Planear e implementar peering ou gateway de uma Rede Virtual
Uma rede virtual é uma parte virtual e isolada da rede pública do Azure. Por padrão, o tráfego não pode ser roteado entre duas redes virtuais. No entanto, é possível conectar redes virtuais, dentro de uma única região ou entre duas regiões, para que o tráfego possa ser roteado entre elas.
Tipos de conexão de rede virtual
Emparelhamento de rede virtual. O emparelhamento de rede virtual conecta duas redes virtuais do Azure. Uma vez emparelhadas, as redes virtuais aparecem como uma única rede para fins de conectividade. O tráfego entre máquinas virtuais nas redes virtuais emparelhadas é roteado através da infraestrutura de backbone da Microsoft, apenas através de endereços IP privados. Não há internet pública envolvida. Você também pode emparelhar redes virtuais entre regiões do Azure (emparelhamento global).
Portais VPN Um gateway VPN é um tipo específico de gateway de rede virtual usado para enviar tráfego entre uma rede virtual do Azure e um local local pela Internet pública. Você também pode usar um gateway VPN para enviar tráfego entre redes virtuais do Azure. Cada rede virtual pode ter no máximo um gateway VPN. Deve habilitar o Azure Distributed Denial of Service (DDoS) Protection Standard em qualquer rede virtual de perímetro.
O emparelhamento de rede virtual fornece uma conexão de baixa latência e alta largura de banda. Não há ponto de acesso no caminho, portanto, não há saltos extras, assegurando conexões de baixa latência. É útil em cenários como replicação de dados entre regiões e falha de banco de dados. Como o tráfego é privado e permanece no backbone da Microsoft, considere também o emparelhamento de rede virtual se você tiver políticas de dados rígidas e quiser evitar o envio de tráfego pela Internet.
Os gateways VPN fornecem uma conexão de largura de banda limitada e são úteis em cenários onde você precisa de criptografia, mas pode tolerar restrições de largura de banda. Nesses cenários, os clientes também não são tão sensíveis à latência.
Trânsito de gateway
O emparelhamento de rede virtual e os Gateways VPN também podem coexistir via trânsito de gateway.
O trânsito de gateway permite que se utilize o gateway de uma rede virtual emparelhada para conectar-se às instalações locais, em vez de criar um novo gateway para essa conectividade. À medida que você aumenta suas cargas de trabalho no Azure, precisa dimensionar suas redes entre regiões e redes virtuais para acompanhar o crescimento. O trânsito de gateway permite o compartilhamento de um gateway ExpressRoute ou VPN com todas as redes virtuais emparelhadas e possibilita a gestão da conectividade num único local. O compartilhamento permite economia de custos e redução nas despesas gerais de gerenciamento.
Com o trânsito de gateway ativado no emparelhamento de rede virtual, pode criar uma rede virtual de trânsito que contenha o seu gateway VPN, aplicação virtual de rede e outros serviços partilhados. À medida que sua organização cresce com novos aplicativos ou unidades de negócios e à medida que você cria novas redes virtuais, você pode se conectar à sua rede virtual de trânsito usando emparelhamento. Isso evita adicionar complexidade à sua rede e reduz a sobrecarga de gerenciamento do gerenciamento de vários gateways e outros dispositivos.
Configurando conexões
O emparelhamento de rede virtual e os gateways VPN suportam os seguintes tipos de conexão:
- Redes virtuais em diferentes regiões.
- Redes virtuais em locatários diferentes do Microsoft Entra.
- Redes virtuais em diferentes subscrições do Azure.
- Redes virtuais que usam uma combinação de modelos de implantação do Azure (Resource Manager e clássico).
Comparação entre o emparelhamento de redes virtuais e o gateway VPN
| Número | Emparelhamento de rede virtual | VPN Gateway |
|---|---|---|
| Limites | Até 500 emparelhamentos de rede virtual por rede virtual | Um gateway VPN por rede virtual. O número máximo de túneis por gateway depende da SKU do gateway. |
| Modelo de preços | Ingresso/Saída | Horária + Saída |
| Encriptação | Recomenda-se a encriptação ao nível do software. | A política IPsec/IKE personalizada pode ser aplicada a conexões novas ou existentes. |
| Limitações de largura de banda | Sem limitações de largura de banda. | Varia de acordo com o SKU. |
| Privado? | Sim. Roteado através do backbone da Microsoft e de uma rede privada. Não há internet pública envolvida. | IP público envolvido, mas roteado através do backbone da Microsoft se a rede global da Microsoft estiver habilitada. |
| Relação transitiva | As conexões de emparelhamento não são transitivas. A rede transitiva pode ser alcançada usando NVAs ou gateways na rede virtual do hub. | Se as redes virtuais estiverem conectadas via gateways VPN e o BGP estiver habilitado nas conexões de rede virtual, a transitividade funcionará. |
| Tempo de configuração inicial | Rápido | ~30 minutos |
| Cenários típicos | Replicação de dados, failover de banco de dados e outros cenários que precisam de backups frequentes de grandes volumes de dados. | Cenários específicos de criptografia que não são sensíveis à latência e não precisam de alta largura de banda. |