Nota:

• Este tutorial requiere acceso a Oracle Cloud. Para registrarse en una cuenta gratuita, consulte Introducción a la capa gratuita de Oracle Cloud Infrastructure.
• Utiliza valores de ejemplo para las credenciales, el arrendamiento y los compartimentos de Oracle Cloud Infrastructure. Al finalizar el laboratorio, sustituya estos valores por otros específicos de su entorno en la nube.

Proteja el tráfico entre Oracle Cloud Infrastructure y Microsoft Azure mediante Network Virtual Appliance.

Introducción

Para crear una experiencia multinube integrada, Microsoft y Oracle ofrecen interconexión directa entre Microsoft Azure y Oracle Cloud Infrastructure (OCI) a través de Microsoft Azure ExpressRoute y OCI FastConnect. La interconexión ExpressRoute de Microsoft Azure y FastConnect de OCI proporciona baja latencia, alto rendimiento y conectividad directa privada entre las dos nubes.

Puede configurar la conectividad de interconexión entre Microsoft Azure y Oracle Cloud Infrastructure siguiendo las instrucciones proporcionadas en esta guía paso a paso. Una vez que la interconexión esté activa, deberá conectar las redes virtuales a ExpressRoute.

En este tutorial se describe cómo puede ampliar la conectividad de interconexión mediante VNET Gateway y desplegar Microsoft Azure Firewall y OCI Network Firewall para proteger el tráfico. Desplegará Firewalls en una arquitectura de hub y de interlocutor para su caso de uso y este caso de uso debe aplicarse a todos los partners de dispositivos virtuales de red compatibles con los CSP correspondientes.

Puede seguir este documento para obtener más información sobre las recomendaciones de arquitecturas de dispositivos virtuales de red.

Objetivo

Proteja su tráfico mediante un dispositivo de firewall de red entre Oracle Cloud Infrastructure y el entorno de Microsoft Azure mediante conectividad de red de interconexión OCI-Microsoft Azure. Hemos tratado de desplegar el entorno con Microsoft Azure Firewall en Microsoft Azure y OCI Network Firewall en OCI. El último paso es validar la conectividad de red entre las regiones OCI/Microsoft Azure y garantizar que el tráfico se valide mediante Firewall en función de las capacidades de enrutamiento mediante Firewalls mediante OCI/Microsoft Azure Interconnect.

Requisitos

• Una suscripción activa a Microsoft Azure y un arrendamiento activo de OCI.

• Una ubicación de intercambio de tráfico de Microsoft Azure ExpressRoute cercana o en la misma ubicación de intercambio de tráfico que OCI FastConnect. Consulte Disponibilidad regional.

• La conectividad directa entre las regiones interconectadas de Microsoft Azure y OCI se ha completado correctamente. Consulte Configuración de conectividad directa entre ExpressRoute y FastConnect.

• Se asume que está familiarizado con los servicios de redes y en la nube, incluidos OCI FastConnect, OCI Network Firewall, Microsoft Azure Firewall y Microsoft Azure ExpressRoute.

• Se necesita conocer la interconexión de OCI Microsoft Azure.

Destinatarios

Este tutorial está dirigido a profesionales de proveedores de Cloud Service y administradores multinube.

Arquitectura

A continuación se muestra la arquitectura de alto nivel de la solución.

Puede consultar esta arquitectura cuando desee configurar una región interconectada y proteger el tráfico mediante Network Virtual Appliance en una arquitectura Hub y Spoke.

Tarea 1: Creación de una red virtual y una subred en Microsoft Azure

1. Inicie sesión en el portal de Microsoft Azure.

2. En la parte superior izquierda de la pantalla, seleccione Crear un recurso, Red, Red virtual o busque Red virtual en el cuadro de búsqueda.

3. En Crear red virtual, introduzca o seleccione esta información en el separador Básicos:

   Detalles de proyecto

   • Suscripción: seleccione su suscripción a Azure.

   • Grupo de recursos: seleccione Crear nuevo, introduzca resource-group-name y, a continuación, seleccione Aceptar o seleccione un resource-group-name existente según los parámetros.

   Detalles de Instancia

   • Nombre: introduzca virtual-network-name.

   • Región: seleccione nombre_región.

4. Seleccione el separador Direcciones IP o el botón Siguiente: Direcciones IP al final de la página.

5. En el separador Direcciones IP, introduzca esta información:

   • Espacio de dirección IPv4: introduzca ipv4-address-range; ejemplo: Hub VNET: 10.40.0.0/16 para la región este de EE. UU., Spoke VNET: 10.30.0.0/16 para la región este de EE. UU.

6. En Nombre de subred, seleccione la palabra por defecto.

7. En Editar subred, introduzca esta información:

   • Nombre de subred: introduzca subnet-name.

   • Rango de direcciones de subred: introduzca subnet-address-range Ejemplo: Subred informática: 10.40.3.0/24 para Hub VNET, subred informática: 10.30.1.0/24 para Spoke VNET.

8. Seleccione Guardar.

9. Seleccione el separador Revisar y crear o seleccione el botón Revisar y crear.

10. Seleccione Crear.

Repita los Pasos 1-9 para Hub y Spoke VNets y, a continuación, continúe con la siguiente sección para crear la subred del firewall de Microsoft Azure.

Tarea 2: Creación de una subred de firewall de Microsoft Azure

Siga la guía paso a paso para crear una subred de firewall con los siguientes parámetros mínimos.

• firewall-subnet-name: se debe rellenar el nombre AzureFirewallSubnet.

• subnet-address-range: introduzca el rango de direcciones de subred del firewall; por ejemplo: 10.40.1.0/24 en el hub VNET.

Vaya a la siguiente sección para crear una subred de gateway y un gateway de red virtual.

Tarea 3: Creación de una subred de gateway y un gateway de red virtual en Microsoft Azure

Puede seguir la guía paso a paso para crear una subred de gateway y un gateway de red virtual con los parámetros mínimos descritos en las siguientes tablas.

Parámetros de subred de gateway

Parámetro	Valor
gateway-subnet-name	Nombre GatwaySubnet rellenado automáticamente.
rango de direcciones de subred	Introducir rango de direcciones de subred de gateway; ejemplo: 10.40.0.0/24 en VNET de hub

Parámetros de gateway de VNET:

Valor	Valor
Detalles de proyecto
Suscripción	Selecciona tu suscripción a Microsoft Azure
Grupo de Recursos	Esta opción se seleccionará automáticamente en la selección de VNET.
Detalles de gateway
Nombre	Introduzca gateway-name
Región	Seleccione (EE. UU.) este de EE. UU. o región en la que haya creado VNET
Tipo de gateway	Seleccione ExpressRoute
SKU	Seleccione el SKU de gateway de lista desplegable
Red virtual	Seleccione VNET creado anteriormente en su región.
Dirección IP Pública
Dirección IP Pública	Seleccione Create new.
Nombre de dirección IP pública	Introduzca un nombre para la dirección IP pública.

Una vez que haya creado los recursos necesarios en la región de Microsoft Azure, continúe con la siguiente sección para desplegar el firewall de Microsoft Azure.

Tarea 4: Despliegue del firewall de Microsoft Azure en la red virtual Hub de Microsoft Azure

Puede seguir la guía paso a paso para implementar un firewall de Microsoft Azure en la VNET de hub utilizando los parámetros mínimos descritos en la siguiente tabla.

Parámetro	Valor
Suscripción	Seleccione su suscripción.
Grupo de Recursos	Seleccione su-resource-group. Seleccione el grupo de recursos que debe haber creado durante los pasos previos a las solicitudes.
nombre	Introduzca firewall-name
SKU de firewall	Seleccionar SKU de firewall de la opción proporcionada
política de firewall	Haga clic en Add New y cree una nueva política de firewall.
select-a-virtual-network	Seleccione la red virtual creada anteriormente
dirección IP pública	Seleccionar o crear una nueva IP pública

Vaya a la siguiente sección para conectar el circuito ExpressRoute al gateway de red virtual.

Tarea 5: Conecte su circuito ExpressRoute al gateway de red virtual a través de una conexión en Microsoft Azure

Puede seguir la guía paso a paso para crear una conexión ExpressRoute con los parámetros mínimos descritos en la siguiente tabla.

