Conexión de una red local a Azure mediante ExpressRouteConnect an on-premises network to Azure using ExpressRoute

Esta arquitectura de referencia muestra cómo conectar una red local a las redes virtuales en Azure, mediante Azure ExpressRoute.This reference architecture shows how to connect an on-premises network to virtual networks on Azure, using Azure ExpressRoute. Las conexiones de ExpressRoute utilizan una conexión privada y dedicada a través de un proveedor de conectividad de terceros.ExpressRoute connections use a private, dedicated connection through a third-party connectivity provider. La conexión privada extiende la red local en Azure.The private connection extends your on-premises network into Azure. Implemente esta solución.Deploy this solution.

00

Descargue un archivo Visio de esta arquitectura.Download a Visio file of this architecture.

ArquitecturaArchitecture

La arquitectura consta de los siguientes componentes:The architecture consists of the following components.

  • Red corporativa local.On-premises corporate network. Una red de área local privada que se ejecuta dentro de una organización.A private local-area network running within an organization.

  • Circuito ExpressRoute.ExpressRoute circuit. Un circuito de capa 2 o capa 3 suministrado por el proveedor de conectividad que se une a la red local con Azure a través de los enrutadores perimetrales.A layer 2 or layer 3 circuit supplied by the connectivity provider that joins the on-premises network with Azure through the edge routers. El circuito usa la infraestructura de hardware administrada por el proveedor de conectividad.The circuit uses the hardware infrastructure managed by the connectivity provider.

  • Enrutadores perimetrales locales.Local edge routers. Enrutadores que conectan la red local al circuito administrado por el proveedor.Routers that connect the on-premises network to the circuit managed by the provider. En función de cómo se aprovisione la conexión, debe proporcionar las direcciones IP públicas utilizadas por los enrutadores.Depending on how your connection is provisioned, you may need to provide the public IP addresses used by the routers.

  • Enrutadores perimetrales de Microsoft.Microsoft edge routers. Dos enrutadores en una configuración de alta disponibilidad activa/activa.Two routers in an active-active highly available configuration. Estos enrutadores permiten a un proveedor de conectividad conectar sus circuitos directamente a su centro de datos.These routers enable a connectivity provider to connect their circuits directly to their datacenter. En función de cómo se aprovisione la conexión, debe proporcionar las direcciones IP públicas utilizadas por los enrutadores.Depending on how your connection is provisioned, you may need to provide the public IP addresses used by the routers.

  • Redes virtuales Azure (VNets) .Azure virtual networks (VNets). Cada red virtual se encuentra en una sola región de Azure y puede hospedar varios niveles de aplicación.Each VNet resides in a single Azure region, and can host multiple application tiers. Los niveles de aplicación se pueden segmentar con subredes en cada red virtual.Application tiers can be segmented using subnets in each VNet.

  • Servicios públicos de Azure.Azure public services. Servicios de Azure que pueden usarse en una aplicación híbrida.Azure services that can be used within a hybrid application. Estos servicios también están disponibles a través de Internet, pero acceder a ellos mediante un circuito ExpressRoute proporciona baja latencia y un rendimiento más predecible, ya que el tráfico no pasa a través de Internet.These services are also available over the Internet, but accessing them using an ExpressRoute circuit provides low latency and more predictable performance, because traffic does not go through the Internet. Las conexiones se realizan mediante emparejamiento público, con direcciones que pertenecen a su organización o proporcionadas por el proveedor de conectividad.Connections are performed using public peering, with addresses that are either owned by your organization or supplied by your connectivity provider.

  • Servicios de Office 365.Office 365 services. Aplicaciones y servicios de Office 365 disponibles públicamente y proporcionados por Microsoft.The publicly available Office 365 applications and services provided by Microsoft. Las conexiones se realizan mediante emparejamiento de Microsoft, con direcciones que pertenecen a su organización o proporcionadas por el proveedor de conectividad.Connections are performed using Microsoft peering, with addresses that are either owned by your organization or supplied by your connectivity provider. También puede conectarse directamente a Microsoft CRM Online a través del emparejamiento de Microsoft.You can also connect directly to Microsoft CRM Online through Microsoft peering.

