[Evento] Microsoft Azure Discovery Day

He tenido el placer de ser invitado una vez más por Microsoft a un evento oficial, en este caso el Microsoft Azure Discovery Day el cual se llevó en Bogotá. Medellín y Cali. Solo pude estar en el de Cali, mi sesión fue Business Continuity un tema que por supuesto me apasiona, estuve compartiendo escenario con varios empleados de Microsoft LATAM, y de mi gran amigo Jhon Barreto, fue un día lleno de Azure y como siempre una experiencia inolvidable. A continuación foto del evento:

PRESENTACIÓN:

Azure Discovery Day 2019 from Cesar Herrada

Crear red de sitio a sitio S2S en Azure utilizando RRAS

En Microsoft Azure tenemos la posibilidad de crear dos tipos diferentes de conexiones VPN, de punto a sitio P2S, donde básicamente realizamos una conexión desde un solo punto o equipo a una red en Azure. Si desea saber cómo configurar este tipo de conexión los invito a leer el siguiente post: Crear red punto a sitio en Azure. En este caso vamos  a ver cómo realizar una conexión VPN de sitio a sitio S2S, donde lo que hacemos conectar toda una red LAN completa con una red en Azure.

Para este tipo de conexión VPN necesitamos de una dirección IP pública en nuestra LAN, y un dispositivo de enrutamiento  para conectar a la red virtual de Azure a través de un túnel VPN IPSec/IKE (IKEv1 ó IKEv2), el dispositivo a utilizar debe ser compatible con Azure en este enlace puede encontrar más información sobre los dispositivos soportados.

Ahora veamos los pasos para crear la conexión VPN

1. Crear red virtual

Ingresamos al portal de Azure https://portal.azure.com nos dirigimos al Market Place y en la parte de Redes elegimos Red Virtual

Ahora vamos a poner los datos de la red virtual, debemos utilizar un segmento de direcciones IP que no vaya a entrar en conflicto con el segmento de nuestra red local, todas las máquinas que creemos en adelante y las asociemos con esta red, se les asignará una dirección IP del segmento creado, para este caso tenemos un espacio de direcciones 192.168.0.0/16, y de este espacio de direcciones crearemos una subred en un segmento más pequeño 192.168.1.0/24

Nombre: Ponemos el nombre que deseemos para nuestra red, aquí la llamaremos VNet

Espacio de direcciones: El espacio de direcciones que usaremos para asignar a esta red virtual, una red virtual puede contener varias subredes, por esta razón estoy creando un espacio de direcciones generoso (máscara de 16 bits), para luego crear subredes a partir de este espacio de direcciones, hemos elegido como espacio de direcciones 192.168.0.0/16 

Suscripción: Elegimos la suscripción a utilizar.

Grupo de recursos: Podemos elegir un grupo de recursos existente o bien podemos crear uno nuevo, generalmente y como una buena práctica debemos crear primero el grupo de recursos antes de crear cualquier otro recurso, en mi caso siempre o hago así, y en este caso utilizaré un grupo de recursos que previamente creé llamado RRAS

Ubicación: Elegimos la región en la cual deseamos crear la red, en este caso Este de EE.UU.

Bajo el apartado subnet 

Name: ponemos el nombre que llevará nuestra subred, en este caso la llamaré Backend

Address range: El segmento de direcciones para la subred, vamos a utilizar 192.168.1.0/24

Como mencioné anteriormente, tenemos la posibilidad de crear varias subredes dentro de una red virtual, en este caso vamos a necesitar de una subred de puerta de enlace, para ello sobre la red recién creada en Configuración seleccionamos subredes

Allí podemos ver nuestra subred recién creada Backend y en la parte superior tenemos la opción de agregar una subred de puerta de enlace como se muestra a continuación.

Nos solicitará el segmento a utilizar para esta nueva subred, el nombre no lo podemos elegir, siempre se llamará GatewaySubnet lo único que debemos poner es el segmento de direcciones a utilizar, voy a tomar otro de mi espacio global de direcciones para la red virtual 192.168.2.0/24, se puede elegir un segmento más pequeño, pero de hecho Microsoft recomienda no dejarlo tan limitado por si se requieren configuraciones en el futuro.

 Al final las subredes quedaron de la siguiente forma:

2. Crear puerta de enlace de red virtual

Básicamente esta puerta de enlace nos servirá como puente para enviar y recibir información entre la puerta de enlace de Azure y el servidor RRAS local.

Vamos al Market Place y en la sección de redes buscamos Puerta de enlace de red virtual

Y empezamos a diligenciar los campos:

Nombre: El nombre que deseamos para la puerta de enlace de red virtual, en este caso Gateway (bastante creativo XD).

Tipo de puerta de enlace: Elegimos VPN  ya que es el tipo de conexión que estamos creando.

