Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Virtual Network Manager simplifica la administración de la conectividad, la seguridad, el enrutamiento y mucho más en el entorno de red de Azure. Las configuraciones de conectividad, incluidas las topologías de malla (mesh) y hub-and-spoke, le ayudan a optimizar el rendimiento y la conectividad de red a la escala de su organización. En este artículo se tratan características como grupos conectados a gran escala y conectividad de malla global, junto con los casos de uso y la configuración de cada topología.
Configuración de conectividad
Con las configuraciones de conectividad, puede crear y mantener diferentes topologías de red en función de sus necesidades de red. Tiene dos topologías para elegir: malla y concentrador y radios. Las opciones de configuración de conectividad definen la conectividad entre las redes virtuales. Defina las redes virtuales para las que desea establecer la conectividad a través de grupos de red. A continuación, la configuración de conectividad usa los grupos de red para establecer la conectividad tal como se describe en la topología deseada entre las redes virtuales de los grupos de red.
Si habilita la eliminación de emparejamientos existentes para la configuración de conectividad, Azure Virtual Network Manager quita los emparejamientos que no coinciden con el contenido de esta configuración de conectividad, aunque haya creado manualmente estos emparejamientos después de implementar esta configuración. Si quita una red virtual de un grupo de red usado en la configuración, la instancia de Azure Virtual Network Manager quita solo la conectividad que creó.
Al implementar una configuración de conectividad, Azure Virtual Network Manager establece la conectividad bidireccional a través de emparejamientos de redes virtuales (para topologías de tipo hub-and-spoke) o a través de grupos conectados (para topologías de malla) entre redes virtuales. Esta conectividad se establece según la configuración que defina y los grupos de red incluidos en la configuración de conectividad.
Topología en malla
Una topología de malla define la conectividad entre todas las redes virtuales del grupo de red. Todas las redes virtuales miembro están conectadas y pueden pasar el tráfico bidireccionalmente entre sí.
Un caso de uso común de una topología de malla es permitir que las redes virtuales radiales en una topología de concentrador y radio se comuniquen directamente entre sí sin enrutar el tráfico a través de la red virtual del concentrador. Este enfoque reduce la latencia que, de lo contrario, puede resultar del enrutamiento del tráfico a través de un enrutador en el centro de conectividad. Además, puede mantener la seguridad y la supervisión de las conexiones directas entre redes virtuales radiales implementando reglas de administración de seguridad en Azure Virtual Network Manager o reglas de grupo de seguridad de red. El tráfico también se puede supervisar y registrar mediante registros de flujo de red virtual.
De forma predeterminada, la topología de malla definida en la configuración de conectividad es una malla regional, lo que significa que solo las redes virtuales de la misma región pueden comunicarse entre sí. Puede habilitar una opción de malla global en la configuración de conectividad para establecer la conectividad entre redes virtuales en todas las regiones de Azure.
Nota:
Los espacios de direcciones de red virtual se pueden superponer en una configuración de malla, a diferencia de los emparejamientos de red virtual, pero se quita el tráfico entre las subredes con espacios de direcciones superpuestos, ya que el enrutamiento no es determinista.
En segundo plano: grupo conectado
Al crear una topología de malla o habilitar la conectividad directa en una topología hub-and-spoke, se crea una nueva estructura de conectividad exclusiva de Azure Virtual Network Manager. Esta construcción se denomina grupo conectado. Las redes virtuales de un grupo conectado pueden comunicarse entre sí, al igual que las redes virtuales conectadas manualmente. Cuando vea las rutas eficaces de una interfaz de red, verá un tipo de próximo salto ConnectedGroup. La red virtual conectada en un grupo conectado no tendrá una configuración de emparejamiento en Emparejamientos para la red virtual. Este grupo conectado es lo que permite a Azure Virtual Network Manager admitir una mayor escala de conectividad de red virtual que los emparejamientos de redes virtuales tradicionales.
Nota:
Una red virtual puede formar parte de hasta dos grupos conectados, lo que significa que puede formar parte de hasta dos topologías de malla.
