Habilitar a conectividade entre redes virtuais com emparelhamento

  • 6 minutos

As organizações com operações em grande escala geralmente precisarão criar conexões entre diferentes partes de sua infraestrutura de rede virtual. O emparelhamento de rede virtual permite que você conecte VNets separadas contando com um desempenho de rede ideal, estejam elas na mesma região do Azure (emparelhamento de VNet) ou em regiões diferentes (emparelhamento de VNet global). O tráfego de rede entre redes virtuais emparelhadas é particular. As redes virtuais aparecerão como uma só para fins de conectividade. O tráfego entre as máquinas virtuais nas redes virtuais emparelhadas usa a infraestrutura de backbone da Microsoft e não é necessária nenhuma Internet, gateways ou criptografia pública na comunicação entre as redes virtuais.

O emparelhamento de rede virtual permite que você conecte duas redes virtuais do Azure sem interrupção. Uma vez emparelhadas, as redes virtuais aparecerão como uma para fins de conectividade. Existem dois tipos de emparelhamento de VNet.

  • O emparelhamento de VNet regional conecta redes virtuais do Azure na mesma região.
  • O emparelhamento de VNet global conecta redes virtuais do Azure em regiões diferentes. Ao criar um emparelhamento global, as redes virtuais emparelhadas podem existir em qualquer região de nuvem pública do Azure ou regiões de nuvem da China, mas não em regiões de nuvem governamental. Você pode apenas parear redes virtuais na mesma região de nuvem do Azure Governamental.

Ilustração mostrando VNet1 na Região 1 e VNet2 e VNet3 na Região 2. VNet2 e VNet3 são conectados com emparelhamento VNet regional. VNet1 e VNet2 são conectados com um emparelhamento VNet global

Os benefícios do uso do emparelhamento de rede virtual, seja local ou global, incluem:

  • Baixa latência, conexão com largura de banda alta entre os recursos em redes virtuais diferentes.
  • A capacidade de aplicar grupos de segurança de rede, tanto na rede virtual, para bloquear o acesso a outras redes virtuais, quanto em sub-redes.
  • A capacidade de transferir dados entre redes virtuais em diversas assinaturas do Azure, locatários do Microsoft Entra, modelos de implantação e regiões do Azure.
  • A capacidade de emparelhar redes virtuais criadas por meio do Azure Resource Manager.
  • A capacidade de emparelhar uma rede virtual criada por meio do Resource Manager com uma criada por meio do modelo de implantação clássico.
  • Não há necessidade de tempo de inatividade para recursos em nenhuma rede virtual ao criar o emparelhamento ou após ele ter sido criado.

O diagrama a seguir mostra um cenário em que os recursos na VNet da Contoso e os recursos na VNet da Fabrikam precisam se comunicar. A assinatura da Contoso na região Oeste dos EUA está conectada à assinatura da Fabrikam na região Leste dos EUA.

O diagrama mostra um cenário em que os recursos na VNet da Contoso e os recursos na VNet da Fabrikam precisam se comunicar.

As tabelas de roteamento mostram as rotas conhecidas pelos recursos em cada assinatura. A tabela de roteamento a seguir mostra as rotas conhecidas pela Contoso, com a entrada final sendo a entrada de emparelhamento de VNet global para a sub-rede Fabrikam 10.10.26.0/24.

As tabelas de roteamento mostram as rotas conhecidas para os recursos em cada assinatura. A tabela de roteamento a seguir mostra as rotas conhecidas para Contoso

A tabela de roteamento a seguir mostra as rotas conhecidas pela Fabrikam. Novamente, a entrada final é a entrada de peering da VNet global, desta vez para a sub-rede 10.17.26.0/24 da Contoso.

Tabela de rotas conhecidas para Fabrikam

Configurar o emparelhamento de VNet

Estas são as etapas para configurar o emparelhamento de VNet. Observe que você precisará de duas redes virtuais. Para testar o emparelhamento, você precisará de uma máquina virtual em cada rede. Inicialmente, as VMs não poderão se comunicar, mas depois da configuração, a comunicação funcionará. A nova etapa é a configuração do emparelhamento das redes virtuais.

