Explorar as Redes Virtuais do Azure

  • 10 minutos

As VNets (Redes Virtuais) do Azure são o bloco de construção fundamental da sua rede privada no Azure. Com as VNets, você pode criar redes virtuais complexas semelhantes a uma rede local, com benefícios adicionais da infraestrutura do Azure, como escala, disponibilidade e isolamento.

Cada VNet que você cria tem o próprio bloco CIDR e pode ser vinculada a outras redes virtuais e redes locais, desde que os blocos CIDR não se sobreponham. Você também controla as configurações do servidor DNS para redes virtuais e a segmentação da VNet em sub-redes.

Funcionalidades de redes virtuais do Azure

As VNets do Azure permitem que os recursos do Azure se comuniquem com segurança entre si, com a Internet e com as redes locais.

  • Comunicação com a Internet. Por padrão, todos os recursos em uma VNet podem se comunicar na saída com a Internet. Você pode se comunicar na entrada com um recurso, atribuindo um endereço IP público ou um Load Balancer público. Você também pode usar o IP público ou Load Balancer público para gerenciar suas conexões de saída.
  • Comunicação entre os recursos do Azure. Há três mecanismos principais por meio dos quais o recurso do Azure pode se comunicar: VNets, pontos de extremidade de serviço de VNet e emparelhamento de VNet. As Redes Virtuais podem conectar não apenas VMs, mas outros recursos do Azure, como os Ambientes do Serviço de Aplicativo, o Serviço de Kubernetes do Azure e os Conjuntos de Dimensionamento de Máquinas Virtuais do Microsoft Azure. Você pode usar pontos de extremidade de serviço para se conectar a outros tipos de recursos do Azure, como bancos de dados SQL do Azure e contas de armazenamento. Quando você cria uma redes virtuais, seus serviços e VMs na rede virtual podem se comunicar de forma direta e segura entre si na nuvem.
  • Comunicação entre os recursos locais. Estender seu data center com segurança. Você pode conectar seus computadores e redes locais a uma rede virtual usando qualquer uma das seguintes opções: VPN (rede virtual privada) ponto a site, VPN site a site, Azure ExpressRoute.
  • Filtragem do tráfego de rede. É possível filtrar o tráfego de rede entre sub-redes usando qualquer combinação de grupos de segurança de rede e soluções de virtualização de rede, como firewalls, gateways, proxies e serviços NAT (conversão de endereços de rede).
  • Roteamento do tráfego de rede. Por padrão, o Azure encaminha o tráfego entre sub-redes, redes virtuais conectadas, redes locais e a Internet. Você pode implementar tabelas de rotas ou rotas BGP (border gateway protocol) para substituir as rotas padrão criadas pelo Azure.

Considerações de design para Redes Virtuais do Azure

Espaço de endereço e sub-redes

É possível criar várias redes virtuais por região por assinatura. Você pode criar várias sub-redes em cada rede virtual.

Redes Virtuais

Durante a criação de uma VNet, recomendamos que você use os intervalos de endereço enumerados no RFC 1918, que foram destinados pela IETF para espaços de endereço não roteáveis e privados:

  • 10.0.0.0 - 10.255.255.255 (prefixo 10/8)
  • 172.16.0.0 - 172.31.255.255 (prefixo 172.16/12)
  • 192.168.0.0 - 192.168.255.255 (prefixo 192.168/16)

Além disso, não é possível adicionar os seguintes intervalos de endereços:

  • 224.0.0.0/4 (Multicast)
  • 255.255.255.255/32 (Broadcast)
  • 127.0.0.0/8 (Loopback)
  • 169.254.0.0/16 (Link-local)
  • 168.63.129.16/32 (DNS interno)

O Azure atribui aos recursos em uma rede virtual um endereço IP privado do espaço de endereços que você provisionou. Por exemplo, se você implantar uma VM em uma VNet com o espaço de endereço de sub-rede 192.168.1.0/24, a VM receberá um IP privado, como 192.168.1.4. O Azure reserva os quatro primeiros e o último endereço IP de um total de cinco endereços IP em cada sub-rede. São eles: x. x. x. 0-x. x. x. 3 e o último endereço da sub-rede.

Por exemplo, o intervalo de endereços IP de 192.168.1.0/24 tem os seguintes endereços reservados:

  • 192.168.1.0: endereço de rede
  • 192.168.1.1: reservado pelo Azure para o gateway padrão
  • 192.168.1.2, 192.168.1.3: reservados pelo Azure para mapear os IPs de DNS do Azure para o espaço da VNet
  • 192.168.1.255: endereço para difusão de rede.

Ao planejar a implementação de redes virtuais, você precisa considerar o seguinte:

  • Cuidado para não sobrepor espaços de endereço. Verifique se o espaço de endereço da VNet (bloco CIDR) não se sobrepõe aos outros intervalos de rede da sua organização.
  • Algum isolamento de segurança é necessário?
  • Você precisa atenuar as limitações de endereçamento IP?
  • Haverá conexões entre VNets do Azure e redes locais?
  • Algum isolamento é necessário para fins administrativos?
  • Você está usando serviços do Azure que criam VNets próprias?

