Nota
O acceso a esta páxina require autorización. Pode tentar iniciar sesión ou modificar os directorios.
O acceso a esta páxina require autorización. Pode tentar modificar os directorios.
Aspectos básicos
¿Qué es una red virtual?
Una red virtual es una representación de su propia red en la nube, según lo proporcionado por el servicio Azure Virtual Network. Una red virtual es un aislamiento lógico de la nube de Azure dedicada a la suscripción.
Puede usar redes virtuales para aprovisionar y administrar redes privadas virtuales (VPN) en Azure. Opcionalmente, puede vincular redes virtuales con otras redes virtuales en Azure, o con la infraestructura de TI local, para crear soluciones híbridas o entre locales.
Cada red virtual que creas tiene su propio bloque CIDR. Puede vincular una red virtual a otras redes virtuales y redes locales siempre que los bloques CIDR no se superpongan. También tiene control sobre la configuración del servidor DNS para redes virtuales, junto con la segmentación de la red virtual en subredes.
Utilice redes virtuales para:
Cree una red virtual dedicada, privada y exclusiva para la nube. A veces no necesita una configuración entre entornos para su solución. Cuando crea una red virtual, sus servicios y máquinas virtuales (VMs) dentro de su red virtual pueden comunicarse entre sí de forma directa y segura en la nube. Aún puede configurar conexiones de punto de conexión para las VMs y los servicios que requieren comunicación por Internet, como parte de su solución.
Amplíe su centro de datos de forma segura. Con las redes virtuales, puede crear VPN tradicionales de sitio a sitio (S2S) para escalar de forma segura la capacidad de su centro de datos. Las VPN de S2S usan IPsec para proporcionar una conexión segura entre la puerta de enlace de VPN corporativa y Azure.
Habilitar escenarios de nube híbrida. Puede conectar de forma segura aplicaciones basadas en la nube a cualquier tipo de sistema local, incluidos mainframes y sistemas Unix.
¿Cómo empiezo?
Visite la documentación Azure Virtual Network para empezar. Este contenido proporciona información general y de implementación para todas las características de la red virtual.
¿Puedo usar redes virtuales sin conectividad entre entornos locales?
Sí. Puede utilizar una red virtual sin conectarla a sus entornos locales. Por ejemplo, podría ejecutar Microsoft Windows Server Active Directory controladores de dominio y granjas de SharePoint únicamente en una red virtual de Azure.
¿Puedo realizar la optimización de la WAN entre redes virtuales o entre una red virtual y mi centro de datos local?
Sí. Puede implementar una aplicación virtual network para la optimización de WAN desde varios proveedores a través de Azure Marketplace.
Configuración
¿Qué herramientas debo usar para crear una red virtual?
Puede emplear las siguientes herramientas para crear o configurar una red virtual:
- portal de Azure
- PowerShell
- CLI de Azure
-
Archivo de configuración de red (
netcfg, solo para redes virtuales clásicas)
¿Qué intervalos de direcciones puedo usar en mis redes virtuales?
Recomendamos utilizar los siguientes rangos de direcciones, enumerados en RFC 1918. El IETF ha reservado estos rangos para espacios de direcciones privados y no enrutables.
- 10.0.0.0 a 10.255.255.255 (prefijo 10/8)
- 172.16.0.0 a 172.31.255.255 (prefijo 172.16/12)
- 192.168.0.0 a 192.168.255.255 (prefijo 192.168/16)
También puede implementar el espacio de direcciones compartido reservado en RFC 6598, que se trata como un espacio de direcciones IP privado en Azure:
- 100.64.0.0 a 100.127.255.255 (prefijo 100.64/10)
Otros espacios de direcciones, incluidos todos los demás espacios de direcciones privados y no enrutables reconocidos por el IETF, podrían funcionar, pero tienen efectos secundarios indeseables.
Además, no se pueden agregar los siguientes rangos de direcciones:
- 224.0.0.0/4 (multidifusión)
- 255.255.255.255/32 (difusión)
- 127.0.0.0/8 (bucle invertido)
- 169.254.0.0/16 (vínculo local)
- 168.63.129.16/32 (DNS interno)
¿Puedo tener direcciones IP públicas en mis redes virtuales?
Sí. Para más información sobre los intervalos de direcciones IP públicas, consulte Creación de una red virtual. Las direcciones IP públicas no son accesibles directamente desde Internet.
¿Existe algún límite en el número de subredes de mi red virtual?
Sí. Consulte Límites de red para obtener más información. Los espacios de direcciones de subred no pueden superponerse entre sí.
¿Hay alguna restricción en el uso de direcciones IP dentro de estas subredes?
Sí. Azure reserva las cuatro primeras direcciones y la última dirección, para un total de cinco direcciones IP dentro de cada subred.
Por ejemplo, el intervalo de direcciones IP de 192.168.1.0/24 tiene las siguientes direcciones reservadas:
- 192.168.1.0: direcciones de red.
- 192.168.1.1: reservado por Azure para la puerta de enlace predeterminada.
- 192.168.1.2, 192.168.1.3: Reservado por Azure para asignar las direcciones IP de Azure DNS al espacio de red virtual.
- 192.168.1.255: Dirección de difusión de red.
¿Qué tamaños mínimo y máximo pueden tener las redes virtuales y las subredes?