  1. Crie duas redes virtuais.
  2. Emparelhar as redes virtuais.
  3. Criar máquinas virtuais em cada rede virtual.
  4. Testar a comunicação entre as máquinas virtuais.

Para configurar o emparelhamento, use a página Adicionar emparelhamento. Há apenas alguns parâmetros de configuração opcionais a serem considerados.

Captura de tela da página de configuração de emparelhamento de rede virtual.

Observação

Quando você adiciona um emparelhamento em uma rede virtual, a configuração da segunda rede virtual é adicionada automaticamente.

Trânsito de gateway e conectividade

Quando as redes virtuais estão emparelhadas, é possível configurar um gateway de VPN na rede virtual emparelhada como um ponto de trânsito. Nesse caso, uma rede virtual emparelhada usa o gateway remoto para ter acesso a outros recursos. Uma rede virtual pode ter apenas um gateway. O trânsito de gateway tem suporte para o emparelhamento de VNet e para o emparelhamento de VNet global.

Quando você permite o trânsito de gateway, a rede virtual pode se comunicar com recursos fora do emparelhamento. Por exemplo, o gateway da sub-rede pode:

  • Usar uma VPN site a site para se conectar a uma rede local.
  • Usar uma conexão VNet a VNet para outra rede virtual.
  • Usar uma VPN ponto a site para se conectar a um cliente.

Nesses cenários, o trânsito de gateway permite que redes virtuais emparelhadas compartilhem o gateway e tenham acesso aos recursos. Isso significa que você não precisa implantar um gateway de VPN na rede virtual par.

Observação

É possível aplicar grupos de segurança de rede em qualquer rede virtual a fim de bloquear o acesso a outras redes virtuais ou sub-redes. Ao configurar o emparelhamento de rede virtual, você pode abrir ou fechar as regras de grupo de segurança de rede entre as redes virtuais.

Usar o encadeamento de serviço para direcionar o tráfego para um gateway

Vamos supor que você queira direcionar o tráfego da VNet da Contoso para uma NVA (solução de virtualização de rede) específica. Crie rotas definidas pelo usuário para direcionar o tráfego da VNet da Contoso para a NVA na VNet da Fabrikam. Essa técnica é conhecida como encadeamento de serviços.

Para habilitar o encadeamento do serviço, adicione rotas definidas pelo usuário que apontem para máquinas virtuais nas redes virtuais emparelhadas, como o endereço IP de próximo salto. As rotas definidas pelo usuário também podem apontar para gateways de rede virtual.

As redes virtuais do Azure podem ser implantadas em uma topologia hub e spoke, com a VNet do hub atuando como um ponto central de conectividade com todas as VNets de spoke. A rede virtual do hub hospeda componentes de infraestrutura, como uma NVA, máquinas virtuais e um gateway de VPN. Todas as redes virtuais do spoke são emparelhadas com a rede virtual do hub. O tráfego flui por meio de soluções de virtualização ou gateways de VPN de rede que estejam na rede virtual do hub. Entre os benefícios de usar uma configuração de hub e spoke estão a economia de gastos, superação dos limites de assinatura e isolamento de carga de trabalho.

O diagrama a seguir mostra um cenário no qual a VNet do hub hospeda um gateway de VPN que gerencia o tráfego para a rede local, permitindo a comunicação controlada entre a rede local e as VNets emparelhadas do Azure.

Configuração de hub-and-spoke – par Contoso e Fabrikam para Hub VNet. O Hub VNet contém NVA, VMs e um Gateway de VPN conectado a uma rede local.

Escolha a melhor resposta para cada uma das perguntas abaixo.

Verifique seu conhecimento

1.

Quando alguém precisa que os recursos existentes em uma VNet se comuniquem com os recursos em uma sub-rede em uma VNet diferente. Qual recurso de rede do Azure deve ser usado?

2.

Ao configurar o emparelhamento global, quais alterações ocorrem nas VNets emparelhadas?