Crear una xarxa privada a Azure

Publicat el Deixar un comentari Etiquetes: , , , ,

Esta entrada también está disponible en: Castellà

Aquesta entrada tracta de la creació d’una xarxa privada dins Microsoft Azure. La xarxa privada ens permetrà aïllar serveis de l’entorn públic, així com poder desplegar entorns híbrids connectant serveis locals amb el núvol públic, sense que estiguin exposats directament a Internet. La connexió híbrida ens permet escalar o delegar certs serveis interns de l’empresa al núvol públic, per exemple, disponibilitat, ample de banda, resiliència, etc…

Crear el meu núvol públic a Azure

Abans de començar a crear les xarxes, hem de crear el núvol pròpiament dit. No és res més que reservar un espai on s’ubicaran els diferents objectes que es vagin creant dins a Azure, ja siguin xarxes, serveis Web, màquines virtuals, etc… Azure és molt gran i té molta força!

Em sento com Yoda, petit, però amb un gran aliat. No subestimis el poder de la força d’Azure.

És un punt més a favor per les petites i mitjanes empreses que en són les principals beneficiades d’aquest entorn flexible per a elles.

Accedir al portal d’Azure (preview), encara en fase de desenvolupament, però que ens hi hem d’anar acostumant ja què les noves característiques es despleguen en aquest portal. En l’entrada de primers passos amb Azure s’explica com crear un compte i accedir al portal.

Des de la pàgina principal del portal d’Azure (preview), a les opcions de la banda d’esquerra, clicar a Serveis de Núvol per crear el nostre núvol públic.

crear-xarxa-privada-azure-001

Clicar el botó Afegir per crear un servei de núvol nou. Un cop ens donem d’alta a Azure, a banda de l’Azure Active Directory per gestionar els comptes, el servei de núvol és el primer que hem de crear per poder anar posant els diferents serveis a dins.

crear-xarxa-privada-azure-002

Indicar el nom amb resolució DNS pública del domini cloudapp.net, per tant, el nom que es triï no pot estar ocupat per ningú que utilitzi aquest servei. Seleccionar la subscripció. Seleccionar un grup de recursos, en cas que el tinguem ja creat, o bé seleccionar una localització (centre de dades de Microsoft Azure on residirà el nostre núvol públic, intentar seleccionar el centre de dades més proper a la vostra ubicació física o on hi tingueu els usuaris) per crear un grup de recursos nou. Es pot deixar el piscu de penjar un accés directe al tauler d’Azure per poder-hi accedir més fàcilment. Clicar el botó Crear.

crear-xarxa-privada-azure-003

El sistema es posa a treballar en la seva creació. Un cop ha acabat es mostra la configuració del Servei de Cloud. A la banda dreta, a l’opció de Configuració, es poden modificar els paràmetres del servei clou: Carregar certificats per utilitzar en el núvol i assignar permisos als usuaris mitjançant els rols definits.

crear-xarxa-privada-azure-004

Si es clica a Usuaris s’observa que per defecte s’assigna el grup d’administradors de la subscripció com a propietari del núvol. Clicar el botó Afegir per afegir nous usuaris al servei, en cas de necessitar-ho així.

crear-xarxa-privada-azure-005

Indicar el rol que ha de tenir l’usuari en el núvol. Per exemple, el Reader podrà veure totes les configuracions però no les podrà modificar.

crear-xarxa-privada-azure-006

A priori, els usuaris que s’afegeixen provenen de l’Azure Active Directory, com no pot ser d’una altra forma, seleccionar el què correspongui per afegir al rol. També es poden convidar persones externes clicant el botó Convidar. En aquest últim cas s’ha de proporcionar un compte vàlid de Microsoft per afegir el nou usuari al rol. Clicar el botó OK quan tot estigui correcte, o bé tancar les diferents columnes per la creueta.

crear-xarxa-privada-azure-007

 

Crear la xarxa privada a Azure

Tornant a la pàgina principal del portal d’Azure (preview), clicar l’opció Nou per crear.

crear-xarxa-privada-azure-008

De la llista, clicar a l’apartat xarxes (Networking).

crear-xarxa-privada-azure-009

De les opcions, clicar a Xarxes Virtuals (Virtual Network) per crear una nova xarxa privada.

