Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
As empresas modernas exigem conectividade ubíqua entre aplicativos, dados e usuários hiperdistribuídos na nuvem e no local. A arquitetura de rede de trânsito global está sendo adotada pelas empresas para consolidar, conectar e controlar a pegada de TI empresarial moderna e global centrada na nuvem.
A arquitetura de rede de trânsito global é baseada em um modelo clássico de conectividade hub-and-spoke, onde o "hub" de rede hospedado na nuvem permite conectividade transitiva entre pontos finais que podem ser distribuídos em diferentes tipos de "raios".
Neste modelo, um spoke pode ser:
- Rede virtual (VNets)
- Site de filial física
- Usuário remoto
- Internet
Figura 1: Rede global de hub-and-spoke de trânsito
A Figura 1 mostra a visão lógica da rede de trânsito global onde usuários geograficamente distribuídos, locais físicos e redes virtuais estão interconectados por meio de um hub de rede hospedado na nuvem. Essa arquitetura permite a conectividade lógica de trânsito com um só salto entre os pontos de extremidade de rede.
Rede de trânsito global com WAN Virtual
A WAN Virtual do Azure é um serviço de rede na nuvem gerido pela Microsoft. Todos os componentes de rede que compõem este serviço são hospedados e gerenciados pela Microsoft. Para obter mais informações sobre a WAN Virtual, consulte o artigo Visão geral da WAN Virtual .
A WAN Virtual do Azure permite uma arquitetura de rede de trânsito global ao permitir conectividade ubíqua, de qualquer para qualquer lugar, entre conjuntos globalmente distribuídos de cargas de trabalho na nuvem em redes virtuais, sites de filiais, aplicativos SaaS e PaaS e usuários.
Figura 2: Rede de trânsito global e WAN virtual
Na arquitetura WAN Virtual do Azure, os hubs WAN virtuais são provisionados em regiões do Azure, às quais poderá optar por conectar as suas filiais, redes virtuais e utilizadores remotos. As filiais físicas são conectadas ao hub por ExpressRoute Premium ou Standard ou VPNs de site para site, as redes virtuais são conectadas ao hub por conexões VNet e os utilizadores remotos podem se conectar diretamente ao hub usando VPN de utilizador (VPNs de ponto a site). A WAN Virtual também suporta conexão VNet entre regiões, onde uma VNet em uma região pode ser conectada a um hub WAN virtual em uma região diferente.
Você pode estabelecer uma WAN virtual criando um único hub WAN virtual na região que tem o maior número de ramos (filiais, VNets, usuários) e, em seguida, conectar os ramos que estão em outras regiões ao hub. Esta é uma boa opção quando a presença empresarial está principalmente numa região, com apenas alguns pontos remotos.
Conectividade ponto a ponto
Uma presença em nuvem empresarial pode abranger várias regiões de nuvem, e é ideal (em termos de latência) acessar a nuvem a partir de uma região mais próxima da sua localização física e dos seus utilizadores. Um dos princípios-chave da arquitetura de rede de trânsito global é permitir a conectividade entre regiões entre todos os pontos de extremidade de rede na nuvem e no local. Isso significa que o tráfego de uma filial conectada à nuvem em uma região pode chegar a outra filial ou a uma VNet em uma região diferente usando a conectividade hub-to-hub habilitada pela Rede Global do Azure.
Figura 3: Conectividade entre regiões da WAN virtual
Quando vários hubs são habilitados em uma única WAN virtual, os hubs são automaticamente interconectados por meio de links hub-to-hub, permitindo assim a conectividade global entre filiais e VNets distribuídas em várias regiões.
Além disso, os hubs que fazem parte da mesma WAN virtual podem ser associados a diferentes políticas regionais de acesso e segurança. Para obter mais informações, consulte Segurança e controle de políticas mais adiante neste artigo.
Conectividade de qualquer para qualquer lugar
A arquitetura de rede de trânsito global permite conectividade de qualquer lugar para qualquer lugar por meio de hubs WAN virtuais. Esta arquitetura elimina ou reduz a necessidade de conectividade de malha total ou parcial entre hubs, que são mais difíceis de construir e manter. Além disso, o controle de roteamento em redes hub-and-spoke versus mesh é mais fácil de configurar e manter.
A conectividade entre qualquer ponto (no contexto de uma arquitetura global) permite que uma empresa com utilizadores, filiais, centros de dados, redes virtuais e aplicações distribuídas globalmente se interligue através dos hub(s) de "trânsito". A WAN Virtual do Azure atua como o sistema de trânsito global.
