Arquitetura de WAN Virtual otimizada para requisitos específicos do departamento

Uma empresa de manufatura global forneceu a arquitetura que este artigo descreve. A tecnologia operacional da empresa e os departamentos de tecnologia da informação são altamente integrados, exigindo uma única rede interna. No entanto, os ambientes têm requisitos de segurança e desempenho drasticamente diferentes. Devido à natureza confidencial das operações da empresa, todo o tráfego precisa ser protegido por firewall por uma NVA (solução de virtualização de rede) que o cliente hospeda em suas próprias máquinas virtuais e uma solução de Sistema de Proteção e Detecção de Intrusão (IDPS) precisa estar vigente. O departamento de tecnologia da informação tem requisitos de segurança menos exigentes para a rede, mas esse departamento deseja otimizar o desempenho para que os usuários tenham acesso de baixa latência aos aplicativos de TI.

Os tomadores de decisões da empresa recorreram à WAN Virtual do Azure para atender às necessidades globais de uma única rede com requisitos variados de segurança e desempenho. Eles também têm uma solução que é fácil de gerenciar, implantar e dimensionar. À medida que adicionam regiões, elas podem continuar a crescer diretamente com uma rede altamente otimizada para suas necessidades.

Possíveis casos de uso

Alguns casos de uso típicos dessa arquitetura:

• Uma organização global que exige uma solução de arquivo centralizada para trabalho comercialmente crítico.
• Cargas de trabalho de arquivos de alto desempenho que exigem arquivos armazenados em cache local.
• Uma força de trabalho remota flexível para usuários dentro e fora do escritório.
• Um requisito para usar NVAs auto-hospedadas.

Arquitetura

Baixe um arquivo do Visio dessa arquitetura.

Veja um resumo da arquitetura:

• Os usuários acessam redes virtuais de um branch.
• O Azure ExpressRoute estende suas redes locais para a nuvem da Microsoft em uma conexão privada com a ajuda de um provedor de conectividade.
• Um hub de WAN Virtual roteia o tráfego adequadamente para segurança ou desempenho. O hub contém vários pontos de extremidade de serviço para habilitar a conectividade.
• As rotas definidas pelo usuário forçam o tráfego para NVAs quando necessário.
• Cada NVA inspeciona o tráfego que está fluindo para uma rede virtual.
• O emparelhamento de rede virtual fornece a inspeção VNet a VNet no ambiente com otimização de desempenho.

A empresa tem várias regiões e continua a implantar regiões no modelo. A empresa implanta um ambiente otimizado para segurança ou com otimização de desempenho somente quando necessário. Os ambientes roteiam o seguinte tráfego por meio da solução de virtualização de rede (NVA):

Caminhos de tráfego

Como mostra o diagrama anterior, uma arquitetura de NVA e roteamento força todos os caminhos de tráfego no ambiente com segurança otimizada a usar o NVA entre as redes virtuais e o hub em uma arquitetura em camadas comum.

O ambiente com otimização de desempenho tem um esquema de roteamento mais personalizado. Esse esquema fornece um firewall e uma inspeção de tráfego onde são necessários. Ele não fornece um firewall onde não é necessário. O tráfego de VNet para VNet no espaço otimizado para desempenho é forçado por meio de NVA2, mas o tráfego de ramificação para rede virtual pode ir diretamente pelo hub. Da mesma forma, qualquer coisa direcionada para o ambiente seguro não precisa ir para NVA VNet2, porque é inspecionado na borda do ambiente seguro por NVA em NVA VNet1. O resultado é o acesso de alta velocidade à ramificação. A arquitetura ainda fornece a inspeção de VNet para VNet no ambiente com otimização de desempenho. Isso não é necessário para todos os clientes, mas pode ser realizado por meio de emparelhamentos que você pode ver na arquitetura.

Associações e propagações do hub de WAN Virtual

Configure rotas para o hub de WAN Virtual da seguinte maneira:

Requisitos de roteamento

• Uma rota personalizada na tabela de rotas padrão no hub de WAN Virtual para rotear todo o tráfego para VNet1 e VNet2 para secOptConnection.

