Creación de las subredes
Las subredes proporcionan una manera de implementar divisiones lógicas dentro de la red virtual. La red se puede segmentar en subredes para ayudar a mejorar la seguridad, aumentar el rendimiento y facilitar la administración.
Aspectos que saber sobre las subredes
Hay ciertas condiciones relativas a las direcciones IP de una red virtual cuando se usa la segmentación con subredes.
Cada subred contiene un intervalo de direcciones IP que están dentro del espacio de direcciones de la red virtual.
El intervalo de direcciones de una subred debe ser único dentro del espacio de direcciones de la red virtual.
El intervalo de una subred no se puede superponer con otros intervalos de direcciones IP de subred en la misma red virtual.
El espacio de direcciones IP de una subred debe especificarse con notación de CIDR.
Puede segmentar una red virtual en una o varias subredes en Azure Portal. Aquí se muestran las características de las direcciones IP de las subredes.
Direcciones reservadas
En cada subred, Azure reserva cinco direcciones IP. Reserva las cuatro primeras y la última.
Vamos a examinar las direcciones reservadas en un intervalo de direcciones IP de 192.168.1.0/24.
| Dirección reservada | Motivo |
|---|---|
192.168.1.0 |
Este valor identifica la dirección de red virtual. |
192.168.1.1 |
Azure configura esta dirección como puerta de enlace predeterminada. |
192.168.1.2 y 192.168.1.3 |
Azure asigna estas direcciones IP de Azure DNS al espacio de red virtual. |
192.168.1.255 |
Este valor proporciona la dirección de difusión de red virtual. |
Aspectos que tener en cuenta al usar subredes
Al planear la adición de segmentos de subred dentro de una red virtual, hay varios factores que se deben tener en cuenta. Revise los siguientes escenarios.
Tenga en cuenta los requisitos de servicio. Cada servicio implementado directamente en una red virtual tiene requisitos específicos de enrutamiento y de los tipos de tráfico que deben permitirse dentro y fuera de las subredes asociadas. Un servicio puede requerir o crear su propia subred. Debe haber suficiente espacio sin asignar para cumplir los requisitos de servicio. Supongamos que conecta una red virtual a una red local mediante Azure VPN Gateway. La red virtual debe tener una subred dedicada para la puerta de enlace.
Tenga en cuenta las aplicaciones virtuales de red. De forma predeterminada, Azure enruta el tráfico de red entre todas las subredes de una red virtual. Puede invalidar el enrutamiento predeterminado de Azure para impedir el enrutamiento de Azure entre subredes. También puede invalidar el enrutamiento predeterminado entre subredes mediante una aplicación virtual de red. Si necesita que el tráfico entre los recursos de la misma red virtual fluya por una aplicación virtual de red, implemente los recursos en subredes diferentes.
Considere los puntos de conexión de servicio. Puede limitar el acceso a recursos de Azure (como, por ejemplo, una cuenta de almacenamiento de Azure o una base de datos de Azure SQL) a subredes específicas con un punto de conexión de servicio de red virtual. También puede denegar el acceso a los recursos de Internet. Puede crear varias subredes y luego habilitar un punto de conexión de servicio para algunas de ellas, pero no para otras.
Considere los grupos de seguridad de red. Puede asociar un grupo de seguridad de red o ninguno, a cada subred de una red virtual. Puede asociar el mismo grupo de seguridad de red (u otro diferente) a cada subred. Cada grupo de seguridad de red contiene reglas que permiten o niegan el paso del tráfico hacia y desde los orígenes y destinos.
Tenga en cuenta los vínculos privados. Azure Private Link proporciona conectividad privada desde una red virtual a la plataforma como servicio (PaaS) de Azure, propiedad del cliente o servicios de asociados de Microsoft. Private Link simplifica la arquitectura de red y protege la conexión entre los puntos de conexión de Azure. El servicio elimina la exposición de datos a la red pública de Internet.