Editar

Ligar servidores autónomos ao utilizar o Adaptador de Rede do Azure

Azure Bastion
Azure Virtual Network
Azure VPN Gateway
Windows Server
Azure Virtual Machines

Esta arquitetura de referência mostra como conectar um servidor autônomo local a redes virtuais do Microsoft Azure usando o Adaptador de Rede do Azure que você implanta por meio do Windows Admin Center (WAC). O Adaptador de Rede do Azure cria uma conexão virtual segura pela Internet, que estende sua rede local para o Azure.

Arquitetura

Use a VPN do Azure para conectar um servidor autônomo a uma rede virtual do Azure implantando um Adaptador de Rede do Azure usando o Windows Admin Center. Em seguida, você pode gerenciar as máquinas virtuais (VMs) do Azure a partir do servidor autônomo usando o endereço IP privado das VMs.

Implante um Adaptador de Rede do Azure usando o Windows Admin Center para conectar um servidor autônomo por meio da VPN do Azure à rede virtual do Azure de uma rede corporativa, a uma filial ou à rede de outro provedor de nuvem. Em seguida, você pode usar o servidor autônomo para gerenciar as VMs do Azure por meio de seus endereços IP privados, de qualquer local.

Baixe um arquivo do Visio dessas arquiteturas.

Fluxo de Trabalho

A arquitetura consiste em:

  • Rede no local. Este componente é a rede local privada (LAN) de uma organização.
  • Filial. Este componente é uma LAN privada em uma filial remota que se conecta através de uma rede corporativa de longa distância (WAN).
  • Outro provedor de nuvem. Este componente é uma rede virtual privada que um provedor de nuvem oferece. Ele se conecta através de uma rede virtual privada (VPN).
  • Windows Server com Windows Admin Center instalado. O servidor que você usa para implantar o Adaptador de Rede do Azure.
  • Windows Server (autônomo). O servidor no qual o Adaptador de Rede do Azure está instalado. Esse servidor pode estar em uma rede de filial ou em uma rede de provedor de nuvem diferente.
  • Rede Virtual (VNet) do Azure. Os servidores virtuais e outros serviços e componentes para o Gateway de VPN do Azure que estão na mesma rede virtual dentro do Azure.
  • Gateway de VPN do Azure. O serviço Gateway VPN que permite conectar a rede virtual à rede local ou a servidores autônomos por meio de um dispositivo VPN ou Adaptadores de Rede do Azure. Para obter mais informações, veja Connect an on-premises network to a Microsoft Azure virtual network (Ligar uma rede no local a uma rede virtual do Microsoft Azure). Existem vários níveis de preços, ou unidades de manutenção de estoque (SKUs), disponíveis para gateways VPN. Cada SKU suporta requisitos diferentes com base nos tipos de cargas de trabalho, taxa de transferência, recursos e contratos de nível de serviço (SLAs). O gateway VPN inclui os seguintes componentes:
    • Gateway de rede virtual (ativo). Este recurso do Azure fornece um dispositivo VPN virtual para a rede virtual e é responsável por rotear o tráfego de ida e volta entre a rede local e a rede virtual.
    • Gateway de rede virtual (passivo). Este recurso do Azure fornece um dispositivo VPN virtual para a rede virtual e é a instância em espera do Gateway de VPN do Azure ativo. Para obter mais informações, consulte Sobre a redundância de gateway de VPN do Azure.
    • Sub-rede do gateway. O gateway de rede virtual é mantido em sua própria sub-rede, que está sujeita a vários requisitos que a seção Recomendações a seguir detalha.
    • Ligação. A conexão tem propriedades que especificam o tipo de conexão. Essas propriedades incluem IPsec (segurança do protocolo Internet) e a chave compartilhada com o dispositivo VPN local para criptografar o tráfego.
  • Aplicação na cloud. Este componente é o aplicativo hospedado no Azure. Ele pode incluir muitas camadas com várias sub-redes que se conectam por meio de balanceadores de carga do Azure. Para obter mais informações sobre a infraestrutura da aplicação, veja Executar cargas de trabalho da VM do Windows e Executar cargas de trabalho da VM do Linux.
  • Balanceador de carga interno. O tráfego de rede do gateway VPN é roteado para o aplicativo em nuvem por meio de um balanceador de carga interno, que está na sub-rede de produção do aplicativo.
  • Azure Bastion. O Azure Bastion permite que você faça logon em VMs na rede virtual do Azure sem expor as VMs diretamente à Internet. Ele usa Secure Shell (SSH) ou Remote Desktop Protocol (RDP). Se você perder a conectividade VPN, ainda poderá usar o Azure Bastion para gerenciar suas VMs na rede virtual do Azure. No entanto, não há suporte para o gerenciamento de servidores locais por meio do Azure Bastion.

