Configurações de conectividade no Azure Virtual Network Manager

O Azure Virtual Network Manager simplifica o gerenciamento de conectividade, segurança, roteamento e muito mais em seu ambiente de rede do Azure. As configurações de conectividade, incluindo topologias mesh e hub-and-spoke, ajudam a otimizar o desempenho e a conectividade da rede na escala da sua organização. Este artigo aborda recursos como grupos conectados de alta escala e conectividade de malha global, juntamente com casos de uso e configurações para cada topologia.

Configuração de conectividade

Com configurações de conectividade, você pode criar e manter diferentes topologias de rede com base em suas necessidades de rede. Você tem duas topologias para escolher: mesh e hub-and-spoke. A conectividade entre as redes virtuais é definida pelas definições da configuração de conectividade. Você define as redes virtuais para as quais deseja estabelecer conectividade por meio de grupos de rede. Em seguida, a configuração de conectividade usa os grupos de rede para estabelecer a conectividade conforme descrito pela topologia desejada entre as redes virtuais nos grupos de rede.

Se a exclusão de emparelhamentos existentes estiver habilitada para sua configuração de conectividade, todos os emparelhamentos que não corresponderem ao conteúdo dessa configuração de conectividade poderão ser removidos, mesmo que esses emparelhamentos tenham sido criados manualmente após a implantação dessa configuração. Se você remover uma rede virtual de um grupo de rede usado na configuração, sua instância do Gerenciador de Rede Virtual do Azure removerá apenas a conectividade que ela criou.

Quando você implanta uma configuração de conectividade, o Gerenciador de Rede Virtual do Azure estabelece conectividade bidirecional por meio de emparelhamentos de rede virtual (para topologias hub-and-spoke) ou por meio de grupos conectados (para topologias de malha) entre redes virtuais. Essa conectividade é estabelecida de acordo com as configurações definidas e os grupos de rede incluídos na configuração de conectividade.

Topologia em malha

Uma topologia de malha define a conectividade entre cada rede virtual no grupo de rede. Todas as redes virtuais membros estão conectadas e podem passar o tráfego bidirecionalmente entre si.

Um caso de uso comum de uma topologia de malha é permitir que redes virtuais spoke em uma topologia hub-and-spoke se comuniquem diretamente entre si sem rotear o tráfego através da rede virtual do hub. Essa abordagem reduz a latência que, de outra forma, poderia resultar do roteamento de tráfego através de um roteador no hub. Além disso, você pode manter a segurança e a supervisão sobre as conexões diretas entre redes virtuais spoke implementando regras de administração de segurança no Gerenciador de Rede Virtual do Azure ou regras de grupo de segurança de rede. O tráfego também pode ser monitorado e registrado usando logs de fluxo de rede virtual.

Por padrão, a topologia de malha definida na configuração de conectividade é uma malha regional, o que significa que apenas redes virtuais na mesma região podem se comunicar entre si. Você pode habilitar uma opção de malha global em sua configuração de conectividade para estabelecer conectividade entre redes virtuais em todas as regiões do Azure.

Por detrás dos bastidores: grupo interligado

Quando você cria uma topologia de malha ou habilita a conectividade direta em uma topologia hub-and-spoke, uma nova construção de conectividade exclusiva para o Azure Virtual Network Manager é criada. Essa construção é chamada de grupo conectado. As redes virtuais em um grupo conectado podem se comunicar entre si da mesma forma que as redes virtuais conectadas manualmente. Ao observar as rotas efetivas para uma interface de rede, ver-se-á um tipo de próximo salto de ConnectedGroup. As redes virtuais conectadas em um grupo conectado não têm uma configuração de emparelhamento listada em Emparelhamento para a rede virtual. Esse grupo conectado é o que permite que o Gerenciador de Rede Virtual do Azure ofereça suporte a uma escala mais alta de conectividade de rede virtual do que os emparelhamentos de rede virtual tradicionais.

Habilitar a conectividade de alta escala em grupos conectados do Azure Virtual Network Manager

O recurso de conectividade de alta escala do Gerenciador de Rede Virtual do Azure no recurso de grupo conectado permite que você estenda sua capacidade de rede. Para utilizar este recurso, registre o recurso de visualização "AllowHighScaleConnectedGroup" (você pode encontrá-lo com o Nome para exibição de "Ativar Grupo Conectado de Alta Escala"). Este recurso permite que um grupo conectado nas regiões suportadas contenha até 5.000 redes virtuais.

