Configuración de la conectividad de nube híbrida con Azure y Azure Stack Hub
Puede acceder a recursos con seguridad en Azure global y Azure Stack Hub mediante el patrón de conectividad híbrida.
En esta solución, creará un entorno de ejemplo para:
- Mantener datos en un entorno local para cumplir los requisitos de privacidad o normativos, pero conservar el acceso a los recursos globales de Azure.
- Mantener un sistema heredado mientras se usan recursos e implementaciones de aplicaciones escaladas en la nube en Azure global.
Sugerencia
Microsoft Azure Stack Hub es una extensión de Azure. Azure Stack Hub aporta la agilidad y la innovación de la informática en la nube a su entorno local y hace posible la única nube híbrida que le permite crear e implementar aplicaciones híbridas en cualquier parte.
En el artículo Consideraciones de diseño de aplicaciones híbridas se examinan los fundamentos de calidad del software (selección de ubicación, escalabilidad, disponibilidad, resistencia, manejabilidad y seguridad) para diseñar, implementar y usar aplicaciones híbridas. Las consideraciones de diseño ayudan a optimizar el diseño de aplicaciones híbridas y reducen los desafíos en los entornos de producción.
Prerrequisitos
Se requieren algunos componentes para crear una implementación de conectividad híbrida. Algunos de estos componentes tardarán en prepararse, por lo que tendrá que planear en consecuencia.
Azure
- Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
- Cree una aplicación web en Azure. Tome nota de la dirección URL de la aplicación web, ya que la necesitará en la solución.
Azure Stack Hub
Un asociado de hardware u OEM de Azure puede implementar una instancia de Azure Stack Hub de producción y todos los usuarios pueden implementar un Kit de desarrollo de Azure Stack (ASDK).
Use su instancia de Azure Stack Hub de producción o implemente el Kit de desarrollo de Azure Stack.
Nota
La implementación del ASDK puede tardar hasta 7 horas, así que planéela en consecuencia.
Implemente los servicios PaaS de App Service en Azure Stack Hub.
Cree planes y ofertas en el entorno de Azure Stack Hub.
Cree una suscripción de inquilino dentro del entorno de Azure Stack Hub.
Componentes de Azure Stack Hub
Un operador de Azure Stack Hub debe implementar la instancia de App Service, crear planes y ofertas, crear una suscripción de inquilino y agregar la imagen de Windows Server 2016. Si ya tiene estos componentes, asegúrese de que cumplen los requisitos antes de empezar esta solución.
En esta solución de ejemplo se da por supuesto que tiene algunos conocimientos básicos de Azure y Azure Stack Hub. Para más información antes de iniciar la solución, lea los siguientes artículos:
Antes de empezar
Compruebe que se cumplen los siguientes criterios antes de empezar a configurar la conectividad de nube híbrida:
- Necesita una dirección IPv4 pública externa para el dispositivo VPN. Esta dirección IP no puede estar detrás de una NAT (traducción de direcciones de red).
- Todos los recursos se implementan en la misma región o ubicación.
Valores de ejemplo de la solución
En los ejemplos de esta solución se usan los valores siguientes. Puede usar estos valores para crear un entorno de prueba o consultarlos para comprender mejor los ejemplos. Para más información acerca de la configuración de VPN Gateway, consulte Acerca de la configuración de VPN Gateway.
Especificaciones de conexión:
- Tipo de VPN: basado en rutas
- Tipo de conexión: de sitio a sitio (IPsec)
- Tipo de puerta de enlace: VPN
- Nombre de conexión de Azure: Azure-Gateway-AzureStack-S2SGateway (el portal rellenará automáticamente este valor)
- Nombre de conexión de Azure Stack Hub: Azure-Gateway-AzureStack-S2SGateway (el portal rellenará automáticamente este valor)
- Clave compartida: cualquiera compatible con el hardware de VPN, con valores coincidentes en ambos lados de la conexión.
- Suscripción: cualquier suscripción preferida.
- Grupo de recursos: Test-Infra
Direcciones IP de red y subred:
| Conexión de Azure o Azure Stack Hub | Nombre | Subnet | Dirección IP |
|---|---|---|---|
| Red virtual de Azure | ApplicationvNet 10.100.102.9/23 |
ApplicationSubnet 10.100.102.0/24 |
|
| GatewaySubnet 10.100.103.0/24 |
|||
| Red virtual de Azure Stack Hub | ApplicationvNet 10.100.100.0/23 |
ApplicationSubnet 10.100.100.0/24 |
|
| GatewaySubnet 10.100101.0/24 |
|||
| Puerta de enlace de red virtual de Azure | Puerta de enlace de Azure | ||
| Puerta de enlace de red virtual de Azure Stack Hub | Puerta de enlace de AzureStack | ||
| IP pública de Azure | GatewayPublicIP de Azure | Se determina durante la creación | |
| Dirección IP pública de Azure Stack Hub | AzureStack-GatewayPublicIP | Se determina durante la creación | |
| Puerta de enlace de red local de Azure | AzureStack-S2SGateway 10.100.100.0/23 |
Valor de dirección IP pública de Azure Stack Hub | |
| Puerta de enlace de red local de Azure Stack Hub | S2SGateway de Azure 10.100.102.0/23 |
Valor de dirección IP pública de Azure |
Creación de una red virtual en Azure global y Azure Stack Hub
Para crear una red virtual mediante el portal, use los pasos siguientes. Puede utilizar estos valores de ejemplo si usa este artículo solo como una solución. Si usa este artículo para configurar un entorno de producción, sustituya los valores de ejemplo por sus propios valores.
