Integración de su aplicación con una instancia de Azure Virtual Network

En este artículo, se describe la característica de integración con redes virtuales de Azure App Service y se explica cómo configurarla con aplicaciones en App Service. Con Azure Virtual Network, puede colocar cualquier recurso de Azure en una red que se pueda enrutar distinta de Internet. La característica de integración de red virtual de App Service permite a las aplicaciones acceder a los recursos de una red virtual o mediante esta. La integración de red virtual no permite el acceso privado a las aplicaciones.

App Service tiene dos variantes:

  • Los planes de tarifa de proceso dedicados, que incluyen los niveles Básico, Estándar, Premium, Premium v2 y Premium v3.
  • App Service Environment que se implementa directamente en la red virtual con una infraestructura de soporte técnico dedicada y usa los planes de tarifa Aislado y Aislado v2.

La característica de integración en red virtual se usa en planes de tarifa de proceso dedicado de Azure App Service. Si la aplicación está en App Service Environment, ya forma parte de una red virtual y no requiere el uso de la característica Integración con red virtual para acceder a recursos en la misma red virtual. Para más información sobre todas las características de redes, consulte Características de redes de App Service.

Integración con red virtual proporciona a la aplicación acceso a los recursos de la red virtual, pero no concede acceso privado de entrada a la aplicación desde esa red virtual. El acceso privado a sitios se refiere a que solo se puede acceder a la aplicación desde una red privada; por ejemplo, desde dentro de una red virtual de Azure. Integración de Virtual Network solo se usa para realizar llamadas salientes de la aplicación a la red virtual. La característica integración de red virtual se comporta de forma distinta con redes virtuales de la misma región que con redes virtuales de otras regiones. La característica de integración de red virtual tiene dos variaciones:

  • Integración con red virtual regional: cuando se conecta a redes virtuales de la misma región, debe tener una subred dedicada en la red virtual con la que se va a realizar la integración.
  • Integración con red virtual con requisito de puerta de enlace: cuando se conecta directamente a redes virtuales de otras regiones o a una red virtual clásica de la misma región, necesita una puerta de enlace de Azure Virtual Network creada en la red virtual de destino.

La característica de integración de red virtual:

  • Necesita un plan de precios Básico o Estándar admitido, Premium, Premium v2, Premium v3 o Elástico Premium de App Service.
  • Es compatible con TCP y UDP.
  • Funciona con aplicaciones de App Service y de Functions.

Hay algunos aspectos que la integración de red virtual no admite, como:

  • Montar una unidad.
  • Integración de Windows Server Active Directory.
  • NetBIOS.

Integración con red virtual con requisito de puerta de enlace solo proporciona acceso a los recursos de la red virtual de destino o de las redes conectadas a esta que tienen emparejamiento o redes privadas virtuales. La integración con red virtual con requisito de puerta de enlace no permite acceder a los recursos disponibles en las conexiones de Azure ExpressRoute ni trabajar con puntos de conexión de servicio.

Independientemente de la versión que se use, la integración con red virtual proporciona a la aplicación acceso a los recursos de la red virtual, pero no concede acceso privado de entrada a la aplicación desde esa red virtual. El acceso privado a sitios se refiere a que solo se puede acceder a la aplicación desde una red privada (por ejemplo, desde dentro de una red virtual de Azure). La integración de red virtual solo sirve para realizar llamadas salientes desde la aplicación a la red virtual.

Aprenda a habilitar la integración de red virtual .

Integración de red virtual regional

La integración de red virtual regional admite la conexión a una red virtual en la misma región y no requiere una puerta de enlace. Cuando se utiliza la integración de red virtual regional, la aplicación puede acceder a:

  • Recursos de la red virtual con la que está conectado.
  • Los recursos de las redes virtuales emparejadas con la red virtual con la que se integra la aplicación incluyen conexiones de emparejamiento global.
  • Recursos de diferentes conexiones de Azure ExpressRoute.
  • Servicios protegidos mediante puntos de conexión de servicio
  • Servicios habilitados para puntos de conexión privados

Si usa la integración de red virtual regional, puede utilizar las siguientes características de redes de Azure:

  • Grupos de seguridad de red (NSG) : el tráfico saliente se puede bloquear con un grupo de seguridad de red que se encuentre en la subred de integración. Las reglas de entrada no se aplican, ya que la integración de red virtual no se puede usar para proporcionar acceso de entrada a la aplicación.
  • Tablas de enrutamiento (UDR) : puede colocar una tabla de enrutamiento en la subred de integración para enviar el tráfico de salida donde quiera.

Cómo funciona la integración de red virtual regional

Las aplicaciones en App Service se hospedan en roles de trabajo. La integración de red virtual regional funciona montando interfaces virtuales en los roles de trabajo con las direcciones de la subred delegada. Dado que la dirección de origen se encuentra en la red virtual, puede tener acceso a la mayoría de elementos en la red virtual o a través de ella, como haría una máquina virtual en la red virtual. La implementación de redes es diferente de la ejecución de una máquina virtual en la red virtual. Este es el motivo por el que algunas características de red todavía no están disponibles para esta característica.

Diagram that shows how regional virtual network integration works.

Cuando la integración de red virtual regional está habilitada, la aplicación realiza llamadas salientes a través de la red virtual. Las direcciones salientes que se muestran en el portal de propiedades de la aplicación siguen siendo las direcciones usadas por la aplicación. Pero si la llamada saliente es a una máquina virtual o un punto de conexión privado en la red virtual de integración o en la red virtual emparejada, la dirección saliente será una dirección de la subred de integración. La dirección IP privada asignada a la instancia se expone por medio de la variable de entorno, WEBSITE_PRIVATE_IP.

Si todo el enrutamiento de tráfico está habilitado, todo el tráfico saliente se envía a la red virtual. Si no está habilitado todo el enrutamiento de tráfico, solo se enviarán a la red virtual el tráfico privado (RFC1918) y los puntos de conexión de servicio configurados en la subred de integración y el tráfico saliente a Internet pasará por los mismos canales normales.

La característica solo admite una interfaz virtual por trabajo. Una interfaz virtual por trabajo significa una característica de integración con redes virtuales regionales por plan de App Service. Todas las aplicaciones del mismo plan de App Service solo pueden usar la misma integración con redes virtuales en una subred específica. Si necesita que una aplicación se conecte a otra red virtual u otra subred de la misma red virtual, debe crear otro plan de App Service. La interfaz virtual utilizada no es un recurso al que los clientes tengan acceso directo.

Dada la forma en que esta tecnología funciona, el tráfico que se usa con la integración con redes virtuales no se muestra en los registros de flujos del grupo de seguridad de red o Azure Network Watcher.

Requisitos de subred

La integración de red virtual depende de una subred dedicada. Al crear una subred, la subred de Azure pierde cinco direcciones IP desde el inicio. Se usa una dirección de la subred de integración para cada instancia del plan. Si escala la aplicación a cuatro instancias, se usan cuatro direcciones.

Al escalar o reducir verticalmente el tamaño, el espacio de direcciones necesario se duplica durante un breve período de tiempo. Este cambio afecta a las instancias admitidas reales y disponibles para un tamaño de subred determinado. En la tabla siguiente se muestran las direcciones máximas disponibles por bloque CIDR y el impacto que esto tiene en la escala horizontal.

Tamaño de bloque CIDR Número máximo de direcciones disponibles Número máximo de escalas horizontales (instancias)*
/28 11 5
/27 27 13
/26 59 29

*Se da por supuesto que tendrá que escalar o reducir verticalmente el tamaño o la SKU en algún momento.

Como el tamaño de la subred no se puede cambiar después de la asignación, use una subred lo suficientemente grande como para dar cabida a cualquier escala que pueda alcanzar la aplicación. Para evitar problemas con la capacidad de la subred, debe usar /26 con 64 direcciones. Cuando crea subredes en Azure Portal como parte de la integración con la red virtual, se requiere un tamaño mínimo de /27.

Si quiere que las aplicaciones de otro plan se comuniquen con una red virtual a la que ya están conectadas aplicaciones de otro plan, seleccione una subred distinta a la usada por la característica de integración de red virtual ya existente.

Permisos

Debe tener al menos los siguientes permisos de control de acceso basado en roles en la subred o en un nivel superior para configurar la integración de red virtual regional a través de Azure Portal, la CLI o al establecer la propiedad virtualNetworkSubnetId del sitio directamente:

Acción Descripción
Microsoft.Network/virtualNetworks/read Leer la definición de red virtual.
Microsoft.Network/virtualNetworks/subnets/read Leer una definición de subred de red virtual.
Microsoft.Network/virtualNetworks/subnets/join/action Se une a una red virtual

Si la red virtual está en una suscripción diferente de la de la aplicación, debe asegurarse de que la suscripción con la red virtual esté registrada para el proveedor de recursos Microsoft.Web. Puede registrar explícitamente el proveedor siguiendo esta documentación, pero también se registrará automáticamente al crear la primera aplicación web en una suscripción.

Rutas

Puede controlar qué tráfico pasa a través de la integración de red virtual. Hay tres tipos de enrutamiento que se deben tener en cuenta al configurar la integración de red virtual regional. El enrutamiento de aplicaciones define qué tráfico se enruta desde la aplicación y hacia la red virtual. El enrutamiento de configuración afecta las operaciones que ocurren antes o durante el inicio de su aplicación. Algunos ejemplos son la extracción de imágenes de contenedor y la configuración de la aplicación con la referencia de Key Vault. El enrutamiento de red es la capacidad de controlar cómo se enrutan tanto el tráfico de aplicaciones como el de configuración desde su red virtual y hacia afuera.

De forma predeterminada, solo el tráfico privado (también conocido como tráfico RFC1918) enviado desde la aplicación se enruta a través de la integración de red virtual. A menos que configure opciones de enrutamiento de aplicaciones o de la configuración, el resto del tráfico no se enviará a través de la integración de red virtual. El tráfico solo está sujeto al enrutamiento de red si se envía mediante la integración de red virtual.

Enrutamiento de aplicaciones

El enrutamiento de aplicaciones se aplica al tráfico que se envía desde la aplicación después de que se haya iniciado. Consulte enrutamiento de la configuración para el tráfico durante el inicio. Al configurar el enrutamiento de aplicaciones, puede enrutar todo el tráfico o solo el tráfico privado a su red virtual. Este comportamiento se configura mediante la opción Enrutar todo. Si la opción Enrutar todo está deshabilitada, la aplicación solo enruta el tráfico privado a la red virtual. Si desea enrutar todo el tráfico saliente a la red virtual, asegúrese de que Enrutar todo esté habilitado.

Nota:

  • Solo el tráfico configurado en el enrutamiento de aplicaciones o de la configuración está sujeto a los NSG y UDR que se aplican a la subred de integración.
  • Cuando se habilita Enrutar todo, el tráfico de salida de la aplicación sigue enviándose desde las direcciones que se muestran en las propiedades de la aplicación, a menos que proporcione rutas que dirijan el tráfico a otro lugar.
  • La integración de red virtual regional no puede usar el puerto 25.

Descubra cómo configurar el enrutamiento de aplicaciones.

Le recomendamos utilizar la opción de configuración Enrutar todo para habilitar el enrutamiento de todo el tráfico. El uso de la opción de configuración permite auditar el comportamiento con una directiva integrada. Todavía se puede usar la configuración de aplicación WEBSITE_VNET_ROUTE_ALL existente y se puede habilitar todo el enrutamiento del tráfico con cualquiera de estas opciones.

Enrutamiento de la configuración

Cuando se usa la integración de red virtual, se puede configurar cómo se administran las distintas partes del tráfico de configuración. De forma predeterminada, el tráfico de configuración pasará directamente a través de la ruta pública, pero para los componentes individuales mencionados, puede configurarlo activamente para que se enruta a través de la integración de red virtual.

Nota:

  • Los contenedores de Windows no admiten el enrutamiento de referencias a Key Vault de App Service o la extracción de imágenes de contenedor personalizadas mediante la integración de red virtual.
  • Actualmente no se admite la copia de seguridad o restauración en cuentas de almacenamiento privadas.
  • Actualmente no se admite la configuración de certificados SSL/TLS desde almacenes de claves privados.
  • Actualmente no se admiten los registros de diagnóstico en cuentas de almacenamiento privadas.
Almacenamiento de contenido

Traer su propio almacenamiento para el contenido se usa a menudo en Functions, donde el almacenamiento de contenido se configura como parte de la aplicación de Functions.

Para enrutar el tráfico de almacenamiento de contenido a través de la integración de red virtual, es preciso agregar una configuración de aplicación denominada WEBSITE_CONTENTOVERVNET con el valor 1. Además de agregar la configuración de la aplicación, también debe asegurarse de que cualquier firewall o grupo de seguridad de red configurado en el tráfico desde la subred permiten que llegue tráfico a los puertos 443 y 445.

Extracción de una imagen de contenedor

Si se usan contenedores personalizados para Linux, se puede extraer el contenedor a través de la integración de red virtual. Para enrutar el tráfico que se extrae del contenedor a través de la integración de red virtual, es preciso agregar una configuración de aplicación denominada WEBSITE_PULL_IMAGE_OVER_VNET con el valor true.

Configuración de la aplicación mediante referencias de Key Vault

La configuración de la aplicación mediante referencias de Key Vault intentará obtener secretos a través de la ruta pública. Si la instancia de Key Vault bloquea el tráfico público y la aplicación usa la integración de red virtual, se intentará obtener los secretos mediante la integración de red virtual.

Enrutamiento de red

Las tablas de enrutamiento se pueden usar para enrutar el tráfico de salida de la aplicación al lugar que se desee. Las tablas de enrutamiento afectan al tráfico de destino. Las tablas de rutas solo se aplican al tráfico enrutado a través de la integración de red virtual. Consulte Enrutamiento de aplicaciones y Enrutamiento de la configuración para más información. Los destinos más habituales suelen ser puertas de enlace o dispositivos de firewall. Las rutas que se establecen en la subred de integración no afectan a las respuestas a las solicitudes de entrada de la aplicación.

Si quiere enrutar el tráfico saliente del entorno local, puede utilizar una tabla de rutas para enviarlo a la puerta de enlace de ExpressRoute. Si no enruta el tráfico a una puerta de enlace, establezca las rutas en la red externa para poder enviar de vuelta las respuestas.

