Exploración de las redes virtuales de Azure

Tiene un centro de datos local que va a mantener, pero quiere usar Azure para descargar los picos de tráfico mediante máquinas virtuales hospedadas en Azure. Quiere mantener el esquema de direcciones IP y los dispositivos de red existentes, y asegurarse de que todas las transferencias de datos sean seguras.

¿Qué son las redes virtuales de Azure?

Las redes virtuales de Azure permiten a los recursos de Azure, como las máquinas virtuales, las aplicaciones web y las bases de datos, comunicarse entre sí, con los usuarios de Internet y con los equipos cliente en el entorno local. Se puede pensar en una red de Azure como en un conjunto de recursos que se vincula a otros recursos de Azure.

Las redes virtuales de Azure proporcionan importantes funcionalidades de red:

  • Aislamiento y segmentación
  • Comunicación con Internet
  • Comunicación entre recursos de Azure
  • Comunicación con los recursos locales
  • Enrutamiento del tráfico de red
  • Filtrado del tráfico de red
  • Conexión de redes virtuales

Configuración de red para las máquinas virtuales

Aislamiento y segmentación

Azure permite crear varias redes virtuales aisladas. Al configurar una red virtual, se define un espacio de direcciones privadas de Protocolo de Internet (IP), con intervalos de direcciones IP públicas o privadas. Después, puede segmentar ese espacio de direcciones IP en subredes y asignar parte del espacio de direcciones definido a cada subred con nombre.

Para la resolución de nombres, puede usar el servicio de resolución de nombres integrado de Azure, o bien puede configurar la red virtual para usar un servidor de Sistema de nombres de dominio (DNS) interno o externo.

Comunicación con Internet

Una máquina virtual en Azure se puede conectar a Internet de forma predeterminada. Puede habilitar las comunicaciones entrantes desde Internet si define una dirección IP pública o un equilibrador de carga público. Para la administración de la máquina virtual, puede conectarse a través de la CLI de Azure, el Protocolo de escritorio remoto (RDP) o Secure Shell (SSH).

Comunicación entre los recursos de Azure

Le interesará habilitar los recursos de Azure para que se comuniquen entre sí de forma segura. Puede hacerlo de dos maneras:

  • Redes virtuales

    Las redes virtuales no solo pueden conectar máquinas virtuales, sino también otros recursos de Azure como el entorno de App Service, Azure Kubernetes Service y conjuntos de escalado de máquinas virtuales de Azure.

  • Puntos de conexión de servicio

    Los puntos de conexión de servicio se pueden usar para conectarse a otros tipos de recursos de Azure, como cuentas de almacenamiento y bases de datos de Azure SQL. Este enfoque permite vincular varios recursos de Azure con las redes virtuales, lo que mejora la seguridad y proporciona un enrutamiento óptimo entre los recursos.

Comunicación con recursos locales

Las redes virtuales de Azure permiten vincular entre sí los recursos del entorno local y de la suscripción de Azure, creando así una red que abarca tanto el entorno local como el entorno en la nube. Existen tres mecanismos para lograr esta conectividad:

  • Redes privadas virtuales de punto a sitio

    Este enfoque es similar a una conexión de Red privada virtual (VPN) que un equipo situado fuera de su organización realiza con la red corporativa, con la diferencia de que funciona en la dirección opuesta. En este caso, el equipo cliente inicia una conexión VPN cifrada con Azure, y conecta ese equipo a la red virtual de Azure.

  • Redes virtuales privadas de sitio a sitio Una VPN de sitio a sitio vincula un dispositivo o puerta de enlace de VPN local con la puerta de enlace de VPN de Azure en una red virtual. De hecho, puede parecer que los dispositivos de Azure están en la red local. La conexión se cifra y funciona a través de Internet.

  • Azure ExpressRoute

    Para los entornos donde se necesita más ancho de banda e incluso mayores niveles de seguridad, Azure ExpressRoute es el mejor enfoque. Azure ExpressRoute proporciona una conectividad privada dedicada a Azure que no viaja a través de Internet.

Enrutamiento del tráfico de red

De forma predeterminada, Azure enruta el tráfico entre las subredes de las redes virtuales conectadas, las redes locales e Internet. Pero puede controlar el enrutamiento e invalidar esas opciones del siguiente modo:

  • Tablas de ruta

    Una tabla de rutas permite definir reglas para dirigir el tráfico. Puede crear tablas de rutas personalizadas que controlen cómo se enrutan los paquetes entre las subredes.

  • Protocolo de puerta de enlace de borde

    El Protocolo de puerta de enlace de borde (BGP) funciona con puertas de enlace de VPN de Azure o con ExpressRoute para propagar las rutas BGP locales a las redes virtuales de Azure.

Filtrado del tráfico de red

Las redes virtuales de Azure permiten filtrar el tráfico entre las subredes mediante los métodos siguientes:

  • Grupos de seguridad de red

    Un grupo de seguridad de red es un recurso de Azure que puede contener varias reglas de seguridad de entrada y salida. Estas reglas se pueden definir para permitir o bloquear el tráfico en función de factores como el protocolo, el puerto y las direcciones IP de destino y origen.

  • Aplicaciones virtuales de red

    Una aplicación virtual de red es una máquina virtual especializada que se puede comparar con un dispositivo de red protegido. Una aplicación virtual de red lleva a cabo una función de red determinada, como ejecutar un firewall o realizar la optimización de la WAN.

Conexión de redes virtuales

Puede vincular redes virtuales entre sí mediante el emparejamiento de redes virtuales. El emparejamiento permite que los recursos de cada red virtual se comuniquen entre sí. Estas redes virtuales pueden estar en regiones distintas, lo que permite crear una red global interconectada a través de Azure.

