Topologia de rede hub-spoke no Azure

Essa arquitetura de referência implementa um padrão de rede hub-spoke com componentes de infraestrutura de hub gerenciados pelo cliente. O padrão de rede hub-spoke, também conhecido como hub e spoke, é a topologia de rede que o Cloud Adoption Framework para Azure recomenda. Veja, Define uma topologia de rede Azure para entender por que essa topologia é considerada uma prática recomendada para muitas organizações.

Para obter uma solução de infraestrutura de hub gerenciado pela Microsoft, consulte Hub-spoke network topology with WAN Virtual do Azure.

Architecture

Carrege um arquivo Visio desta arquitetura.

Conceitos de hub-spoke

As topologias de rede hub-spoke normalmente incluem muitos dos seguintes conceitos de arquitetura:

• Hub virtual network: A rede virtual do hub hospeda serviços de rede do Azure. As cargas de trabalho hospedadas nas redes virtuais spoke podem usar esses serviços. A rede virtual de hub é o ponto central da conectividade entre redes locais. O hub contém seu principal ponto de saída e fornece uma maneira de conectar um spoke a outro para tráfego de rede cruzado entre redes virtuais, quando necessário.

  Um hub é um recurso regional. Se suas cargas de trabalho residirem em várias regiões, coloque um hub em cada região. O hub fornece os seguintes recursos e opções:

  • Gateway entre locais: A capacidade de se conectar e integrar diferentes ambientes de rede. Esse gateway geralmente é uma VPN ou um circuito de Azure ExpressRoute.

  • Controle de saída: O gerenciamento e a regulamentação do tráfego de saída que se origina nas redes virtuais spoke interconectadas.

  • Controle de entrada: O gerenciamento opcional e a regulamentação do tráfego de entrada para endpoints que existem em redes virtuais de spoke de emparelhamento.

  • Acesso remoto: A maneira como cargas de trabalho individuais em redes spoke são acessadas de locais de rede fora da própria rede do spoke. Esse acesso pode ter como destino os dados da carga de trabalho ou o plano de controle.

  • Acesso remoto spoke para máquinas virtuais (VMs): Uma solução de conectividade remota interorganizacional para acesso ao Protocolo de Desktop Remoto (RDP) e ao Protocolo de Shell Seguro (SSH) em VMs distribuídas por redes spoke.

  • Roteamento: O gerenciamento de tráfego entre o hub e os spokes conectados. O roteamento dá suporte à comunicação segura e eficiente.

• Redes virtuais spoke: As redes virtuais do tipo spoke isolam e gerenciam as cargas de trabalho separadamente em cada spoke. Cada carga de trabalho pode incluir várias camadas, com várias sub-redes conectadas por meio de balanceadores de carga Azure. Os spokes podem existir em assinaturas diferentes e representar ambientes diferentes, como produção e não produção. Uma carga de trabalho pode se espalhar por vários conectores.

  Na maioria dos cenários, você deve emparelhar cada spoke a uma única rede de hub na mesma região.

  As redes spoke seguem as regras de acesso de saída padrão. Uma finalidade central da topologia de rede hub-spoke é direcionar o tráfego de saída da Internet por meio dos mecanismos de controle no hub.

• Conectividade entre redes virtuais: A conectividade de rede virtual facilita a comunicação entre redes virtuais isoladas. Um mecanismo de controle impõe permissões e determina a direção permitida das comunicações entre redes. Um hub fornece uma opção para dar suporte a conexões de rede cruzada selecionadas para fluir pela rede centralizada.

• DNS: As soluções hub-spoke geralmente fornecem uma solução de Sistema de Nomes de Domínio (DNS) que todos os spokes emparelhados usam, especialmente para roteamento entre diferentes locais e registros DNS de endpoints privados.

Components

• Rede Virtual do Azure é o bloco de construção fundamental para redes privadas em Azure. Rede Virtual fornece comunicação segura entre recursos do Azure, como VMs, redes entre locais físicos, a internet e entre si.

  Nessa arquitetura, as redes virtuais se conectam ao hub usando conexões Rede Virtual peering, que são conexões nãotransitivas e de baixa latência entre redes virtuais. As redes virtuais emparelhadas podem trocar o tráfego pelo backbone Azure sem um roteador. Em uma arquitetura hub-spoke, use o emparelhamento direto entre redes virtuais apenas em circunstâncias especiais.

