Redes híbridas cloud + on‑prem: onde VPN, peering e DNS costumam falhar

Integrar on‑premises com nuvem parece um exercício de “abrir firewall e apontar rota”. Na prática, a maior parte dos incidentes vem de pressupostos errados sobre caminho de retorno, MTU, DNS privado e zonas que se sobrepõem entre ambientes.

Problemas que vimos em campo

Assimetria de rota: o pacote sai pela VPN e volta pela internet pública (ou vice‑versa), causando timeouts intermitentes que ferramentas de aplicação atribuem erroneamente a “lentidão do microserviço”. CIDR sobreposto entre VPC/VNet e rede corporativa exige NAT complexo ou redesenho — adiado até virar bloqueador de projeto.

DNS híbrido: aplicações em Kubernetes resolvem nomes via CoreDNS enquanto mainframes ou ERPs esperam sufixos internos; sem encaminhamento consistente, “funciona do meu laptop” e falha do pod. ExpressRoute/Direct Connect com BGP mal anunciado derruba redundância percebida como ativa‑ativa.

Como desenhar melhor

Diagrama de fluxos com origem/destino explícitos, testes de conectividade bidirecionais documentados, e decisão consciente entre hub‑and‑spoke, mesh ou rede única estendida. Segurança (segmentação, least privilege em security groups) deve nascer junto da topologia, não como retrabalho.