Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Reservados todos los derechos. Esta publicación está protegida por derechos de autor, y se
debe obtener el permiso del editor antes de cualquier reproducción, almacenamiento en un
sistema de recuperación o transmisión prohibida en cualquier forma o por cualquier medio,
ya sea electrónico, mecánico, fotocopiado, grabación o similar. Para obtener información
sobre permisos, formularios de solicitud y los contactos apropiados dentro del
Departamento de Permisos y Derechos Globales de Pearson Education,
visite www.pearson.com/permissions .
ISBN-13: 978-0-13-768277-5
ISBN-10: 0-13-768277-8
ScoutAutomatedPrintCode
MARCAS
Se ha hecho todo lo posible para que este libro sea lo más completo y preciso posible, pero
no se implica ninguna garantía o idoneidad. La información proporcionada es "tal cual". El
autor, el editor y Microsoft Corporation no tendrán obligación ni responsabilidad ante
ninguna persona o entidad con respecto a cualquier pérdida o daño que surja de la
información contenida en este libro o del uso de los programas que lo acompañan.
VENTAS ESPECIALES
Para obtener información sobre la compra de este título en grandes cantidades o para
oportunidades de ventas especiales (que pueden incluir versiones electrónicas, diseños de
portada personalizados y contenido específico para su negocio, objetivos de capacitación,
enfoque de marketing o intereses de marca), comuníquese con nuestro departamento de
ventas corporativas. en corpsales@pearsoned.com o (800) 382-3419.
gobiernosventas@pearsoned.com .
Si tiene preguntas sobre las ventas fuera de los EE. UU., comuníquese con
intlcs@pearson.com .
CRÉDITOS
EDITOR EN JEFE
Brett Bartow
EDITOR EJECUTIVO
Loretta Yates
EDITOR PATROCINADOR
Charvi Arora
REDACTOR DE DESARROLLO
Songlin Qiu
JEFE DE REDACCIÓN
Sandra Schroeder
EDITOR DE PROYECTOS SÉNIOR
Tracey Croom
EDITOR DE COPIA
fiesta de exploradores
INDEXADOR
timoteo wright
CORRECTOR DE PRUEBAS
REDACTOR TÉCNICO
Tomas Palathra
ASISTENTE EDITORIAL
Cindy se tambalea
DISEÑADOR DE LA PORTADA
COMPOSITOR
códigoMantra
Pearson se dedica a crear contenido libre de prejuicios que refleje la diversidad de todos los
estudiantes. Aceptamos las muchas dimensiones de la diversidad, incluidas, entre otras, la
raza, el origen étnico, el género, el nivel socioeconómico, la capacidad, la edad, la
orientación sexual y las creencias religiosas o políticas.
La educación es una fuerza poderosa para la equidad y el cambio en nuestro mundo. Tiene
el potencial de brindar oportunidades que mejoran vidas y permiten la movilidad
económica. A medida que trabajamos con autores para crear contenido para cada producto
y servicio, reconocemos nuestra responsabilidad de demostrar inclusión e incorporar
estudios diversos para que todos puedan alcanzar su potencial a través del
aprendizaje. Como empresa de aprendizaje líder en el mundo, tenemos el deber de ayudar a
impulsar el cambio y estar a la altura de nuestro propósito de ayudar a más personas a crear
una vida mejor para sí mismos y crear un mundo mejor.
Todos tienen una oportunidad equitativa y de por vida de tener éxito a través
del aprendizaje.
Nuestros productos y servicios educativos son inclusivos y representan la
rica diversidad de estudiantes.
Nuestro contenido educativo refleja con precisión las historias y
experiencias de los estudiantes a los que servimos.
Nuestro contenido educativo genera debates más profundos con los alumnos
y los motiva a expandir su propio aprendizaje (y visión del mundo).
Si bien trabajamos arduamente para presentar contenido imparcial, queremos escuchar sus
inquietudes o necesidades con respecto a este producto de Pearson para que podamos
investigarlas y abordarlas.
Contenido de un vistazo
Introducción
Contenido
Introducción
certificaciones de microsoft
Mantente en contacto
Habilidad 1.1: Diseñar, implementar y administrar una conexión VPN de sitio a sitio
Identifique cuándo usar una VPN basada en políticas versus una VPN basada en rutas
Habilidad 1.2: Diseñar, implementar y administrar una conexión VPN de punto a sitio
Experimento mental
Diseñe una arquitectura de Azure Virtual WAN, incluida la selección de SKU y servicios
Experimento mental
Configurar oyentes
Experimento mental
Cree un centro seguro implementando Azure Firewall dentro de un centro de Azure Virtual
WAN
Verificar el flujo de IP
Experimento mental
Habilidad 5.1: Diseñar e implementar el servicio Azure Private Link y puntos de conexión
privados
Habilidad 5.3: Configurar la integración de VNet para servicios de plataforma como servicio
(PaaS) dedicados
Experimento mental
Índice
Expresiones de gratitud
Quisiera agradecer a mi esposa, Jennifer, por apoyarme y aguantar las horas extrañas para
terminar este libro. A Elias Mereb y Brian Svidergol, gracias por los años de amistad,
conferencias, cenas y todo lo demás. Y a mis amigos y colegas Ed Gale, Joshua Waddell y
Aaron Lines, gracias por su amistad, tutoría y consejos durante los últimos años. A todos
los profesionales de la nube y lectores de este libro, gracias por tomarse el tiempo de leer,
explorar, aprender, probar y “jugar” con estas tecnologías mientras aprenden. ¡Sigue así, y
buena suerte!
Sobre el Autor
Introducción
Este libro adopta un enfoque de alto nivel de la lista de temas y habilidades que se miden en
el examen Diseño e implementación de soluciones de red de Microsoft Azure (AZ-700),
que se requiere para obtener la certificación Microsoft Certified: Azure Network Engineer
Associate. Este examen se enfoca en temas de redes en Microsoft Azure, pero requiere un
conocimiento adicional del Portal de Azure y los servicios relacionados, como máquinas
virtuales, cuentas de almacenamiento, herramientas de monitoreo y más. Si aún no está
familiarizado con los servicios generales de Azure, le sugiero que comience con Azure
Fundamentals (AZ-900) o Azure Administrator (AZ-104) antes de concentrarse en este
examen.
Este libro cubre todas las áreas temáticas principales que se encuentran en el examen,
pero no cubre todas las preguntas del examen. Solo el equipo de examen de Microsoft tiene
acceso a las preguntas del examen, y Microsoft agrega regularmente nuevas preguntas al
examen, lo que hace imposible cubrir preguntas específicas. Debe considerar este libro
como un complemento a su experiencia relevante del mundo real y otros materiales de
estudio. Si encuentra un tema en este libro con el que no se siente completamente cómodo,
use la opción "¿Necesita más revisión?" enlaces que encontrará en el texto para encontrar
más información, y tómese el tiempo para investigar y estudiar el tema. Hay excelente
información disponible en MSDN, en TechNet y en blogs y foros.
Este libro está organizado por la lista de "Habilidades medidas" publicada para el
examen. La lista de "Habilidades medidas" está disponible para cada examen en el sitio
web de Microsoft Learn: http://aka.ms/examlist . Cada capítulo de este libro corresponde a
un área temática importante de la lista, y las tareas técnicas de cada área temática
determinan la organización de un capítulo. Si un examen cubre seis áreas temáticas
principales, por ejemplo, el libro contendrá seis capítulos.
certificaciones de microsoft
Hemos hecho todo lo posible para garantizar la precisión de este libro y el contenido que lo
acompaña. Puede acceder a las actualizaciones de este libro, en forma de una lista de
erratas enviadas y sus correcciones relacionadas, en:
MicrosoftPressStore.com/ExamRefAZ700/errata
MicrosoftPressStore.com/Support
Mantente en contacto
En este capítulo se presentan los recursos y las herramientas que puede usar para
implementar redes híbridas con Azure. Esto gira principalmente en torno a puertas de
enlace de red virtual para VPN de sitio a sitio y de punto a sitio, y ExpressRoute para
conectividad privada y dedicada desde su ubicación local a una región de Azure.
Habilidad 1.1: Diseñar, implementar y administrar una conexión VPN de sitio a sitio
Las redes privadas virtuales (VPN) han sido durante mucho tiempo una forma de
proporcionar conectividad segura a través de Internet entre dos ubicaciones. La
conectividad híbrida mediante una VPN se puede lograr mediante una puerta de enlace de
red virtual en su suscripción de Azure. El uso de una puerta de enlace de red virtual
también requiere que configure una puerta de enlace de red local. Los diversos tipos de
conexión y la configuración de estas puertas de enlace se analizan en esta sección de
habilidades.
De forma predeterminada, cuando implementa una puerta de enlace de VPN de Azure, hay
dos instancias de la puerta de enlace configuradas en una configuración activa/en
espera. Esta instancia en espera proporciona cierta redundancia, pero no tiene una alta
disponibilidad, ya que la segunda instancia puede tardar unos minutos en conectarse y
volver a conectarse al destino de la VPN. Para este nivel más bajo de redundancia, puede
elegir si la VPN tiene redundancia regional o redundancia de zona. Si elige usar una
dirección IP pública básica , la VPN que configure solo puede tener redundancia
regional. Si necesita una configuración con redundancia de zona, debe usar una dirección
IP pública estándar con la puerta de enlace VPN. Figura 1-1muestra una implementación
simple con una sola puerta de enlace de VPN de Azure implementada, lo que da como
resultado una instancia en espera en la misma región.
FIGURA 1-1 Una puerta de enlace VPN conectada a un dispositivo de puerta de enlace
local
FIGURA 1-2 Una puerta de enlace VPN con redundancia de zona conectada a un
dispositivo de puerta de enlace local
FIGURA 1-4 Dos puertas de enlace VPN conectadas a dos dispositivos de puerta de enlace
locales
Cuando implementa una puerta de enlace de VPN de Azure, una de las opciones necesarias
es seleccionar la SKU de la puerta de enlace. Este SKU determina la cantidad máxima de
túneles, conexiones, rendimiento de la red y si se admiten BGP y redundancia de
zona. Dependiendo de si selecciona una configuración activa/en espera o activa/activa, eso
puede limitar qué SKU puede implementar para implementar esa configuración. La Tabla
1-1 enumera los diversos SKU entre las generaciones de VPN con las métricas compatibles
relevantes al momento de escribir este artículo.
Identifique cuándo usar una VPN basada en políticas versus una VPN basada en rutas
El principal punto a tener en cuenta para elegir una opción basada en directivas o basada en
rutas es simplemente el proveedor, el tipo de dispositivo y la versión del sistema operativo
del dispositivo remoto que planea conectar a la puerta de enlace de VPN de Azure.
La diferencia básica entre los dos tipos de configuración es que la política utiliza rutas
estáticas basadas en prefijos de direcciones. Por lo tanto, cada subred debe incluirse en la
configuración de VPN. Las VPN basadas en rutas utilizan una tabla de rutas para dirigir los
paquetes de red a la conexión de túnel adecuada. La interfaz individual luego realiza el
cifrado o descifrado utilizando comodines como selector de tráfico.
¿NECESITA MÁS
REVISIÓN? DISPOSITIVOS VPN
VALIDADOS
Para obtener más información sobre la implementación de VPN de alta
disponibilidad, visite https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-
gateway-about-vpn-devices .
Una puerta de enlace de red local puede ser confusa según el nombre. Debido a que está
realizando la configuración desde Azure, puede parecer que la puerta de enlace de la red
local representa su red de Azure de alguna manera. Sin embargo, la puerta de enlace de la
red local es un recurso que crea en Azure, pero es un objeto lógico que representa la red
local a la que se conecta.
Para crear una puerta de enlace de red local en su suscripción de Azure, siga estos pasos:
La puerta de enlace de red virtual es el principal recurso de Azure que crea para
comunicarse con el destino. El recurso de puerta de enlace usa la puerta de enlace de la red
local de la sección anterior y se asocia con una red virtual en Azure. Combinado con la
política IPsec/IKE que se analiza en la siguiente sección, esto define las características de la
VPN.
Como parte de la creación de la puerta de enlace de red virtual, debe seleccionar una red
virtual con la que asociar la puerta de enlace. Esta red virtual debe tener espacio de
direcciones disponible para crear una subred adicional y dedicada específicamente para la
puerta de enlace, denominada GatewaySubnet .
Para crear un recurso de puerta de enlace de red virtual, siga estos pasos:
La creación del recurso de puerta de enlace en sí no es el único paso necesario para crear
la conexión VPN al entorno local. Una vez implementada la puerta de enlace, también debe
configurar una conexión que esté asociada con la puerta de enlace de la red local.
Tenga en cuenta que cuando está configurando la conexión, hay un menú desplegable
Tipo de conexión que tiene tres opciones para configurar una conexión:
La misma puerta de enlace de red virtual se puede usar para crear varios tipos de
conexión, incluido el punto a sitio. El punto a sitio se cubre en detalle en la sección de
habilidades 1.2 .
Se usa una puerta de enlace de red virtual a red virtual cuando el emparejamiento de red
no es posible o no se desea para los requisitos de cifrado. La misma puerta de enlace de red
virtual también se usa para configurar un circuito ExpressRoute, que proporciona una
conexión dedicada a un entorno local. ExpressRoute se trata en la sección de habilidades
1.3 .
FIGURA 1-9 Conexiones VPN configuradas
Si completó los pasos para configurar una puerta de enlace de red local, una puerta de
enlace de red virtual y una conexión, es posible que haya esperado tener que configurar los
parámetros IKE como parte de la conexión del túnel VPN. Sin embargo, Azure usa un
conjunto predeterminado de parámetros IKE, dependiendo de si configuró un tipo de puerta
de enlace basada en políticas o en rutas. La tabla 1-2 contiene los parámetros
predeterminados de la fase 1 para el protocolo de enlace IKE.
Detección de No Sí
pares muertos
(DPD)
Se puede crear una política IKE personalizada para cada conexión que defina para una
puerta de enlace de red virtual. Para crear una política personalizada, siga estos pasos:
Cuando está solucionando problemas de conectividad, los primeros pasos son verificar la
configuración existente y asegurarse de que coincida con la configuración del dispositivo
local o de destino. Los desajustes más comunes podrían ser:
Clave precompartida
Direcciones IP de pares
Coincidencia de subredes, si se usa basado en políticas
Política de IKE
Si la instancia está en funcionamiento, debe devolver una línea de XML con los detalles
de la instancia y el número de versión. Según la configuración de su navegador, es posible
que deba aceptar la advertencia del certificado antes de que se muestre el sondeo de
estado. La figura 1-11 muestra los resultados de una puerta de enlace de red virtual en buen
estado.
También puede solucionar el estado de una conexión mediante las funciones de registro
de la puerta de enlace de red virtual. Esto requiere que el proveedor de recursos
de Microsoft.Insights esté registrado con la suscripción. Para registrar el proveedor, siga
estos pasos:
Después de implementar Log Analytics, puede usar la función de consulta para buscar
en los registros de diagnóstico de puerta de enlace de red virtual. Los datos del registro de
diagnóstico se capturan y almacenan en el área de trabajo de Log Analytics como un
repositorio y luego se consultan mediante el lenguaje de consulta de Kusto (KQL). Para
habilitar el registro de diagnóstico y utilizar la herramienta de consulta KQL, siga estos
pasos:
AzureDiagnósticos
donde TimeGenerated > ago(24h)
donde Categoría == "TunnelDiagnosticLog" y (status_s == "Conectado" o
status_s ==
"Desconectado")
proyecto TimeGenerated, Resource, status_s, remoteIP_s,
stateChangeReason_s
12. El mensaje de error "cayó debido a una discrepancia del selector de tráfico"
indicaría una discrepancia de configuración en al menos un lado de la conexión
VPN.
Habilidad 1.2: Diseñar, implementar y administrar una conexión VPN de punto a sitio
Las puertas de enlace de red virtual se pueden usar para conectar ubicaciones de sitio a sitio
con IPsec, así como conexiones distribuidas que usan una variedad de tipos de conexión y
métodos de autenticación. Estas conexiones distribuidas son conexiones de punto a sitio
que permiten que varios dispositivos cliente accedan de forma segura a los recursos de
Azure a través de una VPN. En esta sección de habilidades, analizamos las diversas
opciones para los tipos de conexión y los métodos de autenticación que están disponibles
con las puertas de enlace de red virtual y las configuraciones de punto a sitio.
ESTA HABILIDAD CUBRE CÓMO:
Seleccione una SKU de puerta de enlace de red virtual adecuada
Planificar y configurar la autenticación RADIUS
Planificar y configurar la autenticación basada en certificados
Planificar y configurar la autenticación de Azure Active Directory (Azure
AD)
Implementar un archivo de configuración de cliente VPN
Diagnosticar y resolver problemas de autenticación y del lado del cliente
Cuando planea implementar una puerta de enlace de VPN de Azure para conexiones de
punto a sitio, usa la misma puerta de enlace de red virtual que se implementa cuando planea
una VPN de sitio a sitio. La Tabla 1-5 se parece mucho a la Tabla 1-1 anterior en este
capítulo, pero se enfoca en los máximos de conexión de punto a sitio. Tenga en cuenta que
el rendimiento comparativo es una cantidad combinada en el escenario en el que usa
métodos de conexión de punto a sitio y de sitio a sitio con la misma puerta de enlace de red
virtual.
SSTP es un túnel VPN que usa TLS 1.2 y solo es compatible con clientes del sistema
operativo Windows. Sin embargo, como muestra la Tabla 1-5 , la escalabilidad está
limitada a 128 conexiones por puerta de enlace. OpenVPN también usa TLS, pero tiene
más soporte de conexión, según el SKU de la puerta de enlace, y un soporte de sistema
operativo más amplio que incluye:
Androide
iOS de Apple
ventanas
linux
macOS 10.13 y superior
La VPN IKEv2 de punto a sitio utiliza una VPN IPsec y es compatible con macOS
10.11 y dispositivos con sistemas operativos superiores. Las siguientes secciones analizan
los diversos tipos de autenticación que puede usar con las puertas de enlace.
10. Después de hacer clic en Guardar, haga clic en el botón Descargar cliente
VPN para ayudar con la configuración del cliente.
Otra opción de autenticación para las VPN de punto a sitio es utilizar la autenticación
basada en certificación. Para usar la autenticación de certificación, necesitará la clave
pública (archivo .CER) para el certificado raíz. Como parte del proceso de configuración,
deberá especificar la clave pública. Después de cargar el certificado raíz, la puerta de enlace
generará un certificado de cliente que se usa con la configuración del cliente VPN.
Para crear una configuración de VPN de punto a sitio mediante la autenticación basada
en certificados, siga estos pasos:
Si planea usar Azure AD como método de autenticación con una VPN de punto a sitio,
debe usar el tipo de conexión OpenVPN. Esta configuración también requiere el uso del
cliente VPN de Azure y no es compatible con el sistema operativo integrado ni con clientes
VPN de terceros.
Una vez que haya configurado una configuración de punto a sitio con el tipo de conexión y
el método de autenticación deseados, puede descargar el archivo de configuración del
cliente desde la página de configuración de punto a sitio. Vuelva a consultar la Figura 1-
22 para ver el botón Descargar cliente VPN que está disponible en la página.
Para usar el cliente VPN de Azure, que se requiere para la autenticación de Azure AD,
siga estos pasos:
La mayoría de los problemas del lado del cliente que podría necesitar solucionar
dependerán del tipo de método de autenticación que haya configurado. Por ejemplo, si
planea usar la autenticación basada en certificados con el cliente VPN de Azure, los
archivos de certificado AzureClient.pfx y AzureRoot.cer deben importarse a la ubicación
correcta en el dispositivo cliente. La Tabla 1-6 muestra la ubicación correcta de cada
archivo.
Si planea usar un tipo de conexión IKEv2 con Windows 10 o Server 2016, es posible
que también deba instalar una actualización y establecer un valor de registro para usar
IKEv2 específicamente. La Tabla 1-7 muestra la versión del sistema operativo y la
actualización de la base de conocimiento para instalar.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\IKEv2\Disable
CertReqPayload
¿NECESITA MÁS
REVISIÓN? SOLUCIÓN DE
PROBLEMAS DE PUNTO A SITIO
Para obtener más información sobre cómo solucionar problemas de VPN de punto a
sitio, visite https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-
troubleshoot-vpn-point-to-site-connection-problems .
Azure ExpressRoute proporciona una conectividad híbrida en su entorno local y una región
de Azure mediante el uso de un circuito dedicado a través de un proveedor de
telecomunicaciones externo. Los circuitos ExpressRoute se suelen comparar con los
circuitos MPLS, aunque funcionan de forma ligeramente diferente. Sin embargo, el
concepto general es el mismo: un proveedor de telecomunicaciones finaliza la conectividad
(por lo general, fibra pero podría ser Ethernet) en su ubicación local. Después de configurar
la conexión definida por software en su suscripción de Azure, tiene un circuito privado
dedicado de la red virtual que asocia con la configuración y su red local.
Otra consideración entre las dos opciones sería el precio. Con la calculadora de precios
de Azure ( https://aka.ms/pricing ), un circuito premium de ExpressRoute regular en los
Estados Unidos a 10 Gbps y 100 TB de transferencia de datos por mes costaría
aproximadamente $9000 por mes. Actualizar el circuito a ExpressRoute Direct con
conectividad de 100 Gbps aumenta el precio a más de $55,000 por mes. Tenga en cuenta
que estas estimaciones de costos son ejemplos y varían según la geografía, el tipo de
suscripción y el uso real de datos.
Diseñe e implemente la conectividad entre regiones de Azure entre varias ubicaciones de
ExpressRoute
El desafío que presenta este escenario tiene que ver con el enrutamiento de la red. Cada
conexión de ExpressRoute tiene una configuración de peso de enrutamiento, que especifica
el costo lógico de usar la ruta. Personalice el peso de la conexión para aplicar rutas de
enrutamiento específicas entre las oficinas y las regiones de Azure. Además, puede
anunciar las redes disponibles a través de los mismos números del Sistema Autónomo (AS)
BGP.
Determinar qué SKU de ExpressRoute usar depende de la carga de trabajo y los objetivos
del diseño. Las siguientes SKU están disponibles para las puertas de enlace de
ExpressRoute:
Estándar
Alto rendimiento
Ultra rendimiento
ERGW1AZ
ERGW2AZ
ERGW3AZ
La Tabla 1-8 muestra el soporte de características para los distintos tipos de SKU.
Estándar / ERGW1AZ No 4
Alto rendimiento / No 8
ERGW2AZ
Tenga en cuenta que en la Tabla 1-8 , no hay diferencia de características para FastPath
o soporte de conexión de circuito para SKU estándar y SKU ERGW1AZ. La diferencia
entre estos dos SKU es que el SKU AZ admite zonas de disponibilidad si la región en la
que implementa la puerta de enlace también admite zonas de disponibilidad. Si necesita
soporte para FastPath, que se analiza más adelante en esta sección de habilidades, sus
únicas opciones son las SKU de rendimiento Ultra o ERGW3AZ. De lo contrario, su
selección de los cuatro restantes dependerá del rendimiento deseado. La Tabla 1-9 muestra
el rendimiento probado para cada SKU.
Para cada SKU, también puede habilitar el complemento Premium, que amplía los
límites de conectividad, aumenta los límites de enlaces de red, aumenta el límite de la tabla
de enrutamiento y proporciona conectividad a Microsoft 365. La Tabla 1-10 enumera la
cantidad máxima de enlaces de red virtual con De primera calidad. El estándar
ExpressRoute está limitado a 10 enlaces de red virtual, independientemente del tamaño del
circuito.
TABLA 1-10 Número máximo de redes virtuales vinculadas con ExpressRoute Premium
50Mbps 20
100Mbps 25
200Mbps 25
500Mbps 40
1 Gbps 50
2 Gb/s 60
5 Gbps 75
10 Gb/s 100
40 Gbps * 100
Si desea utilizar los circuitos ExpressRoute para habilitar la comunicación entre Los
Ángeles y Nueva York a través de ExpressRoute, Global Reach lo habilitará. Sin embargo,
si las dos ubicaciones de oficina que intenta conectar se encuentran en regiones
geopolíticas, entonces debe usar el complemento Premium para el circuito
ExpressRoute. Por ejemplo, esto podría ser entre oficinas en los Estados Unidos y Canadá.
Para configurar Global Reach, básicamente crea una red de pares privada entre los dos
circuitos ExpressRoute. La red privada del mismo nivel debe tener una longitud de red de
/29.
Para agregar Global Reach a un circuito ExpressRoute existente, siga estos pasos:
ExpressRoute FastPath es una función de mejora del rendimiento que solo está disponible
en las SKU de primer nivel: rendimiento ultra y ERGW3AZ. Además, si planea usar IPv6,
solo puede usar el SKU ERGW3AZ.
También puede habilitar FastPath al agregar una conexión desde la puerta de enlace
de red virtual. La Figura 1-30 muestra las opciones Agregar conexión de la puerta
de enlace, incluida la opción para habilitar FastPath. Para conocer los pasos
detallados para agregar una conexión, consulte la sección de habilidades 1.1 .
FIGURA 1-30 Agregar conexión desde una puerta de enlace de red virtual
Elija entre emparejamiento privado solo, emparejamiento de Microsoft solo o ambos
Para configurar el emparejamiento privado de Azure, el estado del proveedor del circuito
ExpressRoute debe mostrar Provisioned . Como parte de este aprovisionamiento, algunos
proveedores de ExpressRoute administrarán el enrutamiento como parte del circuito y estos
pasos no serán necesarios. Si el proveedor no administra el enrutamiento, deberá seguir
estos pasos:
Una puerta de enlace de ExpressRoute sigue siendo una puerta de enlace de red virtual, solo
que con diferentes opciones seleccionadas. Para crear una puerta de enlace de red virtual
para ExpressRoute, siga estos pasos:
De forma similar a la creación de una VPN, la creación de la puerta de enlace de red virtual
como puerta de enlace de ExpressRoute no crea la conexión para el circuito de
ExpressRoute. Después de crear la puerta de enlace, también debe crear una conexión para
vincular el circuito a una red virtual.
Para crear una conexión en un circuito ExpressRoute existente, siga estos pasos:
Una sola subred /125 o dos subredes /126 para las interfaces
Si usa un /125, se divide en dos subredes /126
La primera dirección IP disponible debe usarse en su hardware
Azure usará la segunda dirección IP disponible
Para el emparejamiento privado de Azure, las direcciones utilizadas pueden
ser públicas o privadas.
Estos rangos no deben entrar en conflicto con ninguna red virtual en Azure a
la que planee conectarse.
Para los números BGP y AS, Microsoft usa el número AS 12076 para su número
AS. Puede conectarse a comunidades individuales para varios servicios dentro de la región
en la que configura el circuito ExpressRoute.
¿NECESITA MÁS
REVISIÓN? COMUNIDADES BGP
Para obtener más información sobre las comunidades BGP disponibles para las
regiones de Azure, visite https://docs.microsoft.com/en-
us/azure/expressroute/expressroute-routing#bgp .
Una VPN de sitio a sitio mediante una puerta de enlace de red virtual
Una VPN de sitio a sitio con Azure Virtual WAN
La configuración de la VPN de sitio a sitio mediante una puerta de enlace de red virtual
no es diferente de la configuración que se analizó en la sección de habilidades 1.1 . Si
planea usar una puerta de enlace de red virtual, debe implementarse como una puerta de
enlace con redundancia de zona. Azure Virtual WAN se analiza en un capítulo posterior.
La detección de reenvío bidireccional (BFD) es útil para acelerar la detección de que uno
de los enlaces de ExpressRoute ha fallado. El tiempo de mantenimiento de BGP
generalmente se configura en 60 segundos y el tiempo de espera se configura en 180
segundos. Esto significa que el servicio puede tardar hasta tres minutos en darse cuenta de
que uno de los vínculos de ExpressRoute ha fallado. Con BFD, puede reducir los tiempos
de mantenimiento hasta 300 milisegundos, lo que permite que se produzcan conmutaciones
por error en menos de un segundo.
BFD está configurado de manera predeterminada para todas las nuevas conexiones
privadas de pares de ExpressRoute. Después de realizar el cambio de configuración en el
hardware local, solo necesita restablecer la conexión del mismo nivel privado de
ExpressRoute para renegociar la conexión con BFD. Para restablecer una conexión
existente, siga estos pasos.
1. Inicie sesión en Azure Portal en https://portal.azure.com .
2. En la barra de búsqueda, busque ExpressRoute, luego seleccione el resultado
de circuitos de ExpressRoute .
3. Seleccione un circuito que ya haya configurado y desee configurar el
intercambio de tráfico privado.
4. Haga clic en la hoja Emparejamientos y, a continuación, haga clic
en Privado de Azure .
5. En la página Emparejamiento privado, borre la casilla de verificación junto
a Habilitar emparejamiento IPv4 , como se muestra en la Figura 1-35 .
¿NECESITA MÁS
REVISIÓN? SOLUCIÓN DE
PROBLEMAS DE EXPRESSROUTE
Para obtener más información sobre la solución de problemas de ExpressRoute,
visite https://docs.microsoft.com/en-us/azure/expressroute/expressroute-
troubleshooting-network-performance .
Experimento mental
Contoso Mortgage es una empresa de servicios financieros que tiene dos centros de
datos principales en Chicago y Nueva York. Los centros de datos tienen una conexión
redundante de 5 Gbps entre ellos. La empresa también tiene sucursales más pequeñas con
túneles VPN de sitio a sitio desde la sucursal hasta cada centro de datos. El personal
ejecutivo y de TI tiene VPN definidas por software en dispositivos móviles para la
conectividad remota a cada centro de datos.
Contoso planea trasladar su aplicación principal de los centros de datos locales a la nube
de Azure. La red debe admitir la migración y la conectividad continua de manera similar al
diseño local actual. En el caso de que una región o un proveedor de conectividad sufra una
interrupción grave, el centro de datos local aún debe poder comunicarse con Azure. La
Figura 1-37 muestra el diseño local existente.
FIGURA 1-37 Diseño de red existente de Contoso Mortgage
1. 1 . ¿Qué debe usar para proporcionar conectividad híbrida a cada centro de datos?
2. 2 . ¿Qué debe usar para proporcionar conectividad híbrida a cada sucursal?
3. 3 . ¿Cómo se deben implementar los servicios para garantizar una conectividad de
alta disponibilidad?
4. 4 . ¿Qué debe usar el personal ejecutivo y de TI para conectarse a Azure de forma
remota?
Esta sección contiene la solución al experimento mental. Cada respuesta explica por qué la
opción de respuesta es correcta.
Las sucursales pueden seguir conectándose a los centros de datos locales mediante VPN
de sitio a sitio. Puede configurar VPN adicionales para cada sucursal si necesitan la
conectividad a Azure o cuando lo necesiten.
1. 1 . ¿Qué debe usar para proporcionar conectividad híbrida a cada centro de datos?
Cada centro de datos debe tener un circuito Azure ExpressRoute con alcance global
para cumplir con los requisitos de diseño.
Cada sucursal debe tener una VPN de sitio a sitio definida para cada región de
Azure.
Cada sucursal debe tener una VPN de sitio a sitio independiente para cada región de
Azure. Cada circuito de ExpressRoute debe tener Global Reach habilitado para la
conectividad entre regiones.
Las regiones de Azure deben tener una puerta de enlace de red virtual con
conectividad de punto a sitio configurada para que el personal ejecutivo y de TI se
conecte de forma remota con sus dispositivos móviles.
La infraestructura de red central en Azure gira en torno a las redes virtuales. Las redes
virtuales definen el espacio de direcciones para las redes IPv4 e IPv6 que usará con sus
servicios de Azure. Las redes virtuales son necesarias para máquinas virtuales, firewalls,
gateways de aplicaciones, gateways de redes virtuales y más. Esta sección de habilidades se
centra en la conectividad privada proporcionada por las redes virtuales y cómo integrar la
red con otros servicios de Azure.
Una red virtual es uno de los servicios fundamentales que se implementa en una suscripción
para facilitar la comunicación de las máquinas virtuales, la conectividad híbrida y la
comunicación privada con los recursos de plataforma como servicio (PaaS). Cuando crea
una red virtual, debe especificar la región de Azure en la que implementar la red
virtual. Las redes virtuales individuales abarcan solo la única región en la que las
implementa. Si planea tener una implementación de alta disponibilidad en varias regiones,
deberá implementar al menos una red virtual en cada región. Para implementaciones a
mayor escala, incluso puede implementar varias redes virtuales en una sola región para
modelos de diseño tipo hub-and-spoke.
Cuando crea una red virtual, las dos piezas principales de planificación que le pedirá el
asistente de creación son el espacio de direcciones y la primera subred. El espacio de
direcciones es al menos un rango de IPv4 y también puede incluir múltiples rangos de
IPv6. Los intervalos de direcciones que especifique se pueden usar para crear subredes
dentro de la red virtual. Una práctica recomendada es no superponer los espacios de
direcciones cuando planee implementar varias redes virtuales, incluso en otras
suscripciones. Las redes virtuales que tienen espacios de direcciones IP superpuestos no
se pueden emparejar.
El segundo componente de una red virtual que se define cuando la crea es la primera
subred.
CONSEJO DE EXAMEN
Esta referencia de examen y el examen asumen que ya está familiarizado con los
fundamentos de las redes, incluidas las subredes, la notación CIDR, TCP/IP y
más. Si estos son conceptos nuevos, debe dedicar más tiempo a prepararse con el
módulo Fundamentos de redes informáticas en Microsoft Learn
en https://docs.microsoft.com/en-us/learn/modules/network-fundamentals/ .
10. La pestaña Seguridad de la página Crear red virtual muestra los servicios de
seguridad disponibles que puede implementar y configurar al mismo tiempo que la
red virtual: BastionHost, DDoS Protection Standard y Firewall. Todos están
configurados en Deshabilitar de forma predeterminada y se pueden configurar
después de crear la red virtual. Acceda a los valores predeterminados y haga clic
en Revisar + Crear .
Planificar y configurar subredes para servicios
El Capítulo 1 trata las puertas de enlace de red virtual, las VPN y ExpressRoute con más
detalle. Desde la perspectiva de una red virtual, una puerta de enlace de red virtual requiere
que se configure una subred dedicada denominada específicamente GatewaySubnet . Como
mínimo, el tamaño de GatewaySubnet debe ser al menos /29 en notación CIDR, por
ejemplo, 10.0.100.0/29. Sin embargo, una pequeña subred como /29 es útil solo para una
única VPN de sitio a sitio. Para la planificación futura, se recomienda asignar un espacio de
direcciones más grande, como /27, a GatewaySubnet.
Identificador de red
Dirección de Difusión
Tres servicios específicos de Azure
Usando el mismo ejemplo 10.0.100.0/29 anterior, esto daría como resultado solo tres
direcciones utilizables:
Cuando hace clic en + Subred de puerta de enlace desde la red virtual, el campo Nombre
de la subred se rellena automáticamente con el nombre GatewaySubnet y no se puede
cambiar. La Figura 2-2 muestra la subred de la puerta de enlace con la configuración de
ejemplo.
FIGURA 2-2 Configuración de GatewaySubnet
cortafuegos
Azure Firewalls son firewalls PaaS administrados que puede asociar con una red virtual
para proteger los recursos de la red. El servicio Azure Firewall se analiza con más detalle
en el Capítulo 4 , pero es otro servicio que requiere una subred dedicada, específicamente
llamada AzureFirewallSubnet .
Si intenta crear un firewall mediante una red virtual existente, Azure Portal requerirá
que se cree AzureFirewallSubnet antes de poder crear el firewall. La figura 2-3 muestra la
pantalla Crear un firewall con un error que indica que la red virtual existente debe tener una
subred llamada AzureFirewallSubnet.
Pasarelas de aplicaciones
Azure Application Gateway es otro recurso de PaaS que está asociado con sus redes
virtuales para proteger los recursos y se analiza más en el Capítulo 3 . Las puertas de enlace
de aplicaciones requieren una subred dedicada dentro de la red virtual, pero la subred no
necesita tener un nombre específico. Sin embargo, la subred debe estar vacía y no contener
máquinas virtuales u otros recursos de Azure. El tamaño recomendado de la subred
depende de la SKU de la puerta de enlace de aplicaciones que utilice.
Bastión
Bastion requiere una subred dedicada en la red virtual con el nombre específico
de AzureBastionSubnet , con un prefijo de subred de al menos /27. La figura 2-6 muestra el
error de Azure Portal si intenta usar una red virtual existente que no tiene la subred
predefinida.
Los puntos de conexión privados ofrecen un método para usar los servicios de PaaS de
Azure, que suelen ser puntos de conexión públicos, y asignar a ese servicio una dirección
IP privada en una subred dentro de una red virtual. Por ejemplo, en una configuración
predeterminada, si una máquina virtual se conecta a una cuenta de almacenamiento de
Azure para un archivo de blob, la máquina virtual se comunicaría con
storageaccount.blob.core.windows.net y el nombre DNS se resolvería en una dirección IP
pública.
Los recursos de Azure, incluidas las redes virtuales, se administran mediante el control de
acceso basado en roles (RBAC). Como propietario de un recurso, si necesita permitir que
otros administradores realicen acciones de administración en el recurso, debe asignar una
función al usuario o grupo. Si necesita asignar permisos al recurso a otro servicio de Azure,
puede delegar esa administración, lo que permite la integración de los servicios de Azure
con una subred.
Delegar una subred es similar a asignar un rol a un usuario que tiene permisos para
cambiar el recurso. Al delegar la subred a otro servicio de Azure, ese servicio puede
modificar la configuración de la subred para proporcionar una configuración administrada y
recomendada.
Azure DNS es un servicio PaaS que proporciona un servicio de DNS autorizado para un
nombre de dominio en su entorno. El nombre de dominio debe ser un dominio público para
el que pueda configurar los servidores de nombres. Después de crear la zona DNS pública,
debe cambiar los servidores de nombres con el registrador de dominios para que los
registros que cree funcionen correctamente. Esto tendrá un impacto en cualquier
configuración de DNS existente.
Después de crear la zona DNS, tome nota de los servidores de nombres proporcionados
por el servicio de Azure. Estos servidores de nombres deben configurarse con el dominio
para que los registros que cree se resuelvan correctamente. Cada registrador tiene sus
propios pasos y métodos para actualizar los servidores de nombres para sus nombres de
dominio. La Figura 2-10 muestra los servidores de nombres asignados a la nueva zona
az700examref.com.
FIGURA 2-10 Servidores de nombres asignados
Una vez que haya realizado el cambio del servidor de nombres con el registrador de
dominios, puede verificar que el cambio se propague con precisión en Internet
utilizando nslookup . La Figura 2-11 muestra la utilidad nslookup que se usa para consultar
los servidores de nombres para el dominio az700examref.com.
FIGURA 2-11 utilidad nslookup
Las zonas DNS privadas son similares a las zonas públicas en el sentido de que todavía
contienen registros de recursos e incluso pueden ser nombres de dominio público. Sin
embargo, con una zona privada, no necesita modificar los servidores de nombres
públicos. En su lugar, vincula la zona DNS privada a las redes virtuales en las que desea
que funcione la resolución de nombres. La resolución solo ocurrirá desde dentro de la red
virtual, y no de forma externa o pública. Esto significa que el nombre de dominio ni
siquiera necesita ser un dominio válido o enrutable.
Una vez que se crea una zona DNS privada y se vincula a una red virtual, la resolución
de nombres se produce dentro de la red virtual. El diagrama de la Figura 2-13 muestra los
tres pasos para que la VM1 resuelva la dirección IP de la VM2:
Determinar si usar zonas DNS públicas, zonas DNS privadas o una combinación de las dos
es el factor principal para diseñar cómo funciona la resolución de nombres en el
entorno. Las zonas privadas le brindan la flexibilidad de usar una solución de nombres
deseada dentro de su red virtual sin modificar los registros DNS públicos externos. Las
zonas privadas también le brindan la capacidad de configurar DNS de "horizonte dividido"
donde el mismo nombre completo, como app1.contoso.com, se resuelve en un servicio
internamente y otro servicio externamente. Otros beneficios de usar zonas privadas
incluyen:
Las zonas DNS privadas también tienen limitaciones. Cuando se utiliza el registro
automático de nombres de host, la red virtual solo se puede vincular a una zona DNS
privada. La zona DNS aún puede tener varias redes virtuales vinculadas. Otra limitación es
que el reenvío condicional no tiene soporte nativo y requiere una configuración adicional
para resolver nombres locales.
Tanto las zonas de DNS públicas como las privadas de Azure usan la misma dirección
IP dedicada para las consultas de DNS: 168.63.129.16. Esta es una dirección IP estática y
no cambia por zona, suscripción o arrendatario.
Tanto las zonas DNS públicas como las privadas admiten los tipos de registros DNS
comunes:
A
AAAA
CNOMBRE
MX
PTR
SRV
TXT
El proceso para crear un conjunto de registros para una zona DNS pública es el
mismo. Con las zonas DNS públicas, también tiene la capacidad de crear tipos de registros
CAA y NS. De lo contrario, los pasos son similares para agregar un registro en una zona
DNS pública o privada.
Para que una zona DNS privada devuelva consultas, debe estar vinculada a una red
virtual. La creación de una zona DNS privada y la adición de entradas de registro no hacen
la asociación con una red virtual. Para vincular una zona DNS privada a una red virtual,
siga estos pasos:
Cuando está diseñando una zona de aterrizaje de tamaño mediano o empresarial, lo más
probable es que tenga varias suscripciones y, por lo tanto, varias redes. Sin embargo, el
hecho de que las aplicaciones estén segmentadas por suscripción no significa que dos
aplicaciones nunca se comunicarán. Además, cuando tiene recursos híbridos con VPN o
conectividad ExpressRoute en una suscripción compartida, es posible que la aplicación
necesite usar estas conexiones. Esta sección de habilidades se centra en la conexión de
redes mediante el emparejamiento de redes virtuales y las puertas de enlace de redes
virtuales.
Si bien una sola red es escalable y puede admitir miles de máquinas y servicios virtuales,
no se recomienda tener una sola red virtual. La arquitectura de referencia para una zona de
aterrizaje a escala empresarial, e incluso para implementaciones medianas, incluye una
arquitectura hub-and-spoke. Creamos esta arquitectura en Azure mediante el uso de una red
virtual como red central, que puede contener otros recursos de conectividad, como VPN y
ExpressRoute (discutidos en el Capítulo 1 ). Luego, cada aplicación podría estar
representada por una red radial, pero sería una red virtual separada que incluso podría estar
en una suscripción diferente.
El diagrama de la figura 2-16 también implica un par de cosas más que debe saber sobre
el emparejamiento de redes virtuales:
Bloquear Bloquear
Bloquear Bloquear
Puerta de enlace de red virtual Usar la puerta de enlace Usar la puerta de enlace
o servidor de ruta de esta red de esta red
Ninguno Ninguno
(predeterminado) (predeterminado)
Para crear una interconexión utilizando dos redes virtuales que ya se crearon, siga estos
pasos:
Cuando conecta dos redes virtuales con intercambio de tráfico, de forma predeterminada
existe una comunicación completa entre las dos redes. Una forma de pensar en esta
conexión es que es esencialmente una ruta estática desde el espacio de direcciones de una
red al espacio de direcciones de la segunda red. Luego, para fines de enrutamiento, estas
rutas estáticas no se anuncian a ninguna otra red virtual.
Debido a que esta ruta no se anuncia, cuando tiene dos (o más) redes radiales conectadas
a un concentrador, no significa que los radios puedan comunicarse entre sí. Por ejemplo,
en la Figura 2-19 , hay dos redes radiales, Spoke1 y Spoke2, conectadas con intercambio de
tráfico a una red central.
En el escenario que se presenta en la Figura 2-19 , aunque ambas redes radiales están
conectadas con interconexión con el concentrador, las dos redes radiales no pueden
comunicarse de forma predeterminada. La conexión está ahí, pero debido a la falta de
anuncios de ruta, la red 10.2.0.0 en Spoke2 no sabe cómo ni a dónde enviar el tráfico que
podría estar destinado a la red 10.1.0.0 en Spoke1.
Tabla de ruteo
Puerta de enlace de red virtual (u otro servidor de ruta)
La más simple y rudimentaria de estas opciones es una tabla de rutas. Puede crear una
tabla de enrutamiento, asociarla con las subredes en la red virtual Spoke2 y enumerar una
dirección IP de siguiente salto en la red central que luego puede enrutar el tráfico a
Spoke1. Si bien esta es una configuración válida, la sobrecarga administrativa puede
volverse inmanejable a medida que escala. Las tablas de rutas se analizan con más detalle
en el Capítulo 3 .
La solución escalable es utilizar una puerta de enlace de red virtual u otro servidor de
rutas para facilitar el enrutamiento. Volviendo a la Figura 2-17 , cuando crea una conexión
de emparejamiento, tiene la opción de usar una puerta de enlace en una o ambas redes
virtuales. Esta asociación luego permite que la red virtual emparejada se comunique con
otro entorno local o del mismo nivel a través de una VPN o ExpressRoute que se define
como parte de la puerta de enlace de la red virtual.
La posible desventaja de usar una VPN es que introduce otra dirección IP pública para
administrar en la puerta de enlace de la red virtual, y tiene limitaciones de ancho de banda
según el SKU de la puerta de enlace que seleccione, que se analiza en detalle en el Capítulo
1.
El escenario más probable es que probablemente utilice tanto la interconexión como las
VPN en su diseño. Para las aplicaciones que requieren niveles adicionales de encriptación,
cumplimiento o conexiones a proveedores externos, las VPN pueden ser más
adecuadas. Para las conexiones internas que ya usan conexiones TLS, la interconexión
podría ser más adecuada.
Diseñe una arquitectura de Azure Virtual WAN, incluida la selección de SKU y servicios
Hasta ahora, en los capítulos 1 y 2 , hemos discutido los métodos de conectividad híbrida
con VPN y ExpressRoute, y la conectividad nativa de Azure con redes virtuales. En un
entorno en el que puede haber varias conexiones VPN de punto a sitio y de sitio a sitio,
ExpressRoute y conexiones de red virtual a red virtual, la administración de los distintos
tipos de conexión puede convertirse en una carga administrativa. Azure Virtual WAN es
una solución de administración y conectividad para unir estas conexiones. Hay dos SKU de
Virtual WAN:
Básico
Estándar
El tipo de SKU básico solo admite conexiones VPN de sitio a sitio. El SKU estándar
puede admitir varios tipos de conexión:
La WAN virtual actúa como un concentrador central para estos diversos tipos de
conexión en un modelo concentrador y radial. Utilice Virtual WAN para centralizar estas
conexiones y proporcionar conectividad transitiva entre los diferentes tipos de
conexiones. La Figura 2-20 muestra una implementación de Virtual WAN en una sola
región con varios tipos de conexión.
FIGURA 2-20 WAN virtual de región única
Barracuda Redes
punto de control
cisco meraki
Citrix
Cloudgenix
Fortinet
HPE Aruba
NetFoundry
Nuage/Nokia
Sistemas abiertos
Redes de Palo Alto
Tecnología de lecho de río
pico plateado
SD-WAN de VMware
viceversa
Cuando crea un concentrador, hay un par de requisitos que el concentrador debe cumplir
para poder conectar los diversos servicios. En primer lugar, ningún espacio de direcciones
de red virtual o local no se puede superponer, incluido el espacio de direcciones privado
que especifica al crear la WAN virtual. En segundo lugar, ninguna red virtual existente
puede tener una puerta de enlace de red virtual asociada con la red virtual. Si la red virtual
tiene una puerta de enlace, debe eliminarse antes de conectarla al concentrador.
Para crear un concentrador en una WAN virtual existente, siga estos pasos:
Como sugiere el título de esta sección, la lista de objetivos de este examen hace referencia a
la conexión de una puerta de enlace de red virtual a una WAN virtual. Sin embargo, los
sitios de VPN que define en una WAN virtual están separados de las puertas de enlace de la
red virtual y las VPN que crea allí. No necesita crear una puerta de enlace de red virtual y
luego asociar la VPN a la WAN virtual.
En su lugar, crea un sitio VPN dentro de la WAN virtual. El sitio VPN puede tener
múltiples enlaces al sitio físico al que se está conectando. Además, puede configurar el
escalado de la solución WAN virtual como parte del sitio.
Para crear un sitio VPN en una WAN virtual, siga estos pasos:
Puede agregar hasta cuatro enlaces por sitio VPN, lo que permite una conexión multi-
homed a través de diferentes proveedores. El valor de la velocidad del enlace se define en
Mbps y debe representar la velocidad disponible en la sucursal que utiliza la dirección IP o
el FQDN que defina.
Después de crear el sitio VPN, debe asociar el sitio con el concentrador que creó
anteriormente. Pero para hacer eso, primero necesita una puerta de enlace VPN asociada
con el concentrador. Para crear una puerta de enlace VPN en Virtual WAN, siga estos
pasos:
Tenga en cuenta que la interfaz Create VPN Gateway no le permite editar el número de
AS para el dispositivo; está configurado en 65515. También toma alrededor de 30 minutos
para que la puerta de enlace se implemente y se asocie con el concentrador. No puede
conectarse a un sitio VPN hasta que se haya creado la puerta de enlace.
Una vez que la puerta de enlace termine de implementarse, puede conectar el sitio VPN
que se creó anteriormente al concentrador. Esto también es cuando define la configuración
de VPN, como el protocolo, la política IPSec y el enrutamiento.
Al momento de escribir este artículo, hay tres proveedores externos para dispositivos
virtuales de red (NVA) en un entorno de WAN virtual:
Después de hacer clic en Obtenerlo ahora, se le pedirá que proporcione sus datos de
contacto, que se compartirán con el proveedor antes de que pueda implementar el
dispositivo.
El centro virtual de Virtual WAN es el punto de conexión central para todas las VPN de
sitio a sitio, VPN de punto a sitio, ExpressRoute y redes virtuales. Uno de los beneficios del
centro virtual es la conectividad transitiva entre estas diversas conexiones, que puede
proporcionar hasta 50 Gbps de rendimiento agregado.
Cuando crea un centro virtual, se crean dos tablas de enrutamiento,
denominadas Ninguna y Predeterminada, dentro del centro. Todos los tipos de conexión se
asocian inicialmente con la tabla de enrutamiento predeterminada para permitir la
conectividad transitiva entre las diversas conexiones. Cada conexión que agrega al
concentrador agrega el prefijo de enrutamiento a la tabla de rutas. La tabla de rutas se
propaga a las distintas conexiones mediante el Protocolo de puerta de enlace fronteriza
(BGP). Si necesita evitar que las rutas se propaguen a otras conexiones, puede asociar la
conexión con la tabla de rutas Ninguna.
Para crear una tabla de rutas en un centro virtual, siga estos pasos:
Experimento mental
Una organización está migrando una aplicación desde una ubicación conjunta local a
Azure. La infraestructura local actual admite múltiples aplicaciones y permanecerá en su
lugar después de la migración. La organización necesita una infraestructura de red híbrida
configurada entre su oficina principal, la ubicación compartida y la región de Azure
seleccionada.
Esta sección contiene la solución al experimento mental. Cada respuesta explica por qué la
opción de respuesta es correcta.
Capítulo 3
Diseñar e implementar enrutamiento
Cuando crea una red virtual, hay rutas de sistema predeterminadas que definen cómo los
recursos conectados a la red virtual pueden comunicarse con los servicios de Azure e
Internet. La Tabla 3-1 describe las rutas del sistema predeterminadas para una red virtual.
0.0.0.0/0 Internet
10.0.0.0/8 Ninguna
192.168.0.0/16 Ninguna
100.64.0.0/10 Ninguna
Supongamos que en la Figura 3-1 , VM1 tiene una dirección IP de 10.0.0.4 y VM2 tiene
una dirección IP de 10.1.0.4. El flujo de tráfico se parecería a esta ruta:
1. Los paquetes salen de VM1 con destino a VM2 a través de la puerta de
enlace predeterminada de 10.0.0.1.
2. La puerta de enlace tiene una ruta a 10.1.0.0/16 mediante peering y reenvía
el paquete a 10.1.0.1.
3. La red virtual en 10.1.0.0/16 reconoce que el paquete está destinado a VM2
y lo reenvía en consecuencia.
4. VM2 recibe el paquete de VM1.
Hay varios escenarios en los que una organización querrá cambiar este flujo de tráfico y
no permitir que las máquinas virtuales se comuniquen directamente con Internet. O, incluso
si decide emparejar dos redes virtuales, en lugar de permitir todas las comunicaciones
predeterminadas, el tráfico primero se reenvía a través de un firewall u otro tipo de
dispositivo virtual de red. El mecanismo de invalidación para estos escenarios se denomina
UDR, que se configura mediante una tabla de rutas de Azure.
Después de crear la tabla de rutas, hay dos pasos más para lograr el efecto deseado de
cambiar el flujo de tráfico: crear una ruta dentro de la tabla de rutas y asociar la tabla con
una subred. Para crear una ruta dentro de la tabla, siga estos pasos:
Después de crear la tabla de rutas y agregar una entrada de ruta a la tabla, el paso final para
cambiar el flujo de tráfico es asociar la tabla con las subredes desde las que desea cambiar
el flujo de tráfico.
Para asociar la tabla con una subred, siga estos pasos:
VM1 10.0.0.4
NVA 10.0.0.250
VM2 10.1.0.4
Con la asociación de la tabla de rutas a la subred app1, suponiendo que VM1 está en la
subred app1, cualquier tráfico destinado a VM2 fluirá a través de NVA. Este NVA podría
ser un proxy, un firewall o cualquier dispositivo de terceros de Azure Marketplace.
Las rutas en Azure se procesan en el orden de coincidencia de prefijo más largo para
cualquier destino que se haya definido. Si una ruta tiene más de una coincidencia, la
prioridad de procesamiento es:
La hoja Rutas efectivas en la tarjeta de interfaz de red es una herramienta útil para
obtener una descripción general de las rutas asociadas con la subred a la que está asociada
la NIC. Otro método para solucionar problemas de enrutamiento desde una VM es usar
Network Watcher.
La Figura 3-9 muestra que desde la tarjeta de interfaz de red vm1623, que tiene una
dirección IP de origen de 10.0.0.4 en la subred de administración, si la VM se comunicara
con la dirección IP de destino 8.8.8.8, el tráfico se reenviaría a la Internet.
Como está diseñando una solución que incluye un equilibrador de carga de Azure, hay dos
opciones de SKU para seleccionar: Básico y Estándar. En general, la mejor práctica es usar
un balanceador de carga de SKU estándar para cualquier implementación de
producción. Después de implementar un balanceador de carga, no puede cambiar el SKU y
debe implementar un nuevo recurso. La Tabla 3-3 describe las diferencias de características
entre los SKU.
De las diferencias de características descritas en la Tabla 3-3 , las más destacadas serían
la cantidad de instancias, HTTPS como sondeo de estado y el SLA para la SKU
estándar. Para entornos más pequeños de desarrollo, prueba, control de calidad u otros tipos
que no sean de producción, una SKU básica podría ser aceptable.
Elige entre público e interno
Aparte de las diferencias de características proporcionadas por los dos tipos de SKU, no
hay ninguna ventaja o restricción de rendimiento al elegir configurar un balanceador de
carga con una dirección IP pública o privada.
Después de elegir qué SKU usar y si su balanceador de carga será interno o público, estará
listo para crear el balanceador de carga. Para completar la configuración, también
necesitará máquinas virtuales para el grupo de back-end. Hay algunos componentes de
configuración que conforman una configuración completa del balanceador de carga:
Dirección IP de interfaz
Grupo de back-end
Sondeos de salud
Reglas del equilibrador de carga
En esta sección, nos enfocamos en configurar la dirección IP del front-end y los grupos
de back-end a medida que creamos el balanceador de carga. Nos centraremos en las reglas
y sondas de estado del equilibrador de carga en la siguiente sección. Para crear un
equilibrador de carga de Azure, siga estos pasos:
NOTA IMPLEMENTACIÓN
INFORMÁTICA
Estos pasos suponen que ya ha implementado el proceso, ya sea máquinas
virtuales individuales o un conjunto de escalado de máquinas virtuales. La
implementación de opciones de cómputo no está en el esquema del examen y no
se trata en este libro.
Las reglas del equilibrador de carga son la configuración que une la dirección IP del front-
end, el grupo de back-end, el sondeo de estado, el protocolo y el número de puerto en el
que desea aceptar y distribuir el tráfico. Los balanceadores de carga de SKU básicos
pueden tener hasta 250 reglas configuradas, y los balanceadores de carga de SKU estándar
pueden tener hasta 1500 reglas.
Para crear una regla de equilibrador de carga, debe tener un sondeo de estado que
verifique el estado del grupo de back-end. Para crear un sondeo de estado para un
balanceador de carga existente, siga estos pasos:
Para crear una regla que asocie estos componentes para un balanceador de carga
existente, siga estos pasos:
La configuración que se muestra en la Figura 3-14 crea una regla que reúne los
componentes individuales del equilibrador de carga:
Dirección IP de interfaz
Grupo de back-end
Sondeo de salud
Ninguna
IP del cliente
IP del cliente y protocolo
Una regla de NAT entrante es similar a las reglas del balanceador de carga, ya que tiene
muchas de las mismas propiedades de configuración:
Dirección IP de interfaz
Protocolo
Puerto
Tiempo de inactividad
Restablecimiento de TCP
Las reglas de salida le permiten configurar la traducción de direcciones de red (NAT) para
todas las máquinas virtuales definidas en los grupos de back-end. Las reglas de salida solo
están disponibles con los balanceadores de carga de SKU estándar que tienen una dirección
IP de interfaz pública.
Una regla de salida configura la traducción de la dirección de red de origen para los
recursos definidos en el grupo de back-end para comunicarse de forma saliente a través del
equilibrador de carga. Los puertos frontend disponibles están determinados por la cantidad
de direcciones IP frontend que seleccione. Estos puertos de front-end disponibles se
distribuyen a través de las máquinas virtuales en el grupo de back-end. En la configuración
anterior, los 63 984 puertos front-end posibles en un máximo de 20 máquinas virtuales
darían como resultado aproximadamente 3192 puertos por instancia.
Habilidad 3.3: Diseñar e implementar Azure Application Gateway
Los gateways de aplicaciones son la opción de equilibrio de carga basada en regiones que
se centra en la capa 7 del modelo OSI. Al operar en la capa 7, una puerta de enlace de
aplicaciones proporciona muchas más funciones que un balanceador de carga
tradicional. Puede realizar la funcionalidad básica de distribuir el tráfico a través de un
grupo de recursos de back-end, pero también tiene la capacidad de redirigir a ciertos grupos
de back-end en función de la URL o los encabezados de una solicitud
entrante. Opcionalmente, puede habilitar una aplicación webFirewall (WAF), realice la
terminación TLS y habilite el cifrado TLS de extremo a extremo. Esta sección de
habilidades presenta la puerta de enlace de aplicaciones y cómo configurar los diversos
componentes.
Las puertas de enlace de aplicaciones de Azure funcionan en la capa 7 del modelo OSI, en
comparación con la capa 4 de los equilibradores de carga tradicionales y de Azure. Al
operar en la capa 7, hay características adicionales que tiene una puerta de enlace de
aplicaciones en comparación con un balanceador de carga tradicional:
Terminación SSL
Autoescalado
Cortafuegos de aplicaciones web (WAF)
Controlador de entrada para Azure Kubernetes Service (AKS)
Enrutamiento basado en URL
Alojamiento de múltiples sitios
Afinidad de sesión
Drenaje de conexión
Páginas de error personalizadas
Encabezado HTTP y reescrituras de URL
Pequeña
Medio
Largo
Autoescalado
redundancia de zona
IP virtuales estáticas
Controlador de entrada de AKS
Integración de Azure Key Vault
Reescrituras de encabezado HTTPS
Reglas personalizadas de WAF
Después de decidir si implementar una SKU v1 o v2, ambas opciones tienen una SKU
separada para habilitar un WAF. Por ejemplo, está WAF v1, tamaño mediano; o WAF v2
con ajuste de escala automático disponible.
El primer factor a la hora de elegir entre escalado manual y automático es el SKU que
decida implementar. Si elige implementar una SKU v1, el ajuste de escala automático no
está disponible y debe elegir uno de los tamaños predeterminados y configurar el recuento
de instancias manualmente, hasta 32 instancias.
Si elige implementar una SKU v2, también tiene la opción de usar recuentos de
instancias manuales o ajuste de escala automático. En cualquier escala, puede escalar hasta
125 instancias con un SKU v2. Cuando elige usar el ajuste de escala automático, también
establece medidas de seguridad mínimas y máximas. Si sabe que para su aplicación
necesita al menos dos instancias en un momento dado, puede establecer el mínimo en
dos. Si para la administración de costos y presupuesto, no espera que el tráfico pico supere
la necesidad de 10 instancias, puede establecer el máximo en 10.
Ya sea que decida usar escalado manual o automático, cada instancia de escalado
representa aproximadamente 10 unidades de cómputo . Las unidades de cómputo definen la
cantidad de cómputo detrás de Application Gateway cuando decide usar un tipo de SKU v2
en lugar de los tamaños preestablecidos Pequeño, Mediano o Grande. Cada unidad de
cómputo puede aceptar aproximadamente 50 conexiones simultáneas por segundo sin WAF
habilitado, o 10 conexiones simultáneas por segundo cuando se usa WAF.
HTTP2: deshabilitado
13. En el menú desplegable Red virtual, seleccione la red virtual con la que
asociar la puerta de enlace de aplicaciones. Por ejemplo, seleccione hub-vnet-eus-
01 .
14. En el campo Subred, seleccione una subred disponible que no tenga recursos
conectados. Por ejemplo, seleccione una subred dedicada llamada AppGW . La
Figura 3-17 muestra la configuración completa en la pestaña Conceptos básicos.
Protocolo: HTTP
Puerto: 80
Estos pasos implementan una puerta de enlace de aplicaciones simple con los requisitos
mínimos para poner en funcionamiento la primera instancia. Una puerta de enlace de
aplicaciones admite varios grupos de back-end, sondeos de estado, agentes de escucha,
reglas de enrutamiento y más. Todo esto se discute en las siguientes secciones.
Cuando implementa una puerta de enlace de aplicaciones, hay una serie de componentes
necesarios durante la implementación y más que puede configurar después de la
implementación, incluidos los grupos de back-end. Los grupos de back-end son los
recursos "detrás" de la puerta de enlace de aplicaciones en una topología de red o diseño de
arquitectura. Los servicios admitidos para un grupo de back-end en una puerta de enlace de
aplicaciones incluyen:
Para crear un nuevo grupo de back-end para una puerta de enlace de aplicaciones
existente, siga estos pasos:
Un grupo de back-end es realmente solo una definición de objeto del recurso al que la
puerta de enlace de aplicaciones necesita dirigir el tráfico. Sin embargo, el grupo de back-
end es solo la definición del objeto. Para poder reenviar las solicitudes que recibe
Application Gateway, también se deben configurar sondas de estado, agentes de escucha y
reglas de enrutamiento.
Nombre
host de back-end
Ruta del directorio virtual
Intervalo
Se acabó el tiempo
Umbral no saludable
Configurar oyentes
A medida que los oyentes identifican el tráfico entrante y las solicitudes de conexión,
los oyentes admiten cuatro protocolos:
HTTP
HTTPS
HTTP/2
WebSocket
Las reglas de enrutamiento son el pegamento que mantiene unido el oyente, el grupo de
back-end y la configuración de HTTP que ha creado. Hay dos tipos de reglas de
enrutamiento:
Básico
Multi-sitio
Los pasos anteriores crearán la regla que asocia la dirección IP de front-end de la puerta
de enlace de aplicaciones, a través del agente de escucha, con el grupo de back-end y la
configuración de HTTP. La Figura 3-29 describe los diversos componentes de Application
Gateway que se han configurado y cómo se asocian.
FIGURA 3-29 Diagrama de puerta de enlace de aplicaciones
Todos los ejemplos y pasos que se han configurado hasta ahora con Application Gateway
han usado HTTP. Las puertas de enlace de aplicaciones también pueden usar TLS/SSL en
dos escenarios:
terminación TLS
Cifrado TLS de extremo a extremo
Autoridad certificada
Validación extendida
Comodín
Autofirmado
Para que una puerta de enlace de aplicaciones pueda establecer una nueva sesión TLS
con un grupo de back-end, la configuración del host debe coincidir con el nombre común
en el certificado que se usa. Si el grupo de back-end usa un certificado autofirmado, el
certificado debe proporcionarse a la puerta de enlace de aplicaciones. El certificado debe
estar definido en la configuración HTTP que la regla de enrutamiento está configurada para
usar.
Para configurar los ajustes que usan HTTPS, siga estos pasos.
Cada regla que crea tiene un número de secuencia de regla que determina el orden en
que se procesan las reglas. Las reglas con el número de secuencia más bajo se procesan
primero. Si configura dos reglas con el mismo número de secuencia, no existe un método
predefinido para garantizar qué regla se procesa primero.
Las condiciones en un conjunto de reescritura son simplemente declaraciones if-then
que identifican el tipo de variable a verificar, ya sea encabezado HTTP o variable de
servidor, y luego el valor dentro de eso que podría necesitar agregarse o modificarse. Las
condiciones se pueden configurar opcionalmente para distinguir entre mayúsculas y
minúsculas y buscar patrones específicos que coincidan en el encabezado. No es necesario
configurar las condiciones como parte de un conjunto de reescritura si desea que la regla
inspeccione o modifique todo el tráfico.
Después de identificar el componente que necesita cambiar, ya sean todos los paquetes o
solo los paquetes que cumplen la condición, la acción define qué cambiar dentro de los
encabezados. El conjunto de reescritura puede establecer o eliminar un encabezado de
solicitud o un encabezado de respuesta, o modificar la URL. Estos conjuntos de reescritura
se asocian con una regla de enrutamiento cuando se crean.
Azure Front Door ofrece una combinación de servicios de Azure en una única solución, que
incluye balanceo de carga de capa 7, firewall de aplicaciones web, informes de seguridad y
entrega y optimización de contenido. A diferencia de la mayoría de los demás servicios de
Azure, Front Door se considera un servicio global que no se implementa en una región
específica de Azure. En cambio, cuando crea un punto de conexión de Front Door, se puede
acceder a él desde todas las regiones, ubicaciones de borde y puntos de presencia (POP) de
Azure en todo el mundo.
Hay dos SKU de Azure Front Door: Estándar y Premium. La SKU estándar ofrece una
entrega de contenido optimizada en todo el mundo, no solo en una sola región de
Azure. Ambas SKU de Azure Front Door se consideran un equilibrador de carga global,
que usa direcciones IP anycast para ubicar elel punto de presencia (POP) de Microsoft más
cercano para acceder a la red troncal de Azure. La Tabla 3-4 describe la diferencia de
características entre las dos opciones de SKU.
Dominio personalizado Sí Sí
Descarga SSL Sí Sí
almacenamiento en caché Sí Sí
Compresión Sí Sí
Equilibrio de carga global Sí Sí
Enrutamiento de capa 7 Sí Sí
reescrituras de URL Sí Sí
motor de reglas Sí Sí
Enlace privado No Sí
Informe de tráfico Sí Sí
Reporte de seguridad No Sí
Como se describe en la Tabla 3-4 , la SKU Premium tiene todas las características de la
SKU Estándar, además agrega más opciones de reglas para WAF, protección contra bots,
integración con Microsoft Threat Intelligence y análisis de seguridad con informes e
integración con Azure Private Link. Para implementar una puerta frontal de Azure con su
elección de SKU, siga estos pasos:
Los sondeos de estado están asociados con el grupo de origen que contiene los recursos
(orígenes) a los que Front Door enviará las conexiones de cliente. Cuando cree el perfil de
la puerta principal, habilitará automáticamente el sondeo de estado para el origen
seleccionado.
Con Front Door, las sondas de estado realizan dos funciones principales. Lo primero es
verificar que el recurso de back-end esté en línea y en buen estado. En segundo lugar, el
sondeo de estado ayuda a Front Door a determinar el mejor recurso de back-end para enviar
las solicitudes de los clientes. Front Door también depende de los POP, y puede haber
muchos sondeos de estado que generen tráfico de red adicional. La frecuencia de sondeo de
estado predeterminada es de 30 segundos, lo que puede generar aproximadamente 200
solicitudes de sondeo de estado por minuto, por fuente de back-end.
Los sondeos de estado en Front Door tienen dos posibles métodos de sondeo: GET y
HEAD. El uso de una sonda GET recupera información del recurso de back-end, incluido el
cuerpo del mensaje. Esto puede generar más costos y rendimiento con cada verificación de
estado. Una solicitud HEAD es el valor predeterminado y requiere que el recurso de
backend no incluya un cuerpo de mensaje en la respuesta.
Cuando un recurso de back-end responde a una sonda, las solicitudes GET y HEAD
deben generar un código de estado HTTP 200 (OK). Cualquier otro tipo de respuesta
contará como un intento fallido. El tiempo de respuesta en latencia también se mide para
ayudar al servicio Front Door a elegir el recurso de back-end con mayor capacidad de
respuesta.
De forma predeterminada y sin ninguna configuración adicional, Azure Front Door admite
el uso de HTTPS en el nombre de host predeterminado que configura cuando implementa el
servicio por primera vez. Este es el dominio azurefd.net que personaliza cuando crea el
servicio. No se requiere configuración adicional si está utilizando este dominio para
acceder al servicio.
Nuevo-AzADServicePrincipal-ApplicationId "205478c0-bd83-4e1b-a9d6-
db63a3e1e1c8"
Si ejecuta el comando desde Azure Cloud Shell, debería recibir información sobre la
entidad de servicio recién creada. Tenga en cuenta que DisplayName
es Microsoft.Azure.FrontDoor-Cdn .
Después de crear la entidad de servicio, el objeto necesita permiso en Azure Key Vault para
acceder al certificado que carga. Para usar una política de acceso de Key Vault para asignar
los permisos, siga estos pasos:
Una vez que haya cargado el certificado en Azure Key Vault y tenga la entidad de servicio
de Front Door con la política de acceso adecuada, puede configurar el dominio
personalizado en su punto de conexión de Front Door. Para agregar el dominio
personalizado al punto final con su propio certificado, siga estos pasos:
Para forzar el cifrado de extremo a extremo y usar solo HTTPS, debe modificar la regla
de enrutamiento. Para modificar la regla de enrutamiento, siga estos pasos:
Con Azure Front Door Standard y Premium, los nombres de los componentes que se
configuran son diferentes de las puertas de enlace de aplicaciones y el servicio Front Door
original. La figura 3-42 describe cómo se conectan los componentes nombrados.
Puede configurar varios puntos de conexión por instancia de Azure Front Door. Cada
extremo tendría su propio azurefd.net FQDN. Cada extremo puede tener uno o más
dominios asociados. Esto sería el equivalente a un agente de escucha multisitio en una
puerta de enlace de aplicaciones.
Cada dominio que agregue debe verificarse si la zona DNS no está administrada en su
suscripción de Azure. El proceso de verificación consiste en agregar un registro TXT con la
cadena de confirmación. Luego, los dominios se asocian con grupos de origen, así como
con políticas WAF.
Los grupos de origen son el equivalente del grupo de back-end para las puertas de
enlace de aplicaciones. En un grupo de origen, crea orígenes individuales, que son los
recursos con los que desea poder comunicarse a través de Front Door. Estos pueden ser
recursos de Azure como App Services o Traffic Manager, o direcciones IP públicas para
aplicaciones locales u otras aplicaciones alojadas en otros proveedores de la nube.
Configurar reglas de enrutamiento
Las rutas especifican cómo se asocian los dominios con los grupos de origen. Puede
especificar patrones específicos para que coincidan en la URL de la solicitud entrante para
restringir a qué URL responde Front Door. De forma predeterminada, la primera ruta
aceptará solicitudes en /* , que sería cualquier directorio en el punto final. Las rutas
también son donde puede establecer si usar HTTP, HTTPS o ambos protocolos en la
conexión entrante y el reenvío al origen.
Para configurar las reglas de enrutamiento para una instancia de puerta principal
existente, siga estos pasos:
Hacer el cambio en el campo Patrones para coincidir requerirá que el tráfico entrante
incluya /app1 en la solicitud entrante al punto final. Si el patrón coincide, el tráfico se
reenviará al grupo de origen mediante HTTPS.
Habilidad 3.5: Implementar un perfil de Azure Traffic Manager
Traffic Manager cae en la discusión del balanceador de carga porque proporciona una
forma de distribuir el tráfico entre varios recursos de back-end, ya sean recursos de Azure
en una sola región, en varias regiones o incluso alojados fuera de Azure. Sin embargo, en
lugar de equilibrar la carga en la capa 4 o la capa 7, Traffic Manager equilibra la carga
mediante el uso de DNS.
Cuando un cliente inicia una conexión que utiliza Traffic Manager, el método de
enrutamiento que configura determina a qué recurso de back-end debe conectarse el
cliente. Pero en lugar de facilitar la conexión como lo hace una puerta de enlace de
aplicaciones o Front Door, Traffic Manager proporciona al cliente el nombre DNS del
recurso al que conectarse y el cliente se conecta directamente al recurso. Por lo tanto,
Traffic Manager es simplemente un equilibrador de carga basado en DNS.
Los perfiles de Traffic Manager requieren puntos finales como los recursos de back-end a
los que los clientes se conectan directamente. Traffic Manager actúa como un servicio de
DNS recursivo que responde con un punto final basado en el método de enrutamiento. Los
pasos generales para este proceso son:
Hay tres tipos de extremos que puede configurar en un perfil de Traffic Manager:
Para crear un servicio de aplicaciones como punto de conexión de Azure, siga estos
pasos:
Si navega a la URL del perfil de Traffic Manager, ahora será redirigido al servicio de la
aplicación porque es el único punto final que se ha agregado. Repita estos pasos tantas
veces como sea necesario para agregar los recursos de back-end al perfil de Traffic
Manager. Tenga en cuenta que no puede mezclar puntos de conexión de Azure y puntos de
conexión externos en la misma configuración de perfil.
Cuando implementa máquinas virtuales, asocia la tarjeta de interfaz de red de esa VM a una
subred. La subred es entonces parte de una red virtual más amplia. Si ha leído el capítulo
que incluye los grupos de seguridad de la red, quizás recuerde que todo el tráfico saliente
está permitido de manera predeterminada desde una máquina virtual. De forma
predeterminada, si la máquina virtual no tiene una dirección IP pública asignada a la NIC,
se conecta a Internet mediante una dirección IP aleatoria asignada a esa región de Azure.
ESTA HABILIDAD CUBRE CÓMO:
Elija cuándo usar una NAT de red virtual
Asignar IP pública o prefijos de IP pública para una puerta de enlace NAT
Asociar un NAT de red virtual con una subred
Cuando crea una puerta de enlace NAT, necesita al menos una dirección IP pública para la
puerta de enlace. Esta es la dirección IP que se colocará en el encabezado del paquete
saliente desde cualquier máquina virtual en la red virtual.
Para crear una puerta de enlace NAT, siga estos pasos:
Cuando crea la puerta de enlace NAT, puede seleccionar las subredes que existen en ese
momento para asociar la puerta de enlace NAT. Sin embargo, si agrega subredes a la
misma red virtual, no se asocian con la puerta de enlace NAT de forma predeterminada.
Puede realizar la asociación desde la página de subredes dentro de la red virtual o desde
la puerta de enlace NAT. Para asociar la subred con la puerta de enlace NAT desde la
página de subred, siga estos pasos:
Las rutas integradas del sistema permiten el tráfico saliente desde las
máquinas virtuales en una red virtual a Internet.
Las subredes dentro de una red virtual pueden comunicarse entre sí sin
requisitos de enrutamiento adicionales.
Las rutas definidas por el usuario pueden manipular el flujo de tráfico para
desviarse del enrutamiento predeterminado.
Cuando crea rutas definidas por el usuario para reenviar el tráfico a través de
un firewall local, el concepto se denomina tunelización forzada.
Los equilibradores de carga de Azure están disponibles en las SKU básicas y
estándar.
Los balanceadores de carga proporcionan balanceo de carga de capa 4 en el
grupo de back-end que especifique.
Los balanceadores de carga pueden ser internos, con una dirección IP
privada, o externos, con una dirección IP pública.
Load Balancer Basic SKU es un servicio de balanceador de carga gratuito,
pero tiene opciones limitadas de grupo de back-end y no tiene alta disponibilidad.
Los balanceadores de carga tienen una dirección IP de front-end, un grupo
de back-end, sondeos de estado y reglas que definen cómo se reenvía el tráfico.
Los balanceadores de carga pueden incluir reglas NAT para traducir
direcciones entrantes y números de puerto.
Las puertas de enlace de aplicaciones de Azure proporcionan equilibrio de
carga de capa 7 en el grupo de back-end que especifique.
Las puertas de enlace de aplicaciones se pueden escalar a varias instancias
de forma manual o con reglas de escalado automático.
Las puertas de enlace de aplicaciones proporcionan enrutamiento basado en
dominios y rutas a recursos de back-end específicos.
Las puertas de enlace de aplicaciones incluyen direcciones IP de front-end,
grupos de back-end, agentes de escucha, sondeos de estado y reglas que definen
cómo se reenvía el tráfico.
Las puertas de enlace de aplicaciones pueden reescribir los encabezados
antes de reenviarlos a un grupo de back-end.
Las puertas de enlace de aplicaciones pueden realizar la terminación TLS y
el cifrado TLS de extremo a extremo.
Azure Front Door combina equilibrio de carga de capa 7, seguridad, entrega
de contenido y optimización de contenido en un solo servicio.
Front Door es un servicio global que no se implementa en una sola región.
Front Door se implementa como un extremo que puede tener asociados
dominios personalizados.
Front Door tiene grupos de origen que contienen orígenes o recursos de
back-end a los que se conectan los clientes.
Azure Traffic Manager es un servicio de enrutamiento basado en DNS que
usa DNS recursivo para apuntar las conexiones de los clientes a un recurso de back-
end.
Traffic Manager usa métodos de enrutamiento para determinar cómo
seleccionar un punto de conexión o un recurso de back-end para el cliente.
Al usar Traffic Manager, los clientes se conectan directamente al punto final
y solo usan Traffic Manager para DNS.
Las puertas de enlace NAT proporcionan una forma para que las máquinas
virtuales compartan una dirección IP saliente.
Las puertas de enlace NAT están asociadas con una red virtual y subredes
seleccionables dentro de esa red virtual.
Las puertas de enlace NAT solo admiten direcciones IP públicas IPv4.
Experimento mental
Una organización planea implementar una nueva suscripción de Azure para una
aplicación de tres niveles. El primer nivel, el nivel web, será la interfaz de una aplicación
web hospedada en Azure App Services. El servicio de aplicaciones se comunica con una
API personalizada en un nivel lógico que se hospedará en un conjunto de escalado de
máquinas virtuales (VMSS). El tercer nivel es el nivel de datos, que se hospedará en Azure
SQL Managed Instances.
Esta sección contiene la solución al experimento mental. Cada respuesta explica por qué la
opción de respuesta es correcta.
Según el escenario general, podría parecer que una puerta de enlace de aplicaciones
o Azure Front Door funcionarían como una solución de ingreso. Sin embargo, el
requisito de informes de seguridad apunta la solución hacia Azure Front
Door. Además, debido a que la organización usa al menos cuatro regiones de Azure,
Front Door probablemente sería una mejor opción de costo que implementar puertas
de enlace de aplicaciones en cada región, lo que probablemente costaría más.
La red virtual a la que está asociado el VMSS debe configurarse con una puerta de
enlace NAT. La puerta de enlace NAT puede tener una sola dirección IP pública
asociada, que representará el VMSS a medida que se comunica de forma
saliente. Esta dirección IP se puede proporcionar al proveedor externo para que se
incluya en la lista de permitidos en su firewall.
¿NECESITA MÁS
REVISIÓN? APLICACIÓN WEB
ESCALABLE
Para obtener más información sobre una arquitectura de referencia para una
aplicación web escalable, visite https://docs.microsoft.com/en-
us/azure/architecture/reference-architectures/app-service-web-app/scalable-web-app .
Capítulo 4
Asegure y monitoree las redes
Este capítulo presenta soluciones adicionales de seguridad y monitoreo para redes virtuales
y los recursos que se conectarán. Esto comienza con el servicio Azure Firewall, que se
asocia con una red virtual. Todo el tráfico entrante y saliente puede atravesar el
cortafuegos. Luego, dentro de la red virtual, puede configurar grupos de seguridad de red
para filtrar el tráfico de una subred a otra. Además, las políticas de Web Application
Firewall se pueden usar con Azure Front Door o Azure Application Gateway para
administrar conjuntos de reglas. Finalmente, hay varias herramientas en Network Watcher
para ayudar con el monitoreo de la red virtual y los recursos.
Azure Firewalls proporciona filtrado de paquetes e inspección de paquetes con estado. Eso
significa que puede filtrar en el nivel de capa 3 en función de la dirección IP, el puerto y el
protocolo de origen o destino. También puede proteger los recursos en el nivel de capa 7
haciendo que el firewall inspeccione los encabezados en busca del nombre de dominio
completo (FQDN) o la etiqueta de servicio de Azure con la que el paquete podría estar
intentando comunicarse. En esta sección de habilidades, analizamos dónde se incluye
Azure Firewall en un diseño y cómo implementar y configurar el firewall.
Un Azure Firewall es un firewall con estado administrado que puede implementar para
inspeccionar el tráfico en los modelos de implementación este-oeste y norte-sur. Azure
Firewalls puede realizar el filtrado y la inspección de paquetes desde las capas 3 a 7 del
modelo OSI. Hay dos SKU de Azure Firewall: Estándar y Premium . El SKU estándar
incluye las siguientes características:
Inspección TLS
Detección y prevención de intrusiones
Filtrado de URL
Filtrado avanzado de categorías web
El SKU Premium requiere que use las políticas de Firewall Manager para configurar las
características del firewall. El SKU estándar tiene la capacidad de usar Firewall Manager o
configurar reglas individuales en un solo firewall.
El SLA que puede admitir su diseño está determinado por cómo decide implementar
Azure Firewall. Si implementa un firewall en una región que no admite zonas, o
implementa solo en una zona, el SLA del firewall es del 99,95 %. Si implementa un
firewall en al menos dos zonas, el SLA aumenta al 99,99 %.
Cuando implementa un firewall, debe estar asociado con una única red virtual. El
firewall actuará como una puerta para cualquier tráfico que entre o salga de la red
virtual. Puede combinar esto con conexiones de emparejamiento a otras redes virtuales y
rutas definidas por el usuario para forzar el tráfico de este a oeste a través del firewall antes
de abandonar la región. La Figura 4-1 muestra una arquitectura de muestra con una
conexión VPN local y dos redes radiales que se emparejan con una red central.
Cuando crea un Azure Firewall, existen los requisitos de recursos básicos: una suscripción,
un grupo de recursos y una región. Azure Firewall debe implementarse en la misma región
que la red virtual. La red virtual no puede tener otro firewall ya implementado o asociado
con la red virtual.
Las reglas de Azure Firewall se pueden administrar desde dos lugares, según cómo haya
implementado el firewall. Al usar la configuración "Reglas de firewall (clásico)" durante la
implementación, puede crear y configurar reglas directamente en el firewall. Si elige usar
Firewall Manager, puede crear políticas, que luego pueden contener reglas (y otras
configuraciones) que se pueden aplicar a múltiples firewalls. Las políticas se discutirán más
en la siguiente sección.
Para crear una colección de reglas de red usando este ejemplo, siga estos pasos:
Para crear una colección de reglas de aplicación usando este ejemplo, siga estos pasos:
Para crear una política mediante Firewall Manager, siga estos pasos:
17. En la página de IDPS, observe que las opciones no están disponibles. Esto se
debe a que se seleccionó la política Estándar en la pestaña Conceptos básicos. Haga
clic en Siguiente: Inteligencia de amenazas .
18. En la pestaña Inteligencia de amenazas, deje el modo predeterminado
establecido en Solo alerta .
19. Haga clic en Revisar y crear y, a continuación, haga clic en Crear .
Cree un centro seguro implementando Azure Firewall dentro de un centro de Azure Virtual WAN
También puede usar un Firewall de Azure para filtrar y proteger el tráfico en una WAN
virtual de Azure. Las WAN virtuales se analizaron en el Capítulo 2 , pero brindan
conectividad híbrida en varios tipos de conexión: redes virtuales, VPN y ExpressRoute. Si
ya tiene un centro de Azure Virtual WAN, puede asociar un firewall y una política de
firewall al centro existente, o puede crear un nuevo centro virtual.
punto de control
iboss
Escalador Z
Si elige integrarse con uno de estos proveedores, también debe implementar una puerta
de enlace de red virtual para establecer una conexión segura (VPN) con el dispositivo.
FIGURA 4-10 Nuevo centro virtual seguro Azure Firewall
Cuando crea una red virtual o una NIC, de forma predeterminada no hay un NSG
asociado con los recursos. Desde la perspectiva de la NIC, esto significa que se permitiría
cualquier tráfico entrante y saliente desde la máquina virtual a la que está conectado. Esto
también es cierto en el nivel de subred, por lo que la comunicación de subred a subred está
abierta de forma predeterminada en una red virtual.
Un NSG por sí solo es un recurso independiente de las NIC, las redes virtuales y las
subredes. Un NSG se puede asociar con varias NIC o subredes. Sin embargo, cada NIC o
subred se puede asociar con un solo NSG. También puede crear un NSG que no esté
asociado con ninguno de los recursos para su uso posterior.
Para crear un NSG, siga estos pasos:
Los NSG se pueden asociar con tarjetas de interfaz de red o subredes en una red
virtual. Puede configurar esta asociación desde el NSG o desde el recurso al que la está
vinculando.
También puede configurar la asociación desde el recurso. Para asociar el NSG con una
subred de la red virtual, siga estos pasos:
Los grupos de seguridad de aplicaciones (ASG) le permiten agrupar NIC para usarlos con
reglas de NSG. Por ejemplo, puede tener 20 servidores web para los que necesita permitir
el puerto 443, pero luego denegar cualquier otro tráfico en otros números de puerto. Tiene
algunas opciones con cantidades variables de gastos generales administrativos:
Cree una regla para toda la subred. Esto podría ser lo más fácil desde una
perspectiva administrativa, pero requeriría que la subred solo se use para los
servidores web. De lo contrario, el puerto 443 estaría abierto para cualquier otra
máquina virtual que coloque en la misma subred.
Cree reglas para cada máquina virtual. Este sería el mayor dolor de
cabeza desde una perspectiva administrativa. No solo tendría que crear 20 reglas,
sino que cualquier cambio de dirección IP o la adición de máquinas virtuales
requeriría cambios de reglas. Funcionaría, pero no es recomendable.
Cree un ASG para las NIC de VM. De manera similar al uso de grupos
para administrar los permisos de usuario, puede crear un ASG que represente las
NIC individuales de las máquinas virtuales web como un grupo. Luego crea una
regla que hace referencia al ASG. Independientemente de las direcciones IP que se
asignen a las NIC, se permitiría el tráfico. Cualquier máquina virtual nueva solo
debe agregarse al ASG.
Los ASG son similares a los otros recursos que se han discutido. El ASG se crea como
un caparazón de un objeto y luego se asocia con otro recurso, en este caso, las NIC.
Después de crear el ASG, debe asociar las NIC que desea agrupar. Los ASG son
altamente escalables y permiten hasta 4000 configuraciones de IP por ASG. Luego puede
tener hasta 3000 ASG en una suscripción. Para asociar una NIC con un ASG, la NIC ya
debe estar asociada con una máquina virtual (VM). Todos los recursos (VM, NIC y ASG)
deben estar en la misma región de Azure.
Para asociar una NIC con un ASG existente, siga estos pasos:
Las reglas de NSG son lo que le gustaría filtrar los paquetes entrantes o salientes. Tanto las
reglas de entrada como las de salida se procesan de la misma manera, dependiendo de si ese
paquete específico ingresa o sale de la subred o NIC.
A medida que crece una red virtual, también lo hace la cantidad de reglas en un NSG. El
diseño de las reglas, en particular la Prioridad que se asigna a cada regla, se vuelve
crítico. Un NSG procesa las reglas desde el número entero más bajo (100) hasta el número
entero más alto (4096). Tan pronto como un paquete coincide con una regla, esa regla se
procesa independientemente de si es una regla Permitir o Denegar . La tabla 4-1 muestra
un conjunto simple de reglas para un NSG.
En la Tabla 4-1 , hay dos reglas que están configuradas con propiedades
similares. Independientemente de la fuente, ambas reglas están configuradas para el puerto
de destino 443, señalando un servidor web. Sin embargo, la primera regla, que hace
referencia a toda la subred, 192.168.0.0/24 , es una regla Deny con una prioridad
de 500 . Esto significa que se denegará cualquier tráfico destinado a esta subred en el
puerto 443 y no se revisarán ni procesarán las reglas futuras con una prioridad más baja
(entero más alto). Esto hace que la segunda regla de la tabla sea inútil porque tiene la
prioridad más baja ( 600). Si necesita permitir 443 a 192.168.0.4 específicamente y denegar
el acceso a todos los demás recursos en la subred, entonces las prioridades de la regla
deberán intercambiarse.
Para crear una regla de NSG que permita el tráfico HTTPS a un ASG que contiene las
máquinas virtuales web, siga estos pasos:
Los registros de flujo de NSG son una herramienta de monitoreo integrada en los NSG para
ayudar a monitorear el tráfico de red para la validación, el cumplimiento y la detección de
intrusiones. Con los registros de flujo de NSG, captura el tráfico de red y almacena los
registros en una cuenta de almacenamiento de Azure. Al usar una cuenta de
almacenamiento de uso general v2, también puede mantener la retención y eliminar
automáticamente los registros hasta un año después de su creación.
Los registros de flujo capturan el tráfico de red en la capa 4 para el tráfico entrante y
saliente. La información capturada incluye tráfico permitido y denegado, así como
información de rendimiento en bytes y paquetes por flujo. La información guardada por los
registros de flujo incluye, pero no se limita a:
marca de tiempo
Dirección IP de origen y destino
Número de puerto de origen y destino
Protocolo
Dirección del tráfico
Decisión del GSN
Estado de flujo
Paquetes
bytes
Después de completar estos pasos, deberá asegurarse de generar tráfico en los recursos a
los que el NSG permite o bloquea el tráfico. Esto podría ser tan simple como acceder a un
sitio web de muestra en una VM en la red virtual.
Ubicación: insights-logs-
networksecuritygroupflowevent/resourceId=/SUSCRIPCIONES/
7F66A7F2-8827-4019-85AA-167B8E3D219F / GRUPOS DE RECURSOS / REDES /
PROVEEDORES /
MICROSOFT.NETWORK / GRUPOS DE SEGURIDAD DE RED / NSG-EUS-APP1 / y=2021 /
m=11 / d=26 /
h=04 / m=00 / macAddress=002842262CD2
Dentro de esta ubicación hay un archivo PT1H.json que contiene el flujo de tráfico para
la fecha, la hora y la dirección MAC de la solicitud. A continuación se muestra una porción
de muestra del archivo JSON.
{"registros":[{"hora":"2021-11-
26T04:24:06.9762336Z","systemId":"c55b1f21-c587-4ed3-baf5-
ed8ddf971399","macAddress":"002248266FC9","category":"NetworkSecurityGrou
pFlowEvent",
"resourceId":"/SUSCRIPCIONES/7F66A7F2-8827-4019-85AA-167B8E3D219F /GRUPOS
DE RECURSO/
REDES/PROVEEDORES/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/NSG-EUS-APP1",
"operationName":"NetworkSecurityGroupFlowEvents","properties":{"Versión":
2,
"flujos":[{"regla":"DefaultRule_AllowInternetOutBound","flujos":[{"mac":"
002842262CD2",
"flowTuples":["1637900636,10.0.2.4,52.239.247.228,41926,443,T,O,A,B,,,,",
"1637900641,10.0.2.4,52.239.247.228,41926,443,T,O,A,E,8,1508,13,12663"]}]
},
Cuando tiene una cantidad de tráfico de producción a través del NSG, abrir y leer los
registros de flujo por su cuenta sería un gran desafío. En su lugar, puede asociar el registro
de flujo con Traffic Analytics como parte de un área de trabajo de Log Analytics para poder
buscar y visualizar los datos que se capturan. Como alternativa, puede capturar estos datos
con otras herramientas de ingesta de registros de terceros, como Splunk.
Verificar el flujo de IP
Tenga en cuenta que las reglas de verificación de flujo de IP y NSG solo verifican que la
red virtual y los NSG no estén bloqueando el tráfico. La VM todavía necesitaría cualquier
firewall de software para aceptar conexiones en el número de puerto especificado y
necesitaría que el servicio esté configurado en la VM.
Habilidad 4.3: Implementar una implementación de Firewall de aplicaciones web (WAF)
Las políticas de Web Application Firewall son una combinación de conjuntos de reglas
administradas y reglas personalizadas que puede aplicar en varios dispositivos. Existen
diferentes conjuntos de políticas para Azure Front Door, Application Gateway y Azure
CDN.
Si compara esta sección con el dominio objetivo, existe cierta superposición entre los
servicios de Azure Front Door y Azure Application Gateway que se analizaron en
el Capítulo 3 . Para la configuración de esos servicios, consulte esas secciones. Esta sección
de habilidades se enfoca en crear y asociar una política de firewall de aplicaciones web
(WAF), que incluye si la política está en modo de detección o prevención.
