Redes en Azure-Original

Manual de redes
de Azure
Segunda edición
Tareas prácticas para la infraestructura de red segura,

la entrega de aplicaciones globales y la conectividad
accesible en Azure
Mustafa Toroman
Manual de redes
de Azure
Segunda edición
Tareas prácticas para la infraestructura de red

segura, la entrega de aplicaciones globales
y la conectividad accesible en Azure
Mustafa Toroman
Manual de redes de Azure, segunda edición
Copyright © 2020 Packt Publishing
Todos los derechos reservados. No está permitida la reproducción, el almacenamiento
en un sistema de recuperación ni la transmisión en cualquier formato o por cualquier
medio de cualquier parte de este libro sin la autorización previa y por escrito del editor,
salvo en el caso de citas breves introducidas en artículos o revistas de opinión crítica.
Durante la preparación de este libro, se hizo todo lo posible por asegurar la exactitud de
la información presentada. Sin embargo, los datos que contiene este libro se venden sin
garantía, ya sea expresa o implícita. Ni el autor, ni Packt Publishing, sus concesionarios
y distribuidores, se considerarán responsables de cualquier daño causado o
presuntamente causado de manera directa o indirecta por el contenido de este libro.
PACKT Publishing intentó proporcionar información de marca de todas las empresas y
los productos mencionados en este libro mediante el uso adecuado de mayúsculas. Sin
embargo, Packt Publishing no garantiza la exactitud de esta información.
Autor: Mustafa Toroman
Revisores técnicos: Kapil Bansal, Rithin Skaria
Jefes de redacción: Mamta Yadav, Siddhant Jain
Editores de adquisiciones: Ben Renow-Clarke y Divya Mudaliar
Editor de producción: Deepak Chavan
Consejo editorial: Alex Patterson, Arijit Sarkar, Ben Renow-Clarke, Dominic Shakeshaft,
Edward Doxey, Joanne Lovell y Vishal Bodwani
Primera publicación: marzo de 2019
Segunda publicación: octubre de 2020
Referencia de producción: 1281020
ISBN: 978-1-80056-375-9
Publicado por Packt Publishing Ltd.
Livery Place, 35 Livery Street
Birmingham B3 2PB, Reino Unido.
Tabla de contenido
Prólogo   i
Capítulo 1: Azure Virtual Network   1
Requisitos técnicos ..................................................................................................  1
Crear una red virtual en Azure Portal ...................................................................  2
Preparación ..................................................................................................................... 2
Procedimiento ................................................................................................................. 2
Funcionamiento .............................................................................................................. 6
Crear una red virtual con PowerShell ...................................................................  6
Preparación ..................................................................................................................... 6
Procedimiento ................................................................................................................. 7
Funcionamiento .............................................................................................................. 7
Agregar una subred en Azure Portal .....................................................................  8
Preparación ..................................................................................................................... 8
Procedimiento ................................................................................................................. 8
Funcionamiento ............................................................................................................ 11
Agregar una subred con PowerShell ...................................................................  11
Preparación ................................................................................................................... 11
Procedimiento ............................................................................................................... 12
Funcionamiento ............................................................................................................ 12
Aún hay más... ............................................................................................................... 12
Cambiar el tamaño del espacio de direcciones .................................................  13
Preparación ................................................................................................................... 13
Procedimiento ............................................................................................................... 13
Funcionamiento ............................................................................................................ 14
Cambiar el tamaño de la subred .........................................................................  14
Preparación ................................................................................................................... 14
Procedimiento ............................................................................................................... 14
Funcionamiento ............................................................................................................ 16
Capítulo 2: Redes de máquinas virtuales   17
Requisitos técnicos ................................................................................................  17

Crear máquinas virtuales Azure ..........................................................................  18
Preparación ................................................................................................................... 18
Procedimiento ............................................................................................................... 18
Funcionamiento ............................................................................................................ 24
Aún hay más... ............................................................................................................... 25
Ver la configuración de red de la VM ..................................................................  25
Preparación ................................................................................................................... 25
Procedimiento ............................................................................................................... 25
Funcionamiento ............................................................................................................ 26
Crear una NIC nueva .............................................................................................  26
Preparación ................................................................................................................... 26
Procedimiento ............................................................................................................... 27
Funcionamiento  ........................................................................................................... 27
Asociar una NIC a una VM ....................................................................................  28
Preparación ................................................................................................................... 28
Procedimiento ............................................................................................................... 28
Funcionamiento ............................................................................................................ 28
Desasociar una NIC de una VM ............................................................................  29
Preparación ................................................................................................................... 29
Procedimiento ............................................................................................................... 29
Funcionamiento ............................................................................................................ 29
Capítulo 3: Grupos de seguridad de red   31

Crear un NSG nuevo en Azure Portal ..................................................................  32
Preparación ................................................................................................................... 32
Procedimiento ............................................................................................................... 33
Funcionamiento ............................................................................................................ 33
Crear un NSG nuevo con PowerShell ..................................................................  34
Preparación ................................................................................................................... 34
Procedimiento ............................................................................................................... 34
Funcionamiento ............................................................................................................ 34
Crear una nueva regla de permiso en un NSG ...................................................  35
Preparación ................................................................................................................... 35
Procedimiento ............................................................................................................... 35
Funcionamiento ............................................................................................................ 37
Crear una nueva regla de denegación en un NSG .............................................  37
Preparación ................................................................................................................... 37
Procedimiento ............................................................................................................... 37
Funcionamiento ............................................................................................................ 39
Crear una nueva regla de NSG con PowerShell .................................................  39
Preparación ................................................................................................................... 39
Procedimiento ............................................................................................................... 39
Funcionamiento ............................................................................................................ 39
Aún hay más... ............................................................................................................... 40
Asignar un NSG a una subred ..............................................................................  40
Preparación ................................................................................................................... 40
Procedimiento ............................................................................................................... 40
Funcionamiento ............................................................................................................ 42
Asignar un NSG a una interfaz de red .................................................................  42
Preparación ................................................................................................................... 42
Procedimiento ............................................................................................................... 42
Funcionamiento ............................................................................................................ 44
Asignar un NSG a una subred con PowerShell ...................................................  44
Preparación ................................................................................................................... 44
Procedimiento ............................................................................................................... 44
Funcionamiento ............................................................................................................ 44
Crear un Grupo de seguridad de aplicaciones (ASG) .........................................  45
Preparación ................................................................................................................... 45
Procedimiento ............................................................................................................... 45
Funcionamiento ............................................................................................................ 46
Asociar un ASG con una VM ..................................................................................  46
Preparación ................................................................................................................... 46
Procedimiento ............................................................................................................... 46
Funcionamiento ............................................................................................................ 48
Crear reglas con un NSG y un ASG .......................................................................  48
Preparación ................................................................................................................... 48
Procedimiento ............................................................................................................... 48
Funcionamiento ............................................................................................................ 49
Capítulo 4: Administración de direcciones IP   51

Crear una nueva dirección IP pública en Azure Portal  .....................................  52
Preparación ................................................................................................................... 52
Procedimiento ............................................................................................................... 53
Funcionamiento ............................................................................................................ 54
Crear una nueva dirección IP pública con PowerShell ......................................  54
Preparación ................................................................................................................... 54
Procedimiento ............................................................................................................... 54
Funcionamiento ............................................................................................................ 54
Asignar una dirección IP pública ..........................................................................  55
Preparación ................................................................................................................... 55
Procedimiento ............................................................................................................... 55
Funcionamiento ............................................................................................................ 56
Cancelar la asignación de una dirección IP pública ...........................................  57
Preparación ................................................................................................................... 57
Procedimiento ............................................................................................................... 57
Funcionamiento ............................................................................................................ 58
Crear una reserva para una dirección IP pública ..............................................  58
Preparación ................................................................................................................... 58
Procedimiento ............................................................................................................... 59
Funcionamiento ............................................................................................................ 59
Eliminar una reserva para una dirección IP pública ..........................................  60
Preparación ................................................................................................................... 60
Procedimiento ............................................................................................................... 60
Funcionamiento ............................................................................................................ 61
Crear una reserva para una dirección IP privada ..............................................  61
Preparación ................................................................................................................... 61
Procedimiento ............................................................................................................... 61
Funcionamiento ............................................................................................................ 62
Cambiar una reserva para una dirección IP privada .........................................  63
Preparación ................................................................................................................... 63
Procedimiento ............................................................................................................... 63
Funcionamiento ............................................................................................................ 64
Eliminar una reserva para una dirección IP privada .........................................  65
Preparación ................................................................................................................... 65
Procedimiento ............................................................................................................... 65
Funcionamiento ............................................................................................................ 66
Agregar varias direcciones IP a una NIC .............................................................  67
Preparación ................................................................................................................... 67
Procedimiento ............................................................................................................... 67
Funcionamiento ............................................................................................................ 69
Crear un prefijo de dirección IP pública ..............................................................  70
Procedimiento ............................................................................................................... 70
Funcionamiento ............................................................................................................ 71
Capítulo 5: Gateways de red local y virtual   73

Crear un gateway de red local en Azure Portal .................................................  74
Preparación ................................................................................................................... 74
Procedimiento ............................................................................................................... 74
Funcionamiento ............................................................................................................ 75
Crear un gateway de red local con PowerShell ..................................................  76
Preparación ................................................................................................................... 76
Procedimiento ............................................................................................................... 76
Funcionamiento ............................................................................................................ 76
Crear un gateway de red virtual en Azure Portal ..............................................  76
Preparación ................................................................................................................... 76
Procedimiento ............................................................................................................... 77
Funcionamiento ............................................................................................................ 78
Crear un gateway de red virtual con PowerShell ..............................................  79
Preparación ................................................................................................................... 79
Procedimiento ............................................................................................................... 79
Funcionamiento ............................................................................................................ 80
Modificar la configuración del gateway de red local .........................................  80
Preparación ................................................................................................................... 80
Procedimiento ............................................................................................................... 80
Funcionamiento ............................................................................................................ 81
Capítulo 6: DNS y enrutamiento   83

Crear una zona de Azure DNS ..............................................................................  84
Preparación ................................................................................................................... 84
Procedimiento ............................................................................................................... 84
Funcionamiento ............................................................................................................ 85
Crear una zona DNS privada de Azure ................................................................  86
Preparación ................................................................................................................... 86
Procedimiento ............................................................................................................... 86
Funcionamiento ............................................................................................................ 87
Integrar una red virtual con una zona DNS privada .........................................  87
Preparación ................................................................................................................... 87
Procedimiento ............................................................................................................... 87
Funcionamiento ............................................................................................................ 88
Crear un nuevo conjunto de registros en Azure DNS .......................................  88
Preparación ................................................................................................................... 89
Procedimiento ............................................................................................................... 89
Funcionamiento ............................................................................................................ 91
Crear una tabla de rutas .......................................................................................  91
Preparación ................................................................................................................... 92
Procedimiento ............................................................................................................... 92
Funcionamiento ............................................................................................................ 92
Cambiar una tabla de rutas ..................................................................................  93
Preparación ................................................................................................................... 93
Procedimiento ............................................................................................................... 93
Funcionamiento ............................................................................................................ 93
Asociar una tabla de rutas con una subred ........................................................  94
Preparación ................................................................................................................... 94
Procedimiento ............................................................................................................... 94
Funcionamiento ............................................................................................................ 96
Desasociar una tabla de rutas de una subred ...................................................  97
Preparación ................................................................................................................... 97
Procedimiento ............................................................................................................... 97
Funcionamiento ............................................................................................................ 99
Crear una ruta nueva ..........................................................................................  100
Preparación ................................................................................................................  100
Procedimiento ............................................................................................................  100
Funcionamiento .........................................................................................................  102
Cambiar una ruta .................................................................................................  102
Preparación ................................................................................................................  102
Procedimiento ............................................................................................................  102
Funcionamiento .........................................................................................................  103
Eliminar una ruta .................................................................................................  103
Preparación ................................................................................................................  103
Procedimiento ............................................................................................................  104
Funcionamiento .........................................................................................................  105
Capítulo 7: Azure Firewall   107
Requisitos técnicos ..............................................................................................  108

Crear un nuevo firewall ......................................................................................  108
Preparación ................................................................................................................  108
Procedimiento ............................................................................................................  110
Funcionamiento .........................................................................................................  110
Crear un nuevo firewall con PowerShell ...........................................................  111
Procedimiento ............................................................................................................  111
Funcionamiento .........................................................................................................  112
Configurar una nueva regla de permiso ...........................................................  112
Preparación ................................................................................................................  112
Procedimiento ............................................................................................................  112
Funcionamiento .........................................................................................................  112
Configurar una nueva regla de denegación .....................................................  113
Preparación ................................................................................................................  113
Procedimiento ............................................................................................................  113
Funcionamiento .........................................................................................................  113
Configurar una tabla de rutas ............................................................................  113
Preparación ................................................................................................................  113
Procedimiento ............................................................................................................  114
Funcionamiento .........................................................................................................  114
Habilitar registros de diagnóstico para Azure Firewall ...................................  114
Preparación ................................................................................................................  114
Procedimiento ............................................................................................................  114
Funcionamiento .........................................................................................................  116
Configurar Azure Firewall en el modo de tunelización forzada .....................  116
Preparación ................................................................................................................  116
Procedimiento ............................................................................................................  116
Funcionamiento .........................................................................................................  120
Crear un grupo de IP ...........................................................................................  120
Preparación ................................................................................................................  120
Procedimiento ............................................................................................................  120
Funcionamiento .........................................................................................................  121
Configurar las opciones de DNS de Azure Firewall ..........................................  121
Preparación ................................................................................................................  121
Procedimiento ............................................................................................................  121
Funcionamiento .........................................................................................................  122
Capítulo 8: Creación de conexiones híbridas   123

Crear una conexión de sitio a sitio ....................................................................  124
Preparación ................................................................................................................  125
Procedimiento ............................................................................................................  125
Funcionamiento .........................................................................................................  128
Descargar la configuración del dispositivo VPN desde Azure ........................  128
Preparación ................................................................................................................  128
Procedimiento ............................................................................................................  128
Funcionamiento .........................................................................................................  130
Crear una conexión de punto a sitio .................................................................  130
Preparación ................................................................................................................  130
Procedimiento ............................................................................................................  133
Funcionamiento .........................................................................................................  136
Crear una conexión de VNet a VNet ..................................................................  136
Preparación ................................................................................................................  136
Procedimiento ............................................................................................................  136
Funcionamiento .........................................................................................................  139
Conectar VNets mediante el emparejamiento de red ....................................  139
Preparación ................................................................................................................  140
Procedimiento ............................................................................................................  140
Funcionamiento .........................................................................................................  143
Capítulo 9: Conexión de los recursos de forma segura   145

Crear una instancia de Azure Bastion ...............................................................  146
Preparación ................................................................................................................  147
Procedimiento ............................................................................................................  149
Funcionamiento .........................................................................................................  150
Conectarse a una máquina virtual con Azure Bastion ....................................  150
Preparación ................................................................................................................  150
Procedimiento ............................................................................................................  150
Funcionamiento .........................................................................................................  151
Crear una WAN virtual ........................................................................................  151
Preparación ................................................................................................................  151
Procedimiento ............................................................................................................  152
Funcionamiento .........................................................................................................  152
Crear un centro de conectividad (en Virtual WAN) .........................................  153
Preparación ................................................................................................................  153
Procedimiento ............................................................................................................  153
Funcionamiento .........................................................................................................  158
Agregar una conexión de sitio a sitio (en un centro virtual) ..........................  158
Preparación ................................................................................................................  158
Procedimiento ............................................................................................................  159
Funcionamiento .........................................................................................................  163
Agregar una conexión de red virtual (en un centro virtual) ...........................  163
Preparación ................................................................................................................  163
Procedimiento ............................................................................................................  164
Funcionamiento .........................................................................................................  166
Crear un punto de conexión de Private Link ....................................................  166
Preparación ................................................................................................................  166
Procedimiento ............................................................................................................  168
Funcionamiento .........................................................................................................  170
Crear un servicio de Private Link .......................................................................  170
Preparación ................................................................................................................  171
Procedimiento ............................................................................................................  171
Funcionamiento .........................................................................................................  173
Capítulo 10: Equilibradores de carga   175

Crear un equilibrador de carga interno ............................................................  176
Preparación ................................................................................................................  176
Procedimiento ............................................................................................................  176
Funcionamiento .........................................................................................................  178
Crear un equilibrador de carga público ............................................................  178
Preparación ................................................................................................................  178
Procedimiento ............................................................................................................  178
Funcionamiento .........................................................................................................  180
Crear un grupo de back-end ...............................................................................  180
Preparación ................................................................................................................  180
Procedimiento ............................................................................................................  181
Funcionamiento .........................................................................................................  184
Consulte también ......................................................................................................  184
Crear sondeos de estado ....................................................................................  184
Preparación ................................................................................................................  184
Procedimiento ............................................................................................................  184
Funcionamiento .........................................................................................................  186
Crear reglas de equilibrador de carga ...............................................................  186
Preparación ................................................................................................................  186
Procedimiento ............................................................................................................  186
Funcionamiento .........................................................................................................  188
Crear reglas NAT de entrada ..............................................................................  188
Preparación ................................................................................................................  188
Procedimiento ............................................................................................................  188
Funcionamiento .........................................................................................................  190
Crear reglas de salida explícitas ........................................................................  190
Preparación ................................................................................................................  190
Procedimiento ............................................................................................................  191
Funcionamiento .........................................................................................................  193
Capítulo 11: Traffic Manager   195

Crear un nuevo perfil de Traffic Manager ........................................................  196
Preparación ................................................................................................................  196
Procedimiento ............................................................................................................  196
Funcionamiento .........................................................................................................  197
Agregar un punto de conexión ..........................................................................  197
Preparación ................................................................................................................  198
Procedimiento ............................................................................................................  198
Funcionamiento .........................................................................................................  201
Configurar el tráfico distribuido ........................................................................  201
Preparación ................................................................................................................  201
Procedimiento ............................................................................................................  202
Funcionamiento .........................................................................................................  203
Configurar el tráfico en función de la prioridad ..............................................  203
Preparación ................................................................................................................  203
Procedimiento ............................................................................................................  204
Funcionamiento .........................................................................................................  204
Configurar el tráfico en función de la ubicación geográfica ..........................  205
Preparación ................................................................................................................  205
Procedimiento ............................................................................................................  205
Funcionamiento .........................................................................................................  206
Administrar puntos de conexión .......................................................................  206
Preparación ................................................................................................................  206
Procedimiento ............................................................................................................  206
Funcionamiento .........................................................................................................  207
Administrar perfiles .............................................................................................  207
Preparación ................................................................................................................  207
Procedimiento ............................................................................................................  208
Funcionamiento .........................................................................................................  208
Configurar Traffic Manager con equilibradores de carga ..............................  209
Preparación ................................................................................................................  209
Procedimiento ............................................................................................................  209
Funcionamiento .........................................................................................................  210
Capítulo 12: Azure Application Gateway y Azure WAF   211

Crear un nuevo gateway de aplicación .............................................................  212
Preparación ................................................................................................................  212
Procedimiento ............................................................................................................  213
Funcionamiento .........................................................................................................  221
Configurar los grupos de back-end ...................................................................  221
Preparación ................................................................................................................  221
Procedimiento ............................................................................................................  222
Funcionamiento .........................................................................................................  223
Establecer la configuración de HTTP .................................................................  224
Preparación ................................................................................................................  224
Procedimiento ............................................................................................................  224
Funcionamiento .........................................................................................................  226
Configurar agentes de escucha ..........................................................................  226
Preparación ................................................................................................................  226
Procedimiento ............................................................................................................  226
Funcionamiento .........................................................................................................  227
Configurar reglas .................................................................................................  228
Preparación ................................................................................................................  228
Procedimiento ............................................................................................................  228
Funcionamiento .........................................................................................................  229
Configurar sondeos .............................................................................................  230
Preparación ................................................................................................................  230
Procedimiento ............................................................................................................  230
Funcionamiento .........................................................................................................  231
Configurar un Firewall de aplicaciones web (WAF) .........................................  231
Preparación ................................................................................................................  232
Procedimiento ............................................................................................................  232
Funcionamiento .........................................................................................................  234
Personalizar reglas de WAF ................................................................................  234
Preparación ................................................................................................................  234
Procedimiento ............................................................................................................  234
Funcionamiento .........................................................................................................  236
Crear una directiva de WAF ................................................................................  236
Preparación ................................................................................................................  236
Procedimiento ............................................................................................................  236
Funcionamiento .........................................................................................................  241
Capítulo 13: Azure Front Door y Azure CDN   243

Crear una instancia de Azure Front Door .........................................................  244
Preparación ................................................................................................................  244
Procedimiento ............................................................................................................  244
Funcionamiento .........................................................................................................  252
Crear un perfil de Azure CDN .............................................................................  254
Preparación ................................................................................................................  254
Procedimiento ............................................................................................................  254
Funcionamiento .........................................................................................................  255
Índice   257
Prólogo
>
Acerca de
En esta sección, se presenta brevemente al autor y a los revisores técnicos, el alcance de este
manual, las aptitudes técnicas que necesitará para empezar y el hardware y software requeridos
para completar todas las tareas incluidas.
ii | Prólogo
Acerca del Manual de redes de Azure, segunda edición

Los servicios de red de Azure permiten a las organizaciones administrar sus redes de
manera eficaz. Azure prepara el camino para que una empresa logre un rendimiento
confiable y una conectividad segura.
El Manual de redes de Azure, segunda edición comienza con una introducción a las redes
de Azure, que abarca pasos básicos, como la creación de redes virtuales de Azure, el
diseño de espacios de direcciones y la creación de subredes. También aprenderá cómo
crear y administrar grupos de seguridad de red, grupos de seguridad de aplicaciones y
direcciones IP en Azure.
A medida que avance, explorará diversos aspectos, como las conexiones de sitio a sitio,
de punto a sitio y de red virtual a red virtual, DNS y enrutamiento, equilibradores de
carga y Traffic Manager. En este manual, se abarcan todos los aspectos y funciones
que necesita conocer, se proporcionan tareas prácticas para ayudarlo a pasar de tener
un conocimiento básico de las prácticas de redes en la nube a ser capaz de planificar,
implementar y proteger su infraestructura de red con Azure.
Este libro no solo le ayudará a escalar su entorno actual, sino que también le enseñará
a supervisar, diagnosticar y garantizar una conectividad segura. Después de aprender
a crear un entorno sólido, obtendrá conocimientos significativos a partir de tareas
relacionadas con los procedimientos recomendados.
Cuando termine este manual, tendrá suficiente experiencia práctica en proporcionar
soluciones rentables para facilitar la conectividad eficiente en su organización.
Acerca del autor

Mustafa Toroman es un arquitecto de soluciones con Authority Partners. Con
años de experiencia en el diseño y la supervisión de soluciones de infraestructura,
últimamente, se ha centrado en el diseño de nuevas soluciones en la nube y la
migración de soluciones existentes a la nube. Está muy interesado en los procesos de
DevOps y también es un entusiasta de la infraestructura como código. Mustafa tiene
más de 50 certificaciones de Microsoft y se ha desempeñado como Microsoft Certified
Trainer desde el año 2012. A menudo, es orador en conferencias internacionales sobre
tecnologías en la nube y ha sido galardonado con el premio MVP para Azure durante los
últimos cinco años consecutivos.
Mustafa también es el autor de Hands-On Cloud Administration in Azure
(Administración práctica de la nube en Azure) y es coautor de Learn Node.js with Azure
(Aprenda a usar Node.js con Azure) y Mastering Azure Security (Dominar la seguridad de
Azure), todos publicados por Packt.
Acerca de los revisores | iii
Acerca de los revisores

Kapil Bansal es ingeniero líder de DevOps en S&P Global Market Intelligence, India.
Tiene más de 12 años de experiencia en la industria de la TI, ha trabajado en informática
en la nube de Azure (PaaS, IaaS y SaaS), Azure Stack, DevSecOps, Kubernetes,
Terraform, Office 365, SharePoint, administración de versiones, administración del
ciclo de vida de las aplicaciones (ALM), Biblioteca de infraestructura de tecnologías
de la información (ITIL) y Six Sigma. Ha trabajado con empresas como IBM India Pvt
Ltd, HCL Technologies, NIIT Technologies, Encore Capital Group y Xavient Software
Solutions, Noida. También ha brindado servicios a varios clientes con sede en Estados
Unidos, Reino Unido y África, como T-Mobile, World Bank Group, H&M, WBMI, Encore
Capital y Bharti Airtel (India y África). Kapil también revisó Kubernetes práctico en Azure
y el Manual de redes de Azure publicados por Packt. Además, ha contribuido en los
eBooks IaaS práctica de Microsoft Azure e Introducción a los sitios de comunicación de
SharePoint publicados por Apress.
Rithin Skaria es un evangelista de open source con más de 7 años de experiencia en
la administración de cargas de trabajo de open source en Azure, AWS y OpenStack.
Actualmente trabaja para Microsoft y es parte de varias actividades comunitarias de
open source realizadas en Microsoft. Es un Microsoft Certified Trainer, ingeniero
y administrador certificado de Linux Foundation, desarrollador y administrador de
aplicaciones de Kubernetes, y también administrador de OpenStack certificado. Con
respecto a Azure, tiene cuatro certificaciones, que incluyen para arquitectura de
soluciones, administración de Azure, DevOps y seguridad, y también está certificado en
la administración de Microsoft 365. Ha desempeñado un papel fundamental en varias
implementaciones de open source y en la administración y migración de estas cargas
de trabajo a la nube. Es coautor de los eBooks Administración de Linux en Azure y Azure
para arquitectos, tercera edición publicados por Packt.
Objetivos de aprendizaje
Al final de este manual, podrá realizar las siguientes tareas:
• Crear servicios de red de Azure.
• Crear y trabajar en conexiones híbridas.
• Configurar y administrar servicios de red de Azure.
• Diseñar soluciones de redes de alta disponibilidad en Azure.
• Supervisar y solucionar los recursos de red de Azure.
• Usar diferentes métodos para conectar las redes locales a las redes virtuales de
Azure.
• Usar diferentes métodos para proteger las redes.
iv | Prólogo
Público
Este manual está dirigido a arquitectos de nube, proveedores de soluciones en la nube
o cualquier parte interesada que se ocupe de las redes en Azure. Sería conveniente
conocer los aspectos básicos de Azure.
Enfoque
El Manual de redes de Azure, segunda edición, logra una combinación ideal de teoría y
capacitación práctica que lo ayudarán a prepararse para los desafíos de conectividad
del mundo real que enfrentan las empresas.
Para sacar el máximo provecho de este libro

Este libro supone un nivel básico de conocimiento sobre informática en la nube y
Azure. Para utilizar este libro, todo lo que necesita es una conexión a Internet y una
suscripción de Azure válida. Un equipo con Windows 10 con 4 GB de RAM es suficiente
para utilizar PowerShell.
Requisitos de hardware
Azure Portal es una consola basada en Web que se ejecuta en todos los exploradores
modernos para equipos de escritorio, tabletas y dispositivos móviles. Para usar Azure
Portal, debe tener habilitado JavaScript en su navegador.
Requisitos de software
Le recomendamos que utilice el explorador más actualizado que sea compatible con su
sistema operativo. Se admiten los siguientes exploradores:
• Microsoft Edge (la versión más reciente)
• Internet Explorer 11
• Safari (la versión más reciente, solo Mac)
• Chrome (la versión más reciente)
• Firefox (la versión más reciente)
Convenciones | v
Convenciones
Las palabras de código en el texto, los nombres de carpetas, los nombres de archivos,
las extensiones de archivos, los nombres de ruta, las direcciones URL ficticias y las
entrada del usuario se muestran de la siguiente forma:
“Además, podemos usar modificadores adicionales, como -SKU para seleccionar Basic
o Standard, -IPAddressVersion para elegir entre IPv4 e IPv6, y -DomainNamelabel para
especificar la etiqueta DNS”.
Un bloque de código se establece de la siguiente manera:
$VirtualNetwork = Get-AzVirtualNetwork -Name 'Packt-Script' '
-ResourceGroupName 'Packt-Networking-Script'
Add-AzVirtualNetworkSubnetConfig -Name BackEnd '
-AddressPrefix 10.11.1.0/24 '
-VirtualNetwork $VirtualNetwork
$VirtualNetwork | Set-AzVirtualNetwork
Recursos para descargar

El paquete de código de este libro se hospeda en GitHub, en https://github.com/
PacktPublishing/Azure-Networking-Cookbook-Second-Edition. Puede encontrar
los archivos utilizados en este libro, a los que se hace referencia en las instancias
pertinentes. También tenemos otros paquetes de código de nuestro enriquecido
catálogo de libros y videos disponibles en https://github.com/PacktPublishing/. ¡Deles
un vistazo!
1
Azure Virtual Network
En este primer capítulo, aprenderemos acerca de los conceptos básicos de las redes
de Azure, lo que incluye la creación de redes virtuales de Azure y el diseño de espacios
de direcciones y subredes. Esto sentará las bases para todas las tareas futuras que se
tratarán en este capítulo.
En este capítulo, trataremos las siguientes tareas:
• Crear una red virtual en Azure Portal
• Crear una red virtual con PowerShell
• Agregar una subred en Azure Portal
• Agregar una subred con PowerShell
• Cambiar el tamaño del espacio de direcciones
• Cambiar el tamaño de la subred
Requisitos técnicos
Para este capítulo, se necesita lo siguiente:
• Una suscripción a Azure
• Azure PowerShell
Puede encontrar los ejemplos de código en https://github.com/PacktPublishing/

Azure-Networking-Cookbook-Second-Edition/tree/master/Chapter01.
2 | Azure Virtual Network
Crear una red virtual en Azure Portal

Azure Virtual Network representa su red local en la nube. Permite que otros recursos
de Azure se comuniquen a través de una red privada segura sin exponer puntos de
conexión a través de Internet.
Preparación
Antes de comenzar, abra un explorador web y vaya a Azure Portal
en https://portal.azure.com.
Procedimiento
Para crear una nueva red virtual con Azure Portal, realice estos pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y, luego,
Virtual network (Red virtual) en Networking (Redes) (o busque virtual network
[red virtual] en la barra de búsqueda). Se abrirá un nuevo panel, donde se tiene
que proporcionar información para la red virtual. En primer lugar, seleccione la
opción de suscripción (Subscription) que desea utilizar y la opción de grupo de
recursos (Resource group) para el lugar en que se implementará la red virtual.
A continuación, incluya un nombre y seleccione una región (del centro de datos
de Azure) para el lugar en que se implementará la red virtual. En la Figura 1.1,
se muestra un ejemplo:
Figura 1.1: Crear una red virtual de Azure

Crear una red virtual en Azure Portal | 3
2. En el siguiente panel, primero necesitamos definir el espacio de direcciones

y definir los valores Subnet name (Nombre de la subred) y Subnet address range
(Intervalo de direcciones de subred) para la primera subred. Después de definir el
espacio de direcciones, como se muestra en la Figura 1.2, recibiremos el mensaje
This virtual network doesn't have any subnets (Esta red virtual no tiene ninguna
subred). Por lo tanto, tenemos que seleccionar la opción Add subnet (Agregar
subred):
Figura 1.2: Configurar un espacio de direcciones de red virtual y una subred

3. En el panel Add subnet (Agregar subred), tenemos que definir el nombre de la

subred (Subnet name) y el intervalo de direcciones de subred (Subnet address
range). Opcionalmente, podemos agregar los puntos de conexión de servicio
que queremos conectar a la red virtual. Los puntos de conexión de servicio nos
permiten conectarnos a los servicios de Azure de forma segura, a través de la
infraestructura de la red troncal de Azure, sin necesidad de una dirección IP
pública. En la Figura 1.3, se muestra un ejemplo:
Figura 1.3: Agregar una subred

Crear una red virtual en Azure Portal | 5
4. Después de agregar la primera subred, en nuestro caso, FrontEnd, podemos

agregar más subredes a la red virtual o avanzar a la sección Security (Seguridad),
como se muestra en la Figura 1.4:
Figura 1.4: Agregar la subred FrontEnd

5. En la sección Security (Seguridad), podemos elegir si queremos habilitar Bastion
Host (Host bastión), DDoS protection (Protección contra DDoS) y Firewall. Si
alguna de estas opciones está habilitada, necesitamos proporcionar información
adicional para ese servicio. Después, opcionalmente, podemos agregar etiquetas
u omitir ese paso y crear el servicio. En la Figura 1.5, se muestra un ejemplo:
Figura 1.5: Alternar entre las opciones de seguridad

6. Crear una red virtual normalmente no toma mucho tiempo y debería completarse
en menos de dos minutos. Una vez finalizada la implementación, podemos
empezar a usar la red virtual.
Funcionamiento
Las redes virtuales se implementan en Resource group (Grupo de recursos) en
Subscription (Suscripción) en el centro de datos de Azure que seleccionamos.
Los parámetros Region (Región) y Subscription (Suscripción) son importantes.
Solo podremos conectar recursos de Azure a esta red virtual si están en la misma
suscripción y región que el centro de datos de Azure. La opción de espacio de
direcciones define el número de direcciones IP que estarán disponibles para nuestra
red. Utiliza el formato de Enrutamiento de interdominios sin clases (CIDR) y el rango
más grande que podemos elegir es /8. En el portal, necesitamos crear una subred
inicial y definir el intervalo de direcciones de subred. La subred más pequeña que se
permite es /29 y la más grande es /8 (sin embargo, este valor no puede ser mayor que
el intervalo de red virtual). Como referencia, el intervalo 10.0.0.0/8 (en formato CIDR)
creará un intervalo de direcciones de 167772115 direcciones IP (desde 10.0.0.0 hasta
10.255.255.255) y 10.0.0.0/29 creará un intervalo de 8 direcciones IP (desde 10.0.0.0
hasta 10.0.0.7).
Crear una red virtual con PowerShell

PowerShell es un shell de línea de comandos y lenguaje de scripting basado en .NET
Framework. Con frecuencia lo utilizan los administradores del sistema para automatizar
tareas y administrar sistemas operativos. Azure PowerShell Az es un módulo de
PowerShell que nos permite automatizar y administrar recursos de Azure. Az también se
usa con mucha frecuencia para automatizar las tareas de implementación y también se
puede usar para implementar una nueva red virtual de Azure.
Preparación
Antes de comenzar, necesitamos asegurarnos de que tenemos instalados los módulos
Az más recientes. Para instalar módulos Az, es necesario ejecutar este comando en la
consola de PowerShell:
Install-Module -Name Az -AllowClobber -Scope CurrentUser
Para obtener más información, puede visitar https://docs.microsoft.com/powershell/
azure/install-az-ps?view=azps-4.5.0.
Antes de empezar, necesitamos conectarnos a la suscripción de Azure desde una
consola de PowerShell. Este es el comando para hacerlo:
Connect-AzAccountAzAccount
Este abrirá una ventana emergente donde tenemos que ingresar las credenciales para la
suscripción de Azure.
Después, tenemos que crear un grupo de recursos donde se implementará nuestra red
virtual:
New-AzResourceGroup -name 'Packt-Networking-Script' -Location 'westeurope'
Crear una red virtual con PowerShell | 7
El resultado será similar al que se muestra en la Figura 1.6:
Figura 1.6: Conectarse a una suscripción de Azure desde PowerShell
Procedimiento
La implementación de una red virtual de Azure se realiza en un único script.
Necesitamos definir los parámetros para el nombre, el grupo de recursos, la ubicación
y el intervalo de direcciones. A continuación, se presenta un script de ejemplo:
New-AzVirtualNetwork -ResourceGroupName 'Packt-Networking-Script' -Location
'westeurope' -Name 'Packt-Script' -AddressPrefix 10.11.0.0/16
Debería recibir el siguiente resultado:
Figura 1.7: Implementar una red virtual de Azure con un script.
Funcionamiento
La diferencia entre implementar una red virtual desde el portal y usar PowerShell es
que no es necesario definir ninguna subred en PowerShell. La subred se implementa
en un comando independiente, que se puede ejecutar cuando se implementa una red
virtual o más adelante. Analizaremos este comando en la tarea Agregar una subred con
PowerShell más adelante en este capítulo.
Agregar una subred en Azure Portal

Además de agregar subredes mientras creamos una red virtual, podemos agregar
subredes adicionales a nuestra red en cualquier momento.
Preparación
Antes de comenzar, abra un explorador web y vaya a Azure Portal en https://portal.
azure.com. Una vez allí, busque la red virtual creada previamente.
Procedimiento
Para agregar una subred a una red virtual mediante Azure Portal, se deben realizar
estos pasos:
1. En el panel Virtual network (Red virtual), vaya a la sección Subnets (Subredes).
2. Seleccione la opción Add subnet (Agregar subred).
3. Se abrirá un panel nuevo. Es necesario proporcionar información para la subred,
incluido el valor de Name (Nombre) y el valor de Address range (Intervalo de
direcciones) en formato CIDR. El valor de Address range (Intervalo de direcciones)
debe estar en el límite del intervalo de direcciones de la red virtual y no puede
superponerse con el intervalo de direcciones de otras subredes de la red virtual.
Opcionalmente, podemos agregar información para las opciones Network
security group (Grupo de seguridad de red), Route table (Tabla de rutas), Service
endpoints (Puntos de conexión de servicio) y Subnet delegation (Delegación de
subred). Estas opciones se tratarán en tareas posteriores:
Agregar una subred en Azure Portal | 9
Figura 1.8: Agregar el intervalo de direcciones

4. También podemos agregar una subred de gateway en el mismo panel. Para agregar
una subred de gateway, seleccione la opción Gateway subnet (Subred de gateway).
En el caso de la red de gateway, el único parámetro que necesitamos definir es
Address range (Intervalo de direcciones). Se aplican las mismas reglas que para
agregar una subred normal. Esta vez, no tenemos que proporcionar un nombre,
porque ya está definido. Solo puede agregar una subred de gateway por red
virtual. No se permiten puntos de conexión de servicio en la subred de gateway:
Figura 1.9: Agregar una subred de gateway para una red virtual

Agregar una subred con PowerShell | 11
5. Después de que se agregan las subredes, podemos ver las subredes recién creadas
en el panel Subnets (Subredes) en la red virtual:
Figura 1.10: Ver subredes recién creadas en el panel de subredes
Funcionamiento
Una sola red virtual puede tener varias subredes definidas. Las subredes no se pueden
superponer y deben estar dentro del intervalo de direcciones de la red virtual. Para
cada subred, se guardan cuatro direcciones IP exclusivamente para la administración de
Azure. Según la configuración de red, podemos definir las reglas de comunicación entre
las subredes de la red virtual. Una subred de gateway se utiliza para las conexiones de
Red privada virtual (VPN). Esto se abordará más adelante en el manual.
Ahora, aprenderemos a agregar una subred con PowerShell.
Agregar una subred con PowerShell

Cuando se crea una red virtual de Azure con PowerShell, no se crea una subred en el
mismo paso y se requiere ejecutar un comando adicional por separado.
Preparación
Antes de crear una subred, necesitamos recopilar información sobre la red virtual a
la que se asociará la nueva subred. Los parámetros que se deben proporcionar son el
nombre de la red virtual y el grupo de recursos en el que se encuentra esa red:
$VirtualNetwork = Get-AzVirtualNetwork -Name 'Packt-Script'
Procedimiento
1. Para agregar una subred a la red virtual mediante PowerShell, es necesario
ejecutar un comando y proporcionar el nombre y el prefijo de dirección. El prefijo
de dirección también está en formato CIDR:
Add-AzVirtualNetworkSubnetConfig -Name FrontEnd -AddressPrefix 10.11.0.0/24
2. Es necesario confirmar estos cambios mediante la ejecución del siguiente
comando:
3. Para agregar una subred adicional tenemos que ejecutar todos los comandos en un
solo paso, de la siguiente manera:
Add-AzVirtualNetworkSubnetConfig -Name BackEnd -AddressPrefix 10.11.1.0/24
Funcionamiento
La subred se crea y se agrega a la red virtual, pero necesitamos confirmar los cambios
antes de que puedan entrar en vigencia. Cuando se trata del tamaño, se aplican también
todas las reglas para crear o agregar una subred mediante Azure Portal. La subred debe
estar dentro del espacio de direcciones de la red virtual y no puede superponerse con
otras subredes de la red virtual. La subred más pequeña que se permite es /29 y la más
grande es /8, siempre y cuando el valor esté dentro del espacio de direcciones de la red
virtual. Por ejemplo, si está creando una red /16, el valor más grande para la subred será
solo /16, puesto que no podemos incluir una subred /8 en un espacio de direcciones /16.
Aún hay más...

