Uso de redes híbridas en Azure

Completado

La organización tiene interés en continuar con la migración a la nube. Ha explorado las ventajas de usar Azure ExpressRoute para proporcionar una conexión dedicada y de alta velocidad entre la red local y Azure.

La diligencia requerida le obliga a explorar las demás opciones de arquitectura híbrida disponibles para conectar la red local a Azure.

En esta unidad, aprenderá a:

• Entender las conexiones de red privada virtual.
• Examinar una opción de resistencia para ExpressRoute.
• Considerar los méritos de la topología de red en estrella tipo hub-and-spoke.

¿Qué es una arquitectura de red híbrida?

Una red híbrida es un término que se usa cuando dos topologías de red diferentes se combinan para formar una sola red coherente. Con Azure, una red híbrida representa la fusión o combinación de una red local con una red virtual de Azure. Permite el uso continuado de la infraestructura existente a la vez que le ofrece todas las ventajas de la informática y el acceso basados en la nube.

Hay varias razones por las que podría querer adoptar una solución de red híbrida. Las dos más comunes son las siguientes:

• Para migrar desde una red local pura a una red pura basada en la nube.
• Para ampliar la red local y los recursos para admitir los servicios en la nube.

Con independencia de los motivos para agregar servicios en la nube a la infraestructura, hay que tener en cuenta varias arquitecturas. En la unidad anterior se ha descrito ExpressRoute. Las otras arquitecturas son las siguientes:

• Azure VPN Gateway
• ExpressRoute con conmutación por error de VPN
• Topología de red en estrella tipo hub-and-spoke

Azure VPN Gateway

Azure VPN Gateway, un servicio de puerta de enlace de red virtual, permite la conectividad VPN de sitio a sitio y de punto a sitio entre la red local y Azure.

Una red privada virtual o VPN es una arquitectura de red bien establecida y entendida.

VPN Gateway usa la conexión existente a Internet. Pero toda la comunicación se cifra mediante los protocolos Intercambio de claves por red (IKE) y Protocolo de seguridad de Internet (IPsec). Solo puede tener una puerta de enlace de red virtual por cada red virtual.

Al configurar una puerta de enlace de red virtual, debe especificar si es una puerta de enlace de VPN o una puerta de enlace de ExpressRoute.

El tipo VPN depende del tipo de topología de conexión que necesite. Por ejemplo, si quiere crear una puerta de enlace de punto a sitio (P2S) o de punto a punto (P2P), usará un tipo RouteBased. Hay dos tipos de VPN:

• PolicyBased: usa un túnel IPsec para cifrar los paquetes de datos. La configuración de la directiva usa prefijos de dirección extraídos de la red virtual de Azure y la red local.
• RouteBased: usa tablas de enrutamiento o de reenvío de IP para enrutar los paquetes de datos al túnel correcto. Cada túnel cifra y descifra todos los paquetes.

Después de especificar el tipo de VPN para la puerta de enlace de red virtual, no se puede modificar. Si tiene que realizar cambios, elimine la puerta de enlace de red virtual y vuelva a crearla.

De sitio a sitio

Todas las conexiones de puerta de enlace de sitio a sitio usan un túnel VPN IPsec/IKE para crear una conexión entre Azure y la red local. Una conexión de sitio a sitio funcione necesita un dispositivo VPN local con una dirección IP accesible públicamente.

De punto a sitio

Una conexión de puerta de enlace de punto a sitio crea una conexión segura entre un dispositivo individual y la red virtual de Azure. Este tipo de puerta de enlace es adecuado para los trabajadores remotos, como los usuarios que asisten a una conferencia o que trabajan desde casa. Una conexión de punto a sitio no requiere un dispositivo VPN local dedicado.

Ventajas

Estas son algunas de las ventajas de usar una conexión VPN:

• Es una tecnología bien conocida, fácil de configurar y mantener.
• Todo el tráfico de datos está cifrado.
• Es mejor controlar las cargas de tráfico de datos más ligeras.

Consideraciones

Considere los siguientes puntos cuando evalúe el uso de esta arquitectura híbrida:

• Una conexión VPN usa Internet.
• Pueden existir posibles problemas de latencia, según el tamaño y la utilización del ancho de banda.
• Azure admite un ancho de banda máximo de 1,25 Gbps.
• Se necesita un dispositivo VPN local para las conexiones de sitio a sitio.

ExpressRoute con conmutación por error de VPN

Una de las garantías de usar ExpressRoute es que proporciona un alto nivel de disponibilidad. Cada circuito ExpressRoute incluye puertas de enlace de ExpressRoute duales. Pero incluso con este nivel de resistencia integrado en el lado de Azure de la red, es posible que la conectividad se interrumpa. Una manera de solucionar esta situación, y mantener la conectividad, consiste en proporcionar un servicio de conmutación por error de VPN.

