Esta arquitectura tipo hub-and-spoke proporciona una solución alternativa a las arquitecturas de referencia de topología de red en estrella tipo hub-and-spoke en Azure e implementación de una red híbrida segura.
El centro es una red virtual en Azure que actúa como punto central de conectividad para la red local. Los radios son redes virtuales que se emparejan con el centro y se pueden usar para aislar las cargas de trabajo. El tráfico fluye entre los centros de datos locales y el centro de conectividad a través de una conexión a ExpressRoute o a VPN Gateway. El diferenciador principal de este enfoque es el uso de Azure Virtual WAN (VWAN) para reemplazar los centros de conectividad como un servicio administrado.
Esta arquitectura incluye las ventajas de la topología de red en estrella tipo hub-and-spoke estándar y presenta nuevas ventajas:
Menor sobrecarga operativa al reemplazar los centros de conectividad existentes por un servicio VWAN totalmente administrado.
Ahorro de costos mediante el uso de un servicio administrado y la eliminación de la necesidad de una aplicación virtual de red.
Mejora de la seguridad mediante la introducción de centros protegidos administrados centralmente con Azure Firewall y VWAN para minimizar los riesgos de seguridad relacionados con una configuración incorrecta.
Separación de intereses entre la TI central (SecOps e InfraOps) y las cargas de trabajo (DevOps).
Posibles casos de uso
Los usos habituales de esta arquitectura incluyen casos en los que:
La conectividad entre cargas de trabajo requiere control centralizado y acceso a los servicios compartidos.
Una empresa requiere control centralizado sobre aspectos de seguridad, como un firewall, así como la administración segregada de las cargas de trabajo en cada radio.
Architecture
Descargue un archivo Visio de esta arquitectura.
La arquitectura consta de lo siguiente:
Red local. Una red de área local privada (LAN) que se ejecuta dentro de una organización.
Dispositivo VPN. Un dispositivo o servicio que proporciona conectividad externa a la red local.
Puerta de enlace de red virtual de VPN o puerta de enlace de ExpressRoute. La puerta de enlace de red virtual permite que la red virtual se conecte al dispositivo VPN o al circuito de ExpressRoute que se usa para la conectividad con la red local.
Centro de conectividad de Virtual WAN. Virtual WAN se utiliza como el centro de conectividad en la topología de red en estrella tipo hub-and-spoke. El centro es el punto central de conectividad a la red local y un lugar para hospedar los servicios que se pueden usar en las diferentes cargas de trabajo hospedadas en las redes virtuales de los radios.
Centro virtual protegido. Un centro de conectividad de Virtual WAN con directivas de enrutamiento y seguridad asociadas configuradas por Azure Firewall Manager. Un centro virtual protegido incluye un enrutamiento integrado, por lo que no es necesario configurar rutas definidas por el usuario.
Subred de puerta de enlace. Las puertas de enlace de red virtual se conservan en la misma subred.
Redes virtuales de radio. Una o varias redes virtuales que se usan como radios en la topología en estrella tipo hub-and-spoke. Los radios pueden utilizarse para aislar las cargas de trabajo en sus propias redes virtuales, que se administran por separado desde otros radios. Cada carga de trabajo puede incluir varios niveles, con varias subredes que se conectan a través de equilibradores de carga de Azure.
Emparejamiento de red virtual. Se pueden conectar dos redes virtuales mediante una conexión de emparejamiento VNet. Las conexiones de emparejamiento son conexiones no transitivas de baja latencia entre las redes virtuales. Una vez establecido el emparejamiento, las redes virtuales intercambian el tráfico mediante la red troncal de Azure, sin necesidad de enrutador. En una topología de red en estrella tipo hub-and-spoke, el emparejamiento de red virtual se usa para conectar el centro a cada radio. Azure Virtual WAN permite la transitividad entre centros de conectividad, lo que no es posible únicamente mediante el emparejamiento.
Componentes
- Azure Virtual Network
- Azure Virtual WAN
- Azure VPN Gateway
- Información técnica de ExpressRoute
- Azure Firewall
Alternativas
Una arquitectura tipo hub-and-spoke se puede lograr de dos maneras: una infraestructura de centro de conectividad administrada por el cliente o una infraestructura de centro de conectividad administrada por Microsoft. En cualquier caso, los radios se conectan al centro de conectividad mediante el emparejamiento de red virtual.
Ventajas
Descargue un archivo Visio de esta arquitectura.