• Azure Bastion é um serviço totalmente gerenciado que fornece acesso RDP e SSH a VMs sem expor seus endereços IP públicos. Nessa arquitetura, Azure Bastion é usado como uma oferta gerenciada para dar suporte ao acesso direto à VM através de spokes conectados.

• Firewall do Azure é um serviço gerenciado de segurança de rede baseado em nuvem que protege recursos da Rede Virtual. Esse serviço de firewall com estado tem alta disponibilidade interna e escalabilidade irrestrita na nuvem para ajudá-lo a criar, aplicar e registrar políticas de conectividade de aplicativos e redes em assinaturas e redes virtuais.

  Nessa arquitetura, Firewall do Azure tem várias funções potenciais. O firewall é o principal ponto de saída para o tráfego das redes virtuais spoke emparelhadas para a Internet. O firewall também pode inspecionar o tráfego de entrada usando regras de IDPS (sistema de detecção e prevenção de intrusão de rede). O firewall também pode funcionar como um servidor proxy DNS para dar suporte a regras de tráfego FQDN (nome de domínio totalmente qualificado).

• Gateway de VPN do Azure é um gateway de rede virtual que envia tráfego criptografado entre uma rede virtual em Azure e redes diferentes pela Internet pública. Você também pode usar Gateway de VPN para enviar tráfego criptografado entre outras redes virtuais pela rede Microsoft.

  Nessa arquitetura, Gateway de VPN pode conectar spokes à rede remota. Os spokes normalmente não implantam seu próprio gateway de VPN. Eles usam a solução centralizada fornecida pelo hub. Para gerenciar essa conectividade, você deve estabelecer a configuração de roteamento.

• Um gateway ExpressRoute troca rotas IP e roteia o tráfego de rede entre sua rede local e sua rede virtual Azure. Nessa arquitetura, o ExpressRoute pode servir como uma alternativa ao Gateway de VPN para conectar spokes (satélites) a uma rede remota. Os spokes não implantam seu próprio gateway do ExpressRoute. Eles usam a solução centralizada fornecida pelo hub. Para gerenciar essa conectividade, você deve estabelecer a configuração de roteamento.

• Azure Monitor pode coletar, analisar e agir sobre dados de telemetria de ambientes híbridos, incluindo ambientes do Azure e locais. Azure Monitor ajuda a maximizar o desempenho e a disponibilidade de seus aplicativos e identificar rapidamente os problemas. Nessa arquitetura, Azure Monitor é o coletor de logs e métricas dos recursos do hub e das métricas de rede. Azure Monitor também pode funcionar como um coletor de log para recursos em redes spoke. Cada carga de trabalho do spoke determina sua própria configuração de registro em log, e essa arquitetura não exige que o registro em log do spoke seja enviado para o Azure Monitor.

Alternatives

Essa arquitetura envolve a criação, a configuração e a manutenção de virtualNetworkPeerings, routeTablese subnets. Gerenciador de Rede Virtual do Azure é um serviço de gerenciamento que ajuda você a agrupar, configurar, implantar e gerenciar redes virtuais em escala entre Azure assinaturas, regiões e diretórios Microsoft Entra.

Com Gerenciador de Rede Virtual, você pode definir network groups para identificar e segmentar logicamente suas redes virtuais. Você também pode usar grupos conectados para fornecer comunicação entre grupos de redes virtuais como se estivessem conectados manualmente. Essa abordagem adiciona uma camada de abstração para descrever a topologia de rede desejada sem alterar sua implementação.

Recomendamos que você avalie se deve usar Gerenciador de Rede Virtual para otimizar suas operações de gerenciamento de rede. Para determinar se Gerenciador de Rede Virtual fornece valor líquido para o tamanho e a complexidade da rede, compare o custo do serviço com a economia de tempo e os benefícios operacionais.

WAN Virtual do Azure

Essa arquitetura descreve um padrão de rede que inclui componentes de infraestrutura do hub gerenciado pelo cliente. Para obter uma solução de infraestrutura de hub gerenciada pela Microsoft, consulte Topologia de rede hub-spoke que utiliza WAN Virtual do Azure.

