​Introducción.

Al trabajar en ambientes híbridos – donde nuestros servicios están distribuidos entre recursos ubicados en nuestras instalaciones físicas y cargas de trabajo alojadas en la nube – es de suma importancia garantizar que la infraestructura subyacente que soporta la extensión de nuestros centros de datos locales hacía la nube pública cumpla con los niveles de alta disponibilidad y resiliencia requeridos de acuerdo a la criticidad de los servicios implementados. Esta infraestructura se basa en la interconexión entre los componentes físicos del centro de datos que permiten la comunicación desde y hacia la red pública, y los recursos que se definen en la nube de Azure para establecerla.

Existen varios modelos documentados que nos ayudan a establecer esta comunicación, pero en esta serie de artículos vamos a describir específicamente las actividades involucradas en la creación de una conexión de tipo Site-to-Site entre una Virtual Network definida en Azure, y dispositivos VPN ubicado en las instalaciones físicas de un centro de datos. Para ello, no sólo vamos a identificar y describir los recursos y actividades del lado de Azure, sino que vamos a indicar las actividades generales que se deben llevar a cabo en los dispositivos VPN en las instalaciones físicas de manera que se pueda establecer exitosamente la comunicación.

Contenido.​​

La serie está compuesta por los siguientes temas:

• Conexión Site to Site de Alta Disponibilidad (1 de 4) Escenarios de Configuración.
  
• Conexión Site to Site de Alta Disponibilidad (2 de 4) Configuración de Recursos en Azure.
  
• Conexión Site to Site de Alta Disponibilidad (3 de 4) Configuración de Recursos On-Premises.
  
• Conexión Site to Site de Alta Disponibilidad (4 de 4) Verificación de Resultados.​​
  

En esta primera entrega, vamos a revisar los diferentes modelos de interconexión Site-to-Site que ofrece Microsoft Azure.

Recursos de Azure para la Interconexión Site-to-Site.

Del lado de Azure, básicamente se necesita definir tres (4) recursos para establecer la conexión Site-to-Site. Como la gran mayoría de los elementos y servicios que tenemos disponible en Azure, su creación es muy simple desde el punto de vista de los asistentes de implementación. Aún así, es necesario tener muy clara la función de cada uno de ellos, el objetivo de los parámetros de configuración necesarios para su operación y cómo se relacionan entre sí. A continuación, repasamos brevemente cada uno de ellos.

Virtual Network.

Una Virtual Network o red virtual es un recurso de Azure que permite la comunicación segura entre los recursos definidos dentro de ella, otras redes virtuales, la internet y redes privadas en instalaciones físicas. La Virtual Network está definida por uno o más espacios de direcciones IP y por un conjunto de subredes o Subnets que como sabemos es un rango de direcciones IP que está contenido dentro del espacio de direcciones que administra la Virtual Network ¹.

Virtual Network Gateway.

La Virtual Network Gateway, también referenciada en la documentación como VPN Gateway en Azure, es el recurso en Azure utilizado para cifrar y enrutar el tráfico entre una Virtual Network y el o los dispositivos VPN implementados en las instalaciones físicas, sobre la red pública de internet o sobre un enlace privado. Representa entonces el endpoint de comunicación en el enlace Site-to-Site del lado de Azure, que asegura las comunicaciones desde y hacia recursos que se encuentran fuera de la Virtual Network donde está definida ².

Local Network Gateway.

Una Local Network Gateway es un recurso que representa en Azure al dispositivo VPN implementado en las instalaciones físicas, y que define el endpoint de comunicación en el enlace Site-to-Site, del lado del centro de datos o del proveedor de servicios de internet. La definición de este recurso requiere una adecuada planificación, ya que muchos de los parámetros de configuración que solicita se encuentran configurados en el dispositivo VPN físico:

• La dirección IP Pública de la interfaz a través de la cual el dispositivo VPN es accesible.
• Los espacios de direcciones IPs que serán enrutados hacia Azure a través del dispositivo VPN.
• Si se habilita el protocolo BGP, también será necesario contar con los datos de la BGP Peer Address del dispositivo, así como el Autonomous System Number (ASN).

Connections.

Las Connections o Conexiones, son la definición lógica del enlace Site-to-Site, y representan en Azure el vínculo entre la Virtual Network Gateway y la Local Network Gateway. Una Virtual Network puede tener una o más conexiones, lo que define el túnel VPN entre la Virtual Network o Red Virtual y el dispositivo VPN en las instalaciones físicas.

Escenarios de Conexión Site-to-Site.

Como mencionamos anteriormente, el objetivo de esta serie de artículos es el de describir específicamente la interconexión de tipo Site-to-Site, así que a continuación, vamos a presentar los modelos que tenemos disponibles para ello. La escogencia del modelo va a depender de muchos factores con los que estamos familiarizados, como por ejemplo, el costo de utilización de los recursos definidos en Azure, la criticidad de los servicios involucrados, los niveles de servicio acordados internamente con nuestros clientes, etc. En resumen, la implementación de un escenario de este tipo requiere de una cuidadosa planificación, no solo desde el punto de vista técnico, sino desde la perspectiva estratégica que incluye la continuidad del negocio.

Azure Virtual Network Gateway Redundante.

El modelo más simple de conexión se presenta en la Figura 1 y consiste en la definición de una Azure Virtual Network Gateway vinculada a un dispositivo VPN en las instalaciones físicas. Este recurso de Azure consiste en dos instancias del dispositivo virtual en modo Activo-Pasivo. Si la instancia activa sufre algún tipo de evento que afecte su operación, la instancia pasiva tomará su lugar automáticamente, provocando una breve interrupción del servicio.

Figura 1. Azure Virtual Network Gateway – Modo Active-Standby

Múltiples Dispositivos VPN en las Instalaciones Físicas.

Si existe redundancia local para la conexión desde las instalaciones físicas hacia la nube, es posible crear conexiones redundantes hacia la Azure Virtual Network Gateway, tal como se muestra en la Figura 2.

Figura 2. Dispositivos VPN redundantes en las instalaciones físicas.

Azure Virtual Network Gateway en Modo Active-Active.

En este modelo, las dos instancias de la Azure Virtual Network Gateway están activas simultáneamente y con conexiones establecidas hacia el dispositivo VPN en las instalaciones físicas (Figura 3).

Figura 3. Azure Virtual Network Gateway – Modo Active-Active.

Redundancia Múltiple.

Como se puede concluir, este es el modelo más confiable e involucra la redundancia en ambos extremos, con conexiones múltiples entre las instancias de las Azure Virtual Network Gateways y los dispositivos VPN en las instalaciones físicas, tal como se muestra en la Figura 4.

Figura 4. Redundancia Múltiple.

Este último es el ambiente que vamos a describir en esta serie de artículos: Una conexión de tipo Site-to-Site entre una Virtual Network Gateway definida en Azure en modo Active-Active, y dispositivos VPN redundantes en las instalaciones. Para este modelo, es necesario activar el protocolo de enrutamiento BGP.

Ambiente de Referencia.

El ambiente esperado luego de la implementación es el que se muestra en la Figura 5. Los valores por supuesto son de referencia, y su utilización se irá definiendo a lo largo de las instrucciones. Vamos a describir de manera general el diagrama:

• En las instalaciones físicas se cuenta con dos dispositivos VPN independientes, para garantizar la redundancia de las comunicaciones. Cada uno de ellos cuenta con una dirección IP pública accesible a través de la internet, así como una dirección IP denominada BGP Peer Address, necesaria para la configuración del protocolo de enrutamiento BGP.
• En la infraestructura de Azure se definirá una Virtual Network Gateway en modo Active-Active, con el protocolo de enrutamiento BGP habilitado. En esta configuración, la Virtual Netwrok Gateway cuenta con dos instancias operativas, por lo que requerirá de dos direcciones IP públicas, así como las direcciones BGP Peer Address correspondientes para la configuración del protocolo de enrutamiento BGP.
• Por último, en este modelo de alta disponibilidad se definen conexiones lógicas que definen los túneles VPN para la configuración redundante entre las comunicaciones de los dispositivos.

Figura 5. Ambiente de Referencia.

Próximos Pasos.

Hasta este punto hemos descrito brevemente los componentes necesarios para una interconexión de tipo Site-to-Site. En el próximo artículo describiremos con detalle las actividades involucradas en la implementación de los recursos de Azure requeridos.

Conexión Site to Site de Alta Disponibilidad (2 de 4) Configuración de Recursos en Azure

​____________________________________________________________________________________________________________________ 

¹ ¿Qué es Azure Virtual Network?

² ¿Qué es VPN Gateway?