O que os arquitetos de TI precisam saber

sobre redes em plataformas e serviços

em nuvem da Microsoft

Microsoft Cloud

Networking para

arquitetos

corporativos1 2 3 4 51 2 3 4 5

Este é o tópico 1 em uma

série de 6

Desenvolva sua rede para conectividade de nuvemA migração na nuvem altera o volume e a natureza dos fluxos de tráfego dentro e fora de uma rede

corporativa. Ela também afeta abordagens para reduzir riscos de segurança.

Os investimentos em infraestrutura de rede começam com a conectividade. Investimentos adicionais

dependem da categoria de serviço de nuvem.

A maioria dos investimentos em infraestrutura de rede foram gastos para

garantir a disponibilidade de datacenters locais confiáveis e com conectividade

de alto desempenho. Para muitas organizações, a conectividade com a Internet

não é essencial para operações de negócios internos. Os limites de rede são a

primeira defesa contra violações de segurança.

Com uma produtividade nova e migrada e as cargas de trabalho de TI

executadas na nuvem, os investimentos em infraestrutura se deslocaram dos

datacenters locais para a conectividade com a Internet, que agora é essencial

para operações de negócios internos. A conectividade federada desloca a

estratégia de segurança para a proteção de dados e identidades conforme

eles fluem por meio da rede e de pontos de conectividade com os serviços

em nuvem da Microsoft.

Áreas de investimento em rede para obter sucesso na nuvem

Organizações corporativas se beneficiam ao adotar uma abordagem

metódica para otimizar a taxa de transferência de rede na intranet e na

Internet. Você também pode se beneficiar com uma conexão ExpressRoute.

Otimize a conectividade da

intranet para sua rede de

borda

Ao longo dos anos, muitas organizações

têm otimizado a conectividade da intranet

e o desempenho de aplicativos

executados em datacenters locais. Com a

produtividade e cargas de trabalho de TI

executadas na nuvem da Microsoft,

investimentos adicionais devem garantir

uma alta disponibilidade de conectividade

e que o desempenho tráfego entre a rede

de borda e seus usuários de intranet seja

a ideal.

Embora seja possível utilizar a conexão de

Internet atual da sua rede de borda, o

tráfego dos serviços de nuvem da

Microsoft deve compartilhar o pipe com

outro tráfego da intranet para a Internet.

Além disso, o tráfego dos serviços de

nuvem da Microsoft está sujeito a

congestionamento de tráfego de Internet.

Para obter o melhor desempenho e um

SLA alto, use o ExpressRoute, uma

conexão WAN dedicada, entre sua rede e

o Azure, o Office 365, o Dynamics 365 ou

todos os três.

O ExpressRoute pode aproveitar seu

provedor de rede existente para uma

conexão dedicada. Recursos conectados

por meio do ExpressRoute aparecem

como se estivessem em sua WAN, até

mesmo para organizações distribuídas

geograficamente.

Os serviços Microsoft SaaS incluem o Office 365, o

Microsoft Intune e o Microsoft Dynamics 365. A

adoção bem-sucedida dos serviços SaaS pelos

usuários depende de uma conectividade à

Internet de alta disponibilidade e desempenho ou

diretamente aos serviços em nuvem da Microsoft.

A arquitetura de rede foca em uma conectividade

confiável, redundante e em uma largura de banda

ampla. Os investimentos em andamento incluem

monitoramento e ajuste de desempenho.

SaaSSoftware como Serviço

Além de investimentos nos serviços Microsoft

SaaS, aplicativos PaaS multissite ou

geograficamente distribuídos podem exigir

que se arquitete o Gateway de Aplicativo do

Azure ou o Gerenciador de Tráfego do Azure

para distribuir o tráfego do cliente. Os

investimentos em andamento incluem o

monitoramento do desempenho e da

distribuição de tráfego e testes de failover.

Azure PaaSPlataforma como Serviço

Além dos investimentos em serviços Microsoft

SaaS e PaaS, executar cargas de trabalho de TI

no IaaS requer o design e a configuração das

redes virtuais do Azure que hospedam

máquinas virtuais, asseguram a conectividade

aos aplicativos executados nelas, o

roteamento, o endereçamento IP, o DNS e o

balanceamento de carga. Os investimentos em

andamento incluem o monitoramento de

desempenho e segurança e a solução de

problemas.

Azure IaaSInfraestrutura como Serviço

O escopo de investimentos na rede dependem da categoria do serviço

de nuvem. Investir na nuvem da Microsoft maximiza os investimentos

de equipes de rede. Por exemplo, investimentos em serviços SaaS se

aplicam a todas as categorias.

Arquitete uma conectividade redundante confiável à

Internet com largura de banda ampla

Monitore e ajuste o desempenho da taxa de transferência

da Internet

Solucione problemas de conectividade à Internet e de

taxas de transferência

Projete o Gerenciador de Tráfego do Azure para balancear

a carga de tráfego para diferentes pontos de extremidade

Arquitete uma conectividade confiável, redundante e de

alto desempenho para as redes virtuais do Azure

Projete uma conectividade segura para as máquinas

virtuais do Azure

Projete e implemente o roteamento entre instalações

locais e redes virtuais

Arquitete e implemente o balanceamento de carga para

cargas de trabalho de TI internas e para a Internet

Solucione problemas de conectividade à máquina virtual e

de taxas de transferência

Área de investimento SaaS PaaS IaaS

Para obter um alto SLA nos

serviços em nuvem da

Microsoft, use o ExpressRoute

Otimize a taxa de transferência

em sua rede de borda

Conforme o tráfego de produtividade

diária se desloca cada vez mais para a

nuvem, é necessário examinar

atentamente o conjunto de sistemas na

rede de borda para assegurar que eles

estão em dia, oferecem uma alta

disponibilidade e têm capacidade

suficiente para atender a cargas de pico.

Setembro de 2016

Antes da nuvem Depois da nuvem

© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre esta documentação, escreva para CloudAdopt@microsoft.com.© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre esta documentação, escreva para CloudAdopt@microsoft.com.

6

ExpressRoute para Office 365ExpressRoute para Office 365

ExpressRoute para AzureExpressRoute para Azure

Firewall interno: barreira entre uma rede confiável e

uma não confiável. Executa a filtragem de tráfego

(baseada em regras) e o monitoramento.

Carga de trabalho externa: sites da Web ou outras

cargas de trabalho disponibilizadas para usuários

externos na Internet

Servidor proxy: executa serviços de solicitações de

conteúdo da Web em nome de usuários da intranet. Um

proxy reverso permite solicitações de entrada não

solicitadas.

Firewall externo: permite o tráfego de saída e o tráfego

de entrada especificado. Pode executar a conversão de

endereços.

Conexão WAN para ISP: uma conexão de carrier a um

ISP, que se emparelha com a Internet para obter

conectividade e roteamento.

O que os arquitetos de TI precisam saber

sobre redes em plataformas e serviços

em nuvem da Microsoft

1 2 3 4 51 2 3 4 5Este é o tópico 2 em uma

série de 6

Elementos comuns da conectividade de nuvem da Microsoft

A integração da sua rede com a nuvem da Microsoft oferece acesso otimizado a uma

ampla gama de serviços.

Opções de conectividade à nuvem da Microsoft

Setembro de 2016

Etapas para preparar sua rede para os serviços em nuvem da Microsoft

Analise os computadores cliente e otimize o hardware de rede, os drivers de software, as configurações de protocolo e os navegadores da Internet.

