Planear redes virtuales
Crear una red virtual con la cual experimentar es bastante sencillo, pero es probable que, con el tiempo, implemente varias redes virtuales para satisfacer las necesidades de producción que tiene su organización. Con cierto planeamiento, podrá implementar redes virtuales y conectar los recursos que necesita de manera más eficaz. La información de este artículo es más útil si ya está familiarizado con las redes virtuales y tiene cierta experiencia al trabajar con ellas. Si no está familiarizado con las redes virtuales, le recomendamos que lea la información general sobre Virtual Network.
Nomenclatura
Todos los recursos de Azure tienen un nombre. El nombre debe ser único dentro de un ámbito, que puede variar para cada tipo de recurso. Por ejemplo, el nombre de una red virtual debe ser único dentro de un grupo de recursos, pero puede haber duplicados del nombre dentro de una suscripción o región de Azure. Definir una convención de nomenclatura que pueda usar de forma consistente al asignar nombres a recursos le será de utilidad al administrar varios recursos de red con el tiempo. Consulte Naming conventions (Convenciones de nomenclatura) para obtener sugerencias.
Regions
Todos los recursos de Azure se crean en una suscripción y una región de Azure. Un recurso solo se puede crear en una red virtual que exista en la misma región y suscripción de ese recurso. No obstante, puede conectar redes virtuales que ya existan a diferentes suscripciones y regiones. Para obtener más información, consulteConectividad. Al decidir en qué regiones implementar los recursos, debe tener en cuenta dónde se encuentran físicamente los consumidores de esos recursos:
- Los consumidores de recursos normalmente quieren obtener la latencia de red más baja para sus recursos. Para determinar las latencias relativas entre una ubicación específica y las regiones de Azure, consulte View relative latencies (Ver latencias relativas).
- ¿Debe cumplir con requisitos de residencia, soberanía, cumplimiento o resistencia de datos? Si es así, es fundamental elegir la región que mejor se ajuste a sus requisitos. Para obtener más información, consulte Zonas geográficas de Azure.
- ¿Necesita configurar la resistencia en Azure Availability Zones dentro de la misma región de Azure para los recursos que está implementando? Puede implementar recursos como máquinas virtuales (VM) en diferentes zonas de disponibilidad dentro de la misma red virtual. Sin embargo, no todas las regiones de Azure admiten zonas de disponibilidad. Para obtener más información sobre las zonas de disponibilidad y las regiones que las admiten, consulte Zonas de disponibilidad.
Suscripciones
Puede implementar tantas redes virtuales como sea necesario en cada suscripción, hasta el límite que se haya establecido. Por ejemplo, algunas organizaciones tienen suscripciones distintas para diferentes departamentos. Para obtener más información y detalles en torno a las suscripciones, consulte Gobernanza de suscripción.
Segmentación
Puede crear varias redes virtuales por suscripción y por región. Puede crear varias subredes en cada red virtual. Los detalles siguientes le ayudarán a determinar cuántas redes virtuales y subredes necesita:
Redes virtuales
Una red virtual es una parte virtual y aislada de la red pública de Azure. Cada red virtual está dedicada a su suscripción. Qué debe tener en cuenta al decidir si quiere crear una o varias redes virtuales en una suscripción:
- ¿Hay algún requisito de seguridad en la organización para aislar el tráfico en redes virtuales diferentes? Puede elegir conectar la redes virtuales o no. Si conecta las redes virtuales, puede implementar una aplicación virtual de red (como un firewall) para controlar el flujo de tráfico entre las redes virtuales. Para obtener más información, consulte seguridad y conectividad.
- ¿Hay algún requisito en la organización para aislar las redes virtuales en diversas suscripciones o regiones?
- Una interfaz de red permite que una máquina virtual se comunique con otros recursos. Cada interfaz de red puede tener una o varias direcciones IP privadas asignadas. ¿Cuántas interfaces de red y direcciones IP privadas se necesitan en una red virtual? Hay límites en el número de interfaces de red y direcciones IP privadas que se pueden tener en una red virtual.
- ¿Quiere conectar la red virtual a otra red virtual o red local? Puede conectar algunas redes virtuales entre sí o a redes locales, pero no a otras redes. Para obtener más información, consulteConectividad. Cada red virtual que se conecta a otra red virtual o local debe tener un espacio de direcciones único. Cada red virtual tiene uno o más intervalos de direcciones públicas o privadas asignados a su espacio de direcciones. Un intervalo de direcciones se especifica en un formato propio del enrutamiento de interdominios sin clases (CIDR), como 10.0.0.0/16. Obtenga más información sobre los intervalos de direcciones para redes virtuales.
- ¿Tiene algún requisito de administración de la organización para recursos en diferentes redes virtuales? De ser así, puede separar los recursos en una red virtual a parte para simplificar la asignación de permisos a los usuarios de la organización, o para asignar diferentes directivas a diferentes redes virtuales.
