Perspectiva do Framework Azure Well-Architected sobre a Rede Virtual do Azure
A Rede Virtual do Azure é um bloco de construção fundamental para estabelecer uma rede privada no Azure. Você pode usá-lo para habilitar a comunicação entre os recursos do Azure e fornecer conectividade com a Internet. A Rede Virtual também se integra a sistemas locais. Ele inclui recursos internos de filtragem para garantir que apenas o tráfego esperado, permitido e seguro atinja os componentes dentro dos limites de rede.
Este artigo pressupõe que, como arquiteto, você esteja familiarizado com as construções de rede no Azure. As orientações concentram-se em recomendações de arquitetura que estão mapeadas para os princípios dos pilares do Well-Architected Framework.
Importante
Como usar este guia
Cada seção tem uma lista de verificação de design que apresenta áreas arquitetônicas preocupantes, juntamente com estratégias de design localizadas no escopo da tecnologia.
Também estão incluídas recomendações para os recursos de tecnologia que podem ajudar a materializar essas estratégias. As recomendações não representam uma lista completa de todas as configurações disponíveis para a Rede Virtual e suas dependências. Eles listam as principais recomendações mapeadas para as perspectivas de design. Use as recomendações para criar sua prova de conceito ou otimizar seus ambientes existentes.
Arquitetura básica que demonstra as principais recomendações: Topologia de rede Hub-Spoke no Azure.
Escopo de tecnologia
Esta revisão se concentra nas decisões interrelacionadas para os seguintes recursos do Azure:
- Rede Virtual e suas sub-redes
- NICs (cartões de interface de rede)
- Pontos de extremidade privados
- NSGs (grupos de segurança de rede)
- Endereços IP e alocações de endereço IP
- Tabelas de rotas
- Gerenciadores de rede
Há outros serviços associados à Rede Virtual, como balanceadores de carga. Esses serviços são abordados em seus respectivos guias.
Fiabilidade
A finalidade do pilar confiabilidade é fornecer funcionalidade contínua criando resiliência suficiente e a capacidade de se recuperar rapidamente de falhas.
princípios de design de confiabilidade fornecem uma estratégia de design de alto nível aplicada a componentes individuais, fluxos do sistema e o sistema como um todo.
Lista de verificação de design
Inicie sua estratégia de design com base na lista de verificação de design para Confiabilidade. Determine sua relevância para seus requisitos de negócios, tendo em mente os recursos da Rede Virtual e suas dependências. Estenda a estratégia para incluir mais abordagens conforme necessário.
Defina suas metas de confiabilidade. A Rede Virtual e a maioria de seus subsserviços não têm garantias de SLA (contrato de nível de serviço) com suporte da Microsoft. No entanto, serviços específicos, como balanceadores de carga, NICs e endereços IP públicos, têm SLAs. Você deve ter uma boa compreensão da cobertura fornecida em torno do percentil publicado pelo Azure. Tenha em mente que sua organização central de serviços de TI normalmente possui a rede virtual e os serviços centrais. Verifique se os cálculos objetivos incluem essa dependência.
Reduzir pontos de falha. Faça a análise do modo de falha e identifique pontos únicos de falha em conexões de rede.
