WAN virtual de Microsoft Azure
Microsoft Azure Virtual WAN y Citrix SD-WAN proporcionan conectividad de red simplificada y administración centralizada en cargas de trabajo de nube híbrida. Puede automatizar la configuración de los dispositivos de sucursal para conectarse a la WAN de Azure y configurar directivas de administración del tráfico de sucursales de acuerdo con los requisitos de su empresa. La interfaz de panel integrada proporciona información sobre la solución de problemas instantánea que puede ahorrar tiempo y proporciona visibilidad para conectividad de sitio a sitio a gran escala.
Microsoft Azure Virtual WAN le permite habilitar la conectividad simplificada a las cargas de trabajo de Azure Cloud y enrutar el tráfico a través de la red troncal de Azure y más allá. Azure proporciona más de 54 regiones y varios puntos de presencia en todo el mundo Las regiones de Azure sirven como concentradores que puede elegir conectarse a las sucursales. Una vez conectadas las sucursales, utilice el servicio en la nube de Azure a través de la conectividad de concentrador a concentrador. Puede simplificar la conectividad mediante la aplicación de varios servicios de Azure, incluido el emparejamiento de concentradores con redes virtuales de Azure. Los concentradores sirven de puertas de enlace de tráfico para las sucursales.
Microsoft Azure Virtual WAN ofrece las siguientes ventajas:
-
Soluciones de conectividad integradas en concentradores y radiales: automatice la conectividad y la configuración de sitio a sitio entre las instalaciones y el concentrador de Azure desde diversos orígenes, incluidas las soluciones de partners conectados.
-
Configuración e instalación automatizadas: Conecte sus redes virtuales al concentrador de Azure sin problemas.
-
Solución de problemas intuitiva: Puede ver el flujo de extremo a extremo dentro de Azure y usar esta información para realizar las acciones necesarias.
Comunicación de concentrador a concentrador
Con la versión 11.1.0, la WAN virtual de Azure es compatible con la comunicación de concentrador a concentrador mediante el método de tipo estándar.
Los clientes de Azure Virtual WAN ahora pueden aprovechar la red troncal global de Microsoft para la comunicación entre regiones concentrador (arquitectura de red de tránsito global). Esto permite la comunicación de bifurcación a Azure, de rama a rama sobre la estructura troncal de Azure y de rama a centro (en todas las regiones de Azure).
Puede aprovechar la estructura troncal de Azure para la comunicación entre regiones solo cuando adquiera el SKU estándar para la WAN virtual de Azure. Para obtener más información sobre precios, consulte Precios de la WAN virtual. Con el SKU básico, no puede usar la estructura troncal de Azure para la comunicación entre regiones de centro a centro. Para obtener más información detallada, consulte Arquitectura de red de tránsito global y WAN.
Los concentradores están conectados entre sí en una WAN virtual. Esto implica que una rama, usuario o vNet conectada a un concentrador local puede comunicarse con otra rama o vNet mediante la arquitectura de malla completa de los concentradores conectados.
También puede conectar VNET dentro de un concentrador que transita a través del concentrador virtual, y vNET a través del concentrador, mediante el marco conectado de concentrador a concentrador.
Hay dos tipos de WAN virtual:
-
Básico: Mediante el método Basic, las comunicaciones de centro a centro se producen dentro de una región. El tipo de WAN básica ayuda a crear un hub básico (SKU = Basic). Los concentradores básicos se limitan a la funcionalidad VPN de sitio a sitio.
-
Estándar: Mediante el método Estándar, las comunicaciones de centro a concentrador se producen entre diferentes regiones. Una WAN estándar ayuda a crear concentrador estándar (SKU = Estándar). Los concentradoresestándar contienen ExpressRoute, VPN de usuario (P2S), concentrador de malla completo y tránsito de VNET a VNet a través de los concentradores.
Crear servicio WAN virtual de Azure en Microsoft Azure
Para crear el recurso de Azure Virtual WAN, realice los siguientes pasos:
-
Inicie sesión en Azure Portal y haga clic en Crear un recurso.
-
Busque WAN virtual y haga clic en Crear.
-
En Básico, proporcione los valores de los siguientes campos:
-
Suscripción: seleccione y proporcione los detalles de la suscripción en la lista desplegable.
-
Grupo de recursos: seleccione un grupo de recursos existente o cree uno nuevo.
Nota
Al crear la entidad de servicio para permitir la comunicación con la API de Azure, asegúrese de utilizar el mismo grupo de recursos que contiene la WAN virtual. De lo contrario, SD-WAN Orchestrator no tendrá permisos suficientes para autenticarse en las API de Azure Virtual WAN que habilitan la conectividad automatizada.
-
Ubicación del grupo de recursos: seleccione la región de Azure en la lista desplegable.
- Nombre: proporcione el nombre de la nueva WAN virtual.
- Tipo: seleccione Tipo estándar si desea utilizar la comunicación de concentrador a centro entre diferentes regiones; de lo contrario, seleccione Básico.
-
- Haga clic en Revisar + crear.
- Revise los detalles que ha introducido para crear la Wan virtual y haga clic en Crear para finalizar la creación de WAN virtual.
La implementación del recurso tarda menos de un minuto.
Nota
Puede actualizar de Básico a Estándar, pero no puede volver de Estándar a Básico. Para obtener información sobre los pasos para actualizar una WAN virtual, consulte Actualizar una WAN virtual de Básica a Estándar.
Crear un centro en la WAN virtual de Azure
Realice los siguientes pasos para crear un concentrador que permita la conectividad desde varios puntos finales diferentes (por ejemplo, dispositivos VPN locales o dispositivos SD-WAN):
- Seleccione la WAN virtual de Azure creada anteriormente.
-
Seleccione Hubs en la sección Conectividad y haga clic en + Nuevo concentrador.
-
En Básico, proporcione los valores de los siguientes campos:
- Región : seleccione la región de Azure en la lista desplegable.
- Nombre : introduzca el nombre del nuevo Hub.
- Espacio de direcciones privado del hub : introduzca el rango de direcciones en CIDR. Seleccione una red única que esté dedicada únicamente al concentrador.
-
Haga clic en Siguiente: Site to Site y proporcione los valores de los siguientes campos:
- ¿ Desea crear un sitio a sitio (puerta de enlace VPN)? — Seleccione Sí.
-
Unidades de escala de puerta de enlace: seleccione las unidades de escala de la lista desplegable según sea necesario.
- Haga clic en Revisar + crear.
- Revise la configuración y haga clic en Crear para iniciar la creación del concentrador virtual.
La implementación del recurso puede tardar hasta 30 minutos.
Cree una entidad de servicio para Azure Virtual WAN e identifique los identificadores
Para que SD-WAN Orchestrator se autentique a través de las API de Azure Virtual WAN y habilite la conectividad automatizada, se debe crear una aplicación registrada e identificarse con las siguientes credenciales de autenticación:
- ID de suscripción
- ID de cliente
- Secreto del cliente
- ID de arrendatario
Nota
Al crear la entidad de servicio para permitir la comunicación con la API de Azure, asegúrese de utilizar el mismo grupo de recursos que contiene la WAN virtual. De lo contrario, SD-WAN Orchestrator no tendrá permisos suficientes para autenticarse en las API de Azure Virtual WAN que habilitan la conectividad automatizada.
Realice los siguientes pasos para crear un nuevo registro de aplicación:
- En el portal de Azure, vaya a Azure Active Directory.
- En Administrar, selecciona Registro de aplicaciones.
-
Haga clic en + Nuevo registro.
-
Proporcione valores para los siguientes campos para registrar una aplicación:
- Nombre: Proporcione el nombre para el registro de la solicitud.
- Tipos de cuenta admitidos: Seleccione Cuentas en este directorio organizativo solo opción (* - Arrendatario único).
- URI de redirección (opcional): Seleccione Web en la lista desplegable e introduzca una URL aleatoria única (por ejemplo, https://localhost: 4980)
- Haga clic en Registrar.
Puede copiar y almacenar el ID de aplicación (cliente) y el ID de directorio (arrendatario) que se pueden usar en SD-WAN Orchestrator para la autenticación en la suscripción de Azure para el uso de API.
El siguiente paso para el registro de la aplicación, crear una clave principal de servicio para fines de autenticación.
Para crear la clave principal de servicio, realice los siguientes pasos:
- En el portal de Azure, vaya a Azure Active Directory.
- En Administrar, vaya a Registro de aplicaciones.
- Seleccione la aplicación registrada (creada anteriormente).
- En Administrar, seleccione Certificados y secretos.
-
En Secretos de cliente, haga clic en + Nuevo secreto de cliente.
- Para agregar un secreto de cliente, proporcione valores para los siguientes campos:
- Descripción: Proporcione un nombre para la clave principal del servicio.
- Caduca: seleccione la duración de caducidad según sea necesario.
- Haga clic en Agregar.
-
El secreto de cliente está inhabilitado en la columna Valor. Copie la clave en el portapapeles. Este es el secreto del cliente que debe introducir en SD-WAN Orchestrator.
Nota
Debe copiar y almacenar el valor de clave secreta antes de volver a cargar la página porque, ya no se mostrará después.
Realice los siguientes pasos para asignar los roles adecuados con fines de autenticación:
- En el portal de Azure, vaya al grupo de recursos donde se creó la WAN virtual.
- Desplácese hasta Control de acceso (IAM).
-
Haga clic en + Agregar y seleccione Agregar asignación de rol.
-
Para agregar la asignación de roles, proporcione valores para los siguientes campos:
- Rol: Seleccione Propietario en la lista desplegable. Este rol permite la gestión de todo, incluido el acceso a los recursos.
- Asignar acceso a: Seleccione Usuario, grupo o entidad de servicio de Azure AD.
- Seleccionar: Proporcione el nombre de la aplicación registrada creada anteriormente y seleccione la entrada correspondiente cuando aparezca.
-
Haga clic en Guardar.
Por último, debe obtener el identificador de suscripción para la cuenta de Azure. Puede identificar su ID de suscripción buscando suscripciones en Azure Portal.
Una vez creada la WAN virtual, inicie sesión en la interfaz de usuario de SD-WAN Center > Configuración > Azure > Virtual WAN.
Seleccione dos sitios diferentes e inicie la implementación. Una vez implementados los sitios, puede asociar ambos sitios a dos concentradores diferentes.
NOTA De forma predeterminada de rama a rama y BGP está inhabilitado. Puede crear una ruta estática o habilitar BGP (en Configuración) y la conectividad de rama a rama.
Habilite la casilla de verificación BGP y de rama a rama e implemente los túneles. Una vez implementados correctamente los túneles, puede verificar el estado en Microsoft Azure > Grupos de recursos seleccionar el grupo de recursos que creó y haga clic en Sitios VPN.