Tipo de VPN: Elegimos VPN basada en rutas

SKU: Existen varios SKU según las necesidades, en este caso dejamos VpnGw1 este SKU permite máximo 30 túneles S2S, máximo 128 conexiones P2S. Puede ver las diferencias y detalles adicionales sobre los SKU en este enlace

Red virtual: Seleccionamos la red virtual VNet

Dirección IP pública: Aquí podemos elegir una IP existente o crear una nueva, en este caso hemos creado un nuevo objeto de dirección IP pública llamado Gateway-RRAS-IP

Después de tener todo listo hacemos clic en Crear y solo resta tener paciencia, este proceso puede tardar hasta 45 minutos (y tal vez un poco más).

3. Crear puerta de enlace de red local

Esta puerta de enlace es la que va a contener los datos de nuestra red local, incluyendo la dirección IP pública y el segmento de red usado en el entorno local.

Nota: Recuerde que los segmentos de red local no deben existir en Azure

En el Market Place en Redes seleccionamos Puerta de enlace de red local

Ahora proporcionamos los datos necesarios para la creación de la puerta de enlace.

Nombre: Ponemos un nombre descriptivo para la puerta de enlace,en este caso: GW-LAN-RRAS

Dirección IP: Aquí ponemos la dirección IP pública (No puede estar detrás de un NAT), del dispositivo VPN que para este caso será el servidor RRAS

Espacio de direcciones: Aquí debemos poner el segmento o segmentos dela red local, estos segmentos son usados por Azure para enrutar el tráfico de esos segmentos por la VPN, debe tener cuidado de estos segmentos no existan en Azure. La imagen anterior la generé antes de poner el segmento local (lo siento!), pero mi segmento es 172.16.1.0/24. Como pueden ver utilicé uno bastante diferente para no generar confusiones.

El resto de opciones ya las conocemos y las he explicado anteriormente así que voy a omitirlas.

4. Crear conexión VPN

En la recién creada puerta de enlace de red local en Configuración seleccionamos Conexiones

Hacemos clic en el símbolo + Agregar

Y completamos los siguientes datos solicitados:

Nombre: Elegimos un nombre para la conexión, en este ejemplo: S2S-LAN

Tipo de conexión: Seleccionamos De sitio a sitio (IPSec)

Puerta de enlace de red virtual: Seleccionamos la creada en el paso 2 Gateway

Puerta de enlace de red local: Seleccionamos la creada en el paso 3 GW-LAN-RRAS

Clave compartida (PSK): Ponemos una clave cualquiera, la necesitaremos más adelante para configurar el servidor RRAS por lo tanto hay que tenerla presente, en la imagen a continuación utilizo una clave sencilla para fines de esta demostración, pero lo ideal es usar una clave más compleja.

5. Configurar rol RRAS en Windows Server 2012 R2

El último paso es la configuración de el rol RRAS en Windows Server que actuará como nuestro dispositivo VPN. Abrimos Server Manager e instalamos el rol Remote Access

Una vez instalado el rol abrimos la consola RRAS y sobre el nombre del servidor hacemos clic derecho y seleccionamos Configure and Enable Routing and Remote Access

En la primer ventana del wizard seleccionamos Secure connection between two private networks

A continuación seleccionamos Yes

En IP Address Assignment seleccionamos Automatically

Por último, hacemos clic en Finish

Sobre Network Interfaces hacemos clic derecho y seleccionamos New Demand-dial Interface

Hacemos clic en Next para iniciar

Ponemos un nombre ala interface

En Connection Type elegimos  Connect using virtualprivate network (VPN)

Ahora en VPN Type seleccionamos IKEv2

En la siguiente ventana debemos especificar la dirección IP pública asignada por Azure, si no la conocemos basta con ir al portal de Azure y en la información general de la puerta de enlace de red virtual podemos consultarla, tal como se muestra a continuación:

Después de tener la IP pública la ponemos en el wizard y hacemos clic en Next

En Protocols and Security seleccionamos Route IP packets on this interface

En la siguiente ventana hacemos clic en Add para agregar una ruta estática 

Y ponemos el segmento de la red virtual en Azure

Quedará de la siguiente forma, hacemos clic en Next

Nos solicitará crear credenciales, como utilizaremos clave compartida no es necesario, así que solo pondré el nombre de usuario.

Hacemos clic en Fisnish para terminar la configuración de la interface Demand-dial

Seleccionamos la interface recién creada Azure S2S y hacemos clic derecho y luego Propiedades

Vamos a la pestaña Security y ponemos la clave PSK

Ahora, solo nos resta hacer clic derecho sobre la interface y seleccionar Connect

Y como podemos apreciar en la siguiente imagen tenemos en estado Connected

Y eso es todo, si queremos verificar el estado de la conexión desde el portal de Azure, vamos a la puerta de enlace de red virtual, y en Configuración seleccionamos Conexiones

Podremos apreciar tanto el estado de la conexión como los datos de entrada y salida.

Bien, y hasta aquí hemos llegado, sé que está un poco largo, pero tocaba hacerlo. Espero les sea de utilidad.

Crear VM a partir de una imagen en Azure

Microsoft Azure incluye un grupo de plantillas muy variado el cual podemos aprovechar para crear nuestras máquinas virtuales, la creación de máquinas a partir de plantillas nos ahorra tiempo y nos facilita la vida, el portal de Azure no solamente incorpora plantillas para tecnologías Microsoft, sino plantillas basadas en tecnologías de terceros. En la siguiente imagen podemos apreciar las plantillas existentes para Oracle por ejemplo, pero también encontraremos varias plantillas para el sistema operativo Linux.

Lo anterior es genial, pero qué sucede si queremos tener nuestras propias plantillas? que tal una plantilla con un desarrollo propio incorporado o con alguna configuración de línea base establecida?. Pues de eso precisamente es lo que voy escribir en este artículo, vamos a crear nuestra propia plantilla para ser usada desde el portal de Azure y que aparezca en la galería tal como vimos en la imagen anterior.

Para nuestro ejemplo, haremos algo bien sencillo, simplemente vamos a instalar un servidor web IIS, así que nuestra plantilla será el sistema operativo Windows que tiene el rol de servidor web.

Lo primero es crear una máquina virtual común y corriente a través del portal, en mi caso VM1

Una vez creada, iniciamos sesión en la misma y empezamos a configurar el rol, aplicación o lo que deseemos incluya la plantilla, para este ejemplo solamente el rol de servidor web IIS

Cuando terminemos de configurar la línea base para nuestra plantilla, debemos hacer una preparación del sistema o sysprep que elimina identificadores, y configuraciones que hacen que la máquina sea única esto permite llevar un sistema a hardware diferente, después de hacer el sysprep, el sistema debe arrancar como si fuera la primera vez que prendemos la máquina, a esto se le conoce como OOBE (Out Of Box Experience) lo que en español es como "experiencia fuera de la caja", es decir como cuando recién desempacamos un producto, en esta caso el sistema operativo Windows

Para ejecutar el sysprep, debemos ir a la siguiente ruta:

%windir%\system32\sysprep allí encontramos un ejecutable llamado Sysprep

Al hacer doble clic sobre el ejecutable sysprep, se abrirá un cuadro de diálogo el cual debemos dejar con las misma configuración que se muestra en la siguiente imagen:

Nótese que encierro la opción Generalize la cual no viene marcada por defecto y es la que permite generar un identificador diferente a la máquina, el proceso tardará un par de segundos y luego se apagará de manera automática la máquina, ya que hemos marcado la opción shutdown

Desde el portal de Azure esperamos hasta que la máquina se muestre en estado Detenido

Nota importante: Antes de crear la imagen es importante aclarar que la máquina virtual que usamos para la creación se eliminará, y no podrá usarse más a menos de que creemos una nueva máquina a partir de la imagen personalizada. Debe tener esto muy en cuenta en especial si de pronto la máquina se encuentra en producción.

Estando seleccionada la máquina hacemos clic en la opción Capturar que se encuentra en las herramientas de la parte inferior del portal.

A continuación, debemos poner un nombre a la imagen, una descripción opcional, y por último debemos marcar la casilla de selección indicando que ya hemos realizado el sysprep

 En la imagen anterior podemos ver el mensaje de advertencia donde nos indica que la máquina será eliminada.

Al finalizar, podemos observar que nos encontramos en el menú imágenes donde encontraremos nuestra nueva imagen con estado Disponible

Si regresamos al menú de Instancias veremos que en efecto la máquinas virtual VM1 ha sido eliminada, en este ejemplo solo se encuentra VM2

Y listo, con esto hemos terminado de crear la imagen, ahora vamos a crear una máquina virtual a partir de la imagen recién creada. Para ello vamos común y corriente a crearla a partir de la galería.

La diferencia, es que en lugar de elegir cualquiera de las categorías ya existentes, seleccionaremos Mis imágenes

Y allí encontramos la imagen o imágenes que hayamos creado, para este ejemplo veremos la plantilla IIS-WEB-SERVER

De aquí en adelante, es lo que ya conocemos con respecto a la creación de máquinas virtuales, nombre, tamaño, etc.

Esperamos hasta que termine la creación de la nueva máquina virtual, que para este ejemplo volví a llamar VM1

Al ingresar a la máquina, veremos que efectivamente tiene el rol de servidor web instalado.

Bien amigos, y esto es todo, como siempre espero sea de utilidad esta información, cualquier cosa no duden en comentar.