Os exemplos a seguir mostram pontos únicos de falha em conexões de rede:
Fracasso Mitigação Falha de endereço IP público em uma única zona de disponibilidade. Implante recursos de endereço IP entre zonas ou use um endereço IP secundário com um balanceador de carga. Falha no aplicativo de virtualização de rede (NVA) em uma única zona. Implante uma NVA secundária em outra zona e use um balanceador de carga para direcionar o tráfego para a NVA. Latência em cargas de trabalho que são distribuídas entre regiões ou zonas, o que reduz a taxa de transferência e causa interrupções. Aglomere recursos em uma única região ou zona. Reprojete a arquitetura para usar padrões de confiabilidade, como carimbos de implantação com balanceadores de carga, para que cada carimbo possa lidar com a carga e trabalhar em conjunto com recursos próximos. Falha de carga de trabalho em uma única região com um site de failover frio. Pré-definir as configurações de rede na região de failover. Essa abordagem garante que nenhum endereço IP se sobreponha. Falha de aplicativo em uma única região em uma rede virtual que se comunica com um banco de dados por meio do Link Privado do Azure usando um site de failover frio. Replique conexões na região secundária e redes virtuais pares para comunicação. Provisionamento expressivo de espaços de endereço IP. Para ajudar a garantir o dimensionamento confiável, uma estratégia comum é superprovisionar a capacidade para evitar o esgotamento do endereço IP. No entanto, essa abordagem tem uma compensação entre confiabilidade e eficiência operacional. As sub-redes devem usar apenas uma parte do espaço de endereço da rede virtual. A meta deve ser ter apenas espaço de endereço extra suficiente em sua rede virtual e sub-redes para equilibrar a confiabilidade com eficiência operacional.
Esteja ciente dos limites de rede. O Azure impõe limites ao número de recursos que você pode implantar. Embora a maioria dos limites de rede do Azure esteja definida como seus valores máximos, você pode aumentar alguns limites. Para obter mais informações, consulte limites de rede do Azure Resource Manager.
Criar diagramas de rede que se concentram nos fluxos do usuário. Esses diagramas podem ajudá-lo a visualizar a segmentação de rede, identificar possíveis pontos de falha e identificar transições de chave, como pontos de entrada e saída da Internet. Eles também são ferramentas importantes para auditorias e resposta a incidentes.
Realce os fluxos de tráfego de alta prioridade entre os recursos de usuário e de carga de trabalho. Por exemplo, se você priorizar o Azure ExpressRoute para fluxos de rede corporativos ou solicitações de usuário seguras em um design de rede de perímetro, você poderá obter insights sobre o planejamento de capacidade para firewalls e outros serviços.
Adicione redundância. Considere implantar gateways NAT e redes virtuais em várias regiões, se necessário. Verifique se os endereços IP públicos e outros serviços que têm reconhecimento de zona de disponibilidade têm a redundância de zona habilitada, e torne os recursos compartilhados, como firewalls, com redundância regional.
Para mais informações, consulte Continuidade de negócios da Rede Virtual.
Evitar a complexidade. Preste muita atenção às redes virtuais, sub-redes, endereços IP, rotas, ASGs (grupos de segurança de aplicativos) e marcas. Configurações simples reduzem a probabilidade de configurações incorretas e erros. Configurações incorretas e erros contribuem para problemas de confiabilidade e aumentam os custos operacionais e de manutenção. Alguns exemplos de simplificação incluem:
- Use o DNS privado quando possível e minimize o número de zonas DNS.
- Simplifique as configurações de roteamento. Considere rotear todo o tráfego pelo firewall, se ele for usado na arquitetura.
Testar a resiliência da rede. Use o Azure Chaos Studio para simular interrupções de conectividade de rede. Essa abordagem garante que suas cargas de trabalho permaneçam redundantes e ajude você a avaliar o efeito de possíveis falhas.
Monitorar o tráfego de rede para efeitos de confiabilidade. O monitoramento de fluxo de tráfego é uma operação crucial para a confiabilidade. Por exemplo, você deseja identificar comunicadores de alto volume em sua rede para determinar se eles podem causar interrupções. O Azure fornece funcionalidades de registro em log de fluxo. Para obter mais informações, consulte Excelência Operacional.
