Azure Virtual WAN En 1,2,3
Convierta a Azure en una extensión de su red existente utilizando servicios completamente administrados para conectar, entregar y proteger aplicaciones híbridas y nativas de la nube.
Azure Networking incluye más de dos docenas de servicios, lo que le permite brindar experiencias de usuario excepcionales en un mundo que prioriza la nube y los dispositivos móviles. Traiga sus inversiones en tecnología existentes y socios de red preferidos a Azure para que su Costo Total de Adquisición sea menor (TCO, por sus siglas en inglés) .
Azure Virtual WAN (AzVWAN) es uno de esos servicios ofrecidos por Microsoft Cloud para ayudarle a simplificar su conectividad extremo a extremo con tránsito dinámico o comúnmente conocido como Full Mesh con el tipo estándar. El servicio se compone de:
- Virtual WAN (vWAN) o Centro de conectividad: es un contenedor lógico de enlaces a todos sus hubs o concentradores virtuales, que mantiene el aislamiento entre estos.
- Hub o concentrador: corresponde a un segmento de red administrado por Microsoft y ejecuta funciones de enrutamiento dentro del servicio, también tiene el rol de puerta de enlace para las VNETs o demás segmentos de red internos o bien llamados spokes.
Para el resto del artículo se asume cierta familiaridad con Azure, sin embargo, puede visitar este documento para revisar conceptos sobre esta solución.
Las mayores ganancias de esta solución en términos administrativos de red son:
- SEGURIDAD:
Siguiendo el principio de: "el tráfico en Azure permanece en Azure"; para que la comunicación entre los recursos de Azure se produzca a través de la red troncal de Microsoft, incluso cuando los recursos se encuentran en diferentes regiones.
Lo mismo sucede con el tráfico entre sitios fuera de Azure que necesitan comunicarse entre sí, manteniendo el tránsito vía interna de la red troncal de Microsoft.
Azure VWAN permite el cifrado del tráfico entre las redes locales y las redes virtuales de Azure a través de ExpressRoute. La técnica proporciona un tránsito cifrado entre las redes, sin pasar por la Internet pública ni utilizar direcciones IP públicas. Para esto necesitará tener un ExpressRoute Gateway y un VPN Gateway creados en el Hub del Centro Virtual WAN, crear un túnel IPSec/IKE usando las direcciones privadas así no se atravesaría el internet. Ver Tutorial aquí
Azure Private Link es soportado en Azure VWAN para conectar cualquier rama del hub utilizando IPs Privadas a los diferentes servicios PaaS. Cuando tenga conectividad entre la red virtual o la rama en la red virtual donde se ha implementado el punto de conexión privado, deberá configurar la resolución de DNS; por ejemplo, si se conecta desde on-prem o cualquier rama fuera de Azure por medio de VPN o ExpressRoute, deberá usar la resolución de nombres local. Ver un ejemplo con Instancia Administrada de SQL aquí.
Azure VWAN también permite la configuración Punto a Sitio, conocido como VPN de usuario remoto, cuya autenticación de dichos usuarios remotos puede realizarse con Azure Active Directory (AAD), Certificados Azure o usar un servidor RADIUS remoto o local.
Al utilizar el método de autenticación AAD, recuerde que puede aplicar políticas con factor de autenticación múltiple (MFA).
Para los certificados tanto de VPN Punto a Sitio, como la frase clave de VPN Sitio a Sitio y cualquier otro secreto en el escenario VWAN, le recomendamos usar el Azure Key Vault como cofre donde pueda administrar el uso de dichos elementos mediante políticas.
Para hacer aún más seguras las comunicaciones inter-conexiones, recomendamos inspeccionar los paquetes de tránsito haciendo uso de Azure Firewall o bien un appliance de terceros (NVA) certificado el cual ya viene nativamente integrado al hub del VWAN tales como: Check Point CGNS y NGFW de Fortinet. Más información en Acerca de las aplicaciones virtuales de red: centro de Virtual WAN - Azure Virtual WAN | Microsoft Learn
Si decide usar nuestro Azure Firewall, deberá utilizar el Azure Firewall Manager para asegurar el hub en cuestión y así, proteger el tráfico en la nube destinado a direcciones IP privadas, PaaS de Azure e Internet que correspondería al concepto de Centro de Conectividad Seguro. De esta forma, el enrutamiento del tráfico al firewall es automático, por lo que no es necesario crear rutas definidas por el usuario (UDR) conocidas como enrutamiento estático.
Si decide usar una NVA integrada, todas las ofertas de NVA que están disponibles para implementarse en un centro de Virtual WAN tendrán una aplicación para su correspondiente administración que está disponible en Azure Marketplace.
Los clientes también pueden conectar dispositivos locales al NVA en el hub y también usarlo para inspeccionar todo el tráfico de norte a sur, de este a oeste y de Internet. El enrutamiento para habilitar estos escenarios se puede configurar a través de la nueva característica en vista previa al momento de escribir este artículo Intención de enrutamiento y las Políticas de enrutamiento. Routing Intent y routing policies le permiten simplificar la protección de sus implementaciones de Azure Virtual WAN. Con un solo clic, puede enviar todo el tráfico (incluido el tráfico entre regiones y de sucursal a sucursal) para que lo inspeccione Azure Firewall o seleccionar dispositivos virtuales de red de firewall de próxima generación (NGFW) implementados en el centro de WAN virtual. El enrutador de Virtual WAN administra todo esto dinámicamente mediante el uso de BGP para que pueda evitar configuraciones propensas a errores.
La Protección DDoS al momento de escribir este artículo no es compatible con Azure VWAN con seguridad es decir con Azure Firewall Manager, por lo que Microsoft está investigando para brindarles una solución a la brevedad posible. Les facilito por aquí los inconvenientes conocidos por ahora y el comparativo entre la versión segura y la tradicional. No obstante, para la versión tradicional pueden habilitar la protección DDoS tal como lo indica el comparativo.
2. RESILIENCIA
En un centro de conectividad de Virtual WAN, hay varios servicios, como VPN, NVAs, ExpressRoute, etc. Cada uno de estos servicios se implementa automáticamente en las zonas de disponibilidad, excepto Azure Firewall, siempre y cuando la región admita zonas de disponibilidad. Para implementar una instancia de Azure Firewall con zonas de disponibilidad (recomendado) y así, alinearse con la resiliencia de Azure Virtual WAN, debe seleccionar todas las zonas de disponibilidad disponibles en un centro de conectividad de Virtual WAN seguro, puede usar este artículo.
El propio servicio VWAN admite la creación de varios hubs en la misma región, por favor revisar los límites de su subscripción para este propósito, también las consideraciones a tomar en cuenta disponibles aquí.
Con respecto a mantener los sitios externos conectados a Azure VWAN, un escenario bastante común y que nos consultan es, ¿qué sucede si uno de los sitios cuya conexión es única a Azure se cae, podrían conectar vía otro site? Si bien es cierto, esto es posible con ciertas condiciones, nuestra recomendación es que, en la última milla configure dos enlaces con dos proveedores ISPs diferentes. Cuando configura enlaces paralelos entre un sitio branch y un virtual hub, la puerta de enlace de VPN equilibraría la carga de forma predeterminada en el tráfico a través de los enlaces paralelos. El balanceo de carga del tráfico estaría de acuerdo con Equal-Cost Multi-Path (ECMP) por flujo.
Sin embargo, algunos clientes tienen una conexión alterna a través de otra filial o branch, aparte de la latencia que esto adiciona, podría generar enrutamiento asimétrico, sin embargo, se podría gestionar mediante los parámetros de BGP como AS_Path usando el más corto para inbound, y Local Preference en la que tiene dos enlaces outbound; en la eventualidad de fallo del enlace principal pues re-enrutaría por el camino disponible y balancear entre los enlaces de la sucursal con doble enlace. No obstante, nuestra recomendación es hacerlo como la figura anterior documentada.
La alta disponibilidad para el cliente de VPN de Azure que usa un perfil secundario está disponible ahora. Los clientes ahora pueden usar el software cliente VPN de Azure en Windows para agregar una preferencia de puerta de enlace secundaria en su configuración de puerta de enlace principal. Esta función mejora la disponibilidad de la conexión para los clientes de punto a sitio al tener un perfil adicional preconfigurado. Si, por algún motivo, la puerta de enlace principal sufre una interrupción, el cliente de VPN realizará una conmutación por error automáticamente para conectarse con la puerta de enlace secundaria.
3. ENRUTAMIENTO
Sobre las capacidades de enrutamiento, el hub o concentrador corresponde al elemento con esta funcionalidad que administra el ruteo de los radios, ramas, sucursales o branches a las diferentes conexiones. Estas capacidades de enrutamiento las proporciona dicho enrutador que administra todo el enrutamiento entre las puertas de enlace mediante el Protocolo de puerta de enlace fronteriza (BGP), el cual intercambia información entre sistemas autónomos de los ISPs. Se debe distinguir entre BGP externo (eBGP) y BGP interno (iBGP) en función de si la información se intercambia dentro de un AS o entre dos AS. Y este, es el mecanismo dinámico como las rutas desde el hub son propagadas a on-prem.
Cuando un enrutador de centro virtual aprende varias rutas a través de conexiones S2S VPN, ER y SD-WAN NVA para un prefijo de ruta de destino local, el enrutador de centro virtual toma decisiones de enrutamiento mediante un algoritmo de selección de ruta integrado que, al momento de escribir este artículo se encuentra en versión preliminar.
Poder seleccionar la preferencia de enrutamiento del centro virtual proporciona la capacidad de influir en las decisiones de enrutamiento en un enrutador de centro virtual para el tráfico que fluye hacia las ramas. El orden para la toma de decisión de dicho algoritmo es el siguiente:
- Selección de rutas que coincida con prefijo más largo (LPM); es decir, el prefijo más específico.
- Prefiere rutas estáticas sobre rutas BGP.
- Selecciona la mejor ruta según la configuración de HRP (Hub Routing Preference).
Ahora bien, cuando hay sucursales o radios que tienen direccionamiento que traslapa con otra rama, la recomendación es usar reglas de traducción de direcciones NAT en el VPN Gateway del Azure VWAN.
Enrutamiento con NVA. Uno de los casos de uso de enrutamiento más populares de Virtual WAN es implementar una NVA en una red virtual radial conectada a un concentrador/hub de WAN virtual y luego enrutar el tráfico a través de la NVA. Omitir la IP del próximo salto para las cargas de trabajo dentro de una red virtual radial conectada al centro de WAN virtual le permite implementar y acceder a otros recursos en la red virtual con su NVA sin ninguna configuración adicional.
Omitir la IP del próximo salto para las cargas de trabajo dentro de una red virtual radial conectada al centro de WAN virtual le permite tener una mayor flexibilidad en la forma en que implementa las NVA. Esta función le permite implementar NVA y otras cargas de trabajo en la misma red virtual sin forzar todo el tráfico a través de la NVA.
Esto es posible gracias a la funcionalidad nueva disponible de forma general en el hub para conectarse con BGP. Esta característica ahora elimina la necesidad de configurar rutas estáticas entre un dispositivo virtual de red (NVA) y el enrutador del hub/concentrador virtual.
Enrutamiento con otros proveedores. Sobre otras conexiones con otros proveedores de servicio nube como Oracle Cloud Infraestructure (OCI), tomar en consideración que para soportar tránsito desde Onprem a OCI requiere del addon Global Reach y que FastPath no se admite con AzVWAN. Ver detalles aquí.
Monitoreo del enrutamiento. Microsoft Azure disponibiliza un panel de BGP el cual, brinda la capacidad de monitorear pares de BGP, rutas anunciadas y rutas aprendidas para sus VPN de sitio a sitio configuradas para usar BGP en un solo lugar.
Y como es costumbre Microsoft le facilita la visibilidad de poder ver los recursos de Virtual WAN descubiertos automáticamente. Estos recursos incluyen concentradores, puertas de enlace, firewalls, conexiones y redes virtuales radiales, NVA de terceros y sucursales en una WAN virtual de un extremo a otro.
El estado de los recursos y las superposiciones de estado en el mapa le brindan una vista instantánea del estado general de la WAN virtual. Puede navegar por los recursos en el mapa mediante el acceso con un solo clic a las páginas de configuración de recursos del portal de Virtual WAN.
Las métricas a nivel de recursos de WAN virtual se recopilan y presentan a través de un Workbook de métricas preconfigurado. Muestra las métricas en los niveles de WAN virtual, concentrador, puerta de enlace y conexión.
Esta vista también es accesible desde Azure Monitor en la sección Redes.
En conclusión, esta arquitectura incluye los beneficios de la topología de red hub-spoke tradicional e introduce nuevos beneficios:
- Menos gastos generales operativos al reemplazar los concentradores existentes con un servicio VWAN completamente administrado.
- Ahorro de costos mediante el uso de un servicio administrado y la eliminación de la necesidad de un dispositivo virtual de red.
- Seguridad mejorada mediante la introducción de concentradores seguros administrados centralmente con Azure Firewall y VWAN para minimizar los riesgos de seguridad relacionados con la configuración incorrecta.
A la velocidad de la nube Microsoft ha optimizado y seguirá optimizando dichas capacidades de esta valiosa solución, por eso es importante que basados en su experiencia envíen sus comentarios y retroalimentaciones para mantener la optimización continuamente. Hay varias formas de participar en el continuo avance de las tecnologías Microsoft, sin embargo, les muestro dos:
- En el Portal de Azure aparece en la esquina superior derecha este ícono:
- O bien en la documentación del producto este ícono
Recursos Recomendados:
Hub-spoke network topology with Azure Virtual WAN - Azure Architecture Center | Microsoft Learn
Introducción a los servicios de conectividad híbrida de Azure - Training | Microsoft Learn
Acerca de los precios de Virtual WAN - Azure Virtual WAN | Microsoft Learn