O que os arquitetos de TI precisam saber
sobre redes em plataformas e serviços
em nuvem da Microsoft
Microsoft Cloud
Networking para
arquitetos
corporativos1 2 3 4 51 2 3 4 5
Este é o tópico 1 em uma
série de 6
Desenvolva sua rede para conectividade de nuvemA migração na nuvem altera o volume e a natureza dos fluxos de tráfego dentro e fora de uma rede
corporativa. Ela também afeta abordagens para reduzir riscos de segurança.
Os investimentos em infraestrutura de rede começam com a conectividade. Investimentos adicionais
dependem da categoria de serviço de nuvem.
A maioria dos investimentos em infraestrutura de rede foram gastos para
garantir a disponibilidade de datacenters locais confiáveis e com conectividade
de alto desempenho. Para muitas organizações, a conectividade com a Internet
não é essencial para operações de negócios internos. Os limites de rede são a
primeira defesa contra violações de segurança.
Com uma produtividade nova e migrada e as cargas de trabalho de TI
executadas na nuvem, os investimentos em infraestrutura se deslocaram dos
datacenters locais para a conectividade com a Internet, que agora é essencial
para operações de negócios internos. A conectividade federada desloca a
estratégia de segurança para a proteção de dados e identidades conforme
eles fluem por meio da rede e de pontos de conectividade com os serviços
em nuvem da Microsoft.
Áreas de investimento em rede para obter sucesso na nuvem
Organizações corporativas se beneficiam ao adotar uma abordagem
metódica para otimizar a taxa de transferência de rede na intranet e na
Internet. Você também pode se beneficiar com uma conexão ExpressRoute.
Otimize a conectividade da
intranet para sua rede de
borda
Ao longo dos anos, muitas organizações
têm otimizado a conectividade da intranet
e o desempenho de aplicativos
executados em datacenters locais. Com a
produtividade e cargas de trabalho de TI
executadas na nuvem da Microsoft,
investimentos adicionais devem garantir
uma alta disponibilidade de conectividade
e que o desempenho tráfego entre a rede
de borda e seus usuários de intranet seja
a ideal.
Embora seja possível utilizar a conexão de
Internet atual da sua rede de borda, o
tráfego dos serviços de nuvem da
Microsoft deve compartilhar o pipe com
outro tráfego da intranet para a Internet.
Além disso, o tráfego dos serviços de
nuvem da Microsoft está sujeito a
congestionamento de tráfego de Internet.
Para obter o melhor desempenho e um
SLA alto, use o ExpressRoute, uma
conexão WAN dedicada, entre sua rede e
o Azure, o Office 365, o Dynamics 365 ou
todos os três.
O ExpressRoute pode aproveitar seu
provedor de rede existente para uma
conexão dedicada. Recursos conectados
por meio do ExpressRoute aparecem
como se estivessem em sua WAN, até
mesmo para organizações distribuídas
geograficamente.
Os serviços Microsoft SaaS incluem o Office 365, o
Microsoft Intune e o Microsoft Dynamics 365. A
adoção bem-sucedida dos serviços SaaS pelos
usuários depende de uma conectividade à
Internet de alta disponibilidade e desempenho ou
diretamente aos serviços em nuvem da Microsoft.
A arquitetura de rede foca em uma conectividade
confiável, redundante e em uma largura de banda
ampla. Os investimentos em andamento incluem
monitoramento e ajuste de desempenho.
SaaSSoftware como Serviço
Além de investimentos nos serviços Microsoft
SaaS, aplicativos PaaS multissite ou
geograficamente distribuídos podem exigir
que se arquitete o Gateway de Aplicativo do
Azure ou o Gerenciador de Tráfego do Azure
para distribuir o tráfego do cliente. Os
investimentos em andamento incluem o
monitoramento do desempenho e da
distribuição de tráfego e testes de failover.
Azure PaaSPlataforma como Serviço
Além dos investimentos em serviços Microsoft
SaaS e PaaS, executar cargas de trabalho de TI
no IaaS requer o design e a configuração das
redes virtuais do Azure que hospedam
máquinas virtuais, asseguram a conectividade
aos aplicativos executados nelas, o
roteamento, o endereçamento IP, o DNS e o
balanceamento de carga. Os investimentos em
andamento incluem o monitoramento de
desempenho e segurança e a solução de
problemas.
Azure IaaSInfraestrutura como Serviço
O escopo de investimentos na rede dependem da categoria do serviço
de nuvem. Investir na nuvem da Microsoft maximiza os investimentos
de equipes de rede. Por exemplo, investimentos em serviços SaaS se
aplicam a todas as categorias.
Arquitete uma conectividade redundante confiável à
Internet com largura de banda ampla
Monitore e ajuste o desempenho da taxa de transferência
da Internet
Solucione problemas de conectividade à Internet e de
taxas de transferência
Projete o Gerenciador de Tráfego do Azure para balancear
a carga de tráfego para diferentes pontos de extremidade
Arquitete uma conectividade confiável, redundante e de
alto desempenho para as redes virtuais do Azure
Projete uma conectividade segura para as máquinas
virtuais do Azure
Projete e implemente o roteamento entre instalações
locais e redes virtuais
Arquitete e implemente o balanceamento de carga para
cargas de trabalho de TI internas e para a Internet
Solucione problemas de conectividade à máquina virtual e
de taxas de transferência
Área de investimento SaaS PaaS IaaS
Para obter um alto SLA nos
serviços em nuvem da
Microsoft, use o ExpressRoute
Otimize a taxa de transferência
em sua rede de borda
Conforme o tráfego de produtividade
diária se desloca cada vez mais para a
nuvem, é necessário examinar
atentamente o conjunto de sistemas na
rede de borda para assegurar que eles
estão em dia, oferecem uma alta
disponibilidade e têm capacidade
suficiente para atender a cargas de pico.
Setembro de 2016
Antes da nuvem Depois da nuvem
© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre esta documentação, escreva para [email protected].© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre esta documentação, escreva para [email protected].
6
ExpressRoute para Office 365ExpressRoute para Office 365
ExpressRoute para AzureExpressRoute para Azure
Firewall interno: barreira entre uma rede confiável e
uma não confiável. Executa a filtragem de tráfego
(baseada em regras) e o monitoramento.
Carga de trabalho externa: sites da Web ou outras
cargas de trabalho disponibilizadas para usuários
externos na Internet
Servidor proxy: executa serviços de solicitações de
conteúdo da Web em nome de usuários da intranet. Um
proxy reverso permite solicitações de entrada não
solicitadas.
Firewall externo: permite o tráfego de saída e o tráfego
de entrada especificado. Pode executar a conversão de
endereços.
Conexão WAN para ISP: uma conexão de carrier a um
ISP, que se emparelha com a Internet para obter
conectividade e roteamento.
O que os arquitetos de TI precisam saber
sobre redes em plataformas e serviços
em nuvem da Microsoft
1 2 3 4 51 2 3 4 5Este é o tópico 2 em uma
série de 6
Elementos comuns da conectividade de nuvem da Microsoft
A integração da sua rede com a nuvem da Microsoft oferece acesso otimizado a uma
ampla gama de serviços.
Opções de conectividade à nuvem da Microsoft
Setembro de 2016
Etapas para preparar sua rede para os serviços em nuvem da Microsoft
Analise os computadores cliente e otimize o hardware de rede, os drivers de software, as configurações de protocolo e os navegadores da Internet.
