Configurar a conectividade da cloud híbrida com o Azure e o Azure Stack Hub

Pode aceder a recursos com segurança no Azure global e no Azure Stack Hub com o padrão de conectividade híbrida.

Nesta solução, irá criar um ambiente de exemplo para:

• Mantenha os dados no local para cumprir os requisitos de privacidade ou regulamentares, mas mantenha o acesso aos recursos globais do Azure.
• Mantenha um sistema legado ao utilizar recursos e implementação de aplicações à escala da cloud no Azure global.

Dica

O Microsoft Azure Stack Hub é uma extensão do Azure. O Azure Stack Hub traz a agilidade e a inovação da computação na cloud para o seu ambiente no local, permitindo a única cloud híbrida que lhe permite criar e implementar aplicações híbridas em qualquer lugar.

O artigo Considerações de design de aplicações híbridas analisa pilares de qualidade de software (colocação, escalabilidade, disponibilidade, resiliência, capacidade de gestão e segurança) para conceber, implementar e operar aplicações híbridas. As considerações de design ajudam a otimizar o design de aplicações híbridas, minimizando os desafios em ambientes de produção.

Pré-requisitos

São necessários alguns componentes para criar uma implementação de conectividade híbrida. Alguns destes componentes demoram algum tempo a preparar-se, por isso planeie em conformidade.

Azure

• Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.
• Criar uma aplicação Web no Azure. Tome nota do URL da aplicação Web porque irá precisar dele na solução.

Azure Stack Hub

Um parceiro OEM/hardware do Azure pode implementar um Azure Stack Hub de produção e todos os utilizadores podem implementar um Development Kit do Azure Stack (ASDK).

• Utilize o Azure Stack Hub de produção ou implemente o ASDK.

  Nota

  A implementação do ASDK pode demorar até 7 horas, pelo que planeie em conformidade.

• Implementar Serviço de Aplicações serviços PaaS no Azure Stack Hub.

• Crie planos e ofertas no ambiente do Azure Stack Hub.

• Crie uma subscrição de inquilino no ambiente do Azure Stack Hub.

Componentes do Azure Stack Hub

Um operador do Azure Stack Hub tem de implementar o Serviço de Aplicações, criar planos e ofertas, criar uma subscrição de inquilino e adicionar a imagem Windows Server 2016. Se já tiver estes componentes, certifique-se de que cumprem os requisitos antes de iniciar esta solução.

Este exemplo de solução pressupõe que tem conhecimentos básicos do Azure e do Azure Stack Hub. Para saber mais antes de iniciar a solução, leia os seguintes artigos:

• Introdução ao Azure
• Conceitos-chave do Azure Stack Hub

Antes de começar

Verifique se cumpre os seguintes critérios antes de começar a configurar a conectividade da cloud híbrida:

• Precisa de um endereço IPv4 público com acesso externo para o seu dispositivo VPN. Este endereço IP não pode estar localizado atrás de um NAT (Tradução de Endereços de Rede).
• Todos os recursos são implementados na mesma região/localização.

Valores de exemplo de solução

Os exemplos nesta solução utilizam os seguintes valores. Pode utilizar estes valores para criar um ambiente de teste ou para os consultar para uma melhor compreensão dos exemplos. Para obter mais informações sobre as definições do gateway de VPN, veja Acerca das Definições de Gateway de VPN.

Especificações de ligação:

• Tipo de VPN: baseado na rota
• Tipo de ligação: site a site (IPsec)
• Tipo de gateway: VPN
• Nome da ligação do Azure: Azure-Gateway-AzureStack-S2SGateway (o portal irá preencher automaticamente este valor)
• Nome da ligação do Azure Stack Hub: AzureStack-Gateway-Azure-S2SGateway (o portal irá preencher automaticamente este valor)
• Chave partilhada: qualquer compatível com hardware VPN, com valores correspondentes em ambos os lados da ligação
• Subscrição: qualquer subscrição preferencial
• Grupo de recursos: Test-Infra

Endereços IP de rede e sub-rede:

Ligação do Azure/Azure Stack Hub	Name	Sub-rede	Endereço IP
VNet do Azure	ApplicationvNet 10.100.102.9/23	ApplicationSubnet 10.100.102.0/24
		GatewaySubnet 10.100.103.0/24
VNet do Azure Stack Hub	ApplicationvNet 10.100.100.0/23	ApplicationSubnet 10.100.100.0/24
		GatewaySubnet 10.100101.0/24
Gateway de Rede Virtual do Azure	Azure-Gateway
Gateway de Rede Virtual do Azure Stack Hub	AzureStack-Gateway
IP Público do Azure	Azure-GatewayPublicIP		Determinado na criação
IP Público do Azure Stack Hub	AzureStack-GatewayPublicIP		Determinado na criação
Gateway de Rede Local do Azure	AzureStack-S2SGateway 10.100.100.0/23		Valor de IP Público do Azure Stack Hub
Gateway de Rede Local do Azure Stack Hub	Azure-S2SGateway 10.100.102.0/23		Valor de IP Público do Azure

Criar uma rede virtual no Azure global e no Azure Stack Hub

Utilize os seguintes passos para criar uma rede virtual com o portal. Pode utilizar estes valores de exemplo se estiver a utilizar este artigo como apenas uma solução. Se estiver a utilizar este artigo para configurar um ambiente de produção, substitua as definições de exemplo pelos seus próprios valores.

