Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo utilizar las nuevas características de conectividad de Azure

[09/08/2013] Microsoft lanzó algunos cambios a su servicio de nube de Windows Azure que hacen que sea más fácil que los usuarios y compañías se conecten directamente a los centros de datos Azure, propiedad de Microsoft, y trabajen con máquinas y servicios que corren en Azure como si estuvieran localmente.
Esto se logra a través de diversos tipos de VPN y, en este artículo, analizaré cada tipo, lo que hay de nuevo en Azure y cómo hacer parte del trabajo pesado en el proceso de configuración, de modo que pueda empezar a utilizarlo. Por cierto, ya no hay números de lanzamiento en Azure; Microsoft dejó de numerar los lanzamientos debido a que hay muchas actualizaciones.
Nuevo: conectividad punto-a-sitio
En las versiones anteriores, Windows Azure era capaz de crear solo redes privadas virtuales de sitio-a-sitio, o VPN. Esto significaba que su red corporativa necesitaba un dispositivo VPN dedicado para establecer un enlace con un router dedicado u otro equipo de red dentro del centro de datos Azure. Típicamente, las compañías grandes tenían acceso a este tipo de dispositivos, pero las pequeñas y medianas empresas no, lo cual limitaba la utilidad de las funciones de la VPN en general.
Sin embargo, en abril, Microsoft introdujo conectividad VPN de punto-a-sitio, lo cual, esencialmente, significa que las computadoras individuales pueden crear conexiones VPN directamente en el centro de datos de Windows Azure. La computadora puede entonces acceder a máquinas virtuales, bases de datos, sitios web y otros recursos, como si estuviera en la red local.
¿A quién le atraería esto? De lejos los desarrolladores que construyen soluciones localmente y luego las despliegan en Windows Azure, encontrarán esto como un desarrollo de ayuda ya que les permite tener una red simple sin preocuparse sobre los problemas de direccionamiento, DNS y otros temas que surgen cuando se mueve una aplicación u otro recurso hospedado de una red a otra.
Felizmente para esos desarrolladores y usuarios finales -y probablemente para el staff de TI también- no se requiere soporte de TI para esto. Simplemente puede descargar un paquete conectoide (sí, ese es el término preferido para el marcador VPN preconfigurado) directamente desde el portal de administración de Azure y hacer doble clic para crear la conexión, la cual es segura por defecto.
El cliente VPN incluido en la caja con Windows 7 y 8 funciona simplemente bien, y no se requiere ninguna otra configuración o hardware para crear la conexión VPN.
Para comenzar, primero tiene que hacer un precableado y eso implica crear tanto una nueva red virtual y un gateway de ruteo dinámico. Siga estos pasos:
2. Haga clic en el botón Nuevo en la parte inferior izquierda y, desde el menú desplegable Redes, haga clic en Virtual Network.
3. Haga clic en Custom Create.
4. Aparecerá la pantalla Virtual Networks Details. Ingrese un nombre amigable para su red, la región del centro de datos de Azure donde residirá esta red virtual -elija el más cercano a su ubicación para un mejor desempeño- y elija un grupo de afinidad si desea. Haga clic en la flecha a la derecha para continuar.
5. Aparecerá la pantalla de Servidores DNS y Conectiidad VPN. Seleccione el checkbox llamado Configure Point-to-Site VPN, y especifique los servidores DNS que usará para contactarse con el mundo exterior. Estos servidores deben haber sido registrados en su cuenta. De otra forma, puede elegir la opción para registrar nuevos servidores, lo cual los hará disponibles para ser usados por los recursos en su propia cuenta individual de Azure. Haga clic en la flecha a la derecha para continuar.
6. Aparecerá la pantalla de Point-to-Site Conectivity. Ingrese la dirección privada que quiere usar para conectar a los clientes a Azure a través de esta conexión privada VPN. La dirección debe estar en los bloques estándares no ruteables como RFC 1918, incluyendo 10.0.0.0/8, 172.16.0.0/12 o 192.168.0.0/16. Asimismo, estos tampoco deben estar en uso en su cuenta de Azure. También puede crear subredes para esta nueva red virtual (pero no se requiere), y también debe crear un gateway para la red. Una vez que ha completado el ingreso de datos, haga clic en la marca de check a la derecha.