En este diagrama se muestran algunas de las ventajas que puede proporcionar esta arquitectura:
- Centro de conectividad en malla completo entre redes virtuales de Azure
- Conectividad de rama a Azure
- Conectividad de rama a rama
- Uso mixto de VPN y ExpressRoute
- Uso mixto de VPN de usuario en el sitio
- Conectividad de VNet a VNet
Recomendaciones
Las siguientes recomendaciones aplican para la mayoría de los escenarios. Sígalas a menos que tenga un requisito concreto que las invalide.
Grupos de recursos
El centro de conectividad y cada radio se pueden implementar en distintos grupos de recursos e, incluso mejor, en distintas suscripciones. Cuando se emparejan redes virtuales en distintas suscripciones, las suscripciones pueden estar asociadas al mismo inquilino de Microsoft Entra o a uno diferente. Esto permite realizar una administración descentralizada de cada carga de trabajo, mientras se comparten los servicios que se mantienen en el centro.
Red WAN virtual
Cree una red Virtual WAN estándar si tiene un requisito para cualquiera de los siguientes aspectos:
Escalado para mayores rendimientos
Conectividad privada (requiere un circuito prémium en ubicación Global Reach)
Interconexión de VPN de ExpressRoute
Supervisión integrada con Azure Monitor (Metrics y Resource Health)
Las redes Virtual WAN estándar están conectadas de manera predeterminada en una malla completa. La red Virtual WAN estándar admite la conectividad universal (VPN de sitio a sitio, VNet, ExpressRoute, puntos de conexión de punto a sitio) en un solo centro de conectividad o en varios de ellos. La red Virtual WAN básica admite la conectividad VPN de sitio a sitio, la conectividad de rama a rama y la conectividad de rama a red virtual en un solo centro de conectividad.
Centro de Virtual WAN
Un concentrador virtual es una red virtual administrada por Microsoft. El concentrador contiene varios puntos de conexión de servicio para habilitar la conectividad. El concentrador es el núcleo de la red en una región. Puede haber varios centros de conectividad por región de Azure. Para más información, consulte Preguntas frecuentes de Virtual WAN.
Cuando se crea un centro de conectividad mediante Azure Portal, se crea una red virtual del centro virtual y una instancia de VPN Gateway de centro virtual. Un centro de conectividad de Virtual WAN requiere un intervalo de direcciones mínimo de /24. Este espacio de direcciones IP se usará para reservar una subred para la puerta de enlace y otros componentes.
Centro virtual protegido
Un centro virtual se puede crear como un centro virtual protegido o convertirse en uno seguro en cualquier momento después de la creación. Para obtener más información, consulte Protección de un centro virtual mediante Azure Firewall Manager.
GatewaySubnet
Para más información sobre cómo configurar la puerta de enlace, consulte Red híbrida mediante una instancia de VPN Gateway.
Para una mayor disponibilidad, puede utilizar ExpressRoute y una VPN para la conmutación por error. Vea Conexión de una red local a Azure mediante ExpressRoute con conmutación por error de VPN.
No se puede usar una topología de red en estrella tipo hub-and-spoke sin puerta de enlace, aunque no se necesite conectividad con la red local.
Emparejamiento de redes virtuales de Azure
El emparejamiento de red virtual es una relación no transitiva entre dos redes virtuales. De todos modos, Azure Virtual WAN permite que los radios se conecten entre sí sin tener un emparejamiento dedicado entre ellos.
Sin embargo, si tiene varios radios que necesitan conectarse entre sí, se quedará sin posibles conexiones de emparejamiento muy rápido debido a la limitación del número de emparejamientos de red virtual por red virtual. (Para obtener más información, vea Límites de redes.) En este escenario, Azure VWAN resolverá este problema con su funcionalidad integrada. Para obtener más información, vea Arquitectura de red de tránsito global y Virtual WAN.
También puede configurar los radios para que usen la puerta de enlace del centro para comunicarse con las redes remotas. Para permitir que el tráfico de la puerta de enlace fluya del radio al concentrador y para conectarse a las redes remotas, debe:
Configurar la conexión de emparejamiento en el centro para permitir el tránsito de la puerta de enlace.
Configurar la conexión de emparejamiento en cada radio para usar las puertas de enlace remotas.
Configurar todas las conexiones de emparejamiento para permitir el tráfico reenviado.
Para más información, consulte Elección entre el emparejamiento de red virtual y las instancias de VPN Gateway.
Extensiones del centro de conectividad
Para admitir servicios compartidos en toda la red, como recursos DNS, NVA personalizados, Azure Bastion y otros, implemente cada servicio siguiendo el patrón de extensión del centro virtual. Después de este modelo, puede crear y operar extensiones de responsabilidad única para exponer individualmente estos servicios compartidos críticos para la empresa que, de lo contrario, no se pueden implementar directamente en un centro virtual.