Podemos crear y agregar varias subredes con un solo script, de la siguiente manera:
$FrontEnd = Add-AzVirtualNetworkSubnetConfig -Name FrontEnd -AddressPrefix
10.11.0.0/24 -VirtualNetwork $VirtualNetwork
$BackEnd = Add-AzVirtualNetworkSubnetConfig -Name BackEnd -AddressPrefix
10.11.1.0/24 -VirtualNetwork $VirtualNetwork
Cambiar el tamaño del espacio de direcciones | 13
Cambiar el tamaño del espacio de direcciones

Después de definir el espacio de direcciones inicial durante la creación de una red
virtual, aún podemos cambiar el tamaño del espacio de direcciones según sea necesario.
Podemos aumentar o disminuir el tamaño del espacio de direcciones, o cambiar
completamente el espacio de direcciones mediante un nuevo intervalo de direcciones.
Preparación
Antes de comenzar, abra un explorador web y vaya a Azure Portal en
https://portal.azure.com.
Procedimiento
Para cambiar el tamaño del espacio de direcciones de una red virtual mediante Azure
Portal, se deben seguir estos pasos:
1. En el panel Virtual network (Red virtual), busque Address space (Espacio de
direcciones) en Settings (Configuración).
2. A continuación, haga clic en Address space (Espacio de direcciones) y cambie el
valor al intervalo deseado. En la Figura 1.11, se muestra un ejemplo:
Figura 1.11: Cambiar el intervalo del espacio de direcciones
3. Después de ingresar el valor nuevo para el espacio de direcciones, haga clic en

Save (Guardar) para aplicar los cambios.
Funcionamiento
Aunque puede cambiar el espacio de direcciones en cualquier momento, hay algunas
reglas que determinan lo que puede y no puede hacer. El espacio de direcciones no se
puede reducir si tiene subredes definidas en el espacio de direcciones que no estarían
cubiertas por el nuevo espacio de direcciones. Por ejemplo, si el espacio de direcciones
estuviera en el intervalo de 10.0.0.0/16, abarcaría direcciones desde 10.0.0.1 hasta
10.0.255.254. Si una de las subredes se definió como 10.0.255.0/24, no podríamos
cambiar la red virtual a 10.0.0.0/17, puesto que esto dejaría a la subred fuera del
espacio nuevo.
El espacio de direcciones no se puede cambiar a un espacio de direcciones nuevo
si tiene subredes definidas. Para cambiar completamente el espacio de direcciones,
primero es necesario que quite todas las subredes. Por ejemplo, si tuviéramos el espacio
de direcciones definido como 10.0.0.0/16, no podríamos cambiarlo a 10.1.0.0/16,
puesto que tener subredes en el espacio antiguo las dejaría en un intervalo de
direcciones indefinido.
Veamos cómo cambiar el tamaño de las subredes recién creadas.
Cambiar el tamaño de la subred

Al igual que el espacio de direcciones de red virtual, podemos cambiar el tamaño de una
subred en cualquier momento.
Preparación
Procedimiento
Para cambiar el tamaño de la subred con Azure Portal, se deben realizar estos pasos:
1. En el panel Virtual network (Red virtual), seleccione la opción Subnets (Subredes).
2. Seleccione la subred que desea cambiar. En la opción Subnets (Subredes), ingrese
un nuevo valor para el tamaño de la subred en Address range (Intervalo de
direcciones). En la Figura 1.12, se muestra un ejemplo de cómo hacerlo:
Cambiar el tamaño de la subred | 15
Figura 1.12: Cambiar el tamaño de la subred mediante Azure Portal

3. Después de ingresar un nuevo valor de intervalo de direcciones, haga clic en Save

(Guardar).
4. En la lista Subnets (Subredes), puede ver que se aplicaron los cambios y que el
espacio de direcciones cambió, como se muestra en la Figura 1.13:
Figura 1.13: Ver los cambios realizados en el intervalo de direcciones de subred
Funcionamiento
Cuando se cambia el tamaño de la subred, se deben seguir algunas reglas. No se
puede cambiar el espacio de direcciones si no está dentro del intervalo del espacio de
direcciones de la red virtual y el intervalo de la subred no se puede superponer con
otras subredes de una red virtual. Si los dispositivos están asignados a esta subred, no
se puede cambiar la subred para excluir las direcciones a las que ya están asignados
estos dispositivos.
2
Redes de máquinas
virtuales
En este capítulo, trataremos las Máquinas Virtuales (VM) Azure y la interfaz de red
(NIC) que se usa como una interconexión entre VM de Azure y Azure Virtual Network.
• Crear máquinas virtuales Azure
• Ver la configuración de red de la VM
• Crear una NIC nueva
• Asociar una NIC a una VM
• Desasociar una NIC de una VM
18 | Redes de máquinas virtuales
Crear máquinas virtuales Azure

Las VM de Azure dependen de las redes virtuales y, durante el proceso de creación,
es necesario definir la configuración de red.
Preparación
Procedimiento
Para crear una nueva VM con Azure Portal, se tienen que seguir estos pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y elija la VM
Windows Server 2016 Datacenter (o busque image [imagen] para buscar una
imagen de VM en la barra de búsqueda de Search the Marketplace [Buscar en el
Marketplace]).
2. En el panel Create a virtual machine (Crear una máquina virtual), necesitamos
proporcionar información para varias opciones. No todas están relacionadas
con las redes. En primer lugar, necesitamos proporcionar información sobre la
suscripción (Subscription) de Azure y el grupo de recursos (Resource group)
(crear un grupo de recursos nuevo o proporcionar uno existente).
3. En Instance details (Detalles de la instancia), se debe proporcionar información
para los campos Virtual machine name (Nombre de máquina virtual), Region
(Región), Availability options (Opciones de disponibilidad) e Image (Imagen)
(para el campo Image, deje el valor predeterminado o cambie la imagen por una
distinta del menú desplegable). En la Figura 2.1, se muestran algunos ejemplos de
configuración:
Figura 2.1: Proporcionar información para los detalles de la instancia

Crear máquinas virtuales Azure | 19
4. A continuación, tenemos que seleccionar si queremos usar la instancia de Azure

Spot (Azure Spot instance) (en que la VM se ejecuta en la capacidad de centro de
datos no utilizada a un precio más bajo, pero se puede desactivar si se necesitan
recursos en otra parte) y proporcionar información sobre el tamaño (Size), el
nombre de usuario (Username) y la contraseña (Password) de la VM. Tenga en
cuenta que para el campo Username (Nombre de usuario), no puede usar nombres
como admin, administrador, sysadmin o raíz. La contraseña debe tener al menos
12 caracteres y cumplir tres de las cuatro reglas conocidas (es decir, tener letras
mayúsculas y minúsculas, caracteres especiales y números). En la Figura 2.2, se
muestra un ejemplo de la pantalla completada:
Figura 2.2: Configurar la instancia de Azure Spot

5. A continuación, llegamos a una opción que se refiere a las redes. Tenemos que
definir si permitiremos cualquier tipo de conexión a través de una dirección IP
pública. Podemos seleccionar si queremos denegar todo el acceso o permitir un
puerto específico. Opcionalmente, podemos usar el beneficio híbrido a fin de usar
una licencia existente para ahorrar en costos. En el siguiente ejemplo, elijo RDP
(3389), pero el menú desplegable también ofrece opciones para SSH (22), HTTP
(80) y HTTPS (443):
Figura 2.3: Definir reglas de puerto de entrada

6. En la siguiente sección, tenemos que definir los discos. Se puede elegir entre
Premium SSD (SSD Premium), Standard SSD (SSD estándar) y Standard HDD
(HDD estándar). Se requiere un disco de SO y debe definirse. Podemos conectar
discos de datos adicionales según sea necesario. Los discos también se pueden
agregar más adelante. La opción de cifrado predeterminada es usar claves
administradas por la plataforma, pero podemos seleccionar claves administradas
por el cliente si es necesario. En la Figura 2.4, se muestra un ejemplo de
configuración de disco con solo el disco del sistema operativo:
Figura 2.4: Configurar opciones de almacenamiento
7. Después de definir los discos, llegamos a la configuración de red. Aquí,

necesitamos definir las opciones Virtual network (Red virtual) y Subnet (Subred)
que usará la VM. Estas dos opciones son obligatorias. Puede elegir asignar la
dirección IP pública a la VM (puede elegir deshabilitar la dirección IP pública
[Public IP], crear una nueva o asignar una dirección IP existente). La última parte
de la configuración de red se relaciona con el grupo de seguridad de red NIC
(NIC network security group), donde tenemos que elegir si usar un grupo de
seguridad de red básico, uno avanzado o ninguno. También hay otra opción en la
que definiremos si permitiremos puertos públicos. También podemos configurar
como opciones adicionales Accelerated networking (Redes aceleradas) o Load
balancing (Equilibrio de carga). En la Figura 2.5, se muestra un ejemplo de esta
configuración de red de VM:
Figura 2.5: Definir las opciones de red virtual y subred

8. Después de la sección de redes, tenemos que configurar la Administración como

se muestra en la Figura 2.6:
Figura 2.6: Habilitar las características de administración
9. En Advanced options (Opciones avanzadas), podemos configurar pasos

de configuración posteriores a la implementación mediante la adición de
instalaciones de software, scripts de configuración, datos personalizados
y más. La pantalla de opciones avanzadas se muestra en la Figura 2.7:
Figura 2.7: Configurar opciones después de la implementación

10. En la segunda parte de las opciones avanzadas, podemos seleccionar una

configuración de grupo host (Host group) (esta opción proporciona un host
dedicado que nos permite aprovisionar y administrar un servidor físico en un
centro de datos de Azure), un grupo con ubicación por proximidad (Proximity
placement group) (para agrupar servidores en la misma región) y si queremos usar
VM de Gen 1 o Gen 2. En la Figura 2.8, se muestran las opciones predeterminadas:
Figura 2.8: Asignar un host dedicado para aprovisionar y administrar un servidor físico

11. Los últimos ajustes de la configuración que podemos editar son los relativos a las
etiquetas. Las etiquetas aplican metadatos adicionales a los recursos de Azure para
organizarlos de forma lógica en una taxonomía. La pestaña Tags (Etiquetas) se
muestra en la Figura 2.9:
Figura 2.9: Aplicar etiquetas a los recursos de Azure

12. Después de definir toda la configuración, llegamos a la pantalla de validación,

donde toda la configuración se comprueba por última vez. Después de que se
aprueba la validación, se confirma la creación de una VM. Para ello, se presiona
el botón Create (Crear), como se muestra en la Figura 2.10:
Figura 2.10: Creación de una VM
Funcionamiento
Cuando se crea una VM, se crea una NIC en el proceso. Una NIC se utiliza como una
especie de interconexión entre la VM y la red virtual. La red asigna una dirección
IP privada a la NIC. Como una NIC está asociada a la VM y a la red virtual, la VM usa
la dirección IP. Con esta dirección IP, la VM puede comunicarse a través de una red
privada con otras VM (u otros recursos de Azure) en la misma red. Además, también se
pueden asignar direcciones IP públicas a las NIC y las VM. Se puede usar una dirección
pública para comunicarse con la VM a través de Internet, ya sea para acceder a los
servicios o para administrar la VM.
Ahora que creamos una VM de Azure y una configuración de red definida, en la
siguiente sección, veremos cómo revisar esta configuración de red.
Ver la configuración de red de la VM | 25
Aún hay más...

Si le interesa obtener más información sobre las VM de Azure, puede leer mi libro,
Hands-On Cloud Administration in Azure (Administración práctica de la nube en Azure),
de Packt Publishing, donde analizo las VM con más detalle.
Ver la configuración de red de la VM

Después de que se crea una VM de Azure, podemos revisar la configuración de red en
el panel de la VM.
Preparación
azure.com. Aquí, busque la VM creada anteriormente.
Procedimiento
Para revisar la configuración de red de la VM, se deben seguir los pasos que se indican
a continuación:
1. En el panel de la VM, busque la configuración Networking (Redes). Aquí puede
ver la interfaz de red (Network interface), los grupos de seguridad de aplicación
(Application security groups) y el grupo de seguridad de red (Network security
group) asociados con la VM. En la Figura 2.11, se muestra un ejemplo de esto:
Figura 2.11: Configuración de red de una VM

2. Si seleccionamos cualquiera de los elementos de red asociados, podemos

descubrir más detalles. Por ejemplo, si seleccionamos la opción Network Interface
(Interfaz de red) asociada con la VM, podemos ver otra información de red, como
la dirección IP privada (Private IP address), la dirección IP pública (Public IP
address), la red/subred virtual (Virtual network/subnet), el grupo de seguridad
de red (Network security group), las configuraciones de IP (IP configurations),
los servidores DNS (DNS servers), y mucho más. En la Figura 2.12, se muestra una
vista de la NIC:
Figura 2.12: Ver información de red desde la NIC
Funcionamiento
La información de red se muestra en varios lugares, incluida la configuración de red
de la VM. Además, cada recurso de Azure tiene un panel independiente y existe como
un recurso individual, por lo que podemos ver esta configuración en varios lugares.
Sin embargo, la imagen más completa de la configuración de red de la VM se puede
encontrar en el panel de la VM y el de la NIC.
Crear una NIC nueva

Normalmente, una NIC se crea durante el proceso de creación de la VM, pero cada VM
puede tener varias NIC. Según esto, podemos crear una NIC como un recurso individual
y conectarla o desconectarla según sea necesario.
Preparación
azure.com.
Crear una NIC nueva | 27
Procedimiento
Para crear una nueva NIC con Azure Portal, se tienen que seguir estos pasos:
Network interface (Interfaz de red) en los servicios de Networking (Red) (o
busque network interface [interfaz de red] en la barra de búsqueda).
2. En el panel de creación, se tiene que proporcionar información para los campos
Name (Nombre) y Virtual network (Red virtual), además de indicar la subred con
la que se asociará la NIC. Otra información que se debe proporcionar incluye el
tipo de asignación de la dirección IP (Dynamic [Dinámica] o Static [Estática]),
ya sea que queramos que la NIC se asocie con un tipo de grupo de seguridad de
red (Network security group) y que queramos usar IPv6. Todos los recursos de
Azure requieren información sobre la suscripción (Subscription), el grupo de
recursos (Resource group) y la región (Region), y las NIC no son la excepción. En
la Figura 2.13, se muestra la información necesaria para crear una NIC nueva:
Figura 2.13: Creación de una NIC con Azure Portal
Funcionamiento
Una NIC no puede existir sin una asociación de red, y esta asociación debe asignarse
a una red virtual y a una subred. Esto se define durante el proceso de creación y no se
puede cambiar más adelante. Por otro lado, la asociación con una VM se puede cambiar
y la NIC se puede conectar o desconectar de una VM en cualquier momento.
Asociar una NIC a una VM

Cada VM puede tener varias NIC. Debido a esto, podemos agregar una nueva NIC en
cualquier momento.
Preparación
azure.com. Aquí, busque la VM que creamos antes en este capítulo.
Procedimiento
Para asociar una NIC a una VM, siga estos pasos:
1. En el panel de la VM, asegúrese de que la VM esté detenida (es decir, desasignada).
2. Busque la configuración Networking (Redes) en el panel de la VM.
3. En la parte superior de la pantalla de configuración Networking (Redes) del panel
de la VM, seleccione la opción Attach network interface (Asociar interfaz de red).
4. Aparecerá una nueva opción que le permitirá crear una nueva NIC o seleccionar
una NIC ya existente que no esté asociada a la VM.
5. Haga clic en OK (Aceptar) y, en unos minutos, el proceso finalizará y la NIC estará
asociada a la VM. En la Figura 2.14, se muestra un ejemplo de esto:
Figura 2.14: Asociar una NIC
Funcionamiento
Cada VM puede tener varias NIC. El número de NIC que se pueden asociar a una VM
depende del tipo y el tamaño de la VM. Para asociar una NIC a una VM, la VM debe
detenerse (es decir, desasignarse). No se puede agregar una NIC adicional a una VM en
ejecución.
Desasociar una NIC de una VM | 29
Desasociar una NIC de una VM

Tal como sucede con la asociación de una NIC, esta se puede desasociar en cualquier
momento y asociarse a otra VM.
Preparación
azure.com. Aquí, busque la VM creada anteriormente.
Procedimiento
Para desasociar una NIC de una VM, siga estos pasos:
1. En el panel de la VM, asegúrese de que la VM esté detenida (es decir, desasignada).
2. Busque la configuración Networking (Redes) en el panel de la VM.
3. En la parte superior de la pantalla de configuración Networking (Redes) del
panel de la VM, seleccione la opción Detach network interface (Desasociar
la interfaz de red).
4. Seleccione la NIC que desea desasociar de la VM.
5. Haga clic en OK (Aceptar) y, en unos minutos, el proceso finalizará y la NIC estará
eliminada de la VM. En la Figura 2.15, se muestra un ejemplo de esto:
Figura 2.15: Desasociar una NIC
Funcionamiento
Para desasociar una NIC, la VM asociada a la NIC debe detenerse (es decir,
desasignarse). Al menos una NIC debe estar asociada con la VM; por lo que no puede
eliminar la última NIC de una VM. Todas las asociaciones de red permanecen con la
NIC. Estas se asignan a la NIC y no a la VM.
3
Grupos de seguridad
de red
Los Grupos de seguridad de red (NSG) son herramientas integradas para el control de
red y nos permiten controlar el tráfico entrante y saliente en una interfaz de red o en el
nivel de subred. Estos contienen conjuntos de reglas que permiten o deniegan el tráfico
específico a recursos o subredes específicos de Azure. Un NSG puede asociarse con una
subred (mediante la aplicación de reglas de seguridad a todos los recursos asociados
con la subred) o con una tarjeta de interfaz de red (NIC), lo que se realiza mediante la
aplicación de reglas de seguridad a la máquina virtual (VM) asociada a la NIC.
32 | Grupos de seguridad de red

• Crear un NSG nuevo en Azure Portal
• Crear un NSG nuevo con PowerShell
• Crear una nueva regla de permiso en un NSG
• Crear una nueva regla de denegación en un NSG
• Crear una nueva regla de NSG con PowerShell
• Asignar un NSG a una subred
• Asignar un NSG a una interfaz de red
• Asignar un NSG a una subred con PowerShell
• Crear un Grupo de seguridad de aplicaciones (ASG)
• Asociar un ASG con una VM
• Crear reglas con un NSG y un ASG

Crear un NSG nuevo en Azure Portal

Como primer paso para controlar de forma más eficaz el tráfico de red, crearemos un
nuevo NSG.
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en
Crear un NSG nuevo en Azure Portal | 33
Procedimiento
Para crear un NSG nuevo con Azure Portal, debe seguir estos pasos:
Network security group (Grupo de seguridad de red) en Networking (Redes)
(o busque network security group [grupo de seguridad de red] en la barra de
búsqueda).
2. Los parámetros que necesitamos definir para la implementación son Subscription
(Suscripción), Resource group (Grupo de recursos), Name (Nombre) y Region
(Región). En la Figura 3.1, se muestra un ejemplo de los parámetros requeridos:
Figura 3.1: Crear un NSG nuevo con Azure Portal
Una vez que la implementación se haya validado y comenzado (tarda unos minutos en
completarse), el NSG está listo para su uso.
Funcionamiento
La implementación del NSG se puede iniciar durante la implementación de una VM.
Esto asociará el NSG con la NIC asociada a la VM implementada. En este caso, el NSG
ya está asociado con el recurso y las reglas definidas en el NSG se aplicarán solo a la VM
asociada.
Si el NSG se implementa por separado, como se ve en esta tarea, no se asociará y las
reglas que se crean en él no se aplicarán hasta que se cree una asociación con la NIC o
la subred. Cuando se asocian con una subred, las reglas del NSG se aplican a todos los
recursos en la subred.
Pasemos a la siguiente tarea para comprender cómo crear un nuevo NSG mediante
PowerShell.
Crear un NSG nuevo con PowerShell

Como alternativa, podemos crear un NSG con PowerShell. La ventaja de este enfoque
es que podemos agregar reglas de NSG en un solo script, mediante la creación de reglas
personalizadas inmediatamente después de crear el NSG. Esto nos permite automatizar
el proceso de implementación y crear nuestras propias reglas predeterminadas
inmediatamente después de crear el NSG.
Preparación
Abra la consola de PowerShell y asegúrese de que está conectado a su suscripción de
Azure. Consulte el Capítulo 1, Azure Virtual Network, para repasar cómo hacer esto.
Procedimiento
Para implementar un nuevo NSG, ejecute el siguiente comando:
New-AzNetworkSecurityGroup -Name "nsg1" -ResourceGroupName "Packt-Networking-
Script" -Location "westeurope"
Funcionamiento
El script utiliza el grupo de recursos (RG) que se implementó en el Capítulo 1, Azure
Virtual Network (usaremos el mismo RG para todas las implementaciones). De lo
contrario, es necesario implementar un nuevo grupo de recursos antes de ejecutar
el script. El resultado final será el mismo que crear un NSG nuevo con Azure Portal:
se creará un NSG nuevo con reglas predeterminadas. Una ventaja de usar PowerShell
es que podemos agregar reglas adicionales durante la implementación, que ayudarán
a automatizar el proceso. Verá un ejemplo de esto en la tarea Crear una nueva regla
de NSG con PowerShell más adelante en este capítulo.
En esta tarea, aprendió a crear un NSG nuevo con PowerShell. Pasemos a la siguiente
tarea para aprender cómo agregar reglas de permiso en NSG mediante Azure Portal.
Crear una nueva regla de permiso en un NSG | 35
Crear una nueva regla de permiso en un NSG

Cuando se crea un nuevo NSG, solo están presentes las reglas predeterminadas, que
permiten todo el tráfico saliente y bloquean todo el tráfico entrante. Para cambiarlas,
es necesario crear reglas adicionales. En primer lugar, le mostraremos cómo crear una
regla nueva para permitir el tráfico entrante.
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en https://portal.azure.
com. Busque el NSG creado anteriormente.
Procedimiento
Para crear una nueva regla de permiso del NSG con Azure Portal, debe seguir estos
pasos:
1. En el panel NSG, busque la opción Inbound security rules (Reglas de seguridad de
entrada) en Settings (Configuración).
2. Haga clic en el botón Add (Agregar) en la parte superior de la página y espere a
que se abra el panel nuevo:
Figura 3.2: Crear una regla de permiso nueva de NSG con Azure Portal
3. En el panel nuevo, tenemos que proporcionar información para los campos Source
(Origen) (ubicación e intervalo de puerto), Destination (Destino) (ubicación e
intervalo de puerto), Protocol (Protocolo), Action (Acción), Priority (Prioridad),
Name (Nombre) y Description (Descripción). Si desea permitir el tráfico, asegúrese
de seleccionar Allow (Permitir) para el campo Action (Acción). Se muestra un
ejemplo de cómo crear una regla para permitir el tráfico a través del puerto 443 (lo
que permite el tráfico al servidor web) en la Figura 3.3:
Figura 3.3: Crear una regla para permitir el tráfico en el puerto 443

Crear una nueva regla de denegación en un NSG | 37
Funcionamiento
De forma predeterminada, se permite todo el tráfico proveniente de Azure Load
Balancer o de Azure Virtual Network. Se deniega todo el tráfico proveniente de Internet.
Para cambiar esto, necesitamos crear reglas adicionales. Asegúrese de establecer la
prioridad correcta cuando cree las reglas. Las reglas con mayor prioridad (es decir, las
que tienen el número más bajo) se procesan primero, por lo que, si tiene dos reglas, una
que deniega el tráfico y otra que lo permite, la regla que tenga mayor prioridad tendrá
precedencia, en tanto que la con prioridad más baja no se tendrá en cuenta.
En esta tarea, aprenderá cómo crear una regla nueva para permitir el tráfico entrante. En
la siguiente tarea, aprenderá a crear una nueva regla en el NSG para denegar el tráfico.
Crear una nueva regla de denegación en un NSG

Cuando se crea un nuevo NSG, solo están presentes las reglas predeterminadas.
Las reglas predeterminadas permiten todo el tráfico saliente y bloquean todo el
tráfico entrante. Para cambiar esto, es necesario crear reglas adicionales. Ahora, le
mostraremos cómo crear una nueva regla de salida para denegar el tráfico.
Preparación
Procedimiento
Para crear una nueva regla de denegación de NSG con Azure Portal, debe seguir estos
pasos:
1. En el panel de NSG, busque la opción Outbound security rules (Reglas de
seguridad de salida) en Settings (Configuración).
2. Haga clic en el botón Add (Agregar) en la parte superior de la página y espere a
que se abra el panel nuevo:
Figura 3.4: Crear una nueva regla de denegación de NSG con Azure Portal
3. En el panel nuevo, tenemos que proporcionar información para los campos Source
(Origen) (ubicación e intervalo de puerto), Destination (Destino) (ubicación e
intervalo de puerto), Protocol (Protocolo), Action (Acción), Priority (Prioridad),
Name (Nombre) y Description (Descripción). Si desea denegar el tráfico, asegúrese
de seleccionar Deny (Denegar) para el campo Action (Acción). Un ejemplo de cómo
crear una regla para denegar el tráfico a través del puerto 22 se muestra en la
Figura 3.5:
Figura 3.5: Agregar una regla de seguridad de salida

Crear una nueva regla de NSG con PowerShell | 39
Funcionamiento
Todo el tráfico saliente se permite de forma predeterminada, independientemente de
adónde vaya. Si queremos denegar explícitamente el tráfico en un puerto específico,
tenemos que crear una regla para hacerlo. Asegúrese de establecer la prioridad correcta
cuando cree las reglas. Las reglas con mayor prioridad (aquellas con los números más
bajos) se procesan primero, por lo que, si tiene dos reglas, una que deniega el tráfico y
otra que lo permite, se aplicará la que tenga mayor prioridad.
Pasemos a la siguiente tarea, donde aprenderá a crear una regla de NSG mediante
PowerShell.
Crear una nueva regla de NSG con PowerShell

Como alternativa, podemos crear una regla de NSG con PowerShell. Este comando
se puede ejecutar inmediatamente después de crear el NSG, lo que nos permite crear
y configurar un NSG en un solo script. De esta manera, podemos estandarizar la
implementación y aplicar reglas cada vez que se crea un NSG.
Preparación
Azure.
Procedimiento
Para crear una nueva regla de NSG, ejecute el siguiente comando:
$nsg = Get-AzNetworkSecurityGroup -Name 'nsg1' -ResourceGroupName 'Packt-
Networking-Script'
$nsg | Add-AzNetworkSecurityRuleConfig -Name 'Allow_HTTPS' -Description
'Allow_HTTPS' -Access Allow -Protocol Tcp -Direction Inbound -Priority 100
-SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix *
-DestinationPortRange 443 | Set-AzNetworkSecurityGroup
Funcionamiento
Con un script, crear una regla de NSG es solo una cuestión de parámetros. El parámetro
Access (Acceso), que puede ser Allow (Permitir) o Deny (Denegar), determinará si
queremos permitir el tráfico o denegarlo. El parámetro Direction (Dirección), que puede
ser Inbound (Entrante) o Outbound (Saliente), determina si la regla es para tráfico entrante
o saliente. Todos los demás parámetros son iguales, independientemente del tipo de
regla que queramos crear. Una vez más, la prioridad juega un papel muy importante,
por lo que debemos asegurarnos de elegirla correctamente.
Aún hay más...