Sub-redes

Uma sub-rede é um intervalo de endereços IP na VNet. Você pode segmentar VNets em sub-redes de tamanhos diferentes, criando quantas sub-redes você precisar para organização e segurança dentro do limite de assinatura. Em seguida, você pode implantar recursos do Azure em uma sub-rede específica. Assim como em uma rede tradicional, as sub-redes permitem que você divida o espaço de endereço da sua VNet em segmentos que são apropriados para a rede interna da organização. Isso também melhora a eficiência de alocação de endereço. A menor sub-rede IPv4 com suporte é /29 e a maior é /2 (usando definições de sub-rede CIDR). As sub-redes IPv6 devem ter exatamente /64 de tamanho. Ao planejar a implementação de sub-redes, você precisa considerar o seguinte:

  • Cada sub-rede deve ter um intervalo de endereços exclusivo, que é especificado no formato CIDR (roteamento entre domínios sem classificação).
  • Determinados serviços do Azure exigem uma sub-rede própria.
  • É possível usar sub-redes para o gerenciamento de tráfego. Por exemplo, você pode criar sub-redes para rotear o tráfego por meio de uma solução de virtualização de rede.
  • É possível limitar o acesso aos recursos do Azure a sub-redes específicas com um ponto de extremidade de serviço de rede virtual. É possível criar várias sub-redes e habilitar um ponto de extremidade de serviço para algumas sub-redes, mas não para outras.

Determinar uma convenção de nomenclatura

Como parte do design de rede do Azure, é importante planejar a convenção de nomenclatura para seus recursos. Uma convenção de nomenclatura eficiente compõe nomes de recursos a partir informações importantes sobre cada recurso. Um nome bem escolhido ajuda você a identificar rapidamente o tipo do recurso, sua carga de trabalho associada, seu ambiente de implantação e a região do Azure que o hospeda. Por exemplo, um recurso de IP público para uma carga de trabalho de produção do SharePoint que reside na região Oeste dos EUA pode ser pip-sharepoint-prod-westus-001

Azure resource naming example.

Todos os tipos de recursos do Azure têm um escopo que define o nível de exclusividade dos nomes de recursos. Um recurso deve ter um nome exclusivo dentro do escopo. Há quatro níveis para especificação de um escopo: grupo de gerenciamento,assinatura, grupo de recursos e recurso. Os escopos são hierárquicos, e cada nível de hierarquia torna o escopo mais específico.

Por exemplo, uma rede virtual tem um escopo de grupo de recursos, o que significa que pode haver apenas uma rede chamada vnet-prod-westus-001 em cada grupo de recursos. Outros grupos de recursos podem ter uma rede virtual própria chamada vnet-prod-westus-001. As sub-redes têm escopo para redes virtuais, portanto, cada sub-rede em uma rede virtual deve ter um nome distinto.

Entender regiões e assinaturas

Todos os recursos do Microsoft Azure são criados na região do Azure e assinatura. Um recurso só poderá ser criado a uma rede virtual que existir na mesma região e assinatura em que o recurso está. No entanto, é possível se conectar a redes virtuais que existem em diferentes assinaturas e regiões. É importante considerar as regiões do Azure ao projetar sua rede do Azure em relação à infraestrutura, aos dados, aos aplicativos e aos usuários finais.

Você pode implantar quantas redes virtuais forem necessárias em cada assinatura, até o limite da assinatura. Algumas organizações maiores, com implantações globais, têm várias redes virtuais conectadas entre as regiões, por exemplo.

Screen capture of a World map showing Azure global network.

Zonas de Disponibilidade do Azure

Uma Zona de Disponibilidade do Azure permite que você defina locais físicos exclusivos em uma região. Cada zona é composta por um ou mais datacenters equipados com energia, resfriamento e rede independentes. A separação física das zonas de disponibilidade em uma região, projetadas para garantir a alta disponibilidade dos serviços do Azure, protege aplicativos e dados contra falhas do datacenter.

Azure region showing three availability zones.

Você deve considerar as zonas de disponibilidade ao projetar sua rede do Azure e planejar serviços que deem suporte a zonas de disponibilidade.

Os serviços do Azure que dão suporte às Zonas de Disponibilidade enquadram-se em três categorias:

  • Serviços zonais: os recursos podem ser fixados em uma zona específica. Por exemplo, máquinas virtuais, discos gerenciados ou endereços IP padrão podem ser fixados em uma zona específica, o que permite maior resiliência por ter uma ou mais instâncias de recursos espalhadas entre zonas.
  • Serviços com redundância de zona: os recursos são replicados ou distribuídos automaticamente entre zonas. O Azure replica os dados entre três zonas para que uma falha de zona não afete a disponibilidade.
  • Serviços não regionais: os serviços estão sempre disponíveis em geografias do Azure e são resilientes a interrupções em toda a zona, bem como a interrupções em toda a região.