Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Noções Básicas
O que é uma rede virtual?
Uma rede virtual é uma representação da sua própria rede na cloud, conforme fornecida pelo serviço Rede Virtual do Azure. Uma rede virtual é um isolamento lógico da nuvem do Azure dedicado à sua subscrição.
Pode usar redes virtuais para provisionar e gerir redes privadas virtuais (VPNs) no Azure. Opcionalmente, pode ligar redes virtuais a outras redes virtuais no Azure, ou à sua infraestrutura de TI local, para criar soluções híbridas ou multi-locais.
Cada rede virtual que você cria tem seu próprio bloco CIDR. Você pode vincular uma rede virtual a outras redes virtuais e redes locais, desde que os blocos CIDR não se sobreponham. Você também tem controle das configurações do servidor DNS para redes virtuais, juntamente com a segmentação da rede virtual em sub-redes.
Use redes virtuais para:
Crie uma rede virtual dedicada, privada e somente na nuvem. Às vezes, você não precisa de uma configuração entre locais para sua solução. Quando você cria uma rede virtual, seus serviços e máquinas virtuais (VMs) dentro de sua rede virtual podem se comunicar diretamente e com segurança uns com os outros na nuvem. Você ainda pode configurar conexões de ponto de extremidade para VMs e serviços que exigem comunicação com a Internet, como parte de sua solução.
Estenda seu datacenter com segurança. Com redes virtuais, você pode criar VPNs tradicionais site a site (S2S) para dimensionar com segurança a capacidade do seu datacenter. As VPNs S2S usam IPsec para fornecer uma ligação segura entre o seu gateway de VPN corporativo e o Azure.
Habilite cenários de nuvem híbrida. Você pode conectar com segurança aplicativos baseados em nuvem a qualquer tipo de sistema local, incluindo mainframes e sistemas Unix.
Como posso começar?
Consulte a documentação Rede Virtual do Azure para começar. Este conteúdo fornece visão geral e informações de implantação para todos os recursos de rede virtual.
Posso usar redes virtuais sem conectividade entre locais?
Sim. Você pode usar uma rede virtual sem conectá-la às suas instalações. Por exemplo, poderia correr Microsoft Windows Server Active Directory controladores de domínio e fazendas de SharePoint apenas numa rede virtual Azure.
Posso realizar a otimização de WAN entre redes virtuais ou entre uma rede virtual e meu datacenter local?
Sim. Pode implementar um appliance virtual de rede para otimização de WAN de diversos fornecedores através do Azure Marketplace.
Configuração
Que ferramentas utilizo para criar uma rede virtual?
Você pode usar as seguintes ferramentas para criar ou configurar uma rede virtual:
- Azure portal
- PowerShell
- CLI do Azure
-
Arquivo de configuração de rede (
netcfg, somente para redes virtuais clássicas)
Que intervalos de endereços posso utilizar nas minhas redes virtuais?
Recomendamos que você use os seguintes intervalos de endereços, que são enumerados no RFC 1918. O IETF reservou esses intervalos para espaços de endereços privados e não roteáveis.
- 10.0.0.0 a 10.255.255.255 (prefixo 10/8)
- 172.16.0.0 a 172.31.255.255 (prefixo 172.16/12)
- 192.168.0.0 a 192.168.255.255 (prefixo 192.168/16)
Também pode implementar o espaço de endereçamento partilhado reservado em RFC 6598, que é tratado como um espaço de endereçamento IP privado em Azure:
- 100.64.0.0 a 100.127.255.255 (prefixo 100.64/10)
Outros espaços de endereço, incluindo todos os outros espaços de endereços privados e não roteáveis reconhecidos pela IETF, podem funcionar, mas têm efeitos colaterais indesejáveis.
Além disso, não é possível adicionar os seguintes intervalos de endereços:
- 224.0.0.0/4 (multicast)
- 255.255.255.255/32 (transmissão)
- 127.0.0.0/8 (endereço de retorno)
- 169.254.0.0/16 (link local)
- 168.63.129.16/32 (DNS interno)
Posso ter endereços IP públicos nas minhas redes virtuais?
Sim. Para obter mais informações sobre intervalos de endereços IP públicos, consulte Criar uma rede virtual. Os endereços IP públicos não são diretamente acessíveis a partir da Internet.
Existe um limite para o número de sub-redes na minha rede virtual?
Sim. Consulte Limites de rede para obter detalhes. Os espaços de endereço de sub-rede não podem se sobrepor.
Existem restrições ao uso de endereços IP nessas sub-redes?
Sim. O Azure reserva os primeiros quatro endereços e o último endereço, num total de cinco endereços IP dentro de cada subrede.
Por exemplo, o intervalo de endereços IP 192.168.1.0/24 tem os seguintes endereços reservados:
- 192.168.1.0: Endereço de rede.
- 192.168.1.1: Reservado pelo Azure para o gateway padrão.
- 192.168.1.2, 192.168.1.3: Reservado pelo Azure para mapear os endereços IP do DNS do Azure para o espaço de rede virtual.
- 192.168.1.255: Endereço de difusão da rede.
Quão pequenas e grandes podem ser as redes virtuais e as sub-redes?
A menor sub-rede IPv4 suportada é /29 e a maior é /2 (usando definições de sub-rede CIDR). As sub-redes IPv6 devem ter exatamente /64 de tamanho.
Posso trazer as minhas VLANs para o Azure usando redes virtuais?
Não. As redes virtuais são sobreposições de Camada 3. O Azure não suporta nenhuma semântica da Camada 2.
Posso especificar políticas de roteamento personalizadas em minhas redes virtuais e sub-redes?
Sim. Você pode criar uma tabela de rotas e associá-la a uma sub-rede. Para mais informações sobre roteamento em Azure, veja Custom routes.
Qual é o comportamento quando aplico um NSG e um UDR na sub-rede?
Para o tráfego de entrada, são processadas as regras de entrada do grupo de segurança de rede (NSG). Para o tráfego de saída, as regras de saída do NSG são processadas, seguidas por regras de rota definida pelo usuário (UDR).
Qual é o comportamento quando aplico um NSG em uma NIC e uma sub-rede para uma VM?
