Partilhar via

Configurações de conectividade no Azure Virtual Network Manager

O Azure Virtual Network Manager simplifica o gerenciamento da conectividade de rede virtual e da segurança em seu ambiente do Azure. As configurações de conectividade, incluindo topologias mesh e hub-and-spoke, ajudam a otimizar o desempenho e a segurança da rede. Este artigo aborda recursos como grupos conectados de alta escala e conectividade de malha global, juntamente com casos de uso e etapas de configuração para cada topologia.

Configuração de conectividade

Com as configurações de conectividade , você pode criar diferentes topologias de rede com base em suas necessidades de rede. Você tem duas topologias para escolher: uma rede mesh e uma rede hub and spoke. A conectividade entre redes virtuais é definida dentro das definições de configuração.

Topologia de rede Mesh

Uma rede mesh é uma topologia na qual todas as redes virtuais no grupo de rede estão conectadas entre si. Todas as redes virtuais estão conectadas e podem passar o tráfego bidirecionalmente entre si.

Um caso de uso comum de uma topologia de rede mesh é permitir que algumas redes virtuais spoke em uma topologia hub e spoke se comuniquem diretamente entre si sem que o tráfego passe pela rede virtual do hub. Essa abordagem reduz a latência que, de outra forma, poderia resultar do roteamento de tráfego através de um roteador no hub. Além disso, você pode manter a segurança e a supervisão sobre as conexões diretas entre redes spoke implementando regras de Grupos de Segurança de Rede ou regras administrativas de segurança no Gerenciador de Rede Virtual do Azure. O tráfego também pode ser monitorado e registrado usando logs de fluxo de rede virtual.

Por padrão, a malha é uma malha regional, portanto, apenas redes virtuais na mesma região podem se comunicar entre si. A malha global pode ser habilitada para estabelecer a conectividade de redes virtuais em todas as regiões do Azure. Uma rede virtual pode fazer parte de até dois grupos conectados. Os espaços de endereço de rede virtual podem se sobrepor em uma configuração de malha, ao contrário dos emparelhamentos de rede virtual. No entanto, o tráfego para as sub-redes sobrepostas específicas é descartado, uma vez que o roteamento não é determinístico.

Captura de tela de um diagrama de topologia de rede mesh mostrando redes virtuais conectadas em uma malha bidirecional.

Grupo conectado

Quando você cria uma topologia de malha ou conectividade direta na topologia hub e spoke, uma nova construção de conectividade é criada chamada Grupo conectado. As redes virtuais em um grupo conectado podem se comunicar entre si da mesma forma que as redes virtuais conectadas manualmente. Ao examinar as rotas efetivas para uma interface de rede, você verá um próximo tipo de salto de ConnectedGroup. As redes virtuais conectadas em um grupo conectado não têm uma configuração de emparelhamento listada em Emparelhamento para a rede virtual.

Nota

Se você tiver sub-redes conflitantes em duas ou mais redes virtuais, os recursos nessas sub-redes não poderão se comunicar entre si, mesmo que façam parte da mesma rede mesh. Uma rede virtual pode fazer parte de até duas configurações de malha.

Habilitar grupos conectados de endpoints privados de elevado escalamento no Gestor de Rede Virtual Azure

Importante

O recurso de grupo de endpoints privados de alta escala conectados do Gerenciador de Rede Virtual do Azure está em pré-visualização. Está disponível nas seguintes regiões durante a pré-visualização:

  • Leste EUA 2 EUAP
  • Centro dos EUA - EUAP
  • Centro-Oeste dos EUA
  • Ásia Leste
  • Sul do Reino Unido
  • Leste dos Estados Unidos

Esta versão de pré-visualização é fornecida sem um contrato de nível de serviço e não a recomendamos para cargas de trabalho de produção. Algumas funcionalidades poderão não ser suportadas ou poderão ter capacidades limitadas. Para obter mais informações, veja Termos Suplementares de Utilização para Pré-visualizações do Microsoft Azure.

O recurso de grupo conectado de alta escala do Azure Virtual Network Manager permite que você estenda sua capacidade de rede. Utilize as etapas seguintes para ativar esta funcionalidade e dar suporte a até 20.000 pontos de extremidade privados no grupo conectado:

Preparar cada rede virtual no grupo conectado

  1. Consulte Aumentar os limites da rede virtual do Ponto Final Privado para obter orientações detalhadas sobre como aumentar os limites da rede virtual do Ponto Final Privado. Ativar ou desativar esse recurso inicia uma redefinição de conexão única. Recomenda-se realizar essas alterações durante uma janela de manutenção.

  2. Registre o sinalizador de recurso Microsoft.Network/EnableMaxPrivateEndpointsVia64kPath para cada assinatura que contenha uma instância do Gerenciador de Rede Virtual do Azure ou uma rede virtual no seu grupo devidamente conectado.

    Importante

    Esse registro é essencial para desbloquear a capacidade estendida de ponto final privado. Para obter mais informações, consulte Como habilitar a documentação de recursos de visualização do Azure.

  3. Em cada rede virtual dentro do seu grupo conectado, configure as Políticas de Rede de Ponto Final Privado para um Enabled ou RouteTableEnabled. Essa configuração garante que suas redes virtuais estejam prontas para suportar a funcionalidade de pontos de extremidade privados de alta escala. Para obter orientações detalhadas, consulte Aumentar os limites da rede virtual do Ponto Final Privado.

Configurar a conectividade em malha para pontos de extremidade privados de larga escala

Nesta etapa, define as configurações de conectividade da rede de malha para o seu grupo conectado, para habilitar pontos finais privados de grande escala. Esta etapa envolve a seleção das opções apropriadas no portal do Azure e a verificação da configuração.

  1. Na configuração de conectividade de malha, localize e marque a caixa de seleção Habilitar pontos de extremidade privados de alta escala. Esta opção ativa o recurso de alta escala para seu grupo conectado.

  2. Verifique se cada rede virtual no seu conjunto de redes conectadas está configurada com pontos de extremidade privados de elevada escala. O portal do Azure valida as configurações em todo o grupo. Se uma rede virtual sem a configuração de alta escala for adicionada posteriormente, ela não poderá se comunicar com pontos de extremidade privados em outras redes virtuais.

  3. Depois de verificar se todas as redes virtuais estão configuradas corretamente, implante as configurações. Isso finaliza a configuração do seu grupo conectado de alta escala.

Topologia hub-and-spoke

Um hub-and-spoke é uma topologia de rede na qual você tem uma rede virtual selecionada como a rede virtual do hub. Esta rede virtual é emparelhada bidirecionalmente com cada rede virtual falada na configuração. Essa topologia é útil para quando você deseja isolar uma rede virtual, mas ainda deseja que ela tenha conectividade com recursos comuns na rede virtual do hub.

Captura de tela de um diagrama de topologia de hub e spoke mostrando uma rede virtual de hub conectada a várias redes spoke .

Nessa configuração, você tem configurações que pode ativar, como conectividade direta entre redes virtuais faladas. Por padrão, essa conectividade é apenas para redes virtuais na mesma região. Para permitir a conectividade entre diferentes regiões do Azure, você precisa habilitar a malha global. Você também pode habilitar o trânsito do Gateway para permitir que redes virtuais spoke usem o gateway VPN ou ExpressRoute implantado no hub.

Se estiver marcada, quaisquer emparelhamentos que não correspondam ao conteúdo dessa configuração poderão ser removidos, mesmo que esses emparelhamentos tenham sido criados manualmente após a implantação dessa configuração. Se você remover uma rede virtual de um grupo de rede usado na configuração, o gerenciador virtual removerá apenas os emparelhamentos criados.

Habilite a conectividade direta

Habilitar a conectividade direta cria uma sobreposição de um grupo conectado sobre sua topologia de hub e spoke, que contém redes virtuais faladas de um determinado grupo. A conectividade direta permite que uma rede virtual spoke se conecte diretamente a outras VNets em seu grupo de spoke, mas não a VNets em outros spokes.

Por exemplo, você cria dois grupos de rede. Você habilita a conectividade direta para o grupo de rede de produção, mas não para o grupo de rede de teste. Essa configuração permite apenas que as redes virtuais no grupo Rede de produção se comuniquem entre si, mas não as do grupo Rede de teste .

Captura de tela de uma topologia de hub e spoke com dois grupos de rede.

Quando se observam rotas efetivas numa máquina virtual, a rota entre o hub e as redes virtuais filiais verá o próximo salto do tipo VNetPeering ou GlobalVNetPeering. As rotas entre redes virtuais de raios aparecerão com o próximo tipo de salto do ConnectedGroup. Com o exemplo Produção/Teste , somente o grupo de rede de produção teria um ConnectedGroup porque tem conectividade direta habilitada.

Descubra a topologia de grupo de rede com a Visualização de Topologia

Para ajudá-lo a entender a topologia do seu grupo de rede, o Gerenciador de Rede Virtual do Azure fornece um Modo de Exibição de Topologia que mostra a conectividade entre grupos de rede e suas redes virtuais membros. Você pode exibir a topologia do seu grupo de rede durante a criação da configuração de conectividade com as seguintes etapas:

  1. Navegue até a página Configurações e crie uma configuração de conectividade.

  2. Na guia Topologia, selecione o tipo de topologia desejado, adicione um ou mais grupos de rede à topologia e defina outras configurações de conectividade desejadas.

  3. Selecione a guia Visualizar Topologia para testar a Visualização de Topologia e revisar a conectividade atual da sua configuração.

  4. Conclua a criação da sua configuração de conectividade.

Você pode revisar a topologia atual de um grupo de rede selecionando Visualização em Configurações na página de detalhes do grupo de rede. O modo de exibição mostra a conectividade entre as redes virtuais membros no grupo de rede.

Captura de tela da janela de visualização mostrando a topologia do grupo de rede.

Casos de utilização

Habilitar a conectividade direta entre redes virtuais de raios pode ser útil quando você deseja ter um dispositivo virtual de rede (NVA) ou um serviço comum na rede virtual do hub, mas o hub não precisa ser sempre acessado. Mas, em vez disso, você precisa de suas redes virtuais faladas no grupo de rede para se comunicar uns com os outros. Em comparação com as redes hub e spoke tradicionais, essa topologia melhora o desempenho removendo o salto extra através da rede virtual do hub.

Malha global

Como a malha, esses grupos conectados podem ser configurados como regionais ou globais. A malha global é necessária quando você deseja que suas redes virtuais faladas se comuniquem entre si entre regiões. Essa conectividade é limitada à rede virtual no mesmo grupo de rede. Para habilitar a conectividade para redes virtuais entre regiões, você precisa Habilitar a conectividade de malha entre regiões para o grupo de rede. As conexões criadas entre redes virtuais de raios estão em um grupo Conectado.

Usar hub como gateway

Outra opção que você pode habilitar em uma configuração hub-and-spoke é usar o hub como um gateway. Essa configuração permite que todas as redes virtuais do grupo de rede usem o gateway VPN ou ExpressRoute na rede virtual do hub para passar tráfego. Veja Gateways e conetividade no local.

Quando você implanta uma topologia de hub e spoke a partir do portal do Azure, o hub Usar como gateway é habilitado por padrão para as redes virtuais spoke no grupo de rede. O Azure Virtual Network Manager tenta criar uma conexão de emparelhamento de rede virtual entre o hub e a rede virtual de raios no grupo de recursos. Se o gateway não existir na rede virtual do hub, a criação do emparelhamento da rede virtual spoke para o hub falhará. A conexão de emparelhamento do hub para o spoke ainda será criada sem uma conexão estabelecida.

Próximos passos