La subred IPv4 más pequeña admitida es /29 y la más grande es /2 (con definiciones de subred CIDR). Las subredes IPv6 deben tener un tamaño exactamente de /64.
¿Puedo traer mis VLAN a Azure mediante redes virtuales?
No. Las redes virtuales son superposiciones de nivel 3. Azure no admite ninguna semántica de nivel 2.
¿Puedo especificar directivas de enrutamiento personalizadas en mis redes virtuales y subredes?
Sí. Puede crear una tabla de rutas y asociarla a una subred. Para obtener más información sobre el enrutamiento en Azure, consulte Rutas personalizadas.
¿Cuál es el comportamiento cuando aplico tanto un NSG como un UDR en la subred?
Para el tráfico entrante, se procesan las reglas entrantes del grupo de seguridad de red (NSG). Para el tráfico saliente, se procesan las reglas de salida de NSG, seguidas de las reglas de ruta definidas por el usuario (UDR).
¿Cuál es el comportamiento cuando aplico un NSG a una NIC y una subred para una máquina virtual?
Cuando se aplican NSG tanto en un adaptador de red (NIC) como en una subred para una máquina virtual:
- Se procesa un NSG a nivel de subred, seguido de un NSG a nivel de NIC, para el tráfico entrante.
- Se procesa un NSG a nivel de NIC, seguido de un NSG a nivel de subred, para el tráfico saliente.
¿Las redes virtuales admiten multidifusión o difusión?
No. No se admite difusión ni multidifusión.
¿Qué protocolos puedo utilizar en redes virtuales?
Puede utilizar los protocolos TCP, UDP, ESP, AH e ICMP TCP/IP en redes virtuales.
La unidifusión es compatible con las redes virtuales. Los paquetes multidifusión, difusión, encapsulados IP-in-IP y Generic Routing Encapsulation (GRE) se bloquean en las redes virtuales. No se puede utilizar el Protocolo de configuración dinámica de host (DHCP) a través de Unicast (puerto de origen UDP/68, puerto de destino UDP/67). Los puertos UDP 4791 y 65330 están reservados para el host.
¿Puedo implementar un servidor DHCP en una red virtual?
Las redes virtuales de Azure proporcionan servicio DHCP y DNS para Máquinas Virtuales de Azure. Sin embargo, también puede implementar un servidor DHCP en una máquina virtual de Azure para atender a los clientes locales a través de un agente de retransmisión DHCP.
Los servidores DHCP de Azure se consideraron anteriormente no factibles, ya que el tráfico al puerto UDP/67 estaba limitado en Azure. Sin embargo, las actualizaciones recientes de la plataforma han eliminado la limitación de velocidad, lo que permite esta funcionalidad.
Nota:
El cliente local al servidor DHCP (puerto de origen UDP/68, puerto de destino UDP/67) todavía no se admite en Azure, ya que este tráfico se intercepta y controla de forma diferente. Esto dará lugar a mensajes de error de “Tiempo de espera agotado” en el momento de DHCP RENEW en T1 cuando el cliente intente acceder directamente al servidor DHCP en Azure. La RENOVACIÓN DE DHCP se realizará correctamente cuando se intente RENOVAR EL DHCP en T2 a través del agente de retransmisión DHCP. Para obtener más información sobre los temporizadores de RENOVACIÓN DHCP en T1 y T2, consulte RFC 2131.
¿Puedo hacer ping a una puerta de enlace predeterminada en una red virtual?
No. Una puerta de enlace predeterminada proporcionada por Azure no responde a un ping. Pero puede utilizar pings en sus redes virtuales para comprobar la conectividad y solucionar problemas entre VMs.
¿Puedo usar tracert para diagnosticar la conectividad?
Sí.
¿Puedo agregar subredes una vez creada la red virtual?
Sí. Puede agregar subredes a redes virtuales en cualquier momento, siempre que se cumplan estas dos condiciones:
- El rango de direcciones de subred no forma parte de otra subred.
- Hay espacio disponible en el rango de direcciones de la red virtual.
¿Puedo modificar el tamaño de la subred después de crearla?
Sí. Puede agregar, eliminar, ampliar o reducir una subred si no hay VMs ni servicios implementados en ella.
¿Puedo modificar una red virtual después de crearla?
Sí. Puede agregar, eliminar y modificar los bloques CIDR que utiliza una red virtual.
Si estoy ejecutando mis servicios en una red virtual, ¿puedo conectarme a Internet?
Sí. Todos los servicios implementados en una red virtual pueden conectarse a Internet. Para obtener más información sobre las conexiones salientes a Internet en Azure, consulte Use la traducción de direcciones de red de origen (SNAT) para las conexiones salientes.
Si desea conectar entrante a un recurso implementado a través de Azure Resource Manager, el recurso debe tener asignada una dirección IP pública. Para obtener más información, vea Crear, cambiar o eliminar una dirección IP pública Azure.
Cada servicio en la nube implementado en Azure tiene asignada una dirección IP virtual (VIP) direccionable públicamente. Defina los puntos de conexión de entrada para las funciones de plataforma como servicio (PaaS) y los puntos de conexión para máquinas virtuales a fin de permitir que estos servicios acepten conexiones desde Internet.
¿Las redes virtuales admiten IPv6?
Sí. Las redes virtuales pueden ser solo IPv4 o de doble pila (IPv4 + IPv6). Para obtener más información, consulte ¿Qué es IPv6 para Azure Virtual Network?
¿Puede una red virtual abarcar varias regiones?
No. Una red virtual está limitada a una sola región. Pero una red virtual sí abarca zonas de disponibilidad. Para obtener más información sobre las zonas de disponibilidad, consulte ¿Qué son las regiones Azure y las zonas de disponibilidad?
Puede conectar redes virtuales en diferentes regiones mediante el emparejamiento de redes virtuales. Para obtener más información, consulte Emparejamiento de redes virtuales.
¿Puedo conectar una red virtual a otra red virtual en Azure?
Sí. Puede conectar una red virtual a otra red virtual utilizando cualquiera de las siguientes opciones:
- Emparejamiento de redes virtuales. Para obtener más información, consulte Emparejamiento de redes virtuales.
- Una puerta de enlace de VPN de Azure. Para obtener más información, consulte Configurar una conexión de puerta de enlace VPN de red a red.
Resolución de nombres (DNS)
¿Qué opciones de DNS hay para redes virtuales?
Utilice la tabla de decisiones de Resolución de nombres para recursos en redes virtuales de Azure como guía para conocer las opciones de DNS disponibles.
¿Puedo especificar servidores DNS para una red virtual?
Sí. Puede especificar direcciones IP para servidores DNS en la configuración de la red virtual. La configuración se aplica como servidor o servidores DNS predeterminados para todas las VMs de la red virtual.
¿Cuántos servidores DNS puedo especificar?
Consulte Límites de redes.
¿Puedo modificar mis servidores DNS después de crear la red?
Sí. Puede cambiar la lista de servidores DNS para la red virtual en cualquier momento.
Si cambia la lista de servidores DNS, deberá renovar el arrendamiento DHCP en todas las VMs afectadas de la red virtual. La nueva configuración DNS entra en vigor tras la renovación del contrato de arrendamiento. Para las máquinas virtuales que ejecutan Windows, puede renovar la concesión escribiendo ipconfig /renew directamente en la máquina virtual. Para otros tipos de sistemas operativos, consulte la documentación sobre la renovación de la concesión DHCP.
¿Qué es el DNS proporcionado por Azure, y funciona con redes virtuales?
Un DNS proporcionado por Azure es un servicio DNS multiempresa de Microsoft. Azure registra todas las máquinas virtuales y las instancias de rol de servicio en la nube en este servicio. Este servicio proporciona resolución de nombres:
- Por nombre de host para VMs e instancias de rol en el mismo servicio en la nube.
- Por nombre de dominio completo (FQDN) para VMs e instancias de rol en la misma red virtual.
Para obtener más información sobre DNS, consulte la resolución de nombres para recursos en redes virtuales de Azure.
Existe una limitación para los primeros 100 servicios en la nube de una red virtual en cuanto a la resolución de nombres entre inquilinos a través del DNS proporcionado por Azure. Si utiliza su propio servidor DNS, esta limitación no se aplica.
¿Puedo anular mi configuración DNS para cada máquina virtual o servicio en la nube?
Sí. Puede configurar servidores DNS para cada máquina virtual o servicio en la nube con el fin de anular la configuración de red predeterminada. Sin embargo, recomendamos usar DNS en toda la red siempre que sea posible.
¿Puedo usar mi propio sufijo DNS?
No. No se puede especificar un sufijo DNS personalizado para las redes virtuales.
Conexión de máquinas virtuales
¿Puedo implementar VMs en una red virtual?
Sí. Todos los adaptadores de red (NIC) conectados a una máquina virtual que se implementa a través del modelo de implementación de Resource Manager deben estar conectados a una red virtual. Opcionalmente, puede conectar VMs implementadas a través del modelo de implementación clásico a una red virtual.
¿Qué tipos de direcciones IP puedo asignar a las VMs?
Privado: asignado a cada NIC dentro de cada máquina virtual, mediante el método estático o dinámico. Las direcciones IP privadas se asignan desde el rango que especificó en la configuración de subred de su red virtual.
Los recursos implementados a través del modelo de implementación clásico se asignan direcciones IP privadas, incluso si no están conectados a una red virtual. El comportamiento del método de asignación es diferente en función de si ha implementado un recurso mediante el modelo de implementación Resource Manager o clásico:
- Resource Manager: una dirección IP privada asignada a través del método dinámico o estático permanece asignada a una máquina virtual (Resource Manager) hasta que se elimine el recurso. La diferencia es que selecciona la dirección que se va a asignar al usar el método estático y Azure elige cuando se usa el método dinámico.
- Clásico: una dirección IP privada asignada mediante el método dinámico puede cambiar cuando se reinicia una máquina virtual (clásica) después de haber estado en estado detenido (desasignado). Si necesita asegurarse de que la dirección IP privada de un recurso implementado mediante el modelo de implementación clásico nunca cambie, asigne una dirección IP privada utilizando el método estático.
Public: opcionalmente asignado a las NIC asociadas a las máquinas virtuales implementadas a través del modelo de implementación de Resource Manager. Puede asignar la dirección utilizando el método de asignación estática o dinámica.
