Redes Azure: VNets, subnets, peering e boas práticas de segmentação
A rede é a espinha dorsal de qualquer arquitectura Azure. Uma VNet mal concebida causa problemas de segurança, conectividade e escalabilidade que são difíceis de corrigir depois. Valha a pena investir tempo no desenho inicial.
Planeamento de endereçamento IP
Defina um plano de endereçamento não-conflituante com a rede on-premises:
Hub VNet: 10.0.0.0/16
GatewaySubnet: 10.0.0.0/27 (mínimo /27 para VPN Gateway)
AzureFirewallSubnet: 10.0.1.0/26
ManagementSubnet: 10.0.2.0/24
Spoke Analytics: 10.1.0.0/16
WorkloadSubnet: 10.1.0.0/24
DataSubnet: 10.1.1.0/24
PrivateEndpoints: 10.1.2.0/24
VNet Peering
az network vnet peering create \
--name Hub-to-Analytics \
--resource-group rg-networking \
--vnet-name vnet-hub \
--remote-vnet vnet-analytics \
--allow-vnet-access \
--allow-forwarded-traffic \
--use-remote-gateways # permite usar o VPN Gateway do hub
Network Security Groups (NSGs)
Aplique NSGs nas subnets, não nas NICs individuais (mais simples de gerir). Regras essenciais:
# Permitir tráfego de gestão de um bastion
Priority 100: Allow TCP 22,3389 from AzureBastionSubnet
Priority 200: Deny All Inbound from Internet
Priority 4096: Deny All (regra implícita)
Private Endpoints
Para serviços PaaS (Storage, SQL, Key Vault), use Private Endpoints em vez de expor service endpoints publicamente. O tráfego fica dentro da VNet.
Conclusão
Uma rede Hub-Spoke com endereçamento planeado, NSGs restritivos e Private Endpoints para PaaS é a base da segurança de rede na Azure. Construa-a correctamente desde o início — refactoring de redes em produção é custoso e arriscado.