  • Proveedores de conectividad (no se muestran).Connectivity providers (not shown). Empresas que proporcionan una conexión a través de conectividad de nivel 2 o de nivel 3 entre el centro de datos y un centro de datos de Azure.Companies that provide a connection either using layer 2 or layer 3 connectivity between your datacenter and an Azure datacenter.

RecomendacionesRecommendations

Las siguientes recomendaciones sirven para la mayoría de los escenarios.The following recommendations apply for most scenarios. Sígalas a menos que tenga un requisito concreto que las invalide.Follow these recommendations unless you have a specific requirement that overrides them.

Proveedores de conectividadConnectivity providers

Seleccione un proveedor de conectividad de ExpressRoute adecuado para su ubicación.Select a suitable ExpressRoute connectivity provider for your location. Para obtener una lista de los proveedores de conectividad disponibles en su ubicación, utilice el siguiente comando de Azure PowerShell:To get a list of connectivity providers available at your location, use the following Azure PowerShell command:

Get-AzureRmExpressRouteServiceProvider

Los proveedores de conectividad de ExpressRoute conectan el centro de datos a Microsoft de las maneras siguientes:ExpressRoute connectivity providers connect your datacenter to Microsoft in the following ways:

  • Ubicación compartida en un intercambio en la nube.Co-located at a cloud exchange. Si comparte la ubicación en la misma instalación con un intercambio en la nube, puede solicitar conexiones cruzadas virtuales a Azure a través del intercambio de Ethernet del proveedor de la ubicación compartida.If you're co-located in a facility with a cloud exchange, you can order virtual cross-connections to Azure through the co-location provider’s Ethernet exchange. Los proveedores de ubicación compartida pueden ofrecer conexiones cruzadas de nivel 2, o conexiones cruzadas de nivel 3 administradas entre la infraestructura en la instalación de ubicación compartida y Azure.Co-location providers can offer either layer 2 cross-connections, or managed layer 3 cross-connections between your infrastructure in the co-location facility and Azure.
  • Conexiones Ethernet de punto a punto.Point-to-point Ethernet connections. Puede conectar los centros de datos u oficinas locales a Azure a través de vínculos de Ethernet de punto a punto.You can connect your on-premises datacenters/offices to Azure through point-to-point Ethernet links. Los proveedores de Ethernet de punto a punto pueden ofrecer conexiones de nivel 2 o de nivel 3 administradas entre el sitio y Azure.Point-to-point Ethernet providers can offer layer 2 connections, or managed layer 3 connections between your site and Azure.
  • Redes de conexión universal (IPVPN) .Any-to-any (IPVPN) networks. Puede integrar la red de área extensa (WAN) con Azure.You can integrate your wide area network (WAN) with Azure. Los proveedores de red privada virtual del protocolo de Internet (IPVPN), normalmente una VPN de conmutación de etiquetas multiprotocolo, ofrecen una conectividad universal entre los centros de datos y las sucursales.Internet protocol virtual private network (IPVPN) providers (typically a multiprotocol label switching VPN) offer any-to-any connectivity between your branch offices and datacenters. Azure puede estar conectada a la WAN de forma que parezca otra sucursal más.Azure can be interconnected to your WAN to make it look just like any other branch office. Los proveedores de WAN normalmente ofrecen una conectividad de nivel 3 administrada.WAN providers typically offer managed layer 3 connectivity.

Para obtener más información acerca de los proveedores de conectividad, consulte el Introducción a ExpressRoute.For more information about connectivity providers, see the ExpressRoute introduction.

Circuito ExpressRouteExpressRoute circuit

Asegúrese de que su organización ha cumplido la requisitos previos de ExpressRoute para conectarse a Azure.Ensure that your organization has met the ExpressRoute prerequisite requirements for connecting to Azure.

