Uma empresa de fabricação global forneceu a arquitetura descrita neste artigo. Os departamentos de tecnologia operacional e tecnologia da informação da empresa são altamente integrados, exigindo uma única rede interna. Mas os ambientes têm requisitos de segurança e desempenho drasticamente diferentes. Devido à natureza sensível das operações da empresa, todo o tráfego precisa ser protegido por firewall, e uma solução de Sistema de Deteção e Proteção de Intrusão (IDPS) precisa estar em vigor. O departamento de tecnologia da informação tem requisitos de segurança menos exigentes para a rede, mas esse departamento quer otimizar o desempenho para que os usuários tenham acesso de baixa latência aos aplicativos de TI.
Os tomadores de decisão da empresa recorreram à WAN Virtual do Azure para atender às necessidades globais de uma única rede com requisitos variados de segurança e desempenho. Eles também têm uma solução fácil de gerenciar, implantar e dimensionar. À medida que adicionam regiões, podem continuar a crescer sem problemas com uma rede altamente otimizada para as suas necessidades.
Potenciais casos de utilização
Os casos de uso típicos dessa arquitetura incluem:
- Uma organização global que requer uma solução de arquivos centralizada para trabalhos críticos para os negócios.
- Cargas de trabalho de arquivo de alto desempenho que exigem arquivos localizados em cache.
- Uma força de trabalho remota flexível para usuários dentro e fora do escritório.
Arquitetura
Baixe um arquivo Visio desta arquitetura.
Aqui está um resumo da arquitetura:
- Os usuários acessam redes virtuais a partir de uma filial.
- O Azure ExpressRoute estende as redes locais para a nuvem da Microsoft através de uma ligação privada, com a ajuda de um fornecedor de conectividade.
- Um hub WAN virtual roteia o tráfego adequadamente para segurança ou desempenho. O hub contém vários pontos de extremidade de serviço para habilitar a conectividade.
- As rotas definidas pelo usuário forçam o tráfego para os NVAs quando necessário.
- Cada NVA inspeciona o tráfego que está fluindo para uma rede virtual.
- O emparelhamento de rede virtual fornece inspeção de VNet para VNet no ambiente de desempenho otimizado.
A empresa tem várias regiões e continua a implantar regiões no modelo. A empresa implanta um ambiente com segurança otimizada ou desempenho otimizado somente quando necessário. Os ambientes roteiam o seguinte tráfego através do dispositivo virtual de rede (NVA):
Vias de circulação
| Destinos | |||||||
|---|---|---|---|---|---|---|---|
| VNet1 | VNet2 | VNet3 | VNet4 | Ramo | Internet | ||
| Fonte otimizada para segurança | VNet1 | Intra VNet | NVA1-VNet2 | NVA1-hub-VNet3 | NVA1-hub-VNet4 | NVA1-hub-branch | NVA1-internet |
| Fonte com desempenho otimizado | VNet3 | hub-NVA1-VNet1 | hub-NVA1-VNet2 | Intra VNet | NVA2-VNet4 | hub-branch | NVA2-internet |
| Origem da sucursal | Ramo | hub-NVA1-VNet1 | hub-NVA1-VNet2 | hub-VNet3 | hub-VNet4 | Não aplicável | Não aplicável |
Como mostra o diagrama anterior, um NVA e uma arquitetura de roteamento forçam todos os caminhos de tráfego no ambiente otimizado para segurança a usar o NVA entre as redes virtuais e o hub em uma arquitetura em camadas comum.
O ambiente com desempenho otimizado tem um esquema de roteamento mais personalizado. Este esquema fornece um firewall e inspeção de tráfego onde eles são necessários. Ele não fornece um firewall onde não é necessário. O tráfego de VNet para VNet no espaço de desempenho otimizado é forçado através do NVA2, mas o tráfego de ramificação para VNet pode atravessar diretamente o hub. Da mesma forma, qualquer coisa que vá para o ambiente seguro não precisa ir para NVA VNet2 porque é inspecionado na borda do ambiente seguro pelo NVA em NVA VNet1. O resultado é um acesso de alta velocidade à agência. A arquitetura ainda fornece inspeção VNet-to-VNet no ambiente de desempenho otimizado. Isso não é necessário para todos os clientes, mas pode ser realizado através dos peerings que você pode ver na arquitetura.
