Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Gerenciador de Rede Virtual do Azure simplifica o gerenciamento de conectividade, segurança, roteamento e muito mais em seu ambiente de rede do Azure. As configurações de conectividade, incluindo topologias de malha e hub-and-spoke, ajudam a otimizar o desempenho e a conectividade de rede na escala da sua organização. Este artigo aborda recursos como grupos conectados de alta escala e conectividade de malha global, juntamente com casos de uso e configurações para cada topologia.
Configuração de conectividade
Com as configurações de conectividade, você pode criar e manter topologias de rede diferentes com base em suas necessidades de rede. Você tem duas topologias para escolher: malha e hub-and-spoke. As configurações da configuração de conectividade definem a conectividade entre suas redes virtuais. Você define as redes virtuais para as quais deseja estabelecer conectividade por meio de grupos de rede. Sua configuração de conectividade usa os grupos de rede para estabelecer a conectividade conforme descrito pela topologia desejada entre as redes virtuais nos grupos de rede.
Se você habilitar a exclusão de emparelhamentos existentes para sua configuração de conectividade, o Gerenciador de Rede Virtual do Azure removerá quaisquer emparelhamentos que não correspondam ao conteúdo dessa configuração de conectividade, mesmo que você tenha criado manualmente esses emparelhamentos após implantar essa configuração. Se você remover uma rede virtual de um grupo de rede usado na configuração, sua instância do Gerenciador de Rede Virtual do Azure removerá apenas a conectividade que ela criou.
Quando você implanta uma configuração de conectividade, o Gerenciador de Rede Virtual do Azure estabelece conectividade bidirecional por meio de emparelhamentos de rede virtual (para topologias hub-and-spoke) ou por meio de grupos conectados (para topologias de malha) entre redes virtuais. Essa conectividade é estabelecida de acordo com as configurações que você define e os grupos de rede incluídos na configuração de conectividade.
Topologia de malha
Uma topologia de malha define a conectividade entre cada rede virtual no grupo de rede. Todas as redes virtuais membros estão conectadas e podem passar o tráfego bidirecionalmente umas para as outras.
Um caso de uso comum de uma topologia de malha é permitir que redes virtuais spoke em uma topologia hub-and-spoke se comuniquem diretamente entre si sem rotear o tráfego pela rede virtual do hub. Essa abordagem reduz a latência que, de outra forma, poderia resultar do roteamento do tráfego por meio de um roteador no hub. Além disso, você pode manter a segurança e a supervisão sobre as conexões diretas entre redes virtuais spoke implementando regras de administrador de segurança no Gerenciador de Rede Virtual do Azure ou nas regras do grupo de segurança de rede. O tráfego também pode ser monitorado e registrado usando logs de fluxo de rede virtual.
Por padrão, a topologia de malha definida em sua configuração de conectividade é uma malha regional, o que significa que apenas redes virtuais na mesma região podem se comunicar entre si. Você pode habilitar uma opção de malha global em sua configuração de conectividade para estabelecer conectividade entre redes virtuais em todas as regiões do Azure.
Observação
Os espaços de endereço de rede virtual podem se sobrepor em uma configuração de malha, ao contrário dos emparelhamentos de rede virtual, mas o tráfego entre as sub-redes com espaços de endereço sobrepostos é descartado, pois o roteamento não é determinístico.
Nos bastidores: grupo conectado
Ao criar uma topologia de malha ou habilitar a conectividade direta em uma topologia hub-and-spoke, você cria um novo constructo de conectividade exclusivo para o Gerenciador de Rede Virtual do Azure. Esse constructo é chamado de grupo conectado. Redes virtuais em um grupo conectado podem se comunicar entre si, assim como redes virtuais conectadas manualmente. Ao observar as rotas efetivas para um adaptador de rede, você verá um tipo de próximo salto de ConnectedGroup. As redes virtuais conectadas em um grupo conectado não têm uma configuração de emparelhamento listada em Emparelhamentos para a rede virtual. Esse grupo conectado é o que permite que o Gerenciador de Rede Virtual do Azure dê suporte a uma escala maior de conectividade de rede virtual do que os emparelhamentos de rede virtual tradicionais.
Observação
Uma rede virtual pode fazer parte de até dois grupos conectados, o que significa que pode fazer parte de até duas topologias de malha.
Habilitar os pontos de extremidade privados de alta escala em grupos conectados do Gerenciador de Rede Virtual do Azure
O recurso de ponto de extremidade privado de alta escala do Gerenciador de Rede Virtual do Azure, dentro do recurso grupo conectado, permite que você estenda sua capacidade de rede. Use as etapas a seguir para habilitar esse recurso e dar suporte a até 20.000 endpoints privados no grupo conectado.
Preparar cada rede virtual no grupo de conexões
Examine Aumentar os limites de rede virtual do Ponto de Extremidade Privado para obter diretrizes detalhadas sobre como elevar esses limites. Habilitar ou desabilitar esse recurso inicia uma redefinição de conexão única. Execute essas alterações durante uma janela de manutenção.
Em cada rede virtual dentro de seu grupo conectado, configure as Políticas de Rede de Ponto de Extremidade Privado para
EnabledouRouteTableEnabled. Essa configuração garante que suas redes virtuais estejam prontas para dar suporte à funcionalidade de pontos de extremidade privados de alta escala. Para obter diretrizes detalhadas, consulte Aumentar os limites de rede virtual do Ponto de Extremidade Privado.
Configurar a topologia malha para endpoints privados em grande escala
Nesta etapa, você definirá as configurações de topologia de malha da configuração de conectividade para seu grupo conectado para habilitar os pontos de extremidade privados de alta escala. Esta etapa envolve selecionar as opções apropriadas no portal do Azure e verificar a configuração.
Na configuração de conectividade de malha, localize e selecione a caixa de seleção para Habilitar a alta escala de pontos de extremidade privados. Essa opção ativa o recurso de alta escala para seu grupo conectado.
Verifique se todas as redes virtuais em toda a malha (grupo conectado) estão configuradas com pontos de extremidade privados de alta escala. O portal do Azure valida as configurações em todo o grupo. Se você adicionar uma rede virtual sem a configuração de alta escala mais tarde, ela não poderá se comunicar com pontos de extremidade privados em outras redes virtuais.
Depois de verificar se todas as redes virtuais estão configuradas corretamente, implante a configuração de conectividade. Esta etapa finaliza a configuração do grupo conectado de alta escala.
Habilitar conectividade de alta escala em grupos conectados do Gerenciador de Rede Virtual do Azure
O recurso de conectividade de alta escala do Gerenciador de Rede Virtual do Azure no recurso de grupo conectado permite que você estenda sua capacidade de rede. Para usar esse recurso, registre o recurso de visualização "AllowHighScaleConnectedGroup" (você pode encontrá-lo com o Nome de Exibição de "Habilitar Grupo Conectado de Alta Escala"). Esse recurso permite que um grupo conectado nas regiões com suporte contenha até 5.000 redes virtuais.
Topologia hub-spoke
Uma topologia hub-and-spoke define a conectividade entre uma rede virtual de hub selecionada e as redes virtuais spoke que são membros de um ou mais grupos de rede spoke selecionados. A rede virtual do hub é emparelhada bidirecionalmente com os membros da rede virtual de cada grupo de rede spoke na configuração. Essa topologia é útil para isolar uma rede virtual, mas ainda manter a conectividade com recursos comuns na rede virtual do hub.
Nessa configuração, você pode habilitar configurações como conectividade direta entre redes virtuais spoke que pertencem ao mesmo grupo de rede spoke. Por padrão, essa conectividade só é estabelecida para redes virtuais na mesma região. Para permitir a conectividade em diferentes regiões do Azure, você precisa habilitar a configuração de malha global para o grupo de rede spoke. Você também pode habilitar o trânsito de gateway para permitir que as redes virtuais spoke usem o gateway de VPN ou do ExpressRoute implantado na rede virtual do hub.
Habilitar conectividade direta
Quando você habilita a conectividade direta para um grupo de rede spoke, cria uma malha (e, portanto, um grupo conectado) entre as redes virtuais desse grupo de rede spoke, além da topologia hub-and-spoke. A conectividade direta permite que uma rede virtual fale diretamente com outras redes virtuais dentro de seu grupo de rede spoke, mas não habilita a conectividade com redes virtuais em outros grupos de rede spoke.
Por exemplo, você cria dois grupos de rede e os inclui como grupos de rede spoke em sua configuração de conectividade hub-and-spoke. Você habilita a conectividade direta para o grupo de rede de Produção, mas não para o grupo de rede de Teste. Essa configuração conecta a rede virtual do hub com todas as redes virtuais nos grupos de rede produção e teste , mas só permite que redes virtuais no grupo de rede de produção se comuniquem entre si. As redes virtuais do grupo de rede de produção não têm conectividade com as redes virtuais do grupo de rede de teste e as redes virtuais do grupo de rede de teste não têm conectividade entre si (a menos que você também habilite a conectividade direta para o grupo de rede Teste ).
Quando você olha para rotas efetivas em uma máquina virtual, a rota entre o hub e as redes virtuais spoke, tem o tipo de próximo salto de VNetPeering ou GlobalVNetPeering. As rotas entre as redes virtuais spoke aparecem com o tipo de próximo salto de ConnectedGroup. Com o exemplo de Produção e Teste , somente o grupo de rede de produção tem um ConnectedGroup porque tem conectividade direta habilitada.
A conectividade direta entre as redes virtuais spoke pode ser útil quando você quer ter uma NVA (solução de virtualização de rede) ou um serviço comum na rede virtual do hub, mas o hub não precisa ser sempre acessado para que as redes virtuais spoke confiáveis se comuniquem entre si. Em comparação às redes hub-and-spoke tradicionais, essa topologia melhora o desempenho removendo o salto adicional por meio da rede virtual do hub.
Malha global
Assim como acontece com a topologia de malha, um grupo de rede spoke com conectividade direta habilitada é configurado como regional por padrão. Você pode habilitar a malha global quando quiser que as redes virtuais do grupo de rede spoke se comuniquem entre si entre regiões. Essa conectividade é limitada a redes virtuais no mesmo grupo de rede. Para habilitar essa conectividade de malha global para redes virtuais entre regiões, você precisa habilitar a conectividade de malha entre regiões para o grupo de rede. As conexões criadas entre as redes virtuais spoke estão em um grupo conectado.
Usar hub como gateway
Outra opção que você pode habilitar em uma configuração de hub e spoke é usar o hub como gateway. Essa configuração permite que todas as redes virtuais no grupo de rede spoke usem o gateway VPN ou ExpressRoute na rede virtual do hub para passar o tráfego. Confira Gateways e conectividade local.
Quando você implanta uma topologia hub-and-spoke do portal do Azure, a opção Usar hub como gateway é habilitada por padrão para as redes virtuais spoke no grupo de rede. O Gerenciador de Rede Virtual do Azure tenta criar uma conexão de emparelhamento de rede virtual entre a rede virtual do hub e as redes virtuais nos grupos de rede spoke. Se você habilitar essa opção sem a existência de um gateway na rede virtual do hub, a criação do emparelhamento da rede virtual spoke para o hub falhará. A conexão de emparelhamento do hub com o spoke ainda será criada sem uma conexão estabelecida.
Descobrir a topologia do grupo de rede com a Visualização de Topologia
Para ajudá-lo a entender a topologia do seu grupo de rede, o Gerenciador de Rede Virtual do Azure fornece um Modo de Exibição de Topologia que exibe a conectividade entre grupos de rede e suas redes virtuais membros. Você pode exibir a topologia da configuração de conectividade durante a criação da configuração de conectividade com as seguintes etapas:
Vá para a página Configurações e crie uma configuração de conectividade.
Na guia Topologia, selecione o tipo de topologia desejado, adicione um ou mais grupos de rede à topologia e defina outras configurações de conectividade desejadas.
Selecione a guia Exibir topologia para examinar visualmente a conectividade atual da configuração.
Conclua a criação da configuração de conectividade.
Você pode examinar a topologia atual de uma configuração de conectividade selecionando Exibir topologia em Configurações na página de detalhes da configuração. A exibição mostra a conectividade entre as redes virtuais que fazem parte dessa configuração de conectividade.
Como evitar endereços sobrepostos em uma malha
Por padrão, o Gerenciador de Rede Virtual do Azure permite a sobreposição de endereços em uma rede de malha. Se você adicionar duas redes virtuais com o mesmo espaço de endereço a uma rede de malha, o espaço de endereço sobreposto será removido da malha, portanto, a comunicação com recursos nesse espaço de endereço não funcionará. Essa remoção ocorre porque quando o tráfego é enviado para esse espaço de endereço, o Gerenciador de Rede Virtual do Azure não pode determinar qual rede virtual deve receber o tráfego. Embora esse comportamento proteja a integridade da malha, ele poderá causar interrupções se você adicionar uma nova rede virtual sobreposta a uma malha existente.
O Gerenciador de Rede Virtual do Azure fornece um mecanismo para impedir a sobreposição de espaços de endereço IP em uma malha.
Usar a propriedade ConnectedGroupAddressOverlap
A configuração de conectividade inclui uma propriedade – ConnectedGroupAddressOverlap:
- Padrão: Permitido
- Configuração opcional: não permitida
Quando você define essa propriedade como Disallowed, o Gerenciador de Rede Virtual do Azure impõe espaços de endereço estritos não sobrepostos em redes virtuais conectadas.
O que acontece quando você habilita o Disallowed?
Quando você define a propriedade como Disallowed, o Gerenciador de Rede Virtual do Azure valida as alterações de endereço que podem afetar a conectividade em uma malha.
Adicionando uma rede virtual a uma malha
O Gerenciador de Rede Virtual do Azure verifica automaticamente se o espaço de endereço da nova rede virtual não se sobrepõe aos membros existentes. Se detectar uma sobreposição, ele não adicionará a rede virtual à malha.
Atualizando o espaço de endereço ou adicionando emparelhamento
O Gerenciador de Rede Virtual do Azure valida qualquer atualização que possa afetar o espaço de endereço geral de uma malha para garantir que ela não introduza uma sobreposição. Exemplos de alterações incluem atualizar o espaço de endereçamento de uma rede virtual de malha, criar um emparelhamento com uma rede virtual que seja membro de uma malha ou alterar o espaço de endereçamento em uma rede virtual emparelhada.
Como impor o emparelhamento usando o Gerenciador de Rede Virtual do Azure
O Gerenciador de Rede Virtual do Azure permite que você imponha relações de emparelhamento em sua topologia de rede para uma governança e conformidade mais fortes. O controle garante que você não possa excluir ou modificar emparelhamentos fora do Gerenciador de Rede Virtual do Azure. Aplica-se a emparelhamentos novos e existentes dentro da topologia de rede hub-and-spoke.
Criar uma configuração de conectividade hub-and-spoke com aplicação de emparelhamento
Para reforçar o emparelhamento, você deve habilitar a opção de reforço de emparelhamento ao criar uma configuração de conectividade hub-and-spoke.
| Método | Instruções |
|---|---|
| Portal do Azure | Selecione a caixa de seleção Impor emparelhamento durante a configuração. |
| CLI do Azure/Outros clientes | Defina a propriedade peeringEnforcement em connectivityCapabilities para Enforced. |
Implantar a configuração de conectividade
Depois de criar e implantar essa configuração:
- Todos os emparelhamentos criados pelo Gerenciador de Rede Virtual do Azure ou emparelhamentos de clientes pré-existentes dentro da topologia são impostos.
- Se um emparelhamento pertencer a mais de uma topologia, qualquer configuração marcada como imposta impõe esse emparelhamento.
Como remover a aplicação de restrições no emparelhamento
Para remover a imposição:
- Atualize a configuração de conectividade para
Unenforced. - Reimplantar a configuração.
Próximas etapas
- Saiba como criar uma configuração de conectividade de malha.
- Saiba como criar uma configuração de conectividade hub-and-spoke.
- Crie uma topologia de hub e spoke segura neste tutorial.
- Saiba como implantar uma topologia hub-and-spoke com o Firewall do Azure.
- Entenda as implantações de configuração para gerenciar efetivamente as configurações de rede.
- Bloqueie o tráfego de rede indesejado usando configurações de administrador de segurança.
- Implante o Gerenciador de Rede Virtual do Azure usando o Terraform para configurar rapidamente seu ambiente.