Componentes

  • Rede Virtual. A Rede Virtual do Azure (VNet) é o bloco de construção fundamental para a sua rede privada no Azure. A VNet permite que muitos tipos de recursos do Azure, como as Máquinas Virtuais (VM) do Azure, se comuniquem com segurança entre si, com a Internet e com redes locais.

  • Azure Bastion. O Azure Bastion é um serviço totalmente gerido que fornece um acesso RDP (Remote Desktop Protocol) e SSH (Secure Shell Protocol) mais seguro e uniforme a máquinas virtuais (VMs) sem qualquer exposição através de endereços IP públicos.

  • Gateway de VPN. O Gateway VPN envia tráfego criptografado entre uma rede virtual do Azure e um local local pela Internet pública. Também pode utilizar o Gateway VPN para enviar tráfego encriptado entre redes virtuais do Azure através da rede Microsoft. Um gateway VPN é um tipo específico de gateway de rede virtual.

  • Centro de Administração do Windows. O Windows Admin Center é um aplicativo baseado em navegador implantado localmente para gerenciar servidores Windows, clusters, infraestrutura hiperconvergente e computadores com Windows 10. É um produto gratuito e está pronto para uso na produção.

Recomendações

As recomendações seguintes aplicam-se à maioria dos cenários. Siga-as, a não ser que tenha requisitos específicos que as anulem.

Conectar um servidor autônomo

Para conectar um servidor autônomo por meio do WAC, você deve adicionar o servidor à lista de servidores gerenciados na instalação do WAC do servidor dedicado. Depois de adicionar o servidor a essa lista, você pode selecionar o servidor para o qual deseja instalar o Adaptador de Rede do Azure e, em seguida, selecionar Rede nas ferramentas seguidas pela opção "+ Adicionar Adaptador de Rede do Azure (Visualização)" no painel Rede .

Gorjeta

Se não vir a opção "+ Adicionar Adaptador de Rede do Azure (Pré-visualização)" na janela do browser, poderá ter de aumentar a janela ou poderá observar um botão Ação com um cursor pendente. Selecione o cursor suspenso para acessar a opção e adicionar o Adaptador de Rede do Azure.

Quando você seleciona a opção + Adicionar Adaptador de Rede do Azure (Visualização), a folha de configuração Adicionar Adaptador de Rede do Azure é aberta em uma janela do navegador. Existem várias opções que você pode configurar dentro desta lâmina.

Nota

Se você não tiver autenticado anteriormente a partir do WAC em relação ao locatário do Azure que deseja usar, uma caixa de diálogo de autenticação será exibida. Forneça as informações de autenticação do locatário para prosseguir. As credenciais de usuário que você usa para autenticar devem ter permissões suficientes para criar os recursos do Azure que você configurará durante as etapas subsequentes.

São necessárias as seguintes informações:

Campo Value Informações adicionais
Subscrição Selecionar a partir da lista pendente Este campo lista apenas as subscrições atribuídas ao seu inquilino.
Location Selecionar a partir da lista pendente Selecione uma região do Azure para sua implantação.
Rede Virtual Selecione a partir da lista suspensa ou use o hiperlink fornecido para Criar uma nova Rede Virtual no portal do Azure Dependendo da sua seleção, o conteúdo do campo varia. Se a Rede Virtual existir, você observará um hiperlink que poderá seguir para revisar a Rede Virtual no portal do Azure. Se a VNet selecionada já contiver um Gateway de VNet, um hiperlink para esse recurso do Azure será fornecido.
Sub-rede do gateway Prefixo da sub-rede, como 10.0.1.0/24 Dependendo da Rede Virtual selecionada, este campo irá variar. Se a VNet selecionada não contiver nenhuma sub-rede rotulada como GatewaySubnet, o campo será pré-preenchido com um prefixo de sub-rede que inclui o intervalo de endereços e a máscara de sub-rede. Se a VNet selecionada já contiver um Gateway de VNet, um hiperlink para esse recurso do Azure será fornecido.
Gateway SKU Selecionar a partir da lista pendente Para obter mais informações, consulte as SKUs de gateway.
Espaço de Endereçamento do Cliente Prefixo da sub-rede, como 192.168.1.0/24 O campo será pré-preenchido com um prefixo de sub-rede que inclui o intervalo de endereços e a máscara de sub-rede. É a rede que será usada entre o servidor ao qual você adiciona o Adaptador de Rede do Azure e o Gateway de VPN do Azure. Ele deve ter um intervalo de endereços que não se sobreponha a nenhum dos intervalos de endereços usados no local ou em qualquer uma das Redes Virtuais do Azure conectadas.
Certificado de autenticação Selecione uma das opções A opção "Auto-generated Self-signed root and client Certificate" é pré-selecionada e funciona melhor na maioria dos cenários. Quando você seleciona a opção "Usar próprio certificado raiz e cliente", você deve fornecer dois arquivos: um certificado raiz (.cer) e um certificado de cliente (.pfx) e, em seguida, a senha para o certificado do cliente.

