Partilhar via

Configurar a integração de rede virtual necessária pelo gateway

  • Artigo

A integração de rede virtual necessária pelo gateway suporta a conexão a uma rede virtual em outra região ou a uma rede virtual clássica. A integração de rede virtual exigida pelo gateway só funciona para planos do Windows. Recomendamos o uso da integração de rede virtual regional para integração com redes virtuais.

Integração de rede virtual necessária pelo gateway:

  • Permite que um aplicativo se conecte a apenas uma rede virtual de cada vez.
  • Permite que até cinco redes virtuais sejam integradas a um plano do Serviço de Aplicativo.
  • Permite que a mesma rede virtual seja usada por vários aplicativos em um plano do Serviço de Aplicativo sem afetar o número total que pode ser usado por um plano do Serviço de Aplicativo. Se você tiver seis aplicativos usando a mesma rede virtual no mesmo plano do Serviço de Aplicativo que conta como uma rede virtual sendo usada.
  • O SLA no gateway pode afetar o SLA geral.
  • Permite que seus aplicativos usem o DNS com o qual a rede virtual está configurada.
  • Requer um gateway baseado em rota de rede virtual configurado com uma VPN ponto a site SSTP antes de poder ser conectado a um aplicativo.

Não é possível usar a integração de rede virtual necessária pelo gateway:

  • Com uma rede virtual conectada com a Rota Expressa.
  • A partir de uma aplicação Linux.
  • A partir de um contêiner do Windows.
  • Para acessar recursos protegidos por ponto de extremidade de serviço.
  • Para resolver as Configurações do Aplicativo que fazem referência a um Cofre de Chaves protegido pela rede.
  • Com um gateway de coexistência que suporta ExpressRoute e VPNs ponto-a-site ou site-a-site.

A integração regional de redes virtuais atenua as limitações acima mencionadas.

Configurar um gateway na sua rede virtual do Azure

Para criar um gateway:

  1. Crie o gateway VPN e a sub-rede. Selecione um tipo de VPN baseado em rota.

  2. Defina os endereços ponto a site. Se o gateway não estiver na SKU básica, o IKEV2 deverá ser desabilitado na configuração ponto a site e o SSTP deverá ser selecionado. O espaço de endereço ponto a site deve estar nos blocos de endereço RFC 1918 10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16.

Se você criar o gateway para uso com a integração de rede virtual necessária pelo gateway, não precisará carregar um certificado. A criação do gateway pode levar 30 minutos. Você não poderá integrar seu aplicativo à sua rede virtual até que o gateway seja criado.

Como funciona a integração de rede virtual necessária pelo gateway

A integração de rede virtual necessária pelo gateway é construída com base na tecnologia VPN ponto a site. As VPNs ponto a site limitam o acesso à rede à máquina virtual que hospeda o aplicativo. As aplicações estão limitadas a enviar tráfego para a Internet apenas através de ligações híbridas ou através de integração de rede virtual. Quando seu aplicativo é configurado com o portal para usar a integração de rede virtual necessária pelo gateway, uma negociação complexa é gerenciada em seu nome para criar e atribuir certificados no gateway e no lado do aplicativo. O resultado é que os trabalhadores usados para hospedar seus aplicativos podem se conectar diretamente ao gateway de rede virtual na rede virtual selecionada.

Diagram that shows how gateway-required virtual network integration works.

Aceder a recursos no local

Os aplicativos podem acessar recursos locais integrando-se a redes virtuais que têm conexões site a site. Se você usar a integração de rede virtual necessária pelo gateway, atualize suas rotas de gateway VPN local com seus blocos de endereço ponto a site. Quando a VPN site a site é configurada pela primeira vez, os scripts usados para configurá-la devem configurar rotas corretamente. Se você adicionar os endereços ponto a site depois de criar sua VPN site a site, precisará atualizar as rotas manualmente. Os detalhes sobre como fazer isso variam de acordo com o gateway e não são descritos aqui.

