VENDAS: 1-800-867-1389

Perguntas frequentes sobre rede virtual

Atualizado: julho de 2014

Noções básicas de rede virtual

Configuração de rede virtual

Conectividade entre instalações de rede virtual (VPNs)

Conectividade multisites e Vnet a Vnet

Rede virtual e resolução de nomes (DNS)

Rede virtual e máquinas virtuais

Rede virtual e serviços

Rede virtual e segurança

APIs, esquemas e ferramentas

A Rede Virtual permite provisionar e gerenciar redes virtuais privadas (VPNs) no Azure e, opcionalmente, associar os VPNs à sua infraestrutura de TI no local para criar soluções híbridas e entre locais. Com a rede virtual, os administradores de TI podem controlar a topologia da rede, incluindo a configuração de intervalos de endereço IP e DNS.
Para obter mais informações, consulte Visão geral da rede virtual.

Use a Rede virtual para:

  • Criar uma rede virtual somente em nuvem privada dedicada

    Às vezes, você não precisa de uma configuração entre locais para sua solução. Quando você cria uma rede virtual, seus serviços e máquinas virtuais dentro de sua rede virtual podem se comunicar diretamente e de forma segura na nuvem. Isso mantém o tráfego com segurança dentro da rede virtual, mas ainda permite que você configure as conexões de terminal para VMs e serviços que exigem a comunicação pela Internet, como parte de sua solução.

  • Estender seu data center com segurança

    Com a Rede Virtual, você pode construir VPNs tradicionais site a site para dimensionar com segurança a capacidade de seu data center. A Rede Virtual usa o protocolo IPsec padrão do setor para fornecer uma conexão segura entre o gateway de sua VPN corporativa e o Azure. Adicione quantas máquinas quiser atrás do gateway da VPN.

  • Habilitar cenários de nuvem híbrida

    A Rede Virtual fornece a flexibilidade para oferecer suporte a uma variedade de cenários de nuvem híbrida. Você pode conectar com segurança os aplicativos baseados em nuvem a qualquer tipo de sistema local, como mainframes e sistemas Unix.

Visite a Visão geral de rede virtual para ver uma tabela de decisões que o ajudará a decidir a melhor opção de design de rede para você.

Temos uma página Recursos que pode ajudar você a começar. Esta página contém links para as etapas de configuração comuns, bem como informações que irão ajudá-lo a entender as coisas que você precisa levar em consideração ao projetar sua rede virtual.

A rede virtual pode ser usada com Serviços de Nuvem (PaaS) e máquinas virtuais. A rede virtual não pode ser usada por nenhum outro serviço nesse momento.

Sim. A rede virtual pode ser usada sem usar a conectividade site a site. Isso será particularmente útil se você quiser executar controladores de domínio e farms do SharePoint no Azure.

Você pode usar as seguintes ferramentas para criar ou configurar uma rede virtual:

Você pode usar qualquer intervalo de endereços IP definido no RFC1918. Isso inclui endereços IP nos seguintes intervalos:

  • 10.0.0.0 - 10.255.255.255 (prefixo 10/8)

  • 172.16.0.0 - 172.31.255.255 (prefixo 172.16/12)

  • 192.168.0.0 - 192.168.255.255 (prefixo 192.168/16)

Não há suporte para os endereços IP fora do intervalo do RFC1918.

Não há limite para o número de sub-redes que você usa dentro de uma rede virtual. Todas as sub-redes devem estar totalmente contidas no espaço de endereço de rede virtual e não devem se sobrepor.

Nós reservamos alguns endereços IP em cada sub-rede. Os primeiros e os últimos endereços IP das sub-redes são reservados para fins de conformidade com o protocolo. Também reservamos alguns endereços IP adicionais para nossos serviços.

A menor sub-rede com suporte é /29 e a maior é /8 (usando definições de sub-rede de CIDR). Nós reservamos alguns endereços IP de cada sub-rede.

As redes virtuais são as sobreposições da Camada 3. Não há suporte para semântica da Camada 2.

Não. Não há suporte para políticas personalizadas de roteamento com redes virtuais.

Não. Não há suporte para multicast nem difusão.

