O que é Azure Virtual WAN? Conceitos, Arquitetura e Casos de Uso
O Azure Virtual WAN é um serviço de rede gerenciado da Microsoft que unifica conectividade, segurança e roteamento global em uma única plataforma operacional. Neste artigo você vai entender o que é o Azure Virtual WAN, como funciona sua arquitetura, quais são seus componentes e quando faz sentido adotá-lo em ambientes corporativos. Este é o Artigo 1 da série Azure Virtual WAN.
Sumário
O que é Azure Virtual WAN?
O Azure Virtual WAN é uma plataforma de rede como serviço (NaaS) que consolida em uma única solução gerenciada tudo que uma empresa precisa para conectar filiais, usuários remotos, data centers on-premises e cargas de trabalho em nuvem: conectividade, roteamento e segurança.
Antes do Virtual WAN, construir uma rede corporativa global no Azure exigia gerenciar manualmente dezenas de VPN Gateways, tabelas de rotas (UDRs), peerings entre VNets e políticas de firewall — uma operação complexa e propensa a erros. O Virtual WAN automatiza toda essa infraestrutura de roteamento, entregando uma WAN global gerenciada pelo próprio Azure.
Componentes Principais
O Azure Virtual WAN é composto por um conjunto de recursos que trabalham de forma integrada:
Virtual WAN
É o recurso raiz — o contêiner lógico que agrupa todos os hubs, conexões e configurações de uma organização. Uma empresa geralmente tem um único Virtual WAN que abrange todas as regiões do Azure onde opera.
Virtual Hub
O Virtual Hub é um roteador regional totalmente gerenciado pelo Azure. Cada hub é criado em uma região específica e atua como ponto central de conexão para todos os recursos daquela região: VNets, filiais VPN, circuitos ExpressRoute e usuários remotos. O Azure provisiona e gerencia automaticamente a infraestrutura de roteamento dentro do hub — você não precisa gerenciar VMs de roteamento.
VPN Gateway (Site-to-Site)
Gateway gerenciado dentro do Virtual Hub para conexões IPsec/IKEv2 site-to-site com filiais e data centers on-premises. Diferente do VPN Gateway tradicional do Azure, ele é escalável em unidades de escala (500 Mbps por unidade) e suporta até 1.000 conexões de filiais por unidade.
ExpressRoute Gateway
Gateway gerenciado para circuitos ExpressRoute — conexões dedicadas e privadas entre o data center corporativo e o Azure, sem passar pela internet pública.
User VPN Gateway (Point-to-Site)
Gateway para conexões de usuários remotos via OpenVPN ou IKEv2. Integra com Microsoft Entra ID (antigo Azure Active Directory) para autenticação MFA, eliminando a necessidade de VPN clients proprietários.
VPN Site
Objeto Azure que representa uma filial ou data center on-premises. Contém o IP público do roteador da filial, os prefixos de endereço internos e opcionalmente configurações BGP.
Hub VNet Connection
Conexão gerenciada que cria automaticamente um peering entre o Virtual Hub e uma VNet spoke. As VMs na VNet passam a rotear tráfego via o hub sem necessidade de configuração manual de UDRs.
Azure Firewall e Routing Intent
O Azure Firewall pode ser implantado dentro do Virtual Hub (Secured Virtual Hub). O Routing Intent é a política que força todo o tráfego privado e/ou de Internet a passar pelo firewall para inspeção centralizada.
Arquitetura Hub-and-Spoke Gerenciada
O Azure Virtual WAN implementa uma topologia hub-and-spoke em que o Virtual Hub é o centro e todos os recursos (VNets, filiais, usuários) são os spokes. A grande diferença em relação à topologia hub-and-spoke manual é que todo o plano de controle de roteamento é automatizado pelo Azure.
Em uma implantação com múltiplas regiões, cada região tem seu próprio Virtual Hub. Os hubs se interconectam automaticamente via a backbone global da Microsoft, garantindo conectividade any-to-any entre filiais de diferentes regiões sem necessidade de configuração adicional.
| Virtual WAN | ||||||
|---|---|---|---|---|---|---|
| Roteamento entre VNets | UDRs manuais em cada VNet | Automático pelo hub | ||||
| Conectividade filial-para-filial | VPN Gateway dedicado por hub | Via Virtual Hub gerenciado | ||||
| Múltiplas regiões | Peering manual entre hubs | Interconexão automática | ||||
| Escala | Limitada ao SKU do gateway | Unidades de escala ajustáveis | ||||
| Operação | Alta complexidade operacional | Gerenciado pelo Azure |
Basic vs Standard — Qual SKU usar?
