Confiabilidade e Rede Virtual do Azure
Um bloco de construção fundamental para sua rede privada, o Azure Rede Virtual permite que os recursos do Azure se comuniquem entre si com segurança, com a Internet e com as redes locais.
Os principais recursos do Rede Virtual do Azure incluem:
- Comunicação com recursos do Azure
- Comunicação com a Internet
- Comunicação com recursos locais
- Filtragem de tráfego de rede
Para obter mais informações, consulte O que é o Rede Virtual do Azure?
Para entender como o Azure Rede Virtual dá suporte a uma carga de trabalho confiável, faça referência aos seguintes tópicos:
- Tutorial: mover VMs do Azure entre regiões
- Início Rápido: Criar uma Rede Virtual usando o portal do Azure
- Rede Virtual – Continuidade de Negócios
Considerações sobre o design
O Rede Virtual (VNet) inclui as seguintes considerações de design para uma carga de trabalho confiável do Azure:
- A sobreposição de espaços de endereço IP entre regiões locais e do Azure cria grandes desafios de contenção.
- Embora um espaço de endereço Rede Virtual possa ser adicionado após a criação, esse processo exigirá uma interrupção se o Rede Virtual já estiver conectado a outra Rede Virtual por meio do emparelhamento. Uma interrupção é necessária porque o emparelhamento Rede Virtual é excluído e recriado.
- O redimensionamento de Redes Virtuais emparelhadas está em versão prévia pública (20 de agosto de 2021).
- Alguns serviços do Azure exigem sub-redes dedicadas, como:
- Firewall do Azure
- Azure Bastion
- Gateway de Rede Virtual
- As sub-redes podem ser delegadas a determinados serviços para criar instâncias desse serviço dentro da sub-rede.
- O Azure reserva cinco endereços IP em cada sub-rede, que devem ser considerados ao dimensionar redes virtuais e sub-redes englobadas.
Lista de verificação
Você configurou o Azure Rede Virtual com confiabilidade em mente?
- Use os Planos de Proteção Padrão contra DDoS do Azure para proteger todos os pontos de extremidade públicos hospedados nas Redes Virtuais do cliente.
- Os clientes corporativos devem planejar o endereçamento IP no Azure para garantir que não haja espaço de endereço IP sobreposto em locais considerados e regiões do Azure.
- Use endereços IP da alocação de endereços para Internets privadas (Solicitação de Comentário (RFC) 1918).
- Para ambientes com disponibilidade limitada de endereços IP privados (RFC 1918), considere o uso do IPv6.
- Não crie redes virtuais desnecessariamente grandes (por exemplo:
/16) para garantir que não haja desperdício desnecessário de espaço de endereço IP. - Não crie Redes Virtuais sem planejar o espaço de endereço necessário com antecedência.
- Não use endereços IP públicos para Redes Virtuais, especialmente se os endereços IP públicos não pertencerem ao cliente.
- Use pontos de extremidade de serviço de VNet para proteger o acesso aos serviços de PaaS (Plataforma como Serviço) do Azure de dentro de uma VNet do cliente.
- Para resolver as preocupações de exfiltração de dados com pontos de extremidade de serviço, use a filtragem de NVA (Solução de Virtualização de Rede) e as Políticas de Ponto de Extremidade de Serviço de VNet para o Armazenamento do Azure.
- Não implemente o túnel forçado para habilitar a comunicação do Azure com os recursos do Azure.
- Acesse os serviços de PaaS do Azure do local por meio do Emparelhamento Privado do ExpressRoute.
- Para acessar os serviços de PaaS do Azure de redes locais quando a injeção de VNet ou Link Privado não estiverem disponíveis, use o ExpressRoute com o Emparelhamento da Microsoft quando não houver preocupações de exfiltração de dados.
- Não replique os conceitos e arquiteturas da rede de perímetro local (também conhecida como DMZ, zona desmilitarizada e sub-rede em tela) no Azure.
- Verifique se a comunicação entre os serviços de PaaS do Azure que foram injetados em um Rede Virtual está bloqueada no Rede Virtual usando UDRs (rotas definidas pelo usuário) e NSGs (grupos de segurança de rede).
- Não use pontos de extremidade de serviço de VNet quando houver preocupações de exfiltração de dados, a menos que a filtragem de NVA seja usada.
- Não habilite pontos de extremidade de serviço de VNet por padrão em todas as sub-redes.
Recomendações de configuração
Considere as seguintes recomendações para otimizar a confiabilidade ao configurar um Rede Virtual do Azure:
| Recomendação | Descrição |
|---|---|
| Não crie Redes Virtuais sem planejar o espaço de endereço necessário com antecedência. | Adicionar espaço de endereço causará uma interrupção quando um Rede Virtual estiver conectado por meio do emparelhamento Rede Virtual. |
| Use pontos de extremidade de serviço de VNet para proteger o acesso aos serviços de PaaS (Plataforma como Serviço) do Azure de dentro de uma VNet do cliente. | Somente quando Link Privado não estiver disponível e quando não houver nenhuma preocupação de exfiltração de dados. |
| Acesse os serviços de PaaS do Azure do local por meio do Emparelhamento Privado do ExpressRoute. | Use a injeção de VNet para serviços dedicados do Azure ou Link Privado do Azure para serviços compartilhados do Azure disponíveis. |
| Para acessar os serviços de PaaS do Azure de redes locais quando a injeção de VNet ou Link Privado não estiverem disponíveis, use o ExpressRoute com o Emparelhamento da Microsoft quando não houver preocupações de exfiltração de dados. | Evita o trânsito pela Internet pública. |
| Não replique os conceitos e arquiteturas da rede de perímetro local (também conhecida como DMZ, zona desmilitarizada e sub-rede em tela) no Azure. | Os clientes podem obter recursos de segurança semelhantes no Azure como locais, mas a implementação e a arquitetura precisarão ser adaptadas à nuvem. |
| Verifique se a comunicação entre os serviços de PaaS do Azure que foram injetados em um Rede Virtual está bloqueada no Rede Virtual usando UDRs (rotas definidas pelo usuário) e NSGs (grupos de segurança de rede). | Os serviços de PaaS do Azure que foram injetados em um Rede Virtual ainda executam operações de plano de gerenciamento usando endereços IP públicos. |