AZURE CLOUD

COMPUTING
 AZURE CLOUD
COMPUTING

Microsoft Azure
Networking Solutions
 AZURE CLOUD
COMPUTING

Explore Azure
Virtual Networks
 AZURE CLOUD
Virtual Network address space COMPUTING

RFC 1918 Unavailable address ranges:

10.0.0.0 - 10.255.255.255 (10/8 prefix)
172.16.0.0 - 172.31.255.255 (172.16/12 prefix) • 224.0.0.0/4 (Multicast)
192.168.0.0 - 192.168.255.255 (192.168/16 prefix) • 255.255.255.255/32 (Broadcast)
• 127.0.0.0/8 (Loopback)
Azure reserves 5 IP addresses
• 169.254.0.0/16 (Link-local)
• x.x.x.0: Network address • 168.63.129.16/32 (Internal DNS)
• x.x.x.1: Reserved by Azure for the default gateway
• x.x.x.2, x.x.x.3: Reserved by Azure to map the Azure DNS IPs
to the VNet space
• x.x.x.255: Network broadcast address

Representação lógica de Crie uma rede virtual Estender com segurança Habilitar híbrido
sua própria rede privada dedicada à seu datacenter com cenários de nuvem
nuvem redes virtuais

Subnets
Um virtual network pode
ser segmentado em uma
ou mais subnets
usivo alunos TFTEC Treinamentos Online - Não distribuir
AZURE CLOUD
COMPUTING
Subnets pode ajudar a
Subnets forneceem
melhorar a segurança,
divisões lógicas dentro de
aumentar o desempenho e
sua rede
facilitar a gestão da rede
 AZURE CLOUD
COMPUTING

Configure Public
IP services
Public IP Addresses AZURE CLOUD
COMPUTING

Public IP addresses IP address association Dynamic Static

Virtual Machine NIC Yes Yes
Load Balancer Front-end configuration Yes Yes
VPN Gateway Gateway IP configuration Yes Yes
Application Gateway Front-end configuration Yes Yes
Azure Firewall Front-end configuration Yes (V1 only) Yes (V2 only)
NAT gateway Gateway IP configuration No Yes

Um endereço IP público pode ser associado a virtual machine network interfaces, internet-facing load balancers,
VPN gateways 3 application gateways

Choose the appropriate SKU for a public IP
Basic SKU
• Atribuído com o método de alocação
estática ou dinâmica
• Aberto por padrão. NSGs são
recomendados, mas opcionais
• Atribuído a network interfaces, VPN
gateway, public load balancers e Application
Gateways
• Não suporta availability zone scenarios
AZURE CLOUD
COMPUTING
Standard SKU
• Use sempre o método de alocação estática
• Seguro por padrão e fechado ao tráfego de
entrada
• Permitir tráfego de entrada com NSG
• Atribuído a network interfaces, standard
public load balancers e Application Gateways
• Pode ser zone-redundant, zonal ou no-zone
 AZURE CLOUD
COMPUTING

Name Resolution for

Azure Virtual
Network
 AZURE CLOUD
DNS público COMPUTING

Os serviços públicos de DNS resolvem nomes e endereços IP para

recursos e serviços acessíveis pela internet, como servidores web. O
Azure DNS é um serviço de hospedagem para domínio DNS que
fornece resolução de nomes usando a infraestrutura do Microsoft
Azure

No Azure DNS, você pode criar registros de endereços

manualmente dentro de regiões relevantes. Os registros mais
utilizados serão:

• Host records: A/AAAA (IPv4/IPv6)

• Alias records: CNAME
 AZURE CLOUD
Private Zone COMPUTING

• A resolução de DNS no VNet1 é privada e não acessível a partir da Internet

• As consultas DNS nas redes virtuais são resolvidas
• As consultas DNS reversas são escopo para a mesma rede virtual
 AZURE CLOUD
COMPUTING

Enable Cross-VNet
Connectivity with
Peering
VNet Peering AZURE CLOUD
COMPUTING

• VNet peering conecta duas Azure virtual

networks
• Dois tipos de peering: Regional e Global
• Peered networks usam o Azure backbone
para privacidade e isolamento
• É possível configurar peering através
subscriptions e tenants
• VNet peering não é transitivo
 AZURE CLOUD
Implementing VNet Peering COMPUTING

• Gateway transit allows peered virtual

networks para compartilhar o
gateway e ter acesso aos recursos
• Nenhum VPN gateway é necessário
para configurar o peered virtual
network
• O Vnet peering padrão fornece
conectividade total
•
 AZURE CLOUD
VNet peering – Gateway Transit COMPUTING

