View
218
Download
0
Category
Preview:
Citation preview
Lo que los arquitectos de TI necesitan
saber sobre las redes en las plataformas
y los servicios en la nube de Microsoft.
Microsoft Cloud
Networking para
arquitectos
profesionales1 2 3 4 51 2 3 4 5Este es el tema 1 de una serie de 6
Desarrollo de la red para la conectividad en la nubeLa migración a nube cambia el volumen y el carácter de los flujos de tráfico dentro y fuera de
una red corporativa. También afecta a los métodos para mitigar los riesgos de seguridad.
Las inversiones en la infraestructura de red comienzan con la conectividad. Las inversiones adicionales
dependen de la categoría del servicio en la nube.
La mayoría de las inversiones en infraestructura de red se realizaban para
garantizar la disponibilidad, la fiabilidad y el rendimiento de la conectividad a
los centros de datos locales. Para muchas organizaciones, la conectividad a
Internet no era crítica para las operaciones empresariales internas. Los límites
de la red eran las principales defensas contra las infracciones de seguridad.
Con la productividad migrada y las nuevas cargas de trabajo de TI que se
ejecutan en la nube, las inversiones en infraestructura se han trasladado de
los centros de datos locales a la conectividad a Internet, que ahora es crítica
para las operaciones empresariales internas. La conectividad federada
traslada la estrategia de seguridad hacia la protección de las identidades y
los datos que se transmiten a través de la red y los puntos de conectividad a
los servicios en la nube de Microsoft.
Áreas de inversión en redes para lograr el éxito en la nube
Las organizaciones empresariales se benefician de seguir un enfoque
metódico para optimizar el rendimiento de la red en la intranet y a
Internet. También se puede beneficiar de una conexión de ExpressRoute.
Optimizar la conectividad
de la intranet a la red
perimetral
Con el paso de los años, muchas
organizaciones han optimizado la
conectividad a la intranet y el rendimiento
de la aplicaciones que se ejecutan en
centros de datos locales. Con la
productividad y las cargas de trabajo de TI
que se ejecutan en la nube de Microsoft,
la inversión adicional debe garantizar una
disponibilidad de gran conectividad y que
el rendimiento del tráfico entre la red
perimetral y los usuarios de la intranet sea
óptimo.
Aunque puede usar la conexión a Internet
actual de la red perimetral, el tráfico que
entra y sale de los servicios en la nube de
Microsoft debe compartir la canalización
con otro tráfico de la intranet que se
dirige a Internet. Además, el tráfico a los
servicios en la nube de Microsoft varía
según la congestión del tráfico de
Internet.
Para lograr un SLA elevado y el mejor
rendimiento, use ExpressRoute, una
conexión WAN dedicada entre su red y
Azure, Office 365, Dynamics 365 o los tres.
ExpressRoute puede aprovechar el
proveedor de red existente para
establecer una conexión dedicada. Los
recursos que conecta ExpressRoute
aparecen como si estuvieran en la WAN,
incluso en las organizaciones distribuidas
geográficamente.
Los servicios SaaS de Microsoft incluyen Office 365,
Intune Microsoft y Microsoft Dynamics 365. Una
adopción satisfactoria de los servicios SaaS por parte
de los usuarios depende de una conectividad a
Internet (o directamente a los servicios en la nube de
Microsoft) de alto rendimiento y disponibilidad.
La arquitectura de la red se centra en un ancho de
banda amplio y en una conectividad redundante
y fiable. Las inversiones constantes incluyen
la supervisión y el ajuste del rendimiento.
SaaSSoftware como servicio
Además de las inversiones en servicios SaaS de
Microsoft, las aplicaciones PaaS ubicadas en varios
sitios o distribuidas geográficamente podrían
requerir la gestión de Microsoft Azure Traffic
Manager para distribuir el tráfico de cliente. Las
inversiones constantes incluyen pruebas de
conmutación por error, supervisión y distribución del
tráfico y el rendimiento.
PaaS de AzurePlataforma como servicio
Además de las inversiones en los servicios SaaS y
PaaS de Microsoft, ejecutar cargas de trabajo de TI
en IaaS requiere diseñar y configurar redes
virtuales de Azure que hospeden máquinas
virtuales, una conectividad segura a las
aplicaciones que se ejecutan en ellas, el
enrutamiento, el direccionamiento IP, DNS y un
equilibrio de carga. Las inversiones constantes
incluyen la supervisión y la solución de problemas
de rendimiento y seguridad.
IaaS de AzureInfraestructura como servicio
El ámbito de las inversiones en la red depende de la categoría del
servicio en la nube. Invertir en la nube de Microsoft maximiza las
inversiones de los equipos de redes. Por ejemplo, las inversiones de los
servicios SaaS sirven para todas las categorías.
Crear una arquitectura de conectividad a Internet redundante, fiable y con un ancho de banda amplio
Supervisar y ajustar la capacidad de proceso de Internet en relación con el rendimiento
Solucionar problemas de conectividad a Internet y de capacidad de proceso
Diseñar Azure Traffic Manager para que equilibre la carga del tráfico que se dirige a distintos puntos de conexión
Crear una arquitectura de conectividad a las redes virtuales de Azure redundante, fiable y con un buen rendimiento
Diseñar una conectividad segura a las máquinas virtuales de Azure
Diseñar e implementar el enrutamiento entre ubicaciones locales y redes virtuales
Diseñar e implementar el equilibrio de carga para cargas de trabajo de TI internas y orientadas a Internet
Solucionar problemas de conectividad a máquinas virtuales y de capacidad de proceso
Área de inversión SaaS PaaS IaaS
Para un SLA elevado a
Servicios en la nube de
Microsoft, use ExpressRoute
Optimizar el rendimiento
en la red perimetral
A medida que aumenta el tráfico de
productividad que viaja a la nube a diario,
debe examinar exhaustivamente el
conjunto de sistemas que hay en la red
perimetral para garantizar que están
actualizados, que proporcionan una alta
disponibilidad y que tienen capacidad
suficiente para satisfacer las cargas
máximas.
Septiembre de 2016
Antes de la llegada de la nube Después de la llegada de la nube
© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a CloudAdopt@microsoft.com.© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a CloudAdopt@microsoft.com.
6
ExpressRoute para Office 365ExpressRoute para Office 365
ExpressRoute para AzureExpressRoute para Azure
Firewall interno: barrera entre su red de confianza y
otra que no sea confiable. Lleva a cabo el filtrado del
tráfico (basado en reglas) y la supervisión.
Carga de trabajo externa: sitios web u otras cargas de
trabajo a disposición de los usuarios externos de
Internet.
Servidor proxy: atiende las solicitudes de contenido web
en nombre de los usuarios de la intranet. Un proxy
inverso permite las solicitudes entrantes no solicitadas.
Firewall externo: permite el tráfico saliente y el tráfico
entrante especificado. Puede traducir direcciones.
Conexión WAN a ISP: conexión a un ISP (basada en
proveedor) que se comunica con Internet para
conseguir la conectividad y el enrutamiento.
Lo que los arquitectos de TI necesitan
saber sobre las redes en las plataformas
y los servicios en la nube de Microsoft.
1 2 3 4 51 2 3 4 5Este es el tema 2 de una serie de 6
Elementos comunes de la conectividad de la nube de Microsoft
La integración de las redes en la nube de Microsoft proporciona un acceso óptimo a
una amplia gama de servicios.
Opciones de conectividad en la nube de Microsoft
Septiembre de 2016
Pasos para preparar la red para los servicios en la nube de Microsoft
Analizar los equipos cliente y optimizar el hardware de red, los controladores de software, la configuración de protocolo y los exploradores de Internet.