1 Analise aa latência do tráfego e o roteamento ideal da rede local no dispositivo de borda de Internet.
2 Analise a capacidade e o desempenho do dispositivo de borda de Internet e otimize-o para níveis mais altos de tráfego.
3 Analise a latência entre seu dispositivo de borda de Internet(como o firewall externo) e os locais regionais do serviço de nuvem da Microsoft ao qual você está se conectando.
1 Analise a capacidade e a utilização de sua conexão de Internet atual e adicione capacidade se necessário. Como alternativa, adicione uma conexão ExpressRoute.
2
Desempenho de intranet
O desempenho dos recursos baseados na
Internet terão problemas se sua intranet,
incluindo os computadores cliente, não
for otimizada.
Dispositivos de borda
Os dispositivos de borda da rede são
pontos de saída e podem incluir
conversores de endereço de rede (NATs),
servidores proxy (incluindo proxies
reversos), firewalls, dispositivos de
detecção de invasão ou uma combinação
entre eles.
Conexão com a Internet
A conexão WAN com o ISP e a Internet
deve ter capacidade suficiente para gerir
cargas de pico.
Você também pode usar uma conexão
ExpressRoute.
Internet DNS
Use AAAA, CNAME, MX, PTR e outros
registros para localizar a nuvem da
Microsoft ou seus serviços hospedados na
nuvem. Por exemplo, talvez seja
necessário um registro CNAME para um
aplicativo hospedado no Azure PaaS.
Áreas de rede comuns a todos os serviços em nuvem da Microsoft
Rede local Internet
UsuáriosUsuários
ExpressRouteExpressRoute
Microsoft AzureMicrosoft AzureMicrosoft Azure
Office 365Office 365
Microsoft IntuneMicrosoft Intune
Dynamics 365Dynamics 365
DMZ
Carga de
trabalho externa
Carga de
trabalho externa
Carga de
trabalho externa
Firewall externoFirewall externoServidor proxyServidor proxy
ISP
Rede local Internet
Componentes de uma DMZ típica
Firewall internoFirewall interno
Pipe de
Internet
Pipe de
Internet
Pipe de
Internet
Microsoft Cloud
Networking para
arquitetos
corporativos
Use o pipe de Internet existente ou uma conexão ExpressRoute
para Office 365, Azure e Dynamics 365.
6
© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre esta documentação, escreva para [email protected].© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre esta documentação, escreva para [email protected].
O que os arquitetos de TI precisam saber
sobre redes em plataformas e serviços
em nuvem da Microsoft
Este é o tópico 3 em uma
série de 6
ExpressRoute para conectividade à nuvem da Microsoft
O ExpressRoute oferece uma conexão de rede privada, dedicada e de alta taxa de
transferência para a nuvem da Microsoft.
ExpressRoute para a nuvem da Microsoft
Microsoft Cloud
Networking para
arquitetos
corporativos
Vantagens do ExpressRoute para o Azure
Sem ExpressRoute
Com ExpressRoute
Conexões de alta taxa de transferência
Com suporte amplo para conexões ExpressRoute por provedores de troca e de serviços de rede, é possível obter um link de até 10 Gbps para a nuvem da Microsoft.
Custo menor para algumas configurações
Embora as conexões ExpressRoute sejam um custo adicional, em alguns casos, uma única conexão ExpressRoute pode custar menos do que aumentar sua capacidade de Internet em vários locais da organização para oferecer a taxa de transferência adequada aos serviços em nuvem da Microsoft.
Desempenho previsível
Com um caminho dedicado à borda da nuvem da Microsoft, o desempenho não está sujeito a quedas do provedor de Internet e picos no tráfego de Internet. É possível determinar e responsabilizar seus provedores pela taxa de transferência e latência SLA para a nuvem da Microsoft.
Privacidade de dados para o seu tráfego
O tráfego enviado pela sua conexão ExpressRoute dedicada não está sujeito a monitoramento de Internet ou captura de pacote e análise de usuários mal-intencionados. Ele é tão seguro quanto usar links WAN baseados em Alternância de Rótulo Multiprotocolo (MPLS).
Com uma conexão de Internet, a única parte do
caminho do tráfego para a nuvem da Microsoft
que você pode controlar (e ter uma relação com
o provedor de serviços) é o vínculo entre a borda
da rede local e o ISP (mostrado em verde).
O caminho entre o ISP e a borda da nuvem da
Microsoft é um sistema de distribuição de melhor
esforço sujeito a quedas, congestionamento de
tráfego e monitoramento por usuários mal-
intencionados (mostrados em amarelo).
Usuários na Internet, como usuários móveis ou
remotos, enviam seu tráfego para a nuvem da
Microsoft pela Internet.
Com uma conexão ExpressRoute, é possível
controlar, por meio de uma relação com seu
provedor de serviços, o caminho completo do
tráfego de borda da nuvem da Microsoft. Essa
conexão pode oferecer desempenho previsível e
um SLA do tempo de atividade de 99,9%.
Agora você pode contar com uma taxa de
transferência e latência previsíveis, com base na
conexão do seu provedor de serviços ao Office
365, Azure e Dynamics 365. Não há suporte para
conexões ExpressRoute ao Microsoft Intune no
momento.
O tráfego enviado pela conexão ExpressRoute
não está sujeito a cortes na Internet,
congestionamento de tráfego e monitoramento.
Os usuários na Internet, como os móveis ou
remotos, ainda enviam o tráfego para a nuvem da
Microsoft pela Internet. Uma exceção é o tráfego
para uma linha de intranet do aplicativo
corporativo hospedado no Azure IaaS, que é
enviado pela conexão ExpressRoute por meio de
uma conexão de acesso remoto à rede local.
ExpressRoute para Office 365ExpressRoute para Office 365 ExpressRoute para AzureExpressRoute para Azure
1 2 3 4 51 2 3 4 5 6
Rede local Internet
UsuáriosUsuários
Microsoft AzureMicrosoft Azure
Office 365
Microsoft Intune
Dynamics 365
Edge
Edge
Nuvem da Microsoft
UsuáriosUsuários
ISP
Rede local Internet
UsuáriosUsuários
Microsoft AzureMicrosoft AzureOffice 365
Microsoft Intune
Dynamics 365
Nuvem da Microsoft
Edge
Edge
UsuáriosUsuários
ExpressRouteExpressRoute
ISP
Consulte estes recursos adicionais para obter mais informações:
Mesmo com uma conexão ExpressRoute, algum tráfego ainda é enviado pela Internet, como as
consultas DNS, verificações da lista de certificados revogados e solicitações de rede de
distribuição de conteúdo (rede CDN).
Continua na próxima página
Uma conexão ExpressRoute não garante um alto desempenho em cada configuração. É possível ter um
desempenho inferior por meio de uma conexão ExpressRoute de largura de banda baixa do que por uma
conexão de Internet de largura de banda alta próxima a um datacenter regional da Microsoft.
Para obter as recomendações mais recentes para o uso do
ExpressRoute com o Office 365, consulte ExpressRoute
para Office 365.
Para obter as recomendações mais recentes para o uso do
ExpressRoute com o Office 365, consulte ExpressRoute
para Office 365.
Relações de emparelhamento do ExpressRoute com os serviços em
nuvem da Microsoft
Modelos de conectividade do ExpressRoute
Ethernet de ponto a ponto Conexão do tipo any-to-any (IP VPN)
Sua
localização
Microsoft
Sua localização 1
Microsoft
Sua localização 2
Sua localização 3
WAN
Se o datacenter estiver
nas suas instalações, é
possível usar um link de
Ethernet de ponto a
ponto para se conectar à
nuvem da Microsoft.
Se você já estiver usando
um provedor de serviços IP
VPN (MPLS) para conectar
os sites da sua organização,
uma conexão ExpressRoute
à nuvem da Microsoft atua
como outro local na WAN
particular.
Exemplo de implantação de aplicativo e fluxo de tráfego com o ExpressRoute
Rede local
UsuáriosUsuários
ExpressRoute
Microsoft SaaS
Azure IaaS
Emparelhamento da Microsoft
Emparelhamento público
Emparelhamento particular
Office 365
Uma única conexão ExpressRoute oferece suporte a até três relações de emparelhamento de Protocolos BGP diferentes
para partes distintas da nuvem da Microsoft. O BPG usa as relações de emparelhamento para estabelecer confiança e
trocar informações sobre roteamento.
De um roteador na DMZ para os
endereços públicos dos serviços do Office
365 e Dynamics 365.
Com suporte para comunicação iniciada
pelo bidirecional.
Emparelhamento da Microsoft
De um roteador na DMZ para os
endereços públicos dos serviços do Office
365 e Dynamics 365.
Com suporte para comunicação iniciada
pelo bidirecional.
Emparelhamento da Microsoft
Emparelhamento público
De um roteador na DMZ para os endereços
de IP públicos dos serviços do Azure.
Com suporte para comunicação iniciada
pelo bidirecional somente de sistemas locais.
A relação de emparelhamento não oferece
suporte à comunicação iniciada pelos
serviços do Azure PaaS.
Emparelhamento público
De um roteador na DMZ para os endereços
de IP públicos dos serviços do Azure.
Com suporte para comunicação iniciada
pelo bidirecional somente de sistemas locais.
A relação de emparelhamento não oferece
suporte à comunicação iniciada pelos
serviços do Azure PaaS.
Emparelhamento particular
De um roteador na borda da rede da
organização para os endereços IP
particulares atribuídos às VNets do Azure.
Com suporte para comunicação iniciada
pelo bidirecional.
É uma extensão da rede da organização
para a nuvem da Microsoft, completada
com endereçamento e roteamento
consistentes internamente.
Emparelhamento particular
De um roteador na borda da rede da
organização para os endereços IP
particulares atribuídos às VNets do Azure.
Com suporte para comunicação iniciada
pelo bidirecional.
É uma extensão da rede da organização
para a nuvem da Microsoft, completada
com endereçamento e roteamento
consistentes internamente.
Colocalizado em uma troca de nuvem
Sua
colocalização
Microsoft Se o datacenter está
colocalizado em uma
instalação com troca de
nuvem, você pode solicitar
uma conexão cruzada
virtual à nuvem da
Microsoft por meio de uma
troca de Ethernet do
provedor de colocalização.
Azure PaaS
Tipos de aplicativo:
Análise
IoT
Mídia e CDN
Integração híbrida
Dynamics CRM
Rede virtual
Máquinas
virtuais
Máquinas
virtuaisGatewayGatewayGateway
A maneira pela qual o tráfego se desloca em conexões ExpressRoute e na nuvem da Microsoft é uma função das rotas nos
saltos do caminho entre a origem, o destino e o comportamento do aplicativo. Este é um exemplo de um aplicativo em
execução em uma máquina virtual do Azure que acessa um farm do SharePoint local em vez de uma conexão VPN site a site.
Rede local
Pipe de
Internet
Pipe de
Internet
Pipe de
Internet
Azure IaaS
Rede virtual
GatewayGatewayGateway
VPN site a siteFarm do
SharePoint
Farm do
SharePoint
Com as relações de emparelhamento da Microsoft e
particulares:
Do gateway do Azure, instalações locais estãodisponíveis
na conexão ExpressRoute.
Da assinatura do Office 365, dos endereços IP públicos de
dispositivos de borda, como servidores proxy, estão
disponíveis na conexão ExpressRoute.
Da rede de borda local, dos endereços IP particulares da
VNet do Azure e os endereços IP públicos do Office 365
estão disponíveis na conexão ExpressRoute.
Quando o aplicativo acessa as URLs do SharePoint Online, ele
encaminha seu tráfego por meio da conexão ExpressRoute
para um servidor proxy na borda.
Quando o servidor proxy localiza o endereço IP do SharePoint
Online, ele encaminha o tráfego de volta pela conexão
ExpressRoute. O tráfego de resposta se desloca no caminho
inverso. O resultado é o hairpinning, uma consequência do
roteamento e do comportamento do aplicativo.
Esta organização migrou seu farm do SharePoint local para o
SharePoint Online no Office 365 e implantou uma conexão
ExpressRoute.
Servidor de
aplicativos
Servidor de
aplicativos
Fluxo de tráfego
Microsoft SaaS
Office 365
Rede local Azure IaaS
Rede virtual
Servidor de
aplicativos
Servidor de
aplicativos
Edge
ExpressRouteGatewayGatewayGateway
O aplicativo localiza o endereço IP do farm do
SharePoint usando o DNS local e todo o tráfego é
repassado para a conexão VPN site a site.
Fluxo de tráfego
Continua na próxima página
Computação
Web e móvel
Dados
Setembro de 2016
Otimizadores WAN
É possível implantar otimizadores WAN
em ambos os lados de uma conexão de
emparelhamento particular em uma rede
virtual do Azure (VNet) entre instalações.
Na VNet do Azure, use um aparelho de
rede do otimizador WAN do marketplace
do Azure e roteamento definido pelo
usuário para direcionar o tráfego pelo
aparelho.
Qualidade de serviço
Use valores de ponto de código de
serviços diferenciados (DSCP) no
cabeçalho do IPv4 do tráfego para marcar
a voz, o vídeo/interativo ou a distribuição
de melhor esforço. Isso é especialmente
importante para a relação de
emparelhamento da Microsoft e o tráfego
do Skype for Business Online.
Segurança na borda
Para fornecer segurança avançada para
o tráfego enviado e recebido por meio
da conexão ExpressRoute, como
inspeção de tráfego ou detecção de
invasão/malware, coloque seus
dispositivos de segurança no caminho
do tráfego da DMZ ou na borda da
intranet.
Tráfego de Internet para VMs
Para impedir que as VMs do Azure
iniciem o tráfego diretamente com
locais da Internet, anuncie a rota padrão
para a Microsoft. O tráfego para a
Internet é roteado pela conexão
ExpressRoute e por meio dos seus
servidores proxy locais. O tráfego das
VMs do Azure para os serviços do Azure
PaaS ou do Office 365 é roteado de
volta pela conexão ExpressRoute.
ExpressRoute e rede de nuvem da Microsoft
Opções do ExpressRoute
Com ExpressRoute Com ExpressRoute Premium
O deslocamento do tráfego entre a rede da organização e o datacenter
Microsoft é uma combinação de:
Seus locais.
Locais de emparelhamento de nuvem da Microsoft (os locais físicos que
se conectam à borda da Microsoft).
Locais de datacenter da Microsoft.
O datacenter e os locais de emparelhamento de nuvem da Microsoft estão
conectados à rede de nuvem da Microsoft.
Ao criar uma conexão ExpressRoute a um local de emparelhamento de
nuvem da Microsoft, você é conectado à rede de nuvem da Microsoft e a
todos os locais de datacenter da Microsoft no mesmo continente. O tráfego
entre o local de emparelhamento de nuvem e o datacenter da Microsoft de
destino é feito por meio da rede de nuvem da Microsoft.
O resultado pode ser uma distribuição não ideal para os datacenters locais
da Microsoft para o modelo de conectividade any-to-any.
Para organizações globalmente distribuídas pelos continentes, é possível
usar o ExpressRoute Premium.
