Share via

Fase de diseño 3: Conectividad entrante a Internet

  • Artículo

Las opciones que realice durante esta fase de diseño están determinadas por los requisitos de las aplicaciones que se ejecutan en Azure VMware Solution y que deben ser accesibles a través de direcciones IP públicas. Casi invariablemente, las aplicaciones accesibles desde Internet se publican a través de dispositivos de red que proporcionan seguridad (firewalls de próxima generación, firewalls de aplicaciones web) y equilibrio de carga (equilibradores de carga de nivel 3 o capa 4, controladores de entrega de aplicaciones). Puede implementar estos dispositivos en la propia nube privada o en una red virtual de Azure conectada a la nube privada. Su elección se basa en estas consideraciones:

  • Para la optimización de costos y la coherencia, puede usar NVA preexistentes que se implementan en redes virtuales de Azure (como firewalls y controladores de entrega de aplicaciones) para publicar aplicaciones que se ejecutan en las nubes privadas.
  • Los servicios PaaS de Azure que se pueden usar para publicar aplicaciones accesibles desde Internet, como Azure Firewall (tanto cuando se implementan en una red virtual administrada por el cliente como cuando se implementan en un centro de Azure Virtual WAN) y Azure Application Gateway, pueden ayudar a reducir la sobrecarga de administración.
  • Puede implementar firewalls y controladores de entrega de aplicaciones como aplicaciones virtuales en Azure VMware Solution, si es compatible con el proveedor.

En el diagrama de flujo siguiente se resume cómo abordar esta fase:

Flowchart that shows the design-decision making process for inbound internet connectivity.

NVA hospedadas en una red virtual de Azure

La publicación de aplicaciones de Azure VMware Solution a través de servicios de Azure (Azure Firewall, Application Gateway) o aplicaciones virtuales de red de terceros hospedadas en una red virtual solo requiere conectividad de nivel 3 entre la red virtual y la nube privada de Azure VMware Solution. Para más información, consulte Fase de diseño 2: Conectividad con redesvirtuales de Azure.

En las secciones siguientes se proporcionan instrucciones para cada opción.

Consideraciones para Azure Firewall

Azure Firewall es la opción preferida para exponer puntos de conexión TCP o UDP genéricos a través de un dispositivo de Microsoft Layer 3 o nivel 4. Para publicar una aplicación de Azure VMware Solution a través de Azure Firewall, debe configurar una regla de traducción de direcciones de red de destino (DNAT) que asigne una de las direcciones IP públicas del firewall a la dirección IP privada del punto de conexión de la aplicación de Azure VMware Solution. Azure Firewall usa automáticamente la traducción de direcciones de red de origen (SNAT) para traducir direcciones IP entrantes de Internet a su propia dirección IP privada. Como resultado, las máquinas virtuales (VM) de Azure VMware Solution reciben tráfico cuya dirección IP de origen es la dirección IP del firewall. Para obtener más información, consulte Filtrado del tráfico de entrada de Internet con la DNAT de Azure Firewall mediante Azure Portal.

Consideraciones para Azure Application Gateway

Application Gateway es la opción preferida para exponer aplicaciones HTTP(S) que se ejecutan en Azure VMware Solution. Este proxy inverso HTTP de Microsoft proporciona:

  • Enrutamiento de solicitudes.
  • Funcionalidades de firewall de aplicaciones web (WAF).

Cuando se usa Application Gateway, los servidores de aplicaciones que se ejecutan en la nube privada de Azure VMware Solution reciben tráfico cuya dirección IP de origen es la dirección IP de Application Gateway. La dirección IP del cliente se puede llevar a cabo en solicitudes HTTP (normalmente como un encabezadox-forwarded-for personalizado) si la lógica de la aplicación requiere acceso a esa información. Para más información, consulte este artículo sobre cómo publicar una aplicación de Azure VMware Solution a través de Application Gateway.

Nota:

Application Gateway es actualmente el único equilibrador de carga de Microsoft que puede usar para exponer aplicaciones web que se ejecutan en máquinas virtuales de Azure VMware Solution. Esto se debe a que permite apuntar directamente a las direcciones IP privadas de las máquinas virtuales que se ejecutan en Azure VMware Solution al configurar los grupos de back-end de las máquinas virtuales.

