Topologia de rede hub-spoke no Azure

Essa arquitetura de referência implementa um padrão de rede hub-spoke com componentes de infraestrutura de hub gerenciados pelo cliente. O padrão de rede hub-spoke, também conhecido como hub e spoke, é a topologia de rede que o Cloud Adoption Framework para Azure recomenda. Veja, Defina uma topologia de rede Azure para perceber porque é que esta topologia é considerada uma boa prática para muitas organizações.

Para uma solução de infraestrutura hub gerida por Microsoft, consulte Topologia de rede hub-spoke com WAN Virtual do Azure.

Architecture

Descarregue um ficheiro Visio desta arquitetura.

Conceitos Hub-spoke

As topologias de rede hub-spoke normalmente incluem muitos dos seguintes conceitos de arquitetura:

• Rede virtual hub: A rede virtual hub aloja serviços de rede partilhados do Azure. Cargas de trabalho hospedadas nas redes virtuais spoke podem usar esses serviços. A rede virtual do hub é o ponto central de conectividade para redes entre locais. O hub contém o seu ponto de saída primário e oferece uma forma de ligar um spoke ao outro para tráfego entre redes virtuais quando necessário.

  Um hub é um recurso regional. Se as tuas cargas de trabalho estiverem em várias regiões, coloca um hub em cada região. O hub oferece as seguintes funcionalidades e opções:

  • Gateway entre instalações: A capacidade de ligar e integrar diferentes ambientes de rede. Este gateway é normalmente uma VPN ou um circuito Azure ExpressRoute.

  • Controlo de saída: A gestão e regulação do tráfego de saída que se origina nas redes virtuais spoke peered.

  • Controlo de entrada: A gestão e regulação opcional do tráfego de entrada para endpoints que existem em redes virtuais de spoke associadas.

  • Acesso remoto: A forma como as cargas de trabalho individuais em redes spoke são acedidas a partir de locais na rede fora da rede spoke. Este acesso pode direcionar os dados ou o plano de controlo da carga de trabalho.

  • Acesso remoto a redes spoke para máquinas virtuais (VMs): Uma solução de conectividade remota interorganizacional para acesso ao Ambiente de Trabalho Remoto Protocol (RDP) e ao Secure Shell Protocol (SSH) em VMs distribuídas por redes spoke.

  • Roteamento: A gestão de tráfego entre o hub e as ramificações ligadas. O roteamento suporta uma comunicação segura e eficiente.

• Redes virtuais de spokes: As redes virtuais de spokes isolam e gerem cargas de trabalho separadamente em cada spoke. Cada carga de trabalho pode incluir múltiplos níveis, com múltiplas subredes ligadas através de balanceadores de carga Azure. Os raios podem existir em diferentes subscrições e representar diferentes ambientes, como produção e não produção. Uma carga de trabalho pode distribuir-se por vários nós.

  Na maioria dos cenários, deves fazer peer de cada um de uma única rede hub na mesma região.

  As redes spoke seguem as regras para acesso de saída padrão. Um objetivo central da topologia de rede hub-spoke é direcionar o tráfego de internet de saída através dos mecanismos de controlo no hub.

• Conectividade cruzada de redes virtuais: A conectividade da rede virtual facilita a comunicação entre redes virtuais isoladas. Um mecanismo de controlo impõe permissões e determina a direção permitida das comunicações entre redes. Um hub oferece a opção de suportar ligações inter-rede selecionadas para fluir através da rede centralizada.

• DNS: As soluções hub-spoke fornecem frequentemente uma solução de Sistema de Nomes de Domínio (DNS) que todos os spokes peered utilizam, especialmente para encaminhamento entre instalações e registos DNS de endpoints privados.

Components

• Rede Virtual do Azure é o bloco fundamental para redes privadas em Azure. A Rede Virtual fornece comunicação segura entre recursos Azure, como VMs, e redes multi-locais, a internet e entre si.

  Nesta arquitetura, as redes virtuais ligam-se ao hub usando ligações Rede Virtual peering, que são ligações não transitivas e de baixa latência entre redes virtuais. Redes virtuais peered podem trocar tráfego através da backbone do Azure sem um router. Numa arquitetura hub-and-spoke, use peering direto entre redes virtuais apenas em situações especiais.

• Azure Bastion é um serviço totalmente gerido que fornece acesso RDP e SSH às VMs sem expor os seus endereços IP públicos. Nesta arquitetura, o Azure Bastion é utilizado como uma oferta gerida para suportar o acesso direto a VMs através dos pontos conectados.

• Azure Firewall é um serviço gerido de segurança de rede baseado na cloud que protege os recursos da Rede Virtual. Este serviço de firewall com monitoração de estado tem alta disponibilidade integrada e escalabilidade irrestrita na nuvem para ajudá-lo a criar, aplicar e registrar políticas de conectividade de aplicativos e redes virtuais em assinaturas e redes virtuais.

  Nesta arquitetura, o Azure Firewall tem múltiplos papéis potenciais. O firewall é o principal ponto de saída para o tráfego proveniente de redes virtuais de raios peered para a internet. O firewall também pode inspecionar o tráfego de entrada utilizando regras do sistema de deteção e prevenção de intrusões na rede (IDPS). O firewall pode também funcionar como um servidor proxy DNS para suportar regras de tráfego totalmente qualificadas para nomes de domínio (FQDN).

• Gateway de VPN do Azure é um gateway de rede virtual que envia tráfego encriptado entre uma rede virtual em Azure e diferentes redes através da internet pública. Também pode usar o Gateway de VPN para enviar tráfego encriptado entre outras redes virtuais através da rede Microsoft.

  Nesta arquitetura, o Gateway de VPN pode ligar spokes à rede remota. Os spokes normalmente não implementam o seu próprio gateway VPN. Eles usam a solução centralizada que o hub fornece. Para gerir esta conectividade, é necessário estabelecer a configuração do encaminhamento.

• Um gateway ExpressRoute troca rotas IP e encaminha o tráfego de rede entre a sua rede local e a sua rede virtual Azure. Nesta arquitetura, o ExpressRoute pode servir como uma alternativa ao Gateway de VPN para ligar sistemas a uma rede remota. Os Spokes não implementam o seu próprio gateway ExpressRoute. Eles usam a solução centralizada que o hub fornece. Para gerir esta conectividade, é necessário estabelecer configuração de encaminhamento.

• Azure Monitor pode recolher, analisar e agir sobre dados de telemetria provenientes de ambientes entre instalações, incluindo Azure e on-premises. O Azure Monitor ajuda-o a maximizar o desempenho e a disponibilidade das suas aplicações e a identificar rapidamente problemas. Nesta arquitetura, o Azure Monitor é o sumidouro de logs e métricas para os recursos do hub e para métricas de rede. O Azure Monitor também pode funcionar como um destino de registos para recursos em redes de hub e spoke. Cada carga de trabalho de nodo determina a sua própria configuração de registo de atividades, e esta arquitetura não requer que os nodos façam registo no Azure Monitor.

Alternatives

Esta arquitetura envolve a criação, configuração e manutenção de virtualNetworkPeerings, routeTables, e subnets. Azure Virtual Network Manager é um serviço de gestão que o ajuda a agrupar, configurar, implementar e gerir redes virtuais em larga escala através de Azure subscrições, regiões e diretórios de Microsoft Entra.

Com Virtual Network Manager, pode definir grupos redes para identificar e segmentar logicamente as suas redes virtuais. Também pode usar grupos conectados para fornecer comunicação entre grupos de redes virtuais como se estivessem ligadas manualmente. Esta abordagem acrescenta uma camada de abstração para descrever a topologia de rede desejada sem alterar a sua implementação.

Recomendamos que avalie se deve usar o Virtual Network Manager para otimizar as suas operações de gestão de rede. Para determinar se o Virtual Network Manager oferece valor líquido para o tamanho e complexidade da sua rede, compare o custo do serviço com a poupança de tempo e os benefícios operacionais.

WAN Virtual do Azure

Esta arquitetura descreve um padrão de rede que inclui componentes de infraestrutura de hub geridos pelo cliente. Para uma solução de infraestrutura hub gerida por Microsoft, veja a topologia de rede Hub-spoke que utiliza WAN Virtual do Azure.

Os benefícios de usar uma configuração de hub-and-spoke gerida pelo cliente incluem:

• Poupança de custos
• Ultrapassar os limites de subscrição
• isolamento de carga de trabalho
• Flexibility
  • Mais controlo sobre como os appliances virtuais de rede (NVAs) são implementados, como o número de NICs, número de instâncias ou o tamanho do processamento
  • Utilização de NVAs que não são suportados pela WAN Virtual

Detalhes do cenário

Esta arquitetura de referência implementa um padrão de rede hub-spoke, onde a rede virtual hub atua como um ponto central de conectividade para muitas redes virtuais spoke. As redes virtuais spoke ligam-se ao hub e podem isolar cargas de trabalho. Também pode suportar cenários entre ambientes usando o hub para se ligar a redes no local.

Para obter mais informações, consulte Topologia de rede Hub-and-spoke.

Cenários avançados

A sua arquitetura pode diferir da simples arquitetura hub-spoke descrita neste artigo. A lista seguinte descreve orientações para cenários avançados:

• Para adicionar mais regiões, use Azure Firewall para encaminhar uma topologia multi-hub-spoke.

• Para usar padrões avançados de spoke-to-spoke, utilize a rede spoke-to-spoke.

• Para substituir o Azure Firewall por um NVA personalizado, implante NVAs que sejam altamente disponíveis.

• Para substituir o gateway de rede virtual por um NVA definido por software personalizado (SD-WAN), consulte integração SD-WAN com topologias de rede hub-spoke do Azure.

• Para proporcionar transitividade entre o seu ExpressRoute e VPN ou SDWAN, ou para personalizar prefixos anunciados através do Border Gateway Protocol (BGP) em gateways de rede virtuais Azure, veja suporte a Route Server para ExpressRoute e Azure VPN.

• Para adicionar resolvedores privados ou servidores DNS, veja Arquitetura de resolver privado.

Potenciais casos de utilização

As utilizações típicas de uma arquitetura hub-spoke incluem cargas de trabalho que:

• Ter vários ambientes que exigem serviços compartilhados. Por exemplo, uma carga de trabalho pode ter ambientes de desenvolvimento, teste e produção. Os serviços partilhados podem incluir IDs DNS, Network Time Protocol (NTP) ou Active Directory Domain Services (AD DS). Os serviços compartilhados são colocados na rede virtual do hub e cada ambiente é implantado em uma rede diferente para manter o isolamento.

• Não exigem conectividade entre si, mas exigem acesso a serviços compartilhados.

• Exigir controlo central sobre a segurança, como uma rede perimetral (também conhecida como DMZ, zona desmilitarizada e sub-rede rastreada), firewall no hub e gestão segregada de carga de trabalho em cada spoke.

• Exigem controlo central sobre a conectividade, como conectividade seletiva ou isolamento entre nós de ambientes ou cargas de trabalho específicas.

Recommendations

Você pode aplicar as seguintes recomendações à maioria dos cenários. Siga-as, a não ser que tenha requisitos específicos que as anulem.

Grupos de recursos, assinaturas e regiões

Esta solução de exemplo utiliza um único grupo de recursos do Azure. Você também pode implementar o hub e cada spoke em diferentes grupos de recursos e assinaturas.

Ao criar emparelhamento entre redes virtuais em diferentes subscrições, pode associar as subscrições ao mesmo ou a diferentes locatários Microsoft Entra. Esta flexibilidade proporciona uma gestão descentralizada de cada carga de trabalho e mantém serviços partilhados no hub. Para mais informações, consulte Criar uma rede virtual que estabeleça peering entre diferentes subscrições e entidades do Microsoft Entra.

Zonas de aterragem Azure

A arquitetura da zona de aterragem Azure baseia-se numa topologia de raios hub. Nessa arquitetura, uma equipa de plataforma centralizada gere os recursos partilhados e a rede do hub, enquanto os spokes partilham um modelo de copropriedade com a equipa da plataforma e a equipa de trabalho que usa a rede do spoke. Todos os hubs residem numa subscrição de Conectividade para gestão centralizada. As redes virtuais spoke existem em muitas subscrições individuais de cargas de trabalho, chamadas subscrições de zona de aterragem de aplicações.

Sub-redes de rede virtual

As seguintes recomendações explicam como configurar sub-redes na rede virtual.

GatewaySubnet

O gateway de rede virtual requer essa sub-rede. Você também pode usar uma topologia hub-spoke sem um gateway se não precisar de conectividade de rede entre locais.

Crie uma sub-rede de gateway com um intervalo de endereços IP de pelo menos /26 ou maior, nomeada GatewaySubnet. A gama de endereços /26 proporciona escalabilidade suficiente para evitar limitações de tamanho do gateway e acomodar circuitos ExpressRoute adicionais no futuro. Para obter mais informações sobre a configuração do gateway, consulte Configurar ExpressRoute e ligações coexistentes site-to-site utilizando PowerShell.

AzureFirewallSubnet

Crie uma sub-rede chamada AzureFirewallSubnet com um intervalo de endereços de pelo menos /26. Recomendamos /26 como tamanho mínimo para cobrir futuras limitações de tamanho. Esta sub-rede não suporta grupos de segurança de rede (NSGs).

O Azure Firewall requer esta subrede. Se usar um NVA parceiro, siga os seus requisitos de rede.

Conectividade de rede em 'spoke'

O peering de redes virtuais ou grupos conectados são relações não transitivas entre redes virtuais. Se precisar que as redes spoke virtuais se conectem umas às outras, adicione uma conexão de emparelhamento entre esses spokes ou coloque-os no mesmo grupo de rede.

Ligações de ramificação através do Azure Firewall ou de um NVA

O número de emparelhamentos de rede virtual por rede virtual é limitado. Se tiver muitas conexões (spokes) que precisam de se ligar entre si, pode não ter ligações de peering suficientes. Os grupos conectados também têm limitações. Para obter mais informações, consulte Limites de rede e Limites de grupos conectados.

Neste cenário, considere usar rotas definidas pelo utilizador (UDRs) para forçar o envio de tráfego de spoke para o Azure Firewall ou outro NVA que atue como router no hub. Esta alteração permitirá que os spokes se liguem entre si. Para suportar esta configuração, implemente o Azure Firewall com a configuração de túnel forçado ativada. Para mais informações, consulte túnel forçado do Azure Firewall.

A topologia neste projeto arquitetónico facilita os fluxos de saída. Embora o Azure Firewall seja principalmente para segurança de saída, também pode ser um ponto de entrada. Para mais considerações sobre o encaminhamento de entrada do hub NVA, veja Azure Firewall e Gateway de Aplicação do Azure para redes virtuais.

Conexões spoke para redes remotas através de um gateway de hub

Para configurar spokes para comunicar com redes remotas através de um gateway hub, pode usar peerings de rede virtual ou grupos de redes conectadas. Para utilizar peerings de rede virtual, abra a configuração de peering de rede virtual e complete as seguintes ações:

• Configure a conexão de emparelhamento no hub para Permitir o trânsito do gateway.
• Configure a conexão de emparelhamento em cada spoke para Usar o gateway da rede virtual remota.
• Configure todas as conexões de emparelhamento para Permitir tráfego encaminhado.

Para obter mais informações, consulte Criar um emparelhamento de rede virtual.

Para usar grupos de rede conectados:

1. No Virtual Network Manager, crie um grupo de rede e adicione redes virtuais membros.
2. Crie uma configuração de conectividade por raios hub.
3. Para os grupos de rede Spoke, selecione Hub como gateway.

Para mais informações, consulte Crie uma topologia de raios hub usando Virtual Network Manager.

Comunicações de rede spoke

As redes virtuais spoke podem comunicar entre si de duas formas principais:

• Comunicação via um NVA, como um firewall e um router. Este método adiciona um salto entre as duas pontas.

• A comunicação através de peering de rede virtual ou por conectividade direta usando o Virtual Network Manager entre ramos. Esta abordagem não adiciona um “hop” entre os dois “spokes” e é recomendada para reduzir a latência.

O Azure Private Link pode expor seletivamente recursos individuais a outras redes virtuais. Por exemplo, pode usar o Private Link para expor um balanceador de carga interno a uma rede virtual diferente sem necessidade de formar ou manter relações de peering ou roteamento.

Para obter mais informações sobre padrões de rede spoke-to-spoke, consulte Opções de conectividade de rede virtual e comunicação spoke-to-spoke.

Comunicação através de um NVA

Se precisares de conectividade entre spokes, considera implementar o Azure Firewall ou outro NVA no hub. Em seguida, crie rotas para encaminhar o tráfego de um spoke para o firewall ou NVA, que pode então rotear para o segundo spoke. Neste cenário, deve configurar as ligações de peering para aceitarem tráfego reencaminhado.

Você também pode usar um gateway VPN para rotear o tráfego entre ramificações, embora essa escolha possa afetar a latência e a taxa de transferência. Para obter mais informações, consulte Configurar o trânsito do gateway VPN para o emparelhamento de redes virtuais.

Avalie os serviços que partilha no hub para garantir que este se adapta a um maior número de remotos. Por exemplo, se o seu hub fornecer serviços de firewall, considere os limites de largura de banda da sua solução de firewall ao adicionar várias extremidades. Você pode mover alguns desses serviços compartilhados para um segundo nível de hubs.

Comunicação direta entre redes faladas

Para se ligar diretamente entre redes virtuais spoke sem encaminhar tráfego através da rede virtual hub, pode criar ligações de peering entre spokes ou ativar a conectividade direta para o grupo de rede. Recomendamos que limite o peering ou a conectividade direta a redes virtuais spoke que fazem parte do mesmo ambiente e carga de trabalho.

Quando usa o Virtual Network Manager, pode adicionar redes virtuais spoke manualmente a grupos de rede ou adicionar redes automaticamente com base nas condições que definir.

O diagrama seguinte ilustra como usar Virtual Network Manager para conseguir conectividade direta entre ramas.

Considerations

Estas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que pode usar para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Well-Architected Framework.

Reliability

A confiabilidade ajuda a garantir que seu aplicativo possa cumprir os compromissos que você assume com seus clientes. Para obter mais informações, consulte Lista de verificação de revisão de design para confiabilidade.

Use zonas de disponibilidade para serviços Azure no hub que os suportam.

Recomendamos que utilizes pelo menos um hub por região e que ligues apenas satélites que tenham origem na mesma região a esses hubs. Esta configuração ajuda as regiões de compartimentação a evitar falhas no hub de uma região que poderia causar problemas generalizados de roteamento de rede em regiões não relacionadas.

Para maior disponibilidade, pode usar ExpressRoute e uma VPN para failover. Para mais informações, consulte Conectar uma rede local ao Azure usando ExpressRoute com failover VPN e Projetar e arquitetar o ExpressRoute para resiliência.

Devido à forma como o Azure Firewall implementa as regras de aplicação FQDN, certifique-se de que todos os recursos que saem através do firewall usam o mesmo fornecedor DNS que o próprio firewall. Caso contrário, o Azure Firewall pode bloquear tráfego legítimo porque a resolução IP do FQDN do firewall difere da resolução IP do originador do tráfego no mesmo FQDN. Pode incluir o proxy Azure Firewall na resolução DNS do spoke para manter os FQDNs sincronizados com o originador de tráfego e com o Azure Firewall.

Segurança

A segurança fornece garantias contra ataques deliberados e o uso indevido de seus valiosos dados e sistemas. Para obter mais informações, consulte Lista de verificação de revisão de design para segurança.

Para se proteger contra ataques DDoS, ative Azure DDoS Protection em qualquer rede virtual perimetral. Qualquer recurso que tenha um IP público é suscetível a um ataque DDoS. Os seguintes IPs públicos precisam de ser protegidos mesmo que as suas cargas de trabalho não sejam expostas publicamente:

• Azure Firewall endereços IP públicos
• Endereços IP públicos de gateway VPN
• O endereço IP público do plano de controlo do ExpressRoute

Para minimizar o risco de acesso não autorizado e para aplicar políticas de segurança rigorosas, defina sempre regras explícitas deny nos NSGs.

Use a versão Azure Firewall Premium para ativar a inspeção da Segurança da Camada de Transporte (TLS), IDPS e filtragem de URLs.

Segurança do Virtual Network Manager

Para garantir um conjunto base de regras de segurança, associe regras administrativas de segurança a redes virtuais em grupos de rede. As regras de administração de segurança têm precedência e são avaliadas antes das regras NSG. As regras administrativas de segurança suportam priorização, etiquetas de serviço e protocolos de camada de rede (L3) e camada de transporte (L4).

Use Virtual Network Manager deployments para facilitar um lançamento controlado de alterações potencialmente disruptivas nas regras de segurança dos grupos de rede.

Otimização de Custos

A Otimização de Custos concentra-se em formas de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Lista de verificação de revisão de design para otimização de custos.