  Nome da rota	Tipo de destino	Prefixo do destino	Próximo salto	IP do próximo salto
  Rota otimizada para segurança	CIDR	10.1.0.0/16	secOptConnection	<Endereço IP de NVA1>

• Uma rota estática no secOptConnection que encaminha o tráfego para VNet1 e VNet2 para o endereço IP de NVA1.

  Nome	Prefixo de endereço	Tipo do próximo salto	Endereço IP do próximo salto
  rt-a-secOptimized	10.1.0.0/16	Solução de virtualização	<Endereço IP de NVA1>

• Uma tabela de rotas personalizada no hub de WAN Virtual que é chamada perfOptimizedRouteTable. Esta tabela é usada para garantir que as redes virtuais com otimização de desempenho não possam se comunicar umas com as outras no hub e devem usar o emparelhamento para NVA VNet2.

• Um UDR associado a todas as sub-redes em VNet1 e VNet2 para rotear todo o tráfego de volta para NVA1.

  Nome	Prefixo de endereço	Tipo do próximo salto	Endereço IP do próximo salto
  rt-tudo	0.0.0.0/0	Solução de virtualização	<Endereço IP de NVA1>

• Um UDR associado a todas as sub-redes em VNet3 e VNet4 para rotear tráfego de VNet para VNet e tráfego de Internet para NVA2.

  Nome	Prefixo de endereço	Tipo do próximo salto	Endereço IP do próximo salto
  rt-a-internet	0.0.0.0/0	Solução de virtualização	<IP do endereço NVA2>
  vnet-a-vnet	10.2.0.0/16	Solução de virtualização	<Endereço IP de NVA2>

Componentes

• WAN Virtual do Azure. A WAN Virtual é um serviço de rede que reúne muitas funcionalidades de rede, segurança e roteamento para fornecer uma interface operacional. Nesse caso, ele simplifica e dimensiona o roteamento para as redes virtuais e ramificações conectadas.
• Azure ExpressRoute. O ExpressRoute estende as redes locais para a nuvem da Microsoft por meio de uma conexão privada.
• Rede Virtual do Azure. Uma rede virtual é o bloco de construção fundamental de sua rede privada no Azure. A Rede Virtual permite muitos tipos de recursos do Azure, como VMs (máquinas virtuais) do Azure, para se comunicar com segurança aprimorada entre si, Internet e redes locais.
• Hub wan virtual. Um hub virtual é uma rede virtual gerenciada pela Microsoft. O hub contém vários pontos de extremidade de serviço para habilitar a conectividade.
• Conexões de rede virtual do hub. O recurso de conexão de rede virtual do hub conecta o hub à rede virtual.
• Rotas estáticas. As rotas estáticas fornecem um mecanismo para direcionar o tráfego por meio de um IP do próximo salto.
• Tabelas de rotas do hub. Você pode criar uma rota de hub virtual e aplicar a rota à tabela de rotas do hub virtual.
• Emparelhamento de rede virtual. Usando o emparelhamento de rede virtual, você pode conectar perfeitamente duas ou mais redes virtuais no Azure.
• Rotas definidas pelo usuário. As rotas definidas pelo usuário são rotas estáticas que substituem as rotas do sistema padrão do Azure ou adicionam mais rotas à tabela de rotas de uma sub-rede. Elas são usadas aqui para forçar o tráfego para NVAs quando necessário.
• Dispositivos virtuais de rede. Soluções de virtualização de rede são dispositivos de rede oferecidos no marketplace. Nesse caso, a empresa implantou o NVA de Palo Alto, mas qualquer firewall NVA funcionaria aqui.

Alternativas

Se a auto-hospedagem de NVAs não for um requisito, existe uma solução mais simples em que a NVA está hospedada em um hub seguro do Azure VWAN, e a inspeção do tráfego interno é ajustada para cada conexão de rede virtual. No entanto, essa solução não permite que você discrimine entre o tráfego vnet-to-vnet e vnet-to-cross-premises.