Configuración de redes virtuales de Azure

Puede crear y configurar redes virtuales de Azure desde Azure Portal, Azure PowerShell en el equipo local o Azure Cloud Shell.

Creación de una red virtual

Cuando se crea una red virtual de Azure, se configuran algunas opciones básicas. Tendrá la posibilidad de configurar opciones avanzadas, como varias subredes, protección contra denegación de servicio distribuido (DDoS) y puntos de conexión de servicio.

Captura de pantalla de Azure Portal en la que se muestra un ejemplo de los campos del panel Crear red virtual.

Configurará las opciones siguientes para una red virtual básica:

  • Nombre de red

    El nombre de red debe ser único en la suscripción, pero no es necesario que sea único globalmente. Elija un nombre descriptivo que sea fácil de recordar y de identificar con respecto a otras redes virtuales.

  • Espacio de direcciones

    Al configurar una red virtual, se define el espacio de direcciones internas con el formato de Enrutamiento de interdominios sin clases (CIDR). Este espacio de direcciones debe ser único dentro de la suscripción y de cualquier otra red a la que se conecte.

    Supongamos que elige un espacio de direcciones de 10.0.0.0/24 para la primera red virtual. Las direcciones definidas en este espacio de direcciones van de 10.0.0.1 a 10.0.0.254. Luego cree una segunda red virtual y elija un espacio de direcciones de 10.0.0.0/8. La dirección de este espacio de direcciones va de 10.0.0.1 a 10.255.255.254. Algunas de las direcciones se superponen y no se pueden usar para las dos redes virtuales.

    Pero se puede usar 10.0.0.0/16, con direcciones comprendidas entre 10.0.0.1 - 10.0.255.254, y 10.1.0.0/16, con direcciones comprendidas entre 10.1.0.1 - 10.1.255.254. Puede asignar estos espacios de direcciones a las redes virtuales, ya que ninguna dirección se superpone.

    Nota

    Podrá agregar espacios de direcciones después de crear la red virtual.

  • Suscripción

    Solo se aplica si tiene varias suscripciones para elegir.

  • Grupo de recursos

    Como cualquier otro recurso de Azure, una red virtual debe existir en un grupo de recursos. Puede seleccionar un grupo de recursos existente o crear uno.

  • Ubicación

    Seleccione la ubicación donde quiere que exista la red virtual.

  • Subred

    Dentro de cada intervalo de direcciones de red virtual, puede crear una o varias subredes que dividirán el espacio de direcciones de la red virtual. El enrutamiento entre las subredes dependerá de las rutas de tráfico predeterminadas, o bien puede definir rutas personalizadas. Como alternativa, puede definir una subred que abarque todo el intervalo de direcciones de la red virtual.

    Nota

    Los nombres de subred deben empezar con una letra o un número, acabar con una letra, un número o un guion bajo, y solo deben contener letras, números, guiones bajos, puntos o guiones.

  • Protección de Denegación de servicio distribuido (DDoS)

    Puede seleccionar la protección DDoS básica o estándar. La protección DDoS estándar es un servicio Premium. El estándar Azure DDoS Protection proporciona más información sobre la protección DDoS estándar.

  • Puntos de conexión de servicio

    Aquí se habilitan los puntos de conexión de servicio y, después, se selecciona en la lista los puntos de conexión de servicio de Azure que se quieren habilitar. Las opciones incluyen Azure Cosmos DB, Azure Service Bus, Azure Key Vault, etc.

Después de configurar estas opciones, haga clic en el botón Crear.

Definición de opciones de configuración adicionales

Después de crear una red virtual, puede definir más opciones. Entre ellas se incluyen las siguientes:

  • Grupo de seguridad de red

    Los grupos de seguridad de red tienen reglas de seguridad que permiten filtrar el tipo de tráfico de red que puede fluir dentro y fuera de las interfaces de red y las subredes de redes virtuales. El grupo de seguridad de red se crea por separado y luego se asocia a la red virtual.

  • Tabla de rutas

    Azure crea automáticamente una tabla de rutas para cada subred de una red virtual de Azure y agrega las rutas predeterminadas del sistema a la tabla. Pero se pueden agregar tablas de rutas personalizadas para modificar el tráfico entre las redes virtuales.

También se pueden modificar los puntos de conexión de servicio.

Captura de pantalla de Azure Portal en la que se muestra un panel de ejemplo para modificar la configuración de la red virtual.

Configuración de redes virtuales

Después de crear una red virtual, puede cambiar la configuración adicional desde el panel Redes virtuales en Azure Portal. Como alternativa, puede usar comandos de PowerShell o Cloud Shell para realizar los cambios.

Captura de pantalla de Azure Portal en la que se muestra un panel de ejemplo para configurar una red virtual.

Después, puede revisar y cambiar la configuración en paneles secundarios adicionales. Esta configuración incluye lo siguiente:

  • Espacios de direcciones: puede agregar más espacios de direcciones a la definición inicial

  • Dispositivos conectados: use la red virtual para conectar las máquinas

  • Subredes: agregue más subredes

  • Emparejamientos: vincule las redes virtuales mediante organizaciones de emparejamiento

También puede supervisar y solucionar los problemas de las redes virtuales, o bien crear un script de automatización para generar la red virtual actual.

Las redes virtuales son mecanismos eficaces y muy configurables para conectar las entidades de Azure. Puede conectar los recursos de Azure entre sí o a los recursos del entorno local. Puede aislar, filtrar y enrutar el tráfico de red, y Azure permite aumentar la seguridad donde piensa que es necesario.