Integración de red local en Azure
Su empresa planea migrar la mayoría de sus recursos locales a Azure. Sin embargo, un pequeño centro de datos debe permanecer en el entorno local para integrarse en la red de Azure. El modelo arquitectónico debe tener en cuenta el uso de la conectividad de red de Azure para varias oficinas satélite. Quiere usar una arquitectura de red híbrida que conceda acceso a los recursos locales y basados en la nube.
Para controlar la migración, creará un plan de integración de red para Azure que incluye una selección de las mejores opciones de red híbrida disponibles en Azure. Las opciones deben satisfacer los requisitos de la organización para la conectividad híbrida.
En esta unidad, explorará la conectividad local en la plataforma Azure. También obtendrá una visión general de Azure Virtual Network y verá cómo usar Azure VPN Gateway para proteger el tráfico en una red local.
Sobre Azure Virtual Network
El servicio Azure Virtual Network tiene un conjunto específico de herramientas y recursos para crear una arquitectura de red basada en la nube para la organización. Las redes virtuales de Azure proporcionan un canal de comunicación virtual seguro para todos los recursos de Azure permitidos dentro de la suscripción.
Con una red virtual de Azure, puede:
- Conectar máquinas virtuales a Internet.
- Proporcione comunicaciones seguras entre los recursos de Azure hospedados en distintos centros de datos y regiones.
- Aislar y administrar los recursos de Azure.
- Conectarse a equipos locales.
- Administrar el tráfico de red.
De forma predeterminada, todos los recursos de Azure dentro de una red virtual tienen conectividad saliente a Internet. La comunicación externa entrante debe pasar a través de un punto de conexión de acceso público. Todos los recursos internos usan un punto de conexión privado para acceder a la red virtual.
Una red virtual se compone de muchos elementos. Entre ellos se incluyen interfaces de red, equilibradores de carga, subredes, grupos de seguridad de red y direcciones IP públicas. Estos elementos funcionan de forma conjunta y permiten una comunicación de red segura y confiable entre los recursos de Azure, Internet y las redes locales.
Enrutamiento del tráfico en una red virtual de Azure
El tráfico saliente de una subred se enruta en función de la dirección IP de destino. En una tabla de enrutamiento se define cómo se enruta el tráfico y lo que sucede a continuación. Puede existir una dirección IP de destino entre varias definiciones de prefijo de tabla de enrutamiento (por ejemplo, 10.0.0.0/16 y 10.0.0.0/24). El enrutador usa un algoritmo sofisticado para encontrar la coincidencia de prefijo más larga. El tráfico destinado a una dirección 10.0.0.6 se resolvería en el prefijo 10.0.0.0/24 y se enruta en consecuencia.
Hay dos tablas de enrutamiento principales: del sistema y personalizada.
Tablas de enrutamiento del sistema
Azure crea automáticamente un conjunto de tablas de enrutamiento predeterminadas para la red virtual y cada máscara de subred dentro de ella. Estas rutas del sistema son fijas y no se pueden modificar ni eliminar. Pero puede invalidar la configuración predeterminada mediante una tabla de enrutamiento personalizada.
Una tabla de enrutamiento predeterminada típica podría tener el aspecto siguiente:
| Origen | Prefijos de dirección | Tipo del próximo salto |
|---|---|---|
| Valor predeterminado | Único para la red virtual | Virtual network |
| Valor predeterminado | 0.0.0.0/0 | Internet |
| Valor predeterminado | 10.0.0.0/8 | None |
| Valor predeterminado | 172.16.0.0/12 | Ninguno |
| Valor predeterminado | 192.168.0.0/16 | None |
| Valor predeterminado | 100.64.0.0/10 | Ninguno |
Una tabla de enrutamiento se compone de un origen, un prefijo de dirección y un tipo de próximo salto. Todo el tráfico que sale de la subred usa la tabla de enrutamiento para averiguar dónde debe ir a continuación. En efecto, el tráfico busca el próximo salto en su recorrido.