Quando se aplicam NSGs num adaptador de rede (NIC) e numa sub-rede para uma VM:
- Um NSG de nível de sub-rede, seguido por um NSG de nível de NIC, é processado para tráfego de entrada.
- Um NSG de nível NIC, seguido por um NSG de nível de sub-rede, é processado para tráfego de saída.
As redes virtuais suportam multicast ou difusão?
Não. Multicast e broadcast não são suportados.
Que protocolos posso usar em redes virtuais?
Você pode usar os protocolos TCP, UDP, ESP, AH e ICMP TCP/IP em redes virtuais.
Unicast é suportado em redes virtuais. Multicast, transmissão, pacotes IP encapsuladosin-IP e pacotes GRE (Generic Routing Encapsulation) são bloqueados em redes virtuais. Não é possível usar o protocolo DHCP (Dynamic Host Configuration Protocol) via Unicast (porta de origem UDP/68, porta de destino UDP/67). As portas UDP 4791 e 65330 estão reservadas para o host.
Posso implantar um servidor DHCP em uma rede virtual?
As redes virtuais Azure fornecem serviço DHCP e DNS às Máquinas Virtuais do Azure. No entanto, também pode implementar um servidor DHCP numa VM Azure para servir os clientes on-premises através de um Agente Relay DHCP.
Os servidores DHCP no Azure eram anteriormente considerados inviáveis, pois o tráfego para a porta UDP/67 tinha uma limitação de taxa no Azure. No entanto, atualizações recentes da plataforma removeram a limitação de taxa, permitindo esse recurso.
Observação
O cliente local para o servidor DHCP (porta de origem UDP/68, porta de destino UDP/67) ainda não é suportado no Azure, uma vez que este tráfego é intercetado e tratado de forma diferente. Isto resultará em mensagens de tempo limite no momento da renovação do DHCP em T1, quando o cliente tentar contactar diretamente o servidor DHCP no Azure. O DHCP RENEW terá êxito quando a tentativa DHCP RENEW for feita em T2 através do Agente de Retransmissão DHCP. Para obter mais detalhes sobre os temporizadores T1 e T2 DHCP RENEW, consulte RFC 2131.
Posso executar ping em um gateway padrão em uma rede virtual?
Não. Um gateway padrão fornecido pelo Azure não responde a um ping. Mas você pode usar pings em suas redes virtuais para verificar a conectividade e para solucionar problemas entre VMs.
Posso usar o tracert para diagnosticar a conectividade?
Sim.
Posso adicionar sub-redes após a criação da rede virtual?
Sim. Você pode adicionar sub-redes a redes virtuais a qualquer momento, desde que ambas as condições existam:
- O intervalo de endereços da sub-rede não faz parte de outra sub-rede.
- Há espaço disponível no intervalo de endereços da rede virtual.
Posso modificar o tamanho da minha sub-rede depois de criá-la?
Sim. Você pode adicionar, remover, expandir ou reduzir uma sub-rede se nenhuma VM ou serviço for implantado nela.
Posso modificar uma rede virtual depois de criá-la?
Sim. Você pode adicionar, remover e modificar os blocos CIDR que uma rede virtual usa.
Se eu estiver executando meus serviços em uma rede virtual, posso me conectar à Internet?
Sim. Todos os serviços implantados em uma rede virtual podem se conectar de saída à Internet. Para saber mais sobre ligações de internet de saída em Azure, consulte Use Source Network Address Translation (SNAT) para ligações de saída.
Se quiser ligar inbound a um recurso implementado através do Azure Resource Manager, o recurso deve ter um endereço IP público atribuído. Para mais informações, consulte Criar, alterar ou eliminar um endereço IP público Azure.
Cada serviço cloud implementado no Azure tem atribuído um IP virtual (VIP) publicamente endereçável. Você define pontos de extremidade de entrada para funções de plataforma como serviço (PaaS) e pontos de extremidade para máquinas virtuais para permitir que esses serviços aceitem conexões da Internet.
As redes virtuais suportam IPv6?
Sim. As redes virtuais podem ser IPv4 exclusivamente ou dual stack (IPv4 + IPv6). Para mais detalhes, veja O que é IPv6 para Rede Virtual do Azure?
Uma rede virtual pode abranger regiões?
Não. Uma rede virtual é limitada a uma única região. Mas uma rede virtual abrange zonas de disponibilidade. Para saber mais sobre zonas de disponibilidade, consulte Quais são Azure regiões e zonas de disponibilidade?
Você pode conectar redes virtuais em diferentes regiões usando o emparelhamento de rede virtual. Para obter detalhes, consulte Emparelhamento de rede virtual.
Posso ligar uma rede virtual a outra rede virtual no Azure?
Sim. Você pode conectar uma rede virtual a outra rede virtual usando:
- Emparelhamento de rede virtual. Para obter detalhes, consulte Emparelhamento de rede virtual.
- Um gateway VPN do Azure. Para obter detalhes, consulte Configurar uma conexão de gateway VPN de rede para rede.
Resolução de nomes (DNS)
Quais são as minhas opções de DNS para redes virtuais?
Utilize a tabela de decisão em resolução de nomes para recursos em redes virtuais do Azure para o orientar pelas opções DNS disponíveis.
Posso especificar servidores DNS para uma rede virtual?
Sim. Você pode especificar endereços IP para servidores DNS nas configurações de rede virtual. A configuração é aplicada como servidor(es) DNS predefinido(s) para todas as VMs na rede virtual.
Quantos servidores DNS posso especificar?
Consulte Limites de rede.
Posso modificar os meus servidores DNS depois de criar a rede?
Sim. Você pode alterar a lista de servidores DNS para sua rede virtual a qualquer momento.
Se você alterar sua lista de servidores DNS, precisará executar uma renovação de concessão DHCP em todas as VMs afetadas na rede virtual. As novas configurações de DNS entram em vigor após a renovação da concessão. Para VMs a correr Windows, pode renovar o arrendamento introduzindo ipconfig /renew diretamente na VM. Para outros tipos de SO, consulte a documentação para a renovação de concessão DHCP.
O que é o DNS fornecido pelo Azure e funciona com redes virtuais?