Una política WAF puede ayudar a proteger sus recursos de la inyección SQL, las
secuencias de comandos entre sitios y otros ataques maliciosos.
Modo de política
Reglas administradas
Configuración de políticas
Reglas personalizadas
Asociaciones
Independientemente del recurso para el que cree la política, el modo de política le permite
establecer la política en modo de detección o prevención . Los nombres son explícitos en lo
que proporcionan. El modo de detección detecta cualquier posible actividad maliciosa, pero
no toma medidas adicionales para bloquear esa actividad. El recurso necesitará registros de
diagnóstico habilitados, donde la actividad se registrará y estará disponible para que usted
pueda generar informes. El modo de prevención bloquea la actividad y la conexión cuando
se detecta.
Una política de WAF con Azure Front Door proporciona un conjunto preconfigurado de
reglas comunes de las categorías y grupos de reglas del Proyecto de seguridad de
aplicaciones web abiertas (OWASP). Estos grupos de reglas incluyen:
Ataque de protocolo
Archivo local incluido (LFI)
Archivo remoto incluido (RFI)
Ejecución remota de código (RCE)
PHP
Script entre sitios (XSS)
Inyección SQL
fijación de sesión
Protección Java
Para las directivas WAF de Azure Front Door, hay tres conjuntos de reglas
predeterminados que puede configurar:
DefaultRuleSet_preview-0.1
DefaultRuleSet_1.0
Microsoft_DefaultRuleSet_1.1
Geolocalización
dirección IP
Tamaño
Cuerda
Si el tráfico coincide con lo que configura, entonces puede elegir una acción para
realizar en el tráfico. Las acciones disponibles son:
Permitir tráfico
Denegar el tráfico
Registrar solo tráfico
Redirigir el tráfico
Conjuntos de reglas de Azure Application Gateway
Las políticas de WAF para las puertas de enlace de aplicaciones son similares a las de
Front Door, pero tienen diferentes conjuntos de reglas administradas y opciones de
configuración ligeramente diferentes para las reglas personalizadas. Los conjuntos de reglas
administradas disponibles para una puerta de enlace de aplicaciones son:
Microsoft_BotManagerRuleSet_0.1
OWASP_2.2.9
OWASP_3.0
OWASP_3.1
OWASP_3.2
Puede seleccionar uno o más de estos conjuntos de reglas para que se incluyan en la
política de WAF para las puertas de enlace de aplicaciones. Si necesita crear reglas
personalizadas para una puerta de enlace de aplicaciones, las opciones son ligeramente
diferentes:
dirección IP
Número
Cuerda
Geolocalización
La acción que se debe realizar cuando el tráfico coincide con una condición también es
ligeramente diferente para una puerta de enlace de aplicaciones, ya que no existe la opción
de redireccionamiento. Las acciones disponibles son:
Permitir tráfico
Denegar el tráfico
Registrar solo tráfico
Para crear una política de WAF para una puerta de Azure Front, siga estos pasos:
Como demuestra el tutorial, Azure Portal le permitirá crear una política WAF sin
asociarla a un recurso. Este es un comportamiento similar al de los NSG, NIC y otros
recursos demostrados. La asociación de la directiva WAF con el recurso, en este caso Front
Door, se trata en la siguiente sección.
Para que las reglas que configure en la política se apliquen al recurso, debe asociar la
política con el recurso. Puede reutilizar una política en varios recursos si desea que se
aplique el mismo conjunto de reglas. Esto puede ser especialmente útil cuando usa puertas
de enlace de aplicaciones y tiene varias regiones implementadas. En lugar de administrar
cada puerta de enlace de aplicaciones individualmente, puede crear una política compartida
que se use en todas las regiones.
Para asociar una política WAF existente con un recurso, siga estos pasos:
Azure tiene varias herramientas integradas que le permiten monitorear y alertar sobre las
métricas, los registros y los flujos de IP que son importantes para su red en general. Esto
podría ser por razones de auditoría, seguridad o cumplimiento con la industria u otra
regulación. Network Watcher es una de las principales herramientas de Azure que
proporciona una variedad de herramientas para monitorear el entorno. Esta sección de
habilidades describe y proporciona tutoriales para algunas de esas herramientas.
El tipo de recurso que está monitoreando determina el tipo de métricas que están
disponibles para mirar. Por ejemplo, las métricas de máquinas virtuales son diferentes de
las métricas de servicios de aplicaciones. Específicamente para las máquinas virtuales, hay
diagnósticos de invitados adicionales que puede habilitar para obtener más información
sobre Azure Monitor.
Para cada métrica, puede crear una alerta basada en las condiciones de la métrica. Las
alertas tienen tres componentes:
Cuando está configurando la condición, hay opciones para configurar para el operador y
los datos con los que se compara la evaluación. Los operadores integrados son:
Luego, según el tipo de métrica que haya seleccionado, configuraría la condición con
uno de estos tipos de agregación:
Promedio
Contar
Máximo
Mínimo
Total
Después de decidir la condición de una alerta, configure las acciones para notificar o
realizar algún tipo de automatización cuando se active la alerta. Hay muchas opciones
integradas para las alertas:
Notificaciones
Rol de administrador de recursos de Azure de correo electrónico
Dirección de correo electrónico
mensaje de texto
Notificación de inserción
Mensaje de voz
Comportamiento
Runbook de automatización
función azul
Centro de eventos
conector ITSM
Aplicación lógica
Webhook seguro
Webhook
Para crear una alerta basada en la métrica Porcentaje de CPU para una máquina virtual
que envía un correo electrónico, siga estos pasos:
11. Después de hacer clic en Listo, volverá a la página Crear regla de alerta. En
la sección Acciones, haga clic en Agregar grupo de acciones .
12. En la página Agregar grupos de acciones, haga clic en Crear grupo de
acciones .
13. En la pestaña Conceptos básicos del grupo de acciones, en el campo Nombre
del grupo de acciones, proporcione un nombre para el grupo. Por ejemplo,
ingrese email-vms . Deje todos los demás campos en sus valores predeterminados.
14. Haga clic en Siguiente: Notificaciones . La Figura 4-24 muestra la pestaña
Conceptos básicos completada.
11. Volverá a la página Agregar detalles del grupo de prueba. Haga clic en
Agregar configuración de prueba .
12. En el campo Nombre de configuración de prueba, proporcione un nombre
para la prueba. Por ejemplo, ingresa app1-http-test .
13. Deje los valores restantes en los valores predeterminados y haga clic
en Agregar configuración de prueba .
14. Volverá a la página Agregar detalles del grupo de prueba. Haga clic en
Agregar destinos .
15. En la página Agregar destinos, haga clic en la pestaña Direcciones externas
.
16. En la página Direcciones externas, seleccione la casilla de verificación junto
a una opción de Office 365 y luego haga clic en Agregar puntos finales . La Figura
4-29 muestra la configuración completa.
FIGURA 4-29 Agregar destinos al monitor de conexión
17. Volverá a la página Agregar detalles del grupo de prueba. Revise y confirme
la configuración y luego haga clic en Agregar grupo de prueba . La Figura 4-
30 muestra la configuración final.
FIGURA 4-30 Agregar detalles del grupo de prueba
Network Watcher también contiene una herramienta denominada Traffic Analytics, que le
permite analizar los registros de flujo de NSG para varias regiones, redes virtuales y
subredes de Azure con una sola herramienta. Esta herramienta ayuda a mantener el
cumplimiento y auditar el tráfico de red del entorno. Para obtener más información sobre
los registros de flujo de NSG, consulte la sección 4.2 de habilidades .
Para configurar Traffic Analytics con un NSG que ya está configurado para registros de
flujo, siga estos pasos:
Hay algunos recursos en Azure de los que puede recopilar información adicional si habilita
el registro de diagnóstico. Esto debe estar habilitado porque debe tener un repositorio
configurado para guardar los datos, lo que significa que hay un costo asociado con habilitar
el registro. Para la configuración de diagnóstico de NSG, los destinos admitidos incluyen:
Para configurar los ajustes de diagnóstico para un NSG, siga estos pasos:
Network Watcher es una colección de herramientas que puede usar para solucionar
problemas y monitorear los recursos que ha implementado en sus suscripciones. No hay
mucho que configurar para Network Watcher, ya que cada herramienta funciona de forma
independiente.
Experimento mental
Contoso tiene una aplicación de tres niveles que consta de un nivel web, un nivel de API
y un nivel de base de datos. Contoso también tiene una red virtual con una subred dedicada
para cada nivel de la aplicación. La red virtual también tiene subredes para administración
y una puerta de enlace de red virtual. La puerta de enlace es una VPN de sitio a sitio para su
centro de datos local. Todos estos recursos están actualmente implementados en una región
de Azure. La organización planea implementar en una segunda región en un futuro cercano
y necesita poder replicar el entorno actual con la menor cantidad de gastos generales
administrativos.
Esta sección contiene la solución al experimento mental. Cada respuesta explica por qué la
opción de respuesta es correcta.
El tráfico HTTPS entrante debe tener una puerta de enlace de aplicaciones con
reglas OWASP habilitadas.
3. 3 . ¿Qué se debe usar para restringir el tráfico de cada subred y cómo se debe
configurar?
El filtrado del tráfico de red a nivel de subred lo realizan los grupos de seguridad de
red. Los grupos de seguridad de red deben tener al menos dos reglas de entrada para
cada subred: una de entrada para la conexión adecuada y otra para la subred de
administración. Por ejemplo, el nivel de API solo debe permitir conexiones desde el
nivel web. El nivel de la base de datos solo debe aceptar conexiones del nivel de la
API.
Debe usar una política WAF para configurar los conjuntos de reglas de Application
Gateway. Esto minimizará la sobrecarga administrativa de implementar una puerta
de enlace de aplicaciones en la segunda región.
Capítulo 5
Diseñar e implementar el acceso privado a los servicios de Azure
La mayoría de los servicios en Azure son puntos finales públicos y accesibles públicamente
de forma predeterminada. Para algunos requisitos de seguridad o problemas de eficiencia
de enrutamiento, eso no siempre es necesariamente lo que una organización quiere para sus
servicios. Por ejemplo, la mayoría de las organizaciones no desean que las bases de datos
de Azure SQL sean accesibles a través de Internet.
Este capítulo presenta Private Link, que le permite publicar sus propias aplicaciones y
hacerlas accesibles de forma privada. Luego, los puntos de conexión privados se pueden
usar para consumir esos servicios, así como los servicios de Azure.
Los puntos finales de servicio presentan cómo optimizar cualquier posible ineficiencia
de enrutamiento que puedan presentar las VPN de sitio a sitio o ExpressRoute. Las
etiquetas de servicio se pueden usar con grupos de seguridad de red y Azure Firewall para
filtrar servicios específicos de Azure.
Habilidad 5.1: Diseñar e implementar el servicio Azure Private Link y puntos de conexión
privados
Azure Private Link es el nombre más amplio de dos componentes: servicios de Private Link
y puntos de conexión privados. Puede ser fácil confundir los dos servicios, pero son los dos
componentes de un servicio de Consumidor y Proveedor. Los puntos de conexión privados
son del lado del consumidor, que se conecta a los servicios de Azure o las aplicaciones
publicadas. Los servicios o aplicaciones de Azure que publica son del lado del proveedor,
mediante un servicio de Azure Private Link.
El uso de Private Link garantiza que todas las comunicaciones del cliente final se
conecten al servicio mediante direcciones IP privadas a través de una red virtual. Luego,
esto se puede integrar con DNS y combinar con redes virtuales o ExpressRoute.
Los servicios de Azure Private Link permiten el acceso privado a su aplicación mediante el
uso de conectividad privada a través de la red de Microsoft. Para usar los servicios de
Private Link, su aplicación debe ejecutarse detrás de una SKU estándar de Azure Load
Balancer. El servicio Private Link utiliza un flujo de trabajo de proveedor de servicios y
consumidor de servicios.
Cuando crea un servicio de Private Link, Azure asignará un nombre único global,
llamado alias, para su servicio. Puede compartir el alias o el URI de recurso de su
aplicación con sus clientes para que se conecten de forma privada. Cuando un cliente
intenta conectarse a la aplicación por primera vez, el proveedor de servicios puede aceptar
o rechazar la solicitud.
Los pasos generales para completar ambos lados del servicio Private Link incluyen:
Como proveedor, el servicio Private Link, el equilibrador de carga y la red virtual deben
estar todos en la misma región de Azure. Sin embargo, los consumidores del servicio
pueden acceder al servicio desde cualquier región de Azure mediante la red de Microsoft.
15. Haga clic en Siguiente: Revisar + crear y luego haga clic en Crear .
Tenga en cuenta que en la pantalla de seguridad de acceso tiene tres opciones para
elegir:
Los puntos de conexión privados son el lado del consumidor del escenario de Private Link
y admiten conexiones de clientes desde una subred a varios servicios de Azure o un
servicio que se ha publicado a través de los servicios de Private Link.
Por ejemplo, puede configurar puntos de conexión privados en una subred que contiene
máquinas virtuales que necesitan acceso a una cuenta de almacenamiento de Azure. De
forma predeterminada, se accede a las cuentas de almacenamiento mediante direcciones IP
públicas. Con puntos finales privados, puede configurar la cuenta de almacenamiento para
que sea accesible mediante una dirección IP privada en la misma red virtual que sus
máquinas virtuales. Esto garantiza la conectividad privada de las máquinas virtuales al
servicio que configure mediante el uso de direcciones IP privadas no enrutables. Esta puede
ser una configuración requerida en muchos entornos de cumplimiento o de alta seguridad.
Para crear un punto final privado para un servicio PaaS, como una cuenta de
almacenamiento, siga estos pasos:
18. Haga clic en Siguiente: Revisar + crear y luego haga clic en Crear .
19. Una vez completada la implementación, haga clic en Ir al recurso .
20. En la pestaña Descripción general del nuevo recurso, localice y haga clic en
el nombre en el campo Interfaz de red. El nombre de la NIC comenzará con el
nombre del extremo. Por ejemplo, haga clic en ple-eus-storage.nic.bab72045-
96c3-43ec-b2ea-faaeff062c5a . La Figura 5-7 muestra la parte relevante de la hoja
Descripción general.
FIGURA 5-7 Descripción general del punto final privado
Al completar estos pasos, agregó un punto de conexión privado para una cuenta de
almacenamiento denominada az700app1 y asociada con la subred app1 de la red virtual. El
rango de direcciones de la subred app1 es 10.0.2.0/24, y al punto final privado se le asigna
una dirección de este rango: 10.0.2.6.
Con la seguridad predeterminada en una red virtual, cualquier recurso en cualquiera de
las subredes de la red virtual hub-vnet-eus-01 podría comunicarse con la cuenta de
almacenamiento mediante la dirección IP privada del extremo.
ping az700app1.blob.core.windows.net
Los resultados del ping no son lo relevante. Lo que revela el comando ping es que el
nombre DNS que se probó, az700app1.blob.core.windows.net , se traduce a otro
nombre, blob.blz22prdstr06a.store.core.windows.net , que luego se resuelve en una
dirección IP pública: 52.239.169.132 .
Cada vez que intenta resolver el DNS del almacenamiento de blobs fuera de la red
virtual, aún se resuelve en la dirección IP pública. Solo cuando resuelva el nombre desde
dentro de la red virtual, debido a la zona DNS privada asociada, se devolverá la dirección
IP privada. Si ejecutamos la misma prueba de ping desde la máquina vm-web01 que está en
la red virtual, estos son los resultados:
ping az700app1.blob.core.windows.net
Tenga en cuenta que el nombre traducido no solo es diferente para representar el vínculo
privado, sino que devuelve la dirección IP privada asignada a la cuenta de almacenamiento:
10.0.2.6.
CONSEJO DE EXAMEN
Tenga en cuenta los escenarios que combinan temas que podrían cubrirse en el examen. Por
ejemplo, los clientes locales con Private Link podrían combinarse con ciertos requisitos de
enrutamiento o VPN de sitio a sitio.
El servidor DNS de la red virtual debe aceptar las solicitudes de DNS reenviadas y
luego usar el servidor DNS de Azure, 168.63.129.16, como su servidor DNS. En cualquier
ubicación que necesite usar la dirección IP privada, como en las instalaciones, se debe
configurar un servidor DNS como reenviador condicional para los nombres DNS de los
servicios que usará en Azure. Por ejemplo, el reenviador local debe configurarse para el
FQDN blob.core.windows.net .
¿NECESITA MÁS
REVISIÓN? CONFIGURACIÓN DE DNS
DE PUNTO DE CONEXIÓN PRIVADO
DE AZURE
Para obtener más información sobre los servicios de Azure y las configuraciones de la
zona DNS, visite https://docs.microsoft.com/en-us/azure/private-link/private-
endpoint-dns .
Los puntos de conexión de servicio, que no deben confundirse con los puntos de conexión
privados, se usan para optimizar el enrutamiento entre su red virtual y los servicios PaaS de
Azure, como almacenamiento, bases de datos, servicios de aplicaciones y más. Esto es
particularmente útil cuando ha configurado rutas definidas por el usuario que enrutan
primero el tráfico vinculado a Internet a través de un dispositivo virtual de red o en las
instalaciones. Un beneficio adicional de los puntos de conexión de servicio es que los
recursos de la red virtual no necesitan una dirección IP pública para poder acceder a los
servicios de Azure PaaS.
Tome un ejemplo de una implementación de una sola región en el este de EE. UU. que
tiene:
Maquinas virtuales
Cuentas de almacenamiento
Bases de datos Azure SQL
Almacén de claves de Azure
ExpressRoute
Si la conexión de ExpressRoute tiene una ruta definida por el usuario para enviar todo el
tráfico destinado a Internet a través de la conexión de ExpressRoute, eso incluiría el tráfico
a los puntos de conexión públicos de los servicios de Azure enumerados. Esto significa que
el tráfico de una máquina virtual a una base de datos SQL de Azure atravesaría la red de
ExpressRoute y luego pasaría por la Internet pública desde la ubicación local hasta el punto
de conexión público del este de EE. UU.
Esta configuración no solo agrega una latencia innecesaria para la conexión de la base
de datos, sino que también la envía a través de la Internet pública. Los puntos finales de
servicio priorizan el enrutamiento desde la red virtual al servicio de Azure mediante la red
troncal de Microsoft. Esto también elimina la necesidad de realizar cualquier dirección IP
pública o traducción de direcciones de red (NAT) en la subred de origen. Cualquier tráfico
de las VM a Azure SQL Database en este ejemplo mostrará una dirección IP de origen de la
dirección privada de la VM.
Para crear un punto final de servicio para una subred existente, siga estos pasos:
1. Inicie sesión en Azure Portal en https://portal.azure.com .
2. En la barra de búsqueda, busque y seleccione Redes virtuales .
3. En la lista de redes virtuales, seleccione una red implementada
previamente. Por ejemplo, seleccione hub-vnet-eus-01 .
4. Desde la red virtual, haga clic en la hoja Subredes .
5. En la página Subredes, seleccione la subred para crear un punto final de
servicio. Por ejemplo, seleccione app1 .
6. En la sección Puntos finales de servicio de la subred, haga clic en el menú
desplegable y seleccione la casilla de verificación junto al servicio deseado. Por
ejemplo, seleccione Microsoft.Sql .
7. Haga clic en Guardar . La Figura 5-10 muestra la configuración completa.
Cuando crea una política, especifica una definición que contiene el recurso de destino
del servicio. La política permite solo el tráfico a los servicios especificados; se negará el
acceso a todos los demás recursos para ese servicio.
/servicios/Azure
/servicios/Azure/Lote
/servicios/Azure/DataFactory
/servicios/Azure/Aprendizaje automático
/servicios/Azure/Instancia administrada
/servicios/Azure/WebAPI
Para crear una política de punto final de servicio, siga estos pasos:
15. En el menú desplegable Red virtual, seleccione la red virtual que contiene
una subred con un punto final de servicio definido. Por ejemplo, seleccione hub-
vnet-eus-01 .
16. Se mostrará la subred con un extremo de servicio que se configuró
previamente. Seleccione la casilla de verificación junto al nombre de la subred.
17. Haga clic en Aplicar . La Figura 5-14 muestra la configuración completa.
FIGURA 5-14 Asociación de edición de políticas de punto final de servicio
El nombre del objetivo que figura en el examen es "configurar etiquetas de servicio"; sin
embargo, los administradores de Azure no pueden configurar las propias etiquetas de
servicio. Las etiquetas de servicio representan el grupo de docenas, si no cientos, de
direcciones IP que podrían usarse para acceder a un servicio de Azure determinado en una
región o en la infraestructura global de Azure. Por ejemplo, para las cuentas de
almacenamiento hay una etiqueta de servicio de almacenamiento que representa cualquier
dirección IP asociada con Azure. O está Storage.EastUS, que representa solo las
direcciones IP de almacenamiento para la región Este de EE. UU.
Las etiquetas de servicio se pueden usar tanto con grupos de seguridad de red como con
Azure Firewall para filtrar y restringir el tráfico hacia y desde recursos específicos en
regiones específicas. Esto es útil en entornos que tienen regulaciones de cumplimiento en
ciertos países o requisitos de soberanía de datos basados en la ubicación de implementación
de la aplicación. La configuración de un grupo de seguridad de red se analizó en el Capítulo
4 , sección de habilidades 4.2 .
Habilidad 5.3: Configurar la integración de VNet para servicios de plataforma como servicio
(PaaS) dedicados
Una red virtual generalmente se asocia con la infraestructura y los recursos de IaaS, como
las máquinas virtuales. Sin embargo, debido a que las redes virtuales también pueden ser el
punto central de las VPN, ExpressRoute, las conexiones entre pares y más, puede ser
importante integrar los servicios de PaaS con las redes virtuales.
Azure App Services es un servicio PaaS clave que proporciona integración directamente
con redes virtuales. Con la integración de VNet, puede permitir la comunicación saliente
desde un Servicio de aplicaciones a otros recursos que están conectados a la red
virtual. Escenarios similares también se dan con Azure Kubernetes Service (AKS) y App
Service Environment (ASE).
/27 27 13
/26 59 29
Para integrar una instancia de App Service existente en una red virtual, siga estos pasos:
Con los clústeres de AKS privados, el plano de control (API) del clúster tiene una
dirección IP interna privada que se usa para el tráfico de red entre el servidor de la API y
los grupos de nodos. Con AKS, usted administra el plano de control y el servidor de
API. Puede configurar la comunicación entre estos dos servicios mediante Azure Private
Link. Un clúster de AKS privado también usa unzona DNS privada. Los nodos de agente
tienen registros A creados en la zona privada que se resuelve en su dirección IP privada.
¿NECESITA MÁS
REVISIÓN? CLÚSTERES PRIVADOS
DE AZURE KUBERNETES SERVICE
Para obtener más información sobre los clústeres privados de AKS,
visite https://docs.microsoft.com/en-us/azure/aks/private-clusters .
Cuando implementa un clúster de AKS mediante kubenet, los nodos reciben una
dirección IP en la red virtual. Los pods adicionales no pueden comunicarse entre sí
directamente y requieren enrutamiento adicional y reenvío de IP para la conectividad entre
pods. El servicio AKS mantiene y configura estas UDR y el reenvío de IP. Sin embargo,
puede implementar una solución de balanceo de carga con una tabla de rutas personalizada
para una administración personalizada.
En el momento de escribir este artículo, existen tres versiones de App Service Environment
(ASE). Para esta sección, nos centraremos únicamente en ASEv3, la última versión
disponible. Los entornos de App Service se usan normalmente cuando los requisitos de
escala son más de 30 instancias individuales o cuando hay otros requisitos de seguridad
para un sistema de un solo inquilino o un alojamiento de red aislado.
Cuando implementa una aplicación en un ASE que usa una sola subred, la aplicación
usa la dirección de entrada asignada al ASE. Si el ASE tiene una IP virtual interna (VIP), la
dirección de entrada será la VIP para todas las aplicaciones que se
implementen. Finalmente, si el ASE tiene un VIP externo, la dirección de entrada a la
aplicación será la IP pública y se registrará en el DNS público.
Para que el ASE acepte conexiones entrantes, cualquier NSG debe aceptar tráfico en los
puertos 80 y 443 para el tráfico web. También puede abrir los puertos 4022, 4024 y 4026
para el tráfico de depuración remota de Visual Studio y el puerto 8172 para el servicio Web
Deploy.
Si planea usar su propio DNS para que los clientes se conecten al ASE, entonces se debe
crear una zona para el ASE usando el dominio asename.appserviceenvironment.net. Puede
usar zonas DNS públicas y privadas dependiendo de dónde se conectarán los clientes.
Experimento mental
Una organización tiene una aplicación que pretende vender a sus clientes. Espera que
sus clientes accedan al servicio desde sus propias suscripciones. Algunos de los clientes de
la organización tienen el requisito de acceder al servicio mediante el uso de direcciones IP
privadas. Parte de la aplicación para la organización usará Azure SQL Databases. La
organización también quiere usar un rango de direcciones IP privadas para comunicarse
desde sus servicios a la base de datos.
Además, la organización tiene una red virtual de alta seguridad con requisitos de
cumplimiento de transacciones financieras. Uno de los requisitos es que todo el tráfico debe
fluir a través de un firewall. Actualmente, la organización envía todo el tráfico desde la red
virtual dedicada a su firewall local. El tráfico de red en el entorno de alta seguridad no debe
pasar por la Internet pública al acceder a los servicios de Azure. Además, los servicios se
implementarán en solo dos regiones de Azure. Se debe bloquear el tráfico que intenta llegar
a los servicios de Azure en otras regiones.
Esta sección contiene la solución al experimento mental. Cada respuesta explica por qué la
opción de respuesta es correcta.
5. 5 . ¿Qué debe hacer la organización para usar Web Deploy y la depuración remota
de Visual Studio?
El NSG que está asociado con la subred en la que se implementa el ASE debe tener
los siguientes puertos abiertos: 4022, 4024, 4026 y 8172.
Índice
A
ACL (listas de control de acceso), 171 . Consulte también NSG (grupos de seguridad de red)
alias, 204
creando, 175
asociando
autenticación
Azure AD
configurar, 26 – 28
Azure ExpressRoute, 31
FastPath, 37 – 38
Alcance mundial, 35 – 36
mirando, 38 – 39
Microsoft, 40 – 41
privado, 39
SKU
rendimiento, 34 – 35
cortafuegos azul
despliegue
colecciones de reglas
reglas, 163
ANS, 160
permisos, 139
permisos, 139
público, 102
alertas, 190
acciones, 191
condiciones, 190
integrando
creando, 75 – 77
diseñar la arquitectura, 75 – 77
tipos de SKU, 75
centro virtual
creando, 77 – 78
sitio VPN
creando, 79 – 80
configurando
Azure ExpressRoute
cifrado, 44 – 45
FastPath, 37 – 38
puerta de entrada, 41
Alcance mundial, 35 – 36
Emparejamiento de Microsoft, 40 – 41
emparejamiento privado, 39
anuncio de ruta, 43 – 44
tunelización forzada, 97
Autenticación RADIUS, 22 – 24
conectividad
encadenamiento de servicios, 72 – 73
solución de problemas
Azure ExpressRoute, 46
vpn, 74
creando
tablas de rutas, 86 – 88 , 93
redes virtuales, 52 – 53
Sitio VPN, 79 – 80
delegación de subredes, 59 – 60
despliegue
cortafuegos azul
diseño
DNS
zonas
privado, diseño, 63 – 65
público, diseño, 61 – 63
mi
puntos finales
privado, 203
división en subredes, 59
servicio, 213
registros de flujo
insights-log-networksecuritygroupflowevent, 182
GH
yo
como
insights-log-networksecuritygroupflowevent, 182
JKL
oyentes
multisitio, 143
balanceadores de carga
interno, 102
público, 102
METRO
norte
resolución de nombres, 60 – 61
configurar, 66
diseño, 63 – 65
configurar, 66
diseño, 61 – 63
NAT
acciones, 191
alertas, 190
condiciones, 190
creando, 175
creando, 172
NSG (grupo de seguridad de red), 171 . Véase también ASG (grupo de seguridad de
aplicaciones)
creando, 172
Regla de denegación, 179
creando, 181
insights-log-networksecuritygroupflowevent, 182
OP
mirando
Microsoft, 40 – 41
opciones, 70
privado, 39
políticas
diseño, 63 – 65
división en subredes, 59
Servicio de enlace privado. Véase también Azure Private Link ; puntos finales de servicio
alias, 204
código QR
redundancia
regionales, 2
zona, 2 – 3
recursos
tablas de rutas, 73
creando, 93
enrutamiento, 91
tunelización forzada, 97
normas
política, 168
saliente, 112
encadenamiento de servicios, 72 – 73
diseño, 2 – 4
como
redundante regionalmente, 2
basado en rutas, 5
configurar la conexión, 9 – 10
creando un recurso, 7 – 8
SKU
Azure ExpressRoute, 34 – 35
generaciones, 5
seleccionando
delegación de, 59 – 60
creando, 172
tablas de rutas y, 95 – 97
redes virtuales, 54
pasarelas de aplicaciones, 56 – 57
Bastión Azul, 58 – 59
cortafuegos, 55 – 56
solución de problemas
enrutamiento, 97 – 100
Problemas de conectividad VPN
ultravioleta
centro virtual
creando, 52 – 53
NAT
enrutamiento, 91
tunelización forzada, 97
división en subredes y, 95 – 97
encadenamiento de servicios, 72 – 73
división en subredes, 54
pasarelas de aplicaciones, 56 – 57
Bastión Azul, 58 – 59
cortafuegos, 55 – 56
VM (máquinas virtuales)
punto a sitio, 20
Sitio a Sitio
diseño, 2 – 4
basado en políticas, 5
redundante regionalmente, 2
basado en rutas, 5
políticas
XYZ
https://portal.azure.com
https://sts.windows.net/tenantID/
https://go.microsoft.com/fwlink/?linkid=2117554
https://aka.ms/precios
https://aka.ms/AzureCT
https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-altamente disponible
https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-about-vpn-devices
https://docs.microsoft.com/en-us/azure/vpn-gateway/point-to-site-how-to-radius-ps
https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-howto-point-to-site-
resource-manager-portal
https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-troubleshoot-vpn-point-to-
site-connection-problems
https://docs.microsoft.com/en-us/azure/expressroute/expressroute-routing#bgp
https://docs.microsoft.com/en-us/azure/expressroute/expressroute-troubleshooting-network-
rendimiento
https://portal.azure.com
https://docs.microsoft.com/en-us/learn/modules/network-fundamentals/
www.microsoft.com
https://docs.microsoft.com/en-us/azure/cloud-adoption-framework/ready/enterprise-
scale/architecture
https://docs.microsoft.com/en-us/azure/virtual-wan/virtual-wan-ubicaciones-partners
https://portal.azure.com
https://microsoft.onmicrosoft.com/033ce1c9-f832-4658-b024-ef1cbea108b8
https://infrastructuremap.microsoft.com/
https://docs.microsoft.com/en-us/azure/architecture/reference-architectures/app-service-web-
app/scalable-web-app
https://portal.azure.com
www.contoso.com
servicios azules
https://portal.azure.com
https://docs.microsoft.com/en-us/azure/private-link/private-endpoint-dns
https://docs.microsoft.com/en-us/azure/aks/private-clusters
https://docs.microsoft.com/en-us/azure/aks/concepts-network#azure-virtual-networks
Fragmentos de código