Documentos de Académico
Documentos de Profesional
Documentos de Cultura
de Azure
Segunda edición
Mustafa Toroman
Manual de redes
de Azure
Segunda edición
Mustafa Toroman
Manual de redes de Azure, segunda edición
Copyright © 2020 Packt Publishing
Todos los derechos reservados. No está permitida la reproducción, el almacenamiento
en un sistema de recuperación ni la transmisión en cualquier formato o por cualquier
medio de cualquier parte de este libro sin la autorización previa y por escrito del editor,
salvo en el caso de citas breves introducidas en artículos o revistas de opinión crítica.
Durante la preparación de este libro, se hizo todo lo posible por asegurar la exactitud de
la información presentada. Sin embargo, los datos que contiene este libro se venden sin
garantía, ya sea expresa o implícita. Ni el autor, ni Packt Publishing, sus concesionarios
y distribuidores, se considerarán responsables de cualquier daño causado o
presuntamente causado de manera directa o indirecta por el contenido de este libro.
PACKT Publishing intentó proporcionar información de marca de todas las empresas y
los productos mencionados en este libro mediante el uso adecuado de mayúsculas. Sin
embargo, Packt Publishing no garantiza la exactitud de esta información.
Autor: Mustafa Toroman
Revisores técnicos: Kapil Bansal, Rithin Skaria
Jefes de redacción: Mamta Yadav, Siddhant Jain
Editores de adquisiciones: Ben Renow-Clarke y Divya Mudaliar
Editor de producción: Deepak Chavan
Consejo editorial: Alex Patterson, Arijit Sarkar, Ben Renow-Clarke, Dominic Shakeshaft,
Edward Doxey, Joanne Lovell y Vishal Bodwani
Primera publicación: marzo de 2019
Segunda publicación: octubre de 2020
Referencia de producción: 1281020
ISBN: 978-1-80056-375-9
Publicado por Packt Publishing Ltd.
Livery Place, 35 Livery Street
Birmingham B3 2PB, Reino Unido.
Tabla de contenido
Prólogo i
Requisitos técnicos .................................................................................................. 1
Crear una red virtual en Azure Portal ................................................................... 2
Preparación ..................................................................................................................... 2
Procedimiento ................................................................................................................. 2
Funcionamiento .............................................................................................................. 6
Crear una red virtual con PowerShell ................................................................... 6
Preparación ..................................................................................................................... 6
Procedimiento ................................................................................................................. 7
Funcionamiento .............................................................................................................. 7
Agregar una subred en Azure Portal ..................................................................... 8
Preparación ..................................................................................................................... 8
Procedimiento ................................................................................................................. 8
Funcionamiento ............................................................................................................ 11
Agregar una subred con PowerShell ................................................................... 11
Preparación ................................................................................................................... 11
Procedimiento ............................................................................................................... 12
Funcionamiento ............................................................................................................ 12
Aún hay más... ............................................................................................................... 12
Cambiar el tamaño del espacio de direcciones ................................................. 13
Preparación ................................................................................................................... 13
Procedimiento ............................................................................................................... 13
Funcionamiento ............................................................................................................ 14
Cambiar el tamaño de la subred ......................................................................... 14
Preparación ................................................................................................................... 14
Procedimiento ............................................................................................................... 14
Funcionamiento ............................................................................................................ 16
Índice 257
Prólogo
>
Acerca de
En esta sección, se presenta brevemente al autor y a los revisores técnicos, el alcance de este
manual, las aptitudes técnicas que necesitará para empezar y el hardware y software requeridos
para completar todas las tareas incluidas.
ii | Prólogo
Objetivos de aprendizaje
Al final de este manual, podrá realizar las siguientes tareas:
• Crear servicios de red de Azure.
• Crear y trabajar en conexiones híbridas.
• Configurar y administrar servicios de red de Azure.
• Diseñar soluciones de redes de alta disponibilidad en Azure.
• Supervisar y solucionar los recursos de red de Azure.
• Usar diferentes métodos para conectar las redes locales a las redes virtuales de
Azure.
• Usar diferentes métodos para proteger las redes.
iv | Prólogo
Público
Este manual está dirigido a arquitectos de nube, proveedores de soluciones en la nube
o cualquier parte interesada que se ocupe de las redes en Azure. Sería conveniente
conocer los aspectos básicos de Azure.
Enfoque
El Manual de redes de Azure, segunda edición, logra una combinación ideal de teoría y
capacitación práctica que lo ayudarán a prepararse para los desafíos de conectividad
del mundo real que enfrentan las empresas.
Requisitos de hardware
Azure Portal es una consola basada en Web que se ejecuta en todos los exploradores
modernos para equipos de escritorio, tabletas y dispositivos móviles. Para usar Azure
Portal, debe tener habilitado JavaScript en su navegador.
Requisitos de software
Le recomendamos que utilice el explorador más actualizado que sea compatible con su
sistema operativo. Se admiten los siguientes exploradores:
• Microsoft Edge (la versión más reciente)
• Internet Explorer 11
• Safari (la versión más reciente, solo Mac)
• Chrome (la versión más reciente)
• Firefox (la versión más reciente)
Convenciones | v
Convenciones
Las palabras de código en el texto, los nombres de carpetas, los nombres de archivos,
las extensiones de archivos, los nombres de ruta, las direcciones URL ficticias y las
entrada del usuario se muestran de la siguiente forma:
“Además, podemos usar modificadores adicionales, como -SKU para seleccionar Basic
o Standard, -IPAddressVersion para elegir entre IPv4 e IPv6, y -DomainNamelabel para
especificar la etiqueta DNS”.
Un bloque de código se establece de la siguiente manera:
$VirtualNetwork = Get-AzVirtualNetwork -Name 'Packt-Script' '
-ResourceGroupName 'Packt-Networking-Script'
Add-AzVirtualNetworkSubnetConfig -Name BackEnd '
-AddressPrefix 10.11.1.0/24 '
-VirtualNetwork $VirtualNetwork
$VirtualNetwork | Set-AzVirtualNetwork
Requisitos técnicos
Para este capítulo, se necesita lo siguiente:
• Una suscripción a Azure
• Azure PowerShell
Preparación
Antes de comenzar, abra un explorador web y vaya a Azure Portal
en https://portal.azure.com.
Procedimiento
Para crear una nueva red virtual con Azure Portal, realice estos pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y, luego,
Virtual network (Red virtual) en Networking (Redes) (o busque virtual network
[red virtual] en la barra de búsqueda). Se abrirá un nuevo panel, donde se tiene
que proporcionar información para la red virtual. En primer lugar, seleccione la
opción de suscripción (Subscription) que desea utilizar y la opción de grupo de
recursos (Resource group) para el lugar en que se implementará la red virtual.
A continuación, incluya un nombre y seleccione una región (del centro de datos
de Azure) para el lugar en que se implementará la red virtual. En la Figura 1.1,
se muestra un ejemplo:
Funcionamiento
Las redes virtuales se implementan en Resource group (Grupo de recursos) en
Subscription (Suscripción) en el centro de datos de Azure que seleccionamos.
Los parámetros Region (Región) y Subscription (Suscripción) son importantes.
Solo podremos conectar recursos de Azure a esta red virtual si están en la misma
suscripción y región que el centro de datos de Azure. La opción de espacio de
direcciones define el número de direcciones IP que estarán disponibles para nuestra
red. Utiliza el formato de Enrutamiento de interdominios sin clases (CIDR) y el rango
más grande que podemos elegir es /8. En el portal, necesitamos crear una subred
inicial y definir el intervalo de direcciones de subred. La subred más pequeña que se
permite es /29 y la más grande es /8 (sin embargo, este valor no puede ser mayor que
el intervalo de red virtual). Como referencia, el intervalo 10.0.0.0/8 (en formato CIDR)
creará un intervalo de direcciones de 167772115 direcciones IP (desde 10.0.0.0 hasta
10.255.255.255) y 10.0.0.0/29 creará un intervalo de 8 direcciones IP (desde 10.0.0.0
hasta 10.0.0.7).
Preparación
Antes de comenzar, necesitamos asegurarnos de que tenemos instalados los módulos
Az más recientes. Para instalar módulos Az, es necesario ejecutar este comando en la
consola de PowerShell:
Install-Module -Name Az -AllowClobber -Scope CurrentUser
Para obtener más información, puede visitar https://docs.microsoft.com/powershell/
azure/install-az-ps?view=azps-4.5.0.
Antes de empezar, necesitamos conectarnos a la suscripción de Azure desde una
consola de PowerShell. Este es el comando para hacerlo:
Connect-AzAccountAzAccount
Este abrirá una ventana emergente donde tenemos que ingresar las credenciales para la
suscripción de Azure.
Después, tenemos que crear un grupo de recursos donde se implementará nuestra red
virtual:
New-AzResourceGroup -name 'Packt-Networking-Script' -Location 'westeurope'
Crear una red virtual con PowerShell | 7
Procedimiento
La implementación de una red virtual de Azure se realiza en un único script.
Necesitamos definir los parámetros para el nombre, el grupo de recursos, la ubicación
y el intervalo de direcciones. A continuación, se presenta un script de ejemplo:
New-AzVirtualNetwork -ResourceGroupName 'Packt-Networking-Script' -Location
'westeurope' -Name 'Packt-Script' -AddressPrefix 10.11.0.0/16
Funcionamiento
La diferencia entre implementar una red virtual desde el portal y usar PowerShell es
que no es necesario definir ninguna subred en PowerShell. La subred se implementa
en un comando independiente, que se puede ejecutar cuando se implementa una red
virtual o más adelante. Analizaremos este comando en la tarea Agregar una subred con
PowerShell más adelante en este capítulo.
8 | Azure Virtual Network
Preparación
Antes de comenzar, abra un explorador web y vaya a Azure Portal en https://portal.
azure.com. Una vez allí, busque la red virtual creada previamente.
Procedimiento
Para agregar una subred a una red virtual mediante Azure Portal, se deben realizar
estos pasos:
1. En el panel Virtual network (Red virtual), vaya a la sección Subnets (Subredes).
2. Seleccione la opción Add subnet (Agregar subred).
3. Se abrirá un panel nuevo. Es necesario proporcionar información para la subred,
incluido el valor de Name (Nombre) y el valor de Address range (Intervalo de
direcciones) en formato CIDR. El valor de Address range (Intervalo de direcciones)
debe estar en el límite del intervalo de direcciones de la red virtual y no puede
superponerse con el intervalo de direcciones de otras subredes de la red virtual.
Opcionalmente, podemos agregar información para las opciones Network
security group (Grupo de seguridad de red), Route table (Tabla de rutas), Service
endpoints (Puntos de conexión de servicio) y Subnet delegation (Delegación de
subred). Estas opciones se tratarán en tareas posteriores:
Agregar una subred en Azure Portal | 9
4. También podemos agregar una subred de gateway en el mismo panel. Para agregar
una subred de gateway, seleccione la opción Gateway subnet (Subred de gateway).
En el caso de la red de gateway, el único parámetro que necesitamos definir es
Address range (Intervalo de direcciones). Se aplican las mismas reglas que para
agregar una subred normal. Esta vez, no tenemos que proporcionar un nombre,
porque ya está definido. Solo puede agregar una subred de gateway por red
virtual. No se permiten puntos de conexión de servicio en la subred de gateway:
5. Después de que se agregan las subredes, podemos ver las subredes recién creadas
en el panel Subnets (Subredes) en la red virtual:
Funcionamiento
Una sola red virtual puede tener varias subredes definidas. Las subredes no se pueden
superponer y deben estar dentro del intervalo de direcciones de la red virtual. Para
cada subred, se guardan cuatro direcciones IP exclusivamente para la administración de
Azure. Según la configuración de red, podemos definir las reglas de comunicación entre
las subredes de la red virtual. Una subred de gateway se utiliza para las conexiones de
Red privada virtual (VPN). Esto se abordará más adelante en el manual.
Ahora, aprenderemos a agregar una subred con PowerShell.
Preparación
Antes de crear una subred, necesitamos recopilar información sobre la red virtual a
la que se asociará la nueva subred. Los parámetros que se deben proporcionar son el
nombre de la red virtual y el grupo de recursos en el que se encuentra esa red:
$VirtualNetwork = Get-AzVirtualNetwork -Name 'Packt-Script'
-ResourceGroupName 'Packt-Networking-Script'
12 | Azure Virtual Network
Procedimiento
1. Para agregar una subred a la red virtual mediante PowerShell, es necesario
ejecutar un comando y proporcionar el nombre y el prefijo de dirección. El prefijo
de dirección también está en formato CIDR:
Add-AzVirtualNetworkSubnetConfig -Name FrontEnd -AddressPrefix 10.11.0.0/24
-VirtualNetwork $VirtualNetwork
2. Es necesario confirmar estos cambios mediante la ejecución del siguiente
comando:
$VirtualNetwork | Set-AzVirtualNetwork
3. Para agregar una subred adicional tenemos que ejecutar todos los comandos en un
solo paso, de la siguiente manera:
$VirtualNetwork = Get-AzVirtualNetwork -Name 'Packt-Script'
-ResourceGroupName 'Packt-Networking-Script'
Add-AzVirtualNetworkSubnetConfig -Name BackEnd -AddressPrefix 10.11.1.0/24
-VirtualNetwork $VirtualNetwork
$VirtualNetwork | Set-AzVirtualNetwork
Funcionamiento
La subred se crea y se agrega a la red virtual, pero necesitamos confirmar los cambios
antes de que puedan entrar en vigencia. Cuando se trata del tamaño, se aplican también
todas las reglas para crear o agregar una subred mediante Azure Portal. La subred debe
estar dentro del espacio de direcciones de la red virtual y no puede superponerse con
otras subredes de la red virtual. La subred más pequeña que se permite es /29 y la más
grande es /8, siempre y cuando el valor esté dentro del espacio de direcciones de la red
virtual. Por ejemplo, si está creando una red /16, el valor más grande para la subred será
solo /16, puesto que no podemos incluir una subred /8 en un espacio de direcciones /16.
Preparación
Antes de comenzar, abra un explorador web y vaya a Azure Portal en
https://portal.azure.com.
Procedimiento
Para cambiar el tamaño del espacio de direcciones de una red virtual mediante Azure
Portal, se deben seguir estos pasos:
1. En el panel Virtual network (Red virtual), busque Address space (Espacio de
direcciones) en Settings (Configuración).
2. A continuación, haga clic en Address space (Espacio de direcciones) y cambie el
valor al intervalo deseado. En la Figura 1.11, se muestra un ejemplo:
Funcionamiento
Aunque puede cambiar el espacio de direcciones en cualquier momento, hay algunas
reglas que determinan lo que puede y no puede hacer. El espacio de direcciones no se
puede reducir si tiene subredes definidas en el espacio de direcciones que no estarían
cubiertas por el nuevo espacio de direcciones. Por ejemplo, si el espacio de direcciones
estuviera en el intervalo de 10.0.0.0/16, abarcaría direcciones desde 10.0.0.1 hasta
10.0.255.254. Si una de las subredes se definió como 10.0.255.0/24, no podríamos
cambiar la red virtual a 10.0.0.0/17, puesto que esto dejaría a la subred fuera del
espacio nuevo.
El espacio de direcciones no se puede cambiar a un espacio de direcciones nuevo
si tiene subredes definidas. Para cambiar completamente el espacio de direcciones,
primero es necesario que quite todas las subredes. Por ejemplo, si tuviéramos el espacio
de direcciones definido como 10.0.0.0/16, no podríamos cambiarlo a 10.1.0.0/16,
puesto que tener subredes en el espacio antiguo las dejaría en un intervalo de
direcciones indefinido.
Veamos cómo cambiar el tamaño de las subredes recién creadas.
Preparación
Antes de comenzar, abra un explorador web y vaya a Azure Portal en
https://portal.azure.com.
Procedimiento
Para cambiar el tamaño de la subred con Azure Portal, se deben realizar estos pasos:
1. En el panel Virtual network (Red virtual), seleccione la opción Subnets (Subredes).
2. Seleccione la subred que desea cambiar. En la opción Subnets (Subredes), ingrese
un nuevo valor para el tamaño de la subred en Address range (Intervalo de
direcciones). En la Figura 1.12, se muestra un ejemplo de cómo hacerlo:
Cambiar el tamaño de la subred | 15
Funcionamiento
Cuando se cambia el tamaño de la subred, se deben seguir algunas reglas. No se
puede cambiar el espacio de direcciones si no está dentro del intervalo del espacio de
direcciones de la red virtual y el intervalo de la subred no se puede superponer con
otras subredes de una red virtual. Si los dispositivos están asignados a esta subred, no
se puede cambiar la subred para excluir las direcciones a las que ya están asignados
estos dispositivos.
2
Redes de máquinas
virtuales
En este capítulo, trataremos las Máquinas Virtuales (VM) Azure y la interfaz de red
(NIC) que se usa como una interconexión entre VM de Azure y Azure Virtual Network.
En este capítulo, trataremos las siguientes tareas:
• Crear máquinas virtuales Azure
• Ver la configuración de red de la VM
• Crear una NIC nueva
• Asociar una NIC a una VM
• Desasociar una NIC de una VM
Requisitos técnicos
Para este capítulo, se necesita lo siguiente:
• Una suscripción a Azure
18 | Redes de máquinas virtuales
Preparación
Antes de comenzar, abra un explorador web y vaya a Azure Portal en
https://portal.azure.com.
Procedimiento
Para crear una nueva VM con Azure Portal, se tienen que seguir estos pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y elija la VM
Windows Server 2016 Datacenter (o busque image [imagen] para buscar una
imagen de VM en la barra de búsqueda de Search the Marketplace [Buscar en el
Marketplace]).
2. En el panel Create a virtual machine (Crear una máquina virtual), necesitamos
proporcionar información para varias opciones. No todas están relacionadas
con las redes. En primer lugar, necesitamos proporcionar información sobre la
suscripción (Subscription) de Azure y el grupo de recursos (Resource group)
(crear un grupo de recursos nuevo o proporcionar uno existente).
3. En Instance details (Detalles de la instancia), se debe proporcionar información
para los campos Virtual machine name (Nombre de máquina virtual), Region
(Región), Availability options (Opciones de disponibilidad) e Image (Imagen)
(para el campo Image, deje el valor predeterminado o cambie la imagen por una
distinta del menú desplegable). En la Figura 2.1, se muestran algunos ejemplos de
configuración:
6. En la siguiente sección, tenemos que definir los discos. Se puede elegir entre
Premium SSD (SSD Premium), Standard SSD (SSD estándar) y Standard HDD
(HDD estándar). Se requiere un disco de SO y debe definirse. Podemos conectar
discos de datos adicionales según sea necesario. Los discos también se pueden
agregar más adelante. La opción de cifrado predeterminada es usar claves
administradas por la plataforma, pero podemos seleccionar claves administradas
por el cliente si es necesario. En la Figura 2.4, se muestra un ejemplo de
configuración de disco con solo el disco del sistema operativo:
Funcionamiento
Cuando se crea una VM, se crea una NIC en el proceso. Una NIC se utiliza como una
especie de interconexión entre la VM y la red virtual. La red asigna una dirección
IP privada a la NIC. Como una NIC está asociada a la VM y a la red virtual, la VM usa
la dirección IP. Con esta dirección IP, la VM puede comunicarse a través de una red
privada con otras VM (u otros recursos de Azure) en la misma red. Además, también se
pueden asignar direcciones IP públicas a las NIC y las VM. Se puede usar una dirección
pública para comunicarse con la VM a través de Internet, ya sea para acceder a los
servicios o para administrar la VM.
Ahora que creamos una VM de Azure y una configuración de red definida, en la
siguiente sección, veremos cómo revisar esta configuración de red.
Ver la configuración de red de la VM | 25
Preparación
Antes de comenzar, abra un explorador web y vaya a Azure Portal en https://portal.
azure.com. Aquí, busque la VM creada anteriormente.
Procedimiento
Para revisar la configuración de red de la VM, se deben seguir los pasos que se indican
a continuación:
1. En el panel de la VM, busque la configuración Networking (Redes). Aquí puede
ver la interfaz de red (Network interface), los grupos de seguridad de aplicación
(Application security groups) y el grupo de seguridad de red (Network security
group) asociados con la VM. En la Figura 2.11, se muestra un ejemplo de esto:
Funcionamiento
La información de red se muestra en varios lugares, incluida la configuración de red
de la VM. Además, cada recurso de Azure tiene un panel independiente y existe como
un recurso individual, por lo que podemos ver esta configuración en varios lugares.
Sin embargo, la imagen más completa de la configuración de red de la VM se puede
encontrar en el panel de la VM y el de la NIC.
Preparación
Antes de comenzar, abra un explorador web y vaya a Azure Portal en https://portal.
azure.com.
Crear una NIC nueva | 27
Procedimiento
Para crear una nueva NIC con Azure Portal, se tienen que seguir estos pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y, luego,
Network interface (Interfaz de red) en los servicios de Networking (Red) (o
busque network interface [interfaz de red] en la barra de búsqueda).
