Tutorial: Creación de una red radial

  • Artículo

En este tutorial, aprenderá a crear una topología en estrella tipo hub-and-spoke con Azure Virtual Network Manager. A continuación, implementa una puerta de enlace de red virtual en la red virtual del concentrador para permitir que los recursos de las redes virtuales radiales se comuniquen con redes remotas mediante VPN. También configura una opción de seguridad para bloquear el tráfico de red saliente a Internet en los puertos 80 y 443. Por último, comprueba que las configuraciones se aplicaron correctamente; para ello, consulte la configuración de la red virtual y la máquina virtual.

Importante

Azure Virtual Network Manager está disponible con carácter general para Virtual Network Manager y configuraciones de conectividad centrales y de radio. Las configuraciones de conectividad de malla permanecen en versión preliminar pública.

Las configuraciones de seguridad con reglas de administración de seguridad están disponibles con carácter general en las siguientes regiones:

  • Centro de Australia
  • Centro de Australia 2
  • Este de Australia
  • Sudeste de Australia
  • Sur de Brasil
  • Sur de Brasil
  • Centro de Canadá
  • Este de Canadá
  • Este de Asia
  • Norte de Europa
  • Centro de Francia
  • Sur de Francia
  • Norte de Alemania
  • Centro-oeste de Alemania
  • India central
  • Sur de India
  • India occidental
  • Centro de Israel
  • Norte de Italia
  • Japón Oriental
  • Japón Occidental
  • JIO del Oeste de la India
  • Centro de Corea del Sur
  • Corea del Sur
  • Este de Noruega
  • Oeste de Noruega
  • Centro de Polonia
  • Centro de Catar
  • Norte de Sudáfrica
  • Oeste de Sudáfrica
  • Centro de Suecia
  • Sur de Suecia
  • Norte de Suiza
  • Oeste de Suiza
  • Centro de Emiratos Árabes Unidos
  • Norte de Emiratos Árabes Unidos
  • Sur de Reino Unido
  • Oeste de Reino Unido
  • Centro de EE. UU.
  • Este de EE. UU.
  • Norte de Reino Unido
  • Oeste de EE. UU.
  • Oeste de EE. UU. 2
  • Oeste de EE. UU. 3
  • Centro-oeste de EE. UU.

Todas las demás regiones permanecen en versión preliminar pública.

Esta versión preliminar se ofrece sin Acuerdo de Nivel de Servicio y no se recomienda para cargas de trabajo de producción. Es posible que algunas características no sean compatibles o que tengan sus funcionalidades limitadas. Para más información, consulte Términos de uso complementarios de las Versiones Preliminares de Microsoft Azure.

En este tutorial aprenderá a:

  • Crear varias redes virtuales.
  • Implementar una puerta de enlace de red virtual.
  • Crear una topología en estrella tipo hub-and-spoke.
  • Crear una configuración de seguridad que bloquee el tráfico en los puertos 80 y 443.
  • Comprobar que se aplicaron las configuraciones.

Diagrama de componentes de una topología de red en estrella tipo hub-and-spoke protegida.

Requisito previo

  • Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.
  • Antes de poder completar los pasos de este tutorial, primero debe crear una instancia de Azure Virtual Network Manager. La instancia debe incluir las características del administrador de seguridad y conectividad. En este tutorial se usó una instancia de Virtual Network Manager denominada vnm-learn-eastus-001.

Creación de redes virtuales

Este procedimiento le guía a través de la creación de tres redes virtuales que se conectarán mediante la topología de red de centro y radio.

  1. Inicie sesión en Azure Portal.

  2. Seleccione + Crear un recurso y busque la red virtual. A continuación, seleccione Crear para empezar a configurar la red virtual.

  3. En la pestaña Aspectos básicos, escriba o seleccione la siguiente información:

    Captura de pantalla de la pestaña de aspectos básicos de la red virtual radial.

    Configuración Valor
    Subscription Seleccione la suscripción en la que desea implementar esta red virtual.
    Resource group Seleccione o cree un nuevo grupo de recursos para almacenar la red virtual. En este inicio rápido se usa un grupo de recursos denominado rg-learn-eastus-001.
    Nombre Escribe vnet-learn-prod-eastus-001 como nombre de red virtual.
    Region Seleccione la región Este de EE. UU.

  4. Seleccione Siguiente: Direcciones IP y configure el siguiente espacio de direcciones de red:

    Captura de pantalla de la pestaña de direcciones IP de la red virtual radial.

    Configuración Value
    Espacio de direcciones IPv4 Escriba 10.0.0.0/16 como espacio de direcciones.
    Nombre de subred Escriba el nombre predeterminado para la subred.
    Espacio de direcciones de subred Escriba el espacio de direcciones de subred de 10.0.0.0/24.

  5. Seleccione Revisar y crear y, a continuación, seleccione Crear para implementar la red virtual.

  6. Repita los pasos del 2 al 5 para crear dos redes virtuales más en el mismo grupo de recursos con la siguiente información:

    Configuración Valor
    Subscription Seleccione la misma suscripción que seleccionó en el paso 3.
    Resource group Selecciona rg-learn-eastus-001.
    Nombre Escriba vnet-learn-prod-eastus-002 y vnet-learn-hub-eastus-001 para las dos redes virtuales.
    Region Seleccione (EE.UU.) Este de EE. UU.
    Direcciones IP de vnet-learn-prod-eastus-002 Espacio de direcciones IPv4: 10.1.0.0/16
    Nombre de subred: predeterminado
    Espacio de direcciones de subred: 10.1.0.0/24
    Direcciones IP de vnet-learn-hub-eastus-001 Espacio de direcciones IPv4: 10.2.0.0/16
    Nombre de subred: predeterminado
    Espacio de direcciones de subred: 10.2.0.0/24

Implementación de una puerta de enlace de red virtual

Implemente una puerta de enlace de red virtual en la red virtual del centro de conectividad. Esta puerta de enlace de red virtual es necesaria para que los radios usen el centro de conectividad como puerta de enlace.

  1. Seleccione + Crear un recurso y busque la Puerta de enlace de red virtual. A continuación, seleccione Crear para comenzar a configurar la puerta de enlace de red virtual.

  2. En la pestaña Aspectos básicos, escriba o seleccione la siguiente configuración:

    Captura de pantalla de la creación de una pestaña de aspectos básicos de la puerta de enlace de red virtual.

    Configuración Valor
    Subscription Seleccione la suscripción en la que desea implementar esta red virtual.
    Nombre Escriba gw-learn-hub-eastus-001 para el nombre de puerta de enlace de red virtual.
    SKU Seleccione VpnGW1 como SKU.
    Generation Seleccione Generation1 como generación.
    Virtual network Seleccione vnet-learn-hub-eastus-001 para la red virtual.
    Dirección IP pública
    Nombre de la dirección IP pública Ingrese el nombre gwpip-learn-hub-eastus-001 para la IP pública.
    SEGUNDA DIRECCIÓN IP PÚBLICA
    Nombre de la dirección IP pública Ingrese el nombre gwpip-learn-hub-eastus-002 para la IP pública.

  3. Seleccione Revisar y crear y, a continuación, seleccione Crear una vez que se supere la validación. La implementación de una puerta de enlace de red virtual puede tardar unos 30 minutos. Puede pasar a la sección siguiente mientras espera a que se complete esta implementación. Sin embargo, es posible que encuentre que gw-learn-hub-eastus-001 no muestra tener una puerta de enlace debido al tiempo y la sincronización en Azure Portal.

Creación de un grupo de red dinámico

  1. Vaya a la instancia de Azure Virtual Network Manager. En este tutorial se da por hecho que ha creado una con la guía de inicio rápido. El grupo de red de este tutorial se denomina ng-learn-prod-eastus-001.

  2. Seleccione Grupos de red en Configuración y, luego, elija + Crear para crear un nuevo grupo de red.

    Captura de pantalla del botón para agregar un grupo de red.

  3. En la pantalla Crear un grupo de red, escriba la información siguiente:

    Captura de pantalla de la pestaña Conceptos básicos para crear una página de grupo de redes.

    Configuración Value
    Nombre Escriba ng-learn-prod-eastus-001 como nombre del grupo de red.
    Descripción Proporcione una descripción sobre este grupo de red.

  4. Seleccione Crear para crear el grupo de red virtual.

  5. En la página Grupos de red, seleccione el grupo de red creado desde arriba para configurar el grupo de red.

  6. En la página Información general, seleccione Create Azure Policy (Crear directiva de Azure Policy) en Create policy to dynamically add members (Crear directiva para agregar miembros dinámicamente).

    Captura de pantalla del botón de definir pertenencia dinámica.

  7. En la página Create Azure Policy (Crear directiva de Azure Policy), seleccione o introduzca la siguiente información:

    Captura de pantalla de la pestaña Crear instrucciones condicionales del grupo de red.

    Configuración Value
    Nombre de la directiva Escribe azpol-learn-prod-eastus-001 en el cuadro de texto.
    Ámbito Seleccione Seleccionar ámbitos y elija su suscripción vigente.
    Criterios
    Parámetro Seleccione Name en el menú desplegable.
    Operador Seleccione Contains en el menú desplegable.
    Condición Escribe -prod para la condición en el cuadro de texto.

