Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Original PDF
Original PDF
Azure
Manual
www.packt.com
Mustafa Toroman
Manual de redes de Azure
Mustafa Toroman
BIRMINGHAM – BOMBAY
Manual de redes de Azure
Copyright © 2019 Packt Publishing
Durante la preparación de este libro, se hizo todo lo posible por asegurar la exactitud de
la información presentada. Sin embargo, los datos que contiene este libro se venden sin
garantía, ya sea expresa o implícita. Ni el autor ni Packt Publishing, sus concesionarios y
distribuidores se considerarán responsables de cualquier daño causado o presuntamente
causado de manera directa o indirecta por el contenido de este libro.
ISBN 978-1-78980-022-7
www.packtpub.com
https://mapt/io/
Suscríbase a nuestra biblioteca digital en línea para obtener acceso completo a más
de 7000 libros y videos, además de herramientas líderes de la industria para ayudarle
a planificar su desarrollo personal y avanzar en su profesión. Para obtener más
información, visite nuestro sitio web.
Packt.com
¿Sabía que Packt ofrece versiones de eBook de cada libro publicado, con archivos PDF
y ePub disponibles? Puede actualizar a la versión de eBook en www.Packt.com y,
como compró la versión impresa del libro, tiene derecho a un descuento en la copia
del eBook. Para obtener más información, comuníquese con nosotros a la dirección
customercare@packtpub.com.
[i]
Contenido
[ ii ]
Contenido
Funcionamiento36
Crear una nueva regla de NSG con PowerShell 36
Preparación36
Procedimiento36
Funcionamiento37
Aún hay más... 37
Asignar un NSG a una subred 37
Preparación37
Procedimiento38
Funcionamiento40
Asignar un NSG a una interfaz de red 40
Preparación41
Procedimiento41
Funcionamiento43
Asignar un NSG con PowerShell 43
Preparación43
Procedimiento43
Funcionamiento43
Crear un Grupo de seguridad de aplicaciones (ASG) 44
Preparación44
Procedimiento44
Funcionamiento45
Asociar un ASG con una VM 45
Preparación45
Procedimiento45
Funcionamiento46
Crear reglas con un NSG y un ASG 46
Preparación46
Procedimiento47
Funcionamiento48
Capítulo 4: Administración de direcciones IP 49
Requisitos técnicos 50
Crear una nueva dirección IP pública en el portal 50
Preparación50
Procedimiento50
Funcionamiento51
Crear una nueva dirección IP pública con PowerShell 52
Preparación52
Procedimiento52
Funcionamiento52
[ iii ]
Contenido
[ iv ]
Contenido
Procedimiento70
Funcionamiento72
Crear un gateway de red virtual con PowerShell 72
Preparación72
Procedimiento72
Funcionamiento73
Modificar la configuración del gateway de red local 73
Preparación73
Procedimiento73
Funcionamiento74
Capítulo 6: Creación de conexiones híbridas 75
Requisitos técnicos 76
Crear una conexión de sitio a sitio 76
Preparación76
Procedimiento76
Funcionamiento81
Descargar la configuración del dispositivo VPN desde Azure 81
Preparación81
Procedimiento81
Funcionamiento84
Crear una conexión de punto a sitio 84
Preparación84
Procedimiento88
Funcionamiento90
Crear una conexión de VNet a VNet 91
Preparación91
Procedimiento91
Funcionamiento95
Conectar VNet mediante el emparejamiento de red 95
Preparación95
Procedimiento96
Funcionamiento99
Capítulo 7: DNS y enrutamiento 101
Requisitos técnicos 101
Crear una zona de Azure DNS 102
Preparación102
Procedimiento102
Funcionamiento103
Crear un nuevo conjunto de registros y un registro en Azure DNS 103
Preparación103
[v]
Contenido
Procedimiento103
Funcionamiento106
Crear una tabla de rutas 106
Preparación106
Procedimiento106
Funcionamiento107
Cambiar la tabla de rutas 107
Preparación108
Procedimiento108
Funcionamiento108
Asociar una tabla de rutas con una subred 109
Preparación109
Procedimiento109
Funcionamiento112
Desasociar una tabla de rutas de una subred 112
Preparación113
Procedimiento113
Funcionamiento116
Crear una ruta nueva 116
Preparación116
Procedimiento116
Funcionamiento118
Cambiar una ruta 118
Preparación119
Procedimiento119
Funcionamiento120
Eliminar una ruta 120
Preparación121
Procedimiento121
Funcionamiento123
Capítulo 8: Equilibradores de carga 125
Requisitos técnicos 125
Crear un equilibrador de carga interno 126
Preparación126
Procedimiento126
Funcionamiento127
Crear un equilibrador de carga público 128
Preparación128
Procedimiento128
Funcionamiento129
[ vi ]
Contenido
[ vii ]
Contenido
[ viii ]
Contenido
Procedimiento177
Funcionamiento179
Personalizar reglas de WAF 179
Preparación179
Procedimiento179
Funcionamiento180
Capítulo 11: Azure Firewall 181
Requisitos técnicos 181
Crear un nuevo Azure Firewall 182
Preparación182
Procedimiento183
Funcionamiento185
Configurar una nueva regla de permiso 185
Preparación185
Procedimiento185
Funcionamiento185
Configurar una nueva regla de denegación 185
Preparación186
Procedimiento186
Funcionamiento186
Configurar una tabla de rutas 186
Preparación186
Procedimiento187
Funcionamiento187
Habilitar registros de diagnóstico para Azure Firewall 187
Preparación187
Procedimiento188
Funcionamiento189
Otros libros que puede disfrutar 191
Índice195
[ ix ]
Prólogo
Microsoft proporciona a las organizaciones una forma eficaz de administrar su red
con los servicios de red de Azure. Cualquiera que sea el tamaño de su organización,
Azure proporciona un rendimiento altamente confiable y conectividad segura con
sus servicios de red.
El libro comienza con una introducción a las redes de Azure, que abarca temas
como la creación de Redes virtuales de Azure (VNets), el diseño de espacios de
direcciones y subredes. Luego, aprenderá cómo crear y administrar grupos de
seguridad de red, grupos de seguridad de aplicaciones y direcciones IP en Azure.
Poco a poco, pasaremos a las conexiones de sitio a sitio, de punto a sitio y de VNet
a VNet; DNS y enrutamiento; equilibradores de carga; y Azure Traffic Manager.
Este libro ofrece tareas prácticas que abarcan todos los aspectos y funciones
necesarios para ayudar a los lectores a aprender las prácticas básicas de redes en
la nube y planificar, implementar y proteger su red de infraestructura con Azure.
Los lectores no solo podrán escalar su entorno actual, sino que también aprenderán
a supervisar, diagnosticar y garantizar una conectividad segura. Después de
aprender a ofrecer un entorno sólido, los lectores también obtendrán conocimientos
significativos a partir de tareas relacionadas con los procedimientos recomendados.
[ xi ]
Prólogo
[ xii ]
Prólogo
Convenciones utilizadas
Existen varias convenciones de texto que se utilizan en este libro.
Negrita: indica un nuevo término, una palabra importante o palabras que se ven en
la pantalla; por ejemplo, en menús o cuadros de diálogo, también aparecen en textos
como este. Por ejemplo: "En la hoja Virtual network (Red virtual), vaya a la sección
Subnets (Subredes)".
[ xiv ]
Prólogo
Secciones
En este libro, encontrará varios encabezados que aparecen con frecuencia
(Preparación, Procedimiento, Funcionamiento, Aún hay más... y Consulte también).
Para dar instrucciones claras sobre cómo completar una tarea, utilice estas secciones
de la siguiente manera:
Preparación
Esta sección indica de qué se trata la tarea y describe cómo configurar el software
o la configuración preliminar requerida para la tarea.
Procedimiento
Esta sección contiene los pasos necesarios para seguir la tarea.
Funcionamiento
En general, en esta sección se explica detalladamente lo que sucedió en la sección
anterior.
Consulte también
Esta sección contiene enlaces eficaces a otras fuentes de información útil para la
tarea.
Póngase en contacto
Siempre estamos dispuestos a recibir los comentarios de nuestros lectores.
[ xv ]
Prólogo
Opiniones
Deje una reseña. Una vez que haya leído y usado este libro, ¿por qué no deja una
reseña en el sitio en el que lo compró? Entonces, los potenciales lectores podrán ver
y utilizar su opinión imparcial para tomar decisiones de compra, nosotros en Packt
podremos saber lo que piensa de nuestros productos y nuestros autores podrán ver
su opinión acerca del libro. ¡Gracias!
[ xvi ]
Azure Virtual Network
En este primer capítulo, aprenderá acerca de los conceptos básicos de las redes
de Azure, incluida la creación de Redes virtuales de Azure, el diseño de espacios
de direcciones y subredes. Esto sentará las bases para todas las tareas futuras que
trataremos en este libro.
Requisitos técnicos
Para este capítulo, se necesita lo siguiente:
[1]
Azure Virtual Network
Preparación
Antes de comenzar, abra un explorador web y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para crear una nueva red virtual con el portal de Azure, siga estos pasos:
[2]
Capítulo 1
[3]
Azure Virtual Network
Funcionamiento
Implementamos redes virtuales en Resource group (Grupo de recursos) en
Subscription (Suscripción) en el centro de datos de Azure que seleccionamos.
Los parámetros Location (Ubicación) y Subscription (Suscripción) son importantes.
Solo podremos conectar recursos de Azure a esta red virtual si están en la misma
suscripción y región que el centro de datos de Azure. La opción Address space
(Espacio de direcciones) define el número de direcciones IP que estarán disponibles
para nuestra red. Utiliza el formato de Enrutamiento de interdominios sin clases
(CIDR) y el rango más grande que podemos elegir es /8. En el portal, necesitamos
crear una subred inicial y definir el intervalo de direcciones de subred. La subred
más pequeña que se permite es /29 y la más grande es /8 (sin embargo, este valor
no puede ser mayor que el intervalo de red virtual).
Preparación
Antes de empezar, necesitamos conectarnos a la suscripción de Azure desde una
consola de PowerShell. Este es el comando para hacerlo:
Connect-AzureRmAccount
Este abrirá una nueva ventana donde tenemos que ingresar las credenciales para la
suscripción de Azure.
[4]
Capítulo 1
Procedimiento
La implementación de una red virtual de Azure se realiza en un único script.
Necesitamos definir parámetros para el grupo de recursos, la ubicación, el nombre
y el intervalo de direcciones. A continuación, se presenta un script de ejemplo:
New-AzureRmVirtualNetwork -ResourceGroupName 'Packt-Networking-Script'
-Location 'westeurope' -Name 'Packt-Script' -AddressPrefix 10.11.0.0/16
Funcionamiento
La diferencia entre implementar una red virtual desde el portal y usar PowerShell es
que no es necesario definir ninguna subred en PowerShell. La subred se implementa
en un comando independiente, que se puede ejecutar cuando se implementa una red
virtual o más adelante. Analizaremos este comando en la tarea Agregar una subred con
PowerShell.
Preparación
Antes de comenzar, abra un explorador web y vaya al portal de Azure en
https://portal.azure.com. Una vez allí, busque la red virtual creada
previamente.
[5]
Azure Virtual Network
Procedimiento
Para agregar una subred a una red virtual mediante el portal de Azure, se deben
seguir estos pasos:
1. En la hoja de la red virtual, vaya a la sección Subnets (Subredes).
2. Seleccione la opción Add subnet (Agregar subred).
3. Se abrirá una nueva hoja. Necesitamos proporcionar información para la
subred, incluido el Nombre (Name) y el Intervalo de direcciones (Address
range) en formato CIDR. El Intervalo de direcciones debe estar en el límite
del intervalo de direcciones de la red virtual y no puede superponerse con el
intervalo de direcciones de otras subredes de la red virtual. Opcionalmente,
podemos agregar información para las opciones Network security group
(Grupo de seguridad de red), Route tables (Tablas de rutas), Service
endpoints (Extremos de servicio) y Subnet delegation (Delegación de
subred). Estas opciones se tratarán en tareas posteriores:
[6]
Capítulo 1
[7]
Azure Virtual Network
5. Después de que se agregan las subredes, podemos ver las subredes recién
creadas en la hoja Subnets (Subredes) de la red virtual:
Funcionamiento
Una sola red virtual puede tener varias subredes definidas. Las subredes no se
pueden superponer y deben estar dentro del intervalo de direcciones de la red
virtual. Para cada subred, se usan cuatro direcciones IP exclusivamente para
la administración. Según la configuración de red, podemos definir las reglas
de comunicación entre las subredes de la red virtual. Una subred de gateway
se utiliza para conexiones de Red privada virtual (VPN); esto se tratará en los
próximos capítulos.
