Redes de nube híbrida
Es posible que una red local tradicional de varios sitios pueda necesitar conectar varias sucursales a una oficina central. De igual modo, la red de nube híbrida implica el uso de las tecnologías adecuadas para la interconexión fluida de usuarios, aplicaciones y datos locales con aplicaciones y datos hospedados en la nube.
En nuestro escenario, Tailwind Traders debe poder conectar sus ubicaciones locales de forma segura a los recursos que se ejecutan en Azure. Deben hacerlo de forma que, para el personal de Tailwind Traders, no haya ninguna diferencia real entre el acceso a una carga de trabajo que se ejecuta en un centro de datos local y otro que se ejecute en Azure.
En esta unidad, obtendrá información sobre las tecnologías de red que permiten que los recursos locales y en la nube se agrupen en una única nube híbrida.
¿Qué es VPN de Azure?
Una puerta de enlace de VPN de Azure le permite conectar la red local a Azure mediante un túnel VPN seguro a través de la red pública de Internet. Las conexiones VPN de Azure son como las conexiones VPN tradicionales que pueden existir entre una sucursal y una oficina central. Cada red virtual solo puede tener una puerta de enlace de VPN, pero cada puerta de enlace de VPN admite varias conexiones.
En la siguiente imagen se muestra una conexión entre un dispositivo de puerta de enlace perimetral de una red local y una puerta de enlace de VPN en una red virtual de Azure. Se describe la conexión entre un dispositivo de Azure Stack y una puerta de enlace VPN.
En el ejemplo de Tailwind Traders, la empresa podría usar puertas de enlace de VPN de Azure para permitir conexiones desde sucursales más pequeñas que no necesitan el tipo de vínculo dedicado que proporciona una conexión de Azure ExpressRoute. El principal inconveniente de las puertas de enlace de VPN de Azure es que se basan en la conexión a Internet del proveedor de servicios Internet (ISP). Si el ISP tiene una interrupción, no se pueden establecer conexiones VPN. Del mismo modo, si el ISP tiene una congestión importante, la velocidad de la conexión VPN entre una ubicación local y Azure podría verse afectada.
Las organizaciones con conexiones VPN existentes entre sucursales ya se enfrentan a los desafíos propios de las conexiones VPN dedicadas.
¿Qué es Azure ExpressRoute?
Microsoft Azure ExpressRoute permite que una organización tenga una conexión privada de alta velocidad dedicada desde su red local a Azure. Esta conexión no cruza la red pública de Internet. Funcionalmente, es una línea de fibra óptica dedicada directamente desde una ubicación local al centro de datos de Azure más cercano.
A diferencia de una puerta de enlace de VPN, el proveedor de ExpressRoute administra el equipo que proporciona esta conexión. Como el proveedor de ExpressRoute administra todo el equipo, puede proporcionar un contrato de nivel de servicio (SLA) en términos de confiabilidad y ancho de banda que no está disponible para los usuarios de conexiones de puerta de enlace de VPN de Azure.
En la siguiente imagen se muestra la conexión de ExpressRoute entre el entorno local y las cargas de trabajo que se ejecutan en Azure. El proveedor de ExpressRoute administra el circuito de ExpressRoute y los enrutadores perimetrales locales.
Además de proporcionar una conexión de ancho de banda dedicada entre el entorno local y Azure, ExpressRoute permite a una organización asegurarse de que el tráfico confidencial no pasa por la red pública de Internet. Esto es importante en jurisdicciones en las que los requisitos de gobernanza prohíben la transmisión de determinados tipos de información a través de Internet.
En el caso práctico de ejemplo, Tailwind Traders podría implementar una conexión ExpressRoute desde las oficinas más grandes como las de Melbourne, Sydney y Auckland, donde hay más empleados. Es posible que la empresa también necesite usar ExpressRoute si hay determinados tipos de datos que administran y que no se pueden transferir a través de Internet debido a los requisitos de cumplimiento.
¿Qué es un DNS híbrido?
Al implementar una nube híbrida, es necesario asegurarse de que las cargas de trabajo locales puedan resolver las direcciones de las cargas de trabajo en la nube y que las cargas de trabajo en la nube pueden resolver las direcciones de las locales. Las implementaciones de Sistema de nombres de dominio (DNS) de nube híbrida suelen necesitar servidores DNS locales y en Azure. Además, se deben configurar transferencias de zona DNS entre el entorno local y la nube. Una alternativa consiste en configurar reenviadores DNS si la zona DNS local es independiente de la zona DNS asociada con las cargas de trabajo que se ejecutan en Azure.
En la siguiente imagen se muestran los servidores DNS locales que replican la información de DNS en servidores DNS que se ejecutan en Azure. En este escenario, una máquina virtual (VM) se implementa como un servidor DNS en Azure. En la imagen, el DNS local se conecta a la suscripción del concentrador con servidores DNS en máquinas virtuales. Otras suscripciones de Azure se conectan a la suscripción del concentrador.
Alternativamente, Azure DNS Private Resolver es un servicio que permite consultar zonas privadas de Azure DNS desde un entorno local y viceversa sin implementar servidores DNS basados en máquinas virtuales. El servicio de resolución privada está totalmente administrado y tiene características de alta disponibilidad integradas.
Tailwind Traders puede usar Azure DNS Private Resolver para garantizar que todas sus cargas de trabajo que se ejecutan en Azure pueden resolver los nombres DNS de los hosts en la red interna de Tailwind Traders. También permitirá que todos los hosts de red internos de Tailwind Traders puedan resolver los nombres DNS de las cargas de trabajo que se ejecutan en la nube.
¿Qué es Azure Virtual WAN?
Azure Virtual WAN permite a una organización usar la red de Azure en una arquitectura de concentrador y radio. La red de Azure funciona como un concentrador para la conectividad transitiva entre los puntos de conexión, que actúan como radios.
Tradicionalmente, es posible que cuente con una topología de red en la que cada sucursal tenga una conexión VPN al sitio de la oficina central. Si el tráfico pasa de una sucursal a otra, lo hace mediante el sitio del concentrador para llegar al destino. Si todos los sitios de la oficina central y de las sucursales están conectados a Azure, ya sea a través de VPN o ExpressRoute, estas conexiones pueden formar los radios. Azure Virtual WAN puede actuar como el concentrador de enrutamiento del tráfico entre ubicaciones locales.
En la siguiente imagen se muestra una topología de Azure Virtual WAN.
Azure Virtual WAN permite a Tailwind Traders prescindir de conexiones VPN para conectar las sucursales y las ubicaciones de los centros de datos en Sydney, Melbourne y Auckland. Proporciona una topología en la que cada sucursal y centro de datos tienen una conexión VPN o de ExpressRoute con Azure. El servicio Azure Virtual WAN administra el enrutamiento del tráfico entre ubicaciones.