Original PDF

Redes de
Azure
Manual
Tareas prácticas para administrar el tráfico de red en Azure, optimizar el

rendimiento y proteger los recursos de Azure
www.packt.com
Mustafa Toroman
Manual de redes de Azure
Tareas prácticas para administrar el tráfico de red en

Azure, optimizar el rendimiento y proteger los recursos
de Azure
Mustafa Toroman
BIRMINGHAM – BOMBAY
Manual de redes de Azure
Copyright © 2019 Packt Publishing
Todos los derechos reservados. No está permitida la reproducción, el almacenamiento en

un sistema de recuperación ni la transmisión en cualquier formato o por cualquier medio
de cualquier parte de este libro sin la autorización previa y por escrito del editor, salvo en
el caso de citas breves introducidas en artículos o revistas de opinión crítica.
Durante la preparación de este libro, se hizo todo lo posible por asegurar la exactitud de
la información presentada. Sin embargo, los datos que contiene este libro se venden sin
garantía, ya sea expresa o implícita. Ni el autor ni Packt Publishing, sus concesionarios y
distribuidores se considerarán responsables de cualquier daño causado o presuntamente
causado de manera directa o indirecta por el contenido de este libro.
Packt Publishing intentó proporcionar información de marca registrada de todas las

empresas y los productos mencionados en este libro mediante el uso adecuado de
mayúsculas. Sin embargo, Packt Publishing no garantiza la exactitud de esta información.
Editor a cargo: Vijin Boricha

Directora editorial: Shrilekha Inan
Editor de desarrollo de contenidos: Ronn Kurien
Editor técnico: Pratik Shet
Corrector de estilo: Safis Editing
Coordinador de proyecto: Jagdish Prabhu
Revisor: Safis Editing
Indexador: Tejal Daruwale Soni
Gráficos: Tom Scaria
Coordinador de producción: Saili Kale
Fecha de primera publicación: marzo de 2019
Referencia de producción: 1290319
Publicado por Packt Publishing Ltd.

Livery Place
35 Livery Street
Birmingham B3 2PB, Reino Unido.
ISBN 978-1-78980-022-7
www.packtpub.com
https://mapt/io/
Suscríbase a nuestra biblioteca digital en línea para obtener acceso completo a más
de 7000 libros y videos, además de herramientas líderes de la industria para ayudarle
a planificar su desarrollo personal y avanzar en su profesión. Para obtener más
información, visite nuestro sitio web.
¿Por qué suscribirse?

• Pase menos tiempo aprendiendo y más tiempo codificando con los prácticos
eBooks y videos realizados por más de 4000 profesionales de la industria
• Mejore su aprendizaje con los planes de habilidades desarrollados
especialmente para usted
• Reciba un eBook o video gratuito cada mes
• Mapt es plenamente accesible
• Contenido que se puede copiar y pegar, imprimir y marcar como favorito
Packt.com
¿Sabía que Packt ofrece versiones de eBook de cada libro publicado, con archivos PDF
y ePub disponibles? Puede actualizar a la versión de eBook en www.Packt.com y,
como compró la versión impresa del libro, tiene derecho a un descuento en la copia
del eBook. Para obtener más información, comuníquese con nosotros a la dirección
customercare@packtpub.com.
En www.Packt.com, también puede leer una colección de artículos técnicos gratuitos,

registrarse para recibir una variedad de boletines informativos sin cargo y recibir
descuentos y ofertas exclusivas en eBooks y libros de Packt.
Colaboradores
Acerca del autor

Mustafa Toroman es un arquitecto de programas e ingeniero de sistemas sénior
con Authority Partners. Con años de experiencia en el diseño y la supervisión
de soluciones de infraestructura, últimamente, se centra en el diseño de nuevas
soluciones en la nube y la migración de soluciones existentes a la nube. Está
muy interesado en los procesos de DevOps y también es un entusiasta de la
infraestructura como código. Mustafa tiene más de 30 certificaciones de Microsoft
y ha sido MCT durante los últimos 6 años. A menudo, es orador en conferencias
internacionales sobre tecnologías en la nube y ha sido galardonado con el premio
MVP para Microsoft Azure durante los últimos tres años consecutivos.
Mustafa también es el autor de Hands-On Cloud Administration in Azure

(Administración práctica de la nube en Azure) y coautor de Learn Node.js with Azure
(Aprenda a usar Node.js con Azure), ambos publicados por Packt.
Acerca del revisor
Kapil Bansal es consultor técnico en HCL Technologies en la India. Tiene más
de once años de experiencia en la industria de TI. Ha trabajado en Microsoft Azure
(PaaS, IaaS, Kubernetes y DevOps), ALM, ITIL y Six Sigma. Proporciona supervisión
técnica y orientación durante las sesiones de interacción con los clientes. Su
experiencia incluye diseño estratégico y mentoría arquitectónica, evaluaciones, POC,
ciclos de vida de ventas y consultoría en procesos de compromiso. Ha trabajado
con empresas como IBM India Pvt Ltd., NIIT Technologies, Encore Capital Group
y Xavient Software Solutions. También ha brindado servicios a clientes con sede en
Estados Unidos, Reino Unido, India y África, incluidos T-Mobile, WBMI, Encore
Capital y Airtel.
Packt busca autores como usted

Si le interesa convertirse en autor para Packt, visite authors.packtpub.com y
presente una solicitud hoy mismo. Hemos trabajado con miles de desarrolladores y
profesionales técnicos como usted, para ayudarles a compartir sus conocimientos con
la comunidad tecnológica mundial. Puede presentar una solicitud general, postular
a un tema popular específico para el que estemos reclutando un autor, o bien, puede
enviar su propia idea.
Contenido
Prólogoxi
Capítulo 1: Azure Virtual Network 1
Requisitos técnicos 1
Crear una red virtual en el portal de Azure 2
Preparación2
Procedimiento2
Funcionamiento4
Crear una red virtual con PowerShell 4
Preparación4
Procedimiento5
Funcionamiento5
Agregar una subred en el portal de Azure 5
Preparación5
Procedimiento6
Funcionamiento8
Agregar una subred con PowerShell 8
Preparación8
Procedimiento9
Funcionamiento9
Aún hay más... 9
Cambiar el tamaño del espacio de direcciones 10
Preparación10
Procedimiento10
Funcionamiento11
Cambiar el tamaño de una subred 11
Preparación11
Procedimiento11
Funcionamiento13
[i]
Contenido
Capítulo 2: Redes de máquinas virtuales 15

Crear máquinas virtuales de Azure 15
Preparación15
Procedimiento16
Funcionamiento21
Consulte también 21
Ver la configuración de red de la VM 22
Preparación22
Procedimiento22
Funcionamiento23
Crear una nueva interfaz de red 23
Preparación23
Procedimiento24
Funcionamiento 25
Conectar una interfaz de red a una VM 25
Preparación25
Procedimiento25
Funcionamiento26
Desconectar una interfaz de red de una VM 26
Preparación26
Procedimiento26
Funcionamiento27
Capítulo 3: Grupos de seguridad de red 29
Crear un NSG nuevo en el portal de Azure 30
Preparación30
Procedimiento30
Funcionamiento 31
Crear un NSG nuevo con PowerShell 31
Preparación31
Procedimiento31
Funcionamiento31
Crear una nueva regla de permiso en el NSG 32
Preparación32
Procedimiento32
Funcionamiento34
Crear una nueva regla de denegación en el NSG 34
Preparación34
Procedimiento34
[ ii ]
Contenido
Funcionamiento36
Crear una nueva regla de NSG con PowerShell 36
Preparación36
Procedimiento36
Funcionamiento37
Aún hay más... 37
Asignar un NSG a una subred 37
Preparación37
Procedimiento38
Funcionamiento40
Asignar un NSG a una interfaz de red 40
Preparación41
Procedimiento41
Funcionamiento43
Asignar un NSG con PowerShell 43
Preparación43
Procedimiento43
Funcionamiento43
Crear un Grupo de seguridad de aplicaciones (ASG) 44
Preparación44
Procedimiento44
Funcionamiento45
Asociar un ASG con una VM 45
Preparación45
Procedimiento45
Funcionamiento46
Crear reglas con un NSG y un ASG 46
Preparación46
Procedimiento47
Funcionamiento48
Capítulo 4: Administración de direcciones IP 49
Crear una nueva dirección IP pública en el portal 50
Preparación50
Procedimiento50
Funcionamiento51
Crear una nueva dirección IP pública con PowerShell 52
Preparación52
Procedimiento52
Funcionamiento52
[ iii ]
Contenido
Asignar una dirección IP pública 52

Preparación53
Procedimiento53
Funcionamiento54
Cancelar la asignación de una dirección IP pública 55
Preparación55
Procedimiento55
Funcionamiento56
Crear una reserva para una dirección IP pública 56
Preparación57
Procedimiento57
Funcionamiento58
Eliminar una reserva para una dirección IP pública 58
Preparación58
Procedimiento58
Funcionamiento59
Crear una reserva para una dirección IP privada 60
Preparación60
Procedimiento60
Funcionamiento61
Cambiar una reserva para una dirección IP privada 62
Preparación62
Procedimiento62
Funcionamiento63
Eliminar una reserva para una dirección IP privada 64
Preparación64
Procedimiento64
Funcionamiento65
Capítulo 5: Gateways de red local y virtual 67
Crear un gateway de red local en el portal de Azure 68
Preparación68
Procedimiento68
Funcionamiento69
Crear un gateway de red local con PowerShell 69
Preparación69
Procedimiento69
Funcionamiento69
Crear un gateway de red virtual en el portal 70
Preparación70
[ iv ]
Contenido
Procedimiento70
Funcionamiento72
Crear un gateway de red virtual con PowerShell 72
Preparación72
Procedimiento72
Funcionamiento73
Modificar la configuración del gateway de red local 73
Preparación73
Procedimiento73
Funcionamiento74
Capítulo 6: Creación de conexiones híbridas 75
Crear una conexión de sitio a sitio 76
Preparación76
Procedimiento76
Funcionamiento81
Descargar la configuración del dispositivo VPN desde Azure 81
Preparación81
Procedimiento81
Funcionamiento84
Crear una conexión de punto a sitio 84
Preparación84
Procedimiento88
Funcionamiento90
Crear una conexión de VNet a VNet 91
Preparación91
Procedimiento91
Funcionamiento95
Conectar VNet mediante el emparejamiento de red 95
Preparación95
Procedimiento96
Funcionamiento99
Capítulo 7: DNS y enrutamiento 101
Crear una zona de Azure DNS 102
Preparación102
Procedimiento102
Funcionamiento103
Crear un nuevo conjunto de registros y un registro en Azure DNS 103
Preparación103
[v]
Contenido
Procedimiento103
Funcionamiento106
Crear una tabla de rutas 106
Preparación106
Procedimiento106
Funcionamiento107
Cambiar la tabla de rutas 107
Preparación108
Procedimiento108
Funcionamiento108
Asociar una tabla de rutas con una subred 109
Preparación109
Procedimiento109
Funcionamiento112
Desasociar una tabla de rutas de una subred 112
Preparación113
Procedimiento113
Funcionamiento116
Crear una ruta nueva 116
Preparación116
Procedimiento116
Funcionamiento118
Cambiar una ruta 118
Preparación119
Procedimiento119
Funcionamiento120
Eliminar una ruta 120
Preparación121
Procedimiento121
Funcionamiento123
Capítulo 8: Equilibradores de carga 125
Crear un equilibrador de carga interno 126
Preparación126
Procedimiento126
Funcionamiento127
Crear un equilibrador de carga público 128
Preparación128
Procedimiento128
Funcionamiento129
[ vi ]
Contenido
Crear un grupo de back-end 130

Preparación130
Procedimiento130
Funcionamiento132
Consulte también 132
Crear sondeos de estado 132
Preparación133
Procedimiento133
Funcionamiento135
Crear reglas de equilibrador de carga 135
Preparación135
Procedimiento135
Funcionamiento138
Crear reglas NAT de entrada 138
Preparación138
Procedimiento138
Funcionamiento140
Capítulo 9: Traffic Manager 141
Crear un nuevo perfil de Traffic Manager 142
Preparación142
Procedimiento142
Funcionamiento143
Agregar un punto de conexión 143
Preparación144
Procedimiento144
Funcionamiento147
Configurar el tráfico distribuido 147
Preparación147
Procedimiento148
Funcionamiento149
Configurar el tráfico en función de la prioridad 149
Preparación150
Procedimiento150
Funcionamiento151
Configurar el tráfico en función de la ubicación geográfica 151
Preparación151
Procedimiento151
Funcionamiento152
[ vii ]
Contenido
Administrar puntos de conexión 153

Preparación153
Procedimiento153
Funcionamiento154
Administrar perfiles 154
Preparación155
Procedimiento155
Funcionamiento156
Configurar Traffic Manager con equilibradores de carga 156
Preparación156
Procedimiento156
Funcionamiento158
Capítulo 10: Azure Application Gateway 159
Crear un nuevo gateway de aplicación 160
Preparación160
Procedimiento160
Funcionamiento165
Configurar el grupo de back-end 165
Preparación166
Procedimiento166
Funcionamiento167
Crear configuración HTTP 168
Preparación168
Procedimiento168
Funcionamiento170
Crear un agente de escucha 170
Preparación170
Procedimiento170
Funcionamiento172
Crear una regla 172
Preparación172
Procedimiento172
Funcionamiento173
Crear un sondeo 173
Preparación174
Procedimiento174
Funcionamiento175
Configurar un Firewall de aplicaciones web (WAF) 176
Preparación176
[ viii ]
Contenido
Procedimiento177
Funcionamiento179
Personalizar reglas de WAF 179
Preparación179
Procedimiento179
Funcionamiento180
Capítulo 11: Azure Firewall 181
Crear un nuevo Azure Firewall 182
Preparación182
Procedimiento183
Funcionamiento185
Configurar una nueva regla de permiso 185
Preparación185
Procedimiento185
Funcionamiento185
Configurar una nueva regla de denegación 185
Preparación186
Procedimiento186
Funcionamiento186
Configurar una tabla de rutas 186
Preparación186
Procedimiento187
Funcionamiento187
Habilitar registros de diagnóstico para Azure Firewall 187
Preparación187
Procedimiento188
Funcionamiento189
Otros libros que puede disfrutar 191
Índice195
[ ix ]
Prólogo
Microsoft proporciona a las organizaciones una forma eficaz de administrar su red
con los servicios de red de Azure. Cualquiera que sea el tamaño de su organización,
Azure proporciona un rendimiento altamente confiable y conectividad segura con
sus servicios de red.
El libro comienza con una introducción a las redes de Azure, que abarca temas
como la creación de Redes virtuales de Azure (VNets), el diseño de espacios de
direcciones y subredes. Luego, aprenderá cómo crear y administrar grupos de
seguridad de red, grupos de seguridad de aplicaciones y direcciones IP en Azure.
Poco a poco, pasaremos a las conexiones de sitio a sitio, de punto a sitio y de VNet
a VNet; DNS y enrutamiento; equilibradores de carga; y Azure Traffic Manager.
Este libro ofrece tareas prácticas que abarcan todos los aspectos y funciones
necesarios para ayudar a los lectores a aprender las prácticas básicas de redes en
la nube y planificar, implementar y proteger su red de infraestructura con Azure.
Los lectores no solo podrán escalar su entorno actual, sino que también aprenderán
a supervisar, diagnosticar y garantizar una conectividad segura. Después de
aprender a ofrecer un entorno sólido, los lectores también obtendrán conocimientos
significativos a partir de tareas relacionadas con los procedimientos recomendados.
Al final de este libro, los lectores tendrán experiencia práctica en proporcionar

soluciones rentables que benefician a las organizaciones.
Quiénes son los destinatarios de este

libro
Este libro se dirige a arquitectos de nube, proveedores de soluciones en la nube
y cualquier parte interesada que se ocupe de las redes en la nube de Azure. Tener
algunos conocimientos previos de Microsoft Azure será una ventaja.
[ xi ]
Prólogo
Qué se analiza en este libro

El Capítulo 1, Azure Virtual Network, le enseña los conceptos básicos de las redes
de Azure, como la creación de Azure VNets, el diseño de espacios de direcciones
y subredes. Esto sentará las bases para todas las tareas futuras de este libro.
El Capítulo 2, Redes de máquinas virtuales, abarca las Máquinas virtuales (VM) de
Azure y la interfaz de red que se usa como una conexión entre las VM de Azure
y las Redes virtuales de Azure.
El Capítulo 3, Grupos de seguridad de red, contiene conjuntos de reglas que permiten
o deniegan el acceso de tráfico específico a recursos o subredes específicos de Azure.
Un Grupo de seguridad de red (NSG) puede asociarse con una subred (mediante la
aplicación de reglas de seguridad a todos los recursos asociados con la subred) o con
una tarjeta de interfaz de red (NIC) (mediante la aplicación de reglas de seguridad
solo a la VM asociada con la NIC).
El Capítulo 4, Administración de direcciones IP, abarca los tipos de direcciones IP, tanto
privadas como públicas. Se puede acceder a las direcciones públicas a través de
Internet. Las direcciones privadas provienen del espacio de direcciones de Azure
VNet y se usan para la comunicación privada en redes privadas. Las direcciones
se pueden asignar a un recurso o pueden existir como un recurso independiente.
El Capítulo 5, Gateways de red local y virtual, abarca información detallada de los
gateways locales y virtuales. Estos gateways son gateways de red privada virtual que
se usan para conectarse a las redes locales. Cifran todo el tráfico que circula entre una
Azure Virtual Network determinada y una red local.
El Capítulo 6, Creación de conexiones híbridas, nos permite crear conexiones seguras
a Azure VNets. Estas conexiones pueden ser locales o de otras Azure VNet. El
establecimiento de conexiones a una Azure VNet permite proteger el tráfico de
red entre otros servicios que se ubican en diferentes Azure VNets, diferentes
suscripciones o servicios fuera de Azure (en diferentes nubes o en entornos locales).
El Capítulo 7, DNS y enrutamiento, nos indica cómo hospedar dominios DNS en
Azure. Cuando se usa Azure DNS, se usa la infraestructura de Microsoft para la
resolución de nombres de dominio, lo que se traduce en consultas DNS rápidas y
confiables. La infraestructura de Microsoft Azure DNS utiliza un gran número de
servidores para proporcionar una gran confiabilidad y disponibilidad del servicio.
El Capítulo 8, Equilibradores de carga, muestra cómo se admite escalado y alta
disponibilidad de aplicaciones y servicios. Un equilibrador de carga se compone
principalmente de dos componentes: el front-end y el back-end. Las solicitudes que
llegan al front-end de un equilibrador de carga se distribuyen al back-end, donde
colocamos varias instancias de un servicio.
[ xii ]
Prólogo
El Capítulo 9, Traffic Manager, le enseña cómo crear un administrador de tráfico.

Además, examinará las configuraciones del tráfico distribuido, el tráfico basado
en la prioridad, el tráfico basado en la ubicación geográfica y la utilización de
Azure Traffic Manager con equilibradores de carga.
El Capítulo 10, Azure Application Gateway, trata fundamentalmente de los
equilibradores de carga para tráfico web, pero esta función de Azure también le
permite tener un mejor control del tráfico. Cuando los equilibradores de carga
clásicos operan en la capa de transporte, los gateways de aplicación le permiten
enrutar el tráfico en función del protocolo (TCP o UDP) y la dirección IP, mediante
la asignación de direcciones IP y protocolos en el front-end a direcciones IP y
protocolos en el back-end.
El Capítulo 11, Azure Firewall, le enseñará cómo aumentar la seguridad de la red
de Azure mediante Azure Firewall. Esto le ayudará a controlar el tráfico entrante
y saliente y a estar a cargo de su red.
Para sacar el máximo provecho de este

libro
Este libro supone un nivel básico de conocimiento sobre informática en la nube
y Azure. Para utilizar este libro, todo lo que necesita es una conexión a Internet y
una suscripción de Azure válida. Un equipo con Windows 10 con 4 GB de RAM
es suficiente para utilizar PowerShell.
Descargue los archivos de código de ejemplo

Puede descargar los archivos de código de ejemplo de este libro desde su
cuenta en http://www.packt.com. Si compró este libro en otro lugar, visite
http://www.packt.com/support y regístrese para recibir los archivos directamente
por correo electrónico.
Siga estos pasos para descargar los archivos de código:
1. Inicie sesión o regístrese en http://www.packt.com.
2. Seleccione la pestaña SUPPORT.
3. Haga clic en Code Downloads & Errata.
4. Ingrese el nombre del libro en el cuadro Search y siga las instrucciones
que aparecen en la pantalla.
Una vez que se haya descargado el archivo, asegúrese de descomprimir o extraer
la carpeta utilizando la versión más reciente de:
• WinRAR / 7-Zip para Windows
• Zipeg / iZip / UnRarX para Mac
• 7-Zip / PeaZip para Linux
[ xiii ]
Prólogo
El paquete de código del libro también se encuentra en GitHub, en https://github.

com/PacktPublishing/Azure-Networking-Cookbook. En caso de que haya una
actualización del código, se actualizará en el repositorio de GitHub existente.
También tenemos otros paquetes de código de nuestro enriquecido catálogo de

libros y videos disponibles en https://github.com/PacktPublishing/. ¡Deles
un vistazo!
Descargue las imágenes a color

También ofrecemos un archivo PDF con imágenes a color de las capturas de
pantalla y los diagramas empleados en este libro. Puede descargarlo aquí:
https://www.packtpub.com/sites/default/files/downloads/9781789800227_
ColorImages.pdf.
Convenciones utilizadas
Existen varias convenciones de texto que se utilizan en este libro.
CodeInText: indica palabras de código en texto, nombres de la tabla de base de

datos, nombres de carpetas, nombres de archivos, extensiones de archivos, nombres
de ruta, URL ficticias, entrada del usuario e identificadores de Twitter. Por ejemplo:
"Un ejemplo de cómo crear una regla para permitir tráfico a través del puerto 443".
Las entradas o salidas de línea de comandos se escriben de la siguiente forma:

$VirtualNetwork = Get-AzureRmVirtualNetwork -Name 'Packt-Script'
-ResourceGroupName 'Packt-Networking-Script'
Negrita: indica un nuevo término, una palabra importante o palabras que se ven en
la pantalla; por ejemplo, en menús o cuadros de diálogo, también aparecen en textos
como este. Por ejemplo: "En la hoja Virtual network (Red virtual), vaya a la sección
Subnets (Subredes)".
Las advertencias o notas importantes aparecen en

este formato.
Los trucos y sugerencias aparecen de esta manera.
[ xiv ]
Prólogo
Secciones
En este libro, encontrará varios encabezados que aparecen con frecuencia
(Preparación, Procedimiento, Funcionamiento, Aún hay más... y Consulte también).
Para dar instrucciones claras sobre cómo completar una tarea, utilice estas secciones
de la siguiente manera:
Preparación
Esta sección indica de qué se trata la tarea y describe cómo configurar el software
o la configuración preliminar requerida para la tarea.
Procedimiento
Esta sección contiene los pasos necesarios para seguir la tarea.
Funcionamiento
En general, en esta sección se explica detalladamente lo que sucedió en la sección
anterior.
Aún hay más...