Importante
Debe asegurarse de que no haya ninguna superposición de direcciones IP en los espacios de direcciones de red virtual de Azure o Azure Stack Hub.
Para crear una red virtual en Azure:
- Utilice un explorador para conectarse a Azure Portal e inicie sesión con su cuenta de Azure.
- Seleccione Crear un recurso. En el campo Buscar en el Marketplace, introduzca "Red virtual". Seleccione Red virtual en los resultados.
- En la lista Seleccionar un modelo de implementación, seleccione Resource Manager y haga clic en Crear.
- En Crear red virtual, configure los valores correspondientes. Los nombres de los campos obligatorios van precedidos de un asterisco rojo. Al escribir un valor válido, el asterisco se cambia a una marca de verificación verde.
Para crear una red virtual en Azure Stack Hub:
- Repita los pasos anteriores (1-4) desde el portal de inquilino de Azure Stack Hub.
Adición de una subred de puerta de enlace
Antes de conectar la red virtual a una puerta de enlace, es preciso crear la subred de la puerta de enlace de la red virtual a la que desea conectarse. Los servicios de puerta de enlace usan las direcciones IP especificadas en la subred de puerta de enlace.
En Azure Portal, navegue a la red virtual de Resource Manager donde desea crear una puerta de enlace de red virtual.
Seleccione la red virtual para abrir la página Red virtual.
En CONFIGURACIÓN, seleccione Subredes.
En la página Subredes, haga clic en +Subred de puerta de enlace para abrir la página Agregar subred.
El nombre de la subred se rellena automáticamente con el valor "GatewaySubnet". Este valor es necesario para que Azure reconozca que se trata de subred de una puerta de enlace.
Cambie los valores de Intervalo de direcciones que se proporcionan, con el fin de que coincidan con los requisitos de configuración y, después, seleccione Aceptar.
Creación de una puerta de enlace de red virtual en Azure y Azure Stack.
Para crear una puerta de enlace de red virtual en Azure, use los pasos siguientes.
En el lado izquierdo de la página del portal, seleccione + y escriba "Puerta de enlace de red virtual" en el cuadro de búsqueda.
En Resultados, haga clic en Puerta de enlace de red virtual.
En Puerta de enlace de red virtual, seleccione Crear para abrir la página Crear puerta de enlace de red virtual.
En Crear puerta de enlace de red virtual, especifique los valores de la puerta de enlace de red mediante nuestros valores de ejemplo del tutorial. Incluya los siguientes valores adicionales:
- SKU: básica.
- Red virtual: seleccione la red virtual que ha creado antes. La subred de puerta de enlace que ha creado se selecciona automáticamente.
- Primera configuración de IP: IP pública de la puerta de enlace.
Seleccione Crear configuración de IP de puerta de enlace, que le lleva a la página Elegir dirección IP pública.
Seleccione +Crear nueva para abrir la página Crear dirección IP pública.
Escriba un nombre para la dirección IP pública. Deje el valor de SKU en Básica y seleccione Aceptar para guardar los cambios.
Nota
Actualmente, VPN Gateway solo admite la asignación de direcciones IP públicas dinámicas. Sin embargo, esto no significa que la dirección IP cambie después de que se haya asignado a la puerta de enlace VPN. La única vez que la dirección IP pública cambia es cuando la puerta de enlace se elimina y se vuelve a crear. El cambio de tamaño, el restablecimiento u otras actualizaciones u operaciones de mantenimiento interno realizadas en la puerta de enlace VPN no cambia la dirección IP.
Compruebe la configuración de la puerta de enlace.
Seleccione Crear para crear la puerta de enlace VPN. Se validará la configuración de la puerta de enlace y verá el icono "Implementando la puerta de enlace de red virtual" en el panel.
Nota
La creación de una puerta de enlace puede tardar hasta 45 minutos. Es posible que tenga que actualizar la página de portal para ver el estado completado.
Una vez creada la puerta de enlace, puede ver la dirección IP que se le ha asignado consultando la red virtual en el portal. La puerta de enlace aparece como un dispositivo conectado. Para más información acerca de la puerta de enlace, seleccione el dispositivo.
Repita los pasos anteriores (1-5) en la implementación de Azure Stack Hub.
Creación de la puerta de enlace de red virtual local de Azure y Azure Stack Hub
La puerta de enlace de red local suele hacer referencia a la ubicación local. Asignará al sitio un nombre al que puedan hacer referencia Azure o Azure Stack Hub y, luego, especificará lo siguiente:
La dirección IP del dispositivo VPN local para el que va a crear una conexión.
Los prefijos de dirección IP que se enrutarán mediante la puerta de enlace VPN al dispositivo VPN. Los prefijos de dirección que especifique son los prefijos que se encuentran en la red local.
Nota
Si la red local cambia o necesita cambiar la dirección IP pública del dispositivo VPN, puede actualizar estos valores más adelante.
En el portal, seleccione +Crear un recurso.
En el cuadro de búsqueda, escriba Puerta de enlace de red local y, luego, seleccione Entrar para realizar la búsqueda. Se mostrará una lista de resultados.
Seleccione Puerta de enlace de red local y, después, Crear para abrir la página Crear puerta de enlace de red local.
En Crear puerta de enlace de red local, especifique los valores de la puerta de enlace de red local mediante nuestros valores de ejemplo del tutorial. Incluya los siguientes valores adicionales:
- Dirección IP: dirección IP pública del dispositivo VPN al que quiere que se conecte Azure o Azure Stack Hub. Especifique una dirección IP pública válida que no esté detrás de un NAT, para que Azure pueda llegar a la dirección. Si no tiene la dirección IP en este momento, puede usar un valor del ejemplo como marcador de posición. Tendrá que volver para reemplazar el marcador de posición por la dirección IP pública de su dispositivo VPN. Azure no puede conectarse al dispositivo hasta que proporcione una dirección válida.
- Espacio de direcciones: intervalo de direcciones de la red que representa esta red local. Puede agregar varios intervalos de espacios de direcciones. Asegúrese de que los intervalos que especifique no se superpongan con los de otras redes a las que quiera conectarse. Azure enrutará el intervalo de direcciones que especifique a la dirección IP del dispositivo VPN local. Utilice sus propios valores si quiere conectarse a su sitio local, no a un valor de ejemplo.
- Configurar BGP: usar solo al configurar BGP. En caso contrario, no seleccione esta opción.
- Suscripción: compruebe que se muestra la suscripción correcta.
- Grupo de recursos: seleccione el grupo de recursos que quiere usar. Puede crear un grupo de recursos nuevo o seleccionar uno ya creado.
- Ubicación: seleccione la ubicación en la que se creará este objeto. Puede seleccionar la misma ubicación en la que reside la red virtual, pero no es obligatorio.
Cuando termine de especificar los valores requeridos, seleccione Crear para crear la puerta de enlace de red local.
Repita estos pasos (1-5) en la implementación de Azure Stack Hub.
Configuración de la conexión
Las conexiones de sitio a sitio a una red local requieren un dispositivo VPN. El dispositivo VPN que configure se denomina conexión. Para configurar una conexión, necesita:
- Una clave compartida. Esta clave es la misma clave compartida que se especifica al crear la conexión VPN de sitio a sitio. En estos ejemplos se utiliza una clave compartida básica. Se recomienda que genere y utilice una clave más compleja.
- La dirección IP pública de la puerta de enlace de red virtual. Puede ver la dirección IP pública mediante Azure Portal, PowerShell o la CLI. Para buscar la dirección IP pública de una puerta de enlace de VPN desde Azure Portal, vaya a las puertas de enlace de red virtual y seleccione el nombre de su puerta de enlace.
Utilice los pasos siguientes para crear la conexión VPN de sitio a sitio entre la puerta de enlace de red virtual y el dispositivo VPN local.
En Azure Portal, haga clic en +Crear un recurso.
Busque conexiones.
En Resultados, seleccione Conexiones.
En Conexión, seleccione Crear.
En Crear conexión, configure las siguientes opciones:
- Tipo de conexión: seleccione De sitio a sitio (IPsec).
- Grupo de recursos: seleccione el grupo de recursos de prueba.
- Puerta de enlace de red virtual: seleccione la puerta de enlace de red virtual que ha creado.
- Puerta de enlace de red local: seleccione la puerta de enlace de red local que ha creado.
- Nombre de la conexión: este nombre se rellena automáticamente con los valores de las dos puertas de enlace.
- Clave compartida: este valor debe ser el mismo que el que usa para el dispositivo VPN local. En el ejemplo del tutorial se usa "abc123", pero debería usar algo más complejo. Lo importante es que este valor debe ser el mismo que el que se especificó al configurar el dispositivo VPN.
- Los valores de Suscripción, Grupo de recursos y Ubicación son fijos.
Haga clic en Aceptar para crear la conexión.
La conexión se puede ver en la página Conexiones de la puerta de enlace de red virtual. El estado pasará de Desconocido a Conectando y luego a Correcto.
Pasos siguientes
- Para más información sobre los patrones de nube de Azure, consulte Patrones de diseño en la nube.