Descrever a rede virtual do Azure

  • 5 minutos

As redes virtuais e sub-redes virtuais do Azure permitem que os recursos do Azure, como VMs, aplicativos Web e bancos de dados, se comuniquem entre si, com usuários na Internet e com seus computadores cliente locais. Você pode pensar em uma rede do Azure como uma extensão de sua rede local com recursos que vinculam outros recursos do Azure.

As redes virtuais do Azure proporcionam as seguintes capacidades de rede fundamentais:

  • Isolamento e segmentação
  • Comunicações através da Internet
  • Comunicar entre os recursos do Azure
  • Comunicação com os recursos no local
  • Encaminhar o tráfego de rede
  • Filtre o tráfego de rede
  • Ligar redes virtuais

A rede virtual do Azure dá suporte a pontos de extremidade públicos e privados para habilitar a comunicação entre recursos externos ou internos com outros recursos internos.

  • Os terminais públicos têm um endereço IP público e podem ser acedidos a partir de qualquer lugar do mundo.
  • Os pontos de extremidade privados existem dentro de uma rede virtual e têm um endereço IP privado de dentro do espaço de endereço dessa rede virtual.

Isolamento e segmentação

A rede virtual do Azure permite criar várias redes virtuais isoladas. Quando configura uma rede virtual, define um espaço de endereços IP privado com intervalos de endereços IP públicos ou privados. O intervalo de IP só existe dentro da rede virtual e não é roteável pela Internet. Depois, pode dividir esse espaço de endereços IP em sub-redes e alocar parte do espaço definido a cada sub-rede nomeada.

Para resolução de nomes, pode utilizar o serviço de resolução de nomes incorporado no Azure. Também pode configurar a rede virtual para utilizar um servidor DNS interno ou externo.

Comunicações através da Internet

Você pode habilitar conexões de entrada da Internet atribuindo um endereço IP público a um recurso do Azure ou colocando o recurso atrás de um balanceador de carga público.

Comunicar entre os recursos do Azure

Deve permitir que os recursos do Azure comuniquem entre si de forma segura. Pode fazê-lo de duas maneiras:

  • As redes virtuais podem ligar não só VMs, mas também outros recursos do Azure, como o Ambiente do Serviço de Aplicações para o Power Apps, o Azure Kubernetes Service e conjuntos de dimensionamento de máquinas virtuais do Azure.
  • Os pontos de extremidade de serviço podem se conectar a outros tipos de recursos do Azure, como bancos de dados SQL do Azure e contas de armazenamento. Com esta abordagem, pode ligar vários recursos do Azure a redes virtuais, para melhorar a segurança e proporcionar um encaminhamento ideal entre os recursos.

Comunicação com os recursos no local

As redes virtuais do Azure permitem-lhe ligar recursos entre si no ambiente no local e na subscrição do Azure. De facto, pode criar uma rede para abranger os ambientes locais e na cloud. Pode obter esta conectividade de três formas:

  • As conexões de rede virtual privada ponto a site são de um computador fora da organização de volta para a rede corporativa. Nesse caso, o computador cliente inicia uma conexão VPN criptografada para se conectar à rede virtual do Azure.
  • As redes virtuais privadas site a site vinculam seu dispositivo VPN local ou gateway ao gateway VPN do Azure em uma rede virtual. Na verdade, os dispositivos do Azure podem ser apresentados como localizados na rede local. A ligação é encriptada e funciona através da Internet.
  • O Azure ExpressRoute fornece uma conectividade privada dedicada ao Azure que não viaja pela Internet. O ExpressRoute é útil para ambientes onde você precisa de maior largura de banda e níveis ainda mais altos de segurança.

Encaminhar o tráfego de rede

Por predefinição, o Azure encaminha tráfego entre sub-redes em qualquer rede virtual ligada, redes no local e na Internet. Pode também controlar o encaminhamento e substituir essas definições da seguinte forma:

  • As tabelas de rotas permitem definir regras sobre como o tráfego deve ser direcionado. Pode criar tabelas de rotas personalizadas que controlam o modo como os pacotes são encaminhados entre sub-redes.
  • O BGP (Border Gateway Protocol) funciona com gateways de VPN do Azure, Azure Route Server ou Azure ExpressRoute para propagar rotas BGP locais para redes virtuais do Azure.

Filtre o tráfego de rede

Com as redes virtuais do Azure, pode filtrar o tráfego entre sub-redes através das abordagens abaixo:

  • Os grupos de segurança de rede são recursos do Azure que podem conter várias regras de segurança de entrada e saída. Pode definir essas regras para permitirem ou negarem o tráfego com base em fatores como o endereço IP de origem e de destino, a porta e o protocolo.
  • As ferramentas virtuais de rede são VMs especializadas que podem ser comparadas a um dispositivo de rede protegido. A aplicação virtual de rede leva a cabo uma função de rede específica, como executar uma firewall ou realizar a otimização de rede alargada (WAN).

Ligar redes virtuais

Pode utilizar o peering de rede virtual para ligar as redes virtuais entre si. O emparelhamento permite que duas redes virtuais se conectem diretamente uma à outra. O tráfego de rede entre redes emparelhadas é privado e viaja na rede de backbone da Microsoft, nunca entrando na Internet pública. Com o peering, os recursos em cada rede virtual podem comunicar entre si. Estas redes virtuais podem estar em regiões separadas, o que lhe permite criar uma rede global interligada através do Azure.

As rotas definidas pelo usuário (UDR) permitem controlar as tabelas de roteamento entre sub-redes dentro de uma rede virtual ou entre redes virtuais. Isso permite um maior controle sobre o fluxo de tráfego da rede.