Implementación de una zona DMZ entre Azure y el centro de datos localImplement a DMZ between Azure and your on-premises datacenter

Esta arquitectura de referencia muestra una red híbrida segura que extiende una red local a Azure.This reference architecture shows a secure hybrid network that extends an on-premises network to Azure. La arquitectura implementa una zona DMZ, también conocida como red perimetral, entre la red local y una red virtual (VNet).The architecture implements a DMZ, also called a perimeter network, between the on-premises network and an Azure virtual network (VNet). La red perimetral incluye aplicaciones virtuales de red (NVA) que implementan la funcionalidad de seguridad, como firewalls e inspección de paquetes.The DMZ includes network virtual appliances (NVAs) that implement security functionality such as firewalls and packet inspection. Todo el tráfico saliente de la red virtual se realiza mediante tunelización forzada a Internet a través de la red local, por lo que se puede auditar.All outgoing traffic from the VNet is force-tunneled to the Internet through the on-premises network, so that it can be audited. Implemente esta solución.Deploy this solution.

Nota

Este escenario también se puede conseguir mediante Azure Firewall, un servicio de seguridad de red basado en la nube.This scenario can also be accomplished using Azure Firewall, a cloud-based network security service.

Arquitectura de red híbrida segura

Descargue un archivo Visio de esta arquitectura.Download a Visio file of this architecture.

Esta arquitectura requiere una conexión al centro de información local, mediante una puerta de enlace de VPN o una conexión de ExpressRoute .This architecture requires a connection to your on-premises datacenter, using either a VPN gateway or an ExpressRoute connection. Los usos habituales de esta arquitectura incluyen:Typical uses for this architecture include:

  • Aplicaciones híbridas donde una parte de las cargas de trabajo se ejecutan de forma local y otra parte en Azure.Hybrid applications where workloads run partly on-premises and partly in Azure.
  • Infraestructura que requiere un control específico sobre el tráfico que entra en una red virtual de Azure desde un centro de datos local.Infrastructure that requires granular control over traffic entering an Azure VNet from an on-premises datacenter.
  • Aplicaciones que deben auditar el tráfico saliente.Applications that must audit outgoing traffic. Esto suele ser un requisito de regulación de muchos sistemas comerciales y puede ayudar a evitar la revelación de información privada.This is often a regulatory requirement of many commercial systems and can help to prevent public disclosure of private information.

ArquitecturaArchitecture

La arquitectura consta de los siguientes componentes:The architecture consists of the following components.

  • Red local.On-premises network. Una red de área local privada implementada en una organización.A private local-area network implemented in an organization.

  • Azure Virtual Network (VNet) .Azure virtual network (VNet). La red virtual hospeda la aplicación y otros recursos que se ejecutan en Azure.The VNet hosts the application and other resources running in Azure.

  • Puerta de enlace.Gateway. Proporciona conectividad entre los enrutadores de la red local y la red virtual.The gateway provides connectivity between the routers in the on-premises network and the VNet.

  • Aplicación virtual de red (NVA) .Network virtual appliance (NVA). NVA es un término genérico que describe una máquina virtual para realizar tareas tales como permitir o denegar el acceso como un firewall; optimizar las operaciones de red de área extensa (WAN), incluida la compresión de red; la distribución personalizada; u otra funcionalidad de red.NVA is a generic term that describes a VM performing tasks such as allowing or denying access as a firewall, optimizing wide area network (WAN) operations (including network compression), custom routing, or other network functionality.

  • Subredes del nivel de datos, nivel empresarial y nivel web.Web tier, business tier, and data tier subnets. Las subredes hospedan las máquinas virtuales y los servicios que implementan una aplicación de ejemplo de tres niveles que se ejecuta en la nube.Subnets hosting the VMs and services that implement an example 3-tier application running in the cloud. Para más información , consulte ejecución de máquinas virtuales Windows para una arquitectura de N niveles en Azure .See Running Windows VMs for an N-tier architecture on Azure for more information.

  • Rutas definidas por el usuario (UDR) .User defined routes (UDR). Las rutas definidas por el usuario definen el flujo de tráfico IP en las redes virtuales de Azure.User defined routes define the flow of IP traffic within Azure VNets.

