Compartir a través de

Escenario: Conexión a Microsoft 365 a través de Virtual WAN mediante el emparejamiento privado de ExpressRoute

Este artículo le guía a través de una solución que usa Virtual WAN para crear una conexión a Microsoft 365 mediante Azure Virtual WAN y el emparejamiento privado de ExpressRoute. Algunos ejemplos de posibles usos de este tipo de conexión son:

  • El cliente está en una zona en la que Internet no está disponible.
  • El cliente está en un entorno muy regulado.

En muchos casos, Microsoft no recomienda usar Azure ExpressRoute con emparejamiento de Microsoft para conectarse a Microsoft 365. Cuando no usa Azure Virtual WAN, los problemas más comunes son:

  • La implementación de Azure ExpressRoute puede ser compleja en lo que respecta al enrutamiento.
  • El uso de direcciones IP públicas para el emparejamiento.
  • ExpressRoute normalmente va en contra de la directiva de distribución de Microsoft Edge.
  • Los costos de salida pueden ser elevados.
  • El costo y la escalabilidad normalmente no son comparables a las conexiones premium o superiores de Internet.

Aunque es posible solicitar que las listas de permitidos de la suscripción usen Microsoft 365 a través de Azure ExpressRoute, esto no elimina las limitaciones e implicaciones enumeradas anteriormente.

Si usa Virtual WAN y ExpressRoute con emparejamiento privado para la solución, puede mantener los costos inactivos y habilitar la redundancia. La solución de este artículo usa el comportamiento predeterminado de la red global de Microsoft en combinación con los servicios de Microsoft. El tráfico de servicio de Microsoft siempre se transporta en la red global de Microsoft. Para más información, consulte Red global de Microsoft.

Las tecnologías implicadas en esta solución son:

  • Azure ExpressRoute local.
  • Centro virtual protegido de Azure Virtual WAN.
  • Dispositivo de firewall que es capaz de llevar a cabo un enrutamiento basado en servicio.

Arquitectura

La arquitectura es sencilla. Sin embargo, al usar esta solución de Virtual WAN, el circuito de ExpressRoute no dispone de redundancia geográfica porque solo se implementa en una colocalización perimetral. Para establecer la redundancia geográfica necesaria, debe crear circuitos de ExpressRoute adicionales.

Ilustración 1

Figura 1: Diagrama de la arquitectura de la solución.

Flujo de trabajo

1. Implementación de un centro de conectividad virtual con Azure Firewall

Primero, implemente un centro de conectividad de Azure Virtual WAN con Azure Firewall. Azure Firewall se usa no solo para proteger la solución, sino también como punto de acceso a Internet. Para conocer los pasos, consulte Instalación de Azure Firewall en un centro de conectividad de Virtual WAN.

Ilustración 2

Figura 2: Captura de pantalla que muestra un centro virtual con Azure Firewall.

2. Implementación de conexiones y puerta de enlace de ExpressRoute

A continuación, implemente una puerta de enlace de ExpressRoute para la conexión a Virtual WAN. A continuación, conecte la instancia local de ExpressRoute a la puerta de enlace y proteja Internet para esa instancia de ExpressRoute. Esto anunciará una ruta predeterminada (0.0.0.0/0) al entorno local. Para conocer los pasos, consulte Creación de conexiones de ExpressRoute mediante Azure Virtual WAN.

Ilustración 3

Figura 3: Captura de pantalla que muestra un centro virtual con ExpressRoute.

3. Establecimiento de una ruta estática

Desde el entorno local, ahora puede establecer una ruta estática para que apunte a la puerta de enlace. O bien, puede usar los dispositivos de SDWAN o firewall más recientes para usar el enrutamiento basado en servicios y enviar solo tráfico de los servicios de Microsoft 365 al centro virtual protegido de Virtual WAN. Para conocer los pasos, consulte Instalación de Azure Firewall en un centro de conectividad de Virtual WAN.

4. Creación de un circuito de ExpressRoute para la redundancia geográfica

Para implementar una arquitectura de alta disponibilidad y mejorar la latencia del usuario, debe distribuir centros adicionales. Se recomienda colocar los circuitos de ExpressRoute en diferentes ubicaciones. Por ejemplo, en Frankfurt (Alemania) y Ámsterdam (Oeste de Europa). Para obtener una lista de las ubicaciones y proveedores de ExpressRoute, consulte el artículo Ubicaciones y proveedores de conectividad de ExpressRoute.

Tiene dos opciones de diseño para esta configuración:

  • Opción 1: Crear dos circuitos independientes conectados a dos centros de conectividad independientes (Figura 4).
  • Opción 2: Interconecte ambos centros de conectividad de Virtual WAN (Figura 5) y, a continuación, deshabilite la conectividad de rama a rama dentro de las propiedades del centro de conectividad virtual (Figura 6). Con esta opción, el resultado es una conexión privada, redundante y de alto rendimiento a los servicios de Microsoft 365.

Opción 1: Figura 4

Figura 4: Diagrama que muestra la configuración de circuitos independientes.

Opción 2: Figura 5

Figura 5: Diagrama que muestra la interconexión con la configuración de ambos centros de conectividad de Virtual WAN.

Opción 2: Figura 6

Figura 6: Captura de pantalla que muestra la opción Rama a rama deshabilitada.

Pasos siguientes