Crear una red privada en Azure

Esta entrada trata de la creación de una red privada dentro de Microsoft Azure. La red privada nos permitirá aislar servicios del entorno público, así como poder desplegar entornos híbridos conectando servicios locales con la nube pública, sin que estén expuestos directamente en Internet. La conexión híbrida nos permite escalar o delegar ciertos servicios internos de la empresa en la nube pública, por ejemplo, disponibilidad, ancho de banda, resiliencia, etc…

Crear mi nube pública en Azure

Antes de empezar a crear las redes, tenemos que crear la nube propiamente dicha. No es más que reservar un espacio donde se ubicarán los diferentes objetos que se vayan creando dentro de Azure, ya sean redes, servicios Web, máquinas virtuales, etc… ¡Azure es muy grande y tiene mucha fuerza!

Me siento como Yoda, pequeño, pero con un gran aliado. No subestimes el poder de la fuerza de Azure.

Es un punto más a favor para las pequeñas y medianas empresas que son las principales beneficiadas de este entorno flexible para ellas.

Acceder al portal de Azure (preview), todavía en fase de desarrollo, pero que nos tenemos que ir acostumbrando ya que las nuevas características se despliegan en este portal. En la entrada de primeros pasos con Azure se explica como crear una cuenta y acceder al portal.

Desde la página principal del portal de Azure (preview), en las opciones del lado izquierdo, hacer clic en Servicios Cloud para crear nuestra nube pública.

Hacer clic en el botón Agregar para crear un servicio cloud nuevo. Una vez nos damos de alta en Azure, aparte del Azure Active Directory para gestionar las cuentas, el servicio cloud es lo primero que tenemos que crear para poder ir poniendo los diferentes servicios dentro.

Indicar el nombre con resolución DNS pública del dominio cloudapp.net, por lo tanto, el nombre que se escoja no puede estar ocupado por nadie que utilice este servicio. Seleccionar la suscripción. Seleccionar un grupo de recursos, en caso que lo tengamos ya creado, o bien seleccionar una localización (centro de datos de Microsoft Azure donde residirá nuestra nube pública, intentar seleccionar el centro de datos más próximo a vuestra ubicación física o donde tengáis los usuarios) para crear un grupo de recursos nuevo. Se puede dejar el checkbox de colgar un acceso directo en el panel de Azure para poder acceder más fácilmente. Hacer clic en el botón Crear.

El sistema se pone a trabajar en su creación. Una vez ha terminado se muestra la configuración del Servicio de Cloud. En la parte derecha, la opción de Configuración, se pueden modificar los parámetros del servicio cloud: Cargar certificados para utilizar en la nube y asignar permisos a los usuarios mediante los roles definidos.

Si se hace clic en Usuarios se observa que por defecto se asigna el grupo de administradores de la suscripción como propietario de la nube. Hacer clic en el botón Agregar para añadir nuevos usuarios al servicio, en caso de necesitarlo así.

Indicar el rol que debe tener el usuario en la nube. Por ejemplo, el Reader podrá ver todas las configuraciones pero no las podrá modificar.

A priori, los usuarios que se añaden provienen del Azure Active Directory, como no puede ser de otra forma, seleccionar lo que corresponda para añadir al rol. También se pueden invitar personas externas haciendo clic en el botón Invitar. En este último caso se tiene que proporcionar una cuenta válida de Microsoft para añadir el nuevo usuario en el rol. Hacer clic en el botón OK cuando todo esté correcto, o bien cerrar las diferentes columnas por la crucecita.

Crear la red privada en Azure

Volviendo a la página principal del portal de Azure (preview), hacer clic en la opción Nuevo para crear.

De la lista, hacer clic en el apartado redes (Networking).

De las opciones, hacer clic en Redes Virtuales (Virtual Network) para crear una nueva red privada.

Al seleccionarla tenemos la posibilidad de hacer el despliegue de la red para la consola clásica o para el Resource Manager que es la nueva forma de gestionar las redes. Seleccionar Resource Manager y hacer clic en el botón Crear.

Se tiene que especificar el direccionamiento y propiedades para la nueva red virtual. Ojo con el nombre descriptivo, no le gusta que pongamos caracteres no estándar de programación, por lo tanto nada de espacios, acentos o símbolos.

Nombre descriptivo de la red que engloba todas las subredes posibles.
Espacio de direcciones para las diferentes redes. En el ejemplo se utiliza el direccionamiento IP 192.168.10.0/24.
Nombre de la subred, como si de una VLAN se tratase, un nombre descriptivo para las subredes que se generan donde se conectarán los servicios.
Rango de direcciones de la subred, dentro de la red se pueden crear tantas subredes como queramos siempre que tengamos direcciones IP por asignar. Se trata de hacer particiones de la red con las que necesitamos. En el ejemplo se crea una primera subred 192.168.10.0/28 que permite 14 direcciones IP.
Suscripción donde se crea la nueva red, vaya donde se factura.
Grupo de recursos. De momento no tenemos ninguno, lo tenemos que crear. Simplemente escribir un nombre para el nuevo grupo de recursos.
Localización (Centro de datos de Microsoft Azure donde se crea). Pensad que si tengo la red en el CPD Norte, las máquinas las tendré que crear en este CPD, es donde reside físicamente la infraestructura.

Con todos los datos introducidos y aceptados por Azure (checkbox verde al lado de cada una de ellas), también se puede dejar el checkbox de añadir la red al panel principal de Azure, hacer clic en el botón Crear.

Una vez creada la red por parte de Azure nos muestra sus características. En la parte derecha, en configuración, se pueden modificar sus propiedades haciendo clic en los diferentes apartados.

Propiedades. Es sólo descriptivo, para saber donde está la red en la nube, la ubicación y la suscripción.

Espacio de direcciones IP, se pueden añadir de nuevas para utilizar.

Subredes. Permite la creación de nuevas redes bajo el mismo espacio de direcciones IP creado, por ejemplo una nueva red para Base de datos, Servidores frontales, etc..

Para crear una nueva subred en un espacio de direcciones ya creado, hacer clic en el botón Agregar.

Introducir el nombre de la red, por ejemplo, DatabaseServersNetwork y su direccionamiento: 192.168.10.16/28. Escoger el tipo de seguridad a aplicar en la subred, en caso que tengamos de disponible para algún complemento en nuestro cloud público. Hacer clic en el botón OK para crear la nueva subred.

Con la barra inferior, vamos hacía la izquierda para recuperar las opciones de configuración de la red.

Servidores DNS son importantes para la resolución de las máquinas. Actualmente se nos da dos posibilidades, Azure DNS (está en fase de desarrollo y todavía no dispone de entorno gráfico) y DNS personales. Escoger según corresponda.

Usuarios, simplemente se definen los permisos de los usuarios para modificar esta red. Los permisos se establecen a nivel de rol.

Las etiquetas ayudan a identificar objetos, poder filtrar y/o asignar variables dentro de Azure.

Ya tenemos disponible la red privada en la nube pública de Azure, pero ¿como llegamos desde nuestra ubicación? Ser una red privada quiere decir esto, que no está expuesta directamente en Internet.

Hay tres maneras diferentes para conectar a la red privada en Azure:

Conexión point-to-site permite establecer una conexión conmutada a petición, es decir, mediante un cliente en nuestro equipo establecemos la conexión a petición. Sólo nuestro equipo pasa a tener acceso en la red privada de Azure. Útil para aquellos usuarios que se desplazan continuamente fuera de las redes locales, por ejemplo para trabajar desde casa, hotel, aeropuerto, etc…
Conexión site-to-site permite conectar redes, por ejemplo, la oficina o delegaciones con la red de Azure. Para esto se requieren enrutadores o cortafuegos en las redes locales que establezcan estas conexiones, que se tendrán que configurar como cualquier otra red remota mediante IPSec. Ojo con la compatibilidad de dispositivos para establecer estos túneles, la integración entre diferentes fabricantes nunca es fácil, consultad antes que vuestro equipo no pueda tener problemas, traducidos a cortes en la conexión.
Conexión ExpressRoute. Es la contratación de un MPLs desde nuestra casa con Azure que se contrata con operadoras de telecomunicaciones y permite disponer de mayor ancho de banda con el centro de datos, desde 50 Mbps a 10 Gbps. Podéis acceder a la tabla de precios y más información en este enlace.

Crear la subred de puerta de enlace (Gateway Subnet)

Para crear una conexión desde el exterior en la red privada, se requiere de una puerta de entrada pública (gateway). Esta puerta de entrada se basa en una IP pública dedicada en nuestra nube, así como una subred que realiza el salto entre el/los enrutador/es y las subredes de Azure. Esta subred de la puerta de enlace debe tener un nombre especial: Gateway Subnet.

Dentro de una suscripción normal se nos da una dirección IP pública dedicada, en caso de necesitar más se tienen que pagar aparte. Para pedir y asignar esta dirección IP pública a nuestra nube se tiene que hacer mediante comandos de PowerShell. No todas las configuraciones están implementadas en el portal web, en muchos casos se tiene que tirar de la PowerShell para hacer la configuración. Revisad la entrada de como conectar a Azure por PowerShell.

Una vez establecida la conexión a la suscripción correspondiente, si seguimos este artículo que define las redes a nivel de Azure Resource Manager (ARM), se tiene que cambiar el modo de la PowerShell de Azure a Azure Resource Manager con el siguiente comando:

Switch-AzureMode -name AzureResourceManager

Crear la subred con el nombre Gateway Subnet (importante el nombre) para la puerta de enlace. Normalmente se crea con un prefijo de red /28, si bien se puede crear con una subred más pequeña, el /29. En caso de tener que configurar ExpressRoute con conexiones site-to-site, el prefijo se tiene que ampliar a /27 ya que esta configuración requiere de más direcciones IP.

Para solicitar la dirección IP, como que se tiene que enlazar con los recursos y las subredes se hace mediante variables. La primera consiste en pedir la IP pública que, en este ejemplo, se le asigna el nombre gwpip1, para el grupo de recursos CloudServices, la localización del centro de datos del norte de Europa y el método de asignación que siempre será dinámico.

$gwpip = New-AzurePublicIpAddress -Name gwpip1 -ResourceGroupName CloudServices -location northeurope -AllocationMethod Dynamic

El siguiente paso es definir la configuración de la puerta de enlace. Se selecciona el espacio de direcciones y grupo de recursos donde se tiene que crear la puerta de enlace:

$vnet = Get-AzureVirtualNetwork -Name PrivateAzureNetwork -ResourceGroupName Cloudservices

Se selecciona la subred del espacio de direcciones (variable del comando anterior) que se dedica a la puerta de enlace para dar servicio a las comunicaciones externas, recordemos que tiene de nombre GatewaySubnet:

$subnet = Get-AzureVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet

Se asocia la petición de la dirección IP pública con la configuración de la puerta de enlace:

$gwipconfig = New-AzureVirtualNetworkGatewayIpConfig -Name gwipconfig1 -SubnetId $subnet.Id -PublicIpAddressId $gwpip.Id

Finalmente se crea la puerta de enlace en sí, en el ejemplo se le asigna el nombre vnetgw1. Esta operación tarda un buen rato para atarlo todo, podéis ir a hacer tranquilamente un café o té.

New-AzureVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName Cloudservices -Location northeurope -IpConfigurations $gwipconfig -GatewayType Vpn -VpnType RouteBased

Una vez creada la puerta de enlace y asignada la IP pública, esta se puede comprobar con el comando: