Ligar uma rede no local a uma rede virtual do Microsoft Azure
Uma rede virtual do Azure em vários locais está ligada à sua rede no local, expandindo a sua rede para incluir sub-redes e máquinas virtuais alojadas nos serviços de infraestrutura do Azure. Esta ligação permite que os computadores na sua rede no local acedam diretamente a máquinas virtuais no Azure e vice-versa.
Por exemplo, um servidor de sincronização de diretórios em execução numa máquina virtual do Azure tem de consultar os controladores de domínio no local para obter alterações às contas e sincronizar essas alterações com a sua subscrição do Microsoft 365. Este artigo mostra-lhe como configurar uma rede virtual do Azure em vários locais com uma ligação de rede privada virtual (VPN) site a site que está pronta para alojar máquinas virtuais do Azure.
Configurar uma rede virtual do Azure em vários locais
As máquinas virtuais no Azure não têm de estar isoladas do seu ambiente no local. Para ligar máquinas virtuais do Azure aos seus recursos de rede no local, tem de configurar uma rede virtual do Azure em vários locais. O diagrama seguinte mostra os componentes necessários para implementar uma rede virtual do Azure em vários locais com uma máquina virtual no Azure.
No diagrama, existem duas redes ligadas por uma ligação VPN site a site: a rede no local e a rede virtual do Azure. A ligação VPN site a site é:
- Entre dois pontos finais endereçáveis e localizados na Internet pública.
- Terminado por um dispositivo VPN na rede no local e um gateway de VPN do Azure na rede virtual do Azure.
A rede virtual do Azure aloja máquinas virtuais. O tráfego de rede proveniente de máquinas virtuais na rede virtual do Azure é reencaminhado para o gateway de VPN, que, em seguida, reencaminha o tráfego através da ligação VPN site a site para o dispositivo VPN na rede no local. A infraestrutura de encaminhamento da rede no local reencaminha o tráfego para o respetivo destino.
Nota
Também pode utilizar o ExpressRoute, que é uma ligação direta entre a sua organização e a rede da Microsoft. O tráfego através do ExpressRoute não passa pela Internet pública. Este artigo não descreve a utilização do ExpressRoute.
Para configurar a ligação VPN entre a rede virtual do Azure e a rede no local, siga estes passos:
- No local: Defina e crie uma rota de rede no local para o espaço de endereços da rede virtual do Azure que aponta para o seu dispositivo VPN no local.
- Microsoft Azure: Crie uma rede virtual do Azure com uma ligação VPN site a site.
- No local: Configure o seu dispositivo VPN de hardware ou software no local para terminar a ligação VPN, que utiliza a segurança do Protocolo de Internet (IPsec).
Depois de estabelecer a ligação VPN site a site, adicione máquinas virtuais do Azure às sub-redes da rede virtual.
Planear a rede virtual do Azure
Pré-requisitos
- Uma subscrição do Azure. Para obter informações sobre as subscrições do Azure, aceda à página Como Comprar o Azure.
- Um espaço de endereços IPv4 privado disponível para atribuir à rede virtual e às respetivas sub-redes, com espaço suficiente para crescer para acomodar o número de máquinas virtuais necessárias agora e no futuro.
- Um dispositivo VPN disponível na sua rede no local para terminar a ligação VPN site a site que suporta os requisitos do IPsec. Para obter mais informações, veja About VPN devices for site-to-site virtual network connections (Acerca de dispositivos VPN para ligações de rede virtual site a site).
- Alterações à sua infraestrutura de encaminhamento para que o tráfego encaminhado para o espaço de endereços da rede virtual do Azure seja reencaminhado para o dispositivo VPN que aloja a ligação VPN site a site.
- Um proxy Web que fornece aos computadores que estão ligados à rede no local e à rede virtual do Azure acesso à Internet.
Pressupostos de conceção da arquitetura da solução
A lista seguinte representa as escolhas de estrutura que foram feitas para esta arquitetura de solução.