Associações e propagações do hub WAN Virtual
Configure rotas para o hub WAN Virtual da seguinte maneira:
| Nome | Associada a | Propagando para |
|---|---|---|
| NVA VNet1 | defaultRouteTable | defaultRouteTable |
| NVA VNet2 | PerfOptimizedRouteTable | defaultRouteTable |
| VNet3 | PerfOptimizedRouteTable | defaultRouteTable |
| VNet4 | PerfOptimizedRouteTable | defaultRouteTable |
Requisitos do encaminhamento
Uma rota personalizada na tabela de rotas padrão no hub WAN Virtual para rotear todo o tráfego de VNet1 e VNet2 para secOptConnection.
Nome da rota Tipo de destino Prefixo de destino Próximo salto IP do próximo salto Rota otimizada para segurança CIDR 10.1.0.0/16 secOptConnection <Endereço IP de NVA1> Uma rota estática no secOptConnection encaminhando o tráfego para VNet1 e VNet2 para o endereço IP de NVA1.
Nome Prefixo de endereço Tipo de salto seguinte Endereço IP do próximo salto rt-to-secOtimizado 10.1.0.0/16 Aplicação virtual <Endereço IP de NVA1> Uma tabela de rotas personalizada no hub WAN Virtual chamada perfOptimizedRouteTable. Esta tabela é usada para garantir que as redes virtuais com desempenho otimizado não possam se comunicar entre si pelo hub e devem usar o emparelhamento para NVA VNet2.
Um UDR associado a todas as sub-redes em VNet1 e VNet2 para rotear todo o tráfego de volta para NVA1.
Nome Prefixo de endereço Tipo de salto seguinte Endereço IP do próximo salto rt-tudo 0.0.0.0/0 Aplicação virtual <Endereço IP de NVA1> Um UDR associado a todas as sub-redes em VNet3 e VNet4 para rotear o tráfego VNet-to-VNet e o tráfego da Internet para NVA2.
Nome Prefixo de endereço Tipo de salto seguinte Endereço IP do próximo salto RT-TO-Internet 0.0.0.0/0 Aplicação virtual <IP do endereço NVA2> vnet-para-vnet 10.2.0.0/16 Aplicação virtual <Endereço IP do NVA2>
Nota
Você pode substituir endereços IP NVA por endereços IP do balanceador de carga no roteamento se estiver implantando uma arquitetura de alta disponibilidade com vários NVAs por trás do balanceador de carga.
Componentes
- WAN Virtual do Azure. A WAN virtual é um serviço de rede que reúne muitas funcionalidades de rede, segurança e roteamento para fornecer uma única interface operacional. Nesse caso, ele simplifica e dimensiona o roteamento para as redes virtuais e ramificações conectadas.
- Azure ExpressRoute. O ExpressRoute estende as redes locais para a nuvem da Microsoft através de uma conexão privada.
- Rede virtual do Azure. A Rede Virtual é o bloco de construção fundamental para a sua rede privada no Azure. A Rede Virtual permite que muitos tipos de recursos do Azure, como máquinas virtuais (VMs) do Azure, se comuniquem com segurança aprimorada entre si, com a Internet e com redes locais.
- Hub WAN virtual. Um hub virtual é uma rede virtual gerenciada pela Microsoft. O hub contém vários pontos de extremidade de serviço para habilitar a conectividade.
- Conexões de rede virtual do Hub. O recurso de conexão de rede virtual do hub conecta o hub perfeitamente às suas redes virtuais.