Las rutas del Protocolo de puerta de enlace de borde (BGP) también afectan al tráfico de la aplicación. Si tiene rutas de BGP cuyo origen es algo similar a una puerta de enlace de ExpressRoute, el tráfico de salida de la aplicación se verá afectado. De forma similar a las rutas definidas por el usuario, las rutas BGP afectan al tráfico según la configuración del ámbito de enrutamiento.

Grupos de seguridad de red

Una aplicación que emplee la integración de red virtual regional puede usar un grupo de seguridad de red para bloquear el tráfico de salida a los recursos de la red virtual o Internet. Para bloquear el tráfico a las direcciones públicas, habilite Enrutar todo. Cuando Enrutar todo no está habilitado, los grupos de seguridad de red solo se aplican al tráfico RFC1918 de la aplicación.

Un grupo de seguridad de red que se aplique a la subred de integración está en vigor, con independencia de las tablas de enrutamiento aplicadas a la subred de integración.

Las reglas de entrada de un grupo de seguridad de red no se aplican a la aplicación, ya que la integración de red virtual solo afecta al tráfico saliente de la aplicación. Para controlar el trafico de entrada a la aplicación, use la característica Restricciones de acceso.

Puntos de conexión del servicio

La integración de red virtual regional le permite acceder a los servicios de Azure que están protegidos con puntos de conexión de servicio. Para acceder a un servicio protegido por puntos de conexión de servicio, siga estos pasos:

  1. Configure la integración de red virtual regional con su aplicación web para conectarse a una subred específica para la integración.
  2. Vaya al servicio de destino y configure los puntos de conexión de servicio en la subred de integración.

Puntos de conexión privados

Si quiere realizar llamadas a puntos de conexión privados, asegúrese de que las búsquedas de DNS se resuelvan en el punto de conexión privado. Puede aplicar este comportamiento de una de las siguientes formas:

  • Realizar la integración con zonas privadas de Azure DNS. Si la red virtual no tiene un servidor DNS personalizado, esta integración se lleva a cabo automáticamente cuando las zonas están vinculadas a ella.
  • Administrar el punto de conexión privado en el servidor DNS que usa la aplicación. Para administrar la configuración, debe conocer la dirección IP del punto de conexión privado. A continuación, señale el punto de conexión al que está intentando llegar a esa dirección mediante un registro A.
  • Configurar su propio servidor DNS para reenviarlo a zonas privadas de Azure DNS.

Zonas privadas de Azure DNS

Cuando la aplicación esté integrada con la red virtual, usará el mismo servidor DNS con que está configurada la red virtual. Si no se especifica ningún DNS personalizado, usa el DNS predeterminado de Azure y las zonas privadas vinculadas a la red virtual.

Limitaciones

Existen algunas limitaciones cuando se usa la integración de red virtual regional:

  • La característica está disponible en todas las implementaciones de App Service en Premium V2 y Premium V3. También está disponible en los niveles Básico y Estándar, pero solo desde las implementaciones de App Service más recientes. Si está en una implementación anterior, solo puede usar la característica desde un plan de App Service Premium v2. Si quiere asegurarse de que puede usar esta función en un plan Básico o Estándar de App Service, cree su propia aplicación en un plan de App Service Premium V3. Esos planes solo se admiten en las implementaciones más recientes. Si quiere, puede reducir verticalmente después de crear el plan.
  • Las aplicaciones del plan Aislado que estén en una instancia de App Service Environment no pueden usar la característica.
  • No puede acceder a los recursos a través de conexiones de emparejamiento con redes virtuales clásicas.
  • La característica requiere una subred sin usar que sea un bloque IPv4 /28 o mayor en una red virtual de Azure Resource Manager.
  • Tanto la aplicación como la red virtual deben estar en la misma región.
  • La red virtual de integración no puede tener espacios de direcciones IPv6 definidos.
  • La subred de integración no puede tener habilitadas las directivas de punto de conexión de servicio.
  • La subred de integración solo puede usarla un plan de App Service.
  • No se pueden eliminar redes virtuales que tengan aplicaciones integradas. Quite la integración antes de eliminar la red virtual.
  • Solo se puede tener una integración de red virtual regional por plan de App Service. Varias aplicaciones del mismo plan de App Service pueden usar la misma red virtual.
  • No se puede cambiar la suscripción de una aplicación o de un plan mientras haya una aplicación que use la integración de red virtual regional.

Integración de red virtual con requisito de puerta de enlace

La versión de la integración de red virtual que necesita una puerta de enlace permite conectarse a una red virtual de otra región o a una red virtual clásica. Integración de red virtual con requisito de puerta de enlace

  • Permite que una aplicación se conecte solo a una red virtual a la vez.
  • Permite la integración con hasta cinco redes virtuales dentro de un plan de App Service.
  • Permite que varias aplicaciones de un mismo plan de App Service usen la misma red virtual sin que ello afecte al número total que se puede utilizar en un plan de App Service. Si tiene seis aplicaciones que usan la misma red virtual en el mismo plan de App Service, solo se contabilizará una sola red virtual en uso.
  • El Acuerdo de Nivel de Servicio en la puerta de enlace puede afectar al Acuerdo de Nivel de Servicio general.
  • Permite que las aplicaciones utilicen el DNS con el que se ha configurado la red virtual.
  • Para poder conectarse a una aplicación, se necesita una puerta de enlace basada en rutas de red virtual que esté configurada con una VPN de punto a sitio SSTP.

No puede usar la integración de red virtual con requisito de puerta de enlace.

  • Con una red virtual conectada con ExpressRoute.
  • Desde una aplicación Linux.
  • Desde un contenedor de Windows.
  • Para acceder a recursos protegidos por puntos de conexión de servicio.
  • Para resolver la configuración de la aplicación que hace referencia a un Key Vault protegido por la red.
  • Con una puerta de enlace coexistente que admita tanto VPN de ExpressRoute como VPN de punto a sitio o de sitio a sitio.

Configuración de una puerta de enlace en Azure Virtual Network

Para crear una puerta de enlace:

  1. Cree la puerta de enlace de red virtual y la subred. Seleccione un tipo de VPN basada en rutas.

  2. Establezca las direcciones de punto a sitio. Si la puerta de enlace no está en la SKU básica, IKEV2 debe estar deshabilitado en la configuración de punto a sitio y SSTP debe estar seleccionado. El espacio de direcciones de punto a sitio debe especificarse en bloques de direcciones de RFC 1918 (10.0.0.0/8, 172.16.0.0/12 y 192.168.0.0/16).

Si crea la puerta de enlace para usarla con la integración de red virtual con requisito de puerta de enlace, no es necesario cargar un certificado. La creación de la puerta de enlace puede tardar 30 minutos. No podrá integrar su aplicación con la red virtual hasta que se cree la puerta de enlace.

Cómo funciona la integración de red virtual con requisito de puerta de enlace

La integración de red virtual con requisito de puerta de enlace se basa en la tecnología VPN de punto a sitio. Las VPN de punto a sitio limitan el acceso de red a la máquina virtual que hospeda la aplicación. Las aplicaciones están restringidas para enviar tráfico a Internet solo a través de conexiones híbridas o de la integración de red virtual. Cuando la aplicación se ha configurado con el portal para que utilice la integración de red virtual con requisito de puerta de enlace, se entabla una compleja negociación en su nombre para crear y asignar certificados en la puerta de enlace y en la aplicación. El resultado es que los trabajos que se usan para hospedar las aplicaciones pueden conectarse directamente a la puerta de enlace de la red virtual seleccionada.

Diagram that shows how gateway-required virtual network integration works.

Acceso a recursos locales

Las aplicaciones pueden acceder a los recursos locales mediante la integración con redes virtuales que tengan conexiones de sitio a sitio. Si usa la integración de red virtual con requisito de puerta de enlace, actualice las rutas de puerta de enlace de red virtual locales con los bloques de direcciones de punto a sitio. En la configuración inicial de la VPN de sitio a sitio, los scripts que se usan para configurarla deben configurar las rutas correctamente. Si agrega las direcciones de punto a sitio después de crear la VPN de sitio a sitio, deberá actualizar las rutas manualmente. El procedimiento varía según la puerta de enlace y no se describe aquí. No se puede tener BGP configurado con una conexión VPN de sitio a sitio.

No se requiere ninguna configuración adicional para que la característica de integración de red virtual regional acceda a través de la red virtual a los recursos locales. Basta con conectar la red virtual a los recursos locales usando ExpressRoute o una VPN de sitio a sitio.

Nota

La característica de integración de red virtual con requisito de puerta de enlace no integra una aplicación con una red virtual que tiene una puerta de enlace de ExpressRoute. Incluso si la puerta de enlace de ExpressRoute está configurada en modo de coexistencia, la integración de red virtual no funcionará. Si necesita acceder a los recursos mediante una conexión de ExpressRoute, utilice la característica de integración de red virtual regional o un entorno de App Service Environment que se ejecute en la red virtual.

Emparejamiento

Si usa el emparejamiento con la integración de red virtual regional, no es necesario realizar más configuraciones.

Si usa la integración de red virtual con requisito de puerta de enlace con el emparejamiento, deberá configurar algunos elementos más. Para configurar el emparejamiento para que funcione con su aplicación:

  1. Agregue una conexión de emparejamiento en la red virtual a la que se conecta su aplicación. Al agregar la conexión de emparejamiento, habilite Permitir acceso a red virtual y active Permitir tráfico reenviado y Permitir tránsito de puerta de enlace.
  2. Agregue una conexión de emparejamiento en la red virtual que se esté emparejando con la red virtual a la que está conectado. Al agregar la conexión de emparejamiento en la red virtual de destino, habilite Permitir acceso a red virtual y active Permitir tráfico reenviado y Allow remote gateways (Permitir puertas de enlace remotas).
  3. Vaya a Plan de App ServiceRedesIntegración de red virtual en el portal. Seleccione la red virtual a la que se conecta la aplicación. En la sección de enrutamiento, agregue el intervalo de direcciones de la red virtual que está emparejada con la red virtual a la que está conectada su aplicación.

Administración de integración de red virtual

La conexión y la desconexión con una red virtual tiene lugar en el nivel de la aplicación. Las operaciones que pueden afectar a la integración de red virtual en varias aplicaciones se encuentran en un nivel del plan de App Service. En el portal de la aplicación >>>>, puede obtener detalles sobre la red virtual. Puede encontrar información similar en el nivel del plan de App Service en el portal Plan de App ServiceRedesIntegración con red virtual.

La única operación que puede realizar en la vista de aplicación de la instancia de integración de red virtual es desconectar la aplicación de la red virtual si está conectada a ella. Para desconectar la aplicación de una red virtual, seleccione Desconectar. La aplicación se reinicia cuando se desconecte de una red virtual. La desconexión no cambia la red virtual. La subred o la puerta de enlace no se quitan. Si después desea eliminar la red virtual, primero debe desconectar la aplicación de la red virtual y eliminar los recursos que hay en ella, como las puertas de enlace.

La interfaz de usuario de la integración de red virtual del plan de App Service muestra todas las integraciones de redes virtuales usadas por las aplicaciones de su plan de App Service. Para ver los detalles de cada red virtual, seleccione la red virtual que le interese. Hay dos acciones que puede realizar aquí en relación con la integración de red virtual con requisito de puerta de enlace:

  • Sincronización de red: la operación de sincronización de red solo se usa con la característica de integración de red virtual con requisito de puerta de enlace. La realización de una operación de red de sincronización garantiza que los certificados y la información de red estén sincronizados. Si agrega o cambia el DNS de la red virtual, realice una operación de red de sincronización. Esta operación reinicia todas las aplicaciones que usen esta red virtual. Esta operación no funcionará si usa una aplicación y una red virtual que pertenecen a distintas suscripciones.
  • Adición de rutas: la adición de rutas impulsa el tráfico saliente a la red virtual.

La dirección IP privada asignada a la instancia se expone por medio de la variable de entorno, WEBSITE_PRIVATE_IP. La interfaz de usuario de la consola de Kudu también muestra la lista de variables de entorno disponibles para la aplicación web. Esta dirección IP se asigna desde el intervalo de direcciones de la subred integrada. Para la integración de red virtual regional, el valor de WEBSITE_PRIVATE_IP es una dirección IP del intervalo de direcciones de la subred delegada. Para la integración de red virtual con requisito de puerta de enlace, el valor es una dirección IP del intervalo de direcciones del grupo de direcciones de punto a sitio configurado en la puerta de enlace de red virtual. Esta es la dirección IP que va a usar la aplicación web para conectarse a los recursos a través de la red virtual de Azure.

Nota

El valor de WEBSITE_PRIVATE_IP va a cambiar. Pero va a ser una dirección del intervalo de direcciones de la subred de integración o el intervalo de direcciones de punto a sitio, por lo que va a tener que permitir el acceso desde el intervalo de direcciones completo.

Enrutamiento de la integración de red virtual con requisito de puerta de enlace

Las rutas definidas en la red virtual se usan para dirigir el tráfico desde la aplicación hacia la red virtual. Para enviar más tráfico saliente a la red virtual, agregue aquí esos bloques de direcciones. Esta característica solo funciona con la integración de red virtual con requisito de puerta de enlace. Las tablas de enrutamiento no afectan al tráfico de la aplicación cuando se utiliza la integración de red virtual con requisito de puerta de enlace del mismo modo que cuando se utiliza la versión regional.

Certificados de integración de red virtual con requisito de puerta de enlace

Cuando la integración de red virtual con requisito de puerta de enlace está habilitada, existe un intercambio necesario de certificados para garantizar la seguridad de la conexión. Junto con los certificados, se incluyen la configuración de DNS, las rutas y otros elementos similares que describen la red.

Si los certificados o la información de red cambian, es necesario hacer clic en Sincronizar red. Al seleccionar Sincronizar red, se producirá una breve interrupción en la conectividad entre la aplicación y la red virtual. La aplicación no se reinicia, pero la pérdida de conectividad podría hacer que su sitio no funcione correctamente.

Detalles de precios

La característica de integración de red virtual regional no tiene ningún cargo adicional por uso más allá de los cargos del plan de tarifa del plan de App Service.

Hay tres cargos relacionados con el uso de la característica de integración de red virtual con requisito de puerta de enlace:

  • Cargos del plan de tarifa del plan de App Service: las aplicaciones deben estar en un plan de App Service Básico, Estándar, Premium, Premium v2 o Premium v3. Para obtener más información sobre estos costes, consulte Precios de App Service.
  • Costos de la transferencia de datos: se aplica un cargo de salida de datos, aunque la red virtual esté en el mismo centro de datos. Estos cargos se describen en la página de detalles de precios de Transferencia de datos.
  • Costos de VPN Gateway: Existe un costo para la puerta de enlace de red virtual necesario para la VPN de punto a sitio. Para obtener más información, vea Precios de VPN Gateway.

Solución de problemas

Nota

La integración de red virtual no se admite en escenarios de Docker Compose en App Service. Las restricciones de acceso se omiten si existe un punto de conexión privado.

La característica es fácil de configurar, aunque eso no quiere decir que no presente problemas con el uso. Si encuentra problemas para acceder al punto de conexión que quiere, existen varias utilidades que sirven para probar la conectividad desde la consola de la aplicación. Dispone de dos consolas que puede usar. Una es la consola Kudu y la otra es la consola a la que se accede en Azure Portal. Para acceder a la consola Kudu desde la aplicación, vaya a HerramientasKudu. También puede tener acceso a la consola de Kudo en [sitename].scm.azurewebsites.net. Después de que se cargue el sitio web, vaya a la pestaña Consola de depuración. Para llegar a la consola hospedada en Azure Portal desde su aplicación, vaya a HerramientasConsola.

Herramientas

En las aplicaciones nativas de Windows, las herramientas ping, nslookupy tracert no funcionarán a través de la consola debido a las restricciones de seguridad (funcionan en contenedores de Windows personalizados). Para suplir esta carencia, se agregaron dos herramientas diferentes. Para probar la funcionalidad de DNS, se agregó una herramienta denominada nameresolver.exe. La sintaxis es:

nameresolver.exe hostname [optional: DNS Server]

Puede usar nameresolver para comprobar los nombres de host de los que depende la aplicación. De este modo, puede probar si hay algo mal configurado en el DNS o si no tiene acceso al servidor DNS. Para ver el servidor DNS que la aplicación usa en la consola, examine las variables de entorno WEBSITE_DNS_SERVER y WEBSITE_DNS_ALT_SERVER.

Nota

La herramienta nameresolver.exe no funciona actualmente en contenedores de Windows personalizados.

Puede usar la siguiente herramienta para probar la conectividad de TCP en una combinación de host y puerto. Esta herramienta se llama tcpping y la sintaxis es:

tcpping.exe hostname [optional: port]

La utilidad tcpping indica si se puede llegar a un host y puerto específicos. Puede mostrar un resultado correcto solo si hay una aplicación que escucha en la combinación de host y puerto, y existe acceso a la red desde la aplicación hacia el host y puerto especificados.

Depuración del acceso a recursos hospedados en la red virtual

Varias situaciones pueden impedir que la aplicación se comunique con un host y un puerto específicos. La mayoría de las veces se debe a una de estas causas:

  • Existe un firewall que lo impide. Si tiene un firewall que lo impide, se agota el tiempo de espera de TCP. El tiempo de espera de TCP es de 21 segundos en este caso. Utilice la herramienta tcpping para probar la conectividad. Los tiempos de espera agotados de TCP pueden tener muchas causas además de los firewalls, pero comience por comprobar los firewalls.
  • El DNS no es accesible. El tiempo de espera de DNS es de 3 segundos por cada servidor DNS. Si tiene dos servidores DNS, el tiempo de espera es de seis segundos. Utilice nameresolver para ver si funciona el DNS. No puede usar nslookup, ya que este no usa el DNS con el que se ha configurado la red virtual. Si no puede acceder, podría haber un firewall o NSG bloqueando el acceso a DNS, o este puede estar inactivo.

Si estos elementos no resuelven el problema, plantéese cuestiones como las siguientes:

Integración de red virtual regional

  • ¿El destino no es una dirección RFC 1918 y no tiene la opción Enrutar todo habilitada?
  • ¿Hay un NSG que bloquea la salida de la subred de integración?
  • Si está usando una VPN o Azure ExpressRoute, ¿la puerta de enlace local está configurada para enrutar el tráfico de vuelta a Azure? Si puede acceder a los puntos de conexión de la red virtual pero no a los del entorno local, compruebe las rutas.
  • ¿Tiene permisos suficientes para configurar la delegación en la subred de integración? Al configurar la integración de la red virtual regional, la subred de integración se delega en Microsoft.Web/serverFarms. La interfaz de usuario de integración de la red virtual delega la subred en Microsoft.Web/serverFarms automáticamente. Si la cuenta no tiene suficientes permisos de red para establecer la delegación, necesitará que un usuario que pueda configurar atributos en la subred de integración delegue la subred. Para delegar manualmente la subred de integración, vaya a la interfaz de usuario de la subred de Azure Virtual Network y establezca la delegación para Microsoft.Web/serverFarms.

Integración de red virtual con requisito de puerta de enlace

  • ¿El intervalo de direcciones de punto a sitio se encuentra en los intervalos de RFC 1918 (10.0.0.0-10.255.255.255/172.16.0.0-172.31.255.255/192.168.0.0-192.168.255.255)?
  • ¿La puerta de enlace aparece como activa en el portal? Si la puerta de enlace está inactiva, vuelva a activarla.
  • ¿Los certificados aparecen como sincronizados o sospecha que la configuración de red ha cambiado? Si los certificados no están sincronizados o sospecha que se produjo un cambio en la configuración de red virtual que no se ha sincronizado con sus planes de App Service, seleccione Sincronizar red.
  • Si está usando una VPN, ¿la puerta de enlace local está configurada para enrutar el tráfico de vuelta a Azure? Si puede acceder a los puntos de conexión de la red virtual pero no del entorno local, compruebe las rutas.
  • ¿Está intentando usar una puerta de enlace de coexistencia que admite tanto una conexión de punto a sitio como ExpressRoute? Las puertas de enlace de coexistencia no son compatibles con la integración de la red virtual.

Depurar problemas de red es todo un reto porque no se puede ver lo que está bloqueando el acceso en una combinación de host y puerto específica. Entre las causas se incluyen las siguientes:

  • Tiene un firewall en el host que bloquea el acceso al puerto de la aplicación desde el intervalo IP de punto a sitio. A menudo se requiere acceso público para establecer conexiones entre subredes.
  • El host de destino está fuera de servicio.
  • La aplicación está fuera de servicio.
  • La dirección IP o el nombre de host son incorrectos.
  • La aplicación escucha en un puerto diferente al esperado. Puede hacer coincidir el id. de proceso con el puerto de escucha usando "netstat -aon" en el host del punto de conexión.
  • Los grupos de seguridad de red están configurados de tal manera que evitan el acceso al host y al puerto de la aplicación desde el intervalo IP de punto a sitio.

No se sabe qué dirección usa realmente la aplicación. Podría ser cualquier dirección en el intervalo de direcciones de punto a sitio o de subred de integración, por lo que será necesario permitir el acceso desde el intervalo de direcciones completo.

Entre otros pasos de depuración se incluyen los siguientes:

  • Conectarse a una máquina virtual de la red virtual e intentar acceder al recurso host:puerto desde allí. Para probar el acceso de TCP, use el comando test-netconnection de PowerShell. La sintaxis es:

    test-netconnection hostname [optional: -Port]
    
  • Abra una aplicación en una máquina virtual y pruebe el acceso a ese host y ese puerto desde la consola de la aplicación mediante tcpping.

Recursos locales

Si la aplicación no puede acceder a un recurso local, compruebe si puede hacerlo desde su red virtual. Use el comando test-netconnection de PowerShell para comprobar el acceso de TCP. Si la máquina virtual no puede acceder al recurso local, puede que la conexión de VPN o ExpressRoute no esté configurada correctamente.

Si la máquina virtual hospedada en la red virtual puede acceder a su sistema local, pero la aplicación no, la causa es probablemente una de las razones siguientes:

  • Las rutas no están configuradas con los intervalos de direcciones de punto a sitio o subred en la puerta de enlace local.
  • Los grupos de seguridad de red están bloqueando el acceso del intervalo IP de punto a sitio.
  • Los firewalls locales están bloqueando el tráfico del intervalo IP de punto a sitio.
  • Está intentando acceder a una dirección que no es de RFC 1918 mediante la característica de integración de la red virtual regional.

Eliminación del plan App Service o aplicación web antes de desconectar la integración de red virtual

Si eliminó la aplicación web o el plan de App Service sin desconectar primero la integración de red virtual, no podrá realizar ninguna operación de actualización o eliminación en la red virtual o subred que se usó para la integración con el recurso eliminado. Una delegación de subred "Microsoft.Web/serverFarms" permanecerá asignada a la subred y evitará las operaciones de actualización o eliminación.

Para actualizar o eliminar la subred o la red virtual de nuevo, debe volver a crear la integración de red virtual y, a continuación, desconectarla:

  1. Vuelva a crear el plan App Service y la aplicación web (es obligatorio usar exactamente el mismo nombre de aplicación web que antes).
  2. Vaya a la hoja "Redes" de la aplicación web y configure la integración de red virtual.
  3. Una vez configurada la integración de red virtual, seleccione el botón "Desconectar".
  4. Elimine el plan App Service o la aplicación web.
  5. Actualice o elimine la subred o red virtual.

Si sigue teniendo problemas con la integración con la red virtual después de seguir los pasos anteriores, póngase en contacto con Soporte técnico de Microsoft.