Recomendações
| Recomendação | Benefício |
|---|---|
| Dimensione redes virtuais e sub-redes de acordo com sua estratégia de dimensionamento. Escolha menos redes virtuais maiores para acomodar a redundância como uma estratégia de mitigação para falhas. Verifique se não há espaço de endereço sobreposto com outras redes virtuais com as quais você precisa se comunicar e planeje o espaço de endereço com antecedência. Para obter mais informações, consulte Criar, alterar ou excluir uma rede virtual. |
Por meio do superdimensionamento, você pode garantir que a rede seja dimensionada de forma eficiente, sem enfrentar limitações de espaço de endereço. Planeje o espaço de endereço com antecedência para ajudar a evitar conflitos e garantir uma arquitetura de rede suave e escalonável. |
| Utilize o SKU de IP Padrão para ter melhor suporte à confiabilidade por meio de zonas de disponibilidade. Por padrão, os endereços IP públicos são implantados em várias zonas, a menos que restritos a uma zona. | Esse SKU ajuda a garantir que a comunicação em um endereço IP público permaneça operacional durante falhas zonais. |
Segurança
O objetivo do pilar Segurança é fornecer garantias de confidencialidade, integridade e disponibilidade para a carga de trabalho.
Os princípios de design do Security fornecem uma estratégia de design de alto nível para atingir essas metas aplicando abordagens ao design técnico da rede virtual.
Lista de verificação de design
Inicie sua estratégia de design com base na lista de verificação de revisão de design para Segurança e identifique vulnerabilidades e controles para melhorar a postura de segurança. Estenda a estratégia para incluir mais abordagens conforme necessário.
Estabelecer uma linha de base de segurança. Revise o padrão de segurança para a Rede Virtual e implemente as medidas aplicáveis na sua linha base de segurança.
Manter o perímetro de rede atualizado. As configurações de segurança, como NSGs, ASGs e intervalos de endereços IP, devem ser atualizadas regularmente. Regras desatualizadas podem não se alinhar à arquitetura de rede atual ou aos padrões de tráfego. Essa lacuna de segurança pode deixar sua rede exposta a possíveis ataques reduzindo as restrições ao tráfego de entrada e saída.
Utilize a segmentação para aprimorar a segurança. Use NSGs como firewalls L4 no nível da sub-rede. Rotear todo o tráfego externo por meio de um dispositivo virtual de rede, como um firewall, usando rotas definidas pelo usuário para monitoramento e gerenciamento. Use FQDN (nomes de domínio totalmente qualificados) para filtrar o acesso à Internet.
Proteja a conectividade de plataforma como serviço com pontos de extremidade privados enquanto bloqueia conexões de saída.
Aplicar o princípio de privilégios mínimos. Configure o controle de acesso baseado em função (RBAC) com uma abordagem de não acesso para funções relacionadas à rede. Verifique se os usuários só podem modificar as configurações conforme exigido pela função de trabalho.
Limitar endereços IP públicos. Use endereços IP públicos compartilhados de serviços como o Azure Front Door para obter melhor segurança e verificações de solicitação iniciais. O gerenciamento de um endereço IP público dedicado exige que você supervisione sua segurança, incluindo gerenciamento de porta e validação de solicitação. Quando possível, use conectividade privada.