Esta sección comprende información adicional sobre la tarea para que pueda
comprenderla mejor.
Consulte también
Esta sección contiene enlaces eficaces a otras fuentes de información útil para la
tarea.
Póngase en contacto
Siempre estamos dispuestos a recibir los comentarios de nuestros lectores.
Comentarios generales: si tiene preguntas sobre algún aspecto de este libro,

mencione el título del libro en el asunto de su mensaje y envíenos un correo
electrónico a customercare@packtpub.com.
[ xv ]
Prólogo
Fe de erratas: si bien hemos hecho todo lo posible por asegurar la exactitud de

nuestro contenido, puede haber errores. Si encuentra un error en este libro, le
agradeceríamos que nos informara de esto. Visite http://www.packt.com/
submit-errata, seleccione su libro, haga clic en el enlace Errata Submission Form
(Formulario de envío de fe de erratas) e ingrese los detalles.
Piratería: si encuentra copias ilegales de nuestros trabajos en cualquier formato

en Internet, le agradeceríamos que nos proporcione la dirección de ubicación o el
nombre del sitio web. Póngase en contacto con nosotros en copyright@packt.com
e incluya un enlace al material.
Si le interesa convertirse en autor: si hay un tema en el que tiene experiencia y le

interesa escribir un libro o colaborar en uno, visite http://authors.packtpub.com.
Opiniones
Deje una reseña. Una vez que haya leído y usado este libro, ¿por qué no deja una
reseña en el sitio en el que lo compró? Entonces, los potenciales lectores podrán ver
y utilizar su opinión imparcial para tomar decisiones de compra, nosotros en Packt
podremos saber lo que piensa de nuestros productos y nuestros autores podrán ver
su opinión acerca del libro. ¡Gracias!
Para obtener más información acerca de Packt, visite packt.com.
[ xvi ]
Azure Virtual Network
En este primer capítulo, aprenderá acerca de los conceptos básicos de las redes
de Azure, incluida la creación de Redes virtuales de Azure, el diseño de espacios
de direcciones y subredes. Esto sentará las bases para todas las tareas futuras que
trataremos en este libro.
En este capítulo, trataremos las siguientes tareas:
• Crear una red virtual en el portal de Azure

• Crear una red virtual con PowerShell
• Agregar una subred en el portal de Azure
• Agregar una subred con PowerShell
• Cambiar el tamaño del espacio de direcciones
• Cambiar el tamaño de una subred
Requisitos técnicos
Para este capítulo, se necesita lo siguiente:
• Una suscripción a Azure

• Azure PowerShell
Se pueden encontrar ejemplos de código en https://github.com/

PacktPublishing/Azure-Networking-Cookbook/tree/master/Chapter01.
[1]
Crear una red virtual en el portal de

Azure
Azure Virtual Network representa su red local en la nube. Permite que otros recursos
de Azure se comuniquen a través de una red privada segura sin exponer puntos de
conexión a través de Internet.
Preparación
Antes de comenzar, abra un explorador web y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para crear una nueva red virtual con el portal de Azure, siga estos pasos:
1. En el portal de Azure, seleccione Create a resource (Crear un recurso) y,

luego, Virtual network (Red virtual) en los servicios de Networking (Redes)
(o busque virtual network [red virtual] en la barra de búsqueda).
2. Se abrirá una nueva hoja donde se necesita proporcionar información
de la red virtual, lo que incluye un Nombre (Name); definir el Espacio
de direcciones (Address space); seleccionar la opción de Suscripción
(Subscription) que queremos usar; seleccionar la opción de Grupo de
recursos (Resource group) para el lugar en que se implementará la red
virtual; seleccionar una Ubicación (Location) (del centro de datos de Azure)
para el lugar en que se implementará la red virtual; y definir el Nombre y el
Intervalo de direcciones para la primera subred. También tenemos la opción
de seleccionar el tipo de protección contra DDoS (DDoS protection) que
queremos utilizar y si queremos usar la opción de Firewall. En la siguiente
captura de pantalla, se muestra un ejemplo:
[2]
Capítulo 1
3. Crear una red virtual normalmente no toma mucho tiempo y

debería completarse en menos de dos minutos. Una vez finalizada
la implementación, puede empezar a usar la red virtual.
[3]
Funcionamiento
Implementamos redes virtuales en Resource group (Grupo de recursos) en
Subscription (Suscripción) en el centro de datos de Azure que seleccionamos.
Los parámetros Location (Ubicación) y Subscription (Suscripción) son importantes.
Solo podremos conectar recursos de Azure a esta red virtual si están en la misma
suscripción y región que el centro de datos de Azure. La opción Address space
(Espacio de direcciones) define el número de direcciones IP que estarán disponibles
para nuestra red. Utiliza el formato de Enrutamiento de interdominios sin clases
(CIDR) y el rango más grande que podemos elegir es /8. En el portal, necesitamos
crear una subred inicial y definir el intervalo de direcciones de subred. La subred
más pequeña que se permite es /29 y la más grande es /8 (sin embargo, este valor
no puede ser mayor que el intervalo de red virtual).
Crear una red virtual con PowerShell

PowerShell es un shell de línea de comandos y lenguaje de scripting basado en
.NET Framework. Con frecuencia lo utilizan los administradores del sistema para
automatizar tareas y administrar sistemas operativos. Azure PowerShell es un
módulo de PowerShell que nos permite automatizar y administrar recursos de
Azure. Azure PowerShell también se usa con mucha frecuencia para automatizar
las tareas de implementación y también se puede usar para implementar una nueva
Azure Virtual Network.
Preparación
Antes de empezar, necesitamos conectarnos a la suscripción de Azure desde una
consola de PowerShell. Este es el comando para hacerlo:
Connect-AzureRmAccount
Este abrirá una nueva ventana donde tenemos que ingresar las credenciales para la
suscripción de Azure.
Después, tenemos que crear un grupo de recursos donde se implementará nuestra

red virtual:
New-AzureRmResourceGroup -name 'Packt-Networking-Script' -Location
'westeurope'
[4]
Capítulo 1
El resultado debe ser similar a la siguiente captura de pantalla:
Procedimiento
La implementación de una red virtual de Azure se realiza en un único script.
Necesitamos definir parámetros para el grupo de recursos, la ubicación, el nombre
y el intervalo de direcciones. A continuación, se presenta un script de ejemplo:
New-AzureRmVirtualNetwork -ResourceGroupName 'Packt-Networking-Script'
-Location 'westeurope' -Name 'Packt-Script' -AddressPrefix 10.11.0.0/16
Debería recibir el siguiente resultado:
Funcionamiento
La diferencia entre implementar una red virtual desde el portal y usar PowerShell es
que no es necesario definir ninguna subred en PowerShell. La subred se implementa
en un comando independiente, que se puede ejecutar cuando se implementa una red
virtual o más adelante. Analizaremos este comando en la tarea Agregar una subred con
PowerShell.
Agregar una subred en el portal de Azure

Además de agregar subredes mientras creamos una red virtual, podemos agregar
subredes adicionales a nuestra red en cualquier momento.
Preparación
https://portal.azure.com. Una vez allí, busque la red virtual creada
previamente.
[5]
Procedimiento
Para agregar una subred a una red virtual mediante el portal de Azure, se deben
seguir estos pasos:
1. En la hoja de la red virtual, vaya a la sección Subnets (Subredes).
2. Seleccione la opción Add subnet (Agregar subred).
3. Se abrirá una nueva hoja. Necesitamos proporcionar información para la
subred, incluido el Nombre (Name) y el Intervalo de direcciones (Address
range) en formato CIDR. El Intervalo de direcciones debe estar en el límite
del intervalo de direcciones de la red virtual y no puede superponerse con el
intervalo de direcciones de otras subredes de la red virtual. Opcionalmente,
podemos agregar información para las opciones Network security group
(Grupo de seguridad de red), Route tables (Tablas de rutas), Service
endpoints (Extremos de servicio) y Subnet delegation (Delegación de
subred). Estas opciones se tratarán en tareas posteriores:
[6]
Capítulo 1
4. También podemos agregar una subred de gateway en la misma hoja. Para

agregar una subred de gateway, seleccione la opción Gateway subnet
(Subred de gateway).
En el caso de la subred de gateway, el único parámetro que necesitamos
definir es el intervalo de direcciones (Address range). Se aplican las mismas
reglas que para agregar una subred normal. Esta vez, no tenemos que
proporcionar un nombre, porque ya está definido. Solo puede agregar una
subred de gateway por red virtual. No se permiten puntos de conexión de
servicio en la subred de gateway:
[7]
5. Después de que se agregan las subredes, podemos ver las subredes recién
creadas en la hoja Subnets (Subredes) de la red virtual:
Funcionamiento
Una sola red virtual puede tener varias subredes definidas. Las subredes no se
pueden superponer y deben estar dentro del intervalo de direcciones de la red
virtual. Para cada subred, se usan cuatro direcciones IP exclusivamente para
la administración. Según la configuración de red, podemos definir las reglas
de comunicación entre las subredes de la red virtual. Una subred de gateway
se utiliza para conexiones de Red privada virtual (VPN); esto se tratará en los
próximos capítulos.
Agregar una subred con PowerShell

Cuando se crea una red virtual de Azure con PowerShell, no se crea una subred
en el mismo paso y se requiere ejecutar un comando adicional por separado.
Preparación
Antes de crear una subred, necesitamos recopilar información sobre la red virtual
a la que se asociará la nueva subred. Los parámetros que se deben proporcionar son
el nombre de la red virtual y el grupo de recursos en el que se encuentra esa red:
[8]
Capítulo 1
Procedimiento
1. Para agregar una subred a la red virtual, necesitamos ejecutar un comando
y proporcionar el prefijo de nombre y dirección. El prefijo de dirección
también está en formato CIDR:
Add-AzureRmVirtualNetworkSubnetConfig -Name FrontEnd
-AddressPrefix 10.11.0.0/24 -VirtualNetwork $VirtualNetwork
2. Necesitamos confirmar estos cambios mediante la ejecución del siguiente

comando:
$VirtualNetwork | Set-AzureRmVirtualNetwork
3. Para agregar una subred adicional tenemos que ejecutar todos los comandos
en un solo paso, de la siguiente manera:
Add-AzureRmVirtualNetworkSubnetConfig -Name BackEnd -AddressPrefix
10.11.1.0/24 -VirtualNetwork $VirtualNetwork
Funcionamiento
La subred se crea y se agrega a la red virtual, pero necesitamos confirmar los cambios
antes de que puedan entrar en vigencia. Aquí también se aplican todas las reglas de
creación o adición de subredes mediante el portal de Azure. La subred debe estar
dentro del espacio de direcciones de la red virtual y no puede superponerse con
otras subredes de la red virtual. La red más pequeña que se permite es /29 y la más
grande es /8.
Aún hay más...

Podemos crear y agregar varias subredes con un solo script, de la siguiente manera:
$FrontEnd = Add-AzureRmVirtualNetworkSubnetConfig -Name FrontEnd
$BackEnd = Add-AzureRmVirtualNetworkSubnetConfig -Name BackEnd
[9]
Cambiar el tamaño del espacio de

direcciones
Después de definir el espacio de direcciones inicial durante la creación de una
red virtual, aún podemos cambiar el tamaño del espacio de direcciones según sea
necesario. Podemos aumentar o disminuir el tamaño del espacio de direcciones
o cambiar completamente el espacio de direcciones mediante el uso de un nuevo
intervalo de direcciones.
Preparación
Antes de comenzar, abra un explorador web y vaya al portal de Azureen
Procedimiento
Para cambiar el tamaño del espacio de direcciones de una red virtual mediante el
portal de Azure, se deben seguir estos pasos:
1. En la hoja de la red virtual, busque Address space (Espacio de direcciones)
en Settings (Configuración).
2. Haga clic en Address space (Espacio de direcciones) y cambie el valor. En la
siguiente captura de pantalla, se muestra un ejemplo:
3. Después de ingresar el valor nuevo para el espacio de direcciones, haga clic

en Save (Guardar) para aplicar los cambios.
[ 10 ]
Capítulo 1
Funcionamiento
Aunque puede cambiar el espacio de direcciones en cualquier momento, hay algunas
reglas que determinan lo que puede o no puede hacer. Los espacios de direcciones
no se pueden reducir si tiene subredes definidas en el espacio de direcciones
que no estarían cubiertas por el nuevo espacio de direcciones. Por ejemplo, si el
espacio de direcciones estaba en el intervalo de 10.0.0.0/16, abarcará direcciones
desde 10.0.0.1 hasta 10.0.255.254. Si una de las subredes se definió como
10.0.255.0/24, no podremos cambiar la red virtual a 10.0.0.0/17, puesto que esto
dejaría a la subred fuera del espacio nuevo.
El espacio de direcciones no se puede cambiar a un espacio de direcciones nuevo

si tiene subredes definidas. Para cambiar completamente el espacio de direcciones,
primero es necesario que quite todas las subredes. Por ejemplo, si tenemos el espacio
de direcciones definido como 10.0.0.0/16, no podremos cambiarlo a 10.1.0.0/16,
puesto que tener subredes en el espacio antiguo las dejaría en un intervalo de
direcciones indefinido.
Cambiar el tamaño de una subred

Al igual que el espacio de direcciones de red virtual, podemos cambiar el tamaño
de una subred en cualquier momento.
Preparación
Procedimiento
Para cambiar el tamaño de la subred con el portal de Azure, siga estos pasos:
1. En la hoja de la red virtual, seleccione la opción Subnets (Subredes).

2. Seleccione la subred que desea cambiar.
[ 11 ]
3. En la opción Subredes, ingrese un nuevo valor para la subred en Address

range (Intervalo de direcciones). La siguiente captura de pantalla muestra
un ejemplo de cómo hacerlo:
4. Después de ingresar un valor nuevo, haga clic en Save (Guardar).
[ 12 ]
Capítulo 1
5. En la lista Subnets (Subredes), puede ver que se aplicaron los cambios y que
el espacio de direcciones cambió, como se muestra en la siguiente captura de
pantalla:
Funcionamiento
Cuando se cambia el tamaño de la subred, se deben seguir algunas reglas. No puede
cambiar el espacio de direcciones si no está dentro del intervalo del espacio de
direcciones de la red virtual y el intervalo de la subred no se puede superponer con
otras subredes de una red virtual. Si los dispositivos están asignados a esta subred,
no puede cambiar la subred para excluir las direcciones a las que ya están asignados
estos dispositivos.
[ 13 ]
Redes de máquinas virtuales
En este capítulo, trataremos las Máquinas virtuales (VM) de Azure y la interfaz
de red que se usa como una interconexión entre las VM de Azure y Azure Virtual
Network.
• Crear máquinas virtuales de Azure

• Ver la configuración de red de la VM
• Crear una nueva interfaz de red
• Conectar una interfaz de red a una VM
• Desconectar una interfaz de red de una VM
Crear máquinas virtuales de Azure

Las VM de Azure dependen de las redes virtuales y, durante el proceso de creación,
es necesario definir la configuración de red.
Preparación
[ 15 ]
Procedimiento
Para crear una VM nueva con el portal de Azure, siga estos pasos:
1. En el portal de Azure, seleccione Create a resource (Crear un recurso)

y seleccione Windows Server 2016 VM (VM de Windows Server 2016)
(o busque una imagen de VM en la sección Compute).
2. En la hoja Create a virtual machine (Crear una máquina virtual), necesitamos
proporcionar información para varias opciones; no todas están relacionadas
con las redes. En primer lugar, necesitamos proporcionar información sobre
nuestra suscripción Subscription) de Azure y grupo de recursos (Resource
group) (crear un grupo de recursos nuevo o proporcionar uno existente).
3. En INSTANCE DETAILS (DETALLES DE LA INSTANCIA), debemos
proporcionar información en los campos Virtual machine name (Nombre
de la máquina virtual), Region, Availability options (Región, Opciones
de disponibilidad) y elegir la opción adecuada para el campo Image
(Imagen). En la siguiente captura de pantalla, se muestra un ejemplo
de la configuración:
[ 16 ]
Capítulo 2
4. A continuación, necesitamos proporcionar información sobre nuestra VM

en los campos Size (Tamaño), Username (Nombre de usuario) y Password
(Contraseña). Tenga en cuenta que para el campo Username (Nombre de
usuario), no puede usar nombres como admin, administrador, sysadmin o
raíz. La contraseña debe tener al menos 12 caracteres de largo y cumplir 3
de las 4 reglas conocidas (es decir, combinar letras mayúsculas y minúsculas,
caracteres especiales y números). En la siguiente captura de pantalla, se
muestra un ejemplo de esto:
5. A continuación, llegamos a una opción que se refiere a las redes. Tenemos

que definir si permitiremos cualquier tipo de conexión a través de una
dirección IP pública. Podemos seleccionar si queremos denegar todo el
acceso o permitir un puerto específico. En el siguiente ejemplo, se selecciona
RDP (3389):
[ 17 ]
6. En la siguiente sección, tenemos que definir los discos. Se puede elegir entre
Premium SSD (SSD Premium), Standard SSD (SSD estándar) y Standard
HDD (HDD estándar). Se requiere un disco de SO y debe definirse. Podemos
conectar discos de datos adicionales según sea necesario. Los discos también
se pueden agregar más adelante. Podemos elegir si usaremos discos
administrados (Use managed disks) o no. Mi recomendación es utilizar
discos administrados, puesto que facilitan en gran medida el mantenimiento.
En la siguiente captura de pantalla, se muestra un ejemplo de configuración
de disco con solo el disco del SO:
7. Después de definir los discos, llegamos a la configuración de red. Aquí,

necesitamos definir las opciones Virtual network (Red virtual) y Subnet
(Subred) que usará la VM. Estas dos opciones son obligatorias. Puede elegir
asignar la dirección IP pública a la VM (puede elegir deshabilitar la dirección
IP pública [Public IP], crear una nueva o asignar una dirección IP existente).
La última parte de la configuración de red se relaciona con el grupo de
seguridad de red (Network security group), donde tenemos que elegir si
usar un grupo de seguridad de red básico (Basic) o avanzado (Advanced)
y otra opción donde definiremos si permitiremos puertos públicos. En la
siguiente captura de pantalla, se muestra un ejemplo de esta configuración
de red de VM:
[ 18 ]
Capítulo 2
8. Después de la sección de redes, tenemos que configurar la supervisión

(MONITORING). La opción Boot diagnostics (Diagnósticos de arranque)
está habilitada de forma predeterminada y se pueden habilitar características
adicionales según sea necesario. En la siguiente captura de pantalla,
se muestra la configuración predeterminada para MONITORING
(SUPERVISIÓN):
[ 19 ]
9. En EXTENSIONS (EXTENSIONES), podemos configurar pasos de

configuración posteriores a la implementación mediante la adición de
instalaciones de software, scripts de configuración y más. La pantalla
EXTENSIONS se muestra en la siguiente captura de pantalla:
10. Los últimos ajustes de la configuración que podemos editar son las etiquetas.
Las etiquetas aplican metadatos adicionales a los recursos de Azure para
organizarlos de forma lógica en una taxonomía. En la siguiente captura de
pantalla, se muestra la pantalla Tags (Etiquetas):
11. Después de definir toda la configuración, llegamos a la pantalla de validación,

donde toda la configuración se comprueba por última vez. Después de que
se aprueba la validación, confirmamos la creación de una VM. Para ello,
presionamos el botón Create (Crear), como se muestra en la siguiente captura
de pantalla:
[ 20 ]
Capítulo 2
Funcionamiento
Cuando se crea una VM, se crea una interfaz de red (NIC) en el proceso. Una NIC se
utiliza como una especie de interconexión entre la VM y la red virtual. La red asigna
una dirección IP privada a la NIC. Como una NIC está asociada a la VM y a la red
virtual, la VM usa la dirección IP. Con esta dirección IP, la VM puede comunicarse
a través de una red privada con otras VM (u otros recursos de Azure) en la misma
red. Además, también se pueden asignar direcciones IP públicas a las NIC y las VM.
Se puede usar una dirección pública para comunicarse con la VM a través de Internet,
ya sea para acceder a los servicios o para administrar la VM.
Consulte también
Si le interesa obtener más información sobre las VM de Azure, puede leer mi libro,
Hands-On Cloud Administration in Azure (Administración práctica de la nube en
Azure), de Packt Publishing, donde analizo las VM con más detalle.
[ 21 ]
Ver la configuración de red de la VM

Después de que se crea una VM de Azure, podemos revisar la configuración de red
en la hoja de la VM.
Preparación
https://portal.azure.com. Aquí, busque la VM creada anteriormente.
Procedimiento
Para revisar la configuración de red de la VM, siga estos pasos:
1. En la hoja de la VM, busque la configuración Networking (Redes). Aquí,

puede ver la interfaz de red (Network interface), los grupos de seguridad
de aplicaciones (APPLICATION SECURITY GROUPS) y el grupo de
seguridad de red (Network security group) asociados con la VM. En la
siguiente captura de pantalla, se muestra un ejemplo de esto:
2. Si seleccionamos cualquiera de los elementos de red asociados, podemos

descubrir más detalles. Por ejemplo, si seleccionamos la opción Network
interface (Interfaz de red) asociada con la VM, podemos ver otra información
de red, como la dirección IP privada (Private IP address), la red/subred
virtual (Virtual network/subnet), la dirección IP pública (Public IP address),
el grupo de seguridad de red (Network security group), las configuraciones
de IP (IP configurations) y los servidores DNS (DNS servers). En la siguiente
captura de pantalla, se muestra la vista de la NIC:
[ 22 ]
Capítulo 2
Funcionamiento
La información de red se muestra en varios lugares, incluida la configuración de
red de la VM. Además, cada recurso de Azure tiene una hoja independiente y existe
como un recurso individual, por lo que podemos ver esta configuración en varios
lugares. Sin embargo, la imagen más completa sobre la configuración de red de la
VM que podemos encontrar se encuentra en la hoja de la VM y la hoja de la NIC.
Crear una nueva interfaz de red

Normalmente, una NIC se crea durante el proceso de creación de la VM, pero cada
VM puede tener varias NIC. Según esto, podemos crear una NIC como un recurso
individual y conectarla o desconectarla según sea necesario.
Preparación
[ 23 ]
Procedimiento
Para crear una NIC nueva con el portal de Azure, siga estos pasos:
luego, Network interface (Interfaz de red) en Networking (Redes) (o busque
network interface (interfaz de red) en la barra de búsqueda).
2. En la hoja de creación, tenemos que proporcionar información relacionada
con el nombre (Name), la red virtual (Virtual network) y la subred (Subnet)
con los que se asociará la NIC. Otra información que se debe proporcionar
incluye el tipo de asignación de la dirección IP (Dynamic [Dinámica] o Static
[Estática]), ya sea que queramos que la NIC se asocie con un tipo de grupo
de seguridad de red (Network security group) y que queramos usar IPv6.
Todos los recursos de Azure requieren información sobre la suscripción
(Subscription), el grupo de recursos (Resource group) y la ubicación
(Location), y las NIC no son la excepción. En la siguiente captura de pantalla,
se muestra la información necesaria para crear una nueva NIC:
[ 24 ]
Capítulo 2
Funcionamiento
Una NIC no puede existir sin una asociación de red y esta asociación debe asignarse
a una red virtual y a una subred. Esto se define durante el proceso de creación y no
se puede cambiar más adelante. Por otro lado, la asociación con una VM se puede
cambiar y la NIC se puede conectar o desconectar de una VM en cualquier momento.
Conectar una interfaz de red a una VM

Cada VM puede tener varias NIC. Debido a esto, podemos agregar una nueva NIC
en cualquier momento.
Preparación
https://portal.azure.com. Aquí, busque la VM creada anteriormente.
Procedimiento
Para conectar una NIC a una VM, siga estos pasos:
1. En la hoja de la VM, asegúrese de que la VM esté detenida (es decir, desasignada).

2. Ubique la configuración Networking (Redes) en la hoja de la VM.
3. En la parte superior de la pantalla de configuración Networking (Redes) de
la hoja de la VM, seleccione la opción Attach network interface (Conectar la
interfaz de red).
4. Aparecerá una nueva opción que le permitirá crear una nueva NIC o
seleccionar una NIC ya existente que no esté asociada a la VM.
5. Haga clic en OK (Aceptar) y, en unos minutos, el proceso finalizará y la NIC
estará asociada a la VM. En la siguiente captura de pantalla, se muestra un
ejemplo de esto:
[ 25 ]
Funcionamiento
Cada VM puede tener varias NIC. El número de NIC asociadas a una VM depende del
tipo y el tamaño de la VM. Para conectar una NIC a una VM, la VM debe detenerse (es
decir, desasignarse). No se puede agregar una NIC adicional a una VM en ejecución.
Desconectar una interfaz de red de una VM

Tal como sucede con la conexión de una NIC, esta se puede desconectar en cualquier
momento y conectarse a otra VM.
Preparación
Antes de comenzar, abra un explorador web y vaya al portal de Azure en https://
portal.azure.com. Aquí, busque la VM creada anteriormente.
Procedimiento
Para desconectar una interfaz de red de una VM, siga estos pasos:
1. En la hoja de la VM, asegúrese de que la VM esté detenida (es decir, desasignada).