Habilitar pontos de extremidade privados de alta escala em grupos conectados do Azure Virtual Network Manager

O recurso de ponto de extremidade privado de alta escala do Gerenciador de Rede Virtual do Azure no recurso de grupo conectado permite que você estenda sua capacidade de rede. Use as etapas a seguir para habilitar esse recurso a oferecer suporte a até 20.000 pontos de extremidade privados em todo o grupo conectado.

Preparar cada rede virtual no grupo conectado

1. Consulte Increase Private Endpoint virtual network limits para obter orientações detalhadas sobre como aumentar esses limites. Ativar ou desativar esse recurso inicia uma redefinição de conexão única. Recomendamos realizar essas alterações durante uma janela de manutenção.

2. Registe o sinalizador de recurso de Microsoft.Network/EnableMaxPrivateEndpointsVia64kPath para cada subscrição que contenha uma instância do Gerenciador de Redes Virtuais do Azure e redes virtuais no seu grupo conectado.

   Importante

   Esse registro é essencial para desbloquear a capacidade estendida de ponto final privado. Para obter mais informações, consulte Como habilitar a documentação de recursos de visualização do Azure.

3. Em cada rede virtual dentro do seu grupo conectado, configure as Políticas de Rede de Ponto Final Privado para um Enabled ou RouteTableEnabled. Essa configuração garante que as suas redes virtuais estejam prontas para oferecer suporte à funcionalidade de pontos de extremidade privados de grande escala. Para obter orientações detalhadas, consulte Aumentar os limites da rede virtual do Ponto Final Privado.

Configurar topologia de malha para pontos finais privados de grande escala

Nesta etapa, o utilizador configura as definições de topologia de malha relativas à configuração de conectividade para o grupo de ligação, a fim de habilitar pontos finais privados de alta escala. Esta etapa envolve a seleção das opções apropriadas no portal do Azure e a verificação da configuração.

1. Na configuração de conectividade de malha, localize e marque a caixa de seleção Habilitar pontos de extremidade privados de alta escala. Esta opção ativa o recurso de alta escala para seu grupo conectado.

2. Verifique se cada rede virtual em toda a malha (grupo conectado) está configurada com pontos de extremidade privados de alta escala. O portal do Azure valida as configurações em todo o grupo. Se uma rede virtual sem a configuração de alta escala for adicionada posteriormente, ela não poderá se comunicar com pontos de extremidade privados em outras redes virtuais.

3. Depois de verificar se todas as redes virtuais estão configuradas corretamente, implante a configuração de conectividade. Esta etapa finaliza a configuração do seu grupo conectado de alta escala.

Topologia de hub e raio

Uma topologia hub-and-spoke define a conectividade entre uma rede virtual de hub selecionada e redes virtuais spoke que são membros de um ou mais grupos de rede spoke selecionados. A rede virtual do hub é emparelhada bidirecionalmente com os membros da rede virtual de cada grupo de rede spoke na configuração. Essa topologia é útil para isolar uma rede virtual, mas ainda manter a conectividade com recursos comuns na rede virtual do hub.

Nessa configuração, você tem configurações que pode habilitar, como conectividade direta entre redes virtuais spoke que pertencem ao mesmo grupo de rede spoke . Por padrão, essa conectividade só é estabelecida para redes virtuais na mesma região. Para permitir a conectividade entre diferentes regiões do Azure, você precisa habilitar a configuração de malha global para o grupo de rede spoke. Você também pode habilitar o trânsito de gateway para permitir que as redes virtuais spoke usem o gateway VPN ou ExpressRoute implantado na rede virtual do hub.

Habilite a conectividade direta

Habilitar a conectividade direta para um grupo de rede spoke cria uma malha (e, portanto, um grupo conectado) nas redes virtuais desse grupo de rede spoke dentro da sua topologia hub-and-spoke. A conectividade direta permite que uma rede virtual fale diretamente com outras redes virtuais dentro de seu grupo de rede falada, mas não permite a conectividade com redes virtuais em outros grupos de rede falada.

