Trabalhar com redes híbridas no Azure

• 10 minutos

A sua organização está ansiosa por avançar com a migração para a cloud. Você explorou os méritos de usar o Azure ExpressRoute para fornecer uma conexão dedicada de alta velocidade entre sua rede local e o Azure.

A diligência devida exige que explore as outras opções de arquitetura híbrida disponíveis para ligar a sua rede no local ao Azure.

Nesta unidade, irá:

• Conhecer as ligações de rede privada virtual.
• Analisar uma opção de resiliência para o ExpressRoute.
• Considerar as vantagens da topologia de rede hub and spoke.

O que é uma arquitetura de rede híbrida?

Rede híbrida é um termo usado quando duas topologias de rede diferentes se combinam para formar uma única rede coesa. Com o Azure, uma rede híbrida representa a intercalação ou a combinação de uma rede no local com uma rede virtual do Azure. Permite a utilização contínua da sua infraestrutura existente e, ao mesmo tempo, a obtenção de todos os benefícios da computação e do acesso com base na cloud.

Existem vários motivos pelos quais poderá querer adotar uma solução de rede híbrida. Os dois mais comuns são:

• Para migrar de uma rede no local pura para uma rede com base na cloud pura.
• Para expandir os seus recursos e rede no local de forma a suportar os serviços cloud.

Sejam quais forem as motivações para a adição de serviços cloud à sua infraestrutura, existem várias arquiteturas a ter em consideração. Abordámos o ExpressRoute na unidade anterior. As outras arquiteturas são:

• Gateway de VPN do Azure
• ExpressRoute com ativação pós-falha de VPN
• Topologia de rede hub and spoke

Gateway de VPN do Azure

O Gateway de VPN do Azure (um serviço de gateway de rede virtual) permite uma conectividade de VPN site a site e ponto a site entre a sua rede no local e o Azure.

Uma VPN, ou rede privada virtual, é uma arquitetura de rede bem estabelecida e compreendida.

O Gateway de VPN utiliza a sua ligação à Internet existente. No entanto, toda a comunicação é encriptada com os protocolos IKE (Internet Key Exchange) e IPsec (Internet Protocol Security). Só pode ter um gateway de rede virtual por rede virtual.

Quando configurar um gateway de rede virtual, tem de especificar se se trata de um gateway de VPN ou de um gateway do ExpressRoute.

O tipo VPN depende do tipo de topologia de ligação de que precisa. Por exemplo, se quiser criar um gateway ponto a site (P2S) ou ponto a ponto (P2P), tem de utilizar o tipo RouteBased. Existem dois tipos de VPN:

• PolicyBased: usa um túnel IPsec para criptografar pacotes de dados. A configuração da política usa prefixos de endereço extraídos da sua rede virtual do Azure e da sua rede local.
• RouteBased: usa as tabelas de roteamento ou encaminhamento IP para rotear pacotes de dados para o túnel correto. Cada túnel encripta e desencripta todos os pacotes.

Depois de especificar o tipo de VPN para o gateway de rede virtual, não é possível alterá-lo. Se você precisar fazer uma alteração, exclua o gateway de rede virtual e crie-o novamente.

Site a Site

Todas as ligações de gateway site a site utilizam um túnel VPN IPsec/IKE para criar uma ligação entre o Azure e a sua rede no local. Uma conexão site a site requer um dispositivo VPN local com um endereço IP acessível publicamente.

Ponto a site

Uma ligação de gateway ponto a site cria uma ligação protegida entre um dispositivo individual e a sua rede virtual do Azure. Este tipo de gateway é adequado para colaboradores remotos; por exemplo, utilizadores que estão a participar numa conferência ou trabalham em casa. Uma ligação ponto a site não requer um dispositivo VPN no local dedicado.

Benefícios

Eis alguns dos benefícios da utilização de uma ligação VPN:

• É uma tecnologia bem conhecida e fácil de configurar e manter.
• Todo o tráfego de dados é encriptado.
• É melhor para lidar com cargas de tráfego de dados mais leves.

Considerações

Quando avaliar a utilização desta arquitetura híbrida, tenha em consideração os seguintes aspetos:

• As ligações VPN utilizam a Internet.
• Poderá haver possíveis problemas de latência, consoante o tamanho e a utilização da largura de banda.
• O Azure suporta uma largura de banda máxima de 1,25 Gbps.
• Um dispositivo VPN local é necessário para conexões site a site.

ExpressRoute com ativação pós-falha de VPN

Uma das garantias da utilização do ExpressRoute é que este proporciona um elevado nível de disponibilidade. Cada circuito do ExpressRoute é fornecido com gateways duplos. No entanto, mesmo com este nível de resiliência incorporado no lado do Azure da rede, a conectividade poderá ser interrompida. Uma forma de corrigir esta situação e manter a conectividade é fornecer um serviço de ativação pós-falha de VPN.

A intercalação da ligação VPN e do ExpressRoute melhora a resiliência da sua ligação de rede. Quando funciona em condições normais, o ExpressRoute comporta-se precisamente como uma arquitetura do ExpressRoute normal, com a ligação VPN a permanecer inativa. Se o circuito do ExpressRoute falhar ou ficar offline, a ligação VPN assume o controlo. Esta ação garante a disponibilidade da rede em todas as circunstâncias. Quando o circuito do ExpressRoute é restaurado, todo o tráfego passa a utilizar novamente a ligação do ExpressRoute.

Arquitetura de referência para o ExpressRoute com ativação pós-falha de VPN

O seguinte diagrama mostra como ligar a sua rede no local ao Azure com recurso ao ExpressRoute com uma ativação pós-falha de VPN. A topologia escolhida nesta solução é uma ligação site a site baseada em VPN com elevado fluxo de tráfego.

Neste modelo, todo o tráfego de rede é encaminhado através da ligação privada do ExpressRoute. Quando a conectividade é perdida no circuito do ExpressRoute, a sub-rede de gateway executa automaticamente uma ativação pós-falha para o circuito do gateway de VPN site a site. A linha pontilhada do gateway para o gateway VPN na rede virtual do Azure indica esse cenário.

Quando o circuito do ExpressRoute é restaurado, o tráfego abandona automaticamente o gateway de VPN.

Benefícios

O seguinte benefício está disponível ao implementar o ExpressRoute com uma ativação pós-falha de VPN:

• Cria uma rede resiliente de elevada disponibilidade.

Considerações

Quando implementar um ExpressRoute com arquitetura de ativação pós-falha de VPN, tenha em consideração os seguintes aspetos:

• Quando ocorre uma ativação pós-falha, a largura de banda é reduzida para velocidades de ligação VPN.

• Os recursos do gateway do ExpressRoute e de VPN têm de estar na mesma rede virtual.

• A configuração é extremamente complexa.

• A implementação requer uma ligação do ExpressRoute e uma ligação VPN.

• A implementação requer um gateway de VPN redundante e hardware de VPN local.

  Nota

  O gateway de VPN redundante implica o pagamento de custos, mesmo quando não está a ser utilizado.

Topologia de rede hub and spoke

A topologia de rede hub-spoke permite estruturar as cargas de trabalho que seus servidores realizam. Ele usa uma única rede virtual como hub, que se conecta à sua rede local por meio de VPN ou Rota Expressa. Os spokes são outras redes virtuais com ligações de peering ao hub. Você pode atribuir cargas de trabalho específicas a cada fala e usar o hub para serviços compartilhados.

Pode implementar o hub e cada spoke em subscrições ou grupos de recursos separados e, em seguida, estabelecer uma ligação de peering entre eles.

Esse modelo usa uma das três abordagens discutidas anteriormente: VPN, Rota Expressa e Rota Expressa com failover de VPN. Os benefícios e desafios associados a estas abordagens são mencionados nas secções que se seguem.

Benefícios

A implementação de uma arquitetura hub and spoke tem os seguintes benefícios:

• A utilização de serviços centralizados e de partilha no hub poderá reduzir a necessidade de duplicação nos spokes, o que pode reduzir os custos.
• Os limites da subscrição são superados ao estabelecer ligações de peering entre redes virtuais.
• O modelo hub and spoke permite a separação das áreas de trabalho da organização em spokes dedicados, tais como o SecOps, o InfraOps e o DevOps.

Considerações

Quando avaliar a utilização desta arquitetura híbrida, tenha em consideração o seguinte aspeto:

• Veja os serviços partilhados no hub e o que permanece nos spokes.

Verifique o seu conhecimento

1.

Por que motivo implementaria um gateway de VPN na sua rede virtual do Azure?

Para melhorar o desempenho do circuito do ExpressRoute.

Para permitir a ligação do circuito do ExpressRoute à sua rede virtual do Azure.

Para permitir a ligação do circuito do ExpressRoute à sua rede no local.

Para obter uma ligação de ativação pós-falha.

2.

Como são encaminhadas as ligações do gateway de VPN para uma rede no local?

Através de uma ligação VPN privada

Através da Internet pública

Através do datacenter do Azure.

Provisionando um gestor de tráfego.

3.

Qual é o motivo subjacente para implementar uma arquitetura hub and spoke?

Maior visibilidade de custos.

Maior segurança.

Maior visibilidade do negócio.

Comunicações de rede mais rápidas.

Tem de responder a todas as questões antes de verificar o seu trabalho.