Identificación de la funcionalidad de enrutamiento de una red virtual de Azure
Para controlar el flujo de tráfico dentro de la red virtual, debe conocer el propósito y las ventajas de las rutas personalizadas. También debe obtener información sobre cómo configurar las rutas para dirigir el flujo de tráfico a través de una aplicación virtual de red (NVA).
Enrutamiento de Azure
El tráfico de red en Azure se enruta automáticamente entre las redes locales, las redes virtuales y las subredes de Azure. Las rutas del sistema controlan este enrutamiento. Se asignan de forma predeterminada a cada subred de una red virtual. Con estas rutas del sistema, cualquier máquina virtual de Azure que se implemente en una red virtual se puede comunicar con cualquier otra de la red. También se puede tener acceso a estas máquinas virtuales desde el entorno local a través de una red híbrida o de Internet.
No se pueden crear ni eliminar rutas del sistema, pero puede invalidar las rutas del sistema agregando rutas personalizadas para controlar el flujo de tráfico al próximo salto.
Cada subred tiene las rutas predeterminadas del sistema siguientes:
| Prefijo de dirección | Tipo del próximo salto |
|---|---|
| Único para la red virtual | Red virtual |
| 0.0.0.0/0 | Internet |
| 10.0.0.0/8 | Ninguno |
| 172.16.0.0/12 | Ninguno |
| 192.168.0.0/16 | Ninguno |
| 100.64.0.0/10 | Ninguno |
En la columna Tipo del próximo salto se muestra la ruta de acceso de red que adopta el tráfico enviado a cada prefijo de dirección. La ruta de acceso puede ser uno de los tipos de salto siguientes:
- Red virtual: se crea una ruta en el prefijo de dirección. El prefijo representa cada intervalo de direcciones creado en el nivel de red virtual. Si se especifican varios intervalos de direcciones, se crean varias rutas para cada uno.
- Internet: la ruta predeterminada del sistema 0.0.0.0/0 enruta cualquier intervalo de direcciones a Internet, a menos que se reemplace la ruta predeterminada de Azure por una ruta personalizada.
- Ninguno: todo el tráfico enrutado a este tipo de salto se omite y no se enruta fuera de la subred. De forma predeterminada, se crean los siguientes prefijos de dirección privada IPv4: 10.0.0.0/8, 172.16.0.0/12 y 192.168.0.0/16. También se agrega el prefijo 100.64.0.0/10 para un espacio de direcciones compartido. Ninguno de estos intervalos de direcciones se puede enrutar globalmente.
En el diagrama siguiente se muestra información general sobre las rutas del sistema y cómo fluye el tráfico de forma predeterminada entre las subredes e Internet. En el diagrama puede ver que el tráfico fluye libremente entre las dos subredes e Internet.
Dentro de Azure hay otras rutas del sistema. Azure crea estas rutas si se habilitan las funcionalidades siguientes:
- Emparejamiento de redes virtuales
- Encadenamiento de servicios
- Puerta de enlace de red virtual
- Puntos de conexión de servicio de red virtual
Emparejamiento de redes virtuales y encadenamiento de servicios
El emparejamiento de redes virtuales y el encadenamiento de servicios permiten que las redes virtuales de Azure se conecten entre sí. Con esta conexión, las máquinas virtuales se pueden comunicar entre sí dentro de la misma región o entre regiones. Esta comunicación, a su vez, crea más rutas dentro de la tabla de rutas predeterminada. El encadenamiento de servicios permite reemplazar estas rutas mediante la creación de rutas definidas por el usuario entre redes emparejadas.
En el diagrama siguiente se muestran dos redes virtuales con emparejamiento configurado. Las rutas definidas por el usuario están configuradas para enrutar el tráfico a través de una NVA o una puerta de enlace de VPN de Azure.
Puerta de enlace de red virtual
Use una puerta de enlace de red virtual para enviar tráfico cifrado entre Azure y el entorno local a través de Internet, así como para enviar tráfico cifrado entre redes de Azure. Una puerta de enlace de red virtual contiene tablas de enrutamiento y servicios de puerta de enlace.
Puntos de conexión de servicio de red virtual
Los puntos de conexión de red virtual amplían el espacio de direcciones privadas en Azure proporcionando una conexión directa a los recursos de Azure. Este conexión restringe el flujo de tráfico: las máquinas virtuales de Azure pueden acceder a la cuenta de almacenamiento directamente desde el espacio de direcciones privadas y denegar el acceso desde una máquina virtual pública. A medida que se habilitan los puntos de conexión de servicio, Azure crea rutas en la tabla de rutas para dirigir este tráfico.
Rutas personalizadas
Es posible que las rutas del sistema faciliten la tarea de poner en marcha el entorno rápidamente. Sin embargo, hay muchos escenarios en los que querrá controlar más estrechamente el flujo de tráfico dentro de la red. Por ejemplo, es posible que quiera enrutar el tráfico a través de una NVA o de un firewall. Este control es posible con las rutas personalizadas.
Tiene dos opciones para implementar rutas personalizadas: crear una ruta definida por el usuario o usar el Protocolo de puerta de enlace de borde (BGP) para intercambiar rutas entre las redes locales y de Azure.
Rutas definidas por el usuario
Una ruta definida por el usuario se puede usar para reemplazar las rutas predeterminadas del sistema para que el tráfico se pueda enrutar a través de firewalls o aplicaciones virtuales de red.
Por ejemplo, es posible que tenga una red con dos subredes y quiera agregar una máquina virtual en la red perimetral para usarla como firewall. Puede crear una ruta definida por el usuario para que el tráfico pase a través del firewall y no vaya directamente de una subred a otra.
Al crear rutas definidas por el usuario, se pueden especificar estos tipos de próximo salto:
- Aplicación virtual: suele ser un dispositivo de firewall que se usa para analizar o filtrar el tráfico que entra o sale de la red. Puede especificar la dirección IP privada de una tarjeta de interfaz de red (NIC) conectada a una máquina virtual para que se pueda habilitar el reenvío IP. O bien, puede proporcionar la dirección IP privada de un equilibrador de carga interno.
- Puerta de enlace de red virtual: se usa para indicar cuándo quiere que las rutas para una dirección específica se enruten a una puerta de enlace de red virtual. La puerta de enlace de red virtual se especifica como VPN para el tipo de próximo salto.
- Red virtual: se usa para reemplazar la ruta predeterminada del sistema en una red virtual.
- Internet: se usa para enrutar el tráfico a un prefijo de dirección especificado que se enruta a Internet.
- Ninguno: se usa para quitar el tráfico enviado a un prefijo de dirección especificado.
Con las rutas definidas por el usuario, no se puede especificar el tipo de próximo salto VirtualNetworkServiceEndpoint, que indica emparejamiento de redes virtuales.
Etiquetas de servicio para rutas definidas por el usuario
Puede especificar una etiqueta de servicio como prefijo de dirección de una ruta definida por el usuario en lugar de un intervalo IP explícito. Una etiqueta de servicio representa un grupo de prefijos de direcciones IP de un servicio de Azure determinado. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian. Así se minimiza la complejidad de las actualizaciones frecuentes de las rutas definidas por el usuario y se reduce el número de rutas que hay que crear.
Protocolo de puerta de enlace de borde
Una puerta de enlace de red en la red local puede intercambiar rutas con una puerta de enlace de red virtual en Azure mediante el Protocolo de puerta de enlace de borde (BGP). BGP es el protocolo de enrutamiento estándar que se usa habitualmente para el intercambio de información de enrutamiento entre dos o más redes. BGP se usa para transferir datos e información entre sistemas autónomos en Internet, como puertas de enlace de host diferentes.
Normalmente se usa BGP para anunciar rutas locales en Azure cuando se está conectado a un centro de datos de Azure a través de Azure ExpressRoute. También puede configurar BGP si se conecta a una red virtual de Azure con una conexión VPN de sitio a sitio.
En el diagrama siguiente se muestra una topología con rutas de acceso que permiten la transferencia de datos entre Azure VPN Gateway y redes locales:
BGP ofrece estabilidad de red porque los enrutadores pueden cambiar rápidamente las conexiones para enviar paquetes si una ruta de conexión deja de funcionar.
Selección de rutas y prioridad
Si hay varias rutas disponibles en una tabla de rutas, Azure usa la ruta con la coincidencia de prefijo más larga. Por ejemplo, se envía un mensaje a la dirección IP 10.0.0.2, pero hay dos rutas disponibles con los prefijos 10.0.0.0/16 y 10.0.0.0/24. Azure selecciona la ruta con el prefijo 10.0.0.0/24 porque es más específico.
Cuanto más largo sea el prefijo de ruta, más corta será la lista de direcciones IP disponibles a través de ese prefijo. Cuando se usan prefijos más largos, el algoritmo de enrutamiento puede seleccionar la dirección deseada más rápidamente.
No se pueden configurar varias rutas definidas por el usuario con el mismo prefijo de dirección.
Si hay varias rutas con el mismo prefijo de dirección, Azure selecciona la ruta según el tipo, con el orden de prioridad siguiente:
- Rutas definidas por el usuario
- Rutas BGP
- Rutas del sistema