- Cuando implementa algunos recursos del servicio de Azure en una red virtual, estos se encargan de crear su propia red virtual. Para determinar si un servicio de Azure ha creado su propia red virtual, consulte la información de cada servicio de Azure que se puede implementar en una red virtual.
Subredes
Una red virtual se puede segmentar en una o más subredes hasta el límite que se haya establecido. Qué debe tener en cuenta al decidir si quiere crear una subred o varias redes virtuales en una suscripción:
- Cada subred debe tener un intervalo de direcciones único, especificado en formato CIDR, en el espacio de direcciones de la red virtual. Este intervalo de direcciones no puede superponerse con otras subredes de la red virtual.
- Si planea implementar algunos recursos del servicio de Azure en una red virtual, seguramente necesiten crear su propia subred, por lo que debe haber suficiente espacio no asignado para que puedan hacerlo. Para determinar si un servicio de Azure ha creado su propia subred, consulte la información de cada servicio de Azure que se puede implementar en una red virtual. Por ejemplo, si conecta una red virtual a una red local mediante Azure VPN Gateway, la red virtual debe tener una subred dedicada para la puerta de enlace. Obtenga más información sobre las subredes de puerta de enlace.
- De forma predeterminada, Azure enruta el tráfico de red entre todas las subredes de una red virtual. Por ejemplo, puede invalidar el enrutamiento predeterminado de Azure para evitar el enrutamiento de Azure entre subredes, o para enrutar el tráfico entre subredes a través de una aplicación virtual de red. Si necesita que el tráfico entre recursos de la misma red virtual fluya a través de una aplicación virtual de red (NVA), implemente los recursos en diferentes subredes. Obtenga más información en el apartado Seguridad.
- Puede limitar el acceso a recursos de Azure como, por ejemplo, una cuenta de almacenamiento de Azure o Azure SQL Database, a subredes específicas con un punto de conexión de servicio de red virtual. Además, puede denegar el acceso a los recursos desde Internet. Puede crear varias subredes y habilitar un punto de conexión de servicio para algunas subredes, pero no para otras. Obtenga más información sobre los puntos de conexión de servicio y los recursos de Azure puede habilitar.
- Puede asociar un grupo de seguridad de red o ninguno, a cada subred de una red virtual. Puede asociar el mismo grupo de seguridad de red u otro diferente a cada subred. Cada grupo de seguridad de red contiene reglas que permiten o niegan el paso del tráfico hacia y desde los orígenes y destinos. Más información sobre los grupos de seguridad de red.
Seguridad
Puede filtrar el tráfico de red hacia y desde los recursos en una red virtual mediante los grupos de seguridad de red y las aplicaciones virtuales de red. Puede controlar la manera en que Azure enruta el tráfico de subredes. Asimismo, también puede limitar en su organización quién puede trabajar con los recursos en redes virtuales.
Filtrado de tráfico
- Puede filtrar el tráfico de red entre recursos de una red virtual mediante un grupo de seguridad de red, una NVA que filtra el tráfico de red o ambos. Para implementar una NVA como un cortafuegos para filtrar el tráfico de red, consulte Azure Marketplace. Al usar una NVA, también crea rutas personalizadas para enrutar el tráfico de las subredes a la NVA. Obtenga más información acerca el enrutamiento del tráfico.
- Un grupo de seguridad de red contiene varias reglas de seguridad predeterminadas que permiten o deniegan el tráfico hacia o desde los recursos. Un grupo de seguridad de red se puede asociar a una interfaz de red, a la subred que se encuentra en ella o a ambas. Siempre que sea posible y para simplificar la administración de reglas de seguridad, le recomendamos que asocie un grupo de seguridad de red a las subredes individuales, en lugar de asociarlo a las interfaces de red individuales de la subred.
- Si debe aplicar reglas de seguridad a varias máquinas virtuales de una subred, puede asociar la interfaz de red en la máquina virtual a uno o varios grupos de seguridad de aplicaciones. Una regla de seguridad puede especificar un grupo de seguridad de aplicaciones en el origen, en el destino o en ambos. A continuación, solo se aplica dicha regla a las interfaces de red que forman parte del grupo de seguridad de aplicaciones. Obtenga más información sobre los grupos de seguridad de red y los grupos de seguridad de aplicaciones.
- Cuando un grupo de seguridad de red está asociado en el nivel de subred, se aplica a todas las NIC de la subred, no solo al tráfico procedente de fuera de la subred. Esto significa que el tráfico entre las máquinas virtuales contenidas en la subred también puede verse afectado.
- Azure crea de forma predeterminada varias reglas de seguridad en cada grupo de seguridad de red. Una regla predeterminada permite que todo el tráfico fluya entre todos los recursos de una red virtual. Para invalidar este comportamiento, use los grupos de seguridad de red, el enrutamiento personalizado para enrutar el tráfico a una NVA o ambas opciones. Le recomendamos que se familiarice con todas las reglas de seguridad predeterminadas de Azure, y con la forma de aplicar las reglas del grupo de seguridad de red a un recurso.