Preparación
Antes de crear una subred, necesitamos recopilar información sobre la red virtual
a la que se asociará la nueva subred. Los parámetros que se deben proporcionar son
el nombre de la red virtual y el grupo de recursos en el que se encuentra esa red:
$VirtualNetwork = Get-AzureRmVirtualNetwork -Name 'Packt-Script'
-ResourceGroupName 'Packt-Networking-Script'
[8]
Capítulo 1
Procedimiento
1. Para agregar una subred a la red virtual, necesitamos ejecutar un comando
y proporcionar el prefijo de nombre y dirección. El prefijo de dirección
también está en formato CIDR:
Add-AzureRmVirtualNetworkSubnetConfig -Name FrontEnd
-AddressPrefix 10.11.0.0/24 -VirtualNetwork $VirtualNetwork
3. Para agregar una subred adicional tenemos que ejecutar todos los comandos
en un solo paso, de la siguiente manera:
$VirtualNetwork = Get-AzureRmVirtualNetwork -Name 'Packt-Script'
-ResourceGroupName 'Packt-Networking-Script'
Add-AzureRmVirtualNetworkSubnetConfig -Name BackEnd -AddressPrefix
10.11.1.0/24 -VirtualNetwork $VirtualNetwork
$VirtualNetwork | Set-AzureRmVirtualNetwork
Funcionamiento
La subred se crea y se agrega a la red virtual, pero necesitamos confirmar los cambios
antes de que puedan entrar en vigencia. Aquí también se aplican todas las reglas de
creación o adición de subredes mediante el portal de Azure. La subred debe estar
dentro del espacio de direcciones de la red virtual y no puede superponerse con
otras subredes de la red virtual. La red más pequeña que se permite es /29 y la más
grande es /8.
[9]
Azure Virtual Network
Preparación
Antes de comenzar, abra un explorador web y vaya al portal de Azureen
https://portal.azure.com.
Procedimiento
Para cambiar el tamaño del espacio de direcciones de una red virtual mediante el
portal de Azure, se deben seguir estos pasos:
1. En la hoja de la red virtual, busque Address space (Espacio de direcciones)
en Settings (Configuración).
2. Haga clic en Address space (Espacio de direcciones) y cambie el valor. En la
siguiente captura de pantalla, se muestra un ejemplo:
Funcionamiento
Aunque puede cambiar el espacio de direcciones en cualquier momento, hay algunas
reglas que determinan lo que puede o no puede hacer. Los espacios de direcciones
no se pueden reducir si tiene subredes definidas en el espacio de direcciones
que no estarían cubiertas por el nuevo espacio de direcciones. Por ejemplo, si el
espacio de direcciones estaba en el intervalo de 10.0.0.0/16, abarcará direcciones
desde 10.0.0.1 hasta 10.0.255.254. Si una de las subredes se definió como
10.0.255.0/24, no podremos cambiar la red virtual a 10.0.0.0/17, puesto que esto
dejaría a la subred fuera del espacio nuevo.
Preparación
Antes de comenzar, abra un explorador web y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para cambiar el tamaño de la subred con el portal de Azure, siga estos pasos:
[ 11 ]
Azure Virtual Network
[ 12 ]
Capítulo 1
5. En la lista Subnets (Subredes), puede ver que se aplicaron los cambios y que
el espacio de direcciones cambió, como se muestra en la siguiente captura de
pantalla:
Funcionamiento
Cuando se cambia el tamaño de la subred, se deben seguir algunas reglas. No puede
cambiar el espacio de direcciones si no está dentro del intervalo del espacio de
direcciones de la red virtual y el intervalo de la subred no se puede superponer con
otras subredes de una red virtual. Si los dispositivos están asignados a esta subred,
no puede cambiar la subred para excluir las direcciones a las que ya están asignados
estos dispositivos.
[ 13 ]
Redes de máquinas virtuales
En este capítulo, trataremos las Máquinas virtuales (VM) de Azure y la interfaz
de red que se usa como una interconexión entre las VM de Azure y Azure Virtual
Network.
Requisitos técnicos
Para este capítulo, se necesita lo siguiente:
Preparación
Antes de comenzar, abra un explorador web y vaya al portal de Azure en
https://portal.azure.com.
[ 15 ]
Redes de máquinas virtuales
Procedimiento
Para crear una VM nueva con el portal de Azure, siga estos pasos:
[ 16 ]
Capítulo 2
[ 17 ]
Redes de máquinas virtuales
6. En la siguiente sección, tenemos que definir los discos. Se puede elegir entre
Premium SSD (SSD Premium), Standard SSD (SSD estándar) y Standard
HDD (HDD estándar). Se requiere un disco de SO y debe definirse. Podemos
conectar discos de datos adicionales según sea necesario. Los discos también
se pueden agregar más adelante. Podemos elegir si usaremos discos
administrados (Use managed disks) o no. Mi recomendación es utilizar
discos administrados, puesto que facilitan en gran medida el mantenimiento.
En la siguiente captura de pantalla, se muestra un ejemplo de configuración
de disco con solo el disco del SO:
[ 18 ]
Capítulo 2
[ 19 ]
Redes de máquinas virtuales
10. Los últimos ajustes de la configuración que podemos editar son las etiquetas.
Las etiquetas aplican metadatos adicionales a los recursos de Azure para
organizarlos de forma lógica en una taxonomía. En la siguiente captura de
pantalla, se muestra la pantalla Tags (Etiquetas):
[ 20 ]
Capítulo 2
Funcionamiento
Cuando se crea una VM, se crea una interfaz de red (NIC) en el proceso. Una NIC se
utiliza como una especie de interconexión entre la VM y la red virtual. La red asigna
una dirección IP privada a la NIC. Como una NIC está asociada a la VM y a la red
virtual, la VM usa la dirección IP. Con esta dirección IP, la VM puede comunicarse
a través de una red privada con otras VM (u otros recursos de Azure) en la misma
red. Además, también se pueden asignar direcciones IP públicas a las NIC y las VM.
Se puede usar una dirección pública para comunicarse con la VM a través de Internet,
ya sea para acceder a los servicios o para administrar la VM.
Consulte también
Si le interesa obtener más información sobre las VM de Azure, puede leer mi libro,
Hands-On Cloud Administration in Azure (Administración práctica de la nube en
Azure), de Packt Publishing, donde analizo las VM con más detalle.
[ 21 ]
Redes de máquinas virtuales
Preparación
Antes de comenzar, abra un explorador web y vaya al portal de Azure en
https://portal.azure.com. Aquí, busque la VM creada anteriormente.
Procedimiento
Para revisar la configuración de red de la VM, siga estos pasos:
[ 22 ]
Capítulo 2
Funcionamiento
La información de red se muestra en varios lugares, incluida la configuración de
red de la VM. Además, cada recurso de Azure tiene una hoja independiente y existe
como un recurso individual, por lo que podemos ver esta configuración en varios
lugares. Sin embargo, la imagen más completa sobre la configuración de red de la
VM que podemos encontrar se encuentra en la hoja de la VM y la hoja de la NIC.
Preparación
Antes de comenzar, abra un explorador web y vaya al portal de Azure en
https://portal.azure.com.
[ 23 ]
Redes de máquinas virtuales
Procedimiento
Para crear una NIC nueva con el portal de Azure, siga estos pasos:
1. En el portal de Azure, seleccione Create a resource (Crear un recurso) y,
luego, Network interface (Interfaz de red) en Networking (Redes) (o busque
network interface (interfaz de red) en la barra de búsqueda).
2. En la hoja de creación, tenemos que proporcionar información relacionada
con el nombre (Name), la red virtual (Virtual network) y la subred (Subnet)
con los que se asociará la NIC. Otra información que se debe proporcionar
incluye el tipo de asignación de la dirección IP (Dynamic [Dinámica] o Static
[Estática]), ya sea que queramos que la NIC se asocie con un tipo de grupo
de seguridad de red (Network security group) y que queramos usar IPv6.
Todos los recursos de Azure requieren información sobre la suscripción
(Subscription), el grupo de recursos (Resource group) y la ubicación
(Location), y las NIC no son la excepción. En la siguiente captura de pantalla,
se muestra la información necesaria para crear una nueva NIC:
[ 24 ]
Capítulo 2
Funcionamiento
Una NIC no puede existir sin una asociación de red y esta asociación debe asignarse
a una red virtual y a una subred. Esto se define durante el proceso de creación y no
se puede cambiar más adelante. Por otro lado, la asociación con una VM se puede
cambiar y la NIC se puede conectar o desconectar de una VM en cualquier momento.
Preparación
Antes de comenzar, abra un explorador web y vaya al portal de Azure en
https://portal.azure.com. Aquí, busque la VM creada anteriormente.
Procedimiento
Para conectar una NIC a una VM, siga estos pasos:
[ 25 ]
Redes de máquinas virtuales
Funcionamiento
Cada VM puede tener varias NIC. El número de NIC asociadas a una VM depende del
tipo y el tamaño de la VM. Para conectar una NIC a una VM, la VM debe detenerse (es
decir, desasignarse). No se puede agregar una NIC adicional a una VM en ejecución.
Preparación
Antes de comenzar, abra un explorador web y vaya al portal de Azure en https://
portal.azure.com. Aquí, busque la VM creada anteriormente.
Procedimiento
Para desconectar una interfaz de red de una VM, siga estos pasos:
[ 26 ]
Capítulo 2
Funcionamiento
Para desconectar una NIC, la VM asociada a la NIC debe detenerse (es decir,
desasignarse). Al menos una NIC debe estar asociada con la VM; por lo que
no puede eliminar la última NIC de una VM. Todas las asociaciones de red
permanecen con la NIC; estas se asignan a la NIC y no a la VM.
[ 27 ]
Grupos de seguridad de red
Los Grupos de seguridad de red (NSG) contienen conjuntos de reglas que permiten
o deniegan el acceso de tráfico específico a recursos o subredes específicos de Azure.
Un NSG puede asociarse con una subred (mediante la aplicación de reglas de
seguridad a todos los recursos asociados con la subred) o con una tarjeta de interfaz
de red (NIC) (mediante la aplicación de reglas de seguridad solo a la máquina
virtual [VM] asociada con la NIC).
Requisitos técnicos
Para este capítulo, se necesita lo siguiente:
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para crear un NSG nuevo con el portal de Azure, debe seguir estos pasos:
1. En el portal de Azure, seleccione Create a resource (Crear un recurso) y
elija Network security group (Grupo de seguridad de red) en los servicios
de Networking (Redes) (o busque network security group [grupo de
seguridad de red] en la barra de búsqueda).
2. Los parámetros que necesitamos definir para la implementación son Name
(Nombre), Subscription (Suscripción), Resource group (Grupo de recursos)
y Location (Ubicación). En la siguiente captura de pantalla, se muestra un
ejemplo de los parámetros requeridos:
Funcionamiento
La implementación del NSG se puede iniciar durante la implementación de la VM.
Esto asociará el NSG con la NIC asociada a la VM. En este caso, el NSG ya está
asociado con el recurso y las reglas definidas en el NSG se aplicarán solo a la VM
asociada.
Si el NSG se implementa por separado, como en esta tarea, no se asociará y las reglas
que se crean no se aplicarán hasta que se haya creado la asociación con la NIC o la
subred. Cuando se asocian con una subred, las reglas del NSG se aplican a todos los
recursos en la subred.
Preparación
Abra la consola de PowerShell y asegúrese de que está conectado a su suscripción
de Azure.
Procedimiento
Para implementar un nuevo NSG, ejecute el siguiente comando:
New-AzureRmNetworkSecurityGroup -Name "nsg1" -ResourceGroupName "Packt-
Networking-Script" -Location "westeurope"
Funcionamiento
El resultado final será el mismo que crear un NSG nuevo con el portal de Azure:
se habrá creado un NSG nuevo con reglas predeterminadas. Una ventaja de usar
PowerShell es que podemos agregar reglas adicionales y automatizar el proceso.
