Conceptos básicos de las redes de Azure VMware Solution

  • Artículo

En este artículo se resumen algunos conceptos fundamentales sobre las redes de Azure VMware Solution. Comprender estos conceptos es un requisito previo para comprender las arquitecturas de red que se tratan en los otros artículos de esta guía.

Circuitos de Azure ExpressRoute y nubes privadas de Azure VMware Solution

Azure VMware Solution se ejecuta en nodos VMware ESXi sin sistema operativo implementados en un centro de datos de Azure y conectados a su red física. De la misma manera que los circuitos de ExpressRoute permiten establecer conectividad de nivel 3 entre redes externas y redes virtuales de Azure, una implementación dedicada de ExpressRoute proporciona conectividad de nivel 3 entre nodos ESXi físicos y redes virtuales de Azure.

Cuando se aprovisiona una nube privada de Azure VMware Solution, también se crea una instancia de un circuito de ExpressRoute asociado en una suscripción administrada por Microsoft. El propietario de la nube privada puede conectar el circuito a una o varias puertas de enlace de red virtual de ExpressRoute en redes virtuales de Azure canjeando claves de autorización para el circuito. Este procedimiento es el mismo que el que se usa para crear conexiones entre puertas de enlace de ExpressRoute y circuitos administrados por el cliente. Consulte la documentación de Azure VMware Solution para obtener instrucciones detalladas.

Diagram that shows how Azure VMware Solution private clouds connect to Azure virtual networks over ExpressRoute circuits.

ExpressRoute Global Reach y nubes privadas de Azure VMware Solution

No se puede usar una puerta de enlace de Azure ExpressRoute para enrutar el tráfico entre ubicaciones locales que están conectadas a ella a través de circuitos diferentes. Esta limitación también se aplica a la implementación de ExpressRoute dedicada de Azure VMware Solution, como se muestra aquí:

Diagram showing that ExpressRoute doesn't support routing traffic between different circuits that are connected to the same gateway.

Global Reach es una característica de ExpressRoute que permite conectar dos circuitos de ExpressRoute para que las redes conectadas a cada circuito puedan enrutar el tráfico entre sí a través de la red troncal de Microsoft. Global Reach está disponible en la implementación dedicada de ExpressRoute de Azure VMware Solution. Por tanto, puede usar Global Reach para conectar circuitos de ExpressRoute administrados por Azure VMware Solution a circuitos que administra usted, lo que proporciona conectividad de nivel 3 entre redes locales y nubes privadas de Azure VMware Solution.

Diagram that shows how ExpressRoute Global Reach enables direct Layer 3 connectivity to on-premises sites over ExpressRoute.

Nota:

Para lograr la máxima resistencia, se deben usar dos circuitos ExpressRoute administrados por el cliente en diferentes ubicaciones de emparejamiento para conectar centros de datos locales a la red troncal de Microsoft. En este caso, cada circuito ExpressRoute administrado por el cliente debe tener una conexión Global Reach a la nube privada de Azure VMware Solution (y a redes virtuales de Azure). Revise este artículo para obtener instrucciones sobre implementaciones de ExpressRoute resistentes.

Topología de red de Azure VMware Solution

Una infraestructura de nube privada de Azure VMware Solution incluye varios segmentos de red. Los segmentos se implementan con la pila de virtualización de red (conmutadores virtuales distribuidos) de VMware y se conectan a la infraestructura física subyacente a través de las NIC físicas de los hosts ESXi.

  • Las redes de administración admiten funciones básicas de clúster de vSphere, como vCenter Server y máquinas virtuales de administración NSX-T, vMotion, replicación y vSAN. El espacio de direcciones de las redes de administración se asigna a partir del bloque de direcciones /22 que se asigna a cada nube privada de Azure VMware Solution durante el aprovisionamiento. Consulte Consideraciones sobre el enrutamiento y la subred para obtener más información sobre cómo se asignan los intervalos de direcciones IP a partir del bloque /22 a las redes de administración.

  • Los segmentos de carga de trabajo son segmentos NSX-T definidos por el cliente a los que se asocian las máquinas virtuales de Azure VMware Solution. El intervalo de direcciones de un segmento de carga de trabajo está definido por el cliente. No se puede superponer con:

    • Bloque de administración /22 de la nube privada de Azure VMware Solution.
    • Intervalos de direcciones usados en redes virtuales de Azure emparejadas.
    • Intervalos de direcciones usados en redes remotas que están conectadas a la nube privada.

    Los segmentos de carga de trabajo se pueden conectar a puertas de enlace de nivel 1. Una nube privada de Azure VMware Solution puede tener una o varias puertas de enlace de nivel 1. Puede vincular puertas de enlace de nivel 1 a la puerta de enlace predeterminada de nivel 0 de la nube privada, que proporciona conectividad a la red física fuera del clúster de vSphere o NSX-T.

