Lo que los arquitectos de TI necesitan

saber sobre las redes en las plataformas

y los servicios en la nube de Microsoft.

Microsoft Cloud

Networking para

arquitectos

profesionales1 2 3 4 51 2 3 4 5Este es el tema 1 de una serie de 6

Desarrollo de la red para la conectividad en la nubeLa migración a nube cambia el volumen y el carácter de los flujos de tráfico dentro y fuera de

una red corporativa. También afecta a los métodos para mitigar los riesgos de seguridad.

Las inversiones en la infraestructura de red comienzan con la conectividad. Las inversiones adicionales

dependen de la categoría del servicio en la nube.

La mayoría de las inversiones en infraestructura de red se realizaban para

garantizar la disponibilidad, la fiabilidad y el rendimiento de la conectividad a

los centros de datos locales. Para muchas organizaciones, la conectividad a

Internet no era crítica para las operaciones empresariales internas. Los límites

de la red eran las principales defensas contra las infracciones de seguridad.

Con la productividad migrada y las nuevas cargas de trabajo de TI que se

ejecutan en la nube, las inversiones en infraestructura se han trasladado de

los centros de datos locales a la conectividad a Internet, que ahora es crítica

para las operaciones empresariales internas. La conectividad federada

traslada la estrategia de seguridad hacia la protección de las identidades y

los datos que se transmiten a través de la red y los puntos de conectividad a

los servicios en la nube de Microsoft.

Áreas de inversión en redes para lograr el éxito en la nube

Las organizaciones empresariales se benefician de seguir un enfoque

metódico para optimizar el rendimiento de la red en la intranet y a

Internet. También se puede beneficiar de una conexión de ExpressRoute.

Optimizar la conectividad

de la intranet a la red

perimetral

Con el paso de los años, muchas

organizaciones han optimizado la

conectividad a la intranet y el rendimiento

de la aplicaciones que se ejecutan en

centros de datos locales. Con la

productividad y las cargas de trabajo de TI

que se ejecutan en la nube de Microsoft,

la inversión adicional debe garantizar una

disponibilidad de gran conectividad y que

el rendimiento del tráfico entre la red

perimetral y los usuarios de la intranet sea

óptimo.

Aunque puede usar la conexión a Internet

actual de la red perimetral, el tráfico que

entra y sale de los servicios en la nube de

Microsoft debe compartir la canalización

con otro tráfico de la intranet que se

dirige a Internet. Además, el tráfico a los

servicios en la nube de Microsoft varía

según la congestión del tráfico de

Internet.

Para lograr un SLA elevado y el mejor

rendimiento, use ExpressRoute, una

conexión WAN dedicada entre su red y

Azure, Office 365, Dynamics 365 o los tres.

ExpressRoute puede aprovechar el

proveedor de red existente para

establecer una conexión dedicada. Los

recursos que conecta ExpressRoute

aparecen como si estuvieran en la WAN,

incluso en las organizaciones distribuidas

geográficamente.

Los servicios SaaS de Microsoft incluyen Office 365,

Intune Microsoft y Microsoft Dynamics 365. Una

adopción satisfactoria de los servicios SaaS por parte

de los usuarios depende de una conectividad a

Internet (o directamente a los servicios en la nube de

Microsoft) de alto rendimiento y disponibilidad.

La arquitectura de la red se centra en un ancho de

banda amplio y en una conectividad redundante

y fiable. Las inversiones constantes incluyen

la supervisión y el ajuste del rendimiento.

SaaSSoftware como servicio

Además de las inversiones en servicios SaaS de

Microsoft, las aplicaciones PaaS ubicadas en varios

sitios o distribuidas geográficamente podrían

requerir la gestión de Microsoft Azure Traffic

Manager para distribuir el tráfico de cliente. Las

inversiones constantes incluyen pruebas de

conmutación por error, supervisión y distribución del

tráfico y el rendimiento.

PaaS de AzurePlataforma como servicio

Además de las inversiones en los servicios SaaS y

PaaS de Microsoft, ejecutar cargas de trabajo de TI

en IaaS requiere diseñar y configurar redes

virtuales de Azure que hospeden máquinas

virtuales, una conectividad segura a las

aplicaciones que se ejecutan en ellas, el

enrutamiento, el direccionamiento IP, DNS y un

equilibrio de carga. Las inversiones constantes

incluyen la supervisión y la solución de problemas

de rendimiento y seguridad.

IaaS de AzureInfraestructura como servicio

El ámbito de las inversiones en la red depende de la categoría del

servicio en la nube. Invertir en la nube de Microsoft maximiza las

inversiones de los equipos de redes. Por ejemplo, las inversiones de los

servicios SaaS sirven para todas las categorías.

Crear una arquitectura de conectividad a Internet redundante, fiable y con un ancho de banda amplio

Supervisar y ajustar la capacidad de proceso de Internet en relación con el rendimiento

Solucionar problemas de conectividad a Internet y de capacidad de proceso

Diseñar Azure Traffic Manager para que equilibre la carga del tráfico que se dirige a distintos puntos de conexión

Crear una arquitectura de conectividad a las redes virtuales de Azure redundante, fiable y con un buen rendimiento

Diseñar una conectividad segura a las máquinas virtuales de Azure

Diseñar e implementar el enrutamiento entre ubicaciones locales y redes virtuales

Diseñar e implementar el equilibrio de carga para cargas de trabajo de TI internas y orientadas a Internet

Solucionar problemas de conectividad a máquinas virtuales y de capacidad de proceso

Área de inversión SaaS PaaS IaaS

Para un SLA elevado a

Servicios en la nube de

Microsoft, use ExpressRoute

Optimizar el rendimiento

en la red perimetral

A medida que aumenta el tráfico de

productividad que viaja a la nube a diario,

debe examinar exhaustivamente el

conjunto de sistemas que hay en la red

perimetral para garantizar que están

actualizados, que proporcionan una alta

disponibilidad y que tienen capacidad

suficiente para satisfacer las cargas

máximas.

Septiembre de 2016

Antes de la llegada de la nube Después de la llegada de la nube

© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a CloudAdopt@microsoft.com.© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a CloudAdopt@microsoft.com.

6

ExpressRoute para Office 365ExpressRoute para Office 365

ExpressRoute para AzureExpressRoute para Azure

Firewall interno: barrera entre su red de confianza y

otra que no sea confiable. Lleva a cabo el filtrado del

tráfico (basado en reglas) y la supervisión.

Carga de trabajo externa: sitios web u otras cargas de

trabajo a disposición de los usuarios externos de

Internet.

Servidor proxy: atiende las solicitudes de contenido web

en nombre de los usuarios de la intranet. Un proxy

inverso permite las solicitudes entrantes no solicitadas.

Firewall externo: permite el tráfico saliente y el tráfico

entrante especificado. Puede traducir direcciones.

Conexión WAN a ISP: conexión a un ISP (basada en

proveedor) que se comunica con Internet para

conseguir la conectividad y el enrutamiento.

Lo que los arquitectos de TI necesitan

saber sobre las redes en las plataformas

y los servicios en la nube de Microsoft.

1 2 3 4 51 2 3 4 5Este es el tema 2 de una serie de 6

Elementos comunes de la conectividad de la nube de Microsoft

La integración de las redes en la nube de Microsoft proporciona un acceso óptimo a

una amplia gama de servicios.

Opciones de conectividad en la nube de Microsoft

Septiembre de 2016

Pasos para preparar la red para los servicios en la nube de Microsoft

Analizar los equipos cliente y optimizar el hardware de red, los controladores de software, la configuración de protocolo y los exploradores de Internet.

