Exploración de Azure ExpressRoute
Como su empresa se ocupa de datos confidenciales y tiene gran cantidad de información para almacenar en Azure, hay algunas cuestiones sobre la seguridad y confiabilidad de las conexiones mediante la red Internet pública. La empresa no está dispuesta a realizar una migración masiva a Azure a menos que se puedan demostrar los máximos niveles de conectividad, seguridad y confiabilidad.
En este caso, iremos más allá de las conexiones que se ejecutan mediante Internet a las líneas dedicadas que van directamente a los centros de datos de Azure.
Azure ExpressRoute
Microsoft Azure ExpressRoute permite a las organizaciones ampliar sus redes locales a Microsoft Cloud a través de una conexión privada implementada por un proveedor de conectividad. Esta distribución implica que la conectividad con los centros de datos de Azure no pasa mediante Internet, sino mediante un vínculo dedicado. ExpressRoute también facilita conexiones eficientes con otros servicios de Microsoft basados en la nube, como Microsoft 365 y Dynamics 365.
Las ventajas de ExpressRoute son, entre otras:
Velocidades más rápidas, de 50 Mbps a 10 Gbps, con escalado dinámico del ancho de banda.
Menor latencia
Mayor confiabilidad gracias al emparejamiento integrado
Alta seguridad
ExpressRoute proporciona más ventajas, como, por ejemplo:
Conectividad con todos los servicios de Azure admitidos.
Conectividad global con todas las regiones (requiere un complemento premium).
Enrutamiento dinámico mediante el Protocolo de puerta de enlace de borde
Acuerdos de Nivel de Servicio (SLA) para el tiempo de conexión
Calidad de servicio (QoS) para Skype Empresarial
Está, además, el complemento ExpressRoute Premium, que ofrece ventajas como mayor límite de enrutamiento, conectividad con servicios globales y más vínculos de red virtual por circuito.
Modelos de conectividad de ExpressRoute
Las conexiones hacia ExpressRoute se pueden realizar con los mecanismos siguientes:
Red IP VPN (conexión universal)
Conexión cruzada virtual mediante un intercambio Ethernet
Conexión Ethernet de punto a punto
Las características y funcionalidades de ExpressRoute son todas idénticas en todos los modelos de conectividad anteriores.
¿Qué es la conectividad de capa 3?
Microsoft usa un protocolo de enrutamiento dinámico (BGP) estándar del sector para intercambiar rutas entre la red local, las instancias de Azure y las direcciones públicas de Microsoft. Establecemos varias sesiones de BGP con la red para los diferentes perfiles de tráfico.
Redes de conectividad universal (IPVPN)
Los proveedores de IPVPN suelen proporcionar conectividad entre las sucursales y su centro de datos corporativos mediante conexiones de capa 3 administradas. Con ExpressRoute, los centros de datos de Azure aparecen como si fueran otra sucursal.
Conexión cruzada virtual mediante un intercambio Ethernet
Si su organización coexiste con un mecanismo de intercambio en la nube, las conexiones cruzadas a Microsoft Cloud se solicitan mediante un intercambio Ethernet de su proveedor. Estas conexiones cruzadas a Microsoft Cloud pueden funcionar en conexiones administradas de capa 2 o capa 3, como en el modelo de redes OSI.
Conexión Ethernet de punto a punto
Los vínculos Ethernet de punto a punto pueden proporcionar conexiones administradas de capa 2 o capa 3 entre los centros de datos locales o desde las oficinas a Microsoft Cloud.
Cómo funciona ExpressRoute
Azure ExpressRoute usa una combinación de circuitos ExpressRoute y dominios de enrutamiento para proporcionar conectividad de gran ancho de banda a Microsoft Cloud.
Qué son los circuitos ExpressRoute
Un circuito ExpressRoute es la conexión lógica entre la infraestructura local y Microsoft Cloud. Un proveedor de conectividad implementa esa conexión, aunque algunas organizaciones usan varios proveedores de conectividad por motivos de redundancia. Cada circuito tiene un ancho de banda fijo de 50, 100, 200 o 500 Mbps, o 1 o 10 Gbps, y cada uno de los circuitos se asigna a un proveedor de conectividad y a una ubicación de emparejamiento. Cada circuito ExpressRoute tiene límites y cuotas predeterminados.
Un circuito ExpressRoute no es equivalente a una conexión de red ni a un dispositivo de red. Cada circuito se define mediante un GUID, llamado servicio o clave s-key. La clave s-key proporciona el vínculo de conexión entre su organización, Microsoft y el proveedor de conectividad; no es una clave criptográfica. Cada clave s-key tiene una asignación de uno a uno a un circuito ExpressRoute de Azure.
Cada circuito puede tener hasta dos emparejamientos, que son un par de sesiones BGP configuradas para redundancia. Son las siguientes:
- Emparejamiento privado de Azure
- Microsoft
Dominios de enrutamiento
Después, los circuitos ExpressRoute se asignan a dominios de enrutamiento y cada circuito ExpressRoute tiene varios dominios de enrutamiento. Estos dominios son iguales que los dos emparejamientos mencionados anteriormente. En una configuración de activo a activo, cada par de enrutadores tendría los dominios de enrutamiento configurados de forma idéntica, lo que proporciona alta disponibilidad. Los nombres de los emparejamientos de Azure representan los esquemas de direcciones IP.
Emparejamiento privado de Azure
El emparejamiento privado de Azure se conecta con servicios de proceso de Azure, tales como máquinas virtuales y servicios en la nube, que se implementan con una red virtual. En cuanto a la seguridad, el dominio de emparejamiento privado es simplemente una extensión de la red local a Azure. Después, se habilita la conectividad bidireccional entre esa red y las redes virtuales de Azure, lo que hace que las direcciones IP de la máquina virtual de Azure sean visible dentro de la red interna.
Solo se puede conectar una única red virtual al dominio de emparejamiento privado.
Emparejamiento de Microsoft
El emparejamiento de Microsoft admite conexiones a las ofertas de SaaS basadas en la nube, como Microsoft 365 y Dynamics 365. Esta opción de emparejamiento proporciona conectividad bidireccional entre la WAN de la empresa y los servicios en la nube de Microsoft.
Estado de ExpressRoute
Como sucede con la mayoría de las características de Microsoft Azure, puede supervisar las conexiones ExpressRoute para asegurarse de que funcionan correctamente. La supervisión incluye la cobertura de las áreas siguientes:
- Disponibilidad
- Conectividad a redes virtuales
- Uso del ancho de banda
La herramienta principal para esta actividad de supervisión es Network Performance Monitor, especialmente para ExpressRoute.
Azure ExpressRoute se utiliza para crear conexiones privadas entre los centros de datos de Azure y la infraestructura de su entorno local o en un entorno de ubicación compartida. Las conexiones ExpressRoute no utilizan la red de Internet pública y ofrecen más confiabilidad, velocidad, seguridad y una menor latencia que las conexiones a Internet habituales.