    Nota

    Según los requisitos de la conexión VPN, puede configurar las rutas del Protocolo de puerta de enlace fronteriza (BGP) en lugar de usar UDR para implementar las reglas de reenvío que dirigen el tráfico a través de la red local.Depending on the requirements of your VPN connection, you can configure Border Gateway Protocol (BGP) routes instead of using UDRs to implement the forwarding rules that direct traffic back through the on-premises network.

  • Subred de administración.Management subnet. Esta subred contiene máquinas virtuales que implementan las funcionalidades de administración y supervisión de los componentes que se ejecutan en la red virtual.This subnet contains VMs that implement management and monitoring capabilities for the components running in the VNet.

RecomendacionesRecommendations

Las siguientes recomendaciones sirven para la mayoría de los escenarios.The following recommendations apply for most scenarios. Sígalas a menos que tenga un requisito concreto que las invalide.Follow these recommendations unless you have a specific requirement that overrides them.

Recomendaciones de control de accesoAccess control recommendations

Use el control de acceso basado en rol (RBAC) para administrar los recursos de la aplicación.Use role-based access control (RBAC) to manage the resources in your application. Considere la posibilidad de crear los siguientes roles personalizados:Consider creating the following custom roles:

  • Un rol de DevOps con permisos para administrar la infraestructura de la aplicación, implementar los componentes de las aplicaciones y supervisar y reiniciar las máquinas virtuales.A DevOps role with permissions to administer the infrastructure for the application, deploy the application components, and monitor and restart VMs.

  • Un rol de administrador de TI centralizado para administrar y supervisar los recursos de red.A centralized IT administrator role to manage and monitor network resources.

  • Un rol de administrador de TI de seguridad para administrar los recursos de red seguros, como las aplicaciones virtuales de red (NVA) de seguridad.A security IT administrator role to manage secure network resources such as the NVAs.

Los roles de DevOps y administrador de TI no deberían tener acceso a los recursos de las aplicaciones virtuales de red.The DevOps and IT administrator roles should not have access to the NVA resources. Debería limitarse al rol de administrador de TI de seguridad.This should be restricted to the security IT administrator role.

Recomendaciones para grupos de recursosResource group recommendations

Los recursos de Azure, como las máquinas virtuales, las redes virtuales y los equilibradores de carga, se pueden administrar fácilmente agrupándolos en grupos de recursos.Azure resources such as VMs, VNets, and load balancers can be easily managed by grouping them together into resource groups. Asigne roles RBAC a cada grupo de recursos para restringir el acceso.Assign RBAC roles to each resource group to restrict access.

Se recomienda crear los grupos de recursos siguientes:We recommend creating the following resource groups:

  • Un grupo de recursos que contenga la red virtual (excepto las máquinas virtuales), los grupos de seguridad de red y los recursos de puerta de enlace para conectarse a la red local.A resource group containing the VNet (excluding the VMs), NSGs, and the gateway resources for connecting to the on-premises network. Asigne el rol de administrador de TI centralizado a este grupo de recursos.Assign the centralized IT administrator role to this resource group.
  • Un grupo de recursos que contenga las máquinas virtuales para las aplicaciones virtuales de red (NVA) (incluido el equilibrador de carga), el JumpBox y otras máquinas virtuales de administración y el UDR para la subred de puerta de enlace que obliga a todo el tráfico a pasar a través de las NVA.A resource group containing the VMs for the NVAs (including the load balancer), the jumpbox and other management VMs, and the UDR for the gateway subnet that forces all traffic through the NVAs. Asigne el rol de administrador de TI de seguridad a este grupo de recursos.Assign the security IT administrator role to this resource group.
  • Separe los grupos de recursos para cada nivel de aplicación que contenga el equilibrador de carga y las máquinas virtuales.Separate resource groups for each application tier that contain the load balancer and VMs. Tenga en cuenta que este grupo de recursos no debe incluir las subredes de cada nivel.Note that this resource group shouldn't include the subnets for each tier. Asigne el rol de DevOps a este grupo de recursos.Assign the DevOps role to this resource group.

Recomendaciones para las puertas de enlace de red virtualVirtual network gateway recommendations

El tráfico local pasa a la red virtual a través de una puerta de enlace de red virtual.On-premises traffic passes to the VNet through a virtual network gateway. Se recomienda una puerta de enlace de VPN de Azure o una puerta de enlace de ExpressRoute de Azure.We recommend an Azure VPN gateway or an Azure ExpressRoute gateway.