Para implantar apenas um ambiente NVA de alta segurança, você pode seguir este modelo: Rotear o tráfego por meio de uma NVA.

Para implantar um modelo NVA personalizado que dê suporte ao tráfego de roteamento para um firewall dedicado para a Internet e ao tráfego de ramificação de roteamento em uma NVA, consulte Rotear o tráfego por meio de NVAs usando configurações personalizadas.

A alternativa anterior implanta um ambiente de alta segurança por trás de um NVA e oferece alguns recursos para implantar um ambiente personalizado. No entanto, ele difere do caso de uso descrito neste artigo de duas maneiras. Primeiro, ele mostra os dois modelos em isolamento em vez de em combinação. Em segundo lugar, ele não dá suporte ao tráfego VNet para VNet no ambiente personalizado (o que chamamos de ambiente com otimização de desempenho aqui).

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que você pode usar para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Well-Architected Framework.

Fiabilidade

A confiabilidade ajuda a garantir que seu aplicativo possa cumprir os compromissos que você faz aos seus clientes. Para obter mais informações, consulte a lista de verificação de revisão de design para Confiabilidade.

A WAN Virtual é um serviço de rede altamente disponível. Você pode configurar mais conectividade ou caminhos da ramificação para obter vários percursores para o serviço de WAN Virtual. No entanto, você não precisa de nada adicional no serviço VWAN.

Você deve configurar NVAs em uma arquitetura altamente disponível semelhante à descrita aqui: implantar NVAs altamente disponíveis.

Segurança

A segurança fornece garantias contra ataques deliberados e o uso indevido de seus valiosos dados e sistemas. Para obter mais informações, consulte a lista de verificação de revisão de design para Segurança.

Com NVAs, você pode usar recursos como IDPS com WAN Virtual.

Nessa implantação, as rotas que cruzam o hub de WAN Virtual para um ambiente com otimização de desempenho não passam pelo NVA nesse ambiente. Isso apresenta um possível problema com o tráfego entre regiões ilustrado aqui:

O tráfego entre regiões entre ambientes com otimização de desempenho não atravessa o NVA. Essa é uma limitação do tráfego do hub de roteamento direto para as redes virtuais.

Otimização de custos

A Otimização de Custos concentra-se em maneiras de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte a lista de verificação de revisão de design para Otimização de Custos.

Os preços dessa arquitetura dependem muito dos NVAs que você implanta. Para uma conexão ER de 2 Gbps e um hub de WAN Virtual que processa 10 TB por mês, consulte esta estimativa de preços.

Você deve configurar NVAs em uma arquitetura altamente disponível semelhante à descrita aqui: implantar NVAs altamente disponíveis.

Eficiência de desempenho

A Eficiência de Desempenho refere-se à capacidade da carga de trabalho de dimensionar para atender às demandas do usuário com eficiência. Para obter mais informações, consulte a lista de verificação de revisão de design para Eficiência de Desempenho.

Essa solução otimiza o desempenho da rede quando necessário. Você pode modificar o roteamento de acordo com seus próprios requisitos, permitindo que o tráfego para a ramificação atravesse o NVA e o tráfego entre redes virtuais flua livremente ou use um único firewall para saída da Internet.

Essa arquitetura é escalonável entre regiões. Considere seus requisitos ao configurar rótulos de roteamento para agrupar rotas e encaminhamento de tráfego de ramificação entre os hubs virtuais.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Autor principal:

• John Poetzinger | Arquiteto sênior de soluções de nuvem

Próximas etapas

• O que é a WAN Virtual do Azure?
• O que é o Azure ExpressRoute?
• Como configurar o roteamento de hub virtual – WAN Virtual do Azure
• Firewall e Gateway de Aplicativo para redes virtuais
• WAN Virtual do Azure e suporte ao trabalho remoto

Recursos relacionados

• Topologia de rede hub-spoke com WAN Virtual do Azure
• Escolher entre o emparelhamento de rede virtual e os gateways de VPN