Por exemplo, você cria dois grupos de rede e os inclui como grupos de rede spoke em sua configuração de conectividade hub-and-spoke. Você habilita a conectividade direta para o grupo de rede de produção, mas não para o grupo de rede de teste. Essa configuração conecta a rede virtual do hub com todas as redes virtuais nos grupos de rede de produção e teste , mas só permite que as redes virtuais no grupo de rede de produção se comuniquem entre si. As redes virtuais do grupo de rede de produção não têm conectividade com as redes virtuais do grupo de rede de teste e as redes virtuais do grupo de rede de teste não têm conectividade entre si (a menos que a conectividade direta também esteja habilitada para o grupo de rede de teste ).

Quando se observam rotas efetivas numa máquina virtual, a rota entre o hub e as redes virtuais filiais verá o próximo salto do tipo VNetPeering ou GlobalVNetPeering. As rotas entre redes virtuais ramificadas aparecerão com o tipo de próximo salto ConnectedGroup. Com o exemplo Produção e Teste, apenas o grupo de rede Produção teria um ConnectedGroup porque tem conectividade direta habilitada.

A conectividade direta entre redes virtuais spoke pode ser útil quando você deseja ter um dispositivo virtual de rede (NVA) ou um serviço comum na rede virtual do hub, mas o hub não precisa ser sempre acessado para que as redes virtuais spoke confiáveis se comuniquem entre si. Em comparação com as redes hub-and-spoke tradicionais, essa topologia melhora o desempenho removendo o salto extra através da rede virtual do hub.

Malha global

Tal como acontece com a topologia de malha, um grupo de rede spoke com conectividade direta ativada é configurado como regional por padrão. Você pode habilitar a malha global quando quiser que as redes virtuais do seu grupo de rede spoke se comuniquem entre si entre regiões. Essa conectividade é limitada a redes virtuais no mesmo grupo de redes. Para habilitar essa conectividade de malha global para redes virtuais entre regiões, você precisa Habilitar a conectividade de malha entre regiões para o grupo de rede. As conexões criadas entre redes virtuais spoke estão em um grupo conectado.

Usar hub como gateway

Outra opção que você pode habilitar em uma configuração hub-and-spoke é usar o hub como um gateway. Essa configuração permite que todas as redes virtuais no grupo de rede spoke usem o gateway VPN ou ExpressRoute na rede virtual do hub para passar tráfego. Veja Gateways e conetividade no local.

Quando você implanta uma topologia hub-and-spoke a partir do portal do Azure, a opção Usar hub como gateway é habilitada por padrão para as redes virtuais spoke no grupo de rede. O Azure Virtual Network Manager tenta criar uma conexão de emparelhamento de rede virtual entre a rede virtual do hub e as redes virtuais nos grupos de rede falada. Se esta opção estiver ativa, mas não existir um gateway na rede virtual de hub, a criação do emparelhamento da rede virtual de spoke para o hub não será possível. A conexão de emparelhamento do hub para o spoke ainda será criada sem uma conexão estabelecida.

Descubra a topologia de grupo de rede com a Visualização de Topologia

Para ajudá-lo a entender a topologia do seu grupo de rede, o Gerenciador de Rede Virtual do Azure fornece um Modo de Exibição de Topologia que exibe a conectividade entre grupos de rede e suas redes virtuais membros. Você pode visualizar a topologia da configuração de conectividade durante a criação da configuração de conectividade com as seguintes etapas:

1. Navegue até a página Configurações e crie uma configuração de conectividade.

2. Na guia Topologia, selecione o tipo de topologia desejado, adicione um ou mais grupos de rede à topologia e defina outras configurações de conectividade desejadas.

3. Selecione a guia Exibir topologia para revisar visualmente a conectividade atual da sua configuração.

4. Conclua a criação da sua configuração de conectividade.

Você pode revisar a topologia atual de uma configuração de conectividade selecionando Exibir topologia em Configurações na página de detalhes da configuração. A exibição mostra a conectividade entre as redes virtuais como parte desta configuração de conectividade.

Próximos passos

• Saiba como criar uma configuração de conectividade de malha.
• Saiba como criar uma configuração de conectividade hub-and-spoke.
• Crie uma topologia hub-and-spoke segura neste tutorial.
• Saiba como implantar uma topologia hub-and-spoke com o Firewall do Azure.
• Compreenda as implantações de configuração para gerenciar com eficiência suas configurações de rede.
• Bloqueie o tráfego de rede indesejado usando configurações de administração de segurança.
• Implante o Azure Virtual Network Manager usando o Terraform para configurar rapidamente seu ambiente.