Rede de cloud híbrida

  • 10 minutos

Assim como uma rede no local multilocal tradicional pode precisar de ligar múltiplas sucursais a uma sede, também a rede de cloud híbrida envolve a utilização de tecnologias apropriadas para interligar diretamente os utilizadores, as aplicações e os dados no local a aplicações e dados alojados na cloud.

No nosso cenário, a Tailwind Traders tem de ser capaz de ligar as suas localizações no local de forma segura aos recursos que estão em execução no Azure. Para a equipe do Tailwind Traders, não deve haver diferença real entre acessar uma carga de trabalho que está sendo executada em um datacenter local da Tailwind Traders e uma que está sendo executada no Azure.

Nesta unidade, você aprenderá sobre tecnologias de rede que permitem que recursos locais e de nuvem sejam conectados em rede em uma única nuvem híbrida.

O que é uma VPN do Azure?

Um gateway de VPN do Azure permite que ligue a sua rede no local ao Azure através de um túnel VPN seguro na Internet pública. As ligações VPN do Azure são como ligações VPN tradicionais que podem existir entre uma sucursal e a localização de uma sede. Cada rede virtual só pode ter um único gateway de VPN, mas cada gateway de VPN suporta múltiplas ligações.

A imagem a seguir mostra uma ligação entre um dispositivo de gateway de perímetro da rede no local e um gateway de VPN numa rede virtual do Azure. Descreve a ligação entre um dispositivo do Azure Stack e um gateway de VPN.

Diagrama de uma rede híbrida que abrange infraestruturas no local e do Azure.

No exemplo da Tailwind Traders, a empresa pode utilizar gateways de VPN do Azure para permitir ligações de sucursais mais pequenas que não precisam do tipo de ligação dedicada que uma ligação do Azure ExpressRoute fornece. A principal desvantagem dos gateways de VPN do Azure é que eles dependem da conexão com a Internet do seu ISP (provedor de serviços de Internet). Se o seu ISP sofrer uma interrupção, as ligações VPN não podem ser estabelecidas. Da mesma forma, se o seu ISP sofrer um congestionamento substancial, a velocidade da ligação VPN entre uma localização no local e o Azure pode ser degradada.

As organizações com ligações de VPN existentes entre locais de sucursais já enfrentam desafios que as ligações VPN dedicadas representam.

O que é o Azure ExpressRoute?

O Microsoft Azure ExpressRoute permite que uma organização tenha uma ligação privada e dedicada de alta velocidade entre a sua rede no local e o Azure. Esta ligação não passa pela Internet pública. Funcionalmente, é uma linha de fibra ótica dedicada que liga diretamente uma localização no local ao datacenter do Azure mais próximo.

Ao contrário de um gateway VPN, o provedor de ExpressRoute gere o equipamento que fornece essa conexão. Como o fornecedor do ExpressRoute gere todo o equipamento, consegue fornecer um contrato de nível de serviço (SLA) em termos de fiabilidade e largura de banda que não está disponível para os utilizadores de ligações de gateway de VPN do Azure.

A seguinte imagem mostra a ligação do ExpressRoute entre o ambiente no local e as cargas de trabalho em execução no Azure. O fornecedor do ExpressRoute gere o circuito do ExpressRoute e os routers periféricos locais.

Diagrama de uma arquitetura de rede híbrida com recurso ao Azure ExpressRoute.

Além de fornecer uma ligação de largura de banda dedicada entre o ambiente no local e o Azure, o ExpressRoute permite que as organizações garantam que o tráfego confidencial não passe pela Internet pública. Este tipo de ligação é importante em jurisdições onde os requisitos de governação proíbem a transmissão de certos tipos de informação através da Internet.

No exemplo de caso prático, a Tailwind Traders pode implementar uma ligação ExpressRoute a partir de escritórios maiores, tais como os de Melbourne, Sydney e Auckland, onde estão presentes mais pessoas. A empresa também pode precisar de utilizar o ExpressRoute se certos tipos de dados que ela processa não puderem ser transferidos pela Internet devido aos requisitos de conformidade.

O que é o DNS híbrido?

Ao implementar uma nuvem híbrida, é necessário garantir que as cargas de trabalho locais possam resolver os endereços das cargas de trabalho na nuvem e que as cargas de trabalho na nuvem possam resolver os endereços das cargas de trabalho locais. As implementações de DNS (Sistema de Nomes de Domínio) numa cloud híbrida geralmente exigem servidores DNS no local e no Azure. Além disso, as transferências de zona DNS têm de estar configuradas entre o local e a cloud. Uma alternativa consiste em configurar reencaminhadores DNS se a zona DNS no local estiver separada da zona DNS associada a cargas de trabalho em execução no Azure.

A imagem a seguir mostra os servidores DNS no local a replicar informações de DNS para servidores DNS em execução no Azure. Nesse cenário, uma máquina virtual (VM) é implantada como um servidor DNS no Azure. Na imagem, o DNS no local liga-se à subscrição do hub com servidores DNS em VMs. Outras subscrições do Azure ligam-se à subscrição do hub.

Diagrama que mostra uma arquitetura de DNS híbrida.

Como alternativa, o Azure DNS Private Resolver é um serviço que permite consultar zonas privadas do DNS do Azure a partir de um ambiente local e vice-versa sem implantar servidores DNS baseados em VM. O serviço de resolução privada é totalmente gerenciado e tem recursos integrados de alta disponibilidade.

Os Tailwind Traders podem usar o Azure DNS Private Resolver para garantir que todas as suas cargas de trabalho em execução no Azure possam resolver os nomes DNS dos hosts na rede interna do Tailwind Traders. Também garantiria que todos os anfitriões da rede interna da Tailwind Traders conseguissem resolver os nomes DNS das cargas de trabalho em execução na cloud.

O que é a WAN Virtual do Azure?

A WAN Virtual do Azure permite que uma organização utilize a rede do Azure numa arquitetura hub-and-spoke. A rede do Azure funciona como um hub para conectividade transitiva entre pontos finais que funcionam como spokes.

Tradicionalmente, pode ter uma topologia de rede em que cada sucursal tem uma ligação VPN ao local da sede. Se o tráfego passar de uma sucursal para outra, passa pelo local do hub para chegar lá. Se os locais dos escritórios da sede e das sucursais estiverem todos ligados ao Azure (quer através de uma VPN ou do ExpressRoute), estas ligações podem formar os spokes. A WAN Virtual do Azure pode funcionar como o hub de encaminhamento do tráfego entre as localizações no local.

A imagem a seguir mostra uma topologia de WAN Virtual do Azure.

Diagrama que mostra a topologia WAN Virtual do Azure com vários sites conectados entre si em uma topologia de hub e spoke por meio do Azure.

A WAN Virtual do Azure permite que a Tailwind Traders se afaste da utilização de ligações VPN para ligar sucursais e localizações de datacenters em Sydney, Melbourne e Auckland. Fornece uma topologia na qual cada sucursal e datacenter está ligada ao Azure através de uma VPN ou do ExpressRoute. O serviço da WAN Virtual do Azure gere o encaminhamento do tráfego entre localizações.