Como funciona o Azure ExpressRoute

Concluído

Já sabe qual é a finalidade do serviço Azure ExpressRoute e os serviços para os quais o pode utilizar. Agora está pronto para começar a saber como o serviço funciona. Vamos examinar como ele interage com o Azure e as redes locais para ajudar a criar uma conexão segura e confiável entre seu datacenter local e a nuvem da Microsoft.

Nesta unidade, você aprenderá a criar e usar circuitos do Azure para conectar suas redes locais à nuvem. Você vê as etapas que você precisa tomar para criar um circuito. Você também aprende sobre os outros componentes de uma conexão de Rota Expressa, que trabalham juntos para formar uma conexão do seu datacenter local com a nuvem da Microsoft.

Arquitetura do ExpressRoute

O ExpressRoute é suportado em todas as regiões e localizações. Para implementar o ExpressRoute, tem de trabalhar com um parceiro do ExpressRoute. O parceiro fornece o serviço de periferia: uma ligação autorizada e autenticada que é estabelecida através de um router controlado pelo parceiro. O serviço de periferia é responsável por expandir a sua rede para a Microsoft Cloud.

O parceiro estabelece ligações com um ponto final numa localização do ExpressRoute (implementadas por um router de periferia da Microsoft), Essas conexões permitem que você emparelhe suas redes locais com as redes virtuais disponíveis através do ponto de extremidade. Estas ligações chamam-se circuitos.

Nota

No contexto da Rota Expressa, o Microsoft Edge descreve os roteadores de borda no lado da Microsoft do circuito da Rota Expressa.

Os circuitos permitem estabelecer uma ligação física para transmitir dados através dos routers de periferia do fornecedor do ExpressRoute para os routers de periferia da Microsoft. Os circuitos são estabelecidos através de um cabo privado em vez da Internet pública. A sua rede no local está ligada aos routers de periferia do fornecedor do ExpressRoute. Os routers de periferia da Microsoft proporcionam o ponto de entrada na Microsoft Cloud.

Pré-requisitos do ExpressRoute

Antes de se poder ligar aos serviços da Microsoft Cloud com o ExpressRoute, precisa de ter:

• Um parceiro de conectividade do ExpressRoute ou um fornecedor de troca de cloud que consiga estabelecer uma ligação entre as suas redes no local e a Microsoft Cloud.
• Uma subscrição do Azure registada com o parceiro de conectividade do ExpressRoute que tiver selecionado.
• Uma conta ativa do Microsoft Azure que possa ser utilizada para pedir um circuito do ExpressRoute.
• Uma subscrição ativa do Office 365 (se pretender ligar-se à nuvem da Microsoft e aceder aos serviços do Office 365).

O ExpressRoute funciona ao estabelecer uma ligação de peering entre as suas redes no local e as redes em execução na Microsoft Cloud. Os recursos nas suas redes podem comunicar diretamente com os recursos alojados pela Microsoft. Para dar suporte a esses pares, a Rota Expressa tem vários requisitos de rede e roteamento:

• Certifique-se de que as sessões de BGP para domínios de encaminhamento foram configuradas. Dependendo do seu parceiro, essa configuração pode ser de sua responsabilidade. Além disso, para cada circuito do ExpressRoute, a Microsoft exige a existência de sessões de BGP redundantes entre routers da Microsoft e os seus routers de peering.
• Você ou o seu fornecedor tem de traduzir os endereços IP privados utilizados no local para endereços IP públicos através de um serviço NAT. A Microsoft rejeita qualquer coisa, exceto endereços IP públicos através do emparelhamento da Microsoft.
• Reserve vários blocos de endereços IP na sua rede para encaminhar o tráfego para a Microsoft Cloud. Pode configurar estes blocos como uma sub-rede /29 ou duas sub-redes /30 no seu espaço de endereços IP. Uma dessas sub-redes é usada para configurar o link primário para a nuvem da Microsoft e a outra implementa um link secundário. O primeiro endereço nessas sub-redes representa o fim do par BGP e o segundo endereço é o IP do par BGP da Microsoft.

