Direcciones IP públicas

Las direcciones IP públicas permiten a los recursos de Internet la comunicación entrante a los recursos de Azure. Permiten que los recursos de Azure se comuniquen con los servicios de Azure orientados al público e Internet. Hasta que cancele la asignación, la dirección estará dedicada al recurso. Un recurso sin una dirección IP pública asignada puede realizar comunicaciones salientes. Azure asigna dinámicamente una dirección IP disponible que no está dedicada al recurso. Para más información acerca de las conexiones salientes en Azure, consulte Comprender las conexiones salientes en Azure.

En el Administrador de recursos de Azure, una dirección IP pública es un recurso que cuenta con propiedades específicas. Estos son algunos de los recursos con los que puede asociar un recurso de dirección IP pública:

  • Interfaces de red de máquinas virtuales
  • Equilibradores de carga accesibles desde Internet
  • Puertas de enlace de red virtual (VPN/ER)
  • Puertas de enlace NAT
  • Puertas de enlace de aplicaciones
  • Azure Firewall
  • Host bastión

Para conjuntos de escalado de máquinas virtuales, use prefijos de dirección IP pública.

De un vistazo

En la siguiente tabla se muestra la propiedad con la que una dirección IP pública se puede asociar a un recurso y los métodos de asignación. Tenga en cuenta que la compatibilidad con IPv6 pública no está disponible para todos los tipos de recurso en este momento.

Recurso de nivel superior Asociación de dirección IP IPv4 dinámico IPv4 estático IPv6 dinámico IPv6 estático
Máquina virtual interfaz de red
Equilibrador de carga accesible desde Internet Configuración de front-end
Puerta de enlace de red virtual (VPN) Configuración de dirección IP de puerta de enlace Sí (solo sin AZ) Sí (solo AZ) No No
Puerta de enlace de red virtual (ER) Configuración de dirección IP de puerta de enlace No Sí (versión preliminar) No
NAT Gateway Configuración de dirección IP de puerta de enlace No No No
puerta de enlace de aplicaciones Configuración de front-end Sí (solo en V1) Sí (solo en V2) No No
Azure Firewall Configuración de front-end No No No
Host bastión Configuración de IP pública No No No

Versión de la dirección IP

Las direcciones IP públicas se pueden crear con una dirección IPv4 o IPv6. Es posible que tenga la opción de crear una implementación de doble pila con una dirección IPv4 e IPv6.

SKU

Las direcciones IP públicas se crean con una de las SKU siguientes:

Estándar

Las direcciones IP públicas de SKU estándar:

  • Utilice siempre el método de asignación estática.
  • Tiene un tiempo espera de inactividad del flujo originado de entrada ajustable de entre 4 y 30 minutos, y un valor predeterminado de 4 minutos, y el valor predeterminado del tiempo de espera del flujo originado es de 4 minutos.
  • Diseñado para alinearse con el modelo "seguro de manera predeterminada" y cerrarse al tráfico entrante cuando se usa como front-end. Se requiere añadir a la lista de permitidos el tráfico del plano de datos con el grupo de seguridad de red (NSG) (por ejemplo, en la NIC de una máquina virtual con una dirección IP pública de SKU estándar asociada).
  • Pueden tener redundancia de zona (es decir, se anuncian desde las tres zonas), ser zonales (es decir, se garantizan en una zona de disponibilidad preseleccionada específica) o no tener zona (es decir, no se asocian a ninguna zona de disponibilidad preseleccionada concreta). Para obtener más información acerca de las zonas de disponibilidad, consulte Introducción a las zonas de disponibilidad y Standard Load Balancer and Availability Zones (Load Balancer Standard y zonas de disponibilidad). Las direcciones IP con redundancia de zona solo se pueden crear en regiones en las que haya tres zonas de disponibilidad activas. Las direcciones IP creadas antes de que las zonas estén activas no tendrán redundancia de zona.
  • Se puede usar con la preferencia de enrutamiento para permitir un control más detallado de cómo se enruta el tráfico entre Azure e Internet.
  • Se puede usar como dirección IP de front-end de difusión por proximidad (anycast) para equilibradores de carga entre regiones (funcionalidad de versión preliminar).

Nota

Cuando se usa el servicio de metadatos de instancia IMDS, solo hay disponibles direcciones IP públicas con SKU básica. No se admiten las SKU estándar.

Nota

La configuración de diagnóstico no aparece en la hoja del recurso cuando se usa una dirección IP pública de SKU estándar. Para habilitar el registro en un recurso de dirección IP pública estándar, vaya a la configuración de diagnóstico en la hoja Azure Monitor y seleccione el recurso de dirección IP.

Nota

Para evitar que se produzca un error en la comunicación de entrada con el recurso SKU estándar, debe crear un grupo de seguridad de red, asociarlo y permitir explícitamente el tráfico de entrada deseado.

Básica

Las direcciones de SKU básica:

  • Para IPv4: se pueden asignar mediante el método de asignación dinámica o estática. Para IPv6: solo se pueden asignar mediante el método de asignación dinámica.
  • Tiene un tiempo espera de inactividad del flujo originado de entrada ajustable de entre 4 y 30 minutos, y un valor predeterminado de 4 minutos, y el valor predeterminado del tiempo de espera del flujo originado es de 4 minutos.
  • Están abiertas de forma predeterminada. Se recomienda el uso de grupos de seguridad de red, pero es opcional para restringir el tráfico de entrada o de salida.
  • No admiten escenarios de zona de disponibilidad. Use la dirección IP pública de SKU estándar para los escenarios de zona de disponibilidad en las regiones correspondientes. Para obtener más información acerca de las zonas de disponibilidad, consulte Introducción a las zonas de disponibilidad y Standard Load Balancer and Availability Zones (Load Balancer Standard y zonas de disponibilidad).
  • No admiten las funcionalidades de preferencia de enrutamiento ni equilibradores de carga entre regiones.

Nota

Las direcciones IPv4 de SKU básica se pueden actualizar a SKU estándar después de su creación. Para obtener información acerca de la actualización de SKU, consulte Actualización de IP pública.

Importante

En los recursos de IP pública y en el equilibrador de carga se requieren SKU coincidentes. No puede tener una combinación de recursos de SKU básica y recursos de SKU estándar. No se pueden asociar máquinas virtuales independientes, máquinas virtuales en un recurso de conjunto de disponibilidad o conjuntos de escalado de máquinas virtuales a ambas SKU simultáneamente. Para los nuevos diseños, deberá considerar usar los recursos de SKU estándar. Consulte Load Balancer Estándar para obtener más información.

Asignación de dirección IP

Tanto las direcciones IPv4 públicas estándar, IPv4 públicas básicas como IPv6 públicas estándar admiten la asignación estática. Al recurso se le asigna una dirección IP cuando aquel se crea. La dirección IP se libera cuando el recurso se elimina.

Nota

Incluso cuando se establece el método de asignación en estático, no se puede especificar la dirección IP real asignada al recurso de dirección IP pública. Azure asigna la dirección IP desde un grupo de direcciones IP disponibles en la ubicación de Azure cuando se crea el recurso.

Las direcciones IP públicas se suelen usar en los escenarios siguientes:

  • Cuando debe actualizar las reglas de firewall para comunicarse con los recursos de Azure.
  • La resolución de nombres DNS, en la que un cambio de dirección IP requeriría actualizar los registros D.
  • Los recursos de Azure se comunican con otras aplicaciones o servicios que utilizan un modelo de seguridad basado en dirección IP.
  • Use certificados TLS/SSL vinculados a una dirección IP.

Las direcciones IPv4 e IPv6 públicas básicas admiten una asignación dinámica. La dirección IP no se asigna al recurso en el momento de crearse cuando se selecciona el método dinámico. La dirección IP se asigna cuando se asocia la dirección IP pública a un recurso. La dirección IP se libera cuando se detiene o elimina el recurso. Por ejemplo, un recurso de dirección IP pública se libera de un recurso denominado Recurso A. Recurso A recibe una dirección IP diferente en el inicio si el recurso de dirección IP pública se vuelve a asignar. Una dirección IP se libera si se cambia el método de asignación de estático a dinámico. Una dirección IP asociada no cambia si se cambia el método de asignación de dinámico a estático. Establezca el método de asignación en estático para asegurarse de que la dirección IP siga siendo igual.

Nota

Azure asigna direcciones IP públicas a partir de un rango único para cada región en cada nube de Azure. Puede descargar la lista de intervalos (prefijos) para las nubes de Azure Pública, Gobierno de Estados Unidos, China y Alemania.