2. Ubique la configuración Networking (Redes) en la hoja de la VM.
3. En la parte superior de la pantalla de configuración Networking (Redes) en
la hoja de la VM, seleccione la opción Detach network interface (Desconectar
interfaz de red).
4. Seleccione la NIC que desea desconectar de la VM.
5. Haga clic en OK (Aceptar) y, en unos minutos, el proceso finalizará y la NIC
estará eliminada de la VM. En la siguiente captura de pantalla, se muestra un
ejemplo de esto:
[ 26 ]
Capítulo 2
Funcionamiento
Para desconectar una NIC, la VM asociada a la NIC debe detenerse (es decir,
desasignarse). Al menos una NIC debe estar asociada con la VM; por lo que
no puede eliminar la última NIC de una VM. Todas las asociaciones de red
permanecen con la NIC; estas se asignan a la NIC y no a la VM.
[ 27 ]
Grupos de seguridad de red
Los Grupos de seguridad de red (NSG) contienen conjuntos de reglas que permiten
o deniegan el acceso de tráfico específico a recursos o subredes específicos de Azure.
Un NSG puede asociarse con una subred (mediante la aplicación de reglas de
seguridad a todos los recursos asociados con la subred) o con una tarjeta de interfaz
de red (NIC) (mediante la aplicación de reglas de seguridad solo a la máquina
virtual [VM] asociada con la NIC).

• Crear un NSG nuevo en el portal de Azure
• Crear un NSG nuevo con PowerShell
• Crear una nueva regla de permiso en el NSG
• Crear una nueva regla de denegación en el NSG
• Crear una nueva regla de NSG con PowerShell
• Asignar un NSG a una subred
• Asignar un NSG a una interfaz de red
• Asignar un NSG con PowerShell
• Crear un Grupo de seguridad de aplicaciones (ASG)
• Asociar un ASG con una VM
• Crear reglas con un NSG y un ASG


[ 29 ]
Crear un NSG nuevo en el portal de Azure

Como primer paso para controlar mejor el tráfico de red, crearemos un nuevo NSG.
Los NSG son herramientas integradas para el control de red y nos permiten controlar
el tráfico entrante y saliente en una interfaz de red o en el nivel de subred.
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
Procedimiento
Para crear un NSG nuevo con el portal de Azure, debe seguir estos pasos:
1. En el portal de Azure, seleccione Create a resource (Crear un recurso) y
elija Network security group (Grupo de seguridad de red) en los servicios
de Networking (Redes) (o busque network security group [grupo de
seguridad de red] en la barra de búsqueda).
2. Los parámetros que necesitamos definir para la implementación son Name
(Nombre), Subscription (Suscripción), Resource group (Grupo de recursos)
y Location (Ubicación). En la siguiente captura de pantalla, se muestra un
ejemplo de los parámetros requeridos:
3. Una vez que la implementación se haya validado y comenzado (tarda unos

minutos en completarse), el NSG está listo para su uso.
[ 30 ]
Capítulo 3
Funcionamiento
La implementación del NSG se puede iniciar durante la implementación de la VM.
Esto asociará el NSG con la NIC asociada a la VM. En este caso, el NSG ya está
asociado con el recurso y las reglas definidas en el NSG se aplicarán solo a la VM
asociada.
Si el NSG se implementa por separado, como en esta tarea, no se asociará y las reglas
que se crean no se aplicarán hasta que se haya creado la asociación con la NIC o la
subred. Cuando se asocian con una subred, las reglas del NSG se aplican a todos los
recursos en la subred.
Crear un NSG nuevo con PowerShell

Como alternativa, podemos crear un NSG con Azure PowerShell. La ventaja de
este enfoque es que podemos agregar reglas de NSG en un solo script, mediante la
creación de reglas personalizadas inmediatamente después de crear el NSG. Esto nos
permite automatizar el proceso de implementación y tener nuestras propias reglas
predeterminadas inmediatamente después de crear el NSG.
Preparación
Abra la consola de PowerShell y asegúrese de que está conectado a su suscripción
de Azure.
Procedimiento
Para implementar un nuevo NSG, ejecute el siguiente comando:
New-AzureRmNetworkSecurityGroup -Name "nsg1" -ResourceGroupName "Packt-
Networking-Script" -Location "westeurope"
Funcionamiento
El resultado final será el mismo que crear un NSG nuevo con el portal de Azure:
se habrá creado un NSG nuevo con reglas predeterminadas. Una ventaja de usar
PowerShell es que podemos agregar reglas adicionales y automatizar el proceso.
Veremos un ejemplo de esto en la tarea Crear una nueva regla de NSG con PowerShell
más adelante en este capítulo.
[ 31 ]
Crear una nueva regla de permiso

en el NSG
Cuando se crea un nuevo NSG, solo están presentes las reglas predeterminadas. Las
reglas predeterminadas permiten todo el tráfico saliente y bloquean todo el tráfico
entrante. Para cambiarlas, es necesario crear reglas adicionales. En primer lugar,
le mostraremos cómo crear una regla nueva para permitir el tráfico entrante.
Preparación
https://portal.azure.com. Busque el NSG creado anteriormente.
Procedimiento
Para crear una nueva regla de permiso del NSG con el portal de Azure, debe seguir
estos pasos:
1. En la hoja del NSG, busque la opción Inbound security rules

(Reglas de seguridad de entrada) en Settings (Configuración).
2. Haga clic en el botón Add (Agregar) en la parte superior de la página
y espere a que se abra la hoja nueva:
[ 32 ]
Capítulo 3
3. En la hoja nueva, tenemos que proporcionar información para los campos

Source (Origen) (ubicación y puerto), Destination (Destino) (ubicación y puerto),
Protocol (Protocolo), Action (Acción), Priority (Prioridad), Name (Nombre) y
Description (Descripción). Si desea permitir el tráfico, asegúrese de seleccionar
Allow (Permitir) para el campo Action (Acción). En la siguiente captura de
pantalla, se muestra un ejemplo de cómo crear una regla para permitir el tráfico
a través del puerto 443 (lo que permite el tráfico al servidor web):
[ 33 ]
Funcionamiento
De forma predeterminada, se permite todo el tráfico proveniente de Azure Load
Balancer o de Azure Virtual Network. Se deniega todo el tráfico proveniente de Internet.
Para cambiar esto, necesitamos crear reglas adicionales. Asegúrese de establecer la
prioridad correcta cuando cree las reglas. Las reglas con mayor prioridad (es decir, las
que tienen el número más bajo) se procesan primero, por lo que, si tiene dos reglas,
una que deniega el tráfico y otra que lo permite, la que tenga mayor prioridad tendrá
precedencia, en tanto que la con prioridad más baja no se tendrá en cuenta.
Crear una nueva regla de denegación en

el NSG
Cuando se crea un nuevo NSG, solo están presentes las reglas predeterminadas.
Las reglas predeterminadas permiten todo el tráfico saliente y bloquean todo el
tráfico entrante. Para cambiar esto, es necesario crear reglas adicionales. Ahora,
le mostraremos cómo crear una nueva regla de salida para denegar el tráfico.
Preparación
Procedimiento
Para crear una nueva regla de denegación del NSG con el portal de Azure, debe
seguir estos pasos:
1. En la hoja del NSG, busque la opción Outbound security rules (Reglas de

seguridad salientes) en Settings (Configuración).
2. Haga clic en el botón Add (Agregar) en la parte superior de la página
[ 34 ]
Capítulo 3
3. En la hoja nueva, tenemos que proporcionar información para los campos

Source (Origen) (ubicación y puerto), Destination (Destino) (ubicación y
puerto), Protocol (Protocolo), Action (Acción), Priority (Prioridad), Name
(Nombre) y Description (Descripción). Si desea denegar el tráfico, asegúrese
de seleccionar Deny (Denegar) para el campo Action (Acción). En la
siguiente captura de pantalla, se muestra un ejemplo de cómo crear una
regla para denegar el tráfico a través del puerto 22:
[ 35 ]
Funcionamiento
Todo el tráfico saliente se permite de forma predeterminada, independientemente
de dónde vaya. Si queremos denegar explícitamente el tráfico a través de un puerto
específico, tenemos que crear una regla para hacerlo. Asegúrese de establecer la
prioridad correcta cuando cree las reglas. Las reglas con mayor prioridad (es decir,
las que tienen el número más bajo) se procesan primero, por lo que, si tiene dos
reglas, una que deniega el tráfico y otra que lo permite, se aplicará la que tenga
mayor prioridad.
Crear una nueva regla de NSG con

PowerShell
Como alternativa, podemos crear una regla de NSG con Azure PowerShell. Este
comando se puede ejecutar inmediatamente después de crear el NSG, lo que nos
permite crear y configurar un NSG en un solo script. De esta manera, podemos
estandarizar la implementación y aplicar reglas cada vez que se crea un NSG.
Preparación
de Azure.
Procedimiento
Para crear una nueva regla de NSG, ejecute el siguiente comando:
$nsg = Get-AzureRmNetworkSecurityGroup -Name 'nsg1' -ResourceGroupName
'Packt-Networking-Script'
$nsg | Add-AzureRmNetworkSecurityRuleConfig -Name 'Allow_HTTPS'
-Description 'Allow_HTTPS' -Access Allow -Protocol Tcp -Direction
Inbound -Priority 100 -SourceAddressPrefix Internet -SourcePortRange
* -DestinationAddressPrefix * -DestinationPortRange 443 | Set-
AzureRmNetworkSecurityGroup
[ 36 ]
Capítulo 3
Funcionamiento
Con un script, crear una regla de NSG es solo una cuestión de parámetros. El
parámetro Access (Acceso), que puede ser Allow (Permitir) o Deny (Denegar),
determinará si queremos permitir el tráfico o denegarlo. El parámetro de dirección
(direction), que puede ser entrante o saliente, determina si la regla es para tráfico
entrante o saliente. Todos los demás parámetros son iguales, independientemente
del tipo de regla que queramos crear. Una vez más, la prioridad juega un papel muy
importante, por lo que debemos asegurarnos de elegirla correctamente.
Aún hay más...

Como se mencionó en la tarea Crear un NSG nuevo con PowerShell, podemos crear el
NSG y las reglas que se necesitan en un solo script. El siguiente script es un ejemplo
de esto:
$nsg = New-AzureRmNetworkSecurityGroup -Name 'nsg1' -ResourceGroupName
'Packt-Networking-Script' -Location "westeurope"
$nsg | Add-AzureRmNetworkSecurityRuleConfig -Name 'Allow_HTTPS'
-Description 'Allow_HTTPS' -Access Allow -Protocol Tcp -Direction
Inbound -Priority 100 -SourceAddressPrefix Internet -SourcePortRange
* -DestinationAddressPrefix * -DestinationPortRange 443 | Set-
AzureRmNetworkSecurityGroup
Asignar un NSG a una subred

El NSG y las reglas se deben asignar a un recurso para provocar un efecto.
En primer lugar, le mostraremos cómo asociar un NSG con una subred.
Preparación
[ 37 ]
Procedimiento
Para asignar un NSG a una subred, se deben seguir estos pasos:
1. En la hoja del NSG, busque la opción Subnets (Subredes) en Settings

(Configuración).
2. Haga clic en el botón Associate (Asociar) en la parte superior de la página
[ 38 ]
Capítulo 3
3. En la hoja nueva, seleccione primero la opción Virtual network (Red virtual),

que contiene la subred con la que quiere asociar al NSG:
4. Después de seleccionar la red virtual, seleccione la subred (Subnet) con la

que quiere asociarla:
[ 39 ]
5. Después de enviar el cambio, la subred aparecerá en la lista de subredes

asociadas:
Funcionamiento
Cuando un NSG se asocia con una subred, las reglas en el NSG se aplicarán a todos
los recursos de la subred. Tenga en cuenta que la subred se puede asociar con más
de un NSG y las reglas de todos los NSG se aplicarán en ese caso. La prioridad es el
factor más importante cuando se examina un solo NSG, pero cuando se observan las
reglas de más de un NSG, prevalece la regla Deny (Denegar). Por lo tanto, si tenemos
dos subredes, una con la regla Allow (Permitir) en el puerto 443 y la otra con la regla
Deny (Denegar) en el mismo puerto, se denegará el tráfico en este puerto.
Asignar un NSG a una interfaz de red

Un NSG y sus reglas se deben asignar a un recurso para provocar un efecto. Ahora,
le mostraremos cómo asociar un NSG con una interfaz de red.
[ 40 ]
Capítulo 3
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en https://
portal.azure.com. Busque el NSG creado anteriormente.
Procedimiento
Para asignar un NSG a una interfaz de red, se deben seguir estos pasos:
1. En la hoja del NSG, busque la opción Network interfaces (Interfaces de red)

en Settings (Configuración).
2. Haga clic en el botón Associate (Asociar) en la parte superior de la página y
espere a que se abra la hoja nueva:
[ 41 ]
3. Seleccione la NIC con la que desea asociarla en la lista de las NIC disponibles:
[ 42 ]
Capítulo 3
Funcionamiento
Cuando un NSG está asociado con una NIC, las reglas del NSG solo se aplicarán
a una única NIC (o a una VM asociada con la NIC). La NIC se puede asociar
directamente con un solo NSG, pero una subred asociada con una NIC se puede
asociar con otro NSG (o incluso varios). Esto es similar cuando tenemos más NSG
en una sola subred y la regla Deny (Denegar) tendrá mayor prioridad. Si cualquiera
de los NSG permite el tráfico en un puerto, pero otro NSG lo está bloqueando, se
denegará el tráfico.
Asignar un NSG con PowerShell

Como alternativa, podemos asociar un NSG con Azure PowerShell. En esta tarea, le
mostraremos cómo asociar un NSG con una subred.
Preparación
Abra la consola de PowerShell y asegúrese de que está conectado a su suscripción de
Azure.
Procedimiento
Para asociar un NSG con una subred, ejecute el siguiente comando:
$vnet = Get-AzureRmVirtualNetwork -Name 'Packt-Script' -ResourceGroupName
'Packt-Networking-Script'
$subnet = Get-AzureRmVirtualNetworkSubnetConfig -VirtualNetwork $vnet
-Name BackEnd
$nsg = Get-AzureRmNetworkSecurityGroup -ResourceGroupName 'Packt-
Networking-Script' -Name 'nsg1'
$subnet.NetworkSecurityGroup = $nsg
Set-AzureRmVirtualNetwork -VirtualNetwork $vnet
Funcionamiento
Con PowerShell, necesitamos recopilar información sobre la red virtual, la subred y
el NSG. Cuando se recopile toda la información, podremos realizar la asociación con
Set-AzureRmVirtualNetwork y aplicar cambios.
[ 43 ]
Crear un Grupo de seguridad de

aplicaciones (ASG)
Los ASG son una extensión de los NSG, lo que nos permite crear reglas adicionales
y tener un mejor control del tráfico. Usar solo NSG nos permite crear reglas que
permitirán el tráfico solo para un origen, dirección IP o subred específicas. Los ASG
nos permiten crear un mejor filtro y crear comprobaciones adicionales respecto al
tráfico que se permite.
Preparación
Procedimiento
Para crear un ASG con el portal de Azure, debe seguir estos pasos:
1. En el portal de Azure, seleccione Create a resource (Crear un recurso) y elija
Application security group (Grupo de seguridad de la aplicación) en los
servicios de Networking (Redes) (o busque application security group
[grupo de seguridad de la aplicación] en la barra de búsqueda).
2. Los parámetros que tenemos que definir para la implementación son
Subscription (Suscripción), Resource group (Grupo de recursos), Name
(Nombre) y Region (Región). En la siguiente captura de pantalla, se muestra
un ejemplo de los parámetros requeridos:
[ 44 ]
Capítulo 3
Funcionamiento
Los ASG no marcan la diferencia por sí solos y deben combinarse con los NSG para
crear reglas de NSG que permitan un mejor control del tráfico, mediante la aplicación
de comprobaciones adicionales antes de que se permita el flujo de tráfico.
Asociar un ASG con una VM

Después de crear un ASG, debemos asociarlo con una VM. Una vez que se complete
esto, podemos crear reglas con el NSG y el ASG para el control de tráfico.
Preparación
portal.azure.com. Busque la máquina virtual creada previamente.
Procedimiento
Para asociar un ASG con una máquina virtual, debemos seguir estos pasos:
1. En la hoja de la máquina virtual, busque la configuración Networking (Redes).

2. En la configuración Networking (Redes), seleccione la opción Configure
the application security groups (Configurar los grupos de seguridad de
aplicaciones), como se muestra en la siguiente captura de pantalla:
[ 45 ]
3. En la nueva hoja de la lista de ASG disponibles, seleccione el ASG con el que

desea asociar la VM:
4. Después de hacer clic en Save (Guardar), demora solo unos segundos aplicar
los cambios hasta que la VM se asocie con el ASG.
Funcionamiento
La VM debe estar asociada con el ASG. Podemos asociar más de una VM con cada
ASG. El ASG se utiliza, luego, en combinación con el NSG para crear nuevas reglas
de NSG.
Crear reglas con un NSG y un ASG

Como último paso, podemos usar NSG y ASG para crear reglas nuevas con un mejor
control. Este enfoque nos permite tener un mejor control del tráfico, lo que limita el
tráfico entrante no solo a una subred específica, sino también solo en función de si el
recurso es parte del ASG.
Preparación
[ 46 ]
Capítulo 3
Procedimiento
Para crear una regla con un ASG y un NSG, debemos seguir estos pasos:
1. En la hoja del NSG, busque Inbound security rules (Reglas de seguridad de
entrada). Seleccione Add (Agregar) para agregar una regla nueva.
2. Para el origen, seleccione Application Security Group (Grupo de seguridad
de aplicaciones ) y, luego, seleccione el ASG que desea utilizar como el
origen. También necesitamos proporcionar parámetros para Source (Origen),
Source port ranges (Intervalos de puertos de origen), Destination (Destino),
Destination port ranges (Intervalos de puertos de destino), Protocol
(Protocolo), Action (Acción), Priority (Prioridad) y Name (Nombre).
En la siguiente captura de pantalla, se muestra un ejemplo:
[ 47 ]
Funcionamiento
Si usamos solo NSG a fin de crear reglas, podemos crear reglas para permitir o
denegar tráfico para una dirección IP o rango específicos. Con un ASG, podemos
ampliar o restringir esto según sea necesario. Por ejemplo, podemos crear una regla
para permitir VM desde una subred de front-end, pero solo si estas VM están en un
ASG específico. Como alternativa, podemos permitir el acceso a varias VM desde
diferentes redes virtuales o subredes, pero solo si pertenecen a un ASG específico.
[ 48 ]
Administración de
direcciones IP
En Azure, podemos tener dos tipos de direcciones IP: privada y pública. Se puede
acceder a las direcciones públicas a través de Internet. Las direcciones privadas
provienen del espacio de direcciones de Azure Virtual Network y se usan para la
comunicación privada en redes privadas. Las direcciones se pueden asignar a un
recurso o existir como un recurso independiente.
• Crear una nueva dirección IP pública en el portal

• Crear una nueva dirección IP pública con PowerShell
• Asignar una dirección IP pública
• Cancelar la asignación de una dirección IP pública
• Crear una reserva para una dirección IP pública
• Eliminar una reserva para una dirección IP pública
• Crear una reserva para una dirección IP privada
• Cambiar una reserva para una dirección IP privada
• Eliminar una reserva para una dirección IP privada
[ 49 ]
Administración de direcciones IP

Puede encontrar ejemplos de código en https://github.com/PacktPublishing/

Azure-Networking-Cookbook/tree/master/Chapter04.
Crear una nueva dirección IP pública en

el portal
Las direcciones IP públicas se pueden crear como un recurso independiente o
durante la creación de algunos otros recursos (una máquina virtual [VM], por
ejemplo). Por lo tanto, la IP pública puede existir como parte de un recurso o como
un recurso independiente. Primero le mostraremos cómo crear una nueva dirección
IP pública.
Preparación
Procedimiento
Para crear una nueva dirección IP pública, se deben seguir estos pasos:
1. En el portal de Azure, seleccione Create a resource (Crear un recurso) y elija

Public IP address (Dirección IP pública) en los servicios de Networking
(Redes) (o busque public IP address [dirección IP pública] en la barra
de búsqueda).
2. Los parámetros que tenemos que definir para la implementación son
Name (Nombre), SKU, IP Version (Versión de IP), IP address assignment
(Asignación de dirección IP), DNS name label (Etiqueta de nombre de DNS),
Subscription (Suscripción), Resource group (Grupo de recursos) y Location
(Ubicación). En la siguiente captura de pantalla, se muestra un ejemplo de los
parámetros requeridos:
[ 50 ]
Capítulo 4
Funcionamiento
La referencia de almacén (SKU) puede ser Básica o Estándar. La diferencia principal
radica en que Estándar está cerrada al tráfico entrante de forma predeterminada (el
tráfico entrante debe estar en la lista de permitidos en Grupos de seguridad de red
[NSG]) y Estándar tiene redundancia de zona. Otra diferencia es que una dirección
IP pública de SKU estándar tiene una asignación estática, mientras que una SKU
básica puede ser estática o dinámica.
Puede elegir la versión IPv4 o IPv6 para la dirección IP, pero si elige IPv6, se limitará
a una asignación dinámica.
[ 51 ]
La etiqueta de nombre DNS es opcional; se puede utilizar para resolver el punto de

conexión en caso de que se seleccione una asignación dinámica. De lo contrario, no
tiene sentido crear una etiqueta DNS, porque siempre se puede utilizar una dirección IP
para resolver el punto de conexión en caso de que se seleccione una asignación estática.
Crear una nueva dirección IP pública con

PowerShell
Como alternativa, podemos crear una dirección IP pública con Azure PowerShell.
Una vez más, este enfoque es mejor cuando queremos automatizar el proceso.
Incluso una dirección IP pública puede existir por sí sola; normalmente, se crea para
unirse a otros recursos y usarse como un punto de conexión. Si usamos PowerShell
para crear un recurso, podemos continuar con el paso siguiente y combinarlo con un
recurso en un único script.
Preparación
Azure.
Procedimiento
Para implementar una nueva dirección IP pública, ejecute el siguiente comando:
New-AzureRmPublicIpAddress -Name 'ip-public-script' -ResourceGroupName
'Packt-Networking-Script' -AllocationMethod Dynamic -Location
'westeurope'
Funcionamiento
Como resultado, se creará una nueva dirección IP pública. La configuración en
este caso será una asignación dinámica de SKU básica, versión IPv4 y sin una
etiqueta DNS. Además, podemos usar modificadores adicionales, como -SKU,
-IPAddressVersion o -DomainNamelabel para definir estas opciones, si es necesario.
Asignar una dirección IP pública

Una dirección IP pública se puede crear como un recurso independiente o se puede
cancelar su asignación desde otro recurso y existir por sí sola. Dicha dirección IP se
puede asignar a un recurso nuevo o a otro recurso ya existente. Si el recurso ya no
está en uso o se migró, aún podemos usar la misma dirección IP pública.
[ 52 ]
Capítulo 4
En este caso, el punto de conexión público que se usa para tener acceso a un servicio
puede permanecer sin cambios. Esto puede ser útil cuando se migra o actualiza una
aplicación o un servicio que están disponibles públicamente, puesto que podemos
seguir usando el mismo punto de conexión y los usuarios finales no necesitan
considerar ningún cambio.
Preparación
Procedimiento
Para asignar una dirección IP pública, se debe hacer lo siguiente:
1. Busque la interfaz de red (NIC) a la que desea asignar la dirección IP. Esto
se puede hacer directamente mediante la búsqueda de la NIC o a través de la
hoja de la VM a la que está asignada la NIC.
2. En la hoja de la NIC, vaya a IP configurations (Configuraciones de IP) en
Settings (Configuración) y seleccione la configuración que se muestra en la
siguiente captura de pantalla:
[ 53 ]
3. En la nueva hoja, seleccione habilitar Public IP address (Dirección IP

pública) y seleccione la dirección IP pública que desea asignar. Solo se
mostrarán en la lista las direcciones IP no asignadas en la misma región.
En la siguiente captura de pantalla, se muestra un ejemplo de esto:
4. Después de seleccionar la dirección IP pública, haga clic en Save (Guardar)

para aplicar la configuración.
Funcionamiento
Una dirección IP pública existe como un recurso independiente y se puede asignar a
un recurso en cualquier momento. Cuando se asigna una dirección IP pública, puede
utilizar esta dirección IP para acceder a los servicios que se ejecutan en un recurso al
que está asignada la dirección IP (recuerde que se debe aplicar un NSG adecuado).
También podemos eliminar una dirección IP de un recurso y asignarla a un nuevo
recurso. Por ejemplo, si queremos migrar servicios a una VM nueva, la dirección
IP se puede quitar de la VM antigua y asignarse a la nueva. De esta manera, los
puntos de conexión de servicio que se ejecutan en la VM no cambiarán. Esto es
especialmente útil cuando se utilizan direcciones IP estáticas.
[ 54 ]
Capítulo 4
Cancelar la asignación de una dirección

IP pública
Se puede cancelar la asignación de una dirección IP pública desde un recurso a fin
de guardarla para su uso posterior o asignarla a otro recurso. Cuando se elimina o
se retira un recurso, todavía podemos colocar la dirección IP pública para usarla y
asignarla al siguiente recurso.
Preparación
portal.azure.com. Asegúrese de que la VM que usa una dirección IP pública
no se esté ejecutando.
Procedimiento
1. Busque la NIC a la que está asociada la dirección IP pública.
2. En la hoja de la NIC, vaya a IP configurations (Configuraciones de IP)
en Settings (Configuración) y seleccione la configuración de IP:
[ 55 ]
3. En la nueva hoja, configure Public IP address (Dirección IP pública) como

Disabled (Desactivada):
4. Después de realizar los cambios, haga clic en Save (Guardar) para aplicar la
configuración nueva.
Funcionamiento
Se puede asignar una dirección IP pública o cancelar su asignación desde un recurso
a fin de guardarla para uso futuro o para transferirla a un nuevo recurso. Para
quitarla, simplemente deshabilitamos la dirección IP pública en la configuración
IP de la NIC a la que se asigna la dirección IP. Esto eliminará la asociación, pero
mantendrá la dirección IP como un recurso independiente.
Crear una reserva para una dirección IP

pública
La opción predeterminada para una dirección IP pública es la asignación de IP
dinámica. Esto se puede cambiar durante la creación de la dirección IP pública, o
posteriormente. Si se cambia desde una asignación dinámica, la dirección IP pública
cambia a reservada (o estática).
[ 56 ]
Capítulo 4
Preparación
portal.azure.com.
Procedimiento
Si desea crear una reserva para una dirección IP pública, siga estos pasos:
1. Busque la dirección IP pública en el portal de Azure. Esto se puede hacer

buscando directamente la dirección IP o a través del recurso al que está
asignada (la NIC o la VM).
2. En la hoja de la dirección IP, vaya a Configuration (Configuración) en
Settings (Configuración). Cambie el campo Assignment (Asignación) de
Dynamic (Dinámica) a Static (Estática), como se muestra en la siguiente
captura de pantalla:
3. Una vez realizado este cambio, haga clic en Save (Guardar) para aplicar la
configuración nueva.
[ 57 ]
Funcionamiento
Una dirección IP pública se establece en dinámica de forma predeterminada. Esto
significa que la dirección IP puede cambiar en el tiempo. Por ejemplo, si una VM a la
que se asigna una dirección IP se desactiva o reinicia, existe la posibilidad de que la
dirección IP cambie después de que la VM esté nuevamente funcionando. Esto puede
causar problemas si se accede a través de la dirección IP pública a los servicios que se
ejecutan en la VM o si hay un registro DNS asociado a la dirección IP pública.
Creamos una reserva de IP y establecimos la asignación en estática para evitar un

escenario de este tipo y mantener la dirección IP reservada para nuestros servicios.
Eliminar una reserva para una dirección

IP pública
Si la dirección IP pública se establece como estática, podemos eliminar una reserva
y establecer la asignación de la dirección IP como dinámica. Esto no se hace a
menudo, puesto que por lo general hay una razón por la que la reserva se establece
en primer lugar. Pero como la reserva para la dirección IP pública tiene un costo
adicional, a veces, es necesario quitar esta reserva si no es necesaria.
Preparación
portal.azure.com. Asegúrese de que la dirección IP no esté asociada a ningún
recurso.
Procedimiento
Si desea eliminar una reserva para una dirección IP pública, siga estos pasos:
1. Busque la opción Public IP address (Dirección IP pública) en el portal de

Azure.
2. En la hoja Public IP address (Dirección IP pública), vaya a Configuration
(Configuración) en Settings (Configuración) y establezca Assignment
(Asignación) en Dynamic (Dinámica):
[ 58 ]
Capítulo 4
3. Después de realizar estos cambios, haga clic en Save (Guardar) para aplicar
la configuración nueva.
Funcionamiento
Para eliminar una reserva de IP de una dirección IP pública, la dirección IP
pública no se debe asociar a un recurso. Podemos eliminar la reserva mediante
el establecimiento de la asignación de la dirección IP en dinámica.
La razón principal de esto es el precio. En Azure, las primeras cinco reservas de IP

públicas son gratuitas. Después de las cinco iniciales, se factura cada reserva nueva.
Para evitar realizar pagos innecesarios, podemos eliminar una reserva cuando no sea
necesaria o cuando no se esté utilizando la dirección IP pública.
[ 59 ]
Crear una reserva para una dirección IP

privada
Al igual que con las direcciones IP públicas, podemos hacer una reserva para las
direcciones IP privadas. Esto se suele hacer para garantizar la comunicación entre
servidores en la misma red virtual y permitir el uso de direcciones IP en cadenas
de conexión.
Preparación
Procedimiento
Si desea crear una reserva para una dirección IP privada, siga estos pasos:
1. En el portal de Azure, busque la NIC para la que desea realizar la reserva.

2. En la hoja de la NIC, vaya a IP configurations (Configuraciones de IP) en
Settings (Configuración) y seleccione la configuración de IP:
3. En la nueva hoja, en la configuración Private IP address (Dirección IP

privada), establezca Assignment (Asignación) en Static (Estática).
4. El valor actual de la dirección IP se establecerá automáticamente. Si es

necesario, puede cambiar ese valor por otro, pero este debe encontrarse
en el espacio de direcciones de la subred asociada a la NIC:
[ 60 ]
Capítulo 4
Funcionamiento
Se puede realizar una reserva de una dirección IP para direcciones IP privadas. La
diferencia es que una dirección IP privada no existe como un recurso independiente,
sino que se asigna a una NIC.
Otra diferencia es que puede seleccionar un valor para una dirección IP privada. Una
dirección IP pública se asigna aleatoriamente y se puede reservar, pero no puede
elegir qué valor tendrá. En el caso de las direcciones IP privadas, puede seleccionar
el valor de la IP, pero debe ser una IP no utilizada de la subred asociada con la NIC.
[ 61 ]
Cambiar una reserva para una dirección

IP privada
En el caso de las direcciones IP privadas, puede cambiar una dirección IP en
cualquier momento por otro valor. Este no es el caso de las direcciones IP públicas,
puesto que obtiene la dirección IP aleatoriamente a partir de un grupo y no puede
cambiar su valor. En el caso de una dirección IP privada, puede cambiar el valor
a otra dirección IP desde el espacio de direcciones.
Preparación
Procedimiento
Si desea cambiar una reserva para una dirección IP privada, siga estos pasos:
1. En el portal de Azure, busque la NIC en la que desea hacer cambios.

[ 62 ]
Capítulo 4
3. En Private IP address settings (Configuración de dirección IP privada),

ingrese un valor nuevo para IP address (Dirección IP):
Funcionamiento
Se puede cambiar una reserva para una dirección IP privada. Una vez más, el valor
debe ser una dirección IP no utilizada de una subred asociada a la NIC. Si la VM
asociada a la NIC está desactivada, la nueva dirección IP se asignará en su próximo
inicio. Si la VM se está ejecutando, se reiniciará para aplicar los cambios nuevos.
[ 63 ]
Eliminar una reserva para una dirección

IP privada
Al igual que con las direcciones IP públicas, podemos eliminar una reserva en
cualquier momento. Una dirección IP privada es gratuita, por lo que, en este caso, los
costos adicionales no son un factor. Pero hay situaciones en las que se requiere una
asignación dinámica, y podemos establecerla en cualquier momento.
Preparación
Procedimiento
Si desea eliminar una reserva para una dirección IP privada, siga estos pasos:
1. En el portal de Azure, busque la NIC a la que desea hacer cambios.

[ 64 ]
Capítulo 4
3. En la nueva hoja, en Private IP address settings (Configuración de dirección

IP privada), cambie Assignment (Asignación) a Dynamic (Dinámica):
Funcionamiento
Podemos eliminar una reserva de dirección IP privada en cualquier momento
cambiando la opción Assignment (Asignación) a Dynamic (Dinámica). Cuando
se realiza este cambio, la VM asociada a la NIC se reiniciará para aplicar los nuevos
cambios. Después de realizar un cambio, una dirección IP privada puede cambiar
después de reiniciar o desactivar la VM.
[ 65 ]
Gateways de
red local y virtual
Los gateways de red locales y virtuales son gateways de red privada virtual (VPN)
que se usan para conectarse a las redes locales y cifrar todo el tráfico que va entre
Azure Virtual Network (VNet) y una red local. Cada red virtual solo puede tener
un gateway de red virtual, pero se puede usar un gateway de red virtual para
configurar varias conexiones VPN.
• Crear un gateway de red local en el portal de Azure

• Crear un gateway de red local con PowerShell
• Crear un gateway de red virtual en el portal de Azure
• Crear un gateway de red virtual con PowerShell
• Modificar la configuración del gateway de red local

Puede encontrar ejemplos de código en https://github.com/PacktPublishing/

Azure-Networking-Cookbook/tree/master/Chapter05.
[ 67 ]
Gateways de red local y virtual
Crear un gateway de red local en el portal

de Azure
Aunque se crea un gateway de red local en Azure, este representa la red local
(entorno local) y contiene información de configuración sobre su configuración
de red local. Es un componente esencial para crear la conexión VPN que se necesita
para crear una conexión de sitio a sitio entre Azure VNet y la red local.
Preparación
Procedimiento
Para crear un nuevo gateway de red local, se requieren los siguientes pasos:
y elija Local network gateway (Gateway de red local) en los servicios de
Networking (Redes) (o busque local network gateway [gateway de red
local] en la barra de búsqueda).
2. Los parámetros que necesitamos proporcionar son Name (Nombre), IP
address (Dirección IP) (es decir, la dirección IP pública y el firewall local),
Address space (Espacio de direcciones) (el espacio de direcciones local al
que quiere conectarse), Subscription (Suscripción), Resource group (Grupo
de recursos) y Location (Ubicación). Opcionalmente, podemos configurar
opciones de Border Gateway Protocol (BGP):
[ 68 ]
Capítulo 5
Funcionamiento
El gateway de red local se usa para conectar un gateway de red virtual con una
red local. El gateway de red virtual está conectado directamente a la red virtual y
tiene toda la información pertinente de Azure VNet que se necesita para crear una
conexión VPN. Por otro lado, un gateway de red local contiene toda la información
de red local necesaria para crear una conexión VPN.
Crear un gateway de red local con

PowerShell
Como se mencionó en la tarea anterior, el gateway de red local contiene información
sobre la red local que queremos conectar a Azure VNet. Además de crear un gateway
de red local a través del portal de Azure, podemos crearlo con Azure PowerShell.
Preparación
Azure.
Procedimiento
Para crear un nuevo gateway de red local, ejecute el siguiente comando:
New-AzureRmLocalNetworkGateway -Name packt-lng-script -ResourceGroupName
'Packt-Networking-Script' -Location 'westeurope' -GatewayIpAddress
'195.222.10.20' -AddressPrefix '192.168.1.0/24'
Funcionamiento
Para implementar un nuevo gateway de red local, necesitamos proporcionar
parámetros para el nombre, el grupo de recursos, la ubicación, la dirección IP del
gateway y el prefijo de dirección que queremos. La dirección IP del gateway es la
dirección IP pública del firewall local al que está intentando conectarse. El prefijo de
dirección es el prefijo de subred de la red local a la que está tratando de conectarse.
Esta dirección debe estar asociada con una dirección de firewall que se proporciona
como dirección IP del gateway.
[ 69 ]
Crear un gateway de red virtual en el portal

Después de crear un gateway de red local, necesitamos crear un gateway de red virtual
con el fin de crear una conexión VPN entre las redes locales y de Azure. Como un
gateway de red local contiene información sobre la red local, el gateway de red virtual
contiene información para la Azure VNet a la que intentamos conectarnos.
Preparación
Procedimiento
Para crear un nuevo gateway de red virtual, se requieren los siguientes pasos:
1. En el portal de Azure, seleccione Create a resource (Crear un recurso) y

elija Virtual network gateway (Gateway de red virtual) en los servicios de
Networking (Redes) (o busque virtual network gateway [gateway de red
virtual] en la barra de búsqueda).
2. Todo se hace en una sola hoja, pero con el propósito de tener una mejor
visibilidad, lo dividiré en tres secciones. En la primera sección, tenemos que
completar las siguientes opciones Name (Nombre), Gateway type (Tipo
de gateway), VPN type (Tipo de VPN) y SKU. Opcionalmente, podemos
seleccionar Enable active-active mode (Habilitar el modo activo-activo):
[ 70 ]
Capítulo 5
3. En la segunda sección, necesitamos seleccionar la red virtual (Virtual

network) que se usará en la conexión y establecer las opciones de Public IP
address (Dirección IP pública). Tenga en cuenta que la subred de gateway
debe crearse antes de esto y solo las redes virtuales con una subred de
gateway estarán disponibles para su selección:
4. En la sección final, tenemos que seleccionar las opciones Subscription

(Suscripción) y Location (Ubicación) donde se creará el gateway de red virtual:
5. Después de la validación, podemos hacer clic en Create (Crear) y comenzar la

implementación. Tenga en cuenta que la creación del gateway de red virtual
tarda más que la mayoría de los demás recursos de Azure; la implementación
puede tardar de 45 a 90 minutos.
[ 71 ]
Funcionamiento
El gateway de red virtual es la segunda parte que se necesita para establecer la
conexión con Azure VNet. Está conectado directamente a la red virtual y es necesario
para crear conexiones de sitio a sitio y de punto a sitio. Necesitamos establecer el tipo
de VPN que debe coincidir con el tipo de dispositivo VPN local cuando se crea una
conexión de sitio a sitio.
Crear un gateway de red virtual con

PowerShell
Se puede crear un gateway de red virtual con PowerShell. Nuevamente, esto ayuda
a automatizar los procesos. Por ejemplo, si comenzamos a crear un gateway de
red virtual mediante un portal y observamos que nuestra red virtual no aparece
en la lista, probablemente se deba a que falta una subred de gateway. Por lo tanto,
debemos abandonar el proceso, volver atrás y crear la subred de gateway y empezar
a crear el gateway de red virtual. Con PowerShell, podemos asegurarnos de que
todos los recursos necesarios estén presentes antes de comenzar y, luego, continuar
con la creación del gateway de red virtual.
Preparación
de Azure.
Procedimiento
Para crear un nuevo gateway de red virtual, ejecute el siguiente script:
$vnet = Get-AzureRmVirtualNetwork -ResourceGroupName 'Packt-Networking-
Script' -Name 'Packt-Script'
Add-AzureRmVirtualNetworkSubnetConfig -Name 'GatewaySubnet'
-AddressPrefix 10.11.2.0/27 -VirtualNetwork $vnet
$vnet | Set-AzureRmVirtualNetwork
$gwpip = New-AzureRmPublicIpAddress -Name VNet1GWIP -ResourceGroupName
'Packt-Networking-Script' -Location 'westeurope' -AllocationMethod
Dynamic
$vnet = Get-AzureRmVirtualNetwork -ResourceGroupName 'Packt-Networking-

Script' -Name 'Packt-Script'
$subnet = Get-AzureRmVirtualNetworkSubnetConfig -Name 'GatewaySubnet'
-VirtualNetwork $vnet
[ 72 ]
Capítulo 5
$gwipconfig = New-AzureRmVirtualNetworkGatewayIpConfig -Name gwipconfig1

-SubnetId $subnet.Id -PublicIpAddressId $gwpip.Id
New-AzureRmVirtualNetworkGateway -Name VNet1GW -ResourceGroupName 'Packt-
Networking-Script' -Location 'westeurope' -IpConfigurations $gwipconfig
-GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1
Funcionamiento
El script realiza algunas operaciones diferentes para asegurarse de que se cumplan
todos los requisitos para que podamos crear un gateway de red virtual. El primer
paso es recopilar información sobre la red virtual que utilizaremos. A continuación,
agregamos la subred de gateway a la Azure VNet y creamos una dirección IP
pública que usará el gateway de red virtual. Recopilamos toda la información y
nos aseguramos de que todos los recursos necesarios estén presentes y, finalmente,
creamos un nuevo gateway de red virtual.
Modificar la configuración del gateway

de red local
Las configuraciones de red pueden cambiar con el tiempo, y es posible que también
necesitemos abordar estos cambios en Azure. Por ejemplo, la dirección IP pública
de un firewall local puede cambiar y tendríamos que volver a configurar el gateway
de red local. O bien, es posible que se vuelva a configurar una red local y que el
espacio de direcciones o la subred haya cambiado, por lo que tendríamos que volver
a configurar el gateway de red local una vez más.
Preparación
Procedimiento
Para modificar la configuración de gateway de la red local, siga estos pasos:
1. Busque el gateway de red local en el portal de Azure y vaya a Configuration

(Configuración).
[ 73 ]
2. En Configuration, podemos editar los campos IP address (Dirección IP)

o Address space (Espacio de direcciones). También podemos agregar
espacios de direcciones adicionales en caso de que deseemos conectar
varias subredes locales a la Azure VNet:
Funcionamiento
El gateway de red local contiene la información de red local necesaria para crear
una conexión de sitio a sitio entre las redes locales y de Azure. Si esta información
cambia, podemos editarla en la opción Configuration (Configuración). Los
cambios que se pueden realizar son la dirección IP (es decir, la dirección IP pública
del firewall local) y el espacio de direcciones al que nos estamos conectando.
Además, podemos agregar o quitar espacios de direcciones si queremos agregar
o quitar subredes que puedan conectarse a Azure VNet. Si la configuración del
gateway de red local ya no es válida, aún podemos usarla para crear una conexión
completamente nueva a una nueva red local si es necesario.
[ 74 ]
Creación de conexiones
híbridas
Las conexiones híbridas nos permiten crear conexiones seguras con Azure VNet.
Estas conexiones pueden ser locales o de otras Azure VNet. El establecimiento de
conexiones con una Azure VNet permite proteger el tráfico de red con otros servicios
que se ubican en diferentes Azure VNets, diferentes suscripciones o servicios fuera
de Azure (en diferentes nubes o en entornos locales). El uso de conexiones seguras
elimina la necesidad de puntos de conexión expuestos públicamente que presentan un
riesgo potencial de seguridad. Esto es especialmente importante cuando consideramos
la administración, en que la apertura de puntos de conexión públicos crea un riesgo
de seguridad y presenta un problema importante. Por ejemplo, si consideramos
administrar máquinas virtuales, es una práctica común usar Protocolo de escritorio
remoto (RDP) o PowerShell para la administración. La exposición de estos puertos
al acceso público presenta un gran riesgo. Un procedimiento recomendado es
deshabilitar cualquier tipo de acceso público a esos puertos y utilizar solo el acceso
desde una red interna para la administración. En este caso, usaremos una conexión
de sitio a sitio o de punto a sitio para habilitar la administración segura.
En otro escenario, es posible que necesitemos tener acceso a un servicio o una base
de datos en otra red, ya sea local o a través de otra Azure VNet. Nuevamente,
la exposición de estos servicios puede presentar un riesgo, por lo que usamos la
conexión de sitio a sitio, de VNet a VNet o el emparejamiento de VNet para habilitar
esa conexión de forma segura.
• Crear una conexión de sitio a sitio
• Descargar la configuración del dispositivo VPN desde Azure
• Crear una conexión de punto a sitio
• Crear una conexión de VNet a VNet
• Conectar VNet mediante el emparejamiento de red
[ 75 ]
Creación de conexiones híbridas

• Windows PowerShell

Crear una conexión de sitio a sitio

Una conexión de sitio a sitio se usa para crear una conexión segura entre una
red local y una Azure VNet. Esta conexión se utiliza para realizar varias tareas
diferentes, como habilitar conexiones híbridas o administración segura. En una
conexión híbrida, permitimos que un servicio en un entorno se conecte a un servicio
en otro entorno. Por ejemplo, podríamos tener una aplicación en Azure que usa una
base de datos ubicada en un entorno local. La administración segura nos permite
limitar las operaciones de administración que solo se permiten cuando provienen
de un entorno seguro y controlado, como nuestra red local.
Preparación
Procedimiento
Para crear una nueva conexión de sitio a sitio, debemos seguir estos pasos:
1. Busque el gateway de red virtual (el que creamos en el Capítulo 5, Gateways

de red local y virtual) y seleccione Connections (Conexiones).
[ 76 ]
Capítulo 6
2. En Connections, seleccione la opción Add (Agregar) para agregar una

conexión nueva:
[ 77 ]
3. En la nueva hoja, tiene que ingresar información del nombre (Name) de la

conexión y seleccione Site-to-site (IPsec) (Sitio a sitio [IPsec]) para el campo
Connection type (Tipo de conexión):
[ 78 ]
Capítulo 6
4. En Local network gateway (Gateway de red local), tenemos que seleccionar

un gateway de red local de la lista (se creó uno en el Capítulo 5, Gateways de
red local y virtual):
[ 79 ]
5. Necesitamos proporcionar una Clave precompartida (PSK) que se utilizará

para la conexión IPSec. Tenga en cuenta que las opciones de Subscription
(Suscripción), Resource group (Grupo de recursos) y Location (Ubicación)
están bloqueadas y serán las mismas que para el gateway de red virtual:
6. Por último, seleccionamos Create (Crear) y se iniciará la implementación.
[ 80 ]
Capítulo 6
Funcionamiento
Con el gateway de red virtual, configuramos el lado de Azure del túnel IPsec.
El gateway de red local proporciona información sobre la red local y define el lado
local del túnel con la dirección IP pública y la información de subred local. De esta
manera, el lado del túnel de Azure tiene toda la información pertinente necesaria
para establecer una conexión correcta con una red local. Sin embargo, esto completa
solamente la mitad del trabajo, puesto que también se debe configurar el lado
opuesto de la conexión. Esta parte del trabajo realmente depende del dispositivo
VPN que se utiliza localmente y cada dispositivo tiene pasos de configuración
únicos. Después de que se configuran ambos lados del túnel, el resultado es una
conexión VPN segura y cifrada entre las redes.
Descargar la configuración del

dispositivo VPN desde Azure
Después de crear el lado de Azure de la conexión de sitio a sitio, todavía necesitamos
configurar el dispositivo VPN local. La configuración depende del proveedor y del
tipo de dispositivo. Puede ver todos los dispositivos admitidos en https://docs.
microsoft.com/es-xl/azure/vpn-gateway/vpn-gateway-about-vpn-devices.
En algunos casos, hay una opción para descargar la configuración para un dispositivo
VPN directamente desde el portal de Azure.
Preparación
Procedimiento
Para descargar la configuración del dispositivo VPN, debemos seguir estos pasos:
1. Busque la conexión de sitio a sitio en el portal de Azure. La hoja Overview

(Información general) se abrirá de forma predeterminada.
[ 81 ]
2. Seleccione la opción Download configuration (Descargar configuración) de

la parte superior de la hoja:
3. Se abrirá una nueva hoja y verá que todas las opciones de la hoja están
predefinidas:
4. Seleccione las opciones pertinentes para Device vendor (Proveedor del

dispositivo), Device family (Familia del dispositivo) y Firmware version
(Versión de firmware). Tenga en cuenta que solo algunas opciones se encuentran
disponibles y no todos los dispositivos compatibles tienen esta opción. Después
de seleccionar todas estas opciones, descargue el archivo de configuración. Puede
encontrar el archivo de ejemplo en el repositorio de GitHub asociado a este libro:
[ 82 ]
Capítulo 6
5. Después de utilizar el archivo de configuración para el dispositivo VPN

local, se configuran ambos lados del túnel IPsec. La opción Status (Estado)
en Site-2-Site Connection (Conexión de sitio a sitio) cambiará a Connected
(Conectado):
Ahora, veamos cómo funciona.
[ 83 ]
Funcionamiento
Después de configurar el lado de Azure del túnel IPsec, necesitamos configurar
el otro lado, además del dispositivo VPN local. Los pasos y la configuración son
diferentes para cada dispositivo. En algunos casos, podemos descargar el archivo de
configuración directamente del portal de Azure. Una vez configurado el dispositivo
VPN, todo está configurado y podemos usar el túnel para tener una comunicación
segura entre la red local y una Azure VNet.
Crear una conexión de punto a sitio

El acceso a los recursos es importante y debe realizarse de forma segura. No siempre
es posible realizar esto mediante una conexión de sitio a sitio, en especial, cuando
tenemos que realizar algo fuera de las horas de trabajo. En este caso, podemos usar
una conexión punto a sitio para crear una conexión segura que se puede establecer
desde cualquier lugar.
Preparación
A fin de crear una conexión de punto a sitio, necesitaremos generar un certificado
que se usará para la conexión. Para crear un certificado, debemos seguir estos pasos:
1. Ejecute el siguiente script de PowerShell para generar un certificado:

$cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature
`
-Subject "CN=P2SRootCert" -KeyExportPolicy Exportable `
-HashAlgorithm sha256 -KeyLength 2048 `
-CertStoreLocation "Cert:\CurrentUser\My" -KeyUsageProperty Sign
-KeyUsage CertSign
New-SelfSignedCertificate -Type Custom -DnsName P2SChildCert

-KeySpec Signature `
-Subject "CN=P2SChildCert" -KeyExportPolicy Exportable `
-HashAlgorithm sha256 -KeyLength 2048 `
-CertStoreLocation "Cert:\CurrentUser\My" `
-Signer $cert -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2"
)
[ 84 ]
Capítulo 6
2. A continuación, necesitamos exportar el certificado. Abra certmgr, busque el

certificado personal, seleccione P2SRootCert y, luego, elija la opción Export...
(Exportar...):
3. Esto iniciará el Certificate Export Wizard (Asistente para exportar

certificados). Haga clic en Next (Siguiente).
4. Seleccione la opción No, do not export the private key (No, no exportar la
clave privada) y haga clic en Next (Siguiente):
[ 85 ]
5. Seleccione el formato Base-64 encoded X.509 (X.509 codificado base 64) y

haga clic en Next (Siguiente):
[ 86 ]
Capítulo 6
6. Seleccione la ubicación donde desea guardar el certificado y haga clic en Next

(Siguiente).
7. Por último, tenemos la opción de revisar toda la información. Después de
hacer clic en Finish (Finalizar), se completará la exportación:
Ahora, examinemos el proceso de creación de una conexión de punto a sitio.
[ 87 ]
Procedimiento
Para crear una conexión de punto a sitio, necesitamos hacer lo siguiente:
1. En el portal de Azure, busque el gateway de red virtual y la opción Point-to-

site configuration (Configuración de punto a sitio).
2. Necesitamos definir el grupo de direcciones (Address pool). Aquí el grupo
de direcciones no se puede superponer con el grupo de direcciones de la
VNet asociada al gateway de red virtual:
3. A continuación, necesitamos seleccionar el tipo de túnel (Tunnel type) de la

lista de opciones predeterminadas. En esta tarea, seleccionaremos OpenVPN
(SSL), pero cualquier opción es válida:
[ 88 ]
Capítulo 6
4. Busque el certificado exportado (de la sección Preparación) y ábralo en el

Bloc de notas (o en cualquier otro editor de texto). Seleccione el valor del
certificado y copie este valor:
[ 89 ]
5. En el portal de Azure, tenemos que definir el certificado raíz. Escriba el

nombre del certificado y, luego, pegue su valor (a partir del paso anterior)
en el campo PUBLIC CERTIFICATE DATA (DATOS DE CERTIFICADO
PÚBLICO):
6. Después de hacer clic en Save (Guardar) para la configuración de punto a

sitio, estará disponible una nueva configuración: Download VPN client
(Descargar cliente VPN). Podemos descargar la configuración y comenzar a
utilizar esta conexión:
Funcionamiento
La conexión de punto a sitio nos permite acceder de forma segura a Azure VNet.
Una conexión de sitio a sitio se limita al acceso desde nuestra red local, pero la
conexión punto a sitio nos permite conectarnos desde cualquier lugar. Se usa
la autenticación basada en certificados, que usa el mismo certificado tanto en el
servidor (Azure) como en el cliente (el cliente VPN) para verificar la conexión
y permitir el acceso. Esto nos permite acceder a Azure VNet desde cualquier lugar
y en cualquier momento. Este tipo de conexión se utiliza normalmente para tareas
de administración y mantenimiento, puesto que se trata de una conexión a petición.
Si se necesita una conexión constante, debe considerar una conexión de sitio a sitio.
[ 90 ]
Capítulo 6
Crear una conexión de VNet a VNet

De forma similar a la necesidad de conectar nuestra Azure VNet a recursos en una red
local, es posible que necesitemos conectarnos a recursos que se encuentran en otra Azure
VNet. En esos casos, podemos crear una conexión de VNet a VNet que nos permitirá
usar servicios y puntos de conexión que se encuentran en otra VNet. Este proceso es muy
similar a crear una conexión de sitio a sitio; la diferencia es que no necesitamos un gateway
de red local. En su lugar, usamos dos gateways de red virtual, uno para cada VNet.
Preparación
Procedimiento
Para crear una conexión de VNet a VNet, debemos seguir estos pasos:
1. En el portal de Azure, busque uno de los gateways de red virtual (asociado

a una de las VNets a las que intenta conectarse).
2. En la hoja del gateway de red virtual, seleccione Connections (Conexiones)
y, luego, Add (Agregar) para agregar las conexiones nuevas:
[ 91 ]
3. En la nueva hoja, escriba el nombre de una conexión nueva y seleccione

VNet-to-VNet (VNet a VNet) en Connection type (Tipo de conexión):
[ 92 ]
Capítulo 6
4. El primer gateway de red virtual se destacará automáticamente. Tenemos

que seleccionar el segundo gateway de red virtual:
[ 93 ]
5. Necesitamos proporcionar una clave compartida para nuestra conexión

antes de seleccionar Create (Crear) y comenzar la implementación. Tenga en
cuenta que los campos Subscription (Suscripción), Resource group (Grupo
de recursos) y Location (Ubicación) están bloqueados y que los valores para
el primer gateway de red virtual se usan aquí:
6. La implementación de la conexión de VNet a VNet no tarda mucho y

debería realizarse en unos minutos. Sin embargo, demora un poco establecer
conexiones, de manera que el estado puede ser Unknown (Desconocido)
hasta por 15 minutos antes de que cambie a Connected (Conectado):
[ 94 ]
Capítulo 6
Funcionamiento
Una conexión de VNet a VNet funciona de forma muy similar a una conexión de
sitio a sitio. La diferencia es que Azure usa un gateway de red local para obtener
información sobre la red local. En este caso, no necesitamos esta información;
utilizamos dos gateways de red virtual para conectarnos. Cada gateway de red
virtual proporciona información de red para la VNet a la que está asociado. Esto
da como resultado conexiones VPN seguras y cifradas entre dos Azure VNet que
se pueden usar para establecer conexiones entre recursos de Azure en ambas VNet.
Conectar VNet mediante el

emparejamiento de red
Otra opción para conectar dos Azure VNet es usar el emparejamiento de red. Este
enfoque no requiere usar un gateway de red virtual, por lo que es más económico
usarlo si el único requisito es establecer una conexión entre Azure VNets. El
emparejamiento de red usa la infraestructura troncal de Microsoft para establecer
una conexión entre dos VNet y el tráfico se enruta solo a través de direcciones IP
privadas. Sin embargo, este tráfico no se cifra; es tráfico privado que permanece en la
red de Microsoft, al igual que lo que sucede con el tráfico en la misma Azure VNet.
Preparación
[ 95 ]
Procedimiento
Para crear emparejamiento de red, debemos realizar los siguientes pasos:
1. En el portal de Azure, busque una de las VNet a las que desea conectarse.
2. En la hoja de la VNet, seleccione la opción Peerings (Emparejamientos) y
seleccione Add (Agregar) para agregar una conexión nueva:
[ 96 ]
Capítulo 6
3. En la hoja nueva, debemos ingresar el nombre de la conexión, elegir

un modelo de implementación de red virtual (Resource manager
[Administrador de recursos] o Classic [Clásico]) y seleccionar la VNet a la
que nos estamos conectando. Esta información se puede proporcionar ya sea
mediante un ID de recurso o seleccionando una suscripción y una VNet en
el menú desplegable. Hay una configuración adicional que es opcional, pero
que nos proporciona un mejor control del tráfico:
[ 97 ]
4. Después de que se crea una conexión, podemos ver la información y el

estado de emparejamiento. También podemos cambiar las opciones de
Configuration (Configuración) en cualquier momento:
[ 98 ]
Capítulo 6
Funcionamiento
El emparejamiento de red nos permite establecer una conexión entre dos Azure
VNets en el mismo inquilino de Azure. El emparejamiento usa una red troncal de
Microsoft para enrutar el tráfico privado entre recursos de la misma red, utilizando
solo direcciones IP privadas. No hay necesidad de gateways de red virtual (que crean
un costo adicional), puesto que se crea un "gateway remoto" virtual para establecer
una conexión. La desventaja de este enfoque es que la misma VNet no puede usar
el emparejamiento y un gateway de red virtual al mismo tiempo. Si es necesario
conectar una VNet a la red local y a otra VNet, debemos adoptar un enfoque
diferente y usar un gateway de red virtual que nos permita crear una conexión de
sitio a sitio con una red local y una conexión de VNet a VNet con otra VNet.
[ 99 ]
DNS y enrutamiento
Azure DNS nos permite hospedar dominios de Sistema de nombres de dominio
(DNS) en Azure. Cuando se usa Azure DNS, se usa la infraestructura de Microsoft
para la resolución de nombres, lo que se traduce en consultas DNS rápidas y
confiables. La infraestructura de Microsoft Azure DNS utiliza un gran número de
servidores para proporcionar una gran confiabilidad y disponibilidad del servicio.
Mediante la red Anycast, el servidor DNS más cercano disponible responde cada
consulta DNS a fin de proporcionar una respuesta rápida.
• Crear una zona de Azure DNS

• Crear un nuevo conjunto de registros y un registro en Azure DNS
• Crear una tabla de rutas
• Cambiar la tabla de rutas
• Asociar la tabla de rutas con una subred
• Desasociar la tabla de rutas de una subred
• Crear una ruta nueva
• Cambiar una ruta
• Eliminar una ruta
[ 101 ]
DNS y enrutamiento
Crear una zona de Azure DNS

Para comenzar a usar Azure DNS, primero debemos crear una zona DNS. Una zona
DNS contiene un registro DNS para un dominio específico y puede contener registros
para un único dominio en ese momento. Una zona DNS contendrá registros DNS para
este dominio y posibles subdominios. Los servidores de nombres DNS se configuran
para responder a cualquier consulta en un dominio registrado y apuntar a un destino.
Preparación
Antes de comenzar, abra el explorador web y vaya al portal de Azure a través de
Procedimiento
Para crear una nueva zona de Azure DNS con el portal de Azure, debe seguir estos
pasos:
luego, DNS Zone (Zona DNS) en los servicios de Networking (Redes)
(o busque DNS Zone [Zona DNS] en la barra de búsqueda).
2. En la nueva hoja, debemos ingresar información en los campos Name
(Nombre), Subscription (Suscripción) y Resource group (Grupo de
recursos). Si seleccionamos el grupo de recursos existente, la ubicación
será la misma que la del grupo de recursos seleccionado. El campo
Name (Nombre) debe ser un Nombre de dominio completo (FQDN):
[ 102 ]
Capítulo 7
Funcionamiento
Se requiere una zona DNS para comenzar a usar Azure DNS. Se requiere una nueva
zona DNS para cada dominio que queremos hospedar con Azure DNS, puesto que
una sola zona DNS puede contener información para un único dominio. Después
de crear una zona DNS, podemos agregar registros, conjuntos de registros y tablas
de rutas a un dominio hospedado con Azure DNS. Con estos elementos, podemos
enrutar el tráfico y definir destinos mediante un FQDN para los recursos de Azure
(y también otros recursos). Mostraremos cómo crearlos y administrarlos en las
próximas tareas de este capítulo.
Crear un nuevo conjunto de registros

y un registro en Azure DNS
Después de crear una zona DNS, definiremos para qué dominio mantendremos
registros. Una zona DNS se crea para un dominio "raíz" definido con un FQDN.
Podemos agregar subdominios adicionales y agregar registros y conjuntos de
registros para mantener información sobre otros recursos en el mismo dominio.
Preparación
Procedimiento
Para agregar un nuevo registro a la zona DNS, siga estos pasos:
1. En el portal de Azure, busque la zona DNS.

2. En la información general, seleccione la opción para agregar un conjunto
de registros:
[ 103 ]
DNS y enrutamiento
3. Se abrirá una nueva hoja. Escriba el nombre del subdominio para el que
desea agregar un registro:
4. Tenemos que seleccionar el tipo de registro que queremos agregar. Las

opciones son A, AAAA, CNAME, MX, NS, SRV, TXT y PTR. El tipo de
registro más común es A, por lo que seleccionaremos ese:
[ 104 ]
Capítulo 7
5. Después de seleccionar el tipo de registro, debemos seleccionar si es un alias

y la opción TTL (Tiempo de vida). Por último, agregaremos un destino de
registro. Esto depende del tipo de registro y, en el caso del registro A, será
una dirección IP:
6. Agregar una sola entrada a nuestro registro crea un nuevo conjunto de

registros y un nuevo registro. Podemos agregar más registros al conjunto
de registros agregando direcciones IP adicionales (en este caso).
[ 105 ]
DNS y enrutamiento
Funcionamiento
Un conjunto de registros DNS contiene información sobre el subdominio en el
dominio hospedado con la zona DNS. En este caso, el dominio es toroman.cloud
y el subdominio es test. Esto forma un FQDN, test.toroman.cloud y el registro
dirige este dominio a la dirección IP que definimos. El conjunto de registros puede
contener varios registros para un único subdominio, que normalmente se usa para
la redundancia y la disponibilidad.
Crear una tabla de rutas

Azure enruta el tráfico de red en subredes de forma predeterminada. Pero en algunos
casos, queremos utilizar rutas de tráfico personalizadas para definir dónde y cómo
fluye el tráfico. En este caso, usamos tablas de rutas. Una tabla de rutas define el
siguiente salto para nuestro tráfico y determina a dónde debe ir el tráfico de red.
Preparación
Procedimiento
Para agregar un nuevo registro a la zona DNS, siga estos pasos:

luego, Route Table (Tabla de rutas) en los servicios de Networking (Redes)
(o busque route table [tabla de rutas] en la barra de búsqueda).
2. En la nueva hoja, tenemos que proporcionar el nombre (Name) de la tabla
de rutas y seleccionar la suscripción (Subscription), el grupo de recursos
(Resource group) y la ubicación (Location). Opcionalmente, podemos definir
si queremos activar o desactivar la propagación de rutas BGP (Border
Gateway Protocol) (que está activada de forma predeterminada):
[ 106 ]
Capítulo 7
Funcionamiento
El enrutamiento de red en Azure VNet se realiza de forma automática, pero podemos
usar enrutamiento personalizado con tablas de rutas. Las tablas de rutas usan reglas
y asociaciones de subred para definir el flujo de tráfico en Azure VNet. Cuando se
crea una nueva tabla de rutas, no se crea ninguna configuración: solo un recurso
vacío. Después de crear el recurso, necesitamos definir las reglas y las subredes a fin
de utilizar una tabla de rutas para el flujo de tráfico. En las siguientes tareas de este
capítulo, mostraremos cómo crear y aplicar reglas en las tablas de rutas.
Cambiar la tabla de rutas

Como se mencionó en la tarea anterior, crear una nueva tabla de rutas producirá
un recurso vacío. Una vez que se cree el recurso, podemos cambiar la configuración
según sea necesario. Antes de configurar las rutas y subredes asociadas a la tabla de
rutas, la única configuración que podemos cambiar es la propagación de rutas BGP.
También podemos cambiar otros ajustes después de la creación.
[ 107 ]
DNS y enrutamiento
Preparación
Procedimiento
Para cambiar la tabla de rutas, se debe hacer lo siguiente:
1. En el portal de Azure, busque Route table (Tabla de rutas).

2. En Settings (Configuración), podemos cambiar la configuración de BGP
route propagation (Propagación de rutas BGP) en la hoja Configuration
(Configuración). En Settings (Configuración), podemos cambiar Routes
(Rutas) y Subnets (Subredes), si se configuraron previamente:
Funcionamiento
En la configuración de la tabla de rutas, podemos activar o desactivar la propagación
de rutas BGP en cualquier momento. Esta opción, si está desactivada, impide que las
rutas locales se propaguen a través de BGP a las interfaces de red de una subred de
red virtual. En la configuración, podemos crear, eliminar o cambiar rutas y subredes.
Estas opciones se abordarán en las próximas tareas de este capítulo.
[ 108 ]
Capítulo 7
Asociar una tabla de rutas con una subred

Una vez que se crea una tabla de rutas, no hace nada hasta que se configura
correctamente. Hay dos aspectos que necesitamos abordar: qué recursos se ven
afectados y cómo. Para definir qué recursos se ven afectados, debemos establecer
una asociación entre una subred y una tabla de rutas.
Preparación
Procedimiento
Para asociar una subred con una tabla de rutas, siga estos pasos:

2. En Settings (Configuración) en la tabla de rutas, seleccione la opción Subnets
(Subredes). En la hoja Subnets (Subredes), seleccione la opción Associate
(Asociar) para crear una asociación nueva:
[ 109 ]
DNS y enrutamiento
3. Se abrirá una nueva hoja. Hay dos opciones disponibles que seleccionar: una
red virtual (Virtual network) y la subred (Subnet) que queremos asociar de
la lista:
4. En primer lugar, debemos seleccionar una red virtual. Seleccionar esta

opción mostrará la lista de todas las redes virtuales disponibles. Seleccione la
que desea asociar de esta lista:
[ 110 ]
Capítulo 7
5. Después de seleccionar una red virtual, podemos continuar con la selección

de una subred. La opción de subred mostrará todas las subredes de la red
virtual que seleccionamos en el paso anterior. Seleccione la subred que desea
asociar de esta lista:
6. Después de seleccionar ambas opciones, podemos continuar con la creación

de una asociación:
[ 111 ]
DNS y enrutamiento
7. Después de asociar una subred, aparecerá en una lista de subredes debajo de

la tabla de rutas:
Funcionamiento
Para que la tabla de rutas sea eficaz, debe tener definidas dos partes: el qué y el
cómo. Definimos lo que se verá afectado por la tabla de rutas con una asociación de
subred. Esto es solo una parte de la configuración, puesto que simplemente asociar
una subred a una tabla de rutas no tendrá ningún efecto. Debemos crear reglas que
se apliquen a esta asociación. Explicaremos las reglas en las siguientes tareas de este
capítulo.
Desasociar una tabla de rutas de una

subred
Después de crear una asociación y reglas, esas reglas se aplicarán a todos los recursos
de la subred asociada. Si queremos que las reglas ya no se apliquen a una subred
específica, podemos quitar la asociación.
[ 112 ]
Capítulo 7
Preparación
Procedimiento
A fin de eliminar la asociación entre la subred y la tabla de rutas, tenemos que hacer
lo siguiente:

2. En Settings (Configuración), seleccione la opción Subnets (Subredes)
y seleccione la subred que desea quitar:
[ 113 ]
DNS y enrutamiento
3. Se abrirá la hoja de configuración de subred. Seleccione la opción de tabla de

rutas. Tenga en cuenta que esto realmente abre una configuración de subred.
Es un error común confundir esta hoja con la asociación y seleccionar la
opción Delete (Eliminar). Esto no solo quitará la asociación, sino que también
quitará la subred por completo:
[ 114 ]
Capítulo 7
4. El portal de Azure mostrará una lista de las tablas de rutas disponibles para
una red específica. Seleccione None (Ninguna):
5. Después de seleccionar None, haga clic en el botón Save (Guardar) para

aplicar la configuración nueva. La asociación de la tabla de rutas se elimina
de la subred:
[ 115 ]
DNS y enrutamiento
Funcionamiento
En algún momento, es posible que hayamos creado reglas en una tabla de rutas
que se aplican a varias subredes. Si ya no queremos aplicar una o más reglas a
una subred específica, podemos eliminar la asociación. Una vez que se elimina la
asociación, las reglas ya no se aplicarán a la subred. Todas las reglas se aplicarán
a todas las subredes asociadas. Si necesitamos que solo una regla ya no se aplique
a una subred específica, debemos eliminar la asociación.
Crear una ruta nueva

Después de crear una tabla de rutas y las subredes asociadas, aún falta hacer algo.
Definimos la tabla de rutas que se verá afectada con la asociación de la subred, pero
nos falta la parte que define cómo se verá afectada. Definimos cómo las subredes
asociadas son afectadas con reglas llamadas rutas. Las rutas definen las rutas de
tráfico y nos dicen adónde debe ir el tráfico específico. Si la ruta predeterminada para
el tráfico específico es Internet, podemos cambiar esto y volver a enrutar el tráfico
a una IP o subred específica.
Preparación
Procedimiento
Para crear una ruta nueva, se debe hacer lo siguiente:

2. En la hoja Route table (Tabla de rutas), en Settings (Configuración),
seleccione Routes (Rutas). Seleccione Add (Agregar) para agregar una ruta
nueva:
[ 116 ]
Capítulo 7
3. En la hoja nueva, tenemos que definir los campos Route name (Nombre
de ruta) y Address prefix (Prefijo de dirección) (en formato CIDR) para el
intervalo de direcciones IP de destino y seleccione Next hop type (Tipo del
próximo salto). Las opciones para esto incluyen Virtual network gateway
(Gateway de red virtual), Virtual network (Red virtual), Internet, Virtual
appliance (Dispositivo virtual) y None (Ninguno):
[ 117 ]
DNS y enrutamiento
4. La última opción, Next hop address (Dirección del próximo salto), solo está
activa cuando se utiliza un dispositivo virtual. En ese caso, necesitamos
proporcionar la dirección IP del dispositivo virtual en este campo, y todo
el tráfico pasará a través del dispositivo virtual:
Funcionamiento
La ruta define el flujo de tráfico. Todo el tráfico de la subred asociada seguirá la ruta
definida por estas reglas. Si definimos que el tráfico irá a Internet, todo el tráfico
saldrá de la red en un intervalo de direcciones IP definido con un prefijo de dirección
IP. Si elegimos que el tráfico vaya a una red virtual, irá a una subred definida por el
prefijo de dirección IP. Si se utiliza ese gateway de red virtual, todo el tráfico pasará
por el gateway de red virtual y llegará a su conexión en el otro lado, ya sea otra red
virtual o nuestra red local. La opción de dispositivo virtual enviará todo el tráfico al
dispositivo virtual, que, entonces, con su propio conjunto de reglas, define adónde se
dirige el tráfico a continuación.
Cambiar una ruta

Los requisitos de ruta pueden cambiar con el tiempo. En esos casos, podemos
eliminar la ruta o editarla, según nuestras necesidades. Si es necesario ajustar la ruta,
podemos seleccionar la opción para cambiar la ruta y aplicar el nuevo flujo de tráfico
en cualquier momento.
[ 118 ]
Capítulo 7
Preparación
Procedimiento
Para cambiar la ruta existente, se debe hacer lo siguiente:

2. En Settings (Configuración), seleccione Routes (Rutas) y seleccione la ruta
que desea cambiar desde la lista de rutas disponibles:
[ 119 ]
DNS y enrutamiento
3. Se abrirá una nueva hoja. Podemos cambiar la configuración de Address

prefix (Prefijo de dirección) (para el rango de IP de destino) y Next hop type
(Tipo del próximo salto). Si el tipo de próximo salto es un dispositivo virtual,
estará disponible una opción para la dirección de próximo salto:
Funcionamiento
Los requisitos para la ruta pueden cambiar con el tiempo. Podemos cambiar la ruta y
ajustarla para adaptarse a los requisitos nuevos según sea necesario. Los escenarios
más comunes son que el tráfico necesita alcanzar un servicio específico cuando la IP
del servicio cambia con el tiempo. Por ejemplo, es posible que necesitemos enrutar
todo el tráfico a través de un dispositivo virtual, pero la dirección IP del dispositivo
virtual cambia con el tiempo. Podemos cambiar la ruta en la tabla de rutas para
reflejar este cambio y forzar el flujo de tráfico a través del dispositivo virtual. Otro
ejemplo es cuando el tráfico necesita llegar a nuestra red local a través de un gateway
de red virtual: el intervalo de direcciones IP de destino puede cambiar con el tiempo
y necesitamos reflejar estos cambios en la ruta una vez más.
Eliminar una ruta

Como ya mencionamos, los requisitos de ruta cambian con el tiempo. En algunos
casos, las reglas ya no son aplicables y tenemos que eliminarlas. En esos casos,
cambiar la ruta no completará la tarea, por lo que necesitamos eliminar la ruta por
completo. Esta tarea se puede completar al eliminar la ruta.
[ 120 ]
Capítulo 7
Preparación
Procedimiento
Para eliminar la ruta, se debe hacer lo siguiente:
1. En el portal de Azure, busque el vínculo Route table (Tabla de rutas).