Os benefícios de usar uma configuração hub-spoke gerenciada pelo cliente incluem:

• Economia de custos
• Superar os limites de assinatura
• Isolamento de carga de trabalho
• Flexibility
  • Mais controle sobre como os NVAs (dispositivos virtuais de rede) são implantados, como número de NICs, número de instâncias ou o tamanho da computação
  • Uso de NVAs que não são compatíveis com WAN Virtual

Detalhes do cenário

Essa arquitetura de referência implementa um padrão de rede hub-spoke onde a rede virtual hub atua como um ponto central de conectividade com muitas redes virtuais spoke. As redes virtuais spoke se conectam ao hub e podem isolar cargas de trabalho. Você também pode dar suporte a cenários entre locais usando o hub para se conectar a redes locais.

Para obter mais informações, consulte a topologia de rede hub-and-spoke.

Cenários avançados

Sua arquitetura poderá ser diferente da arquitetura de hub-spoke simples descrita neste artigo. A lista a seguir descreve as diretrizes para cenários avançados:

• Para adicionar mais regiões, use Firewall do Azure para rotear uma topologia multi-hub-spoke.

• Para usar padrões avançados de spoke-to-spoke, use a rede spoke-to-spoke.

• Para substituir Firewall do Azure por uma NVA personalizada, implante NVAs de alta disponibilidade.

• Para substituir o gateway de rede virtual por uma NVA SD-WAN (WAN definida por software) personalizada, consulte integração SD-WAN com topologias de rede em hub-and-spoke do Azure.

• Para fornecer transitividade entre seu ExpressRoute e VPN ou SDWAN, ou personalizar prefixos anunciados pelo protocolo Border Gateway Protocol (BGP) nos gateways de rede virtual do Azure, consulte Route Server support for ExpressRoute and Azure VPN.

• Para adicionar servidores DNS ou resolvedores privados, consulte a arquitetura de resolvedor privado.

Possíveis casos de uso

As utilizações típicas para uma arquitetura hub-spoke incluem cargas de trabalho que:

• Possuem vários ambientes que exigem serviços compartilhados. Por exemplo, uma carga de trabalho pode ter ambientes de desenvolvimento, teste e produção. Os serviços compartilhados podem incluir IDs DNS, Protocolo de Tempo de Rede (NTP) ou Active Directory Domain Services (AD DS). Os serviços compartilhados são colocados na rede virtual de hub, e cada ambiente é implantado em um ramal diferente para manter o isolamento.

• Não exigem conectividade entre si, mas precisam de acesso aos serviços compartilhados.

• Exigir controle centralizado de segurança, como uma rede de perímetro (também conhecida como DMZ, zona desmilitarizada e sub-rede filtrada) no hub e gerenciamento de carga de trabalho segregada em cada raio.

• Exigir controle centralizado sobre conectividade, como conectividade seletiva ou isolamento entre ramificações de ambientes ou cargas de trabalho específicos.

Recommendations

Você pode aplicar as recomendações a seguir à maioria dos cenários. Siga estas recomendações, a menos que você tenha um requisito específico que as substitua.

Grupos de recursos, assinaturas e regiões

Esta solução de exemplo usa um único grupo de recursos Azure. Você também pode implementar o hub e cada spoke em grupos de recursos e assinaturas diferentes.

Ao emparelhar redes virtuais em assinaturas diferentes, é possível associar essas assinaturas ao mesmo locatário Microsoft Entra ou a locatários diferentes. Essa flexibilidade fornece gerenciamento descentralizado de cada carga de trabalho e mantém serviços compartilhados no hub. Para obter mais informações, consulte Criar um emparelhamento de rede virtual entre diferentes assinaturas e locatários do Microsoft Entra.

Azure zonas de destino

A arquitetura da zona de aterrissagem Azure é baseada na topologia hub-spoke. Nessa arquitetura, uma equipe de plataforma centralizada gerencia os recursos compartilhados e a rede do hub, enquanto os spokes compartilham um modelo de coproprieção com a equipe de plataforma e a equipe de carga de trabalho que usa a rede spoke. Todos os hubs residem em uma assinatura de conectividade para gerenciamento centralizado. Existem redes virtuais spoke em várias assinaturas de carga de trabalho individuais, chamadas assinaturas de zona de destino do aplicativo.

Sub-redes da rede virtual

As recomendações a seguir explicam como configurar sub-redes na rede virtual.

GatewaySubnet

O gateway de rede virtual requer essa sub-rede. Você também pode usar uma topologia hub-spoke sem um gateway se você não precisar de conectividade entre redes locais.

Crie uma sub-rede de gateway chamada GatewaySubnet com um intervalo de endereços IP de pelo menos /26 ou maior. O intervalo de endereços /26 fornece escalabilidade suficiente para evitar limitações de tamanho do gateway e acomodar circuitos extras do ExpressRoute no futuro. Para obter mais informações sobre a configuração do gateway, consulte Configurar o ExpressRoute e conexões coexistentes site a site usando o PowerShell.

AzureFirewallSubnet

Crie uma sub-rede chamada AzureFirewallSubnet com um intervalo de endereços de pelo menos /26. Recomendamos /26 como o tamanho mínimo para evitar limitações futuras de tamanho. Essa sub-rede não oferece suporte a NSGs (grupos de segurança de rede).

Firewall do Azure requer essa sub-rede. Se você usar uma NVA de parceiro, siga os requisitos de rede dela.

Conectividade de rede spoke

Emparelhamento de rede virtual ou grupos conectados são relações não transitivas entre redes virtuais. Se você precisar que redes virtuais "spoke" se conectem umas às outras, adicione uma conexão de pareamento entre esses "spokes" ou coloque-os no mesmo grupo de rede.

Conexões spoke por meio de Firewall do Azure ou uma NVA

O número de emparelhamentos de rede virtual por rede virtual é limitado. Se você tiver muitos spokes que precisam se conectar uns com os outros, talvez não tenha conexões de emparelhamento suficientes. Grupos conectados também têm limitações. Para obter mais informações, consulte limites de rede e limites de grupos conectados.

Neste cenário, considere o uso de rotas definidas pelo usuário (UDRs) para forçar o tráfego de spoke a ser enviado para o Firewall do Azure ou para outra NVA que atue como roteador no hub. Essa mudança permite que os spokes se conectem entre si. Para dar suporte a essa configuração, implemente Firewall do Azure com a configuração de túnel forçado ativada. Para obter mais informações, consulte Túnel forçado do Firewall do Azure.

A topologia neste projeto arquitetônico facilita os fluxos de saída. Embora Firewall do Azure seja principalmente para segurança de saída, ele também pode ser um ponto de entrada. Para obter mais considerações sobre o roteamento de entrada NVA do hub, consulte Firewall do Azure e Gateway de Aplicativo do Azure para redes virtuais.

Conexões do tipo spoke para redes remotas por meio de um gateway central

Para configurar spokes para se comunicarem com redes remotas por meio de um gateway de hub, você pode usar emparelhamentos de rede virtual ou grupos de rede conectados. Para usar emparelhamentos de rede virtual, abra a configuração de emparelhamento de rede virtual e conclua as seguintes ações:

• Configure a conexão de emparelhamento no hub para permitir o trânsito do gateway.
• Configure a conexão de emparelhamento em cada spoke para usar o gateway da rede virtual remota.
• Configure todas as conexões de emparelhamento para Permitir tráfego encaminhado.

Para obter mais informações, consulte Criar um emparelhamento de rede virtual.

Para usar grupos de rede conectados:

1. Em Gerenciador de Rede Virtual, crie um grupo de rede e adicione redes virtuais membros.
2. Crie uma configuração de conectividade hub-spoke.
3. Para os grupos de rede spoke, selecione Hub como gateway.

Para obter mais informações, consulte Criar uma topologia hub-spoke usando Gerenciador de Rede Virtual.

Comunicações em rede spoke

As redes virtuais spoke podem se comunicar entre si de duas maneiras principais:

• Comunicação por meio de uma NVA, como um firewall e um roteador. Esse método adiciona um salto entre os dois spokes.

• A comunicação usando o emparelhamento de rede virtual ou a conectividade direta pelo Gerenciador de Rede Virtual entre spokes. Essa abordagem não adiciona um salto entre os dois spokes e é recomendável minimizar a latência.

Link Privado do Azure pode expor seletivamente recursos individuais a outras redes virtuais. Por exemplo, você pode usar Link Privado para expor um balanceador de carga interno a uma rede virtual diferente sem a necessidade de formar ou manter relações de emparelhamento ou roteamento.

Para obter mais informações sobre padrões de rede spoke-to-spoke, consulte Opções de conectividade de rede virtual e comunicação spoke-to-spoke.

Comunicação através de um NVA

Se você precisar de conectividade entre spokes, considere implantar Firewall do Azure ou outra NVA no hub. Em seguida, crie rotas para encaminhar o tráfego de um spoke para o firewall ou NVA, que pode então rotear para o segundo spoke. Nesse cenário, você deve configurar as conexões de emparelhamento para aceitar o tráfego encaminhado.

Você também pode usar um gateway de VPN para rotear o tráfego entre spokes, embora essa escolha afete a latência e a taxa de transferência. Para saber mais, confira Configurar o trânsito de gateway de VPN para o emparelhamento de rede virtual.

Avalie os serviços que você compartilha no hub para garantir que o hub seja dimensionado para um número maior de spokes. Por exemplo, se o seu hub fornecer serviços de firewall, considere os limites de largura de banda da sua solução de firewall ao adicionar vários spokes. Você pode mover alguns desses serviços compartilhados para um segundo nível de hubs.

Comunicação direta entre redes spoke

Para se conectar diretamente entre redes virtuais spoke sem rotear o tráfego pela rede virtual do hub, você pode criar conexões de emparelhamento entre spokes ou ativar a conectividade direta para o grupo de rede. Recomendamos que você limite o emparelhamento ou a conectividade direta a redes virtuais específicas (spokes) que fazem parte do mesmo ambiente e workload.

Ao usar Gerenciador de Rede Virtual, você pode adicionar redes virtuais spoke a grupos de rede manualmente ou adicionar redes automaticamente com base nas condições definidas.

O diagrama a seguir ilustra como usar Gerenciador de Rede Virtual para conectividade direta entre spokes.

Considerations

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que você pode usar para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Well-Architected Framework.

Reliability

A confiabilidade ajuda a garantir que seu aplicativo possa cumprir os compromissos que você faz aos seus clientes. Para obter mais informações, consulte Lista de verificação de revisão de design para confiabilidade.

Use zonas de disponibilidade para serviços Azure no hub que dão suporte a eles.

Recomendamos que você utilize ao menos um hub por região e conecte apenas os spokes da mesma região a esses hubs. Essa configuração ajuda as regiões de compartimento a evitar falhas no hub de uma região que podem causar falhas generalizadas de roteamento de rede em regiões não relacionadas.

Para maior disponibilidade, você pode usar o ExpressRoute e uma VPN para failover. Para obter mais informações, consulte Conectar uma rede local para o Azure usando o ExpressRoute com falha de VPN e Projete e arquitete o ExpressRoute para a resiliência.

Devido à forma como Firewall do Azure implementa regras de aplicativo FQDN, verifique se todos os recursos que são retirados por meio do firewall usam o mesmo provedor DNS que o próprio firewall. Caso contrário, Firewall do Azure poderá bloquear o tráfego legítimo porque a resolução ip do firewall do FQDN difere da resolução IP do originador de tráfego do mesmo FQDN. Você pode incluir Firewall do Azure proxy na resolução DNS spoke para manter FQDNs em sincronia com o originador de tráfego e com Firewall do Azure.

Segurança

A segurança fornece garantias contra ataques deliberados e o uso indevido de seus valiosos dados e sistemas. Para obter mais informações, consulte a lista de verificação de revisão de design para Segurança.

Para proteger contra ataques DDoS, ative Azure DDoS Protection em qualquer rede virtual de perímetro. Qualquer recurso que tenha um IP público é suscetível a um ataque DDoS. Os seguintes IPs públicos precisam ser protegidos mesmo que suas cargas de trabalho não sejam expostas publicamente:

• endereços IP públicos do Firewall do Azure
• Endereços IP públicos do gateway de VPN
• O endereço IP público do painel de controle do ExpressRoute

Para minimizar o risco de acesso não autorizado e impor políticas de segurança rigorosas, sempre defina regras explícitas deny em NSGs.

Use a versão Firewall do Azure Premium para ativar a inspeção, o IDPS e a filtragem de URL (Transport Layer Security).

Segurança do Gerenciador de Rede Virtual

Para garantir um conjunto de regras de segurança de linha de base, associe regras de administrador de segurança a redes virtuais em grupos de rede. As regras de administração de segurança têm precedência e são avaliadas antes das regras NSG. As regras de administrador de segurança dão suporte à priorização, marcas de serviço e protocolos L3 (camada de rede) e L4 (camada de transporte).

Use Gerenciador de Rede Virtual deployments para facilitar a implementação controlada de alterações potencialmente interruptivas nas regras de segurança do grupo de rede.

Otimização de custos

A Otimização de Custos concentra-se em maneiras de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte a lista de verificação de revisão de design para Otimização de Custos.

Considere os seguintes fatores relacionados ao custo ao implantar e gerenciar redes hub-spoke. Para obter mais informações, consulte o preço da rede virtual.

Custos do Firewall do Azure

Essa arquitetura implanta uma instância de Firewall do Azure na rede do hub. Usar uma implantação Firewall do Azure como uma solução compartilhada consumida por várias cargas de trabalho pode economizar significativamente os custos de nuvem em comparação com outras NVAs. Para obter mais informações, consulte Firewall do Azure versus NVAs.

Para usar os recursos implantados com eficiência, escolha o tamanho Firewall do Azure certo. Decida quais recursos você precisa e qual camada melhor se adapta ao seu conjunto atual de cargas de trabalho. Para obter mais informações sobre as SKUs de Firewall do Azure disponíveis, consulte O que é Firewall do Azure?

Emparelhamento direto

Para reduzir ou eliminar os custos de processamento do Firewall do Azure, use seletivamente o emparelhamento direto ou outra comunicação spoke-to-spoke que contorne o hub. A economia pode ser significativa para redes que possuem cargas de trabalho com alta taxa de transferência e comunicação de baixo risco entre conexões, como sincronização de banco de dados ou operações de cópia de arquivos grandes.

Excelência operacional

A Excelência Operacional abrange os processos de operações que implantam um aplicativo e o mantêm em execução em produção. Para obter mais informações, consulte a lista de verificação de revisão de design para Excelência Operacional.

Ative as configurações de diagnóstico para todos os serviços, como Azure Bastion, Firewall do Azure e seu gateway entre locais. Para reduzir custos, desative as configurações que não estão relacionadas às suas operações. Recursos como Firewall do Azure podem gerar grandes volumes de log e podem levar a altos custos de monitoramento.

Use o monitor de conexão para monitoramento de ponta a ponta para detectar anomalias e identificar e solucionar problemas de rede.

Use Observador de Rede do Azure para monitorar e solucionar problemas de componentes de rede, incluindo o uso da análise traffic para mostrar os sistemas em suas redes virtuais que geram mais tráfego. Você pode usar a análise de tráfego para identificar possíveis gargalos.

Se você usar o ExpressRoute, use Azure Traffic Collector para analisar os logs de fluxo dos fluxos de rede nos circuitos ExpressRoute. O Coletor de Tráfego fornece visibilidade do tráfego que flui sobre os roteadores de borda corporativos da Microsoft.

Use regras baseadas em FQDN em Firewall do Azure para protocolos não HTTP(S) ou para quando você configurar SQL Server. O uso de FQDNs reduz a carga de gerenciamento em comparação com o gerenciamento de endereços IP individuais.

Planeje o endereçamento IP com base em suas requisições de peering. Certifique-se de que o espaço de endereço não se sobreponha entre locais de premissas cruzadas e locais do Azure.

Automação com Gerenciador de Rede Virtual

Para gerenciar centralmente controles de conectividade e segurança, use Gerenciador de Rede Virtual para criar novas topologias de rede virtual hub-spoke ou integrar topologias existentes. Use Gerenciador de Rede Virtual para preparar suas topologias de rede hub-spoke para crescimento futuro em larga escala em várias assinaturas, grupos de gerenciamento e regiões.

Exemplos de cenários de caso de uso do Gerenciador de Rede Virtual incluem:

• Democratização do gerenciamento da rede virtual de spoke para grupos, tais como unidades de negócios ou equipes de aplicativos. A democratização pode resultar em um grande número de requisitos para conectividade entre redes virtuais e regras de segurança de rede.

• Padronização de várias arquiteturas de réplica em várias regiões do Azure para garantir uma presença global para aplicativos.

Para garantir regras uniformes de conectividade e segurança de rede, você pode usar grupos network para agrupar redes virtuais em qualquer assinatura, grupo de gerenciamento ou região no mesmo locatário Microsoft Entra. Você pode integrar redes virtuais automaticamente ou manualmente aos grupos de rede por meio de atribuições de associações dinâmicas ou estáticas.

Defina a capacidade de descoberta de redes virtuais em Gerenciador de Rede Virtual usando scopes. Os escopos tornam as instâncias do gerenciador de rede flexíveis para que você possa distribuir responsabilidades de gerenciamento entre grupos de rede virtual.

Para conectar redes virtuais spoke no mesmo grupo de rede entre si, use Gerenciador de Rede Virtual para implementar o emparelhamento de rede virtual ou a conectividade direta. Use a opção de malha global para estender a conectividade direta da malha a redes spoke em regiões diferentes. O diagrama a seguir mostra a conectividade de malha global entre regiões.

Você pode associar redes virtuais dentro de um grupo de rede a um conjunto de regras de administração de segurança de linha de base. As regras de administrador de segurança do grupo de rede impedem que os proprietários de rede virtual spoke substituam as regras de segurança de linha de base, mas podem adicionar suas próprias regras de segurança e NSGs. Para obter um exemplo de como usar regras de administrador de segurança em topologias hub-spoke, consulte Criar uma rede hub-spoke protegida.

Para facilitar uma implementação controlada de grupos de rede, conectividade e regras de segurança, as implantações de configuração do Gerenciador de Rede Virtual ajudam você a aplicar com segurança as alterações de configuração em ambientes hub-spoke.

Para simplificar o processo de criação e manutenção de configurações de rota, você pode usar o gerenciamento automatizado de UDRs em Gerenciador de Rede Virtual.

Para centralizar o gerenciamento de endereços IP, você pode usar IP address management (IPAM) no Gerenciador de Rede Virtual. O IPAM impede conflitos de espaço de endereço IP entre redes virtuais locais e de nuvem.

Para começar a usar Gerenciador de Rede Virtual, consulte Criar uma topologia hub-spoke usando Gerenciador de Rede Virtual.

Eficiência de desempenho

A Eficiência de Desempenho refere-se à capacidade da carga de trabalho de dimensionar para atender às demandas do usuário com eficiência. Para obter mais informações, consulte a Lista de Verificação de Design para Eficiência de Desempenho.

Para cargas de trabalho que se comunicam do local para VMs em uma rede virtual Azure que exigem baixa latência e alta largura de banda, considere usar ExpressRoute FastPath. Melhore o desempenho usando o FastPath para enviar tráfego diretamente do local para VMs (máquinas virtuais) em sua rede virtual e ignorar o gateway de rede virtual do ExpressRoute.

Para comunicações spoke-to-spoke que exigem baixa latência, você pode configurar a rede spoke-to-spoke.

Escolha um SKU de gateway que atenda aos seus requisitos, como o número de conexões ponto a site ou site a site, pacotes necessários por segundo, requisitos de largura de banda ou fluxos TCP.

Para fluxos sensíveis à latência, como SAP ou acesso ao armazenamento, você pode ignorar Firewall do Azure ou roteamento de hub. Para ajudá-lo a decidir a melhor abordagem, você pode testar a latência introduzida pelo Firewall do Azure. Você pode usar recursos como emparelhamento de rede virtual, que conecta duas ou mais redes, ou pode usar Link Privado para se conectar a um serviço por meio de um ponto de extremidade privado em sua rede virtual.

Você pode reduzir sua taxa de transferência usando Firewall do Azure recursos como IDPS. Para obter mais informações, consulte Firewall do Azure performance.

Implantar este cenário

Essa implantação inclui uma rede virtual de hub e dois spokes conectados e implanta uma instância Firewall do Azure e Azure Bastion host. Opcionalmente, a implantação pode incluir VMs na primeira rede spoke e um gateway de VPN. Para criar conexões de rede, você pode escolher entre o emparelhamento de rede virtual ou os grupos conectados do Gerenciador de Rede Virtual. Cada método tem várias opções de implantação.

• Hub-spoke com implantação de emparelhamento de rede virtual
• Hub-spoke com Gerenciador de Rede Virtual implantação de grupos conectados

Contributors

Microsoft mantém este artigo. Os colaboradores a seguir escreveram este artigo.

Autores principais:

• José Moreno | Engenheiro de soluções
• Alejandra Palacios | Engenheiro sênior de clientes
• Adam Torkar | Engenheiro sênior de experiência do cliente

Outros colaboradores:

• Matthew Bratschun | Engenheiro do Cliente
• Jay Li | Gerente de Produto Sênior
• Telmo Sampaio | Gerente de Engenharia de Serviço principal

Para ver perfis de LinkedIn não públicos, entre em LinkedIn.

Próximas etapas

• O que é um hub virtual seguro?
• Defina uma topologia de rede Azure

Recursos relacionados

• Firewall do Azure e Gateway de Aplicações para redes virtuais
• Solucionar problemas de uma conexão VPN híbrida
• Conexão spoke-to-spoke
• Arquitetura de base para um cluster do AKS (Serviço de Kubernetes do Azure)