Alura > Cursos de DevOps > Cursos de Azure > Conteúdos de Azure > Primeiras aulas do curso Azure Cloud: segurança e recursos avançados

Azure Cloud: segurança e recursos avançados

Azure Virtual Network (VNet) - Apresentação

Olá! Marcelo Oliveira será seu instrutor ao longo desse curso.

Audiodescrição: Marcelo Oliveira é um homem branco com olhos escuros. Tem cabelos, cavanhaque e barba grisalhos. Usa óculos de grau e camiseta cinza. Ao fundo, uma parede branca sem decorações com iluminação azul.

Te damos as boas-vindas ao nosso novo curso da Alura sobre Azure Cloud: rodando aplicação na nuvem com segurança, rede virtual, monitoramento e load balancing.

Pré-requisito

Esse conteúdo é para quem já tem conhecimento básico de Azure Cloud, mas quer se aprofundar em redes, segurança, monitoramento e balanceamento de carga.

O pré-requisito para esse curso é o curso anterior sobre Azure Cloud: criando um servidor com banco de dados para receber uma aplicação.

É fundamental você fazer esse curso primeiro, porque a partir dos ensinamentos dele vamos construir o projeto desse novo curso.

Conteúdo

No curso anterior, criamos uma máquina virtual curso-alura-vm. Agora, vamos começar falando sobre redes.

Em redes, vamos aprender como criar Azure Virtual Networks, dividir a rede virtual em sub-redes e entender como funcionam os endereços e máscaras de IP.

Também vamos fazer deploy de uma aplicação nova com o Node.js que vai funcionar como front-end e vai se integrar com essa aplicação que criamos no curso anterior, a qual vai ser o back-end.

A segunda parte desse curso vai tratar de segurança. Vamos conhecer o Azure Network Security Groups (NSG) e aprender a recriar regras de entrada e saída nas portas da máquina virtual.

Além disso, vamos compreender como implantar o Azure Firewall e também definir suas regras.

Logo depois, trataremos sobre o assunto de balanceamento de carga, onde aprenderemos a criar um snapshot de um disco da máquina virtual de front-end. Também vamos aprender a criar máquinas virtuais a partir desses discos clonados.

Também vamos entender como criar um conjunto de disponibilidade e, por fim, vamos aprender a criar o balanceador de carga também chamado de Azure Load Balancer.

Na última parte, estudaremos sobre monitoramento. Com isso, vamos aprender a criar insights de aplicativo com o Azure Monitor e definir traces dentro da aplicação Node.js.

Também vamos escrever consultas de logs e criar insights de máquina virtual com a configuração de alerta.

Além dos vídeos com foco na prática aliada aos conceitos teóricos, você também vai ter todo o suporte das atividades para ajudar a avançar seu aprendizado e o apoio do fórum e comunidade do Discord da Alura.

Vamos estudar?

Azure Virtual Network (VNet) - Criando Azure Virtual Network

Antes de começar com o curso de segurança no Azure, vamos falar um pouco sobre o curso anterior de Azure Cloud: criando um servidor com banco de dados para receber uma aplicação.

No curso anterior, aprendemos o que é computação na nuvem, criamos uma conta no Azure, criamos nossa primeira máquina virtual (VM), instalamos um servidor de banco de dados MySQL na nuvem e, no final, fizemos o deploy de uma aplicação Node.js na máquina virtual.

Para acessar a máquina virtual, abrimos um terminal com a conexão SSH entre a nossa máquina e a VM do Azure. Essa conexão SSH foi necessária para fazer uma conexão segura com a VM e rodarmos nossa aplicação remotamente.

servidor está rodando na porta 3000

No terminal, aparece o aviso que nossa aplicação Node.js está rodando na porta 3000. No navegador, a aplicação roda no endereço IP público 40.88.140.65 na porta 3000.

O número de IP pode ser diferente para você, pois difere a cada instalação.

Para dar continuidade ao projeto que construímos no curso anterior, imagine que você seja a pessoa desenvolvedora responsável por garantir a segurança da sua instalação na nuvem do Azure.

No curso anterior, deu foco na aplicação. Mas nesse curso, vamos dar foco na segurança. A base para segurança na nuvem é um recurso que pode ser chamado de rede virtual, Azure Virtual Network ou VNet.

Criação de Azure Virtual Network

Automaticamente

O Azure Virtual Network ou VNet é um serviço que permite conectar recursos da nuvem do Azure entre si, como diferentes VMs e bancos de dados. Também permite conectar o Azure com a internet e com a rede local, além de filtrar o tráfego de rede.

Você pode não ter percebido, porém já tínhamos uma rede virtual desde o curso anterior. Quando criamos a VM curso-alura-vm, o Azure automaticamente criou uma rede virtual chamada curso-alura-vm-vnet e também uma sub-rede chamada default.

Agora, vamos abrir o portal do Azure no navegador e localizar o recurso de máquina virtual curso-alura-vm.

Assim, podemos mostrar que existem maneiras diferentes de se criar uma rede virtual no Azure. Uma delas nos já fizemos: através da criação de uma máquina virtual.

Na visão geral da máquina virtual, temos detalhes como a "rede virtual/sub-rede" onde essa máquina está rodando.

Naquela ocasião, o Azure criou automaticamente uma rede virtual junto com a nossa VM.

Através do portal

Mas, vamos aprender a como criar uma rede virtual através do portal do Azure. Nesse caso, ao invés de criar a VM primeiro, vamos criar uma rede virtual antes da VM.

Para isso, vamos clicar no link do canto superior esquerdo para ir à página inicial do portal onde vamos clicar no botão "Criar um recurso".

No campo de busca, vamos procurar pelo serviço do Azure de rede virtual em inglês, ou seja, "virtual network". Com isso, o portal vai nos trazer o serviço que buscamos.

Basta clicar em "Virtual network" e apertar o botão "Criar". Agora, devemos fornecer os dados básicos para a rede.

Em detalhes do projeto, vamos manter a assinatura sugerida e escolher o grupo de recursos curso_alura, com o qual já trabalhávamos anteriormente.

Em detalhes da instância, vamos batizar essa rede de rede-criada-pelo-portal e vamos manter a região East US. Em seguida, clicamos em "Avançar: Endereços IP".

Com isso, encontramos o espaço de endereço de IPv4 que já foi criado. Nesse caso, se chama 10.1.0.0/16. Apesar desse endereço ser muito importante, vamos aprender sobre ele somente nos próximos vídeos.

Novamente vamos clicar em "Avançar: Segurança", onde mantemos as mesmas informações de segurança estabelecidas e clicamos em "Avançar: Marcas".

Não vamos fazer nenhuma modificação novamente. Basta clicar em "Avançar: Revisar + criar" e, finalmente, clicar no botão "Criar".

Dessa forma, o Azure começa a criar uma nova rede virtual.

Implantação bem-sucedida

Êxito ao implantar 'Microsoft.VirtualNetwork- 20230524212218' nos grupo de recursos 'curso_alura'.

Azure CLI

Outra forma de criar uma rede virtual é através de linha de comando ou Azure CLI.

O Azure CLI é uma ferramenta de linha de comando multiplataforma para se conectar ao Azure e executar comandos administrativos dos recursos do Azure.

Todos os comandos da Azure CLI começam com az. Para poder colocar esses comandos no Azure, devemos abrir um terminal de linha de comando e o portal nos fornece isso de forma fácil.

Basta clicar no ícone "Cloud Shell" ao lado do campo de pesquisar recursos na barra de menu superior.

Em seguida, o terminal se abre dentro do próprio portal e podemos aumentar seu tamanho com o botão "Maximizar" no canto direito.

No canto esquerdo, vamos encontrar o tipo do terminal. Vamos trocar de "Power Shell" para "Bash" e confirmar a alteração.

O Bash é o terminal do Linux e é onde vamos colocar o comando do Azure CLI para criar uma rede virtual.

Para isso, digitamos o comando az network vnet create, mas também precisamos fornecer os dados para a rede, como o nome, grupo de recursos e prefixo de endereçamento.

Por isso, colocamos --name e o chamamos de rede-criada-por-cli. Depois, colocamos --resource-group para definir o grupo de recurso curso_alura. No final, escrevemos --address-prefix para definir o prefixo de endereçamento como 10.0.0.0/16.

az network vnet create --name rede-criada-por-cli --resource-group curso_alura --address-prefix 10.0.0.0/16

Após teclar o "Enter", o Azure vai criar uma rede virtual por linha de comando.

Azure Power Shell

Existe ainda outra forma de criação por script através do Power Shell. Por isso, vamos trocar de "Bash" para "Power Shell" no canto superior esquerdo do terminal e confirmar a alteração.

Agora, vamos colocar o comando Power Shell para criação de uma rede virtual. Vamos copiar um script já montado anteriormente e colar no terminal:

$vnet = @{
    Name = 'rede-criada-por-comando-powershell'
    ResourceGroupName = 'curso_alura'
    Location = 'eastus'
    AddressPrefix = '10.0.0.0/16'
}

Ao colar esse comando, temos todos os parâmetros para a criação da rede. Temos a variável $vnet, passando o nome da nova rede, nome do grupo de recursos, a região e também o prefixo de endereçamento.