Figura 4: Caminhos de tráfego da WAN virtual
Azure Virtual WAN suporta os seguintes caminhos de conectividade para trânsito global. As letras entre parênteses correspondem à Figura 4.
- Sucursal para VNet (a)
- Sucursal a sucursal (b)
- Alcance Global da Rota Expressa e WAN Virtual
- Utilizador Remoto para VNet (c)
- Utilizador remoto para filial (d)
- VNet-to-VNet (e)
- Filial-para-hub-hub-para-Filial (f)
- Filial-para-núcleo-núcleo-para-VNet (g)
- VNet-to-hub-hub-to-VNet (conexão de rede virtual para hub e de hub para rede virtual) (h)
Ligação de Filial para VNet (a) e Ligação de Filial para VNet entre Regiões (g)
Branch-to-VNet é o caminho principal suportado pela WAN Virtual do Azure. Esse caminho permite conectar filiais a cargas de trabalho corporativas do Azure IAAS implantadas em redes virtuais do Azure. As filiais podem ser conectadas à WAN virtual via ExpressRoute ou VPN site a site. O tráfego transita para as VNets que estão conectadas aos hubs WAN virtuais através das conexões VNet. O trânsito explícito do gateway não é necessário para a WAN Virtual porque a WAN Virtual habilita automaticamente o trânsito do gateway para o site da filial. Consulte o artigo Virtual WAN Partners sobre como conectar um CPE SD-WAN à WAN Virtual.
Alcance Global da Rota Expressa e WAN Virtual
O ExpressRoute é uma maneira privada e resiliente de conectar suas redes locais ao Microsoft Cloud. A Rede WAN Virtual suporta conexões de circuitos ExpressRoute. As seguintes opções de circuito ExpressRoute podem ser ligadas à WAN Virtual: Local, Standard e Premium.
Há duas opções para habilitar a conectividade de trânsito do ExpressRoute para o ExpressRoute ao utilizar a WAN Virtual do Azure.
Pode habilitar a conectividade de trânsito do ExpressRoute para ExpressRoute ativando o ExpressRoute Global Reach nos seus circuitos de ExpressRoute. O Global Reach é um recurso complementar da Rota Expressa que permite vincular circuitos da Rota Expressa em diferentes locais de emparelhamento para criar uma rede privada. A conectividade de trânsito do ExpressRoute para ExpressRoute entre circuitos com o complemento "Global Reach" não transitará pelo hub da WAN Virtual, porquê o "Global Reach" permite um caminho mais otimizado sobre o backbone global.
Você pode usar o recurso Intenção de Roteamento com políticas de roteamento de tráfego privado para habilitar a conectividade de trânsito da Rota Expressa por meio de um dispositivo de segurança implantado no Hub WAN Virtual. Esta opção não requer Alcance Global. Para obter mais informações, consulte a seção Rota Expressa na documentação de intenção de roteamento.
Filial-a-Filial (b) e Filial-a-Filial entre regiões (f)
As filiais podem ser conectadas a um hub WAN virtual do Azure usando circuitos de Rota Expressa e/ou conexões VPN site a site. Você pode conectar as ramificações ao hub WAN virtual que está na região mais próxima da filial.
Essa opção permite que as empresas aproveitem o backbone do Azure para conectar filiais. No entanto, mesmo que esse recurso esteja disponível, você deve avaliar os benefícios de conectar filiais pela WAN Virtual do Azure versus usar uma WAN privada.
Observação
Desativando a conectividade de filial a filial na WAN virtual - a WAN virtual pode ser configurada para desabilitar a conectividade de filial a filial. Essa configuração bloqueará a propagação de rotas entre VPN (S2S e P2S) e sites conectados à Rota Expressa. Essa configuração não afetará a propagação e a conectividade da rota branch-to-VNet e VNet-to-VNet. Para configurar esta definição usando o portal do Azure: No menu Configuração da WAN Virtual, escolha a definição: Branch-to-Branch - Desativado.
Conexão de Utilizador remoto à VNet (c)
Você pode habilitar o acesso remoto direto e seguro ao Azure usando a conexão ponto a site de um cliente de usuário remoto para uma WAN virtual. Os usuários remotos corporativos não precisam mais acessar a nuvem usando uma VPN corporativa.
Usuário remoto para filial (d)
O caminho de usuário remoto para ramificação permite que os usuários remotos que estão usando uma conexão ponto a site com o Azure acessem cargas de trabalho e aplicativos locais transitando pela nuvem. Esse caminho dá aos usuários remotos a flexibilidade de acessar cargas de trabalho implantadas no Azure e no local. As empresas podem habilitar o serviço de acesso remoto seguro baseado em nuvem central na WAN Virtual do Azure.
Trânsito VNet-to-VNet (e) e VNet-to-VNet entre regiões (h)
O trânsito VNet-to-VNet permite que as VNets se conectem umas às outras para interconectar aplicativos de várias camadas que são implementados em várias VNets. Opcionalmente, pode-se conectar redes virtuais entre si por meio de Emparelhamento de VNets, o que pode ser adequado para alguns cenários em que o tráfego através do hub VWAN não é necessário.
Túnel forçado e rota padrão
O túnel forçado pode ser ativado ao configurar a ativação da rota padrão em uma conexão VPN, ExpressRoute ou Rede Virtual na WAN Virtual.
Um hub virtual propaga uma rota padrão aprendida para uma conexão VPN/Rota Expressa de rede virtual/site a site se o sinalizador padrão de ativação for 'Habilitado' na conexão.
Esse sinalizador fica visível quando o usuário edita uma conexão de rede virtual, uma conexão VPN ou uma conexão de Rota Expressa. Por padrão, esse sinalizador é desativado quando um site ou um circuito de Rota Expressa está conectado a um hub. Ele é habilitado por padrão quando uma conexão de rede virtual é adicionada para conectar uma VNet a um hub virtual. A rota padrão não se origina no hub WAN Virtual; a rota padrão será propagada se já tiver sido aprendida pelo hub WAN Virtual como resultado da implantação de um firewall no hub ou se outro site conectado tiver o encapsulamento forçado habilitado.
Segurança e controlo de políticas
Os hubs do Azure Virtual WAN interconectam todos os pontos finais de rede na rede híbrida e podem ver potencialmente todo o tráfego da rede de trânsito. Os hubs WAN virtuais podem ser convertidos em Hubs Virtuais Seguros implantando uma solução de segurança bump-in-the-wire no hub. Você pode implantar o Firewall do Azure, selecionar Dispositivos Virtuais de Rede de Firewall de Próxima Geração ou software como serviço (SaaS) de segurança dentro de hubs WAN virtuais para habilitar a segurança, o acesso e o controle de políticas baseados em nuvem. Você pode configurar a WAN Virtual para rotear o tráfego para soluções de segurança no hub usando a Intenção de Roteamento de Hub Virtual.
A orquestração de Firewalls do Azure em hubs WAN virtuais pode ser executada pelo Gerenciador de Firewall do Azure. O Azure Firewall Manager fornece os recursos para gerenciar e dimensionar a segurança para redes de trânsito globais. O Azure Firewall Manager permite gerir centralmente o encaminhamento, a gestão de políticas globais, os serviços avançados de segurança da Internet através de terceiros juntamente com a Firewall do Azure.
Para obter mais informações sobre como implantar e orquestrar Dispositivos Virtuais de Rede de Firewall de Próxima Geração no hub WAN Virtual, consulte Dispositivos Virtuais de Rede Integrada no Hub Virtual. Para obter mais informações sobre soluções de segurança SaaS que podem ser implantadas no hub WAN Virtual, consulte software como serviço.
Figura 5: Hub virtual seguro com o Firewall do Azure
A WAN Virtual suporta os seguintes caminhos de conectividade de trânsito seguro global. Embora o diagrama e os padrões de tráfego nesta seção descrevam os casos de uso do Firewall do Azure, os mesmos padrões de tráfego são suportados com as Ferramentas Virtuais de Rede e as soluções de segurança SaaS implantadas no hub. As letras entre parênteses correspondem à Figura 5.
- Trânsito seguro de filial para VNet (c)
- Trânsito seguro de ramificação para VNet entre hubs virtuais (g), suportado com intenção de roteamento
- Trânsito seguro de VNet-to-VNet (e)
- Trânsito seguro de VNet-to-VNet entre Hubs Virtuais (h), suportado com Intenção de Roteamento
- Trânsito seguro entre filiais (b), suportado com Routing Intent
- Trânsito seguro de filial para filial entre Hubs Virtuais (f), suportado com Intenção de Roteamento
- Serviço de segurança VNet-to-Internet ou de terceiros (i)
- Serviço de segurança de filial para Internet ou de terceiros (j)
Ligação segura VNet-para-VNet (e), Ligação segura VNet-para-VNet entre regiões(h)
O trânsito seguro de VNet-to-VNet permite que as VNets se conectem umas às outras por meio de dispositivos de segurança (Firewall do Azure, NVA e SaaS selecionados) implantados no hub WAN Virtual.
