Conectar una red local con una red virtual de Microsoft Azure
Una red virtual de Azure entre locales está conectada en su red local, ampliando su red para incluir subredes y máquinas virtuales hospedadas en servicios de infraestructura de Azure. Esta conexión permite a los equipos de la red local acceder directamente a las máquinas virtuales de Azure y viceversa.
Por ejemplo, un servidor de sincronización de directorios que se ejecuta en una máquina virtual de Azure debe consultar los controladores de dominio locales para ver si hay cambios en las cuentas y sincronizar esos cambios con la suscripción de Microsoft 365. En este artículo se muestra cómo configurar una red virtual de Azure entre locales mediante una conexión de red privada virtual (VPN) de sitio a sitio que está lista para hospedar máquinas virtuales de Azure.
Configuración de una red virtual de Azure entre locales
Las máquinas virtuales de Azure no tienen que aislarse del entorno local. Para conectar máquinas virtuales de Azure en sus recursos de red locales, debe configurar una red virtual de Azure entre locales. En el diagrama siguiente se muestran los componentes necesarios para implementar una red virtual de Azure entre locales con una máquina virtual en Azure.
En el diagrama, hay dos redes conectadas por una conexión VPN de sitio a sitio: la red local y la red virtual de Azure. La conexión VPN de sitio a sitio es:
- Se realiza entre dos puntos de conexión direccionables que se encuentran en Internet de acceso público.
- Se termina con un dispositivo VPN en la red local y una Azure VPN Gateway en la red virtual de Azure.
La red virtual de Azure hospeda máquinas virtuales. El tráfico de red que se origina en máquinas virtuales de la red virtual de Azure se reenvía a la puerta de enlace de VPN, que, a continuación, reenvía el tráfico a través de la conexión VPN de sitio a sitio al dispositivo VPN de la red local. A continuación, la infraestructura de enrutamiento de la red local reenvía el tráfico a su destino.
Nota:
También puede usar ExpressRoute, que es una conexión directa entre su organización y la red de Microsoft. El tráfico a través de ExpressRoute no viaja a través de la red pública de Internet. En este artículo no se describe el uso de ExpressRoute.
Para configurar la conexión VPN entre la red virtual de Azure y su red local, siga estos pasos:
- Local: Defina y cree una ruta de red local para el espacio de direcciones de la red virtual de Azure que señale a su dispositivo de VPN local.
- Microsoft Azure: cree una red virtual de Azure con una conexión VPN de sitio a sitio.
- Local: configure el dispositivo VPN de hardware o software local para finalizar la conexión VPN, que usa el Protocolo de seguridad de Internet (IPsec).
Después de establecer la conexión VPN de sitio a sitio, agregue máquinas virtuales de Azure a las subredes de la red virtual.
Planear la red virtual de Azure
Requisitos previos
- Una suscripción de Azure. Para obtener información sobre las suscripciones de Azure, vaya a la página Cómo comprar Azure.
- Un espacio de direcciones IPv4 privadas que está disponible y que se puede asignar a la red virtual y sus subredes, con suficiente espacio para albergar el incremento en el número de máquinas virtuales necesarias ahora y en el futuro.
- Un dispositivo VPN disponible en la red local para finalizar la conexión VPN de sitio a sitio que admite los requisitos para IPsec. Para obtener más información, consulte Acerca de los dispositivos VPN para conexiones de red virtual de sitio a sitio.
- Cambios en la infraestructura de enrutamiento de modo que el tráfico enrutado al espacio de direcciones de la red virtual de Azure se reenvía al dispositivo VPN que hospeda a la conexión VPN de sitio a sitio.
- Un proxy web que da acceso a Internet a los equipos que están conectados a la red local y la red virtual de Azure.
Suposiciones de diseño de la arquitectura de la solución
En la siguiente lista se representan las elecciones de diseño que se han tomado para la arquitectura de esta solución.
- Esta solución usa una única red virtual de Azure con una conexión VPN de sitio a sitio. La red virtual de Azure hospeda una sola subred que puede contener varias máquinas virtuales.
- Puede usar el servicio de enrutamiento y acceso remoto (RRAS) en Windows Server 2016 o Windows Server 2012 para establecer una conexión VPN de sitio a sitio IPsec entre la red local y la red virtual de Azure. También puede usar otras opciones, como dispositivos VPN de Cisco o Juniper Networks.
- La red local podría seguir teniendo servicios de red como Servicios de dominio de Active Directory (AD DS), sistema de nombres de dominio (DNS) y servidores proxy. Según los requisitos, podría resultar conveniente colocar algunos de estos recursos de red en la red virtual de Azure.
Para una red virtual de Azure existente con una o varias subredes, determine si hay espacio de direcciones restante para que una subred adicional hospede las máquinas virtuales necesarias, en función de sus requisitos. Si no tiene espacio de direcciones restante para una subred adicional, cree una red virtual adicional que tenga su propia conexión VPN de sitio a sitio.
Planear los cambios de infraestructura de enrutamiento de la red virtual de Azure
Debe configurar la infraestructura de enrutamiento local para reenviar tráfico destinado para el espacio de direcciones de la red virtual de Azure al dispositivo VPN local que está hospedando la conexión VPN de sitio a sitio.
El método exacto de actualizar su infraestructura de enrutamiento depende de cómo administra la información de enrutamiento, que puede ser:
- Actualizaciones de tabla de enrutamiento basadas en configuración manual.
- Actualizaciones de tabla de enrutamiento basadas en protocolos de enrutamiento, como Protocolo de información de enrutamiento (RIP) o Abrir ruta de acceso más corta primero (OSPF).
Consulte con su especialista en enrutamiento para asegurarse de que el tráfico destinado a la red virtual de Azure se reenvía al dispositivo de VPN local.
Planear para reglas de firewall para tráfico desde el dispositivo VPN local y hacia el dispositivo
Si el dispositivo VPN está en una red perimetral que tiene un firewall entre la red perimetral e Internet, es posible que deba configurar el firewall para las siguientes reglas a fin de permitir la conexión de VPN de sitio a sitio.
Tráfico al dispositivo VPN (entrante desde Internet):
- Dirección IP de destino del dispositivo VPN y protocolo IP 50
- Dirección IP de destino del dispositivo VPN y puerto de destino UDP 500
- Dirección IP de destino del dispositivo VPN y puerto de destino UDP 4500
Tráfico desde el dispositivo VPN (saliente a Internet):
- Dirección IP de origen del dispositivo VPN y protocolo IP 50
- Dirección IP de origen del dispositivo VPN y puerto de origen UDP 500
- Dirección IP de origen del dispositivo VPN y puerto de origen UDP 4500
Planear el espacio de direcciones IP privadas de la red virtual de Azure
El espacio de direcciones IP privadas de la red virtual de Azure debe poder albergar las direcciones utilizadas por Azure para hospedar a la red virtual con al menos una subred que tenga suficientes direcciones para sus máquinas virtuales de Azure.
Para determinar el número de direcciones necesarias para la subred, cuente el número de máquinas virtuales que necesita ahora, estime el crecimiento futuro y luego use la siguiente tabla para determinar el tamaño de la subred.
Número de máquinas virtuales necesarias | Número de bits de host necesarios | Tamaño de la subred |
---|---|---|
1-3 |
3 |
/29 |
4-11 |
4 |
/28 |
12-27 |
5 |
/27 |
28-59 |
6 |
/26 |
60-123 |
7 |
/25 |
Planear la hoja de cálculo para configurar la red virtual de Azure
Antes de crear una red virtual de Azure para hospedar las máquinas virtuales, debe determinar la configuración necesaria en las tablas siguientes.
Para la configuración de la red virtual, rellene la Tabla V.
Tabla V: Configuración de la red virtual entre locales
Elemento | Elemento Configuration | Descripción | Valor |
---|---|---|---|
1. |
Nombre de la red virtual |
Nombre que se va a asignar a la red virtual de Azure (por ejemplo, DirSyncNet). |
|
2. |
Ubicación de la red virtual |
Centro de datos de Azure que contendrá la red virtual (por ejemplo, Oeste de EE. UU.). |
|
3. |
Dirección IP del dispositivo VPN |
Dirección IPv4 pública de la interfaz del dispositivo VPN en Internet. Colabore con su departamento de TI para determinar esta dirección. |
|
4. |
Espacio de direcciones de la red virtual |
Espacio de direcciones (definido en un único prefijo de dirección privada) para la red virtual. Colabore con su departamento de TI para determinar este espacio de direcciones. El espacio de direcciones debe estar en formato de Enrutamiento de interdominios sin clases (CIDR), también conocido como formato de prefijo de red. Por ejemplo, 10.24.64.0/20. |
|
5. |
Clave compartida IPsec |
Cadena alfanumérica aleatoria de 32 caracteres que se usará para autenticar ambos lados de la conexión VPN de sitio a sitio. Colabore con su departamento de TI o de seguridad para determinar el valor de esta clave y después almacénelo en una ubicación segura. También puede ver Crear una cadena aleatoria para una clave precompartida IPsec. |
|
Rellene la Tabla S para las subredes de esta solución.
Para la primera subred, determine un espacio de direcciones de 28 bits (con una longitud de prefijo /28) para la subred de puerta de enlace de Azure. Consulte Cálculo del espacio de direcciones de subred de puerta de enlace para redes virtuales de Azure para obtener información sobre cómo determinar este espacio de direcciones.
Para la segunda subred, especifique un nombre descriptivo, un único espacio de direcciones IP basado en el espacio de direcciones de la red virtual y una finalidad descriptiva.
Colabore con su departamento de TI para determinar estos espacios de direcciones a partir del espacio de direcciones de la red virtual. Ambos espacios de direcciones deben estar en formato CIDR.
Tabla S: Subredes de la red virtual
Elemento | Nombre de la subred | Espacio de direcciones de la subred | Finalidad |
---|---|---|---|
1. |
GatewaySubnet |
|
Subred usada por la puerta de enlace de Azure. |
2. |
|
|
|
Para los servidores DNS locales que desea que sean usados por las máquinas virtuales de la red virtual, rellene la Tabla D. Asígnele a cada servidor DNS un nombre descriptivo y una única dirección IP. No hace falta que este nombre descriptivo coincida con el nombre de host o con el nombre de equipo del servidor DNS. Observe que aparecen dos entradas en blanco, pero puede agregar más. Colabore con su departamento de TI para determinar esta lista.
Tabla D: Servidores DNS locales
Elemento | Nombre descriptivo del servidor DNS | Dirección IP del servidor DNS |
---|---|---|
1. |
|
|
2. |
|
|
Para enrutar paquetes desde la red virtual de Azure a la red de su organización a través de la conexión VPN de sitio a sitio, debe configurar la red virtual con una red local. Esta red local tiene una lista de los espacios de direcciones (en formato CIDR) para todas las ubicaciones de la red local de la organización a las que deben acceder las máquinas virtuales de la red virtual. Pueden ser todas las ubicaciones de la red local o bien un subconjunto. La lista de espacios de direcciones que definen la red local debe ser única y no debe solaparse con los espacios de direcciones que se usan para esta red virtual o con sus otras redes virtuales entre locales.
Para el conjunto de espacios de direcciones de la red local, rellene la Tabla L. Fíjese en que aparecen tres entradas en blanco, pero lo normal es que necesite más. Colabore con su departamento de TI para determinar esta lista.
