Creación de una aplicación virtual de red en un centro de conectividad de Azure Virtual WAN
En este artículo se muestra cómo implementar una Aplicación virtual de red integrada (NVA) en un centro de Azure Virtual WAN.
Fondo
Las NVA implementadas en el centro de Virtual WAN normalmente se dividen en tres categorías:
- Dispositivos de conectividad: se usa para finalizar las conexiones VPN y SD-WAN desde el entorno local. Los dispositivos de conectividad usan el Protocolo de puerta de enlace de borde (BGP) para intercambiar rutas con el centro de Conectividad de Virtual WAN.
- Dispositivos de firewall de próxima generación (NGFW):se usan con la intención de enrutamiento para proporcionar una inspección de conexión para el tráfico que atraviesa el centro de conectividad de Virtual WAN.
- conectividad de rol dual y dispositivos de firewall: dispositivo único que conecta dispositivos locales a Azure e inspecciona el tráfico que atraviesa el centro de conectividad de Virtual WAN con intención de enrutamiento.
Para obtener la lista de NVA que se pueden implementar en el centro de conectividad de Virtual WAN y sus respectivas funcionalidades, consulte Asociados de NVA de Virtual WAN.
Mecanismos de implementación
Las aplicaciones virtuales de red se pueden implementar a través de un par de flujos de trabajo diferentes. Los distintos asociados de aplicaciones virtuales de red admiten diferentes mecanismos de implementación. Cada asociado de NVA integrado de Virtual WAN admite el flujo de trabajo de Aplicación administrada de Azure Marketplace. Para obtener información sobre otros métodos de implementación, consulte la documentación del proveedor de NVA.
- Aplicación administrada de Azure Marketplace: todos los asociados de NVA de Virtual WAN usan aplicaciones administradas de Azure para implementar NVA integradas en el centro de Virtual WAN. Las aplicaciones administradas de Azure ofrecen una manera sencilla de implementar aplicaciones virtuales de red en el centro de Virtual WAN a través de una experiencia de Azure Portal creada por el proveedor de NVA. La experiencia de Azure Portal recopila parámetros críticos de implementación y configuración necesarios para implementar y arrancar la aplicación virtual de red. Para más información sobre Las aplicaciones administradas de Azure, consulte la Documentación de la aplicación administrada. Consulte la documentación del proveedor sobre el flujo de trabajo de implementación completo a través de la aplicación administrada de Azure.
- implementaciones de orquestador de NVA: determinados asociados de NVA permiten implementar aplicaciones virtuales de red en el centro directamente desde la orquestación o el software de administración de NVA. Las implementaciones de NVA del software de orquestación de NVA normalmente requieren que proporcione una entidad de servicio de Azure al software de orquestación de NVA. El software de orquestación de NVA usa la entidad de servicio de Azure para interactuar con las API de Azure para implementar y administrar NVA en el centro. Este flujo de trabajo es específico de la implementación del proveedor de NVA. Consulte la documentación del proveedor para obtener más información.
- Otros mecanismos de implementación: los asociados de NVA también pueden ofrecer otros mecanismos para implementar NVA en el centro, como plantillas de ARM y Terraform. Consulte la documentación del proveedor para obtener más información sobre otros mecanismos de implementación admitidos.
Requisitos previos
En el tutorial siguiente se supone que ha implementado un recurso de Virtual WAN con al menos un centro de Virtual WAN. En el tutorial también se da por supuesto que va a implementar NVA a través de la aplicación administrada de Azure Marketplace.
Permisos necesarios
Para implementar una aplicación virtual de red en un centro de Conectividad de Virtual WAN, el usuario o la entidad de servicio que crea y administra la aplicación virtual de red debe tener como mínimo los siguientes permisos:
- Microsoft.Network/virtualHubs leen sobre el centro Virtual WAN en el que está desplegado el NVA.
- Microsoft.Network/networkVirtualAppliances escriben sobre el grupo de recursos en el que se implementa la aplicación virtual de red.
- Microsoft.Network/publicIpAddresses/ se unen a través de los recursos de dirección IP pública que se implementan con la aplicación virtual de red para casos de uso entrantes de Internet.
Estos permisos deben concederse a la aplicación administrada de Azure Marketplace para garantizar que las implementaciones se realicen correctamente. Es posible que se requieran otros permisos en función de la implementación del flujo de trabajo de implementación desarrollado por el asociado de NVA.
Asignación de permisos a la aplicación administrada de Azure
Las aplicaciones virtuales de red que se implementan a través de la aplicación administrada de Azure Marketplace se implementan en un grupo de recursos especial del inquilino de Azure denominado grupo de recursos administrado. Al crear una aplicación administrada en la suscripción, se crea un grupo de recursos administrado correspondiente e independiente en la suscripción. Todos los recursos de Azure creados por la aplicación administrada (incluida la aplicación virtual de red) se implementan en el grupo de recursos administrados.
Azure Marketplace posee una entidad de servicio de primera entidad que realiza la implementación de recursos en el grupode recursos administrado. Esta entidad de seguridad de primera entidad tiene permisos para crear recursos en el grupo de recursos administrados, pero no tiene permisos para leer, actualizar ni crear recursos de Azure fuera del grupo de recursos administrados.
Para asegurarse de que la implementación de NVA se realiza con el nivel suficiente de permisos, conceda permisos adicionales a la entidad de servicio de implementación de Azure Marketplace mediante la implementación de la aplicación administrada con una identidad administrada asignada por el usuario que tenga permisos sobre el centro de Virtual WAN y la dirección IP pública que quiera usar con la aplicación virtual de red. Esta identidad administrada asignada por el usuario solo se usa para la implementación inicial de recursos en el grupo de recursos administrado y se usa únicamente en el contexto de esa implementación de aplicación administrada.
Nota:
Solo se pueden asignar identidades de sistema asignadas por el usuario a Aplicaciones administradas de Azure para implementar aplicaciones virtuales de red en el centro de Virtual WAN. No se admiten identidades asignadas por el sistema.
- Cree una nueva identidad asignada por el usuario. Para conocer los pasos para crear nuevas identidades asignadas por el usuario, consulte la documentación de identidad administrada. También puede usar una identidad asignada por el usuario existente.
- Asigne permisos a la identidad asignada por el usuario para tener como mínimo los permisos descritos en la sección Permisos necesarios junto con los permisos que requiera el proveedor de NVA. También puede conceder a la identidad asignada por el usuario un rol integrado de Azure, como colaborador de red que contiene un superconjunto de los permisos necesarios.
Como alternativa, también puede crear un rol personalizado con la siguiente definición de ejemplo y asignar el rol personalizado a la identidad administrada asignada por el usuario.
{
"Name": "Virtual WAN NVA Operator",
"IsCustom": true,
"Description": "Can perform deploy and manage NVAs in the Virtual WAN hub.",
"Actions": [
"Microsoft.Network/virtualHubs/read",
"Microsoft.Network/publicIPAddresses/join",
"Microsoft.Network/networkVirtualAppliances/*",
"Microsoft.Network/networkVirtualAppliances/inboundSecurityRules/*"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/{subscription where Virtual Hub and NVA is deployed}",
"/subscriptions/{subscription where Public IP used for NVA is deployed}",
]
}
Implementación de la aplicación virtual de red
En la sección siguiente se describen los pasos necesarios para implementar una aplicación virtual de red en el centro de Virtual WAN mediante la aplicación administrada de Azure Marketplace.
- Vaya al centro de Virtual WAN y seleccione Network Virtual Appliance en Proveedores de terceros.
- Seleccione Crear aplicación virtual de red.
- Elija el proveedor de NVA. En este ejemplo, se selecciona "fortinet-ngfw" y se selecciona Crear. En este momento, se le redirigirá a la aplicación administrada de Azure Marketplace del asociado de NVA.
- Siga la experiencia de creación de aplicaciones administradas para implementar la aplicación virtual de red y hacer referencia a la documentación del proveedor. Asegúrese de que la identidad del sistema asignada por el usuario creada en la sección anterior está seleccionada como parte del flujo de trabajo de creación de aplicaciones administradas.
Errores comunes de implementación
Errores de permisos
Nota:
El mensaje de error asociado a un LinkedAuthorizationFailed solo muestra un permiso que falta. Como resultado, es posible que vea un permiso que falta diferente después de actualizar los permisos asignados a la entidad de servicio, la identidad administrada o el usuario.
- Si ve un mensaje de error con código de error LinkedAuthorizationFailed, la identidad asignada por el usuario proporcionada como parte de la implementación de aplicación administrada no tenía asignados los permisos adecuados. Los permisos exactos que faltan se describen en el mensaje de error. En el ejemplo siguiente, compruebe que la identidad administrada asignada por el usuario tiene permisos READ en el centro de Virtual WAN en el que está intentando implementar la aplicación virtual de red.
The client with object id '<>' does not have authorization to perform action 'Microsoft.Network/virtualHubs/read' over scope '/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>' or the scope is invalid. If access was recently granted, please refresh your credentials
Pasos siguientes
- Para más información sobre Virtual WAN, consulte ¿Qué es Virtual WAN?
- Para más información sobre las NVA de un centro de conectividad de Virtual WAN, consulte el artículo Acerca de la aplicación virtual de red en el centro de conectividad de Virtual WAN.