1 Analizar la red local para determinar la latencia del tráfico y el enrutamiento óptimo del dispositivo perimetral de Internet.

2 Analizar la capacidad y el rendimiento del dispositivo perimetral de Internet y optimizarlo para lograr los niveles más altos de tráfico.

3 Analizar la latencia entre el dispositivo perimetral de Internet (como el firewall externo) y las ubicaciones regionales del servicio en la nube de Microsoft al que se conecta.

1 Analizar la capacidad y la utilización de la conexión actual a Internet y agregar capacidad si es necesario. Otra opción es agregar una conexión de ExpressRoute.

2

Rendimiento de la intranet

El rendimiento de los recursos de Internet

se verá mermado si la intranet, incluidos

los equipos cliente, no se optimizan.

Dispositivos perimetrales

Los dispositivos situados en el perímetro

de la red son puntos de salida y pueden

incluir traductores de direcciones de red

(NAT), servidores proxy (incluidos los

inversos), firewalls, dispositivos de

detección de intrusiones o una

combinación.

Conexión a Internet

La conexión WAN a Internet y al ISP

debe tener suficiente capacidad para

albergar las cargas máximas.

También puede usar una conexión de

ExpressRoute.

DNS de Internet

Use A, AAAA, CNAME, MX, PTR y otros

registros para buscar la nube de Microsoft

o los servicios hospedados en la nube. Por

ejemplo, puede que necesite un registro

CNAME para la aplicación hospedada en

PaaS de Azure.

Áreas de redes comunes a todos los servicios en la nube de Microsoft

Red local Internet

UsuariosUsuarios

ExpressRouteExpressRoute

Microsoft AzureMicrosoft AzureMicrosoft Azure

Office 365Office 365

Microsoft IntuneMicrosoft Intune

Dynamics 365Dynamics 365

Red perimetral

Carga de trabajo externa

Carga de trabajo externa

Carga de trabajo externa

Firewall externoFirewall externoServidor proxyServidor proxy

ISP

Red local Internet

Componentes de una red perimetral típica

Firewall internoFirewall interno

Canalización

de Internet

Canalización

de Internet

Canalización

de Internet

Microsoft Cloud

Networking para

arquitectos

profesionales

Use la canalización de Internet existente o una conexión de

ExpressRoute para Office 365, Azure y Dynamics 365.

6

© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a CloudAdopt@microsoft.com.© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a CloudAdopt@microsoft.com.

Lo que los arquitectos de TI necesitan

saber sobre las redes en las plataformas

y los servicios en la nube de Microsoft.

Este es el tema 3 de una serie de 6

ExpressRoute para la conectividad en la nube de MicrosoftExpressRoute proporciona una conexión de red privada, dedicada y de alto

rendimiento con la nube de Microsoft.

ExpressRoute a la nube de Microsoft

Microsoft Cloud

Networking para

arquitectos

profesionales

Ventajas de ExpressRoute para Azure

Sin ExpressRoute

Con ExpressRoute

Conexiones de alto

rendimientoGracias a la amplia compatibilidad con las conexiones de ExpressRoute, los proveedores de Exchange y los proveedores de servicios de red, puede obtener una conexión de hasta 10 Gbps a la nube de Microsoft.

Menor costo en algunas

configuracionesAunque las conexiones de ExpressRoute suponen un costo adicional, en algunos casos una sola conexión de ExpressRoute puede costar menos que aumentar la capacidad de Internet en varias ubicaciones de la organización para proporcionar un rendimiento adecuado en los servicios en la nube de Microsoft.

Rendimiento predecible

Con una ruta dedicada al perímetro de la nube de Microsoft, el rendimiento no está sujeto a las interrupciones del proveedor de Internet y tiene un pico en el tráfico de Internet. Puede determinar a los proveedores y responsabilizarlos con un acuerdo de nivel de servicio de rendimiento y latencia en la nube de Microsoft.

Privacidad de los datos

para el tráficoLos usuarios malintencionados no podrán supervisar ni capturar o analizar paquetes del tráfico enviado a través de la conexión dedicada de ExpressRoute. Es tan seguro como usar vínculos WAN basados en Multiprotocol Label Switching (MPLS).

Con una conexión a Internet, la única parte de la ruta

de acceso a la nube de Microsoft que puede controlar

(y que puede tener una relación con el proveedor de

servicios) es el vínculo entre el perímetro de la red

local y el ISP (se muestra en verde).

La ruta de acceso entre el ISP y el perímetro de la

nube de Microsoft es un sistema de entrega de mejor

esfuerzo en Internet sujeto a interrupciones,

congestión de tráfico y la supervisión de usuarios

malintencionados (se muestra en amarillo).

Los usuarios de Internet, como usuarios móviles

o remotos, envían el tráfico a la nube de Microsoft

a través de Internet.

Ahora, con una conexión de ExpressRoute, puede

tener control, a través de una relación con su

proveedor de servicios, sobre toda la ruta de tráfico

desde su perímetro hasta el perímetro de la nube de

Microsoft. Esta conexión puede ofrecer un rendimiento

predecible y un contrato de nivel de servicio con un

tiempo de actividad del 99,9 %.

Ahora podrá disfrutar de un rendimiento y una latencia

predecibles, según la conexión de su proveedor de

servicios, en los servicios de Office 365, Azure y

Dynamics 365. En este momento no se admiten las

conexiones de ExpressRoute a Microsoft Intune.

El tráfico enviado a través de la conexión de

ExpressRoute ya no está sujeto a las interrupciones de

Internet, la congestión del tráfico ni la supervisión.

Los usuarios de Internet, como usuarios móviles o

remotos, siguen enviando el tráfico a la nube de

Microsoft a través de Internet. Una excepción es el

tráfico a una línea intranet de una aplicación

empresarial hospedada en IaaS de Azure, que se envía

por la conexión de ExpressRoute a través de una

conexión de acceso remoto a la red local.

ExpressRoute para Office 365ExpressRoute para Office 365 ExpressRoute para AzureExpressRoute para Azure

1 2 3 4 51 2 3 4 5 6

Red local Internet

UsuariosUsuarios

Microsoft AzureMicrosoft Azure

Office 365

Microsoft Intune

Dynamics 365

Edge

Edge

Nube de Microsoft

UsuariosUsuarios

ISP

Red local Internet

UsuariosUsuarios

Microsoft AzureMicrosoft AzureOffice 365

Microsoft Intune

Dynamics 365

Nube de Microsoft

Edge

Ed g e

UsuariosUsuarios

ExpressRouteExpressRoute

ISP

Consulte estos recursos adicionales para obtener

más información:

Incluso con una conexión de ExpressRoute, una parte del tráfico se sigue enviando a través de

Internet, como las consultas de DNS, la comprobación de la lista de revocación de certificados y las

solicitudes de red de entrega de contenido (CDN).

Continúa en la página siguiente

Una conexión de ExpressRoute no garantiza un mayor rendimiento en todas las configuraciones. Se puede obtener un rendimiento menor a través de una conexión de ExpressRoute de ancho de banda bajo que a través de una conexión a Internet de ancho de banda alto que esté a unos pocos saltos de un centro de datos regional de Microsoft.

Para conocer las últimas recomendaciones sobre el uso de ExpressRoute con Office 365, consulte ExpressRoute para Office 365.

Para conocer las últimas recomendaciones sobre el uso de ExpressRoute con Office 365, consulte ExpressRoute para Office 365.

Relaciones de emparejamiento de ExpressRoute a los servicios en la nube de Microsoft

Modelos de conectividad de ExpressRoute

Ethernet de punto a punto Conexión (IP VPN) universal

Su

ubicación

Microsoft

Su ubicación

1

Microsoft

Su ubicación

2

Su ubicación

3

WAN

Si el centro de datos

se encuentra en sus

instalaciones, puede

usar un vínculo

Ethernet de punto a

punto para conectarse

a la nube de

Microsoft.