Puede ver los diseños de ejemplo para implementar una red perimetral (también conocida como DMZ) entre Azure e Internet mediante NVA.
Enrutamiento del tráfico
Azure crea varias rutas predeterminadas para el tráfico saliente desde una subred. Puede invalidar el enrutamiento predeterminado de Azure si crea una tabla de rutas y la asocia a una subred. Los motivos más comunes para invalidar el enrutamiento predeterminado de Azure son:
- Porque quiere que el tráfico entre subredes fluya a través de una NVA. Más información sobre cómo configurar las tablas de rutas para forzar el tráfico a través de una NVA.
- Porque quiere forzar todo el tráfico de Internet a través de una NVA o de forma local, a través de Azure VPN Gateway. Forzar el tráfico de Internet de forma local para su inspección y registro a menudo se conoce como "tunelización forzada". Obtenga más información sobre la configuración de la tunelización forzada.
Si tiene que implementar el enrutamiento personalizado, le recomendamos que se familiarice con el enrutamiento en Azure.
Conectividad
Puede conectar una red virtual a otras redes virtuales mediante el emparejamiento de redes virtuales, o puede conectarla a una red local mediante Azure VPN Gateway.
Emparejamiento
Al usar el emparejamiento de redes virtuales, las redes virtuales pueden estar en las mismas regiones de Azure compatibles o en diferentes regiones. Las redes virtuales pueden estar en las mismas suscripciones de Azure (incluso suscripciones que pertenezcan a diferentes inquilinos de Microsoft Entra), o en otras diferentes. Le recomendamos que se familiarice con los requisitos y restricciones de emparejamiento antes de crear un emparejamiento. El ancho de banda entre recursos de redes virtuales emparejadas en la misma región es el mismo que si los recursos estuvieran en la misma red virtual.
puerta de enlace de VPN
Puede usar Azure VPN Gateway para conectar una red virtual a la red local mediante un VPN de sitio a sitio, o mediante una conexión dedicada con Azure ExpressRoute.
Puede combinar el emparejamiento y una puerta de enlace de VPN para crear redes de tipo hub-and-spoke, donde las redes virtuales denominadas "radios" (spoke) se conectan a una red virtual denominada "concentrador" (hub) y, a su vez, ese concentrador se conecta a una red local, por ejemplo.
Resolución de nombres
Los recursos de una red virtual no pueden resolver los nombres de los recursos de una red virtual emparejada mediante el DNS integrado de Azure. Para resolver nombres en una red virtual emparejada, despliegue su propio servidor DNS, o use los dominios privados de Azure DNS. Recuerde que la resolución de nombres entre recursos en una red virtual y en redes locales también requiere que implemente su propio servidor DNS.
Permisos
Azure usa el control de acceso basado en rol de Azure (RBAC de Azure) para los recursos. Se asignan permisos a un ámbito según la siguiente jerarquía: grupo de administración, suscripción, grupo de recursos y recurso individual. Para obtener más información acerca de la jerarquía, consulte Organización de los recursos. Para trabajar con redes virtuales de Azure y todas sus capacidades relacionadas, como el emparejamiento, los grupos de seguridad de red, los puntos de conexión de servicio y las tablas de rutas, puede asignar miembros de la organización a los roles integrados Propietario, Colaborador o Colaborador de red y, a continuación, asignar uno de esos roles a un ámbito adecuado. Si quiere asignar permisos específicos para un subconjunto de capacidades de red virtual, cree un rol personalizado y asigne al rol los permisos específicos necesarios para redes virtuales, subredes y puntos de conexión de servicio, interfaces de red, emparejamientos, grupos de seguridad de aplicaciones y red o tablas de rutas.
Directiva
Azure Policy le permite crear, asignar y administrar las definiciones de directivas. Las definiciones de directivas aplican distintas reglas en los recursos, para que estos sigan siendo compatibles con los estándares de la organización y los contratos de nivel de servicio. Azure Policy ejecuta una evaluación de los recursos, para detectar los que no son compatibles con las definiciones de directivas que tiene. Por ejemplo, puede definir y aplicar una directiva que permita la creación de redes virtuales en un solo grupo de recursos o región específicos. Otra directiva puede requerir que cada subred tenga un grupo de seguridad de red asociado a ella. Estas directivas se evalúan al crear y actualizar los recursos.
Igualmente, las directivas se aplican según la jerarquía siguiente: grupo de administración, suscripción y grupo de recursos. Obtenga más información sobre Azure Policy o acerca de cómo implementar algunas definiciones de Azure Policy.
Pasos siguientes
Obtenga información acerca de todas las tareas, configuración y opciones para una red virtual, subred y punto de conexión de servicio, interfaz de red, emparejamiento, grupo de seguridad de red y aplicaciones o tabla de rutas.