No final, temos o comando New-AzVirtualNetwork, passando a variável @vnet.

$virtualNetwork = New-AzVirtualNetwork @vnet

Podemos teclar "Enter" para fazer a criação através do PowerShell.

Conclusão

Para concluir, temos várias formas de criação de uma rede virtual e também de outros recursos pelo Azure.

A primeira é através da VM, pois uma rede virtual pode ser criada junto com a VM. Porém, se você não precisa de uma VM extra, essa pode não ser a melhor opção.

Também podemos criar uma rede virtual de forma simples pelo portal da Azure. Todas as opções de configuração são fáceis de achar, como a região, espaço de endereço IP e configurações de segurança.

Além disso, temos duas formas de criação através de script: através do Azure CLI e Azure PowerShell.

Ambos são ferramentas poderosas de linha de comando, também usadas para automação de tarefas no Azure. Porém, em comparação com o portal, podem ser mais complexas para pessoas usuárias menos experientes.

Mas, se você precisa automatizar os seus scripts para criar o recurso da mesma maneira ou variar algum parâmetro, salvar os scripts para utilizar posteriormente através da linha de comando é uma forma poderosa de se trabalhar com Azure.

Assim, terminamos a criação de rede virtual no Azure. No próximo vídeo, vamos aprender a segmentar a nossa rede em redes menores e entender os benefícios dessa prática.

Azure Virtual Network (VNet) - Criando Subnets

Anteriormente, demonstramos como criar uma rede virtual no Azure, a chamada Virtual Network.

Nesse vídeo, vamos abordar a criação de sub-redes. Assim, nossa rede virtual vai ficar segmentada e os recursos do Azure poderão ser melhor organizados e administrados.

Importância de sub-redes

Aprendemos que quando sua rede virtual é criada, ela já vem com uma sub-rede padrão (default). Mas, administrar e garantir a segurança de uma única sub-rede isolada pode ser difícil. Vamos entender o porquê.

Imagine uma empresa que está começando suas operações na nuvem. No início, a nuvem dessa empresa conta com apenas uma virtual network e uma sub-rede.

Dentro dela, existe uma máquina virtual RH dedica apenas ao sistema de folha de pagamento dos Recursos Humanos da empresa.

Com o tempo, outros sistemas da área de RH também são adicionados a nuvem dentro da mesma sub-rede default. Logo, a área de tecnologia da informação começa a utilizar a nuvem e tudo dentro da mesma sub-rede.

Depois, a área de vendas também migra seus sistemas para a nuvem. A área de marketing também percebe as vantagens da nuvem e começa a instalar sistemas no Azure. No final, a área de finanças também adota o uso da nuvem.

Se a empresa não cria novas sub-redes, todos seus recursos estarão na mesma sub-rede - o que pode dificultar a aplicação de política de segurança e controle do fluxo de tráfego.

Além disso, por padrão, o Azure atribuir endereços IPs privados a recursos como máquinas virtuais com base na rede virtual e na sub-rede. Como todos seus recursos estão na sub-rede padrão, com o tempo poderão surgir endereços de IPs conflitantes.

Por isso, é preciso dividir para administrar melhor, utilizando as sub-redes. Por exemplo, poderíamos organizar os mesmos sistemas da empresa em sub-redes (subnets) para cada área, criando subnets separadas para RH, marketing, vendas, T.I. e finanças.

As sub-redes são uma forma de dividir uma rede virtual em redes menores que podem ser usadas para segmentar seus recursos, aplicar políticas de segurança e melhorar o fluxo de controle de rede.

Criação de sub-rede

Com essas vantagens, também podemos criar sub-redes na nossa instalação do Azure. Mas, por qual motivo vamos criar sub-redes?

A sub-rede padrão já está sendo usada pela máquina virtual que hospeda a nossa aplicação back-end. Agora, vamos criar uma subnet especificamente para uma nova aplicação que vai servir de front-end para o nosso sistema.

Depois disso, vamos poder criar uma máquina virtual e hospedar a aplicação que vai se comunicar com nosso back-end instalado no Azure.

Na página inicial do portal do Azure, vamos seguir alguns passos para criar uma subnet na nossa VNet que já existe no Azure. Na caixa de busca no menu superior, vamos pesquisar por "redes virtuais" e teclar "Enter".