Depois de preencher todos os campos necessários, o botão Criar fica ativo e você deve selecioná-lo para iniciar a implantação do Adaptador de Rede do Azure no servidor selecionado.

O processo de implantação tem duas partes principais, a primeira das quais é a implantação e a seleção do Gateway de VPN do Azure. Se você precisar implantar seu Gateway de VPN do Azure primeiro, aguarde de 25 a 45 minutos para que a implantação seja concluída. (Algumas configurações podem levar esse tempo para serem implantadas.) O WAC fornecerá informações sobre o progresso da implantação. A segunda parte é a instalação real do Adaptador de Rede do Azure, que pode levar 10 minutos. O WAC irá notificá-lo sobre o progresso da instalação também.

Quando a implantação começar, você poderá alterar o foco do WAC selecionando outras ferramentas ou servidores. O processo de implantação continua em segundo plano.

Se você selecionar a opção Certificado de cliente e raiz autoassinado gerado automaticamente, o Azure criará os dois certificados necessários para você automaticamente e os armazenará no armazenamento de certificados do servidor selecionado. Você pode usar a ferramenta Certificados no WAC para localizá-los e, em seguida, pode localizar um certificado raiz no contêiner Máquina Local/Raiz. O nome do certificado começa com Windows Admin Center-Created-vpngw e contém a cadeia de caracteres P2SRoot . A cauda da cadeia de caracteres inclui um carimbo de data/hora codificado com a data de criação do certificado. Esse certificado também será armazenado no contêiner Máquina Local/CA. O segundo certificado é armazenado no contêiner Máquina Local/Meu. O nome deste certificado começa com Windows Admin Center-Created-vpngw e contém a cadeia de caracteres P2SClient . A cauda da cadeia de caracteres inclui um carimbo de data/hora codificado com a data de criação do certificado.

Após a conclusão da implantação, a ferramenta Redes do servidor selecionado é atualizada com o novo Adaptador de Rede do Azure, que é iniciado automaticamente após o término da implantação e indica um status ativo. Você pode selecionar o adaptador para ativar a lista suspensa Mais , que pode ser selecionada para desconectar ou excluir o adaptador. No servidor real, o Adaptador de Rede do Azure é instalado como uma conexão VPN. O nome do adaptador começa com Windows Admin CenterVPN, seguido por um número aleatório de três dígitos.

Quando o Adaptador de Rede do Azure é instalado e conectado, você pode usar essa nova conexão de rede para se conectar diretamente às VNets do Azure e seus sistemas. Esse tipo de conexão normalmente é usado para estabelecer uma sessão de área de trabalho remota por meio do endereço IP interno de uma VM do Azure, em vez de usar o endereço IP público da VM.

Usando um servidor WAC dedicado

Para uma administração centralizada, recomendamos que você use uma instalação dedicada do Windows Admin Server, a partir da qual você pode adicionar outros servidores. Essa abordagem significa que nenhum servidor administrado requer software extra. Para obter mais informações, consulte Windows Admin Center.

Preparar uma VNet dedicada

A interface de instalação do Adaptador de Rede do Azure pode não atender às suas necessidades de convenção de nomenclatura ou camada de preço. Para evitar esse conflito, você pode criar os recursos necessários do Azure antes de implantar o adaptador. Durante a implantação, você seleciona os recursos já existentes em vez de criá-los por meio da interface de instalação.