Un próximo salto define lo que ocurre en el flujo de tráfico siguiente, en función del prefijo. Existen tres tipos de próximo salto:
- Red virtual: el tráfico se enruta en función de la dirección IP dentro de la red virtual.
- Internet: el tráfico se enruta a Internet.
- Ninguno: el tráfico se descarta.
Tablas de enrutamiento personalizadas
Además de las tablas de enrutamiento definidas por el sistema, también puede crear tablas de enrutamiento personalizadas. Estas tablas de enrutamiento definidas por el usuario reemplazan a la tabla predeterminada del sistema. Existen limitaciones en cuanto al número de elementos de enrutamiento que puede tener en una tabla personalizada.
Algunas de las muchas limitaciones que se aplican a las redes virtuales se muestran en la siguiente tabla:
| Recurso | Número máximo o predeterminado |
|---|---|
| Redes virtuales | 1,000 |
| Subredes por red virtual | 3,000 |
| Emparejamientos de redes virtuales por red virtual | 500 |
| Direcciones IP privadas por red virtual | 65 536 |
Como sucede con la tabla de enrutamiento del sistema, las tablas de enrutamiento personalizadas también tienen un tipo de próximo salto. Pero las tablas de enrutamiento personalizadas ofrecen algunas opciones adicionales:
- Aplicación virtual: esta opción suele ser una máquina virtual que ejecuta una aplicación de red específica, como un firewall.
- Puerta de enlace de red virtual: use esta opción cuando quiera enviar tráfico a una puerta de enlace de red virtual. Un tipo puerta de enlace de red virtual debe ser VPN. El tipo no puede ser Azure ExpressRoute, lo que requiere el establecimiento de un proceso de enrutamiento de Protocolo de puerta de enlace de borde (BGP).
- Ninguno: esta opción quita el tráfico en lugar de reenviarlo.
- Red virtual: esta opción permite invalidar un enrutamiento del sistema predeterminado.
- Internet: esta opción le permite especificar que cualquier prefijo reenvíe tráfico a Internet.
Conectar redes virtuales de Azure
Puede conectar las redes virtuales de varias maneras. Puede usar Azure VPN Gateway, ExpressRoute o directamente el método de emparejamiento.
Azure VPN Gateway
Al trabajar hacia la integración de la red local con Azure, debe existir un puente entre las dos redes. VPN Gateway es un servicio de Azure que proporciona esta funcionalidad. Una puerta de enlace de VPN puede enviar tráfico cifrado entre las dos redes. Las puertas de enlace de VPN admiten varias conexiones que les permiten enrutar túneles VPN que usan cualquier ancho de banda disponible. Una red virtual solo puede tener una puerta de enlace asignada. Las puertas de enlace de VPN también se pueden usar para las conexiones entre redes virtuales en Azure.
Al implementar una puerta de enlace de VPN, es necesario implementar dos o más máquinas virtuales en la subred que creó al configurar la red virtual. En este caso, la subred también se conoce como la subred de puerta de enlace. A cada máquina virtual se le asigna una configuración predeterminada para los servicios de enrutamiento y puerta de enlace, explícita de la puerta de enlace aprovisionada. Estas máquinas virtuales no se pueden configurar directamente.
Cuando se crea una puerta de enlace, hay varias topologías disponibles. Estas topologías, también conocidas como tipos de puerta de enlace, determinan qué elementos están configurados y el tipo de conexión esperado.
De sitio a sitio
Puede usar una conexión de sitio a sitio para las configuraciones de red híbridas y entre entornos locales. Esta topología de conexión requiere que un dispositivo VPN local tenga una dirección IP accesible públicamente y no debe estar detrás de una traducción de direcciones de red (NAT). La conexión usa una cadena ASCII secreta de hasta 128 caracteres para autenticarse entre la puerta de enlace y el dispositivo VPN.