1 Analise aa latência do tráfego e o roteamento ideal da rede local no dispositivo de borda de Internet.

2 Analise a capacidade e o desempenho do dispositivo de borda de Internet e otimize-o para níveis mais altos de tráfego.

3 Analise a latência entre seu dispositivo de borda de Internet(como o firewall externo) e os locais regionais do serviço de nuvem da Microsoft ao qual você está se conectando.

1 Analise a capacidade e a utilização de sua conexão de Internet atual e adicione capacidade se necessário. Como alternativa, adicione uma conexão ExpressRoute.

2

Desempenho de intranet

O desempenho dos recursos baseados na

Internet terão problemas se sua intranet,

incluindo os computadores cliente, não

for otimizada.

Dispositivos de borda

Os dispositivos de borda da rede são

pontos de saída e podem incluir

conversores de endereço de rede (NATs),

servidores proxy (incluindo proxies

reversos), firewalls, dispositivos de

detecção de invasão ou uma combinação

entre eles.

Conexão com a Internet

A conexão WAN com o ISP e a Internet

deve ter capacidade suficiente para gerir

cargas de pico.

Você também pode usar uma conexão

ExpressRoute.

Internet DNS

Use AAAA, CNAME, MX, PTR e outros

registros para localizar a nuvem da

Microsoft ou seus serviços hospedados na

nuvem. Por exemplo, talvez seja

necessário um registro CNAME para um

aplicativo hospedado no Azure PaaS.

Áreas de rede comuns a todos os serviços em nuvem da Microsoft

Rede local Internet

UsuáriosUsuários

ExpressRouteExpressRoute

Microsoft AzureMicrosoft AzureMicrosoft Azure

Office 365Office 365

Microsoft IntuneMicrosoft Intune

Dynamics 365Dynamics 365

DMZ

Carga de

trabalho externa

Carga de

trabalho externa

Carga de

trabalho externa

Firewall externoFirewall externoServidor proxyServidor proxy

ISP

Rede local Internet

Componentes de uma DMZ típica

Firewall internoFirewall interno

Pipe de

Internet

Pipe de

Internet

Pipe de

Internet

Microsoft Cloud

Networking para

arquitetos

corporativos

Use o pipe de Internet existente ou uma conexão ExpressRoute

para Office 365, Azure e Dynamics 365.

6

© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre esta documentação, escreva para CloudAdopt@microsoft.com.© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre esta documentação, escreva para CloudAdopt@microsoft.com.

O que os arquitetos de TI precisam saber

sobre redes em plataformas e serviços

em nuvem da Microsoft

Este é o tópico 3 em uma

série de 6

ExpressRoute para conectividade à nuvem da Microsoft

O ExpressRoute oferece uma conexão de rede privada, dedicada e de alta taxa de

transferência para a nuvem da Microsoft.

ExpressRoute para a nuvem da Microsoft

Microsoft Cloud

Networking para

arquitetos

corporativos

Vantagens do ExpressRoute para o Azure

Sem ExpressRoute

Com ExpressRoute

Conexões de alta taxa de transferência

Com suporte amplo para conexões ExpressRoute por provedores de troca e de serviços de rede, é possível obter um link de até 10 Gbps para a nuvem da Microsoft.

Custo menor para algumas configurações

Embora as conexões ExpressRoute sejam um custo adicional, em alguns casos, uma única conexão ExpressRoute pode custar menos do que aumentar sua capacidade de Internet em vários locais da organização para oferecer a taxa de transferência adequada aos serviços em nuvem da Microsoft.

Desempenho previsível

Com um caminho dedicado à borda da nuvem da Microsoft, o desempenho não está sujeito a quedas do provedor de Internet e picos no tráfego de Internet. É possível determinar e responsabilizar seus provedores pela taxa de transferência e latência SLA para a nuvem da Microsoft.

Privacidade de dados para o seu tráfego

O tráfego enviado pela sua conexão ExpressRoute dedicada não está sujeito a monitoramento de Internet ou captura de pacote e análise de usuários mal-intencionados. Ele é tão seguro quanto usar links WAN baseados em Alternância de Rótulo Multiprotocolo (MPLS).

Com uma conexão de Internet, a única parte do

caminho do tráfego para a nuvem da Microsoft

que você pode controlar (e ter uma relação com

o provedor de serviços) é o vínculo entre a borda

da rede local e o ISP (mostrado em verde).

O caminho entre o ISP e a borda da nuvem da

Microsoft é um sistema de distribuição de melhor

esforço sujeito a quedas, congestionamento de

tráfego e monitoramento por usuários mal-

intencionados (mostrados em amarelo).

Usuários na Internet, como usuários móveis ou

remotos, enviam seu tráfego para a nuvem da

Microsoft pela Internet.

Com uma conexão ExpressRoute, é possível

controlar, por meio de uma relação com seu

provedor de serviços, o caminho completo do

tráfego de borda da nuvem da Microsoft. Essa

conexão pode oferecer desempenho previsível e

um SLA do tempo de atividade de 99,9%.

Agora você pode contar com uma taxa de

transferência e latência previsíveis, com base na

conexão do seu provedor de serviços ao Office

365, Azure e Dynamics 365. Não há suporte para

conexões ExpressRoute ao Microsoft Intune no

momento.

O tráfego enviado pela conexão ExpressRoute

não está sujeito a cortes na Internet,

congestionamento de tráfego e monitoramento.

Os usuários na Internet, como os móveis ou

remotos, ainda enviam o tráfego para a nuvem da

Microsoft pela Internet. Uma exceção é o tráfego

para uma linha de intranet do aplicativo

corporativo hospedado no Azure IaaS, que é

enviado pela conexão ExpressRoute por meio de

uma conexão de acesso remoto à rede local.

ExpressRoute para Office 365ExpressRoute para Office 365 ExpressRoute para AzureExpressRoute para Azure

1 2 3 4 51 2 3 4 5 6

Rede local Internet

UsuáriosUsuários

Microsoft AzureMicrosoft Azure

Office 365

Microsoft Intune

Dynamics 365

Edge

Edge

Nuvem da Microsoft

UsuáriosUsuários

ISP

Rede local Internet

UsuáriosUsuários

Microsoft AzureMicrosoft AzureOffice 365

Microsoft Intune

Dynamics 365

Nuvem da Microsoft

Edge

Edge

UsuáriosUsuários

ExpressRouteExpressRoute

ISP

Consulte estes recursos adicionais para obter mais informações:

Mesmo com uma conexão ExpressRoute, algum tráfego ainda é enviado pela Internet, como as

consultas DNS, verificações da lista de certificados revogados e solicitações de rede de

distribuição de conteúdo (rede CDN).

Continua na próxima página

Uma conexão ExpressRoute não garante um alto desempenho em cada configuração. É possível ter um

desempenho inferior por meio de uma conexão ExpressRoute de largura de banda baixa do que por uma

conexão de Internet de largura de banda alta próxima a um datacenter regional da Microsoft.

Para obter as recomendações mais recentes para o uso do

ExpressRoute com o Office 365, consulte ExpressRoute

para Office 365.

Para obter as recomendações mais recentes para o uso do

ExpressRoute com o Office 365, consulte ExpressRoute

para Office 365.

Relações de emparelhamento do ExpressRoute com os serviços em

nuvem da Microsoft

Modelos de conectividade do ExpressRoute

Ethernet de ponto a ponto Conexão do tipo any-to-any (IP VPN)

Sua

localização

Microsoft

Sua localização 1

Microsoft

Sua localização 2

Sua localização 3

WAN

Se o datacenter estiver

nas suas instalações, é

possível usar um link de

Ethernet de ponto a

ponto para se conectar à

nuvem da Microsoft.

