Endereçamento IP público e privado no Azure
Você trabalha para uma empresa de manufatura e está movendo recursos para o Azure. O servidor de banco de dados deve estar acessível para os clientes em sua rede local. Recursos públicos, tais como servidores Web, devem ser acessíveis pela Internet. Você quer garantir o planejamento de endereços IP que deem suporte a esses requisitos.
Nesta unidade, você explorará as restrições e as limitações para endereços IP públicos e privados no Azure. Veja também as funcionalidades disponíveis no Azure para reatribuir endereços IP na sua rede.
Tipos de endereço IP
No Azure, você pode usar dois tipos de endereços IP:
- Endereços IP públicos
- Endereços IP privados
Você pode alocar os dois tipos de endereços IP de duas maneiras:
- Dinâmico
- Estático
Vamos examinar mais detalhadamente como esses tipos de endereços IP funcionam em conjunto.
Endereços IP públicos
Use um endereço IP público para serviços voltados para o público. Um endereço IP público pode ser estático ou então dinâmico. Um endereço IP público pode ser atribuído a uma VM, um balanceador de carga voltado para a Internet, um gateway de VPN ou um gateway de aplicativo.
Os endereços IP públicos dinâmicos recebem endereços que podem ser alterados durante o ciclo de vida do recurso do Azure. O endereço IP é alocado quando você cria ou inicia uma VM. O endereço IP é liberado quando você interrompe ou exclui a VM. Em cada região do Azure, os endereços IP públicos são atribuídos de um pool de endereços exclusivo. O método de alocação padrão é o dinâmico.
Os endereços IP públicos estáticos recebem endereços que não serão alterados durante o ciclo de vida do recurso do Azure. Para garantir que o endereço IP do recurso permaneça o mesmo, você pode definir o método de alocação como estático. Nesse caso, um endereço IP é atribuído imediatamente e liberado somente quando você exclui o recurso ou altera o método de alocação de IP para dinâmico.
SKUs para endereços IP públicos
Para endereços IP públicos, há dois SKUs entre os quais escolher: Básico e Standard. Todos os endereços IP públicos criados antes da introdução dos SKUs são endereços IP públicos do SKU Básico. Com a introdução dos SKUs, você pode escolher a escala, os recursos e os preços do balanceamento de carga de tráfego de Internet.
Os SKUs Básicos e Standard têm:
- Um tempo limite ocioso de fluxo originado de entrada padrão de quatro minutos, que é ajustável para até 30 minutos.
- Um tempo limite ocioso de fluxo originado de saída fixo de quatro minutos.
SKU Básico
Você pode atribuir IPs públicos Básicos usando métodos de alocação estáticos ou dinâmicos. Você pode atribuir IPs públicos Básicos a qualquer recurso do Azure que permita essa designação de endereço IP público, tal como interfaces de rede, gateways de VPN, gateways de aplicativo e balanceadores de carga voltados para a Internet.
Por padrão, os endereços IP do SKU Básico:
- São abertos. Os grupos de segurança de rede são recomendados, mas opcionais, para restringir o tráfego de entrada ou saída.
- Estão disponíveis somente para tráfego de entrada.
- Estão disponíveis ao usar o IDMS (serviço de metadados de instância).
- Não dão suporte a Zonas de Disponibilidade.
- Não dão suporte a preferências de roteamento.
SKU Standard
Por padrão, os endereços IP do SKU Standard:
- Sempre usam a alocação estática.
- São seguros e, portanto, fechados para o tráfego de entrada. É necessário permitir o tráfego de entrada usando um grupo de segurança de rede.
- Têm redundância de zona e são, opcionalmente, zonais (eles podem ser criados como zonais e protegidos em uma zona de disponibilidade específica).
- Podem ser atribuídos a interfaces de rede, balanceadores de carga Standard públicos, gateways de aplicativo ou gateways de VPN.
- Pode ser utilizado com a preferência de roteamento para permitir um controle mais granular de como o tráfego é roteado entre o Azure e a Internet.
- Podem ser usados como IPs de front-end anycast para balanceadores de carga entre regiões.
Para saber mais, confira Comparação de SKUs, a visão geral do Load Balancer e componentes.
