Simular conectividade de rede remota usando Azure VNG

Visão geral

As organizações podem querer estender os recursos de Acesso à Internet do Microsoft Entra para redes inteiras, não apenas para dispositivos individuais. Eles podem instalar o Cliente de Acesso Seguro Global nesses dispositivos. Este artigo mostra como estender esses recursos para uma rede virtual Azure hospedada na nuvem. Você pode aplicar princípios semelhantes ao equipamento de rede local de um cliente.

Pré-requisitos

Para concluir as etapas nesse processo, você precisa dos seguintes pré-requisitos:

• Uma assinatura Azure e permissão para criar recursos no Azure portal.
• Uma compreensão básica das conexões VPN site a site.
• Um locatário do Microsoft Entra com a função Administrador de Acesso Seguro Global atribuída.

Componentes da rede virtual

Quando você cria essa funcionalidade em Azure, sua organização pode entender melhor como Acesso à Internet do Microsoft Entra funciona em uma implementação mais ampla. Os recursos criados em Azure correspondem aos conceitos locais das seguintes maneiras:

Neste artigo, use os seguintes valores padrão. Você pode alterar essas configurações para atender aos seus próprios requisitos.

• Subscription: Visual Studio Enterprise
• Nome do grupo de recursos: Network_Simulation
• Região: Leste dos EUA

Etapas de alto nível

Conclua as etapas para simular a conectividade de rede remota com redes virtuais Azure no portal do Azure e no centro de administração do Microsoft Entra. Pode ser útil ter várias abas abertas para alternar facilmente entre elas.

Antes de criar nossos recursos virtuais, você precisa de um grupo de recursos e uma rede virtual que usará nas seções a seguir. Se você já tiver um grupo de recursos de teste e uma rede virtual configurados, poderá começar na etapa 3.

1. Criar um grupo de recursos (portal Azure)
2. Criar uma rede virtual (portal Azure)
3. Criar um gateway de rede virtual (portal Azure)
4. Criar uma rede remota com links de dispositivo (centro de administração do Microsoft Entra)
5. Criar gateway de rede local (portal do Azure)
6. Criar uma conexão VPN site a site (S2S) (portal Azure)
7. Verificar conectividade (ambos)

Criar um grupo de recursos

Crie um grupo de recursos para conter todos os recursos necessários.

1. Entre no portal Azure com permissão para criar recursos.
2. Navegue até Grupos de recursos.
3. Selecione Criar.
4. Selecione sua Assinatura e Região e insira um nome para o grupo de recursos.
5. Selecione Examinar + criar.
6. Confirme seus detalhes e selecione Criar.

Criar uma rede virtual

Criar uma rede virtual dentro do nosso grupo de recursos.

1. No portal Azure, navegue até Virtual Networks.
2. Selecione Criar.
3. Selecione o Grupo de recursos recém-criado.
4. Insira o nome da rede virtual da sua rede.
5. Deixe os valores padrão para os outros campos.
6. Selecione Examinar + criar.
7. Selecione Criar.

Criar um gateway de rede virtual

Criar um gateway de rede virtual dentro do nosso grupo de recursos.

1. No portal do Azure, navegue até Gateways de rede virtual.

2. Selecione Criar.

3. Insira um nome para o gateway de rede virtual e selecione a região apropriada.

4. Selecione sua rede virtual.

   

5. Crie um endereço IP público e insira um nome descritivo.

   • OPCIONAL: se você quiser um túnel IPsec secundário, na seção SEGUNDO ENDEREÇO IP PÚBLICO , crie outro endereço IP público e insira um nome. Se você criar um segundo túnel IPsec, precisará criar dois links de dispositivo na etapa Criar uma rede remota.
   • Defina Ativar modo ativo-ativo como Desabilitado se não precisar de um segundo endereço IP público.
   • O exemplo neste artigo usa apenas um túnel IPsec.

6. Selecione uma Zona de disponibilidade.

7. Defina Configurar o BGP como Habilitado.

8. Defina o Número do sistema autônomo (ASN) como um valor apropriado. Consulte a lista de valores ASN válidos para valores reservados que você não pode usar.

   

9. Deixe todas as outras configurações como padrão ou em branco.

10. Selecione Examinar + criar. Confirme as configurações.

11. Selecione Criar.

Para exibir esses endereços IP, navegue até a página Configuração do gateway de rede virtual após a implantação.

Criar uma rede remota

Você cria uma rede remota no centro de administração do Microsoft Entra. Insira as informações em dois conjuntos de abas.

