Fase de diseño 2: conectividad con redes virtuales de Azure

  • Artículo

Las nubes privadas de Azure VMware Solution se conectan a redes virtuales de Azure a través de circuitos De Azure ExpressRoute administrados. Para más información, consulte Circuitos ExpressRoute y nubes privadas de Azure VMware Solution. En las redes de Azure en estrella tipo hub-spoke (incluidas las redes creadas con Azure Virtual WAN), la conexión de un circuito administrado de una nube privada a una puerta de enlace de ExpressRoute en la red central (o centro de Virtual WAN) proporciona conectividad de nivel 3 con la nube privada. Sin embargo, la aplicación de directivas de seguridad para permitir o denegar de forma selectiva las conexiones entre recursos suele ser un requisito. Este requisito puede existir entre:

  • Redes virtuales y máquinas virtuales de Azure que se ejecutan en la nube privada de Azure VMware Solution.
  • Redes virtuales de Azure y los puntos de conexión de administración de la nube privada de Azure VMware Solution.

Aunque las redes virtuales de Azure y vSphere/NSX-T proporcionan construcciones nativas para la segmentación de red, las soluciones de firewall implementadas como aplicaciones virtuales de red (NVA) en redes virtuales de Azure suelen ser la opción preferida en entornos de escala empresarial. Este artículo se centra en una configuración de red virtual que le permite enrutar el tráfico entre nubes privadas y redes virtuales de Azure mediante el uso de próximo saltos personalizados, como NVA de firewall.

La elección que realice en esta fase de diseño depende de la opción seleccionada en fase de diseño 1 para la conectividad local. De hecho, el circuito ExpressRoute administrado que conecta una nube privada a una red virtual de Azure también puede desempeñar un papel en la conectividad con sitios locales. Este es el caso si elige tránsito a través del emparejamiento privado de ExpressRoute durante la fase de diseño 1. Este diagrama de flujo muestra el proceso para elegir una opción para la conectividad con redes virtuales de Azure:

Flowchart that shows the design decision making process for connectivity to Azure virtual networks.

Para más información sobre la conectividad con redes virtuales de Azure, lea una de las secciones siguientes. Elija la sección que coincida con la opción de conectividad híbrida que seleccionó durante la fase de diseño 1.

El tránsito a través del emparejamiento privado de ExpressRoute se usa para el tráfico local

Cuando se usa el tránsito a través del emparejamiento privado de ExpressRoute para la conectividad con sitios locales, el tráfico se enruta a través de NVA (normalmente soluciones de firewall de Azure Firewall o de terceros) en la red central. El tráfico desde sitios locales entra en la red virtual de Azure a través de la puerta de enlace de ExpressRoute (conectada al circuito propiedad del cliente) y se enruta a la NVA del firewall. Después de la inspección, el tráfico se reenvía (si el firewall no lo quita) a la nube privada a través del circuito ExpressRoute administrado.

En la dirección opuesta, el tráfico de la nube privada entra en la red virtual del centro o en la red virtual auxiliar, en función de la opción de implementación elegida durante la fase de diseño 1 (red virtual única o red virtual auxiliar). A continuación, se enruta a través de la puerta de enlace de ExpressRoute que está conectada al circuito administrado y a la aplicación virtual de red del firewall. Después de la inspección, el tráfico se reenvía (si el firewall no lo quita) al destino local a través del circuito ExpressRoute propiedad del cliente.

Las opciones de red virtual única y de red virtual auxiliar incluyen la configuración de enrutamiento que hace que todo el tráfico de una nube privada se reenvíe a las NVA de firewall de la red central, independientemente de su destino (red virtual de Azure o sitios locales). Las reglas de firewall para permitir o quitar conexiones entre máquinas virtuales que se ejecutan en la nube privada y los recursos de Azure se deben agregar a la directiva de firewall.

Global Reach de ExpressRoute se usa para el tráfico local

Cuando se usa Global Reach de ExpressRoute para la conectividad con sitios locales, la conexión de puerta de enlace de ExpressRoute entre la red del concentrador y la nube privada solo lleva tráfico destinado a recursos de Azure. Para enrutar este tráfico a través de un dispositivo de firewall, debe implementar la siguiente configuración:

  • En las redes en estrella tipo hub-spoke tradicionales, debe agregar rutas definidas por el usuario (UDR) a GatewaySubnet de la red virtual del centro de conectividad para todos los destinos (prefijos IP) en Azure a los que es necesario acceder a través de las NVA. La dirección IP del próximo salto para las UDR es la VIP del firewall (la dirección IP privada del firewall cuando se usa Azure Firewall).
  • En las redes en estrella tipo hub-spoke basadas en Virtual WAN con NVA integradas en concentradores (Azure Firewall o soluciones de seguridad de terceros), debe agregar rutas estáticas personalizadas a la tabla de rutas predeterminada del centro Virtual WAN. Se requiere una UDR para cada prefijo IP al que se debe acceder a través de las aplicaciones virtuales de red de Azure VMware Solution. El próximo salto para estas UDR debe ser el firewall o la VIP de la aplicación virtual de red. Como alternativa, puede activar y configurar directivas de enrutamiento y intención de enrutamiento de Virtual WAN en centros de Virtual WAN protegidos.

Las VPN de IPSec se usan para el tráfico local

Al usar VPN de IPSec para la conectividad con sitios locales, debe configurar el enrutamiento adicional para enrutar las conexiones entre una nube privada y los recursos de las redes virtuales de Azure a través de NVA de firewall:

  • En las redes en estrella tipo hub-spoke tradicionales, debe agregar UDR a GatewaySubnet de la red del centro de conectividad para todos los destinos (prefijos IP) en Azure a los que es necesario acceder a través de las NVA. La dirección IP del próximo salto para las UDR es la VIP del firewall (la dirección IP privada del firewall cuando se usa Azure Firewall).
  • En las redes en estrella tipo hub-spoke que se basan en Virtual WAN con NVA integradas en concentrador (Azure Firewall o soluciones de seguridad de terceros), debe agregar rutas estáticas personalizadas a la tabla de rutas predeterminada del centro de Virtual WAN para cada conjunto de destinos (prefijos IP) a través de las NVA de Azure VMware Solution. Para cada UDR, el próximo salto debe ser el firewall o la VIP de la aplicación virtual de red. Como alternativa, puede activar y configurar directivas de enrutamiento y intención de enrutamiento de Virtual WAN en centros de Virtual WAN protegidos.

Pasos siguientes

Obtenga información sobre la conectividad entrante a Internet.

Conectividad entrante a Internet