Recomendações
| Recomendação | Benefício |
|---|---|
| Use criptografia de Rede Virtual. | Ao impor o tráfego criptografado, você pode proteger dados em trânsito entre máquinas virtuais do Azure e conjuntos de dimensionamento de máquinas virtuais do Azure na mesma rede virtual. Ele também criptografa o tráfego entre redes virtuais emparelhadas regional e globalmente. |
| Habilite o Verificador de Rede Virtual no Gerenciador de Rede Virtual do Azure. Use esse recurso em seu ambiente de pré-produção para testar a conectividade entre os recursos. Esse recurso não é recomendado na produção. |
Verifique se os recursos do Azure na rede são acessíveis e não bloqueados por políticas. |
| Habilite Proteção contra DDoS do Azure para a rede virtual. Como alternativa, você pode proteger endereços IP públicos individuais por meio de Proteção contra IP DDoS do Azure. Examine os recursos de segurança fornecidos na Proteção de IP do DDoS e na Proteção de Rede DDoS e escolha um que atenda às suas necessidades. Por exemplo, a camada proteção de rede DDoS fornece suporte da Equipe de Resposta Rápida quando ocorrem ataques. A camada de Proteção contra IP do DDoS não fornece esse suporte. |
Você pode proteger contra ataques de negação de serviço distribuídos. |
| Proteja segmentos em uma rede virtual usando NSGs. Quando possível, use ASGs para definir as regras. |
O tráfego que entra e sai da rede pode ser filtrado com base em intervalos de portas e endereços IP. Os ASGs simplificam o gerenciamento abstraindo os intervalos de endereços IP subjacentes. |
| Use pontos de extremidade privados para acessar serviços do Azure a partir de um endereço IP privado dentro da rede virtual. Outra maneira de implementar a rede privada é por meio dos pontos de extremidade de serviço. Esses pontos de extremidade roteiam o tráfego para um serviço por meio do backbone de rede do Azure. Se estiverem disponíveis para o serviço, escolha pontos de extremidade privados em vez de pontos de extremidade de serviço. |
Os pontos de extremidade privados removem a necessidade de endereços IP públicos, o que reduz a superfície de ataque. |
Otimização de custos
A otimização de custos se concentra na na detecção de padrões de gastos, na priorização de investimentos em áreas críticas e na otimização de outras para atender ao orçamento da organização e, ao mesmo tempo, aos requisitos comerciais.
Os princípios de design da Otimização de Custos fornecem uma estratégia de design de alto nível para atingir essas metas e fazer compensações conforme necessário no design técnico relacionado ao seu ambiente de rede.
Lista de verificação de design
Comece sua estratégia de design com base na lista de verificação de revisão de design para otimização de custos em investimentos. Ajuste o design para que a carga de trabalho seja alinhada com o orçamento alocado para a carga de trabalho. Seu design deve usar os recursos corretos do Azure, monitorar investimentos e encontrar oportunidades para otimizar ao longo do tempo.
Otimize transferências de dados de alto volume entre pontos de extremidade. Utilize o emparelhamento de rede virtual para mover dados de maneira eficiente entre redes virtuais. Embora o peering tenha custos de entrada e saída, essa abordagem pode ser econômica porque reduz o consumo de largura de banda e problemas de desempenho da rede. Evite o roteamento por meio de um hub para minimizar ineficiências e custos.
Para otimizar a transferência de dados entre regiões, é importante considerar a frequência e o método de transferência. Por exemplo, quando você lida com backups, o local onde você salva seus backups pode afetar significativamente os custos. O armazenamento de dados de backup em uma região diferente incorre na largura de banda. Para atenuar esses custos, verifique se os dados são compactados antes de transferi-los entre regiões. Você pode otimizar ainda mais os custos e a eficiência ajustando a frequência de transferências de dados.
Incluir componentes de rede em seu modelo de custo. Contabilização de custos ocultos ao criar ou ajustar seu orçamento. Por exemplo, em arquiteturas de várias regiões, custa mais para transferir dados entre regiões.
Os relatórios de custo do Azure podem não incluir as despesas associadas a NVAs que não são da Microsoft, que têm custos de licenciamento separados. Eles também podem ter modelos de cobrança diferentes para opções baseadas em preço fixo e consumo. Inclua esses fatores em suas considerações de orçamento.
Alguns recursos de rede podem ser caros, como o Firewall do Azure e o ExpressRoute. Você pode provisionar esses recursos em modelos de hub centralizados e alocar encargos às equipes pelo custo incorrido. Inclua esse encargo em seu modelo de custo.
Não pagar por recursos não utilizados. Examine os custos do componente regularmente e remova recursos herdados ou configurações padrão. Limite o número de endereços IP públicos para economizar custos. Essa abordagem também aprimora a segurança reduzindo a superfície de ataque.