As etapas a seguir fornecem as informações básicas necessárias para criar uma rede remota com o Acesso Seguro Global. Dois artigos separados abordam esse processo com mais detalhes. Para evitar confusão, examine estes artigos:

• Como criar uma rede remota
• Como gerenciar links de dispositivo de rede remota

Redundância de zona

Antes de criar sua rede remota para Acesso Seguro Global, examine as duas opções sobre redundância. Você pode criar redes remotas com ou sem redundância. Adicione redundância de duas maneiras:

• Escolha Redundância de Zona ao criar um link de dispositivo no centro de administração do Microsoft Entra.
  • Nesse cenário, você cria outro gateway em uma zona de disponibilidade diferente na mesma região do datacenter escolhida durante a criação da rede remota.
  • Nesse cenário, você precisa de apenas um endereço IP público em seu gateway de rede virtual.
  • Dois túneis IPSec são criados do mesmo endereço IP público do roteador para diferentes gateways de Microsoft em diferentes zonas de disponibilidade.
• Crie um endereço IP público secundário no portal Azure e crie dois links de dispositivo com endereços IP públicos diferentes no centro de administração do Microsoft Entra.
  • É possível escolher Nenhuma redundância ao adicionar links de dispositivo à sua rede remota no centro de administração do Microsoft Entra.
  • Nesse cenário, você precisa de endereços IP públicos primários e secundários no gateway de rede virtual.

Criar a rede remota e adicionar links de dispositivo

Para este artigo, escolha o trajeto de redundância de zona.

1. Entre no centro de administração do Microsoft Entra como Global Secure Access Administrator.
2. Navegue até Acesso Global Seguro>Conectar>Redes Remotas.
3. Selecione Criar rede remota e forneça os seguintes detalhes na guia Básicos:
   • Nome
   • Região

4. Na guia Conectividade, selecione Adicionar um link.

5. Na guia Adicionar um link – Geral, insira os seguintes detalhes:

   • Nome do link: Nome do seu Equipamento nas Instalações do Cliente (CPE).
   • Tipo de dispositivo: escolha uma opção de dispositivo na lista suspensa.
   • Endereço IP do dispositivo: endereço IP público do seu dispositivo CPE (equipamento nas instalações do cliente).
   • Endereço BGP do dispositivo: insira o endereço IP BGP do seu CPE.
     • Insira esse endereço como o endereço IP BGP local no CPE.
   • ASN do dispositivo: forneça o número do sistema autônomo (ASN) do CPE.
     • Uma conexão habilitada para BGP entre dois gateways de rede requer que eles tenham ASNs diferentes.
     • Para obter mais informações, confira a seção ASNs válidos do artigo Configurações de rede remota.
   • Redundância: selecione Nenhuma redundância ou Redundância de zona para o túnel IPSec.
   • Endereço BGP de redundância de zona local: esse campo opcional aparece somente quando você seleciona redundância de zona local.
     • Insira um endereço IP BGP que não faça parte da rede local em que o seu CPE reside e seja diferente do endereço BGP do dispositivo.
   • Capacidade de Bandwidth (Mbps): especifique a bandwidth do túnel. As opções disponíveis são 250, 500, 750 e 1.000 Mbps.
   • Endereço BGP local: insira um endereço IP BGP que não seja parte da rede local onde reside o CPE.
     • Por exemplo, se sua rede local for 10.1.0.0/16, você poderá usar 10.2.0.4 como seu endereço BGP local.
     • Insira esse endereço como o endereço IP BGP do par em seu CPE.
     • Consulte a lista de endereços BGP válidos para valores reservados que não podem ser usados.

   

6. Na guia Adicionar um link – Detalhes , mantenha os valores padrão, a menos que você tenha feito uma seleção diferente anteriormente e selecione Avançar.

7. Na guia Adicionar um link – Segurança , insira a chave pré-compartilhada (PSK) e selecione Salvar. Você retorna ao conjunto de abas principal Criar uma rede remota.

8. Na guia Perfis de tráfego, selecione o perfil de encaminhamento de tráfego apropriado.

9. Selecione Examinar + criar.

10. Se tudo parecer correto, selecione Criar rede remota.

Exibir configuração de conectividade

Depois de criar uma rede remota e adicionar um link de dispositivo, você pode exibir os detalhes de configuração no centro de administração do Microsoft Entra. Você precisa de vários detalhes dessa configuração para concluir a próxima etapa.

1. Navegue até Acesso Global Seguro>Conectar>Redes Remotas.

2. Na última coluna à direita da tabela, selecione Configuração de exibição para a rede remota que você criou. A configuração aparece como um blob JSON.

3. Localize e salve o endereço IP público do Microsoft endpoint, asn e bgpAddress no painel aberto.

   • Use esses detalhes para configurar sua conectividade na próxima etapa.
   • Para obter mais informações sobre a configuração, confira o artigo Configurar o equipamento local do cliente.