Recomendaciones para aplicaciones virtuales de redNVA recommendations

Las aplicaciones virtuales de red proporcionan servicios diferentes para administrar y supervisar el tráfico de red.NVAs provide different services for managing and monitoring network traffic. Azure Marketplace ofrece varias NVA de proveedor de terceros que puede usar.The Azure Marketplace offers several third-party vendor NVAs that you can use. Si ninguna de ellas cumple sus requisitos, puede crear una aplicación virtual de red personalizada usando máquinas virtuales.If none of these third-party NVAs meet your requirements, you can create a custom NVA using VMs.

Por ejemplo, la implementación de la solución para esta arquitectura de referencia implementa una aplicación virtual de red personalizada con la funcionalidad siguiente en una máquina virtual:For example, the solution deployment for this reference architecture implements an NVA with the following functionality on a VM:

  • El tráfico se enruta mediante el reenvío IP en las interfaces de red NVA (NIC).Traffic is routed using IP forwarding on the NVA network interfaces (NICs).
  • Solo se permite pasar el tráfico a través de la aplicación virtual de red personalizada si es apropiado.Traffic is permitted to pass through the NVA only if it is appropriate to do so. Cada máquina virtual NVA de la arquitectura de referencia es un simple enrutador Linux.Each NVA VM in the reference architecture is a simple Linux router. El tráfico entrante llega a la interfaz de red eth0 y el tráfico de salida hace coincidir las reglas definidas por scripts personalizados que se envían a través de la interfaz de red eth1.Inbound traffic arrives on network interface eth0, and outbound traffic matches rules defined by custom scripts dispatched through network interface eth1.
  • Las aplicaciones virtuales de red personalizadas solo se pueden configurar desde la subred de administración.The NVAs can only be configured from the management subnet.
  • El tráfico enrutado a la subred de administración no pasa por ellas.Traffic routed to the management subnet does not pass through the NVAs. En caso contrario, si se produjera un error en ellas, no habría ninguna ruta a la subred de administración para corregirlo.Otherwise, if the NVAs fail, there would be no route to the management subnet to fix them.
  • Las máquinas virtuales de NVA se colocan en un conjunto de disponibilidad detrás de un equilibrador de carga.The VMs for the NVA are placed in an availability set behind a load balancer. El UDR de la subred de puerta de enlace dirige las solicitudes de aplicación virtual de red al equilibrador de carga.The UDR in the gateway subnet directs NVA requests to the load balancer.

Incluya una aplicación virtual de red de nivel 7 para terminar las conexiones de aplicación en el nivel de NVA y mantener la afinidad con los niveles de back-end.Include a layer-7 NVA to terminate application connections at the NVA level and maintain affinity with the backend tiers. Así se garantiza una conectividad simétrica en la que el tráfico de respuesta de los niveles de back-end se devuelve a través de la aplicación virtual de red.This guarantees symmetric connectivity, in which response traffic from the backend tiers returns through the NVA.

Otra opción que tener en cuenta conecta varias aplicaciones virtuales de red en serie, y cada una realiza una tarea de seguridad especializada.Another option to consider is connecting multiple NVAs in series, with each NVA performing a specialized security task. Así se permite que cada función de seguridad se administre en función de cada aplicación virtual de red.This allows each security function to be managed on a per-NVA basis. Por ejemplo, una aplicación virtual de red que implemente un servidor de seguridad podría colocarse en serie con otra que ejecute los servicios de identidad.For example, an NVA implementing a firewall could be placed in series with an NVA running identity services. El inconveniente con respecto a la facilidad de administración es la adición de saltos de red adicionales que pueden aumentar la latencia, por tanto, asegúrese de que esto no afecta al rendimiento de su aplicación.The tradeoff for ease of management is the addition of extra network hops that may increase latency, so ensure that this doesn't affect your application's performance.

Recomendaciones para las aplicaciones virtuales de redNSG recommendations

La puerta de enlace VPN expone una dirección IP pública para la conexión a la red local.The VPN gateway exposes a public IP address for the connection to the on-premises network. Se recomienda crear un grupo de seguridad de red (NSG) para cada subred de aplicación virtual de red entrante, con reglas para bloquear todo el tráfico que no se origine en la red local.We recommend creating a network security group (NSG) for the inbound NVA subnet, with rules to block all traffic not originating from the on-premises network.

