Load Balancer entre assinaturas
O Azure Load Balancer dá suporte ao balanceamento de carga entre assinaturas, em que o IP de front-end e/ou as instâncias do pool de back-end podem estar em uma assinatura diferente do Azure Load Balancer.
Este artigo fornece uma visão geral do balanceamento de carga entre assinaturas com o Azure Load Balancer e os cenários aos quais ele dá suporte.
O que é balanceamento de carga entre assinaturas?
O balanceamento de carga entre assinaturas permite implantar recursos do Azure Load Balancer em várias assinaturas. Esse recurso permite implantar um balanceador de carga em uma assinatura e ter as instâncias de IP de front-end e de pool de back-end em uma assinatura diferente. Essa funcionalidade é útil para organizações que têm assinaturas separadas para recursos de rede e aplicativos.
A tabela a seguir ilustra alguns dos possíveis cenários de suporte ao balanceamento de carga entre assinaturas.
| Assinatura 1 | Assinatura 2 |
|---|---|
| Load Balancer | Recursos do pool de back-end e endereço IP de front-end |
| Recursos do balanceador de carga e do pool de back-end | Endereço IP de front-end |
| Endereço IP de front-end e balanceador de carga | Recursos do pool de back-end |
Configurações de IP de front-end entre assinaturas
Os front-ends entre assinaturas permitem que a configuração de IP de front-end resida em uma assinatura diferente da assinatura do balanceador de carga. Para habilitar as configurações de IP de front-end entre assinaturas, a marca a seguir precisa ser definida como true: "IsRemoteFrontend: True", e a propriedade SyncMode precisa ser habilitada no pool de back-end.
Configurações do IP público de front-end
Os endereços IP públicos utilizados por um Azure Load Balancer podem residir em uma assinatura diferente do balanceador de carga. Se vários endereços IP públicos forem anexados a um balanceador de carga, cada endereço IP poderá vir de uma assinatura diferente. Por exemplo, se tivermos um Load Balancer (implantado na assinatura C) com dois IPs de front-end, o primeiro endereço IP poderá residir na assinatura B e o segundo endereço IP poderá residir na assinatura A.
Uma observação importante é que, depois que uma configuração de IP de front-end é definida, a assinatura dela não pode ser modificada. No entanto, a configuração de IP de front-end pode ser atualizada com um endereço IP diferente na mesma assinatura. Por exemplo, se uma configuração de IP de front-end estiver anexada ao endereço IP A na assinatura 1, ela poderá ser atualizada para o endereço IP B também na assinatura 1. Os endereços IP públicos entre assinaturas só têm suporte no balanceador de carga padrão da camada regional
Configurações do IP de front-end interno
Assim como os balanceadores de carga públicos, os balanceadores de carga internos também podem ter configurações de IP de front-end entre assinaturas. Nesse caso, a sub-rede/rede virtual pode residir em uma assinatura diferente do balanceador de carga. No entanto, ao contrário dos front-ends públicos, todas as configurações internas de front-end precisam vir da mesma sub-rede/rede virtual. Além disso, todos os pools de back-end precisam ser configurados para a mesma rede virtual que as configurações de IP de front-end.
Pools de back-end entre assinaturas
Os back-ends entre assinaturas permitem que as instâncias de back-end residam em uma assinatura diferente da assinatura do balanceador de carga. Por exemplo, o balanceador de carga pode estar na assinatura 1 e minhas VMs de back-end podem estar localizadas na assinatura 2. As instâncias de back-end e a rede virtual à qual elas se referem podem estar localizadas em uma assinatura diferente. Os pools de back-end entre assinaturas precisam utilizar uma nova propriedade conhecida como SyncMode.
O que é o SyncMode
A propriedade SyncMode é um parâmetro que você pode especificar ao criar um pool de back-end usando endereços IP e IDs de rede virtual. Essa propriedade precisa ser definida ao usar front-ends ou back-ends entre assinaturas. Ela tem dois valores possíveis: "Automático" ou "Manual". Além disso, essa propriedade substitui o conceito de pools de back-end baseados em NIC ou IP. Como resultado, os pools de back-end com a propriedade SyncMode configurada são um tipo distinto de pool de back-end, separado dos pools de back-end baseados em NIC ou IP. Os pools de back-end podem ser exclusivamente baseados em NIC, baseados em IP ou habilitados para SyncMode.