Prefixo de endereço IP público
No Azure, um prefixo de endereço IP público é um intervalo estático e reservado de endereços IP públicos. O Azure atribui um endereço IP de um pool de endereços disponíveis que é exclusivo para cada região em cada nuvem do Azure. Quando você define um prefixo de endereço IP público, os endereços IP públicos associados são atribuídos de um pool para uma região do Azure.
Em uma região com Zonas de Disponibilidade, os prefixos de endereço IP público podem ser criados com redundância de zona ou ser associados a uma zona de disponibilidade específica.
O benefício de um prefixo de endereço IP público é que você pode especificar regras de firewall para um intervalo conhecido de endereços IP. Se a sua empresa precisar de datacenters em regiões diferentes, você terá um intervalo de endereços IP públicos diferente para cada região. Você pode atribuir os endereços de um prefixo de endereço IP público a qualquer recurso no Azure que dê suporte a endereços IP públicos.
Você pode criar um prefixo de endereço IP público especificando um nome e um tamanho de prefixo. O tamanho do prefixo é o número de endereços reservados disponíveis para uso.
- Os prefixos de endereço IP público consistem em endereços IPv4 ou IPv6.
- Você pode usar uma tecnologia como o Gerenciador de Tráfego do Azure para balancear instâncias específicas da região.
- Você só pode trazer seus endereços IP públicos de redes locais para o Azure usando um prefixo de endereço IP personalizado.
- Não é possível especificar endereços quando você cria um prefixo; eles são atribuídos pelo Azure. Depois que um prefixo é criado, os endereços IP são fixados em um intervalo contíguo.
- Os endereços IP públicos não podem ser movidos entre regiões, todos os endereços IP são específicos a uma região.
Endereços IP privados
Os endereços IP privados são usados para comunicação dentro de uma Rede Virtual do Azure, como redes virtuais e suas redes locais. Você pode definir endereços IP privados como dinâmicos (aluguel de DHCP) ou estáticos (reserva de DHCP).
Os endereços IP privados dinâmicos são atribuídos por meio de uma concessão DHCP e podem ser alterados durante o tempo de vida do recurso do Azure.
Os endereços IP privados estáticos são atribuídos por meio de uma reserva de DHCP e não são alterados durante o tempo de vida do recurso do Azure. Os endereços IP privados estáticos serão persistentes se um recurso for interrompido ou desalocado.
Endereçamento IP para redes virtuais do Azure
Uma rede virtual é um componente fundamental que atua como uma rede de uma organização no Azure. O administrador tem controle total sobre a atribuição de endereços IP, as configurações de segurança e as regras de segurança. Ao criar uma rede virtual, você define um escopo de endereços IP. O endereçamento IP privado funciona da mesma maneira que na rede local. Você escolhe os endereços IP privados reservados pela IANA (Internet Assigned Numbers Authority) com base em seus requisitos de rede:
- 10.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16
Uma sub-rede é um intervalo de endereços IP na rede virtual. É possível dividir uma rede virtual em várias sub-redes. Cada sub-rede deve ter um intervalo de endereços exclusivo, que é especificado em formato CIDR (roteamento entre domínios sem classificação). O CIDR é uma maneira de representar um bloco de endereços IP de rede. Um CIDR IPv4, especificado como parte do endereço IP, mostra o comprimento do prefixo de rede.
Considere, por exemplo, o CIDR 192.168.10.0/24. O "192.168.10.0" indica o endereço de rede e o "24" indica que os primeiros 24 bits fazem parte do endereço de rede, deixando os últimos oito bits para endereços de host específicos. O intervalo de endereços de uma sub-rede não pode sobrepor-se a outras sub-redes na rede virtual ou com a rede local.
Os três primeiros endereços IP são reservados por padrão para todas as sub-redes no Azure. Para conformidade com o protocolo, o primeiro e o último endereços IP de todas as sub-redes também são reservados. Um serviço DHCP interno no Azure atribui e mantém a concessão de endereços IP. Os endereços IP .1, .2, .3 e o último não são visíveis nem podem ser configurados pelo cliente do Azure. Esses endereços são reservados e usados por serviços internos do Azure.
Em redes virtuais do Azure, os endereços IP podem ser alocados para os seguintes tipos de recursos:
- Interfaces de rede de máquina virtual
- Balanceadores de carga
- Gateways de aplicativo