Com o ExpressRoute Premium, você pode acessar qualquer datacenter da
Microsoft em qualquer continente de qualquer local de emparelhamento
da Microsoft em qualquer continente. O tráfego entre continentes é feito
por meio da rede de nuvem da Microsoft.
Com várias conexões ExpressRoute Premium, você pode ter:
Melhor desempenho em datacenters continentais locais da Microsoft.
Maior disponibilidade na nuvem global da Microsoft quando uma
conexão ExpressRoute local estiver indisponível.
O ExpressRoute Premium é necessário para conexões ExpressRoute
baseadas no Office 365. No entanto, não há nenhum custo adicional para
empresas com 500 ou mais usuários licenciados.
Para uma distribuição ideal,
use várias conexões
ExpressRoute para locais de
emparelhamento de nuvem
regionais da Microsoft.
Isso pode proporcionar:
Melhor desempenho
em locais regionais de
datacenter da Microsoft.
Maior disponibilidade
da nuvem da Microsoft
quando uma conexão
ExpressRoute local
estiver indisponível.
Rede de nuvem da
Microsoft
Local de emparel
hamento
Local 1 Local 2
Datacenter
Mais
informações
ExpressRoute para Azure
https://azure.microsoft.com/services/
expressroute/
https://azure.microsoft.com/services/
expressroute/
ExpressRoute para Office 365
http://aka.ms/expressrouteoffice365http://aka.ms/expressrouteoffice365
Neste exemplo, o
tráfego da filial da costa
leste deve passar por
todo o país para chegar
a um local de
emparelhamento de
nuvem da Microsoft na
costa oeste e, depois,
voltar para o datacenter
do Azure do leste dos
EUA.
Rede de nuvem da
Microsoft
Local de emparel
hamento
Local 1 Local 2
Datacenter
Local de emparelha
mento
WAN
Exemplo de conexões ExpressRoute Premium para
uma empresa global que utiliza o Office 365
Rede de nuvem
da Microsoft
Rede de nuvem
da Microsoft
Rede de nuvem
da Microsoft
Rede de nuvem
da Microsoft
Rede de nuvem
da Microsoft
Com uma parte da rede de nuvem da Microsoft em cada continente, uma
empresa global cria conexões ExpressRoute Premium em seus escritórios
centrais regionais para instalações de emparelhamento local da Microsoft.
Para um escritório regional, o tráfego do Office 365 é apropriado para:
Datacenters continentais do Office 365 percorrem rede de nuvem da
Microsoft somente no continente.
Datacenters do Office 365 em outro continente percorrem a rede
intercontinental de nuvem da Microsoft.
ExpressRoute para Office 365 e outras opções de conexão de redeExpressRoute para Office 365 e outras opções de conexão de rede
Isso funciona bem para organizações localizadas no mesmo continente. No
entanto, o tráfego para os datacenters da Microsoft fora do continente da
organização se desloca pela Internet.
Para obter tráfego intercontinental por meio da rede de nuvem da Microsoft,
é necessário usar conexões ExpressRoute Premium.
Planejamento de rede e ajuste de desempenho para o Office 365Planejamento de rede e ajuste de desempenho para o Office 365
Curso de gerenciamento de desempenho do Office 365 da Microsoft
Virtual Academy
Curso de gerenciamento de desempenho do Office 365 da Microsoft
Virtual Academy
© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre esta documentação, escreva para [email protected].© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre esta documentação, escreva para [email protected].
Internet
O que os arquitetos de TI precisam saber
sobre redes em plataformas e serviços
em nuvem da Microsoft
Microsoft Cloud
Networking para
arquitetos
corporativos1 2 5
Este é o tópico 4 em uma
série de 6
Criação de rede para o Microsoft SaaS (Office 365,
Microsoft Intune e Dynamics 365)
Otimizar sua rede para serviços Microsoft SaaS requer uma análise cuidadosa da borda de
Internet, dos dispositivos do cliente e operações típicas de TI.
Considerações sobre a borda de Internet
Setembro de 2016
Etapas para preparar a rede para os serviços Microsoft SaaS
Migração única
Evite usar a rede em horário de pico e em períodos de correção de computadores
Devem ser feitas com linha de base e pilotadas, avalie a integridade da rede e resolvaproblemas antes de tentar a migração real
Execute post-mortem para migração futuras
Sincronizações em andamento
Verifique se um sistema de monitoramento de largura de banda de rede está instalado, resolva ou descarte os erros coletados
Use os resultados do monitoramento da largura de banda para determinar a necessidadede realizar alterações na rede (escalar verticalmente/horizontalmente, circuitos novos ou adicionar dispositivos)
Considerações de operações de TI
Rede local
UsuáriosUsuários
ExpressRouteExpressRoute
Office 365Office 365
Recomendações de servidor proxy
Configure clientes da Web usando WPAD, PAC ou GPO
Não use interceptação SSL
Use um arquivo PAC para ignorar o proxypara os nomes DNS do serviço do Microsoft SaaS
Permita o tráfego para verificação CRL/OCSP
Afunilamentos do servidor
proxy
Conexões persistentes insuficientes (Outlook)
Capacidade insuficiente
Avaliação fora da rede em andamento
Solicitação de autenticação
Não há suporte para tráfego UDP (Skype for Business)
Recomendações de
proximidade e local
Não roteie o tráfego de Internet na WANparticular
Use o DNS regional e o fluxo de tráfego de Internet para usuários não regionais
Use o ExpressRoute e o emparelhamento da Microsoft para largura de banda alta no Office 365 e Dynamics 365
Portas de saída para
Office 365
TCP 80 (para verificações CRL/OCSP)
TCP 443
UDP 3478
TCP 5223
TCP 50000-59999
UDP 50000-59999
URLs do Office 365 e intervalos de endereços IPURLs do Office 365 e intervalos de endereços IP
Considerações de uso do cliente
Microsoft IntuneMicrosoft Intune
Dynamics 365Dynamics 365
Conjunto de serviços
Azure Active Directory
Office 365
Aplicativos de cliente do Office
SharePoint Online
Exchange Online
Skype for Business
Microsoft Intune
Dynamics 365
Computadores cliente
Determine:
Número máximo de cada vez (horário do dia, sazonais, picos e canais em uso)
Largura de banda total necessária para picos
Latência no dispositivo de saída da Internet
País de origem vs. país de colocalização do datacenter
Para cada tipo de cliente (PC, smartphone, tablet), verifique:
Sistema Operacional
Navegador de Internet
Pilha TCP/IP
Hardware de rede
Drivers de sistema operacional parahardware de rede
Atualizações e patches instalados
Otimize a taxa de transferência de conexão de intranet (com fio, VPN ou sem fio).
Desempenho de intranet
Use ferramentas para medir o tempo de ida e volta (RTTs) dos dispositivos de borda de Internet (PsPing, Ping, Tracert, TraceTCP, Monitor de Rede)
Execute a análise do caminho de saída usando os protocolos de fluxo
Execute a análise de dispositivos intermediários (idade, integridade etc.)
Suporte NAT com o Office 365Suporte NAT com o Office 365 Ferramenta PsPingFerramenta PsPing
Mais
informaçõeshttp://aka.ms/tune
Planejamento de rede e ajuste de
desempenho para o Office 365
http://aka.ms/tune
Planejamento de rede e ajuste de
desempenho para o Office 365
Curso de gerenciamento de
desempenho do Office 365 da
Microsoft Virtual Academy
http://aka.ms/o365perf
Curso de gerenciamento de
desempenho do Office 365 da
Microsoft Virtual Academy
http://aka.ms/o365perf
ExpressRoute para Office 365
http://aka.ms/expressrouteoffice365
ExpressRoute para Office 365
http://aka.ms/expressrouteoffice365
Pipe de
Internet
Pipe de
Internet
Pipe de
Internet
Confira as Etapas para preparar sua rede para os serviços em nuvem da Microsoft no tópico 2 deste modelo.