Otimize pontos de extremidade privados. Determine se você pode reutilizar um link privado para um recurso de outras redes virtuais. Quando você usa um ponto de extremidade privado em um emparelhamento de rede virtual regional, não são cobradas taxas de emparelhamento pelo tráfego de e para o ponto de extremidade privado. Você paga apenas pelo acesso de link privado em si, não pelo tráfego entre redes virtuais. Para mais informações, consulte Link Privado em uma rede de hub-and-spoke.
Alinhar as funções de inspeção de tráfego de rede com os requisitos de prioridade e segurança do fluxo. Para requisitos de largura de banda grandes, considere rotear o tráfego para caminhos de menor custo. O ExpressRoute é adequado para tráfego grande, mas pode ser caro. Para redução de custos, considere alternativas como pontos de extremidade públicos. No entanto, há uma concessão em termos de segurança. Use o emparelhamento de rede para tráfego entre redes, para contornar o firewall e evitar inspeções desnecessárias.
Permitir somente o tráfego necessário entre componentes e bloquear o tráfego inesperado. Se o tráfego for esperado e o fluxo estiver alinhado com seus requisitos de segurança, você poderá omitir esses pontos de verificação. Por exemplo, avalie se você precisa rotear o tráfego por meio de um firewall se o recurso remoto estiver dentro do limite de confiança.
Avalie o número de sub-redes e seus NSGs associados, mesmo dentro de uma rede virtual. Quanto mais NSGs você tiver, maiores serão os custos operacionais para gerenciar os conjuntos de regras. Quando possível, use ASGs para simplificar o gerenciamento e reduzir custos.
Otimizar os custos de código de programação. Ao desenvolver seu aplicativo, escolha protocolos mais eficientes e aplique a compactação de dados para otimizar o desempenho. Por exemplo, você pode aumentar a eficiência em um aplicativo Web configurando componentes para compactar dados. Essas otimizações também afetam o desempenho.
Aproveitar os recursos na rede virtual centralizada. Use recursos centralizados para reduzir a duplicação e a sobrecarga. Além disso, o descarregamento de responsabilidades para as equipes existentes pode ajudar ainda mais a otimizar os custos e permitir a delegação de conhecimento para funções específicas.
Recomendações
| Recomendação | Benefício |
|---|---|
| Use o emparelhamento de rede virtual para tornar o fluxo de rede mais eficiente ao ignorar os controles. Evite observação excessiva. |
Transfere dados diretamente entre redes virtuais emparelhadas para ignorar o firewall, o que reduz o consumo de largura de banda e problemas de desempenho de rede. Evite colocar todos os recursos em uma única rede virtual. Isso pode gerar custos de emparelhamento, mas não é prático colocar todos os recursos em uma única rede virtual apenas para economizar. Isso pode dificultar o crescimento. A rede virtual pode chegar a um ponto em que novos recursos não se encaixam mais. |
| Minimizar os recursos de endereço IP público se você não precisar deles. Antes da exclusão, verifique se o endereço IP não está vinculado a nenhuma configuração de endereço IP ou interface de rede de máquina virtual. |
IPs públicos desnecessários podem aumentar os custos devido a encargos de recursos e sobrecarga operacional. |
Excelência Operacional
Excelência Operacional concentra-se principalmente em procedimentos para práticas de desenvolvimento , observabilidade e gestão de lançamentos.
Os princípios de design da Excelência Operacional fornecem uma estratégia de design de alto nível para atingir essas metas em relação aos requisitos operacionais da carga de trabalho.
Lista de verificação de design
Inicie sua estratégia de design com base na lista de verificação de revisão de design para Excelência Operacional, definindo processos relacionados à observabilidade, teste e implantação no seu ambiente de rede.
Aprender novas construções de rede do Azure. Quando você integra o Azure, as equipes de rede geralmente assumem que seu conhecimento existente é suficiente. No entanto, o Azure tem muitos aspectos diferentes. Certifique-se de que a equipe entenda os conceitos fundamentais de rede do Azure, complexidades de DNS, roteamento e recursos de segurança. Crie uma taxonomia de serviços de rede para que a equipe possa compartilhar conhecimento e ter um entendimento comum.
