El curso Designing and ImplementingMicrosoft Azure Networking Solutions le permitirá proporcionar un acceso seguro y confiable a su infraestructura y recursos de Azure, así como a los recursos locales.
Objetivos de aprendizaje.
Implementar redes virtuales
Configurar servicios de IP pública
Diseñar e implementar la resolución de nombres, conectividad entre VNET y una red NAT de Azure Virtual Network
enrutamiento de red virtual.
Requisitos previos.
Debe tener experiencia con los conceptos de red, como el direccionamiento IP, el sistema de nombres de dominio (DNS) y el enrutamiento, con métodos de conectividad de red, como VPN o WAN y con Azure Portal y Azure PowerShell
Azure Virtual Networks (VNets) son el componente fundamental de su red privada en Azure. Las redes virtuales le permiten crear redes virtuales complejas que son similares a una red local, con beneficios adicionales de la infraestructura de Azure, como escala, disponibilidad y aislamiento. Una red virtual es una representación de su propia red en la nube.
Es un aislamiento lógico de la nube de Azure dedicado a su suscripción. Puede usar redes virtuales para aprovisionar y administrar redes privadas virtuales (VPN) en Azure y, opcionalmente, vincular las redes virtuales con otras redes virtuales en Azure o con su infraestructura de TI local para crear soluciones híbridas o entre locales. Cada red virtual que cree tiene su propio bloque de CIDR y se puede vincular a otras redes virtuales y redes locales siempre que los bloques de CIDR no se superpongan. También tiene el control de la configuración del servidor DNS para las redes virtuales y la segmentación de la red virtual en subredes.
Capacidades de las redes virtuales de Azure
Las redes virtuales de Azure permiten que los recursos de Azure se comuniquen de forma segura entre sí, con Internet y con las redes locales.
Comunicación con Internet. Todos los recursos de una red virtual pueden comunicarse de forma saliente a Internet de forma predeterminada. Puede comunicarse de forma entrante a un recurso mediante la asignación de una dirección IP pública o un Load Balancer público.
También puede usar una IP pública o Load Balancer público para administrar sus conexiones salientes.
Comunicación entre recursos de Azure. Hay tres mecanismos clave a través de los cuales los recursos de Azure pueden comunicarse: redes virtuales, puntos de conexión de servicio de redes virtuales y emparejamiento de redes virtuales. Las redes virtuales pueden conectar no solo máquinas virtuales, sino también otros recursos de Azure, como App Service Environment, Azure Kubernetes Service y conjuntos de escalado de máquinas virtuales de Azure. Puede usar puntos de conexión de servicio para conectarse a otros tipos de recursos de Azure, como bases de datos de Azure SQL y cuentas de almacenamiento. Cuando crea una red virtual, sus servicios y máquinas virtuales dentro de su red virtual pueden comunicarse de forma directa y segura entre sí en la nube.
Comunicación entre recursos locales. Amplíe su centro de datos de forma segura. Puede conectar sus equipos y redes locales a una red virtual mediante cualquiera de las siguientes opciones: red privada virtual (VPN) de punto a sitio, VPN de sitio a sitio, Azure ExpressRoute.
Filtrado del tráfico de red. Puede filtrar el tráfico de red entre subredes utilizando cualquier combinación de grupos de seguridad de red y dispositivos virtuales de red como firewalls, puertas de enlace, servidores proxy y servicios de traducción de direcciones de red (NAT).
Enrutamiento del tráfico de la red. Azure enruta el tráfico entre subredes, redes virtuales conectadas, redes locales e Internet de forma predeterminada. Puede implementar tablas de rutas o rutas del protocolo de puerta de enlace fronteriza (BGP) para invalidar las rutas predeterminadas que crea Azure.
Consideraciones de diseño para Azure Virtual Networks
Con algo de conocimiento y planificación, podrá implementar redes virtuales y conectar los recursos que necesita de manera efectiva.
Espacio de direcciones y subredes
Puede crear varias redes virtuales por región por suscripción. Puede crear varias subredes dentro de cada red virtual.
Redes virtuales.
Al crear una red virtual, se recomienda utilizar los intervalos de direcciones enumerados en RFC 1918, que el IETF ha reservado para espacios de direcciones privados no enrutables:
Subredes.
Una subred es un rango de direcciones IP en la red virtual. Puede segmentar redes virtuales en subredes de diferentes tamaños, creando tantas subredes como necesite para la organización y la seguridad dentro del límite de la suscripción. A continuación, puede implementar recursos de Azure en una subred específica. Al igual que en una red tradicional, las subredes le permiten segmentar su espacio de direcciones de VNet en segmentos que sean apropiados para la red interna de la organización. Esto también mejora la eficiencia de la asignación de direcciones. La subred IPv4 admitida más pequeña es /29 y la más grande es /8 (usando definiciones de subred CIDR). Las subredes IPv6 deben tener exactamente un tamaño de /64. Al planificar la implementación de subredes, debe tener en cuenta lo siguiente:
Cada subred debe tener un rango de direcciones único, especificado en formato de enrutamiento entre dominios sin clase (CIDR).
Ciertos servicios de Azure requieren su propia subred.
Las subredes se pueden utilizar para la gestión del tráfico. Por ejemplo, puede crear subredes para enrutar el tráfico a través de un dispositivo virtual de red.
Puede limitar el acceso a los recursos de Azure a subredes específicas con un punto de conexión de servicio de red virtual. Puede crear varias subredes y habilitar un extremo de servicio para algunas subredes, pero no para otras.
Microsegmentación
Aunque las subredes son la unidad más pequeña que puede crear según el direccionamiento IP, puede segmentar aún más su red mediante el uso de grupos de seguridad de red (NSG) para controlar el acceso a la subred. Cada grupo de seguridad de red contiene reglas que permiten o deniegan el tráfico hacia y desde orígenes y destinos.
Puede asociar cero o un NSG a cada subred en una red virtual. Puede asociar el mismo grupo de seguridad de red o uno diferente a cada subred.
Determinar una convención de nomenclatura.
Como parte de su diseño de red Azure, es importante planificar su convención de nomenclatura para sus recursos. Una convención de nomenclatura efectiva compone nombres de recursos a partir de información importante sobre cada recurso.
Un nombre bien elegido lo ayuda a identificar rápidamente el tipo de recurso, su carga de trabajo asociada, su entorno de implementación y la región de Azure que lo hospeda. Por ejemplo, un recurso de IP pública para una carga de trabajo de producción de SharePoint que resida en la región Oeste de EE. UU. podría ser pip-sharepoint-prod-westus-001
Todos los tipos de recursos de Azure tienen un ámbito que define el nivel en el que los nombres de los recursos deben ser únicos. Un recurso debe tener un nombre único dentro de su ámbito. Hay cuatro niveles en los que puede especificar un ámbito: grupo de administración, suscripción, grupo de recursos y recurso. Los ámbitos son jerárquicos, y cada nivel de jerarquía hace que el ámbito sea más específico.
Por ejemplo, una red virtual tiene un ámbito de grupo de recursos, lo que significa que solo puede haber una red llamada vnet-prod-westus-001 en cada grupo de recursos. Otros grupos de recursos podrían tener su propia red virtual denominada vnet-prod-westus-001. Las subredes se limitan a redes virtuales, por lo que cada subred dentro de una red virtual debe tener un nombre distinto.
Comprender las regiones y las suscripciones
Todos los recursos de Azure se crean en una región y suscripción de Azure. Un recurso solo se puede crear en una red virtual que exista en la misma región y suscripción que el recurso. Sin embargo, puede conectar redes virtuales que existen en diferentes suscripciones y regiones. Es importante tener en cuenta las regiones de Azure al diseñar su red de Azure en relación con su infraestructura, datos, aplicaciones y usuarios finales.
Puede implementar tantas redes virtuales como necesite dentro de cada suscripción, hasta el límite de suscripción. Algunas organizaciones más grandes con implementaciones globales tienen múltiples redes virtuales que están conectadas entre regiones, por ejemplo.
Zonas de disponibilidad de Azure.
Una zona de disponibilidad de Azure le permite definir ubicaciones físicas únicas dentro de una región. Cada zona se compone de uno o más centros de datos equipados con alimentación, refrigeración y redes independientes. Diseñado para garantizar la alta disponibilidad de sus servicios de Azure, la separación física de las zonas de disponibilidad dentro de una región protege las aplicaciones y los datos de las fallas del centro de datos.
Debe tener en cuenta las zonas de disponibilidad al diseñar su red de Azure y planificar servicios que admitan zonas de disponibilidad.
Los servicios de Azure que admiten las zonas de disponibilidad se dividen en tres categorías:
Servicios zonales: los recursos se pueden anclar a una zona específica. Por ejemplo, las máquinas virtuales, los discos administrados o las direcciones IP estándar se pueden anclar a una zona específica, lo que permite una mayor resiliencia al tener una o más instancias de recursos distribuidas entre zonas.
Servicios con redundancia de zona: los recursos se replican o distribuyen entre zonas automáticamente. Azure replica los datos en tres zonas para que un error de zona no afecte su disponibilidad.
Servicios no regionales: los servicios siempre están disponibles desde las geografías de Azure y son resistentes a las interrupciones en toda la zona, así como a las interrupciones en toda la región.
Crear una red virtual en Azure
Puede crear una red virtual de Azure directamente a través de Azure Portal, mediante PowerShell o la CLI de Azure.
Antes de poder crear una red virtual, debe crear un grupo de recursos. Un grupo de recursos es un contenedor que contiene recursos relacionados para una solución de Azure. El grupo de recursos puede incluir todos los recursos de la solución o solo los recursos que desea administrar como grupo.