Multisitio
Una conexión multisitio es similar a una conexión de sitio a sitio, pero con una ligera variación. Multisitio admite varias conexiones VPN a los dispositivos VPN locales. Esta topología de conexión requiere una VPN RouteBased denominada puerta de enlace dinámica. Es importante tener en cuenta que, con una configuración multisitio, todas las conexiones se enrutan a través de todo el ancho de banda disponible y lo comparten.
De punto a sitio
Una conexión de punto a sitio es adecuada para un dispositivo de cliente individual remoto que se conecta a la red. Debe autenticar el dispositivo de cliente a través de Microsoft Entra ID o mediante la autenticación de certificados de Azure. Este modelo se adapta a los escenarios de trabajo domésticos.
De red a red
Una conexión de red a red se usa para crear conexiones entre varias redes virtuales de Azure. Esta topología de conexión, a diferencia de las demás, no requiere una dirección IP pública ni un dispositivo VPN. También se puede usar en una conexión de red a red en una configuración multisitio para establecer conexiones entre entornos locales combinados con conectividad entre redes virtuales.
ExpressRoute
ExpressRoute crea una conexión directa entre la red local y la red virtual de Azure que no usa Internet. ExpressRoute se usa para ampliar sin problemas la red local a través del espacio de red virtual de Azure. Muchos proveedores de conectividad que no son de Microsoft ofrecen el servicio ExpressRoute. Hay tres tipos de conexión de ExpressRoute diferentes:
- Ubicación de CloudExchange
- Conexión Ethernet de punto a punto
- Conexión universal (IPVPN)
Emparejamiento
Las redes virtuales se pueden emparejar entre suscripciones y regiones de Azure. Una vez emparejadas las redes virtuales, los recursos de estas redes se comunican entre sí como si estuvieran en la misma red. El tráfico se enruta entre recursos mediante solo direcciones IP privadas. Una red virtual emparejada enruta el tráfico a través de la red de Azure y mantiene la conexión privada como parte de la red troncal de Azure. La red troncal proporciona conexiones de red de latencia baja y ancho de banda alto.
Arquitectura de referencia de puerta de enlace de VPN de sitio a sitio
Aunque muchas arquitecturas de referencia están disponibles al diseñar una red híbrida, una arquitectura popular es la configuración de sitio a sitio. En la arquitectura de referencia simplificada que se muestra en el siguiente diagrama se indica cómo conectar una red local a la plataforma de Azure. La conexión a Internet usa un túnel VPN de IPsec.
La arquitectura incluye varios componentes:
- La red local representa la instancia local de Active Directory y todos los datos o recursos.
- La puerta de enlace es responsable de enviar tráfico cifrado a una dirección IP virtual cuando se usa una conexión pública.
- La red virtual de Azure contiene todas las aplicaciones en la nube y los componentes de Azure VPN Gateway.
- Una puerta de enlace de VPN de Azure proporciona el vínculo cifrado entre la red virtual de Azure y la red local. Una puerta de enlace de VPN de Azure se compone de estos elementos.
- Puerta de enlace de red virtual
- Puerta de enlace de red local
- Conexión
- Subred de puerta de enlace
- Las aplicaciones en la nube son las que ha puesto a disposición a través de Azure.
- Un equilibrador de carga interno, que se encuentra en el front-end, enruta el tráfico de la nube a la aplicación basada en la nube o el recurso correctos.
El uso de esta arquitectura ofrece varias ventajas, entre las que se incluyen las siguientes:
- La simplificación de la configuración y el mantenimiento.
- El uso de una puerta de enlace de VPN garantiza que todos los datos y el tráfico se cifren entre la puerta de enlace local y la de Azure.
- La arquitectura se puede escalar y ampliar para satisfacer las necesidades de red de la organización.
Esta arquitectura no es aplicable en todas las situaciones porque usa una conexión a Internet existente como el vínculo entre los dos puntos de puerta de enlace. Las restricciones de ancho de banda pueden provocar problemas de latencia como resultado de la reutilización de la infraestructura existente.