Se você já estiver usando

um provedor de serviços IP

VPN (MPLS) para conectar

os sites da sua organização,

uma conexão ExpressRoute

à nuvem da Microsoft atua

como outro local na WAN

particular.

Exemplo de implantação de aplicativo e fluxo de tráfego com o ExpressRoute

Rede local

UsuáriosUsuários

ExpressRoute

Microsoft SaaS

Azure IaaS

Emparelhamento da Microsoft

Emparelhamento público

Emparelhamento particular

Office 365

Uma única conexão ExpressRoute oferece suporte a até três relações de emparelhamento de Protocolos BGP diferentes

para partes distintas da nuvem da Microsoft. O BPG usa as relações de emparelhamento para estabelecer confiança e

trocar informações sobre roteamento.

De um roteador na DMZ para os

endereços públicos dos serviços do Office

365 e Dynamics 365.

Com suporte para comunicação iniciada

pelo bidirecional.

Emparelhamento da Microsoft

De um roteador na DMZ para os

endereços públicos dos serviços do Office

365 e Dynamics 365.

Com suporte para comunicação iniciada

pelo bidirecional.

Emparelhamento da Microsoft

Emparelhamento público

De um roteador na DMZ para os endereços

de IP públicos dos serviços do Azure.

Com suporte para comunicação iniciada

pelo bidirecional somente de sistemas locais.

A relação de emparelhamento não oferece

suporte à comunicação iniciada pelos

serviços do Azure PaaS.

Emparelhamento público

De um roteador na DMZ para os endereços

de IP públicos dos serviços do Azure.

Com suporte para comunicação iniciada

pelo bidirecional somente de sistemas locais.

A relação de emparelhamento não oferece

suporte à comunicação iniciada pelos

serviços do Azure PaaS.

Emparelhamento particular

De um roteador na borda da rede da

organização para os endereços IP

particulares atribuídos às VNets do Azure.

Com suporte para comunicação iniciada

pelo bidirecional.

É uma extensão da rede da organização

para a nuvem da Microsoft, completada

com endereçamento e roteamento

consistentes internamente.

Emparelhamento particular

De um roteador na borda da rede da

organização para os endereços IP

particulares atribuídos às VNets do Azure.

Com suporte para comunicação iniciada

pelo bidirecional.

É uma extensão da rede da organização

para a nuvem da Microsoft, completada

com endereçamento e roteamento

consistentes internamente.

Colocalizado em uma troca de nuvem

Sua

colocalização

Microsoft Se o datacenter está

colocalizado em uma

instalação com troca de

nuvem, você pode solicitar

uma conexão cruzada

virtual à nuvem da

Microsoft por meio de uma

troca de Ethernet do

provedor de colocalização.

Azure PaaS

Tipos de aplicativo:

Análise

IoT

Mídia e CDN

Integração híbrida

Dynamics CRM

Rede virtual

Máquinas

virtuais

Máquinas

virtuaisGatewayGatewayGateway

A maneira pela qual o tráfego se desloca em conexões ExpressRoute e na nuvem da Microsoft é uma função das rotas nos

saltos do caminho entre a origem, o destino e o comportamento do aplicativo. Este é um exemplo de um aplicativo em

execução em uma máquina virtual do Azure que acessa um farm do SharePoint local em vez de uma conexão VPN site a site.

Rede local

Pipe de

Internet

Pipe de

Internet

Pipe de

Internet

Azure IaaS

Rede virtual

GatewayGatewayGateway

VPN site a siteFarm do

SharePoint

Farm do

SharePoint

Com as relações de emparelhamento da Microsoft e

particulares:

Do gateway do Azure, instalações locais estãodisponíveis

na conexão ExpressRoute.

Da assinatura do Office 365, dos endereços IP públicos de

dispositivos de borda, como servidores proxy, estão

disponíveis na conexão ExpressRoute.

Da rede de borda local, dos endereços IP particulares da

VNet do Azure e os endereços IP públicos do Office 365

estão disponíveis na conexão ExpressRoute.

Quando o aplicativo acessa as URLs do SharePoint Online, ele

encaminha seu tráfego por meio da conexão ExpressRoute

para um servidor proxy na borda.

Quando o servidor proxy localiza o endereço IP do SharePoint

Online, ele encaminha o tráfego de volta pela conexão

ExpressRoute. O tráfego de resposta se desloca no caminho

inverso. O resultado é o hairpinning, uma consequência do

roteamento e do comportamento do aplicativo.

Esta organização migrou seu farm do SharePoint local para o

SharePoint Online no Office 365 e implantou uma conexão

ExpressRoute.

Servidor de

aplicativos

Servidor de

aplicativos

Fluxo de tráfego

Microsoft SaaS

Office 365

Rede local Azure IaaS

Rede virtual

Servidor de

aplicativos

Servidor de

aplicativos

Edge

ExpressRouteGatewayGatewayGateway

O aplicativo localiza o endereço IP do farm do

SharePoint usando o DNS local e todo o tráfego é

repassado para a conexão VPN site a site.

Fluxo de tráfego

Continua na próxima página

Computação

Web e móvel

Dados

Setembro de 2016

Otimizadores WAN

É possível implantar otimizadores WAN

em ambos os lados de uma conexão de

emparelhamento particular em uma rede

virtual do Azure (VNet) entre instalações.

Na VNet do Azure, use um aparelho de

rede do otimizador WAN do marketplace

do Azure e roteamento definido pelo

usuário para direcionar o tráfego pelo

aparelho.

Qualidade de serviço

Use valores de ponto de código de

serviços diferenciados (DSCP) no

cabeçalho do IPv4 do tráfego para marcar

a voz, o vídeo/interativo ou a distribuição

de melhor esforço. Isso é especialmente

importante para a relação de

emparelhamento da Microsoft e o tráfego

do Skype for Business Online.

Segurança na borda

Para fornecer segurança avançada para

o tráfego enviado e recebido por meio

da conexão ExpressRoute, como

inspeção de tráfego ou detecção de

invasão/malware, coloque seus

dispositivos de segurança no caminho

do tráfego da DMZ ou na borda da

intranet.

Tráfego de Internet para VMs

Para impedir que as VMs do Azure

iniciem o tráfego diretamente com

locais da Internet, anuncie a rota padrão

para a Microsoft. O tráfego para a

Internet é roteado pela conexão

ExpressRoute e por meio dos seus

servidores proxy locais. O tráfego das

VMs do Azure para os serviços do Azure

PaaS ou do Office 365 é roteado de

volta pela conexão ExpressRoute.

ExpressRoute e rede de nuvem da Microsoft

Opções do ExpressRoute

Com ExpressRoute Com ExpressRoute Premium

O deslocamento do tráfego entre a rede da organização e o datacenter

Microsoft é uma combinação de:

Seus locais.

Locais de emparelhamento de nuvem da Microsoft (os locais físicos que

se conectam à borda da Microsoft).

Locais de datacenter da Microsoft.

O datacenter e os locais de emparelhamento de nuvem da Microsoft estão

conectados à rede de nuvem da Microsoft.

Ao criar uma conexão ExpressRoute a um local de emparelhamento de

nuvem da Microsoft, você é conectado à rede de nuvem da Microsoft e a

todos os locais de datacenter da Microsoft no mesmo continente. O tráfego

entre o local de emparelhamento de nuvem e o datacenter da Microsoft de

destino é feito por meio da rede de nuvem da Microsoft.

O resultado pode ser uma distribuição não ideal para os datacenters locais

da Microsoft para o modelo de conectividade any-to-any.

Para organizações globalmente distribuídas pelos continentes, é possível

usar o ExpressRoute Premium.

