Implementación de una topología de red en estrella tipo hub-and-spoke en AzureImplement a hub-spoke network topology in Azure

En esta arquitectura de referencia se muestra cómo implementar una topología en estrella tipo hub-and-spoke en Azure.This reference architecture shows how to implement a hub-spoke topology in Azure. El concentrador (hub) es una red virtual (VNet) en Azure que actúa como un punto central de conectividad para la red local.The hub is a virtual network (VNet) in Azure that acts as a central point of connectivity to your on-premises network. Los radios (spoke) son redes virtuales (VNet) que se emparejan con el concentrador y que se pueden usar para aislar cargas de trabajo.The spokes are VNets that peer with the hub, and can be used to isolate workloads. El tráfico fluye entre el centro de datos local y el concentrador a través de una conexión a ExpressRoute o a VPN Gateway.Traffic flows between the on-premises datacenter and the hub through an ExpressRoute or VPN gateway connection. Implemente esta solución.Deploy this solution.

00

Descargue un archivo Visio de esta arquitectura.Download a Visio file of this architecture

Las ventajas de esta topología incluyen:The benefits of this topology include:

  • Ahorros en costos gracias a la centralización de los servicios que se pueden compartir entre varias cargas de trabajo, como las aplicaciones virtuales de red (NVA) y los servidores DNS, en una única ubicación.Cost savings by centralizing services that can be shared by multiple workloads, such as network virtual appliances (NVAs) and DNS servers, in a single location.
  • Superar los límites de las suscripciones gracias al emparejamiento de las redes virtuales de diferentes suscripciones con el concentrador central.Overcome subscriptions limits by peering VNets from different subscriptions to the central hub.
  • Separación de intereses entre la TI central (SecOps e InfraOps) y las cargas de trabajo (DevOps).Separation of concerns between central IT (SecOps, InfraOps) and workloads (DevOps).

Los usos habituales de esta arquitectura incluyen:Typical uses for this architecture include:

  • Cargas de trabajo implementadas en distintos entornos, como desarrollo, pruebas y producción, que requieren servicios compartidos como DNS, IDS, NTP o AD DS.Workloads deployed in different environments, such as development, testing, and production, that require shared services such as DNS, IDS, NTP, or AD DS. Los servicios compartidos se colocan en la red virtual del concentrador, mientras que cada entorno se implementa en un radio para mantener el aislamiento.Shared services are placed in the hub VNet, while each environment is deployed to a spoke to maintain isolation.
  • Cargas de trabajo que no requieren conectividad entre sí, pero requieren acceso a los servicios compartidos.Workloads that do not require connectivity to each other, but require access to shared services.
  • Empresas que requieren el control centralizado sobre aspectos de seguridad, como un firewall en el concentrador como una red perimetral, así como la administración segregada de las cargas de trabajo en cada radio.Enterprises that require central control over security aspects, such as a firewall in the hub as a DMZ, and segregated management for the workloads in each spoke.

ArquitecturaArchitecture

La arquitectura consta de los siguientes componentes:The architecture consists of the following components.

  • Red local.On-premises network. Una red de área local privada que se ejecuta dentro de una organización.A private local-area network running within an organization.

  • Dispositivo VPN.VPN device. Un dispositivo o servicio que proporciona conectividad externa a la red local.A device or service that provides external connectivity to the on-premises network. El dispositivo VPN puede ser un dispositivo de hardware, o puede ser una solución de software como el servicio de Enrutamiento y acceso remoto (RRAS) en Windows Server 2012.The VPN device may be a hardware device, or a software solution such as the Routing and Remote Access Service (RRAS) in Windows Server 2012. Para obtener una lista de dispositivos VPN compatibles e información acerca de cómo configurar dispositivos VPN seleccionados para conectarse a Azure, consulte Acerca de los dispositivos VPN y los parámetros de IPsec/IKE para conexiones de VPN Gateway de sitio a sitio.For a list of supported VPN appliances and information on configuring selected VPN appliances for connecting to Azure, see About VPN devices for Site-to-Site VPN Gateway connections.