Consideraciones para aplicaciones virtuales de red de terceros

Las NVA de terceros pueden proporcionar funcionalidades de firewall de nivel 3 o capa 4 o funcionalidades de proxy inverso o WAF de nivel 7. Siga las instrucciones del proveedor de NVA para implementar el dispositivo en redes virtuales de Azure. Las instrucciones detalladas sobre cómo crear clústeres de aplicaciones virtuales de red de alta disponibilidad en Azure están fuera del ámbito de esta guía. Las siguientes consideraciones generales son lo suficientemente generales como para aplicarse a cualquier tecnología de NVA:

  • Alta disponibilidad (HA) es su responsabilidad. Los clústeres de NVA deben incluir dos o más instancias de NVA activas (el modelo de alta disponibilidad activo de N-active). Debe evitar la alta disponibilidad activa-pasiva, ya que evita la escalabilidad horizontal.
  • Debe distribuir todas las conexiones entrantes de Internet a todas las instancias en ejecución mediante una SKU estándar de Azure Load Balancer.
  • Las NVA de nivel 3 y 4 deben configurarse para usar DNAT para traducir las conexiones entrantes de Internet a la dirección IP privada de la aplicación de Azure VMware Solution que desea publicar.
  • Para conservar la simetría de flujo, debe configurar NVA de capa 3 y capa 4 para usar SNAT para traducir las conexiones entrantes de Internet a su dirección IP privada de la interfaz de salida.
  • Las NVA de capa 7 actúan como servidores proxy inversos y mantienen dos sesiones TCP distintas para cada conexión de cliente entrante: una entre el cliente y la NVA y otra entre la aplicación virtual de red y el servidor de aplicaciones ascendente. Esta última sesión se origina en la dirección IP privada de la interfaz de salida de NVA. Las aplicaciones HTTP(S) permiten que las NVA de nivel 7 pasen la dirección IP pública del cliente a los servidores de aplicaciones en encabezados de solicitud HTTP.

NVA hospedadas en Azure VMware Solution (dirección IP pública en el perimetral del centro de datos NSX-T)

Para publicar aplicaciones de Azure VMware Solution a través de NVA de terceros que se implementan en Azure VMware Solution, debe habilitar la dirección IP pública en NSX-T Data Center Edge para la nube privada. Esta característica asocia direcciones IP públicas de Azure desde un prefijo de dirección IP pública de Azure a la nube privada y configura la red troncal de Microsoft para enrutar el tráfico de Internet destinado a esas direcciones IP a las puertas de enlace NSX-T0 o T1 de la nube privada. Las puertas de enlace de T1 se pueden configurar para usar DNAT para traducir conexiones entrantes a las direcciones IP privadas de NSX-T que están conectadas a segmentos NSX-T. Para obtener instrucciones sobre cómo configurar la dirección IP pública en el perímetro del centro de datos NSX-T y configurar reglas DNAT para la conectividad entrante a Internet, consulte Habilitación de la dirección IP pública en el perímetro del centrode datos NSX-T. Al usar Azure VMware Solution con dirección IP pública en NSX-T Data Center Edge, se aplican las siguientes consideraciones:

  • Realice NAT en puertas de enlace de T1, no en puertas de enlace de T0. En las nubes privadas de Azure VMware Solution, las puertas de enlace de T0 son pares de dispositivos activos y activos, por lo que no pueden controlar las sesiones NAT con estado.
  • Debe asociar direcciones IP públicas a un prefijo de dirección IP pública de Azure. Actualmente no se admite el uso de direcciones IP de prefijos de direcciones IP personalizadas (BYOIP).
  • Cuando se configura una nube privada de Azure VMware Solution con una dirección IP pública en el perímetro del centro de datos NSX-T, se instala una ruta predeterminada en las puertas de enlace de T0/T1. Enruta las conexiones salientes a Internet a través del perímetro de la red troncal de Microsoft. Como resultado, el uso de la dirección IP pública en NSX-T Data Center Edge para la conectividad entrante a Internet también determina la opción de implementación para la conectividad saliente, que se trata en el siguiente artículo de esta guía.

Pasos siguientes

Obtenga información sobre la conectividad saliente a Internet.

Conectividad de salida a Internet