1 Analizar la red local para determinar la latencia del tráfico y el enrutamiento óptimo del dispositivo perimetral de Internet.
2 Analizar la capacidad y el rendimiento del dispositivo perimetral de Internet y optimizarlo para lograr los niveles más altos de tráfico.
3 Analizar la latencia entre el dispositivo perimetral de Internet (como el firewall externo) y las ubicaciones regionales del servicio en la nube de Microsoft al que se conecta.
1 Analizar la capacidad y la utilización de la conexión actual a Internet y agregar capacidad si es necesario. Otra opción es agregar una conexión de ExpressRoute.
2
Rendimiento de la intranet
El rendimiento de los recursos de Internet
se verá mermado si la intranet, incluidos
los equipos cliente, no se optimizan.
Dispositivos perimetrales
Los dispositivos situados en el perímetro
de la red son puntos de salida y pueden
incluir traductores de direcciones de red
(NAT), servidores proxy (incluidos los
inversos), firewalls, dispositivos de
detección de intrusiones o una
combinación.
Conexión a Internet
La conexión WAN a Internet y al ISP
debe tener suficiente capacidad para
albergar las cargas máximas.
También puede usar una conexión de
ExpressRoute.
DNS de Internet
Use A, AAAA, CNAME, MX, PTR y otros
registros para buscar la nube de Microsoft
o los servicios hospedados en la nube. Por
ejemplo, puede que necesite un registro
CNAME para la aplicación hospedada en
PaaS de Azure.
Áreas de redes comunes a todos los servicios en la nube de Microsoft
Red local Internet
UsuariosUsuarios
ExpressRouteExpressRoute
Microsoft AzureMicrosoft AzureMicrosoft Azure
Office 365Office 365
Microsoft IntuneMicrosoft Intune
Dynamics 365Dynamics 365
Red perimetral
Carga de trabajo externa
Carga de trabajo externa
Carga de trabajo externa
Firewall externoFirewall externoServidor proxyServidor proxy
ISP
Red local Internet
Componentes de una red perimetral típica
Firewall internoFirewall interno
Canalización
de Internet
Canalización
de Internet
Canalización
de Internet
Microsoft Cloud
Networking para
arquitectos
profesionales
Use la canalización de Internet existente o una conexión de
ExpressRoute para Office 365, Azure y Dynamics 365.
6
© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a CloudAdopt@microsoft.com.© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a CloudAdopt@microsoft.com.
Lo que los arquitectos de TI necesitan
saber sobre las redes en las plataformas
y los servicios en la nube de Microsoft.
Este es el tema 3 de una serie de 6
ExpressRoute para la conectividad en la nube de MicrosoftExpressRoute proporciona una conexión de red privada, dedicada y de alto
rendimiento con la nube de Microsoft.
ExpressRoute a la nube de Microsoft
Microsoft Cloud
Networking para
arquitectos
profesionales
Ventajas de ExpressRoute para Azure
Sin ExpressRoute
Con ExpressRoute
Conexiones de alto
rendimientoGracias a la amplia compatibilidad con las conexiones de ExpressRoute, los proveedores de Exchange y los proveedores de servicios de red, puede obtener una conexión de hasta 10 Gbps a la nube de Microsoft.
Menor costo en algunas
configuracionesAunque las conexiones de ExpressRoute suponen un costo adicional, en algunos casos una sola conexión de ExpressRoute puede costar menos que aumentar la capacidad de Internet en varias ubicaciones de la organización para proporcionar un rendimiento adecuado en los servicios en la nube de Microsoft.
Rendimiento predecible
Con una ruta dedicada al perímetro de la nube de Microsoft, el rendimiento no está sujeto a las interrupciones del proveedor de Internet y tiene un pico en el tráfico de Internet. Puede determinar a los proveedores y responsabilizarlos con un acuerdo de nivel de servicio de rendimiento y latencia en la nube de Microsoft.
Privacidad de los datos
para el tráficoLos usuarios malintencionados no podrán supervisar ni capturar o analizar paquetes del tráfico enviado a través de la conexión dedicada de ExpressRoute. Es tan seguro como usar vínculos WAN basados en Multiprotocol Label Switching (MPLS).
Con una conexión a Internet, la única parte de la ruta
de acceso a la nube de Microsoft que puede controlar
(y que puede tener una relación con el proveedor de
servicios) es el vínculo entre el perímetro de la red
local y el ISP (se muestra en verde).
La ruta de acceso entre el ISP y el perímetro de la
nube de Microsoft es un sistema de entrega de mejor
esfuerzo en Internet sujeto a interrupciones,
congestión de tráfico y la supervisión de usuarios
malintencionados (se muestra en amarillo).
Los usuarios de Internet, como usuarios móviles
o remotos, envían el tráfico a la nube de Microsoft
a través de Internet.
Ahora, con una conexión de ExpressRoute, puede
tener control, a través de una relación con su
proveedor de servicios, sobre toda la ruta de tráfico
desde su perímetro hasta el perímetro de la nube de
Microsoft. Esta conexión puede ofrecer un rendimiento
predecible y un contrato de nivel de servicio con un
tiempo de actividad del 99,9 %.
Ahora podrá disfrutar de un rendimiento y una latencia
predecibles, según la conexión de su proveedor de
servicios, en los servicios de Office 365, Azure y
Dynamics 365. En este momento no se admiten las
conexiones de ExpressRoute a Microsoft Intune.
El tráfico enviado a través de la conexión de
ExpressRoute ya no está sujeto a las interrupciones de
Internet, la congestión del tráfico ni la supervisión.
Los usuarios de Internet, como usuarios móviles o
remotos, siguen enviando el tráfico a la nube de
Microsoft a través de Internet. Una excepción es el
tráfico a una línea intranet de una aplicación
empresarial hospedada en IaaS de Azure, que se envía
por la conexión de ExpressRoute a través de una
conexión de acceso remoto a la red local.
ExpressRoute para Office 365ExpressRoute para Office 365 ExpressRoute para AzureExpressRoute para Azure
1 2 3 4 51 2 3 4 5 6
Red local Internet
UsuariosUsuarios
Microsoft AzureMicrosoft Azure
Office 365
Microsoft Intune
Dynamics 365
Edge
Edge
Nube de Microsoft
UsuariosUsuarios
ISP
Red local Internet
UsuariosUsuarios
Microsoft AzureMicrosoft AzureOffice 365
Microsoft Intune
Dynamics 365
Nube de Microsoft
Edge
Ed g e
UsuariosUsuarios
ExpressRouteExpressRoute
ISP
Consulte estos recursos adicionales para obtener
más información:
Incluso con una conexión de ExpressRoute, una parte del tráfico se sigue enviando a través de
Internet, como las consultas de DNS, la comprobación de la lista de revocación de certificados y las
solicitudes de red de entrega de contenido (CDN).
Continúa en la página siguiente
Una conexión de ExpressRoute no garantiza un mayor rendimiento en todas las configuraciones. Se puede obtener un rendimiento menor a través de una conexión de ExpressRoute de ancho de banda bajo que a través de una conexión a Internet de ancho de banda alto que esté a unos pocos saltos de un centro de datos regional de Microsoft.
Para conocer las últimas recomendaciones sobre el uso de ExpressRoute con Office 365, consulte ExpressRoute para Office 365.
Para conocer las últimas recomendaciones sobre el uso de ExpressRoute con Office 365, consulte ExpressRoute para Office 365.
Relaciones de emparejamiento de ExpressRoute a los servicios en la nube de Microsoft
Modelos de conectividad de ExpressRoute
Ethernet de punto a punto Conexión (IP VPN) universal
Su
ubicación
Microsoft
Su ubicación
1
Microsoft
Su ubicación
2
Su ubicación
3
WAN
Si el centro de datos
se encuentra en sus
instalaciones, puede
usar un vínculo
Ethernet de punto a
punto para conectarse
a la nube de
Microsoft.
Si ya usa un proveedor de
IP VPN (MPLS) para
conectar los sitios de la
organización, una
conexión de ExpressRoute
a la nube de Microsoft
actúa como otra
ubicación en su WAN
privada.
Ejemplo de la implementación de una aplicación y el flujo de tráfico con ExpressRoute
Red local
UsuariosUsuarios
ExpressRoute
SaaS de Microsoft
IaaS de Azure
Emparejamiento de Microsoft
Emparejamiento público
Emparejamiento privado
Office 365
Una única conexión de ExpressRoute admite hasta tres relaciones diferentes de emparejamiento de Border Gateway
Protocol (BGP) a distintas partes de la nube de Microsoft. BPG usa relaciones de emparejamiento para establecer la
confianza e intercambiar información de enrutamiento.
Va de un enrutador de la red perimetral a las
direcciones públicas de los servicios de Office
365 y Dynamics 365.
Admite la comunicación iniciada
bidireccionalmente.
Emparejamiento de Microsoft Va de un enrutador de la red perimetral a las
direcciones públicas de los servicios de Office
365 y Dynamics 365.
Admite la comunicación iniciada
bidireccionalmente.
Emparejamiento de Microsoft
Emparejamiento público Va de un enrutador de la red perimetral a las
direcciones IP públicas de los servicios de
Azure.
Admite la comunicación iniciada
unidireccionalmente solo desde sistemas
locales. La relación de emparejamiento no
admite comunicaciones iniciadas desde los
servicios PaaS de Azure.
Emparejamiento público Va de un enrutador de la red perimetral a las
direcciones IP públicas de los servicios de
Azure.
Admite la comunicación iniciada
unidireccionalmente solo desde sistemas
locales. La relación de emparejamiento no
admite comunicaciones iniciadas desde los
servicios PaaS de Azure.
Emparejamiento privado
Va de un enrutador del perímetro de la red de
su organización a las direcciones IP privadas
asignadas a sus redes virtuales de Azure.
Admite la comunicación iniciada
bidireccionalmente.
Es una extensión de la red de su organización a
la nube de Microsoft que incluye el
direccionamiento y el enrutamiento
internamente coherentes.
Emparejamiento privado
Va de un enrutador del perímetro de la red de
su organización a las direcciones IP privadas
asignadas a sus redes virtuales de Azure.
Admite la comunicación iniciada
bidireccionalmente.
Es una extensión de la red de su organización a
la nube de Microsoft que incluye el
direccionamiento y el enrutamiento
internamente coherentes.
Colocalizado en un intercambio de nube
Su
colocalización
Microsoft Si el centro de datos se
encuentra colocalizado
en instalaciones con un
intercambio de nube,
puede solicitar una
conexión cruzada virtual
a la nube de Microsoft a
través del intercambio de
Ethernet del proveedor
de colocalización.
PaaS de Azure
Tipos de aplicación: Análisis
IoT
Medios y CDN
Integración híbrida
Dynamics CRM
Red virtual
Máquinas virtualesMáquinas virtuales Puerta de enlace Puerta de enlace Puerta de enlace
El modo en que el tráfico viaja a través de las conexiones de ExpressRoute y dentro de la nube de Microsoft es una función de las rutas en
los saltos de la ruta de acceso entre el origen, el destino y el comportamiento de la aplicación. En este ejemplo vemos una aplicación que se
ejecuta en una máquina virtual de Azure que tiene acceso a una granja de SharePoint local a través de una conexión VPN de sitio a sitio.
Red local
Canalización
de Internet
Canalización
de Internet
Canalización
de Internet
IaaS de Azure
Red virtual
Puerta de enlacePuerta de enlacePuerta de enlace
VPN de sitio a sitioGranja de
SharePoint
Granja de
SharePoint
Con las relaciones de emparejamiento privadas y de
Microsoft:
Desde la puerta de enlace de Azure, existen
ubicaciones localesdisponibles en la conexión de
ExpressRoute.
Desde la suscripción a Office 365, las direcciones IP
públicas de dispositivos perimetrales, como
servidores proxy, están disponibles en la conexión de
ExpressRoute.
Desde el perímetro de la red local, las direcciones IP
privadas de la red virtual de Azure y las direcciones
IP públicas de Office 365 están disponibles en la
conexión de ExpressRoute.
Cuando la aplicación tiene acceso a las direcciones URL
de SharePoint Online, reenvía el tráfico a través de la
conexión de ExpressRoute a un servidor proxy del
perímetro.
Cuando el servidor proxy encuentra la dirección IP de
SharePoint Online, reenvía el tráfico de vuelta a través de
la conexión de ExpressRoute. El tráfico de respuesta
recorre la ruta inversa. El resultado es una redirección al
origen, consecuencia del comportamiento de la
aplicación y el enrutamiento.
Esta organización migró su granja de SharePoint local a SharePoint
Online en Office 365 e implementó una conexión de ExpressRoute.
Servidor de
aplicaciones
Servidor de
aplicaciones
Flujo de tráfico
SaaS de Microsoft
Office 365
Red local IaaS de Azure
Red virtual
Servidor de
aplicaciones
Servidor de
aplicaciones
Edge
ExpressRoutePuerta de enlacePuerta de enlacePuerta de enlace
La aplicación busca la dirección IP de la granja de
SharePoint usando el DNS local y todo el tráfico
atraviesa la conexión VPN de sitio a sitio.
Flujo de tráfico
Continúa en la página siguiente
Proceso
Web y móvil
Datos
Septiembre de 2016
Optimizadores de WAN
Puede implementar optimizadores de
WAN a ambos lados de una conexión de
emparejamiento privada para una red
virtual de Azure entre locales (VNet).
Dentro de la VNet de Azure, use una
aplicación de red del optimizador de
WAN de Azure Marketplace y el
enrutamiento definido por el usuario para
enrutar el tráfico a través de la aplicación.
Calidad de servicio
Use valores de Punto de código de
servicios diferenciados (DSCP) en el
encabezado IPv4 del tráfico para marcarlo
para voz, vídeo/interactivo o entrega de
mejor esfuerzo. Esto es especialmente
importante en la relación de
emparejamiento de Microsoft y en el
tráfico de Skype Empresarial Online.
Seguridad en el perímetro
Para proporcionar seguridad avanzada
en el tráfico enviado y recibido a través
de la conexión de ExpressRoute, como la
inspección del tráfico o la detección de
intrusiones y malware, coloque las
aplicaciones de seguridad en la ruta de
acceso del tráfico dentro de la red
perimetral o en el perímetro de la
intranet.
Tráfico de Internet para máquinas
virtuales
Para impedir que las máquinas virtuales
de Azure inicien el tráfico directamente
con ubicaciones de Internet, anuncie la
ruta predeterminada a Microsoft. El
tráfico de Internet se enruta a través de
la conexión de ExpressRoute y a través
de los servidores proxy locales. El tráfico
de las máquinas virtuales de Azure a los
servicios PaaS de Azure o a Office 365
se vuelve a enrutar a través de la
conexión de ExpressRoute.
Red de nube de Microsoft y de ExpressRoute
Opciones de ExpressRoute
Con ExpressRoute Con ExpressRoute Premium
El modo en que el tráfico fluye entre la red de su organización y un centro de
datos de Microsoft es una combinación de:
Sus ubicaciones.
Las ubicaciones de emparejamiento en la nube de Microsoft (las ubicaciones
físicas para conectarse al perímetro de Microsoft).
Las ubicaciones de los centros de datos de Microsoft.
Las ubicaciones de los centros de datos de Microsoft y las de emparejamiento en
la nube están conectadas a la red en la nube de Microsoft.
Cuando se crea una conexión de ExpressRoute a una ubicación de
emparejamiento en la nube de Microsoft, nos conectamos a la red en la nube de
Microsoft y a todas las ubicaciones de centros de datos de Microsoft que hay en
el mismo continente. El tráfico entre la ubicación de emparejamiento en la nube
y el centro de datos de Microsoft de destino se realiza a través de la red en la
nube de Microsoft.
Esto puede hacer que la entrega en los centros de datos locales de Microsoft no
sea óptima para el modelo de conectividad universal.
En el caso de las organizaciones que se distribuyen globalmente en varios
continentes, puede usar ExpressRoute Premium.
Con ExpressRoute Premium, puede llegar a cualquier centro de datos de Microsoft
de cualquier continente y desde cualquier ubicación de emparejamiento de
Microsoft de cualquier continente. El tráfico entre continentes se transmite a través
de la red en la nube de Microsoft.
Con varias conexiones de ExpressRoute Premium, podemos conseguir:
Mejor rendimiento en centros de datos de Microsoft locales de un continente.
Mayor disponibilidad en la nube de Microsoft global cuando una conexión
local de ExpressRoute deje de estar disponible.
ExpressRoute Premium es necesario para las conexiones de ExpressRoute basadas
en Office 365. Sin embargo, no supone un costo adicional para las empresas que
tienen 500 usuarios con licencia o más.
Para lograr una entrega
óptima, use varias conexiones
de ExpressRoute a ubicaciones
regionales de emparejamiento
en la nube de Microsoft.
Esto puede proporcionar:
Mejor rendimiento a
ubicaciones de centros de
datos de Microsoft locales
de una región.
Mayor disponibilidad en la
nube de Microsoft cuando
una conexión local de
ExpressRoute deje de estar
disponible.
Red en la nube de
Microsoft
Ubicación de
empareja-miento
Ubicación 1
Ubicación 2
Centro de datos
Más información ExpressRoute para Azure
https://azure.microsoft.com/services/
expressroute/
https://azure.microsoft.com/services/
expressroute/
ExpressRoute para Office 365
http://aka.ms/expressrouteoffice365http://aka.ms/expressrouteoffice365
En este ejemplo, el tráfico
de la sucursal de la costa
este tiene que cruzar el
país hasta una ubicación
de emparejamiento en la
nube de Microsoft de la
costa oeste y, luego, de
vuelta al centro de datos
de Azure del este de
EE. UU.
Red en la nube de
Microsoft
Ubicación de
emparejamiento
Ubicación 1
Ubicación 2
Centro de datos
Ubicación de emparejamiento
WAN
Ejemplo de conexiones de ExpressRoute Premium para
una empresa global que use Office 365
Red en la nube
de Microsoft
Red en la nube
de Microsoft
Red en la nube
de Microsoft
Red en la nube
de Microsoft
Red en la nube
de Microsoft
Cuando cada parte de la red en la nube de Microsoft está en un continente, una
empresa global crea conexiones de ExpressRoute Premium desde las oficinas de su
hub regional a las ubicaciones de emparejamiento de Microsoft.
En el caso de una oficina regional, el tráfico adecuado de Office 365 que va a:
Centros de datos de Office 365 continentales viaja a través de la red en la
nube de Microsoft dentro del continente.
Centros de datos de Office 365 en otro continente viaja a través de la red
intercontinental en la nube de Microsoft.
ExpressRoute para Office 365 y otras opciones de conexión de redExpressRoute para Office 365 y otras opciones de conexión de redEsto funciona bien con las organizaciones que están en el mismo continente. Sin
embargo, el tráfico a los centros de datos de Microsoft que están fuera del continente
de la organización viaja a través de Internet.
En el caso del tráfico intercontinental que va por la red en la nube de Microsoft, debe
usar conexiones de ExpressRoute Premium.
Planeamiento de red y ajuste del rendimiento para Office 365Planeamiento de red y ajuste del rendimiento para Office 365
Curso de Microsoft Virtual Academy sobre la administración del
rendimiento de Office 365
Curso de Microsoft Virtual Academy sobre la administración del
rendimiento de Office 365
© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a CloudAdopt@microsoft.com.© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a CloudAdopt@microsoft.com.
Internet
Lo que los arquitectos de TI necesitan
saber sobre las redes en las plataformas y
los servicios en la nube de Microsoft.
Microsoft Cloud
Networking para
arquitectos
profesionales1 2 5Este es el tema 4 de una serie de 6
Diseño de redes para SaaS de Microsoft (Office 365,
Microsoft Intune y Dynamics 365)La optimización de la red para los servicios SaaS de Microsoft requiere un análisis exhaustivo del
perímetro de Internet, los dispositivos cliente y las operaciones de TI típicas.
Consideraciones de perímetro de Internet
Septiembre de 2016
Pasos para preparar la red para los servicios SaaS de Microsoft
Migraciones únicas
Evite el uso de la red en horas pico y en las horas de aplicación de revisiones en el equipo
Si la red se debe someter a pruebas piloto y de línea base, evalúe el mantenimiento dela red y resuelva los problemas antes de llevar a cabo la migración
Realice análisis finales para futuras migraciones
Sincronizaciones continuas
Asegúrese de que se implante un sistema de supervisión del ancho de banda de la red y resuelva o descarte los errores encontrados
Use los resultados de la supervisión del ancho de banda para identificar la necesidad de cambios en la red (escalar vertical u horizontalmente, nuevos circuitos o adición de dispositivos)
Consideraciones sobre las operaciones de TI
Red local
UsuariosUsuarios
ExpressRouteExpressRoute
Office 365Office 365
Recomendaciones de servidor proxy
Configurar los clientes web con WPAD, PAC o GPO
No usar la interceptación de SSL
Usar un archivo PAC con el fin de evitar el servidor
proxy para los nombres DNS de los servicios SaaS
de Microsoft
Permitir el tráfico para la comprobación de
CRL/OCSP
Cuellos de botella del
servidor de proxy
Conexiones persistentes insuficientes (Outlook)
Capacidad insuficiente
Realizar una evaluación fuera de red
Requerir autenticación
No hay soporte para el tráfico UDP (Skype
Empresarial)
Recomendaciones de proximidad y
ubicación
No enrutar el tráfico de Internet a través de la
WAN privada
Usar el flujo de tráfico de DNS e Internet en la
región para los usuarios de fuera de la región
Usar el emparejamiento de ExpressRoute y
Microsoft de ancho de banda alto para Office 365
y Dynamics 365
Puertos de salida para Office 365
TCP 80 (para las comprobaciones CRL/OCSP)
TCP 443
UDP 3478
TCP 5223
TCP 50000-59999
UDP 50000-59999
Intervalos de direcciones IP y URL de Office 365Intervalos de direcciones IP y URL de Office 365
Consideraciones para el uso de clientes
Microsoft IntuneMicrosoft Intune
Dynamics 365Dynamics 365
Conjunto de servicios
Azure Active Directory
Office 365
Aplicaciones cliente de Office
SharePoint Online
Exchange Online
Skype Empresarial
Microsoft Intune
Dynamics 365
Equipos cliente
Determine lo siguiente:
Número máximo en cualquier momento (hora del día, estacional, picos y valles en el uso)
Ancho de banda total necesario para los picos
Latencia en el dispositivo de salida deInternet
País de origen frente a país de colocalización de centro de datos
Para cada tipo de cliente (PC, smartphone, tableta), asegúrese de que está instalada la versión actual de lo siguiente:
Sistema operativo
Explorador de Internet
TCP/IP, pila
Hardware de red
Controladores de SO para el hardware dered
Las actualizaciones y revisiones se instalan
Optimice el rendimiento de la conexión de intranet (por cable, inalámbrica o por VPN).
Rendimiento de la intranet
Use herramientas para medir los tiempos de ida y vuelta (RTT) de los dispositivos perimetrales de Internet (PsPing, Ping, Tracert, TraceTCP, Monitor de red)
Realice análisis de ruta de acceso de salida mediante protocolos de flujo
Realice análisis de dispositivos intermedios (antigüedad, mantenimiento, etc.)
Compatibilidad de NAT con Office 365Compatibilidad de NAT con Office 365
Herramienta PsPingHerramienta PsPing
Más información
http://aka.ms/tune
Planeamiento de red y ajuste del
rendimiento para Office 365
http://aka.ms/tune
Planeamiento de red y ajuste del
rendimiento para Office 365
Curso de Microsoft Virtual Academy
sobre la administración del rendimiento
de Office 365
http://aka.ms/o365perf
Curso de Microsoft Virtual Academy
sobre la administración del rendimiento
de Office 365
http://aka.ms/o365perf
ExpressRoute para Office 365
http://aka.ms/expressrouteoffice365
ExpressRoute para Office 365
http://aka.ms/expressrouteoffice365
Canalización
de Internet
Canalización
de Internet
Canalización
de Internet
Siga los Pasos para preparar la red para los servicios en la nube de Microsoft del tema 2 de este modelo.
1 Optimice la salida de Internet para los servicios SaaS de Microsoft siguiendo las recomendaciones del servidor proxy.
2 Optimice el rendimiento de Internet siguiendo las recomendaciones de proximidad y ubicación.
3 Optimice el rendimiento de los equipos cliente y la intranet en la que se encuentran siguiendo las consideraciones para el uso de clientes.
4 Si es necesario, optimice el rendimiento de las migraciones de datos y la sincronización siguiendo las consideraciones de operaciones de TI.
5
Como la transferencia de datos masiva para apl icaciones basadas en la nube o el almacenamiento de archivado. Como la información de directorios, la configuración o los archivos.
643
ExpressRoute para Office 365ExpressRoute para Office 365
© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a CloudAdopt@microsoft.com.© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a CloudAdopt@microsoft.com.
Lo que los arquitectos de TI necesitan
saber sobre las redes en las plataformas
y los servicios en la nube de Microsoft.
Microsoft Cloud
Networking para
arquitectos
profesionales1 2 3Este es el tema 5 de una serie de 6
Ancho de banda de Internet para las aplicaciones PaaS de la organización
Septiembre de 2016
Pasos de planeamiento para hospedar aplicaciones PaaS de una organización en Azure
Azure Traffic Manager
Azure Application Gateway
Diseño de redes para PaaS de AzureLa optimización de las redes para aplicaciones PaaS de Azure requiere un ancho de
banda de Internet adecuado y puede exigir la distribución del tráfico de red por
varios sitios o aplicaciones.
Las aplicaciones de la organización hospedadas en PaaS de Azure requieren ancho de banda de
Internet para los usuarios de la intranet.
Enrutamiento de nivel de aplicación y servicios de equilibrio de carga que
permiten compilar un front-end web escalable y altamente disponible en
Azure para las aplicaciones web, los servicios en la nube y las máquinas
virtuales. Actualmente, Application Gateway admite la entrega de
aplicaciones de capa 7 para lo siguiente:
Equilibrio de carga HTTP
Afinidad de sesión basada en cookies
Descarga SSL
Application GatewayApplication Gateway
Aplicación webAplicación web
Máquina virtualMáquina virtual
Servicio en la nubeServicio en la nube
Distribución de tráfico a distintos puntos de conexión, que pueden incluir
servicios en la nube o aplicaciones web de Azure ubicadas en diferentes
centros de datos o puntos de conexión externos.
Microsoft Azure
Traffic ManagerTraffic Manager
Microsoft Azure
Aplicación
web
Aplicación
web
Este de
EE. UU.
Europa
Occidental
Asia
Oriental
Aplicación
web
Aplicación
web
Aplicación
web
Aplicación
web
Aplicación
web
Este de
EE. UU.
Europa
Occidental
Asia
Oriental
Aplicación
web
Aplicación
web
Opción 1 Use la canalización existente,
optimizada para el tráfico de Internet con la
capacidad para controlar las cargas
máximas. Consulte la página 4 de este
modelo para informarse sobre el perímetro
de Internet, el uso de clientes y las
consideraciones sobre las operaciones de TI.
Opción 2 Para las necesidades de ancho de
banda alto o de baja latencia, use una
conexión de ExpressRoute a Azure.
Red local
UsuariosUsuariosExpressRouteExpressRoute
Canalización
de Internet
Canalización
de Internet
Canalización
de Internet
PaaS de Azure
Application
Gateway
Application
Gateway
1
2
Ejemplo de tres aplicaciones web
distribuidas geográficamente
UsuariosUsuariosUsuarios
UsuariosUsuariosUsuarios
1. Una consulta DNS de usuario para obtener la URL de un sitio web se dirige
a Azure Traffic Manager, que devuelve el nombre de una aplicación web
regional, basándose en el método de enrutamiento de rendimiento.
2. El usuario inicia el tráfico con la aplicación web regional.
En el caso de la distribución de tráfico a distintos puntos de conexión en diferentes centros de datos, determine si necesita Azure Traffic Manager.
5 En el caso de la distribución de tráfico a distintos puntos de conexión en diferentes centros de datos, determine si necesita Azure Traffic Manager.
5En el caso de las cargas de trabajo basadas en web, determine si necesita Azure Application Gateway.
4 En el caso de las cargas de trabajo basadas en web, determine si necesita Azure Application Gateway.
4Determine si necesita una conexión de ExpressRoute a Azure.
3 Determine si necesita una conexión de ExpressRoute a Azure.
3Optimice el ancho de banda de Internet siguiendo los pasos 2 a 4 de Pasos para preparar la red para los servicios SaaS de Microsoft del tema 4 de este modelo.
2 Optimice el ancho de banda de Internet siguiendo los pasos 2 a 4 de Pasos para preparar la red para los servicios SaaS de Microsoft del tema 4 de este modelo.
2Siga los Pasos para preparar la red para los servicios en la nube de Microsoft del tema 2 de este modelo.
1 Siga los Pasos para preparar la red para los servicios en la nube de Microsoft del tema 2 de este modelo.
1
Métodos de enrutamiento de Traffic Manager
Conmutación por error Los puntos de conexión están en los mismos centros de
datos de Azure o en otros distintos y quiere usar un punto de conexión principal
para todo el tráfico, pero también proporcionar copias de seguridad en caso de que
los puntos de conexión principales o de copia de seguridad no estén disponibles.
Round robin Quiere distribuir la carga en un conjunto de puntos de conexión
en el mismo centro de datos o en centros de datos distintos.
Rendimiento Tiene puntos de conexión en distintas ubicaciones geográficas y
quiere que los clientes solicitantes usen el punto de conexión "más próximo", es decir,
el de menor latencia.
Conmutación por error Los puntos de conexión están en los mismos centros de
datos de Azure o en otros distintos y quiere usar un punto de conexión principal
para todo el tráfico, pero también proporcionar copias de seguridad en caso de que
los puntos de conexión principales o de copia de seguridad no estén disponibles.
Round robin Quiere distribuir la carga en un conjunto de puntos de conexión
en el mismo centro de datos o en centros de datos distintos.
Rendimiento Tiene puntos de conexión en distintas ubicaciones geográficas y
quiere que los clientes solicitantes usen el punto de conexión "más próximo", es decir,
el de menor latencia.Traffic ManagerTraffic Manager
64 5
Tipos de aplicación:
Proceso
Web y móvil
Datos
Análisis
IoT
Medios y CDN
Integración
híbrida
© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a CloudAdopt@microsoft.com.© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a CloudAdopt@microsoft.com.
Lo que los arquitectos de TI necesitan
saber sobre las redes en las plataformas
y los servicios en la nube de Microsoft.
Microsoft Cloud
Networking para
arquitectos
profesionales1 2 3 4Este es el tema 6 de una serie de 6
Pasos de planeamiento para cualquier red virtual de Azure
Diseño de redes para IaaS de AzureLa optimización de las redes para las cargas de trabajo de TI hospedadas en IaaS de Azure requiere un conocimiento de
las redes virtuales (VNet) de Azure, los espacios de direcciones, el enrutamiento, el sistema DNS y el equilibrio de carga.
Paso 1: Preparar la intranet para los servicios en la nube de Microsoft.
Paso 2: Optimizar el ancho de banda de Internet.
Paso 3: Determinar el tipo de red virtual (solo en la nube o entre locales).
Red virtual
Máquinas
virtuales
Máquinas
virtuales
Una red virtual sin ninguna
conexión a una red local.
Solo en la nube
Una red virtual con una conexión VPN S2S o de ExpressRoute a una red local a través
de una puerta de enlace de Azure.
Entre locales
Red local
UsuariosUsuariosExpressRouteExpressRoute
Red virtual
Máquinas
virtuales
Máquinas
virtuales
VPN S2S
Puerta de enlacePuerta de enlacePuerta de enlace
Vea la sección adicional Pasos de planeamiento para una red virtual de Azure
entre locales es este tema.
Siga los Pasos para preparar la red para los servicios en la nube de Microsoft del
tema 2 de este modelo.
Realice los pasos 2 a 4 de Pasos para preparar la red para los servicios SaaS de
Microsoft del tema 4 de este modelo.
Pasos de planeamiento para hospedar una carga de trabajo de TI en una red virtual de Azure
Determinar el espacio de direcciones de red local para la puerta de enlace de Azure.
Para ExpressRoute, planear la nueva conexión con el proveedor.
Agregar rutas para hacer que el espacio de direcciones de la red virtual sea accesible.
Planeamiento para redes virtuales entre locales
Configurar los servidores DNS locales para la replicación DNS con servidores DNS hospedados en Azure.
5 643Determinar el uso de la tunelización forzada y las rutas definidas por el usuario.
Determinar el dispositivo o enrutador VPN local.
Determinar la conexión local a la red virtual (VPN S2S o ExpressRoute).
21 7
Determinar las subredes de la red virtual y los espacios de direcciones asignados a cada una.
Determinar el espacio de direcciones de la red virtual.
Determinar el tipo de red virtual (solo en la nube o entre locales).
Optimizar el ancho de banda de Internet..
2Preparar la intranet para los servicios en la nube de Microsoft..
1
Planeamiento para cualquier red virtual
Determinar la configuración de equilibrio de carga (accesible desde Internet o interno).
Determinar el uso de las aplicaciones virtuales y las rutas definidas por el usuario.
5
7
43Determinar la configuración del servidor DNS y las direcciones de los servidores DNS para asignar a las máquinas virtuales en la red virtual.
6
8Determinar cómo se conectarán los equipos desde Internet a las máquinas virtuales.
Para varias redes virtuales, determinar la topología de conexión de una red virtual a otra.
9 10
Continúa en la página siguiente
65
Paso 4: Determinar el espacio de direcciones de la red virtual.
DHCP asigna a las máquinas virtuales una configuración de direcciones desde
el espacio de direcciones de la subred:
Dirección/máscara de subred
Puerta de enlace predeterminada
Direcciones IP del servidor DNS
También puede reservar una dirección IP estática.
A las máquinas virtuales también se les puede asignar una dirección IP
pública, ya sea individualmente o desde el servicio en la nube que las
contiene (solo para máquinas de implementación clásicas).
Direccionamiento de redes virtuales Direccionamiento de máquinas virtuales
Tipo de red virtual Espacio de direcciones de la red virtual
Solo en la nube
Basada solo en
la nube e
inter-conectada
Entre locales
Local e
interconectada
Espacio de direcciones privadas arbitrarias
Privada arbitraria, pero sin que se superponga
con otras redes virtuales conectadas
Privada, pero sin que se superponga con redes
locales
Privada, pero sin que se superponga con otras
redes locales y virtuales conectadas
Paso 5: Determinar las subredes de la red virtual y los espacios de direcciones asignados a cada una.
Subred de puerta de enlace de Azure
Azure la necesita para hospedar las dos máquinas
virtuales de su puerta de enlace de Azure.
Especifique un espacio de direcciones que tenga
una longitud de prefijo de, al menos, 29 bits
(ejemplo: 192.168.15.248/29). Se recomienda una
longitud de prefijo de 28 bits o menor,
especialmente si va a usar ExpressRoute.
Red virtual
Subred
Máquinas
virtuales
Máquinas
virtuales
Subred
Máquinas
virtuales
Máquinas
virtuales
Subred
Máquinas
virtuales
Máquinas
virtuales
Subred de puerta de enlace
Puerta de
enlace
Puerta de
enlace
Puerta de
enlace
Subredes de hospedaje de máquinas virtuales
Coloque las máquinas virtuales de Azure en subredes siguiendo las
instrucciones locales típicas, como un rol común o el nivel de una aplicación
o para el aislamiento de la subred.
Azure usa las 3 primeras direcciones en cada subred. Por lo tanto, el número
de direcciones posibles de una subred de Azure es 2n – 5, donde n es el
número de bits de host.
Límites de redesLímites de redes
Máquinas virtuales Bits de host Tamaño de la subred
1-3
4-11
12-27
28-59
60-123
3
4
5
6
7
/29
/28
/27
/26
/25
1-3
4-11
12-27
28-59
60-123
3
4
5
6
7
/29
/28
/27
/26
/25
Máquinas virtuales Bits de host Tamaño de la subred
1-3
4-11
12-27
28-59
60-123
3
4
5
6
7
/29
/28
/27
/26
/25
Paso 6: Determinar la configuración del servidor DNS y las direcciones de los servidores DNS para
asignar a las máquinas virtuales en la red virtual.
Azure asigna a las máquinas virtuales las direcciones de los servidores DNS
mediante DHCP. Los servidores DNS pueden suministrarlos:
Azure: se proporciona un registro de nombres locales y una resolución de
nombres de Internet
Usted: se proporciona un registro de nombres locales o de intranet y una
resolución de nombres de Internet o de intranet
Resolución de nombres para las máquinas virtuales y las instancias de rolResolución de nombres para las máquinas virtuales y las instancias de rol
Tipo de red virtual Servidor DNS
Solo en la nube
Entre locales
Suministrado por Azure para la resolución de
nombres de Internet y locales
Máquina virtual de Azure para la resolución de
nombres de Internet y locales (reenvío DNS)
Local para la resolución de nombres locales y de
intranet
Máquina virtual de Azure para la resolución de
nombres de Internet y locales (replicación y reenvío
DNS)
Solo en la nube
Entre locales
Suministrado por Azure para la resolución de
nombres de Internet y locales
Máquina virtual de Azure para la resolución de
nombres de Internet y locales (reenvío DNS)
Local para la resolución de nombres locales y de
intranet
Máquina virtual de Azure para la resolución de
nombres de Internet y locales (replicación y reenvío
DNS)
Tipo de red virtual Servidor DNS
Solo en la nube
Entre locales
Suministrado por Azure para la resolución de
nombres de Internet y locales
Máquina virtual de Azure para la resolución de
nombres de Internet y locales (reenvío DNS)
Local para la resolución de nombres locales y de
intranet
Máquina virtual de Azure para la resolución de
nombres de Internet y locales (replicación y reenvío
DNS)
Continúa en la página siguiente
Planear y diseñar redes virtuales de AzurePlanear y diseñar redes virtuales de Azure
Práctica recomendada para determinar el espacio
de direcciones de la subred de puerta de enlace
de Azure:
1. Decida el tamaño de la subred de puerta de
enlace.
2. En los bits de variable del espacio de
direcciones de la red virtual, establezca los
bits usados para la subred de puerta de enlace
en 0 y establezca los bits restantes en 1.
3. Conviértalo en decimal y expréselo como un
espacio de direcciones con la longitud de
prefijo establecida en el tamaño de la subred
de puerta de enlace.
Con este método, el espacio de direcciones de la
subred de puerta de enlace siempre está en el
extremo más alejado del espacio de direcciones
de la red virtual.
Ejemplo de definición del prefijo de dirección que corresponde a la subred de puerta de enlace
El espacio de direcciones de la red virtual es 10.119.0.0/16. La organización usará inicialmente una
conexión VPN de sitio a sitio, pero al final empleará ExpressRoute.
1. Decidir el tamaño de la subred de puerta de
enlace./28
2. Establecer los bits en la parte variable del
espacio de direcciones de la red virtual: 0 para
los bits de subred de puerta de enlace (G), 1 en
caso contrario (V).
10.119. bbbbbbbb . Bbbbbbbb
10.119. VVVVVVVV . VVVVGGGG
10.119. 11111111 . 11110000
3. Convertir el resultado del paso 2 en decimal y
expresarlo como un espacio de direcciones.10.119.255.240/28
Paso Resultados
Paso 7: Determinar la configuración de equilibrio de carga (accesible desde Internet o interna).
Azure Load BalancerAzure Load Balancer
Red virtual
Máquina virtualMáquina virtual
Conjunto equilibrado de carga
Máquina virtualMáquina virtual
Regla o punto de conexión
NAT de entrada
Equilibrador de carga
Equilibrador de carga
Máquina virtualMáquina virtual
Máquina virtualMáquina virtual
Distribuye
aleatoriamente el
tráfico entrante no
solicitado desde otras
máquinas virtuales de
Azure o desde equipos
de la intranet (no
mostrados) a los
miembros de un
conjunto de carga
equilibrada.
Equilibrio de carga
interno
Red virtual
Máquina virtualMáquina virtual
Conjunto equilibrado
de carga
Máquina virtualMáquina virtual
Regla o
punto de
conexión
NAT de
entrada
Equilibrador
de carga
Equilibrador
de carga
Equilibrador
de carga
Distribuye aleatoriamente el
tráfico entrante no
solicitado de Internet a los
miembros de un conjunto
de carga equilibrada.
Equilibrio de carga
accesible desde Internet
Paso 8: Determinar el uso de las aplicaciones virtuales y las rutas definidas por el usuario.
Red virtualRed local
Puerta de enlacePuerta de enlacePuerta de enlace
Enrutamiento definido por el usuario
Es posible que deba agregar una o más rutas
definidas por el usuario a una subred para
reenviar el tráfico a aplicaciones virtuales de su
red virtual de Azure.
Reenvío de IP y rutas definidas por el usuarioReenvío de IP y rutas definidas por el usuario
Dispositivo VPNDispositivo VPNDispositivo VPN
Subred
Aplicación
virtual
Aplicación
virtual
Subred
Máquinas
virtuales
Máquinas
virtualesExpressRoute
VPN S2S
ExpressRoute
VPN S2S
Ruta definidapor el
usuario
Paso 9: Determinar cómo se conectarán los equipos de Internet a las máquinas virtuales.
Incluye el acceso desde la red de su organización a través del servidor proxy u otro dispositivo perimetral.
Red virtual
Máquina virtualMáquina virtual
Servicio en la
nube
Servicio en la
nube
Máquina virtualMáquina virtual
Grupo de seguridad de
red
Grupo de seguridad de
red
Máquina virtualMáquina virtual
Conjunto equilibrado
de carga
Punto de
conexión
Reglas
NAT de
entrada
1
2
3
Seguridad adicional:
Conexiones de Escritorio remoto y SSH, que se autentican y se cifran.
Sesiones remotas de PowerShell, que se autentican y se cifran.
Modo de transporte IPsec, que puede usar para el cifrado de extremo a extremo.
Protección DDoS de Azure, que ayuda a prevenir ataques internos y externos.
Equilibrador
de carga
Equilibrador
de carga
Métodos para filtrar o inspeccionar el tráfico entrante no solicitado
1. Puntos de conexión y ACL configurados en los
servicios en la nubeClásico
2. Grupos de seguridad de red Administrador de recursos y clásico
3. Equilibrador de carga accesible desde Internet con
reglas de NAT entrantesAdministrador de recursos
4. Aplicaciones de seguridad de red en Azure
Marketplace (no se muestra)Administrador de recursos y clásico
Método Modelo de implementación
1. Puntos de conexión y ACL configurados en los
servicios en la nubeClásico
2. Grupos de seguridad de red Administrador de recursos y clásico
3. Equilibrador de carga accesible desde Internet con
reglas de NAT entrantesAdministrador de recursos
4. Aplicaciones de seguridad de red en Azure
Marketplace (no se muestra)Administrador de recursos y clásico
Método Modelo de implementación
Paso 10: Para varias redes virtuales, determinar la topología de conexión de una red virtual a otra.
Las redes virtuales de Azure pueden conectarse entre sí mediante topologías como las que se usan
para conectar los sitios de una organización.
Cadena de margarita
Red virtualRed virtual
Concentrador y radio
Red virtualRed virtual Red virtualRed virtual Red virtualRed virtual Red virtualRed virtual
Red virtualRed virtual Red virtualRed virtual
Red virtualRed virtual Red virtualRed virtual Red virtualRed virtual Red virtualRed virtual
Malla completa
Red virtualRed virtual Red virtualRed virtual
Red virtualRed virtual Red virtualRed virtual
Seguridad en la nube de Microsoft para
arquitectos profesionales
Seguridad en la nube de Microsoft para
arquitectos profesionales
Seguridad en la nube de Microsoft para
arquitectos profesionales
Continúa en la página siguiente
Pasos de planeamiento para una red virtual de Azure entre locales
Paso 1: Determinar la conexión entre locales a la red virtual (VPN S2S o ExpressRoute).
VPN de sitio a sitio (S2S)
ExpressRoute
VPN de punto a sitio
(P2S)
VPN de red virtual a red
virtual
Conectar de 1 a 10 sitios (incluidas otras redes virtuales) a una sola red virtual de Azure.
Un vínculo seguro y privado a Azure a través de un proveedor de intercambio de Internet (IXP) o un
proveedor de servicio de red (NSP).
Conecta un solo equipo a una red virtual de Azure.
Conecta una red virtual de Azure a otra.
VPN de sitio a sitio (S2S)
ExpressRoute
VPN de punto a sitio
(P2S)
VPN de red virtual a red
virtual
Conectar de 1 a 10 sitios (incluidas otras redes virtuales) a una sola red virtual de Azure.
Un vínculo seguro y privado a Azure a través de un proveedor de intercambio de Internet (IXP) o un
proveedor de servicio de red (NSP).
Conecta un solo equipo a una red virtual de Azure.
Conecta una red virtual de Azure a otra.
