mod 4 Networking Flashcards
Azure Virtual Network (VNet)
é uma representação de sua própria rede na nuvem, sendo um isolamento lógico totalmente dedicado à sua subscription na Azure. Possibilitando que vários recursos, como, por exemplo, VirtualMachines(VM), se comuniquem de forma segura uma com a outra, com a internet e com redes on-premises.
Conceitos VNet
Espaço de endereço (Address space):
Ao criar uma VNet, você deve especificar um espaço de endereço
IP privado personalizado usando endereços públicos e privados(RFC1918).
Conceitos VNet
Sub-rede (Subnet):
permite que você segmente a rede virtual em uma ou mais sub-redes e aloque uma parte do espaço de endereço da rede virtual para cada sub-rede.
Conceitos VNet
Regiões (Regions):
A VNet tem como escopo uma única região, entretanto, várias redes virtuais de diferentes regiões podem ser conectadas usando o peering de rede virtual.
Conceitos VNet
Assinatura (Subscription):
VNet tem como escopo uma assinatura. Você pode implementar várias redes virtuais na sua subscription e região da Azure.
Melhores práticas
No momento que você implementa sua rede no
Azure, é importante ter em mente os seguintes princípios:
- Certifique-se de que o espaço de endereço da sua VNet (blocoCIDR) não se sobreponha aos outros intervalos de rede da
sua organização.
- Suas sub-redes não podem cobrir todo o espaço de endereço da VNet. Planeje com
antecedência e reserve
algum espaço de endereço para o futuro.
- É recomendável que você tenha menos VNets maiores em vez de várias VNets pequenas. Isso evitará sobrecarga de gerenciamento.
- Proteja sua VNet atribuindo Grupos de Segurança de Rede(NSGs) às sub-redes abaixo delas.
Azure Load Balancer
O Azure Load Balancer opera na camada quatro do modelo OSI, sendo o único ponto de
contato para clientes e distribui fluxos de entrada que
chegam no front-end
do balanceador de carga para instâncias de pool de back-end. Esses fluxos estão de acordo com regras de
balanceamento de carga configuradas e probes
de integridade. As instâncias de pool de back-end podem ser Máquinas Virtuais do Azure ou instâncias em uma virtual machine scale set
Load Balancer Público
pode fornecer conexões de saída para máquinas virtuais(VMs) dentro de sua rede virtual.
Load Balancer Interno
é usado onde IPs privados são necessários apenas no front-end.
VPN Gateway
O VPN Gateway é um tipo específico de gateway de rede virtual usado para enviar tráfego criptografado entre uma rede virtual do Azure e um ambiente on-premises pela Internet pública.
Azure application gateway
O Azure Application Gateway é um balanceador de carga de tráfego da web que permite gerenciar o tráfego para seus aplicativos da web.
Como um Azure Application Gateway aceita uma solicitação?
- Antes de
um cliente enviar
uma solicitação a um application gateway, ele resolve o
nome de domínio usando um servidor DNS (DomainNameSystem), o qual
a Azure controla a entrada DNS porque todos os application gateways estão no domínio azure.com - O DNS da Azure retorna o endereço IP para o cliente, que é o endereço IPdefront-end do application gateway.
- O application gateway aceita o tráfego de entrada em um ou mais listeners. Um listener é uma entidade lógica que verifica as solicitações de conexão. Ele é configurado com um endereço IP de front-end, protocolo e número de porta para conexões de clientes ao application gateway.
- Esta ação determina se a solicitação é válida ou uma ameaça à segurança. Se a solicitação for válida, ela é roteada para o back-end. Se a solicitação não for válida e o WAF estiver no modo Prevenção, ele será bloqueado como uma
ameaça à segurança. Se estiver no modo Detecção, a solicitação é avaliada e registrada, mas ainda encaminhada ao servidor backend.
Content Delivery Network (CDN)
é uma rede distribuída de servidores que podem entregar de maneira eficiente conteúdo da web aos usuários.
CDN - Como é o seu funcionamento?
- Um usuário (Alice) solicita um arquivo (tambémchamadodeativo(asset)) usando uma URL com um nome de domínio
especial, como, porexemplo,<nomedoterminal>.azureedge.net. Este nome pode ser um nome de host de terminal ou um domínio personalizado. O DNS roteia a solicitação para o
POP local de melhor desempenho, que
geralmente é o POP que está geograficamente mais próximo do usuário.</nomedoterminal> - Se nenhum servidor de borda no POP tiver o arquivo em seu cache, o POP solicita o arquivo do servidor de origem. O servidor de origem pode ser um webapplication do Azure, serviço de nuvem do Azure, conta de armazenamento do Azure ou
qualquer servidor da web acessível publicamente. - O servidor de origem retorna o arquivo para um servidor de borda no POP.
- Um servidor de borda no POP armazena o arquivo em cache e retorna o arquivo ao solicitante original(Alice). O arquivo permanece armazenado em cache no servidor de borda no POP até que o tempo de vida (TTL) especificado por seus cabeçalhos HTTP expire. Se o servidor de origem não especificar um TTL, o TTL padrão é sete dias.
- Usuários adicionais podem então solicitar o mesmo arquivo usando a mesma URL que Alice usou, e também podem ser direcionados para o mesmo POP.
- Se o TTL do arquivo não estiver expirado, o
servidor de borda POP retorna o arquivo diretamente do cache. Esse processo resulta em uma experiência do
usuário mais rápida e responsiva.
Application Gateway contains what additional optional security feature over a regular Load Balancer?
Web Application Firewall (WAF)