Si ya usa un proveedor de

IP VPN (MPLS) para

conectar los sitios de la

organización, una

conexión de ExpressRoute

a la nube de Microsoft

actúa como otra

ubicación en su WAN

privada.

Ejemplo de la implementación de una aplicación y el flujo de tráfico con ExpressRoute

Red local

UsuariosUsuarios

ExpressRoute

SaaS de Microsoft

IaaS de Azure

Emparejamiento de Microsoft

Emparejamiento público

Emparejamiento privado

Office 365

Una única conexión de ExpressRoute admite hasta tres relaciones diferentes de emparejamiento de Border Gateway

Protocol (BGP) a distintas partes de la nube de Microsoft. BPG usa relaciones de emparejamiento para establecer la

confianza e intercambiar información de enrutamiento.

Va de un enrutador de la red perimetral a las

direcciones públicas de los servicios de Office

365 y Dynamics 365.

Admite la comunicación iniciada

bidireccionalmente.

Emparejamiento de Microsoft Va de un enrutador de la red perimetral a las

direcciones públicas de los servicios de Office

365 y Dynamics 365.

Admite la comunicación iniciada

bidireccionalmente.

Emparejamiento de Microsoft

Emparejamiento público Va de un enrutador de la red perimetral a las

direcciones IP públicas de los servicios de

Azure.

Admite la comunicación iniciada

unidireccionalmente solo desde sistemas

locales. La relación de emparejamiento no

admite comunicaciones iniciadas desde los

servicios PaaS de Azure.

Emparejamiento público Va de un enrutador de la red perimetral a las

direcciones IP públicas de los servicios de

Azure.

Admite la comunicación iniciada

unidireccionalmente solo desde sistemas

locales. La relación de emparejamiento no

admite comunicaciones iniciadas desde los

servicios PaaS de Azure.

Emparejamiento privado

Va de un enrutador del perímetro de la red de

su organización a las direcciones IP privadas

asignadas a sus redes virtuales de Azure.

Admite la comunicación iniciada

bidireccionalmente.

Es una extensión de la red de su organización a

la nube de Microsoft que incluye el

direccionamiento y el enrutamiento

internamente coherentes.

Emparejamiento privado

Va de un enrutador del perímetro de la red de

su organización a las direcciones IP privadas

asignadas a sus redes virtuales de Azure.

Admite la comunicación iniciada

bidireccionalmente.

Es una extensión de la red de su organización a

la nube de Microsoft que incluye el

direccionamiento y el enrutamiento

internamente coherentes.

Colocalizado en un intercambio de nube

Su

colocalización

Microsoft Si el centro de datos se

encuentra colocalizado

en instalaciones con un

intercambio de nube,

puede solicitar una

conexión cruzada virtual

a la nube de Microsoft a

través del intercambio de

Ethernet del proveedor

de colocalización.

PaaS de Azure

Tipos de aplicación: Análisis

IoT

Medios y CDN

Integración híbrida

Dynamics CRM

Red virtual

Máquinas virtualesMáquinas virtuales Puerta de enlace Puerta de enlace Puerta de enlace

El modo en que el tráfico viaja a través de las conexiones de ExpressRoute y dentro de la nube de Microsoft es una función de las rutas en

los saltos de la ruta de acceso entre el origen, el destino y el comportamiento de la aplicación. En este ejemplo vemos una aplicación que se

ejecuta en una máquina virtual de Azure que tiene acceso a una granja de SharePoint local a través de una conexión VPN de sitio a sitio.

Red local

Canalización

de Internet

Canalización

de Internet

Canalización

de Internet

IaaS de Azure

Red virtual

Puerta de enlacePuerta de enlacePuerta de enlace

VPN de sitio a sitioGranja de

SharePoint

Granja de

SharePoint

Con las relaciones de emparejamiento privadas y de

Microsoft:

Desde la puerta de enlace de Azure, existen

ubicaciones localesdisponibles en la conexión de

ExpressRoute.

Desde la suscripción a Office 365, las direcciones IP

públicas de dispositivos perimetrales, como

servidores proxy, están disponibles en la conexión de

ExpressRoute.

Desde el perímetro de la red local, las direcciones IP

privadas de la red virtual de Azure y las direcciones

IP públicas de Office 365 están disponibles en la

conexión de ExpressRoute.

Cuando la aplicación tiene acceso a las direcciones URL

de SharePoint Online, reenvía el tráfico a través de la

conexión de ExpressRoute a un servidor proxy del

perímetro.

Cuando el servidor proxy encuentra la dirección IP de

SharePoint Online, reenvía el tráfico de vuelta a través de

la conexión de ExpressRoute. El tráfico de respuesta

recorre la ruta inversa. El resultado es una redirección al

origen, consecuencia del comportamiento de la

aplicación y el enrutamiento.

Esta organización migró su granja de SharePoint local a SharePoint

Online en Office 365 e implementó una conexión de ExpressRoute.

Servidor de

aplicaciones

Servidor de

aplicaciones

Flujo de tráfico

SaaS de Microsoft

Office 365

Red local IaaS de Azure

Red virtual

Servidor de

aplicaciones

Servidor de

aplicaciones

Edge

ExpressRoutePuerta de enlacePuerta de enlacePuerta de enlace

La aplicación busca la dirección IP de la granja de

SharePoint usando el DNS local y todo el tráfico

atraviesa la conexión VPN de sitio a sitio.

Flujo de tráfico

Continúa en la página siguiente

Proceso

Web y móvil

Datos

Septiembre de 2016

Optimizadores de WAN

Puede implementar optimizadores de

WAN a ambos lados de una conexión de

emparejamiento privada para una red

virtual de Azure entre locales (VNet).

Dentro de la VNet de Azure, use una

aplicación de red del optimizador de

WAN de Azure Marketplace y el

enrutamiento definido por el usuario para

enrutar el tráfico a través de la aplicación.

Calidad de servicio

Use valores de Punto de código de

servicios diferenciados (DSCP) en el

encabezado IPv4 del tráfico para marcarlo

para voz, vídeo/interactivo o entrega de

mejor esfuerzo. Esto es especialmente

importante en la relación de

emparejamiento de Microsoft y en el

tráfico de Skype Empresarial Online.

Seguridad en el perímetro

Para proporcionar seguridad avanzada

en el tráfico enviado y recibido a través

de la conexión de ExpressRoute, como la

inspección del tráfico o la detección de

intrusiones y malware, coloque las

aplicaciones de seguridad en la ruta de

acceso del tráfico dentro de la red

perimetral o en el perímetro de la

intranet.

Tráfico de Internet para máquinas

virtuales

Para impedir que las máquinas virtuales

de Azure inicien el tráfico directamente

con ubicaciones de Internet, anuncie la

ruta predeterminada a Microsoft. El

tráfico de Internet se enruta a través de

la conexión de ExpressRoute y a través

de los servidores proxy locales. El tráfico

de las máquinas virtuales de Azure a los

servicios PaaS de Azure o a Office 365

se vuelve a enrutar a través de la

conexión de ExpressRoute.

Red de nube de Microsoft y de ExpressRoute

Opciones de ExpressRoute

Con ExpressRoute Con ExpressRoute Premium

El modo en que el tráfico fluye entre la red de su organización y un centro de

datos de Microsoft es una combinación de:

Sus ubicaciones.

Las ubicaciones de emparejamiento en la nube de Microsoft (las ubicaciones

físicas para conectarse al perímetro de Microsoft).

Las ubicaciones de los centros de datos de Microsoft.

Las ubicaciones de los centros de datos de Microsoft y las de emparejamiento en

la nube están conectadas a la red en la nube de Microsoft.

Cuando se crea una conexión de ExpressRoute a una ubicación de

emparejamiento en la nube de Microsoft, nos conectamos a la red en la nube de

Microsoft y a todas las ubicaciones de centros de datos de Microsoft que hay en

el mismo continente. El tráfico entre la ubicación de emparejamiento en la nube

y el centro de datos de Microsoft de destino se realiza a través de la red en la

nube de Microsoft.

Esto puede hacer que la entrega en los centros de datos locales de Microsoft no

sea óptima para el modelo de conectividad universal.

En el caso de las organizaciones que se distribuyen globalmente en varios

continentes, puede usar ExpressRoute Premium.

Con ExpressRoute Premium, puede llegar a cualquier centro de datos de Microsoft

de cualquier continente y desde cualquier ubicación de emparejamiento de

Microsoft de cualquier continente. El tráfico entre continentes se transmite a través

de la red en la nube de Microsoft.

Con varias conexiones de ExpressRoute Premium, podemos conseguir:

Mejor rendimiento en centros de datos de Microsoft locales de un continente.

Mayor disponibilidad en la nube de Microsoft global cuando una conexión

local de ExpressRoute deje de estar disponible.

ExpressRoute Premium es necesario para las conexiones de ExpressRoute basadas

en Office 365. Sin embargo, no supone un costo adicional para las empresas que

tienen 500 usuarios con licencia o más.

Para lograr una entrega

óptima, use varias conexiones

de ExpressRoute a ubicaciones

regionales de emparejamiento

en la nube de Microsoft.

Esto puede proporcionar:

Mejor rendimiento a

ubicaciones de centros de

datos de Microsoft locales

de una región.

Mayor disponibilidad en la

nube de Microsoft cuando

una conexión local de

ExpressRoute deje de estar

disponible.

Red en la nube de

Microsoft

Ubicación de

empareja-miento

Ubicación 1

Ubicación 2

Centro de datos

Más información ExpressRoute para Azure

https://azure.microsoft.com/services/

expressroute/

https://azure.microsoft.com/services/

expressroute/

ExpressRoute para Office 365

http://aka.ms/expressrouteoffice365http://aka.ms/expressrouteoffice365

En este ejemplo, el tráfico

de la sucursal de la costa

este tiene que cruzar el

país hasta una ubicación

de emparejamiento en la

nube de Microsoft de la

costa oeste y, luego, de

vuelta al centro de datos

de Azure del este de

EE. UU.

Red en la nube de

Microsoft

Ubicación de

emparejamiento

Ubicación 1

Ubicación 2

Centro de datos

Ubicación de emparejamiento

WAN

Ejemplo de conexiones de ExpressRoute Premium para

una empresa global que use Office 365

Red en la nube

de Microsoft

Red en la nube

de Microsoft

Red en la nube

de Microsoft

Red en la nube

de Microsoft

Red en la nube

de Microsoft

Cuando cada parte de la red en la nube de Microsoft está en un continente, una

empresa global crea conexiones de ExpressRoute Premium desde las oficinas de su

hub regional a las ubicaciones de emparejamiento de Microsoft.

En el caso de una oficina regional, el tráfico adecuado de Office 365 que va a:

Centros de datos de Office 365 continentales viaja a través de la red en la

nube de Microsoft dentro del continente.

Centros de datos de Office 365 en otro continente viaja a través de la red

intercontinental en la nube de Microsoft.

ExpressRoute para Office 365 y otras opciones de conexión de redExpressRoute para Office 365 y otras opciones de conexión de redEsto funciona bien con las organizaciones que están en el mismo continente. Sin

embargo, el tráfico a los centros de datos de Microsoft que están fuera del continente

de la organización viaja a través de Internet.

En el caso del tráfico intercontinental que va por la red en la nube de Microsoft, debe

usar conexiones de ExpressRoute Premium.

Planeamiento de red y ajuste del rendimiento para Office 365Planeamiento de red y ajuste del rendimiento para Office 365

Curso de Microsoft Virtual Academy sobre la administración del

rendimiento de Office 365

Curso de Microsoft Virtual Academy sobre la administración del

rendimiento de Office 365

© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a CloudAdopt@microsoft.com.© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a CloudAdopt@microsoft.com.

Internet

Lo que los arquitectos de TI necesitan

saber sobre las redes en las plataformas y

los servicios en la nube de Microsoft.

Microsoft Cloud

Networking para

arquitectos

profesionales1 2 5Este es el tema 4 de una serie de 6

Diseño de redes para SaaS de Microsoft (Office 365,

Microsoft Intune y Dynamics 365)La optimización de la red para los servicios SaaS de Microsoft requiere un análisis exhaustivo del

perímetro de Internet, los dispositivos cliente y las operaciones de TI típicas.

Consideraciones de perímetro de Internet

Septiembre de 2016

Pasos para preparar la red para los servicios SaaS de Microsoft

Migraciones únicas

Evite el uso de la red en horas pico y en las horas de aplicación de revisiones en el equipo

Si la red se debe someter a pruebas piloto y de línea base, evalúe el mantenimiento dela red y resuelva los problemas antes de llevar a cabo la migración

Realice análisis finales para futuras migraciones

Sincronizaciones continuas

Asegúrese de que se implante un sistema de supervisión del ancho de banda de la red y resuelva o descarte los errores encontrados

Use los resultados de la supervisión del ancho de banda para identificar la necesidad de cambios en la red (escalar vertical u horizontalmente, nuevos circuitos o adición de dispositivos)

Consideraciones sobre las operaciones de TI

Red local

UsuariosUsuarios

ExpressRouteExpressRoute

Office 365Office 365

Recomendaciones de servidor proxy

Configurar los clientes web con WPAD, PAC o GPO

No usar la interceptación de SSL

Usar un archivo PAC con el fin de evitar el servidor

proxy para los nombres DNS de los servicios SaaS

de Microsoft

Permitir el tráfico para la comprobación de

CRL/OCSP

Cuellos de botella del

servidor de proxy

Conexiones persistentes insuficientes (Outlook)

Capacidad insuficiente

Realizar una evaluación fuera de red

Requerir autenticación

No hay soporte para el tráfico UDP (Skype

Empresarial)

Recomendaciones de proximidad y

ubicación

No enrutar el tráfico de Internet a través de la

WAN privada

Usar el flujo de tráfico de DNS e Internet en la

región para los usuarios de fuera de la región

Usar el emparejamiento de ExpressRoute y

Microsoft de ancho de banda alto para Office 365

y Dynamics 365

Puertos de salida para Office 365

TCP 80 (para las comprobaciones CRL/OCSP)

TCP 443

UDP 3478

TCP 5223

TCP 50000-59999

UDP 50000-59999

Intervalos de direcciones IP y URL de Office 365Intervalos de direcciones IP y URL de Office 365

Consideraciones para el uso de clientes

Microsoft IntuneMicrosoft Intune

Dynamics 365Dynamics 365

Conjunto de servicios

Azure Active Directory

Office 365

Aplicaciones cliente de Office

SharePoint Online

Exchange Online

Skype Empresarial

Microsoft Intune

Dynamics 365

Equipos cliente

Determine lo siguiente:

Número máximo en cualquier momento (hora del día, estacional, picos y valles en el uso)

Ancho de banda total necesario para los picos

Latencia en el dispositivo de salida deInternet

País de origen frente a país de colocalización de centro de datos

Para cada tipo de cliente (PC, smartphone, tableta), asegúrese de que está instalada la versión actual de lo siguiente:

Sistema operativo

Explorador de Internet

TCP/IP, pila

Hardware de red

Controladores de SO para el hardware dered

Las actualizaciones y revisiones se instalan

Optimice el rendimiento de la conexión de intranet (por cable, inalámbrica o por VPN).

Rendimiento de la intranet

Use herramientas para medir los tiempos de ida y vuelta (RTT) de los dispositivos perimetrales de Internet (PsPing, Ping, Tracert, TraceTCP, Monitor de red)

Realice análisis de ruta de acceso de salida mediante protocolos de flujo

Realice análisis de dispositivos intermedios (antigüedad, mantenimiento, etc.)

Compatibilidad de NAT con Office 365Compatibilidad de NAT con Office 365

Herramienta PsPingHerramienta PsPing

Más información

http://aka.ms/tune

Planeamiento de red y ajuste del

rendimiento para Office 365

http://aka.ms/tune

Planeamiento de red y ajuste del

rendimiento para Office 365

Curso de Microsoft Virtual Academy

sobre la administración del rendimiento

de Office 365

http://aka.ms/o365perf

Curso de Microsoft Virtual Academy

sobre la administración del rendimiento

de Office 365

http://aka.ms/o365perf

ExpressRoute para Office 365

http://aka.ms/expressrouteoffice365

ExpressRoute para Office 365

http://aka.ms/expressrouteoffice365

Canalización

de Internet

Canalización

de Internet

Canalización

de Internet

Siga los Pasos para preparar la red para los servicios en la nube de Microsoft del tema 2 de este modelo.

1 Optimice la salida de Internet para los servicios SaaS de Microsoft siguiendo las recomendaciones del servidor proxy.

2 Optimice el rendimiento de Internet siguiendo las recomendaciones de proximidad y ubicación.

3 Optimice el rendimiento de los equipos cliente y la intranet en la que se encuentran siguiendo las consideraciones para el uso de clientes.

4 Si es necesario, optimice el rendimiento de las migraciones de datos y la sincronización siguiendo las consideraciones de operaciones de TI.

5

Como la transferencia de datos masiva para apl icaciones basadas en la nube o el almacenamiento de archivado. Como la información de directorios, la configuración o los archivos.

643

ExpressRoute para Office 365ExpressRoute para Office 365

© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a CloudAdopt@microsoft.com.© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a CloudAdopt@microsoft.com.

Lo que los arquitectos de TI necesitan

saber sobre las redes en las plataformas

y los servicios en la nube de Microsoft.

Microsoft Cloud

Networking para

arquitectos

profesionales1 2 3Este es el tema 5 de una serie de 6

Ancho de banda de Internet para las aplicaciones PaaS de la organización

Septiembre de 2016

Pasos de planeamiento para hospedar aplicaciones PaaS de una organización en Azure

Azure Traffic Manager

Azure Application Gateway

Diseño de redes para PaaS de AzureLa optimización de las redes para aplicaciones PaaS de Azure requiere un ancho de

banda de Internet adecuado y puede exigir la distribución del tráfico de red por

varios sitios o aplicaciones.

Las aplicaciones de la organización hospedadas en PaaS de Azure requieren ancho de banda de

Internet para los usuarios de la intranet.

Enrutamiento de nivel de aplicación y servicios de equilibrio de carga que

permiten compilar un front-end web escalable y altamente disponible en

Azure para las aplicaciones web, los servicios en la nube y las máquinas

virtuales. Actualmente, Application Gateway admite la entrega de

aplicaciones de capa 7 para lo siguiente:

Equilibrio de carga HTTP

Afinidad de sesión basada en cookies

Descarga SSL

Application GatewayApplication Gateway

Aplicación webAplicación web

Máquina virtualMáquina virtual

Servicio en la nubeServicio en la nube

Distribución de tráfico a distintos puntos de conexión, que pueden incluir

servicios en la nube o aplicaciones web de Azure ubicadas en diferentes

centros de datos o puntos de conexión externos.

Microsoft Azure

Traffic ManagerTraffic Manager

Microsoft Azure

Aplicación

web

Aplicación

web

Este de

EE. UU.

Europa

Occidental

Asia

Oriental

Aplicación

web

Aplicación

web

Aplicación

web

Aplicación

web

Aplicación

web

Este de

EE. UU.

Europa

Occidental

Asia

Oriental

Aplicación

web

Aplicación

web

Opción 1 Use la canalización existente,

optimizada para el tráfico de Internet con la

capacidad para controlar las cargas

máximas. Consulte la página 4 de este

modelo para informarse sobre el perímetro

de Internet, el uso de clientes y las

consideraciones sobre las operaciones de TI.

Opción 2 Para las necesidades de ancho de

banda alto o de baja latencia, use una

conexión de ExpressRoute a Azure.

Red local

UsuariosUsuariosExpressRouteExpressRoute

Canalización

de Internet

Canalización

de Internet

Canalización

de Internet

PaaS de Azure

Application

Gateway

Application

Gateway

1

2

Ejemplo de tres aplicaciones web

distribuidas geográficamente

UsuariosUsuariosUsuarios

UsuariosUsuariosUsuarios

1. Una consulta DNS de usuario para obtener la URL de un sitio web se dirige

a Azure Traffic Manager, que devuelve el nombre de una aplicación web

regional, basándose en el método de enrutamiento de rendimiento.

2. El usuario inicia el tráfico con la aplicación web regional.

En el caso de la distribución de tráfico a distintos puntos de conexión en diferentes centros de datos, determine si necesita Azure Traffic Manager.

5 En el caso de la distribución de tráfico a distintos puntos de conexión en diferentes centros de datos, determine si necesita Azure Traffic Manager.

5En el caso de las cargas de trabajo basadas en web, determine si necesita Azure Application Gateway.

4 En el caso de las cargas de trabajo basadas en web, determine si necesita Azure Application Gateway.

4Determine si necesita una conexión de ExpressRoute a Azure.

3 Determine si necesita una conexión de ExpressRoute a Azure.

3Optimice el ancho de banda de Internet siguiendo los pasos 2 a 4 de Pasos para preparar la red para los servicios SaaS de Microsoft del tema 4 de este modelo.

2 Optimice el ancho de banda de Internet siguiendo los pasos 2 a 4 de Pasos para preparar la red para los servicios SaaS de Microsoft del tema 4 de este modelo.

2Siga los Pasos para preparar la red para los servicios en la nube de Microsoft del tema 2 de este modelo.

1 Siga los Pasos para preparar la red para los servicios en la nube de Microsoft del tema 2 de este modelo.

1

Métodos de enrutamiento de Traffic Manager

Conmutación por error Los puntos de conexión están en los mismos centros de

datos de Azure o en otros distintos y quiere usar un punto de conexión principal

para todo el tráfico, pero también proporcionar copias de seguridad en caso de que

los puntos de conexión principales o de copia de seguridad no estén disponibles.

Round robin Quiere distribuir la carga en un conjunto de puntos de conexión

en el mismo centro de datos o en centros de datos distintos.

Rendimiento Tiene puntos de conexión en distintas ubicaciones geográficas y

quiere que los clientes solicitantes usen el punto de conexión "más próximo", es decir,

el de menor latencia.

Conmutación por error Los puntos de conexión están en los mismos centros de

datos de Azure o en otros distintos y quiere usar un punto de conexión principal

para todo el tráfico, pero también proporcionar copias de seguridad en caso de que

los puntos de conexión principales o de copia de seguridad no estén disponibles.

Round robin Quiere distribuir la carga en un conjunto de puntos de conexión

en el mismo centro de datos o en centros de datos distintos.

Rendimiento Tiene puntos de conexión en distintas ubicaciones geográficas y

quiere que los clientes solicitantes usen el punto de conexión "más próximo", es decir,

el de menor latencia.Traffic ManagerTraffic Manager

64 5

Tipos de aplicación:

Proceso

Web y móvil

Datos

Análisis

IoT

Medios y CDN

Integración

híbrida

© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a CloudAdopt@microsoft.com.© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a CloudAdopt@microsoft.com.

Lo que los arquitectos de TI necesitan

saber sobre las redes en las plataformas

y los servicios en la nube de Microsoft.

Microsoft Cloud

Networking para

arquitectos

profesionales1 2 3 4Este es el tema 6 de una serie de 6

Pasos de planeamiento para cualquier red virtual de Azure

Diseño de redes para IaaS de AzureLa optimización de las redes para las cargas de trabajo de TI hospedadas en IaaS de Azure requiere un conocimiento de

las redes virtuales (VNet) de Azure, los espacios de direcciones, el enrutamiento, el sistema DNS y el equilibrio de carga.

Paso 1: Preparar la intranet para los servicios en la nube de Microsoft.

Paso 2: Optimizar el ancho de banda de Internet.

Paso 3: Determinar el tipo de red virtual (solo en la nube o entre locales).

Red virtual

Máquinas

virtuales

Máquinas

virtuales

Una red virtual sin ninguna

conexión a una red local.

Solo en la nube

Una red virtual con una conexión VPN S2S o de ExpressRoute a una red local a través

de una puerta de enlace de Azure.

Entre locales

Red local

UsuariosUsuariosExpressRouteExpressRoute

Red virtual

Máquinas

virtuales

Máquinas

virtuales

VPN S2S

Puerta de enlacePuerta de enlacePuerta de enlace

Vea la sección adicional Pasos de planeamiento para una red virtual de Azure

entre locales es este tema.

Siga los Pasos para preparar la red para los servicios en la nube de Microsoft del

tema 2 de este modelo.

Realice los pasos 2 a 4 de Pasos para preparar la red para los servicios SaaS de

Microsoft del tema 4 de este modelo.

Pasos de planeamiento para hospedar una carga de trabajo de TI en una red virtual de Azure

Determinar el espacio de direcciones de red local para la puerta de enlace de Azure.

Para ExpressRoute, planear la nueva conexión con el proveedor.

Agregar rutas para hacer que el espacio de direcciones de la red virtual sea accesible.

Planeamiento para redes virtuales entre locales

Configurar los servidores DNS locales para la replicación DNS con servidores DNS hospedados en Azure.

5 643Determinar el uso de la tunelización forzada y las rutas definidas por el usuario.

Determinar el dispositivo o enrutador VPN local.

Determinar la conexión local a la red virtual (VPN S2S o ExpressRoute).

21 7

Determinar las subredes de la red virtual y los espacios de direcciones asignados a cada una.

Determinar el espacio de direcciones de la red virtual.

Determinar el tipo de red virtual (solo en la nube o entre locales).

Optimizar el ancho de banda de Internet..

2Preparar la intranet para los servicios en la nube de Microsoft..

1

Planeamiento para cualquier red virtual

Determinar la configuración de equilibrio de carga (accesible desde Internet o interno).

Determinar el uso de las aplicaciones virtuales y las rutas definidas por el usuario.

5

7

43Determinar la configuración del servidor DNS y las direcciones de los servidores DNS para asignar a las máquinas virtuales en la red virtual.

6

8Determinar cómo se conectarán los equipos desde Internet a las máquinas virtuales.

Para varias redes virtuales, determinar la topología de conexión de una red virtual a otra.

9 10

Continúa en la página siguiente

65

Paso 4: Determinar el espacio de direcciones de la red virtual.

DHCP asigna a las máquinas virtuales una configuración de direcciones desde

el espacio de direcciones de la subred:

Dirección/máscara de subred

Puerta de enlace predeterminada

Direcciones IP del servidor DNS

También puede reservar una dirección IP estática.

A las máquinas virtuales también se les puede asignar una dirección IP

pública, ya sea individualmente o desde el servicio en la nube que las

contiene (solo para máquinas de implementación clásicas).

Direccionamiento de redes virtuales Direccionamiento de máquinas virtuales

Tipo de red virtual Espacio de direcciones de la red virtual

Solo en la nube

Basada solo en

la nube e

inter-conectada

Entre locales

Local e

interconectada

Espacio de direcciones privadas arbitrarias

Privada arbitraria, pero sin que se superponga

con otras redes virtuales conectadas

Privada, pero sin que se superponga con redes

locales

Privada, pero sin que se superponga con otras

redes locales y virtuales conectadas

Paso 5: Determinar las subredes de la red virtual y los espacios de direcciones asignados a cada una.

Subred de puerta de enlace de Azure

Azure la necesita para hospedar las dos máquinas

virtuales de su puerta de enlace de Azure.

Especifique un espacio de direcciones que tenga

una longitud de prefijo de, al menos, 29 bits

(ejemplo: 192.168.15.248/29). Se recomienda una

longitud de prefijo de 28 bits o menor,

especialmente si va a usar ExpressRoute.

Red virtual

Subred

Máquinas

virtuales

Máquinas

virtuales

Subred

Máquinas

virtuales

Máquinas

virtuales

Subred

Máquinas

virtuales

Máquinas

virtuales

Subred de puerta de enlace

Puerta de

enlace

Puerta de

enlace

Puerta de

enlace

Subredes de hospedaje de máquinas virtuales

Coloque las máquinas virtuales de Azure en subredes siguiendo las

instrucciones locales típicas, como un rol común o el nivel de una aplicación

o para el aislamiento de la subred.

Azure usa las 3 primeras direcciones en cada subred. Por lo tanto, el número

de direcciones posibles de una subred de Azure es 2n – 5, donde n es el

número de bits de host.

Límites de redesLímites de redes

Máquinas virtuales Bits de host Tamaño de la subred

1-3

4-11

12-27

28-59

60-123

3

4

5

6

7

/29

/28

/27

/26

/25

1-3

4-11

12-27

28-59

60-123

3

4

5

6

7

/29

/28

/27

/26

/25

Máquinas virtuales Bits de host Tamaño de la subred

1-3

4-11

12-27

28-59

60-123

3

4

5

6

7

/29

/28

/27

/26

/25

Paso 6: Determinar la configuración del servidor DNS y las direcciones de los servidores DNS para

asignar a las máquinas virtuales en la red virtual.

Azure asigna a las máquinas virtuales las direcciones de los servidores DNS

mediante DHCP. Los servidores DNS pueden suministrarlos:

Azure: se proporciona un registro de nombres locales y una resolución de

nombres de Internet

Usted: se proporciona un registro de nombres locales o de intranet y una

resolución de nombres de Internet o de intranet

Resolución de nombres para las máquinas virtuales y las instancias de rolResolución de nombres para las máquinas virtuales y las instancias de rol

Tipo de red virtual Servidor DNS

Solo en la nube

Entre locales

Suministrado por Azure para la resolución de

nombres de Internet y locales

Máquina virtual de Azure para la resolución de

nombres de Internet y locales (reenvío DNS)

Local para la resolución de nombres locales y de

intranet

Máquina virtual de Azure para la resolución de

nombres de Internet y locales (replicación y reenvío

DNS)

Solo en la nube

Entre locales

Suministrado por Azure para la resolución de

nombres de Internet y locales

Máquina virtual de Azure para la resolución de

nombres de Internet y locales (reenvío DNS)

Local para la resolución de nombres locales y de

intranet

Máquina virtual de Azure para la resolución de

nombres de Internet y locales (replicación y reenvío

DNS)

Tipo de red virtual Servidor DNS

Solo en la nube

Entre locales

Suministrado por Azure para la resolución de

nombres de Internet y locales

Máquina virtual de Azure para la resolución de

nombres de Internet y locales (reenvío DNS)

Local para la resolución de nombres locales y de

intranet

Máquina virtual de Azure para la resolución de

nombres de Internet y locales (replicación y reenvío

DNS)

Continúa en la página siguiente

Planear y diseñar redes virtuales de AzurePlanear y diseñar redes virtuales de Azure

Práctica recomendada para determinar el espacio

de direcciones de la subred de puerta de enlace

de Azure:

1. Decida el tamaño de la subred de puerta de

enlace.

2. En los bits de variable del espacio de

direcciones de la red virtual, establezca los

bits usados para la subred de puerta de enlace

en 0 y establezca los bits restantes en 1.

3. Conviértalo en decimal y expréselo como un

espacio de direcciones con la longitud de

prefijo establecida en el tamaño de la subred

de puerta de enlace.

Con este método, el espacio de direcciones de la

subred de puerta de enlace siempre está en el

extremo más alejado del espacio de direcciones

de la red virtual.

Ejemplo de definición del prefijo de dirección que corresponde a la subred de puerta de enlace

El espacio de direcciones de la red virtual es 10.119.0.0/16. La organización usará inicialmente una

conexión VPN de sitio a sitio, pero al final empleará ExpressRoute.

1. Decidir el tamaño de la subred de puerta de

enlace./28

2. Establecer los bits en la parte variable del

espacio de direcciones de la red virtual: 0 para

los bits de subred de puerta de enlace (G), 1 en

caso contrario (V).

10.119. bbbbbbbb . Bbbbbbbb

10.119. VVVVVVVV . VVVVGGGG

10.119. 11111111 . 11110000

3. Convertir el resultado del paso 2 en decimal y

expresarlo como un espacio de direcciones.10.119.255.240/28

Paso Resultados

Paso 7: Determinar la configuración de equilibrio de carga (accesible desde Internet o interna).

Azure Load BalancerAzure Load Balancer

Red virtual

Máquina virtualMáquina virtual

Conjunto equilibrado de carga

Máquina virtualMáquina virtual

Regla o punto de conexión

NAT de entrada

Equilibrador de carga

Equilibrador de carga

Máquina virtualMáquina virtual

Máquina virtualMáquina virtual

Distribuye

aleatoriamente el

tráfico entrante no

solicitado desde otras

máquinas virtuales de

Azure o desde equipos

de la intranet (no

mostrados) a los

miembros de un

conjunto de carga

equilibrada.

Equilibrio de carga

interno

Red virtual

Máquina virtualMáquina virtual

Conjunto equilibrado

de carga

Máquina virtualMáquina virtual

Regla o

punto de

conexión

NAT de

entrada

Equilibrador

de carga

Equilibrador

de carga

Equilibrador

de carga

Distribuye aleatoriamente el

tráfico entrante no

solicitado de Internet a los

miembros de un conjunto

de carga equilibrada.

Equilibrio de carga

accesible desde Internet

Paso 8: Determinar el uso de las aplicaciones virtuales y las rutas definidas por el usuario.

Red virtualRed local

Puerta de enlacePuerta de enlacePuerta de enlace

Enrutamiento definido por el usuario

Es posible que deba agregar una o más rutas

definidas por el usuario a una subred para

reenviar el tráfico a aplicaciones virtuales de su

red virtual de Azure.

Reenvío de IP y rutas definidas por el usuarioReenvío de IP y rutas definidas por el usuario

Dispositivo VPNDispositivo VPNDispositivo VPN

Subred

Aplicación

virtual

Aplicación

virtual

Subred

Máquinas

virtuales

Máquinas

virtualesExpressRoute

VPN S2S

ExpressRoute

VPN S2S

Ruta definidapor el

usuario

Paso 9: Determinar cómo se conectarán los equipos de Internet a las máquinas virtuales.

Incluye el acceso desde la red de su organización a través del servidor proxy u otro dispositivo perimetral.

Red virtual

Máquina virtualMáquina virtual

Servicio en la

nube

Servicio en la

nube

Máquina virtualMáquina virtual

Grupo de seguridad de

red

Grupo de seguridad de

red

Máquina virtualMáquina virtual

Conjunto equilibrado

de carga

Punto de

conexión

Reglas

NAT de

entrada

1

2

3

Seguridad adicional:

Conexiones de Escritorio remoto y SSH, que se autentican y se cifran.

Sesiones remotas de PowerShell, que se autentican y se cifran.

Modo de transporte IPsec, que puede usar para el cifrado de extremo a extremo.

Protección DDoS de Azure, que ayuda a prevenir ataques internos y externos.

Equilibrador

de carga

Equilibrador

de carga

Métodos para filtrar o inspeccionar el tráfico entrante no solicitado

1. Puntos de conexión y ACL configurados en los

servicios en la nubeClásico

2. Grupos de seguridad de red Administrador de recursos y clásico

3. Equilibrador de carga accesible desde Internet con

reglas de NAT entrantesAdministrador de recursos

4. Aplicaciones de seguridad de red en Azure

Marketplace (no se muestra)Administrador de recursos y clásico

Método Modelo de implementación

1. Puntos de conexión y ACL configurados en los

servicios en la nubeClásico

2. Grupos de seguridad de red Administrador de recursos y clásico

3. Equilibrador de carga accesible desde Internet con

reglas de NAT entrantesAdministrador de recursos

4. Aplicaciones de seguridad de red en Azure

Marketplace (no se muestra)Administrador de recursos y clásico

Método Modelo de implementación

Paso 10: Para varias redes virtuales, determinar la topología de conexión de una red virtual a otra.

Las redes virtuales de Azure pueden conectarse entre sí mediante topologías como las que se usan

para conectar los sitios de una organización.

Cadena de margarita

Red virtualRed virtual

Concentrador y radio

Red virtualRed virtual Red virtualRed virtual Red virtualRed virtual Red virtualRed virtual

Red virtualRed virtual Red virtualRed virtual

Red virtualRed virtual Red virtualRed virtual Red virtualRed virtual Red virtualRed virtual

Malla completa

Red virtualRed virtual Red virtualRed virtual

Red virtualRed virtual Red virtualRed virtual

Seguridad en la nube de Microsoft para

arquitectos profesionales

Seguridad en la nube de Microsoft para

arquitectos profesionales

Seguridad en la nube de Microsoft para

arquitectos profesionales

Continúa en la página siguiente

Pasos de planeamiento para una red virtual de Azure entre locales

Paso 1: Determinar la conexión entre locales a la red virtual (VPN S2S o ExpressRoute).

VPN de sitio a sitio (S2S)

ExpressRoute

VPN de punto a sitio

(P2S)

VPN de red virtual a red

virtual

Conectar de 1 a 10 sitios (incluidas otras redes virtuales) a una sola red virtual de Azure.

Un vínculo seguro y privado a Azure a través de un proveedor de intercambio de Internet (IXP) o un

proveedor de servicio de red (NSP).

Conecta un solo equipo a una red virtual de Azure.

Conecta una red virtual de Azure a otra.

VPN de sitio a sitio (S2S)

ExpressRoute

VPN de punto a sitio

(P2S)

VPN de red virtual a red

virtual

Conectar de 1 a 10 sitios (incluidas otras redes virtuales) a una sola red virtual de Azure.

Un vínculo seguro y privado a Azure a través de un proveedor de intercambio de Internet (IXP) o un

proveedor de servicio de red (NSP).

Conecta un solo equipo a una red virtual de Azure.

Conecta una red virtual de Azure a otra.

Límites de redesLímites de redes Dispositivos VPN para las conexiones de red virtual de sitio a sitioDispositivos VPN para las conexiones de red virtual de sitio a sitio

Red virtual

Máquinas

virtuales

Máquinas

virtuales

Puerta de enlacePuerta de enlacePuerta de enlace

Red local

Red virtualRed virtual

AdministradorAdministradorS2S o S2S o

P2S

De red virtual a red virtual

Conexión de máquinas virtuales en la red virtual:

Administración de máquinas virtuales de redes

virtuales desde la red local o Internet

Acceso a cargas de trabajo de TI desde la red local

Extensión de la red a través de redes virtuales de

Azure adicionales

Seguridad de las conexiones:

P2S usa el protocolo de túnel de sockets de

seguros (SSTP)

S2S y red virtual a red virtual usan el modo de

túnel IPsec con AES256

ExpressRoute es una conexión WAN privada

Seguridad en la nube de Microsoft para arquitectos profesionalesSeguridad en la nube de Microsoft para arquitectos profesionalesSeguridad en la nube de Microsoft para arquitectos profesionales

Paso 2: Determinar el dispositivo o enrutador VPN local.

Red virtual

Máquinas

virtuales

Máquinas

virtuales

Red local

ExpressRoute

VPN S2S

Puerta de enlacePuerta de enlacePuerta de enlaceDispositivo VPNDispositivo VPN

Acerca de las puertas de enlace de VPNAcerca de las puertas de enlace de VPN

Paso 3: Agregar rutas para hacer que el espacio de direcciones de la red virtual sea accesible.

Enrutamiento a redes virtuales desde redes locales

1. Ruta del espacio de direcciones de red virtual

que apunta a su dispositivo VPN

2. Ruta del espacio de direcciones de red virtual

en su dispositivo VPN

Red virtualRed local

Puerta de enlacePuerta de enlacePuerta de enlaceS2S o ExpressRoute S2S o ExpressRoute Dispositivo VPNDispositivo VPN

1

Espacio de direcciones de la

red virtual1

Espacio de direcciones de la

red virtual

2

Espacio de direcciones de la

red virtual2

Espacio de direcciones de la

red virtual

Paso 4: Para ExpressRoute, planear la nueva conexión con el proveedor.

Red local

ExpressRoute

Microsoft Azure

EnrutadorEnrutadorEnrutador

Puede crear una conexión de ExpressRoute con

emparejamiento privado entre la red local y la

nube de Microsoft de tres maneras diferentes:

Colocalizada en un intercambio en la nube

Conexiones Ethernet de punto a punto

Redes (IP VPN) universales

ExpressRouteExpressRoute

Continúa en la página siguiente

El dispositivo o enrutador VPN local:

Actúa como un par IPsec, que finaliza la conexión

de VPN S2S desde la puerta de enlace de Azure.

Actúa como el par BPG y el punto de finalización

para la conexión de ExpressRoute de

emparejamiento privado.

Consulte el tema 3, ExpressRoute.

Septiembre de 2016

Paso 5: Determinar el espacio de direcciones de red local para la puerta de enlace de Azure.

Ejemplo de definición de los prefijos de la red local en torno al "orificio" del

espacio de direcciones que creó la red virtual

Una organización usa partes del espacio de direcciones privadas (10.0.0.0/8, 172.16.0.0/12 y

192.168.0.0/16) a través de su red local. Eligió la opción 2 y 10.100.100.0/24 como espacio de

direcciones de red virtual.

Enrutamiento a redes locales u otras redes

virtuales desde redes virtuales

Azure reenvía el tráfico a través de una puerta de

enlace de Azure que coincide con el espacio de

direcciones de red local asignado a la puerta de

enlace.

Definición del espacio de direcciones de la red local:

Opción 1: la lista de prefijos del espacio de

direcciones que se necesita o que está en uso

actualmente (podría ser necesario actualizar al

agregar nuevas subredes).

Opción 2: el espacio de direcciones local completo

(solo es necesario actualizar cuando se agrega un

espacio de direcciones nuevo).

Dado que la puerta de enlace de Azure no permite

rutas resumidas, debe definir el espacio de

direcciones de red local para la opción 2 de modo

que no incluya el espacio de direcciones de red

virtual.

Red virtualRed local

Puerta de enlacePuerta de enlacePuerta de enlaceS2S o ExpressRoute S2S o ExpressRoute Dispositivo VPNDispositivo VPN

Espacio de direcciones de la

red local

1. Mostrar los prefijos que no son el espacio

raíz para el espacio de direcciones de red

virtual.

172.16.0.0/12 y 192.168.0.0/16

2. Mostrar los prefijos que no se superponen

para octetos de variable hasta el último

octeto usado en el espacio de direcciones de

red virtual, pero sin incluirlo.

10.0.0.0/16, 10.1.0.0/16 10.99.0.0/16, 10.101.0.0/16 10.254.0.0/16, 10.255.0.0/16 (255 prefijos; se omite el prefijo 10.100.0.0/16)

3. Mostrar los prefijos que no se superponen

en el último octeto usado del espacio de

direcciones de red virtual.

10.100.0.0/24, 10.100.1.0/24 10.100.99.0/24, 10.100.101.0/24 10.100.254.0/24, 10.100.0.255.0/24 (255 prefijos; se omite el prefijo 10.100.100.0/24)

Paso Prefijos

Espacio de direcciones de la red virtual

Espacio de la raíz

Espacio de direcciones de la red virtual

Espacio de la raíz

Paso 6: Configurar los servidores DNS locales para la replicación con servidores DNS hospedados

en Azure.

Paso 7: Determinar el uso de la tunelización forzada.

Red virtualRed localPuntos de ruta del sistema predeterminados a

Internet. Para garantizar que todo el tráfico que

llega de las máquinas virtuales viaje a través de la

conexión entre locales, agregue una ruta

predeterminada definida por el usuario que

apunte a la puerta de enlace de Azure.

Esto se conoce como tunelización forzada.

Reenvío de IP y rutas definidas por el usuarioReenvío de IP y rutas definidas por el usuario

Dispositivo VPNDispositivo VPNDispositivo VPN

Subred

Máquinas

virtuales

Máquinas

virtualesExpressRoute

VPN S2S o

ExpressRoute

VPN S2S o

Puerta de enlacePuerta de enlacePuerta de enlace

Ruta definidapor el

usuario

Red virtualRed local

Dispositivo VPNDispositivo VPNDispositivo VPN

Subred

ExpressRoute

VPN S2S o

ExpressRoute

VPN S2S o

Puerta de enlacePuerta de enlacePuerta de enlace

Subred

Máquinas

virtuales

Máquinas

virtuales

Servidor DNSServidor DNSServidor DNSServidor DNS

Replicación y reenvío de DNS

Para garantizar que los equipos locales

puedan resolver los nombres de los

servidores basados en Azure y que estos

servidores puedan resolver los nombres de

los equipos locales, configure:

Los servidores DNS de la red

virtual para el reenvío a los

servidores DNS locales.

La replicación DNS de las zonas

apropiadas entre servidores DNS

locales y en la red virtual.

Más recursos de

TI en la nube de

Microsoft aka.ms/cloudarchoptionsaka.ms/cloudarchoptions

Opciones de

plataforma y servicios

aka.ms/cloudarchsecurityaka.ms/cloudarchsecurity

Seguridad

aka.ms/cloudarchidentityaka.ms/cloudarchidentity

Identidad

aka.ms/cloudarchhybridaka.ms/cloudarchhybrid

Entorno híbrido

© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a CloudAdopt@microsoft.com.© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a CloudAdopt@microsoft.com.