Quando devo usar SyncMode: "Automático"?
Com SyncMode configurado como "Automático", as instâncias do pool de back-end são sincronizadas com a configuração do balanceador de carga. Como resultado, as alterações nas instâncias do pool de back-end são refletidas automaticamente na configuração do pool de back-end do balanceador de carga. Isso é relevante ao usar conjuntos de dimensionamento de máquinas virtuais no pool de back-end. Quando o conjunto de dimensionamento for escalado/reduzido horizontalmente, os membros do pool de back-end serão adicionados ou removidos automaticamente do pool de maneira correspondente. Como pools de back-end baseados em NIC (placas de interface de rede), se SyncMode estiver definido como "Automático", a NIC de cada instância de back-end também precisará referenciar o pool de back-end do balanceador de carga. Como resultado, as instâncias de back-end são adicionadas aos pools de back-end com SyncMode "Automático" atualizando a referência do recurso NIC ao balanceador de carga.
Quando devo usar SyncMode: "Manual"?
Com SyncMode configurado como "Manual", as instâncias do pool de back-end não são sincronizadas com a configuração do balanceador de carga. Esse modo permite que você crie um pool de back-end com endereços IP privados pré-provisionados que podem ser usados para cenários como recuperação de desastre, provisionamento ativo-passivo ou dinâmico. Ao usar pools de back-end com SyncMode "Manual", você é responsável por atualizar o pool de back-end quando ocorrem alterações em suas instâncias de back-end, como com um dimensionamento automático do conjunto de dimensionamento.
Balanceador de carga global entre assinaturas
Além disso, há suporte para balanceamento de carga entre assinaturas para o Load Balancer global do Azure. Com o balanceador de carga global entre assinaturas, os balanceadores de carga regionais de back-end podem estar localizados em assinaturas diferentes. Back-ends entre assinaturas em um balanceador de carga global não precisam de outros parâmetros ou alterações no pool de back-end.
Observação
Não há suporte para front-ends entre assinaturas no Load Balancer global do Azure atualmente.
Autorização
Para habilitar o balanceamento de carga entre assinaturas, um usuário precisa ser atribuído à função de Colaborador de Rede ou a uma função personalizada atribuída às ações apropriadas listadas na seguinte tabela, em ambas as assinaturas:
Front-ends entre assinaturas
Front-ends públicos
Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action Microsoft.Network/publicIPAddresses/join/action
Front-ends internos
Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action
Back-ends entre assinaturas
Microsoft.Network/loadBalancers/backendAddressPools/write
Microsoft.Network/loadBalancers/backendAddressPools/join/action Microsoft.Network/virtualNetworks/write Microsoft.Network/networkInterfaces/write
Locatário cruzado
Ao trabalhar entre locatários, um usuário deve ser atribuído à função de Colaborador de Rede ou a uma função personalizada atribuída às ações apropriadas para front-ends entre assinaturas em ambas as assinaturas. Para obter mais informações sobre a vinculação entre locatários, consulte Autenticar solicitações entre locatários.
Limitações
- SyncMode só pode ser definido em novos pools de back-end
- A propriedade SyncMode precisa ser definida explicitamente – por padrão, a propriedade SyncMode não é especificada
- A API versão 2023-04-01 e superior precisa ser usada ao implantar/atualizar os balanceadores de carga
- Depois de configurada, a propriedade SyncMode não pode ser alterada em um pool de back-end
- Uma rede virtual precisa ser especificada quando a propriedade SyncMode é configurada. Depois que uma rede virtual é configurada, ela não pode ser atualizada no pool de back-end
- Não há suporte para pools NAT de entrada para balanceadores de carga entre assinaturas. Usar regras NAT de entrada
- Todos os recursos precisam ser implantados na mesma região que o balanceador de carga
- Não há suporte para a propriedade SyncMode em pools de back-end do balanceador de carga entre regiões
- Balanceadores de carga entre assinaturas não podem ser encadeados aos Balanceadores de Carga do Gateway
- Os Balanceadores de Carga do Gateway não podem ter componentes de assinatura cruzada