Si aún no lo ha hecho, agregue una subred con el nombre GatewaySubnet a la red virtual de Azure y cree una puerta de enlace de red virtual de ExpressRoute con el servicio de puerta de enlace de VPN de Azure.If you haven't already done so, add a subnet named GatewaySubnet to your Azure VNet and create an ExpressRoute virtual network gateway using the Azure VPN gateway service. Para obtener más información sobre este proceso, consulte flujos de trabajo de ExpressRoute para aprovisionamiento de circuitos y Estados de circuitos.For more information about this process, see ExpressRoute workflows for circuit provisioning and circuit states.

Cree un circuito ExpressRoute como se indica a continuación:Create an ExpressRoute circuit as follows:

  1. Ejecute el siguiente comando de PowerShell:Run the following PowerShell command:

    New-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>> -Location <<location>> -SkuTier <<sku-tier>> -SkuFamily <<sku-family>> -ServiceProviderName <<service-provider-name>> -PeeringLocation <<peering-location>> -BandwidthInMbps <<bandwidth-in-mbps>>
    
  2. Envíe el valor de ServiceKey para el circuito nuevo al proveedor de servicios.Send the ServiceKey for the new circuit to the service provider.

  3. Espere a que el proveedor aprovisione el circuito.Wait for the provider to provision the circuit. Para comprobar el estado de aprovisionamiento de un circuito, ejecute el siguiente comando de PowerShell:To verify the provisioning state of a circuit, run the following PowerShell command:

    Get-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
    

    El campo Provisioning state de la sección Service Provider de la salida cambiará de NotProvisioned a Provisioned cuando el circuito esté listo.The Provisioning state field in the Service Provider section of the output will change from NotProvisioned to Provisioned when the circuit is ready.

    Nota

    Si usa una conexión de nivel 3, el proveedor debe configurar y administrar el enrutamiento en su lugar.If you're using a layer 3 connection, the provider should configure and manage routing for you. Proporcione la información necesaria para permitir que el proveedor implemente las rutas adecuadas.You provide the information necessary to enable the provider to implement the appropriate routes.

  4. Si usa una conexión de nivel 2:If you're using a layer 2 connection:

    1. Reserve dos subredes /30 compuestas de direcciones IP públicas válidas para cada tipo de emparejamiento que desee implementar.Reserve two /30 subnets composed of valid public IP addresses for each type of peering you want to implement. Estas subredes /30 se usarán para proporcionar direcciones IP para los enrutadores utilizados para el circuito.These /30 subnets will be used to provide IP addresses for the routers used for the circuit. Si va a implementar el emparejamiento de Microsoft público o privado, necesitará seis subredes /30 con direcciones IP públicas válidas.If you are implementing private, public, and Microsoft peering, you'll need 6 /30 subnets with valid public IP addresses.

    2. Configure el enrutamiento para el circuito ExpressRoute.Configure routing for the ExpressRoute circuit. Ejecute los siguientes comandos de PowerShell para cada tipo de emparejamiento que desee configurar (privado, público y Microsoft).Run the following PowerShell commands for each type of peering you want to configure (private, public, and Microsoft). Para obtener más información, consulte creación y modificación del enrutamiento de un circuito ExpressRoute.For more information, see Create and modify routing for an ExpressRoute circuit.

      Set-AzureRmExpressRouteCircuitPeeringConfig -Name <<peering-name>> -Circuit <<circuit-name>> -PeeringType <<peering-type>> -PeerASN <<peer-asn>> -PrimaryPeerAddressPrefix <<primary-peer-address-prefix>> -SecondaryPeerAddressPrefix <<secondary-peer-address-prefix>> -VlanId <<vlan-id>>
      
      Set-AzureRmExpressRouteCircuit -ExpressRouteCircuit <<circuit-name>>
      
    3. Reserve otro grupo de direcciones IP públicas válidas para usarlas en la traducción de direcciones de red (NAT) para el emparejamiento público y de Microsoft.Reserve another pool of valid public IP addresses to use for network address translation (NAT) for public and Microsoft peering. Se recomienda tener un grupo diferente para cada emparejamiento.It is recommended to have a different pool for each peering. Especifique el grupo para el proveedor de conectividad, de modo que puedan configurar los anuncios del Protocolo de puerta de enlace fronteriza (BGP) para esos intervalos.Specify the pool to your connectivity provider, so they can configure border gateway protocol (BGP) advertisements for those ranges.