O DNS fornecido pelo Azure é um serviço DNS multitenant da Microsoft. O Azure regista todas as suas VMs e instâncias de papéis de serviço cloud neste serviço. Este serviço fornece resolução de nomes:
- Pelo nome do anfitrião para VMs e instâncias de funções no mesmo serviço de nuvem.
- Uso do FQDN (fully qualified domain name, nome de domínio totalmente qualificado) para VMs e instâncias de funções na mesma rede virtual.
Para saber mais sobre DNS, consulte Resolução de nomes para recursos em redes virtuais Azure.
Existe uma limitação para os primeiros 100 serviços cloud numa rede virtual para resolução de nomes entre inquilinos através do DNS fornecido pelo Azure. Se estiver a utilizar o seu próprio servidor DNS, esta limitação não se aplica.
Posso substituir minhas configurações de DNS para cada VM ou serviço de nuvem?
Sim. Você pode definir servidores DNS para cada VM ou serviço de nuvem para substituir as configurações de rede padrão. No entanto, recomendamos que você use o DNS de toda a rede tanto quanto possível.
Posso trazer o meu próprio sufixo DNS?
Não. Não é possível especificar um sufixo DNS personalizado para suas redes virtuais.
Conectando máquinas virtuais
Posso implantar VMs em uma rede virtual?
Sim. Todos os adaptadores de rede (NICs) ligados a uma VM implementada através do modelo de implementação do Resource Manager devem estar ligados a uma rede virtual. Opcionalmente, você pode conectar VMs implantadas por meio do modelo de implantação clássico a uma rede virtual.
Quais são os tipos de endereços IP que posso atribuir às VMs?
Privado: atribuído a cada NIC dentro de cada VM, através do método estático ou dinâmico. Os endereços IP privados são atribuídos a partir do intervalo especificado nas configurações de sub-rede da sua rede virtual.
Os recursos implantados por meio do modelo de implantação clássico recebem endereços IP privados, mesmo que não estejam conectados a uma rede virtual. O comportamento do método de alocação é diferente dependendo se implementou um recurso usando o Resource Manager ou o modelo clássico de implementação:
- Resource Manager: Um endereço IP privado atribuído através do método dinâmico ou estático permanece atribuído a uma máquina virtual (Resource Manager) até que o recurso seja eliminado. A diferença é que selecionas o endereço a atribuir quando usas o método estático, e o Azure escolhe quando estás a usar o método dinâmico.
- Clássico: Um endereço IP privado atribuído através do método dinâmico pode mudar quando uma máquina virtual (clássica) é reiniciada depois de estar no estado interrompido (deslocalizado). Se você precisar garantir que o endereço IP privado de um recurso implantado por meio do modelo de implantação clássico nunca seja alterado, atribua um endereço IP privado usando o método estático.
Public: Opcionalmente atribuída a NICs ligadas a VMs implementadas através do modelo de implementação Resource Manager. Você pode atribuir o endereço usando o método de alocação estática ou dinâmica.
Todas as VMs e instâncias de papel do Serviços Cloud do Azure implementadas através do modelo clássico de implementação existem dentro de um serviço cloud. Ao serviço de nuvem é atribuído um endereço VIP dinâmico e público. Opcionalmente, pode-se atribuir um endereço IP estático público, chamado de endereço IP reservado, como um VIP.
Você pode atribuir endereços IP públicos a VMs individuais ou instâncias de função de Serviços de Nuvem implantadas por meio do modelo de implantação clássico. Esses endereços são chamados de endereços IP públicos no nível da instância e podem ser atribuídos dinamicamente.
Posso reservar um endereço IP privado para uma VM que criarei posteriormente?
Não. Não é possível reservar um endereço IP privado. Se um endereço IP privado estiver disponível, o servidor DHCP o atribuirá a uma VM ou instância de função. A VM pode ou não ser aquela à qual você deseja que o endereço IP privado seja atribuído. No entanto, você pode alterar o endereço IP privado de uma VM existente para qualquer endereço IP privado disponível.
Os endereços IP privados mudam para máquinas virtuais numa rede virtual?
Depende. Se implementaste a VM usando o Resource Manager, os endereços IP não podem mudar, independentemente de teres atribuído os endereços usando o método de alocação estática ou dinâmica. Se você implantou a VM usando o modelo de implantação clássico, os endereços IP dinâmicos podem ser alterados quando você inicia uma VM que estava no estado interrompido (deslocalizado).
O endereço é liberado de uma VM implantada por meio de qualquer modelo de implantação quando você exclui a VM.
Posso atribuir manualmente endereços IP a NICs dentro do sistema operacional da VM?
Sim, mas não recomendamos a menos que seja necessário, como quando você está atribuindo vários endereços IP a uma máquina virtual. Para obter detalhes, consulte Atribuir vários endereços IP a máquinas virtuais.
Se o endereço IP atribuído a uma NIC Azure ligada a uma VM mudar, e o endereço IP dentro do sistema operativo da VM for diferente, perdes a ligação com a VM.
Se eu parar um slot de implantação de serviço de nuvem ou desligar uma VM de dentro do sistema operacional, o que acontece com meus endereços IP?
Nada. Os endereços IP (público VIP, público e privado) permanecem atribuídos ao slot de implantação do serviço de nuvem ou à VM.
Posso mover VMs de uma sub-rede para outra sub-rede em uma rede virtual sem reimplantar?
Sim. Você pode encontrar mais informações em Mover uma VM ou instância de função para uma sub-rede diferente.
Posso configurar um endereço MAC estático para minha VM?
Não. Não é possível configurar estaticamente um endereço MAC.
O endereço MAC permanece o mesmo para a minha VM depois de criada?
Sim. O endereço MAC mantém-se o mesmo para uma VM que implementaste tanto pelo Resource Manager como pelos modelos clássicos até a eliminares.
Anteriormente, o endereço MAC era liberado se você parasse (deslocalizasse) a VM. Mas agora, a máquina virtual mantém o endereço MAC quando está no estado desalocado. O endereço MAC permanece atribuído ao adaptador de rede até que você execute uma destas tarefas:
- Exclua o adaptador de rede.
- Altere o endereço IP privado atribuído à configuração IP primária do adaptador de rede primário.
Serviços Azure que se ligam a redes virtuais
Posso usar Aplicações Web com uma rede virtual?
Sim. Pode implementar a funcionalidade Aplicações Web do Serviço de Aplicações do Azure dentro de uma rede virtual utilizando um Ambiente do Serviço de Aplicações. Pode então:
- Conecte o back-end de seus aplicativos às suas redes virtuais usando a integração de rede virtual.
- Bloqueie o tráfego de entrada para o seu aplicativo usando endpoints de serviço.
Para obter mais informações, consulte os seguintes artigos:
- Funcionalidades de rede do Serviço de Aplicações
- Utilize um Ambiente do Serviço de Aplicações
- Integra a tua aplicação com uma rede virtual Azure
- Configurar restrições de acesso Serviço de Aplicações do Azure
Posso implantar serviços de nuvem com funções Web e de trabalho (PaaS) em uma rede virtual?
Sim. Você pode (opcionalmente) implantar instâncias de função de Serviços de Nuvem em redes virtuais. Para fazer isso, especifique o nome da rede virtual e os mapeamentos de função/sub-rede na seção de configuração de rede da configuração de serviço. Você não precisa atualizar nenhum dos seus binários.
Posso conectar um conjunto de escalonamento de máquinas virtuais a uma rede virtual?
Sim. Você deve conectar um conjunto de escala de máquina virtual a uma rede virtual.
Existe uma lista completa de serviços Azure de onde posso implementar recursos para uma rede virtual?
Sim. Para mais detalhes, veja Deploy dedicated Azure services into virtual networks.
Como posso restringir o acesso a recursos PaaS do Azure a partir de uma rede virtual?
Recursos implementados através de alguns serviços PaaS do Azure (como o Armazenamento do Azure e o Base de Dados SQL do Azure) podem restringir o acesso à rede a redes virtuais através do uso de endpoints de serviço de rede virtual ou Azure Private Link. Para detalhes, veja Terminais de serviço de rede virtual e O que é Azure Private Link?
Posso mover meus serviços para dentro e para fora de redes virtuais?
Não. Não é possível mover serviços para dentro e para fora de redes virtuais. Para mover um recurso para outra rede virtual, você precisa excluir e reimplantar o recurso.
Segurança
Qual é o modelo de segurança para redes virtuais?
As redes virtuais estão isoladas umas das outras e de outros serviços alojados na infraestrutura do Azure. Uma rede virtual é um limite de confiança.
Posso restringir o fluxo de tráfego de entrada ou saída a recursos conectados a uma rede virtual?
Sim. Você pode aplicar grupos de segurança de rede a sub-redes individuais dentro de uma rede virtual, NICs conectadas a uma rede virtual ou ambas.
Posso implementar um firewall entre recursos conectados a uma rede virtual?
Sim. Pode implementar um appliance virtual de rede firewall de vários fornecedores no Azure Marketplace.
Há informações disponíveis sobre como proteger redes virtuais?
Sim. Consulte visão geral da segurança de rede do Azure.
As redes virtuais armazenam dados de clientes?
Não. As redes virtuais não armazenam dados de clientes.
Posso definir a propriedade FlowTimeoutInMinutes para uma assinatura inteira?
Não. Você deve definir a propriedade FlowTimeoutInMinutes na rede virtual. O código a seguir pode ajudá-lo a definir essa propriedade automaticamente para assinaturas maiores:
$Allvnet = Get-AzVirtualNetwork
$time = 4 #The value should be from 4 to 30 minutes (inclusive) to enable tracking, or null to disable tracking.
ForEach ($vnet in $Allvnet)
{
$vnet.FlowTimeoutInMinutes = $time
$vnet | Set-AzVirtualNetwork
}
APIs, esquemas e ferramentas
Posso gerir redes virtuais a partir do código?
Sim. Pode usar APIs REST para redes virtuais nos modelos de implementação Azure Resource Manager e classic.
Existe suporte de ferramentas para redes virtuais?
Sim. Saiba mais sobre como usar:
- Utilização do portal Azure para implementar redes virtuais através dos modelos de implementação Azure Resource Manager e classic.
- PowerShell para gerir redes virtuais implementadas através do modelo de implementação Resource Manager.
- O CLI do Azure ou CLI do Azure clássico para implementar e gerir redes virtuais implementadas através dos modelos de implementação Resource Manager e classic.
Conexão de rede virtual
O que é emparelhamento de rede virtual?
O emparelhamento de rede virtual permite conectar redes virtuais. Uma conexão de emparelhamento entre redes virtuais permite rotear o tráfego entre elas de forma privada por meio de endereços IPv4.
As máquinas virtuais em redes virtuais emparelhadas podem comunicar entre si como se estivessem na mesma rede. Essas redes virtuais podem estar na mesma região ou em regiões diferentes (também conhecido como emparelhamento de rede virtual global).
Pode também estabelecer ligações de peering de rede virtual entre diferentes subscrições do Azure.
Posso criar uma conexão de emparelhamento com uma rede virtual numa região diferente?
Sim. O emparelhamento de rede virtual global permite emparelhar redes virtuais em diferentes regiões. O peering global de redes virtuais está disponível em todas as regiões públicas do Azure, nas regiões de cloud da China e nas regiões de cloud do governo. Não é possível efetuar peering global de regiões públicas do Azure para regiões nacionais de nuvem.
Quais são as limitações relacionadas ao emparelhamento da rede virtual global e dos balanceadores de carga?
Se as duas redes virtuais em duas regiões estiverem emparelhadas por meio de emparelhamento de rede virtual global, você não poderá se conectar a recursos que estão atrás de um balanceador de carga básico através do IP do front-end do balanceador de carga. Essa restrição não existe para um balanceador de carga padrão.
Os recursos a seguir podem usar balanceadores de carga básicos, o que significa que você não pode alcançá-los por meio do IP front-end de um balanceador de carga sobre emparelhamento de rede virtual global. Mas você pode usar o emparelhamento de rede virtual global para alcançar os recursos diretamente por meio de seus IPs de rede virtual privada, se permitido.
- VMs por trás de balanceadores de carga básicos
- Conjuntos de dimensionamento de máquinas virtuais com balanceadores de carga básicos
- Azure Managed Redis
- Gateway de Aplicação do Azure v1
- Azure Service Fabric
- API Management do Azure stv1
- Microsoft Entra Domain Services
- Azure Logic Apps
- Azure HDInsight
- Azure Batch
- Ambiente do Serviço de Aplicações v1 e v2
Pode ligar-se a estes recursos através do Azure ExpressRoute ou ligações rede a rede através de gateways de rede virtuais.