Veremos un ejemplo de esto en la tarea Crear una nueva regla de NSG con PowerShell
más adelante en este capítulo.
[ 31 ]
Grupos de seguridad de red
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com. Busque el NSG creado anteriormente.
Procedimiento
Para crear una nueva regla de permiso del NSG con el portal de Azure, debe seguir
estos pasos:
[ 32 ]
Capítulo 3
[ 33 ]
Grupos de seguridad de red
Funcionamiento
De forma predeterminada, se permite todo el tráfico proveniente de Azure Load
Balancer o de Azure Virtual Network. Se deniega todo el tráfico proveniente de Internet.
Para cambiar esto, necesitamos crear reglas adicionales. Asegúrese de establecer la
prioridad correcta cuando cree las reglas. Las reglas con mayor prioridad (es decir, las
que tienen el número más bajo) se procesan primero, por lo que, si tiene dos reglas,
una que deniega el tráfico y otra que lo permite, la que tenga mayor prioridad tendrá
precedencia, en tanto que la con prioridad más baja no se tendrá en cuenta.
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com. Busque el NSG creado anteriormente.
Procedimiento
Para crear una nueva regla de denegación del NSG con el portal de Azure, debe
seguir estos pasos:
[ 34 ]
Capítulo 3
[ 35 ]
Grupos de seguridad de red
Funcionamiento
Todo el tráfico saliente se permite de forma predeterminada, independientemente
de dónde vaya. Si queremos denegar explícitamente el tráfico a través de un puerto
específico, tenemos que crear una regla para hacerlo. Asegúrese de establecer la
prioridad correcta cuando cree las reglas. Las reglas con mayor prioridad (es decir,
las que tienen el número más bajo) se procesan primero, por lo que, si tiene dos
reglas, una que deniega el tráfico y otra que lo permite, se aplicará la que tenga
mayor prioridad.
Preparación
Abra la consola de PowerShell y asegúrese de que está conectado a su suscripción
de Azure.
Procedimiento
Para crear una nueva regla de NSG, ejecute el siguiente comando:
$nsg = Get-AzureRmNetworkSecurityGroup -Name 'nsg1' -ResourceGroupName
'Packt-Networking-Script'
$nsg | Add-AzureRmNetworkSecurityRuleConfig -Name 'Allow_HTTPS'
-Description 'Allow_HTTPS' -Access Allow -Protocol Tcp -Direction
Inbound -Priority 100 -SourceAddressPrefix Internet -SourcePortRange
* -DestinationAddressPrefix * -DestinationPortRange 443 | Set-
AzureRmNetworkSecurityGroup
[ 36 ]
Capítulo 3
Funcionamiento
Con un script, crear una regla de NSG es solo una cuestión de parámetros. El
parámetro Access (Acceso), que puede ser Allow (Permitir) o Deny (Denegar),
determinará si queremos permitir el tráfico o denegarlo. El parámetro de dirección
(direction), que puede ser entrante o saliente, determina si la regla es para tráfico
entrante o saliente. Todos los demás parámetros son iguales, independientemente
del tipo de regla que queramos crear. Una vez más, la prioridad juega un papel muy
importante, por lo que debemos asegurarnos de elegirla correctamente.
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com. Busque el NSG creado anteriormente.
[ 37 ]
Grupos de seguridad de red
Procedimiento
Para asignar un NSG a una subred, se deben seguir estos pasos:
[ 38 ]
Capítulo 3
[ 39 ]
Grupos de seguridad de red
Funcionamiento
Cuando un NSG se asocia con una subred, las reglas en el NSG se aplicarán a todos
los recursos de la subred. Tenga en cuenta que la subred se puede asociar con más
de un NSG y las reglas de todos los NSG se aplicarán en ese caso. La prioridad es el
factor más importante cuando se examina un solo NSG, pero cuando se observan las
reglas de más de un NSG, prevalece la regla Deny (Denegar). Por lo tanto, si tenemos
dos subredes, una con la regla Allow (Permitir) en el puerto 443 y la otra con la regla
Deny (Denegar) en el mismo puerto, se denegará el tráfico en este puerto.
[ 40 ]
Capítulo 3
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en https://
portal.azure.com. Busque el NSG creado anteriormente.
Procedimiento
Para asignar un NSG a una interfaz de red, se deben seguir estos pasos:
[ 41 ]
Grupos de seguridad de red
3. Seleccione la NIC con la que desea asociarla en la lista de las NIC disponibles:
[ 42 ]
Capítulo 3
Funcionamiento
Cuando un NSG está asociado con una NIC, las reglas del NSG solo se aplicarán
a una única NIC (o a una VM asociada con la NIC). La NIC se puede asociar
directamente con un solo NSG, pero una subred asociada con una NIC se puede
asociar con otro NSG (o incluso varios). Esto es similar cuando tenemos más NSG
en una sola subred y la regla Deny (Denegar) tendrá mayor prioridad. Si cualquiera
de los NSG permite el tráfico en un puerto, pero otro NSG lo está bloqueando, se
denegará el tráfico.
Preparación
Abra la consola de PowerShell y asegúrese de que está conectado a su suscripción de
Azure.
Procedimiento
Para asociar un NSG con una subred, ejecute el siguiente comando:
$vnet = Get-AzureRmVirtualNetwork -Name 'Packt-Script' -ResourceGroupName
'Packt-Networking-Script'
$subnet = Get-AzureRmVirtualNetworkSubnetConfig -VirtualNetwork $vnet
-Name BackEnd
$nsg = Get-AzureRmNetworkSecurityGroup -ResourceGroupName 'Packt-
Networking-Script' -Name 'nsg1'
$subnet.NetworkSecurityGroup = $nsg
Set-AzureRmVirtualNetwork -VirtualNetwork $vnet
Funcionamiento
Con PowerShell, necesitamos recopilar información sobre la red virtual, la subred y
el NSG. Cuando se recopile toda la información, podremos realizar la asociación con
Set-AzureRmVirtualNetwork y aplicar cambios.
[ 43 ]
Grupos de seguridad de red
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para crear un ASG con el portal de Azure, debe seguir estos pasos:
1. En el portal de Azure, seleccione Create a resource (Crear un recurso) y elija
Application security group (Grupo de seguridad de la aplicación) en los
servicios de Networking (Redes) (o busque application security group
[grupo de seguridad de la aplicación] en la barra de búsqueda).
2. Los parámetros que tenemos que definir para la implementación son
Subscription (Suscripción), Resource group (Grupo de recursos), Name
(Nombre) y Region (Región). En la siguiente captura de pantalla, se muestra
un ejemplo de los parámetros requeridos:
[ 44 ]
Capítulo 3
Funcionamiento
Los ASG no marcan la diferencia por sí solos y deben combinarse con los NSG para
crear reglas de NSG que permitan un mejor control del tráfico, mediante la aplicación
de comprobaciones adicionales antes de que se permita el flujo de tráfico.
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en https://
portal.azure.com. Busque la máquina virtual creada previamente.
Procedimiento
Para asociar un ASG con una máquina virtual, debemos seguir estos pasos:
[ 45 ]
Grupos de seguridad de red
4. Después de hacer clic en Save (Guardar), demora solo unos segundos aplicar
los cambios hasta que la VM se asocie con el ASG.
Funcionamiento
La VM debe estar asociada con el ASG. Podemos asociar más de una VM con cada
ASG. El ASG se utiliza, luego, en combinación con el NSG para crear nuevas reglas
de NSG.
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com. Busque el NSG creado anteriormente.
[ 46 ]
Capítulo 3
Procedimiento
Para crear una regla con un ASG y un NSG, debemos seguir estos pasos:
1. En la hoja del NSG, busque Inbound security rules (Reglas de seguridad de
entrada). Seleccione Add (Agregar) para agregar una regla nueva.
2. Para el origen, seleccione Application Security Group (Grupo de seguridad
de aplicaciones ) y, luego, seleccione el ASG que desea utilizar como el
origen. También necesitamos proporcionar parámetros para Source (Origen),
Source port ranges (Intervalos de puertos de origen), Destination (Destino),
Destination port ranges (Intervalos de puertos de destino), Protocol
(Protocolo), Action (Acción), Priority (Prioridad) y Name (Nombre).
En la siguiente captura de pantalla, se muestra un ejemplo:
[ 47 ]
Grupos de seguridad de red
Funcionamiento
Si usamos solo NSG a fin de crear reglas, podemos crear reglas para permitir o
denegar tráfico para una dirección IP o rango específicos. Con un ASG, podemos
ampliar o restringir esto según sea necesario. Por ejemplo, podemos crear una regla
para permitir VM desde una subred de front-end, pero solo si estas VM están en un
ASG específico. Como alternativa, podemos permitir el acceso a varias VM desde
diferentes redes virtuales o subredes, pero solo si pertenecen a un ASG específico.
[ 48 ]
Administración de
direcciones IP
En Azure, podemos tener dos tipos de direcciones IP: privada y pública. Se puede
acceder a las direcciones públicas a través de Internet. Las direcciones privadas
provienen del espacio de direcciones de Azure Virtual Network y se usan para la
comunicación privada en redes privadas. Las direcciones se pueden asignar a un
recurso o existir como un recurso independiente.
[ 49 ]
Administración de direcciones IP
Requisitos técnicos
Para este capítulo, se necesita lo siguiente:
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para crear una nueva dirección IP pública, se deben seguir estos pasos:
[ 50 ]
Capítulo 4
Funcionamiento
La referencia de almacén (SKU) puede ser Básica o Estándar. La diferencia principal
radica en que Estándar está cerrada al tráfico entrante de forma predeterminada (el
tráfico entrante debe estar en la lista de permitidos en Grupos de seguridad de red
[NSG]) y Estándar tiene redundancia de zona. Otra diferencia es que una dirección
IP pública de SKU estándar tiene una asignación estática, mientras que una SKU
básica puede ser estática o dinámica.
Puede elegir la versión IPv4 o IPv6 para la dirección IP, pero si elige IPv6, se limitará
a una asignación dinámica.
[ 51 ]
Administración de direcciones IP
Preparación
Abra la consola de PowerShell y asegúrese de que está conectado a su suscripción de
Azure.
Procedimiento
Para implementar una nueva dirección IP pública, ejecute el siguiente comando:
New-AzureRmPublicIpAddress -Name 'ip-public-script' -ResourceGroupName
'Packt-Networking-Script' -AllocationMethod Dynamic -Location
'westeurope'
Funcionamiento
Como resultado, se creará una nueva dirección IP pública. La configuración en
este caso será una asignación dinámica de SKU básica, versión IPv4 y sin una
etiqueta DNS. Además, podemos usar modificadores adicionales, como -SKU,
-IPAddressVersion o -DomainNamelabel para definir estas opciones, si es necesario.
[ 52 ]
Capítulo 4
En este caso, el punto de conexión público que se usa para tener acceso a un servicio
puede permanecer sin cambios. Esto puede ser útil cuando se migra o actualiza una
aplicación o un servicio que están disponibles públicamente, puesto que podemos
seguir usando el mismo punto de conexión y los usuarios finales no necesitan
considerar ningún cambio.
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para asignar una dirección IP pública, se debe hacer lo siguiente:
1. Busque la interfaz de red (NIC) a la que desea asignar la dirección IP. Esto
se puede hacer directamente mediante la búsqueda de la NIC o a través de la
hoja de la VM a la que está asignada la NIC.
2. En la hoja de la NIC, vaya a IP configurations (Configuraciones de IP) en
Settings (Configuración) y seleccione la configuración que se muestra en la
siguiente captura de pantalla:
[ 53 ]
Administración de direcciones IP
Funcionamiento
Una dirección IP pública existe como un recurso independiente y se puede asignar a
un recurso en cualquier momento. Cuando se asigna una dirección IP pública, puede
utilizar esta dirección IP para acceder a los servicios que se ejecutan en un recurso al
que está asignada la dirección IP (recuerde que se debe aplicar un NSG adecuado).
También podemos eliminar una dirección IP de un recurso y asignarla a un nuevo
recurso. Por ejemplo, si queremos migrar servicios a una VM nueva, la dirección
IP se puede quitar de la VM antigua y asignarse a la nueva. De esta manera, los
puntos de conexión de servicio que se ejecutan en la VM no cambiarán. Esto es
especialmente útil cuando se utilizan direcciones IP estáticas.
[ 54 ]
Capítulo 4
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en https://
portal.azure.com. Asegúrese de que la VM que usa una dirección IP pública
no se esté ejecutando.
Procedimiento
1. Busque la NIC a la que está asociada la dirección IP pública.
2. En la hoja de la NIC, vaya a IP configurations (Configuraciones de IP)
en Settings (Configuración) y seleccione la configuración de IP:
[ 55 ]
Administración de direcciones IP
4. Después de realizar los cambios, haga clic en Save (Guardar) para aplicar la
configuración nueva.
Funcionamiento
Se puede asignar una dirección IP pública o cancelar su asignación desde un recurso
a fin de guardarla para uso futuro o para transferirla a un nuevo recurso. Para
quitarla, simplemente deshabilitamos la dirección IP pública en la configuración
IP de la NIC a la que se asigna la dirección IP. Esto eliminará la asociación, pero
mantendrá la dirección IP como un recurso independiente.
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en https://
portal.azure.com.
Procedimiento
Si desea crear una reserva para una dirección IP pública, siga estos pasos:
3. Una vez realizado este cambio, haga clic en Save (Guardar) para aplicar la
configuración nueva.
[ 57 ]
Administración de direcciones IP
Funcionamiento
Una dirección IP pública se establece en dinámica de forma predeterminada. Esto
significa que la dirección IP puede cambiar en el tiempo. Por ejemplo, si una VM a la
que se asigna una dirección IP se desactiva o reinicia, existe la posibilidad de que la
dirección IP cambie después de que la VM esté nuevamente funcionando. Esto puede
causar problemas si se accede a través de la dirección IP pública a los servicios que se
ejecutan en la VM o si hay un registro DNS asociado a la dirección IP pública.
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en https://
portal.azure.com. Asegúrese de que la dirección IP no esté asociada a ningún
recurso.
Procedimiento
Si desea eliminar una reserva para una dirección IP pública, siga estos pasos:
[ 58 ]
Capítulo 4
3. Después de realizar estos cambios, haga clic en Save (Guardar) para aplicar
la configuración nueva.
Funcionamiento
Para eliminar una reserva de IP de una dirección IP pública, la dirección IP
pública no se debe asociar a un recurso. Podemos eliminar la reserva mediante
el establecimiento de la asignación de la dirección IP en dinámica.
[ 59 ]
Administración de direcciones IP
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Si desea crear una reserva para una dirección IP privada, siga estos pasos:
5. Después de realizar estos cambios, haga clic en Save (Guardar) para aplicar
la configuración nueva.
Funcionamiento
Se puede realizar una reserva de una dirección IP para direcciones IP privadas. La
diferencia es que una dirección IP privada no existe como un recurso independiente,
sino que se asigna a una NIC.
Otra diferencia es que puede seleccionar un valor para una dirección IP privada. Una
dirección IP pública se asigna aleatoriamente y se puede reservar, pero no puede
elegir qué valor tendrá. En el caso de las direcciones IP privadas, puede seleccionar
el valor de la IP, pero debe ser una IP no utilizada de la subred asociada con la NIC.
[ 61 ]
Administración de direcciones IP
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Si desea cambiar una reserva para una dirección IP privada, siga estos pasos:
[ 62 ]
Capítulo 4
4. Después de realizar estos cambios, haga clic en Save (Guardar) para aplicar
la configuración nueva.
Funcionamiento
Se puede cambiar una reserva para una dirección IP privada. Una vez más, el valor
debe ser una dirección IP no utilizada de una subred asociada a la NIC. Si la VM
asociada a la NIC está desactivada, la nueva dirección IP se asignará en su próximo
inicio. Si la VM se está ejecutando, se reiniciará para aplicar los cambios nuevos.
[ 63 ]
Administración de direcciones IP
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Si desea eliminar una reserva para una dirección IP privada, siga estos pasos:
[ 64 ]
Capítulo 4
4. Después de realizar estos cambios, haga clic en Save (Guardar) para aplicar
la configuración nueva.
Funcionamiento
Podemos eliminar una reserva de dirección IP privada en cualquier momento
cambiando la opción Assignment (Asignación) a Dynamic (Dinámica). Cuando
se realiza este cambio, la VM asociada a la NIC se reiniciará para aplicar los nuevos
cambios. Después de realizar un cambio, una dirección IP privada puede cambiar
después de reiniciar o desactivar la VM.
[ 65 ]
Gateways de
red local y virtual
Los gateways de red locales y virtuales son gateways de red privada virtual (VPN)
que se usan para conectarse a las redes locales y cifrar todo el tráfico que va entre
Azure Virtual Network (VNet) y una red local. Cada red virtual solo puede tener
un gateway de red virtual, pero se puede usar un gateway de red virtual para
configurar varias conexiones VPN.
Requisitos técnicos
Para este capítulo, se necesita lo siguiente:
[ 67 ]
Gateways de red local y virtual
Preparación
Antes de comenzar, abra un explorador web y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para crear un nuevo gateway de red local, se requieren los siguientes pasos:
1. En el portal de Azure, seleccione Create a resource (Crear un recurso)
y elija Local network gateway (Gateway de red local) en los servicios de
Networking (Redes) (o busque local network gateway [gateway de red
local] en la barra de búsqueda).
2. Los parámetros que necesitamos proporcionar son Name (Nombre), IP
address (Dirección IP) (es decir, la dirección IP pública y el firewall local),
Address space (Espacio de direcciones) (el espacio de direcciones local al
que quiere conectarse), Subscription (Suscripción), Resource group (Grupo
de recursos) y Location (Ubicación). Opcionalmente, podemos configurar
opciones de Border Gateway Protocol (BGP):
[ 68 ]
Capítulo 5
Funcionamiento
El gateway de red local se usa para conectar un gateway de red virtual con una
red local. El gateway de red virtual está conectado directamente a la red virtual y
tiene toda la información pertinente de Azure VNet que se necesita para crear una
conexión VPN. Por otro lado, un gateway de red local contiene toda la información
de red local necesaria para crear una conexión VPN.
Preparación
Abra la consola de PowerShell y asegúrese de que está conectado a su suscripción de
Azure.
Procedimiento
Para crear un nuevo gateway de red local, ejecute el siguiente comando:
New-AzureRmLocalNetworkGateway -Name packt-lng-script -ResourceGroupName
'Packt-Networking-Script' -Location 'westeurope' -GatewayIpAddress
'195.222.10.20' -AddressPrefix '192.168.1.0/24'
Funcionamiento
Para implementar un nuevo gateway de red local, necesitamos proporcionar
parámetros para el nombre, el grupo de recursos, la ubicación, la dirección IP del
gateway y el prefijo de dirección que queremos. La dirección IP del gateway es la
dirección IP pública del firewall local al que está intentando conectarse. El prefijo de
dirección es el prefijo de subred de la red local a la que está tratando de conectarse.
Esta dirección debe estar asociada con una dirección de firewall que se proporciona
como dirección IP del gateway.
[ 69 ]
Gateways de red local y virtual
Preparación
Antes de comenzar, abra un explorador web y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para crear un nuevo gateway de red virtual, se requieren los siguientes pasos:
[ 70 ]
Capítulo 5
Funcionamiento
El gateway de red virtual es la segunda parte que se necesita para establecer la
conexión con Azure VNet. Está conectado directamente a la red virtual y es necesario
para crear conexiones de sitio a sitio y de punto a sitio. Necesitamos establecer el tipo
de VPN que debe coincidir con el tipo de dispositivo VPN local cuando se crea una
conexión de sitio a sitio.
Preparación
Abra la consola de PowerShell y asegúrese de que está conectado a su suscripción
de Azure.
Procedimiento
Para crear un nuevo gateway de red virtual, ejecute el siguiente script:
$vnet = Get-AzureRmVirtualNetwork -ResourceGroupName 'Packt-Networking-
Script' -Name 'Packt-Script'
Add-AzureRmVirtualNetworkSubnetConfig -Name 'GatewaySubnet'
-AddressPrefix 10.11.2.0/27 -VirtualNetwork $vnet
$vnet | Set-AzureRmVirtualNetwork
$gwpip = New-AzureRmPublicIpAddress -Name VNet1GWIP -ResourceGroupName
'Packt-Networking-Script' -Location 'westeurope' -AllocationMethod
Dynamic
[ 72 ]
Capítulo 5
Funcionamiento
El script realiza algunas operaciones diferentes para asegurarse de que se cumplan
todos los requisitos para que podamos crear un gateway de red virtual. El primer
paso es recopilar información sobre la red virtual que utilizaremos. A continuación,
agregamos la subred de gateway a la Azure VNet y creamos una dirección IP
pública que usará el gateway de red virtual. Recopilamos toda la información y
nos aseguramos de que todos los recursos necesarios estén presentes y, finalmente,
creamos un nuevo gateway de red virtual.
Preparación
Antes de comenzar, abra un explorador web y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para modificar la configuración de gateway de la red local, siga estos pasos:
[ 73 ]
Gateways de red local y virtual
Funcionamiento
El gateway de red local contiene la información de red local necesaria para crear
una conexión de sitio a sitio entre las redes locales y de Azure. Si esta información
cambia, podemos editarla en la opción Configuration (Configuración). Los
cambios que se pueden realizar son la dirección IP (es decir, la dirección IP pública
del firewall local) y el espacio de direcciones al que nos estamos conectando.
Además, podemos agregar o quitar espacios de direcciones si queremos agregar
o quitar subredes que puedan conectarse a Azure VNet. Si la configuración del
gateway de red local ya no es válida, aún podemos usarla para crear una conexión
completamente nueva a una nueva red local si es necesario.
[ 74 ]
Creación de conexiones
híbridas
Las conexiones híbridas nos permiten crear conexiones seguras con Azure VNet.
Estas conexiones pueden ser locales o de otras Azure VNet. El establecimiento de
conexiones con una Azure VNet permite proteger el tráfico de red con otros servicios
que se ubican en diferentes Azure VNets, diferentes suscripciones o servicios fuera
de Azure (en diferentes nubes o en entornos locales). El uso de conexiones seguras
elimina la necesidad de puntos de conexión expuestos públicamente que presentan un
riesgo potencial de seguridad. Esto es especialmente importante cuando consideramos
la administración, en que la apertura de puntos de conexión públicos crea un riesgo
de seguridad y presenta un problema importante. Por ejemplo, si consideramos
administrar máquinas virtuales, es una práctica común usar Protocolo de escritorio
remoto (RDP) o PowerShell para la administración. La exposición de estos puertos
al acceso público presenta un gran riesgo. Un procedimiento recomendado es
deshabilitar cualquier tipo de acceso público a esos puertos y utilizar solo el acceso
desde una red interna para la administración. En este caso, usaremos una conexión
de sitio a sitio o de punto a sitio para habilitar la administración segura.
En otro escenario, es posible que necesitemos tener acceso a un servicio o una base
de datos en otra red, ya sea local o a través de otra Azure VNet. Nuevamente,
la exposición de estos servicios puede presentar un riesgo, por lo que usamos la
conexión de sitio a sitio, de VNet a VNet o el emparejamiento de VNet para habilitar
esa conexión de forma segura.
En este capítulo, trataremos las siguientes tareas:
• Crear una conexión de sitio a sitio
• Descargar la configuración del dispositivo VPN desde Azure
• Crear una conexión de punto a sitio
• Crear una conexión de VNet a VNet
• Conectar VNet mediante el emparejamiento de red
[ 75 ]
Creación de conexiones híbridas
Requisitos técnicos
Para este capítulo, se necesita lo siguiente:
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para crear una nueva conexión de sitio a sitio, debemos seguir estos pasos:
[ 76 ]
Capítulo 6
[ 77 ]
Creación de conexiones híbridas
[ 78 ]
Capítulo 6
[ 79 ]
Creación de conexiones híbridas
[ 80 ]
Capítulo 6
Funcionamiento
Con el gateway de red virtual, configuramos el lado de Azure del túnel IPsec.