- Esta solução utiliza uma única rede virtual do Azure com uma ligação VPN site a site. A rede virtual do Azure aloja uma única sub-rede que pode conter várias máquinas virtuais.
- Pode utilizar o Serviço de Encaminhamento e Acesso Remoto (RRAS) no Windows Server 2016 ou Windows Server 2012 para estabelecer uma ligação VPN site a site IPsec entre a rede no local e a rede virtual do Azure. Também pode utilizar outras opções, como dispositivos VPN da Cisco ou da Juniper Networks.
- A rede no local ainda pode ter serviços de rede como Active Directory Domain Services (AD DS), Sistema de Nomes de Domínio (DNS) e servidores proxy. Consoante os seus requisitos, poderá ser vantajoso colocar alguns destes recursos de rede na rede virtual do Azure.
Para uma rede virtual do Azure existente com uma ou mais sub-redes, determine se existe espaço de endereços restante para uma sub-rede adicional para alojar as máquinas virtuais necessárias, com base nos seus requisitos. Se não tiver espaço de endereços restante para uma sub-rede adicional, crie uma rede virtual adicional que tenha a sua própria ligação VPN site a site.
Planear as alterações da infraestrutura de encaminhamento para a rede virtual do Azure
Tem de configurar a sua infraestrutura de encaminhamento no local para reencaminhar o tráfego destinado ao espaço de endereços da rede virtual do Azure para o dispositivo VPN no local que está a alojar a ligação VPN site a site.
O método exato de atualização da infraestrutura de encaminhamento depende da forma como gere as informações de encaminhamento, que podem ser:
- Atualizações da tabela de encaminhamento com base na configuração manual.
- Atualizações da tabela de encaminhamento com base em protocolos de encaminhamento, como o Protocolo RIP (Routing Information Protocol) ou Open Shortest Path First (OSPF).
Consulte o seu especialista em encaminhamento para se certificar de que o tráfego destinado à rede virtual do Azure é reencaminhado para o dispositivo VPN no local.
Planear regras de firewall para o tráfego de e para o dispositivo VPN no local
Se o dispositivo VPN estiver numa rede de perímetro que tenha uma firewall entre a rede de perímetro e a Internet, poderá ter de configurar a firewall para as seguintes regras para permitir a ligação VPN site a site.
Tráfego para o dispositivo VPN (recebido a partir da Internet):
- Endereço IP de destino do dispositivo VPN e protocolo IP 50
- Endereço IP de destino do dispositivo VPN e da porta de destino UDP 500
- Endereço IP de destino do dispositivo VPN e da porta de destino UDP 4500
Tráfego do dispositivo VPN (enviado para a Internet):
- Endereço IP de origem do dispositivo VPN e protocolo IP 50
- Endereço IP de origem do dispositivo VPN e da porta de origem UDP 500
- Endereço IP de origem do dispositivo VPN e da porta de origem UDP 4500
Planear o espaço de endereços IP privados da rede virtual do Azure
O espaço de endereços IP privados da rede virtual do Azure tem de ser capaz de acomodar os endereços utilizados pelo Azure para alojar a rede virtual e com, pelo menos, uma sub-rede com endereços suficientes para as máquinas virtuais do Azure.
Para determinar o número de endereços necessários para a sub-rede, conte o número de máquinas virtuais de que precisa agora, calcule o crescimento futuro e, em seguida, utilize a tabela seguinte para determinar o tamanho da sub-rede.
Número de máquinas virtuais necessárias | Número de bits de anfitrião necessários | Tamanho da sub-rede |
---|---|---|
1-3 |
3 |
/29 |
4-11 |
4 |
/28 |
12-27 |
5 |
/27 |
28-59 |
6 |
/26 |
60-123 |
7 |
/25 |
Planear a folha de cálculo para configurar a rede virtual do Azure
Antes de criar uma rede virtual do Azure para alojar máquinas virtuais, tem de determinar as definições necessárias nas tabelas seguintes.
Para as definições da rede virtual, preencha a Tabela V.
