Definición de una topología de red de Azure

  • Artículo

La topología de red es un elemento esencial de la arquitectura de una zona de aterrizaje, ya que define el modo en que las aplicaciones pueden comunicarse entre sí. En esta sección se analizan las tecnologías y las soluciones de topología para las implementaciones de Azure. Se centra en dos enfoques principales: topologías que están basadas en Azure Virtual WAN y topologías tradicionales.

Virtual WAN se usa para cumplir los requisitos de interconectividad a gran escala. Dado que se trata de un servicio administrado por Microsoft, también reduce la complejidad general de la red y ayuda a modernizar la red de la organización. Una topología de Virtual WAN puede ser más adecuada si alguno de los siguientes requisitos se aplica a su organización:

  • Su organización tiene previsto implementar recursos en varias regiones de Azure y requiere conectividad global entre redes virtuales en estas regiones de Azure y varias ubicaciones locales.
  • La organización tiene la intención de integrar una red de sucursales a gran escala directamente en Azure a través de una implementación de WAN (SD-WAN) definida por software o requiere más de 30 sitios de sucursal para la terminación de IPSec nativa.
  • Se requiere enrutamiento transitivo entre una red privada virtual (VPN) y Azure ExpressRoute. Por ejemplo, las sucursales remotas conectadas mediante VPN de sitio a sitio o los usuarios remotos conectados mediante VPN de punto a sitio requieren conectividad con un controlador de dominio conectado de ExpressRoute a través de Azure.

Una topología de red radial tradicional le ayuda a crear redes seguras personalizadas y mejoradas a gran escala en Azure. Con esta topología, se administran el enrutamiento y la seguridad. Una topología tradicional puede ser más adecuada si alguno de los siguientes requisitos se aplica a su organización:

  • Su organización pretende implementar recursos en una o varias regiones de Azure y, aunque se espera cierto tráfico entre regiones de Azure (por ejemplo, el tráfico entre dos redes virtuales entre dos regiones de Azure diferentes), no es necesaria una red de malla completa en todas las regiones de Azure.
  • Tiene un número reducido de ubicaciones remotas o sucursales por región. Es decir, necesita menos de 30 túneles de sitio a sitio IPsec.
  • Necesita control total y granularidad para configurar manualmente la directiva de enrutamiento de red de Azure.

Topología de red de Virtual WAN (administrada por Microsoft)

Diagram that illustrates a Virtual WAN network topology.

Topología tradicional de redes de Azure

Diagram that illustrates a traditional Azure network topology.

Azure Virtual Network Manager en zonas de aterrizaje de Azure

La arquitectura conceptual de las zonas de aterrizaje de Azure recomienda una de las dos topologías de red: una topología de red basada en Virtual WAN o una topología de red basada en una arquitectura de concentrador y radio tradicional. A medida que los requisitos empresariales cambian con el tiempo (por ejemplo, la migración de aplicaciones locales a Azure que requiere conectividad híbrida), puede usar Virtual Network Manager para expandir e implementar cambios de red. En muchos casos, puede hacerlo sin interrumpir lo que ya se ha implementado en Azure.

Puede usar Virtual Network Manager para crear tres tipos de topologías entre suscripciones para redes virtuales nuevas y existentes:

  • Topología de red en estrella tipo hub-and-spoke.
  • Topología radial con conexión directa entre radios
  • Topología de malla (en versión preliminar)

Diagram that shows Azure virtual network topologies.

Nota:

Virtual Network Manager no admite centros de Virtual WAN como parte de un grupo de red o como concentrador en una topología. Para más información, consulte preguntas más frecuentes de Azure Virtual Network Manager.

Al crear una topología de concentrador y radio con conectividad directa en Virtual Network Manager donde los radios están conectados entre sí directamente, la conectividad directa entre redes virtuales de radio en el mismo grupo de red se habilita automáticamente, bidireccionalmente, mediante la característica Grupo conectado.

Puede usar Virtual Network Manager para agregar redes virtuales de forma estática o dinámica a grupos de red específicos. Al hacerlo, se define y se crea la topología deseada, en función de la configuración de conectividad en Virtual Network Manager.

Puede crear varios grupos de red para aislar grupos de redes virtuales de conectividad directa. Cada grupo de red proporciona la misma compatibilidad regional y multirregional para la conectividad de radio a radio. Asegúrese de mantenerse dentro de los límites definidos para Virtual Network Manager que se describen en las preguntas más frecuentes de Azure Virtual Network Manager.

Desde una perspectiva de seguridad, Virtual Network Manager proporciona una manera eficaz de aplicar las reglas de administración de seguridad para denegar o permitir flujos de tráfico de forma centralizada, independientemente de lo definido en los grupos de seguridad de red. Esta capacidad permite a los administradores de seguridad de red aplicar controles de acceso y habilitar a los propietarios de aplicaciones administrar sus propias reglas de nivel inferior dentro de los grupos de seguridad de red.

Puede usar Virtual Network Manager para agrupar redes virtuales. Después, puede aplicar configuraciones a los grupos en lugar de a redes virtuales individuales. Esta función habilita una administración más eficaz de la conectividad, la configuración y la topología, las reglas de seguridad y la implementación en una o varias regiones simultáneamente sin perder un control específico.

Puede segmentar redes por entornos, equipos, ubicaciones, líneas de negocio o alguna otra función que se adapte a sus necesidades. Puede definir grupos de red estática o dinámicamente mediante la creación de un conjunto de condiciones que rigen la pertenencia a grupos.

Puede usar Virtual Network Manager para implementar los principios de diseño de la zona de aterrizaje de Azure para dar cabida a toda la migración, modernización e innovación de aplicaciones a escala.

Consideraciones de diseño

  • En una implementación tradicional en centro y radios, las conexiones de emparejamiento de red virtual se crean y mantienen manualmente. Virtual Network Manager presenta una capa de automatización para el emparejamiento de redes virtuales, lo que facilita la administración a escala de topologías de red grandes y complejas, como la malla. Para obtener más información, consulte Información general sobre el grupo de red.
  • Los requisitos de seguridad de varias funciones empresariales determinan la necesidad de crear grupos de red. Un grupo de red es un conjunto de redes virtuales seleccionadas manualmente o mediante instrucciones condicionales como se ha descrito anteriormente en este documento. Al crear un grupo de red, debe especificar una directiva o Virtual Network Manager puede crear una directiva si se lo permite explícitamente. Esta directiva permite a Virtual Network Manager recibir notificaciones sobre los cambios. Para actualizar las iniciativas de directivas existentes de Azure, debe implementar cambios en el grupo de red dentro del recurso de Virtual Network Manager.
  • Para diseñar el grupo de red adecuado debería evaluar qué partes de la red comparten características de seguridad comunes. Por ejemplo, puede crear grupos de red para corporativos y en línea para administrar sus reglas de conectividad y seguridad a escala.
  • Cuando varias redes virtuales de las suscripciones de la organización comparten los mismos atributos de seguridad, puede usar Virtual Network Manager para aplicarlas de forma eficaz. Por ejemplo, debería colocar todos los sistemas usados por una unidad de negocio como HR o Finance (RR. HH. O Finanzas) en un grupo de red independiente, ya que tiene que aplicar reglas de administración diferentes en ellas.
  • Virtual Network Manager puede aplicar de forma centralizada reglas de administración de seguridad, que tienen mayor prioridad que las reglas de NSG aplicadas en el nivel de subred. (Esta característica se encuentra en versión preliminar.) Esta característica permite a los equipos de red y seguridad aplicar de forma eficaz las directivas de la empresa y crear raíles de protección de seguridad a escala, pero permite que los equipos de productos puedan mantener simultáneamente el control de los NSG dentro de sus suscripciones de zona de aterrizaje.
  • Puede usar la característica de Reglas de administrador de seguridad de Virtual Network Manager para proporciona la capacidad de permitir o denegar explícitamente flujos de red específicos independientemente de las configuraciones de NSG en niveles de subred o interfaz de red. Puede usar esta capacidad, por ejemplo, para permitir que siempre se permitan flujos de red de servicios de administración. Los grupos de seguridad de red controlados por los equipos de aplicaciones no pueden invalidar estas reglas.
  • Una red virtual puede formar parte de hasta dos grupos conectados.

Recomendaciones de diseño

  • Defina el ámbito de Virtual Network Manager. Aplique reglas de administración de seguridad que apliquen reglas de nivel de organización en el grupo de administración raíz (el inquilino). Al hacerlo, se aplican reglas de forma jerárquica automáticamente a los recursos existentes y nuevos y a todos los grupos de administración asociados.
  • Cree una instancia de Virtual Network Manager en la suscripción de conectividad con un ámbito del grupo de administración raíz intermedio (por ejemplo, Contoso). Habilite la característica de administrador de seguridad en esta instancia. Esta configuración le permite definir reglas de administración de seguridad que se aplican en todas las redes virtuales y subredes de la jerarquía de zonas de aterrizaje de Azure y le ayuda a democratizar los grupos de seguridad de red a los propietarios y equipos de la zona de aterrizaje de la aplicación.
  • Segmentar redes agrupando redes virtuales estáticamente (manuales) o dinámicamente (basadas en directivas).
  • Habilite la conectividad directa entre radios cuando los radios seleccionados necesiten comunicarse con frecuencia, con requisitos de baja latencia y alto rendimiento, entre sí, además de acceder a servicios comunes o NVA en el centro.
  • Habilite la malla global cuando todas las redes virtuales entre regiones necesiten comunicarse entre sí.
  • Asigne un valor prioritario a cada regla de administración de seguridad dentro de las colecciones de reglas. Cuanto menor es el valor, mayor es la prioridad de la regla.
  • Use reglas de administración de seguridad para permitir o denegar explícitamente flujos de red, independientemente de las configuraciones de NSG controladas por los equipos de aplicaciones. Esto también le permite delegar completamente el control de los grupos de seguridad de red y sus reglas a los equipos de aplicación.