7. El portal de administración en un momento creará su nueva red virtual. El próximo paso es crear un gateway de ruteo dinámico, así que haga clic en la red virtual que acaba de finalizar y haga clic en la página de tablero de control.
8. Al final de la página, haga clic en el enlace Create Gateway y confirme su intención cuando se le solicite, haciendo clic en .
Certificados requeridos
Lo siguiente es tratar con los certificados. Parte del atractivo de la conexión VPN point-to-site es el hecho de que no requiere un dispositivo especial y funciona sin pedir al departamento que reconfigure el firewall o alguna cosa especial para soportar la conexión. Eso se logra usando el Protocolo Secure Socket Tunneling, o SSTP, empleado en las VPN. Este puerto transversal SSTP VPN 443, que es el mismo puerto usado para asegurar HTTP y garantiza que será abierto en cualquier red conectada a la web. Pero para garantizar la seguridad, el protocolo SSTP solicita el uso de certificados, y necesitará un certificado al final de la conexión en el centro de datos de Azure, así como en cada computadora que tenga una conexión punto-a-sitio.
Si está intentando crear una conexión punto-a-sitio por sí mismo y trabaja en un ambiente de Active Directory, hay posibilidad de que ya haya una infraestructura de clave pública configurada a la cual adherirse. Basta con crear un certificado X.509 y tenerlo firmado por uno de los servidores que sea autoridad de certificación para su infraestructura.
Microsoft Azure
Para ello, ejecute la Consola de Administración Microsoft, MMC.EXE, desde un símbolo de sistema con privilegios elevados (uno con permisos de administrador), y luego desde el menú de Archivo seleccione Agregar/Remover el Snap-in. Seleccione Certificates, luego elija la cuenta Compute y haga clic en Continue. Verá que aparece el nodo de Certificates en el panel de la izquierda. Expándalo y navegue hacia abajo, hacia Trusted Root Certificaton Authorities and Certificates.
Encuentre su certificado en la lista (que tendrá su nombre de dominio NetBIOS en ella probablemente), haga clic derecho y seleccione Exportar. Seleccione todos los valores predeterminados del asistente, elija una ubicación para el archivo exportado .CER, y complete el asistente.
Ese es el certificado que subirá a Windows Azure -contra el que sus clientes se van a autenticar.
Ahora necesita crear certificados de clientes. Haga clic derecho en el nodo Personal dentro de la instancia MMC en la que ha estado trabajando, y seleccione Solicitar Nuevo Certificado del menú Todas las Tareas. Haga clic en los valores por defecto y asegúrese que ha elegido un certificado del tipo para computadora. Cuando el asistente termine, verá el nuevo certificado instalado bajo el subnodo Certificados del nodo Personal, dentro del MMC. Este es el lado cliente del certificado que exportó previamente -Azure vinculará el certificado público exportado con este certificado de cliente firmado por la misma autoridad de certificación, y lo usará como verificación de que la conexión de túnel SSTP VPN que se ha creado es válida.
Ahora, con todo eso ordenado, ya puede subir el certificado raíz de confianza exportado al Portal de Administración de Windows Azure.
1. En la página Tablero de Control (Dashboard), en la esquina derecha, elija Subir Certificado (dependiendo de cuándo lea usted eso, podría decir Subir Certificado de Cliente o Subir Certificado Raíz o algo parecido).
2. Busque el archivo .CER exportado que creó y súbalo.
Con ese precableado significativo completo, ahora puede descargar el afortunadamente configurado paquete conectoide y, al menos en cada una de las computadoras cliente en las que ha ejecutado el proceso de inscripción de certificado anterior, realizar una conexión point-to-site.
En esta nueva versión de Windows Azure puede descargar software para Windows 7 y 8, Windows Server 2008 R2 y Windows Server 2012, y puede descargar el conectoide tanto en ediciones de 32 como de 64 bits.
El paquete conectoide es un archivo .EXE en el que puede simplemente hacer doble clic para ejecutarlo, y éste automáticamente desplegará un archivo de ajustes en el cliente VPN incorporado de Windows.
Para hacer la conexión, simplemente ubique la entrada de la conexión VPN y haga doble clic en ella. La primera vez que haga esto, una ventana emergente le aparecerá pidiéndole permitir la creación de otro certificado, el cual debería permitir. Finalmente, se le pedirá que seleccione un certificado para conectarse -elija el que creó previamente en este proceso y luego haga clic en OK.