As rotas BGP do local não serão propagadas automaticamente para o Serviço de Aplicativo. Você precisa propagá-los manualmente na configuração ponto-a-site usando as etapas neste documento Anunciar rotas personalizadas para clientes VPN P2S.

Nota

O recurso de integração de rede virtual necessário pelo gateway não integra um aplicativo a uma rede virtual que tenha um gateway de Rota Expressa. Mesmo que o gateway da Rota Expressa esteja configurado no modo de coexistência, a integração de rede virtual não funciona. Se você precisar acessar recursos por meio de uma conexão de Rota Expressa, use o recurso de integração de rede virtual regional ou um Ambiente do Serviço de Aplicativo, que é executado em sua rede virtual.

Peering

Se você usar a integração de rede virtual necessária pelo gateway com emparelhamento, precisará configurar mais alguns itens. Para configurar o emparelhamento para funcionar com seu aplicativo:

  1. Adicione uma conexão de emparelhamento na rede virtual à qual seu aplicativo se conecta. Ao adicionar a conexão de emparelhamento, habilite Permitir acesso à rede virtual e selecione Permitir tráfego encaminhado e Permitir trânsito de gateway.
  2. Adicione uma conexão de emparelhamento na rede virtual que está sendo emparelhada à rede virtual à qual você está conectado. Ao adicionar a conexão de emparelhamento na rede virtual de destino, habilite Permitir acesso à rede virtual e selecione Permitir tráfego encaminhado e Permitir gateways remotos.
  3. Vá para Plano do Serviço de Aplicativo Integração> de>rede VNet no portal. Selecione a rede virtual à qual seu aplicativo se conecta. Na seção roteamento, adicione o intervalo de endereços da rede virtual emparelhada com a rede virtual à qual seu aplicativo está conectado.

Gerencie a integração de rede virtual

Conectar e desconectar com uma rede virtual está em um nível de aplicativo. As operações que podem afetar a integração de rede virtual entre vários aplicativos estão no nível do plano do Serviço de Aplicativo. A partir do portal de integração do aplicativo >Networking>VNet, você pode obter detalhes sobre sua rede virtual. Você pode ver informações semelhantes no nível do plano do Serviço de Aplicativo no portal de integração de>rede de rede do plano>do Serviço de Aplicativo.

A única operação que você pode executar na exibição do aplicativo de sua instância de integração de rede virtual é desconectar seu aplicativo da rede virtual à qual ele está conectado no momento. Para desconectar seu aplicativo de uma rede virtual, selecione Desconectar. Seu aplicativo é reiniciado quando você se desconecta de uma rede virtual. A desconexão não altera sua rede virtual. A sub-rede ou gateway não é removido. Se você quiser excluir sua rede virtual, primeiro desconecte seu aplicativo da rede virtual e exclua os recursos nela, como gateways.

A interface do usuário de integração de rede virtual do plano do Serviço de Aplicativo mostra todas as integrações de rede virtual usadas pelos aplicativos em seu plano do Serviço de Aplicativo. Para ver detalhes sobre cada rede virtual, selecione a rede virtual em que está interessado. Há duas ações que você pode executar aqui para a integração de rede virtual necessária pelo gateway:

  • Rede de sincronização: a operação de rede de sincronização é usada apenas para o recurso de integração de rede virtual necessário pelo gateway. Executar uma operação de rede de sincronização garante que seus certificados e informações de rede estejam sincronizados. Se você adicionar ou alterar o DNS da sua rede virtual, execute uma operação de rede de sincronização. Esta operação reinicia todas as aplicações que utilizam esta rede virtual. Esta operação não funcionará se estiver a utilizar uma aplicação e uma rede virtual pertencentes a subscrições diferentes.
  • Adicionar rotas: adicionar rotas direciona o tráfego de saída para sua rede virtual.