Com isso, vamos ter listadas todas as redes virtuais instaladas. Nesse caso, só temos a curso-alura-vm-vnet e vamos clicar nela.

Na seção de configurações do menu à esquerda, vamos clicar em "Sub-redes". Assim, é exibida a nossa única sub-rede, a default.

Agora, vamos clicar no botão "+ Sub-rede" para criar uma nova sub-rede. Na janela "Adicionar sub-rede", vamos preencher os campos necessários.

Primeiro, vamos nomear essa sub-rede como front-subnet. Depois, devemos dar o intervalo de endereço de sub-rede, mas note que o Azure já atribui um intervalo sugerido, o 10.0.1.0/24.

Agora, podemos clicar no botão "Salvar" para criar a sub-rede.

Sub-rede adicionada com êxito

Sub-rede 'front-subnet' adicionada com êxito à rede virtual 'curso-alura-vm-vnet'.

Com isso, a sub-rede recém-criada vai aparecer na listagem como front-subnet.

Intervalo de endereçamento

Vamos falar sobre o intervalo de endereçamento da rede e sub-rede com o qual trabalhamos.

Rede

Nossa rede possui o intervalo de endereçamento como 10.0.0.0/16 O número 10.0.0.0/16 representa uma rede com espaço de endereço IP específico. Vamos analisar essa notação em detalhes.

Rede

Decimal:10000
IP00001010000000000000000000000000
Máscara(16)11111111111111110000000000000000

O intervalo da rede é 10.0.0.0, o qual é o endereço de IP base. O número /16 indica a máscara de rede. Isto é, a máscara contém 16 bits consecutivos definidos como 1 e 16 bits consecutivos definidos como 0.

Isso significa que os primeiros 16 bits do endereço IP são reservados para identificar a rede, enquanto os últimos 16 bits são usadas para atribuir endereços de host. Por exemplo, um host pode ser uma máquina virtual.

Uma máquina virtual qual vai ter que utilizar sempre o começo do endereçamento e o final vai variar conforme o restante dos bits com número 0.

Assim, o endereçamento dessa rede varia da faixa de 10.0.0.0 até 10.0.255.255 que é o máximo que os últimos dois bytes podem ocupar.

Sub-rede

Agora, vamos entender o intervalo de endereçamento da sub-rede, o 10.0.1.0/24, que também é chamado de endereço IP base.

Subrede

Decimal:10010
IP00001010000000000000000100000000
Máscara(16)11111111111111111111111100000000

Note que o endereço da sub-rede deve estar sempre dentro do intervalo de endereço da rede principal, e nunca fora.

O número /24 indica a máscara da sub-rede. Ou seja, os 24 bits do endereço IP (8 + 8 + 8) são usadas para identificar a sub-rede. Enquanto os últimos 8 bits podem ser usados para endereço de host.

Portanto, o intervalo de IP representado por 10.0.1.0/24 inclui todos os endereços IP que vão de 10.0.1.0 a 10.0.1.255. Ou seja, temos 256 números para serem utilizados como host. Por exemplo, para dar um número de IP privado para uma máquina virtual.

No caso do Azure, vamos ter 251 endereços livres e 5 usados como endereços reservados do Azure.

Para entender mais sobre essa notação chamada notação CIDR, existe um artigo do Yuri Matheus no blog da Alura sobre como calcular máscaras de sub-rede de forma simples.

Conclusão

Para fechar, aprendemos a importância de segmentar uma rede virtual Azure em sub-redes. Ao dividir uma rede maior em sub-redes, é possível obter maior controle sobre o tráfego de rede e implementar políticas de segurança para cada sub-rede individualmente.

Isso evitar conflitos de endereçamento, porque cada sub-rede do Azure é identificada por um intervalo de endereços IP exclusivo que não pode se sobrepor a outros intervalos de endereço na mesma rede.

Com isso, é possível implementar soluções mais escaláveis, seguras e flexíveis para sua infraestrutura de rede no Azure.

Adiante, vamos instalar uma nova aplicação de front-end na nossa nova sub-rede.

Sobre o curso Azure Cloud: segurança e recursos avançados

O curso Azure Cloud: segurança e recursos avançados possui 150 minutos de vídeos, em um total de 52 atividades. Gostou? Conheça nossos outros cursos de Azure em DevOps, ou leia nossos artigos de DevOps.

Matricule-se e comece a estudar com a gente hoje! Conheça outros tópicos abordados durante o curso:

Aprenda Azure acessando integralmente esse e outros cursos, comece hoje!

Conheça os Planos para Empresas