Tabla L: Prefijos de direcciones para la red local
Elemento | Espacio de direcciones de la red local |
---|---|
1. |
|
2. |
|
3. |
|
Guía de implementación
La creación de la red virtual entre locales y la adición de máquinas virtuales en Azure consta de tres fases:
- Fase 1: Prepare la red local.
- Fase 2: Cree la red virtual entre locales en Azure.
- Fase 3 (opcional): Agregue máquinas virtuales.
Fase 1: Prepare la red local.
Debe configurar su red local con una ruta que señale al tráfico destinado al espacio de direcciones de la red virtual, y que en última instancia proporcione ese tráfico al enrutador en el perímetro de la red local. Consulte con su administrador de red para determinar cómo agregar la ruta a la infraestructura de enrutamiento de su red local.
Este es el resultado de la configuración.
Fase 2: Cree la red virtual entre locales en Azure.
En primer lugar, abra un símbolo del sistema de Azure PowerShell. Si no ha instalado Azure PowerShell, consulte Introducción a Azure PowerShell.
A continuación, inicie sesión en su cuenta de Azure con este comando.
Connect-AzAccount
Obtenga su nombre de suscripción mediante el comando siguiente.
Get-AzSubscription | Sort SubscriptionName | Select SubscriptionName
Establezca su suscripción de Azure con estos comandos. Reemplace todo entre comillas, incluidos los < caracteres y > , por el nombre de suscripción correcto.
$subscrName="<subscription name>"
Select-AzSubscription -SubscriptionName $subscrName
Después, cree un nuevo grupo de recursos para su red virtual. Para determinar un nombre único de grupo de recursos, use este comando a fin de enumerar los grupos de recursos existentes.
Get-AzResourceGroup | Sort ResourceGroupName | Select ResourceGroupName
Cree el nuevo grupo de recursos con estos comandos.
$rgName="<resource group name>"
$locName="<Table V - Item 2 - Value column>"
New-AzResourceGroup -Name $rgName -Location $locName
A continuación, cree la red virtual de Azure.
# Fill in the variables from previous values and from Tables V, S, and D
$rgName="<name of your new resource group>"
$locName="<Azure location of your new resource group>"
$vnetName="<Table V - Item 1 - Value column>"
$vnetAddrPrefix="<Table V - Item 4 - Value column>"
$gwSubnetPrefix="<Table S - Item 1 - Subnet address space column>"
$SubnetName="<Table S - Item 2 - Subnet name column>"
$SubnetPrefix="<Table S - Item 2 - Subnet address space column>"
$dnsServers=@( "<Table D - Item 1 - DNS server IP address column>", "<Table D - Item 2 - DNS server IP address column>" )
$locShortName=(Get-AzResourceGroup -Name $rgName).Location
# Create the Azure virtual network and a network security group that allows incoming remote desktop connections to the subnet that is hosting virtual machines
$gatewaySubnet=New-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix $gwSubnetPrefix
$vmSubnet=New-AzVirtualNetworkSubnetConfig -Name $SubnetName -AddressPrefix $SubnetPrefix
New-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName -Location $locName -AddressPrefix $vnetAddrPrefix -Subnet $gatewaySubnet,$vmSubnet -DNSServer $dnsServers
$rule1=New-AzNetworkSecurityRuleConfig -Name "RDPTraffic" -Description "Allow RDP to all VMs on the subnet" -Access Allow -Protocol Tcp -Direction Inbound -Priority 100 -SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 3389
New-AzNetworkSecurityGroup -Name $SubnetName -ResourceGroupName $rgName -Location $locShortName -SecurityRules $rule1
$vnet=Get-AzVirtualNetwork -ResourceGroupName $rgName -Name $vnetName
$nsg=Get-AzNetworkSecurityGroup -Name $SubnetName -ResourceGroupName $rgName
Set-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $SubnetName -AddressPrefix $SubnetPrefix -NetworkSecurityGroup $nsg
$vnet | Set-AzVirtualNetwork
Esta es la configuración resultante.
Después, use estos comandos para crear las puertas de enlace para la conexión VPN de sitio a sitio.
