponto de extremidade de serviço tem sempre precedência?

Os pontos de extremidade de serviço adicionam uma rota do sistema que tem precedência sobre as rotas do BGP (Border Gateway Protocol) e fornece um roteamento ideal para o tráfego do ponto de extremidade de serviço. Os pontos de extremidade sempre usam o tráfego do serviço diretamente da sua rede virtual para o serviço na rede de backbone do Microsoft Azure.

Para obter mais informações sobre como o Azure seleciona uma rota, confira Roteamento de tráfego da rede virtual.

Os pontos de extremidade de serviço funcionam com o ICMP?

Não. O tráfego ICMP proveniente de uma sub-rede com pontos de extremidade de serviço habilitados não seguirá o caminho do túnel de serviço até o ponto de extremidade desejado. Os pontos de extremidade de serviço tratam apenas do tráfego TCP. Se você deseja testar a latência ou a conectividade com um ponto de extremidade por meio de pontos de extremidade de serviço, ferramentas como ping e tracert não mostrarão o verdadeiro caminho que os recursos dentro da sub-rede tomarão.

Como funcionam os NSGs em uma sub-rede com pontos de extremidade de serviço?

Para alcançar o serviço do Azure, os NSGs precisam permitir a conectividade de saída. Se seus NSGs estiverem abertos para todo o tráfego de saída da Internet, o tráfego do ponto de extremidade de serviço deverá funcionar. Você também pode limitar o tráfego de saída a apenas endereços IP de serviço utilizando as marcas de serviço.

Quais permissões preciso para configurar os pontos de extremidade de serviço?

Você pode configurar pontos de extremidade de serviço em uma rede virtual independentemente se você tiver acesso de gravação a essa rede.

Para proteger os recursos de serviço do Microsoft Azure em uma rede virtual, você precisa ter a permissão Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action para as sub-redes que está adicionando. Por padrão, essa permissão é incluída na função de administrador de serviços internos e pode ser modificada por meio da criação de funções personalizadas.

Para obter mais informações sobre funções internas e atribuição de permissões específicas a funções personalizadas, confira Funções personalizadas do Azure.

Posso filtrar o tráfego de rede virtual para os serviços do Azure em pontos de extremidade de serviço?

Você pode utilizar políticas de ponto de extremidade de serviço de rede virtual para filtrar o tráfego de rede virtual para os serviços do Azure, permitindo apenas os recursos específicos do serviço do Azure nos pontos de extremidade de serviço. As políticas de ponto de extremidade de serviço fornecem controle de acesso granular para tráfego de rede virtual para serviços do Azure.

Para obter mais informações, confira Ponto de extremidade de serviço de rede virtual para o Armazenamento do Microsoft Azure.

O Microsoft Entra ID dá suporte a pontos de extremidade de serviço de rede virtual?

O Microsoft Entra ID não dá suporte nativo a pontos de extremidade de serviço. Para obter uma lista completa dos serviços do Azure que dão suporte a pontos de extremidade de serviço de rede virtual, confira Pontos de extremidade de serviço de rede virtual.

Nessa lista, a marca Microsoft.AzureActiveDirectory listada nos serviços que dão suporte a pontos de extremidade de serviço é usada para dar suporte a pontos de extremidade de serviço para o Azure Data Lake Storage Gen1. Integração de rede virtual do Data Lake Storage Gen1 usa a segurança do ponto de extremidade de serviço de rede virtual entre sua rede virtual e o Microsoft Entra ID para gerar declarações de segurança adicionais no token de acesso. Essas declarações, em seguida, são usadas para autenticar sua rede virtual na conta do Data Lake Storage Gen1 e permitir o acesso.

Existe algum limite para o número de pontos de extremidade de serviço que posso configurar em minha rede virtual?

Não há limite para o número total de pontos de extremidade de serviço em uma rede virtual. Para um recurso de serviço do Azure (como uma conta de Armazenamento do Microsoft Azure), os serviços podem impor limites ao número de sub-redes que você deve usar para proteger o recurso. A tabela a seguir mostra limites de exemplo:

Serviço do Azure Limites das regras de rede virtual
Armazenamento do Azure 200
SQL do Azure 128
Azure Synapse Analytics 128
Cofre de Chave do Azure 200
Azure Cosmos DB 64
Hubs de eventos do Azure 128
Barramento de Serviço do Azure 128

Observação

Os limites estão sujeitos a alterações a critério dos serviços do Azure. Consulte a respectiva documentação do serviço para obter detalhes.

Migração de recursos de rede clássicos para o Resource Manager

O que é o Azure Service Manager e o que significa o termo "clássico"?

O Azure Service Manager é o antigo modelo de implantação do Azure que era responsável por criar, gerenciar e excluir recursos. A palavra clássica em um serviço de rede refere-se aos recursos gerenciados pelo modelo de Service Manager Azure. Para obter mais informações, confira a comparação de modelos de implantação.

O que é o Azure Resource Manager?

O Azure Resource Manager é o mais recente modelo de implantação e gerenciamento do Azure, responsável por criar, gerenciar e excluir recursos na sua assinatura do Azure. Para obter mais informações, confira O que é o Azure Resource Manager?.

Posso reverter a migração depois que os recursos foram comprometidos com o Resource Manager?

É possível cancelar a migração, desde que os recursos ainda estejam no estado preparado. Não há suporte para a volta ao modelo de implantação anterior após a migração bem-sucedida de recursos por meio da operação de confirmação.

Posso reverter a migração se a operação de confirmação falhar?

Você não poderá reverter uma migração se a operação de confirmação falhar. Todas as operações de migração, incluindo a operação de confirmação, não podem ser alteradas após iniciadas. Recomendamos que você repita a operação após um curto período. Se a operação continuar falhando, envie uma solicitação de suporte.

Posso validar minha assinatura ou meus recursos para ver se eles podem fazer a migração?

Sim. A primeira etapa da preparação para a migração é validar se os recursos podem ser migrados. Se a validação falhar, você receberá mensagens com todos os motivos pelos quais a migração não pode ser concluída.

Os recursos do Gateway de Aplicativo são migrados como parte da migração da rede virtual, do clássico para o Resource Manager?

Os recursos do Gateway de Aplicativo do Azure não são migrados automaticamente como parte do processo de migração da rede virtual. Se um estiver presente na rede virtual, a migração não será bem-sucedida. Para migrar um recurso do Gateway de Aplicativo para o Resource Manager, você precisa remover e criar novamente a instância do Gateway de Aplicativo após a conclusão da migração.

Os recursos do Gateway de VPN são migrados como parte da migração da rede virtual do clássico para o Resource Manager?

Os recursos do Gateway de VPN do Azure são migrados como parte do processo de migração da rede virtual. A migração é concluída uma rede virtual por vez, sem nenhum outro requisito. As etapas de migração são as mesmas da migração de uma rede virtual sem um Gateway de VPN.

Há uma interrupção de serviço associada à migração dos Gateways de VPN clássicos para o Resource Manager?

Você não sofrerá nenhuma interrupção de serviço com suas conexões de VPN quando estiver migrando para o Resource Manager. As cargas de trabalho existentes continuarão a funcionar com conectividade total no local durante a migração.

Preciso reconfigurar meu dispositivo local após a migração do Gateway de VPN para o Resource Manager?

O endereço IP público associado ao Gateway de VPN permanece o mesmo após a migração. Você não precisa reconfigurar o roteador local.

Quais são os cenários com suporte para a migração do Gateway de VPN do clássico para o Resource Manager?

A migração do clássico para o Resource Manager aborda a maioria dos cenários comuns de conectividade VPN. Os cenários com suporte incluem:

  • Conectividade ponto a site.

  • Conectividade site a site com um Gateway de VPN conectado a um local no local.

  • Conectividade rede a rede entre duas redes virtuais que utilizam gateways de VPN.

  • Várias redes virtuais locais conectadas ao mesmo local.

  • Conectividade de vários sites.

  • Redes virtuais com o túnel forçado habilitado.

Quais cenários não tem suporte para a migração do Gateway de VPN do clássico para o Resource Manager?

Os cenários que não têm suporte incluem:

  • Uma rede virtual com um Gateway do ExpressRoute e um Gateway de VPN.

  • Uma rede virtual com um gateway do ExpressRoute conectado a um circuito em uma assinatura diferente.

  • Cenários de tráfego em que as extensões de VM estiverem conectadas a servidores locais.

Em que local posso encontrar mais informações sobre a migração do clássico para o Resource Manager?

Confira Perguntas frequentes sobre a migração do clássico para o Azure Resource Manager.

Como posso relatar um problema?

Você pode postar perguntas sobre problemas de migração na página do Microsoft Q&A. Recomendamos que você poste todas as suas perguntas neste fórum. Se você tiver um contrato de suporte, também poderá arquivar uma solicitação de suporte.