O IP privado atribuído à instância é exposto por meio da variável de ambiente WEBSITE_PRIVATE_IP. A interface do usuário do console Kudu também mostra a lista de variáveis de ambiente disponíveis para o aplicativo Web. Esse IP é um IP do intervalo de endereços do pool de endereços ponto a site configurado no gateway de rede virtual. Esse IP será usado pelo aplicativo Web para se conectar aos recursos por meio da rede virtual do Azure.

Nota

O valor do WEBSITE_PRIVATE_IP está fadado a mudar. No entanto, será um IP dentro do intervalo de endereços do intervalo de endereços ponto-a-site, portanto, você precisará permitir o acesso de todo o intervalo de endereços.

Roteamento de integração de rede virtual necessário pelo gateway

As rotas definidas na sua rede virtual são usadas para direcionar o tráfego para a sua rede virtual a partir do seu aplicativo. Para enviar mais tráfego de saída para a rede virtual, adicione esses blocos de endereço aqui. Esse recurso só funciona com a integração de rede virtual necessária pelo gateway. As tabelas de rotas não afetam o tráfego do aplicativo quando você usa a integração de rede virtual necessária pelo gateway.

Certificados de integração de rede virtual exigidos pelo gateway

Quando a integração de rede virtual exigida pelo gateway está habilitada, há uma troca necessária de certificados para garantir a segurança da conexão. Junto com os certificados estão a configuração de DNS, rotas e outras coisas semelhantes que descrevem a rede.

Se os certificados ou as informações de rede forem alterados, selecione Sincronizar rede. Ao selecionar Sincronizar rede, você causa uma breve interrupção na conectividade entre seu aplicativo e sua rede virtual. Seu aplicativo não é reiniciado, mas a perda de conectividade pode fazer com que seu site não funcione corretamente.

Renovação do certificado

O certificado usado pela integração de rede virtual exigida pelo gateway tem uma vida útil de 8 anos. Se você tiver aplicativos com integrações de rede virtual exigidas pelo gateway que durem mais, será necessário renovar o certificado. Você pode validar se seu certificado expirou ou tem menos de 6 meses para expirar visitando a página Integração de VNet no portal do Azure.

Screenshot that shows a near expiry gateway-required virtual network integration certificate.

Você pode renovar seu certificado quando o portal mostrar um certificado quase expirado ou expirado. Para renovar o certificado, você precisa desconectar e reconectar a rede virtual. A reconexão causará uma breve interrupção na conectividade entre seu aplicativo e sua rede virtual. Seu aplicativo não é reiniciado, mas a perda de conectividade pode fazer com que seu site não funcione corretamente.

Detalhes dos preços

Três encargos estão relacionados ao uso do recurso de integração de rede virtual necessário pelo gateway:

  • Taxas de nível de preço do plano do Serviço de Aplicativo: seus aplicativos precisam estar em um plano do Serviço de Aplicativo Básico, Padrão, Premium, Premium v2 ou Premium v3. Para obter mais informações sobre esses custos, consulte Preços do Serviço de Aplicativo.
  • Custos de transferência de dados: há uma cobrança pela saída de dados, mesmo que a rede virtual esteja no mesmo datacenter. Esses encargos são descritos em Detalhes de preços de transferência de dados.
  • Custos do gateway VPN: há um custo para o gateway de rede virtual necessário para a VPN ponto a site. Para obter mais informações, consulte Preços do gateway VPN.

Resolução de problemas

Muitas coisas podem impedir que seu aplicativo alcance um host e uma porta específicos. Na maioria das vezes é uma destas coisas:

  • Um firewall está no caminho. Se você tiver um firewall no caminho, você atingiu o tempo limite de TCP. Neste caso, o tempo limite do TCP é de 21 segundos. Use a ferramenta tcpping para testar a conectividade. Os tempos limite de TCP podem ser causados por muitas coisas além dos firewalls, mas comece por aí.
  • O DNS não está acessível. O tempo limite de DNS é de 3 segundos por servidor DNS. Se você tiver dois servidores DNS, o tempo limite é de 6 segundos. Use nameresolver para ver se o DNS está funcionando. Você não pode usar nslookup, porque isso não usa o DNS com o qual sua rede virtual está configurada. Se inacessível, você pode ter um firewall ou NSG bloqueando o acesso ao DNS ou ele pode estar inativo.