2. En el panel de creación, se tiene que proporcionar información para los campos
Name (Nombre) y Virtual network (Red virtual), además de indicar la subred con
la que se asociará la NIC. Otra información que se debe proporcionar incluye el
tipo de asignación de la dirección IP (Dynamic [Dinámica] o Static [Estática]),
ya sea que queramos que la NIC se asocie con un tipo de grupo de seguridad de
red (Network security group) y que queramos usar IPv6. Todos los recursos de
Azure requieren información sobre la suscripción (Subscription), el grupo de
recursos (Resource group) y la región (Region), y las NIC no son la excepción. En
la Figura 2.13, se muestra la información necesaria para crear una NIC nueva:
Funcionamiento
Una NIC no puede existir sin una asociación de red, y esta asociación debe asignarse
a una red virtual y a una subred. Esto se define durante el proceso de creación y no se
puede cambiar más adelante. Por otro lado, la asociación con una VM se puede cambiar
y la NIC se puede conectar o desconectar de una VM en cualquier momento.
28 | Redes de máquinas virtuales
Preparación
Antes de comenzar, abra un explorador web y vaya a Azure Portal en https://portal.
azure.com. Aquí, busque la VM que creamos antes en este capítulo.
Procedimiento
Para asociar una NIC a una VM, siga estos pasos:
1. En el panel de la VM, asegúrese de que la VM esté detenida (es decir, desasignada).
2. Busque la configuración Networking (Redes) en el panel de la VM.
3. En la parte superior de la pantalla de configuración Networking (Redes) del panel
de la VM, seleccione la opción Attach network interface (Asociar interfaz de red).
4. Aparecerá una nueva opción que le permitirá crear una nueva NIC o seleccionar
una NIC ya existente que no esté asociada a la VM.
5. Haga clic en OK (Aceptar) y, en unos minutos, el proceso finalizará y la NIC estará
asociada a la VM. En la Figura 2.14, se muestra un ejemplo de esto:
Funcionamiento
Cada VM puede tener varias NIC. El número de NIC que se pueden asociar a una VM
depende del tipo y el tamaño de la VM. Para asociar una NIC a una VM, la VM debe
detenerse (es decir, desasignarse). No se puede agregar una NIC adicional a una VM en
ejecución.
Desasociar una NIC de una VM | 29
Preparación
Antes de comenzar, abra un explorador web y vaya a Azure Portal en https://portal.
azure.com. Aquí, busque la VM creada anteriormente.
Procedimiento
Para desasociar una NIC de una VM, siga estos pasos:
1. En el panel de la VM, asegúrese de que la VM esté detenida (es decir, desasignada).
2. Busque la configuración Networking (Redes) en el panel de la VM.
3. En la parte superior de la pantalla de configuración Networking (Redes) del
panel de la VM, seleccione la opción Detach network interface (Desasociar
la interfaz de red).
4. Seleccione la NIC que desea desasociar de la VM.
5. Haga clic en OK (Aceptar) y, en unos minutos, el proceso finalizará y la NIC estará
eliminada de la VM. En la Figura 2.15, se muestra un ejemplo de esto:
Funcionamiento
Para desasociar una NIC, la VM asociada a la NIC debe detenerse (es decir,
desasignarse). Al menos una NIC debe estar asociada con la VM; por lo que no puede
eliminar la última NIC de una VM. Todas las asociaciones de red permanecen con la
NIC. Estas se asignan a la NIC y no a la VM.
3
Grupos de seguridad
de red
Los Grupos de seguridad de red (NSG) son herramientas integradas para el control de
red y nos permiten controlar el tráfico entrante y saliente en una interfaz de red o en el
nivel de subred. Estos contienen conjuntos de reglas que permiten o deniegan el tráfico
específico a recursos o subredes específicos de Azure. Un NSG puede asociarse con una
subred (mediante la aplicación de reglas de seguridad a todos los recursos asociados
con la subred) o con una tarjeta de interfaz de red (NIC), lo que se realiza mediante la
aplicación de reglas de seguridad a la máquina virtual (VM) asociada a la NIC.
32 | Grupos de seguridad de red
Requisitos técnicos
Para este capítulo, se necesita lo siguiente:
• Una suscripción a Azure
• Azure PowerShell
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en
https://portal.azure.com.
Crear un NSG nuevo en Azure Portal | 33
Procedimiento
Para crear un NSG nuevo con Azure Portal, debe seguir estos pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y, luego,
Network security group (Grupo de seguridad de red) en Networking (Redes)
(o busque network security group [grupo de seguridad de red] en la barra de
búsqueda).
2. Los parámetros que necesitamos definir para la implementación son Subscription
(Suscripción), Resource group (Grupo de recursos), Name (Nombre) y Region
(Región). En la Figura 3.1, se muestra un ejemplo de los parámetros requeridos:
Una vez que la implementación se haya validado y comenzado (tarda unos minutos en
completarse), el NSG está listo para su uso.
Funcionamiento
La implementación del NSG se puede iniciar durante la implementación de una VM.
Esto asociará el NSG con la NIC asociada a la VM implementada. En este caso, el NSG
ya está asociado con el recurso y las reglas definidas en el NSG se aplicarán solo a la VM
asociada.
Si el NSG se implementa por separado, como se ve en esta tarea, no se asociará y las
reglas que se crean en él no se aplicarán hasta que se cree una asociación con la NIC o
la subred. Cuando se asocian con una subred, las reglas del NSG se aplican a todos los
recursos en la subred.
Pasemos a la siguiente tarea para comprender cómo crear un nuevo NSG mediante
PowerShell.
34 | Grupos de seguridad de red
Preparación
Abra la consola de PowerShell y asegúrese de que está conectado a su suscripción de
Azure. Consulte el Capítulo 1, Azure Virtual Network, para repasar cómo hacer esto.
Procedimiento
Para implementar un nuevo NSG, ejecute el siguiente comando:
New-AzNetworkSecurityGroup -Name "nsg1" -ResourceGroupName "Packt-Networking-
Script" -Location "westeurope"
Funcionamiento
El script utiliza el grupo de recursos (RG) que se implementó en el Capítulo 1, Azure
Virtual Network (usaremos el mismo RG para todas las implementaciones). De lo
contrario, es necesario implementar un nuevo grupo de recursos antes de ejecutar
el script. El resultado final será el mismo que crear un NSG nuevo con Azure Portal:
se creará un NSG nuevo con reglas predeterminadas. Una ventaja de usar PowerShell
es que podemos agregar reglas adicionales durante la implementación, que ayudarán
a automatizar el proceso. Verá un ejemplo de esto en la tarea Crear una nueva regla
de NSG con PowerShell más adelante en este capítulo.
En esta tarea, aprendió a crear un NSG nuevo con PowerShell. Pasemos a la siguiente
tarea para aprender cómo agregar reglas de permiso en NSG mediante Azure Portal.
Crear una nueva regla de permiso en un NSG | 35
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en https://portal.azure.
com. Busque el NSG creado anteriormente.
Procedimiento
Para crear una nueva regla de permiso del NSG con Azure Portal, debe seguir estos
pasos:
1. En el panel NSG, busque la opción Inbound security rules (Reglas de seguridad de
entrada) en Settings (Configuración).
2. Haga clic en el botón Add (Agregar) en la parte superior de la página y espere a
que se abra el panel nuevo:
Figura 3.2: Crear una regla de permiso nueva de NSG con Azure Portal
36 | Grupos de seguridad de red
3. En el panel nuevo, tenemos que proporcionar información para los campos Source
(Origen) (ubicación e intervalo de puerto), Destination (Destino) (ubicación e
intervalo de puerto), Protocol (Protocolo), Action (Acción), Priority (Prioridad),
Name (Nombre) y Description (Descripción). Si desea permitir el tráfico, asegúrese
de seleccionar Allow (Permitir) para el campo Action (Acción). Se muestra un
ejemplo de cómo crear una regla para permitir el tráfico a través del puerto 443 (lo
que permite el tráfico al servidor web) en la Figura 3.3:
Funcionamiento
De forma predeterminada, se permite todo el tráfico proveniente de Azure Load
Balancer o de Azure Virtual Network. Se deniega todo el tráfico proveniente de Internet.
Para cambiar esto, necesitamos crear reglas adicionales. Asegúrese de establecer la
prioridad correcta cuando cree las reglas. Las reglas con mayor prioridad (es decir, las
que tienen el número más bajo) se procesan primero, por lo que, si tiene dos reglas, una
que deniega el tráfico y otra que lo permite, la regla que tenga mayor prioridad tendrá
precedencia, en tanto que la con prioridad más baja no se tendrá en cuenta.
En esta tarea, aprenderá cómo crear una regla nueva para permitir el tráfico entrante. En
la siguiente tarea, aprenderá a crear una nueva regla en el NSG para denegar el tráfico.
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en https://portal.azure.
com. Busque el NSG creado anteriormente.
Procedimiento
Para crear una nueva regla de denegación de NSG con Azure Portal, debe seguir estos
pasos:
1. En el panel de NSG, busque la opción Outbound security rules (Reglas de
seguridad de salida) en Settings (Configuración).
2. Haga clic en el botón Add (Agregar) en la parte superior de la página y espere a
que se abra el panel nuevo:
Figura 3.4: Crear una nueva regla de denegación de NSG con Azure Portal
38 | Grupos de seguridad de red
3. En el panel nuevo, tenemos que proporcionar información para los campos Source
(Origen) (ubicación e intervalo de puerto), Destination (Destino) (ubicación e
intervalo de puerto), Protocol (Protocolo), Action (Acción), Priority (Prioridad),
Name (Nombre) y Description (Descripción). Si desea denegar el tráfico, asegúrese
de seleccionar Deny (Denegar) para el campo Action (Acción). Un ejemplo de cómo
crear una regla para denegar el tráfico a través del puerto 22 se muestra en la
Figura 3.5:
Funcionamiento
Todo el tráfico saliente se permite de forma predeterminada, independientemente de
adónde vaya. Si queremos denegar explícitamente el tráfico en un puerto específico,
tenemos que crear una regla para hacerlo. Asegúrese de establecer la prioridad correcta
cuando cree las reglas. Las reglas con mayor prioridad (aquellas con los números más
bajos) se procesan primero, por lo que, si tiene dos reglas, una que deniega el tráfico y
otra que lo permite, se aplicará la que tenga mayor prioridad.
Pasemos a la siguiente tarea, donde aprenderá a crear una regla de NSG mediante
PowerShell.
Preparación
Abra la consola de PowerShell y asegúrese de que está conectado a su suscripción de
Azure.
Procedimiento
Para crear una nueva regla de NSG, ejecute el siguiente comando:
$nsg = Get-AzNetworkSecurityGroup -Name 'nsg1' -ResourceGroupName 'Packt-
Networking-Script'
$nsg | Add-AzNetworkSecurityRuleConfig -Name 'Allow_HTTPS' -Description
'Allow_HTTPS' -Access Allow -Protocol Tcp -Direction Inbound -Priority 100
-SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix *
-DestinationPortRange 443 | Set-AzNetworkSecurityGroup
Funcionamiento
Con un script, crear una regla de NSG es solo una cuestión de parámetros. El parámetro
Access (Acceso), que puede ser Allow (Permitir) o Deny (Denegar), determinará si
queremos permitir el tráfico o denegarlo. El parámetro Direction (Dirección), que puede
ser Inbound (Entrante) o Outbound (Saliente), determina si la regla es para tráfico entrante
o saliente. Todos los demás parámetros son iguales, independientemente del tipo de
regla que queramos crear. Una vez más, la prioridad juega un papel muy importante,
por lo que debemos asegurarnos de elegirla correctamente.
40 | Grupos de seguridad de red
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en https://portal.azure.
com. Busque el NSG creado anteriormente.
Procedimiento
Para asignar un NSG a una subred, siga estos pasos:
1. En el panel del NSG, busque la opción Subnets (Subredes) en Settings
(Configuración).
2. Haga clic en el botón Associate (Asociar) en la parte superior de la página y espere
a que se abra el panel nuevo:
Asignar un NSG a una subred | 41
3. En el panel nuevo, seleccione primero la red virtual que contiene la subred con la
que desea asociar el NSG y, a continuación, seleccione la subred, como se ve en la
Figura 3.7:
Funcionamiento
Cuando un NSG se asocia con una subred, las reglas en el NSG se aplicarán a todos los
recursos de la subred. Tenga en cuenta que la subred se puede asociar con más de un
NSG y las reglas de todos los NSG se aplicarán en ese caso. La prioridad es el factor
más importante cuando se examina un solo NSG, pero cuando se cumplen las reglas de
más de un NSG, prevalece la regla Deny (Denegar). Por lo tanto, si tenemos dos NSG en
una subred, una con la regla Allow (Permitir) en el puerto 443 y la otra con la regla Deny
(Denegar) en el mismo puerto, se denegará el tráfico en este puerto.
Pasemos a la siguiente tarea en la que aprenderemos a asignar un NSG a una interfaz
de red.
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en https://portal.azure.
com. Busque el NSG creado anteriormente.
Procedimiento
Para asignar un NSG a una interfaz de red, siga estos pasos:
Asignar un NSG a una interfaz de red | 43
3. Seleccione la NIC con la que desea asociar el NSG de la lista de las NIC disponibles:
Funcionamiento
Cuando un NSG está asociado con una NIC, las reglas del NSG solo se aplicarán a una
única NIC (o a una VM asociada con la NIC). La NIC se puede asociar directamente con
un solo NSG, pero una subred asociada con una NIC se puede asociar con otro NSG
(o incluso varios). Esto es similar a cuando tenemos varios NSG asignados a una única
subred, y la regla Deny (Denegar) tendrá mayor prioridad. Si uno de los NSG permite el
tráfico en un puerto, pero otro NSG lo está bloqueando, se denegará el tráfico.
En esta tarea, aprendió a asignar un NSG a una interfaz de red. Pasemos a la siguiente
tarea, donde aprenderá a asignar un NSG mediante PowerShell.
Preparación
Abra la consola de PowerShell y asegúrese de que está conectado a su suscripción de
Azure.
Procedimiento
Para asociar un NSG con una subred, ejecute el siguiente comando:
$vnet = Get-AzVirtualNetwork -Name 'Packt-Script' -ResourceGroupName 'Packt-
Networking-Script'
$subnet = Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name
BackEnd
$nsg = Get-AzNetworkSecurityGroup -ResourceGroupName 'Packt-Networking-
Script' -Name 'nsg1'
$subnet.NetworkSecurityGroup = $nsg
Set-AzVirtualNetwork -VirtualNetwork $vnet
Funcionamiento
Para asignar un NSG con PowerShell, necesitamos recopilar información sobre la red
virtual, la subred y el NSG. Cuando se recopile toda la información, podremos realizar la
asociación con el comando Set-AzVirtualNetwork y aplicar los cambios.
Pasemos a la siguiente tarea y creemos un ASG con Azure Portal.
Crear un Grupo de seguridad de aplicaciones (ASG) | 45
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en
https://portal.azure.com.
Procedimiento
Para crear un ASG con Azure Portal, debe seguir estos pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y elija
Application security group (Grupo de seguridad de aplicación) en Networking
(Redes) (o busque application security group [grupo de seguridad de aplicación]
en la barra de búsqueda).
2. Los parámetros que tenemos que definir para la implementación son Subscription
(Suscripción), Resource group (Grupo de recursos), Name (Nombre) y Region
(Región). En la Figura 3.11, se muestra un ejemplo de los parámetros requeridos:
Funcionamiento
Los ASG no marcan la diferencia por sí solos y deben combinarse con los NSG para
crear reglas de NSG que permitan un mejor control del tráfico, mediante la aplicación
de comprobaciones adicionales antes de que se permita el flujo de tráfico.
Ahora que creamos un ASG, pasemos a una nueva tarea en la que asociaremos el ASG
con una VM.
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en https://portal.azure.
com. Busque la VM creada anteriormente.
Procedimiento
Para asociar un ASG con una VM, debemos seguir estos pasos:
1. En el panel de la VM, busque la configuración Networking (Redes).
2. En la configuración Networking (Redes), seleccione la pestaña Application
security groups (Grupos de seguridad de la aplicación), como se muestra en la
Figura 3.12:
5. Después de hacer clic en Save (Guardar), demora solo unos segundos aplicar los
cambios, después de los cuales la VM se asocia con el ASG.
48 | Grupos de seguridad de red
Funcionamiento
La VM debe estar asociada con el ASG. Podemos asociar más de una VM con cada ASG.
El ASG se utiliza, luego, en combinación con el NSG para crear nuevas reglas de NSG.
En la siguiente tarea, crearemos nuevas reglas mediante un NSG y un ASG.
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en https://portal.azure.
com. Busque el NSG creado anteriormente.
Procedimiento
Para crear una regla con un ASG y un NSG, debemos seguir estos pasos:
1. En el panel del NSG, busque Inbound security rules (Reglas de seguridad de
entrada). Seleccione Add (Agregar) para agregar una regla nueva.
Crear reglas con un NSG y un ASG | 49
Funcionamiento
Si usamos solo NSG a fin de crear reglas, podemos permitir o denegar tráfico solo para
una dirección IP o rango específicos. Con un ASG, podemos ampliar o restringir esto
según sea necesario. Por ejemplo, podemos crear una regla para permitir VM desde
una subred de front-end, pero solo si estas VM están en un ASG específico. Como
alternativa, podemos permitir el acceso a varias VM desde diferentes redes virtuales
o subredes, pero solo si pertenecen a un ASG específico.
4
Administración de
direcciones IP
En Azure, podemos tener dos tipos de direcciones IP: privada y pública. Se puede
acceder a las direcciones públicas a través de Internet. Las direcciones privadas
provienen del espacio de direcciones de Azure Virtual Network y se usan para la
comunicación privada en redes privadas. Las direcciones se pueden asignar a un
recurso o pueden existir como un recurso independiente.
52 | Administración de direcciones IP
Requisitos técnicos
Para este capítulo, se necesita lo siguiente:
• Una suscripción a Azure
• Azure PowerShell
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en
https://portal.azure.com.
Crear una nueva dirección IP pública en Azure Portal | 53
Procedimiento
Para crear una nueva dirección IP pública, se deben seguir estos pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y elija Public IP
address (Dirección IP pública) en los servicios de Networking (Redes) (o busque
public IP address [dirección IP pública] en la barra de búsqueda).
2. Los parámetros que tenemos que definir para la implementación son IP Version
(Versión de IP), SKU, Name (Nombre), IP address assignment (Asignación de
direcciones IP), DNS name label (Etiqueta de nombre de DNS), Subscription
(Suscripción), Resource group (Grupo de recursos) y Location (Ubicación). El
tiempo de inactividad (la cantidad de tiempo que la conexión se mantiene abierta
sin actividad) se establece de forma predeterminada en 4 minutos, pero puede
aumentar a 30 minutos como máximo. En la Figura 4.1, se muestra un ejemplo de
los parámetros requeridos:
Funcionamiento
La referencia de almacén (SKU) puede ser Básica o Estándar. Las diferencias
principales radican en que Estándar está cerrada al tráfico entrante de forma
predeterminada (el tráfico entrante debe estar en la lista de permitidos en Grupos de
seguridad de red [NSGs]) y Estándar tiene redundancia de zona. Otra diferencia es que
una dirección IP pública de SKU Estándar tiene una asignación estática, mientras que
una SKU Básica puede ser estática o dinámica.
Puede elegir la versión IPv4 o IPv6 para la dirección IP, o ambas, pero si elige IPv6 se
limitará a una asignación dinámica para la SKU Básica y a una asignación estática para
la SKU Estándar.
La etiqueta de nombre DNS es opcional. Se puede utilizar para resolver el punto de
conexión si se selecciona una asignación dinámica. De lo contrario, no tiene sentido
crear una etiqueta DNS, porque siempre se puede utilizar una dirección IP para resolver
el punto de conexión si se selecciona una asignación estática.
Preparación
Abra la consola de PowerShell y asegúrese de que está conectado a su suscripción de
Azure.
Procedimiento
Para implementar una nueva dirección IP pública, ejecute el siguiente comando:
New-AzPublicIpAddress -Name 'ip-public-script' -ResourceGroupName 'Packt-
Networking-Script' -AllocationMethod Dynamic -Location 'westeurope'
Funcionamiento
Como resultado, se creará una nueva dirección IP pública. En este caso, la configuración
será una asignación dinámica de SKU básica, versión IPv4 y sin etiqueta DNS. Además,
podemos usar modificadores adicionales, como -SKU para seleccionar Basic o Standard,
-IPAddressVersion para elegir entre IPv4 e IPv6, o -DomainNamelabel para especificar la
etiqueta DNS. Estos son parámetros opcionales: si no se especifican, Azure creará la IP
pública con los valores predeterminados mencionados antes.
Asignar una dirección IP pública | 55
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en
https://portal.azure.com.
Procedimiento
Para asignar una dirección IP pública, se debe hacer lo siguiente:
1. Busque la interfaz de red (NIC) a la que desea asignar la dirección IP. Esto se
puede hacer directamente mediante la búsqueda de la NIC o a través del panel de
la VM a la que está asignada la NIC.
2. En el panel Network interface (Interfaz de red), vaya a IP configurations
(Configuraciones de IP) en Settings (Configuración) y seleccione la configuración
que se muestra en la Figura 4.2:
Funcionamiento
Una dirección IP pública existe como un recurso independiente y se puede asignar a
un recurso en cualquier momento. Cuando se asigna una dirección IP pública, puede
utilizar esta dirección IP para acceder a los servicios que se ejecutan en un recurso
al que está asignada la dirección IP (recuerde que se debe aplicar un NSG adecuado).
También podemos eliminar una dirección IP de un recurso y asignarla a un nuevo
recurso. Por ejemplo, si queremos migrar servicios a una VM nueva, la dirección IP se
puede quitar de la VM antigua y asignarse a la nueva. De esta manera, los puntos de
conexión de servicio que se ejecutan en la VM no cambiarán. Esto es especialmente útil
cuando se utilizan direcciones IP estáticas.