Importante

Tem de garantir que não existe uma sobreposição de endereços IP nos espaços de endereços vNet do Azure ou do Azure Stack Hub.

Para criar uma vNet no Azure:

1. Utilize o browser para se ligar ao portal do Azure e inicie sessão com a sua conta do Azure.
2. Selecione Criar um recurso. No campo Pesquisar no marketplace , introduza "rede virtual". Selecione Rede virtual nos resultados.
3. Na lista Selecionar um modelo de implementação, selecione Resource Manager e, em seguida, selecione Criar.
4. Em Criar rede virtual, configure as definições da VNet. Os nomes dos campos necessários têm um prefixo com um asterisco vermelho. Quando introduz um valor válido, o asterisco muda para uma marca de verificação verde.

Para criar uma vNet no Azure Stack Hub:

1. Repita os passos acima (1-4) com o portal de inquilinos do Azure Stack Hub.

Adicionar uma sub-rede do gateway

Antes de ligar a rede virtual a um gateway, tem de criar a sub-rede do gateway para a rede virtual à qual pretende ligar. Os serviços de gateway utilizam os endereços IP que especificar na sub-rede do gateway.

Na portal do Azure, navegue para a rede virtual Resource Manager onde pretende criar um gateway de rede virtual.

1. Selecione a vNet para abrir a página Rede virtual .

2. Em DEFINIÇÕES, selecione Sub-redes.

3. Na página Sub-redes , selecione +Sub-rede do gateway para abrir a página Adicionar sub-rede .

   

4. O Nome da sub-rede é preenchido automaticamente com o valor "GatewaySubnet". Este valor é necessário para que o Azure reconheça a sub-rede como a sub-rede do gateway.

5. Altere os valores do Intervalo de endereços fornecidos para corresponder aos requisitos de configuração e, em seguida, selecione OK.

Criar um Gateway de Rede Virtual no Azure e no Azure Stack

Utilize os seguintes passos para criar um gateway de rede virtual no Azure.

1. No lado esquerdo da página do portal, selecione + e introduza "gateway de rede virtual" no campo de pesquisa.

2. Em Resultados, selecione Gateway de rede virtual.

3. No Gateway de rede virtual, selecione Criar para abrir a página Criar gateway de rede virtual .

4. Em Criar gateway de rede virtual, especifique os valores do gateway de rede com os nossos valores de exemplo do Tutorial. Inclua os seguintes valores adicionais:

   • SKU: básico
   • Rede Virtual: selecione a rede virtual que criou anteriormente. A sub-rede do gateway que criou é selecionada automaticamente.
   • Configuração do Primeiro IP: o IP público do gateway.

     • Selecione Criar configuração de IP do gateway, que o direciona para a página Escolher endereço IP público .

     • Selecione +Criar novo para abrir a página Criar endereço IP público .

     • Introduza um Nome para o seu endereço IP público. Deixe o SKU como Básico e, em seguida, selecione OK para guardar as alterações.

       Nota

       Atualmente, Gateway de VPN suporta apenas a alocação de endereços IP Públicos Dinâmicos. No entanto, isto não significa que o endereço IP seja alterado depois de ser atribuído ao gateway de VPN. A única vez que o endereço IP público é alterado é quando o gateway é eliminado e recriado. Redimensionar, repor ou outras manutençãos/atualizações internas para o gateway de VPN não altera o endereço IP.

5. Verifique as definições do gateway.

6. Selecione Criar para criar o gateway de VPN. As definições do gateway são validadas e o mosaico "Implementar gateway de rede virtual" é apresentado no dashboard.

   Nota

   A criação de um gateway pode demorar até 45 minutos. Poderá ter de atualizar a página do portal para ver o estado concluído.

   Após a criação do gateway, pode ver o endereço IP atribuído ao mesmo ao observar a rede virtual no portal. O gateway aparece como um dispositivo ligado. Para ver mais informações sobre o gateway, selecione o dispositivo.

7. Repita os passos anteriores (1-5) na implementação do Azure Stack Hub.

Criar o gateway de rede local no Azure e no Azure Stack Hub

O gateway de rede local refere-se normalmente à sua localização no local. Atribua ao site um nome ao qual o Azure ou o Azure Stack Hub se pode referir e, em seguida, especifique:

• O endereço IP do dispositivo VPN no local para o qual está a criar uma ligação.

• Os prefixos de endereço IP que serão encaminhados através do gateway de VPN para o dispositivo VPN. Os prefixos do endereço que especificar são os que estão localizados na sua rede no local.

  Nota

  Se a sua rede no local for alterada ou precisar de alterar o endereço IP público do dispositivo VPN, pode atualizar estes valores mais tarde.

1. No portal, selecione +Criar um recurso.

2. Na caixa de pesquisa, introduza Gateway de rede local e, em seguida, selecione Enter para procurar. Será apresentada uma lista de resultados.

3. Selecione Gateway de rede local e, em seguida, selecione Criar para abrir a página Criar gateway de rede local .

4. Em Criar gateway de rede local, especifique os valores do gateway de rede local com os nossos valores de exemplo do Tutorial. Inclua os seguintes valores adicionais:

   • Endereço IP: o endereço IP público do dispositivo VPN ao qual pretende ligar o Azure ou o Azure Stack Hub. Especifique um endereço IP público válido que não esteja atrás de um NAT para que o Azure possa aceder ao endereço. Se não tiver o endereço IP neste momento, pode utilizar um valor do exemplo como um marcador de posição. Terá de voltar atrás e substituir o marcador de posição pelo endereço IP público do seu dispositivo VPN. O Azure não consegue ligar ao dispositivo até fornecer um endereço válido.
   • Espaço de Endereços: o intervalo de endereços da rede que esta rede local representa. Pode adicionar vários intervalos de espaço de endereços. Certifique-se de que os intervalos especificados não se sobrepõem a intervalos de outras redes às quais pretende ligar. O Azure irá encaminhar o intervalo de endereços que especificou no endereço IP do dispositivo VPN no local. Utilize os seus próprios valores se quiser ligar ao seu site no local e não um valor de exemplo.
   • Configurar definições de BGP: utilize apenas ao configurar o BGP. Caso contrário, não selecione esta opção.
   • Subscrição: verifique se a subscrição correta está a ser apresentada.
   • Grupo de Recursos: selecione o grupo de recursos que pretende utilizar. Pode criar um novo grupo de recursos ou selecionar um que já tenha criado.
   • Localização: selecione a localização na qual este objeto será criado. Poderá querer selecionar a mesma localização onde reside a sua VNet, mas não é necessário fazê-lo.

5. Quando terminar de especificar os valores necessários, selecione Criar para criar o gateway de rede local.

6. Repita estes passos (1 a 5) na implementação do Azure Stack Hub.

Configurar a ligação

As ligações site a site a uma rede no local requerem um dispositivo VPN. O dispositivo VPN que configurar é referido como uma ligação. Para configurar a ligação, precisa de:

• Uma chave partilhada. Esta chave é a mesma chave partilhada que especifica ao criar a ligação VPN site a site. Nos nossos exemplos, iremos utilizar uma chave partilhada básica. Deve gerar uma chave mais complexa para utilizar.
• O endereço IP público do gateway de rede virtual. Pode ver o endereço IP público através do portal do Azure, do PowerShell ou da CLI. Para localizar o endereço IP público do gateway de VPN com o portal do Azure, aceda a gateways de rede virtual e, em seguida, selecione o nome do gateway.

Utilize os seguintes passos para criar uma ligação VPN site a site entre o gateway de rede virtual e o dispositivo VPN no local.

1. Na portal do Azure, selecione +Criar um recurso.

2. Procure ligações.

3. Em Resultados, selecione Ligações.

4. Em Ligação, selecione Criar.

5. Em Criar Ligação, configure as seguintes definições:

   • Tipo de ligação: selecione site a site (IPSec).
   • Grupo de Recursos: selecione o grupo de recursos de teste.
   • Rede Virtual Gateway: selecione o gateway de rede virtual que criou.
   • Gateway de Rede Local: selecione o gateway de rede local que criou.
   • Nome da Ligação: este nome é preenchido automaticamente com os valores dos dois gateways.
   • Chave Partilhada: este valor tem de corresponder ao valor que está a utilizar para o seu dispositivo VPN local no local. O exemplo do tutorial utiliza "abc123", mas deve utilizar algo mais complexo. O importante é que este valor tem de ser o mesmo valor que especificar ao configurar o seu dispositivo VPN.
   • Os valores de Subscrição, Grupo de Recursos e Localização são fixos.

6. Selecione OK para criar a ligação.

Pode ver a ligação na página Ligações do gateway de rede virtual. O estado passará de Desconhecido para Ligar e, em seguida, para Bem-sucedido.

Passos seguintes

• Para saber mais sobre os Padrões da Cloud do Azure, veja Padrões de Conceção da Cloud.