Nós damos suporte a protocolos baseados em IP padrão dentro da rede virtual. No entanto, bloqueamos multicast, difusão, pacotes encapsulados de IP em IP e pacotes GRE (Encapsulamento de Roteamento Genérico). Os protocolos padrão que funcionam incluem:

  • TCP

  • UDP

  • ICMP

Não. Não há suporte para executar ping do gateway padrão de uma sub-rede.

As sub-redes podem ser adicionados às redes virtuais a qualquer momento contanto que o endereço de sub-rede não seja parte de outra sub-rede na rede virtual.

Você pode adicionar, remover, expandir ou reduzir uma sub-rede se não houver VMs ou serviços implantados nela usando cmdlets do PowerShell ou o arquivo NETCFG. Pode também adicionar, remover expandir ou reduzir quaisquer prefixos, desde que as sub-redes que contenham VMs ou serviços não sejam afetadas pela mudança.

Você pode modificar os endereços das sub-redes contanto que não haja serviços ou VMs implantadas nelas usando cmdlets do PowerShell ou o arquivo NETCFG. Você não pode modificar ou excluir uma sub-rede depois que os serviços ou VMs forem implantados nela.

Sim. Todos os serviços implantados dentro de uma rede virtual podem se conectar com a Internet. Cada serviço de nuvem implantado no Azure tem um VIP publicamente endereçável atribuído a ele. Você terá que definir pontos de extremidade de entrada para funções de PaaS e pontos de extremidade para que as máquinas virtuais possam habilitar esses serviços para aceitar conexões da Internet.

Não. Não há suporte para IPv6 com redes virtuais.

Não. Uma rede virtual está limitada a uma única região.

Sim. Você pode criar comunicação VNet para VNet usando APIs REST ou o Windows PowerShell. Consulte Configurar uma conexão VNet com VNet.

Rede Virtual suporta as seguintes conexões entre locais:

  • Site-to-site – conexão VPN sobre IPsec (IKE v1 e IKE v2)

  • Point-to-site – conexão VPN sobre SSTP (Secure Sockets Tunneling Protocol)

  • ExpressRoute – conexão segura direta de sua WAN, não através da Internet pública

Conexões site a site permitem que você conecte entre qualquer um dos computadores localizados em suas instalações para qualquer máquina virtual ou instância de função dentro de sua rede virtual, dependendo de como você optar por configurar o roteamento. É uma ótima opção para uma conexão entre locais sempre disponível e é bem adequado para configurações híbridas. Ele se baseia em um aplicativo VPN IPsec (aplicativo hardware ou soft) a ser implantado na borda da rede para conectividade. Para criar este tipo de conexão, você tem que ter o hardware VPN necessário e um endereço IP IPv4 voltado para o público externamente.

Conexões ponto a site permitem a conexão a partir de um único computador a qualquer coisa localizada em sua rede virtual. Ele usa o cliente VPN do Windows. Como parte da configuração ponto a site, você instala um certificado e um pacote de configuração do cliente VPN, que contém as configurações que permitem que o computador se conecte a qualquer máquina virtual ou instância de função dentro da rede virtual. É ótimo quando você quer se conectar a uma rede virtual, mas não estão localizados no local. Também é uma boa opção quando você não tem acesso a hardware VPN ou um endereço IP IPv4 voltado para o público externamente, sendo que ambos são necessários para uma conexão de site a site.

Observação: Você pode configurar a rede virtual para usar tanto site a site e ponto a site ao mesmo tempo, desde que você crie a sua conexão site a site usando um gateway dinâmico. Para obter mais informações, consulte Sobre a conectividade segura entre os locais.

Você pode se conectar a vários sites usando o Windows PowerShell e APIs REST do Azure. Consulte a seção de Perguntas frequentes Conectividade multisites e Vnet a Vnet.

Nós validamos um conjunto de dispositivos VPN site a site padrão em parceria com fornecedores de dispositivos. Uma lista dos dispositivos VPN compatíveis conhecidos, seus respectivos modelos de configuração e especificações de dispositivo estão disponíveis aqui. Todos os dispositivos nas famílias de dispositivos listadas como compatíveis conhecidos devem funcionar com a Rede Virtual. Para ajudar a configurar seu dispositivo VPN, consulte o modelo de configuração de dispositivo que corresponde à família de dispositivos apropriada.

Se você não encontrar o dispositivo na lista como um dispositivo VPN compatível conhecido e não quiser usá-lo para a conexão VPN, será necessário verificar se ele atende aos requisitos mínimos. Os dispositivos que atendem aos requisitos mínimos também devem funcionar bem com a Rede Virtual. Os requisitos mínimos de dispositivo estão listados abaixo para configurações de roteamento estático e dinâmico. Mais informações estão disponíveis aqui. Contate o fabricante do dispositivo para obter suporte adicional e instruções de configuração.

Há suporte para servidores do Serviço de Roteamento e Acesso Remoto (RRAS) do Windows Server 2012 para configuração entre locais site a site.

Outras soluções de VPN de software devem funcionar com nosso gateway contanto que esteja de acordo com as implementações de IPsec padrão da indústria. Contate o fornecedor do software para obter instruções de configuração e suporte.

Os seguintes sistemas operacionais têm suporte:

  • Windows 7 (somente versão de 64 bits)

  • Windows Server 2008 R2

  • Windows 8 (somente versão de 64 bits)

  • Windows Server 2012

Não. O suporte é limitado somente às versões do sistema operacional Windows listadas acima.

Há suporte para até 128 clientes VPN para poder se conectar a uma rede virtual.

Neste momento, somente os certificados raiz autoassinados têm suporte.

Sim. Usamos o protocolo SSTP (Secure Sockets Tunneling Protocol) para fazer um túnel pelos firewalls. Esse túnel aparecerá como uma conexão HTTPS.

Por padrão, o computador cliente não restabelecerá a conexão VPN automaticamente.

Reconexão automática e DDNS não têm suporte atualmente em VPNs ponto a site.

Sim. Essas duas soluções funcionarão se você tiver um gateway de VPN de roteamento dinâmico para sua rede virtual. Não há suporte para a ponto a site em gateways VPN de roteamento estático.

Sim, é possível. Mas as redes virtuais não podem ter prefixos IP sobrepostos e os espaços de endereço ponto a site não devem se sobrepor entre as redes virtuais.

É difícil determinar a taxa de transferência exata nos túneis VPN. IPsec e SSTP são protocolos VPN com criptografia pesada. A taxa de transferência também é limitada pela latência e pela largura da banda entre seus locais e a Internet.

As VPNs de roteamento estático também são referenciadas como VPNs baseadas em políticas. As VPNs baseadas em políticas criptografam e roteiam pacotes por meio de uma interface com base em uma política definida pelo cliente. A política normalmente é definida como uma lista de acesso.

As VPNs de roteamento dinâmico também são referenciadas como VPNs baseadas em rota. As VPNs baseadas em rota dependem de uma interface de túnel criada especificamente para encaminhar pacotes. Qualquer pacote que chegar na interface de túnel será encaminhado por meio da conexão VPN.

Não. Você primeiro precisa criar seu gateway para obter o endereço IP. O endereço IP será alterado se você excluir e recriar o gateway de VPN.

Nós geramos uma PSK (chave pré-compartilhada) quando criamos o gateway de VPN. Você deve usar o PSK para autenticar. O PSK pode ser regenerado a qualquer momento e o comprimento do PSK pode ser alterado conforme o necessário.

Sim, a API Chave pré-compartilhada e o cmdlet do PowerShell podem ser usados para configurar VPN de roteamento estático e VPNs de roteamento dinâmico do Azure.

Estamos limitados a usar PSK (chaves pré-compartilhadas) para autenticação.

Temos um serviço de gateway que executamos para habilitar a conectividade entre locais. Precisamos de 2 endereços IP do domínio de roteamento para podermos habilitar o roteamento entre seus locais e a nuvem. Nós exigimos que você especifique pelo menos uma sub-rede /29 da qual podemos escolher endereços IP para configurar rotas.

Observe que você não deve implantar máquinas virtuais ou instâncias de funções na sub-rede do gateway.

Adicione cada intervalo que você deseja que seja enviado pelo gateway para rede virtual na página Redes em Redes Locais.

Não. Não há suporte para configurar rotas. Você terá que usar o gateway de rede virtual para conectividade entre locais.

Não, ambas as redes virtuais DEVEM estar usando VPNs de roteamento dinâmico.

Sim, ele é protegido por criptografia IPsec/IKE.