Ahora está en su propia VPN privada y tiene acceso, como si fuera localmente, a cualquier recurso alojado en Azure que también esté conectado a la red virtual que ha creado.
VPNs site-to-site más fáciles
También, como parte de este reciente lanzamiento de Azure, se encuentra la capacidad de levantar una instalación normal de Windows Server 2012 y usarla como un dispositivo dedicado para crear una conexión VPN site-to-site hacia Azure. ¿Para qué querría usted una VPN site-to-site? Cuando dos dispositivos están en los dos extremos de un túnel, como en este caso, las conexiones se vuelven transparentes -en los dispositivos de los usuarios, en su centro de datos, en sus servidores y en máquinas virtuales.
En otras palabras, la belleza de este concepto es que todos los recursos que residen en los centros de datos de Windows Azure en la nube, simplemente parecen ser parte de su red local. El dispositivo se encarga de todo el trabajo sucio de las conexiones, certificados, tunneling y una variedad de asuntos administrativos.
Como mencioné antes, previamente tuvo que haber dedicado un dispositivo de hardware para conseguir la conectividad site-to-site. Y si somos inocentes sobre la experiencia completa, tendrá que o bien tener algún hardware que figure en una limitada lista de dispositivos de terminación VPN soportados, o bien pasar horas de espeleología en el código del sistema operativo del router intentando elaborar un perfil de conexión que es el que espera el terminal de Azure.
Pero ahora, en lugar de eso, puede configurar una instancia de Windows Server 2012 que ejecute Acceso Remoto y Ruteo, o el rol RRAS, y estar funcionando en cuestión de minutos.
Al igual que en la VPN point-to-site, se requiere cierto precableado, la mayor parte para decirle a Azure cuál es el espacio de sus direcciones on-premises. Puede conseguirlo creando una nueva red local en el Portal de Administración de Azure. Deberá especificar el espacio de direccionamiento IP de su extremo VPN; en otras palabras, la dirección por la que Windows Azure puede llegar a su red on-premises mediante la VPN.
A continuación, creará otra red virtual, pero esta vez elija crear una VPN site-to-site, en lugar una point-to-site. Encontrará esto más fácil en este modo ya que todo lo que tiene que hacer es permitir que Azure cree una subred de Gateway. Luego, al igual en el procedimiento de VPN point-to-site, cree un Gateway de ruteo dinámico desde el tablero de control de esta nueva red virtual y luego espere unos cuantos minutos mientras Azure construye este Gateway y crea un script de conexión.
Este script de conexión define los puertos, protocolos y el túnel que la VPN site-to-site usará. Podrá especificar que quiere un script para Windows Server RRAS, y luego descargarlo. Pero hay una pequeña edición que deberá hacer después que se complete la descarga. Hay que hacer lo siguiente:
* Sustituya todas las instancias del script con la dirección IP de su Gateway. Verá esto en grandes letras en la página de su tablero de control en la red dentro del portal de administración. Las instancias están en las líneas 75, 78, 79 y 85.
* Reemplace la línea 75 con el CIDR de red que definió cuando creó la nueva red virtual para la VPN site-to-site.
* Sustituya, también en la línea 75, con su métrica de red.
* Reemplace con la clave que encontrará que se generó en el portal de administración.
Guarde este archivo con la extensión .ps1, lo cual hace que sea un script PowerShell ejecutable. Luego espere un momento mientras el script instala el rol de Acceso Remoto y Ruteo -si es que no está presente en la máquina de destino- y configura la conexión VPN. Una vez que ha terminado, vuelva al Portal de Administración de Windows Azure y oprima el botón grande Conectar. Después de unos segundos, se conectará y tendrá su enlace establecido. Todas sus máquinas simplemente trabajarán bien, ya sea en la red virtual en el centro de datos de Azure o en su red on-premises, y todas estarán dentro de una gran familia feliz.
Consideración final
Tanto la VPN site-to-site como la point-to-site demandan cierto trabajo de configuración, pero una vez que han sido ajustadas adecuadamente y operan como se planeó, eliminan un obstáculo significativo de trabajar con las tecnologías Azure. Definitivamente vale la pena echar una mirada a estas VPN para ver si pueden beneficiar a su organización.
Jonathan Hassell, Computerworld