Esta arquitectura de referencia muestra cómo conectar una red local a una red de Azure Virtual Network mediante Azure ExpressRoute, con una red privada virtual (VPN) de sitio a sitio como conexión de conmutación por error.
Architecture
Descargue un archivo Visio de esta arquitectura.
Flujo de trabajo
La arquitectura consta de los siguientes componentes:
- Red local. Una red de área local privada que se ejecuta dentro de una organización.
- Dispositivo VPN. Un dispositivo o servicio que proporciona conectividad externa a la red local. El dispositivo VPN puede ser un dispositivo de hardware, o puede ser una solución de software como el servicio de Enrutamiento y acceso remoto (RRAS) en Windows Server 2012. Para obtener una lista de dispositivos VPN compatibles e información acerca de cómo configurar dispositivos VPN seleccionados para conectarse a Azure, consulte Acerca de los dispositivos VPN y los parámetros de IPsec/IKE para conexiones de VPN Gateway de sitio a sitio.
- Circuito ExpressRoute. Un circuito de capa 2 o capa 3 suministrado por el proveedor de conectividad que se une a la red local con Azure a través de los enrutadores perimetrales. El circuito usa la infraestructura de hardware administrada por el proveedor de conectividad.
- Puerta de enlace de red virtual de ExpressRoute. La puerta de enlace de red virtual de ExpressRoute permite que la red de Azure Virtual Network se conecte al circuito de ExpressRoute que se usa para la conectividad con la red local.
- Puerta de enlace de red virtual de VPN La puerta de enlace de red virtual de VPN permite que la red de Azure Virtual Network se conecte al dispositivo VPN en la red local. La puerta de enlace de red virtual de VPN está configurada para aceptar las solicitudes procedentes de la red local solo a través del dispositivo VPN. Para más información, consulte Conectar una red local con una red virtual de Microsoft Azure.
- Conexión VPN. La conexión tiene propiedades que especifican el tipo de conexión (IPSec) y la clave compartida con el dispositivo VPN local para cifrar el tráfico.
- Red virtual de Azure. Cada red virtual se encuentra en una sola región de Azure y puede hospedar varios niveles de aplicación. Los niveles de aplicación se pueden segmentar con subredes en cada red virtual.
- Subred de puerta de enlace. Las puertas de enlace de red virtual se conservan en la misma subred.
Componentes
Detalles del escenario
Esta arquitectura de referencia muestra cómo conectar una red local a una red Azure Virtual Network (VNet) mediante ExpressRoute, con una red privada virtual (VPN) de sitio a sitio como conexión de conmutación por error. El tráfico fluye entre la red local y la red de Azure Virtual Network a través de una conexión de ExpressRoute. Si se produce una pérdida de conectividad en el circuito de ExpressRoute, el tráfico se enruta a través de un túnel de VPN con IPSec. Implemente esta solución.
Tenga en cuenta que si el circuito de ExpressRoute no está disponible, la ruta VPN solo se ocupará de conexiones con emparejamiento privado. Las conexiones con emparejamiento público y emparejamiento de Microsoft pasan por Internet.
Recomendaciones
Las siguientes recomendaciones sirven para la mayoría de los escenarios. Sígalas a menos que tenga un requisito concreto que las invalide.
Red virtual y GatewaySubnet
Cree la conexión de puerta de enlace de red virtual de ExpressRoute y la de VPN en la misma red virtual con un objeto de puerta de enlace ya implementado. Ambas compartirán la misma subred denominada GatewaySubnet.
Si la red virtual ya incluye una subred denominada GatewaySubnet, asegúrese de que tiene un espacio de direcciones de /27 o más grande. Si la subred es demasiado pequeña, use el siguiente comando de PowerShell para quitarla:
$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Remove-AzVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet
Si la red virtual no contiene una subred denominada GatewaySubnet, cree una nueva con el siguiente comando de PowerShell:
$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.224/27"
$vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet
VPN y puertas de enlace de ExpressRoute
Compruebe que su organización cumple los requisitos previos de ExpressRoute para conectarse a Azure.
Si ya tiene una puerta de enlace de red virtual de VPN en la red de Azure Virtual Network, use el siguiente comando de PowerShell para eliminarla:
Remove-AzVirtualNetworkGateway -Name <your-gateway-name> -ResourceGroupName <your-resource-group>
Siga las instrucciones de Configuración de una arquitectura de red híbrida con Azure ExpressRoute para establecer la conexión de ExpressRoute.
Siga las instrucciones de Configuración de una arquitectura de red híbrida con Azure y VPN local para establecer la conexión de puerta de enlace de red virtual de VPN.
Después de haber establecido las conexiones de puerta de enlace de red virtual, pruebe el entorno como sigue:
- Asegúrese de que puede conectarse desde su red local a la red de Azure Virtual Network.
- Póngase en contacto con su proveedor para detener la conectividad de ExpressRoute para la prueba.
- Compruebe que todavía puede conectarse desde su red local a la red de Azure Virtual Network mediante la conexión de puerta de enlace de red virtual de VPN.
- Póngase en contacto con su proveedor para restablecer la conectividad de ExpressRoute.
Consideraciones
Estas consideraciones implementan los pilares del marco de buena arquitectura de Azure, que es un conjunto de principios guía que se pueden usar para mejorar la calidad de una carga de trabajo. Para más información, consulte Marco de buena arquitectura de Microsoft Azure.
Seguridad
La seguridad proporciona garantías contra ataques deliberados y el abuso de datos y sistemas valiosos. Para más información, consulte Introducción al pilar de seguridad.
Para obtener consideraciones generales de seguridad de Azure, consulte Servicios en la nube de Microsoft y seguridad de red.
Optimización de costos
La optimización de costos trata de buscar formas de reducir los gastos innecesarios y mejorar las eficiencias operativas. Para más información, vea Información general del pilar de optimización de costos.
Para conocer las consideraciones sobre el costo de ExpressRoute, vea estos artículos:
Excelencia operativa
La excelencia operativa abarca los procesos de las operaciones que implementan una aplicación y la mantienen en ejecución en producción. Para más información, consulte Introducción al pilar de excelencia operativa.
Para conocer las consideraciones sobre DevOps de ExpressRoute, consulte las instrucciones de Configuración de una arquitectura de red híbrida con Azure ExpressRoute.
Para conocer las consideraciones de DevOps de conexión de sitio a sitio, consulte las instrucciones de Configuración de una arquitectura de red híbrida con Azure y VPN local.
Implementación de este escenario
Requisitos previos. Debe tener una infraestructura local existente ya configurada con un dispositivo de red adecuado.
Para implementar la solución, siga estos pasos:
Seleccione el vínculo siguiente.
Espere a que el vínculo se abra en Azure Portal y seleccione el grupo de recursos en el que desea implementar estos recursos o cree un nuevo grupo de recursos. La región y la ubicación cambiarán automáticamente para coincidir con el grupo de recursos.
Actualice los campos restantes si desea cambiar los nombres de recursos, proveedores, SKU o las direcciones IP de red del entorno.
Seleccione Revisar y crear y, a continuación, Crear para implementar estos recursos.
Espere a que la implementación se complete.
Nota
Esta implementación de plantilla solo implementa los siguientes recursos:
- Un grupo de recursos (si crea uno nuevo)
- Un circuito ExpressRoute
- Una red virtual de Azure
- Una puerta de enlace de red virtual de ExpressRoute
Para que pueda establecer correctamente la conectividad de emparejamiento privado desde el entorno local al circuito de ExpressRoute, deberá implicar al proveedor de servicios con la clave de servicio del circuito. La clave de servicio se puede encontrar en la página de información general del recurso del circuito ExpressRoute. Para más información sobre cómo configurar el circuito ExpressRoute, consulte Creación o modificación de la configuración de emparejamiento. Una vez que haya configurado correctamente el emparejamiento privado, puede vincular ExpressRoute Virtual Network Gateway al circuito. Para más información, consulte Tutorial: Conexión de una red virtual con un circuito de ExpressRoute mediante Azure Portal.
Para completar la implementación de VPN de sitio a sitio como copia de seguridad en ExpressRoute, consulte Creación de una conexión VPN de sitio a sitio.
Una vez que haya configurado correctamente una conexión VPN a la misma red local en la que configuró ExpressRoute, habrá completado la configuración para realizar una copia de seguridad de la conexión de ExpressRoute si se produce un error total en la ubicación de emparejamiento.
Colaboradores
Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.
Autor principal:
- Sarah Parkes | Arquitecta sénior de soluciones en la nube
Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.
Pasos siguientes
- Documentación de ExpressRoute
- Línea de base de seguridad de Azure para ExpressRoute
- Crear un circuito de ExpressRoute
- Blog de Redes de Azure
- Configuración de conexiones ExpressRoute y de sitio a sitio coexistentes con PowerShell