Nota

Certifique-se de selecionar a SKU do Gateway VPN correta, pois nem todas elas oferecem suporte à conexão VPN que vem com o Adaptador de Rede do Azure. A caixa de diálogo de instalação oferece VpnGw1, VpnGw2 e VpnGw3. Atualmente, o adaptador não suporta as versões com redundância de zona do Gateway de VPN.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que podem ser usados para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.

Escalabilidade

  • SKU do gateway VPN:
    • O SKU do Gateway de VPN que você está selecionando determina quantas conexões ele pode ter em paralelo e a largura de banda disponível para todas essas conexões. O número de conexões simultâneas varia de 250 a 1.000 quando você está usando a opção P2S IKEv2/OpenVPN . IKE refere-se a IPsec Key Exchange. É aconselhável começar com VpnGw1 e expandir mais tarde se precisar de mais conexões. Se você precisar alternar a geração do Gateway VPN, precisará instalar um novo gateway e implantar um novo Adaptador de Rede do Azure para se conectar a ele.
  • Conecte vários servidores autônomos:
    • Você pode usar o WAC para implantar o Adaptador de Rede do Azure em quantos servidores precisar. Você também pode adicionar muitos Adaptadores de Rede do Azure a um único servidor para se conectar a diferentes VNets do Azure. Quando a implantação inicial do Gateway VPN estiver concluída, você poderá configurar servidores extras para usar o mesmo gateway selecionando o gateway existente na interface de instalação.
    • Os servidores autônomos podem estar localizados na mesma rede, em uma rede de filial ou em uma rede diferente baseada em nuvem. Você pode usar a conexão de rede que estabeleceu, como sua WAN corporativa ou uma VPN dedicada para um provedor de nuvem diferente, se as portas de rede necessárias estiverem disponíveis por meio dessas conexões. Para obter mais informações, consulte a seção "Considerações de segurança" neste artigo.
  • Conexão Site-to-Site do Azure:
    • O Adaptador de Rede do Azure é uma única instalação em um único servidor. Se você quiser conectar vários servidores, poderá enfrentar um esforço administrativo significativo. No entanto, você pode evitar esse esforço conectando seus sistemas locais usando o método S2S (S2-Site connection) do Azure, que conecta uma rede local existente a uma VNet do Azure e suas sub-redes. No núcleo dessa conexão está um Gateway de VPN do Azure por meio do qual você pode conectar um gateway VPN local local com o Gateway de VPN do Azure remoto. Esta ligação segura permite que os dois segmentos de rede comuniquem de forma transparente entre si.

Disponibilidade

  • O Adaptador de Rede do Azure dá suporte apenas a uma configuração ativa-passiva do Gateway de VPN do Azure. Durante a configuração do adaptador, você pode apontar para um gateway de VPN do Azure ativo-ativo existente. A instalação reconfigurará o gateway para a configuração ativo-passivo. Uma reconfiguração manual do gateway para o estado ativo-ativo é possível, mas o Adaptador de Rede do Azure não se conectará a esse gateway.

    Aviso

    Configurar um Adaptador de Rede do Azure em relação a um Gateway de VPN do Azure existente com uma configuração ativo-ativo reconfigurará o gateway para ativo-passivo. Isso afetará todas as conexões VPN existentes para esse gateway. Mudar da configuração ativa-ativa para a configuração ativa-espera causará uma queda de um dos dois túneis VPN IPsec para cada conexão. Não prossiga sem avaliar os requisitos gerais de conexão e consultar os administradores de rede.

Capacidade de gestão

  • Conta administrativa:

    • O WAC é a ferramenta principal que você usa para implantar o Adaptador de Rede do Azure e configurar o tratamento de contas. Para obter mais informações sobre as opções disponíveis, consulte Opções de acesso do usuário com o Windows Admin Center. Você pode configurar uma conta individual por conexão de servidor.

      Nota

      A caixa de diálogo na qual você configura a conta administrativa por servidor validará suas credenciais quando você selecionar Continuar. Para abrir a caixa de diálogo, no WAC, selecione a linha com o nome do servidor aplicável e, em seguida, selecione Gerenciar como. Não selecione o hiperlink que representa o servidor, pois ele o conectará a esse servidor imediatamente.

    • Além disso, você deve configurar uma conta de usuário para a conexão do Azure abrindo a caixa de diálogo Configurações no WAC e modificando a seção conta. Você também pode alternar usuários ou fazer logout da sessão de um usuário na caixa de diálogo Configurações .

  • Integração do Azure Recovery Vault:
    • Ao instalar o Adaptador de Rede do Azure em um servidor autônomo, você pode considerar esse servidor uma porta para sua continuidade de negócios. Você pode integrar esse servidor em seus procedimentos de backup e recuperação de desastres usando os serviços do Cofre de Recuperação do Azure que você configura selecionando Backup do Azure na seção Ferramentas do WAC. O Backup do Azure ajuda a proteger seu servidor Windows contra corrupções, ataques ou desastres fazendo backup do servidor diretamente no Microsoft Azure.

Segurança

A segurança oferece garantias contra ataques deliberados e o abuso de seus valiosos dados e sistemas. Para obter mais informações, consulte Visão geral do pilar de segurança.

  • Portas de rede necessárias:

    • As portas de rede para comunicação remota do PowerShell devem estar abertas se você quiser usar o WAC para implantar o Adaptador de Rede do Azure.

    • A comunicação remota do PowerShell usa o Gerenciamento Remoto do Windows (WinRM). Para obter mais informações, consulte Considerações de segurança remota do PowerShell e Configurações padrão da comunicação remota do PowerShell.

    • Em alguns cenários, é necessário usar métodos de autenticação extras. O WAC pode usar o PowerShell com o protocolo CredSSP (Credential Security Support Provider) para se conectar a servidores remotos. Para obter mais informações, consulte Comunicação remota do PowerShell e CredSSP e como o Windows Admin Center usa o CredSSP.

    • A comunicação remota do PowerShell (e o WinRM) usa as seguintes portas:

      Protocolo Porta
      HTTP 5985
      HTTPS 5986

    • A forma como você se conecta ao servidor no qual o Windows Admin Center (WAC) está instalado depende do tipo de instalação do WAC. A porta padrão varia e pode ser a porta 6516 quando instalada no Windows 10 ou a porta 443 quando instalada no Windows Server. Para obter mais informações, consulte Instalar o Windows Admin Center.

  • Integração com o Microsoft Defender for Cloud:
    • Para ajudar a proteger o servidor no qual o Adaptador de Rede do Azure está instalado, você pode integrar o servidor ao Microsoft Defender for Cloud selecionando Microsoft Defender for Cloud na seção Ferramentas do WAC. Durante a integração, você deve selecionar um espaço de trabalho existente do Azure Log Analytics ou criar um novo. Você será cobrado separadamente por cada servidor integrado ao Microsoft Defender for Cloud. Para obter mais informações, consulte Preços do Microsoft Defender for Cloud.

DevOps

  • Automação do Azure:
    • O WAC dá acesso ao código do PowerShell que cria o Adaptador de Rede do Azure e você pode revisá-lo selecionando a ferramenta Rede e, em seguida, selecionando o ícone Exibir scripts do PowerShell na parte superior da página do WAC. O nome do script é Complete-P2SVPNConfiguration, e é implementado como uma função do PowerShell. O código é assinado digitalmente e está pronto para ser reutilizado. Você pode integrá-lo à Automação do Azure configurando mais serviços dentro do portal do Azure.

Otimização de custos

A otimização de custos consiste em procurar formas de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Visão geral do pilar de otimização de custos.

  • Calculadora de Preços do Azure:
    • Usar o Adaptador de Rede do Azure não custa nada, pois é um componente que você implanta em um sistema local. O Gateway de VPN do Azure, como parte da solução, gera custos extras, assim como o uso de outros serviços, como o Azure Recovery Vault ou o Microsoft Defender for Cloud. Para obter mais informações sobre custos reais, consulte a Calculadora de Preços do Azure. É importante observar que os custos reais variam de acordo com a região do Azure e seu contrato individual. Entre em contato com um representante de vendas da Microsoft para obter mais informações sobre preços.
  • Custos de saída:
    • Existem custos adicionais associados às transferências de dados Inter-VNet de saída. Esses custos dependem do SKU do seu gateway de VPN e da quantidade real de dados que você está usando. Para obter mais informações, consulte a Calculadora de Preços do Azure. É importante observar que os custos reais variam de acordo com a região do Azure e seu contrato individual. Entre em contato com um representante de vendas da Microsoft para obter informações adicionais sobre preços.

Contribuidores

Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.

Autor principal:

  • Frank Migacz - Brasil | Especialista em Inovação em Aplicações

Para ver perfis não públicos do LinkedIn, inicie sessão no LinkedIn.

Próximos passos

Saiba mais sobre as tecnologias de componentes:

Explore arquiteturas relacionadas: