Exploración de las redes virtuales de Azure
Tiene un centro de datos local que va a mantener, pero quiere usar Azure para descargar los picos de tráfico mediante máquinas virtuales hospedadas en Azure. Quiere mantener el esquema de direcciones IP y los dispositivos de red existentes, y asegurarse de que todas las transferencias de datos sean seguras.
¿Qué son las redes virtuales de Azure?
Las redes virtuales de Azure permiten a los recursos de Azure, como las máquinas virtuales, las aplicaciones web y las bases de datos, comunicarse entre sí, con los usuarios de Internet y con los equipos cliente en el entorno local. Se puede pensar en una red de Azure como en un conjunto de recursos que se vincula a otros recursos de Azure.
Las redes virtuales de Azure proporcionan importantes funcionalidades de red:
- Aislamiento y segmentación
- Comunicación con Internet
- Comunicación entre recursos de Azure
- Comunicación con los recursos locales
- Enrutamiento del tráfico de red
- Filtrado del tráfico de red
- Conexión de redes virtuales
Aislamiento y segmentación
Azure permite crear varias redes virtuales aisladas. Al configurar una red virtual, se define un espacio de direcciones privadas de Protocolo de Internet (IP), con intervalos de direcciones IP públicas o privadas. Después, puede segmentar ese espacio de direcciones IP en subredes y asignar parte del espacio de direcciones definido a cada subred con nombre.
Para la resolución de nombres, puede usar el servicio de resolución de nombres integrado de Azure, o bien puede configurar la red virtual para usar un servidor de Sistema de nombres de dominio (DNS) interno o externo.
Comunicación con Internet
Una máquina virtual en Azure se puede conectar a Internet de forma predeterminada. Puede habilitar las comunicaciones entrantes desde Internet si define una dirección IP pública o un equilibrador de carga público. Para la administración de la máquina virtual, puede conectarse a través de la CLI de Azure, el Protocolo de escritorio remoto (RDP) o Secure Shell (SSH).
Comunicación entre los recursos de Azure
Le interesará habilitar los recursos de Azure para que se comuniquen entre sí de forma segura. Puede hacerlo de dos maneras:
Redes virtuales
Las redes virtuales no solo pueden conectar máquinas virtuales, sino también otros recursos de Azure como el entorno de App Service, Azure Kubernetes Service y conjuntos de escalado de máquinas virtuales de Azure.
Puntos de conexión de servicio
Los puntos de conexión de servicio se pueden usar para conectarse a otros tipos de recursos de Azure, como cuentas de almacenamiento y bases de datos de Azure SQL. Este enfoque permite vincular varios recursos de Azure con las redes virtuales, lo que mejora la seguridad y proporciona un enrutamiento óptimo entre los recursos.
Comunicación con recursos locales
Las redes virtuales de Azure permiten vincular entre sí los recursos del entorno local y de la suscripción de Azure, creando así una red que abarca tanto el entorno local como el entorno en la nube. Existen tres mecanismos para lograr esta conectividad:
Redes privadas virtuales de punto a sitio
Este enfoque es similar a una conexión de Red privada virtual (VPN) que un equipo situado fuera de su organización realiza con la red corporativa, con la diferencia de que funciona en la dirección opuesta. En este caso, el equipo cliente inicia una conexión VPN cifrada con Azure, y conecta ese equipo a la red virtual de Azure.
Redes virtuales privadas de sitio a sitio Una VPN de sitio a sitio vincula un dispositivo o puerta de enlace de VPN local con la puerta de enlace de VPN de Azure en una red virtual. De hecho, puede parecer que los dispositivos de Azure están en la red local. La conexión se cifra y funciona a través de Internet.
Azure ExpressRoute
Para los entornos donde se necesita más ancho de banda e incluso mayores niveles de seguridad, Azure ExpressRoute es el mejor enfoque. Azure ExpressRoute proporciona una conectividad privada dedicada a Azure que no viaja a través de Internet.
Enrutado del tráfico de red
De forma predeterminada, Azure enruta el tráfico entre las subredes de las redes virtuales conectadas, las redes locales e Internet. Pero puede controlar el enrutamiento e invalidar esas opciones del siguiente modo:
Tablas de ruta
Una tabla de rutas permite definir reglas para dirigir el tráfico. Puede crear tablas de rutas personalizadas que controlen cómo se enrutan los paquetes entre las subredes.
Protocolo de puerta de enlace de borde
El Protocolo de puerta de enlace de borde (BGP) funciona con puertas de enlace de VPN de Azure o con ExpressRoute para propagar las rutas BGP locales a las redes virtuales de Azure.
Filtrado del tráfico de red
Las redes virtuales de Azure permiten filtrar el tráfico entre las subredes mediante los métodos siguientes:
Grupos de seguridad de red
Un grupo de seguridad de red (NSG) es un recurso de Azure que puede contener varias reglas de seguridad de entrada y salida. Estas reglas se pueden definir para permitir o bloquear el tráfico en función de factores como el protocolo, el puerto y las direcciones IP de destino y origen.
Aplicaciones virtuales de red
Una aplicación virtual de red es una máquina virtual especializada que se puede comparar con un dispositivo de red protegido. Una aplicación virtual de red lleva a cabo una función de red determinada, como ejecutar un firewall o realizar la optimización de la WAN.
