¿Qué es Azure Virtual Network?What is Azure Virtual Network?

Azure Virtual Network (VNet) es el bloque de creación fundamental de una red privada en Azure.Azure Virtual Network (VNet) is the fundamental building block for your private network in Azure. VNet permite muchos tipos de recursos de Azure, como Azure Virtual Machines (máquinas virtuales), para comunicarse de forma segura entre usuarios, con Internet y con las redes locales.VNet enables many types of Azure resources, such as Azure Virtual Machines (VM), to securely communicate with each other, the internet, and on-premises networks. VNet es similar a una red tradicional que funcionaría en su propio centro de datos, pero aporta las ventajas adicionales de la infraestructura de Azure, como la escala, la disponibilidad y el aislamiento.VNet is similar to a traditional network that you'd operate in your own data center, but brings with it additional benefits of Azure's infrastructure such as scale, availability, and isolation.

Conceptos de VNetVNet concepts

  • Espacio de direcciones: Al crear una instancia de VNet tiene que especificar un espacio de direcciones IP privado personalizado mediante direcciones públicas y privadas (RFC 1918).Address space: When creating a VNet, you must specify a custom private IP address space using public and private (RFC 1918) addresses. Azure asigna a los recursos de una red virtual una dirección IP privada desde el espacio de direcciones que asigne.Azure assigns resources in a virtual network a private IP address from the address space that you assign. Por ejemplo, si implementa una máquina virtual en una red virtual con el espacio de direcciones, 10.0.0.0/16, la máquina virtual se asignará a una dirección IP privada como 10.0.0.4.For example, if you deploy a VM in a VNet with address space, 10.0.0.0/16, the VM will be assigned a private IP like 10.0.0.4.
  • Subredes: Las subredes le permiten segmentar la red virtual en una o varias subredes y asignar una parte del espacio de direcciones de la red virtual para cada subred.Subnets: Subnets enable you to segment the virtual network into one or more sub-networks and allocate a portion of the virtual network's address space to each subnet. A continuación, puede implementar los recursos de Azure en una subred específica.You can then deploy Azure resources in a specific subnet. Al igual que en una red tradicional, las subredes permiten segmentar el espacio de direcciones de red virtual en segmentos que sean adecuados para la red interna de la organización.Just like in a traditional network, subnets allow you to segment your VNet address space into segments that are appropriate for the organization's internal network. Esto también mejora la eficacia de la asignación de dirección.This also improves address allocation efficiency. Puede proteger los recursos dentro de las subredes mediante grupos de seguridad de red.You can secure resources within subnets using Network Security Groups. Para más información, consulte Grupos de seguridad.For more information, see Security groups.
  • Regiones: El ámbito de VNet es una sola región o ubicación; sin embargo, se pueden conectar entre sí varias redes virtuales de diferentes regiones mediante el emparejamiento de red virtual.Regions: VNet is scoped to a single region/location; however, multiple virtual networks from different regions can be connected together using Virtual Network Peering.
  • Subscription (Suscripción): VNet limita su ámbito a una suscripción.Subscription: VNet is scoped to a subscription. Puede implementar varias redes virtuales dentro de cada suscripción y región de Azure.You can implement multiple virtual networks within each Azure subscription and Azure region.

Procedimientos recomendadosBest practices

Al crear la red en Azure, es importante tener en cuenta los siguientes principios universales de diseño:As you build your network in Azure, it is important to keep in mind the following universal design principles:

  • Asegúrese de que los espacios de dirección no se superponen.Ensure non-overlapping address spaces. Asegúrese de que el espacio de direcciones (bloque CIDR) de red virtual no se superponen con otros intervalos de red de la organización.Make sure your VNet address space (CIDR block) does not overlap with your organization's other network ranges.
  • Las subredes no deben cubrir el espacio de direcciones completo de la red virtual.Your subnets should not cover the entire address space of the VNet. Planee con antelación y reserve algún espacio de direcciones para el futuro.Plan ahead and reserve some address space for the future.
  • Se recomienda que tenga menos redes virtuales de gran tamaño que múltiples redes virtuales pequeñas.It is recommended you have fewer large VNets than multiple small VNets. Esto impedirá la sobrecarga de administración.This will prevent management overhead.
  • Proteja la red virtual con grupos de seguridad de red (NSG).Secure your VNet using Network Security Groups (NSGs).

Comunicación con internetCommunicate with the internet

De manera predeterminada, todos los recursos de una red virtual tienen comunicación de salida hacia Internet.All resources in a VNet can communicate outbound to the internet, by default. Para comunicarse con un recurso entrante, asígnele una dirección IP pública o un equilibrador de carga público.You can communicate inbound to a resource by assigning a public IP address or a public Load Balancer. También puede usar la dirección IP pública o el equilibrador de carga público para administrar las conexiones salientes.You can also use public IP or public Load Balancer to manage your outbound connections. Para más información sobre las conexiones salientes en Azure, consulte Conexiones salientes, Direcciones IP públicas y Equilibrador de carga.To learn more about outbound connections in Azure, see Outbound connections, Public IP addresses, and Load Balancer.

Nota

Cuando se usa solo una instancia interna de Standard Load Balancer, la conectividad de salida no está disponible hasta que define cómo desea que las conexiones salientes trabajen con una dirección IP pública o un equilibrador de carga público en el nivel de instancia.When using only an internal Standard Load Balancer, outbound connectivity is not available until you define how you want outbound connections to work with an instance-level public IP or a public Load Balancer.

Comunicación entre recursos de AzureCommunicate between Azure resources

Los recursos de Azure se comunican de manera segura entre sí de una de las maneras siguientes:Azure resources communicate securely with each other in one of the following ways:

  • Mediante una red virtual: tanto las máquinas virtuales como otros tipos de recursos de Azure se pueden implementar en una red virtual, como Azure App Service Environment, Azure Kubernetes Service (AKS) y Azure Virtual Machine Scale Sets.Through a virtual network: You can deploy VMs, and several other types of Azure resources to a virtual network, such as Azure App Service Environments, the Azure Kubernetes Service (AKS), and Azure Virtual Machine Scale Sets. Para ver una lista completa de los recursos de Azure que puede implementar en una red virtual, consulte Integración de red virtual para los servicios de Azure.To view a complete list of Azure resources that you can deploy into a virtual network, see Virtual network service integration.
  • Mediante un punto de conexión de servicio de red virtual: extienda el espacio de direcciones privadas de la red virtual y la identidad de la red virtual a los recursos del servicio de Azure, como cuentas de Azure Storage y bases de datos de Azure SQL, mediante una conexión directa.Through a virtual network service endpoint: Extend your virtual network private address space and the identity of your virtual network to Azure service resources, such as Azure Storage accounts and Azure SQL databases, over a direct connection. Los puntos de conexión de los servicios permiten proteger los recursos críticos de los servicios de Azure únicamente en una red virtual.Service endpoints allow you to secure your critical Azure service resources to only a virtual network. Para más información, consulte Puntos de conexión de servicio de red virtual.To learn more, see Virtual network service endpoints overview.
  • Mediante emparejamiento de VNet: Las redes virtuales se pueden conectar entre sí, lo que permite que los recursos de cualquiera de ellas se comuniquen entre sí mediante el emparejamiento de red virtual.Through VNet Peering: You can connect virtual networks to each other, enabling resources in either virtual network to communicate with each other, using virtual network peering. Las redes virtuales que conecte pueden estar en la misma región de Azure o en regiones distintas.The virtual networks you connect can be in the same, or different, Azure regions. Para más información, consulte Emparejamiento de redes virtuales de Azure.To learn more, see Virtual network peering.

Comunicación con recursos localesCommunicate with on-premises resources

Puede conectar sus equipos y redes local a una red virtual mediante cualquier combinación de las siguientes opciones:You can connect your on-premises computers and networks to a virtual network using any combination of the following options:

  • Red privada virtual (VPN) de punto a sitio: se establece entre una red virtual y un equipo individual de la red.Point-to-site virtual private network (VPN): Established between a virtual network and a single computer in your network. Cada equipo que desea establecer conectividad con una red virtual debe configurar su conexión.Each computer that wants to establish connectivity with a virtual network must configure its connection. Este tipo de conexión es muy útil cuando se está comenzando con Azure, o para los desarrolladores, porque requiere poco o ningún cambio en la red existente.This connection type is great if you're just getting started with Azure, or for developers, because it requires little or no changes to your existing network. La comunicación entre el equipo y una red virtual se envía mediante un túnel cifrado a través de internet.The communication between your computer and a virtual network is sent through an encrypted tunnel over the internet. Para más información, consulte VPN de punto a sitio.To learn more, see Point-to-site VPN.
  • VPN de sitio a sitio: se establece entre un dispositivo VPN local y una instancia de Azure VPN Gateway que está implementada en una red virtual.Site-to-site VPN: Established between your on-premises VPN device and an Azure VPN Gateway that is deployed in a virtual network. Este tipo de conexión permite que cualquier recurso local que autorice acceda a una red virtual.This connection type enables any on-premises resource that you authorize to access a virtual network. La comunicación entre un dispositivo VPN local y una puerta de enlace de VPN de Azure se envía mediante un túnel cifrado a través de internet.The communication between your on-premises VPN device and an Azure VPN gateway is sent through an encrypted tunnel over the internet. Para más información, consulte VPN de sitio a sitio.To learn more, see Site-to-site VPN.
  • Azure ExpressRoute: se establece entre la red y Azure, mediante un asociado de ExpressRoute.Azure ExpressRoute: Established between your network and Azure, through an ExpressRoute partner. Esta conexión es privada.This connection is private. El tráfico no pasa por Internet.Traffic does not go over the internet. Para más información, consulte ExpressRoute.To learn more, see ExpressRoute.