El gateway de red local proporciona información sobre la red local y define el lado
local del túnel con la dirección IP pública y la información de subred local. De esta
manera, el lado del túnel de Azure tiene toda la información pertinente necesaria
para establecer una conexión correcta con una red local. Sin embargo, esto completa
solamente la mitad del trabajo, puesto que también se debe configurar el lado
opuesto de la conexión. Esta parte del trabajo realmente depende del dispositivo
VPN que se utiliza localmente y cada dispositivo tiene pasos de configuración
únicos. Después de que se configuran ambos lados del túnel, el resultado es una
conexión VPN segura y cifrada entre las redes.
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para descargar la configuración del dispositivo VPN, debemos seguir estos pasos:
[ 81 ]
Creación de conexiones híbridas
3. Se abrirá una nueva hoja y verá que todas las opciones de la hoja están
predefinidas:
[ 83 ]
Creación de conexiones híbridas
Funcionamiento
Después de configurar el lado de Azure del túnel IPsec, necesitamos configurar
el otro lado, además del dispositivo VPN local. Los pasos y la configuración son
diferentes para cada dispositivo. En algunos casos, podemos descargar el archivo de
configuración directamente del portal de Azure. Una vez configurado el dispositivo
VPN, todo está configurado y podemos usar el túnel para tener una comunicación
segura entre la red local y una Azure VNet.
Preparación
A fin de crear una conexión de punto a sitio, necesitaremos generar un certificado
que se usará para la conexión. Para crear un certificado, debemos seguir estos pasos:
[ 84 ]
Capítulo 6
[ 85 ]
Creación de conexiones híbridas
[ 86 ]
Capítulo 6
[ 87 ]
Creación de conexiones híbridas
Procedimiento
Para crear una conexión de punto a sitio, necesitamos hacer lo siguiente:
[ 88 ]
Capítulo 6
[ 89 ]
Creación de conexiones híbridas
Funcionamiento
La conexión de punto a sitio nos permite acceder de forma segura a Azure VNet.
Una conexión de sitio a sitio se limita al acceso desde nuestra red local, pero la
conexión punto a sitio nos permite conectarnos desde cualquier lugar. Se usa
la autenticación basada en certificados, que usa el mismo certificado tanto en el
servidor (Azure) como en el cliente (el cliente VPN) para verificar la conexión
y permitir el acceso. Esto nos permite acceder a Azure VNet desde cualquier lugar
y en cualquier momento. Este tipo de conexión se utiliza normalmente para tareas
de administración y mantenimiento, puesto que se trata de una conexión a petición.
Si se necesita una conexión constante, debe considerar una conexión de sitio a sitio.
[ 90 ]
Capítulo 6
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para crear una conexión de VNet a VNet, debemos seguir estos pasos:
[ 91 ]
Creación de conexiones híbridas
[ 92 ]
Capítulo 6
[ 93 ]
Creación de conexiones híbridas
[ 94 ]
Capítulo 6
Funcionamiento
Una conexión de VNet a VNet funciona de forma muy similar a una conexión de
sitio a sitio. La diferencia es que Azure usa un gateway de red local para obtener
información sobre la red local. En este caso, no necesitamos esta información;
utilizamos dos gateways de red virtual para conectarnos. Cada gateway de red
virtual proporciona información de red para la VNet a la que está asociado. Esto
da como resultado conexiones VPN seguras y cifradas entre dos Azure VNet que
se pueden usar para establecer conexiones entre recursos de Azure en ambas VNet.
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
[ 95 ]
Creación de conexiones híbridas
Procedimiento
Para crear emparejamiento de red, debemos realizar los siguientes pasos:
1. En el portal de Azure, busque una de las VNet a las que desea conectarse.
2. En la hoja de la VNet, seleccione la opción Peerings (Emparejamientos) y
seleccione Add (Agregar) para agregar una conexión nueva:
[ 96 ]
Capítulo 6
[ 97 ]
Creación de conexiones híbridas
[ 98 ]
Capítulo 6
Funcionamiento
El emparejamiento de red nos permite establecer una conexión entre dos Azure
VNets en el mismo inquilino de Azure. El emparejamiento usa una red troncal de
Microsoft para enrutar el tráfico privado entre recursos de la misma red, utilizando
solo direcciones IP privadas. No hay necesidad de gateways de red virtual (que crean
un costo adicional), puesto que se crea un "gateway remoto" virtual para establecer
una conexión. La desventaja de este enfoque es que la misma VNet no puede usar
el emparejamiento y un gateway de red virtual al mismo tiempo. Si es necesario
conectar una VNet a la red local y a otra VNet, debemos adoptar un enfoque
diferente y usar un gateway de red virtual que nos permita crear una conexión de
sitio a sitio con una red local y una conexión de VNet a VNet con otra VNet.
[ 99 ]
DNS y enrutamiento
Azure DNS nos permite hospedar dominios de Sistema de nombres de dominio
(DNS) en Azure. Cuando se usa Azure DNS, se usa la infraestructura de Microsoft
para la resolución de nombres, lo que se traduce en consultas DNS rápidas y
confiables. La infraestructura de Microsoft Azure DNS utiliza un gran número de
servidores para proporcionar una gran confiabilidad y disponibilidad del servicio.
Mediante la red Anycast, el servidor DNS más cercano disponible responde cada
consulta DNS a fin de proporcionar una respuesta rápida.
Requisitos técnicos
Para este capítulo, se necesita lo siguiente:
[ 101 ]
DNS y enrutamiento
Preparación
Antes de comenzar, abra el explorador web y vaya al portal de Azure a través de
https://portal.azure.com.
Procedimiento
Para crear una nueva zona de Azure DNS con el portal de Azure, debe seguir estos
pasos:
1. En el portal de Azure, seleccione Create a resource (Crear un recurso) y,
luego, DNS Zone (Zona DNS) en los servicios de Networking (Redes)
(o busque DNS Zone [Zona DNS] en la barra de búsqueda).
2. En la nueva hoja, debemos ingresar información en los campos Name
(Nombre), Subscription (Suscripción) y Resource group (Grupo de
recursos). Si seleccionamos el grupo de recursos existente, la ubicación
será la misma que la del grupo de recursos seleccionado. El campo
Name (Nombre) debe ser un Nombre de dominio completo (FQDN):
[ 102 ]
Capítulo 7
Funcionamiento
Se requiere una zona DNS para comenzar a usar Azure DNS. Se requiere una nueva
zona DNS para cada dominio que queremos hospedar con Azure DNS, puesto que
una sola zona DNS puede contener información para un único dominio. Después
de crear una zona DNS, podemos agregar registros, conjuntos de registros y tablas
de rutas a un dominio hospedado con Azure DNS. Con estos elementos, podemos
enrutar el tráfico y definir destinos mediante un FQDN para los recursos de Azure
(y también otros recursos). Mostraremos cómo crearlos y administrarlos en las
próximas tareas de este capítulo.
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para agregar un nuevo registro a la zona DNS, siga estos pasos:
[ 103 ]
DNS y enrutamiento
3. Se abrirá una nueva hoja. Escriba el nombre del subdominio para el que
desea agregar un registro:
[ 104 ]
Capítulo 7
[ 105 ]
DNS y enrutamiento
Funcionamiento
Un conjunto de registros DNS contiene información sobre el subdominio en el
dominio hospedado con la zona DNS. En este caso, el dominio es toroman.cloud
y el subdominio es test. Esto forma un FQDN, test.toroman.cloud y el registro
dirige este dominio a la dirección IP que definimos. El conjunto de registros puede
contener varios registros para un único subdominio, que normalmente se usa para
la redundancia y la disponibilidad.
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para agregar un nuevo registro a la zona DNS, siga estos pasos:
[ 106 ]
Capítulo 7
Funcionamiento
El enrutamiento de red en Azure VNet se realiza de forma automática, pero podemos
usar enrutamiento personalizado con tablas de rutas. Las tablas de rutas usan reglas
y asociaciones de subred para definir el flujo de tráfico en Azure VNet. Cuando se
crea una nueva tabla de rutas, no se crea ninguna configuración: solo un recurso
vacío. Después de crear el recurso, necesitamos definir las reglas y las subredes a fin
de utilizar una tabla de rutas para el flujo de tráfico. En las siguientes tareas de este
capítulo, mostraremos cómo crear y aplicar reglas en las tablas de rutas.
[ 107 ]
DNS y enrutamiento
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para cambiar la tabla de rutas, se debe hacer lo siguiente:
Funcionamiento
En la configuración de la tabla de rutas, podemos activar o desactivar la propagación
de rutas BGP en cualquier momento. Esta opción, si está desactivada, impide que las
rutas locales se propaguen a través de BGP a las interfaces de red de una subred de
red virtual. En la configuración, podemos crear, eliminar o cambiar rutas y subredes.
Estas opciones se abordarán en las próximas tareas de este capítulo.
[ 108 ]
Capítulo 7
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para asociar una subred con una tabla de rutas, siga estos pasos:
[ 109 ]
DNS y enrutamiento
3. Se abrirá una nueva hoja. Hay dos opciones disponibles que seleccionar: una
red virtual (Virtual network) y la subred (Subnet) que queremos asociar de
la lista:
[ 110 ]
Capítulo 7
[ 111 ]
DNS y enrutamiento
Funcionamiento
Para que la tabla de rutas sea eficaz, debe tener definidas dos partes: el qué y el
cómo. Definimos lo que se verá afectado por la tabla de rutas con una asociación de
subred. Esto es solo una parte de la configuración, puesto que simplemente asociar
una subred a una tabla de rutas no tendrá ningún efecto. Debemos crear reglas que
se apliquen a esta asociación. Explicaremos las reglas en las siguientes tareas de este
capítulo.
[ 112 ]
Capítulo 7
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
A fin de eliminar la asociación entre la subred y la tabla de rutas, tenemos que hacer
lo siguiente:
[ 113 ]
DNS y enrutamiento
[ 114 ]
Capítulo 7
4. El portal de Azure mostrará una lista de las tablas de rutas disponibles para
una red específica. Seleccione None (Ninguna):
[ 115 ]
DNS y enrutamiento
Funcionamiento
En algún momento, es posible que hayamos creado reglas en una tabla de rutas
que se aplican a varias subredes. Si ya no queremos aplicar una o más reglas a
una subred específica, podemos eliminar la asociación. Una vez que se elimina la
asociación, las reglas ya no se aplicarán a la subred. Todas las reglas se aplicarán
a todas las subredes asociadas. Si necesitamos que solo una regla ya no se aplique
a una subred específica, debemos eliminar la asociación.
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para crear una ruta nueva, se debe hacer lo siguiente:
[ 116 ]
Capítulo 7
3. En la hoja nueva, tenemos que definir los campos Route name (Nombre
de ruta) y Address prefix (Prefijo de dirección) (en formato CIDR) para el
intervalo de direcciones IP de destino y seleccione Next hop type (Tipo del
próximo salto). Las opciones para esto incluyen Virtual network gateway
(Gateway de red virtual), Virtual network (Red virtual), Internet, Virtual
appliance (Dispositivo virtual) y None (Ninguno):
[ 117 ]
DNS y enrutamiento
4. La última opción, Next hop address (Dirección del próximo salto), solo está
activa cuando se utiliza un dispositivo virtual. En ese caso, necesitamos
proporcionar la dirección IP del dispositivo virtual en este campo, y todo
el tráfico pasará a través del dispositivo virtual:
Funcionamiento
La ruta define el flujo de tráfico. Todo el tráfico de la subred asociada seguirá la ruta
definida por estas reglas. Si definimos que el tráfico irá a Internet, todo el tráfico
saldrá de la red en un intervalo de direcciones IP definido con un prefijo de dirección
IP. Si elegimos que el tráfico vaya a una red virtual, irá a una subred definida por el
prefijo de dirección IP. Si se utiliza ese gateway de red virtual, todo el tráfico pasará
por el gateway de red virtual y llegará a su conexión en el otro lado, ya sea otra red
virtual o nuestra red local. La opción de dispositivo virtual enviará todo el tráfico al
dispositivo virtual, que, entonces, con su propio conjunto de reglas, define adónde se
dirige el tráfico a continuación.
[ 118 ]
Capítulo 7
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para cambiar la ruta existente, se debe hacer lo siguiente:
[ 119 ]
DNS y enrutamiento
Funcionamiento
Los requisitos para la ruta pueden cambiar con el tiempo. Podemos cambiar la ruta y
ajustarla para adaptarse a los requisitos nuevos según sea necesario. Los escenarios
más comunes son que el tráfico necesita alcanzar un servicio específico cuando la IP
del servicio cambia con el tiempo. Por ejemplo, es posible que necesitemos enrutar
todo el tráfico a través de un dispositivo virtual, pero la dirección IP del dispositivo
virtual cambia con el tiempo. Podemos cambiar la ruta en la tabla de rutas para
reflejar este cambio y forzar el flujo de tráfico a través del dispositivo virtual. Otro
ejemplo es cuando el tráfico necesita llegar a nuestra red local a través de un gateway
de red virtual: el intervalo de direcciones IP de destino puede cambiar con el tiempo
y necesitamos reflejar estos cambios en la ruta una vez más.
[ 120 ]
Capítulo 7
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para eliminar la ruta, se debe hacer lo siguiente:
[ 121 ]
DNS y enrutamiento
[ 122 ]
Capítulo 7
Funcionamiento
A medida que nuestros requisitos cambian, necesitamos abordar los requisitos
nuevos en nuestras tablas de rutas. Podemos editar rutas o eliminarlas para cumplir
con estos requisitos nuevos. Cuando se utilizan varias rutas en una sola tabla de
rutas, una de las rutas puede quedar obsoleta o, incluso, bloquear requisitos nuevos.
En esos casos, es posible que queramos eliminar una ruta para resolver cualquier
problema.
[ 123 ]
Equilibradores de carga
Los equilibradores de carga se usan para admitir escalado y alta disponibilidad
para aplicaciones y servicios. Un equilibrador de carga se compone principalmente
de dos componentes: un front-end y un back-end. Las solicitudes que llegan al
front-end de un equilibrador de carga se distribuyen al back-end, donde colocamos
varias instancias de un servicio. Esto se puede utilizar por razones relacionadas con
el rendimiento, en que nos gustaría distribuir el tráfico por igual entre los puntos de
conexión en el back-end, o para alta disponibilidad, en que se usan varias instancias
de servicios para aumentar la posibilidad de que, al menos, un punto de conexión
esté disponible en todo momento.
Requisitos técnicos
Para este capítulo, se requiere una suscripción a Azure.
[ 125 ]
Equilibradores de carga
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para crear un equilibrador de carga interno con el portal de Azure, siga estos pasos:
[ 126 ]
Capítulo 8
Funcionamiento
Se asigna una dirección IP privada a un equilibrador de carga interno. Todas las
solicitudes que llegan al front-end de un equilibrador de carga interno deben llegar
a una dirección privada, lo que limita el tráfico que llega al equilibrador de carga
para que provenga de la VNet asociada con el equilibrador de carga. El tráfico puede
provenir de otras redes (otras VNets o redes locales) si hay algún tipo de red privada
virtual (VPN). El tráfico que llega al front-end del equilibrador de carga interno se
distribuirá entre los puntos de conexión en el back-end del equilibrador de carga.
Los equilibradores de carga internos generalmente se utilizan para servicios que no
se ubican en una red perimetral (DMZ) (a la que no se puede acceder por Internet),
sino más bien en servicios de nivel intermedio o posterior en una arquitectura de
aplicación de varios niveles.
[ 127 ]
Equilibradores de carga
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para crear un nuevo equilibrador de carga público con el portal de Azure, siga estos
pasos:
[ 128 ]
Capítulo 8
Funcionamiento
Se asigna una dirección IP pública al equilibrador de carga público en el front-
end. Por lo tanto, todas las solicitudes que llegan al equilibrador de carga público
pasan a través de Internet y se dirigen a la dirección IP pública del equilibrador
de carga. Luego, las solicitudes se distribuyen a los puntos de conexión en el back-
end del equilibrador de carga. Lo que resulta interesante es que el equilibrador de
carga público no se orienta a las direcciones IP públicas en el back-end, sino a las
direcciones IP privadas. Por ejemplo, supongamos que tenemos un equilibrador de
carga público con dos VM de Azure en el back-end. El tráfico que llega a la dirección
IP pública del equilibrador de carga se distribuirá a las VM, pero se dirigirá a las
direcciones IP privadas de las VM.
[ 129 ]
Equilibradores de carga
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para crear el grupo de back-end, se debe hacer lo siguiente:
[ 130 ]
Capítulo 8
[ 131 ]
Equilibradores de carga
Funcionamiento
Los dos componentes principales de cualquier equilibrador de carga son el front-end
y el back-end. El front-end define el punto de conexión del equilibrador de carga y el
back-end define adónde debe ir el tráfico después de llegar al equilibrador de carga.
A medida que la información de front-end se crea junto con el equilibrador de carga,
debemos definir el back-end. Luego, el tráfico se distribuirá uniformemente entre los
puntos de conexión en el back-end. Las opciones disponibles para el grupo de back-
end son máquinas virtuales, conjuntos de disponibilidad y conjuntos de escalado
de máquinas virtuales.
Consulte también
Encontrará más información disponible sobre máquinas virtuales, conjuntos de
disponibilidad y conjuntos de escalado de máquinas virtuales, en mi libro, Hands-
On Cloud Administration in Azure (Administración práctica de la nube en Azure),
publicado por Packt en https://www.packtpub.com/virtualization-and-cloud/
hands-cloud-administration-azure.
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para crear un nuevo sondeo de estado en el equilibrador de carga, tenemos que hacer
lo siguiente:
[ 133 ]
Equilibradores de carga
[ 134 ]
Capítulo 8
Funcionamiento
Después de definir el sondeo de estado, este se usará para supervisar los puntos
de conexión en el grupo de back-end. Definimos el protocolo y el puerto como
datos útiles, que proporcionarán información respecto a si el servicio que estamos
utilizando está disponible o no. La supervisión del estado del servidor no bastará,
puesto que podría ser engañosa. Por ejemplo, el servidor podría estar en ejecución
y disponible, pero podría ser que los IIS o SQL Server que usemos no estén
disponibles. Por lo tanto, el protocolo y el puerto detectarán cambios en el servicio
que nos interesa, y no solo si el servidor se está ejecutando. El intervalo define la
frecuencia con la que se realiza una comprobación y el umbral de estado incorrecto
define después de cuántos errores consecutivos se declara que el punto de conexión
no está disponible.
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para crear una regla de equilibrador de carga, se debe hacer lo siguiente:
[ 135 ]
Equilibradores de carga
[ 136 ]
Capítulo 8
[ 137 ]
Equilibradores de carga
Funcionamiento
La regla del equilibrador de carga es la pieza final que une todos los componentes.
Definimos qué dirección IP de front-end se usa y a qué back-end se reenviará el
tráfico del grupo. El sondeo de estado se asigna para supervisar los puntos de
conexión en el grupo de back-end y para realizar un seguimiento de si hay puntos
de conexión que no responden. También creamos una asignación de puertos que
determinará en qué protocolo y en qué puerto escuchará el equilibrador de carga y,
cuando llegue el tráfico, adónde se reenviará este tráfico.
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para crear una regla NAT de entrada, se debe hacer lo siguiente:
[ 138 ]
Capítulo 8
[ 139 ]
Equilibradores de carga
Funcionamiento
Las reglas NAT de entrada crean una asignación de puertos similar a la creada con
la regla del equilibrador de carga. La regla del equilibrador de carga crea ajustes
adicionales, como el sondeo de estado o la persistencia de la sesión. Las reglas NAT
de entrada excluyen estos ajustes y crean una asignación incondicional desde el
front-end hasta el back-end. Otra diferencia es que la regla NAT de entrada reenvía
el tráfico directamente a una sola VM, mientras que una regla de equilibrador de
carga reenvía el tráfico al back-end. Con la regla NAT de entrada, el tráfico reenviado
siempre llegará al único servidor en el back-end, mientras que el equilibrador
de carga reenviará el tráfico al grupo de back-end y finalizará aleatoriamente en
cualquiera de los servidores del grupo de back-end.
[ 140 ]
Traffic Manager
Un equilibrador de carga de Azure se limita a proporcionar alta disponibilidad y
escalabilidad solo a las máquinas virtuales de Azure. Además, un único equilibrador
de carga se limita a las VM de una sola región de Azure. Si queremos proporcionar
lo mismo a otros servicios de Azure distribuidos globalmente, debemos introducir
un componente nuevo: Azure Traffic Manager. Azure Traffic Manager se basa en
DNS y proporciona la capacidad de distribuir el tráfico a través de los servicios y
difundirlo en las regiones de Azure. Sin embargo, Traffic Manager no se limita a los
servicios de Azure. También podemos agregar puntos de conexión externos.
Requisitos técnicos
Para este capítulo, se requiere una suscripción a Azure.
[ 141 ]
Traffic Manager
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para crear un nuevo perfil de Traffic Manager, se debe hacer lo siguiente:
1. En el portal de Azure, seleccione Create a resource (Crear un recurso) y,
luego, Traffic Manager en los servicios de Networking (Redes) (o busque
Traffic Manager en la barra de búsqueda).
2. En la nueva hoja, debemos proporcionar información en los campos Name
(Nombre), Routing method (Método de enrutamiento), Subscription
(Suscripción) y Resource group (Grupo de recursos):
[ 142 ]
Capítulo 9
Funcionamiento
Traffic Manager tiene asignado un punto de conexión público que debe ser un
FQDN. Todo el tráfico que llega a ese punto de conexión se distribuirá a los puntos de
conexión en el back-end, a través del método de enrutamiento definido. El método de
enrutamiento predeterminado es el rendimiento. El método de rendimiento distribuirá
el tráfico en función del mejor rendimiento posible disponible. Por ejemplo, si tenemos
más de un punto de conexión de back-end en la misma región, el tráfico se difundirá
uniformemente. Si los puntos de conexión se encuentran en diferentes regiones, Traffic
Manager dirigirá el tráfico al punto de conexión más cercano al tráfico entrante en
términos de ubicación geográfica y latencia de red mínima.
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para agregar puntos de conexión a Traffic Manager, se debe hacer lo siguiente:
[ 144 ]
Capítulo 9
[ 145 ]
Traffic Manager
[ 146 ]
Capítulo 9
Funcionamiento
Las solicitudes entrantes llegan a Traffic Manager accediendo al punto de conexión
de front-end de Traffic Manager. Según las reglas (principalmente el método
de enrutamiento), el tráfico se reenvía a los puntos de conexión de back-end. El
equilibrador de carga funciona reenviando tráfico a direcciones IP privadas. Por otro
lado, Traffic Manager usa puntos de conexión públicos en el back-end. Los tipos de
punto de conexión admitidos son Azure, externo y anidado. En función de un tipo
de punto de conexión, podemos agregar puntos de conexión de Azure o externos.
Los puntos de conexión pueden ser FQDN (públicos) o direcciones IP públicas. Los
puntos de conexión anidados nos permiten agregar otros perfiles de Traffic Manager
al back-end de Traffic Manager.
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
[ 147 ]
Traffic Manager
Procedimiento
Para establecer el tráfico distribuido, se debe hacer lo siguiente:
[ 148 ]
Capítulo 9
Funcionamiento
El método de enrutamiento ponderado distribuirá el tráfico de forma uniforme en
todos los puntos de conexión en el back-end. Podemos establecer aún más ajustes de
ponderación para dar una ventaja a un determinado punto de conexión y determinar
que algunos puntos de conexión reciban un mayor o un menor porcentaje del tráfico.
Este método se utiliza por lo general cuando tenemos varias instancias de una aplicación
en la misma región, o para escalar horizontalmente a fin de aumentar el rendimiento.
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para establecer el campo Routing method (Método de enrutamiento) en Priority
(Prioridad), se debe hacer lo siguiente:
[ 150 ]
Capítulo 9
Funcionamiento
La prioridad define un orden de prioridad para los puntos de conexión. Todo el
tráfico irá primero a los puntos de conexión con la prioridad más alta. Se realiza una
copia de seguridad de los otros puntos de conexión (con menor prioridad) y el tráfico
se enruta a estos puntos de conexión solo cuando los puntos de conexión de mayor
prioridad no están disponibles. El orden de prioridad predeterminado es el orden
en el que se agregan los puntos de conexión a Traffic Manager. Es decir, el punto de
conexión que se agrega primero se convierte en el que tiene la prioridad más alta y
el punto de conexión que se agrega al último pasa a ser el punto de conexión con la
prioridad menor. La prioridad se puede cambiar en la configuración del punto de
conexión.
