Exploración de Azure VPN Gateway
Para integrar el entorno local con Azure, necesita poder crear una conexión cifrada. Puede conectarse mediante Internet o mediante un vínculo dedicado. A continuación, se describirá Azure VPN Gateway, que proporciona un punto de conexión para las conexiones entrantes desde entornos locales.
Ha configurado una red virtual de Azure y debe asegurarse de cifrar las transferencias de datos desde Azure al sitio y entre las redes virtuales de Azure. También debe saber cómo conectar redes virtuales entre regiones y suscripciones.
¿Qué es una puerta de enlace de VPN?
Una puerta de enlace de red virtual de Azure proporciona un punto de conexión para las conexiones entrantes desde ubicaciones locales a Azure a través de Internet. Una puerta de enlace de VPN es un tipo específico de puerta de enlace de red virtual que puede ser un punto de conexión para conexiones cifradas. También puede enviar tráfico cifrado entre las redes virtuales de Azure a través de la red dedicada de Microsoft que vincula los centros de datos de Azure en las diferentes regiones. Esta configuración permite vincular de forma segura máquinas virtuales y servicios en regiones diferentes.
Cada red virtual solo puede tener una puerta de enlace de VPN. Todas las conexiones a esa puerta de enlace de VPN comparten el ancho de banda de red disponible.
Dentro de cada puerta de enlace de red virtual hay dos máquinas virtuales o más. Estas máquinas virtuales se han implementado en la subred especial que especifique, denominada subred de puerta de enlace. Contienen tablas de enrutamiento para las conexiones a otras redes, además de los servicios de puerta de enlace específicos. Estas máquinas virtuales y la subred de puerta de enlace son similares a un dispositivo de red protegido. No es necesario configurar las máquinas virtuales directamente, y no es necesario implementar recursos adicionales en la subred de puerta de enlace.
La creación de una puerta de enlace de red virtual puede tardar algún tiempo en completarse, por lo que es fundamental planear correctamente. Cuando se crea una puerta de enlace de red virtual, el proceso de aprovisionamiento genera las máquinas virtuales de puerta de enlace y las implementa en la subred de puerta de enlace. Estas máquinas virtuales tendrán opciones que configure en la puerta de enlace.
Una configuración clave es el tipo de puerta de enlace. El tipo de puerta de enlace determina el modo en que esta funciona. En el caso de una puerta de enlace de VPN, el tipo de puerta de enlace es "VPN". Las opciones para las puertas de enlace de VPN son las siguientes:
Conexiones de red a red mediante tunelización de VPN IPsec/IKE, que vinculan puertas de enlace de VPN con otras puertas de enlace de VPN.
La tunelización de VPN IPsec/IKE entre entornos locales, para conectar redes locales con Azure mediante dispositivos de VPN dedicados para crear conexiones de sitio a sitio.
Conexiones de sitio a través de IKEv2 o SSTP, para vincular los equipos cliente a los recursos de Azure.
Ahora, echemos un vistazo a los factores que debe tener en cuenta para a la hora de planear la puerta de enlace de VPN.
Planeamiento de una puerta de enlace de VPN
Al planear una puerta de enlace de VPN, hay tres arquitecturas que tener en cuenta:
- Punto a sitio a través de Internet
- Sitio a sitio a través de Internet
- Sitio a sitio a través de una red dedicada, como Azure ExpressRoute
Factores de planeamiento
Los factores que debe incluir durante el proceso de diseño son:
- Capacidad de proceso: Mbps o Gbps
- Red troncal: ¿Internet o privada?
- Disponibilidad de una dirección IP pública (estática)
- Compatibilidad de dispositivos de VPN
- ¿Varias conexiones de cliente o un vínculo de sitio a sitio?
- Tipo de puerta de enlace de VPN
- SKU de puerta de enlace de VPN
En la tabla siguiente se resumen algunos de estos problemas de planeamiento. Los problemas restantes se describen más adelante.
| Punto a sitio | Sitio a sitio | ExpressRoute | |
|---|---|---|---|
| Servicios de Azure admitidos | Servicios en la nube y máquinas virtuales | Servicios en la nube y máquinas virtuales | Todos los servicios admitidos |
| Ancho de banda típico | Depende de la SKU de VPN Gateway. | Depende de la SKU de VPN Gateway. | Vea Opciones de ancho de banda de ExpressRoute. |
| Protocolos admitidos | IPsec y SSTP | IPsec | Conexión directa, VLAN |
| Enrutamiento | RouteBased (dinámico) | PolicyBased (estático) y RouteBased | BGP |
| Resistencia de la conexión | Activo-pasivo | Activo-pasivo o activo-activo | Activo-activo |
| Caso de uso | Pruebas y prototipos | Desarrollo, pruebas y producción a pequeña escala | Empresa/crítico para la misión |
SKU de puerta de enlace
Es importante que elija la SKU adecuada. Si configura la puerta de enlace de VPN incorrecta, tendrá que darla de baja y volver a generarla, lo que puede llevar mucho tiempo. Para obtener la información más reciente sobre las SKU de puerta de enlace, incluido el rendimiento, vea ¿Qué es VPN Gateway? - SKU de puerta de enlace.
