Editar

Topologia de rede hub-spoke IPv6

Azure Firewall
Azure Virtual Network
Azure Virtual WAN
Azure VPN Gateway

Este artigo descreve como fazer a transição de uma topologia de rede hub-and-spoke IPv4 para IPv6. Ele apresenta a topologia de rede hub-and-spoke como um ponto de partida e descreve as etapas que você pode executar para implementar o suporte a IPv6.

Em uma rede hub-and-spoke, a rede virtual hub é um ponto central de conectividade para as redes virtuais faladas. As redes virtuais spoke se conectam ao hub e podem fornecer isolamento para recursos do aplicativo. Para obter mais informações, consulte Transição para IPv6.

Arquitetura

Diagrama que mostra uma arquitetura hub-and-spoke com os componentes necessários para suporte a IPv6.

Transfira um ficheiro do Visio desta arquitetura.

Fluxo de Trabalho

  1. Internet pública e rede entre locais: os utilizadores ou serviços podem aceder aos recursos do Azure através da Internet pública. A rede entre locais tem máquinas virtuais locais que se conectam com segurança à rede do Azure por meio de um gateway VPN.

  2. Azure Virtual Network Manager: este componente é a camada de gerenciamento que supervisiona toda a infraestrutura de rede no Azure. Ele lida com o roteamento, as políticas e a integridade geral da rede virtual.

  3. Rede virtual de hub: o hub é o ponto central da topologia de rede. A configuração de rede suporta IPv4 e IPv6 (pilha dupla).

    • O Azure Bastion fornece conectividade segura e contínua de Protocolo de Área de Trabalho Remota/Shell Seguro (RDP/SSH) do portal do Azure para as máquinas virtuais diretamente por TLS (Transport Layer Security).
    • O Firewall do Azure inspeciona e filtra o tráfego entre o hub e a Internet pública.
    • O ExpressRoute conecta a rede entre locais ao hub.
    • O VPN Gateway também conecta a rede entre locais ao hub e fornece redundância.
    • Os serviços na rede virtual do hub enviam logs e métricas (diagnóstico) para o Azure Monitor para monitoramento.

  4. Redes virtuais faladas: Há quatro raios conectados ao hub. Cada spoke é uma rede de pilha dupla, suportando IPv4 e IPv6.

    • As rotas IPv6 definidas pelo usuário (UDRs) definem rotas personalizadas para o tráfego IPv6 do falado.
    • As redes virtuais spoke são conectadas por meio de conexões de emparelhamento ou grupos conectados. Conexões de emparelhamento e grupos conectados são conexões não transitivas e de baixa latência entre redes virtuais. Redes virtuais emparelhadas ou conectadas podem trocar tráfego pelo backbone do Azure.
    • Todo o tráfego de saída das redes virtuais spoke flui através do hub, usando uma configuração no Firewall do Azure chamada túnel forçado.
    • Dentro de cada falado, há três sub-redes designadas como sub-redes de recursos, cada uma hospedando uma máquina virtual.
    • Cada máquina virtual se conecta a um balanceador de carga interno configurado para suportar intervalos de endereços IPv4 e IPv6. O balanceador de carga distribui o tráfego de rede de entrada pelas máquinas virtuais.

