azure wlan

O que é Azure Virtual WAN? Arquitetura e Casos de Uso

Deixe um comentário / Microsoft Azure / Por
Twittar
Compartilhar
Pin
Compartilhar
0 Compart.

O que é Azure Virtual WAN? Conceitos, Arquitetura e Casos de Uso

O Azure Virtual WAN é um serviço de rede gerenciado da Microsoft. Ele unifica conectividade, segurança e roteamento global em uma única plataforma operacional. Neste artigo você vai entender o que é o Azure Virtual WAN e como funciona sua arquitetura. Verá também quais são seus componentes e quando faz sentido adotá-lo em ambientes corporativos. Este é o Artigo 1 da série Azure Virtual WAN.

Entender o que é Azure Virtual WAN é o ponto de partida para projetar redes corporativas escaláveis no Azure.

O que é Azure Virtual WAN?

O Azure Virtual WAN é uma plataforma de rede como serviço (NaaS). Ela consolida filiais, usuários remotos, data centers on-premises e cargas de trabalho em nuvem em uma única solução gerenciada. Em outras palavras, oferece conectividade, roteamento e segurança em um único lugar.

Antes do Virtual WAN, construir uma rede corporativa global no Azure exigia muito trabalho manual. Era preciso gerenciar dezenas de VPN Gateways, UDRs, peerings entre VNets e políticas de firewall. Uma operação complexa e propensa a erros. Portanto, o Virtual WAN automatiza toda essa infraestrutura de roteamento, entregando uma WAN global gerenciada pelo próprio Azure.

Diagrama do Azure Virtual WAN conectando filiais, usuários remotos e VNets via Virtual Hub gerenciado
Visão geral: Azure Virtual WAN conectando filiais, usuários e VNets em uma única plataforma

Componentes Principais

Em termos de componentes, o Azure Virtual WAN é composto por um conjunto de recursos que trabalham de forma integrada:

Virtual WAN

Em primeiro lugar, ele é o recurso raiz. Esse contêiner lógico agrupa todos os hubs, conexões e configurações de uma organização. Geralmente, uma empresa tem um único Virtual WAN que abrange todas as regiões do Azure onde opera.

Virtual Hub

Além disso, o Virtual Hub é um roteador regional totalmente gerenciado pelo Azure. Cada hub é criado em uma região específica. Ele atua como ponto central de conexão para VNets, filiais VPN, circuitos ExpressRoute e usuários remotos. Dessa forma, o Azure provisiona e gerencia toda a infraestrutura de roteamento do hub. Não é necessário gerenciar VMs.

VPN Gateway (Site-to-Site)

Por sua vez, o VPN Gateway gerencia conexões IPsec/IKEv2 site-to-site dentro do Virtual Hub. Ele conecta filiais e data centers on-premises ao Azure. Ao contrário do VPN Gateway tradicional, usa unidades de escala (500 Mbps por unidade). Suporta até 1.000 conexões de filiais.

ExpressRoute Gateway

Da mesma forma, o ExpressRoute Gateway gerencia circuitos ExpressRoute. São conexões dedicadas e privadas entre o data center e o Azure, sem passar pela internet pública.

User VPN Gateway (Point-to-Site)

Também disponível no hub, o User VPN Gateway é o gateway para conexões de usuários remotos via OpenVPN ou IKEv2. Ele integra com Microsoft Entra ID (antigo Azure Active Directory) para autenticação MFA, eliminando a necessidade de VPN clients proprietários.

VPN Site

Especificamente, o VPN Site é um objeto Azure que representa uma filial ou data center on-premises. Ele contém o IP público do roteador da filial, os prefixos de endereço internos e, opcionalmente, configurações BGP.

Hub VNet Connection

Além disso, a Hub VNet Connection cria automaticamente um peering entre o Virtual Hub e uma VNet spoke. Como resultado, as VMs na VNet passam a rotear tráfego via o hub, sem necessidade de configuração manual de UDRs.

Azure Firewall e Routing Intent

Por fim, o Azure Firewall pode ser implantado dentro do Virtual Hub (Secured Virtual Hub). Nesse caso, o Routing Intent é a política de roteamento centralizada. Ela força todo o tráfego privado e de Internet a passar pelo firewall.

A arquitetura hub-and-spoke ilustra na prática o que é Azure Virtual WAN: uma topologia gerenciada pela Microsoft que elimina a necessidade de configurar roteamento manualmente.

Arquitetura Hub-and-Spoke Gerenciada

Em termos de arquitetura, o Azure Virtual WAN implementa uma topologia hub-and-spoke. O Virtual Hub é o centro. VNets, filiais e usuários são os spokes. A principal diferença é que todo o plano de controle de roteamento é automatizado pelo Azure.

Além disso, em uma implantação com múltiplas regiões, cada região tem seu próprio Virtual Hub. Os hubs se interconectam automaticamente via a backbone global da Microsoft. Dessa forma, filiais de regiões diferentes têm conectividade any-to-any sem configuração adicional.

Topologia Hub-and-Spoke Manual Azure Virtual WAN
Roteamento entre VNets UDRs manuais em cada VNet Automático pelo hub
Conectividade filial-para-filial VPN Gateway dedicado por hub Via Virtual Hub gerenciado
Múltiplas regiões Peering manual entre hubs Interconexão automática
Escala Limitada ao SKU do gateway Unidades de escala ajustáveis
Operação Alta complexidade operacional Gerenciado pelo Azure

Basic vs Standard — Qual SKU usar?