O ExpressRoute suporta dois esquemas de peering:

• Utilize o peering privado para estabelecer ligação com os serviços de IaaS e PaaS do Azure implementados em redes virtuais do Azure. Todos os recursos aos quais acede têm de estar localizados numa ou mais redes virtuais do Azure com endereços IP privados. Não pode aceder aos recursos através do respetivo endereço IP público com peering privado.
• Utilize o peering da Microsoft para estabelecer ligação com os serviços de PaaS do Azure, os serviços do Office 365 e o Dynamics 365.

Nota

Também pode utilizar o portal do Azure para configurar o peering público. Esta forma de peering permite-lhe estabelecer ligação com os endereços públicos expostos por serviços do Azure. No entanto, este peering foi preterido e não está disponível para novos circuitos. Este módulo não descreve o peering público.

Criar um circuito e peering do ExpressRoute

O estabelecimento de uma ligação com o Azure através do ExpressRoute é um processo que inclui vários passos. Pode executar muitos destes passos através do portal do Azure ou a partir da linha de comandos com recurso ao PowerShell ou à CLI do Azure. Esta secção descreve o processo com recurso ao portal do Azure. Para obter instruções sobre o PowerShell e a CLI, veja a secção "Saiba mais" no final deste módulo.

Criar um circuito

Quando estiver a utilizar o portal do Azure, selecione + Criar um recurso e procure Rota Expressa. A página Criar circuito do ExpressRoute exige o preenchimento dos seguintes campos:

Separador Informações Básicas

Property	valor
Subscrição	A subscrição que registou com o seu fornecedor do ExpressRoute.
Grupo de recursos	O grupo de recursos do Azure no qual se criará o circuito.
Região	A localização do Azure na qual se criará o circuito.
Name	Um nome significativo para o seu circuito, sem espaços em branco nem carateres especiais.

Separador Configuração

Property	valor
Tipo de porta	Selecione Fornecedor se estiver a ligar através de um fornecedor de serviços ou selecione Direto se estiver a ligar diretamente à Microsoft.
Criar novo ou importar do clássico	Crie um novo circuito ou selecione Importar para mover um circuito existente do modelo clássico para o Gerenciador de Recursos.
Fornecedor	O fornecedor do ExpressRoute com o qual registou a sua subscrição.
Localização de peering	Uma localização ativada pelo fornecedor do ExpressRoute, na qual irá criar o seu circuito.
Largura de banda	Selecione a sua largura de banda (de 50 Mbps a 10 Gbps). Comece com um valor baixo. Pode aumentá-lo mais tarde sem interromper o serviço. No entanto, não pode reduzir a largura de banda se, inicialmente, a definir como um valor muito alto.
SKU	Selecione Local (se disponível) se você só precisar se conectar ao recurso do Azure em 1 ou 2 regiões do Azure no mesmo metrô. Selecione Padrão se você tiver até 10 redes virtuais e só precisar se conectar a recursos na mesma região geográfica. Caso contrário, selecione Premium , que permite conectar mais de 10 redes virtuais e conectividade global aos recursos do Azure.
Modelo de faturação	Selecione Ilimitado para pagar uma taxa fixa, independentemente da utilização ou Limitado para pagar de acordo com o volume de tráfego que entra e sai do circuito.
Permitir operações clássicas	Selecione Sim permite que redes virtuais clássicas se conectem ao circuito. Caso contrário, selecione Não.

A criação de um circuito pode demorar vários minutos. Após o aprovisionamento do circuito, pode utilizar o portal do Azure para ver as propriedades. Você pode ver que o status do circuito está ativado, o que significa que o lado Microsoft do circuito está pronto para aceitar conexões. O status do provedor é definido como Não provisionado inicialmente porque o provedor não configurou seu lado do circuito para se conectar à sua rede.

Você envia ao provedor o valor no campo Chave de serviço para permitir que ele configure a conexão. Esta configuração pode demorar vários dias. Pode voltar a aceder a esta página para ver o estado do fornecedor.

Criar a configuração de peering

Depois de o estado do fornecedor mudar para Aprovisionado, poderá configurar o encaminhamento para os peerings. Estes passos aplicam-se apenas aos circuitos criados com fornecedores de serviços que fornecem conectividade de Camada 2. No caso dos circuitos que operam na Camada 3, o fornecedor poderá conseguir configurar o encaminhamento por si.

