Topologia de rede tradicional do Azure

  • Artigo

Importante

Experimente a nova experiência de Topologia (Pré-visualização), que oferece uma visualização dos recursos do Azure para facilitar a gestão de inventário e a monitorização da rede em escala. Use a visualização de topologia para visualizar recursos e suas dependências em assinaturas, regiões e locais. Selecione este link para navegar até a experiência.

Explore as principais considerações e recomendações de design em torno de topologias de rede no Microsoft Azure.

Diagram that illustrates a traditional Azure network topology.

Figura 1: Uma topologia de rede tradicional do Azure.

Considerações de design:

  • Várias topologias de rede podem conectar várias redes virtuais de zona de aterrissagem. Exemplos de topologias de rede incluem uma grande rede virtual plana, várias redes virtuais conectadas a vários circuitos ou conexões do Azure ExpressRoute, hub-and-spoke, malha completa e híbrida.

  • As redes virtuais não podem ultrapassar os limites da subscrição. No entanto, você pode obter conectividade entre redes virtuais em assinaturas diferentes usando emparelhamento de rede virtual, um circuito de Rota Expressa ou gateways VPN.

  • O emparelhamento de rede virtual é o método preferencial para conectar redes virtuais no Azure. Você pode usar o emparelhamento de rede virtual para conectar redes virtuais na mesma região, em diferentes regiões do Azure e em diferentes locatários do Microsoft Entra.

  • O emparelhamento de rede virtual e o emparelhamento de rede virtual global não são transitivos. Para habilitar uma rede de trânsito, você precisa de rotas definidas pelo usuário (UDRs) e dispositivos virtuais de rede (NVAs). Para obter mais informações, consulte Topologia de rede Hub-spoke no Azure.

  • Você pode compartilhar um plano de Proteção contra DDoS do Azure em todas as redes virtuais em um único locatário do Microsoft Entra para proteger recursos com endereços IP públicos. Para obter mais informações, consulte Proteção contra DDoS do Azure.

    • Os planos de Proteção contra DDoS do Azure cobrem apenas recursos com endereços IP públicos.

    • O custo de um plano de Proteção contra DDoS do Azure inclui 100 endereços IP públicos em todas as redes virtuais protegidas associadas ao plano de Proteção contra DDoS. A proteção para mais recursos está disponível a um custo separado. Para obter mais informações sobre os preços do plano de Proteção contra DDoS do Azure, consulte a página de preços da Proteção contra DDoS do Azure ou as Perguntas frequentes.

    • Analise os recursos suportados dos planos de Proteção contra DDoS do Azure.

  • Você pode usar circuitos de Rota Expressa para estabelecer conectividade entre redes virtuais dentro da mesma região geopolítica ou usando o complemento premium para conectividade entre regiões geopolíticas. Tenha em consideração estes pontos:

    • O tráfego de rede para rede pode ter mais latência, porque o tráfego deve ser fixado nos roteadores Microsoft Enterprise Edge (MSEE).

    • O SKU do gateway ExpressRoute restringe a largura de banda.

    • Implante e gerencie UDRs se precisar inspecionar ou registrar UDRs para tráfego em redes virtuais.

  • Os gateways VPN com BGP (Border Gateway Protocol) são transitivos dentro do Azure e em redes locais, mas não fornecem acesso transitivo a redes conectadas via Rota Expressa por padrão. Se você precisar de acesso transitivo a redes conectadas via Rota Expressa, considere o Servidor de Rota do Azure.

  • Ao conectar vários circuitos de Rota Expressa à mesma rede virtual, use pesos de conexão e técnicas de BGP para garantir um caminho ideal para o tráfego entre redes locais e o Azure. Para obter mais informações, consulte Otimizar o roteamento da Rota Expressa.

  • Usar métricas BGP para influenciar o roteamento da Rota Expressa é uma alteração de configuração feita fora da plataforma Azure. Sua organização ou seu provedor de conectividade deve configurar os roteadores locais de acordo.

  • Os circuitos ExpressRoute com complementos premium fornecem conectividade global.

  • O ExpressRoute tem certos limites; há um número máximo de conexões de Rota Expressa por gateway de Rota Expressa, e o emparelhamento privado de Rota Expressa pode identificar um número máximo de rotas do Azure para o local. Para obter mais informações sobre os limites da Rota Expressa, consulte Limites da Rota Expressa.

