Actualización de tablas de rutas mediante Azure Route Server

Azure ExpressRoute
Azure Storage
Azure Virtual Network
Azure VPN Gateway

En este artículo se presenta una solución para administrar el enrutamiento dinámico entre las aplicaciones virtuales de red y las redes virtuales. El núcleo de la solución es Azure Route Server. Este servicio simplifica la configuración, el mantenimiento y la implementación de las aplicaciones virtuales de red en la red virtual. Cuando se usa el servidor de enrutamiento, ya no es necesario actualizar manualmente las tablas de rutas de la aplicación virtual de red cuando cambian las direcciones de red virtual.

Architecture

Diagrama de arquitectura que muestra cómo fluyen los datos entre las redes locales, una red virtual de concentrador, una red virtual de radio y varias puertas de enlace.

Descargue un archivo Visio de esta arquitectura.

Flujo de trabajo

  • Esta arquitectura hub-and-spoke tiene una red virtual de concentradores y una red virtual de radio. La red virtual de concentradores tiene varias subredes, cada una de las cuales contiene máquinas virtuales.

  • El espacio de direcciones de cada red virtual define intervalos de direcciones. Para cada uno de esos intervalos, Azure crea una ruta con el prefijo de dirección de ese intervalo. Azure agrega esas rutas a las tablas de rutas. Cada red virtual tiene varias subredes y cada subred tiene una tarjeta de interfaz de red (NIC) que controla la conectividad. Azure inserta la tabla de rutas de cada red virtual en las NIC de las subredes.

    No se pueden crear ni quitar estas rutas predeterminadas del sistema. Pero puede:

  • Las redes locales usan Azure VPN Gateway y una puerta de enlace de ExpressRoute para conectarse a la red virtual de concentradores en una configuración coexistente. Al agregar la puerta de enlace de VPN, las rutas con la puerta de enlace como ruta siguiente se agregan a las tablas de rutas. Al agregar ExpressRoute, también se actualizan las tablas de rutas. Estas rutas se propagan a todas las subredes.

  • El protocolo de puerta de enlace de borde (BGP) permite el intercambio de direcciones IP entre los componentes locales y de Azure. Este protocolo dirige paquetes entre sistemas autónomos. Estos sistemas son redes pequeñas o grandes grupos de enrutadores que ejecuta una sola organización.

  • Existe un emparejamiento de red virtual entre la red virtual de concentradores y la red virtual de radio. Al crear el emparejamiento, Azure actualiza la tabla de rutas. En concreto, Azure agrega una ruta para cada intervalo de direcciones que se encuentra en el espacio de direcciones del concentrador o en el espacio de direcciones de radio. Estas rutas se propagan a todas las subredes.

  • Una subred de la red virtual de concentradores usa un punto de conexión de servicio para Azure Storage. Azure agrega una dirección IP pública para Storage a la tabla de rutas de esa subred.

  • La red virtual de concentradores contiene dos aplicaciones virtuales de red. Las aplicaciones virtuales de red pueden ser puertas de enlace, redes de área extensa definidas por software (SD-WAN) o firewalls de dispositivos de seguridad. El servidor de rutas intercambia la aplicación virtual de red, la aplicación de red y las rutas de puerta de enlace mediante:

    • La creación de una instancia de Azure Virtual Machine Scale Sets. Cada máquina virtual del conjunto de escalado tiene una dirección IP. Al igual que con las direcciones IP de la puerta de enlace, Route Server tiene acceso a las direcciones IP de la máquina virtual.
    • El establecimiento de BGP del mismo nivel entre cada aplicación virtual de red y máquina virtual en el conjunto de escalado.
    • La inserción de direcciones IP de máquinas virtuales en todas las tablas de rutas de la red virtual y las redes conectadas.

    No es necesario:

    • Agregar manualmente rutas definidas por el usuario.
    • Crear manualmente tablas de rutas.
    • Vincular tablas de rutas a la subred para propagar las rutas.
    • Actualizar tablas de rutas cuando cambien las direcciones IP.

Componentes

  • Route Server simplifica el enrutamiento dinámico entre aplicaciones virtuales de red que admiten BGP y redes virtuales. Este servicio elimina la sobrecarga administrativa que supone mantener las tablas de rutas.