# Fill in the variables from previous values and from Tables V and L
$vnetName="<Table V - Item 1 - Value column>"
$localGatewayIP="<Table V - Item 3 - Value column>"
$localNetworkPrefix=@( <comma-separated, double-quote enclosed list of the local network address prefixes from Table L, example: "10.1.0.0/24", "10.2.0.0/24"> )
$vnetConnectionKey="<Table V - Item 5 - Value column>"
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
# Attach a virtual network gateway to a public IP address and the gateway subnet
$publicGatewayVipName="PublicIPAddress"
$vnetGatewayIpConfigName="PublicIPConfig"
New-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName -Location $locName -AllocationMethod Dynamic
$publicGatewayVip=Get-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName
$vnetGatewayIpConfig=New-AzVirtualNetworkGatewayIpConfig -Name $vnetGatewayIpConfigName -PublicIpAddressId $publicGatewayVip.Id -SubnetId $vnet.Subnets[0].Id
# Create the Azure gateway
$vnetGatewayName="AzureGateway"
$vnetGateway=New-AzVirtualNetworkGateway -Name $vnetGatewayName -ResourceGroupName $rgName -Location $locName -GatewayType Vpn -VpnType RouteBased -IpConfigurations $vnetGatewayIpConfig
# Create the gateway for the local network
$localGatewayName="LocalNetGateway"
$localGateway=New-AzLocalNetworkGateway -Name $localGatewayName -ResourceGroupName $rgName -Location $locName -GatewayIpAddress $localGatewayIP -AddressPrefix $localNetworkPrefix
# Create the Azure virtual network VPN connection
$vnetConnectionName="S2SConnection"
$vnetConnection=New-AzVirtualNetworkGatewayConnection -Name $vnetConnectionName -ResourceGroupName $rgName -Location $locName -ConnectionType IPsec -SharedKey $vnetConnectionKey -VirtualNetworkGateway1 $vnetGateway -LocalNetworkGateway2 $localGateway
Esta es la configuración resultante.
Después, configure el dispositivo VPN local para que se conecte a Azure VPN Gateway. Para obtener más información, consulte Acerca de los dispositivos VPN para conexiones de sitio a sitio de Azure Virtual Network.
Para configurar el dispositivo VPN, necesita lo siguiente:
- La dirección IPv4 pública de la puerta de enlace de VPN para la red virtual. Use el comando Get-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName para mostrar esta dirección.
- La clave precompartida IPsec para la conexión VPN de sitio a sitio (Tabla V, elemento 5, columna Valor).
Esta es la configuración resultante.
Fase 3 (opcional): Agregar máquinas virtuales
Cree las máquinas virtuales que necesite en Azure. Para obtener más información, consulte Creación de una máquina virtual Windows con el Azure Portal.
Use la configuración siguiente:
- En la pestaña Aspectos básicos , seleccione la misma suscripción y grupo de recursos que la red virtual. Los necesitará posteriormente para iniciar sesión en la máquina virtual. En la sección Detalles de la instancia , elija el tamaño de máquina virtual adecuado. Registre el nombre de usuario y la contraseña de la cuenta de administrador en una ubicación segura.
- En la pestaña Redes , seleccione el nombre de la red virtual y la subred para hospedar máquinas virtuales (no GatewaySubnet). Deje todas las demás opciones con sus valores predeterminados.
Compruebe que la máquina virtual usa DNS correctamente comprobando el DNS interno para asegurarse de que se agregaron registros de dirección (A) para la nueva máquina virtual. Para acceder a Internet, las máquinas virtuales de Azure deben configurarse para usar el servidor proxy de la red local. Póngase en contacto con el administrador de red para conocer los pasos de configuración adicionales que se deben realizar en el servidor.
Este es el resultado de la configuración.
Paso siguiente
Implementación de la sincronización de directorios de Microsoft 365 en Microsoft Azure