Com o ExpressRoute Premium, você pode acessar qualquer datacenter da

Microsoft em qualquer continente de qualquer local de emparelhamento

da Microsoft em qualquer continente. O tráfego entre continentes é feito

por meio da rede de nuvem da Microsoft.

Com várias conexões ExpressRoute Premium, você pode ter:

Melhor desempenho em datacenters continentais locais da Microsoft.

Maior disponibilidade na nuvem global da Microsoft quando uma

conexão ExpressRoute local estiver indisponível.

O ExpressRoute Premium é necessário para conexões ExpressRoute

baseadas no Office 365. No entanto, não há nenhum custo adicional para

empresas com 500 ou mais usuários licenciados.

Para uma distribuição ideal,

use várias conexões

ExpressRoute para locais de

emparelhamento de nuvem

regionais da Microsoft.

Isso pode proporcionar:

Melhor desempenho

em locais regionais de

datacenter da Microsoft.

Maior disponibilidade

da nuvem da Microsoft

quando uma conexão

ExpressRoute local

estiver indisponível.

Rede de nuvem da

Microsoft

Local de emparel

hamento

Local 1 Local 2

Datacenter

Mais

informações

ExpressRoute para Azure

https://azure.microsoft.com/services/

expressroute/

https://azure.microsoft.com/services/

expressroute/

ExpressRoute para Office 365

http://aka.ms/expressrouteoffice365http://aka.ms/expressrouteoffice365

Neste exemplo, o

tráfego da filial da costa

leste deve passar por

todo o país para chegar

a um local de

emparelhamento de

nuvem da Microsoft na

costa oeste e, depois,

voltar para o datacenter

do Azure do leste dos

EUA.

Rede de nuvem da

Microsoft

Local de emparel

hamento

Local 1 Local 2

Datacenter

Local de emparelha

mento

WAN

Exemplo de conexões ExpressRoute Premium para

uma empresa global que utiliza o Office 365

Rede de nuvem

da Microsoft

Rede de nuvem

da Microsoft

Rede de nuvem

da Microsoft

Rede de nuvem

da Microsoft

Rede de nuvem

da Microsoft

Com uma parte da rede de nuvem da Microsoft em cada continente, uma

empresa global cria conexões ExpressRoute Premium em seus escritórios

centrais regionais para instalações de emparelhamento local da Microsoft.

Para um escritório regional, o tráfego do Office 365 é apropriado para:

Datacenters continentais do Office 365 percorrem rede de nuvem da

Microsoft somente no continente.

Datacenters do Office 365 em outro continente percorrem a rede

intercontinental de nuvem da Microsoft.

ExpressRoute para Office 365 e outras opções de conexão de redeExpressRoute para Office 365 e outras opções de conexão de rede

Isso funciona bem para organizações localizadas no mesmo continente. No

entanto, o tráfego para os datacenters da Microsoft fora do continente da

organização se desloca pela Internet.

Para obter tráfego intercontinental por meio da rede de nuvem da Microsoft,

é necessário usar conexões ExpressRoute Premium.

Planejamento de rede e ajuste de desempenho para o Office 365Planejamento de rede e ajuste de desempenho para o Office 365

Curso de gerenciamento de desempenho do Office 365 da Microsoft

Virtual Academy

Curso de gerenciamento de desempenho do Office 365 da Microsoft

Virtual Academy

© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre esta documentação, escreva para CloudAdopt@microsoft.com.© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre esta documentação, escreva para CloudAdopt@microsoft.com.

Internet

O que os arquitetos de TI precisam saber

sobre redes em plataformas e serviços

em nuvem da Microsoft

Microsoft Cloud

Networking para

arquitetos

corporativos1 2 5

Este é o tópico 4 em uma

série de 6

Criação de rede para o Microsoft SaaS (Office 365,

Microsoft Intune e Dynamics 365)

Otimizar sua rede para serviços Microsoft SaaS requer uma análise cuidadosa da borda de

Internet, dos dispositivos do cliente e operações típicas de TI.

Considerações sobre a borda de Internet

Setembro de 2016

Etapas para preparar a rede para os serviços Microsoft SaaS

Migração única

Evite usar a rede em horário de pico e em períodos de correção de computadores

Devem ser feitas com linha de base e pilotadas, avalie a integridade da rede e resolvaproblemas antes de tentar a migração real

Execute post-mortem para migração futuras

Sincronizações em andamento

Verifique se um sistema de monitoramento de largura de banda de rede está instalado, resolva ou descarte os erros coletados

Use os resultados do monitoramento da largura de banda para determinar a necessidadede realizar alterações na rede (escalar verticalmente/horizontalmente, circuitos novos ou adicionar dispositivos)

Considerações de operações de TI

Rede local

UsuáriosUsuários

ExpressRouteExpressRoute

Office 365Office 365

Recomendações de servidor proxy

Configure clientes da Web usando WPAD, PAC ou GPO

Não use interceptação SSL

Use um arquivo PAC para ignorar o proxypara os nomes DNS do serviço do Microsoft SaaS

Permita o tráfego para verificação CRL/OCSP

Afunilamentos do servidor

proxy

Conexões persistentes insuficientes (Outlook)

Capacidade insuficiente

Avaliação fora da rede em andamento

Solicitação de autenticação

Não há suporte para tráfego UDP (Skype for Business)

Recomendações de

proximidade e local

Não roteie o tráfego de Internet na WANparticular

Use o DNS regional e o fluxo de tráfego de Internet para usuários não regionais

Use o ExpressRoute e o emparelhamento da Microsoft para largura de banda alta no Office 365 e Dynamics 365

Portas de saída para

Office 365

TCP 80 (para verificações CRL/OCSP)

TCP 443

UDP 3478

TCP 5223

TCP 50000-59999

UDP 50000-59999

URLs do Office 365 e intervalos de endereços IPURLs do Office 365 e intervalos de endereços IP

Considerações de uso do cliente

Microsoft IntuneMicrosoft Intune

Dynamics 365Dynamics 365

Conjunto de serviços

Azure Active Directory

Office 365

Aplicativos de cliente do Office

SharePoint Online

Exchange Online

Skype for Business

Microsoft Intune

Dynamics 365

Computadores cliente

Determine:

Número máximo de cada vez (horário do dia, sazonais, picos e canais em uso)

Largura de banda total necessária para picos

Latência no dispositivo de saída da Internet

País de origem vs. país de colocalização do datacenter

Para cada tipo de cliente (PC, smartphone, tablet), verifique:

Sistema Operacional

Navegador de Internet

Pilha TCP/IP

Hardware de rede

Drivers de sistema operacional parahardware de rede

Atualizações e patches instalados

Otimize a taxa de transferência de conexão de intranet (com fio, VPN ou sem fio).

Desempenho de intranet

Use ferramentas para medir o tempo de ida e volta (RTTs) dos dispositivos de borda de Internet (PsPing, Ping, Tracert, TraceTCP, Monitor de Rede)

Execute a análise do caminho de saída usando os protocolos de fluxo

Execute a análise de dispositivos intermediários (idade, integridade etc.)

Suporte NAT com o Office 365Suporte NAT com o Office 365 Ferramenta PsPingFerramenta PsPing

Mais

informaçõeshttp://aka.ms/tune

Planejamento de rede e ajuste de

desempenho para o Office 365

http://aka.ms/tune

Planejamento de rede e ajuste de

desempenho para o Office 365

Curso de gerenciamento de

desempenho do Office 365 da

Microsoft Virtual Academy

http://aka.ms/o365perf

Curso de gerenciamento de

desempenho do Office 365 da

Microsoft Virtual Academy

http://aka.ms/o365perf

ExpressRoute para Office 365

http://aka.ms/expressrouteoffice365

ExpressRoute para Office 365

http://aka.ms/expressrouteoffice365

Pipe de

Internet

Pipe de

Internet

Pipe de

Internet

Confira as Etapas para preparar sua rede para os serviços em nuvem da Microsoft no tópico 2 deste modelo.

1 Otimize a saída de Internet para serviços Microsoft SaaS utilizando as recomendações de servidor proxy.

2 Otimize taxa de transferência de Internet usando as recomendações proximidade e local.

3 Otimize o desempenho dos computadores cliente e a intranet em que eles estão localizados usando as considerações de uso do cliente.

4 Conforme necessário, otimize o desempenho de migração e sincronização de dados usando as considerações de operações de TI.

5

Tais como a transferência de dados em massa para aplicativos baseados em

nuvem armazenamento de arquivos.

Tais como informações de diretório, configurações ou arquivos.

643

ExpressRoute para Office 365ExpressRoute para Office 365

© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre esta documentação, escreva para CloudAdopt@microsoft.com.© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre esta documentação, escreva para CloudAdopt@microsoft.com.

O que os arquitetos de TI precisam saber

sobre redes em plataformas e serviços

em nuvem da Microsoft

Microsoft Cloud

Networking para

arquitetos

corporativos1 2 3

Este é o tópico 5 em uma série de 6

Largura de banda de Internet para aplicativos PaaS corporativos

Setembro de 2016

Etapas de planejamento para hospedar aplicativos PaaS corporativos no Azure

Gerenciador de Tráfego do Azure

Gateway de Aplicativo do Azure

Criação de rede para Azure PaaSA otimização de rede para aplicativos do Azure PaaS requer largura de banda de Internet

adequada e pode exigir a distribuição de tráfego de rede em vários sites ou aplicativos.

Aplicativos corporativos hospedados no Azure PaaS exigem largura de banda de Internet para usuários da

intranet.

Roteamento de nível de aplicativo e serviços de balanceamento de carga que

permitam criar um front-end da Web escalonável e altamente disponível no Azure

para aplicativos Web, serviços de nuvem e máquinas virtuais. O Gateway de

Aplicativo atualmente oferece suporte à distribuição de aplicativos de camada 7 para

o seguinte:

Balanceamento de carga HTTP

Afinidade de sessão baseada em cookies

Descarregamento SSL

Gateway de AplicativoGateway de Aplicativo

Aplicativo

Web

Aplicativo

Web

Máquina virtualMáquina virtual

Serviço de

nuvem

Serviço de

nuvem

Distribuição de tráfego para pontos de extremidade diferentes, que podem incluir os

serviços de nuvem ou aplicativos Web do Azure localizados em datacenters diferentes

ou pontos de extremidade externos.

Microsoft Azure

Gerenciador de

Tráfego

Gerenciador de

Tráfego

Microsoft Azure

Aplicativo

Web

Aplicativo

Web

Leste dos

EUA

Europa

Ocidental

Ásia

Oriental

Aplicativo

Web

Aplicativo

Web

Aplicativo

Web

Aplicativo

Web

Aplicativo

Web

Leste dos

EUA

Europa

Ocidental

Ásia

Oriental

Aplicativo

Web

Aplicativo

Web

Opção 1 Use o pipe existente otimizado para

tráfego de Internet com a capacidade para operar

picos de carga. Consulte as considerações da

página 4 deste modelo sobre borda de Internet,

uso do cliente e operações de TI.

Opção 2 Para largura de banda alta ou baixa

latência, use uma conexão ExpressRoute para o

Azure.

Rede local

UsuáriosUsuáriosExpressRouteExpressRoute

Pipe de

Internet

Pipe de

Internet

Pipe de

Internet

Azure PaaS

Gatewayde

Aplicativo

Gatewayde

Aplicativo

1

2

Exemplos para três aplicativos Web

geograficamente distribuídos

UsuáriosUsuáriosUsuários

UsuáriosUsuáriosUsuários

1. Quando o usuário executa uma consulta DNS sobre a URL de um site da Web, ele é

direcionado ao Gerenciador de Tráfego do Azure, que retorna o nome de um

aplicativo Web regional com base nométodo de roteamento de desempenho.

2. O usuário inicia o tráfego com o aplicativo Web regional.

Para distribuir o tráfego para pontos de extremidade diferentes em datacenters distintos, determine se o Gerenciador de Tráfego do Azure será necessário.

5 Para distribuir o tráfego para pontos de extremidade diferentes em datacenters distintos, determine se o Gerenciador de Tráfego do Azure será necessário.

5Para cargas de trabalho baseadas na Web, determine se o Gateway de Aplicativo do Azure será necessário.

4 Para cargas de trabalho baseadas na Web, determine se o Gateway de Aplicativo do Azure será necessário.

4Determine se será necessária uma conexão ExpressRoute ao Azure.

3 Determine se será necessária uma conexão ExpressRoute ao Azure.

3Otimize a largura de banda de Internet usando as etapas – de Etapas parapreparar sua rede para os serviços Microsoft SaaS no tópico 4 deste modelo.

2 Otimize a largura de banda de Internet usando as etapas – de Etapas parapreparar sua rede para os serviços Microsoft SaaS no tópico 4 deste modelo.

2Confira as Etapas para preparar sua rede para os serviços em nuvem da Microsoft no tópico 2 deste modelo.

1 Confira as Etapas para preparar sua rede para os serviços em nuvem da Microsoft no tópico 2 deste modelo.

1

Métodos de roteamento do Gerenciador de Tráfego

Failover Os pontos de extremidade estão nos mesmos ou em diferentes

datacenters do Azure e você deseja usar um ponto de extremidade primário para

todo o tráfego, mas fornecer backups caso os pontos de extremidade primário

ou do backup estiverem indisponíveis.

Round robin Você deseja distribuir carga em um conjunto de pontos de

extremidade no mesmo datacenter ou em datacenters diferentes.

Desempenho Você tem pontos de extremidade em locais geográficos

diferentes e deseja que clientes solicitantes usem o ponto de extremidade

mais próximo em termos de menor latência.

Failover Os pontos de extremidade estão nos mesmos ou em diferentes

datacenters do Azure e você deseja usar um ponto de extremidade primário para

todo o tráfego, mas fornecer backups caso os pontos de extremidade primário

ou do backup estiverem indisponíveis.

Round robin Você deseja distribuir carga em um conjunto de pontos de

extremidade no mesmo datacenter ou em datacenters diferentes.

Desempenho Você tem pontos de extremidade em locais geográficos

diferentes e deseja que clientes solicitantes usem o ponto de extremidade

mais próximo em termos de menor latência. Gerenciador de TráfegoGerenciador de Tráfego

64 5

Tipos de aplicativo:

Computação

Web e móvel

Dados

Análise

IoT

Mídia e CDN

Integração híbrida

© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre esta documentação, escreva para CloudAdopt@microsoft.com.© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre esta documentação, escreva para CloudAdopt@microsoft.com.

O que os arquitetos de TI precisam saber

sobre redes em plataformas e serviços

em nuvem da Microsoft

Microsoft Cloud

Networking para

arquitetos

corporativos1 2 3 4

Este é o tópico 6 em uma

série de 6

Etapas de planejamento para qualquer VNet do Azure

Criação de rede para Azure IaaSA otimização de rede para cargas de trabalho de TI hospedadas no Azure IaaS requer conhecimento das

redes virtuais do Azure (VNets), espaços de endereço, roteamento, DNS e balanceamento de carga.

Setembro de 2016

Etapa 1: prepare a rede para os serviços em nuvem da Microsoft.

Etapa 2: otimize a largura de banda de Internet.

Etapa 3: determine o tipo de VNet (somente em nuvem ou entre instalações).

Rede virtual

Máquinas

virtuais

Máquinas

virtuais

Uma VNet sem conexão com uma

rede local.

Somente em nuvem

Uma VNet com uma conexão VPN S2S ou ExpressRoute a uma rede local por meio

de um gateway do Azure.

Entre instalações

Rede local

UsuáriosUsuáriosExpressRouteExpressRoute

Rede virtual

Máquinas

virtuais

Máquinas

virtuais

VPN S2S

GatewayGatewayGateway

Consulte as Etapas de planejamento para uma VNet entre instalações no Azure neste tópico.

Confira as Etapas para preparar sua rede para os serviços em nuvem da

Microsoft no tópico 2 deste modelo.

Confira as etapas 2 – em Etapas para preparar sua rede para os serviços

Microsoft SaaS no tópico 4 deste modelo.

Etapas de planejamento para hospedar uma carga de trabalho de TI

em uma VNet do Azure

Determine o espaço de endereço da Rede Local para o gateway do Azure.

Para o ExpressRoute, planeje a nova conexão com o provedor.

Adicione rotas para tornar o espaço de endereço da VNet acessível.

Planejando VNets entre instalações

Configure os servidores DNS locais para replicação de DNS com servidores DNS hospedados no Azure.

5 643Determine o uso de túnel forçado e rotas definidas pelo usuário.

Determine o dispositivo VPN local ou roteador.

Determine a conexão local à VNet (VPN S2S ou ExpressRoute).

21 7

Determine sub-redes na VNet e os espaços de endereço atribuídos a cada uma delas.

Determine o espaço de endereço da VNet.

Determine o tipo de VNet (somente em nuvem ou entre instalações).

Otimize a largura de banda de Internet.

2Prepare a intranet para os serviços em nuvem da Microsoft.

1

Planejamento para qualquer VNet

Determine a configuração de balanceamento de carga (para a Internet ou interno).

Determine o uso de soluções de virtualização e rotas definidas pelo usuário.

5

7

43Determine a configuração do servidor DNS e os endereços dos servidores DNS para atribuí-los às VMs na VNet.

6

8 Determine como os computadores da Internet se conectarão às máquinas virtuais.

Para várias VNets, determine a topologia da conexão VNet para VNet.

9 10

Continua na próxima página

65

Mais recursos de

TI de nuvem da

Microsoft aka.ms/cloudarchoptionsaka.ms/cloudarchoptions

Opções de plataforma

e Microsoft Cloud

Services

aka.ms/cloudarchsecurityaka.ms/cloudarchsecurity

Segurança

aka.ms/cloudarchidentityaka.ms/cloudarchidentity

Identidade

aka.ms/cloudarchhybridaka.ms/cloudarchhybrid

Híbrido

© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre esta documentação, escreva para CloudAdopt@microsoft.com.© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre esta documentação, escreva para CloudAdopt@microsoft.com.

Etapa 4: determine o espaço de endereço da VNet.

As máquinas virtuais são designadas a uma configuração de endereço do

espaço de endereço da sub-rede pelo DHCP:

Endereço/máscara de sub-rede

Gateway padrão

Endereços IP do servidor DNS

Você também pode reservar um endereço IP estático.

Máquinas virtuais também podem ser atribuídas a um endereço IP público,

individualmente ou do serviço de nuvem que as contém (somente para

máquinas de implantação clássicas).

Endereçamento para redes virtuais Endereçamento para máquinas virtuais

Tipo de VNet Espaço de endereço da rede virtual

Somente em nuvem

Interconectada

somente em nuvem

Entre instalações

Interconectada entre

instalações

Espaço de endereço particular arbitrário

Particular arbitrário, mas não sobreposto aoutras

VNets conectadas

Particular, mas não sobreposto ao local

Particular, mas não sobreposto ao local e a outras

VNets conectadas

Tipo de VNet Espaço de endereço da rede virtual

Somente em nuvem

Interconectada

somente em nuvem

Entre instalações

Interconectada entre

instalações

Espaço de endereço particular arbitrário

Particular arbitrário, mas não sobreposto aoutras

VNets conectadas

Particular, mas não sobreposto ao local

Particular, mas não sobreposto ao local e a outras

VNets conectadas

Etapa 5: determine sub-redes na VNet e os espaços de endereço atribuídos a cada uma delas.

Sub-rede do gateway do Azure

Fundamental para o Azure hospedar as duas

máquinas virtuais do gateway do Azure.

Especifique um espaço de endereço com um

comprimento de prefixo de pelo menos 29 bits

(exemplo: 192.168.15.248/29). Recomenda-se um

comprimento de prefixo de 28 bits ou menor,

especialmente se você estiver planejando usar o

ExpressRoute.

Rede virtual

Sub-rede

Máquinas

virtuais

Máquinas

virtuais

Sub-rede

Máquinas

virtuais

Máquinas

virtuais

Sub-rede

Máquinas

virtuais

Máquinas

virtuais

Sub-rede do gateway

GatewayGatewayGateway

Sub-redes de hospedagem da máquina virtual

Posicione as máquinas virtuais do Azure em sub-redes de acordo com

as diretrizes locais típicas, como uma função ou camada comum de um

aplicativo ou para isolamento de sub-rede.

O Azure usa os primeiros três endereços em cada sub-rede. Portanto, o

número de endereços possíveis em uma sub-rede do Azure é 2n –

em que n é o número de bits host.

Limites de redeLimites de rede

Máquinas virtuais Bits hostTamanho da sub-rede

1-3

4-11

12-27

28-59

60-123

3

4

5

6

7

/29

/28

/27

/26

/25

1-3

4-11

12-27

28-59

60-123

3

4

5

6

7

/29

/28

/27

/26

/25

Máquinas virtuais Bits hostTamanho da sub-rede

1-3

4-11

12-27

28-59

60-123

3

4

5

6

7

/29

/28

/27

/26

/25

Etapa 6: determine a configuração do servidor DNS e os endereços dos servidores DNS para

atribuí-los às VMs na VNet.

O Azure atribui os endereços dos servidores DNS às máquinas virtuais pelo

DHCP. Os servidores DNS podem ser:

Fornecidos pelo Azure: fornece registro de nome local e resolução de

nomes local e pela Internet

Fornecidos por você: fornece registro de nome local ou pela intranet ou

resolução de nomes pela intranet ou Internet

Resolução de nomes para VMs e instâncias de funçãoResolução de nomes para VMs e instâncias de função

Tipo de VNet Servidor DNS

Somente em nuvem

Entre instalações

Fornecido pelo Azure para resolução de nomes

local e de Internet

Máquina virtual do Azure para resolução de nomes

local e de Internet (encaminhamento de DNS)

Local para resolução de nomes local e de intranet

Máquina virtual do Azure para resolução de nomes

local e de intranet (replicação e encaminhamento

de DNS)

Somente em nuvem

Entre instalações

Fornecido pelo Azure para resolução de nomes

local e de Internet

Máquina virtual do Azure para resolução de nomes

local e de Internet (encaminhamento de DNS)

Local para resolução de nomes local e de intranet

Máquina virtual do Azure para resolução de nomes

local e de intranet (replicação e encaminhamento

de DNS)

Tipo de VNet Servidor DNS

Somente em nuvem

Entre instalações

Fornecido pelo Azure para resolução de nomes

local e de Internet

Máquina virtual do Azure para resolução de nomes

local e de Internet (encaminhamento de DNS)

Local para resolução de nomes local e de intranet

Máquina virtual do Azure para resolução de nomes

local e de intranet (replicação e encaminhamento

de DNS)Continua na próxima página

Planeje e crie redes virtuais do AzurePlaneje e crie redes virtuais do Azure

Melhor prática para determinar o espaço de

endereço da sub-rede do gateway do Azure:

1. Decida o tamanho da sub-rede do gateway.

2. Nos bits variáveis do espaço de endereço da

VNet, defina os bits usados na sub-rede do

gateway para 0 e defina os bits restantes para 1.

3. Converta para decimal e expresse como um

espaço de endereço com o comprimento de

prefixo definido de acordo com o tamanho da

sub-rede do gateway.

Com esse método, o espaço de endereço para a

sub-rede do gateway estará sempre na

extremidade mais distante do espaço de endereço

da VNet.

Exemplo de definição de prefixo de endereço para a sub-rede do gateway

O espaço de endereço da VNet é 10.119.0.0/16. A organização usará inicialmente uma conexão

VPN site a site, mas eventualmente obterá o ExpressRoute.

1. Decida o tamanho da sub-rede do gateway. /28

2. Defina os bits na parte variável do espaço de

endereço da VNet: 0 para os bits da sub-

rede do gateway (G), caso contrário 1 (V).

10.119. bbbbbbbb . Bbbbbbbb

10.119. VVVVVVVV . VVVVGGGG

10.119. 11111111 . 11110000

3. Converta o resultado da etapa 2 para

décimos e expresse-o como um espaço de

endereço.

10.119.255.240/28

Etapa Resultados

Etapa 7: determine a configuração de balanceamento de carga (para a Internet ou interno).

Azure Load BalancerAzure Load Balancer

Rede virtual

Máquina virtualMáquina virtual

Conjunto com

balanceamento de

carga

Máquina virtualMáquina virtual

Regra NAT

de entrada

ou ponto de

extremidade

Balanceador

de carga

Balanceador

de carga

Máquina

virtual

Máquina

virtual

Máquina

virtual

Máquina

virtual

Distribua aleatoriamente

o tráfego não solicitado

vindo de outras VMs do

Azure ou de

computadores de

intranet (não mostrados)

para os membros de um

conjunto com

balanceamento de carga.

Balanceamento de

carga interna

Rede virtual

Máquina virtualMáquina virtual

Conjunto com

balanceamento de carga

Máquina virtualMáquina virtual

Regra NAT

de entrada

ou ponto de

extremidade

Balanceador

de carga

Balanceador

de carga

Balanceador

de carga

Distribua aleatoriamente

o tráfego não solicitado

vindo da Internet para os

membros de um conjunto

com balanceamento de

carga.

Balanceamento de

carga para a Internet

Etapa 8: determine o uso de soluções de virtualização e rotas definidas pelo usuário.

Rede virtualRede local

GatewayGatewayGateway

Roteamento definido pelo usuário

Talvez seja necessário adicionar uma ou mais

rotas definidas pelo usuário a uma sub-rede para

encaminhar o tráfego para soluções de

virtualização na rede virtual do Azure.

Rotas definidas pelo usuário e encaminhamento de IPRotas definidas pelo usuário e encaminhamento de IP

Dispositivo VPNDispositivo VPNDispositivo VPN

Sub-rede

Solução de

virtualização

Solução de

virtualização

Sub-rede

Máquinas

virtuais

Máquinas

virtuaisExpressRoute

VPN S2S

ExpressRoute

VPN S2SRotasdefinidas pelo usuário

Etapa 9: determine como os computadores da Internet se conectarão às máquinas virtuais.

Inclua o acesso da rede da organização por meio do servidor proxy ou outro dispositivo de borda.

Rede virtual

Máquina virtualMáquina virtual

Serviço de

nuvem

Serviço de

nuvem

Máquina virtualMáquina virtual

Grupo de segurança de

rede

Grupo de segurança de

rede

Máquina virtualMáquina virtual

Conjunto com

balanceamento de carga

Ponto de

extremidade

Regras

NAT de

entrada

1

2

3

Segurança adicional:

Conexões de área de trabalho remota e SSH são autenticadas e criptografadas

Sessões do PowerShell Remoto são autenticadas e criptografadas

É possível usar o modo de transporte IPsec para criptografia de ponta a ponta

A proteção DDOS do Azure ajuda a evitar ataques internos e externos

Balanceador

de carga

Balanceador

de carga

Métodos de filtragem ou inspeção de tráfego de entrada não solicitado

1. Pontos de extremidade e ACLs configurados em

serviços de nuvemClássico

2. Grupos de segurança de rede Gerenciador de Recursos e clássico

3. Balanceador de carga para a Internet com regras NAT

de entradaGerenciador de Recursos

4. Dispositivos de segurança de rede no Azure

Marketplace (não mostrado)Gerenciador de Recursos e clássico

Método Modelo de implantação

1. Pontos de extremidade e ACLs configurados em

serviços de nuvemClássico

2. Grupos de segurança de rede Gerenciador de Recursos e clássico

3. Balanceador de carga para a Internet com regras NAT

de entradaGerenciador de Recursos

4. Dispositivos de segurança de rede no Azure

Marketplace (não mostrado)Gerenciador de Recursos e clássico

Método Modelo de implantação

Etapa 10: para várias VNets, determine a topologia da conexão VNet para VNet.

As VNets do Azure podem ser conectadas umas as outras usando topologias semelhantes às

utilizadas para conectar os sites de uma organização.

Corrente margarida

Rede VirtualRede Virtual

Spoke e hub

Rede VirtualRede Virtual Rede VirtualRede Virtual Rede VirtualRede Virtual Rede VirtualRede Virtual

Rede VirtualRede Virtual Rede VirtualRede Virtual

Rede VirtualRede Virtual Rede VirtualRede Virtual Rede VirtualRede Virtual Rede VirtualRede Virtual

Malha completa

Rede VirtualRede Virtual Rede VirtualRede Virtual

Rede VirtualRede Virtual Rede VirtualRede Virtual

Segurança de Nuvem da Microsoft para Arquitetos CorporativosSegurança de Nuvem da Microsoft para Arquitetos CorporativosSegurança de Nuvem da Microsoft para Arquitetos Corporativos

Continua na próxima página

Etapas de planejamento para uma VNet do Azure entre instalações

Etapa 1: determine a conexão entre instalações à VNet (VPN S2S ou ExpressRoute).

VPN (S2S) site a site

ExpressRoute

VPN (P2S) ponto a site

VPN VNet para VNet

Conecte de 1 a 10 sites (incluindo outras VNets) em uma única VNet do Azure.

Um link particular e seguro para o Azure por meio de um Ponto de Troca de Tráfego (PTT) ou um provedor

de serviços de rede (NSP).

Conecta um único computador a uma VNet do Azure.

Conecta uma VNet do Azure a outra VNet do Azure.

VPN (S2S) site a site

ExpressRoute

VPN (P2S) ponto a site

VPN VNet para VNet

Conecte de 1 a 10 sites (incluindo outras VNets) em uma única VNet do Azure.

Um link particular e seguro para o Azure por meio de um Ponto de Troca de Tráfego (PTT) ou um provedor

de serviços de rede (NSP).

Conecta um único computador a uma VNet do Azure.

Conecta uma VNet do Azure a outra VNet do Azure.