Parámetro	Valor
Suscripción	Seleccione su suscripción.
Grupo de Recursos	Seleccione su-resource-group. Seleccione el grupo de recursos que debe haber creado durante los pasos previos a las solicitudes.
tipo de conexión	Seleccione ExpressRoute
Nombre	Introduzca connection-name
Región	Seleccione (EE. UU.) este de EE. UU. o región en la que creó el gateway de VNET.
virtual-network-gateway	Seleccione la puerta de enlace de VNET creada anteriormente.
circuito de Expressroute	Seleccione ExpressRoute Circuito creado en pasos de requisitos previos.

Una vez que haya creado las conexiones necesarias en ambas regiones de Microsoft Azure, vaya a la siguiente sección para crear tablas de rutas definidas por el usuario para las subredes en VNets.

Tarea 6: Creación de rutas definidas por el usuario en Microsoft Azure

Puede seguir la guía paso a paso para crear rutas definidas por el usuario para cada tabla asociada de subred mediante los parámetros mínimos descritos en las siguientes tablas.

Configurar las entradas de la tabla de rutas de la subred de gateway

Parámetro	Valor
nombre de ruta	Introducir nombre de ruta
prefijo de dirección-destino	Introducción de prefijos de destino Ejemplo: subred informática de hub: 10.40.3.0/24, subred informática de interlocutor: 10.30.1.0/24
siguiente tipo de salto	Seleccione Virtual Appliance.
siguiente dirección de salto	Introduzca la siguiente dirección de salto como ejemplo de IP privada del firewall: 10.40.1.4

Asegúrese de que tiene las entradas necesarias y asocie la tabla de rutas a la subred de gateway del hub VNet.

Configurar las subredes de recursos informáticos en las entradas de la tabla de rutas del hub VNet

Parámetro	Valor
nombre de ruta	Introducir nombre de ruta
prefijo de dirección-destino	Introducir prefijos de destino; ejemplo: subred informática de OCI Hub: 10.10.0.0/24, subred informática de OCI Spoke: 10.20.0.0/24, subred de Microsoft Azure Spoke: 10.30.1.0/24, Microsoft Azure Hub VNET: 10.40.0.0/16
siguiente tipo de salto	Seleccione Virtual Appliance.
siguiente dirección de salto	Introduzca la siguiente dirección de salto como ejemplo de IP privada del firewall: 10.40.1.4

Asegúrese de que tiene las entradas necesarias y asocie esta tabla de rutas a la subred informática del hub VNet.

Configurar subred informática en entradas de la tabla de rutas VNet de Spoke

Parámetro	Valor
nombre de ruta	Introducir nombre de ruta
prefijo de dirección-destino	Introducir prefijos de destino; ejemplo: subred de recursos informáticos del hub de OCI: 10.10.0.0/24, subred de recursos informáticos del spoke de OCI: 10.20.0.0/24, subred de recursos informáticos del hub de Microsoft Azure: 10.40.3.0/24
siguiente tipo de salto	Seleccione Virtual Appliance.
siguiente dirección de salto	Introduzca la siguiente dirección de salto como ejemplo de IP privada del firewall: 10.40.1.4

Asegúrese de que tiene las entradas necesarias y asocie esta tabla de rutas a la subred informática de Spoke VNet.

Una vez que haya creado las rutas necesarias, vaya a la siguiente sección para crear máquinas virtuales que validen el tráfico entre Microsoft Azure y OCI.

Tarea 7: Crear rutas definidas por el usuario en Microsoft Azure

En esta sección, creará máquinas virtuales para validar la conectividad de Microsoft Azure a Oracle Cloud Infrastructure.

1. En la parte superior izquierda de la pantalla del portal de Microsoft Azure, seleccione Crear un recurso, Recursos informáticos y Máquina virtual.