Máximo de 10 combinados. Por exemplo, uma rede virtual do Azure pode se conectar a 6 sites locais e 4 redes virtuais.

Sim, as VPNs P2S podem ser usadas com os gateways VPN conectando a vários sites locais e outras redes virtuais

Não, túneis redundantes entre uma rede virtual do Azure e um site local não são suportados.

Não, espaços de endereço sobrepostos farão com que o carregamento NETCFG ou a criação de rede virtual falhe.

Não, todos os túneis de VPN, incluindo VPNs P2S, compartilham o mesmo gateway VPN do Azure e largura de banda disponível.

O tráfego de trânsito via gateway VPN do Azure é possível, mas conta com espaços de endereço estaticamente definidos no arquivo de configuração NETCFG. BGP ainda não é suportado com redes virtuais do Azure e gateways VPN. Sem BGP, definir manualmente espaços de endereços de trânsito em NETCFG é muito propenso a erros e não é recomendado.

Sim. Na verdade, não há nenhuma restrição de região. Uma rede virtual pode se conectar a outra rede virtual na mesma região ou em uma região do Azure diferente.

Não, o Azure, por padrão, gera chaves pré-compartilhadas diferentes para conexões VPN diferentes. No entanto, você pode usar a API REST da Chave pré-compartilhada introduzida recentemente ou cmdlet do PowerShell para definir o valor da chave que você preferir. A chave DEVE ser uma cadeia de caracteres alfanumérica de comprimento entre 1 a 128 caracteres.

O Azure somente se responsabiliza pelo tráfego entre uma região e outra. O tráfego é cobrado com base na mesma taxa que a carga de transferência de dados de saída listada na página de preços do Azure.

Sim. Você pode especificar os endereços IP do servidor DNS na definição de rede virtual. Isso será aplicado como o servidor DNS padrão para todas as máquinas virtuais na rede virtual.

Você pode especificar até 12 servidores DNS.

Sim. Você pode alterar a lista de servidores DNS para sua rede virtual a qualquer momento. Se você modificar a sua lista de servidores DNS, precisará reiniciar cada uma das máquinas virtuais em sua rede virtual para elas pegarem o novo servidor DNS.

Use a tabela de decisão na página Resolução de nomes para orientá-lo em todas as opções de DNS disponíveis.

O DNS fornecido pelo Azure é um serviço DNS de vários locatários oferecido por nós. Nós registramos todas as suas máquinas virtuais neste serviço. Este serviço fornece a resolução de nome por nome de host para VMs contidas dentro do mesmo serviço em nuvem, e por FQDN para VMs na mesma rede virtual. Observação: no momento, há uma limitação para os primeiros 100 serviços de nuvem da rede virtual para resolução de nome entre locatários usando o DNS fornecido pelo Azure. Se você estiver usando seu próprio servidor DNS, essa limitação não se aplicará.

Sim. Você pode definir servidores DNS por serviço de nuvem para substituir as configurações padrão da rede. No entanto, é recomendável que você use o DNS na rede o máximo possível.

Não. Não há suporte para o recurso de especificar um sufixo DNS personalizado para suas redes virtuais.

Há suporte para todas as distribuições de Linux que têm suporte no Windows Azure.

  • Um endereço IP interno (DIP) é um endereço IP atribuído a cada máquina virtual pelo DHCP. Não é voltada para o público. Se você criou uma rede virtual, o endereço IP interno é atribuído do intervalo que você especifica. Se você não tiver uma rede virtual, um endereço IP interno ainda será atribuído. O endereço IP interno permanecerá com a máquina virtual durante o tempo de vida, a menos que a máquina virtual seja Parada (Desalocada).

  • Um VIP público é o endereço IP público que é atribuído ao serviço de nuvem. Ele não é atribuído diretamente a sua NIC de máquina virtual. O VIP permanece no serviço de nuvem ao qual é atribuído até que todas as máquinas virtuais naquele serviço de nuvem sejam todas Paradas (Desalocadas) ou excluídas. Nesse ponto, ele é liberado.

  • DIP - Se você implantar uma VM em uma rede virtual, a VM sempre receberá um endereço IP interno (DIP) de um conjunto de endereços IP interno que você especificar. VMs se comunicam dentro da rede virtual usando DIPs. Embora o Azure atribui o DIP, você pode solicitar um DIP estático para a máquina virtual se você implantar a VM usando o PowerShell. Consulte Configurar um endereço IP interno estático (DIP) para uma VM.

