Projetar e Implementar Soluções de Rede no Azure - AZ-700

Introdução

Se você está querendo se aventurar no mundo das redes em nuvem, a certificação AZ-700 é o passaporte para provar que domina como projetar e implementar soluções de rede dentro do Microsoft Azure.

Depois de concluir o curso [*AZ-700

Projetar e Implementar Soluções de Rede do Azure* do Higor Barbosa](https://www.udemy.com/course/az-700-vnet/), compilei aqui os principais aprendizados e boas práticas que realmente fazem diferença, tanto para quem administra ambientes corporativos quanto para quem busca aprofundar o domínio técnico em Azure Networking.

1. Planejamento de Endereçamento IP

Tudo começa com as redes.
Planeje suas VNets e subnets com cuidado: o Azure reserva sempre cinco endereços por subnet (do primeiro ao quarto e o último).

(Insira aqui um diagrama com o layout de sub-redes / VNets — imagem do Microsoft Learn)

2. Resolução de Nomes (DNS Público e Privado)

• Azure DNS: gerencia domínios públicos com redundância global e desempenho via anycast.
• Azure Private DNS: resolve nomes internamente entre VNets privadas, integrando automaticamente registros das VMs.
• Private DNS Resolver: resolve consultas entre ambientes on-premises e Azure sem precisar expor tráfego para a internet.

(Sugestão de imagem: fluxograma Private DNS + DNS Resolver)

3. Conectividade e Roteamento de VNets

1. VNet Peering – comunicação direta, rápida e segura.
2. VPN Gateway – conecta VNets entre regiões ou com ambiente local.
3. UDR (User Defined Routes) – define rotas personalizadas entre sub-redes.

Topologia Hub-and-Spoke
Organize o ambiente para que o hub concentre segurança e conectividade. As spokes hospedam workloads isolados, conectados via peering ou WAN Virtual.

4. Saída Segura para Internet (NAT Gateway)

Quando suas VMs precisam de saída de internet com IP fixo, use o Azure NAT Gateway.
Ele evita exaustão de portas SNAT e garante previsibilidade em cenários de egress controlado.

5. Monitoramento e Diagnóstico

Monitorar é tão importante quanto configurar.

Network Watcher oferece:

• Connection Monitor
• IP Flow Verify
• Packet Capture
• NSG Flow Logs

Combine com Azure Monitor e Log Analytics para construir uma visão completa da rede, detectar gargalos e ativar alertas automáticos.

6. VPN Site-to-Site e Ponto-a-Site

Site-to-Site (S2S):

• Ideal para conectar datacenters e VNets.
• Use gateways route-based e, quando possível, configuração ativa-ativa com BGP.

Ponto-a-Site (P2S):

• Conexões individuais de dispositivos.
• Suporte a SSTP, IKEv2 e OpenVPN.
• Pode autenticar via certificados, RADIUS ou Entra ID (AAD).

Essas opções permitem criar conectividade híbrida estável e segura entre diferentes ambientes.

7. ExpressRoute e WAN Virtual

Quando o assunto é conectividade privada e de alta performance:

• ExpressRoute conecta seu ambiente local diretamente ao backbone do Azure.
• Azure Virtual WAN centraliza e automatiza o roteamento global, integrando S2S, P2S, ER e VNets.

Use ExpressRoute Direct quando precisa de conexões dedicadas em alta velocidade (10 Gbps ou 100 Gbps).

8. Balanceadores de Carga e Entrega de Aplicações

Camada 4 → Azure Load Balancer
Camada 7 → Application Gateway (AppGW)
Gerenciamento Global → Traffic Manager e Azure Front Door

Cada serviço tem seu lugar:

• LB: ideal para backend interno.
• AppGW: faz roteamento baseado em URL e HTTPS com WAF embutido.
• Front Door: CDN global + balanceamento inteligente entre regiões.
• Traffic Manager: DNS-based routing (latência, prioridade, geográfico).

(Insira aqui uma tabela comparando os 4 balanceadores — ótimo resumo visual para o blog)

9. Acesso Privado a Serviços PaaS

Duas opções dominam:

1. Service Endpoints: protegem o acesso a serviços PaaS via backbone, mas mantêm o recurso com IP público.
2. Private Endpoints: criam uma interface privada na sua VNet, isolando o tráfego totalmente.

Hoje, o padrão corporativo é sempre Private Endpoint — mais seguro, mais fácil de auditar e compatível com políticas de compliance.

10. Segurança de Rede no Azure

Os blocos de segurança que mais fazem diferença no dia a dia:

Serviço	Função
NSG (Network Security Group)	Controle de tráfego em sub-redes e NICs
ASG (Application Security Group)	Agrupamento lógico de VMs por aplicação
Azure Firewall	Inspeção e regras centralizadas
Firewall Manager	Políticas e governança em larga escala
WAF (Web Application Firewall)	Proteção camada 7 contra ataques Web
DDoS Protection	Mitigação automática de ataques volumétricos

11. Conclusão

A AZ-700 vai muito além de uma certificação: é um mergulho profundo na espinha dorsal da nuvem Microsoft.

Entender endereçamento, conectividade, segurança e entrega de aplicações te coloca em outro nível — não só tecnicamente, mas na forma de pensar infraestrutura como código, resiliência e escalabilidade de rede.

---

Referências oficiais

• Microsoft Learn — AZ-700: Design and Implement Azure Network Solutions
• Microsoft Docs — Virtual Network Overview
• Azure Architecture Center — Hub-and-Spoke Network Topology
• Azure Network Watcher Overview
• Azure Private Link Documentation

Baseado no curso de Higor Barbosa na Udemy (2025).