Limites de redeLimites de rede Dispositivos VPN para conexões de rede virtuais site a siteDispositivos VPN para conexões de rede virtuais site a site

Rede virtual

Máquinas

virtuais

Máquinas

virtuais

GatewayGatewayGateway

Rede local

Rede VirtualRede Virtual

AdministradorAdministradorS2S ou S2S ou

P2S

VNet para VNet

Conectando-se às VMs na VNet:

Administração de VMs na VNet por meio da rede

local ou da Internet

Acesso à carga de trabalho de TI por meio da rede

local

Extensão da rede por meio de VNets adicionais do

Azure

Segurança para conexões:

A P2S usa o protocolo SSTP (Secure Socket

Protocol Tunneling)

A S2S e a VNet para VNet usam o modo de túnel

IPsec com AES256

O ExpressRoute é uma conexão WAN particular

Segurança de Nuvem da Microsoft para

Arquitetos Corporativos

Segurança de Nuvem da Microsoft para

Arquitetos Corporativos

Segurança de Nuvem da Microsoft para

Arquitetos Corporativos

Etapa 2: determine o dispositivo VPN local ou roteador.

Rede virtual

Máquinas

virtuais

Máquinas

virtuais

Rede local

ExpressRoute

VPN S2S

GatewayGatewayGatewayDispositivo VPNDispositivo VPN

Sobre gateways de VPNSobre gateways de VPN

Etapa 3: adicione rotas para tornar o espaço de endereço da VNet acessível.

Roteamento para VNets do local

1. Roteie para o espaço de endereço da rede

virtual que aponta para o seu dispositivo VPN

2. Roteie para o espaço de endereço da rede

virtual no seu dispositivo VPN

Rede virtualRede local

GatewayGatewayGatewayS2S ou ExpressRoute S2S ou ExpressRoute Dispositivo VPNDispositivo VPN

1

Espaço de endereço da rede virtual

1

Espaço de endereço da rede virtual

2

Espaço de endereço da rede virtual

2

Espaço de endereço da rede virtual

Etapa 4: para o ExpressRoute, planeje a nova conexão com o provedor.

Rede local

ExpressRoute

Microsoft Azure

RoteadorRoteadorRoteador

É possível criar uma conexão ExpressRoute com

emparelhamento particular entre sua rede local e a

nuvem da Microsoft de três maneiras diferentes:

Colocalizada em uma troca de nuvem

Conexões Ethernet de ponto a ponto

Redes do tipo any-to-any (IP VPN)

ExpressRouteExpressRoute

Continua na próxima página

O dispositivo VPN local ou roteador:

Atua como um par IPsec, encerrando a

conexão VPN S2S do gateway do Azure.

Atua como o par BPG e ponto de

encerramento para a conexão ExpressRoute

particular de emparelhamento.

Consulte o tópico 3, ExpressRoute.

Setembro de 2016

Etapa 5: determine o espaço de endereço da Rede Local para o gateway do Azure.

Exemplo de definição de prefixos para a Rede Local ao redor do espaço de

endereço abertura criado pela rede virtual

Uma organização usa partes do espaço de endereço particular (10.0.0.0/8, 172.16.0.0/12 e

192.168.0.0/16) em toda a rede local. A opção 2 e 10.100.100.0/24 foram escolhidos como espaço

de endereço da rede virtual.

Roteamento para local ou outras VNets

de Vnets

O Azure encaminha o tráfego por meio de um

gateway do Azure que corresponde ao espaço de

endereço da Rede Local atribuído ao gateway.

Definindo o espaço de endereço da Rede Local:

Opção 1: a lista de prefixos para o espaço de

endereço necessitado no momento ou em

uso (atualizações podem ser necessárias ao

adicionar novas sub-redes).

Opção 2: todo o espaço de endereço local

(atualizações serão necessárias somente ao

adicionar novos espaços de endereço).

Como o gateway do Azure não permite rotas

resumidas, você deve definir o espaço de

endereço da Rede Local para a opção 2 a fim de

que ele não inclua o espaço de endereço de uma

rede virtual.

Rede virtualRede local

GatewayGatewayGatewayS2S ou ExpressRoute S2S ou ExpressRoute Dispositivo VPNDispositivo VPN

Espaço de endereço da Rede Local

1. Lista os prefixos que não são o espaço raiz

para o espaço de endereço da rede virtual.172.16.0.0/12 e 192.168.0.0/16

2. Lista os prefixos que não sobrepõem

osoctetos variáveis, mas não inclui o último

octeto usado no espaço de endereço da

rede virtual.

10.254.0.0/16, 10.255.0.0/16 (255 prefixos, ignorando 10.100.0.0/16)

3. Lista os prefixos que não sobrepõem o

último octeto usado no espaço de endereço

da rede virtual.

10.100.254.0/24, 10.100.0.255.0/24 (255 prefixos, ignorando 10.100.100.0/24)

1. Lista os prefixos que não são o espaço raiz

para o espaço de endereço da rede virtual.172.16.0.0/12 e 192.168.0.0/16

2. Lista os prefixos que não sobrepõem

osoctetos variáveis, mas não inclui o último

octeto usado no espaço de endereço da

rede virtual.

10.254.0.0/16, 10.255.0.0/16 (255 prefixos, ignorando 10.100.0.0/16)

3. Lista os prefixos que não sobrepõem o

último octeto usado no espaço de endereço

da rede virtual.

10.100.254.0/24, 10.100.0.255.0/24 (255 prefixos, ignorando 10.100.100.0/24)

Etapa Prefixos

O espaço de endereço da rede virtual

O espaço raiz

O espaço de endereço da rede virtual

O espaço raiz

Etapa 6: configure os servidores DNS locais para replicação com servidores DNS hospedados no Azure.

Etapa 7: determine o uso de túnel forçado.

Rede virtualRede localA rota do sistema padrão aponta para a Internet.

Para garantir que todo o tráfego de máquinas

virtuais se desloque pela conexão entre

instalações, adicione uma rota padrão definida

pelo usuário que aponte para o gateway do

Azure.

Isso é conhecido como túnel forçado.

Rotas definidas pelo usuário e encaminhamento de IPRotas definidas pelo usuário e encaminhamento de IP

Dispositivo VPNDispositivo VPNDispositivo VPN

Sub-rede

Máquinas

virtuais

Máquinas

virtuaisExpressRoute

VPN S2S ou

ExpressRoute

VPN S2S ou

GatewayGatewayGateway

Rotasdefinidas pelo usuário

Rede virtualRede local

Dispositivo VPNDispositivo VPNDispositivo VPN

Sub-rede

ExpressRoute

VPN S2S ou

ExpressRoute

VPN S2S ou

GatewayGatewayGateway

Sub-rede

Máquinas

virtuais

Máquinas

virtuais

Servidor DNSServidor DNSServidor DNSServidor DNS

Encaminhamento e replicação de DNS

Para garantir que computadores locais

possam resolver os nomes dos servidores

baseados no Azure e que servidores

baseados no Azure possam resolver os

nomes dos computadores locais, configure:

Os servidores DNS em sua rede

virtual para encaminhar aos

servidores DNS locais.

Replicação de DNS das zonas

apropriadas entre servidores DNS

locais e na VNet do Azure

Mais recursos de

TI de nuvem da

Microsoft aka.ms/cloudarchoptionsaka.ms/cloudarchoptions

Opções de plataforma

e Microsoft Cloud

Services

aka.ms/cloudarchsecurityaka.ms/cloudarchsecurity

Segurança

aka.ms/cloudarchidentityaka.ms/cloudarchidentity

Identidade

aka.ms/cloudarchhybridaka.ms/cloudarchhybrid

Híbrido

© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre esta documentação, escreva para CloudAdopt@microsoft.com.© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre esta documentação, escreva para CloudAdopt@microsoft.com.