Posso ativar o peering de rede virtual se as minhas redes virtuais pertencerem a subscrições dentro de diferentes locatários do Microsoft Entra?
Sim. É possível estabelecer peering de rede virtual (quer seja local ou global) se as suas subscrições pertencerem a diferentes clientes do Microsoft Entra. Pode fazer isto através do portal Azure, PowerShell ou CLI do Azure.
Minha conexão de emparelhamento de rede virtual está em um estado Iniciado. Por que não consigo me conectar?
Se a sua conexão de emparelhamento estiver em um estado Iniciado, você criou apenas um link. Você deve criar um link bidirecional para estabelecer uma conexão bem-sucedida.
Por exemplo, para emparelhar VNetA a VNetB, você deve criar um link de VNetA para VNetB e de VNetB para VNetA. A criação de ambos os links altera o estado para Conectado.
Minha conexão de emparelhamento de rede virtual está em um estado Desconectado. Por que não consigo criar uma conexão de emparelhamento?
Se sua conexão de emparelhamento de rede virtual estiver em um estado Desconectado , um dos links que você criou foi excluído. Para restabelecer uma ligação de emparelhamento, precisas eliminar a ligação restante e recriar ambas as ligações.
Posso emparelhar a minha rede virtual com uma rede virtual que esteja numa subscrição diferente?
Sim. Você pode emparelhar redes virtuais entre assinaturas e entre regiões.
Posso emparelhar duas redes virtuais com intervalos de endereços coincidentes ou sobrepostos?
Não. Não é possível ativar o emparelhamento de rede virtual se os espaços de endereço se sobreporem.
Posso emparelhar uma rede virtual a duas redes virtuais com a opção Usar gateway remoto ativada em ambos os emparelhamentos?
Não. Você pode ativar a opção Usar gateway remoto em apenas um emparelhamento para uma das redes virtuais.
Posso mover uma rede virtual que tenha uma conexão de emparelhamento para outra rede virtual?
Não. Não é possível mover uma rede virtual que tenha uma conexão de emparelhamento para outra rede virtual. Você deve excluir a conexão de emparelhamento antes de mover a rede virtual.
Quanto custam os links de emparelhamento de rede virtual?
Não há nenhum custo para criar uma conexão de emparelhamento de rede virtual. A transferência de dados através de conexões de emparelhamento é cobrada. Para mais informações, consulte a página de preços Rede Virtual do Azure.
O tráfego de emparelhamento de rede virtual é criptografado?
Quando o tráfego Azure se move entre centros de dados (fora dos limites físicos não controlados por Microsoft ou em nome de Microsoft), o hardware de rede subjacente utiliza encriptação da camada de ligação de dados MACsec. Essa criptografia é aplicável ao tráfego de emparelhamento de rede virtual.
Por que minha conexão de emparelhamento está em um estado Desconectado?
As conexões de emparelhamento de rede virtual entram em um estado Desconectado quando um link de emparelhamento de rede virtual é excluído. Você deve eliminar os dois links para restabelecer uma conexão de emparelhamento bem-sucedida.
Se eu emparelhar a VNetA com a VNetB e emparelhar a VNetB com a VNetC, isso significa que a VNetA e a VNetC estão emparelhadas?
Não. Não é suportado o emparelhamento transitivo. Você deve emparelhar manualmente VNetA para VNetC.
Existem limitações de largura de banda para as conexões de peering?
Não. O emparelhamento de rede virtual, seja local ou global, não impõe nenhuma restrição de largura de banda. A largura de banda é limitada apenas pela VM ou pelo recurso de computação.
Como posso solucionar problemas com emparelhamento de rede virtual?
Experimente o guia de solução de problemas.
TAP de rede virtual
Quais as regiões do Azure disponíveis para o TAP de rede virtual?
A pré-visualização do ponto de acesso ao terminal de rede virtual (TAP) está disponível em todas as regiões do Azure. Você deve implantar os adaptadores de rede monitorados, o recurso TAP de rede virtual e o coletor ou solução de análise na mesma região.
A rede virtual TAP suporta alguma capacidade de filtragem nos pacotes espelhados?
As capacidades de filtragem não são suportadas com a pré-visualização TAP da rede virtual. Quando você adiciona uma configuração TAP a um adaptador de rede, uma cópia profunda de todo o tráfego de entrada e saída no adaptador de rede é transmitida para o destino TAP.
Posso adicionar várias configurações TAP a um adaptador de rede monitorado?
Um adaptador de rede monitorado pode ter apenas uma configuração TAP. Consulte a solução específica do parceiro para avaliar a capacidade de encaminhar várias cópias do tráfego TAP para as ferramentas de análise de sua escolha.
O mesmo recurso TAP de rede virtual pode agregar tráfego de adaptadores de rede monitorados em mais de uma rede virtual?
Sim. Você pode usar o mesmo recurso TAP de rede virtual para agregar tráfego espelhado de adaptadores de rede monitorados em redes virtuais emparelhadas na mesma assinatura ou em uma assinatura diferente.
O recurso TAP da rede virtual e o balanceador de carga ou adaptador de rede de destino devem estar na mesma assinatura. Todas as subscrições devem estar no mesmo cliente Microsoft Entra.
Há considerações de desempenho no tráfego de produção se eu habilitar uma configuração TAP de rede virtual em um adaptador de rede?
A rede virtual TAP está em versão preliminar. Durante a visualização, não há acordo de nível de serviço. Você não deve usar o recurso para cargas de trabalho de produção.
Quando se ativa um adaptador de rede de máquina virtual com uma configuração TAP, os mesmos recursos no host Azure alocados à máquina virtual para enviar o tráfego de produção são usados para realizar a função de espelhamento e enviar os pacotes espelhados. Selecione o tamanho correto da máquina virtual Linux ou Windows para garantir que há recursos suficientes disponíveis para que a máquina virtual envie o tráfego de produção e o tráfego espelhado.
A rede acelerada para Linux ou Windows é suportada com o TAP de rede virtual?
Pode adicionar uma configuração TAP num adaptador de rede ligado a uma máquina virtual que esteja ativada com rede acelerada para Linux ou Windows. Mas adicionar a configuração TAP vai afetar o desempenho e a latência na máquina virtual porque a rede acelerada do Azure atualmente não suporta o offload para o tráfego espelhado.
Pontos finais de serviço de rede virtual
Qual é a sequência correta de operações para configurar endpoints de serviço para um serviço Azure?
Existem dois passos para proteger um recurso de serviço Azure através de endpoints de serviço:
- Ativar os endpoints de serviço para o serviço Azure.
- Configure listas virtuais de controlo de acesso à rede (ACLs) no serviço Azure.
A primeira etapa é uma operação do lado da rede, e a segunda etapa é uma operação do lado do recurso do serviço. O mesmo administrador ou diferentes administradores podem executar os passos, com base nas permissões de controlo de acesso baseado em funções (RBAC) do Azure concedidas ao papel de administrador.
Recomendamos que ative os endpoints de serviço na sua rede virtual antes de configurar as ACLs de rede virtual no serviço Azure. Para configurar pontos de extremidade de serviço de rede virtual, deve executar as etapas pela ordem apresentada anteriormente.
Observação
Deve completar ambas as operações anteriores antes de poder limitar o acesso ao serviço Azure à rede virtual e à sub-rede permitidas. Só ativar os endpoints de serviço para o serviço Azure do lado da rede não te dá acesso limitado. Também deve configurar os ACLs de rede virtual no serviço Azure.
Certos serviços (como SQL do Azure e Azure Cosmos DB) permitem exceções à sequência anterior através do flag IgnoreMissingVnetServiceEndpoint. Depois de configurar o sinalizador para True, pode configurar as listas de controlo de acesso (ACLs) de rede virtual no lado do serviço Azure, antes de ativar os endpoints de serviço do lado da rede. Os serviços do Azure fornecem este flag para ajudar os clientes nos casos em que os firewalls IP específicos estão configurados nos serviços Azure.
Ativar os pontos de extremidade de serviço no lado da rede pode levar a uma queda de conectividade, porque o IP de origem muda de um endereço IPv4 público para um endereço privado. Configurar ACLs de rede virtual no lado de serviço do Azure antes de ativar os endpoints de serviço no lado da rede pode ajudar a evitar uma queda de conectividade.
Observação
Se ativares o Service Endpoint em certos serviços como a "Microsoft. AzureActiveDirectory" pode ver as ligações de endereços IPv6 nos Sign-In Logs. A Microsoft utiliza uma gama privada interna IPv6 para este tipo de ligação.
Todos os serviços do Azure residem na rede virtual do Azure que o cliente fornece? Como funciona um endpoint de serviço de rede virtual com os serviços Azure?
Nem todos os serviços do Azure residem na rede virtual do cliente. A maioria dos serviços de dados Azure (como Armazenamento do Azure, SQL do Azure e Azure Cosmos DB) são serviços multitenant que podem ser acedidos através de endereços IP públicos. Para mais informações, consulte Implementar serviços dedicados de Azure em redes virtuais.
Quando ativas os endpoints de serviço de rede virtual do lado da rede e configuras ACLs de rede virtual apropriadas no lado de serviço do Azure, o acesso a um serviço Azure fica restrito a uma rede virtual e sub-rede permitidas.
Como os pontos de extremidade de serviço de rede virtual fornecem segurança?
Os endpoints de serviço de rede virtual limitam o acesso do serviço Azure à rede virtual e à sub-rede permitidas. Desta forma, proporcionam segurança ao nível da rede e isolamento do tráfego de serviços do Azure.
Todo o tráfego que utiliza endpoints de serviço da rede virtual flui pela rede principal da Microsoft para proporcionar uma camada adicional de isolamento da internet pública. Os clientes também podem optar por remover totalmente o acesso público à internet aos recursos de serviço do Azure e permitir apenas tráfego proveniente da sua rede virtual através de uma combinação de firewall IP e ACLs de rede virtual. Remover o acesso à internet ajuda a proteger os recursos do serviço Azure contra acessos não autorizados.
O que protege o endpoint de serviço de rede virtual – recursos de rede virtual ou recursos de serviço Azure?
Os endpoints de serviços de rede virtual ajudam a proteger os recursos de serviço do Azure. Os recursos de rede virtual são protegidos por meio de grupos de segurança de rede.
Custa alguma coisa usar os pontos de extremidade do serviço de rede virtual?
Não. Não há custo adicional para o uso de pontos de extremidade de serviço de rede virtual.
Posso ativar endpoints de serviço de rede virtual e configurar ACLs de rede virtual se a rede virtual e os recursos do serviço Azure pertencerem a subscrições diferentes?
Sim, é possível. Redes virtuais e recursos de serviço Azure podem estar na mesma subscrição ou em subscrições diferentes. O único requisito é que tanto a rede virtual como os recursos do serviço Azure estejam sob o mesmo tenant Microsoft Entra.
Posso ativar endereços de serviço de rede virtual e configurar listas de controlo de acesso da rede virtual se a rede virtual e os recursos de serviço Azure estiverem associados a inquilinos Microsoft Entra diferentes?
Sim, é possível quando usas endpoints de serviço para Armazenamento do Azure e Azure Key Vault. Para outros serviços, os endpoints de serviço de rede virtual e as ACLs de rede virtual não são suportados entre os locatários Microsoft Entra.
O endereço IP de um dispositivo on-premises que está ligado através de um gateway virtual de rede Azure (VPN) ou gateway ExpressRoute pode aceder aos serviços PaaS do Azure através de endpoints virtuais de serviço de rede?
Por defeito, os recursos de serviço Azure protegidos por redes virtuais não são acessíveis a partir de redes locais. Se quiser permitir o tráfego a partir de instalações locais, deve também permitir endereços IP públicos (normalmente, NAT) a partir de instalações locais ou via ExpressRoute. Pode adicionar estes endereços IP através da configuração do firewall IP para os recursos do serviço Azure.
Como alternativa, podes implementar pontos de extremidade privados para serviços suportados.
Posso usar endpoints de serviços de rede virtual para proteger os serviços Azure em múltiplas sub-redes dentro de uma rede virtual ou em várias redes virtuais?
Para proteger os serviços do Azure para múltiplas sub-redes dentro de uma rede virtual ou em múltiplas redes virtuais, ative os endpoints de serviço do lado da rede em cada uma das sub-redes de forma independente. Depois, assegure os recursos de serviço do Azure para todas as sub-redes configurando ACLs de rede virtual apropriadas no lado de serviço do Azure.
Como posso filtrar o tráfego de saída de uma rede virtual para os serviços do Azure e ainda assim usar endpoints de serviço?
Se quiser inspecionar ou filtrar o tráfego destinado a um serviço Azure a partir de uma rede virtual, pode implementar um dispositivo virtual de rede dentro da rede virtual. Pode então aplicar pontos de extremidade de serviço à sub-rede onde a aplicação virtual de rede está implementada e proteger os recursos de serviço da Azure apenas para esta sub-rede através de ACLs da rede virtual.
Este cenário também pode ser útil se quiser restringir o acesso ao serviço Azure da sua rede virtual apenas a recursos específicos do Azure, usando filtragem de appliances virtuais de rede. Para mais informações, consulte Implantar NVAs altamente disponíveis.
O que acontece quando alguém acede a uma conta de serviço Azure que tem uma ACL de rede virtual ativada fora da rede virtual?
O serviço retorna um erro HTTP 403 ou HTTP 404.
As sub-redes de uma rede virtual criadas em diferentes regiões podem aceder a uma conta de serviço Azure noutra região?
Sim. Para a maioria dos serviços Azure, redes virtuais criadas em diferentes regiões podem aceder a serviços Azure noutra região através dos endpoints dos serviços de rede virtual. Por exemplo, se uma conta do Azure Cosmos DB estiver na região Oeste dos EUA ou Leste dos EUA, e as redes virtuais estiverem em várias regiões, as redes virtuais podem aceder ao Azure Cosmos DB.
O SQL do Azure é uma exceção e é de natureza regional. Tanto a rede virtual como o serviço Azure têm de estar na mesma região.
Um serviço Azure pode ter tanto uma ACL de rede virtual como um firewall IP?
Sim. Uma ACL de rede virtual e um firewall IP podem coexistir. As funcionalidades complementam-se para ajudar a garantir o isolamento e a segurança.
O que acontece se apagar uma rede virtual ou sub-rede que tenha os endpoints de serviço ativados para os serviços do Azure?
A exclusão de redes virtuais e a exclusão de sub-redes são operações independentes. São suportados mesmo quando ligas os endpoints de serviço para os serviços do Azure.
Se configurares ACLs de rede virtual para serviços Azure, a informação de ACL associada a esses serviços Azure fica desativada quando eliminas uma rede virtual ou sub-rede que tem os endpoints de serviço de rede virtual ativados.
O que acontece se eu apagar uma conta de serviço do Azure que tenha um endpoint de serviço de rede virtual ativado?
A eliminação de uma conta de serviço Azure é uma operação independente. É suportado mesmo que tenhas ativado o endpoint de serviço do lado da rede e configures ACLs de rede virtual no lado de serviço do Azure.
O que acontece com o endereço IP de origem de um recurso (como uma VM numa sub-rede) que tem endpoints de serviço de rede virtual ativados?
Quando ativas os endpoints de serviço de rede virtual, os endereços IP de origem dos recursos na sub-rede da tua rede virtual mudam de usar endereços IPv4 públicos para usar os endereços IP privados da rede virtual Azure para tráfego para os serviços Azure. Este switch pode causar falhas em firewalls IP específicos que estavam definidos para um endereço IPv4 público anteriormente nos serviços Azure.
A rota do ponto de extremidade de serviço sempre tem precedência?
Os endpoints de serviço adicionam uma rota de sistema que tem precedência sobre as rotas BGP (Border Gateway Protocol) e proporciona rotas ótimas para o tráfego dos endpoints de serviço. Os endpoints de serviço recebem sempre o tráfego de serviço diretamente da sua rede virtual para o serviço na rede backbone do Microsoft Azure.
Para mais informações sobre como Azure seleciona uma rota, veja Encaminhamento de tráfego de rede virtual.
Os pontos de extremidade de serviço funcionam com ICMP?
Não. Tráfego ICMP proveniente de uma sub-rede com pontos de extremidade de serviço ativados não seguirá o caminho do túnel de serviço para o ponto de extremidade desejado. Os pontos de extremidade de serviço lidam apenas com o tráfego TCP. Se quiser testar a latência ou a conectividade com um ponto de extremidade por meio de interfaces de serviço, ferramentas como o ping e o tracert não mostram o caminho real que os recursos dentro da sub-rede seguirão.
Como funcionam os NSGs numa sub-rede com extremidades de serviço?
Para aceder ao serviço Azure, os NSGs precisam de permitir a conectividade de saída. Se os NSGs estiverem abertos para todo o tráfego de saída da Internet, o tráfego do ponto de extremidade do serviço deverá funcionar. Você também pode limitar o tráfego de saída a apenas endereços IP de serviço usando as tags de serviço.
De que permissões necessito para configurar pontos de extremidade de serviço?
Você pode configurar endpoints de serviço numa rede virtual de forma independente, caso tenha permissão de escrita para essa rede.
Para garantir Azure recursos de serviço numa rede virtual, deve ter Microsoft. Network/virtualNetworks/subnets/joinViaServiceEndpoint/action permissão para as subredes que estás a adicionar. Essa permissão está incluída na função interna de administrador de serviço por padrão e pode ser modificada por meio da criação de funções personalizadas.
Para mais informações sobre funções embutidas e atribuição de permissões específicas a funções personalizadas, consulte funções personalizadas do Azure.
Posso filtrar o tráfego de rede virtual para serviços da Azure através de pontos finais de serviço?
Pode utilizar políticas de pontos finais de rede virtual para filtrar o tráfego de rede virtual para os serviços do Azure, permitindo apenas recursos específicos dos serviços do Azure através dos pontos finais do serviço. As políticas de endpoint fornecem controlo de acesso granular do tráfego de rede virtual para os serviços do Azure.
Para saber mais, consulte Políticas de endpoint de serviço de rede virtual para Armazenamento do Azure.
O Microsoft Entra ID suporta endpoints de serviço de rede virtual?
Microsoft Entra ID não suporta endpoints de serviço nativamente. Para uma lista completa de serviços de Azure que suportam terminais de serviço de rede virtual, consulte Endpoints de serviço de rede virtual.
Nessa lista, o rótulo Microsoft.AzureActiveDirectory, listado sob serviços que suportam endpoints de serviço, é usado para suportar endpoints de serviço para o Azure Data Lake Storage Gen1. Integração de rede virtual para o Data Lake Storage Gen1 utiliza a segurança do endpoint de serviço de rede virtual entre a sua rede virtual e a Microsoft Entra ID para gerar reivindicações de segurança adicionais no token de acesso. Estas reivindicações são depois usadas para autenticar a sua rede virtual na sua conta Data Lake Storage Gen1 e permitir o acesso.
Existem limites para quantos pontos de extremidade de serviço posso configurar a partir da minha rede virtual?
Não há limite para o número total de pontos de extremidade de serviço em uma rede virtual. Para um recurso de serviço Azure (como uma conta Armazenamento do Azure), os serviços podem impor limites ao número de sub-redes que utiliza para proteger o recurso. A tabela a seguir mostra alguns limites de exemplo:
| Azure service | Limites das regras de rede virtual |
|---|---|
| Armazenamento do Azure | 200 |
| SQL do Azure | 128 |
| Azure Synapse Analytics | 128 |
| Azure Key Vault | 200 |
| Azure Cosmos DB | 64 |
| Hubs de Eventos do Azure | 128 |
| Azure Service Bus | 128 |
Observação
Os limites estão sujeitos a alterações a critério dos serviços Azure. Consulte a respetiva documentação de serviço para obter detalhes.
Migração dos recursos clássicos da rede para o Resource Manager
O que é Azure Service Manager e o que significa o termo "clássico"?
Azure Service Manager é o antigo modelo de implementação de Azure responsável por criar, gerir e eliminar recursos. A palavra clássico num serviço de rede refere-se a recursos geridos pelo modelo Azure Service Manager. Para obter mais informações, consulte a comparação de modelos de implantação.
O que é o Azure Resource Manager?
Azure Resource Manager é o modelo mais recente de implementação e gestão no Azure responsável por criar, gerir e eliminar recursos na sua subscrição do Azure. Para mais informações, consulte O que é Azure Resource Manager?
Posso reverter a migração depois de os recursos terem sido comprometidos para o Resource Manager?
Você pode cancelar a migração desde que os recursos ainda estejam no estado preparado. Não há suporte para a reversão para o modelo de implantação anterior depois que você migra recursos com êxito por meio da operação de confirmação.
Posso reverter a migração se a operação de confirmação falhar?
Não é possível reverter uma migração se a operação de confirmação falhar. Todas as operações de migração, incluindo a operação de confirmação, não podem ser alteradas depois de iniciá-las. Recomendamos que você tente novamente a operação após um curto período. Se a operação continuar a falhar, envie uma solicitação de suporte.
Posso validar minha assinatura ou recursos para ver se eles são capazes de migração?
Sim. A primeira etapa na preparação para a migração é validar que os recursos podem ser migrados. Se a validação falhar, você receberá mensagens por todos os motivos pelos quais a migração não pode ser concluída.
Os recursos do Application Gateway são migrados como parte da migração da rede virtual do clássico para o Resource Manager?
Os recursos do Gateway de Aplicação do Azure não são migrados automaticamente como parte do processo de migração da rede virtual. Se um estiver presente na rede virtual, a migração não será bem-sucedida. Para migrar um recurso do Application Gateway para o Resource Manager, tem de remover e recriar a instância do Application Gateway após a conclusão da migração.
Os recursos do Gateway de VPN são migrados como parte da migração da rede virtual do clássico para o Resource Manager?
Os recursos do Gateway de VPN do Azure são migrados como parte do processo de migração da rede virtual. A migração é concluída uma rede virtual de cada vez, sem outros requisitos. As etapas de migração são as mesmas da migração de uma rede virtual sem um gateway VPN.
Existe uma interrupção de serviço associada à migração de gateways VPN clássicos para o Resource Manager?
Não vais experienciar qualquer interrupção de serviço na tua ligação VPN ao migrar para o Resource Manager. As cargas de trabalho existentes continuarão a funcionar com conectividade local completa durante a migração.
Preciso de reconfigurar o meu dispositivo local depois de o gateway VPN ser migrado para o Resource Manager?
O endereço IP público associado ao gateway VPN permanece o mesmo após a migração. Não é necessário reconfigurar o roteador local.
Quais são os cenários suportados para a migração do gateway VPN do clássico para o Resource Manager?
A migração do clássico para o Resource Manager cobre a maioria dos cenários comuns de conectividade VPN. Os cenários suportados incluem:
Conectividade ponto-a-site.
Conectividade de site a site com um gateway VPN ligado a uma localização local.
Conectividade de rede para rede entre duas redes virtuais que usam gateways VPN.
Várias redes virtuais conectadas ao mesmo local local.
Conectividade entre múltiplos locais.
Redes virtuais com tunelamento forçado habilitado.
Que cenários não são suportados para migração de gateway VPN do classic para o Resource Manager?
Os cenários que não são suportados incluem:
Uma rede virtual com um gateway ExpressRoute e um gateway VPN.
Uma rede virtual com um gateway ExpressRoute ligado a um circuito numa assinatura diferente.
Cenários de trânsito em que as extensões de VM estão conectadas a servidores locais.
Onde posso encontrar mais informações sobre migração do classic para o Resource Manager?
Veja Perguntas frequentes sobre migração do clássico para o Azure Resource Manager.
Posso recuperar um endereço IP público excluído?
Não. Uma vez que um endereço IP público do Azure é eliminado, não pode ser recuperado. Para obter mais informações, consulte Exibir, modificar configurações ou excluir um endereço IP público.
Como posso comunicar um problema?
Pode colocar questões sobre problemas de migração na página Microsoft Q&A. Recomendamos que você poste todas as suas perguntas neste fórum. Se tiver um contrato de suporte, também pode apresentar um pedido de suporte.