Formalize seu design de rede e procure simplificar. Documente o design e quaisquer alterações, incluindo detalhes de configuração, como tabelas de rotas, NSGs e regras de firewall. Inclua as políticas de governança que estão em vigor, como bloqueio de portas. A documentação clara torna a colaboração com outras equipes e stakeholders eficaz.
Redes simplificadas são mais fáceis de monitorar, solucionar problemas e manter. Por exemplo, se você tiver uma topologia hub-and-spoke, minimize os emparelhamentos diretos entre spokes para reduzir a carga operacional e aprimorar a segurança. Sempre documente o design e forneça justificativas para cada decisão de design.
Reduza a complexidade usando aliases em vez de intervalos de endereços IP diretos. Esse método reduz a carga operacional.
Usar padrões de design que otimizam o tráfego de rede. Para otimizar o uso e a configuração da rede, implemente padrões de design conhecidos que minimizem ou otimizem o tráfego de rede. Valide a configuração de rede durante os builds usando scanners de segurança para garantir que tudo esteja configurado corretamente.
Fazer implantações de rede consistentes. Use IaC (Infraestrutura como Código) para todos os componentes, incluindo emparelhamentos de rede e pontos de extremidade privados. Entenda que os principais componentes de rede provavelmente mudarão com menos frequência do que outros componentes. Implemente uma abordagem de implantação em camadas para a sua pilha de tecnologias, de modo que você possa implantar cada camada de forma independente. Evite combinar IaC com scripts para evitar complexidade.
Monitore a pilha de rede. Monitore os padrões de tráfego continuamente para identificar anomalias e problemas, como quedas de conexão, antes que eles causem falhas em cascata. Quando possível, defina alertas para serem notificados sobre essas interrupções.
Semelhante a outros componentes nessa arquitetura, capture todas as métricas e logs relevantes de vários componentes de rede, como rede virtual, sub-redes, NSGs, firewalls e balanceadores de carga. Agregue, visualize e analise-os em seus painéis. Crie alertas para eventos importantes.
Inclua o networking em sua estratégia de mitigação de falhas. Redes virtuais e sub-redes são implantadas inicialmente e normalmente permanecem inalteradas, o que dificulta as reversões. No entanto, você pode otimizar sua recuperação seguindo algumas estratégias:
Duplicar a infraestrutura de rede com antecedência, especialmente para configurações híbridas. Verifique se as rotas separadas em regiões diferentes estão prontas para se comunicarem entre si com antecedência. Replique e mantenha NSGs consistentes e regras de Firewall do Azure em sites primários e de recuperação de desastre (DR). Esse processo pode ser demorado e requer aprovação, mas fazer isso com antecedência ajuda a evitar problemas e falhas. Certifique-se de testar a pilha de rede no site de DR.
Evite sobrepor intervalos de endereços IP entre suas redes de produção e DR.. Mantendo intervalos de endereços IP distintos, você pode simplificar o gerenciamento de rede e agilizar a transição durante um evento de failover.
Considere as compensações entre custo e confiabilidade. Para mais informações, consulte Compensações.
Delegar operações de rede para equipes centrais. Centralize o gerenciamento e a governança da infraestrutura de rede, quando possível. Por exemplo, em uma topologia hub-spoke, serviços como o Firewall do Azure e o ExpressRoute, DNS destinados ao uso compartilhado são colocados na rede do hub. Essa pilha de rede deve ser gerenciada centralmente, o que reduz a carga da equipe de operações.
Distribua a carga de administração da rede virtual para a equipe central, mesmo na rede spoke. Minimize as operações de rede para aquilo que é pertinente à carga de trabalho, como o gerenciamento de NSGs.
Mantenha as equipes centrais informadas sobre as alterações necessárias na carga de trabalho que possam afetar a configuração dos recursos compartilhados. Os aliases abstraem os endereços IP subjacentes, o que simplifica as operações.