También se recomienda usar grupos de seguridad de red para que cada subred proporcione un segundo nivel de protección contra el tráfico entrante a omitir una puerta de enlace configurada incorrectamente o deshabilitada.We also recommend NSGs for each subnet to provide a second level of protection against inbound traffic bypassing an incorrectly configured or disabled NVA. Por ejemplo, la subred de nivel web en la arquitectura de referencia implementa un grupo de seguridad de red con una regla para pasar por alto todas las solicitudes que no sean de las recibidas desde la red local (192.168.0.0/16) o la red virtual, y otra regla que pasa por alto todas las solicitudes que no se realizan en el puerto 80.For example, the web tier subnet in the reference architecture implements an NSG with a rule to ignore all requests other than those received from the on-premises network (192.168.0.0/16) or the VNet, and another rule that ignores all requests not made on port 80.

Recomendaciones de acceso a InternetInternet access recommendations

Realice el túnel forzado todo el tráfico saliente de Internet a través de la red local mediante el túnel VPN de sitio a sitio y enrutar a Internet con la traducción de direcciones de red (NAT).Force-tunnel all outbound Internet traffic through your on-premises network using the site-to-site VPN tunnel, and route to the Internet using network address translation (NAT). Así se evita la pérdida accidental de la información confidencial almacenada en el nivel de datos y se permite la inspección y auditoría de todo el tráfico saliente.This prevents accidental leakage of any confidential information stored in your data tier and allows inspection and auditing of all outgoing traffic.

Nota

No bloquee por completo el tráfico de Internet de los niveles de aplicación, ya que esto evitará que estos niveles usen los servicios PaaS de Azure que se basan en direcciones IP públicas, como el registro de diagnóstico de máquina virtual, la descarga de extensiones de máquina virtual y otras funciones.Don't completely block Internet traffic from the application tiers, as this will prevent these tiers from using Azure PaaS services that rely on public IP addresses, such as VM diagnostics logging, downloading of VM extensions, and other functionality. Los diagnósticos de Azure también requieren que los componentes puedan leer y escribir en una cuenta de Azure Storage.Azure diagnostics also requires that components can read and write to an Azure Storage account.

Compruebe que el tráfico saliente de Internet se realiza correctamente a través de tunelización forzada.Verify that outbound internet traffic is force-tunneled correctly. Si utiliza una conexión VPN con el servicio de enrutamiento y acceso remoto en un servidor local, use una herramienta como Wireshark o el analizador de mensajes de Microsoft.If you're using a VPN connection with the routing and remote access service on an on-premises server, use a tool such as WireShark or Microsoft Message Analyzer.

Recomendaciones para la subred de administraciónManagement subnet recommendations

La subred de administración contiene un JumpBox que realiza la funcionalidad de supervisión y administración.The management subnet contains a jumpbox that performs management and monitoring functionality. Restrinja la ejecución de todas las tareas de administración segura al JumpBox.Restrict execution of all secure management tasks to the jumpbox.

No cree una dirección IP pública para el JumpBox.Do not create a public IP address for the jumpbox. En su lugar, cree una ruta para tener acceso al JumpBox a través de la puerta de enlace entrante.Instead, create one route to access the jumpbox through the incoming gateway. Cree reglas NSG para que la subred de administración solo responda a las solicitudes desde la ruta de acceso permitida.Create NSG rules so the management subnet only responds to requests from the allowed route.

Consideraciones sobre escalabilidadScalability considerations

La arquitectura de referencia utiliza un equilibrador de carga para dirigir el tráfico de red local a un grupo de dispositivos de aplicaciones virtuales de red, lo que enruta el tráfico.The reference architecture uses a load balancer to direct on-premises network traffic to a pool of NVA devices, which route the traffic. Los NVA se colocan en un conjunto de disponibilidad.The NVAs are placed in an availability set. Este diseño permite supervisar el rendimiento de las aplicaciones virtuales de red a lo largo del tiempo y agregar dispositivos NVA en respuesta a los aumentos de carga.This design allows you to monitor the throughput of the NVAs over time and add NVA devices in response to increases in load.

Para más información sobre los límites de ancho de banda de VPN Gateway, consulte SKU de puerta de enlace.For details about the bandwidth limits of VPN Gateway, see Gateway SKUs. Para anchos de banda mayores, considere la posibilidad de actualizar a una puerta de enlace de ExpressRoute.For higher bandwidths, consider upgrading to an ExpressRoute gateway. ExpressRoute proporciona hasta 10 GB/s de ancho de banda con una latencia inferior que una conexión VPN.ExpressRoute provides up to 10 Gbps bandwidth with lower latency than a VPN connection.

Para obtener más información sobre la escalabilidad de las puertas de enlace de Azure, consulte la sección consideraciones de escalabilidad en implementación de una arquitectura de red híbrida con Azure y VPN local e implementación de una arquitectura de red híbrida con Azure. ExpressRoute.For more information about the scalability of Azure gateways, see the scalability consideration section in Implementing a hybrid network architecture with Azure and on-premises VPN and Implementing a hybrid network architecture with Azure ExpressRoute.

Consideraciones sobre disponibilidadAvailability considerations

Como se mencionó, la arquitectura de referencia utiliza un grupo de dispositivos NVA detrás de un equilibrador de carga.As mentioned, the reference architecture uses a pool of NVA devices behind a load balancer. El equilibrador de carga utiliza un sondeo de estado para supervisar cada aplicación virtual de red y quitará la que no responda del grupo.The load balancer uses a health probe to monitor each NVA and will remove any unresponsive NVAs from the pool.

Si usa Azure ExpressRoute para proporcionar conectividad entre la red virtual y la red local, configure una puerta de enlace de VPN para proporcionar una conmutación por error si la conexión de ExpressRoute deja de estar disponible.If you're using Azure ExpressRoute to provide connectivity between the VNet and on-premises network, configure a VPN gateway to provide failover if the ExpressRoute connection becomes unavailable.

Para obtener información específica sobre el mantenimiento de la disponibilidad de conexiones VPN y ExpressRoute, consulte las consideraciones de disponibilidad para implementar una arquitectura de red híbrida con Azure y VPN local e implementar una red híbrida. arquitectura con Azure ExpressRoute.For specific information on maintaining availability for VPN and ExpressRoute connections, see the availability considerations in Implementing a hybrid network architecture with Azure and on-premises VPN and Implementing a hybrid network architecture with Azure ExpressRoute.

Consideraciones sobre la manejabilidadManageability considerations

La supervisión de todos los recursos y aplicaciones debería realizarla el JumpBox en la subred de administración.All application and resource monitoring should be performed by the jumpbox in the management subnet. Dependiendo de los requisitos de la aplicación, puede que necesite recursos adicionales de supervisión en dicha subred.Depending on your application requirements, you may need additional monitoring resources in the management subnet. Si es así, se debe tener acceso a estos recursos a través del JumpBox.If so, these resources should be accessed through the jumpbox.

Aunque la conectividad de puerta de enlace de la red local a Azure esté fuera de servicio, todavía puede comunicarse con el JumpBox; para ello, implemente una dirección IP pública, agréguela al JumpBox y conéctese de forma remota desde Internet.If gateway connectivity from your on-premises network to Azure is down, you can still reach the jumpbox by deploying a public IP address, adding it to the jumpbox, and remoting in from the internet.

La subred de cada nivel de la arquitectura de referencia está protegido por las reglas de NSG.Each tier's subnet in the reference architecture is protected by NSG rules. Debe crear una regla para abrir el puerto 3389 para el acceso del Protocolo de escritorio remoto (RDP) en las máquinas virtuales Windows o el puerto 22 para el acceso de shell seguro (SSH) en las máquinas virtuales Linux.You may need to create a rule to open port 3389 for remote desktop protocol (RDP) access on Windows VMs or port 22 for secure shell (SSH) access on Linux VMs. Otras herramientas de supervisión y administración pueden requerir reglas para abrir puertos adicionales.Other management and monitoring tools may require rules to open additional ports.

Si usa ExpressRoute para proporcionar la conectividad entre el centro de recursos local y Azure, use el Kit de herramientas de conectividad de Azure (AzureCT) para supervisar y solucionar problemas de conexión.If you're using ExpressRoute to provide the connectivity between your on-premises datacenter and Azure, use the Azure Connectivity Toolkit (AzureCT) to monitor and troubleshoot connection issues.

Puede encontrar información adicional específicamente dirigida a la supervisión y administración de conexiones VPN y ExpressRoute en los artículos implementación de una arquitectura de red híbrida con Azure y VPN local e implementación de una red híbrida. arquitectura con Azure ExpressRoute.You can find additional information specifically aimed at monitoring and managing VPN and ExpressRoute connections in the articles Implementing a hybrid network architecture with Azure and on-premises VPN and Implementing a hybrid network architecture with Azure ExpressRoute.

Consideraciones sobre la seguridadSecurity considerations

Esta arquitectura de referencia implementa varios niveles de seguridad.This reference architecture implements multiple levels of security.

Enrutamiento de todas las solicitudes de usuario local a través de la aplicación virtual de redRouting all on-premises user requests through the NVA

El UDR en la subred de puerta de enlace bloquea todas las solicitudes de usuario distintas de las recibidas desde el entorno local.The UDR in the gateway subnet blocks all user requests other than those received from on-premises. El UDR pasa las solicitudes permitidas a las aplicaciones virtuales de red en la subred privada de la red perimetral, y estas solicitudes se pasan a la aplicación, si se permiten las reglas de NVA.The UDR passes allowed requests to the NVAs in the private DMZ subnet, and these requests are passed on to the application if they are allowed by the NVA rules. Puede agregar otras rutas al UDR, pero debe asegurarse de que no omiten accidentalmente las aplicaciones virtuales de red ni bloquean el tráfico administrativo destinado a la subred de administración.You can add other routes to the UDR, but make sure they don't inadvertently bypass the NVAs or block administrative traffic intended for the management subnet.

El equilibrador de carga delante de las aplicaciones virtuales de red también actúa como un dispositivo de seguridad al pasar por alto el tráfico en los puertos que no estén abiertos en las reglas de equilibrio de carga.The load balancer in front of the NVAs also acts as a security device by ignoring traffic on ports that are not open in the load balancing rules. Los equilibradores de carga en la arquitectura de referencia solo escuchan las solicitudes HTTP en el puerto 80 y las solicitudes HTTPS en el puerto 443.The load balancers in the reference architecture only listen for HTTP requests on port 80 and HTTPS requests on port 443. Documente las reglas adicionales que agregue a los equilibradores de carga y supervise el tráfico para asegurarse de que no hay ningún problema de seguridad.Document any additional rules that you add to the load balancers, and monitor traffic to ensure there are no security issues.

Grupos de seguridad de red para bloquear o permitir el tráfico entre los niveles de aplicaciónUsing NSGs to block/pass traffic between application tiers

El tráfico entre niveles se restringe mediante grupos de seguridad de red (NSG).Traffic between tiers is restricted by using NSGs. El nivel empresarial bloquea todo el tráfico que no se origina en el nivel web y el de datos bloquea todo el tráfico que no se origina en el nivel empresarial.The business tier blocks all traffic that doesn't originate in the web tier, and the data tier blocks all traffic that doesn't originate in the business tier. Si necesita expandir las reglas de NSG a fin de permitir un mayor acceso a estos niveles, sopese estos requisitos con respecto a los riesgos de seguridad.If you have a requirement to expand the NSG rules to allow broader access to these tiers, weigh these requirements against the security risks. Cada nueva ruta de entrada representa una oportunidad para que se produzca la pérdida accidental o intencionada de datos o la aplicación resulte dañada.Each new inbound pathway represents an opportunity for accidental or purposeful data leakage or application damage.

Acceso de DevOpsDevOps access

Use RBAC para restringir las operaciones que DevOps puede realizar en cada nivel.Use RBAC to restrict the operations that DevOps can perform on each tier. Al conceder permisos, use el principio de los privilegios mínimos.When granting permissions, use the principle of least privilege. Registre todas las operaciones administrativas y realice auditorías periódicas para asegurarse de que los cambios de configuración se habían planeado.Log all administrative operations and perform regular audits to ensure any configuration changes were planned.

Implementación de la soluciónDeploy the solution

Hay disponible una implementación de una arquitectura de referencia que implementa estas recomendaciones en GitHub.A deployment for a reference architecture that implements these recommendations is available on GitHub.

Requisitos previosPrerequisites

  1. Clone, bifurque o descargue el archivo zip del repositorio de GitHub de arquitecturas de referencia.Clone, fork, or download the zip file for the reference architectures GitHub repository.

