Conexión de redes locales a Azure mediante instancias de VPN Gateway de sitio a sitio
Una red privada virtual (VPN) es un tipo de red privada interconectada. Las redes privadas virtuales usan un túnel cifrado en otra red. Normalmente, se implementan para conectar entre sí dos o más redes privadas de confianza a través de una red que no es de confianza (normalmente, la red pública de Internet). El tráfico se cifra mientras viaja por la red que no es de confianza para evitar ataques de interceptación o de otro tipo.
Para el proveedor de asistencia sanitaria de nuestro escenario, las redes privadas virtuales permiten que los profesionales de la salud compartan información confidencial entre distintos centros médicos. Por ejemplo, supongamos que un paciente necesita cirugía en un centro médico especializado. El equipo de cirujanos debe poder ver los detalles del historial médico del paciente. Estos datos médicos se almacenan en un sistema de Azure. Si se usa una red privada virtual para conectar el centro médico a Azure, el equipo de cirujanos podrá acceder de forma segura a esta información.
Instancias de Azure VPN Gateway
Una instancia de VPN Gateway es un tipo de puerta de enlace de red virtual. Las instancias de VPN Gateway se implementan en redes virtuales de Azure y habilitan la conectividad siguiente:
- Conectar los centros de datos locales a redes virtuales de Azure a través de una conexión de sitio a sitio.
- Conectar los dispositivos individuales a redes virtuales de Azure a través de una conexión de punto a sitio.
- Conectar las redes virtuales de Azure a otras redes virtuales de Azure a través de una conexión entre redes.
Todos los datos transferidos se cifran en un túnel privado mientras atraviesa Internet. Solo se puede implementar una instancia de VPN Gateway en cada red virtual, pero se puede usar una puerta de enlace para conectarse a varias ubicaciones, incluidas otras redes virtuales de Azure o centros de datos locales.
Al implementar una instancia de VPN Gateway, especifique el tipo de red privada virtual, es decir, basada en directivas o basada en rutas. La principal diferencia entre estos dos tipos de VPN es la forma en que se especifica el tráfico cifrado.
Redes privadas virtuales basadas en directivas
Las instancias de VPN Gateway basadas en directivas especifican de forma estática la dirección IP de los paquetes que se deben cifrar a través de cada túnel. Este tipo de dispositivo evalúa cada paquete de datos en función de los conjuntos de direcciones IP para elegir el túnel a través del cual se va a enviar el paquete. Las puertas de enlace de VPN basadas en directivas están limitadas en las características y conexiones que se pueden admitir. Entre las características clave de las instancias de VPN Gateway basadas en directivas en Azure se incluyen:
- Compatibilidad solo con IKEv1.
- Uso del enrutamiento estático, en el que las combinaciones de prefijos de dirección de ambas redes controlan cómo se cifra y descifra el tráfico a través del túnel VPN. El origen y destino de las redes de túnel se declaran en la directiva y no necesitan declararse en las tablas de enrutamiento.
- Las redes privadas virtuales basadas en directivas se deben usar en escenarios específicos que las necesiten, por ejemplo, para ofrecer compatibilidad con dispositivos de red privada virtual locales heredados.
Redes privadas virtuales basadas en rutas
Si la definición de las direcciones IP que están detrás de cada túnel es demasiado compleja para su situación. O bien, necesita características y conexiones que las puertas de enlace basadas en directivas no admiten. Se deben usar puertas de enlace basadas en rutas. Con las puertas de enlace basadas en rutas, los túneles IPSec se modelan como interfaz de red o VTI (interfaz de túnel virtual). El enrutamiento IP (rutas estáticas o protocolos de enrutamiento dinámico) determina a través de cuál de las interfaces de túnel se envía cada paquete. Las VPN basadas en rutas son el método de conexión preferido para los dispositivos locales, ya que son más resistentes a los cambios en la topología, como la creación de subredes. Si necesita alguno de los siguientes tipos de conectividad, use una instancia de VPN Gateway basada en rutas:
- Conexiones entre redes virtuales
- Conexiones de punto a sitio
- Conexiones de varios sitios
- Coexistencia con una puerta de enlace de Azure ExpressRoute
Entre las características clave de las instancias de VPN Gateway basadas en rutas en Azure se incluyen:
- Compatibilidad con IKEv2.
- Uso de selectores de tráfico universales (comodín).
- Se pueden usar los protocolos de enrutamiento dinámico, donde las tablas de reenvío y enrutamiento dirigen el tráfico a distintos túneles IPsec. En este caso, las redes de origen y destino no se definen de forma estática, ya que se encuentran en VPN basadas en directivas o incluso en VPN basadas en rutas con un enrutamiento estático. En su lugar, los paquetes de datos se cifran en función de las tablas de enrutamiento de red que se crean de forma dinámica mediante protocolos de enrutamiento como BGP (Protocolo de puerta de enlace de borde).
Ambos tipos de puertas de enlace de VPN (las basadas en rutas y las basadas en directivas) usan una clave previamente compartida como único método de autenticación. Ambos tipos también se basan en el intercambio de claves por red (IKE) en las versiones 1 o 2 y en el protocolo de seguridad de Internet (IPsec). El IKE se usa para establecer una asociación de seguridad (un contrato del cifrado) entre dos puntos de conexión. Esta asociación, después, se pasa al conjunto de IPsec, que cifra y descifra los paquetes de datos encapsulados en el túnel VPN.
Tamaños de las instancias de VPN Gateway
La SKU o el tamaño que implemente determinan las funcionalidades de la puerta de enlace de VPN. En esta tabla se muestra un ejemplo de algunas de las SKU de puerta de enlace. Los números de esta tabla están sujetos a cambios en cualquier momento. Para obtener la información más reciente, consulte SKU de puerta de enlace en la documentación de Azure VPN Gateway. La SKU básica de puerta de enlace solo debe usarse en cargas de trabajo de desarrollo/pruebas. Además, la SKU básica no se puede migrar más adelante a las SKU VpnGw#/Az sin tener que quitar la puerta de enlace y volver a implementarla.
VPN Puerta de enlace Generación |
SKU | Túneles de S2S/VNet a VNet |
P2S P2S SSTP |
P2S P2S IKEv2/OpenVPN |
Agregado de rendimiento agregado |
BGP | Con redundancia de zona | Número de máquinas virtuales admitidas en la red virtual |
---|---|---|---|---|---|---|---|---|
Generación 1 | Basic | Máx. 10 | Máx. 128 | No compatible | 100 Mbps | No compatible | No | 200 |
Generación 1 | VpnGw1 | Máx. 30 | Máx. 128 | Máx. 250 | 650 Mbps | Compatible | No | 450 |
Generación 1 | VpnGw2 | Máx. 30 | Máx. 128 | Máx. 500 | 1 Gbps | Compatible | No | 1300 |
Generación 1 | VpnGw3 | Máx. 30 | Máx. 128 | Máx. 1000 | 1,25 Gbps | Compatible | No | 4000 |
Generación 1 | VpnGw1AZ | Máx. 30 | Máx. 128 | Máx. 250 | 650 Mbps | Compatible | Sí | 1 000 |
Generación 1 | VpnGw2AZ | Máx. 30 | Máx. 128 | Máx. 500 | 1 Gbps | Compatible | Sí | 2000 |
Generación 1 | VpnGw3AZ | Máx. 30 | Máx. 128 | Máx. 1000 | 1,25 Gbps | Compatible | Sí | 5000 |
Generación 2 | VpnGw2 | Máx. 30 | Máx. 128 | Máx. 500 | 1,25 Gbps | Compatible | No | 685 |
Generación 2 | VpnGw3 | Máx. 30 | Máx. 128 | Máx. 1000 | 2,5 Gbps | Compatible | No | 2240 |
Generación 2 | VpnGw4 | Máx. 100* | Máx. 128 | Máx. 5000 | 5 Gbps | Compatible | No | 5300 |
Generación 2 | VpnGw5 | Máx. 100* | Máx. 128 | Máx. 10000 | 10 Gbps | Compatible | No | 6700 |
Generación 2 | VpnGw2AZ | Máx. 30 | Máx. 128 | Máx. 500 | 1,25 Gbps | Compatible | Sí | 2000 |
Generación 2 | VpnGw3AZ | Máx. 30 | Máx. 128 | Máx. 1000 | 2,5 Gbps | Compatible | Sí | 3300 |
Generación 2 | VpnGw4AZ | Máx. 100* | Máx. 128 | Máx. 5000 | 5 Gbps | Compatible | Sí | 4400 |
Generación 2 | VpnGw5AZ | Máx. 100* | Máx. 128 | Máx. 10000 | 10 Gbps | Compatible | Sí | 9000 |
Implementación de instancias de VPN Gateway
Para poder implementar una puerta de enlace VPN, se necesitan algunos recursos de Azure y locales.
Recursos de Azure necesarios
Estos recursos de Azure son necesarios para implementar una puerta de enlace de VPN operativa:
- Red virtual. Implemente una red virtual de Azure con suficiente espacio de direcciones para la subred adicional que necesita para la puerta de enlace de VPN. El espacio de direcciones de esta red virtual no se debe superponer a la red local a la que se va a conectar. Recuerde que solo se puede implementar una única instancia de VPN Gateway en una red virtual.
- GatewaySubnet. Implemente una subred llamada
GatewaySubnet
para la instancia de VPN Gateway. Use al menos una máscara de dirección /27 con el fin de asegurarse de que proporciona suficientes direcciones IP en la subred para un crecimiento futuro. Esta subred no se puede usar para otros servicios. - Dirección IP pública. Cree una dirección IP pública dinámica de SKU básico si usa una puerta de enlace que no tenga en cuenta la zona horaria. Esta dirección proporciona una dirección IP pública enrutable como destino para el dispositivo VPN local. Aunque esta dirección IP es dinámica, no cambia, a menos que elimine la puerta de enlace de VPN y vuelva a crearla.
- Puerta de enlace de red local. Cree una puerta de enlace de red local para definir la configuración de la red local. En concreto, dónde se conecta la puerta de enlace de VPN y a qué se conecta. Esta configuración incluye la dirección IPv4 pública del dispositivo VPN local y las redes de enrutamiento locales. Esta información la usa la instancia de VPN Gateway con el fin de enrutar paquetes destinados para las redes locales a través del túnel IPSec.
- Puerta de enlace de red virtual. Cree la puerta de enlace de red virtual para enrutar el tráfico entre la red virtual y el centro de datos local u otras redes virtuales. La puerta de enlace de red virtual puede configurarse como una puerta de enlace de VPN o de ExpressRoute, pero en este módulo solo se trata el tipo de puerta de enlace de red virtual de VPN.
- Conexión. Cree un recurso de conexión para crear una conexión lógica entre la instancia de VPN Gateway y la puerta de enlace de red local. Se pueden crear varias conexiones a la misma puerta de enlace.
- La conexión se realiza a las direcciones IPv4 del dispositivo VPN local, tal como define la puerta de enlace de red local.
- La conexión se realiza desde la puerta de enlace de red virtual y la dirección IP pública asociada.
En el diagrama siguiente se muestra esta combinación de recursos y sus relaciones para que le resulte más fácil entender los requisitos necesarios para implementar una instancia de VPN Gateway:
Recursos locales necesarios
Para conectar un centro de datos a una puerta de enlace de VPN, necesita estos recursos locales:
- Un dispositivo VPN que admita instancias de VPN Gateway basadas en directivas o en rutas.
- Una dirección IPv4 de acceso público (enrutable por Internet).
Escenarios de alta disponibilidad
Hay varias opciones para asegurarse de que se tiene una configuración de tolerancia a errores.
Configuración de activo-en espera
De forma predeterminada, las instancias de VPN Gateway se implementan como dos instancias en una configuración de activo-en espera, incluso si solo ve un recurso de VPN Gateway en Azure. Cuando el mantenimiento planeado o la interrupción imprevista afectan a la instancia activa, la instancia en espera asume de forma automática la responsabilidad de las conexiones sin ninguna intervención del usuario. Durante esta conmutación por error, las conexiones se interrumpen, pero por lo general se restauran en cuestión de segundos si se trata del mantenimiento planeado y en un plazo de 90 segundos en el caso de las interrupciones imprevistas.
Activo/activo
Al incorporar compatibilidad con el protocolo de enrutamiento de BGP, también puede implementar puertas de enlace VPN en una configuración del tipo activo/activo. En esta configuración, se asigna una IP pública única a cada instancia. Después, se crean túneles independientes desde el dispositivo local a cada dirección IP. Se puede ampliar la alta disponibilidad mediante la implementación de más dispositivos VPN locales.
Conmutación por error de ExpressRoute
Otra opción de alta disponibilidad consiste en configurar una instancia de VPN Gateway como una ruta segura de conmutación por error para las conexiones ExpressRoute. Los circuitos ExpressRoute tienen resistencia integrada, pero no son inmunes a los problemas físicos que afectan a los cables que entregan conectividad ni a las interrupciones que afectan a la ubicación completa de ExpressRoute. En escenarios de alta disponibilidad, en los que existe un riesgo asociado a una interrupción de un circuito ExpressRoute, también puede configurar una puerta de enlace de VPN que use Internet como un método alternativo de conectividad, lo que garantiza que siempre haya una conexión a las redes virtuales de Azure.
Puertas de enlace con redundancia de zona
En las regiones que admiten zonas de disponibilidad, se pueden implementar puertas de enlace VPN y ExpressRoute en una configuración con redundancia de zona. Esta configuración aporta una mayor disponibilidad, escalabilidad y resistencia a las puertas de enlace de red virtual. Implementar puertas de enlace en Azure Availability Zones separa de forma física y lógica las puertas de enlace dentro de una región, y protege la conectividad de red local en Azure de errores de nivel de zona. Estas requieren diferentes SKU de puerta de enlace y usan direcciones IP públicas estándar en lugar de direcciones IP públicas básicas.