Como se mencionó en la tarea Crear un NSG nuevo con PowerShell, podemos crear
el NSG y las reglas que se necesitan en un solo script. El siguiente script es un ejemplo
de esto:
$nsg = New-AzNetworkSecurityGroup -Name 'nsg1' -ResourceGroupName 'Packt-
Networking-Script' -Location "westeurope"
$nsg | Add-AzNetworkSecurityRuleConfig -Name 'Allow_HTTPS' -Description
'Allow_HTTPS' -Access Allow -Protocol Tcp -Direction Inbound -Priority 100
-SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix *
-DestinationPortRange 443 | Set-AzNetworkSecurityGroup
En esta tarea, se explica cómo crear una nueva regla de NSG mediante PowerShell. En la
siguiente tarea, aprenderá a asignar un NSG a una subred.
Asignar un NSG a una subred

El NSG y sus reglas se deben asignar a un recurso para tener un efecto. Aquí, verá cómo
asociar un NSG con una subred.
Preparación
Procedimiento
Para asignar un NSG a una subred, siga estos pasos:
1. En el panel del NSG, busque la opción Subnets (Subredes) en Settings
(Configuración).
2. Haga clic en el botón Associate (Asociar) en la parte superior de la página y espere
a que se abra el panel nuevo:
Asignar un NSG a una subred | 41
Figura 3.6: Asignar un NSG a una subred
3. En el panel nuevo, seleccione primero la red virtual que contiene la subred con la
que desea asociar el NSG y, a continuación, seleccione la subred, como se ve en la
Figura 3.7:
Figura 3.7: Asociar la subred con el NSG

4. Después de enviar el cambio, la subred aparecerá en una lista de subredes

asociadas:
Figura 3.8: Una lista de subredes asociadas
Funcionamiento
Cuando un NSG se asocia con una subred, las reglas en el NSG se aplicarán a todos los
recursos de la subred. Tenga en cuenta que la subred se puede asociar con más de un
NSG y las reglas de todos los NSG se aplicarán en ese caso. La prioridad es el factor
más importante cuando se examina un solo NSG, pero cuando se cumplen las reglas de
más de un NSG, prevalece la regla Deny (Denegar). Por lo tanto, si tenemos dos NSG en
una subred, una con la regla Allow (Permitir) en el puerto 443 y la otra con la regla Deny
(Denegar) en el mismo puerto, se denegará el tráfico en este puerto.
Pasemos a la siguiente tarea en la que aprenderemos a asignar un NSG a una interfaz
de red.
Asignar un NSG a una interfaz de red

Ahora, ampliaremos nuestro alcance y le mostraremos cómo asociar un NSG con una
interfaz de red.
Preparación
Procedimiento
Para asignar un NSG a una interfaz de red, siga estos pasos:
Asignar un NSG a una interfaz de red | 43
1. En el panel del NSG, busque la opción Network interfaces (Interfaces de red) en

Settings (Configuración).
2. Haga clic en el botón Associate (Asociar) en la parte superior de la página y espere
a que se abra el panel nuevo:
Figura 3.9: Asignar el NSG a una interfaz de red
3. Seleccione la NIC con la que desea asociar el NSG de la lista de las NIC disponibles:
Figura 3.10: Asociar con la interfaz de red

Funcionamiento
Cuando un NSG está asociado con una NIC, las reglas del NSG solo se aplicarán a una
única NIC (o a una VM asociada con la NIC). La NIC se puede asociar directamente con
un solo NSG, pero una subred asociada con una NIC se puede asociar con otro NSG
(o incluso varios). Esto es similar a cuando tenemos varios NSG asignados a una única
subred, y la regla Deny (Denegar) tendrá mayor prioridad. Si uno de los NSG permite el
tráfico en un puerto, pero otro NSG lo está bloqueando, se denegará el tráfico.
En esta tarea, aprendió a asignar un NSG a una interfaz de red. Pasemos a la siguiente
tarea, donde aprenderá a asignar un NSG mediante PowerShell.
Asignar un NSG a una subred con PowerShell

Como alternativa, podemos asociar un NSG con Azure PowerShell. En esta tarea, le
mostraremos cómo asociar un NSG con una subred.
Preparación
Azure.
Procedimiento
Para asociar un NSG con una subred, ejecute el siguiente comando:
$vnet = Get-AzVirtualNetwork -Name 'Packt-Script' -ResourceGroupName 'Packt-
Networking-Script'
$subnet = Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name
BackEnd
$nsg = Get-AzNetworkSecurityGroup -ResourceGroupName 'Packt-Networking-
Script' -Name 'nsg1'
$subnet.NetworkSecurityGroup = $nsg
Set-AzVirtualNetwork -VirtualNetwork $vnet
Funcionamiento
Para asignar un NSG con PowerShell, necesitamos recopilar información sobre la red
virtual, la subred y el NSG. Cuando se recopile toda la información, podremos realizar la
asociación con el comando Set-AzVirtualNetwork y aplicar los cambios.
Pasemos a la siguiente tarea y creemos un ASG con Azure Portal.
Crear un Grupo de seguridad de aplicaciones (ASG) | 45
Crear un Grupo de seguridad de aplicaciones (ASG)

Los ASG son una extensión de los NSG, lo que nos permite crear reglas adicionales
y tener un mejor control del tráfico. Usar solo NSG nos permite crear reglas que
permitirán o denegarán el tráfico solo para un origen, una dirección IP o una subred
específicos. Los ASG nos permiten crear un mejor filtro y crear comprobaciones
adicionales respecto al tráfico que se permite según los ASG. Por ejemplo, con los
NSG, podemos crear una regla que la subred A puede comunicarse con la subred B.
Si tenemos la estructura de la aplicación para hacerlo y una ASG asociada, podemos
agregar recursos en los grupos de aplicaciones. Mediante la adición de este elemento,
podemos crear una regla que permitirá la comunicación entre la subred A y la subred B,
pero solo si los recursos pertenecen a la misma aplicación.
Preparación
Procedimiento
Para crear un ASG con Azure Portal, debe seguir estos pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y elija
Application security group (Grupo de seguridad de aplicación) en Networking
(Redes) (o busque application security group [grupo de seguridad de aplicación]
en la barra de búsqueda).
2. Los parámetros que tenemos que definir para la implementación son Subscription
(Región). En la Figura 3.11, se muestra un ejemplo de los parámetros requeridos:
Figura 3.11: Crear una ASG con Azure Portal

Funcionamiento
Los ASG no marcan la diferencia por sí solos y deben combinarse con los NSG para
crear reglas de NSG que permitan un mejor control del tráfico, mediante la aplicación
de comprobaciones adicionales antes de que se permita el flujo de tráfico.
Ahora que creamos un ASG, pasemos a una nueva tarea en la que asociaremos el ASG
con una VM.
Asociar un ASG con una VM

Después de crear un ASG, debemos asociarlo con una VM. Una vez que se haga esto,
podemos crear reglas con el NSG y el ASG para el control de tráfico.
Preparación
com. Busque la VM creada anteriormente.
Procedimiento
Para asociar un ASG con una VM, debemos seguir estos pasos:
1. En el panel de la VM, busque la configuración Networking (Redes).
2. En la configuración Networking (Redes), seleccione la pestaña Application
security groups (Grupos de seguridad de la aplicación), como se muestra en la
Figura 3.12:
Figura 3.12: Asociar un ASG con una VM

Asociar un ASG con una VM | 47
3. En la configuración Application security groups (Grupos de seguridad de

aplicación), seleccione Configure the application security groups (Configurar
grupos de seguridad de aplicación), como se muestra en la Figura 3.13:
Figura 3.13: Configurar ASG
4. En el nuevo panel de la lista de ASG disponibles, seleccione el ASG con el que

desea asociar la VM:
Figura 3.14: Asociar un ASG con una VM
5. Después de hacer clic en Save (Guardar), demora solo unos segundos aplicar los
cambios, después de los cuales la VM se asocia con el ASG.
Funcionamiento
La VM debe estar asociada con el ASG. Podemos asociar más de una VM con cada ASG.
El ASG se utiliza, luego, en combinación con el NSG para crear nuevas reglas de NSG.
En la siguiente tarea, crearemos nuevas reglas mediante un NSG y un ASG.
Crear reglas con un NSG y un ASG

Como último paso, podemos usar NSG y ASG para crear reglas nuevas con un mejor
control. Este enfoque nos permite tener un mejor control del tráfico, lo que limita el
tráfico entrante no solo a una subred específica, sino también solo en función de si el
recurso es parte del ASG.
Preparación
Procedimiento
Para crear una regla con un ASG y un NSG, debemos seguir estos pasos:
1. En el panel del NSG, busque Inbound security rules (Reglas de seguridad de
entrada). Seleccione Add (Agregar) para agregar una regla nueva.
Crear reglas con un NSG y un ASG | 49
2. Para el origen, seleccione Application Security Group (Grupo de seguridad de

aplicaciones ) y, luego, seleccione el ASG que desea utilizar como origen. También
necesitamos proporcionar parámetros para Source (Origen), Source port ranges
(Intervalos de puertos de origen), Destination (Destino), Destination port ranges
(Intervalos de puertos de destino), Protocol (Protocolo), Action (Acción), Priority
(Prioridad), Name (Nombre) y Description (Descripción). En la Figura 3.15, se
muestra un ejemplo:
Figura 3.15: Agregar una regla de seguridad de entrada
Funcionamiento
Si usamos solo NSG a fin de crear reglas, podemos permitir o denegar tráfico solo para
una dirección IP o rango específicos. Con un ASG, podemos ampliar o restringir esto
según sea necesario. Por ejemplo, podemos crear una regla para permitir VM desde
una subred de front-end, pero solo si estas VM están en un ASG específico. Como
alternativa, podemos permitir el acceso a varias VM desde diferentes redes virtuales
o subredes, pero solo si pertenecen a un ASG específico.
4
Administración de
direcciones IP
En Azure, podemos tener dos tipos de direcciones IP: privada y pública. Se puede
acceder a las direcciones públicas a través de Internet. Las direcciones privadas
provienen del espacio de direcciones de Azure Virtual Network y se usan para la
comunicación privada en redes privadas. Las direcciones se pueden asignar a un
recurso o pueden existir como un recurso independiente.
52 | Administración de direcciones IP

• Crear una nueva dirección IP pública en Azure Portal
• Crear una nueva dirección IP pública con PowerShell
• Asignar una dirección IP pública
• Cancelar la asignación de una dirección IP pública
• Crear una reserva para una dirección IP pública
• Eliminar una reserva para una dirección IP pública
• Crear una reserva para una dirección IP privada
• Cambiar una reserva para una dirección IP privada
• Eliminar una reserva para una dirección IP privada
• Agregar varias direcciones a una NIC
• Crear un prefijo de dirección IP pública

Crear una nueva dirección IP pública en Azure Portal

Las direcciones IP públicas se pueden crear como un recurso independiente o durante
la creación de otros recursos (una máquina virtual [VM], por ejemplo). Por lo tanto, una
IP pública puede existir como parte de un recurso o como un recurso independiente.
Primero le mostraremos cómo crear una nueva dirección IP pública.
Preparación
Crear una nueva dirección IP pública en Azure Portal | 53
Procedimiento
Para crear una nueva dirección IP pública, se deben seguir estos pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y elija Public IP
address (Dirección IP pública) en los servicios de Networking (Redes) (o busque
public IP address [dirección IP pública] en la barra de búsqueda).
2. Los parámetros que tenemos que definir para la implementación son IP Version
(Versión de IP), SKU, Name (Nombre), IP address assignment (Asignación de
direcciones IP), DNS name label (Etiqueta de nombre de DNS), Subscription
(Suscripción), Resource group (Grupo de recursos) y Location (Ubicación). El
tiempo de inactividad (la cantidad de tiempo que la conexión se mantiene abierta
sin actividad) se establece de forma predeterminada en 4 minutos, pero puede
aumentar a 30 minutos como máximo. En la Figura 4.1, se muestra un ejemplo de
los parámetros requeridos:
Figura 4.1: Crear una nueva dirección IP pública con Azure Portal

Funcionamiento
La referencia de almacén (SKU) puede ser Básica o Estándar. Las diferencias
principales radican en que Estándar está cerrada al tráfico entrante de forma
predeterminada (el tráfico entrante debe estar en la lista de permitidos en Grupos de
seguridad de red [NSGs]) y Estándar tiene redundancia de zona. Otra diferencia es que
una dirección IP pública de SKU Estándar tiene una asignación estática, mientras que
una SKU Básica puede ser estática o dinámica.
Puede elegir la versión IPv4 o IPv6 para la dirección IP, o ambas, pero si elige IPv6 se
limitará a una asignación dinámica para la SKU Básica y a una asignación estática para
la SKU Estándar.
La etiqueta de nombre DNS es opcional. Se puede utilizar para resolver el punto de
conexión si se selecciona una asignación dinámica. De lo contrario, no tiene sentido
crear una etiqueta DNS, porque siempre se puede utilizar una dirección IP para resolver
el punto de conexión si se selecciona una asignación estática.
Crear una nueva dirección IP pública con PowerShell

Como alternativa, podemos crear una dirección IP pública con Azure PowerShell. Una
vez más, este enfoque es mejor cuando queremos automatizar el proceso. Aunque una
dirección IP pública puede existir por sí sola, normalmente, se crea para asociarse a
otros recursos y usarse como un punto de conexión. Si usamos PowerShell para crear
un recurso, podemos continuar con el paso siguiente y combinarlo con un recurso en
un único script.
Preparación
Azure.
Procedimiento
Para implementar una nueva dirección IP pública, ejecute el siguiente comando:
New-AzPublicIpAddress -Name 'ip-public-script' -ResourceGroupName 'Packt-
Networking-Script' -AllocationMethod Dynamic -Location 'westeurope'
Funcionamiento
Como resultado, se creará una nueva dirección IP pública. En este caso, la configuración
será una asignación dinámica de SKU básica, versión IPv4 y sin etiqueta DNS. Además,
podemos usar modificadores adicionales, como -SKU para seleccionar Basic o Standard,
-IPAddressVersion para elegir entre IPv4 e IPv6, o -DomainNamelabel para especificar la
etiqueta DNS. Estos son parámetros opcionales: si no se especifican, Azure creará la IP
pública con los valores predeterminados mencionados antes.
Asignar una dirección IP pública | 55
Asignar una dirección IP pública

Una dirección IP pública se puede crear como un recurso independiente o desasociado
de otro recurso y existir por sí sola. Dicha dirección IP se puede asignar a un recurso
nuevo o a otro recurso ya existente. Si el recurso ya no está en uso o se migró, aún
podemos usar la misma dirección IP pública. En este caso, el punto de conexión público
que se usa para tener acceso a un servicio puede permanecer sin cambios. Esto puede
ser útil cuando se migra o actualiza una aplicación o un servicio que están disponibles
públicamente, puesto que podemos seguir usando el mismo punto de conexión y los
usuarios no necesitan considerar ningún cambio.
Preparación
Procedimiento
Para asignar una dirección IP pública, se debe hacer lo siguiente:
1. Busque la interfaz de red (NIC) a la que desea asignar la dirección IP. Esto se
puede hacer directamente mediante la búsqueda de la NIC o a través del panel de
la VM a la que está asignada la NIC.
2. En el panel Network interface (Interfaz de red), vaya a IP configurations
(Configuraciones de IP) en Settings (Configuración) y seleccione la configuración
que se muestra en la Figura 4.2:
Figura 4.2: Ver las configuraciones de IP en el panel de NIC

3. En el panel nuevo, seleccione Associate (Asociar) en Public IP address (Dirección

IP pública) y seleccione la Dirección IP pública que desea asignar del menú
desplegable. Solo se mostrarán en la lista las direcciones IP no asignadas en la
misma región. En la Figura 4.3, se muestra un ejemplo de esto:
Figura 4.3: Asignar una dirección IP pública
4. Después de seleccionar la dirección IP pública, haga clic en Save (Guardar) para

aplicar la configuración.
Funcionamiento
Una dirección IP pública existe como un recurso independiente y se puede asignar a
un recurso en cualquier momento. Cuando se asigna una dirección IP pública, puede
utilizar esta dirección IP para acceder a los servicios que se ejecutan en un recurso
al que está asignada la dirección IP (recuerde que se debe aplicar un NSG adecuado).
También podemos eliminar una dirección IP de un recurso y asignarla a un nuevo
recurso. Por ejemplo, si queremos migrar servicios a una VM nueva, la dirección IP se
puede quitar de la VM antigua y asignarse a la nueva. De esta manera, los puntos de
conexión de servicio que se ejecutan en la VM no cambiarán. Esto es especialmente útil
cuando se utilizan direcciones IP estáticas.
Cancelar la asignación de una dirección IP pública | 57
Cancelar la asignación de una dirección IP pública

Se puede cancelar la asignación de una dirección IP pública desde un recurso a fin de
guardarla para su uso posterior o asignarla a otro recurso. Cuando se elimina o se retira
un recurso, todavía podemos colocar la dirección IP pública para usarla y asignarla al
siguiente recurso.
Preparación
com. Asegúrese de que la VM que usa una dirección IP pública no se esté ejecutando.
Procedimiento
Para cancelar la asignación de una dirección IP pública, se debe hacer lo siguiente:
1. Busque la NIC a la que está asociada la dirección IP pública.
de IP:
Figura 4.4: Configuraciones de IP en el panel de NIC

3. En el panel nuevo, cambie la configuración de Public IP address (Dirección IP

pública) a Disassociate (Desasociar):
Figura 4.5: Cancelar la asignación de la dirección IP pública
4. Después de realizar los cambios, haga clic en Save (Guardar) para aplicar la
configuración nueva.
Funcionamiento
Se puede asignar una dirección IP pública o cancelar su asignación desde un recurso
a fin de guardarla para uso futuro o para transferirla a un nuevo recurso. Para quitarla,
simplemente deshabilitamos la dirección IP pública en la configuración IP de la NIC a la
que se asigna la dirección IP. Esto eliminará la asociación, pero mantendrá la dirección
IP como un recurso independiente.
Crear una reserva para una dirección IP pública

La opción predeterminada para una dirección IP pública es la asignación de IP dinámica.
Esto se puede cambiar durante la creación de la dirección IP pública, o posteriormente.
Si se cambia desde una asignación de IP dinámica, la dirección IP pública cambia a
reservada (o estática).
Preparación
Crear una reserva para una dirección IP pública | 59
Procedimiento
Si desea crear una reserva para una dirección IP pública, siga estos pasos:
1. Busque la dirección IP pública en Azure Portal. Esto se puede hacer buscando
directamente la dirección IP o a través del recurso al que está asignada
(la NIC o la VM).
2. En el panel Public IP address (Dirección IP pública), vaya a Configuration
(Configuración) en Settings (Configuración). Cambie el campo Assignment
(Asignación) de Dynamic (Dinámica) a Static (Estática), como se muestra en
la Figura 4.6:
Figura 4.6: Cambiar la asignación de dirección IP pública a estática
3. Una vez realizado este cambio, haga clic en Save (Guardar) para aplicar la
Funcionamiento
Una dirección IP pública se establece en dinámica de forma predeterminada. Esto
significa que la dirección IP puede cambiar en el tiempo. Por ejemplo, si una VM a la
que se asigna una dirección IP se desactiva o reinicia, existe la posibilidad de que la
dirección IP cambie después de que la VM esté nuevamente funcionando. Esto puede
causar problemas si se accede a través de la dirección IP pública a los servicios que se
ejecutan en la VM o si hay un registro DNS asociado a la dirección IP pública.
Creamos una reserva de IP y establecimos la asignación en estática para evitar un
escenario de este tipo y mantener la dirección IP reservada para nuestros servicios.
Eliminar una reserva para una dirección IP pública

Si la dirección IP pública se establece como estática, podemos eliminar una reserva y
establecer la asignación de la dirección IP como dinámica. Esto no se hace a menudo,
puesto que por lo general hay una razón por la que la reserva se establece en primer
lugar. Pero como la reserva para la dirección IP pública tiene un costo adicional, a veces,
es necesario quitar esta reserva si no es necesaria.
Preparación
com. Asegúrese de que la dirección IP no esté asociada a ningún recurso.
Procedimiento
Si desea eliminar una reserva para una dirección IP pública, siga estos pasos:
1. Busque la dirección IP pública en Azure Portal.
2. En el panel Public IP address (Dirección IP pública), vaya a Configuration
(Configuración) en Settings (Configuración) y establezca Assignment (Asignación)
en Dynamic (Dinámica):
Figura 4.7: Cambiar la asignación de dirección IP pública a dinámica
3. Después de realizar estos cambios, haga clic en Save (Guardar) para aplicar la
Crear una reserva para una dirección IP privada | 61
Funcionamiento
Para eliminar una reserva de IP de una dirección IP pública, la dirección IP pública no se
debe asociar a un recurso. Podemos eliminar la reserva mediante el establecimiento de
la asignación de la dirección IP en dinámica.
La razón principal de esto es el precio. En Azure, las primeras cinco reservas de IP
públicas son gratuitas. Después de las cinco iniciales, se factura cada reserva nueva.
Para evitar realizar pagos innecesarios, podemos eliminar una reserva cuando no sea
necesaria o cuando no se esté utilizando la dirección IP pública.
Crear una reserva para una dirección IP privada

Al igual que con las direcciones IP públicas, podemos hacer una reserva para las
direcciones IP privadas. Esto se suele hacer para garantizar la comunicación entre
servidores en la misma red virtual y permitir el uso de direcciones IP en cadenas de
conexión.
Preparación
Procedimiento
Si desea crear una reserva para una dirección IP privada, siga estos pasos:
1. En Azure Portal, busque la NIC para la que desea realizar la reserva.
(Configuraciones de IP) en Settings (Configuración) y seleccione la
configuración de IP:
Figura 4.8: Ver las configuraciones de IP en el panel de NIC

3. En el panel nuevo, en la configuración Private IP address (Dirección IP privada),

establezca Assignment (Asignación) en Static (Estática). El valor actual de la
dirección IP se establecerá automáticamente. Si es necesario, puede cambiar
ese valor por otro, pero este debe encontrarse en el espacio de direcciones de la
subred asociada a la NIC:
Figura 4.9: Asignación de dirección IP privada configurada en Estática
Funcionamiento
Se puede realizar una reserva para las direcciones IP privadas. La diferencia es que
una dirección IP privada no existe como un recurso independiente, sino que se asigna
a una NIC.
Otra diferencia es que puede seleccionar un valor para una dirección IP privada. Una
dirección IP pública se asigna aleatoriamente y se puede reservar, pero no puede elegir
qué valor tendrá. En el caso de las direcciones IP privadas, puede seleccionar el valor de
la IP, pero debe ser una IP no utilizada de la subred asociada con la NIC.
Cambiar una reserva para una dirección IP privada | 63
Cambiar una reserva para una dirección IP privada

En el caso de las direcciones IP privadas, puede cambiar la dirección IP en cualquier
momento por otro valor. Este no es el caso de las direcciones IP públicas, puesto que
obtiene la dirección IP aleatoriamente a partir de un grupo y no puede cambiar el valor.
En el caso de una dirección IP privada, puede cambiar el valor a otra dirección IP desde
el espacio de direcciones.
Preparación
Procedimiento
Si desea cambiar una reserva para una dirección IP privada, siga estos pasos:
1. En Azure Portal, busque la NIC en la que desea hacer cambios.
de IP:
Figura 4.10: Buscar la configuración de IP en el panel de interfaz de red

3. En Private IP address settings (Configuración de dirección IP privada), ingrese un

valor nuevo para IP address (Dirección IP):
Figura 4.11: Asignar un nuevo valor para la dirección IP privada
Funcionamiento
Se puede cambiar una reserva para una dirección IP privada. Una vez más, el valor debe
ser una dirección IP no utilizada de una subred asociada a la NIC. Si la VM asociada a la
NIC está desactivada, la nueva dirección IP se asignará en su próximo inicio. Si la VM se
está ejecutando, se reiniciará para aplicar los cambios nuevos.
Eliminar una reserva para una dirección IP privada | 65
Eliminar una reserva para una dirección IP privada

Al igual que con las direcciones IP públicas, podemos eliminar una reserva para una
dirección IP privada en cualquier momento. Una dirección IP privada es gratuita, por
lo que, en este caso, los costos adicionales no son un factor. Pero hay situaciones en
las que se requiere una asignación dinámica, y podemos establecerla en cualquier
momento.
Preparación
Procedimiento
Si desea eliminar una reserva para una dirección IP privada, siga estos pasos:
de IP:
Figura 4.12: Seleccionar la configuración de IP en el panel de interfaz de red

3. En el panel nuevo, en Private IP address settings (Configuración de dirección IP

privada), cambie Assignment (Asignación) a Dynamic (Dinámica):
Figura 4.13: Asignación de dirección IP privada configurada en Dinámica
Funcionamiento
Podemos eliminar una reserva de dirección IP privada en cualquier momento
cambiando la opción Assignment (Asignación) a Dynamic (Dinámica). Cuando se realiza
este cambio, la VM asociada a la NIC se reiniciará para aplicar los nuevos cambios.
Después de realizar un cambio, una dirección IP privada puede cambiar después de
reiniciar o desactivar la VM.
Agregar varias direcciones IP a una NIC | 67
Agregar varias direcciones IP a una NIC

En diversas situaciones, es posible que necesitemos tener varias direcciones IP
asociadas a una sola NIC. En Azure, esto es posible para las direcciones IP privadas y
públicas.
Preparación
Procedimiento
(Configuraciones de IP) en Settings (Configuración) y haga clic en Add (Agregar):
Figura 4.14: El panel de interfaz de red

3. Aparecerá un nuevo panel para la configuración de IP. Se tienen que proporcionar

valores para los campos Name (Nombre) y Type (Tipo) (Type aparecerá atenuado
si ya existe otra configuración de IP) y es necesario seleccionar algunas opciones
de dirección IP. Si solo se necesita una dirección IP privada, solo tenemos que
seleccionar la asignación (Allocation) de la dirección privada y hacer clic en Create
(Crear):
Figura 4.15: Agregar una configuración de IP a la NIC

Agregar varias direcciones IP a una NIC | 69
4. Si se necesita una dirección IP pública adicional, debemos seleccionar Associate

(Asociar) en Public IP address (Dirección IP pública). Se solicita proporcionar
información adicional para el nombre (Name), la SKU y el tipo de asignación
(Assignment):
Figura 4.16: Agregar una nueva dirección IP pública
Funcionamiento
Cada NIC puede tener varias configuraciones de IP asignadas. Cada configuración de
IP debe tener una dirección IP privada y puede tener una dirección IP pública. Por lo
tanto, es posible agregar una dirección IP privada sin una dirección IP pública, pero
no al revés. Esto proporciona diferentes opciones de enrutamiento y la capacidad de
comunicarse con diferentes aplicaciones y servicios a través de diferentes direcciones
IP. El enrutamiento se explicará con más detalle en el Capítulo 6: DNS y enrutamiento.
Crear un prefijo de dirección IP pública

La creación de nuevos recursos suele asociarse con la creación de nuevas direcciones
IP. Puede haber problemas cuando las direcciones IP públicas deben asociarse con
reglas de firewall o configuraciones de aplicaciones. Para solucionar esto, podemos
crear un prefijo de IP pública y reservar un intervalo de direcciones IP que se asignarán
a nuestros recursos.
Procedimiento
Para crear un nuevo prefijo de dirección IP pública, se deben seguir estos pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y elija Public IP
prefix (Prefijo de dirección IP pública) en los servicios de Networking (Redes) (o
busque public IP prefix [prefijo de dirección IP pública] en la barra de búsqueda).
2. Tenemos que proporcionar información para los campos Subscription
(Suscripción), Resource group (Grupo de recursos), Name (Nombre), Region
(Región) e IP Version (Versión de IP). El campo SKU no se puede seleccionar y
está configurado como Standard (Estándar). Para Prefix size (Tamaño del prefijo),
definiremos cuántas direcciones IP queremos reservar:
Crear un prefijo de dirección IP pública | 71
Figura 4.17: Crear un prefijo de dirección IP pública
Funcionamiento
Cuando creamos un prefijo de dirección IP pública, la asociación de la dirección
IP pública no se hace aleatoriamente, sino que se realiza a partir de un grupo de
direcciones reservadas para nosotros. En muchos sentidos, esto es similar a crear
una red virtual y definir un espacio de dirección IP privada, solo con direcciones IP
públicas. Esto puede ser muy útil cuando necesitamos conocer las direcciones por
adelantado. Por ejemplo, supongamos que necesitamos crear una regla de firewall
para cada servicio que creamos. Eso requeriría que esperáramos a que cada servicio
se implementara y obtuviera una dirección IP pública después de que se haya creado.
Con un prefijo de dirección IP pública, las direcciones IP se conocen de antemano y
podemos establecer una regla para un intervalo de direcciones IP, en lugar de hacerlo
para cada dirección IP.
5
Gateways de red local
y virtual
Los gateways de red local y virtual son gateways de red privada virtual (VPN) que se
usan para conectarse a las redes locales y cifrar todo el tráfico que va entre Azure
Virtual Network (VNet) y una red local. Cada red virtual solo puede tener un gateway
de red virtual, pero se puede usar un gateway de red virtual para configurar varias
conexiones VPN.
• Crear un gateway de red local en Azure Portal
• Crear un gateway de red local con PowerShell
• Crear un gateway de red virtual en Azure Portal
• Crear un gateway de red virtual con PowerShell
• Modificar la configuración del gateway de red local
74 | Gateways de red local y virtual

Crear un gateway de red local en Azure Portal

Cuando se crea una conexión de sitio a sitio, tenemos que proporcionar configuración
para ambos lados de la conexión, es decir, Azure y el entorno local. Aunque se crea un
gateway de red local en Azure, este representa a la red local (entorno local) y contiene
información de configuración sobre su configuración de red local. Es un componente
esencial para crear la conexión VPN que se necesita para crear una conexión de sitio a
sitio entre la red virtual y la red local.
Preparación
Procedimiento
Para crear un nuevo gateway de red local, se requieren los siguientes pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y elija Local
network gateway (Gateway de red local) en los servicios de Networking (Redes) (o
busque local network gateway [gateway de red local] en la barra de búsqueda).
2. Los parámetros que necesitamos proporcionar son Name (Nombre), IP address
(Dirección IP) (es decir, la dirección IP pública y el firewall local), Address space
(Espacio de direcciones) (el espacio de direcciones local al que quiere conectarse),
Subscription (Suscripción), Resource group (Grupo de recursos) y Location
(Ubicación). Opcionalmente, podemos configurar las opciones de Border Gateway
Protocol (BGP):
Crear un gateway de red local en Azure Portal | 75
Figura 5.1: Crear un nuevo gateway de red local
Funcionamiento
El gateway de red local se usa para conectar un gateway de red virtual con una red
local. El gateway de red virtual está conectado directamente a la red virtual y tiene
toda la información pertinente de Azure VNet que se necesita para crear una conexión
VPN. Por otro lado, un gateway de red local contiene toda la información de red local
necesaria para crear una conexión VPN.
En esta tarea, creamos un gateway de red local en Azure Portal. En la siguiente tarea,
aprenderemos a hacer lo mismo con PowerShell.
Crear un gateway de red local con PowerShell

Como se mencionó en la tarea anterior, el gateway de red local contiene información
sobre la red local que queremos conectar a una VNet de Azure. Además de crear un
gateway de red local a través de Azure Portal, podemos crearlo con Azure PowerShell.
Preparación
Azure.
Procedimiento
Para crear un nuevo gateway de red local, ejecute el siguiente comando:
New-AzLocalNetworkGateway -Name packt-lng-script -ResourceGroupName 'Packt-
Networking-Script' -Location 'westeurope' -GatewayIpAddress '195.222.10.20'
-AddressPrefix '192.168.1.0/24'
Funcionamiento
Para implementar un nuevo gateway de red local, necesitamos proporcionar parámetros
para el nombre, el grupo de recursos, la ubicación, la dirección IP del gateway y el
prefijo de dirección que queremos. La dirección IP del gateway es la dirección IP
pública del firewall local al que está intentando conectarse. El prefijo de dirección es
el prefijo de subred de la red local a la que está tratando de conectarse. Esta dirección
debe estar asociada con una dirección de firewall que se proporciona como dirección IP
del gateway.
En esta tarea, creamos un gateway de red local con Azure PowerShell. Pasemos a la
siguiente tarea en que aprenderá a crear un gateway de red virtual en Azure Portal.
Crear un gateway de red virtual en Azure Portal

Después de crear un gateway de red local, necesitamos crear un gateway de red virtual
con el fin de crear una conexión VPN entre las redes locales y de Azure. Como un
gateway de red local contiene información sobre la red local, el gateway de red virtual
contiene información para la Azure VNet a la que intentamos conectarnos.
Preparación
Crear un gateway de red virtual en Azure Portal | 77
Procedimiento
Para crear un nuevo gateway de red virtual, se requieren los siguientes pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y elija Virtual
network gateway (Gateway de red virtual) en los servicios de Networking
(Redes) (o busque virtual network gateway [gateway de red virtual] en la barra
de búsqueda).
2. Todo se hace en un solo panel, pero con el propósito de tener una mejor visibilidad,
lo dividiré en dos secciones. En la primera sección, debemos proporcionar la
suscripción (Subscription), el nombre (Name), la región (Region), el tipo de gateway
(Gateway type), el tipo de VPN (VPN type), la SKU y la generación (Generation),
(la opción Generation depende de la SKU; no todas las SKU admiten la Generación
2) y, luego, tenemos que seleccionar la red virtual (Virtual network) que se usará en
la conexión. Tenga en cuenta que la subred de gateway debe crearse antes de hacer
esto y solo las redes virtuales con una subred de gateway estarán disponibles para
su selección. En la Figura 5.2, se muestra un ejemplo:
Figura 5.2: Crear un nuevo gateway de red virtual

3. En la segunda sección, tenemos que establecer las opciones de dirección de IP

pública (seleccione una dirección IP existente o cree una nueva) y, opcionalmente,
podemos establecer Enable active‑active mode (Habilitar el modo activo-activo)
y Border Gateway Protocol Autonomous System Number (Número de sistema
autónomo de Border Gateway Protocol) (BGP ASN):
Figura 5.3: Establecer las opciones de dirección IP pública
4. Después de la validación, podemos hacer clic en Create (Crear) y comenzar la

implementación. Tenga en cuenta que la creación del gateway de red virtual tarda
más que para la mayoría de los demás recursos de Azure; la implementación puede
tardar de 45 a 90 minutos.
Funcionamiento
El gateway de red virtual es la segunda parte que se necesita para establecer la
conexión con la VNet de Azure. Está conectado directamente a la red virtual y es
necesario para crear conexiones de sitio a sitio y de punto a sitio. Necesitamos
establecer el tipo de VPN, que debe coincidir con el tipo de dispositivo VPN local
cuando se crea una conexión de sitio a sitio.
El modo activo-activo proporciona alta disponibilidad al asociar dos direcciones IP con
configuraciones de gateway independientes para garantizar el tiempo de actividad.
El protocolo de gateway de borde es un protocolo estándar para el intercambio de
información de enrutamiento y accesibilidad entre diferentes sistemas autónomos
(ASes). A cada sistema se le asigna un número de sistema autónomo (ASN).
En esta tarea, creamos un gateway de red virtual en Azure Portal. Pasemos a la siguiente
tarea.
Crear un gateway de red virtual con PowerShell | 79
Crear un gateway de red virtual con PowerShell

Se puede crear un gateway de red virtual con PowerShell. Nuevamente, esto ayuda
a automatizar los procesos. Por ejemplo, si comenzamos a crear un gateway de red
virtual mediante un portal y observamos que nuestra red virtual no aparece en la lista,
probablemente se deba a que falta una subred de gateway. Por lo tanto, debemos
abandonar el proceso, volver atrás, crear la subred de gateway y empezar a crear
el gateway de red virtual. Con PowerShell, podemos asegurarnos de que todos los
recursos necesarios estén presentes antes de comenzar y, luego, continuar con la
creación del gateway de red virtual.
Preparación
Azure.
Procedimiento
Para crear un nuevo gateway de red virtual, ejecute el siguiente script:
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'Packt-Networking-Script'
-Name 'Packt-Script'
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix
10.11.2.0/27 -VirtualNetwork $vnet
$vnet | Set-AzVirtualNetwork
$gwpip = New-AzPublicIpAddress -Name VNet1GWIP -ResourceGroupName 'Packt-
Networking-Script' -Location 'westeurope' -AllocationMethod Dynamic
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'Packt-Networking-Script'

-Name 'Packt-Script'
$subnet = Get-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet'
-VirtualNetwork $vnet
$gwipconfig = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig1 -SubnetId
$subnet.Id -PublicIpAddressId $gwpip.Id
New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName 'Packt-
Networking-Script' -Location 'westeurope' -IpConfigurations $gwipconfig
-GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1
Funcionamiento
El script realiza algunas operaciones diferentes para asegurarse de que se cumplan
todos los requisitos a fin de que podamos crear un gateway de red virtual. El primer
paso es recopilar información sobre la red virtual que utilizaremos. A continuación,
agregamos la subred de gateway a la VNet de Azure y creamos una dirección IP pública
que el gateway de red virtual usará. Recopilamos toda la información y nos aseguramos
de que todos los recursos necesarios estén presentes y, finalmente, creamos un nuevo
gateway de red virtual.
En esta tarea, aprendimos a crear un gateway de red virtual con Azure PowerShell. En la
siguiente tarea, aprenderemos a modificar la configuración del gateway de red local.
Modificar la configuración del gateway de red local

Las configuraciones de red pueden cambiar con el tiempo, y es posible que también
necesitemos abordar estos cambios en Azure, por ejemplo, la dirección IP pública de un
firewall local puede cambiar y, luego, tendríamos que volver a configurar el gateway de
red local, o una red local podría reconfigurarse y el espacio de direcciones o la subred
ha cambiado, por lo que tendríamos que volver a configurar el gateway de red local.
Preparación
azure.com.
Procedimiento
Para modificar la configuración de gateway de la red local, siga estos pasos:
1. Busque el gateway de red local en Azure Portal y vaya a Configuration
(Configuración).
2. En Configuration, podemos editar los campos IP address (Dirección IP) o Address
space (Espacio de direcciones). También podemos agregar espacios de direcciones
adicionales si queremos conectar varias subredes locales a la VNet de Azure:
Modificar la configuración del gateway de red local | 81
Figura 5.4: Modificar la configuración del gateway de red local
Funcionamiento
El gateway de red local contiene la información de red local necesaria para crear una
conexión de sitio a sitio entre las redes locales y de Azure. Si esta información cambia,
podemos editarla en la opción Configuration (Configuración). Los cambios que se
pueden realizar son la dirección IP (es decir, la dirección IP pública del firewall local)
y el espacio de direcciones al que nos estamos conectando. Además, podemos agregar
o quitar espacios de direcciones si queremos agregar o quitar subredes que puedan
conectarse a Azure VNet. Si la configuración del gateway de red local ya no es válida,
aún podemos usarla para crear una conexión completamente nueva a una nueva red
local si es necesario.
6
DNS y enrutamiento
Azure DNS nos permite hospedar dominios de Sistema de nombres de dominio (DNS)
en Azure. Cuando se usa Azure DNS, se usa la infraestructura de Microsoft para la
resolución de nombres, lo que se traduce en consultas DNS rápidas y confiables. La
infraestructura de Azure DNS utiliza un gran número de servidores para proporcionar
una gran confiabilidad y disponibilidad del servicio. Mediante la red Anycast, el servidor
DNS disponible más cercano responde cada consulta DNS a fin de proporcionar una
respuesta rápida.
• Crear una zona de Azure DNS
• Crear una zona DNS privada de Azure
• Integrar una red virtual con una zona DNS privada
• Crear un nuevo conjunto de registros en Azure DNS
• Crear una tabla de rutas
• Cambiar una tabla de rutas
• Asociar una tabla de rutas con una subred
• Desasociar una tabla de rutas de una subred
• Crear una ruta nueva
• Cambiar una ruta
• Eliminar una ruta
84 | DNS y enrutamiento
Crear una zona de Azure DNS