A transitividade de gateway permite que

redes virtuais spoke trafegar através do
gateway VPN no hub
 AZURE CLOUD
COMPUTING

Virtual network
traffic routing
 AZURE CLOUD
Virtual network traffic routing COMPUTING

• System routes
• Default routes
• Custom routes
 AZURE CLOUD
Create a Custom Route and associate COMPUTING
route table to subnet
 AZURE CLOUD
COMPUTING

Internet access with

Azure Virtual NAT
 AZURE CLOUD
Azure Virtual NAT COMPUTING

• Virtual Network NAT (network address translation)

simplifica a conectividade de saída da Internet para redes
virtuais
• NAT é totalmente gerenciado e altamente resiliente.
Suporte cargas de trabalho dinâmicas por escalonamento
NAT
• Quando configurada em uma subnet, toda conectividade
de saída usa seus endereços IP públicos estáticos
especificados
• A conectividade de saída é possível sem balanceador de
carga ou endereços IP públicos diretamente ligados a
máquinas virtuais
 AZURE CLOUD
COMPUTING

Design and
implement Azure VPN
gateway
 AZURE CLOUD
Plan a VPN Gateway COMPUTING

• VPN Site-to-site conectam datacenters on-premises com redes virtuais do Azure

• Uma conexão VNet-to-VNet conecta Azure virtual networks
• Point-to-site (User VPN) conectam dispositivos individuais com Azure virtual networks
 AZURE CLOUD
Create the Gateway Subnet COMPUTING

• O gateway subnet contém endereços IP;

se possível, use um bloco CIDR de /28 ou
/27
• Quando você cria sua gateway subnet,
as VMs do gateway são implantados na
subnet de gateway e configurados com
as configurações necessárias do gateway
VPN
• Nunca implante outros recursos
(por exemplo, VMs adicionais) para a
subnet de gateway
 AZURE CLOUD
VPN Gateway Types COMPUTING

Route-based VPNs usar rotas na tabela de

encaminhamento ou roteamento IP para
pacotes diretos:
Support for IKEv2
• Pode usar protocolos de roteamento
dinâmicos
•Policy-based VPNs criptografar e direcionar
pacotes através de túneis IPsec com base
nas políticas do IPsec:
Support for IKEv1 only
• Dispositivos VPN locais legados
 AZURE CLOUD
Choose the appropriate Gateway SKU COMPUTING
and Generation
Sampling of available SKUs
S2S/VNet-to-VNet P2S IKEv2 Throughput
Gen SKU
Tunnels Connections Benchmark
1 VpnGw1/Az Max. 30 Max. 250 650 Mbps
1 VpnGw2/Az Max. 30 Max. 500 1.0 Gbps
2 VpnGw2/Az Max. 30 Max. 500 1.25 Gbps
1 VpnGw3/Az Max. 30 Max. 1000 1.25 Gbps
2 VpnGw3/Az Max. 30 Max. 1000 2.5 Gbps
2 VpnGw4/Az Max. 30 Max. 5000 5.0 Gbps

• Escolha o Gateway SKU e Geração adequados

• A redimensionamento é permitida dentro da geração
• O SKU Basic (não mostrado) é legado e não deve ser usado
 AZURE CLOUD
High availability options for COMPUTING
VPN connections

Active/standby (default) Active/active

VPN gateways são implantados Enable active/active modo para

como duas instâncias higher availability
 AZURE CLOUD
COMPUTING

Connect devices with

Point-to-site VPN
connections
 AZURE CLOUD
Point-to-site protocols COMPUTING

• OpenVPN
• Secure Socket Tunneling Protocol (SSTP)
• IKEv2 VPN
 AZURE CLOUD
Point-to-site authentication methods COMPUTING

• Azure certificate authentication

• Native Azure Active Directory authentication
• Active Directory (AD) Domain Server
 AZURE CLOUD
COMPUTING

Explore Azure
ExpressRoute
 AZURE CLOUD
ExpressRoute Capabilities COMPUTING

• Conectividade de layer 3 com redundância

• Conectividade a todas as regiões dentro de
uma geografia
• Conectividade global com ExpressRoute
premium add-on
• Através da conectividade no local com
ExpressRoute Global Reach
• Bandwidth – 50 Mbps até 100 Gbps
• Modelos de faturamento – Unlimited,
metered, premium
 AZURE CLOUD
Coexisting Site-to-Site and ExpressRoute COMPUTING

• Use S2S VPN como um caminho de failover seguro para o ExpressRoute

• Use S2S VPNs para se conectar a sites que não estão conectados com o ExpressRoute
• Utilize dois gateways Vnet para a mesma vnet
 AZURE CLOUD
COMPUTING

Explore load
balancing options in
the Azure portal
 AZURE CLOUD
Load balancing options for Azure COMPUTING
 AZURE CLOUD
Choosing a Load Balancer Type COMPUTING

Um public load balancer pode balancear conexões

externas em vms do seu backendpool e também
pode fornecer conexões de saída para máquinas
virtuais (VMs) dentro de sua rede virtual

Um internal load balancer é usado onde IPs

privados são necessários apenas no frontend
 AZURE CLOUD
Determine Load Balancer SKUs COMPUTING

Feature Basic SKU Standard SKU

Backend pool Up to 300 instances Up to 1000 instances
Health probes TCP, HTTP TCP, HTTP, HTTPS
Availability zones Not available Zone-redundant and zonal
frontends for inbound and
outbound traffic
Multiple frontends Inbound only Inbound and outbound

Secure by default Open by default. NSG Closed to inbound flows

optional. unless allowed by a NSG.
Internal traffic from the
virtual network to the internal
load balancer is allowed.
SLA Not available 99.99%
 AZURE CLOUD
COMPUTING

Explore Azure Traffic

Manager
 AZURE CLOUD
Use cases for Azure Traffic Manager COMPUTING

• Aumentar a disponibilidade de aplicativos

• Melhorar o desempenho da aplicação
• Manutenção de serviços sem tempo de
inatividade
• Combine aplicações híbridas
• Distribua tráfego para implantações complexas
 AZURE CLOUD
How Traffic manager works COMPUTING

Os servidores de DNS do Traffic Manager

recebem a solicitação. Eles escolhem um
ponto final baseado em:

• O estado configurado de cada endpoint

• A saúde atual de cada endpoint, como
determinado pelo Traffic Manager health
checks
• O método escolhido de roteamento de
tráfego
• Conexão final não está passando Traffic
Manager
 AZURE CLOUD
Traffic routing methods – Weighted COMPUTING
 AZURE CLOUD
Traffic routing methods – Performance COMPUTING
 AZURE CLOUD
Traffic routing methods - Geographic COMPUTING
 AZURE CLOUD
COMPUTING

Design Azure
Application Gateway
 AZURE CLOUD
Application Gateway features COMPUTING

• Gerencia solicitações de aplicativos web

• Encaminha o tráfego para um pool de servidores web com base na URL requisitada
• Os servidores web podem ser Azure virtual machines, Azure virtual machine scale sets,
Azure App Service e até mesmo servidores locais
 AZURE CLOUD
Determine Application Gateway Routing COMPUTING

Path-based routing Multiple-site routing

 AZURE CLOUD
COMPUTING

Design and configure

Azure Front Door
 AZURE CLOUD
What is Azure Front Door COMPUTING

Ponto de entrada Global, escalável que usa o entry-

point Microsoft global edge network para criar
aplicativos web rápidos, seguros e amplamente
escaláveis
Accelerated application performance usando split
TCP-based anycast protocol
Monitoramento inteligente de saúde para recursos
de backend
URL-path based routing

Permite a hospedagem de vários sites para uma

infraestrutura de aplicativos eficiente
 AZURE CLOUD
What is Azure Front Door COMPUTING
 AZURE CLOUD
COMPUTING

Secure your virtual

networks in the Azure
portal
 AZURE CLOUD
Alerts in Microsoft Defender for Cloud COMPUTING
 AZURE CLOUD
Azure Security benchmark COMPUTING

Term Description Example

Control Um controle é uma descrição Proteção de dados é um dos controles de

The Azure Security Benchmark (ASB) fornece práticas de alto nível de um recurso ou segurança. Este controle contém ações
atividade que precisa ser específicas que devem ser endereçadas
recomendadas prescritivas e recomendações para abordado e não é específico para ajudar a garantir que os dados
ajudar a melhorar a segurança das cargas de para uma tecnologia ou estejam protegidos.
implementação.
trabalho, dados e serviços no Azure
Benchmark Um benchmark contém O Azure Security Benchmark
Security controls: Essas recomendações são recomendações de segurança compreende as recomendações de
geralmente aplicáveis em todos os seus serviços do para uma tecnologia específica, segurança específicas para a plataforma
como o Azure. As Azure.
Azure. Cada recomendação identifica uma lista de recomendações são
partes interessadas que normalmente estão categorizadas pelo controle a
que pertencem.
envolvidas no planejamento, aprovação ou
implementação do benchmark. Baseline A baseline é a implementação A empresa Contoso procura habilitar os
do benchmark no serviço recursos de segurança do Azure SQL
Service baselines: Estes aplicam os controles aos individual do Azure. Cada seguindo a configuração recomendada
serviços individuais do Azure para fornecer organização decide a em Azure SQL security baseline.
recomendação de benchmark
recomendações sobre a configuração de segurança e as configurações
desse serviço. correspondentes são
necessárias no escopo de
implementação do Azure.
 AZURE CLOUD
COMPUTING

Deploy and configure

Network Security
Groups
 AZURE CLOUD
NSG Rules COMPUTING

Security rules em NSGs permitem Existem regras de segurança padrão.

filtrar o tráfego de rede que pode fluir Você não pode excluir as regras padrão,
dentro e fora de subnets e interfaces mas você pode adicionar outras regras com
de rede uma prioridade maior
 AZURE CLOUD
Web Application Firewall overview COMPUTING

Fornece proteção centralizada de seus aplicativos

web contra explorações e vulnerabilidades comuns

Um firewall centralizado de aplicativos web ajuda a

tornar o gerenciamento de segurança muito mais
simples

Um WAF também dá aos administradores uma

melhor garantia de proteção contra ameaças e
invasões

Uma solução WAF pode reagir a uma ameaça de

segurança mais rapidamente, corrigindo
centralmente uma vulnerabilidade conhecida, em
vez de proteger cada aplicativo web individual
 AZURE CLOUD
Web Application Firewall policy modes COMPUTING

• Por padrão, a política WAF está no modo Detecção

• No modo Detecção, o WAF não bloqueia nenhuma solicitação; em vez disso, as solicitações que
correspondem às regras do WAF são registradas em logs WAF
• Você pode alterar as configurações do modo de detecção para prevenção
• No modo Prevenção, as solicitações que correspondem às regras definidas no DRS (Default Rule Set,
conjunto de regras padrão) são bloqueadas e registradas em logs WAF
 AZURE CLOUD
COMPUTING

Explain Virtual
Network Service
Endpoints
 AZURE CLOUD
What is Service Endpoint? COMPUTING

Conectividade segura e direta aos serviços do

Azure em uma rota otimizada sobre o backbone
Azure

Roteamento ideal para tráfego de serviço do Azure

a partir de sua rede virtual
 AZURE CLOUD
COMPUTING

Define Private
Endpoints
 AZURE CLOUD
What is Azure Private Endpoint ? COMPUTING

• O recurso Azure torna-se, de certa forma, uma parte de sua rede virtual.
• A conexão com o recurso agora usa a rede backbone Microsoft Azure em vez da internet
pública
• Configure o recurso Azure para não expor mais seu endereço IP público, o que elimina
esse risco potencial de segurança.
usivo alunos TFTEC Treinamentos Online - Não distribuir
 AZURE CLOUD
COMPUTING

Integrate your app

with an Azure Virtual
Network
 AZURE CLOUD
Virtual network integration options COMPUTING

for Azure PaaS services

VNet Integration

Private Link

Public endpoints

usivo alunos TFTEC Treinamentos Online - Não distribuir


Configure App Service for
regional VNet integration
VNet Integration dá ao seu
aplicativo acesso a recursos em
seu VNet, mas ele não concede
acesso privado de entrada ao seu
aplicativo a partir do VNet
usivo alunos TFTEC Treinamentos Online - Não distribuir
Regional VNet Integration:
Quando você se conecta às redes
virtuais do Azure Resource
Manager na mesma região, você
deve ter uma subnet dedicada
no VNet com o que você está
integrando.
AZURE CLOUD
COMPUTING
Gateway-required VNet
Integration: Quando você se
conecta ao VNet em outras
regiões, você precisa de um
virtual network gateway
provisionado no VNet de destino.
 AZURE CLOUD
COMPUTING

Monitor your
networks using Azure
Monitor
 AZURE CLOUD
Azure Monitor Network Insights COMPUTING

• Network health and metrics

• Connectivity
• Traffic
• Diagnostic Toolkit

usivo alunos TFTEC Treinamentos Online - Não distribuir

 AZURE CLOUD
Network Watcher COMPUTING

• Um serviço regional que fornece várias

ferramentas de diagnóstico e monitoramento
de rede
• IP Flow Verify diagnostica problemas de
conectividade
• Next Hop determina se o tráfego está sendo
corretamente roteado
• VPN Diagnostics soluciona problemas de
gateways e conexões
• NSG Flow Logs mapeia o tráfego IP através de
um network security group
• Connection troubleshoot mostra conectividade
entre VM de origem e destino
• Topology gera um diagrama visual de recursos

usivo alunos TFTEC Treinamentos Online - Não distribuir

 AZURE CLOUD
COMPUTING

OBRIGADO