Implementar serviços dedicados da Azure em redes virtuais

Quando implementa serviços Azure dedicados numa rede virtual, pode comunicar com os recursos de serviço de forma privada, através de endereços IP privados.

Serviços implantados numa rede virtual

A implantação de serviços dentro de uma rede virtual fornece as seguintes capacidades:

  • Os recursos dentro da rede virtual podem comunicar-se entre si em privado, através de endereços IP privados. Exemplo, transferir diretamente dados entre o HDInsight e o SQL Server a funcionar numa máquina virtual, na rede virtual.
  • Os recursos no local podem aceder a recursos numa rede virtual utilizando endereços IP privados através de uma VPN site-to-site (Gateway de VPN) ou ExpressRoute.
  • As redes virtuais podem ser espreitadas para permitir que os recursos nas redes virtuais se comuniquem entre si, utilizando endereços IP privados.
  • As instâncias de serviço numa rede virtual são normalmente totalmente geridas pelo serviço Azure. Isto inclui monitorizar a saúde dos recursos e escalar com carga.
  • As instâncias de serviço são implantadas numa sub-rede numa rede virtual. O acesso à rede de entrada e saída da sub-rede deve ser aberto através de grupos de segurança de rede, por orientação fornecida pelo serviço.
  • Certos serviços impõem também restrições à sub-rede em que são implantados, limitando a aplicação de políticas, rotas ou combinando VMs e recursos de serviço dentro da mesma sub-rede. Consulte cada serviço sobre as restrições específicas, uma vez que podem mudar ao longo do tempo. Exemplos destes serviços são Azure NetApp Files, dedicados HSM, Azure Container Instances, Serviço de Aplicações.
  • Opcionalmente, os serviços podem exigir uma sub-rede delegada como um identificador explícito de que uma sub-rede pode acolher um determinado serviço. Ao delegar, os serviços obtêm permissões explícitas para criar recursos específicos do serviço na sub-rede delegada.
  • Veja um exemplo de uma resposta da API REST numa rede virtual com uma sub-rede delegada. Uma lista completa de serviços que utilizam o modelo de sub-redes delegado pode ser obtida através da API das Delegações Disponíveis .

Serviços que podem ser implementados numa rede virtual

Categoria Serviço 1 Subneta dedicada
Computação Máquinas virtuais: Linux ou Windows
Conjuntos de escala de máquina virtual
Serviço cloud: Rede virtual (clássica) apenas
Azure Batch
No
No
No
2
Rede Gateway de Aplicação - WAF
Gateway de VPN
Gateway do ExpressRoute
Azure Firewall
Azure Bastion
Aparelhos virtuais de rede
Yes
Yes
Yes
Yes
Yes
No
Dados RedisCache
Instância Gerida do SQL no Azure
Yes
Yes
Análise Azure HDInsight
Azure Databricks
2
2
Identidade Azure Active Directory Domain Services No
Contentores Azure Kubernetes Service (AKS)
Instância do contentor Azure (ACI)
Motor de serviço de contentores Azure com Azure Rede Virtual plug-in CNI
Funções do Azure
2
Yes
No
Yes
Web Gestão de API
Aplicações Web
Ambiente do Serviço de Aplicações
Azure Logic Apps
Yes
Yes
Yes
Yes
Alojado Azure Dedicated HSM
Azure NetApp Files
Yes
Yes
Azure Spring Apps Implantar na rede virtual Azure (injeção VNet)
Yes
Infraestrutura de ambiente de trabalho virtual Azure Lab Services
Yes

1 'Dedicado' implica que apenas os recursos específicos do serviço podem ser implantados nesta sub-rede e não podem ser combinados com VM/VMSS do cliente
2 É recomendada como uma boa prática ter estes serviços numa sub-rede dedicada, mas não um requisito obrigatório imposto pelo serviço.