  • Puerta de enlace de red virtual de VPN o puerta de enlace de ExpressRoute.VPN virtual network gateway or ExpressRoute gateway. La puerta de enlace de red virtual permite que la red virtual se conecte al dispositivo VPN o al circuito de ExpressRoute que se usa para la conectividad con la red local.The virtual network gateway enables the VNet to connect to the VPN device, or ExpressRoute circuit, used for connectivity with your on-premises network. Para más información, consulte Conectar una red local con una red virtual de Microsoft Azure.For more information, see Connect an on-premises network to a Microsoft Azure virtual network.

Nota

Los scripts de implementación para esta arquitectura de referencia usan una instancia de VPN Gateway para la conectividad y una red virtual en Azure para simular la red local.The deployment scripts for this reference architecture use a VPN gateway for connectivity, and a VNet in Azure to simulate your on-premises network.

  • Red virtual del concentrador.Hub VNet. La red virtual de Azure utilizada como el concentrador en la topología en estrella tipo hub-and-spoke.Azure VNet used as the hub in the hub-spoke topology. El concentrador es el punto central de conectividad a la red local y un lugar para hospedar los servicios que se pueden usar en las diferentes cargas de trabajo hospedadas en las redes virtuales de los radios.The hub is the central point of connectivity to your on-premises network, and a place to host services that can be consumed by the different workloads hosted in the spoke VNets.

  • Subred de puerta de enlace.Gateway subnet. Las puertas de enlace de red virtual se conservan en la misma subred.The virtual network gateways are held in the same subnet.

  • Redes virtuales de radios.Spoke VNets. Una o varias redes virtuales de Azure que se usan como radios en la topología en estrella tipo hub-and-spoke.One or more Azure VNets that are used as spokes in the hub-spoke topology. Los radios pueden utilizarse para aislar las cargas de trabajo en sus propias redes virtuales, administradas por separado desde otros radios.Spokes can be used to isolate workloads in their own VNets, managed separately from other spokes. Cada carga de trabajo puede incluir varios niveles, con varias subredes que se conectan a través de equilibradores de carga de Azure.Each workload might include multiple tiers, with multiple subnets connected through Azure load balancers. Para obtener más información acerca de la infraestructura de aplicaciones, consulte Ejecutar cargas de trabajo de máquinas virtuales Windows y Ejecutar cargas de trabajo de máquinas virtuales Linux.For more information about the application infrastructure, see Running Windows VM workloads and Running Linux VM workloads.

  • Emparejamiento de VNET.VNet peering. Se pueden conectar dos redes virtuales mediante una conexión de emparejamiento.Two VNets can be connected using a peering connection. Las conexiones de emparejamiento son conexiones no transitivas de baja latencia entre las redes virtuales.Peering connections are non-transitive, low latency connections between VNets. Una vez establecido el emparejamiento, las redes virtuales intercambian el tráfico mediante la red troncal de Azure, sin necesidad de un enrutador.Once peered, the VNets exchange traffic by using the Azure backbone, without the need for a router. En una topología de red en estrella tipo hub-and-spoke, el emparejamiento de VNET se usa para conectar el concentrador a cada radio.In a hub-spoke network topology, you use VNet peering to connect the hub to each spoke. Puede emparejar redes virtuales de la misma región o de regiones diferentes.You can peer virtual networks in the same region, or different regions. Para más información, consulte Requisitos y restricciones.For more information, see Requirements and constraints.

Nota

En este artículo solo se tratan las implementaciones de Resource Manager, pero también puede conectar una red virtual clásica a una red virtual de Resource Manager en la misma suscripción.This article only covers Resource Manager deployments, but you can also connect a classic VNet to a Resource Manager VNet in the same subscription. De este modo, los radios pueden hospedar implementaciones clásicas y seguir beneficiándose de los servicios compartidos en el concentrador.That way, your spokes can host classic deployments and still benefit from services shared in the hub.

RecomendacionesRecommendations

Las siguientes recomendaciones sirven para la mayoría de los escenarios.The following recommendations apply for most scenarios. Sígalas a menos que tenga un requisito concreto que las invalide.Follow these recommendations unless you have a specific requirement that overrides them.

Grupos de recursosResource groups

La red virtual del concentrador y la red virtual de cada radio se pueden implementar en distintos grupos de recursos e incluso en distintas suscripciones.The hub VNet, and each spoke VNet, can be implemented in different resource groups, and even different subscriptions. Cuando empareja redes virtuales en distintas suscripciones, ambas suscripciones pueden estar asociadas al mismo inquilino de Azure Active Directory o a uno diferente.When you peer virtual networks in different subscriptions, both subscriptions can be associated to the same or different Azure Active Directory tenant. Esto permite realizar una administración descentralizada de cada carga de trabajo, mientras se comparten los servicios que se mantienen en la red virtual del concentrador.This allows for a decentralized management of each workload, while sharing services maintained in the hub VNet.

VNet y GatewaySubnetVNet and GatewaySubnet

Cree una subred denominada GatewaySubnet, con un intervalo de direcciones de /27.Create a subnet named GatewaySubnet, with an address range of /27. Esta subred es necesaria para la puerta de enlace de red virtual.This subnet is required by the virtual network gateway. La asignación de treinta y dos direcciones a esta subred ayudará a evitar que se alcancen las limitaciones de tamaño de la puerta de enlace en el futuro.Allocating 32 addresses to this subnet will help to prevent reaching gateway size limitations in the future.

Para más información sobre la configuración de la puerta de enlace, consulte las siguientes arquitecturas de referencia, en función del tipo de conexión:For more information about setting up the gateway, see the following reference architectures, depending on your connection type:

Para una mayor disponibilidad, puede utilizar ExpressRoute y una VPN para la conmutación por error.For higher availability, you can use ExpressRoute plus a VPN for failover. Vea Conexión de una red local a Azure mediante ExpressRoute con conmutación por error de VPN.See Connect an on-premises network to Azure using ExpressRoute with VPN failover.

También se puede utilizar una topología en estrella tipo hub-and-spoke sin una puerta de enlace, en caso de que no se necesite la conectividad con la red local.A hub-spoke topology can also be used without a gateway, if you don't need connectivity with your on-premises network.

Emparejamiento de VNETVNet peering

El emparejamiento de VNET es una relación no transitiva entre dos redes virtuales.VNet peering is a non-transitive relationship between two VNets. Si necesita que los radios se conecten entre sí, considere la posibilidad de agregar una conexión de emparejamiento independiente entre dichos radios.If you require spokes to connect to each other, consider adding a separate peering connection between those spokes.

Sin embargo, si tiene varios radios que necesitan conectarse entre sí, se quedará sin posibles conexiones de emparejamiento muy rápido debido a la limitación del número de emparejamientos de VNET por cada red virtual.However, if you have several spokes that need to connect with each other, you will run out of possible peering connections very quickly due to the limitation on number of VNets peerings per VNet. En este escenario, considere el uso de rutas definidas por el usuario (Udr) para forzar el tráfico destinado a un radio para enviarse a Firewall de Azure o una NVA que actúa como un enrutador en la red virtual del concentrador.In this scenario, consider using user defined routes (UDRs) to force traffic destined to a spoke to be sent to Azure Firewall or an NVA acting as a router at the hub VNet. Esto permitirá que los radios se conecten entre sí.This will allow the spokes to connect to each other.

También puede configurar los radios para que usen la puerta de enlace de la red virtual del concentrador para comunicarse con las redes remotas.You can also configure spokes to use the hub VNet gateway to communicate with remote networks. Para permitir que el tráfico de la puerta de enlace fluya del radio al concentrador y para conectarse a las redes remotas, debe:To allow gateway traffic to flow from spoke to hub, and connect to remote networks, you must:

  • Configurar la conexión de emparejamiento de VNET en el concentrador para permitir el tránsito de la puerta de enlace.Configure the VNet peering connection in the hub to allow gateway transit.
  • Configurar la conexión de emparejamiento de VNET en cada radio para usar las puertas de enlace remotas.Configure the VNet peering connection in each spoke to use remote gateways.
  • Configurar todas las conexiones de emparejamiento de VNET para permitir el tráfico reenviado.Configure all VNet peering connections to allow forwarded traffic.

ConsideracionesConsiderations

Conectividad de los radiosSpoke connectivity

Si necesita conectividad entre los radios, considere la posibilidad de implementar Firewall de Azure o una NVA para el enrutamiento en el concentrador y usar las Udr en los radios para reenviar el tráfico al concentrador.If you require connectivity between spokes, consider deploying Azure Firewall or an NVA for routing in the hub, and using UDRs in the spoke to forward traffic to the hub. Los pasos de implementación siguientes incluyen un paso opcional que define esta configuración.The deployment steps below include an optional step that sets up this configuration.

22

En este escenario, debe configurar las conexiones de emparejamiento para que permitan el tráfico reenviado.In this scenario, you must configure the peering connections to allow forwarded traffic.

También tenga en cuenta qué servicios se comparten en el concentrador, para asegurarse de que el concentrador se escala para tener un número mayor de radios.Also consider what services are shared in the hub, to ensure the hub scales for a larger number of spokes. Por ejemplo, si el concentrador proporciona servicios de firewall, tenga en cuenta los límites de ancho de banda de la solución de firewall al agregar varios radios.For instance, if your hub provides firewall services, consider the bandwidth limits of your firewall solution when adding multiple spokes. Puede mover algunos de estos servicios compartidos a un segundo nivel de concentradores.You might want to move some of these shared services to a second level of hubs.

Implementación de la soluciónDeploy the solution

Hay disponible una implementación de esta arquitectura en GitHub.A deployment for this architecture is available on GitHub. Usa máquinas virtuales en cada red virtual para probar la conectividad.It uses VMs in each VNet to test connectivity. No hay ningún servicio real hospedado en la subred de servicios compartidos de la red virtual del concentrador.There are no actual services hosted in the shared-services subnet in the hub VNet.

La implementación crea los siguientes grupos de recursos en su suscripción:The deployment creates the following resource groups in your subscription:

  • hub-vnet-rghub-vnet-rg
  • onprem-jb-rgonprem-jb-rg
  • onprem-vnet-rgonprem-vnet-rg
  • spoke1-vnet-rgspoke1-vnet-rg
  • spoke2-vent-rgspoke2-vent-rg

Los archivos de parámetro de plantilla hacen referencia a estos nombres, por lo que si se cambian es necesario actualizar los archivos de parámetro para que coincidan.The template parameter files refer to these names, so if you change them, update the parameter files to match.

Requisitos previosPrerequisites

  1. Clone, bifurque o descargue el archivo zip del repositorio de GitHub de arquitecturas de referencia.Clone, fork, or download the zip file for the reference architectures GitHub repository.

  2. Instale la CLI de Azure 2.0.Install Azure CLI 2.0.

  3. Instale Node y NPM.Install Node and NPM

  4. Instale el paquete de npm de bloques de creación de Azure.Install the Azure building blocks npm package.

    npm install -g @mspnp/azure-building-blocks
    
  5. Desde un símbolo del sistema, un símbolo del sistema de Bash o un símbolo del sistema de PowerShell, inicie sesión en su cuenta de Azure como se indica a continuación:From a command prompt, bash prompt, or PowerShell prompt, sign into your Azure account as follows:

    az login
    

Implementación del centro de datos local simuladoDeploy the simulated on-premises datacenter

Para implementar el centro de datos local simulado como una red virtual de Azure, siga estos pasos:To deploy the simulated on-premises datacenter as an Azure VNet, follow these steps:

  1. Vaya a la carpeta hybrid-networking/hub-spoke del repositorio de arquitecturas de referencia.Navigate to the hybrid-networking/hub-spoke folder of the reference architectures repository.

  2. Abra el archivo onprem.json .Open the onprem.json file. Reemplace los valores de adminUsername y adminPassword.Replace the values for adminUsername and adminPassword.

    "adminUsername": "<user name>",
    "adminPassword": "<password>",
    
  3. (Opcional) Para una implementación de Linux, establezca osType en Linux.(Optional) For a Linux deployment, set osType to Linux.

  4. Ejecute el siguiente comando:Run the following command:

    azbb -s <subscription_id> -g onprem-vnet-rg -l <location> -p onprem.json --deploy
    
  5. Espere a que finalice la implementación.Wait for the deployment to finish. Esta implementación crea una red virtual, una máquina virtual y una instancia de VPN Gateway.This deployment creates a virtual network, a virtual machine, and a VPN gateway. Se tardará aproximadamente unos 40 minutos en crear una instancia de VPN Gateway.It can take about 40 minutes to create the VPN gateway.

Implementación de la red virtual del concentradorDeploy the hub VNet

Para implementar red virtual del concentrador, siga los pasos a continuación.To deploy the hub VNet, perform the following steps.

  1. Abra el archivo hub-vnet.json .Open the hub-vnet.json file. Reemplace los valores de adminUsername y adminPassword.Replace the values for adminUsername and adminPassword.

    "adminUsername": "<user name>",
    "adminPassword": "<password>",
    
  2. (Opcional) Para una implementación de Linux, establezca osType en Linux.(Optional) For a Linux deployment, set osType to Linux.

  3. Busque ambas instancias de sharedKey y especifique una clave compartida para la conexión VPN.Find both instances of sharedKey and enter a shared key for the VPN connection. Los valores deben coincidir.The values must match.

    "sharedKey": "",
    
  4. Ejecute el siguiente comando:Run the following command:

    azbb -s <subscription_id> -g hub-vnet-rg -l <location> -p hub-vnet.json --deploy
    
  5. Espere a que finalice la implementación.Wait for the deployment to finish. Esta implementación crea una red virtual, una máquina virtual, una instancia de VPN Gateway y una conexión a la puerta de enlace.This deployment creates a virtual network, a virtual machine, a VPN gateway, and a connection to the gateway. Se tardará aproximadamente unos 40 minutos en crear una instancia de VPN Gateway.It can take about 40 minutes to create the VPN gateway.

Prueba de la conectividad a la red virtual del concentrador: implementación en WindowsTest connectivity to the hub VNet — Windows deployment

Para probar la conectividad desde el entorno local simulado al centro de red virtual con máquinas virtuales de Windows, siga estos pasos:To test connectivity from the simulated on-premises environment to the hub VNet using Windows VMs, follow these steps:

  1. Use Azure Portal para encontrar la máquina virtual denominada jb-vm1 en el grupo de recursos onprem-jb-rg.Use the Azure portal to find the VM named jb-vm1 in the onprem-jb-rg resource group.

  2. Haga clic en Connect para abrir una sesión de escritorio remoto en la máquina virtual.Click Connect to open a remote desktop session to the VM. Usar la contraseña que especificó en el onprem.json archivo de parámetros.Use the password that you specified in the onprem.json parameter file.

  3. Abra una consola de PowerShell en la máquina virtual y utilice el cmdlet Test-NetConnection para comprobar que puede conectarse a la máquina virtual de JumpBox en la red virtual del concentrador.Open a PowerShell console in the VM, and use the Test-NetConnection cmdlet to verify that you can connect to the jumpbox VM in the hub VNet.

    Test-NetConnection 10.0.0.68 -CommonTCPPort RDP
    

La salida debe tener una apariencia similar a la siguiente:The output should look similar to the following:

ComputerName     : 10.0.0.68
RemoteAddress    : 10.0.0.68
RemotePort       : 3389
InterfaceAlias   : Ethernet 2
SourceAddress    : 192.168.1.000
TcpTestSucceeded : True

Nota

De forma predeterminada, las máquinas virtuales de Windows Server no permiten respuestas ICMP en Azure.By default, Windows Server VMs do not allow ICMP responses in Azure. Si desea usar ping para probar la conectividad, debe habilitar el tráfico ICMP en el firewall de Windows con seguridad avanzada para cada máquina virtual.If you want to use ping to test connectivity, you need to enable ICMP traffic in the Windows Advanced Firewall for each VM.

