Ligar serviços com peering de rede virtual

  • 8 minutos

Você pode usar o emparelhamento de rede virtual para conectar diretamente as redes virtuais do Azure. Quando você usa o emparelhamento para conectar redes virtuais, as máquinas virtuais (VMs) nessas redes podem se comunicar entre si como se estivessem na mesma rede.

Com redes virtuais emparelhadas, o tráfego entre máquinas virtuais é roteado através da rede do Azure. O tráfego só utiliza endereços IP privados. Não depende da existência de uma ligação à Internet, de gateways nem de ligações encriptadas. O tráfego é sempre privado e tira partido da largura de banda alta e da latência baixa da rede backbone do Azure.

Um diagrama básico de duas redes virtuais conectadas por emparelhamento de rede virtual.

Os dois tipos de ligações de peering são criados da mesma forma:

  • O Peering de rede virtual liga redes virtuais na mesma região do Azure, por exemplo, duas redes virtuais na Europa do Norte.
  • O Peering de rede virtual global liga redes virtuais que estão em regiões do Azure diferentes, por exemplo, uma rede virtual na Europa do Norte que se encontra e uma rede virtual na Europa Ocidental.

O emparelhamento de rede virtual não afeta nem interrompe os recursos já implantados em suas redes virtuais. Ao usar o emparelhamento de rede virtual, considere os principais recursos definidos nas seções a seguir.

Ligações recíprocas

Quando você cria uma conexão de emparelhamento de rede virtual com o Azure PowerShell ou a CLI do Azure, apenas um lado do emparelhamento é criado. Para concluir a configuração de emparelhamento de rede virtual, você precisa configurar o emparelhamento na direção inversa para estabelecer conectividade. Quando você cria a conexão de emparelhamento de rede virtual por meio do portal do Azure, a configuração para ambos os lados é concluída ao mesmo tempo.

Pense na forma como liga dois comutadores de rede. Você pode conectar um cabo a cada switch e talvez definir algumas configurações para que os switches possam se comunicar. O peering de rede virtual precisa de ligações semelhantes em cada rede virtual. As ligações recíprocas proporcionam esta funcionalidade.

Peering de rede virtual de subscrição cruzada

Pode utilizar peering de rede virtual mesmo quando as redes virtuais estão em subscrições diferentes. Essa configuração pode ser necessária para fusões e aquisições ou para conectar redes virtuais em assinaturas gerenciadas por diferentes departamentos. As redes virtuais podem estar em assinaturas diferentes, e as assinaturas podem usar os mesmos ou diferentes locatários do Microsoft Entra.

Quando utiliza peering de rede virtual em subscrições, pode verificar que um administrador de uma subscrição não administra a subscrição da rede ligada através de peering. O administrador poderá não conseguir configurar ambas as extremidades da ligação. Para emparelhar as redes virtuais quando ambas as assinaturas estiverem em locatários diferentes do Microsoft Entra, os administradores de cada assinatura devem conceder ao administrador da assinatura par a Network Contributor função em sua rede virtual.

Transitoriedade

O peering de rede virtual não é transitivo. Só as redes virtuais que estão diretamente em modo de peering podem comunicar entre si. As redes virtuais não podem comunicar com os seus pares.

Suponha, por exemplo, que suas três redes virtuais (A, B, C) sejam emparelhadas assim: A <-> B <-> C. Os recursos em A não podem se comunicar com recursos em C porque esse tráfego não pode transitar pela rede virtual B. Se você precisar de comunicação entre a rede virtual A e a rede virtual C, deverá emparelhar explicitamente essas duas redes virtuais.

Trânsito de gateway

Você pode se conectar à sua rede local a partir de uma rede virtual emparelhada se habilitar o trânsito de gateway de uma rede virtual que tenha um gateway VPN. Ao utilizar trânsito de gateway, pode permitir que haja conectividade no local sem ter de implementar gateways de rede virtual em todas as suas redes virtuais. Este método pode reduzir o custo geral e a complexidade da sua rede. Usando o emparelhamento de rede virtual com trânsito de gateway, você pode configurar uma única rede virtual como uma rede de hub. Ligue esta rede de hub ao seu datacenter no local e partilhe o respetivo gateway de rede virtual com elementos da rede.

Para habilitar o trânsito do gateway, configure a opção Permitir trânsito do gateway na rede virtual do hub onde a conexão do gateway com sua rede local está implantada. Configure também a opção Utilizar gateways remotos em qualquer rede virtual spoke.

Nota

Se quiser ativar a opção Utilizar gateways remotos num peering de rede virtual spoke, não pode implementar um gateway de rede virtual na rede virtual spoke.

Espaços de endereços sobrepostos

Os espaços de endereço IP de redes conectadas no Azure e entre o Azure e sua rede local não podem se sobrepor. Esta regra também é válida para redes virtuais emparelhadas. Lembre-se desta regra quando estiver a planear a estrutura da sua rede. Em qualquer rede que ligar através de peering de rede virtual, VPN ou ExpressRoute, atribua espaços de endereços diferentes que não se sobreponham.

Diagrama de uma comparação de endereçamento de rede sobreposto e não sobreposto.

Métodos de conectividade alternativos

O emparelhamento de rede virtual é a maneira menos complexa de conectar redes virtuais. Os outros métodos incidem principalmente na conectividade entre redes do Azure e no local, em vez de em ligações entre redes virtuais.

Você também pode conectar redes virtuais por meio de um circuito de Rota Expressa. O ExpressRoute é uma ligação privada e dedicada entre um datacenter no local e a rede backbone do Azure. As redes virtuais ligadas a um circuito do ExpressRoute fazem parte do mesmo domínio de encaminhamento e podem comunicar entre si. As ligações do ExpressRoute não passam pela Internet pública, o que garante que as suas comunicações com os serviços do Azure são tão seguras quanto possível.

As VPNs utilizam a Internet para ligar o seu datacenter no local ao backbone do Azure através de um túnel encriptado. Pode utilizar uma configuração site a site para ligar redes virtuais através de gateways de VPN. Os gateways de VPN tem uma latência superior à das configurações de peering de rede virtual. Eles são mais complexos e podem custar mais para gerenciar.

Quando as redes virtuais estão ligadas através de um gateway e de peering de rede virtual, o tráfego flui através da configuração de peering.

Quando se deve optar por peering de rede virtual

O peering de rede virtual pode ser uma excelente forma de possibilitar a conectividade de rede entre serviços que estão em redes virtuais diferentes. O emparelhamento de rede virtual deve ser sua primeira escolha quando você precisar integrar redes virtuais do Azure. É fácil de implementar e implementar e funciona bem em regiões e subscrições.

O emparelhamento pode não ser sua melhor opção se você tiver conexões ou serviços VPN ou ExpressRoute existentes por trás dos Balanceadores de Carga Básicos do Azure que seriam acessados de uma rede virtual emparelhada. Nestes casos, deve procurar alternativas.