  • A taxa de transferência agregada máxima de um gateway VPN é de 10 gigabits por segundo. Um gateway VPN suporta até 100 túneis site a site ou rede a rede.

  • Se um NVA fizer parte da arquitetura, considere o Azure Route Server para simplificar o roteamento dinâmico entre seu dispositivo virtual de rede (NVA) e sua rede virtual. O Azure Route Server permite que você troque informações de roteamento diretamente por meio do protocolo de roteamento BGP (Border Gateway Protocol) entre qualquer NVA que ofereça suporte ao protocolo de roteamento BGP e a rede definida por software (SDN) do Azure na rede virtual do Azure (VNet) sem a necessidade de configurar ou manter tabelas de rotas manualmente.

Recomendações de design:

  • Considere um design de rede baseado na topologia de rede hub-and-spoke tradicional para os seguintes cenários:

    • Uma arquitetura de rede implantada em uma única região do Azure.

    • Uma arquitetura de rede que abrange várias regiões do Azure, sem necessidade de conectividade transitiva entre redes virtuais para zonas de aterrissagem entre regiões.

    • Uma arquitetura de rede que abrange várias regiões do Azure e emparelhamento de rede virtual global que pode conectar redes virtuais entre regiões do Azure.

    • Não há necessidade de conectividade transitiva entre conexões VPN e ExpressRoute.

    • O principal método de conectividade híbrida em vigor é a Rota Expressa, e o número de conexões VPN é inferior a 100 por Gateway VPN.

    • Há uma dependência de NVAs centralizados e roteamento granular.

  • Para implantações regionais, use principalmente a topologia hub-and-spoke. Use redes virtuais de zona de aterrissagem que se conectam com emparelhamento de rede virtual a uma rede virtual de hub central para os seguintes cenários:

    • Conectividade entre locais via Rota Expressa.

    • VPN para conectividade de filiais.

    • Conectividade spoke-to-spoke via NVAs e UDRs.

    • Proteção de saída da Internet via Firewall do Azure ou outro NVA de terceiros.

O diagrama a seguir mostra a topologia hub-and-spoke. Essa configuração permite o controle de tráfego adequado para atender à maioria dos requisitos de segmentação e inspeção.

Diagram that illustrates a hub-and-spoke network topology.

Figura 2: Topologia de rede hub-and-spoke.

  • Use a topologia de várias redes virtuais conectadas a vários circuitos de Rota Expressa quando uma destas condições for verdadeira:

    • Você precisa de um alto nível de isolamento.

    • Você precisa de largura de banda dedicada da Rota Expressa para unidades de negócios específicas.

    • Você atingiu o número máximo de conexões por gateway de Rota Expressa (consulte o artigo Limites da Rota Expressa para obter o número máximo).

A figura a seguir mostra essa topologia.

Diagram that illustrates multiple virtual networks connected with multiple ExpressRoute circuits.

Figura 3: Várias redes virtuais conectadas a vários circuitos de Rota Expressa.

  • Implante um conjunto de serviços compartilhados mínimos, incluindo gateways de Rota Expressa, gateways de VPN (conforme necessário) e Firewall do Azure ou NVAs de parceiros (conforme necessário) na rede virtual do hub central. Se necessário, implante também controladores de domínio do Ative Directory e servidores DNS.

  • Implante o Firewall do Azure ou NVAs de parceiros para proteção e filtragem de tráfego leste/oeste ou sul/norte, na rede virtual do hub central.

  • Ao implantar tecnologias de rede de parceiros ou NVAs, siga as orientações do fornecedor do parceiro para garantir que:

    • O fornecedor oferece suporte à implantação.

    • As orientações suportam alta disponibilidade e desempenho máximo.

    • Não há configurações conflitantes com a rede do Azure.

  • Não implante NVAs de entrada da Camada 7, como o Gateway de Aplicativo do Azure, como um serviço compartilhado na rede virtual do hub central. Em vez disso, implante-os junto com o aplicativo em suas respetivas zonas de pouso.

  • Implante um único plano de proteção padrão de DDoS do Azure na assinatura de conectividade.

    • Todas as zonas de aterragem e plataformas de redes virtuais devem utilizar este plano.

  • Use sua rede existente, comutação de rótulos multiprotocolo e SD-WAN para conectar filiais com sedes corporativas. Se você não usa o Servidor de Rotas do Azure, não há suporte para trânsito no Azure entre gateways de Rota Expressa e VPN.