Flujo de trabajo
Al diseñar una estrategia de conectividad en la nube con una red privada virtual en Azure, debe aplicar el flujo de trabajo siguiente:
Diseñe la topología de conectividad y enumere los espacios de direcciones de todas las redes conectadas.
Cree una red virtual de Azure.
Cree una puerta de enlace de VPN para la red virtual.
Cree y configure conexiones a las redes locales o a otras redes virtuales, según sea necesario.
Si fuera necesario, cree y configure una conexión de punto a sitio para su puerta de enlace de VPN de Azure.
Consideraciones de diseño
Al diseñar las puertas de enlace de VPN para conectar redes virtuales, debe tener en cuenta los siguientes factores:
Las subredes no se pueden superponer
Es fundamental que una subred de una ubicación no contenga el mismo espacio de direcciones que la de otra ubicación.
Las direcciones IP deben ser únicas.
No puede tener dos hosts con la misma dirección IP en ubicaciones distintas, porque será imposible enrutar el tráfico entre esos dos hosts y se producirá un error en la conexión entre redes.
Las puertas de enlace de VPN necesitan una subred de puerta de enlace denominada GatewaySubnet.
Debe tener este nombre para que la puerta de enlace funcione, y no debe contener ningún otro recurso.
Creación de una red virtual de Azure
Antes de crear una puerta de enlace de VPN, deberá crear la red virtual de Azure.
Creación de una puerta de enlace de VPN
El tipo de puerta de enlace de VPN que cree dependerá de su arquitectura. Las opciones son:
RouteBased
Los dispositivos VPN basados en rutas usan selectores de tráfico universales (caracteres comodín) y permiten a las tablas de reenvío/enrutamiento dirigir el tráfico a distintos túneles IPsec. Normalmente, las conexiones basadas en rutas se crean sobre plataformas de enrutador, donde cada túnel IPsec se modela como una interfaz de red o una interfaz de túnel virtual (VTI).
PolicyBased
Los dispositivos VPN basados en directivas usan las combinaciones de prefijos de ambas redes para definir la forma en la que se cifra o descifra el tráfico mediante túneles IPsec. Normalmente, una conexión basada en directivas se crea sobre dispositivos de firewall que realizan el filtrado de paquetes. El cifrado y descifrado de túneles IPsec se agregan al motor de procesamiento y al filtrado de paquetes.
Configuración de una puerta de enlace de VPN
Los pasos que deberá dar dependerán del tipo de puerta de enlace de VPN que va a instalar. Por ejemplo, para crear una puerta de enlace de VPN de punto a sitio mediante Azure Portal, realizaría estos pasos:
Cree una red virtual.
Agregue una subred de puerta de enlace.
Especifique un servidor DNS (opcional).
Cree una puerta de enlace de red virtual.
Genere certificados.
Incorpore el grupo de direcciones del cliente.
Configure el tipo de túnel.
Configure el tipo de autenticación.
Cargue la información del certificado de datos público del certificado raíz.
Instale un certificado de cliente exportado.
Genere e instale el paquete de configuración de cliente de VPN.
Conéctese a Azure.
Como hay varias rutas de configuración con puertas de enlace de VPN de Azure, cada una con varias opciones, no es posible tratar cada configuración en este curso. Para más información, vea la sección Recursos adicionales.
Configuración de la puerta de enlace
Una vez creada la puerta de enlace, tendrá que configurarla. Hay varias opciones de configuración, en las que deberá proporcionar el nombre, la ubicación, el servidor DNS, etc. Las exploraremos con más detalle en el ejercicio.
Las puertas de enlace de VPN de Azure son un componente de las redes virtuales de Azure que permiten conexiones de punto a sitio, de sitio a sitio o entre redes. Las puertas de enlace de VPN de Azure permiten a los equipos cliente individuales conectarse a los recursos de Azure, extender las redes locales a Azure o facilitar las conexiones entre las redes virtuales en diferentes regiones y suscripciones.