BLOG-010

Al seleccionar-la tenim la possibilitat de fer el desplegament de la xarxa per la consola clàssica o pel Resource Manager que és la nova forma de gestionar les xarxes. Seleccionar Resource Manager i clicar el botó Crear.

crear-xarxa-privada-azure-011

S’ha d’especificar l’adreçament i propietats per la nova xarxa virtual. Ull amb el nom descriptiu, no li agrada que posem caràcters no estàndard de programació, per tant res d’espais, accents o símbols.

  • Nom descriptiu de la xarxa que engloba totes les subxarxes possibles.
  • Espai d’adreces per les diferents xarxes. En l’exemple s’utilitza l’adreçament IP 192.168.10.0/24.
  • Nom de la subxarxa, com si d’una VLAN es tractés, un nom descriptiu per les subxarxes que es generen on es connectaran els serveis.
  • Rang d’adreces de la subxarxa, dins la xarxa es poden crear tantes subxarxes com vulguem sempre que tinguem adreces IP per assignar. Es tracta de fer particions de la xarxa amb les que necessitem. En l’exemple es crea una primera subxarxa 192.168.10.0/28 que permet 14 adreces IP.
  • Subscripció on es crea la nova xarxa, vaja on es factura.
  • Grup de recursos. De moment no en tenim cap, l’hem de crear. Simplement escriure un nom pel nou grup de recursos.
  • Localització (Centre de dades de Microsoft Azure on es crea). Penseu que si tinc la xarxa al CPD Nord, les màquines les hauré de crear en aquest CPD, és on resideix físicament la infraestructura.

Amb totes les dades introduïdes i acceptades per Azure (piscu verd al costat de cadascuna d’elles), també es pot deixar el piscu d’afegir la xarxa al tauler principal d’Azure, clicar el botó Crear.

crear-xarxa-privada-azure-012

Un cop creada la xarxa per part d’Azure ens mostra les seves característiques. A la part dreta, a configuració, es poden modificar les seves propietats clicant els diferents apartats.

crear-xarxa-privada-azure-013

  • Propietats. És només descriptiu, per saber on és la xarxa en el núvol, la ubicació i la subscripció.

crear-xarxa-privada-azure-014

  • Espai d’adreces IP, se’n poden afegir de noves per utilitzar.

crear-xarxa-privada-azure-015

  • Subxarxes. Permet la creació de noves xarxes sota el mateix espai d’adreces IP creat, per exemple una nova xarxa per a Base de dades, Servidors frontals, etc..

crear-xarxa-privada-azure-016

Per crear una nova subxarxa a un espai d’adreces ja creat, clicar el botó Afegir.

crear-xarxa-privada-azure-017

Introduir el nom de la xarxa, per exemple, DatabaseServersNetwork i el seu adreçament: 192.168.10.16/28. Escollir el tipus de seguretat a aplicar a la subxarxa, en cas que en tinguem de disponible per algun complement en el nostre cloud públic. Clicar el botó OK per crear la nova subxarxa.

crear-xarxa-privada-azure-018

Amb la barra inferior, anem cap a l’esquerra per recuperar les opcions de configuració de la xarxa.

crear-xarxa-privada-azure-019

  • Servidors DNS són importants per la resolució de les màquines. Actualment se’ns dóna dues possibilitats, Azure DNS (està en fase de desenvolupament i encara no disposa d’entorn gràfic) i DNS personals. Escollir segons correspongui.

crear-xarxa-privada-azure-020

  • Usuaris, simplement es defineixen els permisos dels usuaris per modificar aquesta xarxa. Els permisos s’estableixen a nivell de rol.

crear-xarxa-privada-azure-021

  • Les etiquetes ajuden a identificar objectes, poder filtrar i/o assignar variables dins a Azure.

crear-xarxa-privada-azure-022

Ja tenim disponible la xarxa privada al núvol públic d’Azure, però com hi arribem des de la nostra ubicació? Ser una xarxa privada vol dir això, que no està exposada directament a Internet.