Cancelar la asignación de una dirección IP pública | 57
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en https://portal.azure.
com. Asegúrese de que la VM que usa una dirección IP pública no se esté ejecutando.
Procedimiento
Para cancelar la asignación de una dirección IP pública, se debe hacer lo siguiente:
1. Busque la NIC a la que está asociada la dirección IP pública.
2. En el panel Network interface (Interfaz de red), vaya a IP configurations
(Configuraciones de IP) en Settings (Configuración) y seleccione la configuración
de IP:
4. Después de realizar los cambios, haga clic en Save (Guardar) para aplicar la
configuración nueva.
Funcionamiento
Se puede asignar una dirección IP pública o cancelar su asignación desde un recurso
a fin de guardarla para uso futuro o para transferirla a un nuevo recurso. Para quitarla,
simplemente deshabilitamos la dirección IP pública en la configuración IP de la NIC a la
que se asigna la dirección IP. Esto eliminará la asociación, pero mantendrá la dirección
IP como un recurso independiente.
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en
https://portal.azure.com.
Crear una reserva para una dirección IP pública | 59
Procedimiento
Si desea crear una reserva para una dirección IP pública, siga estos pasos:
1. Busque la dirección IP pública en Azure Portal. Esto se puede hacer buscando
directamente la dirección IP o a través del recurso al que está asignada
(la NIC o la VM).
2. En el panel Public IP address (Dirección IP pública), vaya a Configuration
(Configuración) en Settings (Configuración). Cambie el campo Assignment
(Asignación) de Dynamic (Dinámica) a Static (Estática), como se muestra en
la Figura 4.6:
3. Una vez realizado este cambio, haga clic en Save (Guardar) para aplicar la
configuración nueva.
Funcionamiento
Una dirección IP pública se establece en dinámica de forma predeterminada. Esto
significa que la dirección IP puede cambiar en el tiempo. Por ejemplo, si una VM a la
que se asigna una dirección IP se desactiva o reinicia, existe la posibilidad de que la
dirección IP cambie después de que la VM esté nuevamente funcionando. Esto puede
causar problemas si se accede a través de la dirección IP pública a los servicios que se
ejecutan en la VM o si hay un registro DNS asociado a la dirección IP pública.
Creamos una reserva de IP y establecimos la asignación en estática para evitar un
escenario de este tipo y mantener la dirección IP reservada para nuestros servicios.
60 | Administración de direcciones IP
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en https://portal.azure.
com. Asegúrese de que la dirección IP no esté asociada a ningún recurso.
Procedimiento
Si desea eliminar una reserva para una dirección IP pública, siga estos pasos:
1. Busque la dirección IP pública en Azure Portal.
2. En el panel Public IP address (Dirección IP pública), vaya a Configuration
(Configuración) en Settings (Configuración) y establezca Assignment (Asignación)
en Dynamic (Dinámica):
3. Después de realizar estos cambios, haga clic en Save (Guardar) para aplicar la
configuración nueva.
Crear una reserva para una dirección IP privada | 61
Funcionamiento
Para eliminar una reserva de IP de una dirección IP pública, la dirección IP pública no se
debe asociar a un recurso. Podemos eliminar la reserva mediante el establecimiento de
la asignación de la dirección IP en dinámica.
La razón principal de esto es el precio. En Azure, las primeras cinco reservas de IP
públicas son gratuitas. Después de las cinco iniciales, se factura cada reserva nueva.
Para evitar realizar pagos innecesarios, podemos eliminar una reserva cuando no sea
necesaria o cuando no se esté utilizando la dirección IP pública.
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en
https://portal.azure.com.
Procedimiento
Si desea crear una reserva para una dirección IP privada, siga estos pasos:
1. En Azure Portal, busque la NIC para la que desea realizar la reserva.
2. En el panel Network interface (Interfaz de red), vaya a IP configurations
(Configuraciones de IP) en Settings (Configuración) y seleccione la
configuración de IP:
4. Después de realizar estos cambios, haga clic en Save (Guardar) para aplicar la
configuración nueva.
Funcionamiento
Se puede realizar una reserva para las direcciones IP privadas. La diferencia es que
una dirección IP privada no existe como un recurso independiente, sino que se asigna
a una NIC.
Otra diferencia es que puede seleccionar un valor para una dirección IP privada. Una
dirección IP pública se asigna aleatoriamente y se puede reservar, pero no puede elegir
qué valor tendrá. En el caso de las direcciones IP privadas, puede seleccionar el valor de
la IP, pero debe ser una IP no utilizada de la subred asociada con la NIC.
Cambiar una reserva para una dirección IP privada | 63
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en
https://portal.azure.com.
Procedimiento
Si desea cambiar una reserva para una dirección IP privada, siga estos pasos:
1. En Azure Portal, busque la NIC en la que desea hacer cambios.
2. En el panel Network interface (Interfaz de red), vaya a IP configurations
(Configuraciones de IP) en Settings (Configuración) y seleccione la configuración
de IP:
4. Después de realizar estos cambios, haga clic en Save (Guardar) para aplicar la
configuración nueva.
Funcionamiento
Se puede cambiar una reserva para una dirección IP privada. Una vez más, el valor debe
ser una dirección IP no utilizada de una subred asociada a la NIC. Si la VM asociada a la
NIC está desactivada, la nueva dirección IP se asignará en su próximo inicio. Si la VM se
está ejecutando, se reiniciará para aplicar los cambios nuevos.
Eliminar una reserva para una dirección IP privada | 65
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en
https://portal.azure.com.
Procedimiento
Si desea eliminar una reserva para una dirección IP privada, siga estos pasos:
1. En Azure Portal, busque la NIC en la que desea hacer cambios.
2. En el panel Network interface (Interfaz de red), vaya a IP configurations
(Configuraciones de IP) en Settings (Configuración) y seleccione la configuración
de IP:
4. Después de realizar estos cambios, haga clic en Save (Guardar) para aplicar la
configuración nueva.
Funcionamiento
Podemos eliminar una reserva de dirección IP privada en cualquier momento
cambiando la opción Assignment (Asignación) a Dynamic (Dinámica). Cuando se realiza
este cambio, la VM asociada a la NIC se reiniciará para aplicar los nuevos cambios.
Después de realizar un cambio, una dirección IP privada puede cambiar después de
reiniciar o desactivar la VM.
Agregar varias direcciones IP a una NIC | 67
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en
https://portal.azure.com.
Procedimiento
1. En Azure Portal, busque la NIC en la que desea hacer cambios.
2. En el panel Network interface (Interfaz de red), vaya a IP configurations
(Configuraciones de IP) en Settings (Configuración) y haga clic en Add (Agregar):
Funcionamiento
Cada NIC puede tener varias configuraciones de IP asignadas. Cada configuración de
IP debe tener una dirección IP privada y puede tener una dirección IP pública. Por lo
tanto, es posible agregar una dirección IP privada sin una dirección IP pública, pero
no al revés. Esto proporciona diferentes opciones de enrutamiento y la capacidad de
comunicarse con diferentes aplicaciones y servicios a través de diferentes direcciones
IP. El enrutamiento se explicará con más detalle en el Capítulo 6: DNS y enrutamiento.
70 | Administración de direcciones IP
Procedimiento
Para crear un nuevo prefijo de dirección IP pública, se deben seguir estos pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y elija Public IP
prefix (Prefijo de dirección IP pública) en los servicios de Networking (Redes) (o
busque public IP prefix [prefijo de dirección IP pública] en la barra de búsqueda).
2. Tenemos que proporcionar información para los campos Subscription
(Suscripción), Resource group (Grupo de recursos), Name (Nombre), Region
(Región) e IP Version (Versión de IP). El campo SKU no se puede seleccionar y
está configurado como Standard (Estándar). Para Prefix size (Tamaño del prefijo),
definiremos cuántas direcciones IP queremos reservar:
Crear un prefijo de dirección IP pública | 71
Funcionamiento
Cuando creamos un prefijo de dirección IP pública, la asociación de la dirección
IP pública no se hace aleatoriamente, sino que se realiza a partir de un grupo de
direcciones reservadas para nosotros. En muchos sentidos, esto es similar a crear
una red virtual y definir un espacio de dirección IP privada, solo con direcciones IP
públicas. Esto puede ser muy útil cuando necesitamos conocer las direcciones por
adelantado. Por ejemplo, supongamos que necesitamos crear una regla de firewall
para cada servicio que creamos. Eso requeriría que esperáramos a que cada servicio
se implementara y obtuviera una dirección IP pública después de que se haya creado.
Con un prefijo de dirección IP pública, las direcciones IP se conocen de antemano y
podemos establecer una regla para un intervalo de direcciones IP, en lugar de hacerlo
para cada dirección IP.
5
Gateways de red local
y virtual
Los gateways de red local y virtual son gateways de red privada virtual (VPN) que se
usan para conectarse a las redes locales y cifrar todo el tráfico que va entre Azure
Virtual Network (VNet) y una red local. Cada red virtual solo puede tener un gateway
de red virtual, pero se puede usar un gateway de red virtual para configurar varias
conexiones VPN.
En este capítulo, trataremos las siguientes tareas:
• Crear un gateway de red local en Azure Portal
• Crear un gateway de red local con PowerShell
• Crear un gateway de red virtual en Azure Portal
• Crear un gateway de red virtual con PowerShell
• Modificar la configuración del gateway de red local
74 | Gateways de red local y virtual
Requisitos técnicos
Para este capítulo, se necesita lo siguiente:
• Una suscripción a Azure
• Azure PowerShell
Preparación
Antes de comenzar, abra un explorador web y vaya a Azure Portal en
https://portal.azure.com.
Procedimiento
Para crear un nuevo gateway de red local, se requieren los siguientes pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y elija Local
network gateway (Gateway de red local) en los servicios de Networking (Redes) (o
busque local network gateway [gateway de red local] en la barra de búsqueda).
2. Los parámetros que necesitamos proporcionar son Name (Nombre), IP address
(Dirección IP) (es decir, la dirección IP pública y el firewall local), Address space
(Espacio de direcciones) (el espacio de direcciones local al que quiere conectarse),
Subscription (Suscripción), Resource group (Grupo de recursos) y Location
(Ubicación). Opcionalmente, podemos configurar las opciones de Border Gateway
Protocol (BGP):
Crear un gateway de red local en Azure Portal | 75
Funcionamiento
El gateway de red local se usa para conectar un gateway de red virtual con una red
local. El gateway de red virtual está conectado directamente a la red virtual y tiene
toda la información pertinente de Azure VNet que se necesita para crear una conexión
VPN. Por otro lado, un gateway de red local contiene toda la información de red local
necesaria para crear una conexión VPN.
En esta tarea, creamos un gateway de red local en Azure Portal. En la siguiente tarea,
aprenderemos a hacer lo mismo con PowerShell.
76 | Gateways de red local y virtual
Preparación
Abra la consola de PowerShell y asegúrese de que está conectado a su suscripción de
Azure.
Procedimiento
Para crear un nuevo gateway de red local, ejecute el siguiente comando:
New-AzLocalNetworkGateway -Name packt-lng-script -ResourceGroupName 'Packt-
Networking-Script' -Location 'westeurope' -GatewayIpAddress '195.222.10.20'
-AddressPrefix '192.168.1.0/24'
Funcionamiento
Para implementar un nuevo gateway de red local, necesitamos proporcionar parámetros
para el nombre, el grupo de recursos, la ubicación, la dirección IP del gateway y el
prefijo de dirección que queremos. La dirección IP del gateway es la dirección IP
pública del firewall local al que está intentando conectarse. El prefijo de dirección es
el prefijo de subred de la red local a la que está tratando de conectarse. Esta dirección
debe estar asociada con una dirección de firewall que se proporciona como dirección IP
del gateway.
En esta tarea, creamos un gateway de red local con Azure PowerShell. Pasemos a la
siguiente tarea en que aprenderá a crear un gateway de red virtual en Azure Portal.
Preparación
Antes de comenzar, abra un explorador web y vaya a Azure Portal en
https://portal.azure.com.
Crear un gateway de red virtual en Azure Portal | 77
Procedimiento
Para crear un nuevo gateway de red virtual, se requieren los siguientes pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y elija Virtual
network gateway (Gateway de red virtual) en los servicios de Networking
(Redes) (o busque virtual network gateway [gateway de red virtual] en la barra
de búsqueda).
2. Todo se hace en un solo panel, pero con el propósito de tener una mejor visibilidad,
lo dividiré en dos secciones. En la primera sección, debemos proporcionar la
suscripción (Subscription), el nombre (Name), la región (Region), el tipo de gateway
(Gateway type), el tipo de VPN (VPN type), la SKU y la generación (Generation),
(la opción Generation depende de la SKU; no todas las SKU admiten la Generación
2) y, luego, tenemos que seleccionar la red virtual (Virtual network) que se usará en
la conexión. Tenga en cuenta que la subred de gateway debe crearse antes de hacer
esto y solo las redes virtuales con una subred de gateway estarán disponibles para
su selección. En la Figura 5.2, se muestra un ejemplo:
Funcionamiento
El gateway de red virtual es la segunda parte que se necesita para establecer la
conexión con la VNet de Azure. Está conectado directamente a la red virtual y es
necesario para crear conexiones de sitio a sitio y de punto a sitio. Necesitamos
establecer el tipo de VPN, que debe coincidir con el tipo de dispositivo VPN local
cuando se crea una conexión de sitio a sitio.
El modo activo-activo proporciona alta disponibilidad al asociar dos direcciones IP con
configuraciones de gateway independientes para garantizar el tiempo de actividad.
El protocolo de gateway de borde es un protocolo estándar para el intercambio de
información de enrutamiento y accesibilidad entre diferentes sistemas autónomos
(ASes). A cada sistema se le asigna un número de sistema autónomo (ASN).
En esta tarea, creamos un gateway de red virtual en Azure Portal. Pasemos a la siguiente
tarea.
Crear un gateway de red virtual con PowerShell | 79
Preparación
Abra la consola de PowerShell y asegúrese de que está conectado a su suscripción de
Azure.
Procedimiento
Para crear un nuevo gateway de red virtual, ejecute el siguiente script:
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'Packt-Networking-Script'
-Name 'Packt-Script'
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix
10.11.2.0/27 -VirtualNetwork $vnet
$vnet | Set-AzVirtualNetwork
$gwpip = New-AzPublicIpAddress -Name VNet1GWIP -ResourceGroupName 'Packt-
Networking-Script' -Location 'westeurope' -AllocationMethod Dynamic
Funcionamiento
El script realiza algunas operaciones diferentes para asegurarse de que se cumplan
todos los requisitos a fin de que podamos crear un gateway de red virtual. El primer
paso es recopilar información sobre la red virtual que utilizaremos. A continuación,
agregamos la subred de gateway a la VNet de Azure y creamos una dirección IP pública
que el gateway de red virtual usará. Recopilamos toda la información y nos aseguramos
de que todos los recursos necesarios estén presentes y, finalmente, creamos un nuevo
gateway de red virtual.
En esta tarea, aprendimos a crear un gateway de red virtual con Azure PowerShell. En la
siguiente tarea, aprenderemos a modificar la configuración del gateway de red local.
Preparación
Antes de comenzar, abra un explorador web y vaya a Azure Portal en https://portal.
azure.com.
Procedimiento
Para modificar la configuración de gateway de la red local, siga estos pasos:
1. Busque el gateway de red local en Azure Portal y vaya a Configuration
(Configuración).
2. En Configuration, podemos editar los campos IP address (Dirección IP) o Address
space (Espacio de direcciones). También podemos agregar espacios de direcciones
adicionales si queremos conectar varias subredes locales a la VNet de Azure:
Modificar la configuración del gateway de red local | 81
Funcionamiento
El gateway de red local contiene la información de red local necesaria para crear una
conexión de sitio a sitio entre las redes locales y de Azure. Si esta información cambia,
podemos editarla en la opción Configuration (Configuración). Los cambios que se
pueden realizar son la dirección IP (es decir, la dirección IP pública del firewall local)
y el espacio de direcciones al que nos estamos conectando. Además, podemos agregar
o quitar espacios de direcciones si queremos agregar o quitar subredes que puedan
conectarse a Azure VNet. Si la configuración del gateway de red local ya no es válida,
aún podemos usarla para crear una conexión completamente nueva a una nueva red
local si es necesario.
6
DNS y enrutamiento
Azure DNS nos permite hospedar dominios de Sistema de nombres de dominio (DNS)
en Azure. Cuando se usa Azure DNS, se usa la infraestructura de Microsoft para la
resolución de nombres, lo que se traduce en consultas DNS rápidas y confiables. La
infraestructura de Azure DNS utiliza un gran número de servidores para proporcionar
una gran confiabilidad y disponibilidad del servicio. Mediante la red Anycast, el servidor
DNS disponible más cercano responde cada consulta DNS a fin de proporcionar una
respuesta rápida.
En este capítulo, trataremos las siguientes tareas:
• Crear una zona de Azure DNS
• Crear una zona DNS privada de Azure
• Integrar una red virtual con una zona DNS privada
• Crear un nuevo conjunto de registros en Azure DNS
• Crear una tabla de rutas
• Cambiar una tabla de rutas
• Asociar una tabla de rutas con una subred
• Desasociar una tabla de rutas de una subred
• Crear una ruta nueva
• Cambiar una ruta
• Eliminar una ruta
84 | DNS y enrutamiento
Requisitos técnicos
Para este capítulo, se necesita lo siguiente:
• Una suscripción a Azure
Preparación
Antes de comenzar, abra el explorador web y vaya a Azure Portal a través de
https://portal.azure.com.
Procedimiento
Para crear una nueva zona de Azure DNS con Azure Portal, debe seguir estos pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y, luego, DNS
Zone (Zona DNS) en los servicios de Networking (Redes) (o busque DNS Zone [Zona
DNS] en la barra de búsqueda).
2. En el panel nuevo, debemos ingresar información en los campos Subscription
(Suscripción), Resource group (Grupo de recursos) y Name (Nombre). Si
seleccionamos un grupo de recursos existente, la región será automáticamente la
misma que la del grupo de recursos seleccionado. También podemos marcar esta
zona si el elemento secundario de una zona existente está hospedado en Azure
DNS. El nombre debe ser un Nombre de dominio completo (FQDN):
Crear una zona de Azure DNS | 85
Figura 6.1: Crear una nueva zona de Azure DNS con Azure Portal
Funcionamiento
Se requiere una zona DNS para comenzar a usar Azure DNS. Se requiere una nueva
zona DNS para cada dominio que queremos hospedar con Azure DNS, puesto que una
sola zona DNS puede contener información para un único dominio. Después de crear
una zona DNS, podemos agregar registros, conjuntos de registros y tablas de rutas
a un dominio hospedado con Azure DNS. Con estos elementos, podemos enrutar el
tráfico y definir destinos mediante un FQDN para los recursos de Azure (y también
otros recursos). Mostraremos cómo crearlos y administrarlos en las próximas tareas
de este capítulo.
Pasemos a la siguiente tarea para aprender a crear una zona DNS privada.
86 | DNS y enrutamiento
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en
https://portal.azure.com.
Procedimiento
Para crear una nueva zona de Azure DNS con Azure Portal, debe seguir estos pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y, luego, Private
DNS Zone (Zona DNS privada) en los servicios de Networking (Redes) (o busque
Private DNS Zone [Zona DNS privada] en la barra de búsqueda).
2. En el panel nuevo, debemos ingresar información en los campos Subscription
(Suscripción), Resource group (Grupo de recursos) y Name (Nombre). Si
seleccionamos un grupo de recursos existente, la región será automáticamente la
misma que la del grupo de recursos seleccionado. El nombre debe ser un FQDN:
Figura 6.2: Crear una nueva zona de DNS privada con Azure Portal
Integrar una red virtual con una zona DNS privada | 87
Funcionamiento
Cuando se crea una red virtual, se proporciona una zona DNS predeterminada. La
zona DNS predeterminada usa nombres proporcionados por Azure, y debemos usar
una zona DNS privada para usar nombres personalizados. También se requiere una
zona DNS privada para la resolución de nombres en redes virtuales, ya que el DNS
predeterminado no admite esta opción.
Pasemos a la siguiente tarea para aprender a integrar una red virtual con una zona DNS
privada.
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en
https://portal.azure.com.
Procedimiento
Para agregar un nuevo registro a la zona DNS, siga estos pasos:
1. En Azure Portal, busque Private DNS Zone (Zona DNS privada).
2. En Private DNS Zone (Zona DNS privada), seleccione Virtual network links
(Vínculos de red virtual) y haga clic en Add (Agregar):
3. En el panel nuevo, complete el campo Link name (Nombre del vínculo), luego,
seleccione valores para los campos Subscription (Suscripción) y Virtual network
(Red virtual) (solo estarán disponibles las redes virtuales en la suscripción
seleccionada). Como alternativa, podemos proporcionar el ID de recurso de
nuestra red virtual, en lugar de seleccionar opciones del menú desplegable:
Funcionamiento
Una vez que la red virtual está vinculada a la zona DNS privada, la zona se puede utilizar
para la resolución de nombres dentro de la red virtual conectada. Para la resolución de
nombres en varias redes virtuales conectadas, debemos usar una zona DNS privada,
puesto que el DNS predeterminado no admite la resolución entre redes. Lo mismo se
aplica si la red está conectada a una red local.
Si habilitamos el registro automático en Configuration (Configuración), las máquinas
virtuales recién creadas se registrarán automáticamente en la zona DNS privada. De lo
contrario, tenemos que agregar cada nuevo recurso de forma manual.
Pasemos a la siguiente tarea para aprender cómo crear un nuevo conjunto de registros
en Azure DNS.
Preparación
Antes de comenzar, abra el explorador web y vaya a Azure Portal a través de
https://portal.azure.com.
Procedimiento
Para agregar un nuevo registro a la zona DNS, siga estos pasos:
1. En Azure Portal, busque DNS zone (Zona DNS).
2. En Overview (Información general), seleccione la opción para agregar un conjunto
de registros:
3. Se abrirá un panel nuevo. Escriba el nombre del subdominio para el que desea
agregar un registro:
4. Tenemos que seleccionar el tipo de registro que queremos agregar. Las opciones
son A, AAAA, CNAME, MX, NS, SRV, TXT y PTR. El tipo de registro más común es
A, por lo que seleccionaremos ese:
Funcionamiento
Un conjunto de registros DNS contiene información sobre el subdominio en el
dominio hospedado con la zona DNS. En este caso, el dominio sería toroman.cloud y
el subdominio sería test. Esto forma un FQDN, demo.toroman.cloud, y el registro dirige
este dominio a la dirección IP que definimos. El conjunto de registros puede contener
varios registros para un único subdominio, que normalmente se usa para la redundancia
y la disponibilidad.
Se puede usar CNAME o un alias con Azure Traffic Manager. De esta manera, los
nombres de dominio personalizados se pueden usar para la resolución de nombres,
en lugar de los nombres predeterminados proporcionados por Azure.
En esta tarea, aprendió a crear un nuevo registro en Azure DNS. Pasemos a la siguiente
tarea para aprender a crear una tabla de rutas.
Preparación
Antes de comenzar, abra el explorador web y vaya a Azure Portal a través de
https://portal.azure.com.
Procedimiento
Para agregar un nuevo registro a la zona DNS, siga estos pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y, luego, Route
Table (Tabla de rutas) en los servicios de Networking (Redes) (o busque route
table [tabla de rutas] en la barra de búsqueda).
2. En el panel nuevo, tenemos que seleccionar opciones para los campos
Subscription (Suscripción), Resource group (Grupo de recursos) y Region
(Región), y proporcionar el nombre de la tabla de rutas. Opcionalmente, podemos
definir si queremos permitir la propagación de la ruta de gateway (que está
activada de forma predeterminada):
Funcionamiento
El enrutamiento de red en Azure Virtual Network se realiza de forma automática, pero
podemos usar enrutamiento personalizado con tablas de rutas. Las tablas de rutas usan
reglas y asociaciones de subred para definir el flujo de tráfico en la red virtual. Cuando
se crea una nueva tabla de rutas, no se crea ninguna configuración: solo un recurso
vacío. Después de crear el recurso, necesitamos definir las reglas y las subredes a fin
de utilizar una tabla de rutas para el flujo de tráfico. En las siguientes tareas de este
capítulo, mostraremos cómo crear y aplicar reglas en las tablas de rutas.
Cambiar una tabla de rutas | 93
Preparación
Antes de comenzar, abra el explorador web y vaya a Azure Portal a través de
https://portal.azure.com.
Procedimiento
Para cambiar una tabla de rutas, se debe hacer lo siguiente:
1. En Azure Portal, busque Route table (Tabla de rutas).
2. En Settings (Configuración), podemos cambiar la configuración de Propagate
gateway routes (Propagar rutas de gateway) en el panel Configuration
(Configuración) en cualquier momento:
Funcionamiento
En la configuración de la tabla de rutas, podemos activar o desactivar la propagación de
rutas de gateway en cualquier momento. Esta opción, si está desactivada, impide que las
rutas locales se propaguen a través de BGP a las interfaces de red de una subred de red
virtual. En la configuración, podemos crear, eliminar o cambiar rutas y subredes. Estas
opciones se abordarán en las próximas tareas de este capítulo.
Pasemos a la siguiente tarea, en que aprenderá a asociar una tabla de rutas con una
subred.
94 | DNS y enrutamiento
Preparación
Antes de comenzar, abra el explorador web y vaya a Azure Portal a través de
https://portal.azure.com.
Procedimiento
Para asociar una subred con una tabla de rutas, siga estos pasos:
1. En Azure Portal, busque Route table (Tabla de rutas).
2. En Settings (Configuración), seleccione la opción Subnets (Subredes). En el panel
Subnets (Subredes), seleccione la opción Associate (Asociar) para crear una
asociación nueva:
3. Se abrirá un panel nuevo. Hay dos opciones disponibles: seleccionar una red
virtual y elegir una subred a las que queremos asociar la tabla de rutas. En primer
lugar, debemos seleccionar Virtual network (Red virtual). Seleccionar esta opción
mostrará la lista de todas las redes virtuales disponibles. Seleccione la que desea
asociar de esta lista:
Asociar una tabla de rutas con una subred | 95
Funcionamiento
Para que la tabla de rutas sea eficaz, debe tener definidas dos partes: el qué y el cómo.
Definimos lo que se verá afectado por la tabla de rutas con una asociación de subred.
Esto es solo una parte de la configuración, puesto que simplemente asociar una subred
a una tabla de rutas no tendrá ningún efecto. Debemos crear reglas que se apliquen
a esta asociación. Explicaremos las reglas en las siguientes tareas de este capítulo.
Pasemos a una nueva tarea en la que aprenderemos a desasociar una tabla de rutas
de una subred.
Desasociar una tabla de rutas de una subred | 97
Preparación
Antes de comenzar, abra el explorador web y vaya a Azure Portal a través de
https://portal.azure.com.
Procedimiento
A fin de eliminar la asociación entre la subred y la tabla de rutas, tenemos que hacer
lo siguiente:
1. En Azure Portal, busque Route table (Tabla de rutas).
2. En Settings (Configuración), seleccione la opción Subnets (Subredes) y seleccione
la subred que desea quitar:
5. Después de seleccionar None, haga clic en el botón Save (Guardar) para aplicar la
configuración nueva. La asociación de la tabla de rutas se elimina de la subred:
Funcionamiento
En algún momento, es posible que hayamos creado reglas en una tabla de rutas que
se aplican a varias subredes. Si ya no queremos aplicar una o más reglas a una subred
específica, podemos eliminar la asociación. Una vez que se elimina la asociación, las
reglas ya no se aplicarán a la subred. Todas las reglas se aplicarán a todas las subredes
asociadas. Si necesitamos que solo una regla ya no se aplique a una subred específica,
debemos eliminar la asociación.
En esta tarea, aprendimos a desasociar una tabla de rutas. Pasemos a la siguiente tarea
para aprender a crear una ruta nueva.
100 | DNS y enrutamiento
Preparación
Antes de comenzar, abra el explorador web y vaya a Azure Portal a través de
https://portal.azure.com.
Procedimiento
Para crear una ruta nueva, se debe hacer lo siguiente:
1. En Azure Portal, busque Route table (Tabla de rutas).
2. En el panel Route table (Tabla de rutas), en Settings (Configuración), seleccione
Routes (Rutas). Seleccione Add (Agregar) para agregar una ruta nueva:
3. En el panel nuevo, necesitamos definir los valores para los campos Route name
(Nombre de ruta) y Address prefix (Prefijo de dirección) (en formato CIDR) para
el intervalo de direcciones IP de destino y seleccionar una opción para Next hop
type (Tipo del próximo salto). Las opciones para esto incluyen Virtual network
gateway (Gateway de red virtual), Virtual network (Red virtual), Internet, Virtual
appliance (Dispositivo virtual) y None (Ninguno):
Crear una ruta nueva | 101
4. La última opción, Next hop address (Dirección del próximo salto), solo está activa
cuando se utiliza un dispositivo virtual. En ese caso, necesitamos proporcionar la
dirección IP del dispositivo virtual en este campo, y todo el tráfico pasará a través
del dispositivo virtual. Elegiremos Internet y proporcionaremos una dirección IP
pública en el campo Address prefix (Prefijo de dirección) (la opción Address prefix
siempre depende de la opción Next hop type):
Funcionamiento
La ruta define el flujo de tráfico. Todo el tráfico de la subred asociada seguirá la ruta
definida por estas reglas. Si definimos que el tráfico irá a Internet, todo el tráfico saldrá
de la red en un intervalo de direcciones IP definido con un prefijo de dirección IP. Si
elegimos que el tráfico vaya a una red virtual, irá a una subred definida por el prefijo
de dirección IP. Si se utiliza ese gateway de red virtual, todo el tráfico pasará por el
gateway de red virtual y llegará a su conexión en el otro lado, ya sea otra red virtual
o nuestra red local. La opción Virtual appliance (Dispositivo virtual) enviará todo el
tráfico al dispositivo virtual, que, entonces, con su propio conjunto de reglas, define
el lugar al que se dirige el tráfico a continuación.
Pasemos a la siguiente tarea para aprender a cambiar una ruta.
Preparación
Antes de comenzar, abra el explorador web y vaya a Azure Portal a través de
https://portal.azure.com.
Procedimiento
Para cambiar la ruta existente, se debe hacer lo siguiente:
1. En Azure Portal, busque Route table (Tabla de rutas).
2. En Settings (Configuración), seleccione Routes (Rutas) y seleccione la ruta que
desea cambiar desde la lista de rutas disponibles:
Funcionamiento
Los requisitos para una ruta pueden cambiar con el tiempo. Podemos cambiar una ruta
y ajustarla para adaptarse a los requisitos nuevos según sea necesario. Los escenarios
más comunes son que el tráfico necesita alcanzar un servicio específico cuando la IP del
servicio cambia con el tiempo. Por ejemplo, es posible que necesitemos enrutar todo el
tráfico a través de un dispositivo virtual, pero la dirección IP del dispositivo virtual cambia
con el tiempo. Podemos cambiar la ruta en la tabla de rutas para reflejar este cambio y
forzar el flujo de tráfico a través del dispositivo virtual. Otro ejemplo es cuando el tráfico
necesita llegar a nuestra red local a través de un gateway de red virtual: el intervalo de
direcciones IP de destino puede cambiar con el tiempo y necesitamos reflejar estos
cambios en la ruta una vez más.
En esta tarea, aprendimos a cambiar una ruta. En la siguiente tarea, aprenderemos
a eliminar una ruta.
Preparación
Antes de comenzar, abra el explorador web y vaya a Azure Portal a través de
https://portal.azure.com.
104 | DNS y enrutamiento
Procedimiento
Para eliminar una ruta, se debe hacer lo siguiente:
1. En Azure Portal, busque el vínculo Route table (Tabla de rutas).
2. En Settings (Configuración), seleccione Routes (Rutas) y, luego, seleccione la ruta
que desea eliminar:
Funcionamiento
A medida que nuestros requisitos cambian, necesitamos abordar los requisitos nuevos
en nuestras tablas de rutas. Podemos editar rutas o eliminarlas para cumplir con estos
requisitos nuevos. Cuando se utilizan varias rutas en una sola tabla de rutas, una de las
rutas puede quedar obsoleta o, incluso, bloquear requisitos nuevos. En esos casos, es
posible que queramos eliminar una ruta para resolver cualquier problema.
7
Azure Firewall
La mayoría de los componentes de red de Azure que se usan para la seguridad están ahí
para detener el tráfico entrante no deseado. Ya sea que usemos grupos de seguridad de
red, grupos de seguridad de aplicaciones o un Web Application Firewall (WAF), todos
tienen un único propósito: evitar que el tráfico no deseado llegue a nuestros servicios.
Azure Firewall tiene una funcionalidad similar, incluida una extensión que podemos
usar para impedir que el tráfico saliente deje la red virtual.
En este capítulo, trataremos las siguientes tareas:
• Crear un nuevo firewall
• Crear un nuevo firewall con PowerShell
• Configurar una nueva regla de permiso
• Configurar una nueva regla de denegación
• Configurar una tabla de rutas
• Habilitar registros de diagnóstico para Azure Firewall
• Configurar Azure Firewall en el modo de tunelización forzada
• Crear un grupo de IP
• Configurar las opciones de DNS de Azure Firewall
108 | Azure Firewall
Requisitos técnicos
Para este capítulo, se necesita lo siguiente:
• Una suscripción a Azure
• Azure PowerShell
Preparación
Antes de poder crear una instancia de Azure Firewall, primero debemos preparar una
subred.
A fin de crear una nueva subred para Azure Firewall, siga estos pasos:
1. Busque la red virtual que se asociará con la instancia de Azure Firewall.
2. Seleccione la opción Subnets (Subredes) en Settings (Configuración) y haga clic
en Subnet (Subred), para agregar una subred nueva, tal como se muestra en la
Figura 7.1:
3. En el panel nuevo, debe proporcionar valores para los campos Name (Nombre)
y Address range (Intervalo de direcciones). Es muy importante que el nombre de
la subred sea AzureFirewallSubnet:
Procedimiento
Para crear una nueva instancia de Azure Firewall con Azure Portal, siga estos pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y elija Azure
Firewall en servicios de Networking (Redes) (o busque Azure Firewall en la barra
de búsqueda).
2. En el panel nuevo, primero debemos proporcionar valores para los menús
desplegables Subscription (Suscripción) y Resource group (Grupo de recursos).
Necesitamos completar los campos Name (Nombre) y Region (Región) para
Azure Firewall y, opcionalmente, seleccionar la opción Availability zone (Zona
de disponibilidad). A continuación, pasaremos a seleccionar la red virtual. Solo
están disponibles redes virtuales en la región donde se creará la instancia de
Azure Firewall. Además, la red virtual seleccionada debe contener la subred
AzureFirewallSubnet que creamos antes. Por último, definimos una dirección
IP pública (podemos elegir una existente o crear una nueva). También podemos
habilitar la tunelización forzada:
Funcionamiento
Azure Firewall utiliza un conjunto de reglas para controlar el tráfico saliente.
Podemos bloquear todo de forma predeterminada y permitir solo el tráfico de la lista
de permitidos, o podemos permitir todo y bloquear solo el tráfico restringido. Es
esencialmente el punto central donde podemos establecer directivas de red, hacer
cumplir estas directivas y supervisar el tráfico de red a través de redes virtuales o
incluso suscripciones. Como firewall como servicio, Azure Firewall es un servicio
administrado con alta disponibilidad y escalabilidad integradas.
Crear un nuevo firewall con PowerShell | 111
Procedimiento
Hay varios pasos que deben ejecutarse para crear un nuevo firewall con Azure
PowerShell:
1. En primer lugar, se definen los parámetros:
$RG="Packt-Networking-Script"
$Location="West Europe"
$VNetName = "Packt-Script"
$AzFwIpName = "AzFW-Public-IP"
$AzFwname = "AzFw-Script"
2. Luego, necesitamos crear una subred independiente para Azure Firewall:
$vnet = Get-AzVirtualNetwork -ResourceGroupName $RG '
-Name $VnetName
Add-AzVirtualNetworkSubnetConfig -Name AzureFirewallSubnet '
-VirtualNetwork $vnet '
-AddressPrefix 10.11.3.0/24
Set-AzVirtualNetwork -VirtualNetwork $vnet
3. A continuación, necesitamos crear una dirección IP pública para Azure Firewall:
$AzFwIp = New-AzPublicIpAddress -Name $AzFwIpName '
-ResourceGroupName $RG '
-Location $Location '
-AllocationMethod Static '
-Sku Standard
4. Finalmente, tenemos todos los componentes implementados y podemos crear
el firewall:
$Azfw = New-AzFirewall -Name $AzFwname '
-ResourceGroupName $RG '
-Location $Location '
-VirtualNetworkName $vnet.Name '
-PublicIpName $AzFwIp.Name
112 | Azure Firewall
Funcionamiento
El firewall requiere una subred independiente denominada AzureFirewallSubnet. Por
lo tanto, necesitamos crear una subred de este tipo en la red virtual que pretendemos
usar. Otro requisito es una dirección IP pública. Por último, estamos listos para la
implementación y podemos crear una nueva instancia de Azure Firewall.
Pero implementar Azure Firewall es solo el principio. Necesitamos configurar nuestro
firewall mediante la creación de reglas y rutas. Avancemos a la siguiente tarea para ver
cómo se crean las reglas.
Preparación
Abra la consola de PowerShell y asegúrese de que está conectado a su suscripción
de Azure.
Procedimiento
Para crear una nueva regla de permiso en Azure Firewall, ejecute el siguiente comando:
$RG="Packt-Networking-Script"
$Location="West Europe"
$Azfw = Get-AzFirewall -ResourceGroupName $RG
$Rule = New-AzFirewallApplicationRule -Name Rule1 -Protocol
"http:80","https:443" -TargetFqdn "*packt.com"
$RuleCollection = New-AzFirewallApplicationRuleCollection -Name
RuleCollection1 -Priority 100 -Rule $Rule -ActionType "Allow"
$Azfw.ApplicationRuleCollections = $RuleCollection
Set-AzFirewall -AzureFirewall $Azfw
Funcionamiento
Una regla de permiso en Azure Firewall incluirá tráfico específico en la lista blanca.
Si hay una regla que también bloquearía este tráfico, se aplicará la regla de mayor
prioridad.
También podemos crear reglas de denegación. Veamos cómo podemos hacerlo en
la siguiente tarea.
Configurar una nueva regla de denegación | 113
Preparación
Abra la consola de PowerShell y asegúrese de que está conectado a su suscripción
de Azure.
Procedimiento
Para crear una nueva regla de denegación en Azure Firewall, ejecute el siguiente
comando:
$RG="Packt-Networking-Script"
$Location="West Europe"
$Azfw = Get-AzFirewall -ResourceGroupName $RG
$Rule = New-AzFirewallApplicationRule -Name Rule1 -Protocol
"http:80","https:443" -TargetFqdn "*google.com"
$RuleCollection = New-AzFirewallApplicationRuleCollection -Name
RuleCollection1 -Priority 100 -Rule $Rule -ActionType "Deny"
$Azfw.ApplicationRuleCollections = $RuleCollection
Set-AzFirewall -AzureFirewall $Azfw
Funcionamiento
La regla de denegación es la opción más utilizada con Azure Firewall. Un enfoque en
el que se bloquea todo y solo se permite el tráfico de la lista blanca no es muy práctico,
puesto que podemos terminar agregando demasiadas reglas de permiso. Por lo tanto, el
enfoque más común es usar reglas de denegación para bloquear tráfico que queremos
evitar.
Preparación
Abra la consola de PowerShell y asegúrese de que está conectado a su suscripción
de Azure.
114 | Azure Firewall
Procedimiento
Para crear una nueva tabla de rutas en Azure Firewall, ejecute el siguiente comando:
$RG="Packt-Networking-Script"
$Location="West Europe"
$Azfw = Get-AzFirewall -ResourceGroupName $RG
$config = $Azfw.IpConfigurations[0].PrivateIPAddress
$Route = New-AzRouteConfig -Name 'Route1' -AddressPrefix 0.0.0.0/0 -NextHopType
VirtualAppliance -NextHopIpAddress $config
$RouteTable = New-AzRouteTable -Name 'RouteTable1' -ResourceGroupName $RG
-location $Location -Route $Route
Funcionamiento
Mediante las tablas de rutas asociadas con Azure Firewall, podemos definir cómo se
controla el tráfico entre redes y cómo enrutamos el tráfico de una red a otra. En un
entorno de varias redes, en especial, en una red híbrida donde conectamos una Azure
Virtual Network con una red local, esta opción es muy importante. Esto nos permite
determinar qué tipo de tráfico puede ingresar, y dónde y cómo puede hacerlo.
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en
https://portal.azure.com.
Procedimiento
Para habilitar el diagnóstico en Azure Firewall, siga estos pasos:
1. En el panel de Azure Firewall, busque Diagnostics settings (Configuración
de diagnóstico) en Monitoring (Supervisión).
2. Seleccione la opción Add diagnostic setting (Agregar configuración de
diagnóstico), como se muestra en la Figura 7.4:
Habilitar registros de diagnóstico para Azure Firewall | 115
Funcionamiento
El diagnóstico tiene dos propósitos: auditoría y solución de problemas. Según el tráfico
y la configuración, estos registros pueden aumentar con el tiempo, por lo que es
importante tener en cuenta el propósito principal de habilitar el diagnóstico en primer
lugar. Si los diagnósticos se habilitan para auditoría, es probable que desee elegir un
máximo de retención de 365 días. Si el propósito principal es la solución de problemas,
el período de retención se puede mantener en 7 días o incluso un período aún más
breve. Establecer la directiva de retención en 0 almacenará los registros sin eliminarlos
después de un período. Esto puede generar costos adicionales y es posible que deba
configurar un procedimiento diferente para eliminar los registros.
Si no queremos almacenar registros de diagnóstico en una cuenta de almacenamiento,
podemos elegir Log Analytics o Event Hubs. En este caso, el proceso no incluye la
configuración de períodos de retención, puesto que esta configuración se mantiene
en el lado de destino.
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en
https://portal.azure.com.
Procedimiento
A fin de agregar AzureFirewallManagementSubnet para la tunelización forzada,
es necesario hacer lo siguiente:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y, luego, Route
Table (Tabla de rutas) en los servicios de Networking (Redes) (o busque Route
Table [Tabla de rutas] en la barra de búsqueda).
Configurar Azure Firewall en el modo de tunelización forzada | 117
Funcionamiento
Con el fin de admitir la tunelización forzada, el tráfico asociado con la administración
de servicios está separado del resto del tráfico. Se requiere una subred adicional con
un tamaño mínimo de /26, junto con una dirección IP pública asociada. Se requiere una
tabla de rutas con una sola ruta que defina la ruta a Internet y debe deshabilitarse la
propagación de rutas BGP (propagar rutas de gateway). Ahora podemos incluir rutas
y definir adónde exactamente debe ir el tráfico (a un dispositivo de red virtual o un
firewall local) para que se inspeccione o se audite antes de llegar a Internet.
Crear un grupo de IP
Los grupos de IP son recursos de Azure que ayudan a agrupar direcciones IP para
facilitar la administración. De esta manera, podemos aplicar las reglas de Azure Firewall
de forma más fácil y con una mejor visibilidad.
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en
https://portal.azure.com.
Procedimiento
Para crear un grupo de IP nuevo, necesitamos hacer lo siguiente:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y, luego, IP
Group (Grupo de IP) en los servicios de Networking (Redes) (o busque IP group
[grupo de IP] en la barra de búsqueda).
2. En el panel nuevo, proporcione información para los campos Subscription
(Suscripción), Resource group (Grupo de recursos), Name (Nombre) y Region
(Región):
Figura 7.12: Agregar una subred en el campo IP address, range or subnet (Dirección IP, intervalo o
subred)
4. Ahora podemos continuar con el grupo de IP e implementarlo.
Funcionamiento
Los grupos de IP nos permiten asociar varias direcciones IP con un solo recurso para
una administración más sencilla. Podemos asociar cualquier número de direcciones
IP individuales (en formato 10.10.10.10), intervalos IP (en formato 10.10.10.10-
10.10.10.20) o subredes (en formato 10.10.10.0/24). Entonces, las reglas de firewall se
pueden asociar con grupos de IP y todas las direcciones IP en un grupo de IP definido.
En lugar de crear una regla independiente para cada dirección IP, intervalo o subred,
ahora podemos tener una sola regla para un solo intervalo de IP. Esto significa una
administración y un mantenimiento más sencillos de Azure Firewall, junto con una
mejor visibilidad de las reglas vigentes.
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en
https://portal.azure.com.
Procedimiento
Para configurar las opciones de DNS personalizado en Azure Firewall, tenemos que
hacer lo siguiente:
122 | Azure Firewall
Figura 7.13: Configurar las opciones de DNS de Azure Firewall mediante Azure Portal
Funcionamiento
Para usar el filtrado de FQDN, Azure Firewall debe ser capaz de resolver el FQDN en
cuestión. Esto se puede lograr mediante la habilitación de la configuración de DNS en
Azure Firewall. Cuando está habilitado, podemos elegir entre DNS proporcionado por
Azure o DNS personalizado. El DNS personalizado puede ser una zona DNS de Azure
o un servidor DNS que se ejecuta en una red virtual.
8
Creación de
conexiones híbridas
Las conexiones híbridas nos permiten crear conexiones seguras con redes virtuales
de Azure (VNets). Estas conexiones pueden ser locales o de otras VNets de Azure.
El establecimiento de conexiones con VNets de Azure permite el intercambio de tráfico
de red seguro con otros servicios que se ubican en diferentes VNets de Azure, diferentes
suscripciones o servicios fuera de Azure (en diferentes nubes o en entornos locales).
El uso de conexiones seguras elimina la necesidad de puntos de conexión expuestos
públicamente que presentan un riesgo potencial de seguridad. Esto es especialmente
importante cuando consideramos la administración, en que la apertura de puntos de
conexión públicos crea un riesgo de seguridad y presenta un problema importante.
Por ejemplo, si consideramos administrar máquinas virtuales, es una práctica común
usar Protocolo de escritorio remoto (RDP) o PowerShell para la administración. La
exposición de estos puertos al acceso público presenta un gran riesgo. Un procedimiento
recomendado es deshabilitar cualquier tipo de acceso público a esos puertos y utilizar
solo el acceso desde una red interna para la administración. En este caso, usaremos una
conexión de sitio a sitio o de punto a sitio para habilitar la administración segura.
124 | Creación de conexiones híbridas
En otro escenario, es posible que necesitemos tener acceso a un servicio o una base
de datos en otra red, ya sea local o a través de otra VNet de Azure. Nuevamente, la
exposición de estos servicios puede presentar un riesgo, por lo que usamos la conexión
de sitio a sitio, de VNet a VNet o el emparejamiento de VNet para habilitar esa conexión
de forma segura.
En este capítulo, trataremos las siguientes tareas:
• Crear una conexión de sitio a sitio
• Descargar la configuración del dispositivo VPN desde Azure
• Crear una conexión de punto a sitio
• Crear una conexión de VNet a VNet
• Conectar VNets mediante el emparejamiento de red
Requisitos técnicos
Para este capítulo, se necesita lo siguiente:
• Una suscripción a Azure
• Windows PowerShell
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en
https://portal.azure.com.
Procedimiento
Para crear una nueva conexión de sitio a sitio, debemos seguir estos pasos:
1. Busque el gateway de red virtual (el que creamos en el Capítulo 5, Gateways de red
local y virtual) y seleccione Connections (Conexiones).
2. En Connections, seleccione la opción Add (Agregar) para agregar una conexión
nueva:
Funcionamiento
Con el gateway de red virtual, configuramos el lado de Azure del túnel IPsec. El gateway
de red local proporciona información sobre la red local y define el lado local del túnel
con la dirección IP pública y la información de subred local. De esta manera, el lado
del túnel de Azure tiene toda la información pertinente necesaria para establecer una
conexión correcta con una red local. Sin embargo, esto completa solamente la mitad
del trabajo, puesto que también se debe configurar el lado opuesto de la conexión. Esta
parte del trabajo, en realidad, depende del dispositivo VPN que se utiliza de forma local
y cada dispositivo tiene pasos de configuración únicos. Después de que se configuran
ambos lados del túnel, el resultado es una conexión VPN segura y cifrada entre las redes.
Revisemos cómo configurar nuestro dispositivo VPN local.
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en
https://portal.azure.com.
Procedimiento
Para descargar la configuración del dispositivo VPN, debemos seguir estos pasos:
1. Busque la conexión Site-2-Site (Sitio a sitio) en Azure Portal. El panel Overview
(Información general) se abrirá de forma predeterminada.
2. Seleccione la opción Download configuration (Descargar configuración) de la
parte superior del panel:
3. Se abrirá un panel nuevo y verá que todas las opciones del panel están predefinidas:
Funcionamiento
Después de configurar el lado de Azure del túnel IPsec, necesitamos configurar el otro
lado, además del dispositivo VPN local. Los pasos y la configuración son diferentes para
cada dispositivo. En algunos casos, podemos descargar el archivo de configuración
directamente de Azure Portal. Una vez configurado el dispositivo VPN, todo está
configurado y podemos usar el túnel para tener una comunicación segura entre
la red local y la VNet.
Preparación
A fin de crear una conexión de punto a sitio, necesitaremos generar un certificado que
se usará para la conexión. Para crear un certificado, debemos seguir estos pasos:
1. Ejecute el siguiente script de PowerShell para generar un certificado:
$cert = New-SelfSignedCertificate -Type Custom '
-KeySpec Signature '
-Subject "CN=P2SRootCert" '
-KeyExportPolicy Exportable '
-HashAlgorithm sha256 -KeyLength 2048 '
-CertStoreLocation "Cert:\CurrentUser\My" '
Crear una conexión de punto a sitio | 131
4. Seleccione la opción No, do not export the private key (No exportar la clave
privada) y haga clic en Next (Siguiente):
Procedimiento
Para crear una conexión de punto a sitio, necesitamos hacer lo siguiente:
1. En Azure Portal, busque el gateway de red virtual y vaya a User VPN configuration
(Configuración de VPN de usuario). Seleccione Configure now (Configurar ahora):
5. En Azure Portal, tenemos que definir el certificado raíz. Escriba el nombre del
certificado y, luego, pegue su valor (a partir del paso anterior) en el campo Public
certificate data (Datos de certificado público):
Funcionamiento
La conexión de punto a sitio nos permite acceder de forma segura a VNets de Azure.
El acceso a una conexión de sitio a sitio se limita al acceso desde nuestra red local,
pero la conexión punto a sitio nos permite conectarnos desde cualquier lugar. Se usa la
autenticación basada en certificados, que utiliza el mismo certificado tanto en el servidor
(Azure) como en el cliente (el cliente VPN) para verificar la conexión y permitir el acceso.
Esto nos permite acceder a las VNets de Azure desde cualquier lugar y en cualquier
momento. Este tipo de conexión se utiliza normalmente para tareas de administración
y mantenimiento, puesto que se trata de una conexión a petición. Si se necesita una
conexión constante, debe considerar una conexión de sitio a sitio.
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en
https://portal.azure.com.
Procedimiento
Para crear una conexión de VNet a VNet, debemos seguir estos pasos:
1. En Azure Portal, busque uno de los gateways de red virtual (asociado a una de las
VNets a las que intenta conectarse).
2. En el panel Virtual network gateway (Gateway de red virtual), seleccione
Connections (Conexiones) y, luego, Add (Agregar) para agregar una conexión
nueva:
Crear una conexión de VNet a VNet | 137
Funcionamiento
Una conexión de VNet a VNet funciona de forma muy similar a una conexión de sitio
a sitio. La diferencia es que Azure usa un gateway de red local para obtener información
sobre la red local. En este caso, no necesitamos esta información; utilizamos dos
gateways de red virtual para conectarnos. Cada gateway de red virtual proporciona
información de red para la VNet a la que está asociado. Esto da como resultado
conexiones VPN seguras y cifradas entre dos VNets de Azure que se pueden usar
para establecer conexiones entre recursos de Azure en ambas VNets.
Ahora, aprenderemos cómo usar el emparejamiento de red para conectar las redes
virtuales.
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en
https://portal.azure.com.
Procedimiento
Para crear emparejamiento de red, debemos realizar los siguientes pasos:
1. En Azure Portal, busque una de las VNets a las que desea conectarse.
2. En el panel Virtual network (Red virtual), seleccione la opción Peerings
(Emparejamientos) y, luego, Add (Agregar) para agregar una conexión nueva:
Funcionamiento
El emparejamiento de red nos permite establecer una conexión entre dos VNets
de Azure en el mismo inquilino de Azure. El emparejamiento usa una red troncal de
Microsoft para enrutar el tráfico privado entre recursos de la misma red, utilizando
solo direcciones IP privadas. No hay necesidad de gateways de red virtual (que crean
un costo adicional), puesto que se crea un "gateway remoto" virtual para establecer
una conexión. La desventaja de este enfoque es que la misma VNet no puede usar el
emparejamiento y un gateway de red virtual al mismo tiempo. Si es necesario conectar
una VNet a la red local y a otra VNet, debemos adoptar un enfoque diferente y usar un
gateway de red virtual, que nos permitirá crear una conexión de sitio a sitio con una
red local, y una conexión de VNet a VNet con otra VNet.
Cuando se trata de la configuración de acceso a la red, tenemos varias opciones
para controlar el flujo de tráfico de la red. Por ejemplo, supongamos que se permite
el tráfico de la VNet A a la VNet B, pero se deniega de la VNet B a la VNet A. Por
supuesto, podemos establecerlo al revés o hacerlo bidireccional.
También podemos controlar el tráfico de tránsito cuando hay una red adicional
en la combinación. Si la VNet A está conectada a la VNet B y, además, la VNet A está
conectada a la VNet C, podemos controlar si el tráfico se permite entre la VNet B
y la VNet C como tráfico de tránsito a través de la VNet A.
Sin embargo, esto solo funciona si el tránsito no se realiza a través de emparejamiento.
Si todas las redes son VNets de Azure y la VNet A está conectada a la VNet B a través de
emparejamiento, y la VNet B está conectada a la VNet C a través de emparejamiento, la
conexión entre la VNet A y la VNet C no sería posible a través del tránsito entre redes
virtuales. Esto se debe a que el emparejamiento es una relación no transitiva entre
dos redes virtuales. Si la VNet B está conectada a la VNet C a través de una conexión
de VNet a VNet (o a una red local a través de una conexión de sitio a sitio), el tránsito
sería posible entre la VNet A y la VNet C a través de la VNet B.
9
Conexión de los
recursos de forma
segura
Exponer los puntos de conexión de administración (RDP, SSH, HTTP y otros) a través de
una dirección IP pública no es una buena idea. Cualquier tipo de acceso de administración
debe controlarse y permitirse solo a través de una conexión segura. Por lo general, esto
se realiza mediante la conexión a una red privada (a través de S2S o P2S) y el acceso a los
recursos a través de direcciones IP privadas. En algunas situaciones, esto no es fácil de
lograr. El motivo puede ser una infraestructura local insuficiente o, en algunos casos, la
situación puede ser demasiado compleja. Afortunadamente, hay otras formas de lograr
el mismo objetivo. Podemos conectarnos de forma segura a nuestros recursos mediante
Azure Bastion, Azure Virtual WAN y Azure Private Link.
146 | Conexión de los recursos de forma segura
Requisitos técnicos
Para este capítulo, se necesita lo siguiente:
• Una suscripción a Azure
Preparación
Antes de poder crear una instancia de Azure Bastion, debemos preparar la subred.
A fin de crear una nueva subred para Azure Bastion, siga estos pasos:
1. Busque la red virtual que se asociará con la instancia de Azure Bastion.
2. Seleccione la opción Subnets (Subredes) en Settings (Configuración) y seleccione
la opción para agregar una subred nueva, tal como se muestra en la Figura 9.1:
Procedimiento
Para crear una nueva instancia de Azure Bastion, se deben seguir estos pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y elija Azure
Bastion en Networking (Redes) (o busque Azure Bastion en la barra de búsqueda).
2. En el panel nuevo, se tiene que proporcionar información para los campos
Subscription (Suscripción), Resource group (Grupo de recursos), Name (Nombre)
y Region (Región). A continuación, se tiene que seleccionar una opción para
Virtual network (Red virtual) (solo estarán disponibles las redes virtuales en la
misma región) y Subnet (Subred) (la que creamos previamente) y proporcionar
información para Public IP address (Dirección IP pública) (seleccionar una
existente o crear una nueva):
Funcionamiento
Azure Bastion se aprovisiona dentro de la red virtual, lo que permite que se comunique
con todos los recursos de esa red. Con TLS, proporciona una conexión segura de
RDP y SSH a todos los recursos de esa red. La conexión se realiza a través de una
sesión de explorador, y no se requiere ninguna dirección IP pública. Esto significa que
no necesitamos exponer ninguno de los puertos de administración a través de una
dirección IP pública.
Después de crear la instancia de Azure Bastion, pasemos a la siguiente tarea, en la que
aprenderemos cómo conectarnos a una máquina virtual con Azure Bastion.
Preparación
Antes de comenzar, abra el explorador web y vaya a Azure Portal a través de https://
portal.azure.com.
Procedimiento
Para conectarnos a una máquina virtual con Azure Bastion, tenemos que seguir estos
pasos:
1. En Azure Portal, busque la máquina virtual a la que desea conectarse. La máquina
virtual debe estar en la misma red virtual en la que se implementa Azure Bastion.
2. En el panel Virtual machine (Máquina virtual), seleccione la opción Connect
(Conectar) en Settings (Configuración). Seleccione la pestaña BASTION y, en esa
pestaña, seleccione Use Bastion (Usar Bastion):
3. Seleccione la opción Open in new window (Abrir en ventana nueva) y complete los
campos de Username (Nombre de usuario) y Password (Contraseña):
Funcionamiento
Azure Bastion usa una subred en la red virtual para conectarse a máquinas virtuales
en esa red específica. Proporciona una conexión segura a través de TLS y permite una
conexión a una máquina virtual sin exponerla a través de una dirección IP pública.
En esta tarea, aprendimos a conectar una máquina virtual con Azure Bastion. En la
siguiente tarea, aprenderemos a crear una WAN virtual.
Preparación
Antes de comenzar, abra el explorador web y vaya a Azure Portal a través de
https://portal.azure.com.
152 | Conexión de los recursos de forma segura
Procedimiento
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y, luego, Virtual
WAN (WAN virtual) en Networking (Redes) (o busque Virtual WAN en la barra de
búsqueda).
2. En el panel nuevo, debemos proporcionar información en los campos Subscription
(Suscripción), Resource group (Grupo de recursos), Resource group location
(Ubicación del grupo de recursos), Name (Nombre) y Type (Tipo):
3.
Azure Virtual WAN está listo para su implementación y, por lo general, solo tarda unos
minutos en completarse.
Funcionamiento
Azure Virtual WAN lleva varios servicios de red a un solo punto. Desde aquí, podemos
configurar, controlar y supervisar conexiones, como de sitio a sitio, de punto a sitio,
ExpressRoute o una conexión entre redes virtuales. Cuando tenemos varias conexiones
de sitio a sitio o varias redes virtuales conectadas con emparejamiento, puede ser difícil
realizar un seguimiento de todos estos recursos. La WAN virtual nos permite hacer eso
con un solo servicio.
Esto se logra con centros de conectividad, y en la siguiente tarea, veremos cómo
configurar uno.
Crear un centro de conectividad (en Virtual WAN) | 153
Preparación
Antes de comenzar, abra el explorador web y vaya a Azure Portal a través de
https://portal.azure.com.
Procedimiento
1. En Azure Portal, busque la WAN virtual creada anteriormente.
2. En el panel Virtual WAN (WAN virtual), seleccione Hubs (Centros) en la sección
Connectivity (Conectividad). Seleccione la opción para agregar un nuevo centro
de conectividad:
Figura 9.12: Agregar información del grupo de direcciones de clientes y servidores DNS personalizados
Funcionamiento
Los centros virtuales representan puntos de control dentro de una región. A partir de
ahí, podemos definir todas las conexiones a las redes virtuales dentro de la región. Esto
se aplica a conexiones de sitio a sitio, punto a sitio y ExpressRoute. Cada sección es
opcional, y podemos crear un centro de conectividad sin ninguna configuración para los
tipos de conexión. Si elegimos crearlos en este punto, necesitamos proporcionar una
SKU para cada tipo. Una conexión de punto a sitio también requiere que se proporcione
la configuración de VPN del usuario. Cada tipo de conexión también se puede agregar
más adelante.
En esta tarea, aprendimos a crear un centro virtual. Pasemos a la siguiente tarea para
aprender a agregar una conexión de sitio a sitio en un centro virtual.
Preparación
Antes de comenzar, abra el explorador web y vaya a Azure Portal a través de
https://portal.azure.com.
Agregar una conexión de sitio a sitio (en un centro virtual) | 159
Procedimiento
Con el fin de crear una conexión de sitio a sitio en un centro virtual (en una WAN
virtual), debemos seguir estos pasos:
1. Busque la WAN virtual y ubique el centro virtual creado previamente en Hubs
(Centro) en la sección Connectivity (Conectividad). Seleccione ese centro:
2. En el panel Virtual HUB (Centro virtual), vaya a la configuración VPN (Site to site)
(VPN [Sitio a sitio]) en Connectivity (Conectividad). Seleccione la opción Create
new VPN site (Crear un nuevo sitio de VPN):
Figura 9.15: Seleccionar la opción Create new VPN site (Crear un nuevo sitio de VPN) en el panel Virtual
HUB (Centro virtual)
Figura 9.18: Hacer clic en la opción Connect VPN sites (Conectar sitios de VPN) para iniciar la conexión
Funcionamiento
Agregar una conexión de sitio a sitio a nuestro centro virtual nos permite conectarnos
a un centro virtual en una región específica desde nuestra red local (u otras redes
mediante un dispositivo virtual). Para ello, debemos proporcionar información sobre
la conexión VPN en el centro virtual y configurar el dispositivo VPN que se usará para
conectarse.
Sin embargo, esto solo nos permite conectarnos al centro de conectividad. Necesitamos
conectar las redes virtuales para poder acceder a los recursos de Azure. En la siguiente
tarea, veremos cómo agregar una conexión de red virtual al centro virtual.
Preparación
Antes de comenzar, abra el explorador web y vaya a Azure Portal a través de
https://portal.azure.com.
164 | Conexión de los recursos de forma segura
Procedimiento
Con el fin de agregar una conexión de red virtual en un centro virtual (en una WAN
virtual), debemos seguir estos pasos:
1. Busque la WAN virtual y ubique el centro virtual creado previamente en Virtual
network connections (Conexiones de red virtual) en la sección Connectivity
(Conectividad). Seleccione la opción Add connection (Agregar conexión):
Funcionamiento
Conectar una red virtual a un centro virtual nos permitirá acceder a los recursos
cuando se conecten al mismo centro. Se puede realizar una conexión a través de
una conexión de sitio a sitio, una conexión de punto a sitio o desde otra red virtual
(conectada al mismo centro). Cuando creamos una conexión, necesitamos proporcionar
reglas de enrutamiento y propagación para definir el flujo de red. También podemos
definir una ruta estática. Una ruta estática obligará a todo el tráfico a pasar por una sola
dirección IP, por lo general, a través de un firewall o un dispositivo virtual de red.
Pasemos a la siguiente tarea para aprender a crear un punto de conexión de
Private Link.
Preparación
Necesitamos crear un servicio que se asociará con el punto de conexión de Private Link:
1. Abra el explorador y vaya a Azure Portal a través de https://portal.azure.com.
Seleccione la opción para crear un servicio nuevo. Busque SQL Server (servidor
lógico) y seleccione la opción Create new (Crear nuevo).
2. En el panel nuevo, debemos proporcionar información en los campos Subscription
(Suscripción), Resource group (Grupo de recursos), Server name (Nombre del
servidor) (debe ser un FQDN único) y Location (Ubicación). Por último, debemos
proporcionar credenciales para el inicio de sesión de administrador antes de
seleccionar Review + create (Revisar y crear):
Crear un punto de conexión de Private Link | 167
Procedimiento
Para implementar un nuevo punto de conexión de Private Link, debe seguir estos pasos:
1. Vaya a Azure Portal y seleccione la opción para crear un nuevo servicio. Busque
Private Link y seleccione la opción Create new (Crear nuevo).
2. En el panel nuevo, Private Link Center, seleccione Create private endpoint
(Crear un punto de conexión privado):
Funcionamiento
El punto de conexión de Private Link asocia el recurso de PaaS seleccionado con la
subred de la red virtual. Al hacerlo, tenemos la opción de acceder al recurso de PaaS
a través de una conexión segura. Como opción, podemos integrar una zona DNS privada
y usar la resolución de DNS, en lugar de las direcciones IP.
Un punto de conexión de Private Link nos permite vincular servicios directamente,
pero solo los servicios individuales y solo directamente. Si necesitamos agregar
equilibradores de carga en el lugar, podemos usar un servicio Private Link.
Preparación
Primero debemos crear una máquina virtual. Revise la tarea Crear máquinas virtuales
Azure del Capítulo 2, Redes de máquinas virtuales. Tenga en cuenta que en la sección
Networking (Redes), debemos seleccionar la misma red virtual que se utilizó para
conectar el SQL Server en la tarea anterior.
Un servicio de Private Link también requiere de un Standard Load Balancer. Consulte
las tareas Crear un equilibrador de carga público, Crear un grupo de back-end, Crear
sondeos de estado y Crear reglas de equilibrador de carga del Capítulo 10, Equilibradores
de carga. Tenga en cuenta que en el destino de back-end, tenemos que seleccionar la
máquina virtual que acabamos de crear.
Ahora, abra el explorador y vaya a Azure Portal a través de https://portal.azure.com.
Procedimiento
Para implementar el nuevo servicio de Private Link, debe seguir estos pasos:
1. En Azure Portal, seleccione la opción para crear un nuevo servicio. Busque Private
Link y seleccione la opción Create new (Crear nuevo).
2. En el panel nuevo, Private Link Center, seleccione Create private link service
(Crear un servicio Private Link):
Funcionamiento
Un servicio de Private Link y un punto de conexión de Private Link funcionan de forma
similar, lo que nos permite conectarnos a servicios (que de forma predeterminada son
accesibles públicamente) a través de una red privada. La principal diferencia es que
con un punto de conexión de Private Link, vinculamos los servicios de PaaS y, con un
servicio de Private Link, creamos un servicio personalizado detrás de Standard Load
Balancer.
10
Equilibradores de carga
Los equilibradores de carga se usan para admitir escalado y alta disponibilidad para
aplicaciones y servicios. Un equilibrador de carga se compone principalmente de tres
componentes: un front-end, un back-end y reglas de enrutamiento. Las solicitudes
que llegan al front-end de un equilibrador de carga se distribuyen según reglas de
enrutamiento al back-end, donde colocamos varias instancias de un servicio. Esto
se puede utilizar por motivos relacionados con el rendimiento, cuando nos gustaría
distribuir el tráfico por igual entre los puntos de conexión en el back-end, o para
alta disponibilidad, cuando se usan varias instancias de servicios para aumentar las
posibilidades de que, al menos, un punto de conexión esté disponible en todo momento.
En este capítulo, trataremos las siguientes tareas:
• Crear un equilibrador de carga interno
• Crear un equilibrador de carga público
• Crear un grupo de back-end
• Crear sondeos de estado
• Crear reglas de equilibrador de carga
• Crear reglas NAT de entrada
• Crear reglas de salida explícitas
176 | Equilibradores de carga
Requisitos técnicos
Para este capítulo, se requiere una suscripción a Azure.
Puede encontrar los ejemplos de código en https://github.com/PacktPublishing/
Azure-Networking-Cookbook-Second-Edition/tree/master/Chapter10.
Preparación
Antes de comenzar, abra el explorador web y vaya a Azure Portal a través de
https://portal.azure.com.
Procedimiento
Para crear un equilibrador de carga interno nuevo con Azure Portal, tiene que seguir
estos pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y, luego, Load
Balancer (Equilibrador de carga) en los servicios de Networking (Redes) (o busque
Load Balancer [Equilibrador de carga] en la barra de búsqueda).
2. En el panel nuevo, se debe seleccionar una opción de suscripción y una opción de
grupo de recursos para el lugar en que se creará el equilibrador de carga. Luego,
tenemos que proporcionar información para las opciones Name (Nombre), Region
(Región), Type (Tipo) y SKU. En este caso, seleccionamos Internal (Interno) para
Type (Tipo) a fin de implementar un equilibrador de carga interno y definimos la
SKU en Standard (Estándar). Por último, tenemos que seleccionar la red virtual
(Virtual network) y la subred (Subnet) a las que se asociará el equilibrador de
carga, junto con la información sobre la asignación de dirección IP (IP address
assignment), que puede ser estática (Static) o dinámica ( Dynamic):
Crear un equilibrador de carga interno | 177
Funcionamiento
A un equilibrador de carga interno se le asigna una dirección IP privada, y todas las
solicitudes que llegan al front-end de un equilibrador de carga interno deben llegar
a esa dirección privada. Esto limita el tráfico que llega al equilibrador de carga desde
dentro de la red virtual asociada con el equilibrador de carga. El tráfico puede provenir
de otras redes (otras redes virtuales o redes locales) si hay algún tipo de red privada
virtual (VPN) implementada. El tráfico que llega al front-end del equilibrador de carga
interno se distribuirá entre los puntos de conexión en el back-end del equilibrador de
carga. Los equilibradores de carga internos generalmente se utilizan para servicios que
no se ubican en una red perimetral (DMZ) (por lo que no se puede acceder a ellos por
Internet), sino más bien en servicios de nivel intermedio o posterior en una arquitectura
de aplicación de varios niveles.
También debemos tener en cuenta las diferencias entre las SKU básicas y estándar.
La principal diferencia está en el rendimiento (que es mejor en la SKU estándar) y en el
SLA (la SKU estándar tiene un SLA que garantiza un 99,99 % de disponibilidad, mientras
que la básica no tiene ningún SLA). Además, considere que la SKU estándar requiere
un Grupo de seguridad de red (NSG). Si no hay un NSG en la subred o la interfaz de
red, o NIC (de la VM en el back-end), no se permitirá que el tráfico llegue a su destino.
Para obtener más información sobre las SKU de los equilibradores de carga, consulte
https://docs.microsoft.com/azure/load-balancer/skus.
Preparación
Antes de comenzar, abra el explorador web y vaya a Azure Portal a través de
https://portal.azure.com.
Procedimiento
Para crear un nuevo equilibrador de carga público con Azure Portal, siga estos pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y, luego, Load
Balancer (Equilibrador de carga) en los servicios de Networking (Redes) (o busque
Load Balancer [Equilibrador de carga] en la barra de búsqueda).
Crear un equilibrador de carga público | 179
Funcionamiento
Se asigna una dirección IP pública al equilibrador de carga público en el front-end. Por
lo tanto, todas las solicitudes que llegan al equilibrador de carga público pasan a través
de Internet y se dirigen a la dirección IP pública del equilibrador de carga. Luego, las
solicitudes se distribuyen a los puntos de conexión en el back-end del equilibrador de
carga. Lo que resulta interesante es que el equilibrador de carga público no se orienta
a las direcciones IP públicas en el back-end, sino a las direcciones IP privadas. Por
ejemplo, supongamos que tenemos un equilibrador de carga público con dos VM de
Azure en el back-end. El tráfico que llega a la dirección IP pública del equilibrador de
carga se distribuirá a las VM, pero se dirigirá a las direcciones IP privadas de las VM.
Los equilibradores de carga públicos se utilizan para servicios orientados al público,
normalmente, para servidores web.
Preparación
Antes de comenzar, abra el explorador web y vaya a Azure Portal a través de
https://portal.azure.com.
Crear un grupo de back-end | 181
Procedimiento
Para crear el grupo de back-end, se debe hacer lo siguiente:
1. En Azure Portal, busque el equilibrador de carga creado anteriormente (ya sea
interno o público).
2. En el panel Load balancer (Equilibrador de carga), en Settings (Configuración),
seleccione Backend pools (Grupos de back-end). Seleccione Add (Agregar) para
agregar el nuevo grupo de back-end:
Funcionamiento
Los dos componentes principales de cualquier equilibrador de carga son el front-
end y el back-end. El front-end define el punto de conexión del equilibrador de carga
y el back-end define adónde debe ir el tráfico después de llegar al equilibrador de
carga. A medida que se crea la información de front-end junto con el equilibrador de
carga, debemos definir el back-end nosotros mismos, después de lo cual el tráfico se
distribuirá uniformemente entre los puntos de conexión en el back-end. Las opciones
disponibles para el grupo de back-end son VM y conjuntos de escalado de VM.
Consulte también
Encontrará más información disponible sobre VM, conjuntos de disponibilidad y
conjuntos de escalado de VM, en mi libro, Hands-On Cloud Administration in Azure
(Administración práctica de la nube en Azure), publicado por Packt en https://www.
packtpub.com/virtualization-and-cloud/hands-cloud-administration-azure.
Preparación
Antes de comenzar, abra el explorador web y vaya a Azure Portal a través de
https://portal.azure.com.
Procedimiento
Para crear un nuevo sondeo de estado en el equilibrador de carga, tenemos que hacer lo
siguiente:
1. En Azure Portal, busque el equilibrador de carga creado anteriormente (ya sea
interno o público).
Crear sondeos de estado | 185
Funcionamiento
Después de definir el sondeo de estado, este se usará para supervisar los puntos de
conexión en el grupo de back-end. Definimos el protocolo y el puerto como datos
útiles, que proporcionarán información respecto a si el servicio que estamos utilizando
está disponible o no. Supervisar el estado del servidor no bastaría, puesto que podría
ser engañoso. Por ejemplo, el servidor podría estar en ejecución y disponible, pero
podría ser que los IIS o SQL Server que usemos no estén disponibles. Por lo tanto, el
protocolo y el puerto detectarán cambios en el servicio que nos interesa, y no solo si
el servidor se está ejecutando. El intervalo define la frecuencia con la que se realiza
una comprobación y el umbral de estado incorrecto define después de cuántos errores
consecutivos se declara que el punto de conexión no está disponible.
Preparación
Antes de comenzar, abra el explorador web y vaya a Azure Portal a través de
https://portal.azure.com.
Procedimiento
Para crear una regla de equilibrador de carga, se debe hacer lo siguiente:
1. En Azure Portal, busque el equilibrador de carga creado anteriormente (ya sea
interno o público).
2. En el panel Load balancer (Equilibrador de carga), en Settings (Configuración),
seleccione Load balancing rules (Reglas de equilibrio de carga). Seleccione Add
(Agregar) para agregar una regla de equilibrio de carga:
Funcionamiento
La regla del equilibrador de carga es la pieza final que une todos los componentes.
Definimos qué dirección IP de front-end se usa y a qué back-end se reenviará el tráfico
del grupo. El sondeo de estado se asigna para supervisar los puntos de conexión en el
grupo de back-end y para realizar un seguimiento de si hay puntos de conexión que
no responden. También creamos una asignación de puertos que determinará en qué
protocolo y en qué puerto escuchará el equilibrador de carga y, cuando llegue el tráfico,
adónde se reenviará este tráfico.
Como modo de distribución predeterminado, Azure Load Balancer usa un hash de
cinco tuplas (IP de origen, puerto de origen, IP de destino, puerto de destino y tipo
de protocolo). Si cambiamos la persistencia de la sesión a Client IP (IP de cliente), la
distribución será de dos tuplas (la misma VM controlará las solicitudes de la misma
dirección IP de cliente). Cambiar la persistencia de la sesión a Client IP and protocol (IP
y protocolo del cliente), cambiará la distribución a tres tuplas (la misma VM controlará
las solicitudes de la misma combinación de dirección IP y protocolo del cliente).
Preparación
Antes de comenzar, abra el explorador web y vaya a Azure Portal a través de https://
portal.azure.com.
Procedimiento
Para crear una nueva regla NAT de entrada, se debe hacer lo siguiente:
1. En Azure Portal, busque el equilibrador de carga creado anteriormente (ya sea
interno o público).
2. En el panel Load balancer (Equilibrador de carga), en Settings (Configuración),
seleccione Inbound NAT rules (Reglas NAT de entrada). Seleccione Add (Agregar)
para agregar una nueva regla NAT de entrada:
Crear reglas NAT de entrada | 189
Figura 10.12: Agregar una regla NAT de entrada para un equilibrador de carga existente
3. En el nuevo panel, debemos proporcionar detalles para los campos Name
(Nombre), Frontend IP address (Dirección IP de front-end), IP Version (Versión
de IP) (establecida en función de la dirección IP de front-end), Service (Servicio),
Protocol (Protocolo) y Port (Puerto). También podemos editar la opción Idle
timeout (Tiempo de espera inactivo), que está definida en 4 minutos de forma
predeterminada. Seleccione Target virtual machine (Máquina virtual de destino)
y Network IP configuration (Configuración IP de red) para la misma máquina
(si la VM tiene más de una configuración IP). Por último, puede seleccionar la
asignación de puerto predeterminada o usar una personalizada:
Funcionamiento
Las reglas de NAT de entrada le permiten usar la IP pública del equilibrador de carga
para conectarse directamente a una instancia de back-end específica. Crean una
asignación de puertos similar a la asignación de puertos creada por las reglas del
equilibrador de carga, pero para una instancia de back-end específica. Una regla
del equilibrador de carga crea ajustes adicionales, como el sondeo de estado o la
persistencia de la sesión. Las reglas NAT de entrada excluyen estos ajustes y crean una
asignación incondicional desde el front-end hasta el back-end. Con una regla NAT de
entrada, el tráfico reenviado siempre llegará al único servidor en el back-end, mientras
que un equilibrador de carga reenviará el tráfico al grupo de back-end y usará un
algoritmo pseudo-round-robin para enrutar el tráfico a cualquiera de los servidores
correctos del grupo de back-end.
Preparación
Antes de comenzar, asegúrese de que las reglas de salida implícitas estén desactivadas a
partir de las reglas de equilibrio de carga:
Procedimiento
Para crear una regla de equilibrador de carga, se debe hacer lo siguiente:
1. En Azure Portal, busque el equilibrador de carga público creado anteriormente.
2. En el panel Load balancer (Equilibrador de carga), en Settings (Configuración),
seleccione Outbound rules (Reglas de salida). Seleccione Add (Agregar) para
agregar la regla de equilibrio de carga:
Funcionamiento
Las reglas de salida dependen de tres factores: direcciones IP de front-end, instancias
en el grupo de back-end y conexiones. Cada dirección IP de front-end tiene un número
limitado de puertos para las conexiones. Cuantas más direcciones IP se asignen al front-
end, más conexiones se permitirán. Por otra parte, el número de conexiones permitidas
(por instancia de back-end) disminuye con el número de instancias en el back-end.
Si establecemos el número predeterminado de puertos de salida, la asignación se
realiza de forma automática y sin control. Si tenemos un conjunto de escalado de VM
con el número predeterminado de instancias, la asignación de puertos se realizará
de forma automática para cada VM en el conjunto de escalado. Si aumenta el número
de instancias en un conjunto de escalado, esto significa que el número de puertos
asignados a cada VM se reducirá a su vez.
Para evitar esto, podemos establecer la asignación de puertos en manual y limitar el
número de instancias permitidas o limitar el número de puertos por instancia. Esto
garantizará que cada VM tenga una cierta cantidad de puertos dedicados y que las
conexiones no se eliminarán.
11
Traffic Manager
Azure Load Balancer se limita a proporcionar alta disponibilidad y escalabilidad solo
a las máquinas virtuales Azure (VM). Además, un único equilibrador de carga se limita
a las VM de una sola región de Azure. Si queremos proporcionar alta disponibilidad y
escalabilidad a otros servicios de Azure distribuidos globalmente, debemos introducir
un componente nuevo: Azure Traffic Manager. Azure Traffic Manager se basa en DNS
y proporciona la capacidad de distribuir el tráfico a través de los servicios y difundirlo
en las regiones de Azure. Sin embargo, Traffic Manager no se limita solo a los servicios
de Azure. También podemos agregar puntos de conexión externos.
En este capítulo, trataremos las siguientes tareas:
• Crear un nuevo perfil de Traffic Manager
• Agregar un punto de conexión
• Configurar el tráfico distribuido
• Configurar el tráfico en función de la prioridad
• Configurar el tráfico en función de la ubicación geográfica
• Administrar puntos de conexión
• Administrar perfiles
• Configurar Traffic Manager con equilibradores de carga
196 | Traffic Manager
Requisitos técnicos
Para este capítulo, se requiere una suscripción a Azure.
Puede encontrar los ejemplos de código en https://github.com/PacktPublishing/
Azure-Networking-Cookbook-Second-Edition/tree/master/Chapter11.
Preparación
Antes de comenzar, abra el explorador web y vaya a Azure Portal a través de
https://portal.azure.com.
Procedimiento
Para crear un nuevo perfil de Traffic Manager, se debe hacer lo siguiente:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y, luego, Traffic
Manager Profile (Perfil de Traffic Manager) en los servicios de Networking (Redes)
(o busque Traffic Manager Profile [Perfil de Traffic Manager] en la barra de
búsqueda).
2. En el panel nuevo, debemos proporcionar información en los campos Name
(Nombre), Routing method (Método de enrutamiento), Subscription (Suscripción)
y Resource group (Grupo de recursos):
Funcionamiento
Traffic Manager tiene asignado un punto de conexión público que debe ser un
FQDN. Todo el tráfico que llega a ese punto de conexión se distribuirá a los puntos de
conexión en el back-end, a través del método de enrutamiento seleccionado. El método
de enrutamiento predeterminado es Performance (Rendimiento). El método de
rendimiento distribuirá el tráfico en función del mejor rendimiento posible disponible.
Por ejemplo, si tenemos más de un punto de conexión de back-end en la misma
región, el tráfico se difundirá uniformemente. Si los puntos de conexión se encuentran
en diferentes regiones, Traffic Manager dirigirá el tráfico al punto de conexión
más cercano al tráfico entrante en términos de ubicación geográfica y latencia de
red mínima.
Pasemos a la siguiente tarea y agreguemos un punto de conexión a Traffic Manager.
Preparación
Antes de que podamos agregar puntos de conexión a Traffic Manager, necesitamos
crearlos. La ejecución del siguiente script en PowerShell puede ayudarlo a crear dos
aplicaciones web rápidamente:
$ResourceGroupName = "packt-demo-webapp"
$webappname="packt-demo-webapp"
$location1="West Europe"
$NumberOfWebApps= 2
El script se puede editar para implementar más de dos aplicaciones web si es necesario.
Sin embargo, para aprovechar al máximo Traffic Manager, es mejor tener aplicaciones
web en diferentes regiones.
Después de completar el script, abra el explorador web y vaya a Azure Portal
en https://portal.azure.com.
Procedimiento
Para agregar puntos de conexión a Traffic Manager, se debe hacer lo siguiente:
1. En Azure Portal, busque el perfil de Traffic Manager creado anteriormente.
2. En el panel Traffic Manager profile (Perfil de Traffic Manager), en Settings
(Configuración), seleccione Endpoints (Puntos de conexión). Seleccione Add
(Agregar) para agregar un nuevo punto de conexión:
Agregar un punto de conexión | 199
Funcionamiento
Las solicitudes entrantes llegan a Traffic Manager accediendo al punto de conexión
de front-end de Traffic Manager. Según las reglas (principalmente el método
de enrutamiento), el tráfico se reenvía a los puntos de conexión de back-end. El
equilibrador de carga funciona reenviando tráfico a direcciones IP privadas. Por otro
lado, Traffic Manager usa puntos de conexión públicos en el back-end. Los tipos de
punto de conexión admitidos son Azure, externo y anidado. En función del tipo de
punto de conexión, podemos agregar puntos de conexión de Azure o externos. Los
puntos de conexión pueden ser FQDN (públicos) o direcciones IP públicas. Los puntos
de conexión anidados nos permiten agregar otros perfiles de Traffic Manager al back-
end de Traffic Manager.
La configuración de encabezado personalizado agrega encabezados HTTP específicos
a las comprobaciones de estado que Traffic Manager envía a los puntos de conexión
de un perfil. Se pueden definir en el nivel de perfil (y aplicarse a todos los puntos de
conexión en ese perfil) o para cada punto de conexión individual. Vienen en el formato
header:value y se pueden agregar hasta 8 pares (header1:value1, header2:value2,
header3:value3…)
Después de agregar puntos de conexión a Traffic Manager, pasemos a la siguiente tarea
para aprender a configurar el tráfico distribuido.
Preparación
Antes de comenzar, abra el explorador web y vaya a Azure Portal a través de
https://portal.azure.com.