Para comenzar a usar Azure DNS, primero debemos crear una zona DNS. Una zona DNS
contiene un registro DNS para un dominio específico y puede contener registros para
un único dominio en un momento. Una zona DNS contendrá registros DNS para este
dominio y posibles subdominios. Los servidores de nombres DNS se configuran para
responder a cualquier consulta en un dominio registrado y apuntar a un destino.
Preparación
Antes de comenzar, abra el explorador web y vaya a Azure Portal a través de
Procedimiento
Para crear una nueva zona de Azure DNS con Azure Portal, debe seguir estos pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y, luego, DNS
Zone (Zona DNS) en los servicios de Networking (Redes) (o busque DNS Zone [Zona
DNS] en la barra de búsqueda).
2. En el panel nuevo, debemos ingresar información en los campos Subscription
(Suscripción), Resource group (Grupo de recursos) y Name (Nombre). Si
seleccionamos un grupo de recursos existente, la región será automáticamente la
misma que la del grupo de recursos seleccionado. También podemos marcar esta
zona si el elemento secundario de una zona existente está hospedado en Azure
DNS. El nombre debe ser un Nombre de dominio completo (FQDN):
Crear una zona de Azure DNS | 85
Figura 6.1: Crear una nueva zona de Azure DNS con Azure Portal
Funcionamiento
Se requiere una zona DNS para comenzar a usar Azure DNS. Se requiere una nueva
zona DNS para cada dominio que queremos hospedar con Azure DNS, puesto que una
sola zona DNS puede contener información para un único dominio. Después de crear
una zona DNS, podemos agregar registros, conjuntos de registros y tablas de rutas
a un dominio hospedado con Azure DNS. Con estos elementos, podemos enrutar el
tráfico y definir destinos mediante un FQDN para los recursos de Azure (y también
otros recursos). Mostraremos cómo crearlos y administrarlos en las próximas tareas
de este capítulo.
Pasemos a la siguiente tarea para aprender a crear una zona DNS privada.
Crear una zona DNS privada de Azure

Una zona DNS privada de Azure funciona de manera muy similar a una zona DNS. Sin
embargo, en lugar de operar en registros públicos, opera dentro de una red virtual. Se
utiliza para resolver nombres y dominios personalizados dentro de su red virtual de
Azure.
Preparación
Procedimiento
Para crear una nueva zona de Azure DNS con Azure Portal, debe seguir estos pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y, luego, Private
DNS Zone (Zona DNS privada) en los servicios de Networking (Redes) (o busque
Private DNS Zone [Zona DNS privada] en la barra de búsqueda).
2. En el panel nuevo, debemos ingresar información en los campos Subscription
(Suscripción), Resource group (Grupo de recursos) y Name (Nombre). Si
seleccionamos un grupo de recursos existente, la región será automáticamente la
misma que la del grupo de recursos seleccionado. El nombre debe ser un FQDN:
Figura 6.2: Crear una nueva zona de DNS privada con Azure Portal
Integrar una red virtual con una zona DNS privada | 87
Funcionamiento
Cuando se crea una red virtual, se proporciona una zona DNS predeterminada. La
zona DNS predeterminada usa nombres proporcionados por Azure, y debemos usar
una zona DNS privada para usar nombres personalizados. También se requiere una
zona DNS privada para la resolución de nombres en redes virtuales, ya que el DNS
predeterminado no admite esta opción.
Pasemos a la siguiente tarea para aprender a integrar una red virtual con una zona DNS
privada.
Integrar una red virtual con una zona DNS privada

Cuando se crea una zona DNS privada, es un servicio independiente que no hace mucho
por sí solo. Debemos integrarla con una red virtual para poder comenzar a usarla. Una
vez integrada, proporcionará DNS dentro de la red virtual.
Preparación
Procedimiento
Para agregar un nuevo registro a la zona DNS, siga estos pasos:
1. En Azure Portal, busque Private DNS Zone (Zona DNS privada).
2. En Private DNS Zone (Zona DNS privada), seleccione Virtual network links
(Vínculos de red virtual) y haga clic en Add (Agregar):
Figura 6.3: Agregar un vínculo de red virtual

3. En el panel nuevo, complete el campo Link name (Nombre del vínculo), luego,
seleccione valores para los campos Subscription (Suscripción) y Virtual network
(Red virtual) (solo estarán disponibles las redes virtuales en la suscripción
seleccionada). Como alternativa, podemos proporcionar el ID de recurso de
nuestra red virtual, en lugar de seleccionar opciones del menú desplegable:
Figura 6.4: Agregar un vínculo de red virtual
Funcionamiento
Una vez que la red virtual está vinculada a la zona DNS privada, la zona se puede utilizar
para la resolución de nombres dentro de la red virtual conectada. Para la resolución de
nombres en varias redes virtuales conectadas, debemos usar una zona DNS privada,
puesto que el DNS predeterminado no admite la resolución entre redes. Lo mismo se
aplica si la red está conectada a una red local.
Si habilitamos el registro automático en Configuration (Configuración), las máquinas
virtuales recién creadas se registrarán automáticamente en la zona DNS privada. De lo
contrario, tenemos que agregar cada nuevo recurso de forma manual.
Pasemos a la siguiente tarea para aprender cómo crear un nuevo conjunto de registros
en Azure DNS.
Crear un nuevo conjunto de registros en Azure DNS

Cuando creamos una zona DNS, definimos para qué dominio mantendremos registros.
Una zona DNS se crea para un dominio raíz definido con un FQDN. Podemos agregar
subdominios adicionales y agregar registros para mantener información sobre otros
recursos en el mismo dominio.
Crear un nuevo conjunto de registros en Azure DNS | 89
Preparación
Procedimiento
1. En Azure Portal, busque DNS zone (Zona DNS).
2. En Overview (Información general), seleccione la opción para agregar un conjunto
de registros:
Figura 6.5: Agregar un conjunto de registros en la zona DNS
3. Se abrirá un panel nuevo. Escriba el nombre del subdominio para el que desea
agregar un registro:
Figura 6.6: Agregar un subdominio para el registro

4. Tenemos que seleccionar el tipo de registro que queremos agregar. Las opciones
son A, AAAA, CNAME, MX, NS, SRV, TXT y PTR. El tipo de registro más común es
A, por lo que seleccionaremos ese:
Figura 6.7: Seleccionar el tipo de registro
5. Después de seleccionar el tipo de registro, necesitamos seleccionar un alias

(los alias solo están disponibles para los tipos A, AAAA y CNAME) y la opción TTL
(Período de vida). Por último, agregamos un destino de registro. Esto depende del
tipo de registro y, en el caso del registro A, será una dirección IP:
Figura 6.8: Agregar un alias, TTL y un destino de registro

Crear una tabla de rutas | 91
6. Si elegimos CNAME como tipo de registro, no introduciremos una dirección IP,

sino un alias. Cuando se realiza una consulta para el registro, en lugar de una
dirección IP, se devuelve una dirección URL y el cliente se dirige a este registro:
Figura 6.9: Agregar un registro CNAME

7. Agregar una sola entrada a nuestro registro crea un nuevo conjunto de registros
y un nuevo registro. Podemos agregar más registros al conjunto de registros
agregando direcciones IP adicionales (en este caso).
Funcionamiento
Un conjunto de registros DNS contiene información sobre el subdominio en el
dominio hospedado con la zona DNS. En este caso, el dominio sería toroman.cloud y
el subdominio sería test. Esto forma un FQDN, demo.toroman.cloud, y el registro dirige
este dominio a la dirección IP que definimos. El conjunto de registros puede contener
varios registros para un único subdominio, que normalmente se usa para la redundancia
y la disponibilidad.
Se puede usar CNAME o un alias con Azure Traffic Manager. De esta manera, los
nombres de dominio personalizados se pueden usar para la resolución de nombres,
en lugar de los nombres predeterminados proporcionados por Azure.
En esta tarea, aprendió a crear un nuevo registro en Azure DNS. Pasemos a la siguiente
tarea para aprender a crear una tabla de rutas.
Crear una tabla de rutas

Azure enruta el tráfico de red en subredes de forma predeterminada. Sin embargo, en
algunos casos, queremos utilizar rutas de tráfico personalizadas para definir dónde y
cómo fluye el tráfico. En esos casos, usamos tablas de rutas. Una tabla de rutas define
el siguiente salto para nuestro tráfico y determina a dónde debe ir el tráfico de red.
Preparación
Procedimiento
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y, luego, Route
Table (Tabla de rutas) en los servicios de Networking (Redes) (o busque route
table [tabla de rutas] en la barra de búsqueda).
2. En el panel nuevo, tenemos que seleccionar opciones para los campos
Subscription (Suscripción), Resource group (Grupo de recursos) y Region
(Región), y proporcionar el nombre de la tabla de rutas. Opcionalmente, podemos
definir si queremos permitir la propagación de la ruta de gateway (que está
activada de forma predeterminada):
Figura 6.10: Crear una tabla de rutas
Funcionamiento
El enrutamiento de red en Azure Virtual Network se realiza de forma automática, pero
podemos usar enrutamiento personalizado con tablas de rutas. Las tablas de rutas usan
reglas y asociaciones de subred para definir el flujo de tráfico en la red virtual. Cuando
se crea una nueva tabla de rutas, no se crea ninguna configuración: solo un recurso
vacío. Después de crear el recurso, necesitamos definir las reglas y las subredes a fin
de utilizar una tabla de rutas para el flujo de tráfico. En las siguientes tareas de este
capítulo, mostraremos cómo crear y aplicar reglas en las tablas de rutas.
Cambiar una tabla de rutas | 93
Cambiar una tabla de rutas

Como se mencionó en la tarea anterior, crear una nueva tabla de rutas producirá un
recurso vacío. Una vez que se cree el recurso, podemos cambiar la configuración según
sea necesario. Antes de configurar las rutas y subredes asociadas a la tabla de rutas, la
única configuración que podemos cambiar es la propagación de rutas de Border Gateway
Protocol (BGP). También podemos cambiar otros ajustes después de la creación.
Preparación
Procedimiento
Para cambiar una tabla de rutas, se debe hacer lo siguiente:
1. En Azure Portal, busque Route table (Tabla de rutas).
2. En Settings (Configuración), podemos cambiar la configuración de Propagate
gateway routes (Propagar rutas de gateway) en el panel Configuration
(Configuración) en cualquier momento:
Figura 6.11: Opción para cambiar la configuración de Propagate gateway routes

(Propagar rutas de gateway)
Funcionamiento
En la configuración de la tabla de rutas, podemos activar o desactivar la propagación de
rutas de gateway en cualquier momento. Esta opción, si está desactivada, impide que las
rutas locales se propaguen a través de BGP a las interfaces de red de una subred de red
virtual. En la configuración, podemos crear, eliminar o cambiar rutas y subredes. Estas
opciones se abordarán en las próximas tareas de este capítulo.
Pasemos a la siguiente tarea, en que aprenderá a asociar una tabla de rutas con una
subred.
Asociar una tabla de rutas con una subred

Cuando se crea una tabla de rutas, no hace nada hasta que se configura correctamente.
Hay dos aspectos que necesitamos abordar: qué recursos se ven afectados y cómo. Para
definir qué recursos se ven afectados, debemos establecer una asociación entre una
subred y una tabla de rutas.
Preparación
Procedimiento
Para asociar una subred con una tabla de rutas, siga estos pasos:
2. En Settings (Configuración), seleccione la opción Subnets (Subredes). En el panel
Subnets (Subredes), seleccione la opción Associate (Asociar) para crear una
asociación nueva:
Figura 6.12: Crear una asociación nueva
3. Se abrirá un panel nuevo. Hay dos opciones disponibles: seleccionar una red
virtual y elegir una subred a las que queremos asociar la tabla de rutas. En primer
lugar, debemos seleccionar Virtual network (Red virtual). Seleccionar esta opción
mostrará la lista de todas las redes virtuales disponibles. Seleccione la que desea
asociar de esta lista:
Asociar una tabla de rutas con una subred | 95
Figura 6.13: Seleccionar una red virtual
4. Después de seleccionar una red virtual, podemos continuar con la selección de

una subred. La opción Subnet (Subred) mostrará una lista de todas las subredes
de la red virtual que seleccionamos en el paso anterior. Seleccione la subred que
desea asociar de esta lista:
Figura 6.14: Seleccionar la subred

5. Después de seleccionar ambas opciones, podemos continuar con la creación

de una asociación:
Figura 6.15: Red virtual y subred seleccionadas
6. Después de asociar una subred, aparecerá en una lista de subredes debajo de la

tabla de rutas:
Figura 6.16: Lista de subredes asociadas
Funcionamiento
Para que la tabla de rutas sea eficaz, debe tener definidas dos partes: el qué y el cómo.
Definimos lo que se verá afectado por la tabla de rutas con una asociación de subred.
Esto es solo una parte de la configuración, puesto que simplemente asociar una subred
a una tabla de rutas no tendrá ningún efecto. Debemos crear reglas que se apliquen
a esta asociación. Explicaremos las reglas en las siguientes tareas de este capítulo.
Pasemos a una nueva tarea en la que aprenderemos a desasociar una tabla de rutas
de una subred.
Desasociar una tabla de rutas de una subred | 97
Desasociar una tabla de rutas de una subred

Después de crear una asociación y reglas, esas reglas se aplicarán a todos los recursos
de la subred asociada. Si queremos que las reglas ya no se apliquen a una subred
específica, podemos quitar la asociación.
Preparación
Procedimiento
A fin de eliminar la asociación entre la subred y la tabla de rutas, tenemos que hacer
lo siguiente:
2. En Settings (Configuración), seleccione la opción Subnets (Subredes) y seleccione
la subred que desea quitar:
Figura 6.17: Seleccionar una subred para su eliminación

3. Se abrirá el panel de configuración de subred. Seleccione la opción Route table

(Tabla de rutas). Tenga en cuenta que esto realmente abre una configuración de
subred. Es un error común confundir este panel con la asociación y seleccionar
la opción Delete (Eliminar). Esto no solo quitará la asociación, sino que también
quitará la subred por completo:
Figura 6.18: Panel de configuración de subred

4. Azure Portal mostrará una lista de las tablas de rutas disponibles para una red
específica. Seleccione None (Ninguna):
Figura 6.19: Lista de tablas de rutas disponibles para una subred

Desasociar una tabla de rutas de una subred | 99
5. Después de seleccionar None, haga clic en el botón Save (Guardar) para aplicar la
configuración nueva. La asociación de la tabla de rutas se elimina de la subred:
Figura 6.20: Eliminar una asociación de la tabla de rutas de la subred
Funcionamiento
En algún momento, es posible que hayamos creado reglas en una tabla de rutas que
se aplican a varias subredes. Si ya no queremos aplicar una o más reglas a una subred
específica, podemos eliminar la asociación. Una vez que se elimina la asociación, las
reglas ya no se aplicarán a la subred. Todas las reglas se aplicarán a todas las subredes
asociadas. Si necesitamos que solo una regla ya no se aplique a una subred específica,
debemos eliminar la asociación.
En esta tarea, aprendimos a desasociar una tabla de rutas. Pasemos a la siguiente tarea
para aprender a crear una ruta nueva.
Crear una ruta nueva

Después de crear una tabla de rutas y las subredes asociadas, aún falta hacer algo.
Definimos la tabla de rutas que se verá afectada con la asociación de la subred, pero
nos falta la parte que define cómo se verá afectada. Definimos cómo las subredes
asociadas son afectadas con reglas llamadas rutas. Las rutas definen las rutas de tráfico
y manifiestan adónde debe ir el tráfico específico. Si la ruta predeterminada para
el tráfico específico es Internet, podemos cambiar esto y volver a enrutar el tráfico
a una IP o subred específica.
Preparación
Procedimiento
Para crear una ruta nueva, se debe hacer lo siguiente:
2. En el panel Route table (Tabla de rutas), en Settings (Configuración), seleccione
Routes (Rutas). Seleccione Add (Agregar) para agregar una ruta nueva:
Figura 6.21: Agregar una nueva ruta
3. En el panel nuevo, necesitamos definir los valores para los campos Route name
(Nombre de ruta) y Address prefix (Prefijo de dirección) (en formato CIDR) para
el intervalo de direcciones IP de destino y seleccionar una opción para Next hop
type (Tipo del próximo salto). Las opciones para esto incluyen Virtual network
gateway (Gateway de red virtual), Virtual network (Red virtual), Internet, Virtual
appliance (Dispositivo virtual) y None (Ninguno):
Crear una ruta nueva | 101
Figura 6.22: Agregar detalles de la ruta
4. La última opción, Next hop address (Dirección del próximo salto), solo está activa
cuando se utiliza un dispositivo virtual. En ese caso, necesitamos proporcionar la
dirección IP del dispositivo virtual en este campo, y todo el tráfico pasará a través
del dispositivo virtual. Elegiremos Internet y proporcionaremos una dirección IP
pública en el campo Address prefix (Prefijo de dirección) (la opción Address prefix
siempre depende de la opción Next hop type):
Figura 6.23: Seleccionar Internet para el tipo de próximo salto

Funcionamiento
La ruta define el flujo de tráfico. Todo el tráfico de la subred asociada seguirá la ruta
definida por estas reglas. Si definimos que el tráfico irá a Internet, todo el tráfico saldrá
de la red en un intervalo de direcciones IP definido con un prefijo de dirección IP. Si
elegimos que el tráfico vaya a una red virtual, irá a una subred definida por el prefijo
de dirección IP. Si se utiliza ese gateway de red virtual, todo el tráfico pasará por el
gateway de red virtual y llegará a su conexión en el otro lado, ya sea otra red virtual
o nuestra red local. La opción Virtual appliance (Dispositivo virtual) enviará todo el
tráfico al dispositivo virtual, que, entonces, con su propio conjunto de reglas, define
el lugar al que se dirige el tráfico a continuación.
Pasemos a la siguiente tarea para aprender a cambiar una ruta.
Cambiar una ruta

Los requisitos de ruta pueden cambiar con el tiempo. En esos casos, podemos eliminar
la ruta o editarla, según nuestras necesidades. Si es necesario ajustar una ruta, podemos
seleccionar la opción para cambiar la ruta y aplicar el nuevo flujo de tráfico en cualquier
momento.
Preparación
Procedimiento
Para cambiar la ruta existente, se debe hacer lo siguiente:
2. En Settings (Configuración), seleccione Routes (Rutas) y seleccione la ruta que
desea cambiar desde la lista de rutas disponibles:
Figura 6.24: Cambiar una ruta disponible

Eliminar una ruta | 103
3. Se abrirá un panel nuevo. Podemos cambiar la configuración de Address prefix

(Prefijo de dirección) (para el intervalo de IP de destino) y Next hop type (Tipo del
próximo salto). Si la opción Next hop type (Tipo del próximo salto) es un dispositivo
virtual, estará disponible la opción Next hop address (Dirección del próximo salto):
Figura 6.25: Opción para la dirección del próximo salto
Funcionamiento
Los requisitos para una ruta pueden cambiar con el tiempo. Podemos cambiar una ruta
y ajustarla para adaptarse a los requisitos nuevos según sea necesario. Los escenarios
más comunes son que el tráfico necesita alcanzar un servicio específico cuando la IP del
servicio cambia con el tiempo. Por ejemplo, es posible que necesitemos enrutar todo el
tráfico a través de un dispositivo virtual, pero la dirección IP del dispositivo virtual cambia
con el tiempo. Podemos cambiar la ruta en la tabla de rutas para reflejar este cambio y
forzar el flujo de tráfico a través del dispositivo virtual. Otro ejemplo es cuando el tráfico
necesita llegar a nuestra red local a través de un gateway de red virtual: el intervalo de
direcciones IP de destino puede cambiar con el tiempo y necesitamos reflejar estos
cambios en la ruta una vez más.
En esta tarea, aprendimos a cambiar una ruta. En la siguiente tarea, aprenderemos
a eliminar una ruta.
Eliminar una ruta

Como ya lo mencionamos, los requisitos de ruta pueden cambiar con el tiempo. En
algunos casos, las reglas ya no son aplicables y tenemos que eliminarlas. En esos casos,
cambiar la ruta no completará la tarea, por lo que necesitaremos eliminar la ruta por
completo. Esta tarea se puede completar mediante la eliminación de la ruta.
Preparación
Procedimiento
Para eliminar una ruta, se debe hacer lo siguiente:
1. En Azure Portal, busque el vínculo Route table (Tabla de rutas).
2. En Settings (Configuración), seleccione Routes (Rutas) y, luego, seleccione la ruta
que desea eliminar:
Figura 6.26: Eliminar una ruta existente
3. Se abrirá un panel nuevo. Seleccione la opción Delete (Eliminar) y confirme la

acción:
Figura 6.27: Seleccionar la opción Delete (Eliminar)

Eliminar una ruta | 105
4. Después de confirmar esta acción, volverá al panel anterior y la ruta eliminada ya

no aparecerá:
Figura 6.28: La eliminación correcta de una ruta
Funcionamiento
A medida que nuestros requisitos cambian, necesitamos abordar los requisitos nuevos
en nuestras tablas de rutas. Podemos editar rutas o eliminarlas para cumplir con estos
requisitos nuevos. Cuando se utilizan varias rutas en una sola tabla de rutas, una de las
rutas puede quedar obsoleta o, incluso, bloquear requisitos nuevos. En esos casos, es
posible que queramos eliminar una ruta para resolver cualquier problema.
7
Azure Firewall
La mayoría de los componentes de red de Azure que se usan para la seguridad están ahí
para detener el tráfico entrante no deseado. Ya sea que usemos grupos de seguridad de
red, grupos de seguridad de aplicaciones o un Web Application Firewall (WAF), todos
tienen un único propósito: evitar que el tráfico no deseado llegue a nuestros servicios.
Azure Firewall tiene una funcionalidad similar, incluida una extensión que podemos
usar para impedir que el tráfico saliente deje la red virtual.
• Crear un nuevo firewall
• Crear un nuevo firewall con PowerShell
• Configurar una nueva regla de permiso
• Configurar una nueva regla de denegación
• Configurar una tabla de rutas
• Habilitar registros de diagnóstico para Azure Firewall
• Configurar Azure Firewall en el modo de tunelización forzada
• Crear un grupo de IP
• Configurar las opciones de DNS de Azure Firewall
108 | Azure Firewall

Crear un nuevo firewall

Azure Firewall nos otorga un control total sobre nuestro tráfico. Además de controlar
el tráfico entrante, con Azure Firewall, también podemos controlar el tráfico saliente.
Preparación
Antes de poder crear una instancia de Azure Firewall, primero debemos preparar una
subred.
A fin de crear una nueva subred para Azure Firewall, siga estos pasos:
1. Busque la red virtual que se asociará con la instancia de Azure Firewall.
2. Seleccione la opción Subnets (Subredes) en Settings (Configuración) y haga clic
en Subnet (Subred), para agregar una subred nueva, tal como se muestra en la
Figura 7.1:
Figura 7.1: Agregar una nueva subred

Crear un nuevo firewall | 109
3. En el panel nuevo, debe proporcionar valores para los campos Name (Nombre)
y Address range (Intervalo de direcciones). Es muy importante que el nombre de
la subred sea AzureFirewallSubnet:
Figura 7.2: Proporcionar el nombre y el intervalo de direcciones de la subred

Procedimiento
Para crear una nueva instancia de Azure Firewall con Azure Portal, siga estos pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y elija Azure
Firewall en servicios de Networking (Redes) (o busque Azure Firewall en la barra
de búsqueda).
2. En el panel nuevo, primero debemos proporcionar valores para los menús
desplegables Subscription (Suscripción) y Resource group (Grupo de recursos).
Necesitamos completar los campos Name (Nombre) y Region (Región) para
Azure Firewall y, opcionalmente, seleccionar la opción Availability zone (Zona
de disponibilidad). A continuación, pasaremos a seleccionar la red virtual. Solo
están disponibles redes virtuales en la región donde se creará la instancia de
Azure Firewall. Además, la red virtual seleccionada debe contener la subred
AzureFirewallSubnet que creamos antes. Por último, definimos una dirección
IP pública (podemos elegir una existente o crear una nueva). También podemos
habilitar la tunelización forzada:
Figura 7.3: Agregar detalles de Azure Firewall
Funcionamiento
Azure Firewall utiliza un conjunto de reglas para controlar el tráfico saliente.
Podemos bloquear todo de forma predeterminada y permitir solo el tráfico de la lista
de permitidos, o podemos permitir todo y bloquear solo el tráfico restringido. Es
esencialmente el punto central donde podemos establecer directivas de red, hacer
cumplir estas directivas y supervisar el tráfico de red a través de redes virtuales o
incluso suscripciones. Como firewall como servicio, Azure Firewall es un servicio
administrado con alta disponibilidad y escalabilidad integradas.
Crear un nuevo firewall con PowerShell | 111
Crear un nuevo firewall con PowerShell

Como alternativa, podemos implementar Azure Firewall mediante PowerShell.
Este método es especialmente útil cuando los servicios forman parte de una
implementación grande o de cualquier implementación que deba automatizarse.
Procedimiento
Hay varios pasos que deben ejecutarse para crear un nuevo firewall con Azure
PowerShell:
1. En primer lugar, se definen los parámetros:
$RG="Packt-Networking-Script"
$Location="West Europe"
$VNetName = "Packt-Script"
$AzFwIpName = "AzFW-Public-IP"
$AzFwname = "AzFw-Script"
2. Luego, necesitamos crear una subred independiente para Azure Firewall:
$vnet = Get-AzVirtualNetwork -ResourceGroupName $RG '
-Name $VnetName
Add-AzVirtualNetworkSubnetConfig -Name AzureFirewallSubnet '
-VirtualNetwork $vnet '
-AddressPrefix 10.11.3.0/24
Set-AzVirtualNetwork -VirtualNetwork $vnet
3. A continuación, necesitamos crear una dirección IP pública para Azure Firewall:
$AzFwIp = New-AzPublicIpAddress -Name $AzFwIpName '
-ResourceGroupName $RG '
-Location $Location '
-AllocationMethod Static '
-Sku Standard
4. Finalmente, tenemos todos los componentes implementados y podemos crear
el firewall:
$Azfw = New-AzFirewall -Name $AzFwname '
-ResourceGroupName $RG '
-Location $Location '
-VirtualNetworkName $vnet.Name '
-PublicIpName $AzFwIp.Name
Funcionamiento
El firewall requiere una subred independiente denominada AzureFirewallSubnet. Por
lo tanto, necesitamos crear una subred de este tipo en la red virtual que pretendemos
usar. Otro requisito es una dirección IP pública. Por último, estamos listos para la
implementación y podemos crear una nueva instancia de Azure Firewall.
Pero implementar Azure Firewall es solo el principio. Necesitamos configurar nuestro
firewall mediante la creación de reglas y rutas. Avancemos a la siguiente tarea para ver
cómo se crean las reglas.
Configurar una nueva regla de permiso

Si queremos permitir tráfico específico, debemos crear una regla de permiso. Las reglas
se aplican en función del nivel de prioridad, por lo que una regla solo se aplicará cuando
no haya ninguna otra regla con mayor prioridad.
Preparación
Abra la consola de PowerShell y asegúrese de que está conectado a su suscripción
de Azure.
Procedimiento
Para crear una nueva regla de permiso en Azure Firewall, ejecute el siguiente comando:
$Azfw = Get-AzFirewall -ResourceGroupName $RG
$Rule = New-AzFirewallApplicationRule -Name Rule1 -Protocol
"http:80","https:443" -TargetFqdn "*packt.com"
$RuleCollection = New-AzFirewallApplicationRuleCollection -Name
RuleCollection1 -Priority 100 -Rule $Rule -ActionType "Allow"
$Azfw.ApplicationRuleCollections = $RuleCollection
Set-AzFirewall -AzureFirewall $Azfw
Funcionamiento
Una regla de permiso en Azure Firewall incluirá tráfico específico en la lista blanca.
Si hay una regla que también bloquearía este tráfico, se aplicará la regla de mayor
prioridad.
También podemos crear reglas de denegación. Veamos cómo podemos hacerlo en
la siguiente tarea.
Configurar una nueva regla de denegación | 113
Configurar una nueva regla de denegación

Si queremos denegar tráfico específico, debemos crear una regla de denegación.
Las reglas se aplican por prioridad, por lo que esta regla solo se aplicará si no hay
una regla de mayor prioridad en vigor.
Preparación
de Azure.
Procedimiento
Para crear una nueva regla de denegación en Azure Firewall, ejecute el siguiente
comando:
$Rule = New-AzFirewallApplicationRule -Name Rule1 -Protocol
"http:80","https:443" -TargetFqdn "*google.com"
$RuleCollection = New-AzFirewallApplicationRuleCollection -Name
RuleCollection1 -Priority 100 -Rule $Rule -ActionType "Deny"
$Azfw.ApplicationRuleCollections = $RuleCollection
Set-AzFirewall -AzureFirewall $Azfw
Funcionamiento
La regla de denegación es la opción más utilizada con Azure Firewall. Un enfoque en
el que se bloquea todo y solo se permite el tráfico de la lista blanca no es muy práctico,
puesto que podemos terminar agregando demasiadas reglas de permiso. Por lo tanto, el
enfoque más común es usar reglas de denegación para bloquear tráfico que queremos
evitar.
Configurar una tabla de rutas

Las tablas de rutas se usan normalmente con Azure Firewall cuando hay conectividad
cruzada. La conectividad cruzada se puede dar con otras redes virtuales de Azure o con
redes locales. En estos casos, Azure Firewall usa tablas de rutas para reenviar el tráfico
en función de las reglas especificadas en esas tablas.
Preparación
de Azure.
Procedimiento
Para crear una nueva tabla de rutas en Azure Firewall, ejecute el siguiente comando:
$config = $Azfw.IpConfigurations[0].PrivateIPAddress
$Route = New-AzRouteConfig -Name 'Route1' -AddressPrefix 0.0.0.0/0 -NextHopType
VirtualAppliance -NextHopIpAddress $config
$RouteTable = New-AzRouteTable -Name 'RouteTable1' -ResourceGroupName $RG
-location $Location -Route $Route
Funcionamiento
Mediante las tablas de rutas asociadas con Azure Firewall, podemos definir cómo se
controla el tráfico entre redes y cómo enrutamos el tráfico de una red a otra. En un
entorno de varias redes, en especial, en una red híbrida donde conectamos una Azure
Virtual Network con una red local, esta opción es muy importante. Esto nos permite
determinar qué tipo de tráfico puede ingresar, y dónde y cómo puede hacerlo.
Habilitar registros de diagnóstico para Azure Firewall

Los diagnósticos son una parte muy importante de cualquier sistema de TI, y las redes
no son la excepción. La configuración de diagnóstico de Azure Firewall nos permite
recopilar información diversa que se puede usar para solucionar problemas o realizar
auditorías.
Preparación
Procedimiento
Para habilitar el diagnóstico en Azure Firewall, siga estos pasos:
1. En el panel de Azure Firewall, busque Diagnostics settings (Configuración
de diagnóstico) en Monitoring (Supervisión).
2. Seleccione la opción Add diagnostic setting (Agregar configuración de
diagnóstico), como se muestra en la Figura 7.4:
Habilitar registros de diagnóstico para Azure Firewall | 115
Figura 7.4: Agregar una configuración de diagnóstico
3. En el panel nuevo, complete el campo del nombre y especifique dónde se

almacenarán los registros. Seleccione la cuenta de almacenamiento donde se
almacenarán los registros y especifique el período de retención y qué registros
se almacenarán, como se muestra en la Figura 7.5:
Figura 7.5: Agregar los detalles de registro

Funcionamiento
El diagnóstico tiene dos propósitos: auditoría y solución de problemas. Según el tráfico
y la configuración, estos registros pueden aumentar con el tiempo, por lo que es
importante tener en cuenta el propósito principal de habilitar el diagnóstico en primer
lugar. Si los diagnósticos se habilitan para auditoría, es probable que desee elegir un
máximo de retención de 365 días. Si el propósito principal es la solución de problemas,
el período de retención se puede mantener en 7 días o incluso un período aún más
breve. Establecer la directiva de retención en 0 almacenará los registros sin eliminarlos
después de un período. Esto puede generar costos adicionales y es posible que deba
configurar un procedimiento diferente para eliminar los registros.
Si no queremos almacenar registros de diagnóstico en una cuenta de almacenamiento,
podemos elegir Log Analytics o Event Hubs. En este caso, el proceso no incluye la
configuración de períodos de retención, puesto que esta configuración se mantiene
en el lado de destino.
Configurar Azure Firewall en el modo de tunelización forzada

La tunelización forzada nos permite forzar todo el tráfico vinculado a Internet a un
firewall local para su inspección o auditoría. Debido a las diferentes dependencias
de Azure, esto no está habilitado de forma predeterminada y requiere rutas definidas
por el usuario (UDR) para permitir la tunelización forzada. Además, esto no es posible
con AzureFirewallSubnet, y necesitamos agregar una subred adicional llamada
AzureFirewallManagementSubnet. Tenga en cuenta que esto debe hacerse antes de la
implementación de Azure Firewall y no funcionará si la subred se agrega después.
Preparación
Procedimiento
A fin de agregar AzureFirewallManagementSubnet para la tunelización forzada,
es necesario hacer lo siguiente:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y, luego, Route
Table (Tabla de rutas) en los servicios de Networking (Redes) (o busque Route
Table [Tabla de rutas] en la barra de búsqueda).
Configurar Azure Firewall en el modo de tunelización forzada | 117
2. En el panel nuevo, proporcione información para los campos Subscription

(Suscripción), Resource group (Grupo de recursos), Region (Región) y Name
(Nombre) para la tabla de rutas. Asegúrese de seleccionar No para Propagate
gateway routes (Propagar rutas de gateway):
Figura 7.6: Crear una tabla de rutas con Azure Portal

3. Una vez que se crea la tabla de rutas, tenemos que establecer una ruta de Internet
predeterminada. Vaya a la tabla de rutas que acabamos de crear y en Routes
(Rutas) en la sección Settings (Configuración), seleccione Add (Agregar):
Figura 7.7: Agregar una ruta de Internet predeterminada para la tabla de rutas

4. En el panel nuevo, tenemos que proporcionar un nombre para la ruta. También

debemos colocar 0.0.0.0/0 en Address prefix (Prefijo de red) e Internet en Next
hop type (Tipo del próximo salto):
Figura 7.8: Configurar la ruta de Internet predeterminada para la tabla de rutas
5. Ahora vaya a la red virtual en la que planifica implementar Azure Firewall.

En Subnets (Subredes), agregue una nueva subred. Tenga en cuenta que también
se debe agregar AzureFirewallSubnet:
Figura 7.9: Agregar una nueva subred en el panel de red virtual

Configurar Azure Firewall en el modo de tunelización forzada | 119
6. En el panel nuevo, establezca el nombre en AzureFirewallManagementSubnet,

proporcione un valor para el campo Subnet address range (Intervalo de
direcciones de subred) (se requiere un tamaño de subred mínimo de /26) y
seleccione la tabla de rutas que creamos en el campo Route table (Tabla de rutas):
Figura 7.10: Configurar las opciones de subred en el panel nuevo
7. Ahora podemos continuar con la implementación de Azure Firewall. Consulte la

tarea Crear un nuevo firewall.
Funcionamiento
Con el fin de admitir la tunelización forzada, el tráfico asociado con la administración
de servicios está separado del resto del tráfico. Se requiere una subred adicional con
un tamaño mínimo de /26, junto con una dirección IP pública asociada. Se requiere una
tabla de rutas con una sola ruta que defina la ruta a Internet y debe deshabilitarse la
propagación de rutas BGP (propagar rutas de gateway). Ahora podemos incluir rutas
y definir adónde exactamente debe ir el tráfico (a un dispositivo de red virtual o un
firewall local) para que se inspeccione o se audite antes de llegar a Internet.
Crear un grupo de IP
Los grupos de IP son recursos de Azure que ayudan a agrupar direcciones IP para
facilitar la administración. De esta manera, podemos aplicar las reglas de Azure Firewall
de forma más fácil y con una mejor visibilidad.
Preparación
Procedimiento
Para crear un grupo de IP nuevo, necesitamos hacer lo siguiente:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y, luego, IP
Group (Grupo de IP) en los servicios de Networking (Redes) (o busque IP group
[grupo de IP] en la barra de búsqueda).
2. En el panel nuevo, proporcione información para los campos Subscription
(Región):
Figura 7.11: Crear un grupo de IP nuevo con Azure Portal

Configurar las opciones de DNS de Azure Firewall | 121
3. En IP addresses (Direcciones IP), necesitamos proporcionar algo para el campo

IP address, range or subnet (Dirección IP, intervalo o subred). En este ejemplo,
agregaremos una subred:
Figura 7.12: Agregar una subred en el campo IP address, range or subnet (Dirección IP, intervalo o
subred)
4. Ahora podemos continuar con el grupo de IP e implementarlo.
Funcionamiento
Los grupos de IP nos permiten asociar varias direcciones IP con un solo recurso para
una administración más sencilla. Podemos asociar cualquier número de direcciones
IP individuales (en formato 10.10.10.10), intervalos IP (en formato 10.10.10.10-
10.10.10.20) o subredes (en formato 10.10.10.0/24). Entonces, las reglas de firewall se
pueden asociar con grupos de IP y todas las direcciones IP en un grupo de IP definido.
En lugar de crear una regla independiente para cada dirección IP, intervalo o subred,
ahora podemos tener una sola regla para un solo intervalo de IP. Esto significa una
administración y un mantenimiento más sencillos de Azure Firewall, junto con una
mejor visibilidad de las reglas vigentes.
Configurar las opciones de DNS de Azure Firewall

Podemos usar un servidor DNS personalizado con nuestra instancia de Azure Firewall.
Esto nos permite resolver nombres personalizados y aplicar el filtrado basado en el
Nombre de dominio completo (FQDN).
Preparación
Procedimiento
Para configurar las opciones de DNS personalizado en Azure Firewall, tenemos que
hacer lo siguiente:
1. En el panel de Azure Firewall, busque DNS en Settings (Configuración).

Tenemos que establecerlo en Enabled (Habilitado). Seleccione el tipo de DNS
(predeterminado o personalizado) y si queremos usar un proxy DNS:
Figura 7.13: Configurar las opciones de DNS de Azure Firewall mediante Azure Portal
2. Una vez que se hayan proporcionado todas las opciones de configuración

necesarias, seleccione Save (Guardar) para aplicarlas. Demora hasta 30 minutos
propagar correctamente las rutas y para que tengan pleno efecto.
Funcionamiento
Para usar el filtrado de FQDN, Azure Firewall debe ser capaz de resolver el FQDN en
cuestión. Esto se puede lograr mediante la habilitación de la configuración de DNS en
Azure Firewall. Cuando está habilitado, podemos elegir entre DNS proporcionado por
Azure o DNS personalizado. El DNS personalizado puede ser una zona DNS de Azure
o un servidor DNS que se ejecuta en una red virtual.
8
Creación de
conexiones híbridas
Las conexiones híbridas nos permiten crear conexiones seguras con redes virtuales
de Azure (VNets). Estas conexiones pueden ser locales o de otras VNets de Azure.
El establecimiento de conexiones con VNets de Azure permite el intercambio de tráfico
de red seguro con otros servicios que se ubican en diferentes VNets de Azure, diferentes
suscripciones o servicios fuera de Azure (en diferentes nubes o en entornos locales).
El uso de conexiones seguras elimina la necesidad de puntos de conexión expuestos
públicamente que presentan un riesgo potencial de seguridad. Esto es especialmente
importante cuando consideramos la administración, en que la apertura de puntos de
conexión públicos crea un riesgo de seguridad y presenta un problema importante.
Por ejemplo, si consideramos administrar máquinas virtuales, es una práctica común
usar Protocolo de escritorio remoto (RDP) o PowerShell para la administración. La
exposición de estos puertos al acceso público presenta un gran riesgo. Un procedimiento
recomendado es deshabilitar cualquier tipo de acceso público a esos puertos y utilizar
solo el acceso desde una red interna para la administración. En este caso, usaremos una
conexión de sitio a sitio o de punto a sitio para habilitar la administración segura.
124 | Creación de conexiones híbridas
En otro escenario, es posible que necesitemos tener acceso a un servicio o una base
de datos en otra red, ya sea local o a través de otra VNet de Azure. Nuevamente, la
exposición de estos servicios puede presentar un riesgo, por lo que usamos la conexión
de sitio a sitio, de VNet a VNet o el emparejamiento de VNet para habilitar esa conexión
de forma segura.
• Crear una conexión de sitio a sitio
• Descargar la configuración del dispositivo VPN desde Azure
• Crear una conexión de punto a sitio
• Crear una conexión de VNet a VNet
• Conectar VNets mediante el emparejamiento de red
• Windows PowerShell

Crear una conexión de sitio a sitio

Una conexión de sitio a sitio se usa para crear una conexión segura entre una red
local y una VNet de Azure. Esta conexión se utiliza para realizar varias tareas diferentes,
como habilitar conexiones híbridas o administración segura. En una conexión híbrida,
permitimos que un servicio en un entorno se conecte a un servicio en otro entorno. Por
ejemplo, podríamos tener una aplicación en Azure que usa una base de datos ubicada
en un entorno local. La administración segura nos permite limitar las operaciones
de administración que solo se permiten cuando provienen de un entorno seguro
y controlado, como nuestra red local.
Crear una conexión de sitio a sitio | 125
Preparación
Procedimiento
Para crear una nueva conexión de sitio a sitio, debemos seguir estos pasos:
1. Busque el gateway de red virtual (el que creamos en el Capítulo 5, Gateways de red
local y virtual) y seleccione Connections (Conexiones).
2. En Connections, seleccione la opción Add (Agregar) para agregar una conexión
nueva:
Figura 8.1: El panel Connections (Conexiones) en Azure Portal

3. En el panel nuevo, se debe escribir el nombre de la conexión y seleccionar Site-to-

site (IPsec) (Sitio a sitio [IPsec]) para el campo Connection type (Tipo de conexión):
Figura 8.2: Agregar atributos de conexión

4. En Local network gateway (Gateway de red local), tenemos que seleccionar un
gateway de red local de la lista (creamos un gateway de red local en el Capítulo 5,
Gateways de red local y virtual):
Figura 8.3: Seleccionar un gateway de red local

Crear una conexión de sitio a sitio | 127
5. Necesitamos proporcionar una clave compartida en el campo Shared key (PSK)

que se utilizará para la conexión IPSec. También necesitamos definir el Protocolo
IKE que se usará para la asociación de seguridad. Podemos elegir entre IKEv1
e IKEv2. Tenga en cuenta que las opciones para Subscription (Suscripción),
Resource group (Grupo de recursos) y Location (Ubicación) están bloqueadas
y serán las mismas que para el gateway de red virtual:
Figura 8.4: Agregar una nueva conexión

6. Por último, seleccionamos Create (Crear) y se iniciará la implementación.
Funcionamiento
Con el gateway de red virtual, configuramos el lado de Azure del túnel IPsec. El gateway
de red local proporciona información sobre la red local y define el lado local del túnel
con la dirección IP pública y la información de subred local. De esta manera, el lado
del túnel de Azure tiene toda la información pertinente necesaria para establecer una
conexión correcta con una red local. Sin embargo, esto completa solamente la mitad
del trabajo, puesto que también se debe configurar el lado opuesto de la conexión. Esta
parte del trabajo, en realidad, depende del dispositivo VPN que se utiliza de forma local
y cada dispositivo tiene pasos de configuración únicos. Después de que se configuran
ambos lados del túnel, el resultado es una conexión VPN segura y cifrada entre las redes.
Revisemos cómo configurar nuestro dispositivo VPN local.
Descargar la configuración del dispositivo VPN desde Azure

Después de crear el lado de Azure de la conexión de sitio a sitio, todavía necesitamos
configurar el dispositivo VPN local. La configuración depende del proveedor y del tipo
de dispositivo. Puede ver todos los dispositivos admitidos en https://docs.microsoft.
com/azure/vpn-gateway/vpn-gateway-about-vpn-devices. En algunos casos, hay una
opción a fin de descargar la configuración para un dispositivo VPN directamente desde
Azure Portal.
Preparación
Procedimiento
Para descargar la configuración del dispositivo VPN, debemos seguir estos pasos:
1. Busque la conexión Site-2-Site (Sitio a sitio) en Azure Portal. El panel Overview
(Información general) se abrirá de forma predeterminada.
2. Seleccione la opción Download configuration (Descargar configuración) de la
parte superior del panel:
Figura 8.5: Descripción general de la conexión de sitio a sitio en Azure Portal

Descargar la configuración del dispositivo VPN desde Azure | 129
3. Se abrirá un panel nuevo y verá que todas las opciones del panel están predefinidas:
Figura 8.6: Elegir la configuración del dispositivo VPN

4. Seleccione las opciones pertinentes para los campos Device vendor (Proveedor del
dispositivo), Device family (Familia del dispositivo) y Firmware version (Versión de
firmware). Tenga en cuenta que solo algunas opciones se encuentran disponibles, y
no todos los dispositivos compatibles tienen estas opciones. Después de seleccionar
todas estas opciones, descargue el archivo de configuración. El archivo de ejemplo
(Site-2-Site.txt en la carpeta del Capítulo 8) se puede encontrar en el repositorio
de GitHub asociado con este libro:
Figura 8.7: Descargar el archivo de configuración

5. Después de utilizar el archivo de configuración para el dispositivo VPN local, se

configuran ambos lados del túnel IPsec. El valor Status (Estado) en la conexión
Site-2-Site (Sitio a sitio) cambiará a Connected (Conectado):
Figura 8.8: Comprobar el estado de la conexión de sitio a sitio

Ahora, revisemos cómo funciona esta conexión en detalle.
Funcionamiento
Después de configurar el lado de Azure del túnel IPsec, necesitamos configurar el otro
lado, además del dispositivo VPN local. Los pasos y la configuración son diferentes para
cada dispositivo. En algunos casos, podemos descargar el archivo de configuración
directamente de Azure Portal. Una vez configurado el dispositivo VPN, todo está
configurado y podemos usar el túnel para tener una comunicación segura entre
la red local y la VNet.
Crear una conexión de punto a sitio

El acceso a los recursos es importante y debe realizarse de forma segura. No siempre
es posible realizar esto mediante una conexión de sitio a sitio, en especial, cuando
tenemos que realizar algo fuera de las horas de trabajo. En este caso, podemos usar
una conexión punto a sitio para crear una conexión segura que se puede establecer
desde cualquier lugar.
Preparación
A fin de crear una conexión de punto a sitio, necesitaremos generar un certificado que
se usará para la conexión. Para crear un certificado, debemos seguir estos pasos:
1. Ejecute el siguiente script de PowerShell para generar un certificado:
$cert = New-SelfSignedCertificate -Type Custom '
-KeySpec Signature '
-Subject "CN=P2SRootCert" '
-KeyExportPolicy Exportable '
-HashAlgorithm sha256 -KeyLength 2048 '
-CertStoreLocation "Cert:\CurrentUser\My" '
Crear una conexión de punto a sitio | 131
-KeyUsageProperty Sign '

-KeyUsage CertSign
New-SelfSignedCertificate -Type Custom '

-DnsName P2SChildCert '
-KeySpec Signature '
-Subject "CN=P2SChildCert" '
-KeyExportPolicy Exportable '
-HashAlgorithm sha256 -KeyLength 2048 '
-CertStoreLocation "Cert:\CurrentUser\My" '
-Signer $cert '
-TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2")
2. A continuación, necesitamos exportar el certificado. Abra certmgr, vaya a
Personal>Certificates (Personal > Certificados), seleccione P2SRootCert y, luego,
elija la opción Export... (Exportar…):
Figura 8.9: Exportar el certificado mediante certmgr

3. Esto iniciará el Certificate Export Wizard (Asistente para exportar certificados).
Haga clic en Next (Siguiente).
4. Seleccione la opción No, do not export the private key (No exportar la clave
privada) y haga clic en Next (Siguiente):
Figura 8.10: Asistente para exportar certificados

5. Seleccione el formato Base-64 encoded X.509 (.CER) (X.509 codificado base 64
[.CER]) y haga clic en Next (Siguiente):
Figura 8.11: Seleccionar el formato de exportación

6. Seleccione la ubicación donde desea guardar el certificado y haga clic en Next

(Siguiente).
7. Por último, tenemos la opción de revisar toda la información. Después de hacer
clic en Finish (Finalizar), se completará la exportación:
Figura 8.12: Completar el Asistente para exportar certificados

Ahora, examinemos los pasos para crear una conexión de punto a sitio.
Procedimiento
Para crear una conexión de punto a sitio, necesitamos hacer lo siguiente:
1. En Azure Portal, busque el gateway de red virtual y vaya a User VPN configuration
(Configuración de VPN de usuario). Seleccione Configure now (Configurar ahora):
Figura 8.13: Configurar la conexión de punto a sitio

2. Necesitamos definir el campo Address pool (Grupo de direcciones). Aquí el grupo

de direcciones no se puede superponer con el grupo de direcciones de la VNet
asociada al gateway de red virtual:
Figura 8.14: Agregar el grupo de direcciones
3. A continuación, necesitamos seleccionar una opción de tipo de túnel (Tunnel

type) de la lista de opciones predefinidas. En esta tarea, seleccionaremos
OpenVPN (SSL), pero cualquier opción es válida:
Figura 8.15: Seleccionar el tipo de túnel del menú desplegable

4. Busque el certificado exportado (de la sección Preparación) y ábralo en el Bloc

de notas (o en cualquier otro editor de texto). Seleccione el valor del certificado
y cópielo como se indica a continuación:
Figura 8.16: Abrir el certificado en el Bloc de notas
5. En Azure Portal, tenemos que definir el certificado raíz. Escriba el nombre del
certificado y, luego, pegue su valor (a partir del paso anterior) en el campo Public
certificate data (Datos de certificado público):
Figura 8.17: Definir el certificado raíz

6. Después de hacer clic en Save (Guardar) para la configuración de punto a sitio,

estará disponible una nueva configuración: Download VPN client (Descargar cliente
VPN). Podemos descargar la configuración y comenzar a utilizar esta conexión:
Figura 8.18: Descargar la configuración
Ahora, veamos cómo funciona.
Funcionamiento
La conexión de punto a sitio nos permite acceder de forma segura a VNets de Azure.
El acceso a una conexión de sitio a sitio se limita al acceso desde nuestra red local,
pero la conexión punto a sitio nos permite conectarnos desde cualquier lugar. Se usa la
autenticación basada en certificados, que utiliza el mismo certificado tanto en el servidor
(Azure) como en el cliente (el cliente VPN) para verificar la conexión y permitir el acceso.
Esto nos permite acceder a las VNets de Azure desde cualquier lugar y en cualquier
momento. Este tipo de conexión se utiliza normalmente para tareas de administración
y mantenimiento, puesto que se trata de una conexión a petición. Si se necesita una
conexión constante, debe considerar una conexión de sitio a sitio.
Crear una conexión de VNet a VNet

De forma similar a la necesidad de conectar las VNets de Azure a recursos en una red
local, es posible que necesitemos conectarnos a recursos que se encuentran en otra
VNet de Azure. En esos casos, podemos crear una conexión de VNet a VNet que nos
permitirá usar servicios y puntos de conexión que se encuentran en otra VNet. Este
proceso es muy similar a crear una conexión de sitio a sitio; la diferencia es que no
necesitamos un gateway de red local. En su lugar, usamos dos gateways de red virtual,
uno para cada VNet.
Preparación
Procedimiento
Para crear una conexión de VNet a VNet, debemos seguir estos pasos:
1. En Azure Portal, busque uno de los gateways de red virtual (asociado a una de las
VNets a las que intenta conectarse).
2. En el panel Virtual network gateway (Gateway de red virtual), seleccione
Connections (Conexiones) y, luego, Add (Agregar) para agregar una conexión
nueva:
Crear una conexión de VNet a VNet | 137
Figura 8.19: Agregar una conexión nueva
3. En el panel nuevo, escriba un valor en Name (Nombre) para la conexión nueva

y seleccione VNet-to-VNet (VNet a VNet) en Connection type (Tipo de conexión):
Figura 8.20: Configurar la nueva conexión

4. El primer gateway de red virtual se destacará automáticamente. Tenemos que

seleccionar el segundo gateway de red virtual:
Figura 8.21: Elegir el gateway de red virtual

5. Necesitamos proporcionar una clave compartida para nuestra conexión antes
de seleccionar Create (Crear) y comenzar la implementación. Tenga en cuenta
que los campos Subscription (Suscripción), Resource group (Grupo de recursos)
y Location (Ubicación) están bloqueados y que los valores para el primer gateway
de red virtual se usan aquí:
Figura 8.22: Proporcionar una clave compartida para la conexión

Conectar VNets mediante el emparejamiento de red | 139
6. La implementación de la conexión de VNet a VNet no tarda mucho y debería

realizarse en unos minutos. Sin embargo, demora un poco establecer conexiones,
de manera que puede ver el estado Unknown (Desconocido) hasta por 15 minutos
antes de que cambie a Connected (Conectado):
Figura 8.23: Estado de implementación de VNet a VNet
Ahora, revisemos su funcionamiento en detalle.
Funcionamiento
Una conexión de VNet a VNet funciona de forma muy similar a una conexión de sitio
a sitio. La diferencia es que Azure usa un gateway de red local para obtener información
sobre la red local. En este caso, no necesitamos esta información; utilizamos dos
gateways de red virtual para conectarnos. Cada gateway de red virtual proporciona
información de red para la VNet a la que está asociado. Esto da como resultado
conexiones VPN seguras y cifradas entre dos VNets de Azure que se pueden usar
para establecer conexiones entre recursos de Azure en ambas VNets.
Ahora, aprenderemos cómo usar el emparejamiento de red para conectar las redes
virtuales.
Conectar VNets mediante el emparejamiento de red

Otra forma de conectar dos VNets de Azure es usar el emparejamiento de red. Este
enfoque no requiere usar un gateway de red virtual, por lo que es más económico
usarlo si el único requisito es establecer una conexión entre VNets de Azure. El
emparejamiento de red usa la infraestructura troncal de Microsoft para establecer una
conexión entre dos VNet y el tráfico se enruta solo a través de direcciones IP privadas.
Sin embargo, este tráfico no se cifra; es tráfico privado que permanece en la red de
Microsoft, al igual que lo que sucede con el tráfico en la misma VNet de Azure.
Preparación
Procedimiento
Para crear emparejamiento de red, debemos realizar los siguientes pasos:
1. En Azure Portal, busque una de las VNets a las que desea conectarse.
2. En el panel Virtual network (Red virtual), seleccione la opción Peerings
(Emparejamientos) y, luego, Add (Agregar) para agregar una conexión nueva:
Figura 8.24: Agregar una nueva conexión de emparejamiento de red

3. En el panel nuevo, debemos escribir el nombre de la conexión, seleccionar una
opción en Virtual network deployment model (Modelo de implementación de
red virtual) (Resource manager [Administrador de recursos] o Classic [Clásico])
y seleccionar la red virtual a la que nos estamos conectando. Esta información
se puede proporcionar ya sea mediante un ID de recurso o con la selección
de opciones de suscripción y red virtual del menú desplegable. Hay algunas
configuraciones adicionales que son opcionales, pero que nos proporcionan
un mejor control del tráfico:
Figura 8.25: Configurar detalles de emparejamiento para una nueva conexión

4. Después de que se crea una conexión, podemos ver la información y el estado

de emparejamiento. También podemos cambiar las opciones de Configuration
(Configuración) en cualquier momento:
Figura 8.26: Revisar la información de emparejamiento y el estado de una nueva conexión

Ahora, revisemos el funcionamiento interno en detalle.
Funcionamiento
El emparejamiento de red nos permite establecer una conexión entre dos VNets
de Azure en el mismo inquilino de Azure. El emparejamiento usa una red troncal de
Microsoft para enrutar el tráfico privado entre recursos de la misma red, utilizando
solo direcciones IP privadas. No hay necesidad de gateways de red virtual (que crean
un costo adicional), puesto que se crea un "gateway remoto" virtual para establecer
una conexión. La desventaja de este enfoque es que la misma VNet no puede usar el
emparejamiento y un gateway de red virtual al mismo tiempo. Si es necesario conectar
una VNet a la red local y a otra VNet, debemos adoptar un enfoque diferente y usar un
gateway de red virtual, que nos permitirá crear una conexión de sitio a sitio con una
red local, y una conexión de VNet a VNet con otra VNet.
Cuando se trata de la configuración de acceso a la red, tenemos varias opciones
para controlar el flujo de tráfico de la red. Por ejemplo, supongamos que se permite
el tráfico de la VNet A a la VNet B, pero se deniega de la VNet B a la VNet A. Por
supuesto, podemos establecerlo al revés o hacerlo bidireccional.
También podemos controlar el tráfico de tránsito cuando hay una red adicional
en la combinación. Si la VNet A está conectada a la VNet B y, además, la VNet A está
conectada a la VNet C, podemos controlar si el tráfico se permite entre la VNet B
y la VNet C como tráfico de tránsito a través de la VNet A.
Sin embargo, esto solo funciona si el tránsito no se realiza a través de emparejamiento.
Si todas las redes son VNets de Azure y la VNet A está conectada a la VNet B a través de
emparejamiento, y la VNet B está conectada a la VNet C a través de emparejamiento, la
conexión entre la VNet A y la VNet C no sería posible a través del tránsito entre redes
virtuales. Esto se debe a que el emparejamiento es una relación no transitiva entre
dos redes virtuales. Si la VNet B está conectada a la VNet C a través de una conexión
de VNet a VNet (o a una red local a través de una conexión de sitio a sitio), el tránsito
sería posible entre la VNet A y la VNet C a través de la VNet B.
9
Conexión de los
recursos de forma
segura
Exponer los puntos de conexión de administración (RDP, SSH, HTTP y otros) a través de
una dirección IP pública no es una buena idea. Cualquier tipo de acceso de administración
debe controlarse y permitirse solo a través de una conexión segura. Por lo general, esto
se realiza mediante la conexión a una red privada (a través de S2S o P2S) y el acceso a los
recursos a través de direcciones IP privadas. En algunas situaciones, esto no es fácil de
lograr. El motivo puede ser una infraestructura local insuficiente o, en algunos casos, la
situación puede ser demasiado compleja. Afortunadamente, hay otras formas de lograr
el mismo objetivo. Podemos conectarnos de forma segura a nuestros recursos mediante
Azure Bastion, Azure Virtual WAN y Azure Private Link.
146 | Conexión de los recursos de forma segura

• Crear una instancia de Azure Bastion
• Conectarse a una máquina virtual con Azure Bastion
• Crear una WAN virtual
• Crear un centro de conectividad (en Virtual WAN)
• Agregar una conexión de sitio a sitio (en un centro virtual)
• Agregar una conexión de red virtual (en un centro virtual)
• Crear un punto de conexión de Private Link
• Crear un servicio de Private Link
Crear una instancia de Azure Bastion

Azure Bastion nos permite conectarnos de forma segura a nuestros recursos de Azure
sin la necesidad de una infraestructura adicional. Todo lo que necesitamos es un
explorador. En esencia, se trata de un servicio de PaaS aprovisionado en nuestra red
virtual que proporciona una conexión RDP/SSH segura a las Máquinas Virtuales Azure.
La conexión se realiza directamente desde Azure Portal a través de Seguridad de la
capa de transporte (TLS).
Crear una instancia de Azure Bastion | 147
Preparación
Antes de poder crear una instancia de Azure Bastion, debemos preparar la subred.
A fin de crear una nueva subred para Azure Bastion, siga estos pasos:
1. Busque la red virtual que se asociará con la instancia de Azure Bastion.
2. Seleccione la opción Subnets (Subredes) en Settings (Configuración) y seleccione
la opción para agregar una subred nueva, tal como se muestra en la Figura 9.1:
Figura 9.1: Crear una nueva subred para Azure Bastion

3. En el panel nuevo, se deben completar los campos Name (Nombre) y Address

range (Intervalo de direcciones). Es muy importante que la subred se llame
AzureBastionSubnet y que la subred use un prefijo de al menos /27 (este es un
requisito del servicio y no podremos continuar si no es así). Se pueden agregar
opciones para NAT gateway (Gateway NAT) y Network security group (Grupo
de seguridad de red) (NSG) si es necesario (por ejemplo, una regla que fuerce el
tráfico a través de la traducción de direcciones de red [NAT]). No se requieren los
campos Service endpoints (Puntos de conexión de servicio) y Subnet delegation
(Delegación de subred) y, como esta subred se debe dedicar solo a Azure Bastion,
no se recomienda utilizarlos:
Figura 9.2: Complete el nombre y el intervalo de direcciones para la subred

Crear una instancia de Azure Bastion | 149
Procedimiento
Para crear una nueva instancia de Azure Bastion, se deben seguir estos pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y elija Azure
Bastion en Networking (Redes) (o busque Azure Bastion en la barra de búsqueda).
2. En el panel nuevo, se tiene que proporcionar información para los campos
Subscription (Suscripción), Resource group (Grupo de recursos), Name (Nombre)
y Region (Región). A continuación, se tiene que seleccionar una opción para
Virtual network (Red virtual) (solo estarán disponibles las redes virtuales en la
misma región) y Subnet (Subred) (la que creamos previamente) y proporcionar
información para Public IP address (Dirección IP pública) (seleccionar una
existente o crear una nueva):
Figura 9.3: Detalles de configuración de una instancia de Bastion

Funcionamiento
Azure Bastion se aprovisiona dentro de la red virtual, lo que permite que se comunique
con todos los recursos de esa red. Con TLS, proporciona una conexión segura de
RDP y SSH a todos los recursos de esa red. La conexión se realiza a través de una
sesión de explorador, y no se requiere ninguna dirección IP pública. Esto significa que
no necesitamos exponer ninguno de los puertos de administración a través de una
dirección IP pública.
Después de crear la instancia de Azure Bastion, pasemos a la siguiente tarea, en la que
aprenderemos cómo conectarnos a una máquina virtual con Azure Bastion.
Conectarse a una máquina virtual con Azure Bastion

Con Azure Bastion, podemos conectarnos a una máquina virtual a través del explorador
sin una dirección IP pública y sin exponerla públicamente.
Preparación
Antes de comenzar, abra el explorador web y vaya a Azure Portal a través de https://
portal.azure.com.
Procedimiento
Para conectarnos a una máquina virtual con Azure Bastion, tenemos que seguir estos
pasos:
1. En Azure Portal, busque la máquina virtual a la que desea conectarse. La máquina
virtual debe estar en la misma red virtual en la que se implementa Azure Bastion.
2. En el panel Virtual machine (Máquina virtual), seleccione la opción Connect
(Conectar) en Settings (Configuración). Seleccione la pestaña BASTION y, en esa
pestaña, seleccione Use Bastion (Usar Bastion):
Figura 9.4: Conectarse a una máquina virtual con Azure Bastion

Crear una WAN virtual | 151
3. Seleccione la opción Open in new window (Abrir en ventana nueva) y complete los
campos de Username (Nombre de usuario) y Password (Contraseña):
Figura 9.5: Agregar un nombre de usuario y una contraseña para la máquina virtual

La conexión se abrirá en una ventana nueva, lo que le permitirá administrar totalmente
su máquina virtual. La interfaz depende del puerto de administración predeterminado,
RDP o SSH.
Funcionamiento
Azure Bastion usa una subred en la red virtual para conectarse a máquinas virtuales
en esa red específica. Proporciona una conexión segura a través de TLS y permite una
conexión a una máquina virtual sin exponerla a través de una dirección IP pública.
En esta tarea, aprendimos a conectar una máquina virtual con Azure Bastion. En la
siguiente tarea, aprenderemos a crear una WAN virtual.
Crear una WAN virtual

En muchas situaciones, la topología de red puede ser muy compleja. Puede ser difícil
realizar un seguimiento de todas las conexiones de red, los gateways y los procesos de
emparejamiento. Azure Virtual WAN proporciona una interfaz única para administrar
todos estos puntos.
Preparación
Procedimiento
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y, luego, Virtual
WAN (WAN virtual) en Networking (Redes) (o busque Virtual WAN en la barra de
búsqueda).
2. En el panel nuevo, debemos proporcionar información en los campos Subscription
(Suscripción), Resource group (Grupo de recursos), Resource group location
(Ubicación del grupo de recursos), Name (Nombre) y Type (Tipo):
3.
Figura 9.6: Información para el recurso de WAN virtual
Azure Virtual WAN está listo para su implementación y, por lo general, solo tarda unos
minutos en completarse.
Funcionamiento
Azure Virtual WAN lleva varios servicios de red a un solo punto. Desde aquí, podemos
configurar, controlar y supervisar conexiones, como de sitio a sitio, de punto a sitio,
ExpressRoute o una conexión entre redes virtuales. Cuando tenemos varias conexiones
de sitio a sitio o varias redes virtuales conectadas con emparejamiento, puede ser difícil
realizar un seguimiento de todos estos recursos. La WAN virtual nos permite hacer eso
con un solo servicio.
Esto se logra con centros de conectividad, y en la siguiente tarea, veremos cómo
configurar uno.
Crear un centro de conectividad (en Virtual WAN) | 153
Crear un centro de conectividad (en Virtual WAN)

Los centros de conectividad se utilizan como puntos de conexión regionales. Contienen
varios puntos de conexión de servicio que permiten la conectividad entre diferentes
redes y servicios. Son el núcleo de la red para cada región.
Preparación
Procedimiento
1. En Azure Portal, busque la WAN virtual creada anteriormente.
2. En el panel Virtual WAN (WAN virtual), seleccione Hubs (Centros) en la sección
Connectivity (Conectividad). Seleccione la opción para agregar un nuevo centro
de conectividad:
Figura 9.7: Agregar un nuevo centro de conectividad

3. En el panel nuevo, necesitamos proporcionar información en los campos Region

(Región), Name (Nombre) (para el nuevo centro de conectividad) y Hub private
address space (Espacio de direcciones privadas del centro de conectividad). Los
campos Subscription (Suscripción) y Resource group (Grupo de recursos) están
atenuados porque utilizan las mismas opciones que la WAN virtual:
Figura 9.8: Información para el nuevo centro virtual

4. Los tres pasos siguientes son opcionales, y podemos elegir cualquiera o todos
ellos. El primer paso es configurar un gateway de sitio a sitio. Si habilitamos esta
opción, tenemos que seleccionar una opción para Gateway scale units (Unidades
de escalado de gateway) (o SKU). Se proporciona un número de sistema autónomo
(AS Number) para utilizarlo si es necesario (para la configuración de VPN más
adelante):
Figura 9.9: Configurar un gateway de sitio a sitio

5. La siguiente configuración opcional es Point to site (Punto a sitio). Si elegimos

habilitarla, es necesario que seleccionemos una opción para Gateway scale units
(Unidades de escalado de gateway) y Point to site configuration (Configuración
de punto a sitio). Haga clic en Create new (Crear nueva) para agregar una nueva
configuración:
Figura 9.10: Configurar un gateway de punto a sitio

6. En el panel nuevo, tenemos que proporcionar información para Configuration

name (Nombre de la configuración), Tunnel type (Tipo de túnel) y Authentication
method (Método de autenticación). Si se utiliza Azure certificate (Certificado
de Azure), se debe proporcionar la información del certificado (para obtener más
información sobre los certificados, consulte la tarea Crear una conexión de punto
a sitio del Capítulo 8, Creación de conexiones híbridas):
Figura 9.11: Crear una nueva configuración de VPN
7. Después de agregar la configuración de punto a sitio, volvemos al panel anterior.

Tenemos que completar el campo Client address pool (Grupo de direcciones de
clientes) y, opcionalmente, Custom DNS Servers (Servidores DNS personalizados):
Figura 9.12: Agregar información del grupo de direcciones de clientes y servidores DNS personalizados
8. La tercera configuración opcional es ExpressRoute. Si elegimos habilitarla,

tenemos que seleccionar una opción para Gateway scale units (Unidades de
escalado de gateway):
Figura 9.13: Configurar ExpressRoute
9. Opcionalmente, podemos agregar etiquetas y, luego, continuar con la creación del

centro virtual. Puede tardar hasta 30 minutos completar la implementación.
Funcionamiento
Los centros virtuales representan puntos de control dentro de una región. A partir de
ahí, podemos definir todas las conexiones a las redes virtuales dentro de la región. Esto
se aplica a conexiones de sitio a sitio, punto a sitio y ExpressRoute. Cada sección es
opcional, y podemos crear un centro de conectividad sin ninguna configuración para los
tipos de conexión. Si elegimos crearlos en este punto, necesitamos proporcionar una
SKU para cada tipo. Una conexión de punto a sitio también requiere que se proporcione
la configuración de VPN del usuario. Cada tipo de conexión también se puede agregar
más adelante.
En esta tarea, aprendimos a crear un centro virtual. Pasemos a la siguiente tarea para
aprender a agregar una conexión de sitio a sitio en un centro virtual.
Agregar una conexión de sitio a sitio (en un centro virtual)

Después de crear un centro virtual y de que la SKU de sitio a sitio se definió dentro
del centro, podemos pasar a crear una conexión de sitio a sitio. Para esto, necesitamos
aplicar la configuración de conexión adecuada y proporcionar detalles de configuración.
Preparación
Agregar una conexión de sitio a sitio (en un centro virtual) | 159
Procedimiento
Con el fin de crear una conexión de sitio a sitio en un centro virtual (en una WAN
virtual), debemos seguir estos pasos:
1. Busque la WAN virtual y ubique el centro virtual creado previamente en Hubs
(Centro) en la sección Connectivity (Conectividad). Seleccione ese centro:
Figura 9.14: Seleccionar el centro de conectividad creado anteriormente en la sección Connectivity

(Conectividad)
2. En el panel Virtual HUB (Centro virtual), vaya a la configuración VPN (Site to site)
(VPN [Sitio a sitio]) en Connectivity (Conectividad). Seleccione la opción Create
new VPN site (Crear un nuevo sitio de VPN):
Figura 9.15: Seleccionar la opción Create new VPN site (Crear un nuevo sitio de VPN) en el panel Virtual
HUB (Centro virtual)
3. Aparecerá un panel nuevo. Las opciones Subscription (Suscripción) y Resource

group (Grupo de recursos) están atenuadas, puesto que el sitio de VPN es un
recurso secundario en la WAN virtual y debe usar las mismas opciones que esta.
Necesitamos proporcionar información en los campos Region (Región), Name
(Nombre) (del sitio de VPN) y Device vendor (Proveedor del dispositivo). Tenemos
la opción de habilitar o deshabilitar Border Gateway Protocol (BGP). Si el BGP no
está configurado, necesitamos proporcionar, al menos, un espacio de direcciones
privadas. También necesitamos definir un centro de conectividad (o más) que se
usará en la conexión:
Agregar una conexión de sitio a sitio (en un centro virtual) | 161
Figura 9.16: Crear un sitio de VPN
4. En la sección Links (Vínculos) del sitio de VPN, tenemos que proporcionar

información para los campos Link name (Nombre del vínculo), Provider name
(Nombre del proveedor), Speed (Velocidad) (en Mbps), IP address / FQDN
(Dirección IP/FQDN) (del dispositivo VPN al que queremos conectarnos), BGP
address (Dirección BGP) y ASN como se muestra en la Figura 9.17:
Figura 9.17: Proporcionar los detalles del vínculo en el panel Links (Vínculos)

5. Después de crear el sitio de VPN, podemos descargar la configuración de VPN para

el dispositivo VPN. Después de configurar el dispositivo VPN, podemos seleccionar
el sitio de VPN e iniciar la conexión con la opción Connect VPN sites (Conectar
sitios de VPN):
Figura 9.18: Hacer clic en la opción Connect VPN sites (Conectar sitios de VPN) para iniciar la conexión
6. Esto abrirá un panel nuevo. Tenemos que proporcionar información para

Pre-shared key (PSK) (Clave precompartida [PSK]), Protocol (Protocolo) e IPSec, y
elegir opciones para Propagate Default Route (Propagar la ruta predeterminada) y
Use policy based traffic selector (Usar el selector de tráfico basado en directivas):
Figura 9.19: Proporcionar información en el panel Connect sites (Conectar sitios)

Agregar una conexión de red virtual (en un centro virtual) | 163
Funcionamiento
Agregar una conexión de sitio a sitio a nuestro centro virtual nos permite conectarnos
a un centro virtual en una región específica desde nuestra red local (u otras redes
mediante un dispositivo virtual). Para ello, debemos proporcionar información sobre
la conexión VPN en el centro virtual y configurar el dispositivo VPN que se usará para
conectarse.
Sin embargo, esto solo nos permite conectarnos al centro de conectividad. Necesitamos
conectar las redes virtuales para poder acceder a los recursos de Azure. En la siguiente
tarea, veremos cómo agregar una conexión de red virtual al centro virtual.
Agregar una conexión de red virtual (en un centro virtual)

Un centro virtual representa un punto central en una región de Azure. Pero para usar
realmente este punto, necesitamos conectar las redes virtuales a un centro virtual.
Luego, podemos usar el centro virtual según lo previsto.
Preparación
Procedimiento
Con el fin de agregar una conexión de red virtual en un centro virtual (en una WAN
virtual), debemos seguir estos pasos:
1. Busque la WAN virtual y ubique el centro virtual creado previamente en Virtual
network connections (Conexiones de red virtual) en la sección Connectivity
(Conectividad). Seleccione la opción Add connection (Agregar conexión):
Figura 9.20: Agregar un centro virtual creado previamente

Agregar una conexión de red virtual (en un centro virtual) | 165
2. En el panel nuevo, necesitamos proporcionar información en los campos

Connection name (Nombre de la conexión), Hubs (Centros), Subscription
(Suscripción), Resource group (Grupo de recursos) y Virtual network (Red virtual).
A continuación, tenemos que proporcionar información de configuración de
enrutamiento (Routing configuration). Podemos seleccionar Yes (Sí) para Propagate
to none (Propagar a ninguna). Si seleccionamos No, tenemos que proporcionar
información para Associate Route Table (Asociar tabla de rutas), Propagate to Route
Tables (Propagar a tablas de rutas) y Propagate to labels (Propagar a etiquetas).
Static routes (Rutas estáticas) es una configuración opcional:
Figura 9.21: Configurar los detalles del centro virtual

Funcionamiento
Conectar una red virtual a un centro virtual nos permitirá acceder a los recursos
cuando se conecten al mismo centro. Se puede realizar una conexión a través de
una conexión de sitio a sitio, una conexión de punto a sitio o desde otra red virtual
(conectada al mismo centro). Cuando creamos una conexión, necesitamos proporcionar
reglas de enrutamiento y propagación para definir el flujo de red. También podemos
definir una ruta estática. Una ruta estática obligará a todo el tráfico a pasar por una sola
dirección IP, por lo general, a través de un firewall o un dispositivo virtual de red.
Pasemos a la siguiente tarea para aprender a crear un punto de conexión de
Private Link.
Crear un punto de conexión de Private Link

Private Link nos permite conectarnos a los servicios de PaaS a través de una red segura.
Como estos servicios generalmente se exponen a través de Internet, esto nos da un
método de acceso más seguro. Hay dos componentes disponibles para hacer una
conexión segura, un punto de conexión de Private Link y un servicio de Private Link.
Comencemos por crear primero un punto de conexión de Private Link.
Preparación
Necesitamos crear un servicio que se asociará con el punto de conexión de Private Link:
1. Abra el explorador y vaya a Azure Portal a través de https://portal.azure.com.
Seleccione la opción para crear un servicio nuevo. Busque SQL Server (servidor
lógico) y seleccione la opción Create new (Crear nuevo).
2. En el panel nuevo, debemos proporcionar información en los campos Subscription
(Suscripción), Resource group (Grupo de recursos), Server name (Nombre del
servidor) (debe ser un FQDN único) y Location (Ubicación). Por último, debemos
proporcionar credenciales para el inicio de sesión de administrador antes de
seleccionar Review + create (Revisar y crear):
Crear un punto de conexión de Private Link | 167
Figura 9.22: Asociar un nuevo servicio con un punto de conexión de Private Link

Procedimiento
Para implementar un nuevo punto de conexión de Private Link, debe seguir estos pasos:
1. Vaya a Azure Portal y seleccione la opción para crear un nuevo servicio. Busque
Private Link y seleccione la opción Create new (Crear nuevo).
2. En el panel nuevo, Private Link Center, seleccione Create private endpoint
(Crear un punto de conexión privado):
Figura 9.23: Crear un nuevo punto de conexión de Private Link

Crear un punto de conexión de Private Link | 169
3. En el panel nuevo, en la sección Basics (Aspectos básicos), proporcione

información para los campos Subscription (Suscripción), Resource group
(Grupo de recursos), Name (Nombre) y Region (Región):
Figura 9.24: Información básica para el punto de conexión de Private Link

4. En la sección Resource (Recurso), debemos seleccionar una opción para los campos
Subscription (Suscripción), Resource type (Tipo de recurso) (en nuestro caso,
Microsoft.Sql/servers), Resource (Recurso) (solo estarán disponibles los recursos
del tipo de recurso seleccionado) y Target sub-resource (Subrecurso de destino):
Figura 9.25: Configurar los recursos para el punto de conexión de Private Link

5. En el panel Configuration (Configuración), debemos proporcionar la configuración

de redes (Networking) y seleccionar la red virtual y subred que se asociarán.
Opcionalmente, podemos agregar integración con un DNS privado. Si elegimos
agregar la integración de DNS, debemos proporcionar información para los
campos Subscription (Suscripción) y Private DNS zones (Zonas DNS privadas):
Figura 9.26: Definir la configuración de red
Funcionamiento
El punto de conexión de Private Link asocia el recurso de PaaS seleccionado con la
subred de la red virtual. Al hacerlo, tenemos la opción de acceder al recurso de PaaS
a través de una conexión segura. Como opción, podemos integrar una zona DNS privada
y usar la resolución de DNS, en lugar de las direcciones IP.
Un punto de conexión de Private Link nos permite vincular servicios directamente,
pero solo los servicios individuales y solo directamente. Si necesitamos agregar
equilibradores de carga en el lugar, podemos usar un servicio Private Link.
Crear un servicio de Private Link

Un servicio de Private Link nos permite establecer una conexión segura a los
recursos asociados con el Standard Load Balancer. Para eso, necesitamos preparar
la infraestructura antes de implementar el servicio de Private Link.
Crear un servicio de Private Link | 171
Preparación
Primero debemos crear una máquina virtual. Revise la tarea Crear máquinas virtuales
Azure del Capítulo 2, Redes de máquinas virtuales. Tenga en cuenta que en la sección
Networking (Redes), debemos seleccionar la misma red virtual que se utilizó para
conectar el SQL Server en la tarea anterior.
Un servicio de Private Link también requiere de un Standard Load Balancer. Consulte
las tareas Crear un equilibrador de carga público, Crear un grupo de back-end, Crear
sondeos de estado y Crear reglas de equilibrador de carga del Capítulo 10, Equilibradores
de carga. Tenga en cuenta que en el destino de back-end, tenemos que seleccionar la
máquina virtual que acabamos de crear.
Ahora, abra el explorador y vaya a Azure Portal a través de https://portal.azure.com.
Procedimiento
Para implementar el nuevo servicio de Private Link, debe seguir estos pasos:
1. En Azure Portal, seleccione la opción para crear un nuevo servicio. Busque Private
Link y seleccione la opción Create new (Crear nuevo).
2. En el panel nuevo, Private Link Center, seleccione Create private link service
(Crear un servicio Private Link):
Figura 9.27: Crear un nuevo servicio de Private Link

3. En Basics (Aspectos básicos), necesitamos proporcionar información para los campos

Subscription (Suscripción), Resource group (Grupo de recursos), Name (Nombre)
y Region (Región):
Figura 9.28: Información sobre el nuevo servicio de Private Link

4. En Outbound settings (Configuración de salida), debemos seleccionar opciones para
los campos Load Balancer (Equilibrador de carga), Load Balancer frontend IP address
(Dirección IP de front-end del equilibrador de carga) y Source NAT subnet (Subred
NAT de origen). La opción Source NAT Virtual network (Red virtual NAT de origen)
se selecciona y se atenúa automáticamente. También podemos seleccionar Yes (Sí) o
No para Enable TCP proxy V2 (Habilitar proxy TCP V2) y si la dirección IP privada será
dinámica o estática:
Figura 9.29: Configurar las opciones de salida

Crear un servicio de Private Link | 173
5. En Access security (Seguridad de acceso), podemos seleccionar quién puede

solicitar acceso a nuestro servicio. Las opciones son Role-based access control
only (Solo control de acceso basado en rol) (RBAC), Restricted by subscription
(Restringida por suscripción) y Anyone with your alias (Cualquier usuario con su
alias). La opción predeterminada y recomendada es utilizar RBAC como control de
acceso nativo en Azure:
Figura 9.30: El panel de seguridad de acceso
Funcionamiento
Un servicio de Private Link y un punto de conexión de Private Link funcionan de forma
similar, lo que nos permite conectarnos a servicios (que de forma predeterminada son
accesibles públicamente) a través de una red privada. La principal diferencia es que
con un punto de conexión de Private Link, vinculamos los servicios de PaaS y, con un
servicio de Private Link, creamos un servicio personalizado detrás de Standard Load
Balancer.
10
Equilibradores de carga
Los equilibradores de carga se usan para admitir escalado y alta disponibilidad para
aplicaciones y servicios. Un equilibrador de carga se compone principalmente de tres
componentes: un front-end, un back-end y reglas de enrutamiento. Las solicitudes
que llegan al front-end de un equilibrador de carga se distribuyen según reglas de
enrutamiento al back-end, donde colocamos varias instancias de un servicio. Esto
se puede utilizar por motivos relacionados con el rendimiento, cuando nos gustaría
distribuir el tráfico por igual entre los puntos de conexión en el back-end, o para
alta disponibilidad, cuando se usan varias instancias de servicios para aumentar las
posibilidades de que, al menos, un punto de conexión esté disponible en todo momento.
• Crear un equilibrador de carga interno
• Crear un equilibrador de carga público
• Crear un grupo de back-end
• Crear sondeos de estado
• Crear reglas de equilibrador de carga
• Crear reglas NAT de entrada
• Crear reglas de salida explícitas
176 | Equilibradores de carga
Para este capítulo, se requiere una suscripción a Azure.
Crear un equilibrador de carga interno

Microsoft Azure admite dos tipos de equilibradores de carga: interno y público. A un
equilibrador de carga interno se le asigna una dirección IP privada (desde el intervalo
de direcciones de subredes en la red virtual) para una dirección IP de front-end y se
orienta a las direcciones IP privadas de nuestros servicios (por lo general, una máquina
virtual [VM] de Azure) en el back-end. Por lo general, los servicios que no están
orientados a Internet y a los que se accede solo desde nuestra red virtual utilizan un
equilibrador de carga interno.
Preparación
Procedimiento
Para crear un equilibrador de carga interno nuevo con Azure Portal, tiene que seguir
estos pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y, luego, Load
Balancer (Equilibrador de carga) en los servicios de Networking (Redes) (o busque
Load Balancer [Equilibrador de carga] en la barra de búsqueda).
2. En el panel nuevo, se debe seleccionar una opción de suscripción y una opción de
grupo de recursos para el lugar en que se creará el equilibrador de carga. Luego,
tenemos que proporcionar información para las opciones Name (Nombre), Region
(Región), Type (Tipo) y SKU. En este caso, seleccionamos Internal (Interno) para
Type (Tipo) a fin de implementar un equilibrador de carga interno y definimos la
SKU en Standard (Estándar). Por último, tenemos que seleccionar la red virtual
(Virtual network) y la subred (Subnet) a las que se asociará el equilibrador de
carga, junto con la información sobre la asignación de dirección IP (IP address
assignment), que puede ser estática (Static) o dinámica ( Dynamic):
Crear un equilibrador de carga interno | 177
Figura 10.1: Crear un nuevo equilibrador de carga interno
3. Después de ingresar toda la información, seleccionamos la opción Review + create

(Revisar y crear) para validar la información y comenzar la implementación del
equilibrador de carga.
Funcionamiento
A un equilibrador de carga interno se le asigna una dirección IP privada, y todas las
solicitudes que llegan al front-end de un equilibrador de carga interno deben llegar
a esa dirección privada. Esto limita el tráfico que llega al equilibrador de carga desde
dentro de la red virtual asociada con el equilibrador de carga. El tráfico puede provenir
de otras redes (otras redes virtuales o redes locales) si hay algún tipo de red privada
virtual (VPN) implementada. El tráfico que llega al front-end del equilibrador de carga
interno se distribuirá entre los puntos de conexión en el back-end del equilibrador de
carga. Los equilibradores de carga internos generalmente se utilizan para servicios que
no se ubican en una red perimetral (DMZ) (por lo que no se puede acceder a ellos por
Internet), sino más bien en servicios de nivel intermedio o posterior en una arquitectura
de aplicación de varios niveles.
También debemos tener en cuenta las diferencias entre las SKU básicas y estándar.
La principal diferencia está en el rendimiento (que es mejor en la SKU estándar) y en el
SLA (la SKU estándar tiene un SLA que garantiza un 99,99 % de disponibilidad, mientras
que la básica no tiene ningún SLA). Además, considere que la SKU estándar requiere
un Grupo de seguridad de red (NSG). Si no hay un NSG en la subred o la interfaz de
red, o NIC (de la VM en el back-end), no se permitirá que el tráfico llegue a su destino.
Para obtener más información sobre las SKU de los equilibradores de carga, consulte
https://docs.microsoft.com/azure/load-balancer/skus.
Crear un equilibrador de carga público

El segundo tipo de equilibrador de carga en Azure es un equilibrador de carga público.
La principal diferencia es que un equilibrador de carga público tiene asignada una
dirección IP pública en el front-end y todas las solicitudes vienen a través de Internet.
Luego, las solicitudes se distribuyen a los puntos de conexión en el back-end.
Preparación
Procedimiento
Para crear un nuevo equilibrador de carga público con Azure Portal, siga estos pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y, luego, Load
Balancer (Equilibrador de carga) en los servicios de Networking (Redes) (o busque
Load Balancer [Equilibrador de carga] en la barra de búsqueda).
Crear un equilibrador de carga público | 179
2. En el panel nuevo, se debe seleccionar una opción de suscripción y una opción de

grupo de recursos para el lugar en que se creará el equilibrador de carga. Luego,
tenemos que proporcionar información para las opciones Name (Nombre), Region
(Región), Type (Tipo) y SKU. En este caso, seleccionamos Public (Público) para Type
(Tipo) a fin de implementar un equilibrador de carga público y definimos la SKU en
Standard (Estándar). Seleccionar Public (Público) como tipo de equilibrador de carga
cambiará levemente el panel. Ya no tendremos la opción de seleccionar una red
virtual y la subred, como lo hicimos con el equilibrador de carga interno. En lugar de
eso, podemos elegir opciones para la dirección IP pública (nueva o existente), la SKU
de la dirección IP pública, la asignación de la dirección IP y si queremos usar o no
IPv6. Tenga en cuenta que la SKU de la dirección IP pública depende directamente
de la SKU del equilibrador de carga, de manera que la SKU seleccionada para el
equilibrador de carga se transferirá de forma automática a la dirección IP:
Figura 10.2: Crear un nuevo equilibrador de carga público

3. Después de ingresar toda la información, seleccione la opción Review + create

(Revisar y crear) para validar la información y comenzar la implementación del
Funcionamiento
Se asigna una dirección IP pública al equilibrador de carga público en el front-end. Por
lo tanto, todas las solicitudes que llegan al equilibrador de carga público pasan a través
de Internet y se dirigen a la dirección IP pública del equilibrador de carga. Luego, las
solicitudes se distribuyen a los puntos de conexión en el back-end del equilibrador de
carga. Lo que resulta interesante es que el equilibrador de carga público no se orienta
a las direcciones IP públicas en el back-end, sino a las direcciones IP privadas. Por
ejemplo, supongamos que tenemos un equilibrador de carga público con dos VM de
Azure en el back-end. El tráfico que llega a la dirección IP pública del equilibrador de
carga se distribuirá a las VM, pero se dirigirá a las direcciones IP privadas de las VM.
Los equilibradores de carga públicos se utilizan para servicios orientados al público,
normalmente, para servidores web.
Crear un grupo de back-end

Después de crear el equilibrador de carga, ya sea interna o públicamente, es necesario
aplicar más configuraciones con el fin de comenzar a usarlo. Durante el proceso de
creación, definimos el front-end del equilibrador de carga y sabemos adónde debe
ir el tráfico para llegar al equilibrador de carga. Pero, para definir adónde debe ir ese
tráfico después de llegar al equilibrador de carga, primero debemos definir un grupo
de back-end.
Preparación
Crear un grupo de back-end | 181
Procedimiento
Para crear el grupo de back-end, se debe hacer lo siguiente:
1. En Azure Portal, busque el equilibrador de carga creado anteriormente (ya sea
interno o público).
2. En el panel Load balancer (Equilibrador de carga), en Settings (Configuración),
seleccione Backend pools (Grupos de back-end). Seleccione Add (Agregar) para
agregar el nuevo grupo de back-end:
Figura 10.3: Agregar un nuevo grupo de back-end

3. En el panel nuevo, tenemos que proporcionar un nombre y especificar a qué

está asociado el equilibrador de carga. Se pueden crear asociaciones para VM o
conjuntos de escalado de VM. En este ejemplo, utilizaremos máquinas virtuales.
En función de esta selección, se le ofrecerán opciones adicionales para agregar VM
al grupo de back-end:
Figura 10.4: Información adicional para agregar el grupo de back-end

4. Haga clic en Add (Agregar) y se abrirá un nuevo panel. Aquí podemos agregar las VM
que queremos asociar con el grupo de back-end. Tenga en cuenta que las VM deben
estar en la misma red virtual que el equilibrador de carga y en el mismo conjunto de
disponibilidad. Seleccione las VM que desea agregar al grupo de back-end:
Figura 10.5: Agregar VM al grupo de back-end

Crear un grupo de back-end | 183
5. Después de seleccionar las VM, aparecerán en la lista de máquinas virtuales para

crear el grupo. Haga clic en Add (Agregar) para crear el grupo de back-end con las
VM asociadas:
Figura 10.6: Lista de VM para crear un grupo de back-end

6. Después de que se ingresa la configuración, crear el grupo de back-end demorará
unos minutos. Después de eso, los recursos asociados se mostrarán en la lista de
grupo de back-end:
Figura 10.7: La lista de grupo de back-end

Funcionamiento
Los dos componentes principales de cualquier equilibrador de carga son el front-
end y el back-end. El front-end define el punto de conexión del equilibrador de carga
y el back-end define adónde debe ir el tráfico después de llegar al equilibrador de
carga. A medida que se crea la información de front-end junto con el equilibrador de
carga, debemos definir el back-end nosotros mismos, después de lo cual el tráfico se
distribuirá uniformemente entre los puntos de conexión en el back-end. Las opciones
disponibles para el grupo de back-end son VM y conjuntos de escalado de VM.
Consulte también
Encontrará más información disponible sobre VM, conjuntos de disponibilidad y
conjuntos de escalado de VM, en mi libro, Hands-On Cloud Administration in Azure
(Administración práctica de la nube en Azure), publicado por Packt en https://www.
packtpub.com/virtualization-and-cloud/hands-cloud-administration-azure.
Crear sondeos de estado

Una vez definidos el front-end y el back-end del equilibrador de carga, el tráfico se
distribuye uniformemente entre los puntos de conexión en el back-end. Pero, ¿qué
pasa si uno de los puntos de conexión no está disponible? En ese caso, algunas de las
solicitudes fallarán hasta que detectemos el problema o, incluso, se producirá un error
indefinidamente en caso de que el problema no se detecte. El equilibrador de carga
enviaría una solicitud a todos los puntos de conexión definidos en el grupo de back-end
y la solicitud producirá un error si se dirige a un servidor no disponible.
Esta es la razón por la que introducimos los siguientes dos componentes en el
equilibrador de carga: sondeos de estado y reglas. Estos componentes se utilizan
para detectar problemas y definir qué hacer cuando se detectan.
Los sondeos de estado supervisan constantemente todos los puntos de conexión
definidos en el grupo de back-end y detectan si alguno de ellos no está disponible.
Para ello, envían un sondeo en el protocolo configurado y escuchan una respuesta.
Si se configura un sondeo HTTP, se requiere una respuesta HTTP 200 OK para que
se considere satisfactorio.
Preparación
Procedimiento
Para crear un nuevo sondeo de estado en el equilibrador de carga, tenemos que hacer lo
siguiente:
Crear sondeos de estado | 185

seleccione Health probes (Sondeos de estado). Seleccione Add (Agregar) para
agregar un nuevo sondeo de estado:
Figura 10.8: Agregar un nuevo sondeo de estado
3. En el panel nuevo, tenemos que proporcionar la información sobre el nombre y la

versión de IP del sondeo de estado, o el protocolo, que queremos usar, además de
configurar las opciones de puerto (Port), intervalo (Interval) y umbral incorrecto
(Unhealthy threshold), como se muestra en la Figura 10.9:
Figura 10.9: Proporcionar información de sondeo de estado
4. Después de seleccionar OK (Aceptar), el nuevo sondeo de estado se creará

y aparecerá en la lista de sondeos de estado disponibles asociados con el
Funcionamiento
Después de definir el sondeo de estado, este se usará para supervisar los puntos de
conexión en el grupo de back-end. Definimos el protocolo y el puerto como datos
útiles, que proporcionarán información respecto a si el servicio que estamos utilizando
está disponible o no. Supervisar el estado del servidor no bastaría, puesto que podría
ser engañoso. Por ejemplo, el servidor podría estar en ejecución y disponible, pero
podría ser que los IIS o SQL Server que usemos no estén disponibles. Por lo tanto, el
protocolo y el puerto detectarán cambios en el servicio que nos interesa, y no solo si
el servidor se está ejecutando. El intervalo define la frecuencia con la que se realiza
una comprobación y el umbral de estado incorrecto define después de cuántos errores
consecutivos se declara que el punto de conexión no está disponible.
Crear reglas de equilibrador de carga

La última pieza del rompecabezas cuando se habla de equilibradores de carga de Azure
son las reglas. Las reglas finalmente unen todos los aspectos y definen qué sondeo
de estado (puede haber más de uno) supervisará qué grupo de back-end (puede estar
disponible más de uno). Las reglas también habilitan la asignación de puertos desde el
front-end de un equilibrador de carga hasta el grupo de back-end, además de definir
cómo se relacionan los puertos y cómo se reenvía el tráfico entrante al back-end.
Preparación
Procedimiento
Para crear una regla de equilibrador de carga, se debe hacer lo siguiente:
seleccione Load balancing rules (Reglas de equilibrio de carga). Seleccione Add
(Agregar) para agregar una regla de equilibrio de carga:
Figura 10.10: Agregar reglas de equilibrio de carga

Crear reglas de equilibrador de carga | 187
3. En el panel nuevo, tenemos que proporcionar información para el nombre (Name)

y la versión de IP (IP version) que utilizaremos, qué dirección IP de front-end
(Frontend IP address) usaremos (puesto que un equilibrador de carga puede tener
más de una), el protocolo (Protocol) y la asignación de puerto (Port) (el tráfico del
puerto entrante se reenviará al puerto de back-end). Si habilitamos los puertos de
alta disponibilidad (solo disponibles en los equilibradores de carga internos), esto
eliminará las opciones de protocolo y habilitará el equilibrio de carga en todos
los puertos para los protocolos TCP y UDP. Además, necesitamos proporcionar
información para la configuración de puerto de back-end (Backend Port), grupo
de back-end (Backend pool), sondeo de estado (Health probe), persistencia de
la sesión (Session persistence) y tiempo de espera de inactividad (Idle timeout)
(minutos) y decidir si queremos utilizar una IP flotante. Por último, tenemos la
opción de crear una regla de salida implícita:
Figura 10.11: Configurar reglas de equilibrio de carga

4. Después de seleccionar OK (Aceptar), se creará una nueva regla, que aparecerá en
la lista de reglas de equilibrio de carga disponibles.
Funcionamiento
La regla del equilibrador de carga es la pieza final que une todos los componentes.
Definimos qué dirección IP de front-end se usa y a qué back-end se reenviará el tráfico
del grupo. El sondeo de estado se asigna para supervisar los puntos de conexión en el
grupo de back-end y para realizar un seguimiento de si hay puntos de conexión que
no responden. También creamos una asignación de puertos que determinará en qué
protocolo y en qué puerto escuchará el equilibrador de carga y, cuando llegue el tráfico,
adónde se reenviará este tráfico.
Como modo de distribución predeterminado, Azure Load Balancer usa un hash de
cinco tuplas (IP de origen, puerto de origen, IP de destino, puerto de destino y tipo
de protocolo). Si cambiamos la persistencia de la sesión a Client IP (IP de cliente), la
distribución será de dos tuplas (la misma VM controlará las solicitudes de la misma
dirección IP de cliente). Cambiar la persistencia de la sesión a Client IP and protocol (IP
y protocolo del cliente), cambiará la distribución a tres tuplas (la misma VM controlará
las solicitudes de la misma combinación de dirección IP y protocolo del cliente).
Crear reglas NAT de entrada

Las reglas de Traducción de direcciones de red (NAT) entrantes son una configuración
opcional en Azure Load Balancer. Estas reglas crean esencialmente otra asignación
de puertos desde el front-end hasta el back-end y reenvían el tráfico desde un puerto
específico en el front-end hasta un puerto específico en el back-end. La diferencia entre
las reglas NAT de entrada y la asignación de puertos en las reglas del equilibrador de
carga es que las reglas NAT de entrada se aplican al reenvío directo a una VM, mientras
que las reglas del equilibrador de carga reenvían el tráfico a un grupo de back-end.
Preparación
portal.azure.com.
Procedimiento
Para crear una nueva regla NAT de entrada, se debe hacer lo siguiente:
seleccione Inbound NAT rules (Reglas NAT de entrada). Seleccione Add (Agregar)
para agregar una nueva regla NAT de entrada:
Crear reglas NAT de entrada | 189
Figura 10.12: Agregar una regla NAT de entrada para un equilibrador de carga existente
3. En el nuevo panel, debemos proporcionar detalles para los campos Name
(Nombre), Frontend IP address (Dirección IP de front-end), IP Version (Versión
de IP) (establecida en función de la dirección IP de front-end), Service (Servicio),
Protocol (Protocolo) y Port (Puerto). También podemos editar la opción Idle
timeout (Tiempo de espera inactivo), que está definida en 4 minutos de forma
predeterminada. Seleccione Target virtual machine (Máquina virtual de destino)
y Network IP configuration (Configuración IP de red) para la misma máquina
(si la VM tiene más de una configuración IP). Por último, puede seleccionar la
asignación de puerto predeterminada o usar una personalizada:
Figura 10.13: Configurar las opciones de regla NAT de entrada

4. Después de seleccionar OK (Aceptar), se creará una nueva regla NAT de entrada.
Funcionamiento
Las reglas de NAT de entrada le permiten usar la IP pública del equilibrador de carga
para conectarse directamente a una instancia de back-end específica. Crean una
asignación de puertos similar a la asignación de puertos creada por las reglas del
equilibrador de carga, pero para una instancia de back-end específica. Una regla
del equilibrador de carga crea ajustes adicionales, como el sondeo de estado o la
persistencia de la sesión. Las reglas NAT de entrada excluyen estos ajustes y crean una
asignación incondicional desde el front-end hasta el back-end. Con una regla NAT de
entrada, el tráfico reenviado siempre llegará al único servidor en el back-end, mientras
que un equilibrador de carga reenviará el tráfico al grupo de back-end y usará un
algoritmo pseudo-round-robin para enrutar el tráfico a cualquiera de los servidores
correctos del grupo de back-end.
Crear reglas de salida explícitas

Cuando creamos reglas de equilibrio de carga, podemos crear reglas de salida
implícitas. Esto habilitará la Traducción de direcciones de red de origen (SNAT)
para las VM en el grupo de back-end y les permitirá acceder a Internet a través de la
dirección IP pública del equilibrador de carga (especificada en la regla). Sin embargo,
en algunos escenarios, las reglas implícitas no son suficientes y necesitamos crear
reglas de salida explícitas. Las reglas de salida explícitas (y SNAT, en general) solo están
disponibles para los equilibradores de carga públicos con la SKU estándar.
Preparación
Antes de comenzar, asegúrese de que las reglas de salida implícitas estén desactivadas a
partir de las reglas de equilibrio de carga:
Figura 10.14: Desactivar las reglas de salida implícitas
Ahora, abra el explorador y vaya a Azure Portal a través de https://portal.azure.com.

Crear reglas de salida explícitas | 191
Procedimiento
Para crear una regla de equilibrador de carga, se debe hacer lo siguiente:
1. En Azure Portal, busque el equilibrador de carga público creado anteriormente.
seleccione Outbound rules (Reglas de salida). Seleccione Add (Agregar) para
agregar la regla de equilibrio de carga:
Figura 10.15: Agregar reglas de salida

3. En el panel Outbound rules (Reglas de salida), tenemos que proporcionar el

nombre de la regla y seleccionar opciones para los campos Frontend IP address
(Dirección IP de front-end), Protocol (Protocolo) (All [Todos], TCP o UDP), Idle
timeout (Tiempo de espera de inactividad), TCP reset (Restablecimiento de TCP)
y Backend pool (Grupo de back-end). En la sección Port allocation (Asignación de
puerto) del mismo panel, tenemos que seleccionar opciones para Port allocation,
Outbound ports (Puertos de salida), Ports per instance (Puertos por instancia)
(desactivada cuando se selecciona el número máximo de instancias de back-end)
y Maximum number of backend instances (Número máximo de instancias de
back-end):
Figura 10.16: El panel de reglas de salida

Crear reglas de salida explícitas | 193
Funcionamiento
Las reglas de salida dependen de tres factores: direcciones IP de front-end, instancias
en el grupo de back-end y conexiones. Cada dirección IP de front-end tiene un número
limitado de puertos para las conexiones. Cuantas más direcciones IP se asignen al front-
end, más conexiones se permitirán. Por otra parte, el número de conexiones permitidas
(por instancia de back-end) disminuye con el número de instancias en el back-end.
Si establecemos el número predeterminado de puertos de salida, la asignación se
realiza de forma automática y sin control. Si tenemos un conjunto de escalado de VM
con el número predeterminado de instancias, la asignación de puertos se realizará
de forma automática para cada VM en el conjunto de escalado. Si aumenta el número
de instancias en un conjunto de escalado, esto significa que el número de puertos
asignados a cada VM se reducirá a su vez.
Para evitar esto, podemos establecer la asignación de puertos en manual y limitar el
número de instancias permitidas o limitar el número de puertos por instancia. Esto
garantizará que cada VM tenga una cierta cantidad de puertos dedicados y que las
conexiones no se eliminarán.
11
Traffic Manager
Azure Load Balancer se limita a proporcionar alta disponibilidad y escalabilidad solo
a las máquinas virtuales Azure (VM). Además, un único equilibrador de carga se limita
a las VM de una sola región de Azure. Si queremos proporcionar alta disponibilidad y
escalabilidad a otros servicios de Azure distribuidos globalmente, debemos introducir
un componente nuevo: Azure Traffic Manager. Azure Traffic Manager se basa en DNS
y proporciona la capacidad de distribuir el tráfico a través de los servicios y difundirlo
en las regiones de Azure. Sin embargo, Traffic Manager no se limita solo a los servicios
de Azure. También podemos agregar puntos de conexión externos.
• Crear un nuevo perfil de Traffic Manager
• Agregar un punto de conexión
• Configurar el tráfico distribuido
• Configurar el tráfico en función de la prioridad
• Configurar el tráfico en función de la ubicación geográfica
• Administrar puntos de conexión
• Administrar perfiles
• Configurar Traffic Manager con equilibradores de carga
196 | Traffic Manager
Crear un nuevo perfil de Traffic Manager

Traffic Manager proporciona equilibrio de carga a los servicios, pero el tráfico se enruta
y se dirige mediante entradas DNS. El front-end es un Nombre de dominio completo
(FQDN) asignado durante la creación y todo el tráfico que va a Traffic Manager se
distribuye a puntos de conexión en el back-end. En esta tarea, crearemos un nuevo
perfil de Traffic Manager.
Preparación
Procedimiento
Para crear un nuevo perfil de Traffic Manager, se debe hacer lo siguiente:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y, luego, Traffic
Manager Profile (Perfil de Traffic Manager) en los servicios de Networking (Redes)
(o busque Traffic Manager Profile [Perfil de Traffic Manager] en la barra de
búsqueda).
2. En el panel nuevo, debemos proporcionar información en los campos Name
(Nombre), Routing method (Método de enrutamiento), Subscription (Suscripción)
y Resource group (Grupo de recursos):
Figura 11.1: Proporcionar información para un nuevo perfil de Traffic Manager

Agregar un punto de conexión | 197
3. Tenga en cuenta que, en los métodos de enrutamiento, tenemos varias opciones

entre las que elegir: Performance (Rendimiento), Weighted (Ponderado),
Priority (Prioridad), Geographic (Geográfico), MultiValue (Multivalor) y Subnet
(Subred). En esta tarea, usaremos la opción predeterminada (Performance), pero
abordaremos el resto de los métodos de enrutamiento en otras tareas de este
capítulo:
Figura 11.2: Seleccionar el método de enrutamiento
Funcionamiento
Traffic Manager tiene asignado un punto de conexión público que debe ser un
FQDN. Todo el tráfico que llega a ese punto de conexión se distribuirá a los puntos de
conexión en el back-end, a través del método de enrutamiento seleccionado. El método
de enrutamiento predeterminado es Performance (Rendimiento). El método de
rendimiento distribuirá el tráfico en función del mejor rendimiento posible disponible.
Por ejemplo, si tenemos más de un punto de conexión de back-end en la misma
región, el tráfico se difundirá uniformemente. Si los puntos de conexión se encuentran
en diferentes regiones, Traffic Manager dirigirá el tráfico al punto de conexión
más cercano al tráfico entrante en términos de ubicación geográfica y latencia de
red mínima.
Pasemos a la siguiente tarea y agreguemos un punto de conexión a Traffic Manager.
Agregar un punto de conexión

Después de crear un perfil de Traffic Manager, tenemos definidos el punto de conexión
de front-end y el método de enrutamiento. Pero aún tenemos que definir adónde debe
ir el tráfico después de que llegue a Traffic Manager. Necesitamos agregar puntos
de conexión al back-end y definir hacia dónde se dirige el tráfico. En esta tarea,
agregaremos un nuevo punto de conexión a Traffic Manager.
Preparación
Antes de que podamos agregar puntos de conexión a Traffic Manager, necesitamos
crearlos. La ejecución del siguiente script en PowerShell puede ayudarlo a crear dos
aplicaciones web rápidamente:
$ResourceGroupName = "packt-demo-webapp"
$webappname="packt-demo-webapp"
$location1="West Europe"
$NumberOfWebApps= 2
New-AzResourceGroup -Name $ResourceGroupName '

-Location $location
$i=1
Do
{
New-AzWebApp -Name $webappname'-0'$i '
-Location $location '
-AppServicePlan $webappname '
-ResourceGroupName $ResourceGroupName
} While (($i=$I+1) -le $NumberOfWebApps)
El script se puede editar para implementar más de dos aplicaciones web si es necesario.
Sin embargo, para aprovechar al máximo Traffic Manager, es mejor tener aplicaciones
web en diferentes regiones.
Después de completar el script, abra el explorador web y vaya a Azure Portal
en https://portal.azure.com.
Procedimiento
Para agregar puntos de conexión a Traffic Manager, se debe hacer lo siguiente:
1. En Azure Portal, busque el perfil de Traffic Manager creado anteriormente.
2. En el panel Traffic Manager profile (Perfil de Traffic Manager), en Settings
(Configuración), seleccione Endpoints (Puntos de conexión). Seleccione Add
(Agregar) para agregar un nuevo punto de conexión:
Agregar un punto de conexión | 199
Figura 11.3: Agregar un nuevo punto de conexión

3. En el panel nuevo, tenemos que proporcionar información para los campos Type
(Tipo) (de punto de conexión que estamos agregando) y Name (Nombre). Para el
tipo, podemos elegir entre Azure, External (Externo) y Nested (Anidado). Si se
selecciona Azure, podemos seleccionar ciertos tipos de recursos de destino (Cloud
service [Servicio en la nube], App service [Servicio de aplicaciones] o slot [ranura]
y Public IP address [Dirección IP pública]), y, en función lo que elijamos, podemos
seleccionar recursos que se ajusten al tipo de recurso de destino seleccionado. Aquí
seleccionamos packt-demo-webapp01, que creamos anteriormente:
Figura 11.4: Configurar el tipo de punto de conexión

4. Agregar un único punto de conexión solo funcionará como una redirección de un

FQDN a otro. Necesitamos repetir el proceso al menos una vez más y agregar, por
lo menos, un punto de conexión adicional:
Figura 11.5: Agregar un punto de conexión secundario
5. Todos los puntos de conexión agregados aparecerán en la lista de puntos de

conexión en la sección Endpoint (Punto de conexión) en la opción Settings
(Configuración) de Traffic Manager:
Figura 11.6: Una lista de puntos de conexión

Configurar el tráfico distribuido | 201
Funcionamiento
Las solicitudes entrantes llegan a Traffic Manager accediendo al punto de conexión
de front-end de Traffic Manager. Según las reglas (principalmente el método
de enrutamiento), el tráfico se reenvía a los puntos de conexión de back-end. El
equilibrador de carga funciona reenviando tráfico a direcciones IP privadas. Por otro
lado, Traffic Manager usa puntos de conexión públicos en el back-end. Los tipos de
punto de conexión admitidos son Azure, externo y anidado. En función del tipo de
punto de conexión, podemos agregar puntos de conexión de Azure o externos. Los
puntos de conexión pueden ser FQDN (públicos) o direcciones IP públicas. Los puntos
de conexión anidados nos permiten agregar otros perfiles de Traffic Manager al back-
end de Traffic Manager.
La configuración de encabezado personalizado agrega encabezados HTTP específicos
a las comprobaciones de estado que Traffic Manager envía a los puntos de conexión
de un perfil. Se pueden definir en el nivel de perfil (y aplicarse a todos los puntos de
conexión en ese perfil) o para cada punto de conexión individual. Vienen en el formato
header:value y se pueden agregar hasta 8 pares (header1:value1, header2:value2,
header3:value3…)
Después de agregar puntos de conexión a Traffic Manager, pasemos a la siguiente tarea
para aprender a configurar el tráfico distribuido.
Configurar el tráfico distribuido

El método de enrutamiento predeterminado para Traffic Manager es el rendimiento.
El método de rendimiento distribuirá el tráfico en función del mejor rendimiento
posible disponible. Este método solo tiene pleno efecto si tenemos varias instancias
de un servicio en varias regiones. Como con frecuencia este no es el caso, están
disponibles otros métodos, como el tráfico distribuido (también llamado método de
enrutamiento ponderado). En esta tarea, configuraremos Traffic Manager para que
funcione en modo distribuido.
Preparación
Procedimiento
Para establecer tráfico distribuido, se debe hacer lo siguiente:
2. En Settings (Configuración), seleccione la opción Configuration (Configuración).
Aquí, tenemos varias opciones que podemos cambiar, como el Tiempo de vida
(TTL) de DNS, los protocolos y la configuración de conmutación por error:
Figura 11.7: El panel de configuración para Traffic Manager
3. Cambie Routing method (Método de enrutamiento) a Weighted (Ponderado), como

se muestra en la Figura 11.8. Además, podemos configurar ajustes de ponderación
si es necesario:
Configurar el tráfico en función de la prioridad | 203
Figura 11.8: Cambiar el método de enrutamiento a ponderado
Funcionamiento
El método de enrutamiento ponderado distribuirá el tráfico de forma uniforme en
todos los puntos de conexión en el back-end. Podemos establecer aún más ajustes de
ponderación para dar una ventaja a un determinado punto de conexión y determinar
que algunos puntos de conexión reciban un mayor o un menor porcentaje del
tráfico. Este método se utiliza por lo general cuando tenemos varias instancias de
una aplicación en la misma región, o para escalar horizontalmente a fin de aumentar
el rendimiento.
En esta tarea, aprendimos a distribuir el tráfico de manera uniforme en todos los puntos
de conexión. En la próxima tarea, aprenderemos a configurar tráfico en función de la
prioridad.
Configurar el tráfico en función de la prioridad

Otro método de enrutamiento disponible es la prioridad. La prioridad, como su nombre
lo indica, da prioridad a algunos puntos de conexión, mientras que otros se mantienen
como copias de seguridad. Los puntos de conexión de copia de seguridad solo se
utilizan si los puntos de conexión con prioridad no están disponibles. En esta tarea,
configuraremos Traffic Manager para enrutar el tráfico en función de la prioridad.
Preparación
Procedimiento
Para establecer el método de enrutamiento en Priority (Prioridad), se debe hacer
lo siguiente:
3. Cambie Routing method (Método de enrutamiento) a Priority (Prioridad), como se
muestra en la Figura 11.9:
Figura 11.9: Cambiar el método de enrutamiento a Priority (Prioridad)
Funcionamiento
Prioridad establece un orden de prioridad para los puntos de conexión. Todo el tráfico
irá primero a los puntos de conexión con la prioridad más alta. Se realiza una copia de
seguridad de los otros puntos de conexión (con menor prioridad) y el tráfico se enruta
a estos puntos de conexión solo cuando los puntos de conexión de mayor prioridad no
están disponibles. El orden de prioridad predeterminado es el orden en el que se agregan
los puntos de conexión a Traffic Manager. Es decir, el punto de conexión que se agrega
primero se convierte en el que tiene la prioridad más alta y el punto de conexión que se
agrega al último pasa a ser el punto de conexión con la prioridad menor. La prioridad se
puede cambiar en la configuración del punto de conexión.
En la próxima tarea, aprenderemos a configurar tráfico en función de la ubicación
geográfica.
Configurar el tráfico en función de la ubicación geográfica | 205
Configurar el tráfico en función de la ubicación geográfica

La ubicación geográfica es otro método de enrutamiento en Traffic Manager. Este
método se basa en la latencia de red y dirige una solicitud en función de la ubicación
geográfica del origen y el punto de conexión. Cuando una solicitud llega a Traffic
Manager, en función del origen de la solicitud, se enruta al punto de conexión más
cercano en términos de región. De esta manera, proporciona la menor latencia de
red posible. En esta tarea, configuraremos Traffic Manager para enrutar el tráfico
en función de la ubicación geográfica.
Preparación
portal.azure.com.
Procedimiento
A fin de establecer que el método de enrutamiento se base en la ubicación geográfica,
siga estos pasos:
3. Cambie el método de enrutamiento a Geographic (Geográfico), como se muestra
en la Figura 11.10:
Figura 11.10: Cambiar el método de enrutamiento a Geographic (Geográfico)

Funcionamiento
El método de enrutamiento geográfico hace que el origen de la solicitud coincida con
el punto de conexión más cercano en términos de ubicación geográfica.
Por ejemplo, supongamos que tenemos varios puntos de conexión, cada uno en un
continente diferente. Si una solicitud proviene de Europa, no tendría sentido enrutarla
a Asia o América del Norte. El método de enrutamiento geográfico se asegurará de que
una solicitud procedente de Europa se dirija al punto de conexión ubicado en Europa.
Pasemos a la siguiente tarea para aprender a administrar puntos de conexión.
Administrar puntos de conexión

Después de agregar puntos de conexión a Traffic Manager, es posible que tengamos
que realizar cambios con el tiempo. Puede ser necesario realizar ajustes o eliminar
completamente los puntos de conexión. En esta tarea, editaremos los puntos de
conexión existentes de Traffic Manager.
Preparación
Procedimiento
Para hacer cambios a los puntos de conexión en Traffic Manager, siga estos pasos:
2. En Settings (Configuración), seleccione Endpoints (Puntos de conexión). En la lista
que aparece, seleccione el punto de conexión que desea cambiar:
Figura 11.11: Cambiar los puntos de conexión en Traffic Manager

Administrar perfiles | 207
3. En el panel nuevo, podemos eliminar, deshabilitar o realizar ajustes al punto de

conexión:
Figura 11.12: Panel para realizar ajustes al punto de conexión
Funcionamiento
El punto de conexión existente en el back-end de Traffic Manager se puede cambiar.
Podemos eliminar el punto de conexión para quitarlo completamente de Traffic
Manager, o podemos deshabilitarlo para quitarlo de forma temporal del back-end.
También podemos cambiar el punto de conexión por completo, para que se dirija
a otro servicio o a un tipo totalmente diferente.
En esta tarea, aprendimos a administrar puntos de conexión. En la siguiente,
aprenderemos a administrar y ajustar perfiles.
Administrar perfiles
El perfil de Traffic Manager es otra configuración que podemos administrar y ajustar.
Aunque tiene opciones muy limitadas, en que solo podemos deshabilitar y habilitar
Traffic Manager, la administración de la configuración del perfil puede ser muy útil
para fines de mantenimiento. En esta tarea, administraremos nuestro perfil de Traffic
Manager.
Preparación
Procedimiento
Para hacer cambios al perfil de Traffic Manager, siga estos pasos:
2. En Overview (Información general), seleccione la opción Disable profile
(Deshabilitar perfil) y confírmela haciendo clic en el botón Yes (Sí):
Figura 11.13: Deshabilitar un perfil

3. Una vez que se deshabilita el perfil, se puede habilitar de nuevo con la opción
Enable profile (Habilitar perfil):
Figura 11.14: Habilitar un perfil
Funcionamiento
Administrar el perfil de Traffic Manager con las opciones de deshabilitar y habilitar
hará que el front-end de Traffic Manager no esté disponible o esté disponible (según la
opción seleccionada). Esto puede ser muy útil para fines de mantenimiento. Si tenemos
que aplicar cambios en todos los puntos de conexión y los cambios deben aplicarse a
todos los puntos de conexión al mismo tiempo, podemos deshabilitar el perfil de Traffic
Manager temporalmente. Una vez que los cambios se apliquen a todos los puntos
de conexión, podemos habilitar el perfil para que Traffic Manager esté disponible de
nuevo.
Pasemos a la siguiente tarea para aprender a configurar Traffic Manager con
equilibradores de carga.
Configurar Traffic Manager con equilibradores de carga | 209
Configurar Traffic Manager con equilibradores de carga

A menudo, se combina Traffic Manager con equilibradores de carga para ofrecer
la máxima disponibilidad. Los equilibradores de carga se limitan a proporcionar
alta disponibilidad a un conjunto de recursos ubicados en la misma región. Esto
constituye una ventaja si se produce un error en un solo recurso, puesto que
tenemos varias instancias de él. Pero, ¿qué sucede si falla una región completa?
Los equilibradores de carga no pueden controlar recursos en varias regiones, pero
podemos combinar equilibradores de carga con Traffic Manager para proporcionar
una mayor disponibilidad con los recursos de todas las regiones de Azure. En esta tarea,
configuraremos Traffic Manager para que funcione con equilibradores de carga.
Preparación
Antes de comenzar, abra el explorador web y vaya a Azure Portal a través
de https://portal.azure.com.
Procedimiento
Para configurar Traffic Manager con un equilibrador de carga, se debe hacer lo
siguiente:
1. En Azure Portal, busque el equilibrador de carga y compruebe que tiene la
dirección IP asignada, tal como se indica en el Capítulo 8, Equilibradores de carga.
Solo se pueden utilizar direcciones IP públicas:
Figura 11.15: Comprobar la dirección IP asignada de un equilibrador de carga

2. Vaya a Traffic Manager y seleccione Add (Agregar) para agregar un nuevo punto
de conexión. Seleccione Azure endpoint (Punto de conexión de Azure) para Type
(Tipo), proporcione un nombre para el punto de conexión y seleccione Public IP
address (Dirección IP pública) como el tipo de recurso de destino. De acuerdo con
el tipo seleccionado, aparecerá una nueva opción, que nos permitirá seleccionar
recursos que coincidan con el tipo que seleccionamos. En nuestro caso, la opción
para seleccionar la dirección IP pública está disponible:
Figura 11.16: Configurar un nuevo punto de conexión en Traffic Manager

3. Repita el proceso y agregue otro equilibrador de carga (desde otra región) como
un segundo punto de conexión de Traffic Manager.
Funcionamiento
Los equilibradores de carga proporcionan una mejor disponibilidad, gracias a que
mantienen un servicio activo, aunque se produzca un error en uno de los servicios del
grupo de back-end. Si se produce un error en una región, los equilibradores de carga
no pueden proporcionar ayuda porque se limitan a una sola región. Tenemos que
proporcionar otro conjunto de recursos en otra región para aumentar realmente la
disponibilidad, pero estos conjuntos serán por completo independientes y no brindarán
conmutación por error a menos que incluyamos a Traffic Manager. Traffic Manager
se convertirá en el front-end y agregaremos equilibradores de carga como los puntos
de conexión de back-end de Traffic Manager. Todas las solicitudes llegarán primero a
Traffic Manager y, a continuación, se enrutarán al equilibrador de carga adecuado en el
back-end. Traffic Manager supervisará el estado de los equilibradores de carga y, si uno
de ellos no está disponible, el tráfico se redirigirá a un equilibrador de carga activo.
12
Azure Application
Gateway y Azure WAF
Azure Application Gateway es esencialmente un equilibrador de carga para el tráfico

web, pero también proporciona un mejor control del tráfico. Los equilibradores de carga
tradicionales operan en la capa de transporte y permiten enrutar el tráfico en función
del protocolo (TCP o UDP) y la dirección IP, mediante la asignación de direcciones IP y
protocolos en el front-end a direcciones IP y protocolos en el back-end. A menudo, este
modo de operación “clásico” se denomina capa 4. Application Gateway amplía eso y nos
permite usar nombres de host y rutas para determinar adónde debe ir el tráfico, por lo
que es un equilibrador de carga de capa 7. Por ejemplo, podemos tener varios servidores
optimizados para diferentes cosas. Si uno de nuestros servidores está optimizado para
video, todas las solicitudes de video deben enrutarse a ese servidor específico en función
de la solicitud de la URL entrante.
212 | Azure Application Gateway y Azure WAF

• Crear un nuevo gateway de aplicación
• Configurar los grupos de back-end
• Establecer la configuración de HTTP
• Configurar agentes de escucha
• Configurar reglas
• Configurar sondeos
• Configurar un Firewall de aplicaciones web (WAF)
• Personalizar reglas de WAF
• Crear una directiva de WAF
Crear un nuevo gateway de aplicación

Azure Application Gateway se puede usar como un equilibrador de carga simple para
realizar la distribución de tráfico desde el front-end hasta el back-end en función de
protocolos y puertos. Pero también puede ampliar esa función y realizar enrutamiento
adicional basado en nombres de host y rutas de acceso. Esto nos permite tener
grupos de recursos basados en reglas y también nos permite optimizar el rendimiento
específico. El uso de estas opciones y la realización de enrutamiento basado en el
contexto aumentarán el rendimiento de la aplicación, además de proporcionar una alta
disponibilidad. Por supuesto, en este caso, necesitamos tener varios recursos para cada
tipo de rendimiento en cada grupo de back-end (cada tipo de rendimiento solicita un
grupo de back-end independiente).
Preparación
Crear un nuevo gateway de aplicación | 213
Procedimiento
Para crear un nuevo gateway de aplicación, siga estos pasos:
Application Gateway (Gateway de aplicación) en Networking (Redes) (o busque
application gateway [gateway de aplicación] en la barra de búsqueda).
2. En el panel nuevo, tenemos que proporcionar información para los campos
Subscription (Suscripción), Resource group (Grupo de recursos), Name (Nombre),
Region (Región), Tier (Nivel), Autoscaling (Escalado automático), Instance count
(Recuento de instancias), Availability zone (Zona de disponibilidad) y HTTP2.
También se debe seleccionar la red virtual y la subred que se asociarán con el
gateway de aplicación. Se limitará a las redes virtuales que se encuentran en la
región seleccionada para el gateway de aplicación:
Figura 12.1: Configurar detalles del proyecto para el gateway de aplicación

3. Ahora, completamos la pestaña Frontends. Aquí, tenemos que seleccionar el tipo

de dirección IP que utilizará el front-end (público [Public], privado [Private] o
ambos [Both]) y proporcionar una IP (seleccionar una existente o crear una nueva):
Figura 12.2: Seleccionar el tipo de dirección IP de front-end
4. A continuación, se encuentra la pestaña Backends. Tenemos que seleccionar Add a

backend pool (Agregar un grupo de back-end):
Figura 12.3: Definir los back-ends para el gateway de aplicación

5. En este punto, se abrirá un panel nuevo. Necesitamos proporcionar información

para el nombre y elegir si queremos agregar un grupo de back-end con o sin
destinos. Si elegimos agregar destinos en esta etapa, en primer lugar, tenemos
que seleccionar el tipo de destino. Los tipos disponibles son máquinas virtuales,
conjuntos de escalado de máquinas virtuales, servicios de aplicación y direcciones
IP/FQDN. En función del tipo de selección, puede agregar destinos apropiados:
Figura 12.4: Agregar un grupo de back-end

6. Después de agregar un grupo de back-end, podemos ver información relacionada

y continuar. Tenga en cuenta que podemos agregar más de un grupo de back-end:
Figura 12.5: Revisar la configuración para el grupo de back-end
7. En el panel Configuration (Configuración), podemos ver que los grupos de

front-ends y back-ends están implementados, pero nos falta una regla de
enrutamiento. Esta es obligatoria para poder continuar, por lo que debemos
crear una seleccionando la opción Add a routing rule (Agregar una regla de
enrutamiento):
Figura 12.6: Crear una regla de enrutamiento

8. En el panel nuevo, primero debemos definir un agente de escucha. Debemos

proporcionarle un nombre. Pare ello, seleccione la configuración Frontend IP (IP
de front-end) y proporcione un puerto (Port) y un protocolo (Protocol) que se
supervisarán. También podemos cambiar el botón de opción Listener type (Tipo
de agente de escucha) y agregar una página URL para errores (esta solo puede ser
una URL de cuenta de almacenamiento de Azure):
Figura 12.7: Establecer la configuración del agente de escucha para la regla de enrutamiento

9. Para la regla de enrutamiento, también tenemos que configurar los destinos de

back-end. En esta sección, tenemos que establecer la configuración para Target
type (Tipo de destino), Backend target (Destino de back-end) y HTTP settings
(Configuración HTTP). En esta etapa, todavía falta una configuración de HTTP,
por lo que tenemos que seleccionar Add new (Agregar nueva) en el campo HTTP
settings (Configuración HTTP):
Figura 12.8: Configurar destinos de back-end para la regla de enrutamiento

10. En el panel nuevo, primero, tenemos que proporcionar la configuración de

HTTP con un nombre y agregar detalles para Backend protocol (Protocolo de
back-end) y Backend port (Puerto de back-end). También debemos habilitar o
deshabilitar Cookie-based affinity (Afinidad basada en cookies) y Connection
draining (Drenaje de conexiones) antes de especificar el período en Request
time-out (seconds) (Tiempo de espera de solicitud [segundos]). Podemos
habilitar o deshabilitar la configuración de Create custom probes (Crear sondeos
personalizados) y Override with new host name (Reemplazar por un nuevo
nombre de host):
Figura 12.9: Agregar una configuración HTTP

11. Después de crear la configuración HTTP, esta se agregará automáticamente a

nuestra regla de enrutamiento, que ahora podemos terminar:
Figura 12.10: Configuración final para agregar una regla de enrutamiento
12. La configuración ya está completa, y podemos seguir adelante e implementar

nuestro gateway de aplicación:
Figura 12.11: Implementar el gateway de aplicación

Configurar los grupos de back-end | 221
Funcionamiento
Azure Application Gateway es muy similar a Azure Load Balancer, con algunas opciones
adicionales. Enrutará el tráfico que llegue al front-end del gateway de aplicación
a un back-end definido, en función de las reglas que especifiquemos. Además del
enrutamiento basado en protocolos y puertos, el gateway de aplicación también
permite el enrutamiento definido basado en rutas y protocolos. Con estas reglas
adicionales, podemos enrutar las solicitudes entrantes a los puntos de conexión
optimizados para algunos roles. Por ejemplo, podemos tener varios grupos de back-
end con diferentes configuraciones que están optimizadas para realizar solo tareas
específicas. En función de la naturaleza de las solicitudes entrantes, el gateway de
aplicación enrutará las solicitudes al grupo de back-end adecuado. Este enfoque,
además de una alta disponibilidad, proporcionará un mejor rendimiento mediante el
enrutamiento de cada solicitud a un grupo de back-end que procesará la solicitud de
una manera más optimizada.
Podemos configurar el escalado automático para el gateway de aplicación (disponible
solo para V2) con información adicional para la cantidad mínima y máxima de unidades.
De esta manera, el gateway de aplicación escalará en función de la demanda y
garantizará que el rendimiento no se vea afectado, incluso con el número máximo de
solicitudes.
Configurar los grupos de back-end

Después de crear el gateway de aplicación, debemos definir los grupos de back-end.
El tráfico que llega al front-end del gateway de aplicación se reenviará a los grupos de
back-end. Los grupos de back-end en los gateways de aplicación son los mismos que los
grupos de back-end de los equilibradores de carga y se definen como posibles destinos
en que el tráfico se enrutará en función de otras opciones de configuración que se
agregarán en las tareas que aparecen más adelante en este capítulo.
Preparación
Procedimiento
Para agregar grupos de back-end al gateway de aplicación, siga estos pasos:
1. En Azure Portal, busque el gateway de aplicación creado anteriormente.
2. En el panel Application gateway (Gateway de aplicación), en Settings
(Configuración), seleccione Backend pools (Grupos de back-end). Seleccione Add
(Agregar) para agregar un nuevo grupo de back-end o seleccione uno existente
para editarlo:
Figura 12.12: Agregar un grupo de back-end al gateway de aplicación
3. En el panel nuevo, la única diferencia entre los grupos nuevos y existentes es el

nombre. Para un grupo nuevo, debemos proporcionar el nombre del grupo de
back-end y, para los grupos existentes, esta opción está atenuada y no se puede
editar. Para los grupos nuevos y existentes, tenemos que proporcionar el tipo de
destino. Los tipos disponibles son máquinas virtuales, conjuntos de escalado de
máquinas virtuales, servicios de aplicación y direcciones IP/FQDN. En función del
tipo de selección, puede agregar destinos apropiados:
Configurar los grupos de back-end | 223
Figura 12.13: Proporcionar el tipo de destino para el grupo de back-end
Funcionamiento
Con los grupos de back-end, definimos los destinos a los que se reenviará el tráfico.
Como el gateway de aplicación nos permite definir el enrutamiento para cada solicitud,
es mejor tener destinos basados en el rendimiento y tipos agrupados de la misma
manera. Por ejemplo, si tenemos varios servidores web, estos deben colocarse en el
mismo grupo de back-end. Los servidores que se utilizan para procesamiento de datos
deben colocarse en un grupo independiente y los servidores que se usan para videos
en otro grupo distinto. De esta manera, podemos separar los grupos en función de
los tipos de rendimiento y enrutar el tráfico en función de las operaciones que deben
completarse.
Esto aumentará el rendimiento de nuestra aplicación, puesto que cada solicitud se
procesará según el recurso que mejor se adapte a una tarea específica. Para lograr una
alta disponibilidad, debemos agregar más servidores a cada grupo de back-end.
Establecer la configuración de HTTP

La configuración HTTP en los gateways de aplicación se utiliza para validación y varios
ajustes de tráfico. Su propósito principal es asegurarse de que las solicitudes se dirijan
al grupo de back-end adecuado. También se incluyen algunos otros parámetros de
configuración HTTP, como la afinidad o el drenaje de conexiones. La configuración de
anulación también forma parte de la configuración HTTP, que le permitirá redirigir la
solicitud si esta se envía incompleta o es incorrecta.
Preparación
Procedimiento
Para agregar una configuración HTTP al gateway de aplicación, siga estos pasos:
(Configuración), seleccione HTTP settings (Configuración HTTP). Seleccione Add
(Agregar) para agregar una nueva configuración HTTP o seleccione una existente
para editarla:
Figura 12.14: Ubicar la configuración HTTP en el panel del gateway de aplicación

Establecer la configuración de HTTP | 225
3. En el panel nuevo, primero, tenemos que proporcionar un nombre (si está

editando una configuración HTTP existente, esta opción aparecerá atenuada). Las
siguientes opciones nos permiten deshabilitar o habilitar Cookie-based affinity
(Afinidad basada en cookies) y Connection draining (Drenaje de conexiones).
Además, seleccionamos nuestro protocolo (Protocol), puerto (Port) y el período
de tiempo de espera de solicitud (segundos) (Request time-out [seconds]). La
configuración opcional nos permite configurar las opciones Use custom probe
(Usar sondeo personalizado) y Override with new host name (Reemplazar por un
nuevo nombre de host):
Figura 12.15: Establecer la configuración de HTTP

Funcionamiento
Como se mencionó anteriormente, el propósito principal de la configuración HTTP es
garantizar que las solicitudes se dirijan al grupo de back-end correcto. Sin embargo, hay
muchas otras opciones disponibles. La afinidad basada en cookies nos permite enrutar
las solicitudes desde el origen hasta el servidor de destino en el grupo de back-end. El
drenaje de conexiones controlará la conducta cuando el servidor se elimine del grupo
de back-end. Si esto se habilita, el servidor mantendrá las solicitudes sobre la marcha
al mismo servidor. La configuración de anulación nos permite reemplazar la ruta de
acceso de la dirección URL con una ruta diferente o un dominio completamente nuevo,
antes de reenviar la solicitud al grupo de back-end.
Configurar agentes de escucha

Los agentes de escucha en un gateway de aplicación escuchan las solicitudes entrantes.
Una vez que se detecta una nueva solicitud, esta se reenvía al grupo de back-end en
función de las reglas y la configuración que definimos. En esta tarea, agregaremos un
nuevo agente de escucha a nuestro gateway de aplicación.
Preparación
Procedimiento
Para agregar un agente de escucha a un gateway de aplicación, tenemos que hacer lo
siguiente:
(Configuración), seleccione Listeners (Agentes de escucha), luego, seleccione Add
listener (Agregar agente de escucha) para agregar un agente de escucha nuevo o
editar uno existente:
Figura 12.16: Agregar un nuevo agente de escucha a través de Azure Portal

Configurar agentes de escucha | 227
3. En el panel nuevo, tenemos que proporcionar un nombre para el agente de

escucha (si está editando un agente de escucha existente, esta opción aparecerá
atenuada), seleccionar la configuración de IP de front-end (Frontend IP) y
proporcionar el puerto y el protocolo que se supervisarán. Además, podemos
configurar el tipo de agente de escucha (Listener type) y una página URL
personalizada para los errores:
Figura 12.17: Establecer la configuración del agente de escucha para el gateway de aplicación
Funcionamiento
Un agente de escucha supervisa nuevas solicitudes que llegan al gateway de aplicación.
Cada agente de escucha supervisa solo una dirección IP de front-end y solo un puerto.
Si tenemos dos direcciones IP de front-end (una pública y una privada) y tráfico que
vienen a través de varios protocolos y puertos, debemos crear un agente de escucha
para cada dirección IP y cada puerto al que el tráfico puede estar llegando.
El tipo básico de agente de escucha se utiliza cuando este escucha un solo dominio.
Normalmente, se usa cuando hospedamos una sola aplicación detrás de un gateway de
aplicación. Un agente de escucha de varios sitios se utiliza cuando tenemos más de una
aplicación detrás del gateway de aplicación y necesitamos configurar el enrutamiento
en función de un nombre de host o nombre de dominio.
Configurar reglas
Las reglas en los gateways de aplicación se utilizan para determinar cómo fluye
el tráfico. Diferentes configuraciones determinan adónde se reenvía una solicitud
específica y cómo se hace esto.
Preparación
Procedimiento
Para agregar una regla al gateway de aplicación, siga estos pasos:
(Configuración), seleccione Rules (Reglas). Agregue una nueva regla o seleccione
una existente para editarla:
Figura 12.18: Agregar una regla de enrutamiento para el gateway de aplicación

Configurar reglas | 229
3. En el panel nuevo, debemos proporcionar un nombre para la nueva regla (si está
editando una regla existente, esta opción está atenuada) y seleccionar el agente de
escucha, como se muestra en la Figura 12.19:
Figura 12.19: Configurar la regla de enrutamiento
4. También necesitamos configurar un destino de back-end, en que necesitamos

definir el tipo de destino (Target type) y seleccionar opciones para el destino de
back-end (Backend target) y la configuración HTTP (HTTP settings):
Figura 12.20: Configurar un destino de back-end para la regla de enrutamiento
Funcionamiento
Con reglas, podemos unir algunos parámetros de configuración creados previamente.
Definimos un agente de escucha que especifica la solicitud que esperamos, la dirección
IP y el puerto. A continuación, estas solicitudes se reenvían al grupo de back-end. El
reenvío se realiza en función de la configuración HTTP. Como alternativa, también
podemos agregar redirección a las reglas.
Configurar sondeos
Los sondeos en el gateway de aplicación se utilizan para supervisar el estado de los
destinos de back-end. Cada punto de conexión se supervisa y, si se encuentra alguno en
mal estado, se saca temporalmente de la rotación y las solicitudes no se reenvían. Una
vez que el estado cambia, se agrega de nuevo. Esto impide que las solicitudes se envíen
a puntos de conexión que no están en buen estado y que no pueden atender la solicitud.
Preparación
Procedimiento
Para agregar un sondeo al gateway de aplicación, siga estos pasos:
(Configuración), seleccione Health probes (Sondeos de estado). Seleccione Add
(Agregar) para agregar el sondeo nuevo:
Figura 12.21: Agregar un nuevo sondeo de estado

Configurar un Firewall de aplicaciones web (WAF) | 231
3. En el panel nuevo, debemos proporcionar el nombre (Name) del sondeo (esta opción
se atenuará si se edita un sondeo existente), junto con el protocolo (Protocol),
el host (Host) y la ruta (Path). También necesitamos establecer el intervalo en
segundos (Interval (seconds)), el tiempo de espera en segundos (Timeout (seconds))
y el umbral de estado incorrecto (Unhealthy threshold). También podemos elegir
configurar la opción de usar condiciones de coincidencia de sondeo (Use probe
matching conditions) y asociar la configuración de HTTP (HTTP settings):
Figura 12.22: Configurar los detalles del sondeo de estado
Funcionamiento
Los valores de protocolo, host y ruta definen qué sondeo se está supervisando. El
intervalo define la frecuencia con la que se realizarán las comprobaciones. El tiempo de
espera define cuánto tiempo debe pasar antes de que se declare que la comprobación
falló. Por último, el umbral de estado incorrecto se usa para establecer cuántas
comprobaciones erróneas deben producirse antes de que el punto de conexión se
declare no disponible.
Configurar un Firewall de aplicaciones web (WAF)

WAF es una configuración adicional para el gateway de aplicación. Se usa para aumentar
la seguridad de las aplicaciones detrás del gateway de aplicación y, además, proporciona
una protección centralizada.
Preparación
Para habilitar un WAF, debemos establecer el gateway de aplicación en el nivel WAF.
Para hacerlo, siga estos pasos:
1. En el panel Application gateway (Gateway de aplicación), vaya a Web application
firewall (Firewall de aplicaciones web), en Settings (Configuración). En Tier (Nivel),
cambie la selección de Standard V2 (V2 estándar) a WAF V2 y seleccione Save
(Guardar):
Figura 12.23: Establecer el gateway de aplicación en el nivel de WAF V2
Procedimiento
Después de que el gateway de aplicación se define en WAF, podemos habilitar y
establecer las reglas de firewall. Para hacerlo, siga estos pasos:
Configurar un Firewall de aplicaciones web (WAF) | 233
1. En el panel Application gateway (Gateway de aplicación), vaya a Web application

firewall (Firewall de aplicaciones web), en Settings (Configuración) y habilite
Firewall status (Estado de firewall). Después de establecer Firewall status (Estado
de firewall) en Enabled (Habilitado), aparecerá un nuevo conjunto de opciones:
Figura 12.24: Habilitar un WAF para el gateway de aplicación

2. Tenemos que seleccionar un modo de firewall (Firewall mode), establecer una

lista de exclusión y especificar los parámetros globales (Global parameters) de la
siguiente forma:
Figura 12.25: Configurar el WAF
Funcionamiento
La función WAF aumenta la seguridad mediante la comprobación de todo el tráfico
entrante. Como esto puede hacer que el rendimiento sea más lento, podemos excluir
algunos elementos que crean falsos positivos, en especial, cuando se trata de elementos
de tamaño significativo. Los elementos excluidos no se inspeccionarán. Un WAF puede
funcionar en dos modos: detección y prevención. La detección solo detectará si se envía
una solicitud malintencionada, en tanto que la prevención detendrá dicha solicitud.
Personalizar reglas de WAF

Un WAF viene con un conjunto predeterminado de reglas. Estas reglas se aplican
para aumentar la seguridad de las aplicaciones y evitar solicitudes malintencionadas.
Podemos cambiar estas reglas para abordar problemas o requisitos específicos según
sea necesario.
Preparación
Procedimiento
Para cambiar las reglas de WAF, se debe hacer lo siguiente:
1. Seleccione Web application firewall (Firewall de aplicaciones web), en Settings
(Configuración), en el panel Application gateway (Gateway de aplicación).
Personalizar reglas de WAF | 235
2. Seleccione Rules (Reglas) en la configuración de WAF. Seleccione Enabled

(Habilitado) en Advanced rule configuration (Configuración de reglas avanzada),
como se muestra en la Figura 12.26:
Figura 12.26: Habilitar la configuración de reglas avanzada

3. Las reglas aparecerán en una lista. Podemos activar o desactivar las casillas para
habilitar o deshabilitar las reglas:
Figura 12.27: Personalizar las reglas de WAF en el panel Application gateway (Gateway de aplicación)
Funcionamiento
Un WAF viene con todas las reglas activadas de forma predeterminada. Esto puede
hacer que el rendimiento sea más lento, por lo que podemos deshabilitar algunas de las
reglas si es necesario. Además, hay tres conjuntos de reglas disponibles: OWASP 2.2.9,
OWASP 3.0 y OWASP 3.1. El conjunto de reglas predeterminado (y recomendado) es
OWASP 3.0, pero podemos cambiar entre conjuntos de reglas según se requiera.
Crear una directiva de WAF

Una directiva de WAF nos permite controlar la configuración de WAF como un recurso
independiente. Al hacerlo, podemos aplicar la misma directiva a varios recursos en lugar
de a gateways de aplicación individuales. Una directiva de WAF puede asociarse con
Application Gateway, Front Door o CDN.
Preparación
Procedimiento
Para crear un nuevo gateway de aplicación, siga estos pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y, luego, Web
Application Firewall (Firewall de aplicaciones web) en Networking (Redes) (o
busque Web Application Firewall [Firewall de aplicaciones web] en la barra de
búsqueda).
2. En el panel nuevo, primero debemos completar la sección Basics (Aspectos
básicos). Tenemos que establecer para qué se usará la directiva (Application
Gateway, Front Door o CDN), configurar las opciones Subscription (Suscripción)
y Resource group (Grupo de recursos) y completar los campos Policy name
(Nombre de directiva) y Location (Ubicación). Además, podemos establecer si la
directiva se habilitará o deshabilitará una vez que se haya creado:
Crear una directiva de WAF | 237
Figura 12.28: Crear una nueva directiva de WAF

3. En Policy settings (Configuración de directiva), podemos establecer el modo

(Mode) en Detection (Detección) o Prevention (Prevención), junto con Exclusions
(Exclusiones) y Global parameters (Parámetros globales):
Figura 12.29: Establecer la configuración de directiva para su directiva de WAF
4. En Managed rules (Reglas administradas), podemos seleccionar un conjunto de

reglas (OWASP 2.2.9, OWASP 3.0 o OWASP 3.1) y desactivar algunas normas si es
necesario (no se recomienda deshabilitar las reglas, a menos que sea necesario):
Figura 12.30: Establecer reglas para su directiva de WAF

5. En Custom rules (Reglas personalizadas), podemos agregar reglas adicionales,

si es necesario. Seleccione Add custom rule (Agregar regla personalizada) para
agregar una:
Figura 12.31: Agregar una regla personalizada a nuestra directiva de WAF

6. Esto abrirá un panel nuevo que nos permitirá definir una regla personalizada.
Tenemos que completar el campo Custom rule name (Nombre de la regla
personalizada) y definir la prioridad (Priority) en 1. En Conditions (Condiciones),
estamos creando un tipo de coincidencia y variables que deben coincidir para activar
la regla. Finalmente, establecemos una respuesta (permitir, denegar o registrar):
Figura 12.32: Definir condiciones para su regla personalizada

7. Una vez que se crea la regla personalizada, aparecerá en la lista y podemos pasar
a la sección Association (Asociación):
Figura 12.33: Lista que muestra la nueva regla personalizada
8. En la sección Association (Asociación), estamos creando una asociación con

el servicio al que queremos aplicar la directiva. Esta sección dependerá del tipo
de servicio seleccionado anteriormente (en nuestro caso, gateway de aplicación).
Seleccione Associate an application gateway (Asociar un gateway de aplicación):
Figura 12.34: Crear una asociación con el gateway de aplicación
9. En el panel nuevo, seleccione Application gateway (Gateway de aplicación) del

menú desplegable. Tenga en cuenta que solo se admite WAF V2 SKU:
Figura 12.35: Elegir el gateway de aplicación del menú desplegable

10. Una vez que se selecciona Application gateway (Gateway de aplicación), tenemos
que asociar agentes de escucha. Seleccione Associate listener (Asociar agente
de escucha) en Associate HTTP listeners (Asociar agentes de escucha HTTP).
En el panel nuevo, del menú desplegable, seleccione el agente de escucha que
desea usar:
Figura 12.36: Seleccionar el agente de escucha del menú desplegable
11. Una vez que el agente de escucha esté asociado, podemos comenzar a crear
nuestra directiva de WAF:
Figura 12.37: Configuración final de la nueva directiva de WAF
Funcionamiento
Nuestra directiva de WAF contiene todos los ajustes y la configuración requeridos para
nuestro WAF, y puede asociarse con Application Gateway, Front Door o CDN. Se puede
asociar con varios recursos, pero solo con un tipo a la vez. El modo (Mode) determina
el tipo de acción que se realizará cuando se detecte un problema. La opción Prevention
(Prevención) bloqueará las solicitudes sospechosas y Detection (Detección) solo creará
una entrada de registro.
13
Azure Front Door
y Azure CDN
Varios servicios de red en Microsoft Azure se dedican a la entrega de aplicaciones.
Azure Front Door y Azure CDN son servicios que nos permiten crear aplicaciones para
entrega global y aprovechar la red global de centros de datos de Azure. Al aprovechar
esta capacidad, podemos proporcionar la misma experiencia a nuestros usuarios,
independientemente de su ubicación física.
• Crear una instancia de Azure Front Door
• Crear un perfil de Azure CDN
244 | Azure Front Door y Azure CDN
Crear una instancia de Azure Front Door

Azure Front Door se utiliza para el enrutamiento global de tráfico web para aplicaciones
distribuidas en diferentes regiones de Azure. Con Azure Front Door, podemos definir,
administrar y supervisar el enrutamiento de nuestro tráfico web y habilitar una
conmutación por error global rápida. Nos permite entregar nuestras aplicaciones con
el mejor rendimiento y una alta disponibilidad. Azure Front Door es un equilibrador
de carga de nivel 7, similar a Application Gateway. Sin embargo, hay una diferencia en
lo que respecta a la distribución global. En términos de distribución global, es similar
a otro servicio: Traffic Manager. En esencia, Azure Front Door combina las mejores
características de Application Gateway y Traffic Manager: la seguridad de Application
Gateway y la capacidad de distribución de Traffic Manager.
Preparación
Azure Front Door requiere servicios que se agregarán al grupo de back-end. Puede
usar un script de la sección Preparación de la tarea Agregar un punto de conexión, en el
Capítulo 11, Traffic Manager.
A continuación, abra el explorador y vaya a Azure Portal a través de
Procedimiento
Para crear una nueva instancia de Azure Front Door, siga estos pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y, luego, Front
Door en Networking (Redes) (o busque Front Door en la barra de búsqueda).
2. En el panel nuevo, tenemos varias secciones que abarcar. En Basics (Aspectos
básicos), necesitamos proporcionar detalles para Subscription (Suscripción)
y Resource group (Grupo de recursos). La opción Resource group location
(Ubicación del grupo de recursos) se selecciona automáticamente y aparece
atenuada:
Crear una instancia de Azure Front Door | 245
Figura 13.1: Proporcionar detalles de suscripción y del grupo de recursos
3. En la sección Configuration (Configuración), tenemos que proporcionar los

detalles para Frontends/domains (Front-ends/dominios), Backend pools (Grupos
de back-end) y Routing rules (Reglas de enrutamiento). Haga clic en el cuadro
Frontends/domains para iniciar el panel de configuración:
Figura 13.2: Seleccionar la opción de configuración Frontends/domains (Front-ends/dominios)

4. En el panel nuevo, debemos proporcionar un nombre de host y seleccionar

si queremos habilitar SESSION AFFINITY (AFINIDAD DE SESIÓN) y WEB
APPLICATION FIREWALL (FIREWALL DE APLICACIONES WEB):
Figura 13.3: Habilitar SESSION AFFINITY (AFINIDAD DE SESIÓN) y WEB APPLICATION FIREWALL

(FIREWALL DE APLICACIONES WEB)
5. Una vez creado el front-end, volvemos a la sección Configuration (Configuración).

Seleccione Backend pools (Grupos de back-end) para iniciar el siguiente panel de
configuración:
Figura 13.4: Seleccionar la opción de configuración Backend pools (Grupos de back-end)

6. Necesitamos proporcionar un nombre para nuestro grupo de back-end y agregarle

servicios. Para agregar un back-end, seleccione la opción Add a backend (Agregar un
back-end):
Figura 13.5: Agregar un grupo de back-end

7. Para agregar un back-end, primero debemos seleccionar el tipo de host de back-end
(Backend host type) y la suscripción (Subscription). En función de nuestra selección,
podemos elegir servicios (de un tipo seleccionado en la suscripción seleccionada)
en Backend host name (Nombre de host de back-end). También tenemos que
proporcionar detalles de encabezado de host de backend (Backend host header), los
puertos (HTTP y HTTPS), la prioridad (Priority) y la ponderación (Weight). Por último,
tenemos que seleccionar la opción Enabled (Habilitado) para Status (Estado):
Figura 13.6: Detalles del grupo de back-end

8. Repita este proceso para agregar por lo menos un punto de conexión al grupo de
back-end:
Figura 13.7: Agregar otro punto de conexión al grupo de back-end

9. Una vez que hayamos agregado suficientes puntos de conexión al grupo de back-
end, podemos continuar con la configuración:
Figura 13.8: Configurar el grupo de back-end

10. Los sondeos de estado requieren información de la ruta (Path) (utilice / para la
opción predeterminada o agregue la suya), el protocolo (Protocol) (HTTP o HTTPS),
el método de sondeo (Probe method) (HEAD o GET) y el intervalo (Interval) en
segundos (con qué frecuencia el sondeo verificará el estado del back-end):
Figura 13.9: Configurar sondeos de estado para comprobar el estado del back-end

11. En la sección LOAD BALANCING (EQUILIBRIO DE CARGA), tenemos que

proporcionar información para los campos Sample size (Tamaño de la muestra),
Successful samples required (Se requieren muestras correctas) y Latency
sensitivity (Sensibilidad a la latencia):
Figura 13.10: El panel LOAD BALANCING (EQUILIBRIO DE CARGA)

12. Una vez que hayamos agregado toda la información necesaria, podemos crear
un grupo de back-end. Esto nos llevará de nuevo a la sección Configuration
(Configuración). Seleccione Routing rules (Reglas de enrutamiento) para iniciar
el panel Routing rules:
Figura 13.11: Seleccionar la opción de configuración Routing rules (Reglas de enrutamiento)

13. En el panel Add a rule (Agregar una regla), tenemos que proporcionar los detalles
para los campos Name (Nombre) (para la regla), Accepted protocol (Protocolo
aceptado) (HTTP, HTTPS, o ambos), Frontends/domains (Front-ends/dominios)
(elija la opción seleccionada previamente) y PATTERNS TO MATCH (PATRONES
DE COINCIDENCIA) (los patrones de la ruta URL que la ruta aceptará):
Figura 13.12: Agregar detalles de la regla de enrutamiento

14. En ROUTE DETAILS (DETALLES DE LA RUTA), tenemos que proporcionar detalles
para los campos Route type (Tipo de ruta), Backend pool (Grupo de back-end) y
Forwarding protocol (Protocolo de reenvío). Opcionalmente, podemos seleccionar
si deseamos habilitar las opciones URL rewrite (Reescritura de URL) y Caching
(Almacenamiento en caché):
Figura 13.13: El panel ROUTE DETAILS (DETALLES DE LA RUTA)

15. Una vez creada la regla de enrutamiento, tenemos todos los componentes
necesarios y podemos continuar con la creación de la instancia de Azure Front
Door. Para ello, tenemos que ir a la pestaña Review + create (Revisar y crear):
Figura 13.14: Todos los componentes están configurados
Funcionamiento
Todas las solicitudes de aplicaciones están llegando al front-end. En función de las
reglas que creamos, las solicitudes se reenvían a los puntos de conexión en el back-end.
Las reglas de equilibrio de carga se asegurarán de que las solicitudes se envíen al back-
end disponible más rápido.
La velocidad de muestreo correcta garantiza que los puntos de conexión en el back-end
estén disponibles y determina cuántas muestras se envían a la vez. Successful samples
required (Se requieren muestras correctas) define cuántas solicitudes correctas
se necesitan para que un punto de conexión se considere en buen estado. Latency
sensitivity (Sensibilidad a la latencia) establece la tolerancia entre el punto de conexión
con la latencia más baja y el resto de los puntos de conexión. Por ejemplo, supongamos
que la configuración de la sensibilidad a la latencia es de 30 ms, mientras que la
latencia del punto de conexión A es de 15 ms, la del punto de conexión B es de 30 ms
y la del punto de conexión C es de 90 ms. Los puntos de conexión A y B se colocarán
en el grupo más rápido, puesto que la diferencia de latencia es menor que el umbral
de sensibilidad, y el punto de conexión C está por encima del umbral.
Las reglas de enrutamiento definen cómo se maneja el tráfico y si se debe redireccionar

o reenviar tráfico específico. Si se habilita URL rewrite (Reescritura de URL), podemos
crear una URL que se reenviará a un back-end. Si el almacenamiento en caché está
habilitado, Azure Front Door almacenará en caché el contenido estático para una
entrega más rápida.
Nota
Muchos términos y opciones son los mismos que para Application Gateway y no
los explicaremos de nuevo. Además, Web Application Firewall (WAF) es una
opción que se puede habilitar en Azure Front Door para una mejor seguridad.
Para obtener más información sobre WAF, consulte las tareas relacionadas en el
Capítulo 12, Azure Application Gateway y Azure WAF.
Azure Front Door también incluye varias opciones y reglas configurables que
pueden ayudar a que sus aplicaciones web ofrezcan un servicio centrado en el cliente
y en la marca. Aquí le indicamos algunos recursos importantes relacionados con Azure
Front Door:
• Más información sobre los dominios personalizados: https://docs.microsoft.
com/azure/frontdoor/front-door-custom-domain
• Más información sobre los dominios comodín: https://docs.microsoft.com/
azure/frontdoor/front-door-wildcard-domain
• Más información sobre el Motor de reglas: https://docs.microsoft.com/azure/
frontdoor/front-door-rules-engine
• Más información sobre las condiciones de coincidencia del Motor de reglas:
https://docs.microsoft.com/azure/frontdoor/front-door-rules-engine-match-
conditions
• Más información sobre las acciones del Motor de reglas: https://docs.microsoft.
com/azure/frontdoor/front-door-rules-engine-actions
Una vez creada la instancia de Azure Front Door, pasemos a la siguiente receta para
aprender a crear un perfil de Azure CDN.
Crear un perfil de Azure CDN

Azure Content Delivery Network (Azure CDN) es una red distribuida que permite
la entrega más rápida de contenido web a los usuarios finales. Azure CDN almacena
contenido en caché en servidores perimetrales en varias ubicaciones (regiones de
Azure). Este contenido está disponible para los usuarios finales más rápidamente,
con una latencia de red mínima.
Preparación
Procedimiento
Para crear un nuevo perfil de Azure CDN, siga estos pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y, luego, CDN
en Networking (Redes) (o busque CDN en la barra de búsqueda).
2. En el panel nuevo, tenemos que proporcionar información para los campos Name
(Nombre), Subscription (Suscripción), Resource group (Grupo de recursos)
y Pricing tier (Plan de tarifa). Si decidimos proporcionar un punto de conexión
de CDN en este momento, necesitamos proporcionar detalles para CDN endpoint
name (Nombre del punto de conexión de CDN), Origin type (Tipo de origen)
y Origin hostname (Nombre de host de origen). La opción Origin hostname
(Nombre de host de origen) estará disponible en la lista desplegable, en función
de la opción Origin type (Tipo de origen) seleccionada:
Crear un perfil de Azure CDN | 255
Figura 13.15: Agregar detalles de perfil de Azure CDN

3. Ahora podemos crear un perfil de Azure CDN. Después de la implementación,
Azure CDN comienza a almacenar en caché el contenido del origen y podemos
usarlo de inmediato.
Funcionamiento
Azure CDN almacena el contenido de nuestra aplicación en servidores perimetrales.
Como estos servidores perimetrales se distribuyen en las regiones de Azure, tenemos
copias de contenido prácticamente en cada región del mundo. Luego, el contenido se
entrega a los usuarios finales desde la ubicación más cercana, lo que proporciona una
latencia de red mínima. Supongamos que una aplicación se hospeda en Europa occidental,
y un usuario se encuentra en la parte oeste de los Estados Unidos. El contenido, en este
caso, no se entregará desde la ubicación original, sino desde la ubicación más cercana al
usuario, en este caso, el Oeste de EE. UU. De esta manera, podemos asegurarnos de que
cada usuario tenga la mejor experiencia y entrega dondequiera que esté.
>
Índice
Acerca de
Todas las palabras clave importantes que se usan en este libro aparecen ordenadas
alfabéticamente en esta sección. Cada una va acompañada de los números de las páginas
donde aparecen.
196-197, 201, 203, 154, 163, 180, 201,
A 207, 210, 212, 214-216, 203-204, 208-209,
a petición: 136 218-219, 221-224, 218, 225, 227, 231, 236
acceso: 19, 24, 39, 226, 229-230, conmutación por error:
49, 55-56, 123-124, 244-249, 251, 253 202, 210, 244
136, 143, 145, 163, basado en DNS: 195 consola: 6, 34, 39, 44,
166, 170, 173, 190 basado en rol: 173 54, 76, 79, 112-113
acción: 36, 38, 48, 104, 241 base de datos: 124 consultas: 83
administración: 11, 22, bastion: 5, 145-151 contraseña: 19, 151
120-121, 123-124, bloqueado: 127, 138 control: 31-32, 45-46, 48,
136, 145, 150-151 108, 110, 140, 143, 152,
administrado: 110, 238 C 158, 173, 193, 211, 226
administrador: 91, 140, controlado: 124, 145
calificado: 84, 121, 196
195-198, 200-210, 244 cuenta: 115-116, 217
cambiar: 236
afinidad: 219, 224-226, 246
agente de escucha: 217,
Cancelar asignación: 57
centro de datos: 2,
D
226-227, 229, 241
6, 18-19, 23 dedicado: 23, 148, 193, 243
alias: 90
cerrado: 54 definido: 3, 7, 10-11, 13-14,
almacenamiento:
cifrado: 128, 139 20, 24, 27, 33, 88, 91, 96,
20, 115-116, 217
cinco tuplas: 188 100, 102, 116, 121, 158,
análisis: 116
cliente: 253 184, 197, 201, 221, 226
anidado: 199, 201
cliente: 91, 136, delegación: 8, 148
anulación: 219, 224-226
156-157, 188 denegado: 37, 42, 44, 143
anycast: 83
codificado: 132 desactivación: 190, 208
aplicar: 234
comando: 6-7, 11-12, 34, desactivar: 235
aprueba: 24
39, 44, 54, 76, 112-114 desasociar: 26, 29
asignación: 186-190, 211
comodín: 253 desasociar: 96, 99
asignación: 68, 192-193
compartido: 127, 138 descargar: 128-130,
asignar: 20, 40, 42,
compatible: 128-129, 136, 162
44, 55-57
201, 240 descripción general:
asociar: 33, 40-44, 46-48,
condiciones: 231, 239, 253 89, 128, 208
56, 69, 93-95, 121, 165,
conexión: 19, 53, 61, deshabilitar: 20, 58, 93,
182, 231, 240-241
74-78, 81, 102, 123-128, 123, 160, 207-208, 219,
auditoría: 114, 116
130, 133, 136-143, 225, 235-236, 238
automatizar: 6, 34, 54, 79
145-146, 150-153, 156, desplegable: 18, 56,
autónomo: 78, 154
158-160, 162-166, 88, 110, 134, 140,
B 170, 219, 224-226
configuración: 114
240-241, 254
destino: 169, 171, 178, 180,
back-end: 12, 44, 171, configurar: 20, 39, 47, 189, 199, 210, 215, 218,
175-176, 178, 180-184, 73-74, 93, 112, 121, 222-223, 226, 229
186-188, 190, 192-193, 128, 130, 133, 152, detección: 234, 238, 241
detectar: 184, 186, 234 eliminar: 93, 98, excluir: 16, 190, 234
diagnóstico: 107, 114-116 103-105, 207 expandir: 212
dinámico: 27, 54, 58-61, emparejamiento: explícitas: 175, 190
65-66, 79, 172, 176 124, 139-140, exportar: 131-133
dirección: 1, 3-4, 6-14, 16, 142-143, 151-152 expuesto: 123, 166
19-20, 24, 26-27, 45, 49, en caché: 254 extensión: 45, 107
51-66, 68-69, 71, 74, 76, encabezado: 201, 247 externo: 195, 199, 201
78, 80-81, 90-91, 94, encabezados: 201
100-103, 105, 109-112, enrutamiento: 6, 69, F
118-121, 128, 134, 145, 78, 83, 92, 165-166,
factor: 42, 65
148-151, 154, 156-157, 175, 196-197, 201,
fallar: 231
160-161, 166, 172, 176, 203-205, 212, 216-218,
falta: 79, 100, 216
178-180, 187-190, 220-221, 223, 227-229,
filtrado: 45, 121-122
192-193, 199, 209-211, 244-245, 250-253
firewall: 5, 70-71, 74, 76,
214, 227, 229, 234 entrada (de): 19, 35, 37,
80-81, 107-108, 110-114,
directiva: 116, 162, 39-40, 48-49, 54,
116, 118-122, 166, 212,
212, 236-241 108, 175, 188-190
231-234, 236, 246, 253
directo: 188, 197 entradas: 196
firmware: 129
dirigido: 91, 184, entrante: 31, 48, 107,
físico: 23, 243
196-197, 224, 226 186-187, 197, 201,
flotante: 187
dispositivo: 100-103, 211, 221, 226, 234
formato: 6, 8, 12, 100,
120, 163, 166 entrega: 243, 253-255
121, 132, 201
dispositivo: 78, 124, equilibrador: 37, 170-173,
forzada: 107, 110, 116, 120
128-130, 160-163 175-182, 184-191, 195,
forzar: 148
distribuir: 175, 195, 201, 209-212, 221, 244
front door: 253
197, 201, 203 errores: 217, 227
front-end: 5, 12, 49,
-dnsname: 131 escalado: 175, 203
172, 175-176, 178,
dominio: 83-85, 88, 91, estado incorrecto:
180, 184, 186-190,
121, 196, 226-227 185-186, 230-231
192-193, 197, 201, 208,
dominios: 83, 86, estado: 130, 139, 142,
210-212, 214, 217, 227
245, 250, 253 230, 233, 247
front-ends: 214,
dos tuplas: 188 estado: 171, 175,
216, 245, 250
drenaje: 219, 224-226 184-188, 190, 201,
fuera: 14, 102, 123
210, 230-231, 249
E estándar: 20, 54, 70, 78,
funciones: 130
económico: 139
111, 170-171, 173, 176,
178-179, 190, 232
G
editor: 135
estática: 27, 54, 56, gateway: 10-11, 73-81,
efecto: 113, 122, 201
58-60, 62, 111, 165-166, 92-93, 100, 102-103,
ejemplo: 129, 250, 252
172, 176, 253 117, 120, 125-128,
elementos: 26
etiquetas: 165 133-134, 136, 138-139,
eliminado: 193
excepción: 27, 114 143, 148, 154-155, 157,
160, 211-214, 220-224, interfaz: 17, 25-29, 31-32, mínimo: 254
226-228, 230-236, 42-44, 55, 57, 61, modificar: 73, 80-81
240-241, 244, 253 63, 65, 67, 151, 178 modificar: 80
gateways: 73, 125-126, intermedio: 178 momentos: 28-29, 33
136, 139, 143, 151, Internet: 2, 24, 37, 39-40,
221, 224, 228, 236 51, 100-102, 117-118, N
generación: 77 120, 166, 178, 180, 190
nativo: 173
generar: 116, 130 interno: 123, 175-179,
no detectado: 184
geográfico: 197, 205 181, 184, 186-188
nombre de usuario: 19, 151
global: 234, 238, 243-244 intervalo: 185-186,
nombres de host: 211-212
grupos: 25, 31, 45-47, 231, 249
nubes: 123
54, 107, 120-121 intervalos: 48, 121
gwipconfig: 79 ir a: 252
O
H K obligatorio: 20, 216
openvpn: 134
hacer cumplir: 110 -keylength: 130-131
operación: 211
híbrido: 19, 114, -keyspec: 130-131
operaciones: 80, 124, 223
123-124, 156 -keyusage: 131
optimizado: 211, 221
hospedado: 84-85, 91, 255
L optimizar: 212
I latencia: 197, 204, 250,
origen: 204-205, 254-255
origen: 36, 38, 45, 48,
implementado: 2, 6-7, 252, 254-255 172, 188, 190, 226
33-34, 71, 150 limita: 178
implícito: 187, 190 limitado: 193, 195, P
incompleto: 224 207, 209-210, 213
parámetros: 6-7, 11, 33,
indefinido: 14 lista blanca: 112
39, 45, 48, 53-54, 74,
independiente: 52, 87 -location: 6-7, 34, 40, 54,
76, 111, 234, 238
individual: 26, 121, 76, 79, 111, 114, 198
patrones: 250
170, 201, 236
inicial: 6, 13, 61 M perfil: 195-198, 201-202,
204-205, 207-208,
iniciar: 162
malintencionada: 234 243, 253-255
inicio: 64
máquina: 17-18, 31, 52, permiso: 136
inspección: 116
146, 150-151, 171, ponderado: 203, 247
inspeccionado: 120, 234
176, 189, 215, 222 potencial: 123
instalar: 6
master: 1, 32, 52, 74, PowerShell: 1, 6-7, 11-12,
instancia: 18-19, 108,
108, 124, 176, 196 32-34, 39-40, 44,
110, 112, 121, 146-147,
máximo: 116, 192, 209, 221 52, 54, 73-76, 79-80,
149-150, 190, 192-193,
métodos: 197, 201 107-108, 111-113,
213, 243-244,
migrado: 55 123-124, 130, 198
252-253, 255
migrar: 56 precompartida: 162
integrar: 87, 170
predefinido: 129, 134 184, 186, 195, 197-201, 201, 209, 244, 254-255
prefijo: 12, 52, 70-71, 76, 203-207, 210, 230-231, registrado: 84, 88
100-103, 118, 148 244, 248, 252, 254 registro: 59, 83-85, 87-92
premium: 20 reinicia: 59
prioridad: 36-39, 42, 44, R remoto: 123, 143
48, 112-113, 195, 197, repositorio: 129
recurso: 2, 6-7, 11, 18,
203-204, 239, 247 resolución: 83,
26-27, 33-34, 40, 45,
privado: 2, 11, 24, 26, 87-88, 91, 170
48, 51-62, 70, 74, 76-77,
51-52, 61-69, 71, 73, respuesta: 184, 239
84, 86, 88, 92-93, 110,
83, 85-88, 132, 139, restringido: 136, 173
116-117, 120-121, 127,
143, 145-146, 154, resultado: 7
138, 140, 149, 152, 154,
160, 166-173, 176, 178, retención: 115-116
160, 165-166, 169-170,
180, 201, 214, 227 rotación: 230
172, 176, 178-179, 196,
problemas: 59, 70, -route: 114
199, 209-210, 212-213,
105, 184, 234 routebased: 79
223, 236, 244-245, 254
procesamiento: 223 rutas: 91, 93, 100, 102,
red: 1-8, 10-14, 16-18,
proceso: 18, 24, 26-29, 104-105, 112, 116-117,
20-21, 24-29, 31-34,
34, 54, 79, 116, 136, 180, 120, 122, 165
37, 41-44, 51, 54-55,
200, 210, 221, 248
-protocol: 39-40, 112-113
57, 61, 63, 65, 67, 71,
73-81, 83, 86-88,
S
protocolo: 36, 38, 48,
91-96, 100, 102-103, salida (de): 35, 37-39,
74, 78, 93, 123, 127,
107-108, 110, 112, 114, 107-108, 110, 172,
160, 162, 184-189,
118, 120, 122-128, 130, 175, 187, 190-193
192, 211, 217, 219, 225,
133-134, 136, 138-140, saliente: 31
227, 231, 249-251
143, 145-152, 163-166, schildcert: 131
protocolos: 187, 202,
170-173, 176, 178-179, -scope: 6
211-212, 221, 227
182, 188-190, 197, 204, script: 7, 12, 34, 39-40, 54,
proveedor: 128-129, 160
213, 243, 254-255 79-80, 130, 198, 244
proveedor: 161
redes: 1-2, 17-20, 22, se espera: 229
proximidad: 23
25-29, 33, 45-46, segura: 2, 4, 123-124,
proyecto: 213
53, 70, 74, 77, 83-84, 128, 130, 136, 139,
público(a): 4, 19-20,
86, 92, 107, 110, 114, 145-146, 150, 166, 170
24, 26, 51-63, 65,
116, 120, 149, 152-153, seguridad: 5, 8, 20, 25-27,
67, 69-71, 74, 76, 78,
170-171, 176, 178, 196, 31-33, 35, 37-38,
80-81, 86, 101, 110-112,
213, 236, 243-244, 254 45-49, 54, 107, 123,
120, 123, 128, 135, 145,
redirigir: 217, 224 127, 146, 148, 173, 178,
149-151, 171, 175-176,
redundancia: 54 231, 234, 244, 253
178-181, 184, 186, 188,
reenvío: 188, 201, selector: 162
190-191, 197, 199, 201,
226, 229, 251 servidor: 18, 23, 36, 83,
209-210, 214, 227
reescribir: 251, 253 121-122, 136, 166, 171,
punto de conexión: 54-55,
regiones: 195, 197-198, 184, 186, 190, 211, 226
146, 166-170, 173, 175,
227, 236, 241, 254
servidores: 23, 26, 61,
83-84, 156-157, 169, 180,
T ver: 11, 16-17, 25-26, 55, 61
190, 211, 223, 254-255 tablas: 85, 91-92, 98, verificar: 136, 209
signature: 130-131 105, 113-114, 165 versión: 53-54, 70,
-signer: 131 tiempo de actividad: 78 129, 185, 187, 189
sin asignar: 56-58 tiempo de espera: 53, visibilidad: 77, 120-121
sin clases: 6 187, 189, 192, 231 vnetname: 111
sistema: 6, 78, 83, 114, 154 tolerancia: 252 volver a enrutar: 100
sobre la marcha: 226 tráfico: 31-32, 35-39, 42, -vpntype: 79
solicitudes: 175, 178, 180, 44-46, 48-49, 54, 73,
184, 188, 201, 210-212, 85, 91-92, 100-103, W
221, 224, 226-227, 107-108, 110, 112-114,
webappname: 198
229-230, 234, 241, 252 116, 120, 123, 139-140,
Windows: 18, 124
sondeos: 171, 175, 184-185, 143, 148, 162, 166, 175,
212, 219, 230, 249 178, 180, 184, 186-188,
sospechosas: 241 190, 195-198, 200-212,
srootcert: 130-131 221, 223-224, 227-228,
subdominio: 89, 91 234, 244, 253
subdominios: 84, 88 tunelización: 107,
-subject: 130-131 110, 116, 120
-subnetid: 79
subred: 1, 3-8, 10-12, U
14-16, 20-21, 26-27,
ubicación: 7, 36, 38, 53,
31-33, 40-42, 44-45,
74, 76, 111-114, 127,
48-49, 62, 64, 76-77,
133, 138, 152, 166, 195,
79-80, 83, 92-100, 102,
197-198, 204-205,
108-112, 116, 118-121, 128,
236, 243-244, 255
147-149, 151, 170, 172,
umbral: 185-186, 231, 252
176, 178-179, 197, 213
subredes: 1, 3, 5, 8, 11-12,
14, 16, 31, 40, 42, 49,
V
80-81, 91-97, 99-100, validar: 177, 180
108, 118, 121, 147, 176 valores: 3, 54, 68, 88,
superponerse: 8, 100, 109-110, 138
11-12, 16, 134 variables: 239
supervisado: 217, varios niveles: 178
227, 230-231 varios sitios: 227
supervisar: 110, 152, 184, varios: 11-12, 26, 28, 44, 52,
186, 188, 210, 230, 244 67, 69, 73, 80, 88, 91, 99,
supervisar: 227 105, 121, 143, 152-153,
175, 197, 201-203, 205,
209, 211-212, 221, 223,

Redes en Azure-Original

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Redes en Azure-Original

Cargado por

Copyright:

Formatos disponibles

Manual de redes

Tareas prácticas para la infraestructura de red segura,

Tareas prácticas para la infraestructura de red

Capítulo 1: Azure Virtual Network 1

Capítulo 2: Redes de máquinas virtuales 17

Requisitos técnicos ................................................................................................ 17

Requisitos técnicos ................................................................................................ 32

Capítulo 4: Administración de direcciones IP 51

Requisitos técnicos ................................................................................................ 52

Capítulo 5: Gateways de red local y virtual 73

Requisitos técnicos ................................................................................................ 74

Capítulo 6: DNS y enrutamiento 83

Requisitos técnicos ................................................................................................ 84

Requisitos técnicos .............................................................................................. 108

Capítulo 8: Creación de conexiones híbridas 123

Requisitos técnicos .............................................................................................. 124

Capítulo 9: Conexión de los recursos de forma segura 145

Requisitos técnicos .............................................................................................. 146

Capítulo 10: Equilibradores de carga 175

Requisitos técnicos .............................................................................................. 176

Capítulo 11: Traffic Manager 195

Requisitos técnicos .............................................................................................. 196

Requisitos técnicos .............................................................................................. 212

Capítulo 13: Azure Front Door y Azure CDN 243

Requisitos técnicos .............................................................................................. 243

Acerca del Manual de redes de Azure, segunda edición

Acerca del autor

Acerca de los revisores

Para sacar el máximo provecho de este libro

Recursos para descargar

Puede encontrar los ejemplos de código en https://github.com/PacktPublishing/

Crear una red virtual en Azure Portal

Figura 1.1: Crear una red virtual de Azure

2. En el siguiente panel, primero necesitamos definir el espacio de direcciones

Figura 1.2: Configurar un espacio de direcciones de red virtual y una subred

3. En el panel Add subnet (Agregar subred), tenemos que definir el nombre de la

Figura 1.3: Agregar una subred

4. Después de agregar la primera subred, en nuestro caso, FrontEnd, podemos

Figura 1.4: Agregar la subred FrontEnd

Figura 1.5: Alternar entre las opciones de seguridad

Crear una red virtual con PowerShell

El resultado será similar al que se muestra en la Figura 1.6:

Figura 1.6: Conectarse a una suscripción de Azure desde PowerShell

Debería recibir el siguiente resultado:

Figura 1.7: Implementar una red virtual de Azure con un script.

Agregar una subred en Azure Portal

Figura 1.8: Agregar el intervalo de direcciones

Figura 1.9: Agregar una subred de gateway para una red virtual

Figura 1.10: Ver subredes recién creadas en el panel de subredes

Agregar una subred con PowerShell

Aún hay más...

Cambiar el tamaño del espacio de direcciones

Figura 1.11: Cambiar el intervalo del espacio de direcciones

3. Después de ingresar el valor nuevo para el espacio de direcciones, haga clic en

Cambiar el tamaño de la subred

Figura 1.12: Cambiar el tamaño de la subred mediante Azure Portal

3. Después de ingresar un nuevo valor de intervalo de direcciones, haga clic en Save

Figura 1.13: Ver los cambios realizados en el intervalo de direcciones de subred

Crear máquinas virtuales Azure

Figura 2.1: Proporcionar información para los detalles de la instancia

4. A continuación, tenemos que seleccionar si queremos usar la instancia de Azure

Figura 2.2: Configurar la instancia de Azure Spot

Figura 2.3: Definir reglas de puerto de entrada

Capítulo 1: Azure Virtual Network   1

Capítulo 2: Redes de máquinas virtuales   17

Requisitos técnicos ................................................................................................  17

Requisitos técnicos ................................................................................................  32

Capítulo 4: Administración de direcciones IP   51

Requisitos técnicos ................................................................................................  52

Capítulo 5: Gateways de red local y virtual   73

Requisitos técnicos ................................................................................................  74

Capítulo 6: DNS y enrutamiento   83

Requisitos técnicos ................................................................................................  84

Requisitos técnicos ..............................................................................................  108

Capítulo 8: Creación de conexiones híbridas   123

Requisitos técnicos ..............................................................................................  124

Capítulo 9: Conexión de los recursos de forma segura   145

Requisitos técnicos ..............................................................................................  146

Capítulo 10: Equilibradores de carga   175

Requisitos técnicos ..............................................................................................  176

Capítulo 11: Traffic Manager   195

Requisitos técnicos ..............................................................................................  196

Requisitos técnicos ..............................................................................................  212

Capítulo 13: Azure Front Door y Azure CDN   243

Requisitos técnicos ..............................................................................................  243