Conectar serviços usando o emparelhamento de rede virtual

  • 8 minutos

Use o emparelhamento de rede virtual para conectar redes virtuais do Azure diretamente. Quando você usa o emparelhamento para conectar redes virtuais, as VMs (máquinas virtuais) dessas redes podem se comunicar entre si como se estivessem na mesma rede.

Com as redes virtuais emparelhadas, o tráfego entre as máquinas virtuais é roteado por meio da rede do Azure. O tráfego só usa endereços IP privados. Ele não depende de conectividade com a Internet, gateways nem conexões criptografadas. O tráfego sempre é privado e aproveita a alta largura de banda e a baixa latência da rede backbone do Azure.

Um diagrama básico de duas redes virtuais que estão conectadas pelo emparelhamento de rede virtual.

Os dois tipos de conexões de emparelhamento são criados da mesma maneira:

  • O emparelhamento de rede virtual conecta redes virtuais na mesma região do Azure, como duas redes virtuais no Norte da Europa.
  • O emparelhamento de rede virtual global conecta redes virtuais que estão em diferentes regiões do Azure, como uma rede virtual no Norte da Europa e uma rede virtual no Oeste da Europa.

O emparelhamento de rede virtual não afeta ou interrompe nenhum recurso que já esteja implantado nas suas redes virtuais. Ao usar o emparelhamento de rede virtual, considere os principais recursos definidos nas seções a seguir.

Conexões recíprocas

Quando você cria uma conexão de emparelhamento de rede virtual usando o Azure PowerShell ou a CLI do Azure, apenas um lado do emparelhamento é criado. Para concluir a configuração do emparelhamento da rede virtual, você precisa configurar o emparelhamento na direção inversa para estabelecer conectividade. Quando você cria a conexão de emparelhamento de rede virtual através do portal do Azure, a configuração para ambos os lados é concluída ao mesmo tempo.

Pense em como você conecta dois comutadores de rede. Você pode conectar um cabo a cada parâmetro e talvez configurar algumas configurações para que os parâmetros possam se comunicar. O emparelhamento de rede virtual exige conexões semelhantes em cada rede virtual. As conexões recíprocas fornecem essa funcionalidade.

Emparelhamento de rede virtual entre assinaturas

Você pode usar o emparelhamento de rede virtual mesmo quando ambas as redes virtuais estiverem em assinaturas diferentes. Essa configuração pode ser necessária para fusões e aquisições ou para conectar redes virtuais em assinaturas gerenciadas por departamentos diferentes. As redes virtuais podem estar em assinaturas diferentes e as assinaturas podem usar os mesmos locatários do Microsoft Entra ou diferentes.

Quando você usa o emparelhamento de rede virtual entre assinaturas, talvez você descubra que um administrador de uma assinatura não administra a assinatura da rede par. O administrador pode não conseguir configurar ambas as extremidades da conexão. Para emparelhar as redes virtuais quando ambas as assinaturas estiverem em locatários diferentes do Microsoft Entra, os administradores de cada assinatura devem conceder ao administrador da assinatura par a função Network Contributor em suas redes virtuais.

Transitividade

O emparelhamento de rede virtual é intransitivo. Somente as redes virtuais diretamente emparelhadas podem se comunicar entre si. Redes virtuais não podem se comunicar com pares de seus pares.

Suponha, por exemplo, que suas três redes virtuais (A, B, C) estejam emparelhadas assim: A <-> B <-> C. Os recursos de A não podem se comunicar com os recursos de C, porque esse tráfego não pode transitar pela rede virtual B. Caso você precise obter a comunicação entre as redes virtuais A e C, precisará emparelhar explicitamente essas duas redes virtuais.

Trânsito de gateway

Você pode conectar-se à sua rede local a partir de uma rede virtual emparelhada se habilitar o trânsito de gateway a partir de uma rede virtual que tenha um gateway de VPN. Usando o trânsito de gateway, você pode habilitar a conectividade local sem implantar gateways de rede virtual em todas as redes virtuais. Esse método pode reduzir o custo geral e a complexidade da rede. Ao usar o emparelhamento de rede virtual com o trânsito de gateway, você pode configurar uma única rede virtual como uma rede de hub. Conecte essa rede hub ao datacenter local e compartilhe seu gateway de rede virtual com pares.

Para habilitar o trânsito de gateway, configure a opção Permitir trânsito de gateway na rede virtual do hub onde a conexão do gateway com sua rede local está implantada. Configure também a opção Usar gateways remotos nas redes virtuais spoke.

Observação

Caso deseje habilitar a opção Usar gateways remotos em um emparelhamento de rede spoke, não poderá implantar um gateway de rede virtual na rede virtual spoke.

Espaços de endereço com sobreposição

Os espaços de endereço IP das redes conectadas dentro do Azure e entre o Azure e sua rede local não podem se sobrepor. Essa regra também é verdadeira para redes virtuais emparelhadas. Mantenha essa regra em mente quando estiver planejando o design de rede. Em qualquer rede que você se conectar por meio do emparelhamento de rede virtual, da VPN ou do ExpressRoute, atribua espaços de endereço diferentes que não se sobreponham.

Diagrama de uma comparação de endereçamento de rede com e sem sobreposição.

Métodos de conectividade alternativos

O emparelhamento de rede virtual é a maneira menos complexa de conectar redes virtuais. Outros métodos se concentram principalmente na conectividade entre redes locais e redes do Azure, em vez de conexões entre redes virtuais.

Você também pode conectar redes virtuais por meio de um circuito do ExpressRoute. O ExpressRoute é uma conexão privada e dedicada entre um datacenter local e a rede backbone do Azure. As redes virtuais que se conectam a um circuito do ExpressRoute fazem parte do mesmo domínio de roteamento e podem se comunicar entre si. As conexões do ExpressRoute não passam pela Internet pública e, portanto, a comunicação com os serviços do Azure é a mais segura possível.

As VPNs usam a Internet para conectar o datacenter local ao backbone do Azure por meio de um túnel criptografado. Use uma configuração site a site para conectar redes virtuais usando gateways de VPN. Os gateways de VPN têm uma latência mais alta que as configurações de emparelhamento de rede virtual. Eles são mais complexos e mais caros para gerenciar.

Quando as redes virtuais são conectadas por meio de um gateway e do emparelhamento de rede virtual, o tráfego flui por meio da configuração de emparelhamento.

Quando escolher o emparelhamento de rede virtual

O emparelhamento de rede virtual pode ser uma ótima maneira de habilitar a conectividade de rede entre serviços que estão em redes virtuais diferentes. O emparelhamento de rede virtual deve ser sua primeira escolha quando você precisar integrar redes virtuais do Azure. É fácil de implementar e implantar, e funciona bem entre regiões e assinaturas.

O emparelhamento pode não ser a melhor opção se você tem serviços ou conexões VPN ou do ExpressRoute existentes por trás de Azure Load Balancers Básicos que são acessados em uma rede virtual emparelhada. Nesses casos, você deve pesquisar alternativas.