Fase 4 del diseño: Conectividad de salida a Internet

  • Artículo

Las opciones que elija durante esta fase de diseño están determinadas por los requisitos de conectividad de salida a Internet de las aplicaciones que se implementan en Azure VMware Solution. Un acceso básico a Internet puede ser suficiente para que las máquinas virtuales hospedadas en la nube privada puedan descargar las actualizaciones de software. Los escenarios de colaboración B2B en los que el acceso a una API de terceros se permite solamente desde direcciones IP autorizadas pueden requerir un control pormenorizado del grupo NAT. En escenarios de Infraestructura de escritorio virtual (VDI), el volumen de sesiones de exploración de Internet que debe admitirse podría requerir el control del tamaño del grupo NAT.

Casi invariablemente, debe mejorar la seguridad del acceso de salida a Internet con el enrutamiento de conexiones a través de un firewall o un dispositivo proxy. Azure VMware Solution admite la implementación de estos dispositivos en la propia nube privada o en una red virtual de Azure conectada a la nube privada. Elegir entre estas dos opciones es el objetivo principal de esta fase del diseño. La elección viene determinada por estas consideraciones:

  • Para la optimización de costos y la coherencia, puede usar dispositivos de red virtuales con acceso a Internet y seguridad mejorada que ya existían (como firewalls y servidores proxy de reenvío) que se implementan en redes virtuales de Azure.
  • Las soluciones de plataforma como servicio (PaaS) de Azure pueden reducir la sobrecarga de administración. Puede usar Azure Firewall para el acceso a Internet con seguridad mejorada, especialmente si habilita características de la SKU prémium.
  • Puede implementar firewalls de terceros y dispositivos proxy como dispositivos virtuales en Azure VMware Solution. Consulte la documentación del proveedor para obtener instrucciones de instalación y topologías recomendadas.

Las opciones que elija durante esta fase de diseño dependen de las opciones que haya elegido durante la fase 3. Si selecciona Dirección IP pública en NSX-T Data Center Edge como opción de conectividad de entrada de Internet, también debe usarla para la conectividad de salida. Todas las conexiones de salida iniciadas por máquinas virtuales de Azure VMware Solution se administran en el perímetro de NSX-T. Las conexiones se convierten a través de SNAT (traducción de direcciones de red de origen) en direcciones del prefijo de IP pública de Azure asociado al perímetro de NSX-T de la nube privada.

En el siguiente diagrama de flujo se resume cómo abordar esta fase del diseño:

Flowchart that shows the decision-making process for outbound internet connectivity.

Rutas predeterminadas y conectividad de salida a Internet en Azure VMware Solution

El enrutamiento para las conexiones de salida a Internet iniciadas por máquinas virtuales en una nube privada de Azure VMware Solution viene determinado por las rutas predeterminadas configuradas. Se usan diferentes rutas predeterminadas para los segmentos de administración y carga de trabajo:

  • La red de administración de la nube privada (que hospeda vCenter Server y la administración de NSX-T) siempre usa una ruta predeterminada que proporciona acceso directo a Internet a través de un "breakout" administrado por la plataforma. Esta ruta predeterminada no se puede reemplazar. Usted no tiene el control del grupo SNAT para las conexiones que se inician desde la red de administración.
  • Todos los segmentos de carga de trabajo comparten la misma configuración de ruta predeterminada. La configuración de ruta puede ser una de las siguientes:
    • Acceso a Internet a través de un "breakout" administrado por la plataforma, con SNAT proporcionado por la plataforma. Los usuarios no tienen el control de las direcciones IP públicas del grupo SNAT. Para obtener más información, consulte el SNAT administrado de Azure VMware Solution.
    • Acceso a Internet a través de un "breakout" administrado por la plataforma, con SNAT configurado por el usuario en NSX-T. Los usuarios son responsables de lo siguiente:
    • Una ruta predeterminada que se anuncia a través del circuito de Azure ExpressRoute de la nube privada. Esta ruta predeterminada puede estar originada en un dispositivo compatible con BGP en una red virtual de Azure o en un sitio local. SNAT es responsabilidad del usuario y debe realizarse con dispositivos de red en redes virtuales de Azure o en el entorno local. Para obtener más información, consulte Servicio de Internet hospedado en Azure.

Puede configurar la conectividad de salida a Internet para segmentos de carga de trabajo en Azure Portal. Seleccione una de las opciones que se describen en las secciones siguientes. Para más información, consulte Consideraciones de diseño de conectividad a Internet.

Uso de SNAT administrado en Azure VMware Solution

SNAT administrado es la manera más fácil de implementar el acceso de salida a Internet en Azure VMware Solution. Cuando se habilita esta opción en una nube privada, se instala una ruta predeterminada en las puertas de enlace T0/T1. La ruta reenvía el tráfico enlazado a Internet a un perímetro administrado por la plataforma. El perímetro administrado por la plataforma lleva a cabo la traducción SNAT. Usted no tiene el control del grupo NAT. Puede usar SNAT administrado para proporcionar acceso directo a Internet a máquinas virtuales de Azure VMware Solution. También puede definir topologías NSX-T en las que las conexiones enlazadas a Internet iniciadas por máquinas virtuales se enrutan a dispositivos perimetrales para Internet con seguridad mejorada (firewalls o servidores proxy de reenvío) que se implementan como dispositivos virtuales en la propia nube privada. A continuación se indican algunos motivos habituales para decidir no usar esta opción para la conectividad de salida:

  • Necesita un control pormenorizado del grupo NAT. Por ejemplo, si necesita usar SNAT para traducir, a través de direcciones IP públicas, las conexiones iniciadas por máquinas virtuales específicas para que apunten a puntos de conexión públicos específicos. En este caso, debe considerar la posibilidad de usar Dirección IP pública en NSX-T Data Center Edge.
  • Seleccionó Dirección IP pública en NSX-T Data Center Edge para la conectividad de entrada de Internet durante la fase 3 del diseño. En este caso, también debe usar Dirección IP pública en NSX-T Data Center Edge para la conectividad de salida a Internet. Para obtener más información, vea la siguiente sección.
  • Quiere enrutar las conexiones de salida a Internet a través de un perímetro de Internet con seguridad mejorada hospedado en una red virtual de Azure (o en un sitio local). En este caso, debe originarse una ruta predeterminada desde el perímetro de Internet en Azure y anunciarse en la nube privada. Para obtener más información, consulte la sección Originar una ruta predeterminada en Azure en este artículo.

Implementación de una dirección IP pública en NSX-T Data Center Edge

Cuando se usa la opción Dirección IP pública en NSX-T Data Center Edge, hay una ruta predeterminada que reenvía el tráfico de las puertas de enlace T1/T0 hacia el perímetro de Internet de la red de Azure en la nube privada. Las conexiones de salida a Internet en las puertas de enlace T1 deben traducirse con SNAT para que usen una de las direcciones IP públicas asociadas a la nube privada. Para obtener información sobre cómo configurar reglas NAT en puertas de enlace T1, consulte Acceso saliente a Internet para VM. Puede usar esta opción para proporcionar acceso directo a Internet a máquinas virtuales de Azure VMware Solution. También puede definir topologías NSX-T que enrutan las conexiones enlazadas a Internet iniciadas por máquinas virtuales de Azure VMware Solution a dispositivos perimetrales de Internet con seguridad mejorada (firewalls o servidores proxy de reenvío) que se han implementado como dispositivos virtuales en la nube privada.

Originar una ruta predeterminada en Azure (red virtual administrada por el cliente o Azure Virtual WAN)

Puede enrutar el tráfico enlazado a Internet iniciado por máquinas virtuales de Azure VMware Solution a un dispositivo NVA nativo de Azure anunciando una ruta predeterminada a través del circuito de ExpressRoute administrado de la nube privada. Las puertas de enlace T0 de la nube privada usan la ruta predeterminada recibida de Azure y envían el tráfico enlazado a Internet al siguiente salto especificado por la ruta predeterminada recibida. Si los dispositivos NVA del perímetro de Internet en Azure admiten BGP, puede usarlos como altavoces BGP para originar la ruta predeterminada. Si los NVA no admiten BGP (o no se pueden usar como altavoces BGP debido a restricciones de seguridad), puede implementar otros NVA para que actúen como altavoces BGP. Un escenario típico que requiere NVA compatibles con BGP adicionales es cuando se usa Azure Firewall en el perímetro de Internet de Azure. Azure Firewall no admite BGP. La topología de red resultante es la siguiente:

Diagram that shows a default route origination from Azure virtual networks.

Pasos siguientes

Consulte información sobre la gobernanza de Azure VMware Solution.

Seguridad, gobernanza y cumplimiento de Azure VMware Solution