2. En Settings (Configuración), seleccione Routes (Rutas) y, luego, seleccione
la ruta que desea eliminar:
[ 121 ]
DNS y enrutamiento
3. Se abrirá una nueva hoja. Seleccione la opción Delete (Eliminar) y confirme

la acción:
4. Después de confirmar esta acción, volverá a la hoja anterior y la ruta

eliminada ya no aparecerá:
[ 122 ]
Capítulo 7
Funcionamiento
A medida que nuestros requisitos cambian, necesitamos abordar los requisitos
nuevos en nuestras tablas de rutas. Podemos editar rutas o eliminarlas para cumplir
con estos requisitos nuevos. Cuando se utilizan varias rutas en una sola tabla de
rutas, una de las rutas puede quedar obsoleta o, incluso, bloquear requisitos nuevos.
En esos casos, es posible que queramos eliminar una ruta para resolver cualquier
problema.
[ 123 ]
Equilibradores de carga
Los equilibradores de carga se usan para admitir escalado y alta disponibilidad
para aplicaciones y servicios. Un equilibrador de carga se compone principalmente
de dos componentes: un front-end y un back-end. Las solicitudes que llegan al
front-end de un equilibrador de carga se distribuyen al back-end, donde colocamos
varias instancias de un servicio. Esto se puede utilizar por razones relacionadas con
el rendimiento, en que nos gustaría distribuir el tráfico por igual entre los puntos de
conexión en el back-end, o para alta disponibilidad, en que se usan varias instancias
de servicios para aumentar la posibilidad de que, al menos, un punto de conexión
esté disponible en todo momento.
• Crear un equilibrador de carga interno

• Crear un equilibrador de carga público
• Crear un grupo de back-end
• Crear sondeos de estado
• Crear reglas de equilibrador de carga
• Crear reglas NAT de entrada
Para este capítulo, se requiere una suscripción a Azure.
[ 125 ]
Crear un equilibrador de carga interno

Microsoft Azure admite dos tipos de equilibradores de carga: interno y externo.
A un equilibrador de carga interno se le asigna una dirección IP privada (del intervalo
de direcciones de subredes en nuestra VNet) para una dirección IP de front-end y
se orienta a las direcciones IP privadas de nuestros servicios (por lo general, una
máquina virtual [VM] de Azure) en el back-end. Por lo general, los servicios que no
están orientados a Internet y a los que se accede solo desde nuestra VNet utilizan un
equilibrador de carga interno.
Preparación
Procedimiento
Para crear un equilibrador de carga interno con el portal de Azure, siga estos pasos:

luego, Load Balancer (Equilibrador de carga) en los servicios de Networking
(Redes) (o busque Load Balancer [Equilibrador de carga] en la barra de
búsqueda).
2. En la nueva hoja, debemos seleccionar una suscripción y un grupo de
recursos para el lugar donde se creará el equilibrador de carga. Luego,
tenemos que proporcionar información para las opciones Name (Nombre),
Region (Región), Type (Tipo) y SKU. En este caso, seleccionamos Internal
(Interno) para Type (Tipo) a fin de implementar un equilibrador de carga
interno. Por último, tenemos que seleccionar la red virtual (Virtual network)
y la subred (Subnet) a las que se asociará el equilibrador de carga, junto con
la información de la asignación de dirección IP (IP address assignment), que
puede ser dinámica (Dynamic) o estática (Static):
[ 126 ]
Capítulo 8
3. Después de ingresar toda la información, seleccionamos la opción Review

+ create (Revisar + crear) para validar la información y comenzar la
implementación del equilibrador de carga.
Funcionamiento
Se asigna una dirección IP privada a un equilibrador de carga interno. Todas las
solicitudes que llegan al front-end de un equilibrador de carga interno deben llegar
a una dirección privada, lo que limita el tráfico que llega al equilibrador de carga
para que provenga de la VNet asociada con el equilibrador de carga. El tráfico puede
provenir de otras redes (otras VNets o redes locales) si hay algún tipo de red privada
virtual (VPN). El tráfico que llega al front-end del equilibrador de carga interno se
distribuirá entre los puntos de conexión en el back-end del equilibrador de carga.
Los equilibradores de carga internos generalmente se utilizan para servicios que no
se ubican en una red perimetral (DMZ) (a la que no se puede acceder por Internet),
sino más bien en servicios de nivel intermedio o posterior en una arquitectura de
aplicación de varios niveles.
[ 127 ]
Crear un equilibrador de carga público

El segundo tipo de equilibrador de carga en Microsoft Azure es un equilibrador de
carga público. La principal diferencia es que un equilibrador de carga público tiene
asignada una dirección IP pública en el front-end y todas las solicitudes vienen a
través de Internet. Luego, las solicitudes se distribuyen a los puntos de conexión en
el back-end.
Preparación
Procedimiento
Para crear un nuevo equilibrador de carga público con el portal de Azure, siga estos
pasos:

luego, Load Balancer (Equilibrador de carga) en los servicios de Networking
(Redes) (o busque Load Balancer [Equilibrador de carga] en la barra de
búsqueda).
2. En la nueva hoja, debemos seleccionar una suscripción y un grupo de recursos
para el lugar donde se creará el equilibrador de carga. Luego, tenemos
que proporcionar información para las opciones Name (Nombre), Region
(Región), Type (Tipo) y SKU. En este caso, seleccionamos Public (Público)
para Type (Tipo) a fin de implementar un equilibrador de carga público:
[ 128 ]
Capítulo 8
3. Seleccionar Public (Público) como tipo de equilibrador de carga cambiará

levemente la hoja. Ya no tendremos la opción de seleccionar la VNet y la
subred, como lo hicimos con el equilibrador de carga interno. En lugar
de eso, podemos elegir opciones para una dirección IP pública (Public IP
address) (nueva o existente), una SKU de dirección IP pública (Public IP
address SKU), una asignación de dirección IP y si queremos usar IPv6.
Tenga en cuenta que la SKU de dirección IP pública depende directamente
de la SKU del balanceador de carga, de manera que la SKU seleccionada para
el equilibrador de carga se transferirá automáticamente a la dirección IP:
4. Después de ingresar toda la información, seleccionamos la opción Review

+ create (Revisar + crear) para validar la información y comenzar la
implementación del equilibrador de carga.
Funcionamiento
Se asigna una dirección IP pública al equilibrador de carga público en el front-
end. Por lo tanto, todas las solicitudes que llegan al equilibrador de carga público
pasan a través de Internet y se dirigen a la dirección IP pública del equilibrador
de carga. Luego, las solicitudes se distribuyen a los puntos de conexión en el back-
end del equilibrador de carga. Lo que resulta interesante es que el equilibrador de
carga público no se orienta a las direcciones IP públicas en el back-end, sino a las
direcciones IP privadas. Por ejemplo, supongamos que tenemos un equilibrador de
carga público con dos VM de Azure en el back-end. El tráfico que llega a la dirección
IP pública del equilibrador de carga se distribuirá a las VM, pero se dirigirá a las
direcciones IP privadas de las VM.
Los equilibradores de carga públicos se utilizan para servicios orientados al público,

normalmente, para servidores web.
[ 129 ]
Crear un grupo de back-end

Después de crear el equilibrador de carga, ya sea interna o públicamente, tenemos que
aplicar más ajustes con el fin de comenzar a usarlo. Durante el proceso de creación,
definimos el front-end del equilibrador de carga y sabemos adónde debe ir el tráfico
para llegar al equilibrador de carga. Pero, para definir adónde debe ir ese tráfico después
de llegar al equilibrador de carga, primero debemos definir un grupo de back-end.
Preparación
Procedimiento
Para crear el grupo de back-end, se debe hacer lo siguiente:
1. En el portal de Azure, busque el equilibrador de carga creado anteriormente

(ya sea interno o público).
2. En la hoja Load balancer (Equilibrador de carga), en Settings
(Configuración), seleccione Backend pools (Grupos de back-end).
Seleccione Add (Agregar) para agregar el nuevo grupo de back-end:
[ 130 ]
Capítulo 8
3. En la nueva hoja, tenemos que proporcionar un nombre y especificar a qué

está asociado el equilibrador de carga. Se pueden crear asociaciones para
una sola VM, un conjunto de disponibilidad o un conjunto de escalado
de máquinas virtuales. Recomiendo usar un conjunto de disponibilidad
(Availability set). En función de esta selección, se le ofrecerá una lista de
recursos disponibles en la categoría seleccionada de la cual elegir:
4. Después de crear una asociación, se le ofrecerán más opciones para

seleccionar una configuración IP de red. En caso de seleccionar una máquina
virtual, se le ofrecerá seleccionar la interfaz de red (NIC) (como cualquier
VM, puede tener más de una) o, en caso del conjunto de disponibilidad,
puede seleccionar entre VM en el conjunto seleccionado. En esta tarea,
seleccioné un conjunto de disponibilidad y dos VM en ese conjunto:
[ 131 ]
5. Después de que se ingresa la configuración, crear una asociación demorará

unos minutos. Después de eso, los recursos asociados se mostrarán en la lista
Backend pool (Grupo de back-end):
Funcionamiento
Los dos componentes principales de cualquier equilibrador de carga son el front-end
y el back-end. El front-end define el punto de conexión del equilibrador de carga y el
back-end define adónde debe ir el tráfico después de llegar al equilibrador de carga.
A medida que la información de front-end se crea junto con el equilibrador de carga,
debemos definir el back-end. Luego, el tráfico se distribuirá uniformemente entre los
puntos de conexión en el back-end. Las opciones disponibles para el grupo de back-
end son máquinas virtuales, conjuntos de disponibilidad y conjuntos de escalado
de máquinas virtuales.
Consulte también
Encontrará más información disponible sobre máquinas virtuales, conjuntos de
disponibilidad y conjuntos de escalado de máquinas virtuales, en mi libro, Hands-
On Cloud Administration in Azure (Administración práctica de la nube en Azure),
publicado por Packt en https://www.packtpub.com/virtualization-and-cloud/
hands-cloud-administration-azure.
Crear sondeos de estado

Una vez definidos el front-end y el back-end del equilibrador de carga, el tráfico se
distribuye uniformemente entre los puntos de conexión en el back-end. Pero, ¿qué
pasa si uno de los puntos de conexión no está disponible? En ese caso, algunas de
las solicitudes fallarán hasta que detectemos el problema o, incluso, se producirá un
error indefinidamente en caso de que el problema no se detecte. El equilibrador de
carga enviaría una solicitud a todos los puntos de conexión definidos en el grupo de
back-end y la solicitud producirá un error si se dirige a un servidor no disponible.
[ 132 ]
Capítulo 8
Esta es la razón por la que introducimos los siguientes dos componentes en el

equilibrador de carga: sondeos de estado y reglas. Estos componentes se utilizan
para detectar problemas y describir qué hacer cuando se detectan.
Los sondeos de estado supervisan constantemente todos los puntos de conexión
definidos en el grupo de back-end y detectan si alguno de ellos no está disponible.
Preparación
Procedimiento
Para crear un nuevo sondeo de estado en el equilibrador de carga, tenemos que hacer
lo siguiente:

(Configuración), seleccione Health probes (Sondeos de estado). Seleccione
Add (Agregar) para agregar un nuevo sondeo de estado:
[ 133 ]
3. En la nueva hoja, tenemos que proporcionar información sobre el nombre

(Name) del sondeo de estado, el protocolo (Protocol) que queremos usar
y el puerto (Port), el intervalo (Interval) y el umbral de estado incorrecto
(Unhealthy threshold), como se muestra en la siguiente captura de pantalla:
[ 134 ]
Capítulo 8
Funcionamiento
Después de definir el sondeo de estado, este se usará para supervisar los puntos
de conexión en el grupo de back-end. Definimos el protocolo y el puerto como
datos útiles, que proporcionarán información respecto a si el servicio que estamos
utilizando está disponible o no. La supervisión del estado del servidor no bastará,
puesto que podría ser engañosa. Por ejemplo, el servidor podría estar en ejecución
y disponible, pero podría ser que los IIS o SQL Server que usemos no estén
disponibles. Por lo tanto, el protocolo y el puerto detectarán cambios en el servicio
que nos interesa, y no solo si el servidor se está ejecutando. El intervalo define la
frecuencia con la que se realiza una comprobación y el umbral de estado incorrecto
define después de cuántos errores consecutivos se declara que el punto de conexión
no está disponible.
Crear reglas de equilibrador de carga

La última pieza del rompecabezas cuando se habla de equilibradores de carga de
Azure son las reglas. Las reglas finalmente unen todos los aspectos y definen qué
sondeo de estado (puede haber más de uno) supervisará qué grupo de back-end
(puede estar disponible más de uno). Las reglas también habilitan la asignación
de puertos desde el front-end de un equilibrador de carga hasta el grupo de back-
end, además de definir cómo se relacionan los puertos y cómo se reenvía el tráfico
entrante al back-end.
Preparación
Procedimiento
Para crear una regla de equilibrador de carga, se debe hacer lo siguiente:

[ 135 ]
2. En la hoja Load balancer (Equilibrador de carga), en Settings (Configuración),

seleccione Load balancing rules (Reglas de equilibrio de carga). Seleccione
Add (Agregar) para agregar la regla de equilibrio de carga:
3. En la nueva hoja, tenemos que proporcionar información para el nombre

(Name) y la versión de IP (IP Version) que usaremos, que dirección IP de
front-end (Frontend IP address) usaremos (puesto que un equilibrador de
carga puede tener más de una), el protocolo (Protocol) y la asignación de
puerto (Port) (el tráfico del puerto entrante se reenviará al puerto de back-
end [Backend port]):
[ 136 ]
Capítulo 8
4. En la segunda parte de la hoja, tenemos que proporcionar información para

la configuración de grupo de back-end (Backend pool), sondeo de estado
(Health probe), persistencia de la sesión (Session persistence), tiempo de
espera de inactividad (minutos) (Idle timeout (minutos)) y si deseamos
utilizar una IP flotante:
[ 137 ]
Funcionamiento
La regla del equilibrador de carga es la pieza final que une todos los componentes.
Definimos qué dirección IP de front-end se usa y a qué back-end se reenviará el
tráfico del grupo. El sondeo de estado se asigna para supervisar los puntos de
conexión en el grupo de back-end y para realizar un seguimiento de si hay puntos
de conexión que no responden. También creamos una asignación de puertos que
determinará en qué protocolo y en qué puerto escuchará el equilibrador de carga y,
cuando llegue el tráfico, adónde se reenviará este tráfico.
Crear reglas NAT de entrada

Las reglas entrantes de Traducción de direcciones de red (NAT) son ajustes
opcionales en el equilibrador de carga de Azure. Estas reglas crean esencialmente
otra asignación de puertos desde el front-end hasta el back-end y reenvían el tráfico
a través de un puerto específico en el front-end hasta un puerto específico en el back-
end. La diferencia entre las reglas NAT de entrada y la asignación de puertos en
las reglas del equilibrador de carga es que las reglas NAT de entrada se aplican al
reenvío directo a una VM, mientras que las reglas del equilibrador de carga reenvían
el tráfico a un grupo de back-end.
Preparación
Procedimiento
Para crear una regla NAT de entrada, se debe hacer lo siguiente:

(Configuración), seleccione Inbound NAT rules (Reglas NAT de entrada).
Seleccione Add (Agregar) para agregar una nueva regla NAT de entrada:
[ 138 ]
Capítulo 8
3. En la nueva hoja, tenemos que proporcionar detalles para los campos

Name (Nombre), Frontend IP address (Dirección IP de front-end), Service
(Servicio), Protocol (Protocolo) y Port (Puerto):
[ 139 ]
4. En el siguiente conjunto de opciones, es necesario establecer una asociación

y seleccionar una VM de esa asociación. Tenga en cuenta que desde un
conjunto de disponibilidad asociado, solo puede seleccionar una VM. Por
último, puede seleccionar la asignación de puertos predeterminada (Default)
o personalizada (Custom):
Funcionamiento
Las reglas NAT de entrada crean una asignación de puertos similar a la creada con
la regla del equilibrador de carga. La regla del equilibrador de carga crea ajustes
adicionales, como el sondeo de estado o la persistencia de la sesión. Las reglas NAT
de entrada excluyen estos ajustes y crean una asignación incondicional desde el
front-end hasta el back-end. Otra diferencia es que la regla NAT de entrada reenvía
el tráfico directamente a una sola VM, mientras que una regla de equilibrador de
carga reenvía el tráfico al back-end. Con la regla NAT de entrada, el tráfico reenviado
siempre llegará al único servidor en el back-end, mientras que el equilibrador
de carga reenviará el tráfico al grupo de back-end y finalizará aleatoriamente en
cualquiera de los servidores del grupo de back-end.
[ 140 ]
Traffic Manager
Un equilibrador de carga de Azure se limita a proporcionar alta disponibilidad y
escalabilidad solo a las máquinas virtuales de Azure. Además, un único equilibrador
de carga se limita a las VM de una sola región de Azure. Si queremos proporcionar
lo mismo a otros servicios de Azure distribuidos globalmente, debemos introducir
un componente nuevo: Azure Traffic Manager. Azure Traffic Manager se basa en
DNS y proporciona la capacidad de distribuir el tráfico a través de los servicios y
difundirlo en las regiones de Azure. Sin embargo, Traffic Manager no se limita a los
servicios de Azure. También podemos agregar puntos de conexión externos.
• Crear un nuevo perfil de Traffic Manager

• Agregar un punto de conexión
• Configurar el tráfico distribuido
• Configurar el tráfico en función de la prioridad
• Configurar el tráfico en función de la ubicación geográfica
• Administrar puntos de conexión
• Administrar perfiles
• Configurar Traffic Manager con equilibradores de carga
[ 141 ]
Traffic Manager
Crear un nuevo perfil de Traffic Manager

Traffic Manager proporciona equilibrio de carga a los servicios, pero el tráfico se
enruta y se dirige mediante entradas DNS. El front-end es un Nombre de dominio
completo (FQDN) asignado durante la creación y todo el tráfico que va a Traffic
Manager se distribuye a puntos de conexión en el back-end. En esta tarea, crearemos
un nuevo perfil de Traffic Manager.
Preparación
Procedimiento
Para crear un nuevo perfil de Traffic Manager, se debe hacer lo siguiente:
luego, Traffic Manager en los servicios de Networking (Redes) (o busque
Traffic Manager en la barra de búsqueda).
2. En la nueva hoja, debemos proporcionar información en los campos Name
(Nombre), Routing method (Método de enrutamiento), Subscription
(Suscripción) y Resource group (Grupo de recursos):
[ 142 ]
Capítulo 9
3. Tenga en cuenta que en Routing method(Método de enrutamiento), tenemos

muchas opciones entre las cuales elegir: Performance (Rendimiento), Weighted
(Ponderado), Priority (Prioridad), Geographic (Geográfico), MultiValue
(Multivalor) y Subnet (Subred). En esta tarea, usaremos la opción predeterminada
(Performance), pero abordaremos el resto en otras tareas de este capítulo:
Funcionamiento
Traffic Manager tiene asignado un punto de conexión público que debe ser un
FQDN. Todo el tráfico que llega a ese punto de conexión se distribuirá a los puntos de
conexión en el back-end, a través del método de enrutamiento definido. El método de
enrutamiento predeterminado es el rendimiento. El método de rendimiento distribuirá
el tráfico en función del mejor rendimiento posible disponible. Por ejemplo, si tenemos
más de un punto de conexión de back-end en la misma región, el tráfico se difundirá
uniformemente. Si los puntos de conexión se encuentran en diferentes regiones, Traffic
Manager dirigirá el tráfico al punto de conexión más cercano al tráfico entrante en
términos de ubicación geográfica y latencia de red mínima.
Agregar un punto de conexión

Después de crear un perfil de Traffic Manager, tenemos definidos el punto de
conexión de front-end y el método de enrutamiento. Pero aún tenemos que definir
adónde debe ir el tráfico después de que llegue a Traffic Manager. Necesitamos
agregar puntos de conexión al back-end y definir hacia dónde se dirige el tráfico.
En esta tarea, agregaremos un nuevo punto de conexión a Traffic Manager.
[ 143 ]
Traffic Manager
Preparación
Procedimiento
Para agregar puntos de conexión a Traffic Manager, se debe hacer lo siguiente:
1. En el portal de Azure, busque el perfil de Traffic Manager creado

anteriormente.
2. En la hoja Traffic Manager, en Settings (Configuración), seleccione
Endpoints (Puntos de conexión). Seleccione Add (Agregar) para agregar un
nuevo punto de conexión:
[ 144 ]
Capítulo 9
3. En la nueva hoja, tenemos que proporcionar información para el tipo (Type)

de punto de conexión que estamos agregando y el nombre (Name). Según el
tipo, podemos seleccionar ciertos tipos de recursos de destino y, en función
de nuestra selección, podemos seleccionar recursos que se ajusten al tipo de
recurso de destino seleccionado:
[ 145 ]
Traffic Manager
4. Agregar un único punto de conexión solo funcionará como una redirección

de un FQDN a otro. Necesitamos repetir el proceso al menos una vez más y
agregar, por lo menos, un punto de conexión adicional:
5. Todos los puntos de conexión agregados aparecerán en la lista de puntos de

conexión en la sección Endpoints (Puntos de conexión) en la sección Settings
(Configuración) de Traffic Manager:
[ 146 ]
Capítulo 9
Funcionamiento
Las solicitudes entrantes llegan a Traffic Manager accediendo al punto de conexión
de front-end de Traffic Manager. Según las reglas (principalmente el método
de enrutamiento), el tráfico se reenvía a los puntos de conexión de back-end. El
equilibrador de carga funciona reenviando tráfico a direcciones IP privadas. Por otro
lado, Traffic Manager usa puntos de conexión públicos en el back-end. Los tipos de
punto de conexión admitidos son Azure, externo y anidado. En función de un tipo
de punto de conexión, podemos agregar puntos de conexión de Azure o externos.
Los puntos de conexión pueden ser FQDN (públicos) o direcciones IP públicas. Los
puntos de conexión anidados nos permiten agregar otros perfiles de Traffic Manager
al back-end de Traffic Manager.
Configurar el tráfico distribuido

El método de enrutamiento predeterminado para Traffic Manager es el rendimiento.
El método de rendimiento distribuirá el tráfico en función del mejor rendimiento
posible disponible. Este método solo tiene pleno efecto si tenemos varias instancias
de un servicio en varias regiones. Como con frecuencia este no es el caso, están
disponibles otros métodos, como el tráfico distribuido o el método de enrutamiento
ponderado. En esta tarea, configuraremos Traffic Manager para que funcione en
modo distribuido.
Preparación
[ 147 ]
Traffic Manager
Procedimiento
Para establecer el tráfico distribuido, se debe hacer lo siguiente:
1. En el portal de Azure, busque el perfil de Traffic Manager creado anteriormente.