   

O diagrama a seguir conecta os principais detalhes desses detalhes de configuração à função de correlação na rede remota simulada. Uma descrição de texto do diagrama segue a imagem.

O centro do diagrama ilustra um grupo de recursos que contém uma máquina virtual conectada a uma rede virtual. Em seguida, um gateway de rede virtual se conecta ao gateway de rede local por meio de uma conexão VPN com redundância site a site.

Uma captura de tela dos detalhes de conectividade tem duas seções realçadas. A primeira seção destacada em localConfigurations contém os detalhes do gateway de Acesso Seguro Global, que é o seu gateway de rede local.

Gateway de Rede Local 1

• Endereço público/ponto de extremidade: 120.x.x.76
• ASN: 65476
• Endereço IP BGP/bgpAddress: 192.168.1.1

Gateway de Rede Local 2

• Endereço IP público/ponto de extremidade: 4.x.x.193
• ASN: 65476
• Endereço IP BGP/bgpAddress: 192.168.1.2

A segunda seção destacada sob peerConfiguration contém os detalhes do gateway de rede virtual, que é o seu equipamento roteador local.

Rede Virtual Gateway

• Endereço IP público/ponto de extremidade: 20.x.x.1
• ASN: 65533
• Endereço IP BGP/bgpAddress: 10.1.1.1

Outra chamada aponta para a rede virtual que você criou no seu grupo de recursos. O espaço de endereço da rede virtual é 10.2.0.0/16. O endereço BGP local e o endereço BGP par não podem estar no mesmo espaço de endereço.

Criar um gateway de rede local

Crie um gateway de rede local no portal Azure. Você precisa de vários detalhes da configuração de rede remota, incluindo o endpoint do gateway da Microsoft, o ASN e o endereço BGP, para concluir esta etapa.

Se você selecionar Sem redundância ao criar links de dispositivo na Central de administração do Microsoft Entra, crie um gateway de rede local.

Se você selecionar redundância de zona, crie dois gateways de rede locais. Você tem dois conjuntos de endpoint, asn e bgpAddress em localConfigurations para os links do dispositivo. Os detalhes de Exibir configurações para essa rede remota no centro de administração do Microsoft Entra fornecem essas informações.

1. No portal Azure, navegue até Local network gateways.

2. Selecione Criar.

3. Selecione seu grupo de recursos (por exemplo, Network_Simulation).

4. Selecione a região apropriada.

5. Forneça um Nome ao gateway de rede local.

6. Para Endpoint, selecione IP address e forneça o endereço IP endpoint do centro de administração do Microsoft Entra.

7. Selecione Próximo: Avançado.

8. Defina Configurar o BGP como Sim.

9. Insira o ASN (número do sistema autônomo) na seção localConfigurations dos detalhes de Exibir configuração.

   • Consulte a seção Gateway de rede local do gráfico na seção Exibir configuração de conectividade.

10. Insira o endereço IP do peer BGP na localConfigurations seção dos detalhes de Exibir configuração.

    

11. Selecione Examinar + criar e confirme suas configurações.

12. Selecione Criar.

Se você configurou a redundância de zona ao criar links de dispositivo (que fornece dois conjuntos de pontos de extremidade de gateway da Microsoft), repita essas etapas para criar um segundo gateway de rede local usando o segundo conjunto de valores de endereço de ponto de extremidade, ASN e BGP.

Acesse as Configurações para examinar os detalhes do gateway de rede local.

Criar uma conexão VPN S2S (site a site)

Crie uma conexão VPN site a site no portal Azure. Se você configurou a redundância de zona, crie duas conexões: uma para o gateway primário e outra para o secundário. Mantenha todas as configurações definidas como o valor padrão, a menos que anotado.

1. No portal Azure, navegue até Connections.
2. Selecione Criar.
3. Selecione seu grupo de recursos (por exemplo, Network_Simulation).
4. Em Tipo de conexão, selecione Site a site (IPsec).
5. Insira um nome para a conexão e selecione a Região apropriada.
6. Selecione Próximo: Configurações.
7. Selecione o gateway de rede virtual e o gateway de rede local.
8. Insira a mesma chave compartilhada (PSK) que você configurou para o link do dispositivo na configuração de rede remota no centro de administração do Microsoft Entra.
9. Marque a caixa de seleção Habilitar BGP.
10. Selecione Examinar + criar. Confirme as configurações.
11. Selecione Criar.

Repita estas etapas para criar outra conexão com o segundo gateway de rede local.

