Conexión de servidores independientes mediante el adaptador de red de Azure

En esta arquitectura de referencia se muestra cómo conectar un servidor independiente local a redes virtuales de Microsoft Azure mediante el adaptador de red de Azure que se implementa a través de Windows Admin Center (WAC). El adaptador de red de Azure crea una conexión virtual segura a través de Internet, que amplía la red local a Azure.

Architecture

Descargue un archivo de Visio de estas arquitecturas.

Flujo de trabajo

La arquitectura consta de lo siguiente:

• Red local. Este componente es una red de área local (LAN) privada de la organización.
• Sucursal. Este componente es una LAN privada en una sucursal remota que se conecta a través de una red de área extensa (WAN) corporativa.
• Otro proveedor de nube. Este componente es una red virtual privada que ofrece un proveedor de nube. Se conecta a través de una red privada virtual (VPN).
• Windows Server con Windows Admin Center instalado. El servidor que se usa para implementar el adaptador de red de Azure.
• Windows Server (independiente) . El servidor en el que está instalado el adaptador de red de Azure. Este servidor puede estar en una red de sucursal o en una red de proveedor de nube diferente.
• Azure Virtual Network (VNet) . Los servidores virtuales, así como otros servicios y componentes, de Azure VPN Gateway que se encuentran en la misma red virtual en Azure.
• Azure VPN Gateway. El servicio VPN Gateway permite conectar la red virtual a la red local o a los servidores independientes a través de un dispositivo VPN o adaptadores de red de Azure. Para más información, consulte Conectar una red local con una red virtual de Microsoft Azure. Hay varios planes de tarifa, o referencias de almacén (SKU), disponibles para las puertas de enlace de VPN. Cada SKU admite distintos requisitos en función de los tipos de cargas de trabajo, rendimiento, características y contratos de nivel de servicio (SLA). VPN Gateway incluye los siguientes componentes:
  • Puerta de enlace de red virtual (activa) . Este recurso de Azure proporciona un dispositivo VPN virtual para la red virtual y es responsable de enrutar el tráfico entre la red local y la red virtual.
  • Puerta de enlace de red virtual (pasiva) . Este recurso de Azure proporciona un dispositivo VPN virtual para la red virtual y es la instancia en espera de Azure VPN Gateway activa. Para obtener más información, consulte Acerca de la redundancia de Azure VPN Gateway.
  • Subred de puerta de enlace. La puerta de enlace de red virtual se mantiene en su propia subred, que está sujeta a los distintos requisitos que se describen a continuación, en la sección Recomendaciones.
  • Conexión. La conexión tiene propiedades que especifican el tipo de conexión. Estas propiedades incluyen el protocolo de seguridad de Internet (IPSec) y la clave compartida con el dispositivo VPN local para cifrar el tráfico.
• Aplicación en la nube. Este componente es la aplicación que se hospeda en Azure. Puede incluir muchos niveles con varias subredes que se conectan a través de los equilibradores de carga de Azure. Para obtener más información acerca de la infraestructura de aplicaciones, consulte Ejecución de cargas de trabajo de máquinas virtuales Windows y Ejecución de cargas de trabajo de máquinas virtuales Linux.
• Equilibrador de carga interno. El tráfico de red de VPN Gateway se enruta a la aplicación en la nube a través de un equilibrador de carga interno, que se encuentra en la subred de producción de la aplicación.
• Azure Bastion. Azure Bastion le permite iniciar sesión en las VM de Azure Virtual Network sin exponerlas directamente a Internet. Usa Secure Shell (SSH) o Protocolo de escritorio remoto (RDP). Si pierde la conectividad de VPN, aún puede usar Azure Bastion para administrar las máquinas virtuales de la red virtual de Azure. Sin embargo, no se admite la administración de servidores locales a través de Azure Bastion.

Componentes

• Virtual Network. Azure Virtual Network (VNet) es el bloque de creación fundamental de una red privada en Azure. VNet permite muchos tipos de recursos de Azure, como Azure Virtual Machines (máquinas virtuales), para comunicarse de forma segura entre usuarios, con Internet y con las redes locales.

• Azure Bastion. Azure Bastion es un servicio totalmente administrado que proporciona acceso más seguro y sin problemas por medio del Protocolo de escritorio remoto (RDP) y el protocolo Secure Shell (SSH) a las máquinas virtuales (VM) sin exponerlas mediante direcciones IP públicas.

• VPN Gateway. VPN Gateway envía el tráfico cifrado entre una red virtual de Azure y una ubicación local a través de Internet público. También puede usar VPN Gateway para enviar tráfico cifrado entre las redes virtuales de Azure a través de la red de Microsoft. Una puerta de enlace de VPN es un tipo de puerta de enlace de red virtual.

