Redes Azure: VNets, subnets, peering e boas práticas de segmentação

A rede é a espinha dorsal de qualquer arquitectura Azure. Uma VNet mal concebida causa problemas de segurança, conectividade e escalabilidade que são difíceis de corrigir depois. Valha a pena investir tempo no desenho inicial.

Planeamento de endereçamento IP

Defina um plano de endereçamento não-conflituante com a rede on-premises:

Hub VNet:           10.0.0.0/16
  GatewaySubnet:    10.0.0.0/27   (mínimo /27 para VPN Gateway)
  AzureFirewallSubnet: 10.0.1.0/26
  ManagementSubnet: 10.0.2.0/24

Spoke Analytics:    10.1.0.0/16
  WorkloadSubnet:   10.1.0.0/24
  DataSubnet:       10.1.1.0/24
  PrivateEndpoints: 10.1.2.0/24

VNet Peering

az network vnet peering create \
  --name Hub-to-Analytics \
  --resource-group rg-networking \
  --vnet-name vnet-hub \
  --remote-vnet vnet-analytics \
  --allow-vnet-access \
  --allow-forwarded-traffic \
  --use-remote-gateways  # permite usar o VPN Gateway do hub

Network Security Groups (NSGs)

Aplique NSGs nas subnets, não nas NICs individuais (mais simples de gerir). Regras essenciais:

# Permitir tráfego de gestão de um bastion
Priority 100: Allow TCP 22,3389 from AzureBastionSubnet
Priority 200: Deny  All Inbound from Internet
Priority 4096: Deny All (regra implícita)

Private Endpoints

Para serviços PaaS (Storage, SQL, Key Vault), use Private Endpoints em vez de expor service endpoints publicamente. O tráfego fica dentro da VNet.

Conclusão

Uma rede Hub-Spoke com endereçamento planeado, NSGs restritivos e Private Endpoints para PaaS é a base da segurança de rede na Azure. Construa-a correctamente desde o início — refactoring de redes em produção é custoso e arriscado.