Todas las máquinas virtuales y Azure Cloud Services instancias de rol implementadas a través del modelo de implementación clásica existen dentro de un servicio en la nube. Al servicio en la nube se le asigna una dirección VIP pública dinámica. Opcionalmente, puede asignar una dirección IP estática pública, denominada dirección IP reservada, como VIP.
Las direcciones IP públicas se pueden asignar a máquinas virtuales o instancias de rol de Cloud Services individuales implementadas mediante el modelo de implementación clásica. Estas direcciones se denominan direcciones IP públicas a nivel de instancia y se pueden asignar de forma dinámica.
¿Puedo reservar una dirección IP privada para una máquina virtual que crearé más adelante?
No. No se puede reservar una dirección IP privada. Si hay una dirección IP privada disponible, el servidor DHCP la asigna a una máquina virtual o instancia de rol. La máquina virtual puede ser o no ser aquella a la que desea asignar la dirección IP privada. Sin embargo, puede cambiar la dirección IP privada de una máquina virtual existente por cualquier dirección IP privada disponible.
¿Cambian las direcciones IP privadas de las VMs en una red virtual?
Depende. Si ha implementado la máquina virtual mediante Resource Manager, las direcciones IP no pueden cambiar, independientemente de si ha asignado las direcciones mediante el método de asignación estático o dinámico. Si ha implementado la máquina virtual utilizando el modelo de implementación clásico, las direcciones IP dinámicas pueden cambiar al iniciar una máquina virtual que se encontraba en estado detenido (desasignada).
La dirección se libera de una máquina virtual implementada a través de cualquiera de los dos modelos de implementación cuando se elimina la máquina virtual.
¿Se pueden asignar manualmente direcciones IP a las NIC del sistema operativo de la máquina virtual?
Sí, pero no lo recomendamos a menos que sea necesario, como cuando se asignan varias direcciones IP a una máquina virtual. Para obtener más información, consulte Asignar varias direcciones IP a máquinas virtuales.
Si la dirección IP asignada a una NIC de Azure que está conectada a una máquina virtual cambia y la dirección IP del sistema operativo de la máquina virtual es diferente, perderá la conectividad a la máquina virtual.
Si detengo una ranura de implementación de servicio en la nube o apago una máquina virtual desde el sistema operativo, ¿qué ocurre con mis direcciones IP?
Nada. Las direcciones IP (VIP públicas, públicas y privadas) permanecen asignadas a la ranura de implementación del servicio en la nube o a la máquina virtual.
¿Puedo mover VMs de una subred a otra dentro de una red virtual sin necesidad de volver a implementarlas?
Sí. Puede encontrar más información en Mover una máquina virtual o una instancia de rol a una subred diferente.
¿Puedo configurar una dirección MAC estática para mi máquina virtual?
No. No se puede configurar de forma estática una dirección MAC.
¿La dirección MAC de mi máquina virtual sigue siendo la misma después de crearla?
Sí. La dirección MAC sigue siendo la misma para una máquina virtual que implementa a través de los modelos de implementación de Resource Manager y de implementación clásica hasta que se elimine la máquina virtual.
Anteriormente, la dirección MAC se liberaba si se detenía (desasignaba) la máquina virtual. Pero ahora, la máquina virtual conserva la dirección MAC cuando se encuentra en estado desasignado. La dirección MAC permanece asignada al adaptador de red hasta que realice una de estas tareas:
- Elimine el adaptador de red.
- Cambie la dirección IP privada asignada a la configuración IP principal del adaptador de red principal.
Azure servicios que se conectan a redes virtuales
¿Puedo usar Web Apps con una red virtual?
Sí. Puede implementar la característica Web Apps de Azure App Service dentro de una red virtual mediante un App Service Environment. Seguidamente, puede:
- Conecte la parte trasera de sus aplicaciones a sus redes virtuales mediante la integración de redes virtuales.
- Bloquee el tráfico entrante a su aplicación utilizando puntos finales de servicio.
Para más información, consulte los siguientes artículos.
- Características de redes de App Service
- Utilice un App Service Environment
- Integrate la aplicación con una red virtual Azure
- Configurar restricciones de acceso de Azure App Service
¿Puedo implementar Azure Cloud Services con roles web y de trabajo (PaaS) en una red virtual?
Sí. Puede (opcionalmente) implementar instancias de roles de Cloud Services en redes virtuales. Para ello, especifique el nombre de la red virtual y las asignaciones de roles/subredes en la sección de configuración de red de la configuración del servicio. No es necesario actualizar ninguno de los archivos binarios.
¿Puedo conectar un conjunto de escalado de máquinas virtuales a una red virtual?
Sí. Debe conectar un conjunto de escalado de máquinas virtuales a una red virtual.
¿Hay una lista completa de los servicios de Azure que puedo implementar recursos desde en una red virtual?
Sí. Para obtener más información, consulte Deploy dedicated Azure services into virtual networks.
¿Cómo puedo restringir el acceso a Azure recursos de PaaS desde una red virtual?
Los recursos implementados a través de algunos servicios paaS de Azure (como Azure Storage y Azure SQL Database) pueden restringir el acceso de red a redes virtuales mediante el uso de puntos de conexión de servicio de red virtual o Azure Private Link. Para obtener más información, consulte Puntos de conexión de servicio de red virtual y ¿Qué es Azure Private Link?
¿Puedo mover mis servicios dentro y fuera de las redes virtuales?
No. No se pueden mover servicios dentro y fuera de redes virtuales. Para mover un recurso a otra red virtual, debe eliminarlo y volver a implementarlo.
Seguridad
¿Cuál es el modelo de seguridad de las redes virtuales?
Las redes virtuales están aisladas entre sí y de otros servicios hospedados en la infraestructura de Azure. Una red virtual es un límite de confianza.
¿Puedo restringir el flujo de tráfico entrante o saliente a los recursos que están conectados a una red virtual?
Sí. Puede aplicar grupos de seguridad de red a subredes individuales dentro de una red virtual, a tarjetas NIC conectadas a una red virtual, o a ambas.
¿Puedo implementar un firewall entre recursos que están conectados a una red virtual?
Sí. Puede implementar una aplicación virtual de red firewall desde varios proveedores a través de Azure Marketplace.
¿Hay información disponible sobre cómo proteger las redes virtuales?
Sí. Consulte Información general sobre la seguridad de red de Azure.
¿Las redes virtuales almacenan datos de los clientes?
No. Las redes virtuales no almacenan ningún dato de los clientes.
¿Puedo establecer la propiedad FlowTimeoutInMinutes para toda una suscripción?
No. Debe configurar la propiedad FlowTimeoutInMinutes en la red virtual. El siguiente código puede ayudarle a configurar esta propiedad automáticamente para suscripciones más grandes:
$Allvnet = Get-AzVirtualNetwork
$time = 4 #The value should be from 4 to 30 minutes (inclusive) to enable tracking, or null to disable tracking.
ForEach ($vnet in $Allvnet)
{
$vnet.FlowTimeoutInMinutes = $time
$vnet | Set-AzVirtualNetwork
}
API, esquemas y herramientas
¿Puedo administrar redes virtuales desde el código?
Sí. Puede usar las API REST para redes virtuales en los modelos de implementación Azure Resource Manager y classic.
¿Hay compatibilidad con las herramientas para redes virtuales?
Sí. Más información acerca del uso de:
- El portal de Azure para implementar redes virtuales a través de los modelos de implementación Azure Resource Manager y classic.
- PowerShell para administrar redes virtuales implementadas a través del modelo de implementación Resource Manager.
- La CLI de Azure o la CLI clásica de Azure para implementar y administrar redes virtuales a través de los modelos de implementación Resource Manager y classic.
Emparejamiento de redes virtuales de Azure
¿Qué es el emparejamiento de redes virtuales?
El emparejamiento de red virtual permite conectar redes virtuales. Una conexión de emparejamiento entre redes virtuales le permite enrutar el tráfico entre ellas de forma privada a través de direcciones IPv4.
Las máquinas virtuales en redes virtuales emparejadas pueden comunicarse entre sí como si estuvieran dentro de la misma red. Estas redes virtuales pueden estar en la misma región o en regiones diferentes (lo que también se conoce como emparejamiento de redes virtuales globales).
También puede crear conexiones de emparejamiento de redes virtuales entre suscripciones de Azure.
¿Puedo crear una conexión de emparejamiento con una red virtual en otra región?
Sí. El emparejamiento de redes virtuales globales le permite emparejar redes virtuales en diferentes regiones. El emparejamiento de red virtual global está disponible en todas las regiones públicas de Azure, regiones de la nube de China y regiones de nube del gobierno. No se puede conectar globalmente desde regiones públicas de Azure a regiones de nube nacionales.
¿Cuáles son las limitaciones relacionadas con el emparejamiento de redes virtuales globales y los equilibradores de carga?
Si las dos redes virtuales de dos regiones están emparejadas a través del emparejamiento de redes virtuales globales, no se puede conectar a los recursos que se encuentran detrás de un equilibrador de carga básico a través de la IP frontal del equilibrador de carga. Esta restricción no existe para un equilibrador de carga estándar.
Los siguientes recursos pueden utilizar equilibradores de carga básicos, lo que significa que no se puede acceder a ellos a través de la IP frontal de un equilibrador de carga mediante el emparejamiento de redes virtuales globales. Sin embargo, puede utilizar el emparejamiento de redes virtuales globales para acceder a los recursos directamente a través de sus direcciones IP de red virtual privada, si está permitido.
- VMs detrás de equilibradores de carga básicos
- Conjuntos de escalado de máquinas virtuales con equilibradores de carga básicos
- Azure Managed Redis
- Azure Application Gateway v1
- Azure Service Fabric
- Azure API Management stv1
- Servicios de dominio de Microsoft Entra
- Azure Logic Apps
- Azure HDInsight
- Azure Batch
- App Service Environment v1 y v2
Puede conectarse a estos recursos a través de Azure ExpressRoute o conexiones de red a red a través de puertas de enlace de red virtual.
¿Puedo habilitar el emparejamiento de redes virtuales si mis redes virtuales pertenecen a suscripciones dentro de diferentes inquilinos de Microsoft Entra?
Sí. Es posible establecer el emparejamiento de red virtual (ya sea local o global) si las suscripciones pertenecen a distintos inquilinos de Microsoft Entra. Puede hacerlo a través del portal Azure, PowerShell o el CLI de Azure.
Mi conexión de emparejamiento de redes virtuales se encuentra en estado Iniciado. ¿Por qué no puedo conectarme?
