Explorar o Azure ExpressRoute
O ExpressRoute permite que você estenda suas redes locais para a nuvem da Microsoft em uma conexão privada com a ajuda de um provedor de conectividade. Com o ExpressRoute, você pode estabelecer conexões com vários serviços em nuvem da Microsoft, como o Microsoft Azure e o Microsoft 365. A conectividade pode ocorrer de uma rede any-to-any (VPN de IP), uma rede Ethernet ponto a ponto ou uma conexão cruzada virtual por meio de um provedor de conectividade em uma colocação. Como as conexões do ExpressRoute não passa pela Internet pública, essa abordagem permite que as conexões do ExpressRoute ofereçam mais confiabilidade, velocidades mais rápidas, latências consistentes e maior segurança.
Funcionalidades do ExpressRoute
Alguns dos principais benefícios do ExpressRoute são:
- Conectividade de Camada 3 entre sua rede local e a Microsoft Cloud por meio de um provedor de conectividade
- A conectividade pode ocorrer de uma rede “qualquer para qualquer” (IPVPN), de uma conexão Ethernet ponto a ponto ou por meio de uma conexão cruzada virtual via troca Ethernet
- Conectividade com os serviços em nuvem da Microsoft em todas as regiões da região geopolítica
- Conectividade global com os serviços da Microsoft em todas as regiões com o complemento premium do ExpressRoute
- Redundância interna em cada localização de emparelhamento para proporcionar maior confiabilidade
O Azure ExpressRoute é usado para criar conexões privadas entre os datacenters do Azure e a infraestrutura no seu local ou em um ambiente de colocalização. As conexões do ExpressRoute não passam pela Internet pública e oferecem mais confiabilidade, velocidades maiores, latências menores e mais segurança do que conexões típicas pela Internet.
Entender os casos de uso para o Azure ExpressRoute
Conexão mais rápida e confiável com os serviços do Azure – as organizações que aproveitam os serviços do Azure pesquisam conexões confiáveis com serviços e data centers do Azure. A Internet pública depende de muitos fatores e pode não ser adequada para uma empresa. O Azure ExpressRoute é usado para criar conexões privadas entre os data centers do Azure e a infraestrutura no seu local ou em um ambiente de colocação. Usar conexões de ExpressRoute para transferir dados entre sistemas locais e o Azure também pode gerar benefícios de custos significativos.
Armazenamento, backup e recuperação – backup e recuperação são importantes para uma organização para continuidade dos negócios e recuperação de paralisações. O ExpressRoute oferece uma conexão rápida e confiável com o Azure com larguras de banda de até 100 Gbps, o que o torna excelente para cenários como migração periódica de dados, replicação para continuidade dos negócios, recuperação de desastre e outras estratégias de alta disponibilidade.
Estende as funcionalidades do data center – o ExpressRoute pode ser usado para se conectar e adicionar capacidade de computação e armazenamento aos data centers. Com alta taxa de transferência e latências rápidas, o Azure parece uma extensão natural para ou entre seus data centers, de modo que você aproveita a escala e a economia da nuvem pública sem precisar comprometer o desempenho da rede.
Conexões previsíveis, confiáveis e de alta taxa de transferência – com as conexões previsíveis, confiáveis e de alta taxa de transferência oferecidas pelo ExpressRoute, as empresas podem criar aplicativos que abrangem a infraestrutura local e o Azure sem comprometer a privacidade ou o desempenho. Por exemplo, execute um aplicativo de intranet corporativa no Azure que autentica seus clientes com um serviço Active Directory local e atende a todos os clientes corporativos sem roteamento de tráfego pela Internet pública.
Modelos de conectividade do ExpressRoute
Você pode criar uma conexão entre sua rede local e a nuvem da Microsoft de quatro maneiras diferentes, Colocalização do CloudExchange, Conexão de Ethernet Ponto a Ponto, Conexão de Qualquer para Qualquer (IPVPN) e ExpressRoute Direct. Os provedores de conectividade podem oferecer um ou mais modelos de conectividade.
Colocalizada em uma troca de nuvem
Se você estiver colocalizado em uma instalação que possua uma troca de nuvem, poderá solicitar conexões cruzadas virtuais para a nuvem da Microsoft por meio da troca Ethernet do provedor da colocalização. Os provedores da colocalização podem oferecer conexões cruzadas de Camada 2 ou conexões cruzadas gerenciadas de Camada 3 entre sua infraestrutura na instalação de colocalização e a nuvem da Microsoft.