  • VIP - Sua VM também é associada a um VIP, embora um VIP nunca seja atribuído à VM diretamente. Um VIP é um endereço IP público que pode ser atribuído ao serviço de nuvem. Você pode, opcionalmente, reservar um VIP para o seu serviço de nuvem. Consulte Reserved IP Addresses.

  • PIP - Sua VM pode, opcionalmente, também receber um endereço IP público no nível de instância (PIP). O PIP está diretamente associado à VM, em vez do serviço de nuvem. O PIP está atualmente em Visualizar. Consulte Endereços IP públicos no nível de instância.

O Windows Azure usará o DHCP para atribuir um endereço IP interno a cada máquina virtual e instância de PaaS na sub-rede da rede virtual que você especificar.

Sim. Para especificar o DIP, você precisará criar sua VM usando cmdlets do PowerShell. Há cmdlets que permitem especificar o DIP que sua máquina virtual receberá. Você precisará verificar se o DIP especificado não está sendo usado por outra VM ou outro serviço em sua rede virtual. Quando você especifica um DIP, ele permanecerá com sua máquina virtual pelo seu tempo de vida – mesmo se você Pará-la (Desalocar). Se você iniciar a máquina virtual novamente após Pará-la (Desalocar), ela usará o DIP que foi especificado anteriormente. Não é necessário especificar o DIP para uma máquina virtual, a menos que você exija essa funcionalidade.

Não. Não é possível reservar um DIP. Se houver um DIP disponível, ele pode ser atribuído a uma VM pelo servidor DHCP. Essa VM pode ou não ser aquela à qual você deseja que o DIP seja atribuído. Você pode, no entanto, alterar o DIP de uma VM já criada para um endereço disponível usando o PowerShell. Nesse ponto, quando o DIP desejado se tornar disponível no sistema, será possível então especificá-lo ao criar a nova VM. Também é possível liberar um DIP de uma VM usando o PowerShell. Se você liberar um DIP, um novo DIP será atribuído à VM.

Os endereços IP internos permanecem com a máquina virtual pelo seu tempo de vida, a menos que a VM seja Parada (Desalocada). Quando uma VM for Parada (Desalocada), o endereço IP interno é liberado, a menos que você tenha definido um DIP estático usando o PowerShell. Se a VM é simplesmente parada (e não colocada no status “Parada (Desalocada)") o endereço IP permanecerá atribuído à máquina virtual.

Não. Você não deve alterar as propriedades da interface de máquinas virtuais. Todas as alterações podem levar à potencial perda de conectividade para a máquina virtual.

Nada. Os endereços IP (VIP público e DIP interno) permanecerão com seu serviço de nuvem ou máquina virtual. Observação: se você deseja simplesmente encerrar a máquina virtual, não use o Portal de Gerenciamento para fazer isso. Atualmente, o botão de encerramento irá Parar (Desalocar) a máquina virtual.

Parada (Desalocada) é um status que você pode especificar no Portal de Gerenciamento selecionando Encerrar a máquina virtual. Isso é diferente de simplesmente encerrar uma máquina virtual de dentro da própria máquina virtual. Quando você especifica Parar (Desalocar) uma máquina virtual, não está apenas parando a VM, está também especificando para liberar o endereço IP interno, bem como o endereço VIP público (se nenhuma outra VM estiver usando o VIP público, uma vez que o VIP é atribuído ao serviço de nuvem e não diretamente à máquina virtual). Quando você realoca a máquina virtual, ela utilizará um novo VIP público (se não estiver ingressando em um serviço de nuvem que já tenha um) assim como um novo endereço IP interno.

A única maneira de manter o DIP de uma máquina virtual por meio de um status Parada (Desalocada) é definir um endereço IP estático para essa máquina virtual. Se você perceber que Parou (Desalocou) a máquina virtual, mas deseja o DIP original, poderá especificá-lo ao reimplantar a VM usando o PowerShell se o DIP ainda não tiver sido atribuído a outra VM em sua rede virtual.

Sim. Você pode usar o PowerShell para fazer isso. Mais informações estão disponíveis aqui.