  • Se você precisar de transitividade entre a Rota Expressa e gateways VPN em um cenário hub-and-spoke, use o Servidor de Rotas do Azure conforme descrito neste cenário de referência.

    Diagram that illustrates transitivity between ER and VPN gateways with Azure Route Server.

  • Quando você tiver redes hub-and-spoke em várias regiões do Azure e algumas zonas de aterrissagem precisarem se conectar entre regiões, use o emparelhamento de rede virtual global para conectar diretamente redes virtuais de zona de aterrissagem que precisam rotear o tráfego entre si. Dependendo da SKU da VM que se comunica, o emparelhamento de rede virtual global pode fornecer alta taxa de transferência de rede. O tráfego entre redes virtuais de zona de aterrissagem diretamente emparelhadas ignora NVAs dentro de redes virtuais de hub. As limitações no emparelhamento de rede virtual global aplicam-se ao tráfego.

  • Quando você tiver redes hub-and-spoke em várias regiões do Azure e a maioria das zonas de aterrissagem precisar se conectar entre regiões (ou quando o uso de emparelhamento direto para ignorar NVAs de hub não for compatível com seus requisitos de segurança), use NVAs de hub para conectar redes virtuais de hub em cada região entre si e rotear o tráfego entre regiões. O emparelhamento de rede virtual global ou circuitos de Rota Expressa podem ajudar a conectar redes virtuais de hub das seguintes maneiras:

    • O emparelhamento de rede virtual global fornece uma conexão de baixa latência e alta taxa de transferência, mas gera taxas de tráfego.

    • O roteamento via Rota Expressa pode levar a um aumento da latência (devido ao hairpin do MSEE), e a SKU do gateway de Rota Expressa selecionada limita a taxa de transferência.

A figura a seguir mostra ambas as opções:

Diagram that illustrates options for hub-to-hub connectivity.

Figura 4: Opções para conectividade hub-to-hub.

  • Quando duas regiões do Azure precisarem se conectar, use o emparelhamento de rede virtual global para conectar ambas as redes virtuais de hub.

  • Quando mais de duas regiões do Azure precisarem se conectar, recomendamos que as redes virtuais de hub em cada região se conectem aos mesmos circuitos de Rota Expressa. O emparelhamento de rede virtual global exigiria o gerenciamento de um grande número de relações de emparelhamento e um conjunto complexo de rotas definidas pelo usuário (UDRs) em várias redes virtuais. O diagrama a seguir mostra como conectar redes hub-and-spoke em três regiões:

Diagram that illustrates ExpressRoute providing hub-to-hub connectivity between multiple regions.

Figura 5: ExpressRoute fornecendo conectividade hub-to-hub entre várias regiões.

  • Quando você usa circuitos de Rota Expressa para conectividade entre regiões, raios em regiões diferentes se comunicam diretamente e ignoram o firewall porque aprendem por meio de rotas BGP para os raios do hub remoto. Se você precisar dos NVAs de firewall nas redes virtuais do hub para inspecionar o tráfego entre raios, deverá implementar uma destas opções:

    • Crie entradas de rota mais específicas nos UDRs spoke para o firewall na rede virtual do hub local para redirecionar o tráfego entre hubs.

    • Para simplificar a configuração de rotas, desative a propagação BGP nas tabelas de rotas spoke.

  • Quando sua organização requer arquiteturas de rede hub-and-spoke em mais de duas regiões do Azure e conectividade de trânsito global entre zonas de aterrissagem, redes virtuais em regiões do Azure, e você deseja minimizar a sobrecarga de gerenciamento de rede, recomendamos uma arquitetura de rede de trânsito global gerenciada baseada na WAN Virtual.

  • Implante os recursos de rede do hub de cada região em grupos de recursos separados e classifique-os em cada região implantada.

  • Use o Gerenciador de Rede Virtual do Azure para gerenciar a conectividade e a configuração de segurança de redes virtuais globalmente entre assinaturas.

  • Use o Azure Monitor for Networks para monitorar o estado de ponta a ponta de suas redes no Azure.

  • Você deve considerar os dois limites a seguir ao conectar redes virtuais spoke à rede virtual do hub central:

    • O número máximo de conexões de emparelhamento de rede virtual por rede virtual.
    • O número máximo de prefixos que a Rota Expressa com emparelhamento privado anuncia do Azure para o local.

    Certifique-se de que o número de redes virtuais spoke conectadas à rede virtual do hub não exceda esses limites.