O Azure Virtual WAN está disponível em dois SKUs. A escolha define quais recursos estarão disponíveis e não pode ser alterada após a criação.
| Site-to-Site VPN | ✅ | ✅ | |
| Point-to-Site VPN (User VPN) | ❌ | ✅ | |
| ExpressRoute | ❌ | ✅ | |
| Transit Hub-to-Hub | ❌ | ✅ | |
| Azure Firewall no Hub | ❌ | ✅ | |
| Routing Intent | ❌ | ✅ | |
| BGP entre spokes | ❌ | ✅ | |
| NVA no Hub | ❌ | ✅ |
Casos de Uso
Empresa com múltiplas filiais
Organizações com dezenas ou centenas de filiais espalhadas geograficamente se beneficiam do Virtual WAN para conectar todas as filiais ao Azure com uma solução padronizada, sem precisar configurar individualmente cada VPN Gateway.
Workloads em múltiplas regiões Azure
Empresas com presença em múltiplas regiões do Azure (ex: East US + Brazil South + West Europe) usam o Virtual WAN para garantir que VMs em diferentes regiões se comuniquem de forma otimizada via a backbone global da Microsoft, sem latência de internet pública.
Força de trabalho remota
Com o User VPN Gateway (Point-to-Site), colaboradores remotos se conectam ao Azure com autenticação Microsoft Entra ID + MFA, acessando recursos internos com a mesma segurança de quem está na rede corporativa.
Segurança centralizada com Zero Trust
Com o Azure Firewall implantado no hub e o Routing Intent ativado, todo tráfego — filial para VNet, VNet para VNet, filial para Internet — é inspecionado em um único ponto, alinhado ao modelo Zero Trust.
Virtual WAN vs VPN Gateway Tradicional
O Azure oferece duas abordagens para conectar filiais ao Azure. Entender as diferenças é fundamental para escolher a solução correta:
| Gateway | Virtual WAN | |||||
|---|---|---|---|---|---|---|
| Número de filiais | Até ~30 (por gateway) | Milhares | ||||
| Throughput máximo | 10 Gbps (VpnGw5) | 20 Gbps+ (escalável) | ||||
| Configuração de rota | Manual (UDRs) | Automática | ||||
| Alta disponibilidade | Active-Active manual | Built-in pelo Azure | ||||
| Gestão multi-região | Complexa | Simplificada | ||||
| Custo | Menor para pequenos cenários | Otimizado para escala | ||||
| Ideal para | 1-10 filiais, cenários simples | 10+ filiais, escala global |
Modelo de Preços
O Azure Virtual WAN tem cobrança por componente. Os principais custos são:
- Virtual Hub: custo por hora de existência do hub (mesmo sem tráfego)
- VPN Gateway: cobrança por unidade de escala por hora
- Conexões VPN: custo por conexão ativa por hora
- Transferência de dados: cobrança por GB trafegado entre regiões
- Azure Firewall: custo por hora + por GB processado (se usado)
Próximos Passos da Série
Agora que você entende o que é o Azure Virtual WAN e como ele funciona, continue a série para aprender a configurar cada componente na prática com AZ CLI:
- 📖 Artigo 1 (este): O que é Azure Virtual WAN — conceitos e arquitetura
- ⚙️ Artigo 2: Como Criar o Azure Virtual WAN e Virtual Hub com AZ CLI
- 🔌 Artigo 3: Como Conectar Filiais ao Azure Virtual WAN com VPN Site-to-Site
- 🔒 Artigo 4: Segurança no Azure Virtual WAN com Azure Firewall e Routing Intent
Referências oficiais:
O que é o Azure Virtual WAN? — Microsoft Learn
Arquitetura de rede de trânsito global — Microsoft Learn
FAQ do Azure Virtual WAN — Microsoft Learn
Interessado em saber mais sobre artigos relacionados ao Microsoft Azure CLIQUE AQUI
🚀 Vamos nos conectar?
Não perca nenhuma oportunidade! Cadastre-se nas minhas redes e no canal do YouTube para receber conteúdos de TI, Cloud, Azure, Kubernetes e DevOps em primeira mão.
Dica: No Facebook, todos os artigos do blog são publicados automaticamente. Vale a pena curtir!
💬 Dúvidas ou Problemas?
Com o intuito de ajudar a comunidade, caso você tenha dúvidas ou encontre problemas na execução dos comandos deste artigo, deixe um comentário abaixo. Responderei o mais breve possível!
Muito obrigado pela visita e até o próximo post!
Jefferson Castilho Especialista em Cloud & DevOps.Este guia técnico é exclusivo do Blog do Castilho. Explore nossa para mais conteúdos sobre IA e Cloud.
