Configurar o túnel forçado utilizando o modelo de implementação clássico
O túnel forçado permite redirecionar ou “forçar” todo o tráfego associado à Internet novamente para a localização no local através de um túnel de VPN site a site para inspeção e auditoria. Este é um requisito de segurança crítico para a maioria das políticas de TI corporativas. Sem o túnel forçado, o tráfego vinculado à Internet de suas VMs no Azure sempre passará da infraestrutura de rede do Azure diretamente para a Internet, sem a opção de permitir que você inspecione ou audite o tráfego. O acesso não autorizado à Internet pode potencialmente levar à divulgação de informações ou a outros tipos de violações de segurança.
As etapas neste artigo se aplicam ao modelo de implantação clássico (legado) e não se aplicam ao modelo de implantação atual, o Gerenciador de Recursos. A menos que você queira trabalhar no modelo de implantação clássico especificamente, recomendamos que você use a versão deste artigo do Resource Manager.
Nota
Este artigo foi escrito para o modelo de implantação clássico (legado). Recomendamos que você use o modelo de implantação mais recente do Azure. O modelo de implantação do Resource Manager é o modelo de implantação mais recente e oferece mais opções e compatibilidade de recursos do que o modelo de implantação clássico. Para entender a diferença entre esses dois modelos de implantação, consulte Noções básicas sobre modelos de implantação e o estado de seus recursos.
Se pretender utilizar uma versão diferente deste artigo, utilize o índice no painel esquerdo.
Requisitos e considerações
O túnel forçado no Azure é configurado por meio de rotas definidas pelo usuário (UDR) da rede virtual. O redirecionamento do tráfego para um site local é expresso como uma Rota Padrão para o gateway de VPN do Azure. A seção a seguir lista a limitação atual da tabela de roteamento e rotas para uma Rede Virtual do Azure:
Cada sub-rede de rede virtual tem uma tabela de roteamento do sistema integrada. A tabela de roteamento do sistema tem os seguintes três grupos de rotas:
- Rotas de VNet locais: diretamente para as VMs de destino na mesma rede virtual.
- Rotas locais: para o gateway de VPN do Azure.
- Rota padrão: Diretamente para a Internet. Os pacotes destinados aos endereços IP privados não cobertos pelas duas rotas anteriores serão descartados.
Com o lançamento de rotas definidas pelo usuário, você pode criar uma tabela de roteamento para adicionar uma rota padrão e, em seguida, associar a tabela de roteamento à(s) sua(s) sub-rede(s) VNet para habilitar o túnel forçado nessas sub-redes.
Você precisa definir um "site padrão" entre os sites locais entre locais conectados à rede virtual.
O túnel forçado deve ser associado a uma VNet que tenha um gateway VPN de roteamento dinâmico (não um gateway estático).
O túnel forçado da Rota Expressa não é configurado por meio desse mecanismo, mas, em vez disso, é habilitado anunciando uma rota padrão por meio das sessões de emparelhamento BGP da Rota Expressa. Para obter mais informações, consulte O que é a Rota Expressa ?
Descrição geral da configuração
No exemplo a seguir, a sub-rede Frontend não é encapsulada forçada. As cargas de trabalho na sub-rede Frontend podem continuar a aceitar e responder às solicitações dos clientes diretamente da Internet. As sub-redes Mid-tier e Backend são encapsuladas forçadas. Quaisquer conexões de saída dessas duas sub-redes para a Internet são forçadas ou redirecionadas de volta para um site local por meio de um dos túneis VPN S2S.
Isso permite que você restrinja e inspecione o acesso à Internet de suas máquinas virtuais ou serviços de nuvem no Azure, enquanto continua a habilitar sua arquitetura de serviço de várias camadas necessária. Você também pode aplicar o túnel forçado a todas as redes virtuais se não houver cargas de trabalho voltadas para a Internet em suas redes virtuais.
Pré-requisitos
Antes de iniciar a configuração, verifique se tem os seguintes itens:
- Uma subscrição do Azure. Se ainda não tiver uma subscrição do Azure, pode ativar os Benefícios de subscritor do MSDN ou inscrever-se numa conta gratuita.
- Uma rede virtual configurada.
- Ao trabalhar com o modelo de implantação clássico, você não pode usar o Azure Cloud Shell. Em vez disso, você deve instalar a versão mais recente dos cmdlets do PowerShell do Azure Service Management (SM) localmente em seu computador. Esses cmdlets são diferentes dos cmdlets AzureRM ou Az. Para instalar os cmdlets SM, consulte Instalar cmdlets do Service Management. Para obter mais informações sobre o Azure PowerShell em geral, consulte a documentação do Azure PowerShell.