  5. Ejecute los siguientes comandos de PowerShell para vincular sus redes virtuales privadas al circuito ExpressRoute.Run the following PowerShell commands to link your private VNet(s) to the ExpressRoute circuit. Para obtener más información, consulte vincular una red virtual a un circuito ExpressRoute.For more information,see Link a virtual network to an ExpressRoute circuit.

    $circuit = Get-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
    $gw = Get-AzureRmVirtualNetworkGateway -Name <<gateway-name>> -ResourceGroupName <<resource-group>>
    New-AzureRmVirtualNetworkGatewayConnection -Name <<connection-name>> -ResourceGroupName <<resource-group>> -Location <<location> -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute
    

Puede conectar varias redes virtuales que se encuentren en regiones diferentes al mismo circuito ExpressRoute, siempre y cuando todos ellos se encuentren en la misma región geopolítica.You can connect multiple VNets located in different regions to the same ExpressRoute circuit, as long as all VNets and the ExpressRoute circuit are located within the same geopolitical region.

solución de problemasTroubleshooting

Si un circuito de ExpressRoute que funcionaba ahora no se puede conectar, en ausencia de cambios de configuración local o dentro de la red virtual privada, debe ponerse en contacto con el proveedor de conectividad y colaborar para corregir el problema.If a previously functioning ExpressRoute circuit now fails to connect, in the absence of any configuration changes on-premises or within your private VNet, you may need to contact the connectivity provider and work with them to correct the issue. Use los siguientes comandos de PowerShell para comprobar que se ha aprovisionado el circuito de ExpressRoute:Use the following PowerShell commands to verify that the ExpressRoute circuit has been provisioned:

Get-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

El resultado de este comando muestra varias propiedades para el circuito, incluidas ProvisioningState, CircuitProvisioningState y ServiceProviderProvisioningState, tal y como se muestra a continuación.The output of this command shows several properties for your circuit, including ProvisioningState, CircuitProvisioningState, and ServiceProviderProvisioningState as shown below.

ProvisioningState                : Succeeded
Sku                              : {
                                     "Name": "Standard_MeteredData",
                                     "Tier": "Standard",
                                     "Family": "MeteredData"
                                   }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : NotProvisioned

Si la propiedad ProvisioningState no está establecida en Succeeded después de intentar crear un nuevo circuito, quite el circuito mediante el comando siguiente e intente crearlo de nuevo.If the ProvisioningState is not set to Succeeded after you tried to create a new circuit, remove the circuit by using the command below and try to create it again.

Remove-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

Si el proveedor ya tenía aprovisionado el circuito y la propiedad ProvisioningState ya está establecida en Failed, o la propiedad CircuitProvisioningState no es Enabled, póngase en contacto con su proveedor para obtener más ayuda.If your provider had already provisioned the circuit, and the ProvisioningState is set to Failed, or the CircuitProvisioningState is not Enabled, contact your provider for further assistance.

Consideraciones sobre escalabilidadScalability considerations

Los circuitos de ExpressRoute proporcionan una ruta de acceso de gran ancho de banda entre redes.ExpressRoute circuits provide a high bandwidth path between networks. Por lo general, cuanto mayor sea el ancho de banda mayor será el costo.Generally, the higher the bandwidth the greater the cost.

ExpressRoute ofrece dos planes de precios a los clientes, un plan de uso medido y un plan de datos ilimitado.ExpressRoute offers two pricing plans to customers, a metered plan and an unlimited data plan. Los cargos pueden variar según el ancho de banda del circuito.Charges vary according to circuit bandwidth. Es probable que el ancho de banda disponible varíe de un proveedor a otro.Available bandwidth will likely vary from provider to provider. Use el cmdlet Get-AzureRmExpressRouteServiceProvider para ver los proveedores disponibles en su región y los anchos de banda que ofrecen.Use the Get-AzureRmExpressRouteServiceProvider cmdlet to see the providers available in your region and the bandwidths that they offer.

Un solo circuito ExpressRoute puede admitir un número determinado de emparejamientos y vínculos de red virtual.A single ExpressRoute circuit can support a certain number of peerings and VNet links. Para más información, consulte el artículo Límites de ExpressRoute.See ExpressRoute limits for more information.

Por un costo adicional, el complemento Premium de ExpressRoute proporciona más capacidad:For an extra charge, the ExpressRoute Premium add-on provides some additional capability:

  • Mayor límite de rutas para el emparejamiento público y privado.Increased route limits for public and private peering.
  • Aumento del número de vínculos de red virtual por cada circuito ExpressRoute.Increased number of VNet links per ExpressRoute circuit.
  • Conectividad global para los servicios.Global connectivity for services.

Consulte precios de ExpressRoute para obtener más información.See ExpressRoute pricing for details.

Los circuitos ExpressRoute están diseñados para permitir hasta dos veces el límite de ancho de banda adquirido sin costo adicional.ExpressRoute circuits are designed to allow temporary network bursts up to two times the bandwidth limit that you procured for no additional cost. Esto se logra mediante el uso de vínculos redundantes.This is achieved by using redundant links. Sin embargo, no todos los proveedores de conectividad admiten esta característica.However, not all connectivity providers support this feature. Verifique que el proveedor de conectividad habilita esta característica antes de depender de ella.Verify that your connectivity provider enables this feature before depending on it.

Aunque algunos proveedores le permiten cambiar el ancho de banda, asegúrese de elegir uno inicial que sobrepase sus necesidades y proporcione espacio para el crecimiento.Although some providers allow you to change your bandwidth, make sure you pick an initial bandwidth that surpasses your needs and provides room for growth. Si necesita aumentar el ancho de banda en el futuro, le quedan dos opciones:If you need to increase bandwidth in the future, you are left with two options:

  • Aumentar el ancho de banda.Increase the bandwidth. Debe evitar esta opción en la medida de lo posible; no todos los proveedores le permiten aumentar dinámicamente el ancho de banda.You should avoid this option as much as possible, and not all providers allow you to increase bandwidth dynamically. Pero si se necesita un aumento del ancho de banda, póngase en contacto con su proveedor para verificar que permite cambiar las propiedades de ancho de banda de ExpressRoute a través de los comandos de PowerShell.But if a bandwidth increase is needed, check with your provider to verify they support changing ExpressRoute bandwidth properties via PowerShell commands. Si es así, ejecute los comandos siguientes.If they do, run the commands below.

    $ckt = Get-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
    $ckt.ServiceProviderProperties.BandwidthInMbps = <<bandwidth-in-mbps>>
    Set-AzureRmExpressRouteCircuit -ExpressRouteCircuit $ckt
    

    Puede aumentar el ancho de banda sin perder conectividad.You can increase the bandwidth without loss of connectivity. Degradar el ancho de banda provocará una interrupción en la conectividad, ya que debe eliminar el circuito y volver a crearlo con la nueva configuración.Downgrading the bandwidth will result in disruption in connectivity, because you must delete the circuit and recreate it with the new configuration.

  • Cambiar el plan de precios o actualizar a Premium.Change your pricing plan and/or upgrade to Premium. Para ello, ejecute los siguientes comandos:To do so, run the following commands. La propiedad Sku.Tier puede ser Standard o Premium; la propiedad Sku.Name puede ser MeteredData o UnlimitedData.The Sku.Tier property can be Standard or Premium; the Sku.Name property can be MeteredData or UnlimitedData.

    $ckt = Get-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
    
    $ckt.Sku.Tier = "Premium"
    $ckt.Sku.Family = "MeteredData"
    $ckt.Sku.Name = "Premium_MeteredData"
    
    Set-AzureRmExpressRouteCircuit -ExpressRouteCircuit $ckt
    

    Importante

    Asegúrese de que la propiedad Sku.Name concuerda con las propiedades Sku.Tier y Sku.Family.Make sure the Sku.Name property matches the Sku.Tier and Sku.Family. Si cambia la familia y el nivel, pero no el nombre, la conexión se deshabilitará.If you change the family and tier, but not the name, your connection will be disabled.

    Puede actualizar la SKU sin interrupciones, pero no se puede cambiar del plan de precios ilimitado al limitado.You can upgrade the SKU without disruption, but you cannot switch from the unlimited pricing plan to metered. Al degradar la SKU, el consumo de ancho de banda debe permanecer en el límite predeterminado de la SKU estándar.When downgrading the SKU, your bandwidth consumption must remain within the default limit of the standard SKU.

Consideraciones sobre disponibilidadAvailability considerations

ExpressRoute no admite protocolos de redundancia de enrutador como el Protocolo de enrutamiento en espera activa (HSRP) y el Protocolo de redundancia de enrutador virtual (VRRP) para implementar la alta disponibilidad.ExpressRoute does not support router redundancy protocols such as hot standby routing protocol (HSRP) and virtual router redundancy protocol (VRRP) to implement high availability. En su lugar, utiliza un par redundante de sesiones BGP por emparejamiento.Instead, it uses a redundant pair of BGP sessions per peering. Para facilitar las conexiones de alta disponibilidad a la red, Azure proporciona dos puertos de redundancia en los dos enrutadores (parte de Microsoft Edge) en una configuración activa/activa.To facilitate highly-available connections to your network, Azure provisions you with two redundant ports on two routers (part of the Microsoft edge) in an active-active configuration.

De forma predeterminada, las sesiones BGP usan un valor de tiempo de espera de inactividad de 60 segundos.By default, BGP sessions use an idle timeout value of 60 seconds. Si una sesión agota el tiempo de espera tres veces (180 segundos en total), el enrutador se marca como no disponible y todo el tráfico se redirige al enrutador restante.If a session times out three times (180 seconds total), the router is marked as unavailable, and all traffic is redirected to the remaining router. Este tiempo de espera de 180 segundos puede ser demasiado largo para las aplicaciones críticas.This 180-second timeout might be too long for critical applications. Si es así, puede cambiar la configuración del tiempo de espera BGP en el enrutador local con un valor menor.If so, you can change your BGP time-out settings on the on-premises router to a smaller value.

Puede configurar la alta disponibilidad para la conexión de Azure de maneras diferentes, dependiendo del tipo de proveedor que utilice y del número de circuitos ExpressRoute y de conexiones de puerta de enlace de red virtual que esté dispuesto a configurar.You can configure high availability for your Azure connection in different ways, depending on the type of provider you use, and the number of ExpressRoute circuits and virtual network gateway connections you're willing to configure. A continuación se resumen las opciones de disponibilidad:The following summarizes your availability options:

  • Si usa una conexión de nivel 2, implemente enrutadores redundantes en su red local en una configuración activa/activa.If you're using a layer 2 connection, deploy redundant routers in your on-premises network in an active-active configuration. Conecte el circuito principal a un enrutador y el circuito secundario al otro.Connect the primary circuit to one router, and the secondary circuit to the other. Esto le proporcionará una conexión de alta disponibilidad en ambos extremos de la conexión.This will give you a highly available connection at both ends of the connection. Esto es necesario si requiere el Acuerdo de Nivel de Servicio (SLA) de ExpressRoute.This is necessary if you require the ExpressRoute service level agreement (SLA). Consulte SLA de Azure ExpressRoute para obtener más información.See SLA for Azure ExpressRoute for details.

    El siguiente diagrama muestra una configuración con enrutadores redundantes locales conectados a los circuitos principales y secundarios.The following diagram shows a configuration with redundant on-premises routers connected to the primary and secondary circuits. Cada circuito controla el tráfico de un emparejamiento público y de un emparejamiento privado (cada uno se designa con un par de espacios de direcciones /30, tal como se describe en la sección anterior).Each circuit handles the traffic for a public peering and a private peering (each peering is designated a pair of /30 address spaces, as described in the previous section).

    11

  • Si usa una conexión de nivel 3, verifique que proporciona sesiones BGP redundantes que controlan la disponibilidad en su lugar.If you're using a layer 3 connection, verify that it provides redundant BGP sessions that handle availability for you.

  • Conecte la red virtual a varios circuitos ExpressRoute, proporcionados por otros proveedores de servicios.Connect the VNet to multiple ExpressRoute circuits, supplied by different service providers. Esta estrategia proporciona funcionalidades de recuperación ante desastres y alta disponibilidad adicional.This strategy provides additional high-availability and disaster recovery capabilities.

  • Configure una VPN de sitio a sitio como una ruta de acceso de conmutación por error para ExpressRoute.Configure a site-to-site VPN as a failover path for ExpressRoute. Para obtener más información acerca de esta opción, consulte conectar una red local a Azure mediante ExpressRoute con conmutación por error VPN.For more about this option, see Connect an on-premises network to Azure using ExpressRoute with VPN failover. Esta opción solo se aplica al emparejamiento privado.This option only applies to private peering. Para los servicios de Azure y Office 365, Internet es la única ruta de acceso para la conmutación por error.For Azure and Office 365 services, the Internet is the only failover path.

Consideraciones sobre la manejabilidadManageability considerations

Puede usar el Azure Connectivity Toolkit (AzureCT) para supervisar la conectividad entre el centro de datos local y Azure.You can use the Azure Connectivity Toolkit (AzureCT) to monitor connectivity between your on-premises datacenter and Azure.

Consideraciones sobre la seguridadSecurity considerations

Puede configurar las opciones de seguridad para la conexión de Azure de maneras diferentes, en función de las necesidades de cumplimiento de normas y de los problemas de seguridad.You can configure security options for your Azure connection in different ways, depending on your security concerns and compliance needs.

ExpressRoute funciona en el nivel 3.ExpressRoute operates in layer 3. Las amenazas del nivel de aplicación pueden evitarse mediante el uso de un dispositivo de seguridad de red que restrinja el tráfico a los recursos legítimos.Threats in the application layer can be prevented by using a network security appliance that restricts traffic to legitimate resources. Además, las conexiones de ExpressRoute con el emparejamiento público solo pueden iniciarse desde el entorno local.Additionally, ExpressRoute connections using public peering can only be initiated from on-premises. Así se evita que un servicio malicioso obtenga acceso y ponga en peligro los datos locales desde Internet.This prevents a rogue service from accessing and compromising on-premises data from the Internet.

Para maximizar la seguridad, agregue dispositivos de seguridad de red entre la red local y los enrutadores perimetrales del proveedor.To maximize security, add network security appliances between the on-premises network and the provider edge routers. Esto le ayudará a impedir el flujo de entrada de tráfico no autorizado de la red virtual:This will help to restrict the inflow of unauthorized traffic from the VNet:

22

Para fines de cumplimiento o auditoría, puede ser necesario prohibir el acceso directo de los componentes que se ejecutan en la red virtual a Internet y a implementar la tunelización forzada.For auditing or compliance purposes, it may be necessary to prohibit direct access from components running in the VNet to the Internet and implement forced tunneling. En esta situación, el tráfico de Internet se debe redirigir a través de un proxy que se ejecute de forma local donde se pueda auditar.In this situation, Internet traffic should be redirected back through a proxy running on-premises where it can be audited. El proxy puede configurarse para bloquear el tráfico no autorizado que fluya hacia fuera y filtrar el tráfico de entrada potencialmente malintencionado.The proxy can be configured to block unauthorized traffic flowing out, and filter potentially malicious inbound traffic.

33

Para maximizar la seguridad, no habilite una dirección IP pública para las máquinas virtuales y utilice los grupos de seguridad de red para asegurarse de que estas máquinas virtuales no están accesibles públicamente.To maximize security, do not enable a public IP address for your VMs, and use NSGs to ensure that these VMs aren't publicly accessible. Las máquinas virtuales solo deben estar disponibles mediante la dirección IP interna.VMs should only be available using the internal IP address. Estas direcciones pueden hacerse accesibles a través de la red de ExpressRoute, permitiendo al personal de DevOps local para que realice la configuración o el mantenimiento.These addresses can be made accessible through the ExpressRoute network, enabling on-premises DevOps staff to perform configuration or maintenance.

Si debe exponer los extremos de administración para las máquinas virtuales a una red externa, use NSG o control de acceso para restringir la visibilidad de estos puertos a una lista de direcciones IP o redes permitidas.If you must expose management endpoints for VMs to an external network, use NSGs or access control lists to restrict the visibility of these ports to an allowed list of IP addresses or networks.

Nota

De forma predeterminada, las máquinas virtuales de Azure implementadas a través de Azure Portal incluyen una dirección IP pública que proporciona acceso de inicio de sesión.By default, Azure VMs deployed through the Azure portal include a public IP address that provides login access.

Implementación de la soluciónDeploy the solution

Requisitos previos.Prerequisites. Debe tener una infraestructura local existente ya configurada con un dispositivo de red adecuado.You must have an existing on-premises infrastructure already configured with a suitable network appliance.

Para implementar la solución, siga estos pasos:To deploy the solution, perform the following steps.

  1. Haga clic en el vínculo siguiente.Click the link below.

    Implementación en AzureDeploy to Azure

  2. Espere a que el vínculo abra Azure Portal y, a continuación, siga estos pasos:Wait for the link to open in the Azure portal, then follow these steps:

    • El nombre del Grupo de recursos ya está definido en el archivo de parámetros, así que seleccione Crear nuevo y escriba ra-hybrid-er-rg en el cuadro de texto.The Resource group name is already defined in the parameter file, so select Create New and enter ra-hybrid-er-rg in the text box.
    • Seleccione la región en el cuadro de lista desplegable Ubicación.Select the region from the Location drop down box.
    • No modifique los cuadros de texto URI raíz de plantilla o URI raíz de parámetro.Do not edit the Template Root Uri or the Parameter Root Uri text boxes.
    • Revise los términos y condiciones, y haga clic en la casilla Acepto los términos y condiciones indicados anteriormente.Review the terms and conditions, then click the I agree to the terms and conditions stated above checkbox.
    • Haga clic en el botón Comprar.Click the Purchase button.
  3. Espere a que la implementación se complete.Wait for the deployment to complete.

  4. Haga clic en el vínculo siguiente.Click the link below.

    Implementación en AzureDeploy to Azure

  5. Espere a que el vínculo abra Azure Portal y, a continuación, siga estos pasos:Wait for the link to open in the Azure portal, then follow these steps:

    • Seleccione Usar existente en la sección Grupo de recursos y escriba ra-hybrid-er-rg en el cuadro de texto.Select Use existing in the Resource group section and enter ra-hybrid-er-rg in the text box.
    • Seleccione la región en el cuadro de lista desplegable Ubicación.Select the region from the Location drop down box.
    • No modifique los cuadros de texto URI raíz de plantilla o URI raíz de parámetro.Do not edit the Template Root Uri or the Parameter Root Uri text boxes.
    • Revise los términos y condiciones, y haga clic en la casilla Acepto los términos y condiciones indicados anteriormente.Review the terms and conditions, then click the I agree to the terms and conditions stated above checkbox.
    • Haga clic en el botón Comprar.Click the Purchase button.
  6. Espere a que la implementación se complete.Wait for the deployment to complete.