Conexión de redes virtuales
Puede vincular redes virtuales entre sí mediante el emparejamiento de redes virtuales. El emparejamiento permite que los recursos de cada red virtual se comuniquen entre sí. Estas redes virtuales pueden estar en regiones distintas, lo que permite crear una red global interconectada a través de Azure.
Configuración de redes virtuales de Azure
Puede crear y configurar redes virtuales de Azure desde Azure Portal, Azure PowerShell en el equipo local o Azure Cloud Shell.
Creación de una red virtual
Al crear una red virtual de Azure, se configuran algunas opciones básicas. También puede configurar opciones avanzadas, como varias subredes, protección contra denegación de servicio distribuido (DDoS) y puntos de conexión de servicio.
Configurará las opciones siguientes para una red virtual básica:
Nombre de red
El nombre de red debe ser único en la suscripción, pero no es necesario que sea único globalmente. Elija un nombre descriptivo que sea fácil de recordar y de identificar con respecto a otras redes virtuales.
Espacio de direcciones
Al configurar una red virtual, se define el espacio de direcciones internas con el formato de Enrutamiento de interdominios sin clases (CIDR). Este espacio de direcciones debe ser único dentro de la suscripción y de cualquier otra red a la que se conecte.
Supongamos que elige un espacio de direcciones de 10.0.0.0/24 para la primera red virtual. Las direcciones definidas en este espacio de direcciones van de 10.0.0.1 a 10.0.0.254. Luego cree una segunda red virtual y elija un espacio de direcciones de 10.0.0.0/8. La dirección de este espacio de direcciones va de 10.0.0.1 a 10.255.255.254. Algunas de las direcciones se superponen y no se pueden usar para las dos redes virtuales.
Pero se puede usar 10.0.0.0/16, con direcciones comprendidas entre 10.0.0.1 - 10.0.255.254, y 10.1.0.0/16, con direcciones comprendidas entre 10.1.0.1 - 10.1.255.254. Puede asignar estos espacios de direcciones a las redes virtuales porque ninguna dirección se superpone.
Nota:
Podrá agregar espacios de direcciones después de crear la red virtual.
Suscripción
Solo se aplica si tiene varias suscripciones para elegir.
Grupo de recursos
Como cualquier otro recurso de Azure, una red virtual debe existir en un grupo de recursos. Puede seleccionar un grupo de recursos existente o crear uno.
Ubicación
Seleccione la ubicación donde quiere que exista la red virtual.
Subred
Dentro de cada intervalo de direcciones de red virtual, puede crear una o varias subredes que dividirán el espacio de direcciones de la red virtual. El enrutamiento entre las subredes dependerá de las rutas de tráfico predeterminadas, o bien puede definir rutas personalizadas. Como alternativa, puede definir una subred que abarque todo el intervalo de direcciones de la red virtual.
Nota:
Los nombres de subred deben empezar con una letra o un número, acabar con una letra, un número o un guion bajo, y solo deben contener letras, números, guiones bajos, puntos o guiones.
Protección de Denegación de servicio distribuido (DDoS)
Puede seleccionar la protección DDoS básica o estándar. La protección DDoS estándar es un servicio Premium. Azure DDoS Protection proporciona más información sobre la protección contra DDoS.
Puntos de conexión de servicio
Aquí se habilitan los puntos de conexión de servicio y, después, se selecciona en la lista los puntos de conexión de servicio de Azure que se quieren habilitar. Las opciones incluyen Azure Cosmos DB, Azure Service Bus, Azure Key Vault, etc.
Cuando haya configurado estas opciones, seleccione Crear.
Definición de otras opciones
Después de crear una red virtual, puede definir más opciones. Esta configuración incluye:
Grupo de seguridad de red
Los grupos de seguridad de red tienen reglas de seguridad que permiten filtrar el tipo de tráfico de red que puede fluir dentro y fuera de las interfaces de red y las subredes de redes virtuales. El grupo de seguridad de red se crea por separado y luego se asocia a la red virtual.
Tabla de rutas
Azure crea automáticamente una tabla de rutas para cada subred de una red virtual de Azure y agrega las rutas predeterminadas del sistema a la tabla. Pero se pueden agregar tablas de rutas personalizadas para modificar el tráfico entre las redes virtuales.
También se pueden modificar los puntos de conexión de servicio.
Configuración de redes virtuales
Después de crear una red virtual, puede cambiar la configuración adicional desde el panel Redes virtuales en el portal de Azure. Como alternativa, puede usar comandos de PowerShell o Cloud Shell para realizar los cambios.
Después, puede revisar y cambiar la configuración en paneles secundarios adicionales. Esta configuración incluye:
Espacios de direcciones: puede agregar más espacios de direcciones a la definición inicial.
Dispositivos conectados: use la red virtual para conectar las máquinas.
Subredes: agregue más subredes.
Emparejamientos: organice las redes virtuales mediante vínculos de emparejamiento.
También puede supervisar y solucionar los problemas de las redes virtuales, o bien crear un script de automatización para generar la red virtual actual.
Las redes virtuales son mecanismos eficaces y muy configurables para conectar las entidades de Azure. Puede conectar los recursos de Azure entre sí o a los recursos del entorno local. Puede aislar, filtrar y enrutar el tráfico de red, y Azure permite aumentar la seguridad donde usted crea que es necesario.