Redimensione a rede virtual e as respectivas sub-redes. Escolha menos redes virtuais maiores para reduzir a sobrecarga de gerenciamento e evitar tornar as sub-redes excessivamente grandes. O gerenciamento de sub-redes e seus NSGs pode aumentar a carga operacional. Para ambientes com disponibilidade limitada de endereços IP privados (RFC 1918), considere o uso do IPv6.
| Recomendação | Benefício |
|---|---|
| Implante Gerenciador de Rede Virtual. | Em vez de configurar cada rede virtual individualmente, o Virtual Network Manager gerencia centralmente a conectividade com base em regras. Essa abordagem simplifica as operações de rede. |
| Use ferramentas de monitoramento de rede. Use regularmente logs de fluxo de rede virtual e análise de tráfego para identificar alterações na demanda e nos padrões. Use o recurso monitor de conexão para analisar e identificar problemas como quedas de conexão antes que eles afetem os aplicativos. |
Você pode entender como os dados fluem pela rede, identificar gargalos e identificar tentativas de acesso incomuns ou não autorizadas. |
| Ao definir rotas, use marcas de serviço em vez de endereços IP específicos. Da mesma forma, use ASGs ao definir regras de tráfego para NSGs. |
Essa abordagem garante a confiabilidade porque os endereços IP podem ser alterados, mas a configuração não precisa. Além disso, ajuda a superar os limites no número de rotas ou regras que você pode definir usando nomes mais genéricos. |
Eficiência de desempenho
Eficiência de desempenho significa manter a experiência do usuário mesmo quando há um aumento na carga por meio do gerenciamento da capacidade. A estratégia inclui dimensionamento de recursos, identificação e otimização de possíveis gargalos e otimização para o desempenho de pico.
Os princípios de design de Eficiência de Desempenho oferecem uma estratégia de design em nível elevado para atingir essas metas de capacidade em relação ao uso esperado.
Lista de verificação de design
Inicie sua estratégia de design com base na lista de verificação para a Eficiência de Desempenho, definindo uma linha de base baseada nos principais indicadores de desempenho.
Definir metas de desempenho. Para definir destinos de desempenho, conte com métricas de monitoramento, especificamente para latência e largura de banda. Use dados de monitor de conexão, como latência e número de saltos, para definir destinos e limites para desempenho aceitável. O Application Insights fornece uma visão detalhada do tempo que as requisições de carga de trabalho passam na rede, o que ajuda a refinar esses objetivos.
Dimensione suas sub-redes. Quando você aloca sub-redes, é importante equilibrar o tamanho e a escalabilidade. Você deseja que as sub-redes sejam grandes o suficiente para acomodar o crescimento projetado sem carga operacional.
Para gerenciar a capacidade efetivamente, uma estratégia comum é superprovisionar a capacidade devido à incerteza, mas o objetivo deve ser otimizar ao longo do tempo. Analise continuamente os dados para que sua rede possa lidar com a carga, mas você não paga extra por recursos não utilizados.
Realizar testes de desempenho. Use uma combinação de dados sintéticos e de produção para testar a latência e a largura de banda. Essa abordagem ajuda a avaliar como esses fatores podem afetar o desempenho da carga de trabalho. Por exemplo, ele pode detectar recursos que causam problemas de vizinhos barulhentos e consomem mais largura de banda do que o esperado. Além disso, identifica o tráfego que faz vários saltos e causa alta latência.
Recomendamos que você teste em produção ou capture e reproduza dados de produção como dados de teste. Essa abordagem garante que os testes reflitam o uso real, o que ajuda você a definir metas de desempenho realistas.
Monitore o tráfego entre regiões. É importante considerar que os recursos de carga de trabalho podem estar localizados em regiões diferentes. A comunicação entre regiões pode adicionar latência significativa. O tráfego entre zonas de disponibilidade na mesma região tem baixa latência, mas pode não ser rápido o suficiente para algumas cargas de trabalho especializadas.