A página do circuito de Rota Expressa mostrada anteriormente lista cada emparelhamento e suas propriedades. Pode selecionar um peering para configurar estas propriedades.

Configurar o peering privado

Você pode usar o emparelhamento privado para conectar sua rede às suas redes virtuais em execução no Azure. Para configurar o peering privado, tem de fornecer as seguintes informações:

• Peer ASN: O número do sistema autónomo para o seu lado do emparelhamento. Este ASN pode ser público ou privado e de 16 ou 32 bits.
• Sub-redes: selecione se deseja usar IPv4, IPv6 ou ambos para as sub-redes de emparelhamento.
• Sub-rede primária: o intervalo de endereços da sub-rede primária /30 que você criou na rede. Você usa o primeiro endereço IP nesta sub-rede para o seu roteador. e a Microsoft utilizará o segundo para o respetivo router.
• Sub-rede secundária: o intervalo de endereços da sub-rede secundária /30. Esta sub-rede fornece uma ligação secundária para a Microsoft. Utilizam-se os dois primeiros endereços para armazenar o endereço IP do seu router e do router da Microsoft.
• Habilitar emparelhamento IPv4: Esta opção permite habilitar e desabilitar a sessão BGP de emparelhamento privado.
• ID da VLAN: a ID da VLAN na qual estabelecer o emparelhamento. Os links primário e secundário usam essa ID de VLAN.
• Chave compartilhada: essa chave é um hash MD5 opcional que é usado para codificar mensagens que passam pelo circuito.

Configurar o peering da Microsoft

Tem de utilizar um peering da Microsoft para estabelecer ligação com o Office 365 e os serviços associados ao mesmo. Para configurar o emparelhamento da Microsoft, você fornece muitas das informações descritas para um emparelhamento privado: um ASN de mesmo nível, um intervalo de endereços de sub-rede primária, um intervalo de endereços de sub-rede secundária, uma versão IP de sub-rede, uma ID de VLAN e uma chave compartilhada opcional. Também tem de fornecer as seguintes informações:

• Prefixos públicos anunciados: uma lista dos prefixos de endereço que você usa na sessão BGP. Estes prefixos têm de estar registados em seu nome e têm de ser prefixos para intervalos de endereços públicos.
• ASN do cliente: um número de sistema autônomo opcional do lado do cliente para usar se você estiver anunciando prefixos que não estão registrados no ASN par.
• Nome do Registro de roteamento: esse nome identifica o registro no qual o ASN do cliente e os prefixos públicos estão registrados.

Ligar uma rede virtual a um circuito ExpressRoute

Depois que o circuito de Rota Expressa for estabelecido, o emparelhamento privado do Azure será configurado para seu circuito. A sessão BGP entre sua rede e a Microsoft está ativa, portanto, você pode habilitar a conectividade de sua rede local para o Azure.

Antes de poder ligar a um circuito privado, tem de criar um gateway de rede virtual do Azure com recurso a uma sub-rede situada numa das suas redes virtuais do Azure. O gateway de rede virtual fornece o ponto de entrada para o tráfego de rede que entra na sua rede no local. Este gateway direciona o tráfego de entrada através da rede virtual para os seus recursos do Azure.

Pode configurar grupos de segurança de rede e regras de firewall para controlar o tráfego que é encaminhado a partir da sua rede no local. Também pode bloquear pedidos de endereços não autorizados na sua rede no local.

Nota

Tem de criar o gateway de rede virtual através do tipo ExpressRoute e não VPN.

Até 10 redes virtuais podem ser vinculadas a um circuito de Rota Expressa, mas essas redes virtuais devem estar na mesma região geopolítica que o circuito de Rota Expressa ao usar uma SKU Padrão. Caso seja necessário, pode ligar uma única rede virtual a quatro circuitos do ExpressRoute. O circuito do ExpressRoute pode estar na mesma subscrição ou numa diferente da rede virtual.