La topología de red de una nube privada de Azure VMware Solution es la siguiente:

Diagram that shows a network topology of an Azure VMware Solution private cloud.

Enrutamiento dinámico en Azure VMware Solution

Las nubes privadas de Azure VMware Solution se conectan a redes virtuales de Azure y sitios remotos a través del circuito de ExpressRoute administrado. El Protocolo de puerta de enlace de borde (BGP) se usa para el intercambio dinámico de rutas, como se muestra a continuación:

Diagram that shows how route propagation works in Azure VMware Solution.

En la topología estándar que se muestra en la ilustración anterior:

  • Las rutas para segmentos de administración y carga de trabajo en la nube privada de Azure VMware Solution se anuncian a todas las puertas de enlace de ExpressRoute que están conectadas al circuito administrado de la nube privada. En la dirección opuesta, las puertas de enlace de ExpressRoute anuncian rutas para:

    • Prefijos que componen el espacio de direcciones de su propia red virtual.
    • Prefijos que componen el espacio de direcciones de todas las redes virtuales emparejadas directamente, si el emparejamiento está configurado para permitir el tránsito de puerta de enlace (línea de puntos roja en el diagrama).

  • Las rutas para segmentos de administración y carga de trabajo en la nube privada de Azure VMware Solution se anuncian a todos los circuitos de ExpressRoute conectados al circuito administrado de la nube privada a través de Global Reach. En la dirección opuesta, todas las rutas anunciadas desde el sitio local a través del circuito de ExpressRoute administrado por el cliente se propagan a la nube privada de Azure VMware Solution (línea amarilla sólida en el diagrama).

  • Todas las puertas de enlace de ExpressRoute que están conectadas al circuito de ExpressRoute administrado por el cliente aprenden las rutas anunciadas desde el sitio local a través del circuito. Las rutas se insertan en:

    • Tabla de rutas de la red virtual de la puerta de enlace.
    • Tabla de rutas de todas las redes virtuales emparejadas directamente, si el emparejamiento está configurado para permitir el tránsito de puerta de enlace.

    En la dirección opuesta, las puertas de enlace de ExpressRoute anuncian rutas para:

    • Prefijos que componen el espacio de direcciones de su propia red virtual.
    • Prefijos que componen el espacio de direcciones de todas las redes virtuales emparejadas directamente, si el emparejamiento está configurado para permitir el tránsito de puerta de enlace (línea verde discontinua en el diagrama).

Nota:

Las puertas de enlace de ExpressRoute no propagan rutas entre conexiones de circuito. En el diagrama anterior, la puerta de enlace de ExpressRoute no propaga las rutas aprendidas en la sesión BGP representada por la línea de puntos roja a la sesión BGP representada por la línea verde discontinua o viceversa. Por eso es necesario Global Reach para habilitar la conectividad entre la nube privada de Azure VMware Solution y el sitio local.

Cargos de la transferencia de datos de salida

Se crea una instancia de un circuito de ExpressRoute administrado que está asociado a una nube privada de Azure VMware Solution en una suscripción propiedad de Microsoft. En las suscripciones no se facturan costos (cuotas mensuales o tarifas de transferencia de datos) asociados al circuito administrado. En concreto, en sus suscripciones no se factura lo siguiente:

  • Tarifas mensuales de ExpressRoute por el circuito administrado.
  • Tráfico transferido desde una red virtual de Azure a la nube privada a través del circuito administrado.
  • Cargos por el tráfico de entrada y de salida de ExpressRoute Global Reach. Cuando un circuito de ExpressRoute de su propiedad está conectado a través de Global Reach a un circuito administrado de Azure VMware Solution, se suprimen también los cargos de entrada y salida de Global Reach en su circuito, si está en la misma región geopolítica que la nube privada.

De la puerta de enlace de red virtual de ExpressRoute que está conectada al circuito administrado de la nube privada se crea una instancia en una red virtual de su propiedad, por lo que se factura a las tarifas estándar de puerta de enlace de red virtual de ExpressRoute.

Los demás recursos relacionados con la red, como las puertas de enlace de VPN de Azure, los servidores de rutas de Azure, los emparejamientos de red virtual y las direcciones IP públicas, que se requieren en las topologías descritas en esta guía, deben implementarse en su suscripción. Se facturan a las tarifas estándar.

Para obtener más información sobre la facturación de Azure VMware Solution, consulte el artículo de preguntas comunes.

Pasos siguientes

Consulte más información sobre la conectividad entre Azure VMware Solution y sitios locales.

Conectividad con sitios locales