Como o Azure ExpressRoute funciona
Você aprendeu sobre a finalidade do serviço do Azure ExpressRoute e quais são os serviços com os quais pode usá-lo. Agora, você está pronto para começar a aprender como o serviço funciona. Examine a interação com o Azure e as redes locais para obter ajuda ao criar uma conexão segura e confiável entre o datacenter local e a nuvem da Microsoft.
Nesta unidade, você aprenderá a criar e usar circuitos do Azure para conectar suas redes locais à nuvem. Você passará pelas etapas necessárias para criar um circuito. Também aprenderá sobre os outros componentes de uma conexão ExpressRoute, que funcionam juntos para formar uma conexão do datacenter local com a nuvem da Microsoft.
Arquitetura do ExpressRoute
O ExpressRoute tem suporte em todas as regiões e locais. Para implementá-lo, você precisa trabalhar com um parceiro do ExpressRoute. O parceiro fornece o serviço de borda: uma conexão autorizada e autenticada que opera por meio de um roteador controlado pelo parceiro. O serviço de borda é responsável por estender sua rede para a nuvem da Microsoft.
O parceiro configura conexões com um ponto de extremidade em uma localização do ExpressRoute (implementado por um roteador de borda da Microsoft). Essas conexões permitem emparelhar suas redes locais com as redes virtuais disponíveis por meio do ponto de extremidade. Essas conexões são denominadas circuitos.
Observação
No contexto do ExpressRoute, o Microsoft Edge descreve os roteadores de borda no lado da Microsoft do circuito do ExpressRoute.
Um circuito fornece a conexão física para transmitir dados dos roteadores de borda do provedor do ExpressRoute para os roteadores de borda da Microsoft. O circuito é estabelecido por uma conexão particular em vez da Internet pública. Sua rede local é conectada aos roteadores de borda do provedor do ExpressRoute. Os roteadores de borda da Microsoft fornecem o ponto de entrada para a nuvem da Microsoft.
Pré-requisitos do ExpressRoute
Para se conectar aos serviços em nuvem da Microsoft usando o ExpressRoute, você precisará de:
- Um parceiro de conectividade do ExpressRoute ou um provedor de troca de nuvem que possa configurar uma conexão das redes locais com a nuvem da Microsoft.
- Uma assinatura do Azure registrada com o parceiro de conectividade do ExpressRoute escolhido.
- Uma conta ativa do Microsoft Azure que possa ser usada para solicitar um circuito do ExpressRoute.
- Uma assinatura ativa do Office 365 (se você quiser se conectar à nuvem da Microsoft e acessar os serviços do Office 365).
O ExpressRoute funciona emparelhando as redes locais com as redes em execução na nuvem da Microsoft. Os recursos em suas redes podem se comunicar diretamente com os recursos hospedados pela Microsoft. Para dar suporte a esses emparelhamentos, o ExpressRoute tem vários requisitos de rede e roteamento:
- Verifique se as sessões de BGP para os domínios de roteamento foram configuradas. Dependendo do parceiro, essa configuração pode ser responsabilidade dele ou sua. Além disso, para cada circuito do ExpressRoute, a Microsoft requer sessões de BGP redundantes entre os roteadores da Microsoft e seus roteadores de emparelhamento.
- Você ou seus provedores precisam converter os endereços IP privados usados localmente em endereços IP públicos usando um serviço NAT. A Microsoft rejeita tudo, exceto endereços IP públicos, por meio do emparelhamento da Microsoft.
- Reserve vários blocos de endereços IP em sua rede para rotear o tráfego para a nuvem da Microsoft. Configure esses blocos como uma sub-rede /29 ou duas sub-redes /30 em seu espaço de endereços IP. Uma dessas sub-redes é usada para configurar o link primário com a Microsoft Cloud e a outra implementa um link secundário. O primeiro endereço nessas sub-redes representa o fim do par no nível de protocolo BGP e o segundo endereço é o IP do par no nível de protocolo BGP da Microsoft.
O ExpressRoute dá suporte a dois esquemas de emparelhamento:
- Use o emparelhamento particular para se conectar aos serviços de IaaS e PaaS do Azure implantados dentro das redes virtuais do Azure. Todos os recursos que você acessar deverão estar localizados em uma ou mais redes virtuais do Azure com endereços IP privados. Você não pode acessar os recursos pelo seu endereço IP público em um emparelhamento privado.
- Use o emparelhamento da Microsoft para se conectar aos serviços de PaaS do Azure, aos serviços do Office 365 e ao Dynamics 365.
Observação
Você também pode usar o portal do Azure para configurar o emparelhamento público. Essa forma de emparelhamento permite que você se conecte aos endereços públicos expostos pelos serviços do Azure. No entanto, esse emparelhamento foi preterido e não está disponível para novos circuitos. Este módulo não descreve o emparelhamento público.
Criar um circuito e o emparelhamento do ExpressRoute
Estabelecer uma conexão com o Azure por meio do ExpressRoute é um processo de várias etapas. Você pode executar muitas dessas etapas usando o portal do Azure ou a linha de comando com o PowerShell ou a CLI do Azure. Esta seção descreve o processo de usar o portal do Azure. Para obter instruções referentes ao PowerShell e à CLI, consulte a seção Saiba mais no final deste módulo.
Criar um circuito
Ao usar o portal do Azure, selecione + Criar um recurso e pesquise ExpressRoute. A página Criar circuito do ExpressRoute exige que você preencha os seguintes campos:
Guia Básico
| Propriedade | Valor |
|---|---|
| Assinatura | A assinatura que você registrou em seu provedor do ExpressRoute. |
| Grupo de recursos | O grupo de recursos do Azure no qual o circuito será criado. |
| Região | A localização do Azure no qual o circuito será criado. |
| Nome | Um nome significativo para seu circuito, sem nenhum espaço em branco ou caracteres especiais. |
Guia Configuração
| Propriedade | Valor |
|---|---|
| Tipo de porta | Selecione Provedor se você estiver se conectando por meio de um provedor de serviços ou selecione Direto se estiver se conectando diretamente à Microsoft. |
| Criar ou importar do clássico | Crie um circuito ou selecione Importar para mover um circuito existente do modelo clássico para o Resource Manager. |
| Provedor | O provedor do ExpressRoute com o qual você registrou sua assinatura. |
| Localização do emparelhamento | Uma localização habilitada pelo provedor do ExpressRoute no qual você criará seu circuito. |
| Largura de banda | Selecione sua largura de banda, de 50 Mbps a 10 Gbps. Comece com um valor baixo. É possível aumentá-lo mais tarde sem interrupções de serviço. No entanto, não será possível reduzir a largura de banda se você configurá-la com um valor muito alto inicialmente. |
| SKU | Selecione Local (se disponível) se você só precisar se conectar ao recurso do Azure em uma ou duas regiões do Azure no mesmo metro. Selecione Standard se você tiver até dez redes virtuais e precisar se conectar apenas a recursos na mesma região geográfica. Caso contrário, selecione Premium, o que permite que você conecte mais de 10 redes virtuais e conectividade global aos recursos do Azure. |
| Modelo de cobrança | Selecione Ilimitado para pagar um valor fixo, independentemente do uso. Ou selecione Limitado para pagar de acordo com o volume de tráfego que entra e sai do circuito. |
| Permitir operações clássicas | Selecionar Sim permite que redes virtuais clássicas se conectem ao circuito. Caso contrário, selecione Não. |
A criação do circuito poderá levar vários minutos. Depois que o circuito tiver sido provisionado, você poderá usar o portal do Azure para exibir as propriedades. Perceba que o Status do circuito está ativado, o que significa que o lado da Microsoft do circuito está pronto para aceitar conexões. Inicialmente, o status do provedor está definido como Não provisionado porque ele não configurou esse lado do circuito para se conectar à rede.
Você envia ao provedor o valor no campo Chave de serviço para permitir que ele configure a conexão. Essa configuração pode levar diversos dias. Você pode voltar a esta página para verificar o status do provedor.
Criar uma configuração de emparelhamento
Quando o status do provedor for indicado como Provisionado, você poderá configurar o roteamento para os emparelhamentos. Essas etapas aplicam-se apenas a circuitos criados com provedores de serviços que oferecem conectividade de Camada 2. Para os circuitos que operam na Camada 3, é possível que o provedor configure o roteamento para você.
A página Circuito do ExpressRoute (mostrada anteriormente) lista cada emparelhamento e suas propriedades. Você pode selecionar um emparelhamento para configurar essas propriedades.
Configurar o emparelhamento privado
Você pode usar um emparelhamento privado para conectar sua rede às redes virtuais em execução no Azure. Para configurar o emparelhamento privado, você precisa fornecer as seguintes informações:
- ASN de emparelhamento: o número do sistema autônomo referente ao seu lado do emparelhamento. Esse ASN pode ser público ou particular, de 16 ou 32 bits.
- Sub-redes: selecione se você deseja usar IPv4, IPv6 ou ambos para as sub-redes de emparelhamento.
- Sub-rede primária: o intervalo de endereços da sub-rede primária /30 que você criou na rede. Você usa o primeiro endereço IP nesta sub-rede para o roteador. A Microsoft usa a segunda para seu roteador.
- Sub-rede secundária: o intervalo de endereços da sub-rede secundária /30. Essa sub-rede fornece um link secundário para a Microsoft. Os dois primeiros endereços são usados para armazenar o endereço IP de seu roteador e do roteador da Microsoft.
- Habilitar emparelhamento de IPv4: essa opção permite habilitar e desabilitar a sessão BGP de emparelhamento privado.
- ID da VLAN: o ID da VLAN em que o emparelhamento será estabelecido. Os links primários e secundários usam esse ID de VLAN.
- Chave compartilhada: essa chave é um hash MD5 opcional que é usado para codificar mensagens que passam pelo circuito.
Configurar o emparelhamento da Microsoft
Use o emparelhamento da Microsoft para se conectar ao Office 365 e a seus serviços associados. Para configurar o emparelhamento da Microsoft, você fornece muitas das informações descritas para um emparelhamento privado: um ASN de mesmo nível, um intervalo de endereços de sub-rede primária, um intervalo de endereços de sub-rede secundária, uma versão de IP de sub-rede, um ID de VLAN e uma chave compartilhada opcional. Também é necessário fornecer as seguintes informações:
- Prefixos públicos anunciados: uma lista dos prefixos de endereço que você usa na sessão BGP. Esses prefixos devem ser registrados para você e devem ser prefixos para intervalos de endereços públicos.
- ASN do cliente: um número de sistema autônomo opcional do cliente a ser usado ao anunciar prefixos que não estão registrados no ASN de mesmo nível.
- Nome do registro de roteamento: este nome identifica o Registro no qual os prefixos públicos e o ASN do cliente estão registrados.
Conectar uma rede virtual a um circuito do ExpressRoute
Depois que o circuito ExpressRoute for estabelecido, o pareamento privado do Azure será configurado para ele. A sessão BGP entre a rede e a Microsoft está ativa, portanto, é possível habilitar a conectividade da rede local com o Azure.
Antes de se conectar a um circuito particular, você deverá criar um gateway de rede virtual do Azure usando uma sub-rede em uma de suas redes virtuais do Azure. O gateway de rede virtual fornece o ponto de entrada para o tráfego de rede que entra na rede local. Ele direciona o tráfego de entrada pela rede virtual para seus recursos do Azure.
Você pode configurar grupos de segurança de rede e regras de firewall para controlar o tráfego roteado da rede local. Você também pode bloquear solicitações de endereços não autorizados em sua rede local.
Observação
Você deve criar o gateway de rede virtual usando o tipo ExpressRoute, e não VPN.
Até 10 redes virtuais podem ser vinculadas a um circuito do ExpressRoute, mas essas redes virtuais devem estar na mesma região geopolítica que o circuito do ExpressRoute ao usar um SKU Standard. Você pode vincular uma única rede virtual a quatro circuitos de ExpressRoute, se necessário. O circuito do ExpressRoute pode estar na mesma assinatura que a rede virtual ou em uma diferente.
Se estiver usando o portal do Azure, conecte um emparelhamento a um gateway de rede virtual da seguinte maneira:
- Na página Circuito do ExpressRoute de seu circuito, selecione Conexões.
- Na página Conexões, selecione Adicionar.
- Na página Adicionar conexão, dê um nome à sua conexão e selecione seu gateway de rede virtual. Quando a operação for concluída, a rede local será conectada por meio do gateway de rede virtual à rede virtual no Azure. A conexão é feita através da conexão ExpressRoute.
Alta disponibilidade e failover com o ExpressRoute
Em cada circuito do ExpressRoute, há duas conexões do provedor de conectividade com dois roteadores de borda da Microsoft diferentes. Essa configuração ocorre automaticamente. Ela fornece um grau de disponibilidade em uma única localização.
Considere configurar os circuitos do ExpressRoute em diferentes locais de emparelhamento para fornecer alta disponibilidade e ajudar a proteger contra interrupções regionais. Por exemplo, você pode criar circuitos nas regiões Leste dos EUA e EUA Central e conectar esses circuitos à sua rede virtual. Assim, se um circuito ExpressRoute ficar inativo, você não perderá a conectividade com o recurso e será possível fazer o failover da conexão em outro circuito ExpressRoute.
Você também poderá ter vários circuitos em provedores diferentes para verificar se a rede sempre está disponível, mesmo se uma interrupção afetar todos os circuitos de um provedor aprovado. Você pode configurar a propriedade Peso de Conexão para decidir entre um circuito ou outro.
ExpressRoute Direct e FastPath
A Microsoft também oferece uma opção de velocidade extremamente alta chamada ExpressRoute Direct. Esse serviço permite conectividade de 100 Gbps dupla. Ele é adequado para cenários que envolvem ingestão de dados maciça e frequente. Também é adequado para soluções que exigem escalabilidade extrema, como soluções bancárias, governamentais e de varejo.
Você pode registrar sua assinatura na Microsoft para ativar o ExpressRoute Direct. Para saber mais, acesse o artigo sobre o ExpressRoute na seção “Saiba mais” no final deste módulo.
O ExpressRoute Direct dá suporte ao FastPath. Quando FastPath está habilitado, ele envia o tráfego de rede diretamente para uma máquina virtual que é o destino pretendido. O tráfego ignora o gateway de rede virtual, melhorando o desempenho entre redes de máquinas virtuais do Azure e redes locais.
O FastPath dá suporte ao emparelhamento de rede virtual (em que você tem redes virtuais conectadas). Ele também dá suporte a rotas definidas pelo usuário na sub-rede do gateway.