• Windows Admin Center. Windows Admin Center es una aplicación basada en explorador e implementada localmente para la administración de servidores Windows, clústeres, infraestructuras hiperconvergidas y PC Windows 10. Es un producto gratuito y está listo para usarse en producción.

Recomendaciones

Las siguientes recomendaciones sirven para la mayoría de los escenarios. Sígalas a menos que tenga un requisito concreto que las invalide.

Conexión de un servidor independiente

Para conectar un servidor independiente a través de WAC, debe agregar el servidor a la lista de servidores administrados en la instalación de WAC del servidor dedicado. Después de agregar el servidor a esa lista, puede seleccionar el servidor para el que desea instalar el adaptador de red de Azure y, después, seleccionar Red en las herramientas, seguido de la opción "+ Add Azure Network Adapter (Preview)" [+ Agregar adaptador de red de Azure (versión preliminar)] en el panel Red.

Al seleccionar la opción + Agregar adaptador de red de Azure (versión preliminar) [+ Agregar adaptador de red de Azure (versión preliminar)], se abre la hoja de configuración Add Azure Network Adapter (Agregar adaptador de red de Azure) en una ventana del explorador. Puede configurar varias opciones en esta hoja.

La siguiente información es necesaria:

Una vez que haya completado todos los campos necesarios, se activa el botón Crear y debe seleccionarlo para empezar la implementación del adaptador de red de Azure en el servidor seleccionado.

El proceso de implementación tiene dos partes principales: la primera de ellas es la implementación y la selección de la instancia de Azure VPN Gateway. Si primero debe implementar Azure VPN Gateway, espere entre 25 y 45 minutos hasta que se complete la implementación. (Este es el tiempo que algunas configuraciones pueden tardar en implementarse). WAC proporcionará información sobre el progreso de la implementación. La segunda parte es la instalación real del adaptador de red de Azure, que puede tardar 10 minutos. WAC también le notificará sobre el progreso de la instalación.

Una vez iniciada la implementación, puede cambiar el foco de WAC, seleccionando otras herramientas o servidores. El proceso de implementación continúa en segundo plano.

Si selecciona la opción Auto-generated Self-signed root and client Certificate (Certificado raíz y de cliente autofirmado generado automáticamente), Azure crea los dos certificados necesarios automáticamente y los almacena en el almacén de certificados del servidor seleccionado. Puede usar la herramienta Certificados de WAC para encontrarlos y luego localizar un certificado raíz en el contenedor del equipo local o raíz. El nombre del certificado empieza por Windows Admin Center-Created-vpngw y contiene la cadena P2SRoot. Al final de la cadena se incluye una marca de tiempo codificada con la fecha de creación del certificado. Este certificado también se almacenará en el contenedor del equipo local o CA. Este segundo certificado se almacenará en el contenedor del equipo local o mi contenedor. El nombre de este certificado empieza por Windows Admin Center-Created-vpngw y contiene la cadena P2SClient. Al final de la cadena se incluye una marca de tiempo codificada con la fecha de creación del certificado.

Una vez finalizada la implementación, la herramienta Redes del servidor seleccionado se actualiza con el nuevo adaptador de red de Azure, que se inicia automáticamente una vez finalizada la implementación e indica un estado activo. Puede seleccionar el adaptador para activar la lista desplegable Más, que puede seleccionar para desconectar o eliminar el adaptador. En el servidor real, el adaptador de red de Azure se instala como una conexión VPN. El nombre del adaptador empieza por Windows Admin CenterVPN- seguido de un número aleatorio de tres dígitos.

Cuando el adaptador de red de Azure esté instalado y conectado, puede usar esta nueva conexión de red para conectarse directamente a las redes virtuales de Azure y sus sistemas. Este tipo de conexión se usa normalmente para establecer una sesión de escritorio remoto a través de la dirección IP interna de una VM de Azure, en lugar de usar la dirección IP pública de la VM.

Uso de un servidor de WAC dedicado

En el caso de una administración centralizada, se recomienda usar una instalación de servidor de administración de Windows dedicada, desde la que pueda agregar otros servidores. Este enfoque significa que ningún servidor administrado requiere software adicional. Para más información, consulte Windows Admin Center.

Preparación de una VNet dedicada

Es posible que la interfaz de instalación del adaptador de red de Azure no satisfaga sus necesidades con respecto a las convenciones de nomenclatura o el plan de tarifa. Para evitar este conflicto, puede crear los recursos de Azure necesarios antes de implementar el adaptador. Durante la implementación, se seleccionan los recursos ya existentes en lugar de crearlos a través de la interfaz de instalación.

Consideraciones

Estas consideraciones implementan los pilares del marco de buena arquitectura de Azure, que es un conjunto de principios guía que se pueden usar para mejorar la calidad de una carga de trabajo. Para más información, consulte Marco de buena arquitectura de Microsoft Azure.

Escalabilidad

• SKU de VPN Gateway:
  • La SKU de VPN Gateway que está seleccionando determina el número de conexiones que puede realizar en paralelo y el ancho de banda que está disponible para todas esas conexiones. El número de conexiones simultáneas varía entre 250 y 1000 cuando se usa la opción P2S IKEv2/OpenVPN. IKE hace referencia a Intercambio de claves por red. Es aconsejable empezar con VpnGw1 y escalar horizontalmente más adelante si necesita más conexiones. Si necesita cambiar la generación de VPN Gateway, debe instalar una nueva puerta de enlace e implementar un nuevo adaptador de red de Azure para conectarse a ella.
• Conexión de varios servidores independientes:
  • Puede utilizar WAC para implementar el adaptador de red de Azure en todos los servidores que sea necesario. También puede agregar muchos adaptadores de red de Azure a un solo servidor para conectarse a diferentes redes virtuales de Azure. Una vez completada la implementación inicial de VPN Gateway, puede configurar los servidores adicionales para que usen la misma puerta de enlace. Para ello, seleccione la puerta de enlace existente en la interfaz de instalación.
  • Los servidores independientes pueden ubicarse en la misma red, en una red de sucursal o en una red diferente basada en la nube. Puede usar la conexión de red que ha establecido, como la WAN corporativa o una VPN dedicada a un proveedor de nube diferente, si los puertos de red necesarios están disponibles a través de estas conexiones. Para más información, consulte la sección "Consideraciones de seguridad" de este artículo.
• Conexión de sitio a sitio de Azure:
  • El adaptador de red de Azure es una instalación única en un servidor único. Si desea conectar varios servidores, podría enfrentarse a un esfuerzo administrativo significativo. Sin embargo, puede evitar este esfuerzo conectando sus sistemas locales mediante el método de conexión Sitio a sitio de Azure (S2S), que conecta una red local existente a una VNet de Azure y sus subredes. En el núcleo de esta conexión, se encuentra Azure VPN Gateway a través de la cual puede conectar una instancia de VPN Gateway local con la instancia remota de Azure VPN Gateway. Esta conexión segura permite que los dos segmentos de red se comuniquen de forma transparente entre sí.

Disponibilidad

• El adaptador de red de Azure solo admite una configuración activa-pasiva de Azure VPN Gateway. Durante la configuración del adaptador, puede apuntar a una instancia existente de Azure VPN Gateway activa-activa. La configuración volverá a configurar la puerta de enlace con la configuración activa-pasiva. Es posible configurar manualmente la puerta de enlace en el estado activa-activa, pero el adaptador de red de Azure no se conectará a esta puerta de enlace.

  Advertencia

  La configuración de un adaptador de red de Azure en una instancia existente de Azure VPN Gateway con una configuración activa-activa volverá a configurar la puerta de enlace en activa-pasiva. Esto afectará a todas las conexiones VPN existentes para esta puerta de enlace. El cambio de la configuración activa-activa a la configuración activa-en espera provocará la eliminación de uno de los dos túneles VPN de IPsec para cada conexión. No continúe sin evaluar los requisitos de conexión generales y sin consultar a los administradores de la red.

Facilidad de uso

• Cuenta administrativa:

  • WAC es la herramienta principal que se usa para implementar el adaptador de red de Azure y configurar el control de cuentas. Para más información sobre las opciones disponibles, consulte Opciones de acceso de usuario con Windows Admin Center. Puede configurar una cuenta individual por cada conexión de servidor.

    Nota

    En el cuadro de diálogo en el que se configura la cuenta administrativa por servidor, se validarán las credenciales al seleccionar Continuar. Para abrir el cuadro de diálogo, en WAC, seleccione la fila con el nombre de servidor correspondiente y, a continuación, seleccione Administrar como. No seleccione el hipervínculo que representa el servidor, ya que se conectará al servidor inmediatamente.

  • Además, debe configurar una cuenta de usuario para la conexión de Azure; para ello, abra el cuadro de diálogo Configuración en la sección sobre WAC y la modificación de la cuenta. También puede cambiar usuarios o cerrar la sesión de un usuario en el cuadro de diálogo Configuración.

• Integración de Azure Recovery Vault:
  • Al instalar el adaptador de red de Azure en un servidor independiente, puede considerar que el servidor es un puerto para la continuidad empresarial. Puede integrar ese servidor en los procedimientos de recuperación ante desastres y de copia de seguridad mediante Azure Recovery Vault Services que configure seleccionando Azure Backup en la sección Herramientas de WAC. Azure Backup ayuda a proteger el servidor de Windows frente a daños, ataques o desastres al realizar una copia de seguridad del servidor directamente en Microsoft Azure.

Seguridad

La seguridad proporciona garantías contra ataques deliberados y el abuso de datos y sistemas valiosos. Para más información, consulte Introducción al pilar de seguridad.

• Puertos de red necesarios:

  • Los puertos de red para la comunicación remota de PowerShell deben estar abiertos si quiere usar WAC para implementar el adaptador de red de Azure.

  • La comunicación remota de PowerShell usa Administración remota de Windows (WinRM). Para más información, consulte Consideraciones de seguridad de comunicación remota de PowerShell y Configuración predeterminada de la comunicación remota de PowerShell.

  • En algunos escenarios, es necesario usar métodos de autenticación adicionales. WAC puede usar PowerShell con el protocolo de proveedor de compatibilidad para la seguridad de credenciales (CredSSP) para conectarse a los servidores remotos. Para más información, consulte Comunicación remota de PowerShell y CredSSP y ¿Windows Admin Center usa CredSSP?

  • La comunicación remota de PowerShell (y WinRM) escucha los puertos siguientes:

    Protocolo	Puerto
    HTTP	5985
    HTTPS	5986

  • La forma de conectarse al servidor en el que está instalado Windows Admin Center (WAC) depende del tipo de instalación de WAC. El puerto predeterminado varía y puede ser el puerto 6516 cuando se instala en Windows 10 o el puerto 443 cuando se instala en Windows Server. Para más información, consulte Instalación de Windows Admin Center.

• Integración de Microsoft Defender para la nube:
  • Para ayudar a proteger el servidor en el que está instalado el adaptador de red de Azure, puede integrar el servidor en Microsoft Defender for Cloud mediante la selección de Microsoft Defender for Cloud en la sección Herramientas de WAC. Durante la integración, debe seleccionar un área de trabajo de Azure Log Analytics existente o crear una nueva. Se le facturará por separado por cada servidor que integre con Microsoft Defender for Cloud. Para obtener más información, consulte los precios de Microsoft Defender for Cloud.

DevOps

• Azure Automation:
  • WAC le proporciona acceso al código de PowerShell que crea el adaptador de red de Azure y puede revisarlo seleccionando la herramienta Red y, a continuación, el icono View PowerShell scripts (Ver scripts de PowerShell) situado en la parte superior de la página de WAC. El nombre del script es Complete-P2SVPNConfiguration y se implementa como una función de PowerShell. El código está firmado digitalmente y listo para reutilizarse. Para integrarlo en Azure Automation, puede configurar más servicios en Azure Portal.

Optimización de costos

La optimización de costos trata de buscar formas de reducir los gastos innecesarios y mejorar las eficiencias operativas. Para más información, vea Información general del pilar de optimización de costos.

• Calculadora de precios de Azure:
  • El uso del adaptador de red de Azure realmente no cuesta nada, ya que es un componente que se implementa en un sistema local. Azure VPN Gateway, como parte de la solución, genera costos adicionales, igual que el uso de otros servicios, como Azure Recovery Vault o Microsoft Defender for Cloud. Para más información sobre los costos reales, consulte Calculadora de precios de Azure. Es importante tener en cuenta que los costos reales varían en función de la región de Azure y el contrato individual. Póngase en contacto con un representante de ventas de Microsoft para obtener más información sobre los precios.
• Costos de salida:
  • Hay costos adicionales asociados a las transferencias de datos de salida entre redes virtuales. Estos costos dependen de la SKU de VPN Gateway y de la cantidad real de datos que usa. Para más información, consulte Calculadora de precios de Azure. Es importante tener en cuenta que los costos reales varían en función de la región de Azure y el contrato individual. Póngase en contacto con un representante de ventas de Microsoft para obtener información adicional sobre los precios.

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.

Autor principal:

• Frank Migacz | Especialista en innovación de aplicaciones

Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.

Pasos siguientes

Más información sobre las tecnologías de los componentes:

• Principales 10 características de redes de Windows Server 2019: n.º3 adaptador de red de Azure
• VPN de punto a sitio
• Pruebe Windows Admin Center en el Centro de evaluación de Microsoft
• ¿Qué es Azure Virtual Network?
• ¿Qué es Azure Bastion?
• ¿Qué es VPN Gateway?
• Introducción a Windows Admin Center

Recursos relacionados

Explore las arquitecturas relacionadas:

• Administración de cargas de trabajo de Azure híbridas mediante Windows Admin Center
• Topología de red en estrella tipo hub-and-spoke en Azure
• Extensión de una red local mediante VPN
• Diseño de una solución de DNS híbrido con Azure