Hi ha tres formes diferents per connectar a la xarxa privada a Azure:

  • Connexió point-to-site permet establir una connexió commutada a petició, és a dir, mitjançant un client en el nostre equip establim la connexió a petició. Només el nostre equip passa a tenir accés a la xarxa privada d’Azure. Útil per aquells usuaris que es desplacen contínuament fora de les xarxes locals, per exemple per treballar des de casa, hotel, aeroport, etc…
  • Connexió site-to-site permet connectar xarxes, per exemple, l’oficina o delegacions amb la xarxa d’Azure. Per això és requereixen encaminadors o tallafocs a les xarxes locals que estableixin aquestes connexions, que s’hauran de configurar com qualsevol altra xarxa remota mitjançant IPSec. Ull amb la compatibilitat de dispositius per establir aquests túnels, la integració entre diferents fabricants mai és fàcil, consulteu abans que el vostre equip no pugui tenir problemes, traduïts a talls en la connexió.
  • Connexió ExpressRoute. És la contractació d’un MPLs des de casa nostra amb Azure que es contracta amb operadores de telecomunicacions i permet disposar de major ample de banda amb el centre de dades, des de 50 Mbps a 10 Gbps. Podeu accedir a la taula de preus i més informació en aquest enllaç.

 

Crear la subxarxa de porta d’enllaç (Gateway Subnet)

Per crear una connexió des de l’exterior a la xarxa privada, es requereix d’una porta d’entrada pública (gateway). Aquesta porta d’entrada es basa amb una IP pública dedicada al nostre núvol, així com una subxarxa que realitza el salt entre el/s encaminador/s i les subxarxes d’Azure. Aquesta subxarxa de la porta d’enllaç ha de tenir un nom especial: GatewaySubnet.

Dins una subscripció normal se’ns dóna una adreça IP pública dedicada, en cas de necessitar-ne més s’han de pagar a banda. Per demanar i assignar aquesta adreça IP pública al nostre núvol s’ha de fer mitjançant comandes de PowerShell. No totes les configuracions estan implementades al portal web, en molts casos s’ha de tirar de la PowerShell per fer la configuració. Reviseu l’entrada de com connectar a Azure per PowerShell.

Un cop establerta la connexió a la subscripció corresponent, si seguim aquest article que defineix les xarxes a nivell d’Azure Resource Manager (ARM), s’ha de canviar el mode de la PowerShell d’Azure a Azure Resource Manager amb la següent comanda:

Switch-AzureMode -name AzureResourceManager

Crear la subxarxa amb el nom GatewaySubnet (important el nom) per la porta d’enllaç. Normalment es crea amb un prefix de xarxa /28, si bé es pot crear amb una subxarxa més petita, el /29. En cas de tenir que configurar ExpressRoute amb connexions site-to-site, el prefix s’ha d’ampliar a /27 ja què aquesta configuració requereix de més adreces IP.

Per sol·licitar l’adreça IP, com que s’ha d’enllaçar amb els recursos i les subxarxes es fa mitjançant variables. La primera consisteix en demanar la IP pública que, en aquest exemple, se li assigna el nom gwpip1, pel grup de recursos CloudServices, la localització del centre de dades del nord d’Europa i el mètode d’assignació que sempre serà dinàmic.

$gwpip = New-AzurePublicIpAddress -Name gwpip1 -ResourceGroupName CloudServices -location northeurope -AllocationMethod Dynamic

El següent pas és definir la configuració de la porta d’enllaç. Es selecciona l’espai d’adreces i grup de recursos on s’ha de crear la porta d’enllaç:

$vnet = Get-AzureVirtualNetwork -Name PrivateAzureNetwork -ResourceGroupName Cloudservices

Es selecciona la subxarxa de l’espai d’adreces (variable de la comanda anterior) que es dedica a la porta d’enllaç per donar servei a les comunicacions externes, recordem que té de nom GatewaySubnet:

$subnet = Get-AzureVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet

S’associa la petició de l’adreça IP pública amb la configuració de la porta d’enllaç:

$gwipconfig = New-AzureVirtualNetworkGatewayIpConfig -Name gwipconfig1 -SubnetId $subnet.Id -PublicIpAddressId $gwpip.Id

Finalment es crea la porta d’enllaç en sí, en l’exemple se li assigna el nom vnetgw1. Aquesta operació tarda una bona estoneta per lligar-ho tot, podeu anar a fer tranquil·lament un cafè o te.

New-AzureVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName Cloudservices -Location northeurope -IpConfigurations $gwipconfig -GatewayType Vpn -VpnType RouteBased

Un cop creada la porta d’enllaç i assignada la IP pública, aquesta es pot comprovar amb la comanda:

Get-AzurePublicIpAddress

Ja teniu preparada la vostra xarxa privada a Azure, esperant a que hi poseu els serveis.

 

T’ha agradat l’article? El pots compartir a les xarxes socials. També pots deixar la teva opinió, comentari o suggeriment. Gràcies!

 

 

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *

This site uses Akismet to reduce spam. Learn how your comment data is processed.