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para establecer el método de enrutamiento en la ubicación geográfica, siga estos pasos:
[ 151 ]
Traffic Manager
Funcionamiento
El método de enrutamiento geográfico hace que el origen de la solicitud coincida con
el punto de conexión más cercano en términos de ubicación geográfica.
Por ejemplo, supongamos que tenemos varios puntos de conexión, cada uno en
diferentes continentes. Si una solicitud proviene de Europa, no tendría sentido
enrutarla a Asia o América del Norte. El método de enrutamiento geográfico se
asegurará de que las solicitudes procedentes de Europa se dirijan al punto de
conexión ubicado en Europa.
[ 152 ]
Capítulo 9
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para hacer cambios a los puntos de conexión en Traffic Manager, siga estos pasos:
[ 153 ]
Traffic Manager
Funcionamiento
El punto de conexión existente en el back-end de Traffic Manager se puede cambiar.
Podemos eliminar el punto de conexión para quitarlo completamente de Traffic
Manager, o podemos deshabilitarlo para quitarlo de forma temporal del back-end.
También podemos cambiar el punto de conexión por completo, para que se dirija
a otro servicio o a un tipo totalmente diferente.
Administrar perfiles
El perfil de Traffic Manager es otra configuración que podemos administrar y ajustar.
Aunque tiene opciones muy limitadas, en que solo podemos deshabilitar y habilitar
Traffic Manager, la administración de la configuración del perfil puede ser muy útil
para fines de mantenimiento. En esta tarea, administraremos nuestro perfil de
Traffic Manager.
[ 154 ]
Capítulo 9
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en https://
portal.azure.com.
Procedimiento
Para hacer cambios al perfil de Traffic Manager, siga estos pasos:
[ 155 ]
Traffic Manager
Funcionamiento
Administrar el perfil de Traffic Manager con las opciones de deshabilitar y habilitar
hará que el front-end de Traffic Manager no esté disponible o esté disponible (según
la opción seleccionada). Esto puede ser muy útil para fines de mantenimiento. Si
tenemos que aplicar cambios en todos los puntos de conexión y los cambios deben
aplicarse a todos los puntos de conexión al mismo tiempo, podemos deshabilitar el
perfil de Traffic Manager temporalmente. Una vez que los cambios se apliquen a
todos los puntos de conexión, podemos habilitar el perfil para que Traffic Manager
esté disponible de nuevo.
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para configurar Traffic Manager con un equilibrador de carga, se debe hacer
lo siguiente:
[ 156 ]
Capítulo 9
Funcionamiento
Los equilibradores de carga proporcionan una mejor disponibilidad alta, gracias
a que mantienen un servicio activo, aunque se produzca un error en uno de
los servicios del grupo de back-end. Si se produce un error en una región, los
equilibradores de carga no pueden proporcionar ayuda porque se limitan a una
sola región. Tenemos que proporcionar otro conjunto de recursos en otra región
para aumentar realmente la disponibilidad, pero estos conjuntos serán por completo
independientes y no brindarán conmutación por error a menos que incluyamos
a Traffic Manager. Traffic Manager se convertirá en el front-end y agregaremos
equilibradores de carga como los puntos de conexión de back-end de Traffic
Manager. Todas las solicitudes llegarán primero a Traffic Manager y, a continuación,
se enrutarán al equilibrador de carga adecuado en el back-end. Traffic Manager
supervisará el estado de los equilibradores de carga y, si uno de ellos no está
disponible, el tráfico se redirigirá a un equilibrador de carga activo.
[ 158 ]
Azure Application Gateway
Azure Application Gateway es esencialmente un equilibrador de carga para el tráfico
web, pero también le proporciona un mejor control del tráfico. Los equilibradores
de carga clásicos operan en la capa de transporte y le permiten enrutar el tráfico
en función del protocolo (TCP o UDP) y la dirección IP, mediante la asignación
de direcciones IP y protocolos en el front-end a direcciones IP y protocolos en el
back-end. Azure Application Gateway amplía esta característica y nos permite usar
direcciones URL y rutas de acceso para determinar adónde debe ir el tráfico. Por
ejemplo, podemos tener varios servidores optimizados para diferentes cosas. Si uno
de nuestros servidores está optimizado para video, todas las solicitudes de video
deben enrutarse a ese servidor específico en función de la solicitud de URL entrante.
[ 159 ]
Azure Application Gateway
Requisitos técnicos
Para este capítulo, se requiere una suscripción a Azure.
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para crear un nuevo gateway de aplicación, siga estos pasos:
[ 160 ]
Capítulo 10
[ 161 ]
Azure Application Gateway
[ 162 ]
Capítulo 10
[ 163 ]
Azure Application Gateway
[ 164 ]
Capítulo 10
Funcionamiento
Azure Application Gateway es muy similar a los equilibradores de carga, con
algunas opciones adicionales. Enrutará el tráfico que llegue al front-end del gateway
de aplicación a un back-end definido, en función de las reglas que especifiquemos.
Además del enrutamiento basado en el protocolo y el puerto, el gateway de
aplicación también permite el enrutamiento definido basado en la URL y el tipo de
solicitud. Con estas reglas adicionales, podemos enrutar las solicitudes entrantes a
los puntos de conexión optimizados para algunos roles. Por ejemplo, podemos tener
varios grupos de back-end con diferentes configuraciones que están optimizadas
para realizar solo tareas específicas. En función de las solicitudes entrantes, el
gateway de aplicación enrutará la solicitud al grupo de back-end adecuado. Este
enfoque, además de una alta disponibilidad, proporcionará un mejor rendimiento
mediante el enrutamiento de cada solicitud a un grupo de back-end que procesará la
solicitud de una manera más optimizada.
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para agregar grupos de back-end al gateway de aplicación, siga estos pasos:
[ 166 ]
Capítulo 10
Funcionamiento
Con los grupos de back-end, definimos los destinos a los que se reenviará el tráfico.
Como el gateway de aplicación nos permite definir el enrutamiento por tipo de
solicitud, es mejor tener destinos basados en el rendimiento y tipos agrupados de la
misma manera. Por ejemplo, si tenemos varios servidores web, estos deben colocarse
en el mismo grupo de back-end. Los servidores que se utilizan para procesamiento
de datos deben colocarse en un grupo independiente y los servidores que se usan
para videos en otro grupo distinto. De esta manera, podemos separar los grupos en
función de los tipos de rendimiento y enrutar el tráfico en función de las operaciones
que deben completarse.
[ 167 ]
Azure Application Gateway
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para agregar una configuración HTTP al gateway de aplicación, siga estos pasos:
1. En el portal de Azure, busque el gateway de aplicación creado anteriormente.
2. En la hoja Application gateway (Gateway de aplicación), en Settings
(Configuración), seleccione HTTP settings (Configuración HTTP). Seleccione
Add (Agregar) para agregar una nueva configuración HTTP:
[ 168 ]
Capítulo 10
[ 169 ]
Azure Application Gateway
Funcionamiento
Como se mencionó anteriormente, el propósito principal de la configuración HTTP
es garantizar que las solicitudes se dirijan al grupo de back-end correcto. Pero hay
muchas otras opciones disponibles. La afinidad basada en cookies nos permite
enrutar las solicitudes desde el origen hasta el servidor de destino en el grupo
de back-end. La purga de conexión controlará cómo se puede quitar el servidor
del grupo de back-end. Si esta opción está habilitada, el servidor solo se puede
quitar cuando se hayan detenido todas las conexiones activas. La configuración de
anulación nos permite reemplazar la ruta de acceso de la dirección URL con una ruta
diferente o un dominio completamente nuevo, antes de reenviar la solicitud al grupo
de back-end.
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en https://
portal.azure.com.
Procedimiento
Para agregar un agente de escucha al gateway de aplicación, tenemos que hacer lo
siguiente:
[ 170 ]
Capítulo 10
[ 171 ]
Azure Application Gateway
Funcionamiento
Un agente de escucha supervisa nuevas solicitudes que llegan al gateway de
aplicación. Cada agente de escucha supervisa solo una dirección IP de front-end y
solo un puerto. Si tenemos varias direcciones IP de front-end y tráfico que vienen a
través de varios protocolos y puertos, debemos crear un agente de escucha para cada
dirección IP y cada puerto al que el tráfico puede estar llegando.
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para agregar una regla al gateway de aplicación, siga estos pasos:
[ 172 ]
Capítulo 10
Funcionamiento
Con reglas, podemos unir algunos parámetros de configuración creados
previamente. Definimos un agente de escucha que especifica la solicitud que
esperamos, la dirección IP y el puerto. A continuación, estas solicitudes se reenvían
al grupo de back-end. El reenvío se realiza en función de la configuración HTTP.
Opcionalmente, también podemos agregar redirección a las reglas.
Crear un sondeo
En Azure Application Gateway, se utilizan sondeos para supervisar el estado de
los puntos de conexión de back-end. Se supervisa cada punto de conexión y, si se
descubre que no está en buen estado, se saca temporalmente del grupo. Una vez
que el estado cambia, se agrega de nuevo al grupo. Esto impide que las solicitudes
se envíen a puntos de conexión que no están en buen estado y que es posible que no
resuelvan la solicitud.
[ 173 ]
Azure Application Gateway
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para agregar un sondeo al gateway de aplicación, siga estos pasos:
[ 174 ]
Capítulo 10
Funcionamiento
El protocolo, el host y la ruta definen qué sondeo se supervisará. El intervalo define
la frecuencia con la que se realizarán las comprobaciones. El tiempo de espera
define cuánto tiempo debe pasar antes de que se declare que la comprobación
falló. Por último, el umbral de estado incorrecto se usa para establecer cuántas
comprobaciones erróneas deben producirse antes de que el punto de conexión se
declare no disponible.
[ 175 ]
Azure Application Gateway
Preparación
Para habilitar WAF, debemos establecer el gateway de aplicación en el nivel WAF.
Para hacerlo, siga estos pasos:
[ 176 ]
Capítulo 10
Procedimiento
Después de que el gateway de aplicación se define en WAF, podemos habilitar
y establecer las reglas de firewall. Para hacerlo, siga estos pasos:
[ 177 ]
Azure Application Gateway
[ 178 ]
Capítulo 10
Funcionamiento
La función WAF aumenta la seguridad mediante la comprobación de todo el tráfico
entrante. Como esto puede hacer que el rendimiento sea más lento, podemos excluir
algunos elementos. Los elementos excluidos no se comprobarán. El WAF puede
funcionar en dos modos: detección y prevención. La detección solo detectará si se envía
una solicitud malintencionada, en tanto que la prevención detendrá dicha solicitud.
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
Procedimiento
Para cambiar las reglas de WAF, se debe hacer lo siguiente:
[ 179 ]
Azure Application Gateway
3. Las reglas aparecerán en una lista. Podemos activar o desactivar las casillas
para habilitar o deshabilitar las reglas:
Funcionamiento
El WAF viene con todas las reglas activadas de forma predeterminada. Esto puede
hacer que el rendimiento sea más lento, por lo que podemos deshabilitar algunas de
las reglas si es necesario. Además, hay dos conjuntos de reglas disponibles: OWASP
2.2.9 y OWASP 3.0. El conjunto de reglas predeterminado es OWASP 3.0, pero
podemos cambiar entre conjuntos de reglas según nuestros requisitos.
[ 180 ]
Azure Firewall
La mayoría de los componentes de red de Azure que se usan para la seguridad
están ahí para detener el tráfico entrante no deseado. Ya sea que usemos grupos de
seguridad de red, grupos de seguridad de aplicaciones o un firewall de aplicaciones
web, todos tienen un único propósito: detener el tráfico no deseado que llega a
nuestros servicios. Azure Firewall tiene una funcionalidad similar, incluida una
extensión que podemos usar para impedir que el tráfico saliente deje la red virtual.
Requisitos técnicos
Para este capítulo, se necesita lo siguiente:
[ 181 ]
Azure Firewall
Preparación
Antes de poder crear una instancia de Azure Firewall, debemos preparar la subred.