- Rotas estáticas. As rotas estáticas fornecem um mecanismo para direcionar o tráfego através de um IP de salto seguinte.
- Tabelas de rotas de hub. Você pode criar uma rota de hub virtual e aplicá-la à tabela de rotas de hub virtual.
- Emparelhamento de rede virtual. Usando o emparelhamento de rede virtual, você pode conectar diretamente duas ou mais redes virtuais no Azure.
- Rotas definidas pelo usuário. As rotas definidas pelo usuário são rotas estáticas que substituem as rotas padrão do sistema do Azure ou adicionam mais rotas à tabela de rotas de uma sub-rede. Eles são usados aqui para forçar o tráfego para os NVAs quando necessário.
- Dispositivos virtuais de rede. As ferramentas virtuais de rede são ferramentas de rede oferecidas pelo mercado. Neste caso, a empresa implantou o NVA de Palo Alto, mas qualquer firewall NVA funcionaria aqui.
Alternativas
Para implantar apenas um ambiente NVA de alta segurança, você pode seguir este modelo: rotear o tráfego através de um NVA.
Para implantar um modelo NVA personalizado que ofereça suporte ao roteamento de tráfego para um firewall dedicado para a Internet e ao roteamento de tráfego de filial em um NVA, consulte Rotear tráfego por meio de NVAs usando configurações personalizadas.
A alternativa anterior implanta um ambiente de alta segurança por trás de um NVA e oferece alguns recursos para implantar um ambiente personalizado. Mas difere do caso de uso descrito neste artigo de duas maneiras. Primeiro, mostra os dois modelos isoladamente em vez de em combinação. Em segundo lugar, ele não suporta tráfego de rede virtual para rede virtual no ambiente personalizado (o que chamamos de ambiente otimizado de desempenho aqui).
Considerações
Nessa implantação, as rotas que cruzam o hub da WAN Virtual para um ambiente com desempenho otimizado não passam pelo NVA nesse ambiente. Isso apresenta um problema potencial com o tráfego inter-regional que é ilustrado aqui:
O tráfego entre regiões entre ambientes com desempenho otimizado não atravessa o NVA. Essa é uma limitação do roteamento direto do tráfego do hub para as redes virtuais.
Disponibilidade
Virtual WAN é um serviço de rede altamente disponível. Você pode configurar mais conectividade ou caminhos da ramificação para obter vários caminhos para o serviço WAN Virtual. Mas você não precisa de nada adicional dentro do serviço VWAN.
Você deve configurar NVAs em uma arquitetura altamente disponível semelhante à descrita aqui: Implantar NVAs altamente disponíveis.
Desempenho
Esta solução otimiza o desempenho da rede quando necessário. Você pode modificar o roteamento de acordo com suas próprias necessidades, permitindo que o tráfego para a ramificação atravesse o NVA e o tráfego entre redes virtuais flua livremente ou use um único firewall para saída de internet.
Escalabilidade
Essa arquitetura é escalável entre regiões. Considere seus requisitos ao configurar rótulos de roteamento para agrupar rotas e encaminhar tráfego de filial entre os hubs virtuais.
Segurança
Com NVAs, você pode usar recursos como IDPS com WAN Virtual.
Resiliência
Para obter informações sobre resiliência, consulte Disponibilidade, anteriormente neste artigo.
Otimização de custos
O preço dessa arquitetura depende muito dos NVAs implantados. Para uma conexão ER de 2 Gbps e um hub WAN virtual que processa 10 TB por mês, consulte esta estimativa de preço.
Contribuidores
Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.
Autor principal:
- John Poetzinger - Brasil | Arquiteto de Soluções Cloud Sênior
Próximos passos
- O que é a WAN Virtual do Azure?
- O que é o Azure ExpressRoute?
- Como configurar o roteamento de hub virtual - WAN Virtual do Azure
- Firewall e Application Gateway para redes virtuais
- WAN Virtual do Azure e suporte ao trabalho remoto