Topologia de rede Hub-spoke com WAN Virtual do Azure

Essa arquitetura hub-spoke fornece uma solução alternativa para as arquiteturas de referência topologia de rede hub-spoke no Azure e implementa uma rede híbrida segura.

O hub é uma rede virtual no Azure que atua como um ponto central de conectividade com sua rede local. Os raios são redes virtuais que fazem par com o hub e podem ser usadas para isolar cargas de trabalho. O tráfego flui entre o(s) datacenter(s) local(is) e o hub por meio de uma conexão de gateway de Rota Expressa ou VPN. O principal diferencial dessa abordagem é o uso da WAN Virtual do Azure (VWAN) para substituir hubs como um serviço gerenciado.

Essa arquitetura inclui os benefícios da topologia de rede hub-spoke padrão e introduz novos benefícios:

• Menos sobrecarga operacional substituindo hubs existentes por um serviço VWAN totalmente gerenciado.

• Economia de custos usando um serviço gerenciado e eliminando a necessidade de dispositivo virtual de rede.

• Segurança melhorada através da introdução de Hubs seguros geridos centralmente com a Firewall do Azure e a VWAN para minimizar os riscos de segurança relacionados com a configuração incorreta.

• Separação das preocupações entre o TI central (SecOps, InfraOps) e as cargas de trabalho (DevOps).

Potenciais casos de utilização

Os usos típicos para essa arquitetura incluem casos em que:

• A conectividade entre cargas de trabalho requer controle central e acesso a serviços compartilhados.

• Uma empresa requer controle central sobre aspetos de segurança, como um firewall, e requer gerenciamento segregado para as cargas de trabalho em cada raio.

Arquitetura

Transfira um ficheiro do Visio desta arquitetura.

A arquitetura consiste em:

• Rede no local. Uma rede local privada (LAN) em execução dentro de uma organização.

• Dispositivo VPN. Um dispositivo ou serviço que fornece conectividade externa à rede no local.

• Gateway da rede virtual VPN ou gateway do ExpressRoute. O gateway de rede virtual permite que a rede virtual se conecte ao dispositivo VPN, ou circuito ExpressRoute , usado para conectividade com sua rede local.

• Hub WAN virtual. A WAN Virtual é usada como o hub na topologia hub-spoke. O hub é o ponto central de conectividade com sua rede local e um local para hospedar serviços que podem ser consumidos pelas diferentes cargas de trabalho hospedadas nas redes virtuais faladas.

• Hub virtual seguro. Um hub WAN virtual com políticas de segurança e roteamento associadas configuradas pelo Gerenciador de Firewall do Azure. Um hub virtual seguro vem com um roteamento interno, portanto, não há necessidade de configurar rotas definidas pelo usuário.

• Sub-rede do gateway. Os gateways de rede virtual são guardados na mesma sub-rede.

• Falou em redes virtuais. Uma ou mais redes virtuais que são usadas como raios na topologia hub-spoke. Os raios podem ser usados para isolar cargas de trabalho em suas próprias redes virtuais e são gerenciados separadamente de outros raios. Cada carga de trabalho pode incluir várias camadas com várias sub-redes ligadas através de balanceadores de carga do Azure.

• Emparelhamento de rede virtual. Duas redes virtuais podem ser conectadas usando uma conexão de emparelhamento VNet. As conexões de emparelhamento são conexões não transitivas e de baixa latência entre redes virtuais. Uma vez emparelhadas, as redes virtuais trocam tráfego usando o backbone do Azure, sem a necessidade de um roteador. Em uma topologia de rede hub-spoke, você usa o emparelhamento de rede virtual para conectar o hub a cada raio. A WAN Virtual do Azure permite a transitividade entre hubs, o que não é possível usando apenas o emparelhamento.

Componentes

• Rede Virtual do Azure
• WAN Virtual do Azure
• Gateway de VPN do Azure
• Azure ExpressRoute
• Azure Firewall

Alternativas

Uma arquitetura hub-spoke pode ser obtida de duas maneiras: uma infraestrutura de hub gerenciada pelo cliente ou uma infraestrutura de hub gerenciada pela Microsoft. Em ambos os casos, os raios são conectados ao hub usando emparelhamento de rede virtual.

Vantagens

Transfira um ficheiro do Visio desta arquitetura.

Este diagrama ilustra algumas das vantagens que esta arquitetura pode proporcionar:

• Um hub de malha completa entre as Redes Virtuais do Azure
• Conectividade de ramificação para o Azure
• Conectividade ramificação a filial
• Uso misto de VPN e Rota Expressa
• Uso misto de VPN do usuário para o site
• Conectividade VNET para VNET

Recomendações

As recomendações a seguir se aplicam à maioria dos cenários. Siga-os, a menos que você tenha um requisito específico que os substitua.

Grupos de recursos

O hub e cada spoke podem ser implementados em diferentes grupos de recursos e, melhor ainda, em diferentes assinaturas. Quando você emparelha redes virtuais em assinaturas diferentes, ambas as assinaturas podem ser associadas ao mesmo locatário ou a um locatário diferente do Microsoft Entra. Isso permite um gerenciamento descentralizado de cada carga de trabalho, enquanto compartilha serviços mantidos no hub.

WAN Virtual

Crie uma WAN Virtual Padrão se você tiver um requisito para qualquer um dos seguintes:

• Dimensionamento para taxas de transferência mais altas

• Conectividade Privada (requer Circuito Premium na localização Global Reach)

• Interconexão VPN ExpressRoute

• Monitorização integrada com o Azure Monitor (Métricas e Estado de Funcionamento dos Recursos)

As WANs virtuais padrão são, por padrão, conectadas em uma malha completa. A WAN Virtual padrão suporta conectividade de qualquer tipo (VPN Site a Site, VNet, ExpressRoute, pontos de extremidade ponto a site) em um único hub, bem como entre hubs. A WAN virtual básica suporta apenas conectividade VPN Site a Site, conectividade ramificação a filial e conectividade ramificação a VNet em um único hub.

Hub de WAN Virtual

Um hub virtual é uma rede virtual gerenciada pela Microsoft. O hub contém vários pontos de extremidade de serviço para habilitar a conectividade. O hub é o núcleo da sua rede numa região. Pode haver vários hubs por região do Azure. Para obter mais informações, consulte Perguntas frequentes sobre WAN virtual.

Quando você cria um hub usando o portal do Azure, ele cria uma VNet de hub virtual e um gateway VPN de hub virtual. Um Hub WAN Virtual requer um intervalo de endereços mínimo de /24. Esse espaço de endereço IP será usado para reservar uma sub-rede para gateway e outros componentes.

Hub virtual seguro

Um hub virtual pode ser criado como um hub virtual seguro ou convertido em um hub seguro a qualquer momento após a criação. Para obter informações adicionais, consulte Proteger seu hub virtual usando o Gerenciador de Firewall do Azure.

GatewaySubnet

Para obter mais informações sobre como configurar o gateway, veja as seguintes arquiteturas de referência, consoante o tipo de ligação:

• Rede híbrida com o ExpressRoute

• Rede híbrida usando um gateway VPN

Para maior disponibilidade, você pode usar a Rota Expressa mais uma VPN para failover. Veja Ligar uma rede no local ao Azure através do ExpressRoute com a ativação pós-falha de VPN.

Uma topologia hub-spoke não pode ser usada sem um gateway, mesmo que você não precise de conectividade com sua rede local.

Peering de rede virtual

O emparelhamento de rede virtual é uma relação não transitiva entre duas redes virtuais. No entanto, a WAN Virtual do Azure permite que os raios se conectem uns com os outros sem ter um peering dedicado entre eles.

No entanto, se você tiver vários raios que precisam se conectar uns com os outros, você ficará sem conexões de emparelhamento possíveis muito rapidamente devido à limitação no número de emparelhamentos de rede virtual por rede virtual. (Para obter mais informações, consulte Limites de rede.) Nesse cenário, a VWAN do Azure resolverá esse problema com sua funcionalidade pronta para uso. Para obter informações adicionais, consulte Arquitetura de rede de trânsito global e WAN virtual.

Você também pode configurar raios para usar o gateway de hub para se comunicar com redes remotas. Para permitir o fluxo do tráfego de gateway do spoke para o hub e a ligação a redes remotas, tem de:

• Configure a conexão de emparelhamento no hub para permitir o trânsito do gateway.

• Configure a conexão de emparelhamento em cada spoke para usar gateways remotos.

• Configure todas as conexões de emparelhamento para permitir o tráfego encaminhado.

Para obter informações adicionais, consulte Escolher entre emparelhamento de rede virtual e gateways VPN.

Extensões de hub

Para dar suporte a serviços compartilhados em toda a rede, como recursos DNS, NVAs personalizados, Azure Bastion e outros, implemente cada serviço seguindo o padrão de extensão de hub virtual. Seguindo esse modelo, você pode criar e operar extensões de responsabilidade única para expor individualmente esses serviços compartilhados críticos para os negócios que, de outra forma, não seria possível implantar diretamente em um hub virtual.