Consideraciones
Operaciones
Azure VWAN es un servicio administrado proporcionado por Microsoft. Desde el punto de vista de la tecnología, no es completamente diferente de una infraestructura de centro de conectividad administrada por el cliente. Azure Virtual WAN simplifica la arquitectura de red general al ofrecer una topología de red de malla con conectividad de red transitiva entre radios. La supervisión de Azure VWAN se puede lograr mediante Azure Monitor. La configuración de sitio a sitio y la conectividad entre redes locales y Azure se pueden automatizar completamente.
Confiabilidad
Azure Virtual WAN controla el enrutamiento, lo que ayuda a optimizar la latencia de red entre radios, así como a garantizar la predictibilidad de la latencia. Azure Virtual WAN también proporciona conectividad confiable entre diferentes regiones de Azure para las cargas de trabajo que abarcan varias regiones. Con esta configuración, el flujo de un extremo a otro dentro de Azure se hace más visible.
Rendimiento
Con la ayuda de Azure Virtual WAN, se puede lograr una menor latencia entre radios y entre regiones. Azure Virtual WAN permite escalar verticalmente hasta 20 Gbps de rendimiento agregado.
Escalabilidad
Azure Virtual WAN proporciona una conectividad de malla completa entre radios al conservar la capacidad de restringir el tráfico en función de las necesidades. Con esta arquitectura es posible tener un rendimiento de sitio a sitio a gran escala. Además, puede crear una arquitectura de red de tránsito global al habilitar la conectividad universal entre conjuntos distribuidos globalmente de cargas de trabajo en la nube.
Seguridad
Los centros de conectividad de Azure VWAN se pueden convertir en centros de conectividad seguros aprovechando Azure Firewall. Las rutas definidas por el usuario (UDR) todavía se pueden aprovechar de la misma manera para lograr el aislamiento de red. Azure VWAN permite el cifrado del tráfico entre las redes locales y las redes virtuales de Azure a través de ExpressRoute.
Azure DDoS Protection, combinado con los procedimientos recomendados de diseño de aplicaciones, proporciona características mejoradas de mitigación de DDoS para ofrecer una mejor defensa frente a los ataques DDoS. Debe habilitar Azure DDOS Protection en cualquier red virtual perimetral.
Conectividad de radio y servicios compartidos
La conectividad entre radios ya se logra mediante Azure Virtual WAN. Sin embargo, el uso de UDR en el tráfico de radio es útil para aislar las redes virtuales. Cualquier servicio compartido también se puede hospedar en la misma red Virtual WAN que un radio.
Emparejamiento de red virtual: conexión de centro de conectividad
El emparejamiento de red virtual es una relación no transitiva entre dos redes virtuales. Mientras usa Azure Virtual WAN, Microsoft administra el emparejamiento de red virtual. Cada conexión agregada a un centro de conectividad también configurará el emparejamiento de red virtual. Con la ayuda de Virtual WAN, todos los radios tendrán una relación transitiva.
Optimización de costos
Use la página de precios de Azure Virtual WAN para comprender y calcular la solución más rentable para la topología de red. Los precios de Azure Virtual WAN implican varios factores clave de coste:
- Horas de implementación: cargos por la implementación y el uso de concentradores de Virtual WAN.
- Unidad de escalado: tarifas basadas en la capacidad de ancho de banda (Mbps/Gbps) para escalar VPN (S2S, P2S) y puertas de enlace de ExpressRoute.
- Unidad de conexión: costes por cada conexión a VPN, ExpressRoute o usuarios remotos.
- Unidad de datos procesados: cargos por GB para los datos procesados a través del concentrador.
- Unidad de infraestructura de enrutamiento: costes por las funcionalidades de enrutamiento en el concentrador.
- Azure Firewall con centro virtual protegido: recomendado y agrega un coste adicional por unidad de implementación y unidad de datos procesados.
- Transferencia de datos de concentrador a concentrador: costes por transferir datos entre concentradores sujetos a cargos interregionales (intra/intercontinentales), como se detalla en Precios de ancho de banda de Azure.
Para conocer los precios alineados con escenarios comunes de red, consulte Acerca de los precios de Virtual WAN.
Colaboradores
Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.
Autor principal:
- Yunus Emre Alpozen | Arquitecto de programas de cargas de trabajo cruzadas
Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.
Pasos siguientes
Más información: