Azure Virtual WAN permite a las empresas simplificar su conectividad global y beneficiarse de la escala de la red global de Microsoft.Azure Virtual WAN allows companies to simplify their global connectivity and benefit from the scale of the Microsoft global network. Estas notas del producto proporcionan detalles técnicos para compañías que desean migrar de una topología en estrella tipo hub-and-spoke administrada por el cliente existente a un diseño que aprovecha los centros de conectividad de Virtual WAN administrados por Microsoft.This white paper provides technical details for companies wishing to migrate from an existing customer-managed hub-and-spoke topology to a design leveraging Microsoft-managed Virtual WAN hubs.
En el artículo Arquitectura de red de tránsito global y Virtual WAN se resaltan las ventajas que Azure Virtual WAN permite a las empresas adoptar una red global empresarial moderna centrada en la nube.The Global transit network architecture and Virtual WAN article highlights the benefits that Azure Virtual WAN enables for enterprises adopting a cloud-centric modern enterprise global network.
Los miles de nuestros clientes han adoptado el modelo de conectividad en estrella tipo hub-and-spoke del centro de datos virtual (VDC) de Azure para aprovechar el comportamiento del enrutamiento transitivo predeterminado de las redes de Azure para crear redes sencillas y escalables en la nube.The Azure Virtual Datacenter (VDC) hub-and-spoke connectivity model has been adopted by 1000s of our customers to leverage the default transitive routing behavior of Azure Networking to build simple and scalable cloud networks. Azure Virtual WAN se basa en estos conceptos e incorpora nuevas funcionalidades que permiten topologías de conectividad global, no solo entre ubicaciones locales y Azure, sino que también permiten a los clientes aprovechar la escala de la red de Microsoft para aumentar sus redes globales existentes.Azure Virtual WAN builds on these concepts and introduces new capabilities that allow global connectivity topologies, not only between on-premises locations and Azure but also allowing customers to leverage the scale of the Microsoft network to augment their existing global networks.
En este artículo se describe cómo migrar un entorno híbrido existente a una red WAN virtual.This article describes how to migrate an existing hybrid environment to virtual WAN.
Contoso es una organización financiera global con oficinas en Europa y Asia.Contoso are a global financial organization with offices in both Europe and Asia. Están pensando en trasladar sus aplicaciones existentes desde su controlador de dominio local a Azure y han creado un diseño básico basado en la arquitectura de VDC, incluidas las redes virtuales de centro administradas por el cliente para la conectividad híbrida.They are planning to move their existing applications from their on-premises domain controller in to Azure and have built out a foundation design based on the VDC architecture, including regional customer-managed hub virtual networks for hybrid connectivity. Como parte del traslado a tecnologías basadas en la nube, el equipo de red se ha encargado de asegurarse de que la conectividad está optimizada para el futuro.As part of the move to cloud- based technologies the network team have been tasked with ensuring their connectivity is optimized for the business moving forward.
En la figura 2 se muestra una vista de alto nivel de la red global existente, incluida la conectividad a varias regiones de Azure.Figure 2 shows a high-level view of the existing global network including connectivity to multiple Azure regions.
Los siguientes puntos se pueden entender a partir de la topología de red existente:The following points can be understood from the existing network topology:
El equipo de redes se ha encargado de ofrecer un modelo de red global que puede admitir la migración de Contoso a la nube y debe optimizar en las áreas de costo, escala y rendimiento.The networking team have been tasked with delivering a global network model that can support the Contoso migration to the cloud and must optimize in the areas of cost, scale, and performance. En resumen, se deben cumplir los siguientes requisitos:In summary, the following requirements are to be met:
En la figura 3 se muestra una vista de alto nivel de la topología de destino actualizada con Azure Virtual WAN para cumplir los requisitos detallados en la sección anterior.Figure 3 shows a high-level view of the updated target topology using Azure Virtual WAN to meet the requirements detailed in the previous section.
En resumen:In summary:
En esta sección se describen los distintos pasos para migrar a Azure Virtual WAN.This section describes the various steps to migrating to Azure virtual WAN.
En la ilustración siguiente se muestra una topología de una sola región para Contoso antes del lanzamiento de Azure Virtual WAN.The following figure shows a single region topology for Contoso prior to the rollout of Azure Virtual WAN.
Ilustración 4: Una región de VDC en estrella tipo hub-and-spoke: paso 1Figure 4: VDC Hub-and-spoke single region – Step 1
En línea con el enfoque del centro de datos virtual (VDC), la red virtual del concentrador administrado por el cliente contiene varios bloques de funciones:In line with the Virtual Data Center (VDC) approach, the customer-managed hub virtual network contains several function blocks:
El primer paso implica la implementación de un centro de conectividad de Virtual WAN en cada región.The first step involves deploying a Virtual WAN hub in each region. Implemente el centro de conectividad de Virtual WAN con VPN Gateway y la puerta de enlace de ExpressRoute, tal como se describe en los siguientes artículos:Deploy the Virtual WAN hub with VPN Gateway and Express Route Gateway as described in the following articles:
Nota
Azure Virtual WAN debe usar la SKU estándar para habilitar algunas de las rutas de acceso de tráfico descritas en este artículo.Azure Virtual WAN must be using the Standard SKU to enable some of the traffic paths described in this article.
Ahora conectará el centro de conectividad de Virtual WAN a los circuitos de ExpressRoute de las empresas y se instalarán las VPN de sitio a sitio a través de Internet en las ramas remotas.Now we connect the Virtual WAN hub to the companies ExpressRoute circuits and setup Site-to-site VPNs over the Internet to any remote branches.
Nota
Los circuitos de ExpressRoute se deben actualizar al tipo de SKU Premium para conectarse a un centro de conectividad de Virtual WAN.Express Routes Circuits must be upgraded to Premium SKU type to connect to Virtual WAN hub.
En este punto, el equipo de red locales comenzará a recibir rutas que reflejan el espacio de direcciones IP asignado a la red virtual del concentrador administrado por una WAN virtual.At this point on-premises network equipment will begin to receive routes reflecting the IP address space assigned to the virtual WAN-managed hub VNet. Las ramas conectadas a una VPN remota en esta fase verán dos rutas de acceso a las aplicaciones existentes en las redes virtuales radiales.Remote VPN-connected branches at this stage will see two paths to any existing applications in the spoke virtual networks. Estos dispositivos deben estar configurados para seguir usando el túnel al concentrador de VDC para garantizar el enrutamiento simétrico durante la fase de transición.These devices should be configured to continue to use the tunnel to the VDC hub to ensure symmetrical routing during the transition phase.
Antes de usar el centro de conectividad de Virtual WAN administrado para la conectividad de producción, se recomienda configurar una red virtual radial de prueba y una conexión de red virtual de Virtual WAN.Prior to utilizing the managed Virtual WAN hub for production connectivity, it is recommended to set up a test spoke virtual network and Virtual WAN VNet connection. Compruebe que las conexiones a este entorno de prueba funcionan mediante ExpressRoute y la VPN de sitio a sitio antes de continuar con los pasos siguientes.Validate that connections to this test environment work via ExpressRoute and Site to Site VPN before continuing with the next steps.
a.a. Elimine las conexiones de emparejamiento existentes de las redes virtuales radiales al concentrador de VDC antiguo.Delete the existing peering connections from Spoke virtual networks to the old VDC Hub. El acceso a las aplicaciones en las redes virtuales radiales no está disponible hasta que se completen los pasos a-c.Access to applications in spoke virtual networks is unavailable until steps a-c are complete.
b.b. Conecte las redes virtuales radiales al centro de conectividad de Virtual WAN mediante conexiones de red virtual.Connect the spoke virtual networks to the virtual WAN Hub via VNet connections.
c.c. Quite todas las rutas definidas por el usuario que se usaron previamente en redes virtuales radiales para las comunicaciones entre radios.Remove any user-defined routes (UDR) previously used within spoke virtual networks for spoke-to-spoke communications. Esta ruta de acceso está habilitada ahora por el enrutamiento dinámico disponible en el centro de conectividad de Virtual WAN.This path is now enabled by dynamic routing available within the virtual WAN hub.
d.d. Ahora se retiran las puertas de enlace de VPN y ExpressRoute existentes en el concentrador de VDC para permitir el paso 5.Existing ExpressRoute and VPN Gateways in the VDC hub are now decommissioned to permit step 5.
e.e. Conecte el concentrador de VDC antiguo (red virtual del concentrador) al centro de conectividad de Virtual WAN mediante una nueva conexión de red virtual.Connect the old VDC hub (hub virtual network) to the virtual WAN hub via a new VNet connection.
Ahora hemos rediseñado nuestra red de Azure para que el centro de conectividad de Virtual WAN sea el punto central de nuestra nueva topología.We have now redesigned our Azure network to make the virtual WAN hub the central point in our new topology.
Dado que el centro de conectividad de Virtual WAN es una entidad administrada y no permite la implementación de los recursos personalizados como máquinas virtuales, el bloque de servicios compartidos ya existe como una red virtual radial, hospedando funciones como la entrada de Internet mediante Azure Application Gateway o una aplicación virtualizada de red.As the virtual WAN hub is a managed entity and does not allow deployment of custom resources such as virtual machines, the Shared Services block now exists as a spoke virtual network, hosting functions such as internet ingress via Azure Application Gateway or network virtualized appliance. El tráfico entre el entorno de servicios compartidos y las máquinas virtuales de back-end ahora pasa por el concentrador administrado por la red WAN virtual.Traffic between the shared services environment and backend virtual machines now transits the virtual WAN-managed hub.
En esta fase, Contoso ha completado principalmente las migraciones de aplicaciones empresariales en la nube de Microsoft, con solo algunas aplicaciones heredadas que permanecen en el controlador de dominio local.At this stage, Contoso has mostly completed their migrations of business applications in into the Microsoft Cloud, with only a few legacy applications remaining within the on-premises DC.
Para aprovechar toda la funcionalidad de Azure Virtual WAN, Contoso decide retirar su conexión VPN local heredada.To leverage the full functionality of Azure virtual WAN, Contoso decides to decommission their legacy on-premises VPN connection. Todas las ramas que sigan teniendo acceso a las redes de la oficina central o del controlador de dominio podrán pasar a la red global de Microsoft con el enrutamiento de tránsito integrado de Azure Virtual WAN.Any branches continuing to access HQ or DC networks are able to transit the Microsoft global network using the built-in transit routing of Azure virtual WAN. Global Reach de ExpressRoute es una opción alternativa para los clientes que desean aprovechar la red troncal de Microsoft para complementar sus redes WAN privadas existentes.ExpressRoute Global Reach is an alternative choice for customers wishing to leverage the Microsoft backbone to complement their existing private WANs.
En esta sección se proporciona un resumen de cómo esta topología cumple los requisitos originales mediante el examen de algunos flujos de tráfico de ejemplo.This section provides a summary of how this topology meets the original requirements by looking at some example traffic flows.
La ruta de acceso 1 describe el flujo de tráfico desde la rama VPN de sitio a sitio de Asia a la red virtual de Azure en la región de Asia Suroriental.Path 1 describes traffic flow from Asia S2S VPN branch to Azure VNet in South East Asia region.
El tráfico se enruta de la manera siguiente:The traffic is routed as follows:
La ruta de acceso 2 describe el flujo de tráfico desde la oficina central europea conectada a ExpressRoute a la red virtual de Azure en la región de Asia Suroriental.Path 2 describes traffic flow from ExpressRoute connected European HQ to Azure VNet in South East Asia region.
El tráfico se enruta de la manera siguiente:The traffic is routed as follows:
La ruta de acceso 3 describe el flujo de tráfico desde el controlador de dominio local de Asia conectado a una red WAN privada a una rama europea conectada sitio a sitio.Path 3 describes traffic flow from Asia on-premises DC connected to Private WAN to European S2S connected Branch.
El tráfico se enruta de la manera siguiente:The traffic is routed as follows:
La ruta de acceso 4 describe el flujo de tráfico desde la red virtual de Azure en la región de Asia Suroriental a la red virtual de Azure en la región de Europa Occidental.Path 4 describes traffic flow from Azure VNet in South East Asia region to Azure VNet in West Europe region.
El tráfico se enruta de la manera siguiente:The traffic is routed as follows:
En la ruta de acceso 5 se describe el flujo de tráfico desde el usuario de VPN itinerante (conexión de punto a sitio) a una red virtual de Azure en la región de Europa Occidental.Path 5 describes traffic flow from roaming VPN (P2S) user to Azure VNet in West Europe region.
El tráfico se enruta de la manera siguiente:The traffic is routed as follows:
Contoso ahora ha validado la conectividad entre todas las ramas y redes virtuales que se ajustan a los requisitos descritos anteriormente en este documento.Contoso has now validated connectivity between all branches and VNets in line with the requirements discussed earlier in this document. Para cumplir sus requisitos de control de seguridad y aislamiento de red, deben seguir separando y registrando el tráfico a través de la red del concentrador, ya que esta función la ha realizado un NVA.To meet their requirements for security control and network isolation, they need to continue to separate and log traffic via the Hub network, previously this function was performed by an NVA. Contoso también quiere retirar los servicios de proxy existentes y utilizar los servicios nativos de Azure para el filtrado de salida de Internet.Contoso also wants to decommission their existing proxy services and utilise native Azure services for outbound Internet filtering.
Los siguientes pasos de alto nivel son necesarios para introducir Azure Firewall en los centros de conectividad de Virtual WAN para habilitar un punto unificado de control de directivas.The following high-level steps are required to introduce Azure Firewall into the Virtual WAN Hubs to enable a unified point of policy control. Este proceso y el concepto de centros virtuales protegidos se explican con todo detalle aquí.This process and the concept of Secure Virtual Hubs are explained in full detail here.
Nota
Si Azure Firewall se implementa en un centro de conectividad de Virtual WAN Estándar (SKU: Estándar): Las directivas V2V, B2V, V2I y B2I FW solo se aplican en el tráfico que se origina desde las redes virtuales y las ramas conectadas al concentrador específico donde se implementa Azure FW (centro protegido).If the Azure Firewall is deployed in a Standard Virtual WAN Hub (SKU : Standard): V2V, B2V, V2I and B2I FW policies are only enforced on the traffic originating from the Vnets and Branches connected to the specific hub where the Azure FW is deployed (Secured Hub). El tráfico que se origina en redes virtuales y ramas remotas que se conectan a otros centros de conectividad de Virtual WAN en la misma instancia de Virtual WAN no se aplicará el «firewall», aunque estas ramas y redes virtuales remotas estén interconectadas mediante vínculos de centro de conectividad a centro de conectividad de Virtual WAN.Traffic originating from remote Vnets and Branches that are attached to other Virtual WAN hubs in the same Virtual WAN will not be «firewalled» even though these remote Branches and Vnet are interconnected via Virtual WAN hub to hub links. La compatibilidad con el firewall entre concentradores se encuentra en el mapa de ruta de Azure Virtual WAN y Firewall Manager.Cross hub firewalling support is on the Azure Virtual WAN and Firewall Manager roadmap.
Las rutas de acceso siguientes describen las rutas de acceso de conectividad habilitadas mediante el uso de los centros virtuales protegidos de Azure.The following paths describe the connectivity paths enabled by utilizing Azure secured virtual hubs.
La ruta de acceso 6 describe el flujo de tráfico desde el tránsito protegido de red virtual a red virtual dentro de la misma región.Path 6 describes traffic flow from VNet-to-VNet secure transit within the same region.
El tráfico se enruta de la manera siguiente:The traffic is routed as follows:
La ruta de acceso 7 describe el flujo de tráfico de red virtual a Internet o de un servicio de seguridad de terceros.Path 7 describes traffic flow from Vnet-to-Internet or third-party Security Service.
El tráfico se enruta de la manera siguiente:The traffic is routed as follows:
La ruta de acceso 8 describe el flujo de tráfico de una rama a Internet o a un servicio de seguridad de terceros.Path 8 describes traffic flow from branch-to-Internet or third-party Security Service.
El tráfico se enruta de la manera siguiente:The traffic is routed as follows:
Consulte más información sobre Azure Virtual WAN.Learn more about Azure Virtual WAN
Gracias.
Cargando comentarios…
Gracias.