Recomendações
| Recomendação | Benefício |
|---|---|
| Habilitar o monitor de conexão do Observador de Rede do Azure. Use o monitor de conexão durante o teste, que pode gerar tráfego sintético. |
Você pode coletar métricas que indicam perda e latência entre redes. Além disso, você pode rastrear todo o caminho de tráfego, o que é importante para detectar gargalos de rede. |
| Mantenha o espaço de endereço de rede virtual grande o suficiente para dar suporte ao dimensionamento. | Você é capaz de acomodar o crescimento projetado sem carga operacional. |
Compensações
Talvez seja necessário fazer compensações de design se você usar as abordagens das listas de verificação dos pilares. Os exemplos a seguir destacam as vantagens e desvantagens.
Pilha de rede redundante
Quando você opta por implementar uma pilha de rede redundante, incluindo seus NSGs, rotas e outras configurações, existe um custo adicional da infraestrutura e dos testes minuciosos.
Esse investimento inicial aumenta a confiabilidade. Você pode ter certeza de que tudo funciona conforme o esperado e acelerar a recuperação durante interrupções.
Emparelhamento de rede virtual
O emparelhamento de rede virtual direto melhora o desempenho reduzindo a latência porque evita a necessidade de rotear o tráfego por meio de um hub em que um firewall descriptografa, inspeciona e criptografa novamente o conteúdo.
Esse ganho de desempenho vem ao custo da diminuição da segurança. Sem as inspeções de firewall fornecidas pelo roteamento do hub, a carga de trabalho é mais vulnerável a possíveis ameaças.
Sub-redes grandes
Sub-redes grandes fornecem um amplo espaço de endereçamento, o que permite que as cargas de trabalho expandam sem complicações. Um espaço de endereço grande pode proteger contra picos inesperados na demanda. No entanto, isso pode levar ao uso ineficiente de endereços IP. Com o tempo, essa ineficiência pode potencialmente causar esgotamento do endereço IP à medida que a carga de trabalho evolui. Além disso, essa estratégia vem com custos operacionais mais altos. Do ponto de vista da Excelência Operacional, é ideal manter suas sub-redes o menor possível.
Políticas do Azure
O Azure fornece um amplo conjunto de políticas internas relacionadas à Rede Virtual e suas dependências. Defina e atribua políticas para ajudar a garantir que os recursos estejam em conformidade com os padrões organizacionais. Crie um Painel de conformidade do Azure Policy para identificar recursos não compatíveis e executar ações corretivas.
Um conjunto de políticas do Azure pode auditar algumas das recomendações anteriores. Por exemplo, você pode definir políticas que são automaticamente:
- Proteja a rede virtual contra ataques volumétricos e de protocolo.
- Negar a criação de interfaces de rede que tenham endereços IP públicos.
- Implantar o Observador de Rede para redes virtuais.
- Habilite a análise de tráfego e os logs de fluxo para monitorar os padrões de tráfego.
Para governança abrangente, examine as definições internas do Azure Policy e outras políticas que podem afetar a segurança da camada de rede.
Recomendações do Assistente do Azure
Assistente do Azure é um consultor de nuvem personalizado que ajuda você a seguir as práticas recomendadas para otimizar suas implantações do Azure. Aqui estão algumas recomendações que podem ajudá-lo a melhorar a confiabilidade, a segurança, o custo-benefício, o desempenho e a excelência operacional da sua rede virtual.
- Confiabilidade
- Segurança
- Otimização de Custos
- Desempenho
- Excelência Operacional
Próximas etapas
Os artigos a seguir demonstram as recomendações discutidas neste artigo.
Para uma topologia hub-spoke, use a arquitetura de referência de topologia de rede hub-spoke para configurar o carimbo inicial.
Use a documentação do produto a seguir para aprimorar sua experiência de implementação:
- Rede Virtual
- documentação dos Serviços IP de Rede Virtual