Etiqueta de nombre DNS

Seleccione esta opción para especificar una etiqueta de DNS para un recurso de dirección IP pública. Esta funcionalidad funciona tanto para direcciones IPv4 (registros A de 32 bits) como para direcciones IPv6 (registros AAAA de 128 bits). Esta selección crea una asignación para domainnamelabel.location.cloudapp.azure.com a la dirección IP pública en el DNS administrado por Azure.

Por ejemplo, la creación de una dirección IP pública con:

  • contoso como domainnamelabel
  • Ubicación de Azure Oeste de EE. UU.

El nombre de dominio completo (FQDN) contoso.westus.cloudapp.azure.com se resuelve en la dirección IP pública del recurso.

Importante

Cada etiqueta de nombre de dominio que se cree debe ser única dentro de su ubicación de Azure.

Si se desea un dominio personalizado para los servicios que usan una dirección IP pública, puede usar Azure DNS o un proveedor DNS externo para el registro DNS.

Otras características de dirección IP pública

Hay otros atributos que se pueden usar para una dirección IP pública.

  • El Nivel global permite usar una dirección IP pública con equilibradores de carga entre regiones.
  • La opción Preferencia de enrutamiento por Internet minimiza el tiempo que el tráfico pasa en la red de Microsoft, lo que reduce el costo de transferencia de los datos de salida.

Nota

En este momento, las características Nivel y Preferencia de enrutamiento solo están disponibles para direcciones IPv4 de SKU estándar. Tampoco se pueden usar en la misma dirección IP simultáneamente.

Nota

Azure proporciona una dirección IP de acceso de salida predeterminado para las instancias de Azure Virtual Machines que no tienen asignada una dirección IP pública o que se encuentran en el grupo de back-end de una instancia de Azure Load Balancer del nivel Básico. El mecanismo de dirección IP de acceso de salida predeterminado proporciona una dirección IP de salida que no se puede configurar.

Para más información sobre el acceso de salida predeterminado, consulte Acceso de salida predeterminado en Azure.

La dirección IP de acceso de salida predeterminado se deshabilita cuando se asigna una dirección IP pública a la máquina virtual o cuando se coloca la máquina virtual en el grupo de back-end de una instancia de Standard Load Balancer con o sin reglas de salida. Si se asigna un recurso de puerta de enlace de Azure Virtual Network NAT a la subred de la máquina virtual, la dirección IP de acceso de salida predeterminado se deshabilita.

Las máquinas virtuales creadas por conjuntos de escalado de máquinas virtuales en modo de orquestación flexible no tienen acceso de salida predeterminado.

Para más información sobre las conexiones salientes en Azure, consulte Uso de la Traducción de direcciones de red de origen (SNAT) para conexiones salientes.

Límites

Los límites de una dirección IP se encuentran en el conjunto completo de límites de red de Azure. Los límites son por región y suscripción. Póngase en contacto con el servicio de soporte técnico para aumentar los límites predeterminados según sus necesidades empresariales.

Precios

Las direcciones IP públicas tienen un precio simbólico. Para más información sobre los precios de las direcciones IP en Azure, revise la página Precios de las direcciones IP.

Limitaciones para IPv6

  • Las puertas de enlace de VPN no se pueden usar en una red virtual que tiene IPv6 habilitado, ya sea directamente o emparejadas con "UseRemoteGateway".
  • Las direcciones IPv6 públicas se bloquean con un tiempo de espera de inactividad de 4 minutos.
  • Azure no admite la comunicación de IPv6 para contenedores.
  • No se admite el uso de máquinas virtuales ni conjuntos de escalado de máquinas virtuales solo con IPv6. Cada NIC debe incluir al menos una configuración IP de IPv4 (pila doble).
  • Al agregar IPv6 a las implementaciones IPv4 existentes, los rangos de IPv6 no se pueden agregar a una red virtual con vínculos de navegación de recursos existentes.
  • El reenvío de DNS para IPv6 es compatible con DNS público de Azure. No se admite el DNS inverso.
  • No se admiten la preferencia de enrutamiento y el equilibrio de carga entre regiones.

Para más información sobre IPv6 en Azure, consulte aquí.

Pasos siguientes