1 Otimize a saída de Internet para serviços Microsoft SaaS utilizando as recomendações de servidor proxy.
2 Otimize taxa de transferência de Internet usando as recomendações proximidade e local.
3 Otimize o desempenho dos computadores cliente e a intranet em que eles estão localizados usando as considerações de uso do cliente.
4 Conforme necessário, otimize o desempenho de migração e sincronização de dados usando as considerações de operações de TI.
5
Tais como a transferência de dados em massa para aplicativos baseados em
nuvem armazenamento de arquivos.
Tais como informações de diretório, configurações ou arquivos.
643
ExpressRoute para Office 365ExpressRoute para Office 365
© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre esta documentação, escreva para [email protected].© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre esta documentação, escreva para [email protected].
O que os arquitetos de TI precisam saber
sobre redes em plataformas e serviços
em nuvem da Microsoft
Microsoft Cloud
Networking para
arquitetos
corporativos1 2 3
Este é o tópico 5 em uma série de 6
Largura de banda de Internet para aplicativos PaaS corporativos
Setembro de 2016
Etapas de planejamento para hospedar aplicativos PaaS corporativos no Azure
Gerenciador de Tráfego do Azure
Gateway de Aplicativo do Azure
Criação de rede para Azure PaaSA otimização de rede para aplicativos do Azure PaaS requer largura de banda de Internet
adequada e pode exigir a distribuição de tráfego de rede em vários sites ou aplicativos.
Aplicativos corporativos hospedados no Azure PaaS exigem largura de banda de Internet para usuários da
intranet.
Roteamento de nível de aplicativo e serviços de balanceamento de carga que
permitam criar um front-end da Web escalonável e altamente disponível no Azure
para aplicativos Web, serviços de nuvem e máquinas virtuais. O Gateway de
Aplicativo atualmente oferece suporte à distribuição de aplicativos de camada 7 para
o seguinte:
Balanceamento de carga HTTP
Afinidade de sessão baseada em cookies
Descarregamento SSL
Gateway de AplicativoGateway de Aplicativo
Aplicativo
Web
Aplicativo
Web
Máquina virtualMáquina virtual
Serviço de
nuvem
Serviço de
nuvem
Distribuição de tráfego para pontos de extremidade diferentes, que podem incluir os
serviços de nuvem ou aplicativos Web do Azure localizados em datacenters diferentes
ou pontos de extremidade externos.
Microsoft Azure
Gerenciador de
Tráfego
Gerenciador de
Tráfego
Microsoft Azure
Aplicativo
Web
Aplicativo
Web
Leste dos
EUA
Europa
Ocidental
Ásia
Oriental
Aplicativo
Web
Aplicativo
Web
Aplicativo
Web
Aplicativo
Web
Aplicativo
Web
Leste dos
EUA
Europa
Ocidental
Ásia
Oriental
Aplicativo
Web
Aplicativo
Web
Opção 1 Use o pipe existente otimizado para
tráfego de Internet com a capacidade para operar
picos de carga. Consulte as considerações da
página 4 deste modelo sobre borda de Internet,
uso do cliente e operações de TI.
Opção 2 Para largura de banda alta ou baixa
latência, use uma conexão ExpressRoute para o
Azure.
Rede local
UsuáriosUsuáriosExpressRouteExpressRoute
Pipe de
Internet
Pipe de
Internet
Pipe de
Internet
Azure PaaS
Gatewayde
Aplicativo
Gatewayde
Aplicativo
1
2
Exemplos para três aplicativos Web
geograficamente distribuídos
UsuáriosUsuáriosUsuários
UsuáriosUsuáriosUsuários
1. Quando o usuário executa uma consulta DNS sobre a URL de um site da Web, ele é
direcionado ao Gerenciador de Tráfego do Azure, que retorna o nome de um
aplicativo Web regional com base nométodo de roteamento de desempenho.
2. O usuário inicia o tráfego com o aplicativo Web regional.
Para distribuir o tráfego para pontos de extremidade diferentes em datacenters distintos, determine se o Gerenciador de Tráfego do Azure será necessário.
5 Para distribuir o tráfego para pontos de extremidade diferentes em datacenters distintos, determine se o Gerenciador de Tráfego do Azure será necessário.
5Para cargas de trabalho baseadas na Web, determine se o Gateway de Aplicativo do Azure será necessário.
4 Para cargas de trabalho baseadas na Web, determine se o Gateway de Aplicativo do Azure será necessário.
4Determine se será necessária uma conexão ExpressRoute ao Azure.
3 Determine se será necessária uma conexão ExpressRoute ao Azure.
3Otimize a largura de banda de Internet usando as etapas – de Etapas parapreparar sua rede para os serviços Microsoft SaaS no tópico 4 deste modelo.
2 Otimize a largura de banda de Internet usando as etapas – de Etapas parapreparar sua rede para os serviços Microsoft SaaS no tópico 4 deste modelo.
2Confira as Etapas para preparar sua rede para os serviços em nuvem da Microsoft no tópico 2 deste modelo.
1 Confira as Etapas para preparar sua rede para os serviços em nuvem da Microsoft no tópico 2 deste modelo.
1
Métodos de roteamento do Gerenciador de Tráfego
Failover Os pontos de extremidade estão nos mesmos ou em diferentes
datacenters do Azure e você deseja usar um ponto de extremidade primário para
todo o tráfego, mas fornecer backups caso os pontos de extremidade primário
ou do backup estiverem indisponíveis.
Round robin Você deseja distribuir carga em um conjunto de pontos de
extremidade no mesmo datacenter ou em datacenters diferentes.
Desempenho Você tem pontos de extremidade em locais geográficos
diferentes e deseja que clientes solicitantes usem o ponto de extremidade
mais próximo em termos de menor latência.
Failover Os pontos de extremidade estão nos mesmos ou em diferentes
datacenters do Azure e você deseja usar um ponto de extremidade primário para
todo o tráfego, mas fornecer backups caso os pontos de extremidade primário
ou do backup estiverem indisponíveis.
Round robin Você deseja distribuir carga em um conjunto de pontos de
extremidade no mesmo datacenter ou em datacenters diferentes.
Desempenho Você tem pontos de extremidade em locais geográficos
diferentes e deseja que clientes solicitantes usem o ponto de extremidade
mais próximo em termos de menor latência. Gerenciador de TráfegoGerenciador de Tráfego
64 5
Tipos de aplicativo:
Computação
Web e móvel
Dados
Análise
IoT
Mídia e CDN
Integração híbrida
© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre esta documentação, escreva para [email protected].© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre esta documentação, escreva para [email protected].
O que os arquitetos de TI precisam saber
sobre redes em plataformas e serviços
em nuvem da Microsoft
Microsoft Cloud
Networking para
arquitetos
corporativos1 2 3 4
Este é o tópico 6 em uma
série de 6
Etapas de planejamento para qualquer VNet do Azure
Criação de rede para Azure IaaSA otimização de rede para cargas de trabalho de TI hospedadas no Azure IaaS requer conhecimento das
redes virtuais do Azure (VNets), espaços de endereço, roteamento, DNS e balanceamento de carga.
Setembro de 2016
Etapa 1: prepare a rede para os serviços em nuvem da Microsoft.