2. En Crear una máquina virtual - Conceptos básicos, introduzca o seleccione esta información.

   Valor	Valor
   Detalles de proyecto
   Suscripción	Seleccione su suscripción.
   Grupo de Recursos	Seleccione su-resource-group. Seleccione el grupo de recursos que debe haber creado durante los pasos de requisitos previos.
   Detalles de Instancia
   Nombre de Máquina Virtual	Introduzca vm-name.
   Región	Seleccione (EE. UU.) Este de EE. UU. o región en la que desea realizar el despliegue.
   Opciones de disponibilidad	Deje el valor por defecto Sin redundancia de infraestructura necesario.
   Imagen	Seleccione Ubuntu Server 18.04 LTS - Gen1.
   Tamaño	Seleccione Standard_B2s.
   Cuenta de administrador
   Tipo de Autenticación	Seleccione Contraseña. También puede elegir la autenticación basada en SSH y actualizar el valor necesario según sea necesario.
   Nombre de usuario	Introduzca el nombre de usuario que desee.
   Contraseña	Introduzca una contraseña de su elección. La contraseña debe tener al menos 12 caracteres y cumplir los requisitos de complejidad definidos.
   Confirmar contraseña	Vuelva a introducir la contraseña.
   Reglas de puertos entrantes
   Puertos de entrada públicos	Seleccione Ninguno.

3. Seleccione Next: Disks (Siguiente: discos).

4. En Crear una máquina virtual - Discos, deje los valores por defecto y seleccione Siguiente: Red.

5. En Crear una máquina virtual - Red, seleccione esta información.

   Valor	Valor
   Red virtual	Seleccione virtual-network.
   Subred	Seleccione compute-subnet, por ejemplo: 10.40.3.0/24 en el hub VNet, 10.30.1/24 en Spoke VNet
   IP pública	Deje el valor predeterminado (nuevo) my-vm-ip.
   Puertos de entrada públicos	Seleccione Permitir puertos seleccionados.
   Seleccionar puertos de entrada	Seleccione SSH.

6. Seleccione Revisar y crear. Accederá a la página Revisar + crear, donde Microsoft Azure valida la configuración.

7. Cuando vea el mensaje Validación aprobada, seleccione Crear.

Repita los pasos 1-7 para las máquinas virtuales Spoke y Hub VNet y vaya a la siguiente sección para crear los recursos necesarios en Oracle Cloud Infrastructure.

Tarea 8: Creación de recursos en Oracle Cloud Infrastructure

En esta sección, creará los recursos necesarios para soportar la validación desde la consola de OCI en regiones interconectadas. En la consola de OCI, cree los siguientes recursos en cada región.

• Cree una red virtual en la nube de hub con una subred informática.

• Cree las subredes de tráfico y gestión necesarias en la VCN del hub.

• Despliegue el firewall de red de OCI en la VCN del hub.

• Cree una red virtual en la nube Spoke con una subred informática.

• Cree una asociación de VCN de hub al DRG creado en los requisitos previos con el circuito virtual de interconexión OCI/Microsoft Azure.

• Cree una asociación de VCN de Spoke con el DRG creado y amplíe la ruta de entrada al firewall de red de OCI.

• Cree una máquina virtual en la subred informática de VCN de hub y de interlocutor y actualice las rutas/listas de seguridad necesarias para conectarse a VNET de Microsoft Azure.

• Amplíe la conectividad de red virtual en la nube a Microsoft Azure VNET mediante DRG. Puede seguir esta guía paso a paso.

• Siga este taller paso a paso para desplegar OCI Network Firewall en OCI en una arquitectura de hub y Spoke.

• Siga esta guía paso a paso para crear una máquina virtual y completar el trabajo necesario de red o subred virtual en la nube.

• Siga esta guía paso a paso para establecer el intercambio de regiones entre regiones de OCI a través de DRG.

Tarea 9: Validar el tráfico en la interconexión OCI/Microsoft Azure

En esta sección, se conectará a máquinas virtuales de Linux de ambos proveedores de servicios en la nube y realizará una prueba de ping para comprobar la conectividad.

1. Conéctese a máquinas virtuales Linux en ambos proveedores de nube mediante su terminal.

2. Inicie un ICMP RTT desde máquinas virtuales de Microsoft Azure hasta máquinas virtuales de OCI y viceversa.

• Esto garantizará la conectividad de red.

• En la siguiente tabla se muestra una prueba de conectividad realizada en función de la topología de red compartida y se refleja que puede acceder desde Hub y Spoke del entorno de Microsoft Azure al hub y Spoke de OCI.