  8. Selecciona Vista previa de recursos para ver la página Redes virtuales efectivas y selecciona Cerrar. Esta página muestra las redes virtuales que se agregarán al grupo de redes según las condiciones definidas en Azure Policy.

    Captura de pantalla de la página Redes virtuales efectivas con los resultados de la instrucción condicional.

  9. Seleccione Guardar para implementar la pertenencia al grupo. La directiva puede tardar hasta un minuto en surtir efecto y agregarse al grupo de red.

  10. En la página Grupo de red en Configuración, seleccione Miembros del grupo para ver la pertenencia del grupo según las condiciones definidas en Azure Policy. El origen aparece como azpol-learn-prod-eastus-001.

    Captura de pantalla de la pertenencia dinámica a grupos en la Pertenencia a grupos.

Creación de una configuración de conectividad de tipo hub-and-spoke

  1. En Configuración, seleccione Configuración y, después, + Crear.

  2. Seleccione Configuración de conectividad en el menú desplegable para empezar a crear una configuración de conectividad.

  3. En la página Aspectos básicos, escriba la información siguiente y, a continuación, seleccione Siguiente: Topología >.

    Captura de pantalla de la página Agregar una configuración de conectividad.

    Configuración Value
    Nombre Escribe cc-learn-prod-eastus-001.
    Descripción (Opcional) Proporcione una descripción sobre esta configuración de conectividad.

  4. En la pestaña Topología, seleccione Centro y radio. Esto revela otra configuración.

    Captura de pantalla de la selección de un centro de conectividad para la configuración de la conectividad.

  5. Seleccione Seleccionar un centro de conectividad en la configuración de Centro de conectividad. Luego, seleccione vnet-learn-hub-eastus-001 para usarlo como centro de red y seleccione Seleccionar.

    Captura de pantalla de Seleccionar configuración del centro de conectividad.

    Nota

    Según el tiempo de implementación, es posible que no vea la red virtual del centro de destino como si tuviera una puerta de enlace en Tiene una puerta de enlace. Esto se debe a la implementación de la puerta de enlace de red virtual. Puede tardar hasta 30 minutos en implementarse y es posible que no se muestre inmediatamente en las distintas vistas de Azure Portal.

  6. En Spoke network groups, seleccione + add. Luego, seleccione ng-learn-prod-eastus-001 para el grupo de red y seleccione Seleccionar.

    Captura de pantalla de la página de Agregar grupos de red.

  7. Después de agregar el grupo de red, seleccione las siguientes opciones. A continuación, seleccione Agregar para crear la configuración de conectividad.

    Captura de pantalla de las opciones para la configuración del grupo de red.

    Configuración Valor
    Conectividad directa Active la casilla Enable connectivity within network group. Esta configuración permitirá que las redes virtuales radiales del grupo de redes de la misma región se comuniquen directamente entre sí.
    Malla global Deje la opción Habilitar conectividad de malla entre regionesdesactivada. Este valor no es necesario ya que ambos radios están en la misma región
    Centro de conectividad como puerta de enlace Seleccione la casilla Centro como puerta de enlace.

  8. Seleccione Siguiente: Revisar y crear > y, después cree la configuración de la conectividad.

Implementación de la configuración de conectividad

Asegúrese de que la puerta de enlace de red virtual se ha implementado correctamente antes de implementar la configuración de conectividad. Si implementa una configuración radial mediante la opción Uso del centro como puerta de enlace habilitada y no hay ninguna puerta de enlace, se producirá un error en la implementación. Para obtener más información, consulte Uso del centro de conectividad como una puerta de enlace.

  1. Seleccione Implementaciones en Configuración y, después, seleccione Implementar configuración.

    Captura de pantalla de la página de implementaciones en Network Manager.

  2. Seleccione la siguiente configuración:

    Captura de pantalla de la página Implementar una configuración.

    Configuración Value
    Configurations Selecciona Incluir configuración de conectividad en el estado objetivo.
    Configuraciones de conectividad Selecciona cc-learn-prod-eastus-001.
    Regiones de destino Selecciona Este de EE. UU . como región de implementación.

  3. Seleccione Siguiente y, a continuación, seleccione Implementar para completar la implementación.

    Captura de pantalla del mensaje de confirmación de implementación.

  4. La implementación se mostrará en la lista de la región seleccionada. La implementación de la configuración podría tardar unos minutos en completarse.

    Captura de pantalla del estado de implementación de configuración en curso.

