A construção de um ambiente híbrido moderno envolve muito mais do que sincronização de identidade, servidores e segurança. O coração de tudo é a rede. Sem uma conectividade híbrida estável, segura e com rotas bem planejadas, nenhum ambiente Windows Server — ou plataforma corporativa — funciona como deveria.

Neste artigo, vamos explorar em profundidade como implementar e operar redes híbridas no Azure usando VPN Site-to-Site, ExpressRoute, BGP, UDR, gateways e recursos nativos. Um guia prático e avançado, ideal para profissionais que administram ambientes Windows Server e para quem está se preparando para o AZ-800 e AZ-801.

1. O que é uma Rede Híbrida?

Uma rede híbrida conecta o ambiente local (datacenter ou empresa) ao Azure, permitindo:

• Extensão de sub-redes para a nuvem

• Replicação de Active Directory

• Acesso seguro a VMs, bancos e serviços PaaS

• Sincronização de identidade

• Gerenciamento de servidores via Arc

• Backup, monitoramento e automações híbridas

  
  

Ela é composta por três pilares:

1. Conectividade (VPN ou ExpressRoute)

2. Roteamento (System Routes, UDR, BGP)

3. Segurança (firewalls, NSG, ASG)

Uma rede híbrida mal planejada resulta em:

• Latência

• Intermitências e quedas

• Replicações falhando

• Perda de desempenho

• Erros de autenticação, especialmente com AD

  
  

2. VPN Site-to-Site (S2S) — A Base da Conectividade Híbrida

A VPN S2S é o método mais comum para conectar um ambiente local ao Azure. Ela usa IPsec/IKEv2 para criar túneis criptografados através da Internet.

2.1 Como funciona (fluxo detalhado)

1. O firewall/roteador on-prem inicia um túnel IPsec IKEv2.

2. O túnel conecta na interface pública do Azure VPN Gateway.

3. O tráfego viaja pela Internet, mas fica protegido por cifragem forte.

4. O Azure distribui o tráfego para a VNet e suas sub-redes.

Compatível com:Fortigate, Palo Alto, Cisco ASA, SonicWall, Mikrotik, Sophos, pfSense, entre outros.

2.2 Modelos de Gateway VPN no Azure (SKUs e desempenho)

2.3 Route-based vs Policy-based

Route-based (Recomendado)

• Suporta múltiplas redes e múltiplos túneis

• Suporta BGP

• Essencial para ambientes complexos

• Menos suscetível a erros de política

  
  

Policy-based (Não recomendado)

• Limitado

• Só funciona com 1 túnel

• Não suporta BGP

• Apenas para cenários legados

  
  

2.4 Quando usar VPN?

• Primeira fase de ambiente híbrido

• Ambientes pequenos e médios

• Varejo com muitas filiais (ex.: lojas)

• Backup de conexão ExpressRoute

• Conectividade temporária

  
  

3. ExpressRoute — Conectividade Privada e Profissional

O ExpressRoute é a forma mais avançada e estável de conectar ambientes corporativos ao Azure.

Diferente da VPN, o ExpressRoute não usa a Internet.

Ele funciona através de circuitos privados Layer 3 entre o cliente, o provedor e o Azure.

Ideal para:

• Baixa latência

• Altíssima disponibilidade

• Cargas críticas

• Sincronização massiva

• Bancos, ERPs, varejo, indústria 4.0

  
  

3.1 Modelos de ExpressRoute

1. ExpressRoute via Provedor Parceiro (mais comum no Brasil)

Você contrata um provedor autorizado que já possui conexão com a Microsoft.

Principais provedores no Brasil:

• Equinix

• Lumen (CenturyLink)

• Claro/Embratel

• Algar

• UOL Diveo

• TI Sparkle

  
  

2. ExpressRoute Direct

Conexão direta de 10 Gbps ou 100 Gbps à Microsoft.

Indicado para:

• Bancos

• Telecom

• Streaming

• Grandes varejistas

• Ambientes com replicação pesada

  
  

3.2 Como contratar o ExpressRoute (Passo a Passo real)

Aqui está o fluxo exato, do zero até entrar em operação:

Passo 1 — Escolher o provedor

Você inicia pedindo orçamento para um provedor autorizado.

Eles pedirão:

• Localização da empresa

• Capacidade desejada (50 Mbps a 10 Gbps)

• SLA

• Redundância

• Cross-connects

• Termo mínimo de contrato

  
  

Passo 2 — Contratar o circuito

O provedor entrega:

• Link MPLS ou WAN privada

• Porta física (1G, 10G, 100G)

• Rota até o POP do Azure

• Cross-connects

• SLA

  
  

Passo 3 — Criar o ExpressRoute Circuit no Azure

No portal → Criar → “ExpressRoute”

Você irá definir:

• Provedor

• Local (Peering Location)

• Velocidade (ex.: 500Mbps / 1Gbps)

• SKU (Standard, Premium ou Local)

Depois disso, o Azure gera:

🔑 Service Key (S-Key)

Esse código é enviado ao provedor para que ele habilite o circuito.

