Planejar e implementar o gateway ou emparelhamento de Rede Virtual
Uma rede virtual é uma parte virtual, isolada da rede pública do Azure. Por padrão, o tráfego não pode ser encaminhado entre duas redes virtuais. No entanto, é possível conectar as redes virtuais, em uma só região ou em duas regiões, para que o tráfego possa ser encaminhado entre elas.
Tipos de conexão de rede virtual
Emparelhamento de rede virtual. O emparelhamento de rede virtual conecta duas redes virtuais do Azure. Uma vez emparelhadas, as redes virtuais aparecerão como uma para fins de conectividade. O tráfego entre as máquinas virtuais nas redes virtuais emparelhadas é encaminhado pela infraestrutura de backbone da Microsoft, somente por meio de endereços IP privados. A internet pública não está envolvida. Você também pode emparelhar redes virtuais em regiões do Azure (emparelhamento global).
Gateways de VPN. Um Gateway de VPN é um tipo específico de gateway de rede virtual usado para enviar o tráfego entre uma rede virtual do Azure e um local na Internet pública. Você também pode usar o Gateway de VPN para enviar tráfego entre as redes virtuais do Azure. Uma rede virtual pode ter no máximo um Gateway de VPN. Você deve habilitar a Proteção contra DDoS (negação de serviço distribuída) Standard do Azure em qualquer rede virtual de perímetro.
O emparelhamento de rede virtual fornece uma conexão de baixa latência e alta largura de banda. Não há nenhum gateway no caminho, portanto, não há saltos extras, o que garante conexões de baixa latência. Isso é útil em cenários como replicação de dados entre regiões e failover de banco de dados. Como o tráfego é privado e permanece no backbone da Microsoft, considere também o emparelhamento de rede virtual se você tiver políticas de dados estritas e quiser evitar o envio de tráfego pela Internet.
Os Gateways de VPN fornecem uma conexão de largura de banda limitada e são úteis em cenários em que você precisa de criptografia, mas pode tolerar restrições de largura de banda. Nesses cenários, os clientes também não são tão sensíveis à latência.
Trânsito de gateway
O emparelhamento de rede virtual e os gateways de VPN também podem coexistir via trânsito de gateway.
O trânsito de gateway permite que você use um gateway de rede virtual emparelhada para se conectar ao ambiente local, em vez de criar um gateway para conectividade. À medida que as cargas de trabalho aumentam no Azure, você precisa dimensionar as redes entre regiões e redes virtuais para acompanhar o crescimento. O trânsito de gateway permite que você compartilhe um gateway de VPN ou ExpressRoute com todas as redes virtuais emparelhadas e gerencie a conectividade em um só lugar. O compartilhamento permite economia de custos e redução na sobrecarga de gerenciamento.
Com o trânsito de gateway habilitado no emparelhamento de rede virtual, você pode criar uma rede virtual de trânsito que contenha o Gateway de VPN, a solução de virtualização de rede e outros serviços compartilhados. À medida que a organização cresce com novos aplicativos ou unidades de negócios e mais redes virtuais são criadas, você pode se conectar à rede virtual de trânsito usando o emparelhamento. Isso impede o aumento da complexidade na rede e reduz a sobrecarga de gerenciamento do gerenciamento de vários gateways e outros dispositivos.
Como configurar conexões
O emparelhamento de rede virtual e os Gateways de VPN dão suporte aos seguintes tipos de conexão:
- Redes virtuais em diferentes regiões.
- Redes virtuais em diferentes locatários do Microsoft Entra.
- Redes virtuais em diferentes assinaturas do Azure.
- Redes virtuais que usam uma combinação de modelos de implantação do Azure (Resource Manager e clássico).
Comparação entre o emparelhamento de rede virtual e os Gateways de VPN
| Item | Emparelhamento de rede virtual | Gateway de VPN |
|---|---|---|
| Limites | Até 500 emparelhamentos de rede virtual por rede virtual | Um gateway de VPN por rede virtual. O número máximo de túneis por gateway depende do SKU do gateway. |
| Modelo de preços | Entrada/Saída | Hora + Saída |
| Criptografia | A criptografia no nível do software é recomendada. | A política IPsec/IKE personalizada pode ser aplicada a conexões novas ou existentes. |
| Limitações de largura de banda | Sem limitações de largura de banda. | Varia de acordo com o SKU. |
| Privado? | Sim. Encaminhado por meio do backbone da Microsoft e privado. A internet pública não está envolvida. | IP público envolvido, mas roteado pelo backbone da Microsoft se a rede global da Microsoft estiver habilitada. |
| Relação transitiva | As conexões de emparelhamento não são transitivas. A rede transitiva pode ser obtida usando NVAs ou gateways na rede virtual do hub. | Se as redes virtuais estiverem conectadas por meio de Gateways de VPN e o BGP estiver habilitado nas conexões de rede virtual, a transitividade funcionará. |
| Tempo de preparação inicial | Rápido | Cerca de 30 minutos |
| Cenários comuns | Replicação de dados, failover de banco de dados e outros cenários que precisam de backups de dados grandes com frequência. | Cenários específicos de criptografia que não são sensíveis à latência e não precisam de alta taxa de transferência. |