  2. Instale la CLI de Azure 2.0.Install Azure CLI 2.0.

  3. Instale Node y NPM.Install Node and NPM

  4. Instale el paquete de npm de bloques de creación de Azure.Install the Azure building blocks npm package.

    npm install -g @mspnp/azure-building-blocks
    
  5. Desde un símbolo del sistema, un símbolo del sistema de Bash o un símbolo del sistema de PowerShell, inicie sesión en su cuenta de Azure como se indica a continuación:From a command prompt, bash prompt, or PowerShell prompt, sign into your Azure account as follows:

    az login
    

Implementación de recursosDeploy resources

  1. Vaya a la carpeta /dmz/secure-vnet-hybrid del repositorio de GitHub de las arquitecturas de referencia.Navigate to the /dmz/secure-vnet-hybrid folder of the reference architectures GitHub repository.

  2. Ejecute el siguiente comando:Run the following command:

    azbb -s <subscription_id> -g <resource_group_name> -l <region> -p onprem.json --deploy
    
  3. Ejecute el siguiente comando:Run the following command:

    azbb -s <subscription_id> -g <resource_group_name> -l <region> -p secure-vnet-hybrid.json --deploy
    

Conexión de las puertas de enlace local y de AzureConnect the on-premises and Azure gateways

En este paso, conectará las dos puertas de enlace de red local.In this step, you will connect the two local network gateways.

  1. En el Azure Portal, desplácese hasta el grupo de recursos que creó.In the Azure portal, navigate to the resource group that you created.

  2. Busque el recurso llamado ra-vpn-vgw-pip y copie la dirección IP que se muestra en la hoja Información general.Find the resource named ra-vpn-vgw-pip and copy the IP address shown in the Overview blade.

  3. Busque el recurso llamado onprem-vpn-lgw.Find the resource named onprem-vpn-lgw.

  4. Haga clic en la hoja Configuración.Click the Configuration blade. En Dirección IP, pegue la dirección IP del paso 2.Under IP address, paste in the IP address from step 2.

    Captura de pantalla del campo de dirección IP

  5. Haga clic en Guardar y espere a que finalice la operación.Click Save and wait for the operation to complete. Puede tardar unos 5 minutos.It can take about 5 minutes.

  6. Busque el recurso llamado onprem-vpn-gateway1-pip.Find the resource named onprem-vpn-gateway1-pip. Copie la dirección IP que se muestra en la hoja Información general.Copy the IP address shown in the Overview blade.

  7. Busque el recurso llamado ra-vpn-lgw.Find the resource named ra-vpn-lgw.

  8. Haga clic en la hoja Configuración.Click the Configuration blade. En Dirección IP, pegue la dirección IP del paso 6.Under IP address, paste in the IP address from step 6.

  9. Haga clic en Guardar y espere a que finalice la operación.Click Save and wait for the operation to complete.

  10. Para comprobar la conexión, vaya a la hoja Conexiones de cada puerta de enlace.To verify the connection, go to the Connections blade for each gateway. El estado debe ser Conectado.The status should be Connected.

Compruebe que el tráfico de red llega al nivel webVerify that network traffic reaches the web tier

  1. En el Azure Portal, desplácese hasta el grupo de recursos que creó.In the Azure portal, navigate to the resource group that you created.

  2. Busque el recurso llamado int-dmz-lb, que es el equilibrador de carga que hay delante de la red perimetral privada.Find the resource named int-dmz-lb, which is the load balancer in front of the private DMZ. Copie la dirección IP privada de la hoja Información general.Copy the private IP address from the Overview blade.

  3. Busque la máquina virtual denominada jb-vm1.Find the VM named jb-vm1. Haga clic en Conectar y use el escritorio remoto para conectarse a la máquina virtual.Click Connect and use Remote Desktop to connect to the VM. El nombre de usuario y la contraseña se especifican en el archivo onprem.json.The user name and password are specified in the onprem.json file.

  4. En la sesión del escritorio remoto, abra un explorador web y vaya a la dirección IP del paso 2.From the Remote Desktop Session, open a web browser and navigate to the IP address from step 2. Debería ver la página principal predeterminada del servidor Apache2.You should see the default Apache2 server home page.

Pasos siguientesNext steps