Conexões de Ethernet ponto a ponto
Você pode conectar seus data centers/escritórios locais à nuvem da Microsoft por meio de links de Ethernet ponto a ponto. Os provedores de Ethernet ponto a ponto podem oferecer conexões de Camada 2 ou conexões gerenciadas de Camada 3 entre seu site e a nuvem da Microsoft.
Redes de qualquer ponto a qualquer ponto (IPVPN)
É possível integrar sua WAN à nuvem da Microsoft. Os Provedores de IPVPN (normalmente, VPN MPLS) oferecem conectividade “qualquer para qualquer” entre suas filiais e datacenters. A nuvem da Microsoft pode ser interconectada à sua WAN para que ela fique exatamente igual a qualquer outra filial. Normalmente, os provedores de rede WAN oferecem conectividade gerenciada de Camada 3.
Direto de sites do ExpressRoute
Você pode se conectar diretamente à rede global da Microsoft em um local de emparelhamento distribuído estrategicamente em todo o mundo. O ExpressRoute Direct fornece oferece conectividade dupla de 100 Gbps ou 10 Gbps, compatível com conectividade Ativa/Ativa em escala.
Considerações de design para implantações do ExpressRoute
Ao planejar uma implantação do ExpressRoute, há muitas decisões a serem tomadas. Esta seção discute algumas áreas importantes que você deve considerar ao projetar sua implantação.
Escolha entre o provedor e o modelo direto (ExpressRoute Direct)
ExpressRoute Direct
O ExpressRoute Direct oferece a capacidade de conectar-se diretamente à rede global da Microsoft em localizações de emparelhamento estrategicamente distribuídas em todo o mundo. O ExpressRoute Direct fornece oferece conectividade dupla de 100 Gbps ou 10 Gbps, compatível com conectividade Ativa/Ativa em escala. Você pode trabalhar com qualquer provedor de serviços para o ExpressRoute Direct.
Os principais recursos fornecidos pelo ExpressRoute Direct incluem:
- Ingestão de dados em massa em serviços como Armazenamento e o Cosmos DB
- Isolamento físico para indústrias que são regulamentadas e exigem conectividade dedicada e isolada, como: bancos, governo e varejo
- Controle granular de distribuição de circuito com base em unidade de negócios
Usar o ExpressRoute Direct versus um provedor de serviços
| ExpressRoute usando um provedor de serviços | ExpressRoute Direct |
|---|---|
| Usa provedores de serviços para habilitar integração e conectividade rápidas na infraestrutura existente | Requer infraestrutura de 100 Gbps/10 Gbps e gerenciamento total de todas as camadas |
| Integra-se a centenas de fornecedores, inclusive Ethernet e MPLS | Capacidade direta/dedicada para setores regulamentados e ingestão de dados em massa |
| SKUs de circuitos de 50 Mbps a 10 Gbps | O cliente pode selecionar uma combinação das seguintes SKUs de circuito em 100 Gbps ExpressRoute Direct: 5 Gbps 10 Gbps 40 Gbps 100 Gbps O cliente pode selecionar uma combinação das seguintes SKUs de circuito em 10 Gbps ExpressRoute Direct: 1 Gbps 2 Gbps 5 Gbps 10 Gbps |
| Otimizado para um único locatário | Otimizado para um locatário com várias unidades de negócios e vários ambientes de trabalho |
Anúncio de rota
Quando o emparelhamento da Microsoft é configurado no seu circuito do ExpressRoute, os roteadores do Microsoft Edge estabelecem um par de sessões do BGP (Border Gateway Protocol) com os roteadores do Edge por meio do seu provedor de conectividade. Nenhuma rota é anunciada para sua rede. Para habilitar os anúncios de rota para sua rede, você deve associar um filtro de rota.
Para associar um filtro de rota:
- Você deve ter um circuito de ExpressRoute ativado que tenha o Microsoft emparelhamento provisionado.
- Crie um circuito do ExpressRoute e habilite-o pelo provedor de conectividade antes de prosseguir. O circuito de ExpressRoute deve estar em um estado habilitado e provisionado.
- Crie o emparelhamento da Microsoft se você gerenciar a sessão de BGP diretamente. Ou então, faça com que seu provedor de conectividade provisione emparelhamento da Microsoft para o circuito.
Obter uma lista de valores de comunidade BGP
Os valores de comunidade BGP associados aos serviços acessíveis por meio de emparelhamento da Microsoft está disponível na página Requisitos de roteamento do ExpressRoute.