Límites de redesLímites de redes Dispositivos VPN para las conexiones de red virtual de sitio a sitioDispositivos VPN para las conexiones de red virtual de sitio a sitio
Red virtual
Máquinas
virtuales
Máquinas
virtuales
Puerta de enlacePuerta de enlacePuerta de enlace
Red local
Red virtualRed virtual
AdministradorAdministradorS2S o S2S o
P2S
De red virtual a red virtual
Conexión de máquinas virtuales en la red virtual:
Administración de máquinas virtuales de redes
virtuales desde la red local o Internet
Acceso a cargas de trabajo de TI desde la red local
Extensión de la red a través de redes virtuales de
Azure adicionales
Seguridad de las conexiones:
P2S usa el protocolo de túnel de sockets de
seguros (SSTP)
S2S y red virtual a red virtual usan el modo de
túnel IPsec con AES256
ExpressRoute es una conexión WAN privada
Seguridad en la nube de Microsoft para arquitectos profesionalesSeguridad en la nube de Microsoft para arquitectos profesionalesSeguridad en la nube de Microsoft para arquitectos profesionales
Paso 2: Determinar el dispositivo o enrutador VPN local.
Red virtual
Máquinas
virtuales
Máquinas
virtuales
Red local
ExpressRoute
VPN S2S
Puerta de enlacePuerta de enlacePuerta de enlaceDispositivo VPNDispositivo VPN
Acerca de las puertas de enlace de VPNAcerca de las puertas de enlace de VPN
Paso 3: Agregar rutas para hacer que el espacio de direcciones de la red virtual sea accesible.
Enrutamiento a redes virtuales desde redes locales
1. Ruta del espacio de direcciones de red virtual
que apunta a su dispositivo VPN
2. Ruta del espacio de direcciones de red virtual
en su dispositivo VPN
Red virtualRed local
Puerta de enlacePuerta de enlacePuerta de enlaceS2S o ExpressRoute S2S o ExpressRoute Dispositivo VPNDispositivo VPN
1
Espacio de direcciones de la
red virtual1
Espacio de direcciones de la
red virtual
2
Espacio de direcciones de la
red virtual2
Espacio de direcciones de la
red virtual
Paso 4: Para ExpressRoute, planear la nueva conexión con el proveedor.
Red local
ExpressRoute
Microsoft Azure
EnrutadorEnrutadorEnrutador
Puede crear una conexión de ExpressRoute con
emparejamiento privado entre la red local y la
nube de Microsoft de tres maneras diferentes:
Colocalizada en un intercambio en la nube
Conexiones Ethernet de punto a punto
Redes (IP VPN) universales
ExpressRouteExpressRoute
Continúa en la página siguiente
El dispositivo o enrutador VPN local:
Actúa como un par IPsec, que finaliza la conexión
de VPN S2S desde la puerta de enlace de Azure.
Actúa como el par BPG y el punto de finalización
para la conexión de ExpressRoute de
emparejamiento privado.
Consulte el tema 3, ExpressRoute.
Septiembre de 2016
Paso 5: Determinar el espacio de direcciones de red local para la puerta de enlace de Azure.
Ejemplo de definición de los prefijos de la red local en torno al "orificio" del
espacio de direcciones que creó la red virtual
Una organización usa partes del espacio de direcciones privadas (10.0.0.0/8, 172.16.0.0/12 y
192.168.0.0/16) a través de su red local. Eligió la opción 2 y 10.100.100.0/24 como espacio de
direcciones de red virtual.
Enrutamiento a redes locales u otras redes
virtuales desde redes virtuales
Azure reenvía el tráfico a través de una puerta de
enlace de Azure que coincide con el espacio de
direcciones de red local asignado a la puerta de
enlace.
Definición del espacio de direcciones de la red local:
Opción 1: la lista de prefijos del espacio de
direcciones que se necesita o que está en uso
actualmente (podría ser necesario actualizar al
agregar nuevas subredes).
Opción 2: el espacio de direcciones local completo
(solo es necesario actualizar cuando se agrega un
espacio de direcciones nuevo).
Dado que la puerta de enlace de Azure no permite
rutas resumidas, debe definir el espacio de
direcciones de red local para la opción 2 de modo
que no incluya el espacio de direcciones de red
virtual.
Red virtualRed local
Puerta de enlacePuerta de enlacePuerta de enlaceS2S o ExpressRoute S2S o ExpressRoute Dispositivo VPNDispositivo VPN
Espacio de direcciones de la
red local
1. Mostrar los prefijos que no son el espacio
raíz para el espacio de direcciones de red
virtual.
172.16.0.0/12 y 192.168.0.0/16
2. Mostrar los prefijos que no se superponen
para octetos de variable hasta el último
octeto usado en el espacio de direcciones de
red virtual, pero sin incluirlo.
10.0.0.0/16, 10.1.0.0/16 10.99.0.0/16, 10.101.0.0/16 10.254.0.0/16, 10.255.0.0/16 (255 prefijos; se omite el prefijo 10.100.0.0/16)
3. Mostrar los prefijos que no se superponen
en el último octeto usado del espacio de
direcciones de red virtual.
10.100.0.0/24, 10.100.1.0/24 10.100.99.0/24, 10.100.101.0/24 10.100.254.0/24, 10.100.0.255.0/24 (255 prefijos; se omite el prefijo 10.100.100.0/24)
Paso Prefijos
Espacio de direcciones de la red virtual
Espacio de la raíz
Espacio de direcciones de la red virtual
Espacio de la raíz
Paso 6: Configurar los servidores DNS locales para la replicación con servidores DNS hospedados
en Azure.
Paso 7: Determinar el uso de la tunelización forzada.
Red virtualRed localPuntos de ruta del sistema predeterminados a
Internet. Para garantizar que todo el tráfico que
llega de las máquinas virtuales viaje a través de la
conexión entre locales, agregue una ruta
predeterminada definida por el usuario que
apunte a la puerta de enlace de Azure.
Esto se conoce como tunelización forzada.
Reenvío de IP y rutas definidas por el usuarioReenvío de IP y rutas definidas por el usuario
Dispositivo VPNDispositivo VPNDispositivo VPN
Subred
Máquinas
virtuales
Máquinas
virtualesExpressRoute
VPN S2S o
ExpressRoute
VPN S2S o
Puerta de enlacePuerta de enlacePuerta de enlace
Ruta definidapor el
usuario
Red virtualRed local
Dispositivo VPNDispositivo VPNDispositivo VPN
Subred
ExpressRoute
VPN S2S o
ExpressRoute
VPN S2S o
Puerta de enlacePuerta de enlacePuerta de enlace
Subred
Máquinas
virtuales
Máquinas
virtuales
Servidor DNSServidor DNSServidor DNSServidor DNS
Replicación y reenvío de DNS
Para garantizar que los equipos locales
puedan resolver los nombres de los
servidores basados en Azure y que estos
servidores puedan resolver los nombres de
los equipos locales, configure:
Los servidores DNS de la red
virtual para el reenvío a los
servidores DNS locales.
La replicación DNS de las zonas
apropiadas entre servidores DNS
locales y en la red virtual.
Más recursos de
TI en la nube de
Microsoft aka.ms/cloudarchoptionsaka.ms/cloudarchoptions
Opciones de
plataforma y servicios
aka.ms/cloudarchsecurityaka.ms/cloudarchsecurity
Seguridad
aka.ms/cloudarchidentityaka.ms/cloudarchidentity
Identidad
aka.ms/cloudarchhybridaka.ms/cloudarchhybrid
Entorno híbrido
© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a CloudAdopt@microsoft.com.© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a CloudAdopt@microsoft.com.
Recommended