La combinación de la conexión VPN y ExpressRoute mejora la resistencia de la conexión de red. Cuando se usa en condiciones normales, ExpressRoute se comporta exactamente como una arquitectura de ExpressRoute normal, y la conexión VPN permanece inactiva. Si se produce un error en el circuito ExpressRoute o se queda sin conexión, la conexión VPN toma el control. Esta acción garantiza la disponibilidad de la red en todas las circunstancias. Cuando se restaura el circuito ExpressRoute, todo el tráfico vuelve a usar la conexión de ExpressRoute.

Arquitectura de referencia para ExpressRoute con conmutación por error de VPN

El siguiente diagrama muestra cómo conectar la red local a Azure mediante ExpressRoute con una conmutación por error de VPN. La topología elegida en esta solución es una conexión de sitio a sitio basada en VPN con un flujo de tráfico elevado.

En este modelo, todo el tráfico de red se enruta a través de la conexión privada de ExpressRoute. Cuando se pierde la conectividad en el circuito ExpressRoute, la subred de puerta de enlace conmuta por error automáticamente al circuito de puerta de enlace de VPN de sitio a sitio. La línea de puntos de la puerta de enlace a la puerta de enlace de VPN en la red virtual de Azure indica este escenario.

Cuando se restaura el circuito ExpressRoute, el tráfico vuelve automáticamente a la puerta de enlace de VPN.

Ventajas

La siguiente ventaja está disponible cuando se implementa ExpressRoute con una conmutación por error de VPN:

• Crea una red resistente y de alta disponibilidad.

Consideraciones

Cuando implemente una arquitectura de ExpressRoute con conmutación por error de VPN, considere los siguientes puntos:

• Cuando se produce una conmutación por error, el ancho de banda se reduce a las velocidades de conexión de la VPN.

• Los recursos de ExpressRoute y la puerta de enlace de VPN deben estar en la misma red virtual.

• Hay una configuración muy compleja.

• La implementación requiere una conexión ExpressRoute y una conexión VPN.

• La implementación requiere una puerta de enlace de VPN redundante y hardware de VPN local.

  Nota:

  Una puerta de enlace de VPN redundante incurrirá en cargos de pago, incluso cuando no se use.

Topología de red en estrella tipo hub-and-spoke

La topología de red en estrella tipo hub-and-spoke permite estructurar las cargas de trabajo que llevan a cabo los servidores. Usa una sola red virtual como concentrador, que se conecta a la red local mediante una VPN o ExpressRoute. Los radios son otras redes virtuales emparejadas con el concentrador. Puede asignar cargas de trabajo específicas a cada radio y usar el centro para los servicios compartidos.

Puede implementar el centro de conectividad y cada radio en suscripciones o grupos de recursos independientes y después emparejarlos.

En este modelo se usa uno de los tres enfoques mencionados anteriormente: VPN, ExpressRoute y ExpressRoute con conmutación por error de VPN. En las secciones siguientes se describen las ventajas y los desafíos asociados.

Ventajas

La implementación de una arquitectura de red en estrella tipo hub-and-spoke tiene las siguientes ventajas:

• El uso de servicios compartidos y centralizados en el concentrador es posible que reduzca la necesidad de duplicación en los radios, lo que puede reducir los costos.
• Los límites de suscripción se superan mediante el emparejamiento de redes virtuales.
• El modelo en estrella tipo hub-and-spoke permite la separación de áreas de trabajo organizativas en radios dedicados, como SecOps, InfraOps y DevOps.

Consideraciones

Considere el siguiente punto cuando evalúe el uso de esta arquitectura híbrida:

• Examine los servicios que se comparten en el concentrador y lo que permanece en los radios.

Comprobar los conocimientos

1.

¿Por qué implementaría una puerta de enlace de VPN en la red virtual de Azure?

Para mejorar el rendimiento del circuito ExpressRoute.

Para permitir que el circuito ExpressRoute se conecte a la red virtual de Azure.

Para permitir que el circuito ExpressRoute se conecte a la red virtual local.

Para proporcionar una conexión de conmutación por error redundante.

2.

¿Cómo se enrutan las conexiones de puerta de enlace VPN a una red local?

A través de una conexión VPN privada

A través de la red pública de Internet

A través del centro de datos de Azure.

Mediante el aprovisionamiento de un administrador de tráfico.

3.

¿Cuál es el motivo subyacente para implementar una arquitectura en estrella tipo hub-and-spoke?

Mayor visibilidad de costos.

Mayor seguridad.

Mayor visibilidad empresarial.

Comunicaciones de red más rápidas.

Debe responder todas las preguntas antes de comprobar su trabajo.