Prueba de la conectividad a la red virtual del concentrador: implementación en LinuxTest connectivity to the hub VNet — Linux deployment

Para probar la conectividad desde el entorno local simulado al centro de red virtual con máquinas virtuales Linux, siga estos pasos:To test connectivity from the simulated on-premises environment to the hub VNet using Linux VMs, follow these steps:

  1. Use Azure Portal para encontrar la máquina virtual denominada jb-vm1 en el grupo de recursos onprem-jb-rg.Use the Azure portal to find the VM named jb-vm1 in the onprem-jb-rg resource group.

  2. Haga clic en Connect y copie el comando sshque se muestra en el portal.Click Connect and copy the ssh command shown in the portal.

  3. Desde un símbolo del sistema de Linux, ejecute ssh para conectar con el entorno local simulado.From a Linux prompt, run ssh to connect to the simulated on-premises environment. Usar la contraseña que especificó en el onprem.json archivo de parámetros.Use the password that you specified in the onprem.json parameter file.

  4. Use el comando ping para probar la conectividad con la máquina virtual de JumpBox en la red virtual del concentrador:Use the ping command to test connectivity to the jumpbox VM in the hub VNet:

    ping 10.0.0.68
    

Implementación de redes virtuales de radiosDeploy the spoke VNets

Para implementar las redes virtuales de radios, siga estos pasos.To deploy the spoke VNets, perform the following steps.

  1. Abra el archivo spoke1.json .Open the spoke1.json file. Reemplace los valores de adminUsername y adminPassword.Replace the values for adminUsername and adminPassword.

    "adminUsername": "<user name>",
    "adminPassword": "<password>",
    
  2. (Opcional) Para una implementación de Linux, establezca osType en Linux.(Optional) For a Linux deployment, set osType to Linux.

  3. Ejecute el siguiente comando:Run the following command:

    azbb -s <subscription_id> -g spoke1-vnet-rg -l <location> -p spoke1.json --deploy
    
  4. Repita los pasos 1 y 2 para el archivo spoke2.json.Repeat steps 1-2 for the spoke2.json file.

  5. Ejecute el siguiente comando:Run the following command:

    azbb -s <subscription_id> -g spoke2-vnet-rg -l <location> -p spoke2.json --deploy
    
  6. Ejecute el siguiente comando:Run the following command:

    azbb -s <subscription_id> -g hub-vnet-rg -l <location> -p hub-vnet-peering.json --deploy
    

Prueba de la conectividad a las redes virtuales de radio: implementación en WindowsTest connectivity to the spoke VNets — Windows deployment

Para probar la conectividad desde el entorno local simulado a las redes virtuales con máquinas virtuales Windows de radios, realice los pasos siguientes:To test connectivity from the simulated on-premises environment to the spoke VNets using Windows VMs, perform the following steps:

  1. Use Azure Portal para encontrar la máquina virtual denominada jb-vm1 en el grupo de recursos onprem-jb-rg.Use the Azure portal to find the VM named jb-vm1 in the onprem-jb-rg resource group.

  2. Haga clic en Connect para abrir una sesión de escritorio remoto en la máquina virtual.Click Connect to open a remote desktop session to the VM. Usar la contraseña que especificó en el onprem.json archivo de parámetros.Use the password that you specified in the onprem.json parameter file.

  3. Abra una consola de PowerShell en la máquina virtual y utilice el cmdlet Test-NetConnection para comprobar que puede conectarse a las máquinas virtuales de JumpBox en las redes virtuales de radio.Open a PowerShell console in the VM, and use the Test-NetConnection cmdlet to verify that you can connect to the jumpbox VMs in the spoke VNets.

    Test-NetConnection 10.1.0.68 -CommonTCPPort RDP
    Test-NetConnection 10.2.0.68 -CommonTCPPort RDP
    

Prueba de la conectividad a las redes virtuales de radio: implementación en LinuxTest connectivity to the spoke VNets — Linux deployment

Para probar la conectividad desde el entorno local simulado a las redes virtuales con máquinas virtuales Linux de radios, realice los pasos siguientes:To test connectivity from the simulated on-premises environment to the spoke VNets using Linux VMs, perform the following steps:

  1. Use Azure Portal para encontrar la máquina virtual denominada jb-vm1 en el grupo de recursos onprem-jb-rg.Use the Azure portal to find the VM named jb-vm1 in the onprem-jb-rg resource group.