• También puede supervisar el tráfico desde los logs del firewall disponibles en Virtual Appliance.

  Validación de tráfico	SRIOV/Red acelerada	ICMP RTT (milisegundos)
  VM de OCI Hub a VM de Microsoft Azure Hub; 10.10.1.168 > 10.40.3.4	si	3.9
  OCI Hub VM a Microsoft Azure Spoke VM; 10.10.1.168 > 10.30.1.4	si	4,5
  Máquina virtual de OCI Hub a OCI Spoke VM; 10.10.1.168 > 10.20.0.190	si	0,75
  OCI Spoke VM a Microsoft Azure Hub VM; 10.20.0.190 > 10.40.3.4	si	4,52
  OCI Spoke VM a Microsoft Azure Spoke VM; 10.20.0.190 > 10.30.1.4	si	5,33
  Máquina virtual de OCI Spoke para OCI Hub VM; 10.20.0.190 > 10.10.0.168	si	0,64
  Microsoft Azure Hub VM a Microsoft Azure Spoke VM; 10.40.3.4 > 10.30.1.4	si	4.35
  Máquina virtual de hub de Microsoft Azure para OCI Hub VM; 10.40.3.4 > 10.10.0.168	si	4.46
  Máquina virtual de Microsoft Azure Hub a OCI Spoke VM; 10.40.3.4 > 10.20.0.190	si	4.68
  Microsoft Azure Spoke VM a Microsoft Azure Hub VM; 10.30.1.4 > 10.40.3.4	si	4.72
  Microsoft Azure Spoke VM para OCI Hub VM; 10.30.1.4 > 10.10.0.168	si	4.24
  Microsoft Azure Spoke VM a OCI Spoke VM; 10.30.1.4 > 10.20.0.190	si	4.43

ICMP RTT entre Microsoft Azure y OCI refleja la conectividad establecida entre las regiones OCI y Microsoft Azure mediante la interconexión y el tráfico que pasa por los servicios de firewall nativos según nuestra topología de red.

Nota: En la tabla anterior, se refleja ICMP RTT como un punto de referencia que puede variar según las regiones y la arquitectura de los casos de uso. Se recomienda realizar un POC.

Puede encontrar más información sobre la latencia de Microsoft Azure entre regiones en: Microsoft Learn: Microsoft Azure network, estadísticas de latencia de ida y vuelta

Para obtener más información sobre cómo probar la latencia de máquina virtual, consulte: Microsoft Learn: Probar la latencia de red de máquina virtual de Microsoft Azure en una red virtual de Microsoft Azure

Tarea 10: Limpiar recursos

Cuando haya terminado de utilizar los recursos, suprima el grupo de recursos y los recursos asociados.

1. Suprima el enlace de interconexión si aún no lo ha hecho. Para obtener más información, consulte la guía paso a paso.

2. Introduzca su-resource-group-name en el cuadro de búsqueda situado en la parte superior del portal y seleccione su-resource-group-name en los resultados de búsqueda.

3. Seleccione Suprimir grupo de recursos.

4. Introduzca su-resource-group-name para TYPE THE RESOURCE GROUP NAME y seleccione Delete (Suprimir).

5. Asimismo, suprima los recursos desplegados en Oracle Cloud Infrastructure.

Enlaces relacionados

• Asociación: interconexión de Oracle Microsoft Azure

• Visión General de Oracle Applications y Soluciones en Microsoft Azure

• Blog: Guía paso a paso: Interconexión de Oracle Cloud Infrastructure y Microsoft Azure

Agradecimientos

• Autor: Arun Poonia, arquitecto principal de soluciones

• Colaborador - Daniel Mauser, especialista principal en soluciones de Global Black Belt - Redes de Microsoft Azure

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de aprendizaje gratuito en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en un explorador de Oracle Learning.

Para obtener documentación sobre los productos, visite Oracle Help Center.

---

Título e Información de Copyright

Secure traffic between Oracle Cloud Infrastructure and Microsoft Azure using Network Virtual Appliance

F81212-02

July 2023

Copyright © 2023, Oracle and/or its affiliates.