Etapa 2: otimize a largura de banda de Internet.
Etapa 3: determine o tipo de VNet (somente em nuvem ou entre instalações).
Rede virtual
Máquinas
virtuais
Máquinas
virtuais
Uma VNet sem conexão com uma
rede local.
Somente em nuvem
Uma VNet com uma conexão VPN S2S ou ExpressRoute a uma rede local por meio
de um gateway do Azure.
Entre instalações
Rede local
UsuáriosUsuáriosExpressRouteExpressRoute
Rede virtual
Máquinas
virtuais
Máquinas
virtuais
VPN S2S
GatewayGatewayGateway
Consulte as Etapas de planejamento para uma VNet entre instalações no Azure neste tópico.
Confira as Etapas para preparar sua rede para os serviços em nuvem da
Microsoft no tópico 2 deste modelo.
Confira as etapas 2 – em Etapas para preparar sua rede para os serviços
Microsoft SaaS no tópico 4 deste modelo.
Etapas de planejamento para hospedar uma carga de trabalho de TI
em uma VNet do Azure
Determine o espaço de endereço da Rede Local para o gateway do Azure.
Para o ExpressRoute, planeje a nova conexão com o provedor.
Adicione rotas para tornar o espaço de endereço da VNet acessível.
Planejando VNets entre instalações
Configure os servidores DNS locais para replicação de DNS com servidores DNS hospedados no Azure.
5 643Determine o uso de túnel forçado e rotas definidas pelo usuário.
Determine o dispositivo VPN local ou roteador.
Determine a conexão local à VNet (VPN S2S ou ExpressRoute).
21 7
Determine sub-redes na VNet e os espaços de endereço atribuídos a cada uma delas.
Determine o espaço de endereço da VNet.
Determine o tipo de VNet (somente em nuvem ou entre instalações).
Otimize a largura de banda de Internet.
2Prepare a intranet para os serviços em nuvem da Microsoft.
1
Planejamento para qualquer VNet
Determine a configuração de balanceamento de carga (para a Internet ou interno).
Determine o uso de soluções de virtualização e rotas definidas pelo usuário.
5
7
43Determine a configuração do servidor DNS e os endereços dos servidores DNS para atribuí-los às VMs na VNet.
6
8 Determine como os computadores da Internet se conectarão às máquinas virtuais.
Para várias VNets, determine a topologia da conexão VNet para VNet.
9 10
Continua na próxima página
65
Mais recursos de
TI de nuvem da
Microsoft aka.ms/cloudarchoptionsaka.ms/cloudarchoptions
Opções de plataforma
e Microsoft Cloud
Services
aka.ms/cloudarchsecurityaka.ms/cloudarchsecurity
Segurança
aka.ms/cloudarchidentityaka.ms/cloudarchidentity
Identidade
aka.ms/cloudarchhybridaka.ms/cloudarchhybrid
Híbrido
© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre esta documentação, escreva para [email protected].© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre esta documentação, escreva para [email protected].
Etapa 4: determine o espaço de endereço da VNet.
As máquinas virtuais são designadas a uma configuração de endereço do
espaço de endereço da sub-rede pelo DHCP:
Endereço/máscara de sub-rede
Gateway padrão
Endereços IP do servidor DNS
Você também pode reservar um endereço IP estático.
Máquinas virtuais também podem ser atribuídas a um endereço IP público,
individualmente ou do serviço de nuvem que as contém (somente para
máquinas de implantação clássicas).
Endereçamento para redes virtuais Endereçamento para máquinas virtuais
Tipo de VNet Espaço de endereço da rede virtual
Somente em nuvem
Interconectada
somente em nuvem
Entre instalações
Interconectada entre
instalações
Espaço de endereço particular arbitrário
Particular arbitrário, mas não sobreposto aoutras
VNets conectadas
Particular, mas não sobreposto ao local
Particular, mas não sobreposto ao local e a outras
VNets conectadas
Tipo de VNet Espaço de endereço da rede virtual
Somente em nuvem
Interconectada
somente em nuvem
Entre instalações
Interconectada entre
instalações
Espaço de endereço particular arbitrário
Particular arbitrário, mas não sobreposto aoutras
VNets conectadas
Particular, mas não sobreposto ao local
Particular, mas não sobreposto ao local e a outras
VNets conectadas
Etapa 5: determine sub-redes na VNet e os espaços de endereço atribuídos a cada uma delas.
Sub-rede do gateway do Azure
Fundamental para o Azure hospedar as duas
máquinas virtuais do gateway do Azure.
Especifique um espaço de endereço com um
comprimento de prefixo de pelo menos 29 bits
(exemplo: 192.168.15.248/29). Recomenda-se um
comprimento de prefixo de 28 bits ou menor,
especialmente se você estiver planejando usar o
ExpressRoute.
Rede virtual
Sub-rede
Máquinas
virtuais
Máquinas
virtuais
Sub-rede
Máquinas
virtuais
Máquinas
virtuais
Sub-rede
Máquinas
virtuais
Máquinas
virtuais
Sub-rede do gateway
GatewayGatewayGateway
Sub-redes de hospedagem da máquina virtual
Posicione as máquinas virtuais do Azure em sub-redes de acordo com
as diretrizes locais típicas, como uma função ou camada comum de um
aplicativo ou para isolamento de sub-rede.
O Azure usa os primeiros três endereços em cada sub-rede. Portanto, o
número de endereços possíveis em uma sub-rede do Azure é 2n –
em que n é o número de bits host.
Limites de redeLimites de rede
Máquinas virtuais Bits hostTamanho da sub-rede
1-3
4-11
12-27
28-59
60-123
3
4
5
6
7
/29
/28
/27
/26
/25
1-3
4-11
12-27
28-59
60-123
3
4
5
6
7
/29
/28
/27
/26
/25
Máquinas virtuais Bits hostTamanho da sub-rede
1-3
4-11
12-27
28-59
60-123
3
4
5
6
7
/29
/28
/27
/26
/25
Etapa 6: determine a configuração do servidor DNS e os endereços dos servidores DNS para
atribuí-los às VMs na VNet.
O Azure atribui os endereços dos servidores DNS às máquinas virtuais pelo
DHCP. Os servidores DNS podem ser:
Fornecidos pelo Azure: fornece registro de nome local e resolução de
nomes local e pela Internet
Fornecidos por você: fornece registro de nome local ou pela intranet ou
resolução de nomes pela intranet ou Internet
Resolução de nomes para VMs e instâncias de funçãoResolução de nomes para VMs e instâncias de função
Tipo de VNet Servidor DNS
Somente em nuvem
Entre instalações
Fornecido pelo Azure para resolução de nomes
local e de Internet
Máquina virtual do Azure para resolução de nomes
local e de Internet (encaminhamento de DNS)
Local para resolução de nomes local e de intranet
Máquina virtual do Azure para resolução de nomes
local e de intranet (replicação e encaminhamento
de DNS)
Somente em nuvem
Entre instalações
Fornecido pelo Azure para resolução de nomes
local e de Internet
Máquina virtual do Azure para resolução de nomes
local e de Internet (encaminhamento de DNS)
Local para resolução de nomes local e de intranet
Máquina virtual do Azure para resolução de nomes
local e de intranet (replicação e encaminhamento
de DNS)
Tipo de VNet Servidor DNS
Somente em nuvem
Entre instalações
Fornecido pelo Azure para resolução de nomes
local e de Internet
Máquina virtual do Azure para resolução de nomes
local e de Internet (encaminhamento de DNS)
Local para resolução de nomes local e de intranet
Máquina virtual do Azure para resolução de nomes
local e de intranet (replicação e encaminhamento
de DNS)Continua na próxima página
Planeje e crie redes virtuais do AzurePlaneje e crie redes virtuais do Azure
Melhor prática para determinar o espaço de
endereço da sub-rede do gateway do Azure:
1. Decida o tamanho da sub-rede do gateway.
2. Nos bits variáveis do espaço de endereço da
VNet, defina os bits usados na sub-rede do
gateway para 0 e defina os bits restantes para 1.