  2. Haga clic en Connect y copie el comando sshque se muestra en el portal.Click Connect and copy the ssh command shown in the portal.

  3. Desde un símbolo del sistema de Linux, ejecute ssh para conectar con el entorno local simulado.From a Linux prompt, run ssh to connect to the simulated on-premises environment. Usar la contraseña que especificó en el onprem.json archivo de parámetros.Use the password that you specified in the onprem.json parameter file.

  4. Use el comando ping para probar la conectividad con las máquinas virtuales de JumpBox en cada radio:Use the ping command to test connectivity to the jumpbox VMs in each spoke:

    ping 10.1.0.68
    ping 10.2.0.68
    

Adición de conectividad entre radiosAdd connectivity between spokes

Este paso es opcional.This step is optional. Si desea permitir que los radios se conecten entre sí, use Firewall de Azure para forzar el tráfico desde los radios al enrutador al intentar conectar con otro radio.If you want to allow spokes to connect to each other, use Azure Firewall to force traffic from spokes to the router when trying to connect to another spoke. Para implementar Firewall de Azure, junto con rutas definidas por el usuario (Udr) para permitir que las dos redes virtuales de radios se conecten, realice los pasos siguientes:To deploy Azure Firewall, along with user-defined routes (UDRs) to allow the two spoke VNets to connect, perform the following steps:

  1. Agregue una subred de Firewall de Azure a la red virtual de concentrador.Add a subnet for Azure Firewall to the hub virtual network.

    az network vnet subnet create -g hub-vnet-rg --vnet-name hub-vnet -n AzureFirewallSubnet --address-prefixes 10.0.0.128/26
    
  2. Implementar Firewall de Azure:Deploy Azure Firewall:

    az group deployment create -g hub-vnet-rg --template-file hub-firewall.json
    
  3. Ejecute el comando siguiente para obtener la privateIPAddress del servidor de seguridad creado en el paso 2:Run the following command to get the privateIPAddress of the firewall created in step 2:

    az resource show -g hub-vnet-rg -n hub-firewall --resource-type Microsoft.Network/azureFirewalls --query properties.ipConfigurations[0].properties.privateIPAddress
    
  4. Edite el archivo de servidor de seguridad-Centro-routes.json y reemplace todas las apariciones de <azure_firewall_private_ip> con la dirección IP del comando anterior.Edit the hub-firewall-routes.json file and replace all occurrences of <azure_firewall_private_ip> with the IP Address from the previous command. Guarde el concentrador-firewall-routes.json y, a continuación, ejecute el siguiente comando.Save hub-firewall-routes.json and then run the following command.

    azbb -s <subscription_id> -g hub-vnet-rg -l <location> -p hub-firewall-routes.json --deploy
    
  5. Ejecute el siguiente comando para deshabilitar la propagación del enrutamiento BGP para las tablas de ruta asociada con las subredes del radio:Run the following command to disable BGP route propagation for the route tables associated with the spoke subnets:

    az network route-table update -g hub-vnet-rg -n spoke1-rt --disable-bgp-route-propagation true
    az network route-table update -g hub-vnet-rg -n spoke2-rt --disable-bgp-route-propagation true
    

Para comprobar la conectividad, realice los pasos siguientes:To verify connectivity, perform the following steps:

  1. Inicie sesión en la máquina virtual denominada jb-vm1 en el onprem-jb-rg grupo de recursos.Log into the VM named jb-vm1 in the onprem-jb-rg resource group.

  2. En esta sesión de inicio de sesión, inicie sesión en la máquina virtual de jumpbox de radio-1.From this login session, log into the jumpbox VM for spoke-1. La dirección IP privada es 10.1.0.68.The private IP address is 10.1.0.68.

  3. Use el Test-NetConnection cmdlet (Windows) o ping comando (Linux) para probar la conectividad a 10.2.0.68, que es la máquina virtual de jumpbox para radio 2.Use the Test-NetConnection cmdlet (Windows) or ping command (Linux) to test connectivity to 10.2.0.68, which is the jumpbox VM for spoke-2.