Uno de los aspectos esenciales de la arquitectura Landing Zone es la topología de red, dado que define como las aplicaciones se comunicarán entre ellas.
En este apartado se analizan las tecnologías y soluciones de topología para el despliegue en la nube de Azure. Los dos modelos principales de topologías son:
HUB & Spoke estándar
Se trata de una topología de red en estrella compuesta por concentradores (hub) y radios (spoke), que permite la creación a gran escala de redes seguras y personalizadas dónde se puede administrar el enrutamiento y la seguridad de las cargas de trabajo.
Esta configuración de topología de red (hub-and-spoke) usa los siguientes elementos arquitectónicos:
- Virtual Network Manager (Opcional). Es un servicio de administración que le ayuda a agrupar, configurar, implementar y administrar redes virtuales a escala entre las suscripciones, regiones e inquilinos de Azure. Con Virtual Network Manager, puede definir grupos de redes virtuales para identificar y segmentar lógicamente las redes virtuales. Puede definir y aplicar configuraciones de conectividad y seguridad en todas las redes virtuales de un grupo de red a la vez.
- Red virtual de concentrador (HUB). La red virtual del centro hospeda servicios compartidos de Azure. Las cargas de trabajo hospedadas en las redes virtuales de radio (Spoke) pueden usar estos servicios. La red virtual de HUB es el punto central de conectividad para las redes entre entornos locales.
- Redes virtuales de radio (Spoke). Las redes virtuales de radio (spoke) aíslan y administran cargas de trabajo por separado en cada spoke. Cada carga de trabajo puede incluir varios niveles, con varias subredes que se conectan mediante equilibradores de carga de Azure. Los spokes pueden existir en distintas suscripciones y representar entornos diferentes, como los de producción y no producción.
- Conectividad de red virtual. Esta arquitectura conecta redes virtuales mediante conexiones de emparejamiento (Peering) o grupos conectados. Las conexiones de emparejamiento y los grupos conectados son conexiones no transitivas de baja latencia entre las redes virtuales. Las redes virtuales emparejadas o conectadas pueden intercambiar tráfico a través de la red troncal de Azure sin necesidad de un enrutador. Azure Virtual Network Manager crea y administra los grupos de red y sus conexiones.
- Host de Azure Bastion (Opcional). Azure Bastion proporciona conectividad segura desde Azure Portal a las máquinas virtuales (VM) mediante el explorador. Un host de Azure Bastion implementado dentro de una red virtual de Azure puede acceder a las máquinas virtuales de esa red virtual o de redes virtuales conectadas.
- Azure Firewall (Opcional). Existe una instancia de Azure Firewall administrada en su propia subred. Este servicio de firewall con estado tiene alta disponibilidad integrada y escalabilidad en la nube sin restricciones para ayudarle a crear, aplicar y registrar directivas de conectividad de red y aplicaciones en suscripciones y redes virtuales
- Puerta de enlace de Azure VPN Gateway o Azure ExpressRoute. Una puerta de enlace de red virtual permite que una red virtual se conecte a un dispositivo de red privada virtual (VPN) o a un circuito de Azure ExpressRoute. La puerta de enlace proporciona conectividad de red entre entornos locales.
- Dispositivo VPN. Un dispositivo o servicio VPN proporciona conectividad externa a la red entre entornos locales. El dispositivo VPN puede ser un dispositivo de hardware o una solución de software como el servicio de enrutamiento y acceso remoto (RRAS) de Windows Server.
- Azure Monitor: Recopilar y analizar datos de telemetría de los entornos inter-locales (incluidos Azure y el entorno local) y actúa en función de ellos. También Azure Monitor ayuda a maximizar el rendimiento y la disponibilidad de las aplicaciones, y a identificar de forma proactiva los problemas en cuestión de segundos.
En esta topología, se considere la posibilidad de usar rutas definidas por el usuario (UDR) para forzar que el tráfico del spoke se envíe a Azure Firewall o a una NVA que actúa como un enrutador en el centro. Este cambio permitirá que los radios se conecten entre sí. Para admitir esta configuración, se debe implementar una instancia de Azure Firewall o NVA con la configuración de túnel forzado (Forced Tunnel) habilitada.
Hub-and-Spoke con Virtual WAN (vWAN)
Este modelo está basado en un servicio administrado por Microsoft, para implementaciones de grandes redes globales que requieren conectividad de tránsito global entre las regiones de Azure y las ubicaciones locales. Al tratarse de una solución administrada por Microsoft ayuda a reducir la complejidad general y elimina la necesidad de configurar manualmente las opciones de conectividad de red, como las tablas de rutas personalizadas o firewall.
El Hub es una red virtual en Azure que actúa como punto central de conectividad para la red local. Los spokes son redes virtuales que se emparejan con el centro y se pueden usar para aislar las cargas de trabajo. El tráfico fluye entre los centros de datos locales (CPDs) y el centro de conectividad a través de una conexión ExpressRoute o una VPN Gateway. El diferenciador principal de este enfoque es el uso de Azure Virtual WAN (vWAN) para reemplazar los centros de conectividad por uno con un servicio administrado.
Esta arquitectura incluye las ventajas de la topología de red tipo hub-and-spoke estándar y presenta nuevas ventajas, como:
- Menor sobrecarga operativa al reemplazar los centros de conectividad (Hub) existentes por un servicio VWAN totalmente administrado.
- Ahorro de costos mediante el uso de un servicio administrado y la eliminación de la necesidad de una aplicación virtual de red (NVA) (*).
- Mejora de la seguridad mediante la introducción de centros protegidos administrados centralmente con Azure Firewall y VWAN para minimizar los riesgos de seguridad relacionados con una configuración incorrecta.
- Separación de intereses entre la TI central (SecOps e InfraOps) y las cargas de trabajo (DevOps).
La arquitectura consta de lo siguiente:
- Red local. Una red de área local privada (LAN) que se ejecuta dentro de una organización.
- Dispositivo VPN. Un dispositivo o servicio que proporciona conectividad externa a la red local.
- Puerta de enlace de red virtual de VPN o puerta de enlace de ExpressRoute. La puerta de enlace de red virtual permite que la red virtual se conecte al dispositivo VPN o al circuito de ExpressRoute que se usa para la conectividad con la red local.
- Centro de conectividad de Virtual WAN. Virtual WAN se utiliza como el centro de conectividad en la topología de red en estrella tipo hub-and-spoke. El centro es el punto central de conectividad a la red local y un lugar para hospedar los servicios que se pueden usar en las diferentes cargas de trabajo hospedadas en las redes virtuales de los spokes.
- Centro virtual protegido. Un centro de conectividad de Virtual WAN con directivas de enrutamiento y seguridad asociadas configuradas por Azure Firewall Manager. Un centro virtual protegido incluye un enrutamiento integrado, por lo que no es necesario configurar rutas definidas por el usuario.
- Subred de puerta de enlace. Las puertas de enlace de red virtual se conservan en la misma subred.
- Redes virtuales de radio (Spoke). Una o varias redes virtuales que se usan como radios en la topología en estrella tipo hub-and-spoke. Los radios pueden utilizarse para aislar las cargas de trabajo en sus propias redes virtuales, que se administran por separado desde otros radios. Cada carga de trabajo puede incluir varios niveles, con varias subredes que se conectan a través de equilibradores de carga de Azure.
- Emparejamiento de red virtual. Se pueden conectar dos redes virtuales mediante una conexión de emparejamiento VNet. Las conexiones de emparejamiento son conexiones no transitivas de baja latencia entre las redes virtuales. Una vez establecido el emparejamiento, las redes virtuales intercambian el tráfico mediante la red troncal de Azure, sin necesidad de enrutador. En una topología de red en estrella tipo hub-and-spoke, el emparejamiento de red virtual se usa para conectar el centro a cada radio. Azure Virtual WAN permite la transitividad entre centros de conectividad, lo que no es posible únicamente mediante el emparejamiento.
Actualización dinámica de tablas de rutas
El núcleo de la solución es Azure Route Server. Este servicio simplifica la configuración, el mantenimiento y la implementación de las aplicaciones virtuales de red en la red virtual. Cuando se usa el “Route Server”, ya no es necesario actualizar manualmente las tablas de rutas de la aplicación virtual de red (NVA) cuando cambian las direcciones de red virtual.
Virtual WAN (vWAN)
La arquitectura de Virtual WAN es del tipo hub-and-spoke y cuenta con escalado y rendimiento integrados en las branchs (dispositivos VPN y SD-WAN), los usuarios (clientes de VPN de Azure, OpenVPN e IKEv2), los circuitos de ExpressRoute y las redes virtuales. Permite una arquitectura de red de tránsito global donde el «centro de conectividad» de la red que se hospeda en la nube permite la conectividad transitiva entre puntos de conexión que pueden estar distribuidos en distintos tipos de «spokes».
Las regiones de Azure sirven como concentradores que se pueden elegir para conectar. Todos los centros de conectividad están conectados en una malla completa en una red WAN virtual estándar, lo que facilita al usuario el uso de la red troncal de Microsoft para la conectividad de cualquier tipo (cualquier spoke).
En el caso de la topología radial con dispositivos SD-WAN y VPN, los usuarios pueden configurarla manualmente en Azure Virtual WAN, o bien usar la solución de asociado CPE de Virtual WAN (SD-WAN/VPN) para configurar la conectividad con Azure. Hay una lista de asociados que admiten la automatización de la conectividad (la capacidad de exportar la información del dispositivo a Azure, descargar la configuración de Azure y establecer conectividad) con Azure Virtual WAN.
Tipos de virtual WAN (vWAN)
Existen dos tipos de WAN virtuales: Básico y Estándar. En la tabla siguiente se muestran las configuraciones disponibles para cada tipo.
| Tipo de vWAN | Tipo de vWAN Hub | Configuraciones disponibles |
|---|---|---|
| Básica | Básico | Solo VPN de sitio a sitio |
| Estándar | Estándar | ExpressRoute VPN de usuario (P2S) VPN (sitio a sitio) Tránsito entre centros de conectividad y de red virtual a red virtual mediante el centro de conectividad virtual Azure Firewall NVA en una red WAN virtual |
Se puede actualizar de Básico a Estándar, pero no a la inversa.
Conectividad de tránsito
Conectividad de tránsito entre redes virtuales
Virtual WAN permite la conectividad de tránsito entre redes virtuales. Las redes virtuales se conectan a un centro virtual a través de una conexión de red virtual. La conectividad de tránsito entre las redes virtuales de Virtual WAN Estándar se habilita debido a la presencia de un enrutador en cada centro virtual. Se crea una instancia de este enrutador la primera vez que se crea el centro virtual.
El enrutador puede tener cuatro estados de enrutamiento: Provisioned, Provisioning, Failed o None. El estado del enrutamiento se encuentra en Azure Portal. Solo hay que ir a la página del centro virtual.
- El estado None (No) indica que el centro virtual no ha aprovisionado el enrutador. Esto puede ocurrir si la instancia de Virtual WAN es del tipo Básico o si el centro virtual se ha implementado antes de que el servicio estuviera disponible.
- El estado Failed indica un error durante la creación de instancias. Para crear una instancia del enrutador o restablecerlo, puede encontrar la opción Reset Router (Restablecer enrutador) en la página de información general del centro virtual en Azure Portal.
Conectividad de tránsito entre VPN y ExpressRoute
Virtual WAN permite la conectividad de tránsito entre VPN y ExpressRoute. Esto implica que los sitios conectados mediante VPN o los usuarios remotos pueden comunicarse con sitios conectados mediante ExpressRoute. La administración de todas las rutas la proporciona el enrutador del centro virtual, que también permite la conectividad de tránsito entre las redes virtuales.
Enrutamiento personalizado
Virtual WAN proporciona mejoras de enrutamiento avanzadas. La capacidad para configurar tablas de rutas personalizadas, optimizar el enrutamiento de redes virtuales con la asociación y propagación de rutas, agrupar lógicamente tablas de rutas con etiquetas y simplificar numerosos escenarios de enrutamiento de dispositivos virtuales de red (NVA) o de servicios compartidos.
Emparejamiento de red virtual global
El emparejamiento de red virtual global proporciona un mecanismo para conectar dos redes virtuales de diferentes regiones. En Virtual WAN, las conexiones de red virtual conectan redes virtuales a centros virtuales. El usuario no necesita configurar el emparejamiento global de redes virtuales de forma explícita. Las redes virtuales conectadas a un centro virtual en la misma región incurren en cargos de emparejamiento de red virtual. Las redes virtuales conectadas a un centro virtual de otra región incurren en cargos de emparejamiento de red virtual global.
Tablas de ruta
Las tablas de rutas ahora tienen características para la asociación y propagación. Las tablas de rutas preexistentes no tienen estas características. Si tiene rutas preexistentes en el enrutamiento del centro y desea usar las nuevas funcionalidades, tenga en cuenta lo siguiente:
- Clientes de la versión Estándar de Virtual WAN con rutas preexistentes en un centro virtual: si tiene rutas preexistentes en la sección Enrutamiento del centro en Azure Portal, primero tendrá que eliminarlas y, después, intentar crear tablas de rutas nuevas (disponibles en la sección Tablas de rutas del centro en Azure Portal). Es mejor realizar el paso de eliminación en todos los centros de conectividad de una WAN virtual.
- Clientes de la versión Básica de Virtual WAN con rutas preexistentes en un centro virtual: Si tiene rutas preexistentes en la sección Enrutamiento del centro de Azure Portal, primero debe eliminarlas y, después, actualizar la versión Básica de Virtual WAN a la versión Estándar.