Crear una configuración del administrador de seguridad

  1. Vuelva a seleccionar Configuración en Configuración, seleccione + Crear y, después, SecurityAdmin en el menú para empezar a crear una configuración de SecurityAdmin.

  2. Escriba el nombre sac-learn-prod-eastus-001 para la configuración y seleccione Siguiente: colección de reglas.

    Captura de pantalla de la página de configuración del administrador de seguridad.

  3. Escriba el nombre rc-learn-prod-eastus-001 para la colección de reglas y seleccione ng-learn-prod-eastus-001 para el grupo de red de destino. Seguidamente, seleccione + Agregar.

    Captura de pantalla de la página para agregar una colección de reglas.

  4. Escriba y seleccione la siguiente configuración y, a continuación, seleccione Agregar:

    Captura de pantalla de la página para agregar una regla y de la configuración de la regla.

    Configuración Value
    Nombre Escriba DENY_INTERNET
    Descripción Escriba Esta regla bloquea el tráfico a Internet en HTTP y HTTPS
    Priority Escriba 1.
    Acción Seleccione Denegar
    Dirección Seleccione Saliente
    Protocolo Seleccione TCP.
    Origen
    Tipo de origen Seleccione IP
    Direcciones IP de origen Escriba *.
    Destino
    Tipo de destino Seleccione Direcciones IP
    Direcciones IP de destino Escriba *.
    Puerto de destino Escriba 80, 443

  5. Seleccione Agregar para agregar la colección de reglas a la configuración.

    Captura de pantalla del botón Guardar para una colección de reglas.

  6. Seleccione Revisar y crear y Crear para completar la configuración del administrador de seguridad.

Implementación de la configuración de administrador de seguridad

  1. En Configuración, seleccione Implementaciones y, a continuación, seleccione Implementar configuraciones.

  2. En Configuraciones, seleccione Incluir al administrador de seguridad en su estado objetivo y la configuración de sac-learn-prod-eastus-001 que creó en la última sección. A continuación, seleccione Este de EE. UU. como región de destino y seleccione Siguiente.

    Captura de pantalla de la implementación de una configuración de seguridad.

  3. Seleccione Siguiente y, después, Implementar. Ahora debería ver que la implementación aparece en la lista de la región seleccionada. La implementación de la configuración podría tardar unos minutos en completarse.

Comprobación de la implementación de configuraciones

Comprobación desde una red virtual

  1. Ve a la red virtual vnet-learn-prod-eastus-001 y selecciona Administrador de red en Configuración. La pestaña Configuraciones de conectividad muestra la configuración de conectividad cc-learn-prod-eastus-001 aplicada en la red virtual.

    Captura de pantalla de la configuración de conectividad aplicada a una red virtual.

  2. Seleccione la pestaña Configuraciones de administrador de seguridad y expanda Saliente para enumerar las reglas de administración de seguridad aplicadas a esta red virtual.

    Captura de pantalla de la configuración de administración de seguridad aplicada a la red virtual.

  3. Seleccione Emparejamientos en Configuración para enumerar los emparejamientos de red virtual creados por Virtual Network Manager. Su nombre comienza con ANM_.

    Captura de pantalla de los emparejamientos de redes virtuales creados por Virtual Network Manager.

Comprobación desde una VM

  1. Implemente una máquina virtual de prueba en vnet-learn-prod-eastus-001.

  2. Vaya a la VM de prueba creada en vnet-learn-prod-eastus-001 y seleccione Redes en Configuración. Seleccione Reglas de puerto de salida y compruebe que se aplique la regla DENY_INTERNET.

    Captura de pantalla de las reglas de seguridad de red de la VM de prueba.

  3. Seleccione el nombre de la interfaz de red y seleccione Rutas eficaces en Ayuda para comprobar las rutas de los emparejamientos de red virtual. La ruta 10.2.0.0/16 con el tipo de próximo salto de VNet peering es la ruta a la red virtual del centro de conectividad.

    Captura de pantalla de las rutas eficaces de la interfaz de red de VM de prueba.

Limpieza de recursos

Si ya no necesita Azure Virtual Network Manager, debe asegurarse de que se cumplan todos los elementos siguientes antes de poder eliminar el recurso:

  • No hay implementaciones de configuraciones en ninguna región.
  • Se han eliminado todas las configuraciones.
  • Se han eliminado todos los grupos de red.

Use la lista de comprobación para quitar componentes y asegurarse de que no haya recursos secundarios disponibles antes de eliminar el grupo de recursos.

Pasos siguientes

Obtenga información sobre cómo bloquear el tráfico de red con una configuración de administración de seguridad.