A fin de crear una nueva subred para Azure Firewall, siga estos pasos:
[ 182 ]
Capítulo 11
Procedimiento
Para crear una nueva instancia de Azure Firewall con el portal de Azure, siga estos
pasos:
[ 183 ]
Azure Firewall
[ 184 ]
Capítulo 11
Funcionamiento
Azure Firewall utiliza un conjunto de reglas para controlar el tráfico saliente.
Podemos bloquear todo de forma predeterminada y permitir solo el tráfico de la lista
de permitidos, o podemos permitir todo y bloquear solo el tráfico de la lista negra.
Preparación
Abra la consola de PowerShell y asegúrese de que está conectado a su suscripción
de Azure.
Procedimiento
Para crear una nueva regla de permiso en Azure Firewall, ejecute el siguiente comando:
$RG="Packt-Networking-Portal"
$Location="West Europe"
$Azfw = Get-AzureRmFirewall -ResourceGroupName $RG
$Rule = New-AzureRmFirewallApplicationRule -Name Rule1 -Protocol
"http:80","https:443" -TargetFqdn "*packt.com"
$RuleCollection = New-AzureRmFirewallApplicationRuleCollection -Name
RuleCollection1 -Priority 100 -Rule $Rule -ActionType "Allow"
$Azfw.ApplicationRuleCollections = $RuleCollection
Set-AzureRmFirewall -AzureFirewall $Azfw
Funcionamiento
Una regla de permiso en Azure Firewall incluirá tráfico específico en la lista blanca.
Si hay una regla que también bloquearía este tráfico, se aplicará la regla de mayor
prioridad.
Preparación
Abra la consola de PowerShell y asegúrese de que está conectado a su suscripción
de Azure.
Procedimiento
Para crear una nueva regla de denegación en Azure Firewall, ejecute el siguiente
comando:
$RG="Packt-Networking-Portal"
$Location="West Europe"
$Azfw = Get-AzureRmFirewall -ResourceGroupName $RG
$Rule = New-AzureRmFirewallApplicationRule -Name Rule1 -Protocol
"http:80","https:443" -TargetFqdn "*google.com"
$RuleCollection = New-AzureRmFirewallApplicationRuleCollection -Name
RuleCollection1 -Priority 100 -Rule $Rule -ActionType "Deny"
$Azfw.ApplicationRuleCollections = $RuleCollection
Set-AzureRmFirewall -AzureFirewall $Azfw
Funcionamiento
La regla de denegación es la opción más utilizada con Azure Firewall. Un enfoque
en el que se bloquea todo y solo se permite el tráfico de la lista blanca no es muy
práctico, puesto que podemos terminar agregando demasiadas reglas de permiso.
Por lo tanto, el enfoque más común es usar reglas de denegación para bloquear
tráfico que queremos evitar.
Preparación
Abra la consola de PowerShell y asegúrese de que está conectado a su suscripción
de Azure.
[ 186 ]
Capítulo 11
Procedimiento
Para crear una nueva tabla de rutas en Azure Firewall, ejecute el siguiente comando:
$RG="Packt-Networking-Portal"
$Location="West Europe"
$Azfw = Get-AzureRmFirewall -ResourceGroupName $RG
$config = $Azfw.IpConfigurations[0].PrivateIPAddress
$Route = New-AzureRmRouteConfig -Name 'Route1' -AddressPrefix
0.0.0.0/0 -NextHopType VirtualAppliance -NextHopIpAddress $config
$RouteTable = New-AzureRmRouteTable -Name 'RouteTable1'
-ResourceGroupName $RG -location $Location -Route $Route
Funcionamiento
Mediante las tablas de rutas asociadas con Azure Firewall, podemos definir cómo
se controla el tráfico entre redes y cómo enrutamos el tráfico de una red a otra.
En un entorno de varias redes, en especial, en una red híbrida donde conectamos
una Azure Virtual Network con una red local, esta opción es muy importante.
Esto nos permite determinar qué tipo de tráfico puede ingresar, y dónde y cómo
puede hacerlo.
Preparación
Antes de comenzar, abra el explorador y vaya al portal de Azure en
https://portal.azure.com.
[ 187 ]
Azure Firewall
Procedimiento
Para habilitar el diagnóstico en Azure Firewall, siga estos pasos:
[ 188 ]
Capítulo 11
Funcionamiento
El diagnóstico tiene dos propósitos: auditoría y solución de problemas. Según el
tráfico y la configuración, estos registros pueden aumentar con el tiempo, por lo que
es importante tener en cuenta el propósito principal para habilitar el diagnóstico en
primer lugar. Si los diagnósticos se habilitan para auditoría, es probable que desee
elegir un máximo de retención de 365 días. Si el propósito principal es la solución
de problemas, el período de retención se puede mantener en 7 días o un tiempo aún
más corto.
[ 189 ]
Otros libros que puede disfrutar
Si disfrutó este libro, puede que le interesen estos otros libros de Packt:
Mohamed Wali
ISBN: 978-1-78961-758-0
[ 191 ]
Otros libros que puede disfrutar
ISBN: 978-1-78961-526-5
[ 192 ]
Otros libros que puede disfrutar
[ 193 ]
Índice
A configuración HTTP
acerca de 168
agente de escucha crear 168, 169, 170
acerca de 170 conjunto de registros
crear 170, 171, 172 crear, en Azure DNS 103, 104, 105
Azure
configuración del dispositivo VPN, D
descargar desde 81, 82, 84
Azure DNS dirección IP privada
conjunto de registros, crear 103, 104, 105 reserva, crear para 60, 61
registro, crear 103, 104, 105 reserva, eliminar para 64, 65
Azure Firewall reserva, modificar para 62, 63
crear 182, 183, 184, 185 dirección IP pública
registros de diagnóstico, habilitar 187, 188, asignar 52, 54
189 cancelar asignación 55, 56
Azure Virtual Network (VNet) 67 crear, con PowerShell 52
crear, en el portal 50, 51
C reserva, crear para 56, 57, 58
reserva, eliminar para 58, 59
Clave precompartida (PSK) 80
conexión de punto a sitio E
acerca de 84
crear 84, 85, 86, 87, 88, 89, 90 emparejamiento de la red
conexión de sitio a sitio utilizado, para conectar VNets 95, 96, 97,
acerca de 76 98, 99
crear 76, 78, 79, 80, 81 Enrutamiento de interdominios sin clases
conexión de VNet a VNet (CIDR) 4
acerca de 91 equilibrador de carga
crear 91, 92, 93, 94, 95 reglas 133
configuración de dispositivo VPN sondeos de estado 133
descargar, desde Azure 81, 82, 83 equilibrador de carga externo 126
enlace de referencia 81 equilibrador de carga interno
configuración de gateway de red local acerca de 126
modificar 73, 74 crear 126, 127
configuración de red, máquinas virtuales equilibrador de carga público
ver 22, 23 acerca de 128
crear 128, 129
[ 195 ]
equilibradores de carga M
Traffic Manager, configurar con 156, 157,
158 Máquinas virtuales (VM) 15
configuración de red, visualización 22, 23
F interfaz de red, conectada a 25, 26
interfaz de red, desconectada de 26
Firewall de aplicaciones web (WAF) máquina virtual (VM) 126
configurar 176, 177, 178, 179 acerca de 29
reglas, personalizar 179
N
G
Nombre de dominio completo (FQDN) 102,
gateway de aplicación 142
acerca de 160, 162 NSG
agente de escucha, agregar 170, 171, 172 asignar, a la subred 37, 39, 40
configuración HTTP, agregar 168, 169, 170 asignar, a una interfaz de red 40, 41, 43
crear 160, 162, 164 asignar, con PowerShell 43
en proceso 165 crear, con PowerShell 31
grupos de back-end, agregar 166, 167 crear, en portal de Azure 30, 31
regla, agregar 172, 173 regla de denegación, crear en 34, 36
sondeo, agregar 174, 175 regla de permiso, crear en 32, 34
gateway de red local
crear, con PowerShell 69 O
crear, en el portal 68, 69
gateway de red virtual opciones, para el grupo de back-end
crear, con PowerShell 72 conjuntos de disponibilidad 132
crear, en el portal 70, 71, 72 conjuntos de escalado de máquinas 132
grupo de back-end máquinas virtuales 132
configurar 165, 166, 167 OWASP 2.2.9 180
crear 130, 131, 132 OWASP 3.0 180
Grupo de seguridad de aplicaciones (ASG)
asociar, con VM 45, 46 P
crear 44, 45
Grupos de seguridad de red (NSGs) 51 perfil de Traffic Manager
acerca de 29 administración 154, 155, 156
crear 142, 143
portal
I dirección IP pública, crear en 50, 51
interfaz de red gateway de red local, crear en 68, 69
conexión, a VM 25, 26 gateway de red virtual, crear en 70, 71, 72
crear 23, 25 portal de Azure
desconexión, de VM 26, 27 enlace de referencia 15
NSG, asignar a 40, 41, 43 NSG, crear en 30, 31
interfaz de red (NIC) 21, 53, 131 utilizado, para agregar subred 5, 6, 7, 8
acerca de 29 utilizado, para crear la red virtual 2, 3, 4
PowerShell
acerca de 4
gateway de red local, crear 69
[ 196 ]
gateway de red virtual, crear 72 en proceso 140
NSG, asignar con 43 Reglas de WAF
usado, para crear dirección IP pública 52 personalizar 179, 180
usado, para crear NSG 31 reserva
usado, para crear regla de NSG 36 crear, para la dirección IP privada 60, 61
utilizado, para agregar subred 8, 9 crear, para la dirección IP pública 56, 57, 58
utilizado, para crear la red virtual 4, 5 eliminar, para la dirección IP privada 64, 65
Protocolo de escritorio remoto (RDP) 75 eliminar, para la dirección IP pública 58, 59
punto de conexión modificar, para la dirección IP privada 62, 63
administración 153, 154 ruta
agregar, a Traffic Manager 143, 144, 146, crear 116, 117, 118
147 eliminar 120, 121, 122
modificar 118, 119, 120
R
S
red perimetral (DMZ) 127
red privada virtual (VPN) 67, 127 Sistema de nombres de dominio (DNS) 101
Red privada virtual (VPN) 8 sondeo
red virtual acerca de 173
creación, portal de Azure utilizado 2, 3, 4 crear 174, 175
crear, con PowerShell 4, 5 Firewall de aplicaciones web (WAF), con-
referencia de almacén (SKU) 51 figurar 176
registro sondeos de estado
crear, en Azure DNS 103, 104, 105 acerca de 132
registros de diagnóstico crear 133, 134
habilitación, para Azure Firewall 187, 188, en proceso 135
189 subred
regla agregar, con portal de Azure 5, 6, 7, 8
acerca de 172 agregar, con PowerShell 8, 9
crear 172, 173 NSG, asignar a 37, 39, 40
regla de denegación tabla de rutas, asociar con 109, 110, 111, 112
configurar 185, 186 tabla de rutas, desasociar de 112, 113, 115
crear, en NSG 34, 36 tamaño, modificar 11, 12, 13
regla de permiso
configurar 185 T
crear, en NSG 32, 34
Regla NSG tabla de rutas
crear, con PowerShell 36 asociar, con subred 109, 110, 111, 112
reglas configurar 186, 187
crear, con NSG y ASG 46, 47, 48 crear 106, 107
reglas del equilibrador de carga desasociar, de la subred 112, 113, 115
acerca de 135 modificar 107, 108
crear 135, 136, 137, 138 tamaño del espacio de direcciones
reglas de traducción de direcciones de red modificar 10, 11
(NAT) Traffic Manager
acerca de 138 configurar, con equilibradores de carga
crear 138, 139, 140 156, 157, 158
[ 197 ]
punto de conexión, agregar a 143, 144, 146,
147
tráfico
configurar, en función de la prioridad 149,
151
configurar, en función de la ubicación ge-
ográfica 151, 152
tráfico distribuido
configurar 147, 149
V
VM
ASG, asociar con 45, 46
VM de Azure
crear 15, 16, 17, 18, 19, 20, 21
VNets
conexión, emparejamiento de red utilizado
95, 96, 97, 98, 99
Z
Zona de Azure DNS
crear 102, 103
[ 198 ]