3. Converta para decimal e expresse como um
espaço de endereço com o comprimento de
prefixo definido de acordo com o tamanho da
sub-rede do gateway.
Com esse método, o espaço de endereço para a
sub-rede do gateway estará sempre na
extremidade mais distante do espaço de endereço
da VNet.
Exemplo de definição de prefixo de endereço para a sub-rede do gateway
O espaço de endereço da VNet é 10.119.0.0/16. A organização usará inicialmente uma conexão
VPN site a site, mas eventualmente obterá o ExpressRoute.
1. Decida o tamanho da sub-rede do gateway. /28
2. Defina os bits na parte variável do espaço de
endereço da VNet: 0 para os bits da sub-
rede do gateway (G), caso contrário 1 (V).
10.119. bbbbbbbb . Bbbbbbbb
10.119. VVVVVVVV . VVVVGGGG
10.119. 11111111 . 11110000
3. Converta o resultado da etapa 2 para
décimos e expresse-o como um espaço de
endereço.
10.119.255.240/28
Etapa Resultados
Etapa 7: determine a configuração de balanceamento de carga (para a Internet ou interno).
Azure Load BalancerAzure Load Balancer
Rede virtual
Máquina virtualMáquina virtual
Conjunto com
balanceamento de
carga
Máquina virtualMáquina virtual
Regra NAT
de entrada
ou ponto de
extremidade
Balanceador
de carga
Balanceador
de carga
Máquina
virtual
Máquina
virtual
Máquina
virtual
Máquina
virtual
Distribua aleatoriamente
o tráfego não solicitado
vindo de outras VMs do
Azure ou de
computadores de
intranet (não mostrados)
para os membros de um
conjunto com
balanceamento de carga.
Balanceamento de
carga interna
Rede virtual
Máquina virtualMáquina virtual
Conjunto com
balanceamento de carga
Máquina virtualMáquina virtual
Regra NAT
de entrada
ou ponto de
extremidade
Balanceador
de carga
Balanceador
de carga
Balanceador
de carga
Distribua aleatoriamente
o tráfego não solicitado
vindo da Internet para os
membros de um conjunto
com balanceamento de
carga.
Balanceamento de
carga para a Internet
Etapa 8: determine o uso de soluções de virtualização e rotas definidas pelo usuário.
Rede virtualRede local
GatewayGatewayGateway
Roteamento definido pelo usuário
Talvez seja necessário adicionar uma ou mais
rotas definidas pelo usuário a uma sub-rede para
encaminhar o tráfego para soluções de
virtualização na rede virtual do Azure.
Rotas definidas pelo usuário e encaminhamento de IPRotas definidas pelo usuário e encaminhamento de IP
Dispositivo VPNDispositivo VPNDispositivo VPN
Sub-rede
Solução de
virtualização
Solução de
virtualização
Sub-rede
Máquinas
virtuais
Máquinas
virtuaisExpressRoute
VPN S2S
ExpressRoute
VPN S2SRotasdefinidas pelo usuário
Etapa 9: determine como os computadores da Internet se conectarão às máquinas virtuais.
Inclua o acesso da rede da organização por meio do servidor proxy ou outro dispositivo de borda.
Rede virtual
Máquina virtualMáquina virtual
Serviço de
nuvem
Serviço de
nuvem
Máquina virtualMáquina virtual
Grupo de segurança de
rede
Grupo de segurança de
rede
Máquina virtualMáquina virtual
Conjunto com
balanceamento de carga
Ponto de
extremidade
Regras
NAT de
entrada
1
2
3
Segurança adicional:
Conexões de área de trabalho remota e SSH são autenticadas e criptografadas
Sessões do PowerShell Remoto são autenticadas e criptografadas
É possível usar o modo de transporte IPsec para criptografia de ponta a ponta
A proteção DDOS do Azure ajuda a evitar ataques internos e externos
Balanceador
de carga
Balanceador
de carga
Métodos de filtragem ou inspeção de tráfego de entrada não solicitado
1. Pontos de extremidade e ACLs configurados em
serviços de nuvemClássico
2. Grupos de segurança de rede Gerenciador de Recursos e clássico
3. Balanceador de carga para a Internet com regras NAT
de entradaGerenciador de Recursos
4. Dispositivos de segurança de rede no Azure
Marketplace (não mostrado)Gerenciador de Recursos e clássico
Método Modelo de implantação
1. Pontos de extremidade e ACLs configurados em
serviços de nuvemClássico
2. Grupos de segurança de rede Gerenciador de Recursos e clássico
3. Balanceador de carga para a Internet com regras NAT
de entradaGerenciador de Recursos
4. Dispositivos de segurança de rede no Azure
Marketplace (não mostrado)Gerenciador de Recursos e clássico
Método Modelo de implantação
Etapa 10: para várias VNets, determine a topologia da conexão VNet para VNet.
As VNets do Azure podem ser conectadas umas as outras usando topologias semelhantes às
utilizadas para conectar os sites de uma organização.
Corrente margarida
Rede VirtualRede Virtual
Spoke e hub
Rede VirtualRede Virtual Rede VirtualRede Virtual Rede VirtualRede Virtual Rede VirtualRede Virtual
Rede VirtualRede Virtual Rede VirtualRede Virtual
Rede VirtualRede Virtual Rede VirtualRede Virtual Rede VirtualRede Virtual Rede VirtualRede Virtual
Malha completa
Rede VirtualRede Virtual Rede VirtualRede Virtual
Rede VirtualRede Virtual Rede VirtualRede Virtual
Segurança de Nuvem da Microsoft para Arquitetos CorporativosSegurança de Nuvem da Microsoft para Arquitetos CorporativosSegurança de Nuvem da Microsoft para Arquitetos Corporativos
Continua na próxima página
Etapas de planejamento para uma VNet do Azure entre instalações
Etapa 1: determine a conexão entre instalações à VNet (VPN S2S ou ExpressRoute).
VPN (S2S) site a site
ExpressRoute
VPN (P2S) ponto a site
VPN VNet para VNet
Conecte de 1 a 10 sites (incluindo outras VNets) em uma única VNet do Azure.
Um link particular e seguro para o Azure por meio de um Ponto de Troca de Tráfego (PTT) ou um provedor
de serviços de rede (NSP).
Conecta um único computador a uma VNet do Azure.
Conecta uma VNet do Azure a outra VNet do Azure.
VPN (S2S) site a site
ExpressRoute
VPN (P2S) ponto a site
VPN VNet para VNet
Conecte de 1 a 10 sites (incluindo outras VNets) em uma única VNet do Azure.
Um link particular e seguro para o Azure por meio de um Ponto de Troca de Tráfego (PTT) ou um provedor
de serviços de rede (NSP).
Conecta um único computador a uma VNet do Azure.
Conecta uma VNet do Azure a outra VNet do Azure.
Limites de redeLimites de rede Dispositivos VPN para conexões de rede virtuais site a siteDispositivos VPN para conexões de rede virtuais site a site
Rede virtual
Máquinas
virtuais
Máquinas
virtuais
GatewayGatewayGateway
Rede local
Rede VirtualRede Virtual
AdministradorAdministradorS2S ou S2S ou
P2S
VNet para VNet
Conectando-se às VMs na VNet:
Administração de VMs na VNet por meio da rede
local ou da Internet
Acesso à carga de trabalho de TI por meio da rede
local
Extensão da rede por meio de VNets adicionais do
Azure
Segurança para conexões:
A P2S usa o protocolo SSTP (Secure Socket
Protocol Tunneling)
A S2S e a VNet para VNet usam o modo de túnel
IPsec com AES256
O ExpressRoute é uma conexão WAN particular
Segurança de Nuvem da Microsoft para
Arquitetos Corporativos
Segurança de Nuvem da Microsoft para
Arquitetos Corporativos
Segurança de Nuvem da Microsoft para
Arquitetos Corporativos
Etapa 2: determine o dispositivo VPN local ou roteador.
Rede virtual
Máquinas
virtuais
Máquinas
virtuais
Rede local
ExpressRoute
VPN S2S
GatewayGatewayGatewayDispositivo VPNDispositivo VPN
Sobre gateways de VPNSobre gateways de VPN
Etapa 3: adicione rotas para tornar o espaço de endereço da VNet acessível.
Roteamento para VNets do local
1. Roteie para o espaço de endereço da rede
virtual que aponta para o seu dispositivo VPN
2. Roteie para o espaço de endereço da rede
virtual no seu dispositivo VPN
Rede virtualRede local
GatewayGatewayGatewayS2S ou ExpressRoute S2S ou ExpressRoute Dispositivo VPNDispositivo VPN
1
Espaço de endereço da rede virtual
1
Espaço de endereço da rede virtual
2
Espaço de endereço da rede virtual
2
Espaço de endereço da rede virtual
Etapa 4: para o ExpressRoute, planeje a nova conexão com o provedor.
Rede local
ExpressRoute
Microsoft Azure
RoteadorRoteadorRoteador
É possível criar uma conexão ExpressRoute com
emparelhamento particular entre sua rede local e a
nuvem da Microsoft de três maneiras diferentes:
Colocalizada em uma troca de nuvem
Conexões Ethernet de ponto a ponto
Redes do tipo any-to-any (IP VPN)
ExpressRouteExpressRoute
Continua na próxima página
O dispositivo VPN local ou roteador:
Atua como um par IPsec, encerrando a
conexão VPN S2S do gateway do Azure.
Atua como o par BPG e ponto de
encerramento para a conexão ExpressRoute
particular de emparelhamento.
Consulte o tópico 3, ExpressRoute.
Setembro de 2016
Etapa 5: determine o espaço de endereço da Rede Local para o gateway do Azure.
Exemplo de definição de prefixos para a Rede Local ao redor do espaço de
endereço abertura criado pela rede virtual
Uma organização usa partes do espaço de endereço particular (10.0.0.0/8, 172.16.0.0/12 e
192.168.0.0/16) em toda a rede local. A opção 2 e 10.100.100.0/24 foram escolhidos como espaço
de endereço da rede virtual.
Roteamento para local ou outras VNets
de Vnets
O Azure encaminha o tráfego por meio de um
gateway do Azure que corresponde ao espaço de
endereço da Rede Local atribuído ao gateway.
Definindo o espaço de endereço da Rede Local:
Opção 1: a lista de prefixos para o espaço de
endereço necessitado no momento ou em
uso (atualizações podem ser necessárias ao
adicionar novas sub-redes).
Opção 2: todo o espaço de endereço local
(atualizações serão necessárias somente ao
adicionar novos espaços de endereço).
Como o gateway do Azure não permite rotas
resumidas, você deve definir o espaço de
endereço da Rede Local para a opção 2 a fim de
que ele não inclua o espaço de endereço de uma
rede virtual.
Rede virtualRede local
GatewayGatewayGatewayS2S ou ExpressRoute S2S ou ExpressRoute Dispositivo VPNDispositivo VPN
Espaço de endereço da Rede Local
1. Lista os prefixos que não são o espaço raiz
para o espaço de endereço da rede virtual.172.16.0.0/12 e 192.168.0.0/16
2. Lista os prefixos que não sobrepõem
osoctetos variáveis, mas não inclui o último
octeto usado no espaço de endereço da
rede virtual.
10.254.0.0/16, 10.255.0.0/16 (255 prefixos, ignorando 10.100.0.0/16)
3. Lista os prefixos que não sobrepõem o
último octeto usado no espaço de endereço
da rede virtual.
10.100.254.0/24, 10.100.0.255.0/24 (255 prefixos, ignorando 10.100.100.0/24)
1. Lista os prefixos que não são o espaço raiz
para o espaço de endereço da rede virtual.172.16.0.0/12 e 192.168.0.0/16
2. Lista os prefixos que não sobrepõem
osoctetos variáveis, mas não inclui o último
octeto usado no espaço de endereço da
rede virtual.
10.254.0.0/16, 10.255.0.0/16 (255 prefixos, ignorando 10.100.0.0/16)
3. Lista os prefixos que não sobrepõem o
último octeto usado no espaço de endereço
da rede virtual.
10.100.254.0/24, 10.100.0.255.0/24 (255 prefixos, ignorando 10.100.100.0/24)
Etapa Prefixos
O espaço de endereço da rede virtual
O espaço raiz
O espaço de endereço da rede virtual
O espaço raiz
Etapa 6: configure os servidores DNS locais para replicação com servidores DNS hospedados no Azure.
Etapa 7: determine o uso de túnel forçado.
Rede virtualRede localA rota do sistema padrão aponta para a Internet.
Para garantir que todo o tráfego de máquinas
virtuais se desloque pela conexão entre
instalações, adicione uma rota padrão definida
pelo usuário que aponte para o gateway do
Azure.
Isso é conhecido como túnel forçado.
Rotas definidas pelo usuário e encaminhamento de IPRotas definidas pelo usuário e encaminhamento de IP
Dispositivo VPNDispositivo VPNDispositivo VPN
Sub-rede
Máquinas
virtuais
Máquinas
virtuaisExpressRoute
VPN S2S ou
ExpressRoute
VPN S2S ou
GatewayGatewayGateway
Rotasdefinidas pelo usuário
Rede virtualRede local
Dispositivo VPNDispositivo VPNDispositivo VPN
Sub-rede
ExpressRoute
VPN S2S ou
ExpressRoute
VPN S2S ou
GatewayGatewayGateway
Sub-rede
Máquinas
virtuais
Máquinas
virtuais
Servidor DNSServidor DNSServidor DNSServidor DNS
Encaminhamento e replicação de DNS
Para garantir que computadores locais
possam resolver os nomes dos servidores
baseados no Azure e que servidores
baseados no Azure possam resolver os
nomes dos computadores locais, configure:
Os servidores DNS em sua rede
virtual para encaminhar aos
servidores DNS locais.
Replicação de DNS das zonas
apropriadas entre servidores DNS
locais e na VNet do Azure
Mais recursos de
TI de nuvem da
Microsoft aka.ms/cloudarchoptionsaka.ms/cloudarchoptions
Opções de plataforma
e Microsoft Cloud
Services
aka.ms/cloudarchsecurityaka.ms/cloudarchsecurity
Segurança
aka.ms/cloudarchidentityaka.ms/cloudarchidentity
Identidade
aka.ms/cloudarchhybridaka.ms/cloudarchhybrid
Híbrido
© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre esta documentação, escreva para [email protected].© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre esta documentação, escreva para [email protected].