Compartir a través de


Tutorial: Creación de una red radial

En este tutorial, aprenderá a crear una topología en estrella tipo hub-and-spoke con Azure Virtual Network Manager. A continuación, implementa una puerta de enlace de red virtual en la red virtual del concentrador para permitir que los recursos de las redes virtuales radiales se comuniquen con redes remotas mediante VPN. También configura una opción de seguridad para bloquear el tráfico de red saliente a Internet en los puertos 80 y 443. Por último, comprueba que las configuraciones se aplicaron correctamente; para ello, consulte la configuración de la red virtual y la máquina virtual.

En este tutorial, aprenderá a:

  • Crear varias redes virtuales.
  • Implementar una puerta de enlace de red virtual.
  • Crear una topología en estrella tipo hub-and-spoke.
  • Crear una configuración de seguridad que bloquee el tráfico en los puertos 80 y 443.
  • Comprobar que se aplicaron las configuraciones.

Diagrama de componentes de una topología de red en estrella tipo hub-and-spoke protegida.

Requisito previo

  • Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.
  • Antes de poder completar los pasos de este tutorial, primero debe crear una instancia de Azure Virtual Network Manager. La instancia debe incluir las características del administrador de seguridad y conectividad. En este tutorial se usó una instancia de Virtual Network Manager denominada vnm-learn-eastus-001.

Creación de redes virtuales

Este procedimiento le guía a través de la creación de tres redes virtuales que se conectarán mediante la topología de red de centro y radio.

  1. Inicie sesión en Azure Portal.

  2. Seleccione + Crear un recurso y busque la red virtual. A continuación, seleccione Crear para empezar a configurar la red virtual.

  3. En la pestaña Aspectos básicos, escriba o seleccione la siguiente información:

    Captura de pantalla de la pestaña de aspectos básicos de la red virtual radial.

    Configuración Valor
    Subscription Seleccione la suscripción en la que desea implementar esta red virtual.
    Resource group Seleccione o cree un nuevo grupo de recursos para almacenar la red virtual. En este inicio rápido se usa un grupo de recursos denominado rg-learn-eastus-001.
    Nombre Escribe vnet-learn-prod-eastus-001 como nombre de red virtual.
    Region Seleccione la región Este de EE. UU.
  4. Seleccione Siguiente: Direcciones IP y configure el siguiente espacio de direcciones de red:

    Captura de pantalla de la pestaña de direcciones IP de la red virtual radial.

    Configuración Value
    Espacio de direcciones IPv4 Escriba 10.0.0.0/16 como espacio de direcciones.
    Nombre de subred Escriba el nombre predeterminado para la subred.
    Espacio de direcciones de subred Escriba el espacio de direcciones de subred de 10.0.0.0/24.
  5. Seleccione Revisar y crear y, a continuación, seleccione Crear para implementar la red virtual.

  6. Repita los pasos del 2 al 5 para crear dos redes virtuales más en el mismo grupo de recursos con la siguiente información:

    Configuración Valor
    Subscription Seleccione la misma suscripción que seleccionó en el paso 3.
    Resource group Selecciona rg-learn-eastus-001.
    Nombre Escriba vnet-learn-prod-eastus-002 y vnet-learn-hub-eastus-001 para las dos redes virtuales.
    Region Seleccione (EE.UU.) Este de EE. UU.
    Direcciones IP de vnet-learn-prod-eastus-002 Espacio de direcciones IPv4: 10.1.0.0/16
    Nombre de subred: predeterminado
    Espacio de direcciones de subred: 10.1.0.0/24
    Direcciones IP de vnet-learn-hub-eastus-001 Espacio de direcciones IPv4: 10.2.0.0/16
    Nombre de subred: predeterminado
    Espacio de direcciones de subred: 10.2.0.0/24

Implementación de una puerta de enlace de red virtual

Implemente una puerta de enlace de red virtual en la red virtual del centro de conectividad. Esta puerta de enlace de red virtual es necesaria para que los radios usen el centro de conectividad como puerta de enlace.

  1. Seleccione + Crear un recurso y busque la Puerta de enlace de red virtual. A continuación, seleccione Crear para comenzar a configurar la puerta de enlace de red virtual.