202 | Traffic Manager
Procedimiento
Para establecer tráfico distribuido, se debe hacer lo siguiente:
1. En Azure Portal, busque el perfil de Traffic Manager creado anteriormente.
2. En Settings (Configuración), seleccione la opción Configuration (Configuración).
Aquí, tenemos varias opciones que podemos cambiar, como el Tiempo de vida
(TTL) de DNS, los protocolos y la configuración de conmutación por error:
Funcionamiento
El método de enrutamiento ponderado distribuirá el tráfico de forma uniforme en
todos los puntos de conexión en el back-end. Podemos establecer aún más ajustes de
ponderación para dar una ventaja a un determinado punto de conexión y determinar
que algunos puntos de conexión reciban un mayor o un menor porcentaje del
tráfico. Este método se utiliza por lo general cuando tenemos varias instancias de
una aplicación en la misma región, o para escalar horizontalmente a fin de aumentar
el rendimiento.
En esta tarea, aprendimos a distribuir el tráfico de manera uniforme en todos los puntos
de conexión. En la próxima tarea, aprenderemos a configurar tráfico en función de la
prioridad.
Preparación
Antes de comenzar, abra el explorador web y vaya a Azure Portal a través de
https://portal.azure.com.
204 | Traffic Manager
Procedimiento
Para establecer el método de enrutamiento en Priority (Prioridad), se debe hacer
lo siguiente:
1. En Azure Portal, busque el perfil de Traffic Manager creado anteriormente.
2. En Settings (Configuración), seleccione la opción Configuration (Configuración).
3. Cambie Routing method (Método de enrutamiento) a Priority (Prioridad), como se
muestra en la Figura 11.9:
Funcionamiento
Prioridad establece un orden de prioridad para los puntos de conexión. Todo el tráfico
irá primero a los puntos de conexión con la prioridad más alta. Se realiza una copia de
seguridad de los otros puntos de conexión (con menor prioridad) y el tráfico se enruta
a estos puntos de conexión solo cuando los puntos de conexión de mayor prioridad no
están disponibles. El orden de prioridad predeterminado es el orden en el que se agregan
los puntos de conexión a Traffic Manager. Es decir, el punto de conexión que se agrega
primero se convierte en el que tiene la prioridad más alta y el punto de conexión que se
agrega al último pasa a ser el punto de conexión con la prioridad menor. La prioridad se
puede cambiar en la configuración del punto de conexión.
En la próxima tarea, aprenderemos a configurar tráfico en función de la ubicación
geográfica.
Configurar el tráfico en función de la ubicación geográfica | 205
Preparación
Antes de comenzar, abra el explorador web y vaya a Azure Portal a través de https://
portal.azure.com.
Procedimiento
A fin de establecer que el método de enrutamiento se base en la ubicación geográfica,
siga estos pasos:
1. En Azure Portal, busque el perfil de Traffic Manager creado anteriormente.
2. En Settings (Configuración), seleccione la opción Configuration (Configuración).
3. Cambie el método de enrutamiento a Geographic (Geográfico), como se muestra
en la Figura 11.10:
Funcionamiento
El método de enrutamiento geográfico hace que el origen de la solicitud coincida con
el punto de conexión más cercano en términos de ubicación geográfica.
Por ejemplo, supongamos que tenemos varios puntos de conexión, cada uno en un
continente diferente. Si una solicitud proviene de Europa, no tendría sentido enrutarla
a Asia o América del Norte. El método de enrutamiento geográfico se asegurará de que
una solicitud procedente de Europa se dirija al punto de conexión ubicado en Europa.
Pasemos a la siguiente tarea para aprender a administrar puntos de conexión.
Preparación
Antes de comenzar, abra el explorador web y vaya a Azure Portal a través de
https://portal.azure.com.
Procedimiento
Para hacer cambios a los puntos de conexión en Traffic Manager, siga estos pasos:
1. En Azure Portal, busque el perfil de Traffic Manager creado anteriormente.
2. En Settings (Configuración), seleccione Endpoints (Puntos de conexión). En la lista
que aparece, seleccione el punto de conexión que desea cambiar:
Funcionamiento
El punto de conexión existente en el back-end de Traffic Manager se puede cambiar.
Podemos eliminar el punto de conexión para quitarlo completamente de Traffic
Manager, o podemos deshabilitarlo para quitarlo de forma temporal del back-end.
También podemos cambiar el punto de conexión por completo, para que se dirija
a otro servicio o a un tipo totalmente diferente.
En esta tarea, aprendimos a administrar puntos de conexión. En la siguiente,
aprenderemos a administrar y ajustar perfiles.
Administrar perfiles
El perfil de Traffic Manager es otra configuración que podemos administrar y ajustar.
Aunque tiene opciones muy limitadas, en que solo podemos deshabilitar y habilitar
Traffic Manager, la administración de la configuración del perfil puede ser muy útil
para fines de mantenimiento. En esta tarea, administraremos nuestro perfil de Traffic
Manager.
Preparación
Antes de comenzar, abra el explorador web y vaya a Azure Portal a través de
https://portal.azure.com.
208 | Traffic Manager
Procedimiento
Para hacer cambios al perfil de Traffic Manager, siga estos pasos:
1. En Azure Portal, busque el perfil de Traffic Manager creado anteriormente.
2. En Overview (Información general), seleccione la opción Disable profile
(Deshabilitar perfil) y confírmela haciendo clic en el botón Yes (Sí):
Funcionamiento
Administrar el perfil de Traffic Manager con las opciones de deshabilitar y habilitar
hará que el front-end de Traffic Manager no esté disponible o esté disponible (según la
opción seleccionada). Esto puede ser muy útil para fines de mantenimiento. Si tenemos
que aplicar cambios en todos los puntos de conexión y los cambios deben aplicarse a
todos los puntos de conexión al mismo tiempo, podemos deshabilitar el perfil de Traffic
Manager temporalmente. Una vez que los cambios se apliquen a todos los puntos
de conexión, podemos habilitar el perfil para que Traffic Manager esté disponible de
nuevo.
Pasemos a la siguiente tarea para aprender a configurar Traffic Manager con
equilibradores de carga.
Configurar Traffic Manager con equilibradores de carga | 209
Preparación
Antes de comenzar, abra el explorador web y vaya a Azure Portal a través
de https://portal.azure.com.
Procedimiento
Para configurar Traffic Manager con un equilibrador de carga, se debe hacer lo
siguiente:
1. En Azure Portal, busque el equilibrador de carga y compruebe que tiene la
dirección IP asignada, tal como se indica en el Capítulo 8, Equilibradores de carga.
Solo se pueden utilizar direcciones IP públicas:
2. Vaya a Traffic Manager y seleccione Add (Agregar) para agregar un nuevo punto
de conexión. Seleccione Azure endpoint (Punto de conexión de Azure) para Type
(Tipo), proporcione un nombre para el punto de conexión y seleccione Public IP
address (Dirección IP pública) como el tipo de recurso de destino. De acuerdo con
el tipo seleccionado, aparecerá una nueva opción, que nos permitirá seleccionar
recursos que coincidan con el tipo que seleccionamos. En nuestro caso, la opción
para seleccionar la dirección IP pública está disponible:
Funcionamiento
Los equilibradores de carga proporcionan una mejor disponibilidad, gracias a que
mantienen un servicio activo, aunque se produzca un error en uno de los servicios del
grupo de back-end. Si se produce un error en una región, los equilibradores de carga
no pueden proporcionar ayuda porque se limitan a una sola región. Tenemos que
proporcionar otro conjunto de recursos en otra región para aumentar realmente la
disponibilidad, pero estos conjuntos serán por completo independientes y no brindarán
conmutación por error a menos que incluyamos a Traffic Manager. Traffic Manager
se convertirá en el front-end y agregaremos equilibradores de carga como los puntos
de conexión de back-end de Traffic Manager. Todas las solicitudes llegarán primero a
Traffic Manager y, a continuación, se enrutarán al equilibrador de carga adecuado en el
back-end. Traffic Manager supervisará el estado de los equilibradores de carga y, si uno
de ellos no está disponible, el tráfico se redirigirá a un equilibrador de carga activo.
12
Azure Application
Gateway y Azure WAF
Requisitos técnicos
Para este capítulo, se requiere una suscripción a Azure.
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en
https://portal.azure.com.
Crear un nuevo gateway de aplicación | 213
Procedimiento
Para crear un nuevo gateway de aplicación, siga estos pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y, luego,
Application Gateway (Gateway de aplicación) en Networking (Redes) (o busque
application gateway [gateway de aplicación] en la barra de búsqueda).
2. En el panel nuevo, tenemos que proporcionar información para los campos
Subscription (Suscripción), Resource group (Grupo de recursos), Name (Nombre),
Region (Región), Tier (Nivel), Autoscaling (Escalado automático), Instance count
(Recuento de instancias), Availability zone (Zona de disponibilidad) y HTTP2.
También se debe seleccionar la red virtual y la subred que se asociarán con el
gateway de aplicación. Se limitará a las redes virtuales que se encuentran en la
región seleccionada para el gateway de aplicación:
Funcionamiento
Azure Application Gateway es muy similar a Azure Load Balancer, con algunas opciones
adicionales. Enrutará el tráfico que llegue al front-end del gateway de aplicación
a un back-end definido, en función de las reglas que especifiquemos. Además del
enrutamiento basado en protocolos y puertos, el gateway de aplicación también
permite el enrutamiento definido basado en rutas y protocolos. Con estas reglas
adicionales, podemos enrutar las solicitudes entrantes a los puntos de conexión
optimizados para algunos roles. Por ejemplo, podemos tener varios grupos de back-
end con diferentes configuraciones que están optimizadas para realizar solo tareas
específicas. En función de la naturaleza de las solicitudes entrantes, el gateway de
aplicación enrutará las solicitudes al grupo de back-end adecuado. Este enfoque,
además de una alta disponibilidad, proporcionará un mejor rendimiento mediante el
enrutamiento de cada solicitud a un grupo de back-end que procesará la solicitud de
una manera más optimizada.
Podemos configurar el escalado automático para el gateway de aplicación (disponible
solo para V2) con información adicional para la cantidad mínima y máxima de unidades.
De esta manera, el gateway de aplicación escalará en función de la demanda y
garantizará que el rendimiento no se vea afectado, incluso con el número máximo de
solicitudes.
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en
https://portal.azure.com.
222 | Azure Application Gateway y Azure WAF
Procedimiento
Para agregar grupos de back-end al gateway de aplicación, siga estos pasos:
1. En Azure Portal, busque el gateway de aplicación creado anteriormente.
2. En el panel Application gateway (Gateway de aplicación), en Settings
(Configuración), seleccione Backend pools (Grupos de back-end). Seleccione Add
(Agregar) para agregar un nuevo grupo de back-end o seleccione uno existente
para editarlo:
Funcionamiento
Con los grupos de back-end, definimos los destinos a los que se reenviará el tráfico.
Como el gateway de aplicación nos permite definir el enrutamiento para cada solicitud,
es mejor tener destinos basados en el rendimiento y tipos agrupados de la misma
manera. Por ejemplo, si tenemos varios servidores web, estos deben colocarse en el
mismo grupo de back-end. Los servidores que se utilizan para procesamiento de datos
deben colocarse en un grupo independiente y los servidores que se usan para videos
en otro grupo distinto. De esta manera, podemos separar los grupos en función de
los tipos de rendimiento y enrutar el tráfico en función de las operaciones que deben
completarse.
Esto aumentará el rendimiento de nuestra aplicación, puesto que cada solicitud se
procesará según el recurso que mejor se adapte a una tarea específica. Para lograr una
alta disponibilidad, debemos agregar más servidores a cada grupo de back-end.
224 | Azure Application Gateway y Azure WAF
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en
https://portal.azure.com.
Procedimiento
Para agregar una configuración HTTP al gateway de aplicación, siga estos pasos:
1. En Azure Portal, busque el gateway de aplicación creado anteriormente.
2. En el panel Application gateway (Gateway de aplicación), en Settings
(Configuración), seleccione HTTP settings (Configuración HTTP). Seleccione Add
(Agregar) para agregar una nueva configuración HTTP o seleccione una existente
para editarla:
Funcionamiento
Como se mencionó anteriormente, el propósito principal de la configuración HTTP es
garantizar que las solicitudes se dirijan al grupo de back-end correcto. Sin embargo, hay
muchas otras opciones disponibles. La afinidad basada en cookies nos permite enrutar
las solicitudes desde el origen hasta el servidor de destino en el grupo de back-end. El
drenaje de conexiones controlará la conducta cuando el servidor se elimine del grupo
de back-end. Si esto se habilita, el servidor mantendrá las solicitudes sobre la marcha
al mismo servidor. La configuración de anulación nos permite reemplazar la ruta de
acceso de la dirección URL con una ruta diferente o un dominio completamente nuevo,
antes de reenviar la solicitud al grupo de back-end.
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en
https://portal.azure.com.
Procedimiento
Para agregar un agente de escucha a un gateway de aplicación, tenemos que hacer lo
siguiente:
1. En Azure Portal, busque el gateway de aplicación creado anteriormente.
2. En el panel Application gateway (Gateway de aplicación), en Settings
(Configuración), seleccione Listeners (Agentes de escucha), luego, seleccione Add
listener (Agregar agente de escucha) para agregar un agente de escucha nuevo o
editar uno existente:
Funcionamiento
Un agente de escucha supervisa nuevas solicitudes que llegan al gateway de aplicación.
Cada agente de escucha supervisa solo una dirección IP de front-end y solo un puerto.
Si tenemos dos direcciones IP de front-end (una pública y una privada) y tráfico que
vienen a través de varios protocolos y puertos, debemos crear un agente de escucha
para cada dirección IP y cada puerto al que el tráfico puede estar llegando.
El tipo básico de agente de escucha se utiliza cuando este escucha un solo dominio.
Normalmente, se usa cuando hospedamos una sola aplicación detrás de un gateway de
aplicación. Un agente de escucha de varios sitios se utiliza cuando tenemos más de una
aplicación detrás del gateway de aplicación y necesitamos configurar el enrutamiento
en función de un nombre de host o nombre de dominio.
228 | Azure Application Gateway y Azure WAF
Configurar reglas
Las reglas en los gateways de aplicación se utilizan para determinar cómo fluye
el tráfico. Diferentes configuraciones determinan adónde se reenvía una solicitud
específica y cómo se hace esto.
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en
https://portal.azure.com.
Procedimiento
Para agregar una regla al gateway de aplicación, siga estos pasos:
1. En Azure Portal, busque el gateway de aplicación creado anteriormente.
2. En el panel Application gateway (Gateway de aplicación), en Settings
(Configuración), seleccione Rules (Reglas). Agregue una nueva regla o seleccione
una existente para editarla:
3. En el panel nuevo, debemos proporcionar un nombre para la nueva regla (si está
editando una regla existente, esta opción está atenuada) y seleccionar el agente de
escucha, como se muestra en la Figura 12.19:
Funcionamiento
Con reglas, podemos unir algunos parámetros de configuración creados previamente.
Definimos un agente de escucha que especifica la solicitud que esperamos, la dirección
IP y el puerto. A continuación, estas solicitudes se reenvían al grupo de back-end. El
reenvío se realiza en función de la configuración HTTP. Como alternativa, también
podemos agregar redirección a las reglas.
230 | Azure Application Gateway y Azure WAF
Configurar sondeos
Los sondeos en el gateway de aplicación se utilizan para supervisar el estado de los
destinos de back-end. Cada punto de conexión se supervisa y, si se encuentra alguno en
mal estado, se saca temporalmente de la rotación y las solicitudes no se reenvían. Una
vez que el estado cambia, se agrega de nuevo. Esto impide que las solicitudes se envíen
a puntos de conexión que no están en buen estado y que no pueden atender la solicitud.
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en
https://portal.azure.com.
Procedimiento
Para agregar un sondeo al gateway de aplicación, siga estos pasos:
1. En Azure Portal, busque el gateway de aplicación creado anteriormente.
2. En el panel Application gateway (Gateway de aplicación), en Settings
(Configuración), seleccione Health probes (Sondeos de estado). Seleccione Add
(Agregar) para agregar el sondeo nuevo:
3. En el panel nuevo, debemos proporcionar el nombre (Name) del sondeo (esta opción
se atenuará si se edita un sondeo existente), junto con el protocolo (Protocol),
el host (Host) y la ruta (Path). También necesitamos establecer el intervalo en
segundos (Interval (seconds)), el tiempo de espera en segundos (Timeout (seconds))
y el umbral de estado incorrecto (Unhealthy threshold). También podemos elegir
configurar la opción de usar condiciones de coincidencia de sondeo (Use probe
matching conditions) y asociar la configuración de HTTP (HTTP settings):
Funcionamiento
Los valores de protocolo, host y ruta definen qué sondeo se está supervisando. El
intervalo define la frecuencia con la que se realizarán las comprobaciones. El tiempo de
espera define cuánto tiempo debe pasar antes de que se declare que la comprobación
falló. Por último, el umbral de estado incorrecto se usa para establecer cuántas
comprobaciones erróneas deben producirse antes de que el punto de conexión se
declare no disponible.
Preparación
Para habilitar un WAF, debemos establecer el gateway de aplicación en el nivel WAF.
Para hacerlo, siga estos pasos:
1. En el panel Application gateway (Gateway de aplicación), vaya a Web application
firewall (Firewall de aplicaciones web), en Settings (Configuración). En Tier (Nivel),
cambie la selección de Standard V2 (V2 estándar) a WAF V2 y seleccione Save
(Guardar):
Procedimiento
Después de que el gateway de aplicación se define en WAF, podemos habilitar y
establecer las reglas de firewall. Para hacerlo, siga estos pasos:
Configurar un Firewall de aplicaciones web (WAF) | 233
Funcionamiento
La función WAF aumenta la seguridad mediante la comprobación de todo el tráfico
entrante. Como esto puede hacer que el rendimiento sea más lento, podemos excluir
algunos elementos que crean falsos positivos, en especial, cuando se trata de elementos
de tamaño significativo. Los elementos excluidos no se inspeccionarán. Un WAF puede
funcionar en dos modos: detección y prevención. La detección solo detectará si se envía
una solicitud malintencionada, en tanto que la prevención detendrá dicha solicitud.
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en
https://portal.azure.com.
Procedimiento
Para cambiar las reglas de WAF, se debe hacer lo siguiente:
1. Seleccione Web application firewall (Firewall de aplicaciones web), en Settings
(Configuración), en el panel Application gateway (Gateway de aplicación).
Personalizar reglas de WAF | 235
Figura 12.27: Personalizar las reglas de WAF en el panel Application gateway (Gateway de aplicación)
236 | Azure Application Gateway y Azure WAF
Funcionamiento
Un WAF viene con todas las reglas activadas de forma predeterminada. Esto puede
hacer que el rendimiento sea más lento, por lo que podemos deshabilitar algunas de las
reglas si es necesario. Además, hay tres conjuntos de reglas disponibles: OWASP 2.2.9,
OWASP 3.0 y OWASP 3.1. El conjunto de reglas predeterminado (y recomendado) es
OWASP 3.0, pero podemos cambiar entre conjuntos de reglas según se requiera.
Preparación
Antes de comenzar, abra el explorador y vaya a Azure Portal en
https://portal.azure.com.
Procedimiento
Para crear un nuevo gateway de aplicación, siga estos pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y, luego, Web
Application Firewall (Firewall de aplicaciones web) en Networking (Redes) (o
busque Web Application Firewall [Firewall de aplicaciones web] en la barra de
búsqueda).
2. En el panel nuevo, primero debemos completar la sección Basics (Aspectos
básicos). Tenemos que establecer para qué se usará la directiva (Application
Gateway, Front Door o CDN), configurar las opciones Subscription (Suscripción)
y Resource group (Grupo de recursos) y completar los campos Policy name
(Nombre de directiva) y Location (Ubicación). Además, podemos establecer si la
directiva se habilitará o deshabilitará una vez que se haya creado:
Crear una directiva de WAF | 237
7. Una vez que se crea la regla personalizada, aparecerá en la lista y podemos pasar
a la sección Association (Asociación):
10. Una vez que se selecciona Application gateway (Gateway de aplicación), tenemos
que asociar agentes de escucha. Seleccione Associate listener (Asociar agente
de escucha) en Associate HTTP listeners (Asociar agentes de escucha HTTP).
En el panel nuevo, del menú desplegable, seleccione el agente de escucha que
desea usar:
11. Una vez que el agente de escucha esté asociado, podemos comenzar a crear
nuestra directiva de WAF:
Funcionamiento
Nuestra directiva de WAF contiene todos los ajustes y la configuración requeridos para
nuestro WAF, y puede asociarse con Application Gateway, Front Door o CDN. Se puede
asociar con varios recursos, pero solo con un tipo a la vez. El modo (Mode) determina
el tipo de acción que se realizará cuando se detecte un problema. La opción Prevention
(Prevención) bloqueará las solicitudes sospechosas y Detection (Detección) solo creará
una entrada de registro.
13
Azure Front Door
y Azure CDN
Varios servicios de red en Microsoft Azure se dedican a la entrega de aplicaciones.
Azure Front Door y Azure CDN son servicios que nos permiten crear aplicaciones para
entrega global y aprovechar la red global de centros de datos de Azure. Al aprovechar
esta capacidad, podemos proporcionar la misma experiencia a nuestros usuarios,
independientemente de su ubicación física.
En este capítulo, trataremos las siguientes tareas:
• Crear una instancia de Azure Front Door
• Crear un perfil de Azure CDN
Requisitos técnicos
Para este capítulo, se necesita lo siguiente:
• Una suscripción a Azure
244 | Azure Front Door y Azure CDN
Preparación
Azure Front Door requiere servicios que se agregarán al grupo de back-end. Puede
usar un script de la sección Preparación de la tarea Agregar un punto de conexión, en el
Capítulo 11, Traffic Manager.
A continuación, abra el explorador y vaya a Azure Portal a través de
https://portal.azure.com.
Procedimiento
Para crear una nueva instancia de Azure Front Door, siga estos pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y, luego, Front
Door en Networking (Redes) (o busque Front Door en la barra de búsqueda).
2. En el panel nuevo, tenemos varias secciones que abarcar. En Basics (Aspectos
básicos), necesitamos proporcionar detalles para Subscription (Suscripción)
y Resource group (Grupo de recursos). La opción Resource group location
(Ubicación del grupo de recursos) se selecciona automáticamente y aparece
atenuada:
Crear una instancia de Azure Front Door | 245
8. Repita este proceso para agregar por lo menos un punto de conexión al grupo de
back-end:
9. Una vez que hayamos agregado suficientes puntos de conexión al grupo de back-
end, podemos continuar con la configuración:
15. Una vez creada la regla de enrutamiento, tenemos todos los componentes
necesarios y podemos continuar con la creación de la instancia de Azure Front
Door. Para ello, tenemos que ir a la pestaña Review + create (Revisar y crear):
Funcionamiento
Todas las solicitudes de aplicaciones están llegando al front-end. En función de las
reglas que creamos, las solicitudes se reenvían a los puntos de conexión en el back-end.
Las reglas de equilibrio de carga se asegurarán de que las solicitudes se envíen al back-
end disponible más rápido.
La velocidad de muestreo correcta garantiza que los puntos de conexión en el back-end
estén disponibles y determina cuántas muestras se envían a la vez. Successful samples
required (Se requieren muestras correctas) define cuántas solicitudes correctas
se necesitan para que un punto de conexión se considere en buen estado. Latency
sensitivity (Sensibilidad a la latencia) establece la tolerancia entre el punto de conexión
con la latencia más baja y el resto de los puntos de conexión. Por ejemplo, supongamos
que la configuración de la sensibilidad a la latencia es de 30 ms, mientras que la
latencia del punto de conexión A es de 15 ms, la del punto de conexión B es de 30 ms
y la del punto de conexión C es de 90 ms. Los puntos de conexión A y B se colocarán
en el grupo más rápido, puesto que la diferencia de latencia es menor que el umbral
de sensibilidad, y el punto de conexión C está por encima del umbral.
Crear una instancia de Azure Front Door | 253
Nota
Muchos términos y opciones son los mismos que para Application Gateway y no
los explicaremos de nuevo. Además, Web Application Firewall (WAF) es una
opción que se puede habilitar en Azure Front Door para una mejor seguridad.
Para obtener más información sobre WAF, consulte las tareas relacionadas en el
Capítulo 12, Azure Application Gateway y Azure WAF.
Azure Front Door también incluye varias opciones y reglas configurables que
pueden ayudar a que sus aplicaciones web ofrezcan un servicio centrado en el cliente
y en la marca. Aquí le indicamos algunos recursos importantes relacionados con Azure
Front Door:
• Más información sobre los dominios personalizados: https://docs.microsoft.
com/azure/frontdoor/front-door-custom-domain
• Más información sobre los dominios comodín: https://docs.microsoft.com/
azure/frontdoor/front-door-wildcard-domain
• Más información sobre el Motor de reglas: https://docs.microsoft.com/azure/
frontdoor/front-door-rules-engine
• Más información sobre las condiciones de coincidencia del Motor de reglas:
https://docs.microsoft.com/azure/frontdoor/front-door-rules-engine-match-
conditions
• Más información sobre las acciones del Motor de reglas: https://docs.microsoft.
com/azure/frontdoor/front-door-rules-engine-actions
Una vez creada la instancia de Azure Front Door, pasemos a la siguiente receta para
aprender a crear un perfil de Azure CDN.
254 | Azure Front Door y Azure CDN
Preparación
Antes de comenzar, abra el explorador web y vaya a Azure Portal a través de
https://portal.azure.com.
Procedimiento
Para crear un nuevo perfil de Azure CDN, siga estos pasos:
1. En Azure Portal, seleccione Create a resource (Crear un recurso) y, luego, CDN
en Networking (Redes) (o busque CDN en la barra de búsqueda).
2. En el panel nuevo, tenemos que proporcionar información para los campos Name
(Nombre), Subscription (Suscripción), Resource group (Grupo de recursos)
y Pricing tier (Plan de tarifa). Si decidimos proporcionar un punto de conexión
de CDN en este momento, necesitamos proporcionar detalles para CDN endpoint
name (Nombre del punto de conexión de CDN), Origin type (Tipo de origen)
y Origin hostname (Nombre de host de origen). La opción Origin hostname
(Nombre de host de origen) estará disponible en la lista desplegable, en función
de la opción Origin type (Tipo de origen) seleccionada:
Crear un perfil de Azure CDN | 255
Funcionamiento
Azure CDN almacena el contenido de nuestra aplicación en servidores perimetrales.
Como estos servidores perimetrales se distribuyen en las regiones de Azure, tenemos
copias de contenido prácticamente en cada región del mundo. Luego, el contenido se
entrega a los usuarios finales desde la ubicación más cercana, lo que proporciona una
latencia de red mínima. Supongamos que una aplicación se hospeda en Europa occidental,
y un usuario se encuentra en la parte oeste de los Estados Unidos. El contenido, en este
caso, no se entregará desde la ubicación original, sino desde la ubicación más cercana al
usuario, en este caso, el Oeste de EE. UU. De esta manera, podemos asegurarnos de que
cada usuario tenga la mejor experiencia y entrega dondequiera que esté.
>
Índice
Acerca de
Todas las palabras clave importantes que se usan en este libro aparecen ordenadas
alfabéticamente en esta sección. Cada una va acompañada de los números de las páginas
donde aparecen.
196-197, 201, 203, 154, 163, 180, 201,
A 207, 210, 212, 214-216, 203-204, 208-209,
a petición: 136 218-219, 221-224, 218, 225, 227, 231, 236
acceso: 19, 24, 39, 226, 229-230, conmutación por error:
49, 55-56, 123-124, 244-249, 251, 253 202, 210, 244
136, 143, 145, 163, basado en DNS: 195 consola: 6, 34, 39, 44,
166, 170, 173, 190 basado en rol: 173 54, 76, 79, 112-113
acción: 36, 38, 48, 104, 241 base de datos: 124 consultas: 83
administración: 11, 22, bastion: 5, 145-151 contraseña: 19, 151
120-121, 123-124, bloqueado: 127, 138 control: 31-32, 45-46, 48,
136, 145, 150-151 108, 110, 140, 143, 152,
administrado: 110, 238 C 158, 173, 193, 211, 226
administrador: 91, 140, controlado: 124, 145
calificado: 84, 121, 196
195-198, 200-210, 244 cuenta: 115-116, 217
cambiar: 236
afinidad: 219, 224-226, 246
agente de escucha: 217,
Cancelar asignación: 57
centro de datos: 2,
D
226-227, 229, 241
6, 18-19, 23 dedicado: 23, 148, 193, 243
alias: 90
cerrado: 54 definido: 3, 7, 10-11, 13-14,
almacenamiento:
cifrado: 128, 139 20, 24, 27, 33, 88, 91, 96,
20, 115-116, 217
cinco tuplas: 188 100, 102, 116, 121, 158,
análisis: 116
cliente: 253 184, 197, 201, 221, 226
anidado: 199, 201
cliente: 91, 136, delegación: 8, 148
anulación: 219, 224-226
156-157, 188 denegado: 37, 42, 44, 143
anycast: 83
codificado: 132 desactivación: 190, 208
aplicar: 234
comando: 6-7, 11-12, 34, desactivar: 235
aprueba: 24
39, 44, 54, 76, 112-114 desasociar: 26, 29
asignación: 186-190, 211
comodín: 253 desasociar: 96, 99
asignación: 68, 192-193
compartido: 127, 138 descargar: 128-130,
asignar: 20, 40, 42,
compatible: 128-129, 136, 162
44, 55-57
201, 240 descripción general:
asociar: 33, 40-44, 46-48,
condiciones: 231, 239, 253 89, 128, 208
56, 69, 93-95, 121, 165,
conexión: 19, 53, 61, deshabilitar: 20, 58, 93,
182, 231, 240-241
74-78, 81, 102, 123-128, 123, 160, 207-208, 219,
auditoría: 114, 116
130, 133, 136-143, 225, 235-236, 238
automatizar: 6, 34, 54, 79
145-146, 150-153, 156, desplegable: 18, 56,
autónomo: 78, 154
158-160, 162-166, 88, 110, 134, 140,
B 170, 219, 224-226
configuración: 114
240-241, 254
destino: 169, 171, 178, 180,
back-end: 12, 44, 171, configurar: 20, 39, 47, 189, 199, 210, 215, 218,
175-176, 178, 180-184, 73-74, 93, 112, 121, 222-223, 226, 229
186-188, 190, 192-193, 128, 130, 133, 152, detección: 234, 238, 241
detectar: 184, 186, 234 eliminar: 93, 98, excluir: 16, 190, 234
diagnóstico: 107, 114-116 103-105, 207 expandir: 212
dinámico: 27, 54, 58-61, emparejamiento: explícitas: 175, 190
65-66, 79, 172, 176 124, 139-140, exportar: 131-133
dirección: 1, 3-4, 6-14, 16, 142-143, 151-152 expuesto: 123, 166
19-20, 24, 26-27, 45, 49, en caché: 254 extensión: 45, 107
51-66, 68-69, 71, 74, 76, encabezado: 201, 247 externo: 195, 199, 201
78, 80-81, 90-91, 94, encabezados: 201
100-103, 105, 109-112, enrutamiento: 6, 69, F
118-121, 128, 134, 145, 78, 83, 92, 165-166,
factor: 42, 65
148-151, 154, 156-157, 175, 196-197, 201,
fallar: 231
160-161, 166, 172, 176, 203-205, 212, 216-218,
falta: 79, 100, 216
178-180, 187-190, 220-221, 223, 227-229,
filtrado: 45, 121-122
192-193, 199, 209-211, 244-245, 250-253
firewall: 5, 70-71, 74, 76,
214, 227, 229, 234 entrada (de): 19, 35, 37,
80-81, 107-108, 110-114,
directiva: 116, 162, 39-40, 48-49, 54,
116, 118-122, 166, 212,
212, 236-241 108, 175, 188-190
231-234, 236, 246, 253
directo: 188, 197 entradas: 196
firmware: 129
dirigido: 91, 184, entrante: 31, 48, 107,
físico: 23, 243
196-197, 224, 226 186-187, 197, 201,
flotante: 187
dispositivo: 100-103, 211, 221, 226, 234
formato: 6, 8, 12, 100,
120, 163, 166 entrega: 243, 253-255
121, 132, 201
dispositivo: 78, 124, equilibrador: 37, 170-173,
forzada: 107, 110, 116, 120
128-130, 160-163 175-182, 184-191, 195,
forzar: 148
distribuir: 175, 195, 201, 209-212, 221, 244
front door: 253
197, 201, 203 errores: 217, 227
front-end: 5, 12, 49,
-dnsname: 131 escalado: 175, 203
172, 175-176, 178,
dominio: 83-85, 88, 91, estado incorrecto:
180, 184, 186-190,
121, 196, 226-227 185-186, 230-231
192-193, 197, 201, 208,
dominios: 83, 86, estado: 130, 139, 142,
210-212, 214, 217, 227
245, 250, 253 230, 233, 247
front-ends: 214,
dos tuplas: 188 estado: 171, 175,
216, 245, 250
drenaje: 219, 224-226 184-188, 190, 201,
fuera: 14, 102, 123
210, 230-231, 249
E estándar: 20, 54, 70, 78,
funciones: 130
económico: 139
111, 170-171, 173, 176,
178-179, 190, 232
G
editor: 135
estática: 27, 54, 56, gateway: 10-11, 73-81,
efecto: 113, 122, 201
58-60, 62, 111, 165-166, 92-93, 100, 102-103,
ejemplo: 129, 250, 252
172, 176, 253 117, 120, 125-128,
elementos: 26
etiquetas: 165 133-134, 136, 138-139,
eliminado: 193
excepción: 27, 114 143, 148, 154-155, 157,
160, 211-214, 220-224, interfaz: 17, 25-29, 31-32, mínimo: 254
226-228, 230-236, 42-44, 55, 57, 61, modificar: 73, 80-81
240-241, 244, 253 63, 65, 67, 151, 178 modificar: 80
gateways: 73, 125-126, intermedio: 178 momentos: 28-29, 33
136, 139, 143, 151, Internet: 2, 24, 37, 39-40,
221, 224, 228, 236 51, 100-102, 117-118, N
generación: 77 120, 166, 178, 180, 190
nativo: 173
generar: 116, 130 interno: 123, 175-179,
no detectado: 184
geográfico: 197, 205 181, 184, 186-188
nombre de usuario: 19, 151
global: 234, 238, 243-244 intervalo: 185-186,
nombres de host: 211-212
grupos: 25, 31, 45-47, 231, 249
nubes: 123
54, 107, 120-121 intervalos: 48, 121
gwipconfig: 79 ir a: 252
O
H K obligatorio: 20, 216
openvpn: 134
hacer cumplir: 110 -keylength: 130-131
operación: 211
híbrido: 19, 114, -keyspec: 130-131
operaciones: 80, 124, 223
123-124, 156 -keyusage: 131
optimizado: 211, 221
hospedado: 84-85, 91, 255
L optimizar: 212
I latencia: 197, 204, 250,
origen: 204-205, 254-255
origen: 36, 38, 45, 48,
implementado: 2, 6-7, 252, 254-255 172, 188, 190, 226
33-34, 71, 150 limita: 178
implícito: 187, 190 limitado: 193, 195, P
incompleto: 224 207, 209-210, 213
parámetros: 6-7, 11, 33,
indefinido: 14 lista blanca: 112
39, 45, 48, 53-54, 74,
independiente: 52, 87 -location: 6-7, 34, 40, 54,
76, 111, 234, 238
individual: 26, 121, 76, 79, 111, 114, 198
patrones: 250
170, 201, 236
inicial: 6, 13, 61 M perfil: 195-198, 201-202,
204-205, 207-208,
iniciar: 162
malintencionada: 234 243, 253-255
inicio: 64
máquina: 17-18, 31, 52, permiso: 136
inspección: 116
146, 150-151, 171, ponderado: 203, 247
inspeccionado: 120, 234
176, 189, 215, 222 potencial: 123
instalar: 6
master: 1, 32, 52, 74, PowerShell: 1, 6-7, 11-12,
instancia: 18-19, 108,
108, 124, 176, 196 32-34, 39-40, 44,
110, 112, 121, 146-147,
máximo: 116, 192, 209, 221 52, 54, 73-76, 79-80,
149-150, 190, 192-193,
métodos: 197, 201 107-108, 111-113,
213, 243-244,
migrado: 55 123-124, 130, 198
252-253, 255
migrar: 56 precompartida: 162
integrar: 87, 170
predefinido: 129, 134 184, 186, 195, 197-201, 201, 209, 244, 254-255
prefijo: 12, 52, 70-71, 76, 203-207, 210, 230-231, registrado: 84, 88
100-103, 118, 148 244, 248, 252, 254 registro: 59, 83-85, 87-92
premium: 20 reinicia: 59
prioridad: 36-39, 42, 44, R remoto: 123, 143
48, 112-113, 195, 197, repositorio: 129
recurso: 2, 6-7, 11, 18,
203-204, 239, 247 resolución: 83,
26-27, 33-34, 40, 45,
privado: 2, 11, 24, 26, 87-88, 91, 170
48, 51-62, 70, 74, 76-77,
51-52, 61-69, 71, 73, respuesta: 184, 239
84, 86, 88, 92-93, 110,
83, 85-88, 132, 139, restringido: 136, 173
116-117, 120-121, 127,
143, 145-146, 154, resultado: 7
138, 140, 149, 152, 154,
160, 166-173, 176, 178, retención: 115-116
160, 165-166, 169-170,
180, 201, 214, 227 rotación: 230
172, 176, 178-179, 196,
problemas: 59, 70, -route: 114
199, 209-210, 212-213,
105, 184, 234 routebased: 79
223, 236, 244-245, 254
procesamiento: 223 rutas: 91, 93, 100, 102,
red: 1-8, 10-14, 16-18,
proceso: 18, 24, 26-29, 104-105, 112, 116-117,
20-21, 24-29, 31-34,
34, 54, 79, 116, 136, 180, 120, 122, 165
37, 41-44, 51, 54-55,
200, 210, 221, 248
-protocol: 39-40, 112-113
57, 61, 63, 65, 67, 71,
73-81, 83, 86-88,
S
protocolo: 36, 38, 48,
91-96, 100, 102-103, salida (de): 35, 37-39,
74, 78, 93, 123, 127,
107-108, 110, 112, 114, 107-108, 110, 172,
160, 162, 184-189,
118, 120, 122-128, 130, 175, 187, 190-193
192, 211, 217, 219, 225,
133-134, 136, 138-140, saliente: 31
227, 231, 249-251
143, 145-152, 163-166, schildcert: 131
protocolos: 187, 202,
170-173, 176, 178-179, -scope: 6
211-212, 221, 227
182, 188-190, 197, 204, script: 7, 12, 34, 39-40, 54,
proveedor: 128-129, 160
213, 243, 254-255 79-80, 130, 198, 244
proveedor: 161
redes: 1-2, 17-20, 22, se espera: 229
proximidad: 23
25-29, 33, 45-46, segura: 2, 4, 123-124,
proyecto: 213
53, 70, 74, 77, 83-84, 128, 130, 136, 139,
público(a): 4, 19-20,
86, 92, 107, 110, 114, 145-146, 150, 166, 170
24, 26, 51-63, 65,
116, 120, 149, 152-153, seguridad: 5, 8, 20, 25-27,
67, 69-71, 74, 76, 78,
170-171, 176, 178, 196, 31-33, 35, 37-38,
80-81, 86, 101, 110-112,
213, 236, 243-244, 254 45-49, 54, 107, 123,
120, 123, 128, 135, 145,
redirigir: 217, 224 127, 146, 148, 173, 178,
149-151, 171, 175-176,
redundancia: 54 231, 234, 244, 253
178-181, 184, 186, 188,
reenvío: 188, 201, selector: 162
190-191, 197, 199, 201,
226, 229, 251 servidor: 18, 23, 36, 83,
209-210, 214, 227
reescribir: 251, 253 121-122, 136, 166, 171,
punto de conexión: 54-55,
regiones: 195, 197-198, 184, 186, 190, 211, 226
146, 166-170, 173, 175,
227, 236, 241, 254
servidores: 23, 26, 61,
83-84, 156-157, 169, 180,
T ver: 11, 16-17, 25-26, 55, 61
190, 211, 223, 254-255 tablas: 85, 91-92, 98, verificar: 136, 209
signature: 130-131 105, 113-114, 165 versión: 53-54, 70,
-signer: 131 tiempo de actividad: 78 129, 185, 187, 189
sin asignar: 56-58 tiempo de espera: 53, visibilidad: 77, 120-121
sin clases: 6 187, 189, 192, 231 vnetname: 111
sistema: 6, 78, 83, 114, 154 tolerancia: 252 volver a enrutar: 100
sobre la marcha: 226 tráfico: 31-32, 35-39, 42, -vpntype: 79
solicitudes: 175, 178, 180, 44-46, 48-49, 54, 73,
184, 188, 201, 210-212, 85, 91-92, 100-103, W
221, 224, 226-227, 107-108, 110, 112-114,
webappname: 198
229-230, 234, 241, 252 116, 120, 123, 139-140,
Windows: 18, 124
sondeos: 171, 175, 184-185, 143, 148, 162, 166, 175,
212, 219, 230, 249 178, 180, 184, 186-188,
sospechosas: 241 190, 195-198, 200-212,
srootcert: 130-131 221, 223-224, 227-228,
subdominio: 89, 91 234, 244, 253
subdominios: 84, 88 tunelización: 107,
-subject: 130-131 110, 116, 120
-subnetid: 79
subred: 1, 3-8, 10-12, U
14-16, 20-21, 26-27,
ubicación: 7, 36, 38, 53,
31-33, 40-42, 44-45,
74, 76, 111-114, 127,
48-49, 62, 64, 76-77,
133, 138, 152, 166, 195,
79-80, 83, 92-100, 102,
197-198, 204-205,
108-112, 116, 118-121, 128,
236, 243-244, 255
147-149, 151, 170, 172,
umbral: 185-186, 231, 252
176, 178-179, 197, 213
subredes: 1, 3, 5, 8, 11-12,
14, 16, 31, 40, 42, 49,
V
80-81, 91-97, 99-100, validar: 177, 180
108, 118, 121, 147, 176 valores: 3, 54, 68, 88,
superponerse: 8, 100, 109-110, 138
11-12, 16, 134 variables: 239
supervisado: 217, varios niveles: 178
227, 230-231 varios sitios: 227
supervisar: 110, 152, 184, varios: 11-12, 26, 28, 44, 52,
186, 188, 210, 230, 244 67, 69, 73, 80, 88, 91, 99,
supervisar: 227 105, 121, 143, 152-153,
175, 197, 201-203, 205,
209, 211-212, 221, 223,