Não. Um endereço MAC não pode ser configurado estaticamente.

Não. O endereço MAC de uma máquina virtual pode ser alterado por algumas razões diferentes. Se a VM for colocada no status Parado (Desalocado), se você alterar o tamanho da máquina virtual ou se houver uma recuperação de serviço ou manutenção planejada do servidor de host, o endereço MAC não será retido.

Sim. Todos os serviços implantados dentro de uma rede virtual podem se conectar com a Internet. Além disso, cada serviço de nuvem implantado no Azure tem um VIP publicamente endereçável atribuído a ele. Você terá que definir pontos de extremidade de entrada para funções de PaaS e pontos de extremidade para que as máquinas virtuais possam habilitar esses serviços para aceitar conexões da Internet.

Você pode usar qualquer um deles. Se você tiver um protocolo RDP habilitado e tiver criado um ponto de extremidade, poderá se conectar à sua máquina virtual usando o VIP. Nesse caso, você deve especificar o VIP e a porta à qual deseja se conectar. Você precisará configurar a porta na máquina virtual para o tráfego. Geralmente, você acessaria o Portal de Gerenciamento e salvaria as configurações para a conexão de RDP em seu computador. As configurações irão conter todas as informações de conexão necessárias.

Se você tiver uma rede virtual com conectividade entre locais configurada, poderá conectar-se à sua máquina virtual usando o DIP interno. Você também pode conectar-se à sua máquina virtual pelo DIP interno de outra máquina virtual localizada na mesma rede virtual. Você não poderá usar o protocolo RDP na sua máquina virtual usando o DIP caso esteja se conectando de um local fora da sua rede virtual. Por exemplo, se você tiver uma rede virtual de ponto a site configurada e não estabelecer uma conexão do seu computador, não poderá se conectar à máquina virtual por DIP.

Não. Somente o tráfego que tem um IP de destino contido nos intervalos de endereços IP de Rede Local da rede virtual especificado passará pelo gateway de rede virtual. O tráfego possui um IP de destino localizado dentro da rede virtual que permanecerá dentro da rede virtual. O outro tráfego é enviado pelo balanceador de carga para as redes públicas. Se você estiver solucionando problemas, será importante ter certeza de que tenha todos os intervalos listados em sua Rede Local que você deseja enviar por meio do gateway. Verifique se os intervalos de endereços da Rede Local não são sobrepostos com nenhum outro intervalo de endereços na rede virtual. Além disso, talvez você queira verificar se o servidor DNS que está sendo usado está resolvendo o nome para o endereço IP apropriado.

Nós damos suporte somente para os serviços de cálculo dentro das redes virtuais. Os serviços de computação são limitados a Serviços de Nuvem (funções Web e de trabalho) e máquinas virtuais.

Não. Não há suporte para sites com redes virtuais.

Não. Não há suporte para bancos de dados SQL com redes virtuais.

Sim. Você pode implantar serviços de PaaS dentro de redes virtuais. Você pode realizar isso sem alterar nenhum código.

Isso pode ser feito especificando o nome de rede virtual e os mapeamentos de função/sub-rede na seção de configuração de rede do serviço. Você não precisa atualizar nenhum de seus binários.

Não. Não há suporte para o recurso de mover serviços para dentro e para fora de redes virtuais. Você precisará excluir e reimplantar o serviço nas redes virtuais.

O Windows Azure usa o DHCP para atribuir um endereço IP interno a cada máquina virtual e instância de PaaS na sub-rede da rede virtual que você especificar.

As redes virtuais são completamente isoladas uma da outra e de outros serviços hospedados na infraestrutura do Azure. Limite confiável = limite da rede virtual.

Não. Não há suporte para ACLs para sub-redes em redes virtuais. No entanto, as ACLs podem ser definidas em pontos de extremidade de entrada para máquinas virtuais que foram implantadas em uma rede virtual. Observação: uma máquina virtual não precisa ser implantada em uma rede virtual para definir uma ACL para o ponto de extremidade de entrada.

Sim. Temos as APIs REST para gerenciar as redes virtuais e a conectividade entre locais. Mais informações estão disponíveis aqui.

Sim. Temos o PowerShell e as ferramentas de linha de comando para uma variedade de plataformas. Mais informações estão disponíveis aqui.

Consulte também

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft