Planejar e implementar o gateway ou emparelhamento de Rede Virtual
Uma rede virtual é uma parte virtual isolada da rede pública do Azure. Por padrão, o tráfego não pode ser roteado entre duas redes virtuais. No entanto, é possível conectar redes virtuais, dentro de uma única região ou em duas regiões, para que o tráfego possa ser roteado entre elas.
Tipos de conexão de rede virtual
Emparelhamento de rede virtual. O emparelhamento de rede virtual conecta duas redes virtuais do Azure. Uma vez emparelhadas, as redes virtuais são exibidas como uma, para fins de conectividade. O tráfego entre máquinas virtuais nas redes virtuais emparelhadas é roteado por meio da infraestrutura de backbone da Microsoft, somente por meio de endereços IP privados. A Internet pública não está envolvida. Você também pode emparelhar redes virtuais em regiões do Azure (emparelhamento global).
Gateways de VPN. Um gateway de VPN é um tipo específico de gateway de rede virtual que é usado para enviar tráfego entre uma rede virtual do Azure e um local pela Internet pública. Você também pode usar um gateway de VPN para enviar tráfego entre redes virtuais do Azure. Cada rede virtual pode ter no máximo um gateway de VPN. Você deve habilitar a Proteção contra DDoS (negação de serviço distribuída) Standard do Azure em qualquer rede virtual de perímetro.
O emparelhamento de rede virtual fornece uma conexão de baixa latência e alta largura de banda. Não há nenhum gateway no caminho. Portanto, não há saltos extras, garantindo conexões de baixa latência. Ele é útil em cenários como replicação de dados entre regiões e transferência automática de banco de dados em caso de falha. Como o tráfego é privado e permanece no backbone da Microsoft, considere também o emparelhamento de rede virtual se você tiver políticas de dados rigorosas e quiser evitar o envio de qualquer tráfego pela Internet.
Os gateways de VPN fornecem uma conexão de largura de banda limitada e são úteis em cenários em que você precisa de criptografia, mas pode tolerar restrições de largura de banda. Nesses cenários, os clientes também não são tão sensíveis à latência.
Trânsito de gateway
O emparelhamento de rede virtual e os gateways de VPN também podem coexistir via trânsito de gateway.
O trânsito de gateway permite que você use um gateway de rede virtual emparelhada para se conectar ao local, em vez de criar um gateway para a conectividade. À medida que você aumenta suas cargas de trabalho no Azure, você precisa dimensionar suas redes entre regiões e redes virtuais para acompanhar o crescimento. O trânsito de gateway permite que você compartilhe um gateway de VPN ou um ExpressRoute com todas as redes virtuais emparelhadas e permite que você gerencie a conectividade em um só lugar. O compartilhamento permite economia de custos e redução na sobrecarga de gerenciamento.
Com o trânsito de gateway habilitado no emparelhamento de rede virtual, você pode criar uma rede virtual de trânsito que contenha seu gateway de VPN, a solução de virtualização de rede e outros serviços compartilhados. À medida que a sua organização cresce com novos aplicativos ou unidades de negócios e à medida que você cria redes virtuais, você pode se conectar à rede virtual de trânsito usando o emparelhamento. Isso impede a adição de complexidade à rede e reduz a sobrecarga de gerenciamento do gerenciamento de vários gateways e outros dispositivos.
Configurando conexões
O emparelhamento de rede virtual e os gateways de VPN dão suporte aos seguintes tipos de conexão:
- Redes virtuais em regiões diferentes.
- Redes virtuais em diferentes locatários do Microsoft Entra.
- Redes virtuais em assinaturas diferentes do Azure.
- Redes virtuais que usam uma combinação de modelos de implantação do Azure (Resource Manager e clássico).
Comparação entre o emparelhamento de rede virtual e o Gateway de VPN
| Item | Emparelhamento de rede virtual | VPN Gateway |
|---|---|---|
| Limites | Até 500 emparelhamentos de rede virtual por rede virtual | Um gateway de VPN por rede virtual. O número máximo de túneis por gateway depende do SKU do gateway. |
| Modelo de preços | Entrada/saída | Por hora + saída |
| Encriptação | A criptografia no nível do software é recomendada. | A política IPsec/IKE personalizada pode ser aplicada a conexões novas ou existentes. |
| Limitações de largura de banda | Sem limitações de largura de banda. | Varia de acordo com a SKU. |
| Privado? | Sim. Roteado por meio do backbone da Microsoft e privado. Nenhuma internet pública envolvida. | IP público envolvido, mas roteado por meio do backbone da Microsoft se a rede global da Microsoft estiver habilitada. |
| Relação transitiva | As conexões de emparelhamento não são transitivas. A rede transitiva pode ser obtida com NVAs ou gateways na rede virtual hub. | Se as redes virtuais estiverem conectadas por meio de gateways de VPN e o BGP estiver habilitado nas conexões de rede virtual, a transitividade funcionará. |
| Tempo de instalação inicial | Rápido | ~30 minutos |
| Cenários típicos | Replicação de dados, failover de banco de dados e outros cenários que precisam de backups frequentes de dados grandes. | Cenários específicos de criptografia que não diferenciam latência e não precisam de alta taxa de transferência. |