Bit - loader

Emparejamiento o peering de Virtual Networks en Azure


Netmind - Emparejamiento o peering de Virtual Networks en Azure    Artículo | Azure
Joan Carles Roca | 05/04/18

En este artículo hablaremos del emparejamiento o peering de virtual networks en Azure. Estas redes, una vez emparejadas, a nivel de conectividad parecerán una sola red.

 

El tráfico entre redes emparejadas se transmite a través del troncal de Microsoft, como si el tráfico se comunicase entre máquinas virtuales de la misma virtual network, es decir, a través del direccionamiento IP privado

Las principales prestaciones incluyen un tráfico privado sin necesidad de cifrado, gateways o Internet. Así mismo logramos una comunicación con un gran ancho de banda y baja latencia debido a la transmisión a través del troncal de Microsoft. Los recursos creados en una virtual network podrán comunicarse con los recursos creados en la otra, o transferir datos entre subscripciones. Otra característica importante es poder emparejar virtual networks creadas en el modelo Azure Resource manager y otras creadas con el modelo classic.

 

Por lo que respecta a la conectividad, como hemos comentado anteriormente, es directa sin Gateway ni necesidad de Internet. Se pueden aplicar Network Security Groups (vienen a ser reglas de firewall) para bloquear el acceso  a otras virtual networks o subnets si fuera necesario, actuando como un firewall de facto entre las dos virtual networks para filtrar el tráfico. En la configuración por defecto existe conectividad total entre las dos virtual networks. Los Network Security Groups los podremos utilizar para bloquear el acceso a ciertas subnets o bloquear el acceso a maquinas virtuales concretas.

 

Emparejamiento o peering de Virtual Networks en Azure 0

 

Dentro del concepto de Peering, existe el de Service Chaining, el cual nos permite crear rutas definidas por el usuario, o “user-defined routes”. Estas rutas apuntan a  máquinas virtuales o gateways  como siguiente salto. De este modo Service chaining permite dirigir el tráfico de una virtual network a un virtual appliance o Gateway situado en una red emparejada (peered newtork).

 

Por lo que se refiere a los Gateways, cada virtual network puede tener su propio Gateway configurado, independientemente de si está emparejada con otra virtual network, es decir, podemos establecer conexiones VNet-to-VNet a través de Gateways aunque las redes estén emparejadas.

Si tuviéramos las dos opciones configuradas entre dos virtual networks, es decir emparejamiento y VNet-to-VNet, el tráfico fluirá por defecto a través del emparejameinto (backbone de Microsoft).

 

Si las virtual networks emparejadas estan en la misma regíon de Azure, podemos configurar un Gateway en una de las virtual networks emparejadas como punto de salto hacia una red corporativa on-premises.  En este caso, la virtual network que utilize este Gateway, no podrá tener uno propio. Solamente se puede tener un gatway por virtual network.

A fecha de hoy el tráfico a través de un Gateway en una relación de peering o emparejamiento de virtual networks no está soportado entre virtual networks creadas en distintos modelos (Auzure Resource Manager y Classic Model), o entre distintas regiones de Azure.

 

Un ejemplo de configuración típica es la topología Hub-and-Spoke. En esta topología el “Hub” es la Vnet que actúa como punto central de conectividad por ejemplo con nuestra red on-premises. Los “Spokes” son las VNets emparejadas con la VNet que hace de Hub.

Las ventajas ofrecidas por esta topología entre otras, son un ahorro en costes centralizando los servicios compartidos como virtual appliances, servidores DNS, Sistemas IDS, servidres de tiempo, controladores de dominio del directorio activo,  etc, en una única ubicación (el Hub) y que son usados por todas VNets emprarejadas. También atravesar los límites de las subscripciones dado que podemos emparejar VNets de distintas subscripciones y éstas usar los recursos en el Hub. Además aprovechamos para controlar centralizadamente acceso a los recursos que están desplegados en un único punto a través de reglas de firewall, actuando como una DMZ, y segregados de las VNets (Spokes).


Entradas relacionadas
Nuestro sitio utiliza cookies para análisis. Si no estás seguro de ello, echa un vistazo a nuestra política de privacidad.