2. En Settings (Configuración), seleccione la opción Configuration
(Configuración). Aquí, tenemos varias opciones que podemos cambiar,
como DNS time to live (TTL) (Tiempo de vida [TTL] de DNS), Protocol
(Protocolo) y la configuración de conmutación por error:
[ 148 ]
Capítulo 9
3. Cambie Routing method (Método de enrutamiento) a Weighted

(Ponderado), como se muestra en la siguiente captura de pantalla.
Además, podemos configurar ajustes de ponderación si es necesario:
Funcionamiento
El método de enrutamiento ponderado distribuirá el tráfico de forma uniforme en
todos los puntos de conexión en el back-end. Podemos establecer aún más ajustes de
ponderación para dar una ventaja a un determinado punto de conexión y determinar
que algunos puntos de conexión reciban un mayor o un menor porcentaje del tráfico.
Este método se utiliza por lo general cuando tenemos varias instancias de una aplicación
en la misma región, o para escalar horizontalmente a fin de aumentar el rendimiento.
Configurar el tráfico en función de la

prioridad
Otro método de enrutamiento disponible es la prioridad. La prioridad, como su nombre
lo indica, da prioridad a algunos puntos de conexión, mientras que otros se mantienen
como copias de seguridad. Los puntos de conexión de copia de seguridad solo se
utilizan si los puntos de conexión con prioridad no están disponibles. En esta tarea,
configuraremos Traffic Manager para enrutar el tráfico en función de la prioridad.
[ 149 ]
Traffic Manager
Preparación
Procedimiento
Para establecer el campo Routing method (Método de enrutamiento) en Priority
(Prioridad), se debe hacer lo siguiente:

anteriormente.
(Configuración).
3. Cambie Routing method (Método de enrutamiento) a Priority (Prioridad),
como se muestra en la siguiente captura de pantalla:
[ 150 ]
Capítulo 9
Funcionamiento
La prioridad define un orden de prioridad para los puntos de conexión. Todo el
tráfico irá primero a los puntos de conexión con la prioridad más alta. Se realiza una
copia de seguridad de los otros puntos de conexión (con menor prioridad) y el tráfico
se enruta a estos puntos de conexión solo cuando los puntos de conexión de mayor
prioridad no están disponibles. El orden de prioridad predeterminado es el orden
en el que se agregan los puntos de conexión a Traffic Manager. Es decir, el punto de
conexión que se agrega primero se convierte en el que tiene la prioridad más alta y
el punto de conexión que se agrega al último pasa a ser el punto de conexión con la
prioridad menor. La prioridad se puede cambiar en la configuración del punto de
conexión.
Configurar el tráfico en función de la

ubicación geográfica
La ubicación geográfica es otro método de enrutamiento en Traffic Manager. Este
método se basa en la latencia de red y dirige una solicitud en función de la ubicación
geográfica del origen y el punto de conexión. Cuando una solicitud llega a Traffic
Manager, en función del origen de la solicitud, se enruta al punto de conexión más
cercano en términos de región. De esta manera, proporciona la menor latencia de
red posible. En esta tarea, configuraremos Traffic Manager para enrutar el tráfico
en función de la ubicación geográfica.
Preparación
Procedimiento
Para establecer el método de enrutamiento en la ubicación geográfica, siga estos pasos:

anteriormente.
(Configuración).
[ 151 ]
Traffic Manager
3. Cambie Routing method (Método de enrutamiento) a Geographic

(Geográfico), como se muestra en la siguiente captura de pantalla:
Funcionamiento
El método de enrutamiento geográfico hace que el origen de la solicitud coincida con
el punto de conexión más cercano en términos de ubicación geográfica.
Por ejemplo, supongamos que tenemos varios puntos de conexión, cada uno en
diferentes continentes. Si una solicitud proviene de Europa, no tendría sentido
enrutarla a Asia o América del Norte. El método de enrutamiento geográfico se
asegurará de que las solicitudes procedentes de Europa se dirijan al punto de
conexión ubicado en Europa.
[ 152 ]
Capítulo 9
Administrar puntos de conexión

Después de agregar puntos de conexión a Traffic Manager, es posible que tengamos
que realizar cambios con el tiempo. Puede ser necesario realizar ajustes o eliminar
completamente los puntos de conexión. En esta tarea, editaremos los puntos de
conexión existentes de Traffic Manager.
Preparación
Procedimiento
Para hacer cambios a los puntos de conexión en Traffic Manager, siga estos pasos:

anteriormente.
2. En Settings (Configuración), seleccione Endpoints (Puntos de conexión). En
la lista que aparece, seleccione el punto de conexión que desea cambiar:
[ 153 ]
Traffic Manager
3. En la nueva hoja, podemos eliminar, deshabilitar o realizar ajustes al punto

de conexión:
Funcionamiento
El punto de conexión existente en el back-end de Traffic Manager se puede cambiar.
Podemos eliminar el punto de conexión para quitarlo completamente de Traffic
Manager, o podemos deshabilitarlo para quitarlo de forma temporal del back-end.
También podemos cambiar el punto de conexión por completo, para que se dirija
a otro servicio o a un tipo totalmente diferente.
Administrar perfiles
El perfil de Traffic Manager es otra configuración que podemos administrar y ajustar.
Aunque tiene opciones muy limitadas, en que solo podemos deshabilitar y habilitar
Traffic Manager, la administración de la configuración del perfil puede ser muy útil
para fines de mantenimiento. En esta tarea, administraremos nuestro perfil de
Traffic Manager.
[ 154 ]
Capítulo 9
Preparación
portal.azure.com.
Procedimiento
Para hacer cambios al perfil de Traffic Manager, siga estos pasos:

anteriormente.
2. En Overview (Información general), seleccione la opción Disable profile
(Deshabilitar perfil) y confirme:
3. Una vez que se deshabilita el perfil, se puede habilitar de nuevo con la

opción Enable profile (Habilitar perfil):
[ 155 ]
Traffic Manager
Funcionamiento
Administrar el perfil de Traffic Manager con las opciones de deshabilitar y habilitar
hará que el front-end de Traffic Manager no esté disponible o esté disponible (según
la opción seleccionada). Esto puede ser muy útil para fines de mantenimiento. Si
tenemos que aplicar cambios en todos los puntos de conexión y los cambios deben
aplicarse a todos los puntos de conexión al mismo tiempo, podemos deshabilitar el
perfil de Traffic Manager temporalmente. Una vez que los cambios se apliquen a
todos los puntos de conexión, podemos habilitar el perfil para que Traffic Manager
esté disponible de nuevo.
Configurar Traffic Manager con

equilibradores de carga
A menudo, se combina Traffic Manager con equilibradores de carga para ofrecer
la máxima disponibilidad. Los equilibradores de carga se limitan a proporcionar
alta disponibilidad a un conjunto de recursos ubicados en la misma región. Esto
constituye una ventaja si se produce un error en un solo recurso, puesto que tenemos
varias instancias de él. Pero, ¿qué sucede si falla una región completa? Los equilibradores
de carga no pueden controlar recursos en varias regiones, pero podemos combinar
equilibradores de carga con Traffic Manager para proporcionar una mayor
disponibilidad con los recursos de todas las regiones de Azure. En esta tarea,
configuraremos Traffic Manager para que funcione con equilibradores de carga.
Preparación
Procedimiento
Para configurar Traffic Manager con un equilibrador de carga, se debe hacer
lo siguiente:
1. En el portal de Azure, busque el equilibrador de carga y compruebe que tiene

la dirección IP asignada. Solo se pueden utilizar direcciones IP públicas:
[ 156 ]
Capítulo 9
2. Vaya a Traffic Manager y seleccione Add (Agregar) para agregar un nuevo

punto de conexión. Seleccione Azure endpoint (Punto de conexión de Azure)
como el tipo (Type), proporcione un nombre para el punto de conexión y
seleccione Public IP address (Dirección IP pública) como el tipo de recurso
de destino. En Target resource (Recurso de destino), seleccione la dirección
IP pública asociada al equilibrador de carga:
3. Repita el proceso y agregue otro equilibrador de carga (desde otra región)

como punto de conexión de Traffic Manager.
[ 157 ]
Traffic Manager
Funcionamiento
Los equilibradores de carga proporcionan una mejor disponibilidad alta, gracias
a que mantienen un servicio activo, aunque se produzca un error en uno de
los servicios del grupo de back-end. Si se produce un error en una región, los
equilibradores de carga no pueden proporcionar ayuda porque se limitan a una
sola región. Tenemos que proporcionar otro conjunto de recursos en otra región
para aumentar realmente la disponibilidad, pero estos conjuntos serán por completo
independientes y no brindarán conmutación por error a menos que incluyamos
a Traffic Manager. Traffic Manager se convertirá en el front-end y agregaremos
equilibradores de carga como los puntos de conexión de back-end de Traffic
Manager. Todas las solicitudes llegarán primero a Traffic Manager y, a continuación,
se enrutarán al equilibrador de carga adecuado en el back-end. Traffic Manager
supervisará el estado de los equilibradores de carga y, si uno de ellos no está
disponible, el tráfico se redirigirá a un equilibrador de carga activo.
[ 158 ]
Azure Application Gateway
Azure Application Gateway es esencialmente un equilibrador de carga para el tráfico
web, pero también le proporciona un mejor control del tráfico. Los equilibradores
de carga clásicos operan en la capa de transporte y le permiten enrutar el tráfico
en función del protocolo (TCP o UDP) y la dirección IP, mediante la asignación
de direcciones IP y protocolos en el front-end a direcciones IP y protocolos en el
back-end. Azure Application Gateway amplía esta característica y nos permite usar
direcciones URL y rutas de acceso para determinar adónde debe ir el tráfico. Por
ejemplo, podemos tener varios servidores optimizados para diferentes cosas. Si uno
de nuestros servidores está optimizado para video, todas las solicitudes de video
deben enrutarse a ese servidor específico en función de la solicitud de URL entrante.
• Crear un nuevo gateway de aplicación

• Configurar el grupo de back-end
• Crear configuración HTTP
• Crear un agente de escucha
• Crear una regla
• Crear un sondeo
• Configurar un Firewall de aplicaciones web (WAF)
• Personalizar reglas de WAF
[ 159 ]
Crear un nuevo gateway de aplicación

Azure Application Gateway se puede usar como un equilibrador de carga simple
para realizar la distribución de tráfico desde el front-end hasta el back-end en
función de protocolos y puertos. Pero también puede ampliar esa función y realizar
enrutamiento adicional basado en direcciones URL y rutas de acceso. Esto nos
permite tener grupos de recursos basados en roles y también nos permite optimizar
el rendimiento específico. El uso de estas opciones y la realización de enrutamiento
basado en el contexto aumentarán el rendimiento de la aplicación, además de
proporcionar una alta disponibilidad. Por supuesto, en este caso, necesitamos tener
varios recursos para cada tipo de rendimiento en cada grupo de back-end (cada tipo
de rendimiento solicita un grupo de back-end independiente).
Preparación
Procedimiento
Para crear un nuevo gateway de aplicación, siga estos pasos:

y, luego, Application Gateway (Gateway de aplicación) en los servicios
de Networking (Redes) (o busque application gateway [gateway de
aplicación] en la barra de búsqueda).
[ 160 ]
Capítulo 10
2. En la nueva hoja, tenemos que proporcionar información en los campos

Name (Nombre), Tier (Nivel), Instance count (Recuento de instancias), SKU
size (Tamaño de SKU), Subscription (Suscripción), Resource group (Grupo
de recursos) y Location (Ubicación). Tenga en cuenta que la red virtual y la
dirección IP pública (asociadas al gateway de aplicación) deben estar en la
misma región que el gateway de aplicación:
[ 161 ]
3. En Settings (Configuración), tenemos que seleccionar la red virtual (Virtual

network) que se asociará con nuestro gateway de aplicación. Se limitará a las
redes virtuales que se encuentran en la región seleccionada para el gateway
de aplicación:
4. En función de su selección de la red virtual, también proporcionaremos una

subred (Subnet) de la red virtual asociada al gateway de aplicación. Además
de esto, debemos proporcionar información para la dirección IP de front-end
(seleccione el tipo de dirección pública o privada). Si el campo IP address
type (Tipo de dirección IP) está definido como Public (Público), aparecerá
un conjunto de opciones nuevo cuando necesitemos definir si deseamos usar
una dirección IP nueva o existente, además de definir una SKU y una DNS
name label (Etiqueta de nombre DNS) para la dirección IP pública, como se
muestra en la siguiente captura de pantalla:
[ 162 ]
Capítulo 10
[ 163 ]
5. Por último, tenemos que definir el agente de escucha predeterminado. Para el

agente de escucha, debemos seleccionar si usaremos HTTP o HTTPS, asignar
el puerto (Port) y habilitar o deshabilitar HTTP2 (la opción predeterminada
es Disabled [Deshabilitada]). Tenga en cuenta que la configuración del
firewall solo está disponible cuando la SKU del gateway de aplicación se
define como WAF:
6. Por último, se muestra un resumen, donde podemos comprobar la

configuración una vez más antes de que se inicie la implementación:
[ 164 ]
Capítulo 10
Funcionamiento
Azure Application Gateway es muy similar a los equilibradores de carga, con
algunas opciones adicionales. Enrutará el tráfico que llegue al front-end del gateway
de aplicación a un back-end definido, en función de las reglas que especifiquemos.
Además del enrutamiento basado en el protocolo y el puerto, el gateway de
aplicación también permite el enrutamiento definido basado en la URL y el tipo de
solicitud. Con estas reglas adicionales, podemos enrutar las solicitudes entrantes a
los puntos de conexión optimizados para algunos roles. Por ejemplo, podemos tener
varios grupos de back-end con diferentes configuraciones que están optimizadas
para realizar solo tareas específicas. En función de las solicitudes entrantes, el
gateway de aplicación enrutará la solicitud al grupo de back-end adecuado. Este
enfoque, además de una alta disponibilidad, proporcionará un mejor rendimiento
mediante el enrutamiento de cada solicitud a un grupo de back-end que procesará la
solicitud de una manera más optimizada.
Configurar el grupo de back-end

Después de crear el gateway de aplicación, debemos definir grupos de back-end. El
tráfico que llega al front-end del gateway de aplicación se reenviará a los grupos de
back-end. Los grupos de back-end en los gateways de aplicación son los mismos que
los grupos de back-end de los equilibradores de carga y se definen como posibles
destinos en que el tráfico se enrutará en función de otras opciones de configuración
que se agregarán en las tareas que aparecen más adelante en este capítulo.
[ 165 ]
Preparación
Procedimiento
Para agregar grupos de back-end al gateway de aplicación, siga estos pasos:
1. En el portal de Azure, busque el gateway de aplicación creado anteriormente.

2. En la hoja Application gateway (Gateway de aplicación), en Settings
(Configuración), seleccione Backend pools (Grupos de back-end). Seleccione
Add (Agregar) para agregar un nuevo grupo de back-end:
3. En la nueva hoja, debemos proporcionar el nombre del grupo de back-end

y el tipo de destino. Los tipos disponibles son máquinas virtuales, conjuntos
de escalado de máquinas virtuales, servicios de aplicación y direcciones IP/
FQDN. En función del tipo que elija, puede agregar destinos apropiados:
[ 166 ]
Capítulo 10
Funcionamiento
Con los grupos de back-end, definimos los destinos a los que se reenviará el tráfico.
Como el gateway de aplicación nos permite definir el enrutamiento por tipo de
solicitud, es mejor tener destinos basados en el rendimiento y tipos agrupados de la
misma manera. Por ejemplo, si tenemos varios servidores web, estos deben colocarse
en el mismo grupo de back-end. Los servidores que se utilizan para procesamiento
de datos deben colocarse en un grupo independiente y los servidores que se usan
para videos en otro grupo distinto. De esta manera, podemos separar los grupos en
función de los tipos de rendimiento y enrutar el tráfico en función de las operaciones
que deben completarse.
Esto aumentará el rendimiento de nuestra aplicación, puesto que cada solicitud se

procesará según el recurso que mejor se adapte a una tarea específica. Para lograr
una alta disponibilidad, debemos agregar más servidores a cada grupo de back-end.
[ 167 ]
Crear configuración HTTP

La configuración HTTP en los gateways de aplicación se utiliza para validación y
varios ajustes de tráfico. Su propósito principal es asegurarse de que la solicitud se
dirija al grupo de back-end adecuado. También se incluyen algunos otros parámetros
de configuración HTTP, como la afinidad y la purga de conexión. La configuración
de anulación también forma parte de la configuración HTTP que le permitirá forzar
la redirección si se envía una solicitud incompleta o incorrecta.
Preparación
Procedimiento
Para agregar una configuración HTTP al gateway de aplicación, siga estos pasos:
(Configuración), seleccione HTTP settings (Configuración HTTP). Seleccione
Add (Agregar) para agregar una nueva configuración HTTP:
[ 168 ]
Capítulo 10
3. En la nueva hoja, primero es necesario proporcionar un Nombre. Las

siguientes opciones nos permiten deshabilitar o habilitar opciones como
Cookie based affinity (Afinidad basada en cookies) y Connection draining
(Purga de conexión). Además, seleccionamos nuestro protocolo (Protocol),
puerto (Port) y el período de tiempo de espera de solicitud (segundos)
(Request timeout (seconds)). La configuración opcional incluye usarla para
el servicio de aplicaciones o sondeos personalizados, o para elegir un nombre
de host del grupo de direcciones de back-end. Los valores de configuración de
anulación que se ofrecen son Override backend path (Reemplazar la ruta de
acceso del back-end) y Override host name (Reemplazar el nombre del host):
[ 169 ]
Funcionamiento
Como se mencionó anteriormente, el propósito principal de la configuración HTTP
es garantizar que las solicitudes se dirijan al grupo de back-end correcto. Pero hay
muchas otras opciones disponibles. La afinidad basada en cookies nos permite
enrutar las solicitudes desde el origen hasta el servidor de destino en el grupo
de back-end. La purga de conexión controlará cómo se puede quitar el servidor
del grupo de back-end. Si esta opción está habilitada, el servidor solo se puede
quitar cuando se hayan detenido todas las conexiones activas. La configuración de
anulación nos permite reemplazar la ruta de acceso de la dirección URL con una ruta
diferente o un dominio completamente nuevo, antes de reenviar la solicitud al grupo
de back-end.
Crear un agente de escucha

Los agentes de escucha del gateway de aplicación escuchan las solicitudes entrantes.
Una vez que se detecta una nueva solicitud, esta se reenvía al grupo de back-end en
función de las reglas y la configuración que definimos.
Preparación
portal.azure.com.
Procedimiento
Para agregar un agente de escucha al gateway de aplicación, tenemos que hacer lo
siguiente:

(Configuración), seleccione Listeners (Agentes de escucha), luego, seleccione
Basic (Básico) para agregar un agente de escucha nuevo:
[ 170 ]
Capítulo 10
3. En la nueva hoja, necesitamos proporcionar un nombre para el agente de

escucha, seleccione la configuración IP de front-end (Frontend IP configuration)
y proporcione un puerto (Port) y un protocolo (Protocol) que se supervisarán:
[ 171 ]
Funcionamiento
Un agente de escucha supervisa nuevas solicitudes que llegan al gateway de
aplicación. Cada agente de escucha supervisa solo una dirección IP de front-end y
solo un puerto. Si tenemos varias direcciones IP de front-end y tráfico que vienen a
través de varios protocolos y puertos, debemos crear un agente de escucha para cada
dirección IP y cada puerto al que el tráfico puede estar llegando.
Crear una regla

Las reglas en los gateways de aplicación se utilizan para determinar cómo fluye el
tráfico. En función de diferentes configuraciones, podemos determinar adónde se
reenvía una solicitud específica y cómo se hace esto.
Preparación
Procedimiento
Para agregar una regla al gateway de aplicación, siga estos pasos:

(Configuración), seleccione Rules (Reglas). Seleccione Basic (Básica) para
agregar una nueva regla:
[ 172 ]
Capítulo 10
3. En la nueva hoja, debemos proporcionar un nombre para la regla nueva y

seleccionar el agente de escucha (Listener), el grupo de back-end (Backend
pool) y la configuración HTTP (HTTP setting), como se muestra en la
siguiente captura de pantalla:
Funcionamiento
Con reglas, podemos unir algunos parámetros de configuración creados
previamente. Definimos un agente de escucha que especifica la solicitud que
esperamos, la dirección IP y el puerto. A continuación, estas solicitudes se reenvían
al grupo de back-end. El reenvío se realiza en función de la configuración HTTP.
Opcionalmente, también podemos agregar redirección a las reglas.
Crear un sondeo
En Azure Application Gateway, se utilizan sondeos para supervisar el estado de
los puntos de conexión de back-end. Se supervisa cada punto de conexión y, si se
descubre que no está en buen estado, se saca temporalmente del grupo. Una vez
que el estado cambia, se agrega de nuevo al grupo. Esto impide que las solicitudes
se envíen a puntos de conexión que no están en buen estado y que es posible que no
resuelvan la solicitud.
[ 173 ]
Preparación
Procedimiento
Para agregar un sondeo al gateway de aplicación, siga estos pasos:

(Configuración), seleccione Health probes (Sondas de estado). Seleccione
Add (Agregar) para agregar el sondeo nuevo:
3. En la nueva hoja, debemos proporcionar el nombre (Name) del sondeo,

además del protocolo (Protocol), el host (Host) y la ruta (Path). También
debemos establecer el intervalo (Interval), el tiempo de espera (Timeout)
y el umbral de estado incorrecto (Unhealthy threshold):
[ 174 ]
Capítulo 10
Funcionamiento
El protocolo, el host y la ruta definen qué sondeo se supervisará. El intervalo define
la frecuencia con la que se realizarán las comprobaciones. El tiempo de espera
define cuánto tiempo debe pasar antes de que se declare que la comprobación
falló. Por último, el umbral de estado incorrecto se usa para establecer cuántas
comprobaciones erróneas deben producirse antes de que el punto de conexión se
declare no disponible.
[ 175 ]
Configurar un Firewall de aplicaciones web