  2. En la pestaña Aspectos básicos, escriba o seleccione la siguiente configuración:

    Captura de pantalla de la creación de una pestaña de aspectos básicos de la puerta de enlace de red virtual.

    Configuración Valor
    Subscription Seleccione la suscripción en la que desea implementar esta red virtual.
    Nombre Escriba gw-learn-hub-eastus-001 para el nombre de puerta de enlace de red virtual.
    SKU Seleccione VpnGW1 como SKU.
    Generation Seleccione Generation1 como generación.
    Virtual network Seleccione vnet-learn-hub-eastus-001 para la red virtual.
    Dirección IP pública
    Nombre de la dirección IP pública Ingrese el nombre gwpip-learn-hub-eastus-001 para la IP pública.
    SEGUNDA DIRECCIÓN IP PÚBLICA
    Nombre de la dirección IP pública Ingrese el nombre gwpip-learn-hub-eastus-002 para la IP pública.
  3. Seleccione Revisar y crear y, a continuación, seleccione Crear una vez que se supere la validación. La implementación de una puerta de enlace de red virtual puede tardar unos 30 minutos. Puede pasar a la sección siguiente mientras espera a que se complete esta implementación. Sin embargo, es posible que encuentre que gw-learn-hub-eastus-001 no muestra tener una puerta de enlace debido al tiempo y la sincronización en Azure Portal.

Creación de un grupo de red

Nota:

En esta guía paso a paso, se da por supuesto que ha creado una instancia de Network Manager mediante la guía de inicio rápido. El grupo de red de este tutorial se denomina ng-learn-prod-eastus-001.

  1. Vaya al grupo de recursos rg-learn-eastus-001 y seleccione la instancia de administrador de redes vnm-learn-eastus-001.

  2. En Configuración, seleccione Grupos de redes. A continuación, seleccione + Crear.

    Captura de pantalla de una lista vacía de grupos de redes y el botón para la creación de un grupo de redes.

  3. En el panel Crear un grupo de red, seleccione Crear:

    Configuración Valor
    Nombre Escriba ng-learn-prod-eastus-001.
    Descripción (Opcional) Proporcione una descripción sobre este grupo de red.
    Tipo de miembro Seleccione red virtual en el menú desplegable.

    Seleccione Crear.

    Captura de pantalla del panel para crear un grupo de redes.

  4. Confirme que el grupo de redes ahora se muestra en el panel Grupos de redes.

    Captura de pantalla de un grupo de redes creado recientemente en el panel que muestra los grupos de redes.

Definición de la pertenencia dinámica a grupos con Azure Policy

  1. En la lista de grupos de redes, seleccione ng-learn-prod-eastus-001. En Crear directiva para agregar miembros dinámicamente, seleccione Crear directiva de Azure.

    Captura de pantalla del botón de definir pertenencia dinámica.

  2. En la página Create Azure Policy (Crear directiva de Azure Policy), seleccione o introduzca la siguiente información:

    Captura de pantalla de la pestaña Crear instrucciones condicionales del grupo de red.

    Configuración Value
    Nombre de la directiva Escribe azpol-learn-prod-eastus-001 en el cuadro de texto.
    Ámbito Seleccione Seleccionar ámbitos y elija su suscripción vigente.
    Criterios
    Parámetro Seleccione Name en el menú desplegable.
    Operador Seleccione Contains en el menú desplegable.
    Condición Escribe -prod para la condición en el cuadro de texto.
  3. Selecciona Vista previa de recursos para ver la página Redes virtuales efectivas y selecciona Cerrar. Esta página muestra las redes virtuales que se agregarán al grupo de redes según las condiciones definidas en Azure Policy.

    Captura de pantalla de la página Redes virtuales efectivas con los resultados de la instrucción condicional.

  4. Seleccione Guardar para implementar la pertenencia al grupo. La directiva puede tardar hasta un minuto en surtir efecto y agregarse al grupo de red.

  5. En la página Grupo de red en Configuración, seleccione Miembros del grupo para ver la pertenencia del grupo según las condiciones definidas en Azure Policy. El origen aparece como azpol-learn-prod-eastus-001.

    Captura de pantalla de la pertenencia dinámica a grupos en la Pertenencia a grupos.

Creación de una configuración de conectividad de tipo hub-and-spoke

  1. En Configuración, seleccione Configuración y, después, + Crear.

  2. Seleccione Configuración de conectividad en el menú desplegable para empezar a crear una configuración de conectividad.

  3. En la página Aspectos básicos, escriba la información siguiente y, a continuación, seleccione Siguiente: Topología >.

    Captura de pantalla de la página Agregar una configuración de conectividad.

    Configuración Value
    Nombre Escribe cc-learn-prod-eastus-001.
    Descripción (Opcional) Proporcione una descripción sobre esta configuración de conectividad.
  4. En la pestaña Topología, seleccione Centro y radio. Esto revela otra configuración.

    Captura de pantalla de la selección de un centro de conectividad para la configuración de la conectividad.

  5. Seleccione Seleccionar un centro de conectividad en la configuración de Centro de conectividad. Luego, seleccione vnet-learn-hub-eastus-001 para usarlo como centro de red y seleccione Seleccionar.

    Captura de pantalla de Seleccionar configuración del centro de conectividad.

    Nota

    Según el tiempo de implementación, es posible que no vea la red virtual del centro de destino como si tuviera una puerta de enlace en Tiene una puerta de enlace. Esto se debe a la implementación de la puerta de enlace de red virtual. Puede tardar hasta 30 minutos en implementarse y es posible que no se muestre inmediatamente en las distintas vistas de Azure Portal.

  6. En Spoke network groups, seleccione + add. Luego, seleccione ng-learn-prod-eastus-001 para el grupo de red y seleccione Seleccionar.

    Captura de pantalla de la página de Agregar grupos de red.

  7. Después de agregar el grupo de red, seleccione las siguientes opciones. A continuación, seleccione Agregar para crear la configuración de conectividad.

    Captura de pantalla de las opciones para la configuración del grupo de red.

    Configuración Valor
    Conectividad directa Active la casilla Enable connectivity within network group. Esta configuración permitirá que las redes virtuales radiales del grupo de redes de la misma región se comuniquen directamente entre sí.
    Malla global Deje la opción Habilitar conectividad de malla entre regionesdesactivada. Este valor no es necesario ya que ambos radios están en la misma región
    Centro de conectividad como puerta de enlace Seleccione la casilla Centro como puerta de enlace.
  8. Seleccione Siguiente: Revisar y crear > y, después cree la configuración de la conectividad.

Implementación de la configuración de conectividad

Asegúrese de que la puerta de enlace de red virtual se ha implementado correctamente antes de implementar la configuración de conectividad. Si implementa una configuración radial mediante la opción Uso del centro como puerta de enlace habilitada y no hay ninguna puerta de enlace, se producirá un error en la implementación. Para obtener más información, consulte Uso del centro de conectividad como una puerta de enlace.

  1. Seleccione Implementaciones en Configuración y, después, seleccione Implementar configuración.

    Captura de pantalla de la página de implementaciones en Network Manager.

  2. Seleccione la siguiente configuración:

    Captura de pantalla de la página Implementar una configuración.

    Configuración Value
    Configurations Selecciona Incluir configuración de conectividad en el estado objetivo.
    Configuraciones de conectividad Selecciona cc-learn-prod-eastus-001.
    Regiones de destino Selecciona Este de EE. UU . como región de implementación.
  3. Seleccione Siguiente y, a continuación, seleccione Implementar para completar la implementación.

    Captura de pantalla del mensaje de confirmación de implementación.

  4. La implementación se mostrará en la lista de la región seleccionada. La implementación de la configuración podría tardar unos minutos en completarse.

    Captura de pantalla del estado de implementación de configuración en curso.

Crear una configuración del administrador de seguridad

  1. Vuelva a seleccionar Configuración en Configuración, seleccione + Crear y, después, SecurityAdmin en el menú para empezar a crear una configuración de SecurityAdmin.

  2. Escriba el nombre sac-learn-prod-eastus-001 para la configuración y seleccione Siguiente: colección de reglas.

    Captura de pantalla de la página de configuración del administrador de seguridad.

  3. Escriba el nombre rc-learn-prod-eastus-001 para la colección de reglas y seleccione ng-learn-prod-eastus-001 para el grupo de red de destino. Seguidamente, seleccione + Agregar.

    Captura de pantalla de la página para agregar una colección de reglas.

  4. Escriba y seleccione la siguiente configuración y, a continuación, seleccione Agregar:

    Captura de pantalla de la página para agregar una regla y de la configuración de la regla.

    Configuración Value
    Nombre Escriba DENY_INTERNET
    Descripción Escriba Esta regla bloquea el tráfico a Internet en HTTP y HTTPS
    Priority Escriba 1.
    Acción Seleccione Denegar
    Dirección Seleccione Saliente
    Protocolo Seleccione TCP.
    Origen
    Tipo de origen Seleccione IP
    Direcciones IP de origen Escriba *.
    Destino
    Tipo de destino Seleccione Direcciones IP
    Direcciones IP de destino Escriba *.
    Puerto de destino Escriba 80, 443
  5. Seleccione Agregar para agregar la colección de reglas a la configuración.

    Captura de pantalla del botón Guardar para una colección de reglas.

  6. Seleccione Revisar y crear y Crear para completar la configuración del administrador de seguridad.

Implementación de la configuración de administrador de seguridad

  1. En Configuración, seleccione Implementaciones y, a continuación, seleccione Implementar configuraciones.

  2. En Configuraciones, seleccione Incluir al administrador de seguridad en su estado objetivo y la configuración de sac-learn-prod-eastus-001 que creó en la última sección. A continuación, seleccione Este de EE. UU. como región de destino y seleccione Siguiente.

    Captura de pantalla de la implementación de una configuración de seguridad.

  3. Seleccione Siguiente y, después, Implementar. Ahora debería ver que la implementación aparece en la lista de la región seleccionada. La implementación de la configuración podría tardar unos minutos en completarse.

Comprobación de la implementación de configuraciones

Comprobación desde una red virtual

  1. Ve a la red virtual vnet-learn-prod-eastus-001 y selecciona Administrador de red en Configuración. La pestaña Configuraciones de conectividad muestra la configuración de conectividad cc-learn-prod-eastus-001 aplicada en la red virtual.

    Captura de pantalla de la configuración de conectividad aplicada a una red virtual.

  2. Seleccione la pestaña Configuraciones de administrador de seguridad y expanda Saliente para enumerar las reglas de administración de seguridad aplicadas a esta red virtual.

    Captura de pantalla de la configuración de administración de seguridad aplicada a la red virtual.

  3. Seleccione Emparejamientos en Configuración para enumerar los emparejamientos de red virtual creados por Virtual Network Manager. Su nombre comienza con ANM_.

    Captura de pantalla de los emparejamientos de redes virtuales creados por Virtual Network Manager.

Comprobación desde una VM

  1. Implemente una máquina virtual de prueba en vnet-learn-prod-eastus-001.

  2. Vaya a la VM de prueba creada en vnet-learn-prod-eastus-001 y seleccione Redes en Configuración. Seleccione Reglas de puerto de salida y compruebe que se aplique la regla DENY_INTERNET.

    Captura de pantalla de las reglas de seguridad de red de la VM de prueba.

  3. Seleccione el nombre de la interfaz de red y seleccione Rutas eficaces en Ayuda para comprobar las rutas de los emparejamientos de red virtual. La ruta 10.2.0.0/16 con el tipo de próximo salto de VNet peering es la ruta a la red virtual del centro de conectividad.

    Captura de pantalla de las rutas eficaces de la interfaz de red de VM de prueba.

Limpieza de recursos

Si ya no necesita Azure Virtual Network Manager, debe asegurarse de que se cumplan todos los elementos siguientes antes de poder eliminar el recurso:

  • No hay implementaciones de configuraciones en ninguna región.
  • Se han eliminado todas las configuraciones.
  • Se han eliminado todos los grupos de red.

Use la lista de comprobación para quitar componentes y asegurarse de que no haya recursos secundarios disponibles antes de eliminar el grupo de recursos.

Pasos siguientes

Obtenga información sobre cómo bloquear el tráfico de red con una configuración de administración de seguridad.