Filtrado del tráfico de redFilter network traffic

Puede filtrar el tráfico de red entre subredes mediante una o ambas de las siguientes opciones:You can filter network traffic between subnets using either or both of the following options:

  • Grupos de seguridad: los grupos de seguridad de red y los grupos de seguridad de aplicaciones pueden contener varias reglas de seguridad de entrada y salida que le permiten filtrar el tráfico que llega y sale de los recursos por dirección IP, puerto y protocolo de origen y destino.Security groups: Network security groups and application security groups can contain multiple inbound and outbound security rules that enable you to filter traffic to and from resources by source and destination IP address, port, and protocol. Para más información, vea grupos de seguridad de red y grupos de seguridad de aplicaciones.To learn more, see Network security groups or Application security groups.
  • Aplicaciones virtuales de red: una aplicación de red virtual es una máquina virtual que ejecuta una función de red, como un firewall, la optimización de WAN u otra función de red.Network virtual appliances: A network virtual appliance is a VM that performs a network function, such as a firewall, WAN optimization, or other network function. Para ver una lista de las aplicaciones virtuales de red que se pueden implementar en una red virtual, consulte Azure Marketplace.To view a list of available network virtual appliances that you can deploy in a virtual network, see Azure Marketplace.

Enrutado del tráfico de redRoute network traffic

De forma predeterminada Azure enruta el tráfico entre subredes, redes virtuales conectadas, redes locales e Internet.Azure routes traffic between subnets, connected virtual networks, on-premises networks, and the Internet, by default. Puede implementar una o ambas de las siguientes opciones para reemplazar las rutas predeterminadas que crea Azure:You can implement either or both of the following options to override the default routes Azure creates:

  • Tablas de ruta: puede crear tablas de ruta personalizadas con las rutas que controlan a dónde se enruta el tráfico para cada subred.Route tables: You can create custom route tables with routes that control where traffic is routed to for each subnet. Más información sobre las tablas de rutas.Learn more about route tables.
  • Rutas de Protocolo de puerta de enlace de borde (BGP) : si conecta la red virtual a su red local mediante una conexión de Azure VPN Gateway o ExpressRoute, puede propagar las rutas BGP locales a sus redes virtuales.Border gateway protocol (BGP) routes: If you connect your virtual network to your on-premises network using an Azure VPN Gateway or ExpressRoute connection, you can propagate your on-premises BGP routes to your virtual networks. Más información sobre el uso de BGP con Azure VPN Gateway y ExpressRoute.Learn more about using BGP with Azure VPN Gateway and ExpressRoute.

Límites de Azure VNetAzure VNet limits

Hay ciertos límites en torno al número de recursos de Azure que puede implementar.There are certain limits around the number of Azure resources you can deploy. La mayoría de los límites de redes de Azure están en los valores máximos.Most Azure networking limits are at the maximum values. Sin embargo, puede aumentar ciertos límites de red como se especifica en la página de límites de red virtual.However, you can increase certain networking limits as specified on the VNet limits page.

PreciosPricing

No hay ningún cargo por usar Azure VNet, es libre de costo.There is no charge for using Azure VNet, it is free of cost. Los cargos estándar son aplicables para recursos como Virtual Machines (máquinas virtuales) y otros productos.Standard charges are applicable for resources, such as Virtual Machines (VMs) and other products. Para más información, consulte Precios de Virtual Network y la Calculadora de precios de Azure.To learn more, see VNet pricing and the Azure pricing calculator.

Pasos siguientesNext steps

Para empezar a usar una red virtual, créela, implemente en ella varias máquinas virtuales y establezca comunicación entre las máquinas virtuales.To get started using a virtual network, create one, deploy a few VMs to it, and communicate between the VMs. Para aprender a hacerlo, consulte la guía de inicio rápido Creación de una red virtual.To learn how, see the Create a virtual network quickstart.