Faça uma lista dos valores que você deseja usar
Faça uma lista de valores de comunidade BGP que você deseja usar no filtro de rota.
Detecção de encaminhamento bidirecional
O ExpressRoute dá suporte à BFD (Detecção de Encaminhamento Bidirecional) em emparelhamento privado e da Microsoft. Ao habilitar a BFD sobre ExpressRoute, você poderá acelerar a detecção de falhas de link entre dispositivos MSEE (Microsoft Enterprise Edge) e roteadores para os quais o circuito do ExpressRoute é configurado (CE/PE). É possível configurar o ExpressRoute nos dispositivos de roteamento de borda ou dispositivos de roteamento de Borda do Parceiro (se tiver optado pelo serviço de conexão gerenciado da Camada 3). Esta seção explica a necessidade de BFD e de como habilitar a BFD no ExpressRoute.
É possível habilitar o circuito do ExpressRoute por meio de conexões da Camada 2 ou por conexões gerenciadas da Camada 3. Em ambos os casos, se houver um ou mais dispositivos de Camada 2 no caminho de conexão do ExpressRoute, a responsabilidade de detectar qualquer falha de vínculo no caminho está na sessão BGP sobreposta.
Nos dispositivos MSEE, o tempo em espera e de keep alive de BGP são tipicamente configurados como 60 e 180 segundos, respectivamente. Por isso, quando uma falha de link acontece, poderá levar até três minutos para detectá-la e alternar o tráfego para uma conexão alternativa.
É possível controlar os temporizadores de BGP, configurando um tempo em espera e de keep alive de BGP inferior no seu dispositivo de emparelhamento de borda. Se os temporizadores BGP não forem os mesmos entre os dois dispositivos de emparelhamento, a sessão BGP será estabelecida usando o valor temporal menor. O keep alive do BGP pode ser definido por três segundos e o tempo de espera por 10 segundos. No entanto, a configuração de um temporizador BGP muito agressivo não é recomendada porque o protocolo tem uso intensivo de processo.
Nesse cenário, a BFD pode ajudar. A BFD fornece detecção de falha de vínculo de baixa sobrecarga em um intervalo de tempo em fração de segundos.
O seguinte diagrama mostra o benefício de habilitar BFD em um circuito do ExpressRoute:
Habilitar BFD
A BFD é configurada por padrão em todas as interfaces de emparelhamento privado do ExpressRoute criadas recentemente nos MSEEs. Dessa forma, para habilitar a BFD, você só precisará configurá-la em seus dispositivos primários e secundários. Configurar a BFD é um processo de duas etapas. Configure a BFD na interface e vincule-a à sessão BGP.
Quando você desativa um emparelhamento, a sessão do BGP (Border Gateway Protocol) na conexão principal e na conexão secundária do circuito da ExpressRoute é encerrada. Quando você ativa um emparelhamento, a sessão do BGP é redefinida na conexão principal e na conexão secundária do circuito da ExpressRoute.
Observação
Quando você configura primeiro os emparelhamentos em seu circuito da ExpressRoute, os emparelhamentos são habilitados por padrão.
A redefinição de seus emparelhamentos do ExpressRoute pode ser útil nos seguintes cenários:
Você está testando seu design de recuperação de desastres e implementação. Por exemplo, você tem dois circuitos ExpressRoute. Você pode desabilitar os emparelhamentos de um circuito e forçar o tráfego de sua rede a usar o outro circuito.
Você deseja habilitar a detecção de encaminhamento bidirecional (BFD) no emparelhamento privado do Azure ou no emparelhamento da Microsoft. Se o circuito do ExpressRoute tiver sido criado antes de 1º de agosto de 2018 no emparelhamento privado do Azure ou antes de 10 de janeiro de 2020 no emparelhamento da Microsoft, o BFD não foi habilitado por padrão. Redefina o emparelhamento para habilitar BFD.
Configurar a criptografia sobre o ExpressRoute
Esta seção mostra como usar a WAN Virtual do Azure para estabelecer uma conexão VPN IPsec/IKE na sua rede local com o Azure por emparelhamento privado de um circuito do Azure ExpressRoute. Essa técnica fornece trânsito criptografado entre as redes locais e as redes virtuais do Azure no ExpressRoute sem passar pela Internet pública nem usar endereços IP públicos.
Topologia e roteamento
O seguinte diagrama mostra um exemplo de conectividade de VPN sobre o emparelhamento privado do ExpressRoute:
O diagrama mostra uma rede na rede local conectada ao gateway de VPN do hub do Azure no emparelhamento privado do ExpressRoute. O estabelecimento da conectividade é simples:
- Estabeleça a conectividade do ExpressRoute com um circuito do ExpressRoute e emparelhamento privado.
- Estabelecer a conectividade da VPN.
Um aspecto importante dessa configuração é o roteamento entre as redes locais e o Azure por meio do ExpressRoute e dos caminhos de VPN.
Tráfego de redes locais para o Azure
Para o tráfego de redes locais para o Azure, os prefixos do Azure (incluindo o hub virtual e todas as redes virtuais spoke conectadas ao hub) são anunciados por meio do BGP de emparelhamento privado do ExpressRoute e do BGP de VPN. Isso resulta em duas rotas de rede (caminhos) das redes locais para o Azure:
- Um no caminho protegido por IPsec
- Um diretamente no ExpressRoute sem proteção de IPsec
Para aplicar a criptografia à comunicação, verifique se na rede conectada à VPN no diagrama as rotas do Azure por meio do gateway de VPN local são preferenciais em relação ao caminho direto do ExpressRoute.
Tráfego do Azure para as redes locais
O mesmo requisito se aplica ao tráfego do Azure para as redes locais. Para garantir que o caminho IPsec seja preferencial em relação ao caminho direto do ExpressRoute (sem IPsec), você tem duas opções:
- Anuncie prefixos mais específicos na sessão BGP da VPN para a rede conectada à VPN. É possível anunciar um intervalo maior que abrange a rede conectada à VPN por meio do emparelhamento privado do ExpressRoute e intervalos mais específicos na sessão BGP da VPN. Por exemplo, anuncie 10.0.0.0/16 por meio do ExpressRoute e 10.0.1.0/24 pela VPN.
- Anuncie prefixos separados para a VPN e o ExpressRoute. Se os intervalos de rede conectados à VPN forem separados de outras redes conectadas do ExpressRoute, você poderá anunciar os prefixos nas sessões de VPN e BGP do ExpressRoute, respectivamente. Por exemplo, anuncie 10.0.0.0/24 por meio do ExpressRoute e 10.0.1.0/24 pela VPN.
Em ambos os exemplos, o Azure enviará tráfego para 10.0.1.0/24 pela conexão VPN em vez de diretamente pelo ExpressRoute sem proteção de VPN.
[!AVISO]
Se você anunciar os mesmos prefixos em conexões de ExpressRoute e VPN, o Azure usará o caminho do ExpressRoute diretamente sem a proteção de VPN.
Criar redundância para uma implantação do ExpressRoute
Há duas maneiras de planejar a redundância para uma implantação do ExpressRoute.
- Configurar conexões coexistentes do ExpressRoute e site a site
- Criar um gateway de VNET com redundância de zona nas Zonas de Disponibilidade do Azure
Configurar conexões coexistentes do ExpressRoute e site a site
Esta seção descreve como configurar as conexões VPN site a site e do ExpressRoute que coexistam. Poder configurar a VPN site a site e o ExpressRoute tem várias vantagens. Você pode configurar um VPN Site a Site como um caminho de failover seguro para o ExpressRoute ou usar VPNs Site a Site para se conectar a sites que não estão conectados por meio do ExpressRoute.
Configurar conexões coexistentes VPN Site a Site e a ExpressRoute tem várias vantagens:
- Você pode configurar uma VPN site a site como um caminho de failover seguro para o ExpressRoute.
- Como alternativa, você pode usar VPNs Site a Site para se conectar a sites que não estão conectados por meio de ExpressRoute.
Você pode configurar um gateway pela primeira vez. Normalmente, você não incorrerá em tempo de inatividade ao adicionar uma nova conexão de gateway ou gateway.
Limites e limitações de rede
- Há suporte para apenas um gateway de VPN baseado em rotas. Você deve usar uma rota baseada no gateway de VPN. Você também pode usar um gateway de VPN baseado em rota com uma conexão VPN configurada para “seletores de tráfego baseados em política”.
- O ASN do Gateway de VPN do Azure precisa ser definido como 65515. O Gateway de VPN do Azure dá suporte ao protocolo de roteamento BGP. Para que o ExpressRoute e a VPN do Azure funcionem juntos, você precisa manter o número do sistema autônomo do seu gateway de VPN do Azure no valor padrão, 65515. Se você tiver selecionado um ASN diferente de 65515 e mudar a configuração para 65515, precisará redefinir o gateway de VPN para que a configuração entre em vigor.
- A sub-rede do gateway precisa ser /27 ou um prefixo mais curto, (como /26, /25), ou você receberá uma mensagem de erro quando adicionar o gateway de rede virtual do ExpressRoute.
- Não há suporte para a coexistência em uma VNet de pilha dupla. Se você estiver usando a compatibilidade de IPv6 do ExpressRoute e um gateway de ExpressRoute de pilha dupla, a coexistência com o Gateway de VPN não será possível.
Criar um gateway de VNet com redundância de zona nas Zonas de Disponibilidade do Azure
Você pode implantar gateways de VPN e ExpressRoute em Zonas de Disponibilidade do Azure. Isso traz resiliência, escalabilidade e maior disponibilidade para os gateways de rede virtual. A implantação de gateways em Zonas de Disponibilidade do Azure separa de forma física e lógica os gateways em uma região, enquanto protege a conectividade de rede local com o Azure contra falhas no nível da zona.
Gateways com redundância de zona
Para implantar automaticamente seus gateways de rede virtual entre zonas de disponibilidade, você pode usar gateways de rede virtual com redundância de zona. Com os gateways com redundância de zona, você pode aproveitar a resiliência de zona para acessar seus serviços escalonáveis e de missão crítica no Azure.
Gateways de zona
Para implantar gateways em uma zona específica, você pode usar gateways em zona. Ao implantar um gateway em zona, todas as instâncias do gateway são implantadas na mesma zona de disponibilidade.
SKUs de gateway
Os gateways zonais e com redundância de zona estão disponíveis como novas SKUs de gateway. Há novas SKUs de gateway de rede virtual nas regiões de AZ do Azure. Essas SKUs são semelhantes às SKUs correspondentes para o Gateway de VPN e ExpressRoute, exceto que eles são específicos para gateways com redundância de zona e em zona. Você pode identificar essas SKUs pelo "AZ" no nome da SKU.
SKUs de IP público
Os gateways com redundância de zona e os gateways em zona contam com o SKU Standard de recurso de IP público do Azure. A configuração do recurso de IP público do Azure determina se o gateway implantado é do tipo em zona ou com redundância de zona. Se você criar um recurso de IP público com uma SKU Básica, o gateway não terá redundância de zona e os recursos dele serão regionais.
Gateways com redundância de zona
- Quando você cria um endereço IP público usando a SKU de IP público Standard sem especificar uma zona, o comportamento é diferente dependendo se o gateway é um Gateway de VPN ou ExpressRoute.
- Para um Gateway de VPN, as duas instâncias do gateway serão implantadas em quaisquer duas zonas entre essas três para fornecer a redundância de zona.
- Para um gateway ExpressRoute, uma vez que pode haver mais de duas instâncias, o gateway poderá ser distribuído entre todas as três zonas.
Gateways em zona
- Quando você cria um endereço IP público usando a SKU de IP público Standard e especifica a Zona (1, 2 ou 3), todas as instâncias de gateway são implantadas na mesma zona.
Gateways regionais
- Quando você cria um endereço IP público usando a SKU de IP público Básica, o gateway é implantado como um gateway regional e não tem nenhuma redundância de zona integrada no gateway.
Configurar uma VPN site a site como um caminho de failover para o ExpressRoute
Você pode configurar uma conexão VPN site a site como um backup para o ExpressRoute. Esta conexão se aplica apenas às redes virtuais vinculadas ao caminho de emparelhamento privado do Azure. Não há uma solução de failover com base em VPN para serviços acessíveis por meio de emparelhamentos do Azure e da Microsoft. O circuito do ExpressRoute sempre será o link principal. Os dados só fluirão pelo caminho da VPN Site a Site se o circuito do ExpressRoute falhar. Para evitar o roteamento assimétrico, sua configuração de rede local também deve preferir o circuito de ExpressRoute pela VPN Site a Site. Você pode preferir que o caminho de rota expressa por preferência mais alta local de configuração para as rotas que recebeu a ExpressRoute.
Observação
Se você habilitar o emparelhamento da Microsoft do ExpressRoute, você poderá receber o endereço IP público do gateway de VPN do Azure na conexão do ExpressRoute. Para configurar a conexão site a site de VPN como um backup, você precisa configurar a rede local para que a conexão VPN seja roteada para a Internet.
Observação
Embora o circuito ExpressRoute seja preferencial em relação à VPN Site a Site quando ambas as rotas são as mesmas, o Azure usa a correspondência de prefixo mais longa para escolher a rota até o destino do pacote.