Considerações

Operações

O Azure VWAN é um serviço gerenciado fornecido pela Microsoft. Do ponto de vista da tecnologia, não é completamente diferente de uma infraestrutura de hub gerenciada pelo cliente. A WAN Virtual do Azure simplifica a arquitetura de rede geral oferecendo uma topologia de rede mesh com conectividade de rede transitiva entre raios. O monitoramento da VWAN do Azure pode ser alcançado usando o Azure Monitor. A configuração site a site e a conectividade entre redes locais e o Azure podem ser totalmente automatizadas.

Fiabilidade

A WAN Virtual do Azure lida com o roteamento, o que ajuda a otimizar a latência da rede entre raios, bem como garantir a previsibilidade da latência. A WAN Virtual do Azure também fornece conectividade confiável entre diferentes regiões do Azure para as cargas de trabalho que abrangem várias regiões. Com essa configuração, o fluxo de ponta a ponta dentro do Azure se torna mais visível.

Desempenho

Com a ajuda da WAN Virtual do Azure, é possível obter uma latência mais baixa entre raios e entre regiões. A WAN Virtual do Azure permite dimensionar até 20 Gbps de taxa de transferência agregada.

Escalabilidade

A WAN Virtual do Azure fornece uma conectividade de malha completa entre raios, preservando a capacidade de restringir o tráfego com base nas necessidades. Com esta arquitetura é possível ter um desempenho site a site em grande escala. Além disso, você pode criar uma arquitetura de rede de trânsito global habilitando qualquer conectividade entre conjuntos globalmente distribuídos de cargas de trabalho em nuvem.

Segurança

Os Hubs na VWAN do Azure podem ser convertidos em HUBs seguros aproveitando o Firewall do Azure. As rotas definidas pelo usuário (UDRs) ainda podem ser aproveitadas da mesma maneira para obter o isolamento da rede. A VWAN do Azure permite a criptografia do tráfego entre as redes locais e as redes virtuais do Azure pela Rota Expressa.

A Proteção contra DDoS do Azure, combinada com as práticas recomendadas de design de aplicativos, fornece recursos aprimorados de mitigação de DDoS para fornecer mais defesa contra ataques DDoS. Você deve habilitar a Proteção DDOS do Azure em qualquer rede virtual de perímetro.

Conectividade spoke e serviços partilhados

A conectividade entre raios já é alcançada usando a WAN Virtual do Azure. No entanto, o uso de UDRs no tráfego falado é útil para isolar redes virtuais. Qualquer serviço compartilhado também pode ser hospedado na mesma WAN Virtual que um spoke.

Emparelhamento de rede virtual - Conexão de hub

O emparelhamento de rede virtual é uma relação não transitiva entre duas redes virtuais. Ao usar a WAN Virtual do Azure, o emparelhamento de rede virtual é gerenciado pela Microsoft. Cada conexão adicionada a um hub também configurará o emparelhamento de rede virtual. Com a ajuda da WAN Virtual, todos os porta-vozes terão uma relação transitiva.

Otimização de custos

Uma infraestrutura de hub gerenciada pelo cliente introduz o custo de gerenciamento para os recursos subjacentes do Azure. Para obter uma conectividade transitiva com uma latência previsível, você deve ter um Dispositivo Virtual de Rede (NVA) ou Firewall do Azure implantado em cada hub. Usar o Firewall do Azure com qualquer uma das opções reduzirá o custo em comparação com um NVA. Os custos do Firewall do Azure são os mesmos para ambas as opções. Há um custo extra para a WAN Virtual do Azure; no entanto, é muito menos dispendioso do que gerenciar sua própria infraestrutura de hub.

Para obter mais informações, consulte Preços da WAN virtual.

Contribuidores

Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.

Autor principal:

• Yunus Emre Alpozen - Brasil | Arquiteto de programas entre cargas de trabalho

Para ver perfis não públicos do LinkedIn, inicie sessão no LinkedIn.

Próximos passos

Saiba mais:

• Topologia de rede Hub-spoke no Azure

• Projetar uma solução híbrida de Sistema de Nomes de Domínio com o Azure

• Implementar uma rede híbrida segura

• O que é o Azure ExpressRoute?

• Conectar uma rede local ao Azure usando a Rota Expressa

• Firewall e Application Gateway para redes virtuais

• Estenda uma rede local usando VPN

• Proteja e controle cargas de trabalho com segmentação de nível de rede

Recursos relacionados

• Fortaleça sua postura de segurança com o Azure

• Rede Virtual

• Azure ExpressRoute

• Gateway de VPN

• Azure Firewall