Tabela V: Configuração de rede virtual em vários locais
Item | Elemento de configuração | Descrição | Valor |
---|---|---|---|
1. |
Nome da rede virtual |
Um nome para atribuir à rede virtual do Azure (por exemplo, DirSyncNet). |
|
2. |
Localização da rede virtual |
O datacenter do Azure que irá conter a rede virtual (como E.U.A. Oeste). |
|
3. |
Endereço IP do dispositivo VPN |
O endereço IPv4 público da interface do seu dispositivo VPN na Internet. Trabalhe com o seu departamento de TI para determinar este endereço. |
|
4. |
Espaço de endereços da rede virtual |
O espaço de endereços (definido num único prefixo de endereço privado) para a rede virtual. Trabalhe com o seu departamento de TI para determinar este espaço de endereços. O espaço de endereços deve estar no formato encaminhamento CIDR (Classless InterDomain Routing) (CIDR), também conhecido como formato de prefixo de rede. Um exemplo é 10.24.64.0/20. |
|
5. |
Chave partilhada IPsec |
Uma cadeia alfanumérica aleatória de 32 carateres que será utilizada para autenticar ambos os lados da ligação VPN site a site. Trabalhe com o departamento de TI ou segurança para determinar este valor de chave e, em seguida, armazene-o numa localização segura. Em alternativa, veja Criar uma cadeia aleatória para uma chave pré-partilhada IPsec. |
|
Preencha a Tabela S para as sub-redes desta solução.
Para a primeira sub-rede, determine um espaço de endereços de 28 bits (com um comprimento de prefixo /28) para a sub-rede do gateway do Azure. Veja Calcular o espaço de endereços da sub-rede do gateway para redes virtuais do Azure para obter informações sobre como determinar este espaço de endereços.
Para a segunda sub-rede, especifique um nome amigável, um único espaço de endereços IP baseado no espaço de endereços da rede virtual e um objetivo descritivo.
Trabalhe com o seu departamento de TI para determinar estes espaços de endereços do espaço de endereços da rede virtual. Ambos os espaços de endereços devem estar no formato CIDR.
Tabela S: Sub-redes na rede virtual
Item | Nome da sub-rede | Espaço de endereços da sub-rede | Objetivo |
---|---|---|---|
1. |
GatewaySubnet |
|
A sub-rede utilizada pelo gateway do Azure. |
2. |
|
|
|
Para os servidores DNS no local que pretende que as máquinas virtuais na rede virtual utilizem, preencha a Tabela D. Atribua a cada servidor DNS um nome amigável e um único endereço IP. Este nome amigável não tem de corresponder ao nome do anfitrião ou ao nome do computador do servidor DNS. Tenha em atenção que estão listadas duas entradas em branco, mas pode adicionar mais. Trabalhe com o seu departamento de TI para determinar esta lista.
Tabela D: Servidores DNS no local
Item | Nome amigável do servidor DNS | Endereço IP do servidor DNS |
---|---|---|
1. |
|
|
2. |
|
|
Para encaminhar pacotes da rede virtual do Azure para a rede da sua organização através da ligação VPN site a site, tem de configurar a rede virtual com uma rede local. Esta rede local tem uma lista dos espaços de endereços (no formato CIDR) para todas as localizações na rede no local da sua organização que as máquinas virtuais na rede virtual têm de alcançar. Estas podem ser todas as localizações na rede no local ou num subconjunto. A lista de espaços de endereços que definem a sua rede local tem de ser exclusiva e não pode sobrepor-se aos espaços de endereços utilizados para esta rede virtual ou outras redes virtuais em vários locais.
Para o conjunto de espaços de endereços de rede local, preencha a Tabela L. Tenha em atenção que estão listadas três entradas em branco, mas normalmente precisará de mais. Trabalhe com o seu departamento de TI para determinar esta lista.