Em relação aos tipos disponíveis, o Azure Virtual WAN oferece dois SKUs. A escolha define os recursos disponíveis. Não pode ser alterada após a criação — portanto, planeje antes.

Recurso Basic Standard
Site-to-Site VPN
Point-to-Site VPN (User VPN)
ExpressRoute
Transit Hub-to-Hub
Azure Firewall no Hub
Routing Intent
BGP entre spokes
NVA no Hub
ℹ️ Recomendação: Use sempre o SKU Standard em ambientes corporativos. O Basic é adequado apenas para laboratórios ou cenários com exclusivamente VPN site-to-site simples, sem necessidade de segurança centralizada ou múltiplas regiões.

Casos de Uso

Empresa com múltiplas filiais

Por exemplo, organizações com dezenas ou centenas de filiais espalhadas geograficamente se beneficiam do Virtual WAN. Com ele, é possível conectar todas as filiais com uma solução padronizada. Não é necessário configurar individualmente cada VPN Gateway.

Workloads em múltiplas regiões Azure

Da mesma forma, empresas com múltiplas regiões — East US, Brazil South e West Europe — usam o Virtual WAN. Assim, VMs se comunicam via a backbone da Microsoft. Sem latência de internet pública.

Força de trabalho remota

Além disso, colaboradores remotos se conectam ao Azure via User VPN Gateway. A autenticação usa Microsoft Entra ID com MFA. Ou seja, acessam recursos internos com a mesma segurança de quem está na rede corporativa.

Segurança centralizada com Zero Trust

Por outro lado, com o Azure Firewall no hub e o Routing Intent ativado, todo tráfego é inspecionado em um único ponto. Isso inclui: filial-VNet, VNet-VNet e filial-Internet. Dessa forma, o ambiente fica alinhado ao modelo Zero Trust.

Virtual WAN vs VPN Gateway Tradicional

Em resumo, o Azure oferece duas abordagens para conectar filiais. Entender as diferenças é fundamental para escolher a solução correta:

Critério VPN Gateway Tradicional Azure Virtual WAN
Número de filiais Até ~30 (por gateway) Milhares
Throughput máximo 10 Gbps (VpnGw5) 20 Gbps+ (escalável)
Configuração de rota Manual (UDRs) Automática
Alta disponibilidade Active-Active manual Built-in pelo Azure
Gestão multi-região Complexa Simplificada
Custo Menor para pequenos cenários Otimizado para escala
Ideal para 1-10 filiais, cenários simples 10+ filiais, escala global

Modelo de Preços

Em termos de preços, o Azure Virtual WAN tem cobrança por componente. Os principais itens de custo são:

  • Virtual Hub: custo por hora de existência do hub (mesmo sem tráfego)
  • VPN Gateway: cobrança por unidade de escala por hora
  • Conexões VPN: custo por conexão ativa por hora
  • Transferência de dados: cobrança por GB trafegado entre regiões
  • Azure Firewall: custo por hora + por GB processado (se usado)
⚠️ Atenção: O Virtual Hub gera cobrança mesmo quando não há tráfego. Em ambientes de laboratório ou desenvolvimento, lembre-se de excluir os recursos após o uso para evitar cobranças desnecessárias. Consulte sempre a calculadora de preços do Azure para estimar os custos reais do seu cenário.

Agora que você sabe o que é Azure Virtual WAN, explore os próximos artigos da série para colocar o ambiente em produção.

Próximos Passos da Série

Agora que você entende o Azure Virtual WAN e sua arquitetura, continue a série. Aprenda a configurar cada componente na prática:

  1. 📖 Artigo 1 (este): O que é Azure Virtual WAN — conceitos e arquitetura
  2. ⚙️ Artigo 2: Configurar o Azure Virtual WAN
  3. 🔧 Artigo 3: Criar o Azure Virtual WAN
  4. 🔌 Artigo 4: Conectar Filiais ao Azure Virtual WAN com VPN
  5. 🔒 Artigo 5: Segurança Azure Virtual WAN com Firewall

Referências oficiais:
O que é o Azure Virtual WAN? — Microsoft Learn
Arquitetura de rede de trânsito global — Microsoft Learn
FAQ do Azure Virtual WAN — Microsoft Learn

Interessado em saber mais sobre artigos relacionados ao Microsoft Azure CLIQUE AQUI

🚀 Vamos nos conectar?

Não perca nenhuma oportunidade! Cadastre-se nas minhas redes e no canal do YouTube para receber conteúdos de TI, Cloud, Azure, Kubernetes e DevOps em primeira mão.

Dica: No Facebook, todos os artigos do blog são publicados automaticamente. Vale a pena curtir!

💬 Dúvidas ou Problemas?

Com o intuito de ajudar a comunidade, caso você tenha dúvidas ou encontre problemas na execução dos comandos deste artigo, deixe um comentário abaixo. Responderei o mais breve possível!

Muito obrigado pela visita e até o próximo post!

Jefferson Castilho Especialista em Cloud & DevOps.

Este guia técnico é exclusivo do Blog do Castilho. Explore nossa para mais conteúdos sobre IA e Cloud.

Twittar
Compartilhar
Pin
Compartilhar
0 Compart.

Posts relacionados

Deixe uma resposta

Rolar para cima

Descubra mais sobre Blog do Castilho - Tecnologia | FinOps | DevOps | Cloud

Assine agora mesmo para continuar lendo e ter acesso ao arquivo completo.

Continue reading