Configurar túnel forçado
O procedimento a seguir ajuda a especificar o túnel forçado para uma rede virtual. As etapas de configuração correspondem ao arquivo de configuração de rede VNet. Neste exemplo, a rede virtual 'MultiTier-VNet' tem três sub-redes: sub-redes Frontend, Midtier e Backend, com quatro conexões entre locais: 'DefaultSiteHQ' e três Branches.
<VirtualNetworkSite name="MultiTier-VNet" Location="North Europe">
<AddressSpace>
<AddressPrefix>10.1.0.0/16</AddressPrefix>
</AddressSpace>
<Subnets>
<Subnet name="Frontend">
<AddressPrefix>10.1.0.0/24</AddressPrefix>
</Subnet>
<Subnet name="Midtier">
<AddressPrefix>10.1.1.0/24</AddressPrefix>
</Subnet>
<Subnet name="Backend">
<AddressPrefix>10.1.2.0/23</AddressPrefix>
</Subnet>
<Subnet name="GatewaySubnet">
<AddressPrefix>10.1.200.0/28</AddressPrefix>
</Subnet>
</Subnets>
<Gateway>
<ConnectionsToLocalNetwork>
<LocalNetworkSiteRef name="DefaultSiteHQ">
<Connection type="IPsec" />
</LocalNetworkSiteRef>
<LocalNetworkSiteRef name="Branch1">
<Connection type="IPsec" />
</LocalNetworkSiteRef>
<LocalNetworkSiteRef name="Branch2">
<Connection type="IPsec" />
</LocalNetworkSiteRef>
<LocalNetworkSiteRef name="Branch3">
<Connection type="IPsec" />
</LocalNetworkSiteRef>
</Gateway>
</VirtualNetworkSite>
</VirtualNetworkSite>
As etapas a seguir definem o 'DefaultSiteHQ' como a conexão de site padrão para tunelamento forçado e configuram as sub-redes Midtier e Backend para usar o túnel forçado.
Abra o console do PowerShell com direitos elevados. Conecte-se à sua conta usando o seguinte exemplo:
Add-AzureAccountCrie uma tabela de roteamento. Use o cmdlet a seguir para criar sua tabela de rotas.
New-AzureRouteTable –Name "MyRouteTable" –Label "Routing Table for Forced Tunneling" –Location "North Europe"Adicione uma rota padrão à tabela de roteamento.
O exemplo a seguir adiciona uma rota padrão à tabela de roteamento criada na Etapa 1. A única rota suportada é o prefixo de destino de "0.0.0.0/0" para o NextHop "VPNGateway".
Get-AzureRouteTable -Name "MyRouteTable" | Set-AzureRoute –RouteTable "MyRouteTable" –RouteName "DefaultRoute" –AddressPrefix "0.0.0.0/0" –NextHopType VPNGatewayAssocie a tabela de roteamento às sub-redes.
Depois que uma tabela de roteamento for criada e uma rota adicionada, use o exemplo a seguir para adicionar ou associar a tabela de rotas a uma sub-rede VNet. O exemplo adiciona a tabela de rotas "MyRouteTable" às sub-redes Midtier e Backend da VNet MultiTier-VNet.
Set-AzureSubnetRouteTable -VirtualNetworkName "MultiTier-VNet" -SubnetName "Midtier" -RouteTableName "MyRouteTable" Set-AzureSubnetRouteTable -VirtualNetworkName "MultiTier-VNet" -SubnetName "Backend" -RouteTableName "MyRouteTable"Atribua um site padrão para tunelamento forçado.
Na etapa anterior, os scripts de cmdlet de exemplo criaram a tabela de roteamento e associaram a tabela de rotas a duas das sub-redes VNet. A etapa restante é selecionar um site local entre as conexões multissite da rede virtual como o site ou túnel padrão.
$DefaultSite = @("DefaultSiteHQ") Set-AzureVNetGatewayDefaultSite –VNetName "MultiTier-VNet" –DefaultSite "DefaultSiteHQ"
Cmdlets adicionais do PowerShell
Para excluir uma tabela de rotas
Remove-AzureRouteTable -Name <routeTableName>
Para listar uma tabela de rotas
Get-AzureRouteTable [-Name <routeTableName> [-DetailLevel <detailLevel>]]
Para excluir uma rota de uma tabela de rotas
Remove-AzureRouteTable –Name <routeTableName>
Para remover uma rota de uma sub-rede
Remove-AzureSubnetRouteTable –VirtualNetworkName <virtualNetworkName> -SubnetName <subnetName>
Para listar a tabela de rotas associada a uma sub-rede
Get-AzureSubnetRouteTable -VirtualNetworkName <virtualNetworkName> -SubnetName <subnetName>
Para remover um site padrão de um gateway VPN VNet
Remove-AzureVnetGatewayDefaultSite -VNetName <virtualNetworkName>