Tabela L: Prefixos de endereço para a rede local
Item | Espaço de endereços de rede local |
---|---|
1. |
|
2. |
|
3. |
|
Mapa de objetivos de implementação
Criar a rede virtual em vários locais e adicionar máquinas virtuais no Azure consiste em três fases:
- Fase 1: Preparar a sua rede no local.
- Fase 2: criar a rede virtual em vários locais no Azure.
- Fase 3 (Opcional): Adicionar máquinas virtuais.
Fase 1: Preparar a sua rede no local
Tem de configurar a sua rede no local com uma rota que aponte para e, em última análise, entrega o tráfego destinado ao espaço de endereços da rede virtual para o router no limite da rede no local. Consulte o administrador de rede para determinar como adicionar a rota à infraestrutura de encaminhamento da sua rede no local.
Eis a configuração resultante.
Fase 2: Criar a rede virtual em vários locais no Azure
Em primeiro lugar, abra um pedido de Azure PowerShell. Se não tiver instalado Azure PowerShell, consulte Introdução ao Azure PowerShell.
Em seguida, inicie sessão na sua conta do Azure com este comando.
Connect-AzAccount
Obtenha o nome da subscrição com o seguinte comando.
Get-AzSubscription | Sort SubscriptionName | Select SubscriptionName
Defina a sua subscrição do Azure com estes comandos. Substitua tudo dentro das aspas, incluindo os < carateres e > , pelo nome de subscrição correto.
$subscrName="<subscription name>"
Select-AzSubscription -SubscriptionName $subscrName
Em seguida, crie um novo grupo de recursos para a sua rede virtual. Para determinar um nome de grupo de recursos exclusivo, utilize este comando para listar os grupos de recursos existentes.
Get-AzResourceGroup | Sort ResourceGroupName | Select ResourceGroupName
Crie o seu novo grupo de recursos com estes comandos.
$rgName="<resource group name>"
$locName="<Table V - Item 2 - Value column>"
New-AzResourceGroup -Name $rgName -Location $locName
Em seguida, vai criar a rede virtual do Azure.
# Fill in the variables from previous values and from Tables V, S, and D
$rgName="<name of your new resource group>"
$locName="<Azure location of your new resource group>"
$vnetName="<Table V - Item 1 - Value column>"
$vnetAddrPrefix="<Table V - Item 4 - Value column>"
$gwSubnetPrefix="<Table S - Item 1 - Subnet address space column>"
$SubnetName="<Table S - Item 2 - Subnet name column>"
$SubnetPrefix="<Table S - Item 2 - Subnet address space column>"
$dnsServers=@( "<Table D - Item 1 - DNS server IP address column>", "<Table D - Item 2 - DNS server IP address column>" )
$locShortName=(Get-AzResourceGroup -Name $rgName).Location
# Create the Azure virtual network and a network security group that allows incoming remote desktop connections to the subnet that is hosting virtual machines
$gatewaySubnet=New-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix $gwSubnetPrefix
$vmSubnet=New-AzVirtualNetworkSubnetConfig -Name $SubnetName -AddressPrefix $SubnetPrefix
New-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName -Location $locName -AddressPrefix $vnetAddrPrefix -Subnet $gatewaySubnet,$vmSubnet -DNSServer $dnsServers
$rule1=New-AzNetworkSecurityRuleConfig -Name "RDPTraffic" -Description "Allow RDP to all VMs on the subnet" -Access Allow -Protocol Tcp -Direction Inbound -Priority 100 -SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 3389
New-AzNetworkSecurityGroup -Name $SubnetName -ResourceGroupName $rgName -Location $locShortName -SecurityRules $rule1
$vnet=Get-AzVirtualNetwork -ResourceGroupName $rgName -Name $vnetName
$nsg=Get-AzNetworkSecurityGroup -Name $SubnetName -ResourceGroupName $rgName
Set-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $SubnetName -AddressPrefix $SubnetPrefix -NetworkSecurityGroup $nsg
$vnet | Set-AzVirtualNetwork
Eis a configuração resultante.
Em seguida, utilize estes comandos para criar os gateways para a ligação VPN site a site.
# Fill in the variables from previous values and from Tables V and L
$vnetName="<Table V - Item 1 - Value column>"
$localGatewayIP="<Table V - Item 3 - Value column>"
$localNetworkPrefix=@( <comma-separated, double-quote enclosed list of the local network address prefixes from Table L, example: "10.1.0.0/24", "10.2.0.0/24"> )
$vnetConnectionKey="<Table V - Item 5 - Value column>"
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
# Attach a virtual network gateway to a public IP address and the gateway subnet
$publicGatewayVipName="PublicIPAddress"
$vnetGatewayIpConfigName="PublicIPConfig"
New-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName -Location $locName -AllocationMethod Dynamic
$publicGatewayVip=Get-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName
$vnetGatewayIpConfig=New-AzVirtualNetworkGatewayIpConfig -Name $vnetGatewayIpConfigName -PublicIpAddressId $publicGatewayVip.Id -SubnetId $vnet.Subnets[0].Id
# Create the Azure gateway
$vnetGatewayName="AzureGateway"
$vnetGateway=New-AzVirtualNetworkGateway -Name $vnetGatewayName -ResourceGroupName $rgName -Location $locName -GatewayType Vpn -VpnType RouteBased -IpConfigurations $vnetGatewayIpConfig
# Create the gateway for the local network
$localGatewayName="LocalNetGateway"
$localGateway=New-AzLocalNetworkGateway -Name $localGatewayName -ResourceGroupName $rgName -Location $locName -GatewayIpAddress $localGatewayIP -AddressPrefix $localNetworkPrefix
# Create the Azure virtual network VPN connection
$vnetConnectionName="S2SConnection"
$vnetConnection=New-AzVirtualNetworkGatewayConnection -Name $vnetConnectionName -ResourceGroupName $rgName -Location $locName -ConnectionType IPsec -SharedKey $vnetConnectionKey -VirtualNetworkGateway1 $vnetGateway -LocalNetworkGateway2 $localGateway
Eis a configuração resultante.
Em seguida, configure o seu dispositivo VPN no local para ligar ao gateway de VPN do Azure. Para obter mais informações, veja About VPN Devices for site-to-site Azure Rede Virtual connections (Acerca de Dispositivos VPN para ligações de site a site do Azure Rede Virtual).
Para configurar o dispositivo VPN, precisará do seguinte:
- O endereço IPv4 público do gateway de VPN do Azure para a sua rede virtual. Utilize o comando get-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName para apresentar este endereço.
- A chave pré-partilhada IPsec para a ligação VPN site a site (tabela V- Item 5 - coluna Valor).
Eis a configuração resultante.
Fase 3 (Opcional): Adicionar máquinas virtuais
Crie as máquinas virtuais de que precisa no Azure. Para obter mais informações, consulte Criar uma máquina virtual do Windows com o portal do Azure.
Utilize as seguintes definições:
- No separador Informações básicas , selecione a mesma subscrição e grupo de recursos que a sua rede virtual. Irá precisar destes mais tarde para iniciar sessão na máquina virtual. Na secção Detalhes da instância, escolha o tamanho adequado da máquina virtual. Registe o nome de utilizador e a palavra-passe da conta de administrador numa localização segura.
- No separador Rede , selecione o nome da rede virtual e a sub-rede para alojar máquinas virtuais (não a GatewaySubnet). Deixe todas as outras definições nos valores predefinidos.
Verifique se a máquina virtual está a utilizar o DNS corretamente ao verificar o DNS interno para garantir que foram adicionados registos de Endereço (A) à nova máquina virtual. Para aceder à Internet, as máquinas virtuais do Azure têm de ser configuradas para utilizar o servidor proxy da sua rede no local. Contacte o administrador de rede para obter passos de configuração adicionais a executar no servidor.
Eis a configuração resultante.
Passo seguinte
Implementar a Sincronização de Diretórios do Microsoft 365 no Microsoft Azure