Se estiver a utilizar o portal do Azure, ligue um peering a um gateway de rede virtual da seguinte forma:

1. Na página Circuito do ExpressRoute do seu circuito, selecione Ligações.
2. Na página Ligações, selecione Adicionar.
3. Na página Adicionar ligação, atribua um nome à sua ligação e, em seguida, selecione o seu gateway de rede virtual. Quando a operação for concluída, sua rede local será conectada por meio do gateway de rede virtual à sua rede virtual no Azure. A conexão é feita através da conexão ExpressRoute.

Elevada disponibilidade e ativação pós-falha com o ExpressRoute

Em cada circuito do ExpressRoute, há duas ligações do fornecedor de conectividade a dois routers de periferia da Microsoft diferentes. Esta configuração ocorre automaticamente. Fornece um grau de disponibilidade numa única localização.

Considere configurar circuitos do ExpressRoute em diferentes localizações de peering para fornecer elevada disponibilidade e ajudar a proteger contra uma falha regional. Por exemplo, poderá criar circuitos nas regiões E.U.A. Leste e E.U.A. Central e ligar estes circuitos à sua rede virtual. Dessa forma, se um circuito de Rota Expressa cair, você não perderá a conectividade com seu recurso e poderá fazer failover da conexão com outro circuito de Rota Expressa.

Também pode ter múltiplos circuitos em fornecedores diferentes para garantir que a sua rede está disponível, mesmo que uma falha esteja a afetar todos os circuitos de um único fornecedor aprovado. Pode definir a propriedade Peso da Ligação para preferir um circuito em detrimento de outro.

ExpressRoute Direct e FastPath

A Microsoft também fornece uma opção de velocidade ultraelevada chamada ExpressRoute Direct. Este serviço proporciona conectividade dupla de 100 Gbps. É adequado para cenários que envolvem ingestão de dados frequente e em grande escala, bem como para soluções que exigem escalabilidade extrema, tais como soluções bancárias, governamentais e de retalho.

Você pode registrar sua assinatura na Microsoft para ativar o ExpressRoute Direct. Para obter mais informações, veja o artigo sobre o ExpressRoute que se encontra na secção "Saiba mais" no final deste módulo.

O ExpressRoute Direct suporta o FastPath. Quando o FastPath está ativado, envia o tráfego de rede diretamente para uma máquina virtual que é o destino pretendido. O tráfego ignora o gateway de rede virtual ao melhorar o desempenho entre redes virtuais do Azure e redes no local.

O FastPath oferece suporte ao emparelhamento de rede virtual (onde você tem redes virtuais conectadas). Ele também suporta rotas definidas pelo usuário na sub-rede do gateway.

Verifique o seu conhecimento

1.

O que é o peering da Microsoft?

Permite estabelecer uma ligação direta entre a sua rede no local e um datacenter do Azure.

Permite-lhe ligar a sua rede no local aos serviços do Office 365 e ao Dynamics 365.

Permite estabelecer uma ligação entre a sua rede no local e um fornecedor do ExpressRoute.

Permite estabelecer uma ligação ponto a site entre os seus computadores no local e os serviços do Office 365.

2.

O que é um circuito do ExpressRoute?

Os circuitos do ExpressRoute estabelecem uma ligação site a site com um datacenter do Azure através de uma ligação VPN.

Os circuitos do ExpressRoute são ligações diretas com cabo entre o seu datacenter no local e um datacenter do Azure.

Um serviço de cópia de segurança que proporciona conectividade com a Microsoft Cloud se a ligação VPN falhar.

Os circuitos permitem estabelecer uma ligação física para transmitir dados através dos routers de periferia do fornecedor do ExpressRoute para os routers de periferia da Microsoft.

3.

Quais são as vantagens que o Azure ExpressRoute proporciona em termos de segurança?

As ligações do ExpressRoute são automaticamente encriptadas, para ajudar a proteger o tráfego que passa para a Microsoft Cloud através da Internet.

A velocidade à qual os dados percorrem uma ligação do ExpressRoute impossibilita a interceção por parte de monitores de rede e packet sniffers.

O ExpressRoute utiliza uma rede privada e dedicada para estabelecer ligação com a Microsoft Cloud. O tráfego não percorre a Internet pública, o que dificulta a interceção.

O ExpressRoute utiliza um protocolo de transmissão proprietário que varia constantemente, o que dificulta a interceção do tráfego.

Tem de responder a todas as questões antes de verificar o seu trabalho.