Habilitación de puntos de conexión privados a gran escala en grupos conectados de Azure Virtual Network Manager
La característica de punto de conexión privado a gran escala de Azure Virtual Network Manager en la característica de grupo conectado le permite ampliar la capacidad de red. Siga estos pasos para habilitar esta característica para admitir hasta 20 000 puntos de conexión privados en el grupo conectado.
Preparación de cada red virtual en el grupo conectado
Revise Aumentar los límites de red virtual del punto de conexión privado para obtener orientaciones detalladas sobre cómo incrementar estos límites. La habilitación o deshabilitación de esta característica inicia un restablecimiento de conexión único. Realice estos cambios durante una ventana de mantenimiento.
En cada red virtual del grupo conectado, configure las Directivas de red de punto de conexión privado en
EnabledoRouteTableEnabled. Esta configuración garantiza que las redes virtuales estén listas para admitir la funcionalidad de puntos de conexión privados a gran escala. Para obtener instrucciones detalladas, consulte Aumento de los límites de red virtual de punto de conexión privado.
Configuración de la topología de malla para puntos de conexión privados a gran escala
En este paso, configurará la configuración de topología de malla de la configuración de conectividad para que el grupo conectado habilite puntos de conexión privados a gran escala. Este paso implica seleccionar las opciones adecuadas en Azure Portal y comprobar la configuración.
En la configuración de conectividad de malla, busque y active la casilla Habilitar puntos de conexión privados a gran escala. Esta opción activa la funcionalidad de alta escala para tu grupo conectado.
Compruebe que todas las redes virtuales de toda la malla (grupo conectado) estén configuradas con puntos de conexión privados a gran escala. Azure Portal valida la configuración en todo el grupo. Si agrega una red virtual sin la configuración a gran escala más adelante, no se puede comunicar con puntos de conexión privados en otras redes virtuales.
Después de comprobar que todas las redes virtuales están configuradas correctamente, implemente la configuración de conectividad. Este paso finaliza la configuración del grupo conectado a gran escala.
Habilitación de la conectividad a gran escala en grupos conectados de Azure Virtual Network Manager
La característica de conectividad a gran escala de Azure Virtual Network Manager en la característica de grupo conectado le permite ampliar la capacidad de red. Para usar esta función, registre la función preliminar "AllowHighScaleConnectedGroup" (puede encontrarla con el nombre para mostrar "Habilitar grupo conectado a gran escala"). Esta característica permite que un grupo conectado de las regiones admitidas contenga hasta 5000 redes virtuales.
Topología de red en estrella tipo hub-and-spoke
Una topología de concentrador y radio define la conectividad entre una red virtual de concentrador seleccionada y redes virtuales de radio que son miembros de uno o más grupos de redes de radio seleccionados. La red virtual del concentrador se empareja bidireccionalmente con los miembros de red virtual de cada grupo de red de radio en la configuración. Esta topología es útil para aislar una red virtual, pero mantener la conectividad a los recursos comunes de la red virtual del concentrador.
En esta configuración, puede habilitar opciones como la conectividad directa entre redes virtuales radiales que pertenecen al mismo grupo de redes radiales. De forma predeterminada, esta conectividad solo se establece para las redes virtuales de la misma región. Para permitir la conectividad entre diferentes regiones de Azure, debe habilitar la configuración de malla global para el grupo de red de spoke. También puede habilitar el tránsito de puerta de enlace para permitir que las redes virtuales radiales utilicen la VPN o la puerta de enlace ExpressRoute implementada en la red virtual central.
Habilitación de la conectividad directa
Cuando se habilita la conectividad directa para un grupo de redes de radios, se crea una malla y, por tanto, un grupo conectado a través de las redes virtuales del grupo de redes de radios sobre la topología radial. La conectividad directa permite que una red virtual hable directamente con otras redes virtuales dentro de su grupo de redes radiales, pero no habilita la conectividad con redes virtuales en otros grupos de redes radiales.
Por ejemplo, crea dos grupos de redes y los incluye como grupos de redes radiales en tu configuración de conectividad de concentrador y radio. La conectividad directa se habilita para el grupo de red de producción, pero no para el grupo de red de prueba. Esta configuración conecta la red virtual del concentrador con todas las redes virtuales de los grupos de red producción y prueba , pero solo permite que las redes virtuales del grupo de red producción se comuniquen entre sí. Las redes virtuales del grupo de red de producción no tienen conectividad con las redes virtuales del grupo de red de prueba, y las redes virtuales del grupo de red de prueba no tienen conectividad entre sí (a menos que también habilite la conectividad directa para el grupo de red de prueba).
Al examinar las rutas efectivas en una máquina virtual, la ruta entre el concentrador y las redes virtuales de radio tiene el tipo de próximo salto de VNetPeering o GlobalVNetPeering. Las rutas entre redes virtuales radiales se mostrarán con el tipo de próximo salto de ConnectedGroup. Con el ejemplo producción y prueba , solo el grupo de red Producción tiene un ConnectedGroup porque tiene habilitada la conectividad directa .
La conectividad directa entre redes virtuales de satélite puede ser útil cuando desea tener un dispositivo virtual de red (NVA) o un servicio común en la red virtual del concentrador, pero no es necesario acceder siempre al concentrador para que las redes virtuales de satélite confiables se comuniquen entre sí. En comparación con las redes tradicionales de tipo hub-and-spoke, esta topología mejora el rendimiento al eliminar el salto adicional a través de la red virtual del centro.
Malla global
Al igual que con la topología de malla, un grupo de red de radio con conectividad directa habilitada se configura como regional de forma predeterminada. Puede habilitar la malla global cuando quiera que las redes virtuales del grupo de red de radio se comuniquen entre sí entre regiones. Esta conectividad se limita a las redes virtuales del mismo grupo de red. Para habilitar esta conectividad de malla global para redes virtuales entre regiones, debe habilitar la conectividad de malla entre regiones para el grupo de red. Las conexiones creadas entre redes virtuales de radios están en un grupo conectado.
Uso del centro de conectividad como puerta de enlace
Otra opción que puede habilitar en una configuración de centro de conectividad y radio es usar el centro como puerta de enlace. Esta configuración permite que todas las redes virtuales del grupo de redes radiales usen la puerta de enlace VPN o ExpressRoute de la red virtual del concentrador para pasar el tráfico. Consulte Puertas de enlace y conectividad local.
Cuando se implementa una topología de concentrador y radio desde Azure Portal, la opción Usar concentrador como puerta de enlace está habilitada de forma predeterminada para las redes virtuales de radio en el grupo de redes. Azure Virtual Network Manager intenta crear una conexión de emparejamiento de red virtual entre la red virtual del concentrador y las redes virtuales de los grupos de red de radio. Si habilita esta opción, pero no existe una puerta de enlace en la red virtual del concentrador, fallará la creación del emparejamiento desde la red virtual de spoke al concentrador. La conexión de peering desde el centro al spoke todavía se crea sin que se haya establecido una conexión.
Descubre la topología del grupo de red con la Vista de Topología
Para ayudarle a comprender la topología del grupo de red, Azure Virtual Network Manager proporciona una vista de topología que muestra la conectividad entre los grupos de red y sus redes virtuales miembro. Puede ver la topología de la configuración de conectividad durante la creación de la configuración de conectividad con los pasos siguientes:
Vaya a la página Configuraciones y cree una configuración de conectividad.
En la pestaña Topología, seleccione el tipo de topología deseado, agregue uno o varios grupos de red a la topología y configure otras opciones de conectividad deseadas.
Seleccione la pestaña Ver topología para revisar visualmente la conectividad actual de la configuración.
Complete la creación de la configuración de conectividad.
Para revisar la topología actual de una configuración de conectividad, seleccione Ver topología en Configuración en la página de detalles de la configuración. La vista muestra la conectividad entre las redes virtuales que forman parte de esta configuración de conectividad.
Cómo evitar superponer direcciones en una malla
De forma predeterminada, Azure Virtual Network Manager permite direcciones superpuestas dentro de una red de malla. Si agrega dos redes virtuales con el mismo espacio de direcciones a una red de malla, el espacio de direcciones superpuesto se quita de la malla, por lo que la comunicación con los recursos de ese espacio de direcciones no funciona. Esta eliminación se produce porque cuando se envía tráfico a ese espacio de direcciones, Azure Virtual Network Manager no puede determinar qué red virtual debe recibir el tráfico. Aunque este comportamiento protege la integridad de la malla, puede provocar interrupciones si agrega una nueva red virtual superpuesta a una malla existente.
Azure Virtual Network Manager proporciona un mecanismo para evitar espacios de direcciones IP superpuestos dentro de una malla.
Use la propiedad ConnectedGroupAddressOverlap
La configuración de conectividad incluye una propiedad : ConnectedGroupAddressOverlap
- Valor predeterminado: permitido
- Configuración opcional: No permitido
Al establecer esta propiedad en Disallowed, Azure Virtual Network Manager aplica estrictamente espacios de direcciones no superpuestos en redes virtuales conectadas.
¿Qué ocurre cuando habilita No permitido?
Al establecer la propiedad Disallowed en, Azure Virtual Network Manager valida los cambios de dirección que pueden afectar a la conectividad en una malla.
Adición de una red virtual a una malla
Azure Virtual Network Manager comprueba automáticamente que el espacio de direcciones de la nueva red virtual no se superpone con los miembros existentes. Si detecta una superposición, no agrega la red virtual a la malla.
Actualización del espacio de direcciones o adición de emparejamiento
Azure Virtual Network Manager valida cualquier actualización que pueda afectar al espacio de direcciones general de una malla para asegurarse de que no introduce una superposición. Algunos ejemplos de cambios incluyen actualizar el espacio de direcciones de una red virtual de malla, crear un emparejamiento con una red virtual que sea miembro de una malla o cambiar el espacio de direcciones en una red virtual emparejada.
Cómo implementar el emparejamiento mediante Azure Virtual Network Manager
Azure Virtual Network Manager permite aplicar relaciones de emparejamiento dentro de la topología de red para mejorar la gobernanza y el cumplimiento. El cumplimiento garantiza que no se pueden eliminar ni modificar emparejamientos fuera de Azure Virtual Network Manager. Se aplica tanto a los emparejamientos nuevos como a los existentes dentro de la topología tipo radial.
Creación de una configuración de conectividad de tipo radial con refuerzo de emparejamiento
Para aplicar el emparejamiento, debe habilitar la opción de aplicación de emparejamiento al crear una configuración de conectividad tipo radial:
| Método | Instrucciones |
|---|---|
| Azure Portal | Active la casilla Forzar interconexión durante la configuración. |
| CLI de Azure/Otros clientes | Establezca la propiedad peeringEnforcement en connectivityCapabilities en Enforced. |
Implementación de la configuración de conectividad
Después de crear e implementar esta configuración:
- Todos los emparejamientos de red creados por Azure Virtual Network Manager o los emparejamientos de clientes existentes previamente dentro de la topología serán forzados.
- Si un emparejamiento pertenece a más de una topología, cualquier configuración marcada como forzada forza ese emparejamiento.
Cómo eliminar la imposición sobre la interconexión
Para quitar el cumplimiento:
- Actualice la configuración de conectividad a
Unenforced. - Vuelva a implementar la configuración.
Pasos siguientes
- Aprenda a crear una configuración de conectividad de malla.
- Aprenda a crear una configuración de conectividad de nodo central y perimetral.
- Cree una topología hub-and-spoke segura en este tutorial.
- Aprender a implementar una topología hub-and-spoke con Azure Firewall.
- Comprenda las implementaciones de configuración para administrar eficazmente la configuración de red.
- Bloquear el tráfico de red no deseado mediante configuraciones de administrador de seguridad.
- Implemente Azure Virtual Network Manager mediante Terraform para configurar rápidamente el entorno.