Conectar um circuito do ExpressRoute a uma rede virtual

Concluído 100 XP

Um circuito do ExpressRoute representa uma conexão lógica entre a infraestrutura local e os serviços de nuvem da Microsoft por meio de um provedor de conectividade. É possível solicitar vários circuitos do ExpressRoute. Cada circuito pode estar na mesma região ou em regiões diferentes e pode ser conectado às instalações por meio de provedores de conectividade diferentes. Os circuitos do ExpressRoute não são mapeados para entidades físicas. Um circuito usa um GUID padrão chamado chave de serviço (s-key).

Conectar uma rede virtual a um circuito do ExpressRoute

  • Você deve ter um circuito do ExpressRoute ativo.
  • Verifique se o emparelhamento privado do Azure está configurado para seu circuito.
  • Verifique se o emparelhamento privado do Azure está configurado e estabelece o emparelhamento via protocolo BGP entre a rede e a Microsoft a fim de proporcionar conectividade de ponta a ponta.
  • Verifique se tem uma rede virtual e um gateway de rede virtual criados e totalmente provisionados. Um gateway de rede virtual para ExpressRoute usa o GatewayType “ExpressRoute”, não VPN.
  • Você pode vincular até 10 redes virtuais a um circuito de ExpressRoute padrão. Todas as redes virtuais deverão estar na mesma região geopolítica ao usar um circuito de ExpressRoute padrão.
  • Uma rede virtual individual pode ser vinculada a até 16 circuitos do ExpressRoute. Os circuitos de ExpressRoute podem estar na mesma assinatura, assinaturas diferentes ou uma mistura de ambos.
  • Se habilitar o complemento premium do ExpressRoute, você poderá vincular redes virtuais fora da região geopolítica do circuito do ExpressRoute. O complemento premium permite que você conecte mais de dez redes virtuais ao circuito do ExpressRoute, dependendo da largura de banda escolhida.
  • Para criar a conexão do circuito do ExpressRoute com o gateway de rede virtual do ExpressRoute de destino, o número de espaços de endereço anunciados das redes virtuais locais ou em pares precisa ser igual ou menor que 200. Depois que a conexão for criada com sucesso, você poderá adicionar outros espaços de endereço, até 1.000, às redes virtuais locais ou emparelhadas.

Adicionar uma VPN a uma implantação do ExpressRoute

Esta seção ajuda você a configurar uma conectividade criptografada segura entre sua rede local e suas redes virtuais do Azure (VNets) sobre uma conexão privada de ExpressRoute. É possível usar o emparelhamento da Microsoft para estabelecer um túnel VPN de IPsec/IKE site a site entre suas redes locais selecionadas e VNets do Azure. Configurar um túnel seguro por meio do ExpressRoute permite a troca de dados com confidencialidade, contra reprodução, autenticidade e integridade.

Observação

Ao configurar a VPN site a site em emparelhamento da Microsoft, você é cobrado pelo gateway de VPN e pela saída de VPN.

Para alta disponibilidade e redundância, você pode configurar vários túneis em dois pares de MSEE-PE de um circuito de ExpressRoute e habilitar o balanceamento de carga entre os túneis.

Túneis VPN em emparelhamento da Microsoft podem ser terminados usando gateway de VPN ou usando uma Solução de Virtualização de Rede (NVA) disponível por meio do Azure Marketplace. Você pode trocar rotas estática ou dinamicamente nos túneis criptografados sem expor a troca de rota para o emparelhamento da Microsoft subjacente. Nesta seção, BGP (diferente da sessão BGP usada para criar o emparelhamento da Microsoft) é usado para trocar dinamicamente prefixos nos túneis criptografados.

Importante

Para o lado local, normalmente o emparelhamento da Microsoft é terminado no DMZ e o emparelhamento privado é terminado na zona de rede principal. As duas zonas seriam segregadas usando firewalls. Se você estiver configurando o emparelhamento da Microsoft exclusivamente para habilitar o túnel seguro por meio do ExpressRoute, lembre-se de filtrar apenas os IPs públicos de interesse que estão sendo anunciados por meio do emparelhamento da Microsoft.

Etapas

  • Configure o emparelhamento da Microsoft para seu circuito de ExpressRoute.
  • Anuncie prefixos de públicos regionais do Azure selecionados para sua rede local por meio de emparelhamento da Microsoft.
  • Configurar um gateway de VPN e estabelecer encapsulamentos IPsec
  • Configure o dispositivo VPN local.
  • Crie a conexão IPsec/IKE site a site.
  • (Opcional) Configure firewalls/filtragem no dispositivo VPN local.
  • Teste e valide a comunicação do IPsec sobre o circuito de ExpressRoute.

Unidade seguinte: Conectar redes geograficamente dispersas com alcance global do ExpressRoute

Anterior Avançar