Verificar conectividade

Para verificar a conectividade, você precisa simular o fluxo de tráfego. Um método é criar uma VM (máquina virtual) para iniciar o tráfego.

Simular o tráfego com uma máquina virtual

Para simular o tráfego e verificar a conectividade, crie uma VM na rede virtual e inicie o tráfego para serviços Microsoft. Deixe todas as configurações definidas para o valor padrão, a menos que haja alguma observação indicando o contrário.

1. No portal do Azure, navegue até Máquinas virtuais.
2. Selecione Criar>máquina virtual do Azure.
3. Selecione seu grupo de recursos (por exemplo, Network_Simulation).
4. Forneça um Nome da máquina virtual.
5. Selecione a imagem que você deseja usar. Para este exemplo, selecione Windows 11 Pro, versão 22H2 – x64 Gen2.
6. Selecione Executar com desconto do Azure Spot para este teste.
7. Fornecer um Nome de usuário e uma Senha para sua VM.
8. Confirme se você tem uma licença Windows 10 ou 11 qualificada com direitos de hospedagem multilocatário na parte inferior da página.
9. Vá para a aba Rede.
10. Selecione sua rede virtual.
11. Vá para a guia Gerenciamento .
12. Marque a caixa Login com Microsoft Entra ID.
13. Selecione Examinar + criar. Confirme as configurações.
14. Selecione Criar.

Você pode optar por bloquear o acesso remoto ao grupo de segurança de rede para apenas uma rede ou IP específico.

Evite o roteamento assimétrico ao se conectar a máquinas virtuais em redes remotas

Quando você conecta uma VM (máquina virtual) Azure a uma rede remota de Acesso Seguro Global, não é possível usar as-is rdp (protocolo Área de Trabalho Remota) para se conectar à VM usando seu endereço IP público. Se você desconectar a rede remota, o RDP funcionará novamente. O roteamento assimétrico causa esse comportamento e é esperado.

É por isso que isso acontece: a VM tem um endereço IP público, portanto, o tráfego RDP de entrada (o pacote SYN) do seu computador atinge a VM diretamente. No entanto, como o Acesso Seguro Global anuncia todo o intervalo de endereços da Internet, o tráfego de retorno da VM (o SYN-ACK) roteia pelo túnel IPsec para o Acesso Seguro Global. O Acesso Seguro Global recebe um SYN-ACK para uma sessão sem um SYN correspondente. Então, ele descarta o pacote e a conexão falha. Essa condição torna o endereço IP público da VM inutilizável para conexões de entrada.

Soluções alternativas

Para evitar problemas de roteamento assimétrico com redes remotas, use uma destas soluções alternativas:

• Usar Azure Bastion

  Azure Bastion elimina o roteamento assimétrico para cenários de gerenciamento remoto, como RDP. Usando o Bastion, seu computador se conecta ao serviço Bastion via HTTPS e o Bastion inicia a sessão RDP para a VM usando seu endereço IP privado. A VM responde diretamente ao Bastion dentro da rede virtual. Como ambas as direções da conexão permanecem dentro da rede virtual, o tráfego nunca passa pelo gateway de Acesso Seguro Global e o roteamento permanece simétrico.

• Use o VPN P2S (ponto a site) com seu VNG

  Se você configurar um VNG (gateway de rede virtual) para conectividade P2S (ponto a site) , seu dispositivo cliente receberá um endereço IP privado do pool de endereços VNG usando o cliente VPN Azure. Todo o tráfego para a VM flui pelo túnel VNG e retorna da mesma maneira, mantendo o roteamento simétrico.

Verificar o status da conectividade

Depois de criar as redes e conexões remotas, pode levar alguns minutos para que a conexão seja estabelecida. No portal do Azure, você pode verificar se o túnel VPN está conectado e se o emparelhamento BGP foi bem-sucedido.

1. No portal do Azure, navegue até o gateway de rede virtual que você criou e selecione Conexões.
2. Cada uma das conexões mostra um Status de Conectado depois que a configuração é aplicada e bem-sucedida.
3. Navegue até BGP peers na seção Monitoramento para confirmar se o emparelhamento BGP foi bem-sucedido. Procure os endereços pares fornecidos pela Microsoft. Depois que a configuração for aplicada e bem-sucedida, o Statusmostrará Conectado.

Você pode usar a máquina virtual criada para validar se o tráfego está fluindo para serviços Microsoft. Navegar até recursos em SharePoint ou Exchange Online deve resultar em tráfego em seu gateway de rede virtual. Você pode ver esse tráfego navegando até métricas no gateway de rede virtual ou configurando a captura de pacotes para gateways de VPN.

Próximas etapas

• Tutorial: criar uma conexão VPN site a site no portal Azure