Se esses itens não responderem aos seus problemas, procure primeiro por coisas como:

  • O intervalo de endereços ponto-a-site está nos intervalos RFC 1918 (10.0.0.0-10.255.255.255 / 172.16.0.0-172.31.255.255 / 192.168.0.0-192.168.255.255)?
  • O gateway aparece como estando no portal? Se o seu gateway estiver inativo, então traga-o de volta para cima.
  • Os certificados são apresentados como estando sincronizados ou suspeita que a configuração de rede foi alterada? Se os certificados estiverem fora de sincronia ou se suspeitar que foi feita uma alteração na configuração da rede virtual que não foi sincronizada com os ASPs, selecione Sincronizar rede.
  • Se você estiver passando por uma VPN, o gateway local está configurado para rotear o tráfego de volta para o Azure? Se você puder alcançar pontos de extremidade em sua rede virtual, mas não localmente, verifique suas rotas.
  • Você está tentando usar um gateway de coexistência que suporte ponto a site e Rota Expressa? Os gateways de coexistência não são suportados com a integração de rede virtual.

Depurar problemas de rede é um desafio porque você não pode ver o que está bloqueando o acesso a uma combinação específica host:port. Algumas causas incluem:

  • Você tem um firewall instalado no host que impede o acesso à porta do aplicativo a partir do intervalo de IP ponto a site. O cruzamento de sub-redes geralmente requer acesso público.
  • Seu host alvo está inativo.
  • Seu aplicativo está inativo.
  • Você tinha o IP ou nome de host errado.
  • Seu aplicativo está escutando em uma porta diferente do que você esperava. Você pode combinar seu ID de processo com a porta de escuta usando "netstat -aon" no host do ponto final.
  • Os grupos de segurança de rede são configurados de tal forma que impedem o acesso ao host e à porta do aplicativo a partir do intervalo de IP ponto a site.

Você não sabe qual endereço seu aplicativo realmente usa. Pode ser qualquer endereço no intervalo de endereços ponto-a-site, portanto, você precisa permitir o acesso de todo o intervalo de endereços.

Mais etapas de depuração incluem:

  • Conecte-se a uma VM em sua rede virtual e tente acessar seu recurso host:port a partir daí. Para testar o acesso TCP, use o comando do PowerShell Test-NetConnection. A sintaxe é:
Test-NetConnection hostname [optional: -Port]
  • Abra um aplicativo em uma VM e teste o acesso a esse host e porta do console do seu aplicativo usando tcpping.

Recursos no local

Se a sua aplicação não conseguir aceder a um recurso no local, verifique se consegue aceder ao recurso a partir da sua rede virtual. Use o comando Test-NetConnection PowerShell para verificar o acesso TCP. Se sua VM não puder acessar seu recurso local, sua conexão VPN ou ExpressRoute pode não estar configurada corretamente.

Se sua VM hospedada na rede virtual puder acessar seu sistema local, mas seu aplicativo não puder, a causa provavelmente será um dos seguintes motivos:

  • Suas rotas não estão configuradas com sua sub-rede ou intervalos de endereços ponto a site em seu gateway local.
  • Seus grupos de segurança de rede estão bloqueando o acesso para seu intervalo de IP ponto a site.
  • Seus firewalls locais estão bloqueando o tráfego do seu intervalo de IP ponto a site.
  • Você está tentando alcançar um endereço não RFC 1918 usando o recurso de integração de rede virtual regional.

Para obter mais informações, consulte o guia de solução de problemas de integração de rede virtual.