Componentes

  • A Rede Virtual do Azure é o bloco de construção fundamental para redes privadas no Azure. A Rede Virtual permite que muitos recursos do Azure, como Máquinas Virtuais do Azure, se comuniquem com segurança entre si, redes entre locais e a Internet.
  • Uma interface de rede virtual é necessária para a comunicação entre máquinas virtuais. Você pode configurar máquinas virtuais e outros recursos para ter várias interfaces de rede, o que permite criar configurações de pilha dupla (IPv4 e IPv6).
  • Um endereço IP público é usado para conectividade IPv4 e IPv6 de entrada com recursos do Azure.
  • Virtual Network Manager é usado para criar e gerenciar grupos de rede e suas conexões.
  • O Firewall do Azure é um serviço de segurança de rede gerenciado e baseado em nuvem. Protege os recursos da Rede Virtual do Azure. Uma instância de firewall gerenciada do Firewall do Azure está em sua própria sub-rede.
  • O Gateway de VPN do Azure ou a Rota Expressa do Azure podem ser usados para criar um gateway de rede virtual para conectar uma rede virtual a um dispositivo de rede virtual privada (VPN) ou a um circuito de Rota Expressa. O gateway fornece conectividade de rede entre locais.
  • O Azure Load Balancer é usado para habilitar várias máquinas que têm a mesma finalidade para compartilhar tráfego. Nessa arquitetura, os balanceadores de carga distribuem o tráfego entre várias sub-redes que suportam IPv6.
  • Uma tabela de rotas no Azure é um conjunto de UDRs que fornecem definições de caminho personalizadas para o tráfego de rede.
  • As Máquinas Virtuais do Azure são uma solução de computação IaaS (infraestrutura como serviço) que suporta IPv6.
  • O Azure Bastion é uma oferta de plataforma como serviço (PaaS) totalmente gerenciada que a Microsoft fornece e mantém. Ele fornece protocolo de área de trabalho remota seguro e contínuo e acesso SSH a máquinas virtuais sem exposição de endereço IP público.
  • O Monitor é uma solução de monitoramento abrangente para coletar, analisar e responder a dados de monitoramento de ambientes locais e na nuvem. Você pode usar o Monitor para maximizar a disponibilidade e o desempenho de seus aplicativos e serviços.

Fazer a transição de uma rede virtual de hub para IPv6

Para fazer a transição de uma rede virtual de hub para suportar IPv6, você deve atualizar a infraestrutura de rede para acomodar intervalos de endereços IPv6, para que a parte central e controladora da rede possa lidar com o tráfego IPv6. Essa abordagem garante que o hub central possa rotear e gerenciar eficientemente o tráfego entre vários segmentos de rede (raios) usando IPv6. Para implementar o IPv6 na rede virtual do hub, siga estas etapas:

Adicionar espaço de endereçamento IPv6 à rede virtual do hub e às sub-redes do hub

Você precisa adicionar intervalos de endereços IPv6 à rede virtual do hub primeiro e, em seguida, às suas sub-redes. Use o bloco de endereço /56 para a rede virtual e o bloco de endereço /64 para cada sub-rede. A tabela a seguir mostra um exemplo de configuração.

Intervalo de endereços de rede virtual do hub Intervalo de endereços da sub-rede do hub
Rede virtual do Hub: 2001:db8:1234:0000::/56 Sub-rede do Azure Bastion: 2001:db8:1234:0000::/64
Sub-rede do Firewall do Azure: 2001:db8:1234:0001::/64
Sub-rede do Gateway VPN: 2001:db8:1234:0002::/64
Sub-rede ExpressRoute: 2001:db8:1234:0003::/64

Estes endereços IPv6 são exemplos. Você deve substituir 2001:db8:1234:: pelo bloco de endereços IPv6 da sua organização. Planeje e documente cuidadosamente suas alocações de endereços IPv6 para evitar sobreposições e garantir o uso eficiente do espaço de endereço. Para adicionar o espaço de endereço IPv6 à rede virtual do hub, você pode usar o portal do Azure, o PowerShell ou a CLI do Azure.

Configurar rotas definidas pelo usuário (UDRs) para cada sub-rede de hub

UDRs são rotas que você configura manualmente para substituir as rotas padrão do sistema do Azure. No Azure, as UDRs são essenciais para controlar o fluxo de tráfego de rede em uma rede virtual. Você pode usar UDRs para direcionar o tráfego de uma sub-rede para dispositivos, gateways ou destinos específicos no Azure ou para redes locais. Ao adicionar suporte a IPv6 à rede virtual do hub, você precisa:

  • Adicione rotas IPv6. Se houver uma tabela de rotas estabelecida, adicione novas rotas que especifiquem os prefixos de endereço IPv6.
  • Modificar rotas existentes. Se já houver rotas para IPv4, talvez seja necessário modificá-las para garantir que elas também se apliquem ao tráfego IPv6 ou criar rotas específicas de IPv6 separadas.
  • Associe a tabela de rotas a sub-redes. Depois de definir as rotas, associe a tabela de rotas às sub-redes relevantes dentro da rede virtual. Essa associação determina quais sub-redes usam as rotas que você definiu.

Você não precisa adicionar uma rota para cada recurso, mas precisa de uma rota para cada sub-rede. Cada sub-rede pode ter vários recursos e todos eles seguem as regras definidas na tabela de rotas associada à sua sub-rede. Para obter mais informações, consulte Visão geral da rota definida pelo usuário.

Para a arquitetura de exemplo, a rede virtual do hub tem quatro sub-redes: Azure Bastion, Azure Firewall, VPN Gateway e ExpressRoute. A tabela a seguir mostra UDRs de exemplo para cada sub-rede.

Sub-rede do hub Description Intervalo de endereços IPv6 Nome da rota Destino Próximo salto
Azure Bastion Rota para o Firewall 2001:db8:1234:0000::/64 Rota da Internet ::/0 2001:db8:1234:0001::/64 (Firewall do Azure)
Azure Firewall Rota padrão 2001:db8:1234:0001::/64 Rota da Internet ::/0 Internet Gateway
Gateway de VPN Rota local 2001:db8:1234:0002::/64 Rota local 2001:db8:abcd::/56 Gateway de VPN
ExpressRoute Rota local 2001:db8:1234:0003::/64 Rota local 2001:db8:efgh::/56 ExpressRoute

Ao configurar suas UDRs, você deve alinhá-las com suas políticas de rede organizacional e a arquitetura de sua implantação do Azure.

Modificar o circuito da Rota Expressa (se aplicável)

Para fornecer suporte a IPv6 ao circuito ExpressRoute, você precisa:

  • Habilite o emparelhamento privado IPv6. Habilite o emparelhamento privado IPv6 para o circuito ExpressRoute. Essa configuração permite o tráfego IPv6 entre sua rede local e a rede virtual do hub.
  • Aloque espaço de endereçamento IPv6. Forneça sub-redes IPv6 para os links primários e secundários da Rota Expressa.
  • Atualizar tabelas de rotas. Certifique-se de direcionar o tráfego IPv6 adequadamente através do circuito ExpressRoute.

Essas configurações estendem a conectividade IPv6 para seus serviços do Azure por meio de um circuito de Rota Expressa, para que você possa rotear recursos de pilha dupla simultaneamente. Para modificar a Rota Expressa, você pode usar o portal do Azure, o PowerShell ou a CLI do Azure.

Transição de redes virtuais para IPv6

As redes virtuais spoke estão conectadas ao hub central. Quando você fornece às redes virtuais spoke suporte a IPv6, cada rede spoke pode se comunicar através do protocolo IPv6 mais avançado e estende a uniformidade em toda a rede. Para fornecer suporte a IPv6 às redes virtuais faladas, siga estes passos:

Adicionar espaço de endereçamento IPv6 às redes virtuais spoke e sub-redes spoke

Como a rede virtual do hub, você deve adicionar intervalos de endereços IPv6 a cada rede virtual falada e, em seguida, suas sub-redes. Use o bloco de endereços /56 para as redes virtuais e o bloco de endereços /64 para as sub-redes. A tabela a seguir fornece um exemplo de intervalos de endereços IPv6 para redes virtuais spoke e suas sub-redes.

Intervalo de endereços de rede virtual spoke Intervalo de endereços de sub-rede spoke
Rede virtual Spoke 1: 2001:db8:1234:0100::/56 Sub-rede 1: 2001:db8:1234:0100::/64
Sub-rede 2: 2001:db8:1234:0101::/64
Sub-rede 3: 2001:db8:1234:0102::/64
Rede virtual Spoke 2: 2001:db8:1234:0200::/56 Sub-rede 1: 2001:db8:1234:0200::/64
Sub-rede 2: 2001:db8:1234:0201::/64
Sub-rede 3: 2001:db8:1234:0202::/64
Rede virtual Spoke 3: 2001:db8:1234:0300::/56 Sub-rede 1: 2001:db8:1234:0300::/64
Sub-rede 2: 2001:db8:1234:0301::/64
Sub-rede 3: 2001:db8:1234:0302::/64
Rede virtual Spoke 4: 2001:db8:1234:0400::/56 Sub-rede 1: 2001:db8:1234:0400::/64
Sub-rede 2: 2001:db8:1234:0401::/64
Sub-rede 3: 2001:db8:1234:0402::/64

Para a sua configuração, ajuste os endereços IPv6 de acordo com a alocação e as necessidades da sua organização.

Modificar recursos de rede virtual spoke

Cada rede virtual spoke contém várias máquinas virtuais e um balanceador de carga interno. O balanceador de carga interno permite rotear o tráfego IPv4 e IPv6 para as máquinas virtuais. Você deve modificar as máquinas virtuais e os balanceadores de carga internos para que eles ofereçam suporte ao IPv6.

Para cada máquina virtual, você deve criar uma interface de rede IPv6 e associá-la à máquina virtual para adicionar suporte a IPv6. Para obter mais informações, consulte Adicionar configuração IPv6 a uma máquina virtual.

Se não houver um balanceador de carga interno em cada rede virtual falada, você deverá criar um balanceador de carga interno de pilha dupla. Para obter mais informações, consulte Criar um balanceador de carga interno de pilha dupla. Se houver um balanceador de carga interno, você poderá usar o PowerShell ou a CLI do Azure para adicionar suporte a IPv6.

Configurar rotas definidas pelo usuário (UDRs) para cada sub-rede spoke

Para configurar UDRs, as redes virtuais spoke usam a mesma configuração que as redes virtuais de hub Ao adicionar suporte a IPv6 a uma rede virtual spoke, você precisa:

  • Adicione rotas IPv6. Se houver uma tabela de rotas estabelecida, adicione novas rotas que especifiquem os prefixos de endereço IPv6.

  • Modificar rotas existentes. Se já houver rotas para IPv4, talvez seja necessário modificá-las para garantir que elas também se apliquem ao tráfego IPv6 ou criar rotas específicas de IPv6 separadas.

  • Associe a tabela de rotas a sub-redes. Depois de definir as rotas, associe a tabela de rotas às sub-redes relevantes dentro da rede virtual. Essa associação determina quais sub-redes usam as rotas que você definiu.

A tabela a seguir mostra UDRs de exemplo para cada sub-rede em uma rede virtual falada.

Sub-rede Spoke Description Intervalo de endereços IPv6 Nome da rota Destino Próximo salto
Sub-rede 1 Rota para o Firewall 2001:db8:1234:0100::/64 Rota da Internet ::/0 2001:db8:1234:0001::/64 (Firewall do Azure)
Sub-rede 2 Rota para VPN Gateway 2001:db8:1234:0101::/64 Rota VPN 2001:db8:abcd::/64 2001:db8:1234:0002::/64 (Gateway VPN)
Sub-rede 3 Rota para a Rota Expressa 2001:db8:1234:0102::/64 Rota ExpressRoute 2001:db8:5678::/64 2001:db8:1234:0003::/64 (Rota Expressa)

Para sua configuração, você deve alinhar as UDRs com suas políticas de rede organizacional e a arquitetura de sua implantação do Azure.

Contribuidores

A Microsoft mantém este artigo. Os seguintes colaboradores escreveram originalmente o artigo.

Autor principal:

  • Werner Rall - Brasil | Engenheiro Arquiteto de Soluções Cloud Sênior

Outros contribuidores:

Para ver perfis não públicos do LinkedIn, inicie sessão no LinkedIn.

Próximos passos