Serviço de segurança VNet-to-Internet ou de terceiros (i)
A ligação VNet-para-Internet permite que as VNets se conectem à Internet através dos dispositivos de segurança (Firewall do Azure, NVA e SaaS selecionados) no hub WAN virtual. O tráfego para a Internet através de serviços de segurança de terceiros suportados não flui através de um dispositivo de segurança e é encaminhado diretamente para o serviço de segurança de terceiros. Pode configurar o caminho da VNet para a Internet através de um serviço de segurança de terceiros suportado, usando o Gestor de Firewall do Azure.
Serviço de segurança de filial para Internet ou de terceiros (j)
O Branch-to-Internet permite que as filiais se conectem à Internet por meio do Firewall do Azure no hub WAN virtual. O tráfego para a Internet através de serviços de segurança de terceiros suportados não flui através de um dispositivo de segurança e é encaminhado diretamente para o serviço de segurança de terceiros. Você pode configurar a rota de filial para a Internet através de um serviço de segurança de terceiros suportado usando o Azure Firewall Manager.
Trânsito seguro de sucursal a sucursal, trânsito seguro de filial a sucursal entre regiões (b), (f)
As filiais podem ser ligadas a um hub virtual seguro com o Firewall do Azure usando circuitos ExpressRoute e/ou ligações VPN entre sites. Você pode conectar as ramificações ao hub WAN virtual que está na região mais próxima da filial. A configuração da Intenção de Roteamento nos hubs da WAN Virtual permite a inspeção de comunicação de filial para filial no mesmo hub ou de filial para filial entre hubs/regiões por dispositivos de segurança (Azure Firewall, NVA selecionados e SaaS) implantados no Hub WAN Virtual.
Essa opção permite que as empresas aproveitem o backbone do Azure para conectar filiais. No entanto, mesmo que esse recurso esteja disponível, você deve avaliar os benefícios de conectar filiais pela WAN Virtual do Azure versus usar uma WAN privada.
Trânsito seguro de ramificação para VNet (c), trânsito seguro de ramificação para VNet entre regiões (g)
O trânsito seguro entre sucursais e VNet permite que as sucursais se comuniquem com redes virtuais na mesma região que o hub WAN virtual, bem como com outra rede virtual ligada a um outro hub WAN virtual em outra região (inspeção de tráfego entre hubs suportada apenas com Intenção de Roteamento).
Como habilitar a rota padrão (0.0.0.0/0) em um Hub Virtual Seguro
O Firewall do Azure implantado em um hub WAN Virtual (Hub Virtual Seguro) pode ser configurado como roteador padrão para a Internet ou Provedor de Segurança Confiável para todas as filiais (conectadas por VPN ou Rota Expressa), VNets spoke e Usuários (conectados via VPN P2S). Essa configuração deve ser feita usando o Gerenciador de Firewall do Azure. Consulte as opções de roteamento de tráfego para o seu hub para configurar todo o tráfego das filiais (incluindo utilizadores) e redes virtuais para a Internet através do Firewall do Azure.
Esta é uma configuração de duas etapas:
Configure o roteamento de tráfego da Internet usando o menu Configuração de Rota do Hub Virtual Seguro. Configure redes virtuais e ramificações que podem enviar tráfego para a Internet através do firewall.
Configure quais Conexões (VNet e Branch) podem rotear o tráfego para a Internet (0.0.0.0/0) por meio do Azure FW no hub ou no Provedor de Segurança Confiável. Esta etapa garante que a rota padrão seja propagada para ramificações e VNets selecionadas que estão conectadas ao hub WAN Virtual por meio das Conexões.
Direcionar o tráfego para o firewall nas instalações locais em um Hub Virtual Seguro
Se já houver uma rota padrão aprendida (via BGP) pelo Hub Virtual de uma das Filiais (sites VPN ou ER), essa rota padrão será substituída pela rota padrão aprendida na configuração do Gerenciador de Firewall do Azure. Nesse caso, todo o tráfego que está entrando no hub de VNets e filiais destinado à Internet será encaminhado para o Firewall do Azure ou para o Provedor de Segurança Confiável.
Observação
Atualmente, não há nenhuma opção para selecionar o firewall local ou o Firewall do Azure (e o Provedor de Segurança Confiável) para o tráfego vinculado à Internet originado de redes virtuais, filiais ou usuários. A rota padrão aprendida com a configuração do Gerenciador de Firewall do Azure é sempre preferida sobre a rota padrão aprendida em uma das ramificações.
Próximos passos
Crie uma conexão usando a WAN Virtual e implante o Firewall do Azure no(s) hub(s) VWAN.