Considere os seguintes fatores relacionados com custos ao implementar e gerir redes hub-spoke. Para obter mais informações, consulte Preços de rede virtual.

Custos do Azure Firewall

Esta arquitetura implementa uma instância do Azure Firewall na rede hub. Utilizar uma implementação do Azure Firewall como uma solução partilhada, consumida por múltiplas cargas de trabalho, pode poupar significativamente nos custos da cloud em comparação com outras NVAs. Para mais informações, veja Azure Firewall versus NVAs.

Para utilizar eficazmente os seus recursos implementados, escolha o tamanho correto do Azure Firewall. Decida quais recursos você precisa e qual camada melhor se adapta ao seu conjunto atual de cargas de trabalho. Para mais informações sobre os SKUs Azure Firewall disponíveis, veja O que é Azure Firewall?

Emparelhamento direto

Para reduzir ou eliminar os custos de processamento do Azure Firewall, utilize seletivamente peering direto ou outra comunicação spoke-to-spoke que contorne o hub. A economia pode ser significativa para redes que possuem workloads com comunicação de alto rendimento e baixo risco entre extremidades, como a sincronização de bases de dados ou operações de cópia de grandes ficheiros.

Excelência Operacional

A Excelência Operacional abrange os processos operacionais que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, consulte Lista de verificação de revisão de design para excelência operacional.

Ative as definições de diagnóstico para todos os serviços, como Azure Bastion, Azure Firewall e o seu gateway entre instalações. Para reduzir custos, desative quaisquer definições que não estejam relacionadas com as suas operações. Recursos como o Azure Firewall podem gerar grandes volumes de logs e levar a elevados custos de monitorização.

Use o Monitor de conexão para monitoramento de ponta a ponta para detetar anomalias e identificar e solucionar problemas de rede.

Use Observador de Rede do Azure para monitorizar e resolver problemas com componentes de rede, incluindo o uso de análises tráfego para lhe mostrar os sistemas nas suas redes virtuais que geram mais tráfego. Pode usar análises de tráfego para identificar potenciais gargalos.

Se usar ExpressRoute, utilize o Azure Traffic Collector para analisar os logs de fluxo dos tráfegos de rede enviados pelos seus circuitos ExpressRoute. O Traffic Collector fornece visibilidade sobre o tráfego que passa pelos routers de borda empresariais da Microsoft.

Use regras baseadas em FQDN no Azure Firewall para protocolos que não sejam HTTP(S) ou para quando configurar o SQL Server. A utilização de FQDNs reduz o encargo de gestão em comparação com a gestão de endereços IP individuais.

Planeie o endereçamento IP com base nos seus requisitos de peering. Certifique-se de que o espaço de endereçamento não se sobrepõe entre localizações multi-instalações e localizações no Azure.

Automação com Virtual Network Manager

Para gerir a conectividade e os controlos de segurança de forma centralizada, utilize o Virtual Network Manager para criar novas topologias virtuais do tipo hub e spoke ou integrar topologias existentes. Utilize o Virtual Network Manager para preparar as suas topologias de rede hub-spoke para um crescimento futuro em grande escala em múltiplas subscrições, grupos de gestão e regiões.

Exemplos de cenários de uso do Virtual Network Manager incluem:

• Democratização do gerenciamento de redes virtuais para grupos como unidades de negócios ou equipes de aplicativos. A democratização pode resultar em um grande número de requisitos de conectividade de rede virtual para rede virtual e regras de segurança de rede.

• Padronização de múltiplas arquiteturas réplica em múltiplas regiões do Azure para garantir uma presença global nas aplicações.

Para garantir uma conectividade uniforme e regras de segurança de rede, pode usar grupos de rede para agrupar redes virtuais em qualquer subscrição, grupo de gestão ou região sob o mesmo locatário Microsoft Entra. Você pode integrar automática ou manualmente redes virtuais a grupos de rede por meio de atribuições de associação dinâmicas ou estáticas.

Defina a descoberta de redes virtuais em Virtual Network Manager usando scopes. Os escopos tornam as instâncias de gestores de rede flexíveis para que possa distribuir as responsabilidades de gestão entre grupos virtuais de rede.

Para conectar as redes virtuais spoke no mesmo grupo de rede entre si, utilize o Virtual Network Manager para implementar o peering de rede virtual ou a conectividade direta. Utilize a opção de malha global para estender a conectividade direta de malha para redes spoke em diferentes regiões. O diagrama a seguir mostra a conectividade de malha global entre regiões.

Você pode associar redes virtuais dentro de um grupo de rede a um conjunto de linha de base de regras de administração de segurança. As regras de administração de segurança de grupos de rede impedem que os proprietários de redes virtuais faladas sobreponham regras de segurança base, mas podem adicionar as suas próprias regras de segurança e NSGs. Para um exemplo de como usar regras de administração de segurança em topologias hub-spoke, veja Criar uma rede hub-spoke segura.

Para facilitar uma implementação controlada de grupos de rede, conectividade e regras de segurança, as implementações de configuração do Virtual Network Manager ajudam-no a libertar alterações de configuração de forma segura em ambientes hub-spoke.

Para simplificar o processo de criação e manutenção das configurações de rotas, pode usar a gestão automatizada dos UDRs em Virtual Network Manager.

Para centralizar a gestão dos endereços IP, pode usar gestão de endereços IP (IPAM) em Virtual Network Manager. O IPAM evita conflitos de espaço de endereço IP em redes virtuais locais e na nuvem.

Para começar a utilizar o Virtual Network Manager, veja Criar uma topologia hub-spoke usando o Virtual Network Manager.

Eficiência de desempenho

A Eficiência de Desempenho refere-se à capacidade da sua carga de trabalho de escalar para atender às demandas dos usuários de forma eficiente. Para obter mais informações, consulte Lista de verificação de revisão de projeto para eficiência de desempenho.

Para cargas de trabalho que comunicam do local para VMs numa rede virtual Azure que exigem baixa latência e alta largura de banda, considere usar ExpressRoute FastPath. Melhore o desempenho usando o FastPath para enviar tráfego diretamente das instalações para máquinas virtuais (VMs) na sua rede virtual e para contornar o gateway de rede virtual ExpressRoute.

Para comunicações ponto-a-ponto que exigem baixa latência, pode configurar uma rede ponto-a-ponto.

Escolha um SKU gateway que satisfaça os seus requisitos, como o número de ligações ponto-a-site ou site-to-site, pacotes por segundo exigidos, requisitos de largura de banda ou fluxos TCP.

Para fluxos sensíveis à latência, como SAP ou acesso a armazenamento, pode contornar o Azure Firewall ou o encaminhamento do hub. Para te ajudar a decidir a melhor abordagem, podes testar a latência introduzida por Azure Firewall. Pode usar funcionalidades como o "peering" de rede virtual, que liga duas ou mais redes, ou pode usar o "Private Link" para ligar-se a um serviço através de um ponto final privado na sua rede virtual.

Pode reduzir o seu throughput utilizando funcionalidades do Azure Firewall, como o IDPS. Para mais informações, consulte desempenho do Azure Firewall.

Implementar este cenário

Esta implementação inclui uma rede virtual hub e duas redes spoke conectadas, e implementa uma instância do Azure Firewall e um host do Azure Bastion. Opcionalmente, a implantação pode incluir VMs na rede first spoke e um gateway VPN. Para criar ligações de rede, pode escolher entre o peering de rede virtual ou grupos conectados geridos pelo Virtual Network Manager. Cada método tem várias opções de implantação.

• Hub-spoke com implantação de peering de rede virtual
• Implantação de grupos conectados em modelo hub-spoke com o Virtual Network Manager

Contributors

A Microsoft mantém este artigo. Os seguintes colaboradores escreveram este artigo.

Principais autores:

• Jose Moreno | Engenheiro de Soluções
• Alejandra Palacios | Engenheiro de Suporte Sénior
• Adam Torkar | Engenheiro Sénior de Experiência do Cliente

Outros contribuidores:

• Matthew Bratschun | Engenheiro de Clientes
• Jay Li | Senior Product Manager
• Telmo Sampaio | Gerente Principal de Engenharia de Serviços

Para ver perfis de LinkedIn não públicos, inicie sessão no LinkedIn.

Próximos passos

• O que é um hub virtual seguro?
• Defina uma topologia de rede Azure

Recursos relacionados

• Azure Firewall e Application Gateway para redes virtuais
• Solucionar problemas de uma conexão VPN híbrida
• Rede de interligação spoke a spoke
• Arquitetura baseline de um cluster de Azure Kubernetes Service (AKS)