(WAF)
WAF es una configuración adicional para el gateway de aplicación. Se usa para
aumentar la seguridad de las aplicaciones detrás del gateway de aplicación y,
además, proporciona una protección centralizada.
Preparación
Para habilitar WAF, debemos establecer el gateway de aplicación en el nivel WAF.
Para hacerlo, siga estos pasos:
1. En la hoja Application gateway (Gateway de aplicación), vaya a

Configuration (Configuración), en Settings (Configuración), como se
muestra en la siguiente captura de pantalla:
2. Cambie la selección de Tier (Nivel) de Standard (Estándar) a WAF. Haga clic

en el botón Save (Guardar):
[ 176 ]
Capítulo 10
Procedimiento
Después de que el gateway de aplicación se define en WAF, podemos habilitar
y establecer las reglas de firewall. Para hacerlo, siga estos pasos:
1. En la hoja Application gateway (Gateway de aplicación), vaya a Web

application firewall (Firewall de aplicaciones web), en Settings (Configuración):
[ 177 ]
2. Después de establecer Firewall status (Estado de firewall) en Enabled

(Habilitado), aparecerá un nuevo conjunto de opciones:
3. Debemos seleccionar un modo de firewall (Firewall mode), la lista de exclusión

y especificar los parámetros globales (Global parameters) de la siguiente forma:
[ 178 ]
Capítulo 10
Funcionamiento
La función WAF aumenta la seguridad mediante la comprobación de todo el tráfico
entrante. Como esto puede hacer que el rendimiento sea más lento, podemos excluir
algunos elementos. Los elementos excluidos no se comprobarán. El WAF puede
funcionar en dos modos: detección y prevención. La detección solo detectará si se envía
una solicitud malintencionada, en tanto que la prevención detendrá dicha solicitud.
Personalizar reglas de WAF

El WAF viene con un conjunto predeterminado de reglas. Estas reglas se aplican para
aumentar la seguridad de las aplicaciones y evitar solicitudes malintencionadas. Podemos
cambiar estas reglas para abordar problemas o requisitos específicos según sea necesario.
Preparación
Procedimiento
Para cambiar las reglas de WAF, se debe hacer lo siguiente:
1. Seleccione Web application firewall (Firewall de aplicaciones web), en Settings

(Configuración), en la hoja Application gateway (Gateway de aplicación).
2. Seleccione Rules (Reglas) en la configuración de WAF. Establezca Advanced
rule configuration (Configuración de reglas avanzadas) en Enabled
(Habilitada), como se muestra en la siguiente pantalla:
[ 179 ]
3. Las reglas aparecerán en una lista. Podemos activar o desactivar las casillas
para habilitar o deshabilitar las reglas:
Funcionamiento
El WAF viene con todas las reglas activadas de forma predeterminada. Esto puede
hacer que el rendimiento sea más lento, por lo que podemos deshabilitar algunas de
las reglas si es necesario. Además, hay dos conjuntos de reglas disponibles: OWASP
2.2.9 y OWASP 3.0. El conjunto de reglas predeterminado es OWASP 3.0, pero
podemos cambiar entre conjuntos de reglas según nuestros requisitos.
[ 180 ]
Azure Firewall
La mayoría de los componentes de red de Azure que se usan para la seguridad
están ahí para detener el tráfico entrante no deseado. Ya sea que usemos grupos de
seguridad de red, grupos de seguridad de aplicaciones o un firewall de aplicaciones
web, todos tienen un único propósito: detener el tráfico no deseado que llega a
nuestros servicios. Azure Firewall tiene una funcionalidad similar, incluida una
extensión que podemos usar para impedir que el tráfico saliente deje la red virtual.
• Crear un nuevo Azure Firewall

• Configurar una nueva regla de permiso
• Configurar una nueva regla de denegación
• Configurar una tabla de rutas
• Habilitar registros de diagnóstico para Azure Firewall


[ 181 ]
Azure Firewall
Crear un nuevo Azure Firewall

Azure Firewall nos permite tener un control total sobre nuestro tráfico. Además
de controlar el tráfico entrante, con Azure Firewall, también podemos controlar
el tráfico saliente.
Preparación
Antes de poder crear una instancia de Azure Firewall, debemos preparar la subred.
A fin de crear una nueva subred para Azure Firewall, siga estos pasos:
1. Busque la red virtual que se asociará con la instancia de Azure Firewall.

2. Seleccione la opción Subnets (Subredes) en Settings (Configuración)
y seleccione la opción para agregar una subred nueva, tal como se muestra
en la siguiente captura de pantalla:
3. En la nueva hoja, debe proporcionar el nombre (Name) y el intervalo de

direcciones (Address range). Es muy importante que el nombre de la subred
sea AzureFirewallSubnet:
[ 182 ]
Capítulo 11
Procedimiento
Para crear una nueva instancia de Azure Firewall con el portal de Azure, siga estos
pasos:

y elija Azure Firewall en servicios de Networking (Redes) (o busque
Azure Firewall en la barra de búsqueda).
[ 183 ]
Azure Firewall
2. En la primera hoja, primero debemos proporcionar valores para los menús

desplegables Subscription (Suscripción) y Resource group (Grupo de recursos).
Tenemos que completar los campos Name (Nombre) y Region (Región) para
Azure Firewall, como se muestra en la siguiente captura de pantalla:
3. A continuación, pasaremos a seleccionar la red virtual. Solo están

disponibles redes virtuales en la región donde se creará la instancia
de Azure Firewall. Además, la red virtual seleccionada debe contener
la subred AzureFirewallSubnet que creamos antes. El último paso es
definir una dirección IP pública (Public IP address), como se muestra
en la siguiente captura de pantalla:
[ 184 ]
Capítulo 11
Funcionamiento
Azure Firewall utiliza un conjunto de reglas para controlar el tráfico saliente.
Podemos bloquear todo de forma predeterminada y permitir solo el tráfico de la lista
de permitidos, o podemos permitir todo y bloquear solo el tráfico de la lista negra.
Configurar una nueva regla de permiso

Si queremos permitir tráfico específico, debemos crear una regla de permiso. Las
reglas se aplican en función del nivel de prioridad, por lo que una regla solo se
aplicará cuando no haya ninguna otra regla con mayor prioridad.
Preparación
de Azure.
Procedimiento
Para crear una nueva regla de permiso en Azure Firewall, ejecute el siguiente comando:
$RG="Packt-Networking-Portal"
$Location="West Europe"
$Azfw = Get-AzureRmFirewall -ResourceGroupName $RG
$Rule = New-AzureRmFirewallApplicationRule -Name Rule1 -Protocol
"http:80","https:443" -TargetFqdn "*packt.com"
$RuleCollection = New-AzureRmFirewallApplicationRuleCollection -Name
RuleCollection1 -Priority 100 -Rule $Rule -ActionType "Allow"
$Azfw.ApplicationRuleCollections = $RuleCollection
Set-AzureRmFirewall -AzureFirewall $Azfw
Funcionamiento
Una regla de permiso en Azure Firewall incluirá tráfico específico en la lista blanca.
Si hay una regla que también bloquearía este tráfico, se aplicará la regla de mayor
prioridad.
Configurar una nueva regla de

denegación
Si queremos denegar tráfico específico, debemos crear una regla de denegación.
Las reglas se aplican por prioridad, por lo que esta regla solo se aplicará si no hay
una regla de mayor prioridad en vigor.
[ 185 ]
Azure Firewall
Preparación
de Azure.
Procedimiento
Para crear una nueva regla de denegación en Azure Firewall, ejecute el siguiente
comando:
$Rule = New-AzureRmFirewallApplicationRule -Name Rule1 -Protocol
"http:80","https:443" -TargetFqdn "*google.com"
$RuleCollection = New-AzureRmFirewallApplicationRuleCollection -Name
RuleCollection1 -Priority 100 -Rule $Rule -ActionType "Deny"
$Azfw.ApplicationRuleCollections = $RuleCollection
Set-AzureRmFirewall -AzureFirewall $Azfw
Funcionamiento
La regla de denegación es la opción más utilizada con Azure Firewall. Un enfoque
en el que se bloquea todo y solo se permite el tráfico de la lista blanca no es muy
práctico, puesto que podemos terminar agregando demasiadas reglas de permiso.
Por lo tanto, el enfoque más común es usar reglas de denegación para bloquear
tráfico que queremos evitar.
Configurar una tabla de rutas

Las tablas de rutas se usan normalmente con Azure Firewall cuando hay
conectividad cruzada. La conectividad cruzada se puede dar con otras redes
virtuales de Azure o con redes locales. En estos casos, Azure Firewall usa tablas
de rutas para reenviar el tráfico en función de las reglas especificadas en esas tablas.
Preparación
de Azure.
[ 186 ]
Capítulo 11
Procedimiento
Para crear una nueva tabla de rutas en Azure Firewall, ejecute el siguiente comando:
$config = $Azfw.IpConfigurations[0].PrivateIPAddress
$Route = New-AzureRmRouteConfig -Name 'Route1' -AddressPrefix
0.0.0.0/0 -NextHopType VirtualAppliance -NextHopIpAddress $config
$RouteTable = New-AzureRmRouteTable -Name 'RouteTable1'
-ResourceGroupName $RG -location $Location -Route $Route
Funcionamiento
Mediante las tablas de rutas asociadas con Azure Firewall, podemos definir cómo
se controla el tráfico entre redes y cómo enrutamos el tráfico de una red a otra.
En un entorno de varias redes, en especial, en una red híbrida donde conectamos
una Azure Virtual Network con una red local, esta opción es muy importante.
Esto nos permite determinar qué tipo de tráfico puede ingresar, y dónde y cómo
puede hacerlo.
Habilitar registros de diagnóstico para

Azure Firewall
Los diagnósticos son una parte muy importante de cualquier sistema de TI, y las
redes no son la excepción. La configuración de diagnóstico de Azure Firewall nos
permite recopilar información diversa que se puede usar para solucionar problemas
o realizar auditorías.
Preparación
[ 187 ]
Azure Firewall
Procedimiento
Para habilitar el diagnóstico en Azure Firewall, siga estos pasos:
1. En la hoja Firewall, busque Diagnostics settings (Configuración

de diagnóstico) en Monitoring (Supervisión).
2. Seleccione la opción Turn on diagnostics (Activar diagnósticos), como
se muestra en la siguiente captura de pantalla:
3. En la nueva hoja, complete el campo Name (Nombre) y especifique dónde se

almacenarán los registros. Seleccione la cuenta de almacenamiento (Storage
account) donde se almacenarán los registros y especifique el período de
retención y qué registros se almacenarán, tal como se muestra en la siguiente
captura de pantalla:
[ 188 ]
Capítulo 11
Funcionamiento
El diagnóstico tiene dos propósitos: auditoría y solución de problemas. Según el
tráfico y la configuración, estos registros pueden aumentar con el tiempo, por lo que
es importante tener en cuenta el propósito principal para habilitar el diagnóstico en
primer lugar. Si los diagnósticos se habilitan para auditoría, es probable que desee
elegir un máximo de retención de 365 días. Si el propósito principal es la solución
de problemas, el período de retención se puede mantener en 7 días o un tiempo aún
más corto.
[ 189 ]
Otros libros que puede disfrutar
Si disfrutó este libro, puede que le interesen estos otros libros de Packt:
Más información sobre Microsoft Azure
Mohamed Wali
ISBN: 978-1-78961-758-0
• Comprender los servicios en la nube que ofrece Azure

• Diseñar almacenamiento y redes en Azure para su VM de Azure
• Trabajar con aplicaciones web y bases de datos SQL de Azure
• Crear sus soluciones de administración de identidades en Azure con Azure AD
• Supervisar, proteger y automatizar sus servicios de Azure con Operation
Management Suite (OMS)
• Implementar OMS para servicios de Azure
[ 191 ]
Manual de informática sin servidor de Azure. Segunda edición
Praveen Kumar Sreeram
ISBN: 978-1-78961-526-5
• Integrar Azure Functions con otros servicios de Azure

• Comprender el desarrollo de aplicaciones en la nube con Azure Functions
• Emplear Durable Functions para desarrollar aplicaciones sin servidor fiables
y duraderas
• Utilizar los servicios SendGrid y Twilio.
• Explorar la reutilización de código y la refactorización en Azure Functions.
• Configurar aplicaciones sin servidor en un entorno de producción
[ 192 ]
Deje una reseña y permita que otros

lectores conozcan su opinión
Comparta su opinión acerca de este libro con otras personas dejando una reseña
en el sitio desde el cual lo compró. Si compró el libro en Amazon, déjenos una
reseña sincera en la página de Amazon de este libro. Esto es esencial para que otros
lectores potenciales puedan ver y usar su opinión imparcial para tomar decisiones de
compra, para que nosotros en Packt podamos saber lo que nuestros clientes piensan
de nuestros productos y para que nuestros autores puedan ver su opinión acerca
del título que crearon junto a Packt. Dejar su opinión le tomará unos minutos, pero
esta será valiosa para otros clientes potenciales, para nuestros autores y para Packt.
¡Gracias!
[ 193 ]
Índice
A configuración HTTP
acerca de 168
agente de escucha crear 168, 169, 170
acerca de 170 conjunto de registros
crear 170, 171, 172 crear, en Azure DNS 103, 104, 105
Azure
configuración del dispositivo VPN, D
descargar desde 81, 82, 84
Azure DNS dirección IP privada
conjunto de registros, crear 103, 104, 105 reserva, crear para 60, 61
registro, crear 103, 104, 105 reserva, eliminar para 64, 65
Azure Firewall reserva, modificar para 62, 63
crear 182, 183, 184, 185 dirección IP pública
registros de diagnóstico, habilitar 187, 188, asignar 52, 54
189 cancelar asignación 55, 56
Azure Virtual Network (VNet) 67 crear, con PowerShell 52
crear, en el portal 50, 51
C reserva, crear para 56, 57, 58
reserva, eliminar para 58, 59
Clave precompartida (PSK) 80
conexión de punto a sitio E
acerca de 84
crear 84, 85, 86, 87, 88, 89, 90 emparejamiento de la red
conexión de sitio a sitio utilizado, para conectar VNets 95, 96, 97,
acerca de 76 98, 99
crear 76, 78, 79, 80, 81 Enrutamiento de interdominios sin clases
conexión de VNet a VNet (CIDR) 4
acerca de 91 equilibrador de carga
crear 91, 92, 93, 94, 95 reglas 133
configuración de dispositivo VPN sondeos de estado 133
descargar, desde Azure 81, 82, 83 equilibrador de carga externo 126
enlace de referencia 81 equilibrador de carga interno
configuración de gateway de red local acerca de 126
modificar 73, 74 crear 126, 127
configuración de red, máquinas virtuales equilibrador de carga público
ver 22, 23 acerca de 128
crear 128, 129
[ 195 ]
equilibradores de carga M
Traffic Manager, configurar con 156, 157,
158 Máquinas virtuales (VM) 15
configuración de red, visualización 22, 23
F interfaz de red, conectada a 25, 26
interfaz de red, desconectada de 26
Firewall de aplicaciones web (WAF) máquina virtual (VM) 126
configurar 176, 177, 178, 179 acerca de 29
reglas, personalizar 179
N
G
Nombre de dominio completo (FQDN) 102,
gateway de aplicación 142
acerca de 160, 162 NSG
agente de escucha, agregar 170, 171, 172 asignar, a la subred 37, 39, 40
configuración HTTP, agregar 168, 169, 170 asignar, a una interfaz de red 40, 41, 43
crear 160, 162, 164 asignar, con PowerShell 43
en proceso 165 crear, con PowerShell 31
grupos de back-end, agregar 166, 167 crear, en portal de Azure 30, 31
regla, agregar 172, 173 regla de denegación, crear en 34, 36
sondeo, agregar 174, 175 regla de permiso, crear en 32, 34
gateway de red local
crear, con PowerShell 69 O
crear, en el portal 68, 69
gateway de red virtual opciones, para el grupo de back-end
crear, con PowerShell 72 conjuntos de disponibilidad 132
crear, en el portal 70, 71, 72 conjuntos de escalado de máquinas 132
grupo de back-end máquinas virtuales 132
configurar 165, 166, 167 OWASP 2.2.9 180
crear 130, 131, 132 OWASP 3.0 180
Grupo de seguridad de aplicaciones (ASG)
asociar, con VM 45, 46 P
crear 44, 45
Grupos de seguridad de red (NSGs) 51 perfil de Traffic Manager
acerca de 29 administración 154, 155, 156
crear 142, 143
portal
I dirección IP pública, crear en 50, 51
interfaz de red gateway de red local, crear en 68, 69
conexión, a VM 25, 26 gateway de red virtual, crear en 70, 71, 72
crear 23, 25 portal de Azure
desconexión, de VM 26, 27 enlace de referencia 15
NSG, asignar a 40, 41, 43 NSG, crear en 30, 31
interfaz de red (NIC) 21, 53, 131 utilizado, para agregar subred 5, 6, 7, 8
acerca de 29 utilizado, para crear la red virtual 2, 3, 4
PowerShell
acerca de 4
gateway de red local, crear 69
[ 196 ]
gateway de red virtual, crear 72 en proceso 140
NSG, asignar con 43 Reglas de WAF
usado, para crear dirección IP pública 52 personalizar 179, 180
usado, para crear NSG 31 reserva
usado, para crear regla de NSG 36 crear, para la dirección IP privada 60, 61
utilizado, para agregar subred 8, 9 crear, para la dirección IP pública 56, 57, 58
utilizado, para crear la red virtual 4, 5 eliminar, para la dirección IP privada 64, 65
Protocolo de escritorio remoto (RDP) 75 eliminar, para la dirección IP pública 58, 59
punto de conexión modificar, para la dirección IP privada 62, 63
administración 153, 154 ruta
agregar, a Traffic Manager 143, 144, 146, crear 116, 117, 118
147 eliminar 120, 121, 122
modificar 118, 119, 120
R
S
red perimetral (DMZ) 127
red privada virtual (VPN) 67, 127 Sistema de nombres de dominio (DNS) 101
Red privada virtual (VPN) 8 sondeo
red virtual acerca de 173
creación, portal de Azure utilizado 2, 3, 4 crear 174, 175
crear, con PowerShell 4, 5 Firewall de aplicaciones web (WAF), con-
referencia de almacén (SKU) 51 figurar 176
registro sondeos de estado
crear, en Azure DNS 103, 104, 105 acerca de 132
registros de diagnóstico crear 133, 134
habilitación, para Azure Firewall 187, 188, en proceso 135
189 subred
regla agregar, con portal de Azure 5, 6, 7, 8
acerca de 172 agregar, con PowerShell 8, 9
crear 172, 173 NSG, asignar a 37, 39, 40
regla de denegación tabla de rutas, asociar con 109, 110, 111, 112
configurar 185, 186 tabla de rutas, desasociar de 112, 113, 115
crear, en NSG 34, 36 tamaño, modificar 11, 12, 13
regla de permiso
configurar 185 T
crear, en NSG 32, 34
Regla NSG tabla de rutas
crear, con PowerShell 36 asociar, con subred 109, 110, 111, 112
reglas configurar 186, 187
crear, con NSG y ASG 46, 47, 48 crear 106, 107
reglas del equilibrador de carga desasociar, de la subred 112, 113, 115
acerca de 135 modificar 107, 108
crear 135, 136, 137, 138 tamaño del espacio de direcciones
reglas de traducción de direcciones de red modificar 10, 11
(NAT) Traffic Manager
acerca de 138 configurar, con equilibradores de carga
crear 138, 139, 140 156, 157, 158
[ 197 ]
punto de conexión, agregar a 143, 144, 146,
147
tráfico
configurar, en función de la prioridad 149,
151
configurar, en función de la ubicación ge-
ográfica 151, 152
tráfico distribuido
configurar 147, 149
V
VM
ASG, asociar con 45, 46
VM de Azure
crear 15, 16, 17, 18, 19, 20, 21
VNets
conexión, emparejamiento de red utilizado
95, 96, 97, 98, 99
Z
Zona de Azure DNS
crear 102, 103
[ 198 ]

Original PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Original PDF

Cargado por

Copyright:

Formatos disponibles

Redes de

Tareas prácticas para administrar el tráfico de red en Azure, optimizar el

Tareas prácticas para administrar el tráfico de red en

Todos los derechos reservados. No está permitida la reproducción, el almacenamiento en

Packt Publishing intentó proporcionar información de marca registrada de todas las

Editor a cargo: Vijin Boricha

Fecha de primera publicación: marzo de 2019

Referencia de producción: 1290319

Publicado por Packt Publishing Ltd.

¿Por qué suscribirse?

En www.Packt.com, también puede leer una colección de artículos técnicos gratuitos,

Acerca del autor

Mustafa también es el autor de Hands-On Cloud Administration in Azure

Packt busca autores como usted

Capítulo 2: Redes de máquinas virtuales 15

Asignar una dirección IP pública 52

Crear un grupo de back-end 130

Administrar puntos de conexión 153

Al final de este libro, los lectores tendrán experiencia práctica en proporcionar

Quiénes son los destinatarios de este

Qué se analiza en este libro

El Capítulo 9, Traffic Manager, le enseña cómo crear un administrador de tráfico.

Para sacar el máximo provecho de este

Descargue los archivos de código de ejemplo

El paquete de código del libro también se encuentra en GitHub, en https://github.

También tenemos otros paquetes de código de nuestro enriquecido catálogo de

Descargue las imágenes a color

CodeInText: indica palabras de código en texto, nombres de la tabla de base de

Las entradas o salidas de línea de comandos se escriben de la siguiente forma:

Las advertencias o notas importantes aparecen en

Los trucos y sugerencias aparecen de esta manera.

Aún hay más...

Comentarios generales: si tiene preguntas sobre algún aspecto de este libro,

Fe de erratas: si bien hemos hecho todo lo posible por asegurar la exactitud de

Piratería: si encuentra copias ilegales de nuestros trabajos en cualquier formato

Si le interesa convertirse en autor: si hay un tema en el que tiene experiencia y le

Para obtener más información acerca de Packt, visite packt.com.

En este capítulo, trataremos las siguientes tareas:

• Crear una red virtual en el portal de Azure

• Una suscripción a Azure

Se pueden encontrar ejemplos de código en https://github.com/

Crear una red virtual en el portal de

1. En el portal de Azure, seleccione Create a resource (Crear un recurso) y,

3. Crear una red virtual normalmente no toma mucho tiempo y

Crear una red virtual con PowerShell

Después, tenemos que crear un grupo de recursos donde se implementará nuestra

El resultado debe ser similar a la siguiente captura de pantalla:

Debería recibir el siguiente resultado:

Agregar una subred en el portal de Azure

4. También podemos agregar una subred de gateway en la misma hoja. Para

Agregar una subred con PowerShell

2. Necesitamos confirmar estos cambios mediante la ejecución del siguiente

Aún hay más...

Cambiar el tamaño del espacio de

3. Después de ingresar el valor nuevo para el espacio de direcciones, haga clic

El espacio de direcciones no se puede cambiar a un espacio de direcciones nuevo

Cambiar el tamaño de una subred

1. En la hoja de la red virtual, seleccione la opción Subnets (Subredes).

3. En la opción Subredes, ingrese un nuevo valor para la subred en Address

4. Después de ingresar un valor nuevo, haga clic en Save (Guardar).

En este capítulo, trataremos las siguientes tareas:

• Crear máquinas virtuales de Azure

• Una suscripción a Azure

Capítulo 2: Redes de máquinas virtuales 15

Asignar una dirección IP pública 52

Crear un grupo de back-end 130

Administrar puntos de conexión 153