Passo 4 — Provedor ativa o circuito

O status evolui de:

• Not Provisioned → Provisioning → Provisioned

  
  

Passo 5 — Configurar Peerings

Existem dois peerings importantes:

Private Peering

• Conecta o datacenter às VNets

• Usa BGP

• Base da comunicação híbrida

  
  

Microsoft Peering

• Conecta à Microsoft 365

• Conecta a PaaS (Storage, SQL, etc.)⚠️ Só deve ser habilitado após análise, pois pode ser mal interpretado e gerar custos desnecessários.

  
  

Passo 6 — Criar o ExpressRoute Gateway em sua VNet

A VNet precisa de um gateway especial:

• Tipo: ExpressRoute

• SKUs: ErGw1 / ErGw2 / ErGw3 / ErGw5

Esse gateway recebe as rotas do ExpressRoute via BGP.

💸 3.3 Quanto custa o ExpressRoute?

O custo é composto de 3 partes:

1. Azure

   • Circuito mensal

   • Premium Add-on (se necessário)

   • Egress (saída do Azure)

2. Provedor

   • Circuito MPLS / WAN

   • Cross-connect

   • Porta física (1G/10G)

3. Infra local

   • Firewalls com BGP

   • Switches

   • Redundâncias

Faixa real no Brasil:Um circuito de 1 Gbps costuma ficar entre R$ 15.000 a R$ 40.000 / mês, dependendo da arquitetura e região.

4. Roteamento no Azure (Avançado)

O Azure usa três níveis de roteamento:

1. System Routes — rotas padrão definidas pelo Azure

2. User Defined Routes (UDR) — rotas personalizadas

3. BGP Routes — rotas dinâmicas via ExpressRoute ou VPN

4.1 Quando usar UDR?

• Forçar tráfego para firewall (Azure Firewall ou Fortigate NVA)

• Controlar comunicação leste-oeste

• Restringir saída para Internet

• Criar cenários hub-and-spoke

• Direcionar tráfego para appliances específicos

  
  

🔁 5. BGP — A espinha dorsal do híbrido

O BGP é responsável por:

• Aprender rotas automaticamente

• Failover dinâmico

• Multi-site

• Multi-homed

• Multipath

• ExpressRoute + VPN simultâneos

  
  

Detalhes que caem no AZ-800/801:

• ASN do cliente (ex.: 65010)

• ASN do Azure (12076)

• Prefixos aceitos (mínimo /29)

• Tabelas de rota

• Preferência de caminho

Exemplo de tabela BGP real:

Network          NextHop        AS Path
10.5.0.0/16      192.168.1.1    65010 12076
10.20.0.0/16     192.168.1.1    65010 12076

6. Firewalls em Ambientes Híbridos

Ambientes híbridos normalmente utilizam:

• Azure Firewall

• Fortigate (NVA no Azure)

• Palo Alto

• Cisco ASAv

• Check Point Cloudguard

Com eles você:

• Inspeciona tráfego

• Cria regras leste-oeste

• Segmenta VNets

• Implementa zero trust network

• Aplica TLS inspection

• Integra logs no Sentinel

  
  

7. Arquiteturas Reais de Mercado

🔹 Cenário 1 — VPN como primário + ExpressRoute como redundante

Muito utilizado em varejo e empresas distribuídas.

🔹 Cenário 2 — Hub-and-Spoke com firewall central

Padrão corporativo moderno.

🔹 Cenário 3 — Dual ExpressRoute com provedores diferentes

Para empresas que não podem parar.

8. Troubleshooting Avançado

Ferramentas essenciais:

• Network Watcher

• Connection Monitor

• Packet Capture

• Topology Viewer

• NSG Flow Logs

• Azure Diagnostics

  
  

9. Conclusão

Construir uma rede híbrida sólida é mais do que ligar um túnel VPN. Exige planejamento, roteamento, redundância, segurança e conhecimento profundo sobre como o Azure interage com ambientes Windows Server.

Ao dominar VPN, ExpressRoute, BGP e UDR, você cria uma arquitetura capaz de suportar:

• Replicações críticas

• Servidores híbridos

• Ambientes modernos

• Integrações corporativas

• Alta disponibilidade

  
  

E é exatamente esse tipo de conhecimento que a Microsoft cobra nas certificações AZ-800 e AZ-801, e que as empresas esperam de um especialista em infraestrutura híbrida.