Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Azure Virtual Network Manager simplifica o gerenciamento de conectividade, segurança, roteamento e muito mais em seu ambiente de rede do Azure. As configurações de conectividade, incluindo topologias mesh e hub-and-spoke, ajudam a otimizar o desempenho e a conectividade da rede na escala da sua organização. Este artigo aborda recursos como grupos conectados de alta escala e conectividade de malha global, juntamente com casos de uso e configurações para cada topologia.
Configuração de conectividade
Com configurações de conectividade, você pode criar e manter diferentes topologias de rede com base em suas necessidades de rede. Você tem duas topologias para escolher: mesh e hub-and-spoke. As definições da sua configuração de conectividade definem a ligação entre as suas redes virtuais. Você define as redes virtuais para as quais deseja estabelecer conectividade por meio de grupos de rede. Em seguida, a configuração de conectividade usa os grupos de rede para estabelecer a conectividade conforme descrito pela topologia desejada entre as redes virtuais nos grupos de rede.
Se ativares a eliminação de peerings existentes para a tua configuração de conectividade, o Azure Virtual Network Manager remove quaisquer peerings que não correspondam ao conteúdo desta configuração de conectividade, mesmo que tenhas criado manualmente esses peerings após a implementar. Se você remover uma rede virtual de um grupo de rede usado na configuração, sua instância do Gerenciador de Rede Virtual do Azure removerá apenas a conectividade que ela criou.
Quando você implanta uma configuração de conectividade, o Gerenciador de Rede Virtual do Azure estabelece conectividade bidirecional por meio de emparelhamentos de rede virtual (para topologias hub-and-spoke) ou por meio de grupos conectados (para topologias de malha) entre redes virtuais. Essa conectividade é estabelecida de acordo com as configurações definidas e os grupos de rede incluídos na configuração de conectividade.
Topologia em malha
Uma topologia de malha define a conectividade entre cada rede virtual no grupo de rede. Todas as redes virtuais membros estão conectadas e podem passar o tráfego bidirecionalmente entre si.
Um caso de uso comum de uma topologia de malha é permitir que redes virtuais spoke em uma topologia hub-and-spoke se comuniquem diretamente entre si sem rotear o tráfego através da rede virtual do hub. Essa abordagem reduz a latência que, de outra forma, poderia resultar do roteamento de tráfego através de um roteador no hub. Além disso, você pode manter a segurança e a supervisão sobre as conexões diretas entre redes virtuais spoke implementando regras de administração de segurança no Gerenciador de Rede Virtual do Azure ou regras de grupo de segurança de rede. O tráfego também pode ser monitorado e registrado usando logs de fluxo de rede virtual.
Por padrão, a topologia de malha definida na configuração de conectividade é uma malha regional, o que significa que apenas redes virtuais na mesma região podem se comunicar entre si. Você pode habilitar uma opção de malha global em sua configuração de conectividade para estabelecer conectividade entre redes virtuais em todas as regiões do Azure.
Nota
Os espaços de endereço de rede virtual podem se sobrepor em uma configuração de malha, ao contrário dos emparelhamentos de rede virtual, mas o tráfego entre as sub-redes com espaços de endereço sobrepostos é descartado, uma vez que o roteamento não é determinístico.
Por detrás dos bastidores: grupo interligado
Quando cria uma topologia mesh ou ativa a conectividade direta numa topologia hub-and-spoke, cria um novo construto de conectividade exclusivo do Azure Virtual Network Manager. Essa construção é chamada de grupo conectado. As redes virtuais em um grupo conectado podem se comunicar entre si da mesma forma que as redes virtuais conectadas manualmente. Quando observa as rotas efetivas para uma interface de rede, vê-se um tipo de próximo salto de ConnectedGroup. As redes virtuais conectadas em um grupo conectado não têm uma configuração de emparelhamento listada em Emparelhamento para a rede virtual. Esse grupo conectado é o que permite que o Gerenciador de Rede Virtual do Azure ofereça suporte a uma escala mais alta de conectividade de rede virtual do que os emparelhamentos de rede virtual tradicionais.
Nota
Uma rede virtual pode fazer parte de até dois grupos conectados, o que significa que pode fazer parte de até duas topologias de malha.
Habilitar pontos de extremidade privados de alta escala em grupos conectados do Azure Virtual Network Manager
O recurso de ponto de extremidade privado de alta escala do Gerenciador de Rede Virtual do Azure no recurso de grupo conectado permite que você estenda sua capacidade de rede. Use as etapas a seguir para habilitar esse recurso a oferecer suporte a até 20.000 pontos de extremidade privados em todo o grupo conectado.
Preparar cada rede virtual no grupo conectado
Consulte Increase Private Endpoint virtual network limits para obter orientações detalhadas sobre como aumentar esses limites. Ativar ou desativar esse recurso inicia uma redefinição de conexão única. Realize estas alterações durante uma janela de manutenção.
Em cada rede virtual dentro do seu grupo conectado, configure as Políticas de Rede de Ponto Final Privado para um
EnabledouRouteTableEnabled. Essa configuração garante que as suas redes virtuais estejam prontas para oferecer suporte à funcionalidade de pontos de extremidade privados de grande escala. Para obter orientações detalhadas, consulte Aumentar os limites da rede virtual do Ponto Final Privado.
Configurar topologia de malha para pontos finais privados de grande escala
Nesta etapa, o utilizador configura as definições de topologia de malha relativas à configuração de conectividade para o grupo de ligação, a fim de habilitar pontos finais privados de alta escala. Esta etapa envolve a seleção das opções apropriadas no portal do Azure e a verificação da configuração.
Na configuração de conectividade de malha, localize e marque a caixa de seleção Habilitar pontos de extremidade privados de alta escala. Esta opção ativa o recurso de alta escala para seu grupo conectado.
Verifique se cada rede virtual em toda a malha (grupo conectado) está configurada com pontos de extremidade privados de alta escala. O portal do Azure valida as configurações em todo o grupo. Se adicionares uma rede virtual sem a configuração de alta escala mais tarde, ela não pode comunicar com endpoints privados noutras redes virtuais.
Depois de verificar se todas as redes virtuais estão configuradas corretamente, implante a configuração de conectividade. Esta etapa finaliza a configuração do seu grupo conectado de alta escala.
Habilitar a conectividade de alta escala em grupos conectados do Azure Virtual Network Manager
O recurso de conectividade de alta escala do Gerenciador de Rede Virtual do Azure no recurso de grupo conectado permite que você estenda sua capacidade de rede. Para usar este recurso, registe a funcionalidade de pré-visualização "AllowHighScaleConnectedGroup" (pode encontrá-lo com o Nome de apresentação "Enable High Scale Connected Group"). Esse recurso permite que um grupo conectado nas regiões suportadas contenha até 5.000 redes virtuais.
Topologia de hub e raio
Uma topologia hub-and-spoke define a conectividade entre uma rede virtual de hub selecionada e redes virtuais spoke que são membros de um ou mais grupos de rede spoke selecionados. A rede virtual do hub é emparelhada bidirecionalmente com os membros da rede virtual de cada grupo de rede spoke na configuração. Essa topologia é útil para isolar uma rede virtual, mas ainda manter a conectividade com recursos comuns na rede virtual do hub.
Nesta configuração, pode ativar definições como conectividade direta entre redes virtuais spoke que pertencem ao mesmo grupo de redes spoke network. Por padrão, essa conectividade só é estabelecida para redes virtuais na mesma região. Para permitir a conectividade entre diferentes regiões do Azure, você precisa habilitar a configuração de malha global para o grupo de rede spoke. Você também pode habilitar o trânsito de gateway para permitir que as redes virtuais spoke usem o gateway VPN ou ExpressRoute implantado na rede virtual do hub.
Habilite a conectividade direta
Quando ativares a conectividade direta para um grupo de redes spoke, cries uma malha e, assim, um grupo ligado através das redes virtuais desse grupo de spoke, dentro da tua topologia de hub-and-spoke. A conectividade direta permite que uma rede virtual comunique diretamente com outras redes virtuais dentro do seu grupo de redes faladas, mas não permite a conectividade com redes virtuais noutros grupos de redes faladas.
Por exemplo, você cria dois grupos de rede e os inclui como grupos de rede spoke em sua configuração de conectividade hub-and-spoke. Você habilita a conectividade direta para o grupo de rede de produção, mas não para o grupo de rede de teste. Essa configuração conecta a rede virtual do hub com todas as redes virtuais nos grupos de rede de produção e teste , mas só permite que as redes virtuais no grupo de rede de produção se comuniquem entre si. As redes virtuais do grupo de rede de Produção não têm conectividade com as redes virtuais do grupo de rede de Teste , e as redes virtuais do grupo de rede de Teste não têm conectividade entre si (a menos que também ative conectividade direta para o grupo de rede de Teste ).
Quando se olha para rotas eficazes numa máquina virtual, a rota entre o hub e as redes virtuais interligadas ao hub tem o tipo de salto seguinte de VNetPeering ou GlobalVNetPeering. As rotas entre redes virtuais spoke aparecem com o tipo de próximo salto ConnectedGroup. No exemplo de Produção e Teste , apenas o grupo de rede de Produção tem um Grupo Conectado porque tem conectividade direta ativada.
A conectividade direta entre redes virtuais spoke pode ser útil quando você deseja ter um dispositivo virtual de rede (NVA) ou um serviço comum na rede virtual do hub, mas o hub não precisa ser sempre acessado para que as redes virtuais spoke confiáveis se comuniquem entre si. Em comparação com as redes hub-and-spoke tradicionais, essa topologia melhora o desempenho removendo o salto extra através da rede virtual do hub.
Malha global
Tal como acontece com a topologia de malha, um grupo de rede spoke com conectividade direta ativada é configurado como regional por padrão. Você pode habilitar a malha global quando quiser que as redes virtuais do seu grupo de rede spoke se comuniquem entre si entre regiões. Essa conectividade é limitada a redes virtuais no mesmo grupo de redes. Para habilitar essa conectividade de malha global para redes virtuais entre regiões, você precisa Habilitar a conectividade de malha entre regiões para o grupo de rede. As conexões criadas entre redes virtuais spoke estão em um grupo conectado.
Usar hub como gateway
Outra opção que você pode habilitar em uma configuração hub-and-spoke é usar o hub como um gateway. Essa configuração permite que todas as redes virtuais no grupo de rede spoke usem o gateway VPN ou ExpressRoute na rede virtual do hub para passar tráfego. Veja Gateways e conetividade no local.
Quando você implanta uma topologia hub-and-spoke a partir do portal do Azure, a opção Usar hub como gateway é habilitada por padrão para as redes virtuais spoke no grupo de rede. O Azure Virtual Network Manager tenta criar uma conexão de emparelhamento de rede virtual entre a rede virtual do hub e as redes virtuais nos grupos de rede falada. Se ativar esta opção mas não existir um gateway na rede virtual do hub, a criação do peering da rede virtual de spoke para o hub falha. A ligação de peering do hub para o spoke continua a ser feita sem uma ligação estabelecida.
Descubra a topologia de grupo de rede com a Visualização de Topologia
Para o ajudar a compreender a topologia do seu grupo de rede, o Azure Virtual Network Manager disponibiliza uma Vista de Topologia que mostra a conectividade entre os grupos de rede e as suas redes virtuais membros. Você pode visualizar a topologia da configuração de conectividade durante a criação da configuração de conectividade com as seguintes etapas:
Vai à página de Configurações e cria uma configuração de conectividade.
Na guia Topologia, selecione o tipo de topologia desejado, adicione um ou mais grupos de rede à topologia e defina outras configurações de conectividade desejadas.
Selecione a guia Exibir topologia para revisar visualmente a conectividade atual da sua configuração.
Conclua a criação da sua configuração de conectividade.
Você pode revisar a topologia atual de uma configuração de conectividade selecionando Exibir topologia em Configurações na página de detalhes da configuração. A vista mostra a conectividade entre as redes virtuais que fazem parte desta configuração de conectividade.
Como evitar a sobreposição de endereços numa malha
Por defeito, o Azure Virtual Network Manager permite a sobreposição de endereços dentro de uma rede mesh. Se adicionares duas redes virtuais com o mesmo espaço de endereçamento a uma rede mesh, o espaço de endereçamento sobreposto é removido da malha, pelo que a comunicação com recursos nesse espaço de endereçamento não funciona. Esta remoção ocorre porque, quando o tráfego é enviado para esse espaço de endereçamento, o Azure Virtual Network Manager não consegue determinar qual rede virtual deve receber o tráfego. Embora este comportamento proteja a integridade da malha, pode causar falhas se adicionar uma nova rede virtual sobreposta a uma malha já existente.
O Azure Virtual Network Manager fornece um mecanismo para evitar a sobreposição de espaços de endereços IP dentro de uma malha.
Utilize a propriedade ConnectedGroupAddressOverlap
A configuração de conectividade inclui uma propriedade - ConnectedGroupAddressOverlap:
- Padrão: Permitido
- Configuração Opcional: Proibida
Quando define esta propriedade para Disallowed, o Azure Virtual Network Manager impõe espaços de endereçamento rigorosos e não sobrepostos entre redes virtuais conectadas.
O que acontece quando ativas a opção Disallow?
Quando defines a propriedade para Disallowed, o Azure Virtual Network Manager valida alterações de endereço que podem afetar a conectividade numa malha.
Adicionar uma rede virtual a uma malha
O Azure Virtual Network Manager verifica automaticamente que o espaço de endereçamento da nova rede virtual não se sobrepõe aos membros existentes. Se detetar uma sobreposição, não adiciona a rede virtual à malha.
Atualização do espaço de endereçamento ou adição de peering
O Azure Virtual Network Manager valida qualquer atualização que possa afetar o espaço de endereçamento global de uma malha para garantir que não introduz sobreposição. Exemplos de alterações incluem atualizar o espaço de endereçamento de uma rede virtual em malha, criar uma ligação peering com uma rede virtual integrada numa malha, ou alterar o espaço de endereçamento numa rede virtual interligada.
Como aplicar o peering usando o Azure Virtual Network Manager
O Azure Virtual Network Manager permite-lhe impor relações de peering dentro da topologia da sua rede para uma governação e conformidade mais fortes. A aplicação de imposição garante que não pode eliminar ou modificar peerings fora do Azure Virtual Network Manager. Aplica-se tanto a peerings novos como existentes dentro da topologia hub-and-spoke.
Crie uma configuração de conectividade hub-and-spoke com implementação de peering
Para impor peering, deve ativar a opção de aplicação de peering ao criar uma configuração de conectividade hub-and-spoke:
| Método | Instruções |
|---|---|
| portal do Azure | Selecione a caixa de seleção Enforce peering durante a configuração. |
| Azure CLI / Outros clientes | Defina a propriedade peeringEnforcement sob connectivityCapabilities para Enforced. |
Implantar a configuração de conectividade
Após criar e implementar esta configuração:
- Todos os peerings criados pelo Azure Virtual Network Manager ou pelos peerings de clientes pré-existentes dentro da topologia tornam-se aplicados.
- Se um peering pertencer a mais do que uma topologia, qualquer configuração marcada como imposta aplica esse peering.
Como remover a imposição no peering
Para remover a fiscalização:
- Atualize a configuração de conectividade para
Unenforced. - Redeploye a configuração.
Próximos passos
- Saiba como criar uma configuração de conectividade de malha.
- Saiba como criar uma configuração de conectividade hub-and-spoke.
- Crie uma topologia hub-and-spoke segura neste tutorial.
- Saiba como implantar uma topologia hub-and-spoke com o Firewall do Azure.
- Compreenda as implantações de configuração para gerenciar com eficiência suas configurações de rede.
- Bloqueie o tráfego de rede indesejado usando configurações de administração de segurança.
- Implante o Azure Virtual Network Manager usando o Terraform para configurar rapidamente seu ambiente.