  • Virtual Network es el bloque de creación fundamental para las redes privadas en Azure. Los recursos de Azure, como las máquinas virtuales, se pueden comunicar entre sí, con Internet y con redes del entorno local de forma segura a través de Virtual Network.

  • El emparejamiento de red virtual conecta dos o más redes virtuales de Azure. Los emparejamientos proporcionan baja latencia, conexión de gran ancho de banda entre los recursos de redes virtuales diferentes. El tráfico entre máquinas virtuales en redes virtuales del mismo nivel solo usa la red privada de Microsoft.

  • Una puerta de enlace de VPN es un tipo de puerta de enlace de red virtual. Puede usar VPN Gateway para enviar tráfico cifrado:

    • Entre una red virtual de Azure y una ubicación local a través de Internet público.
    • Entre redes virtuales de Azure a través de la red troncal de Azure.
  • ExpressRoute extiende las redes locales a la nube de Microsoft. Al usar un proveedor de conectividad, ExpressRoute establece conexiones privadas a componentes de nube, como servicios de Azure y Microsoft 365.

  • Un punto de conexión de servicio proporciona conectividad segura y directa a un servicio de Azure desde direcciones IP privadas de una red virtual. El punto de conexión de servicio de red virtual proporciona la identidad de la red virtual al servicio de Azure. Por lo tanto, los recursos de red virtual no necesitan direcciones IP públicas para acceder al servicio y el punto de conexión protege el servicio al permitir solo el tráfico de la red virtual especificada. Las conexiones usan rutas optimizadas a través de la red troncal de Azure.

  • Una aplicación virtual de red es una aplicación virtual que ofrece funcionalidades de red, como seguridad del firewall y equilibrio de carga.

  • Azure Storage es una solución de almacenamiento en la nube que incluye el almacenamiento de objetos, archivos, discos, colas y tablas. Entre los servicios se incluyen soluciones y herramientas de almacenamiento híbridas para transferir, compartir y realizar copias de seguridad de los datos.

Alternativas

  • En esta solución, no tiene que conectar el punto de conexión de servicio a Storage. En su lugar, puede usar otros servicios de Azure. Para obtener una lista de los servicios que puede asegurar con puntos de conexión de servicio, consulte Puntos de conexión de servicio de red virtual.

  • En lugar de usar Route Server, puede agregar rutas definidas por el usuario a la tabla de rutas de cada subred. Para más información acerca de las rutas definidas por el usuario, consulte el apartado "Definidas por el usuario" en Enrutamiento del tráfico de redes virtuales.

Detalles del escenario

El enrutamiento de red es el proceso de determinar la ruta de acceso que el tráfico toma a través de las redes para llegar a un destino. Las tablas de rutas muestran información de topología de red que es útil para determinar las rutas de acceso de enrutamiento.

Cuando la red virtual contiene una aplicación virtual de red, debe configurar y actualizar manualmente las tablas de rutas.

En este artículo se presenta una solución para administrar el enrutamiento dinámico entre las aplicaciones virtuales de red y las redes virtuales. El núcleo de la solución es Azure Route Server. Este servicio simplifica la configuración, el mantenimiento y la implementación de las aplicaciones virtuales de red en la red virtual. Cuando se usa el servidor de enrutamiento, ya no es necesario actualizar manualmente las tablas de rutas de la aplicación virtual de red cuando cambian las direcciones de red virtual.

Posibles casos de uso

Esta solución se aplica a escenarios que:

  • Utilizan redes de base dual. Además de las típicas topologías de red hub-and-spoke, Router Server también admite topologías de red de base dual. Este tipo de configuración empareja una red virtual de radios con dos o más redes virtuales de concentradores. Para obtener información detallada, consulte Acerca de la red de base dual con Azure Route Server.
  • Conectan las aplicaciones virtuales de red a Azure ExpressRoute. Algunas redes virtuales contienen Route Server, una puerta de enlace de ExpressRoute y una aplicación virtual de red. De forma predeterminada, Route Server no propaga las rutas de la aplicación virtual de red a ExpressRoute. Route Server tampoco propaga las rutas de ExpressRoute a la aplicación virtual de red. Puede obtener ExpressRoute y la aplicación virtual de red para intercambiar rutas mediante la activación de la funcionalidad de intercambio de rutas en el servidor de rutas. Para obtener información detallada, consulte Compatibilidad de Azure Route Server con ExpressRoute y VPN de Azure.
  • Use Azure para conectarse a Internet desde un sistema local. Las organizaciones que carecen de buen acceso a Internet pueden usar esta configuración. Otra posibilidad es utilizar sistemas que ya han migrado servidores proxy de Internet a Azure. Route Server hace posible esta configuración.

Consideraciones

Al implementar esta solución, tenga en cuenta estos puntos:

  • El servidor de rutas establece conexiones e intercambia rutas. No transfiere paquetes de datos. Como resultado, las máquinas virtuales que se ejecuten en el servidor de rutas en su back-end no requieren una potencia de CPU o potencia de cálculo significativa.

  • Al implementar Route Server, cree una subred denominada RouteServerSubnet que use una máscara de subred IPv4 de /27. Coloque Route Server en esa subred.

  • En las puertas de enlace de Azure, el plan de tarifa Básico no admite la coexistencia de conexiones ExpressRoute y VPN Gateway. Para otras limitaciones con configuraciones coexistentes, consulte Límites y limitaciones.

  • No hay límite en el número de puntos de conexión de servicio que puede usar en una red virtual. Pero algunos servicios de Azure, como Storage, aplican límites en el número de subredes que puede usar para proteger el recurso. Para más información, consulte el apartado "Pasos siguientes" en Puntos de conexión de servicio de red virtual.

Al considerar esta solución, tenga en cuenta también los puntos de las secciones siguientes.

Disponibilidad

Route Server es un servicio totalmente administrado que ofrece alta disponibilidad. Consulte SLA para Azure Route Server para conocer la garantía de disponibilidad de este servicio.

Escalabilidad

La mayoría de los componentes de esta solución son servicios administrados que se escalan automáticamente. Pero hay algunas excepciones:

  • Route Server puede anunciar como máximo 200 rutas a ExpressRoute o a una puerta de enlace de VPN.
  • Route Server puede admitir como máximo 2000 máquinas virtuales por red virtual, incluidas las redes virtuales emparejadas.

Seguridad

Resistencia

Esta solución solo usa componentes administrados. A nivel regional, todos estos componentes son resistentes automáticamente. Route Server ofrece alta disponibilidad. Al implementar Route Server en una región de Azure que admita zonas de disponibilidad, la implementación tendrá redundancia de nivel de zona. Para más información sobre Availability Zones, consulte Regiones y zonas de disponibilidad.

Optimización de costos

Para estimar el costo de implementación de esta solución, use la Calculadora de precios de Azure. Para obtener información general sobre cómo reducir los gastos innecesarios, consulte Información general del pilar de optimización de costos.

En las secciones siguientes se describe la información de precios de los componentes de la solución.

Route Server

Actualmente, no hay ningún costo inicial ni cuota de cancelación para Route Server. Para obtener información sobre precios, consulte Precios de Azure Route Server.

Virtual Network

Puede usar Virtual Network gratis. Con una suscripción de Azure, puede crear hasta 50 redes virtuales en todas las regiones. El tráfico que está dentro de los límites de una red virtual es gratuito. Como resultado, no hay ningún cargo por la comunicación entre dos máquinas virtuales de la misma red virtual.

VPN Gateway

Cuando se usa VPN Gateway, todo el tráfico entrante es gratuito. Solo se le cobrará por el tráfico saliente. Los costos de ancho de banda de Internet se aplican con el tráfico de salida de VPN. Para obtener más información, vea Precios de VPN Gateway.

ExpressRoute

Las transferencias de datos de ExpressRoute entrantes son gratuitas. Para la transferencia de datos salientes, se le cobra una tarifa predeterminada. También se aplica una tarifa de puerto mensual fija. Para más información, consulte Precios de Azure ExpressRoute.

Puntos de conexión del servicio

No se realiza ningún cargo adicional por el uso de puntos de conexión de servicio.

Aplicaciones virtuales de red

Las aplicaciones virtuales de red se cobran en función del dispositivo que use. También se le cobra por las máquinas virtuales de Azure que implemente y por los recursos de infraestructuras subyacentes adicionales que haya consumido, como el almacenamiento y las redes. Para más información, consulte Precios de máquinas virtuales Linux.

Pasos siguientes