Si su conexión de emparejamiento se encuentra en estado Iniciado, solo ha creado un vínculo. Debe crear un vínculo bidireccional para establecer una conexión correcta.
Por ejemplo, para crear un nodo del mismo nivel de VNetA con VNetB, debe crear un vínculo de VNetA a VNetB y de VNetB a VNetA. Al crear ambos vínculos, el estado cambia a Conectado.
Mi conexión de emparejamiento de red virtual se encuentra en estado Desconectado. ¿Por qué no puedo crear una conexión de emparejamiento?
Si la conexión de emparejamiento de redes virtuales se encuentra en estado Desconectado, significa que uno de los vínculos que ha creado se ha eliminado. Para restablecer una conexión de emparejamiento, debe eliminar el vínculo restante y volver a crear ambos.
¿Puedo conectar mi red virtual con una red virtual que se encuentra en una suscripción diferente?
Sí. Puede conectar redes virtuales entre suscripciones y regiones.
¿Puedo emparejar dos redes virtuales que tengan rangos de direcciones coincidentes o superpuestos?
No. No se puede habilitar el emparejamiento de redes virtuales si los espacios de direcciones se superponen.
¿Puedo emparejar una red virtual con dos redes virtuales con la opción Usar puerta de enlace remota habilitada en ambos emparejamientos?
No. Puede habilitar la opción Usar puerta de enlace remota solo en un emparejamiento con una de las redes virtuales.
¿Puedo mover una red virtual que tenga una conexión de emparejamiento a otra red virtual?
No. No se puede mover una red virtual que tenga una conexión de emparejamiento a otra red virtual. Debe eliminar la conexión de emparejamiento antes de mover la red virtual.
¿Cuál es el coste de los vínculos de emparejamiento de redes virtuales?
No hay ningún cargo por crear una conexión de emparejamiento de redes virtuales. Se cobra la transferencia de datos a través de conexiones de emparejamiento. Para obtener más información, consulte la página de precios Azure Virtual Network.
¿Está cifrado el tráfico de emparejamiento de red virtual?
Cuando el tráfico de Azure se mueve entre centros de datos (fuera de los límites físicos no controlados por Microsoft o en su nombre), el hardware de red subyacente usa cifrado MACsec de capa de enlace de datos. Este cifrado es aplicable al tráfico de emparejamiento de redes virtuales.
¿Por qué mi conexión de emparejamiento está en estado Desconectado?
Las conexiones de emparejamiento de redes virtuales pasan al estado Desconectado cuando se elimina un vínculo de emparejamiento de redes virtuales. Debe eliminar ambos vínculos para restablecer una conexión de emparejamiento satisfactoria.
Si se empareja VNETA con VNETB y se empareja VNETB con VNETC, ¿significa que VNETA y VNETC están emparejadas?
No. No se admite el emparejamiento transitivo. Debe emparejar manualmente VNetA con VNetC.
¿Hay alguna limitación de ancho de banda para las conexiones de emparejamiento?
No. El emparejamiento de redes virtuales, ya sea local o global, no impone ninguna restricción de ancho de banda. Bandwidtho está limitado por la máquina virtual o el recurso informático.
¿Cómo puedo solucionar problemas con el emparejamiento de redes virtuales?
Pruebe la guía de solución de problemas.
TAP de red virtual
¿Qué regiones de Azure están disponibles para TAP de red virtual?
La versión preliminar del punto de acceso del terminal de red virtual (TAP) está disponible en todas las regiones de Azure. Debe implementar los adaptadores de red supervisados, el recurso TAP de red virtual y el recopilador o la solución de análisis en la misma región.
¿La red virtual TAP admite alguna función de filtrado en los paquetes duplicados?
Las funcionalidades de filtrado no son compatibles con la versión preliminar de TAP de la red virtual. Cuando se agrega una configuración TAP a un adaptador de red, se transmite una copia completa de todo el tráfico de entrada y salida del adaptador de red al destino TAP.
¿Puedo agregar varias configuraciones TAP a un adaptador de red supervisado?
Un adaptador de red supervisado solo puede tener una configuración TAP. Compruebe con la solución de asociados individual la funcionalidad de transmitir varias copias del tráfico de TAP a las herramientas de análisis de su elección.
¿Puede el mismo recurso TAP de red virtual agregar tráfico de adaptadores de red supervisados en más de una red virtual?
Sí. Puede utilizar el mismo recurso TAP de red virtual para agregar el tráfico duplicado de los adaptadores de red supervisados en redes virtuales emparejadas de la misma suscripción o de una suscripción diferente.
El recurso TAP de red virtual y el equilibrador de carga de destino o el adaptador de red de destino deben estar en la misma suscripción. Todas las suscripciones deben estar en el mismo "tenant" de Microsoft Entra.
¿Hay alguna consideración de rendimiento en el tráfico de producción si habilito una configuración TAP de red virtual en un adaptador de red?
TAP de red virtual está en versión preliminar. Durante la versión preliminar, no existe ningún acuerdo de nivel de servicio. No se debe utilizar esta función para cargas de trabajo de producción.
Cuando habilitas un adaptador de red de máquina virtual con una configuración TAP, se utilizan los mismos recursos del host de Azure asignados a la máquina virtual para enviar el tráfico de producción y realizar la función de duplicado, enviando los paquetes duplicados. Seleccione el tamaño de máquina virtual correcto Linux o Windows para asegurarse de que hay suficientes recursos disponibles para que la máquina virtual envíe el tráfico de producción y el tráfico reflejado.
¿Se admite la conexión en red acelerada para Linux o Windows con la red virtual TAP?
Puede agregar una configuración tap en un adaptador de red conectado a una máquina virtual habilitada con redes aceleradas para Linux o Windows. Sin embargo, agregar la configuración TAP afectará el rendimiento y la latencia de la máquina virtual, ya que la red acelerada de Azure actualmente no admite la descarga para duplicar el tráfico.
Puntos de conexión de servicio de red virtual
¿Cuál es la secuencia correcta de operaciones para configurar puntos de conexión de servicio en un servicio de Azure?
Hay dos pasos para proteger un recurso de servicio de Azure a través de puntos de conexión de servicio:
- Active los puntos de conexión de servicio para el servicio Azure.
- Configure listas de control de acceso de red virtual (ACL) en el servicio Azure.
El primer paso es una operación del lado de la red, y el segundo paso es una operación del lado de los recursos del servicio. El mismo administrador o administradores diferentes puede realizar los pasos, en función de los permisos de control de acceso basado en rol (RBAC) de Azure concedidos al rol de administrador.
Se recomienda activar los puntos de conexión de servicio de la red virtual antes de configurar las ACL de red virtual en el lado del servicio Azure. Para configurar los puntos de conexión del servicio de red virtual, debe seguir los pasos de la secuencia anterior.
Nota:
Debe completar las dos operaciones anteriores para poder limitar el acceso del servicio Azure a la red virtual y subred permitidas. El simple hecho de activar los puntos de conexión del servicio Azure en el lado de la red no le proporciona un acceso limitado. También debe configurar ACL de red virtual en el lado del servicio Azure.
Algunos servicios (como Azure SQL y Azure Cosmos DB) permiten excepciones a la secuencia anterior a través de la marca IgnoreMissingVnetServiceEndpoint. Después de configurar el indicador en True, puede configurar las ACL de red virtual en el lado del servicio de Azure antes de habilitar los puntos de conexión del servicio en el lado de la red. Los servicios de Azure proporcionan este indicador para ayudar a los clientes en los casos en los que los firewalls IP específicos están configurados en los servicios de Azure.
Activar los puntos de conexión del servicio en el lado de la red puede provocar una caída de la conectividad, ya que la IP de origen cambia de una dirección IPv4 pública a una dirección privada. Configurar las ACL de red virtual en el lado del servicio Azure antes de activar los puntos de conexión del servicio en el lado de la red puede ayudar a evitar una caída de la conectividad.
Nota:
Si habilita el extremo de servicio en ciertos servicios, como "Microsoft.AzureActiveDirectory", puede ver las conexiones de direcciones IPv6 en los registros de inicio de sesión. Microsoft usa un intervalo privado interno IPv6 para este tipo de conexión.
¿Todos los servicios Azure residen en la red virtual Azure que proporciona el cliente? ¿Cómo funciona un punto de conexión de servicio de red virtual con servicios Azure?
No todos los servicios Azure residen en la red virtual del cliente. La mayoría de los servicios de datos Azure (como Azure Storage, Azure SQL y Azure Cosmos DB) son servicios multiinquilino a los que se puede acceder a través de direcciones IP públicas. Para obtener más información, consulte Deploy dedicated Azure services into virtual networks.
Al activar los puntos de conexión de servicio de red virtual en el lado de la red y configurar las ACL de red virtual adecuadas en el lado del servicio Azure, el acceso a un servicio de Azure está restringido a una red virtual y subred permitidas.
¿Cómo proporcionan seguridad los puntos de conexión de los servicios de red virtual?
Los puntos de conexión de servicio de red virtual limitan el acceso del servicio Azure a la red virtual y subred permitidas. De este modo, proporcionan seguridad y aislamiento de nivel de red del tráfico de servicio Azure.
Todo el tráfico que utiliza puntos de conexión de servicios de red virtual fluye a través de la red troncal de Microsoft para proporcionar otra capa de aislamiento de la Internet pública. Los clientes también pueden optar por quitar completamente el acceso público a Internet a los recursos del servicio Azure y permitir el tráfico solo desde su red virtual a través de una combinación de ACL de red virtual y firewall de IP. La eliminación del acceso a Internet ayuda a proteger los recursos del servicio Azure del acceso no autorizado.
¿Qué protege el punto de conexión de servicio de red virtual: recursos de red virtual o recursos de servicio de Azure?
Los puntos de conexión de servicio de red virtual ayudan a proteger los recursos de servicio de Azure. Los recursos de la red virtual están protegidos mediante grupos de seguridad de red.
¿Hay algún coste por utilizar los puntos de conexión del servicio de red virtual?
No. No hay ningún coste adicional por utilizar los puntos de conexión del servicio de red virtual.
¿Puedo activar los puntos de conexión de servicio de red virtual y configurar las ACL de red virtual si la red virtual y los recursos de servicio de Azure pertenecen a distintas suscripciones?
Sí, es posible. Las redes virtuales y los recursos de servicio Azure pueden estar en la misma suscripción o en suscripciones diferentes. El único requisito es que tanto la red virtual como los recursos del servicio Azure deben estar en el mismo inquilino Microsoft Entra.
¿Puedo activar los puntos de conexión de servicio de red virtual y configurar las ACL de red virtual si la red virtual y los recursos de servicio de Azure pertenecen a distintos inquilinos de Microsoft Entra?
Sí, es posible cuando se usan puntos de conexión de servicio para Azure Storage y Azure Key Vault. En el caso de otros servicios, los puntos finales de servicio de red virtual y las ACL de red virtual no se admiten entre los clientes de Microsoft Entra.
¿Puede la dirección IP de un dispositivo local, que está conectada a través de una puerta de enlace de red virtual de Azure (VPN) o una puerta de enlace de ExpressRoute, acceder a los servicios PaaS de Azure mediante los puntos de conexión de servicio de red virtual?
De forma predeterminada, Azure los recursos de servicio protegidos en redes virtuales no son accesibles desde redes locales. Si desea permitir el tráfico desde las instalaciones locales, también debe permitir las direcciones IP públicas (normalmente NAT) desde las instalaciones locales o ExpressRoute. Puede agregar estas direcciones IP a través de la configuración del firewall de IP para los recursos del servicio Azure.
Como alternativa, puede implementar puntos de conexión privados para los servicios admitidos.
¿Puedo usar puntos de conexión de servicio de red virtual para asegurar los servicios de Azure a varias subredes dentro de una red virtual o entre varias redes virtuales?
Para asegurar los servicios de Azure a varias subredes dentro de una red virtual o a través de varias redes virtuales, habilite de forma independiente los puntos de conexión de servicio en cada una de las subredes. Después, proteja los recursos de servicio de Azure para todas las subredes mediante la configuración de las ACL de red virtual correctas en el lado del servicio de Azure.
¿Cómo puedo filtrar el tráfico saliente de una red virtual a Azure servicios y seguir usando puntos de conexión de servicio?
Si desea inspeccionar o filtrar el tráfico destinado a un servicio de Azure desde una red virtual, puede implementar una aplicación virtual de red dentro de la red virtual. A continuación, puede aplicar puntos de conexión de servicio a la subred donde se implementa el dispositivo virtual de red y proteger los recursos del servicio Azure solo para esta subred mediante ACL de red virtual.
Este escenario también puede resultar útil si desea restringir el acceso de Azure servicio desde la red virtual solo a recursos de Azure específicos mediante el filtrado de aplicaciones virtuales de red. Para obtener más información, consulte Implementación de NVA de alta disponibilidad.
¿Qué ocurre cuando alguien accede a una cuenta de servicio de Azure que tiene habilitada una ACL de red virtual desde fuera de la red virtual?
El servicio devuelve un error HTTP 403 o HTTP 404.
¿Las subredes de una red virtual creadas en diferentes regiones pueden acceder a una cuenta de servicio de Azure en otra región?
Sí. Para la mayoría de los servicios de Azure, las redes virtuales creadas en diferentes regiones pueden acceder a los servicios de Azure en otra región a través de los puntos de conexión de red virtual. Por ejemplo, si una cuenta de Azure Cosmos DB está en la región Oeste de EE. UU. o Este de EE. UU., y las redes virtuales están en varias regiones, las redes virtuales pueden acceder a Azure Cosmos DB.
Azure SQL es una excepción y es regional por naturaleza. Tanto la red virtual como el servicio Azure deben estar en la misma región.
¿Puede un servicio Azure tener una ACL de red virtual y un firewall ip?
Sí. Una ACL de red virtual y un firewall IP pueden coexistir. Las características se complementan entre sí para garantizar el aislamiento y la seguridad.
¿Qué ocurre si elimina una red virtual o una subred que tiene puntos de conexión de servicio activados para los servicios de Azure?
La eliminación de redes virtuales y la eliminación de subredes son operaciones independientes. Se admiten incluso cuando se activan los puntos de conexión de servicio para los servicios de Azure.
Si configura las ACL de red virtual para los servicios de Azure, la información de ACL asociada a esos servicios Azure se deshabilita al eliminar una red virtual o subred que tenga puntos de conexión de servicio de red virtual activados.
¿Qué ocurre si elimino una cuenta de servicio de Azure que tiene activado un punto de conexión de servicio de red virtual?
La eliminación de una cuenta de servicio Azure es una operación independiente. Es compatible incluso si ha activado el punto de conexión del servicio en el lado de la red y ha configurado ACL de red virtual en el lado del servicio Azure.
¿Qué ocurre con la dirección IP de origen de un recurso (como una máquina virtual en una subred) que tiene habilitados los puntos de conexión del servicio de red virtual?
Al activar los puntos de conexión de servicio de red virtual, las direcciones IP de origen de los recursos de la subred de la red virtual cambian de usar direcciones IPv4 públicas para usar las direcciones IP privadas de la red virtual de Azure para el tráfico a servicios Azure. Este cambio puede provocar que fallen determinados cortafuegos IP que están configurados con una dirección IPv4 pública anterior en los servicios de Azure.
¿La ruta del punto de conexión de servicio siempre tiene prioridad?
Los puntos de conexión del servicio agregan una ruta del sistema que tiene prioridad sobre las rutas del Protocolo de puerta de enlace fronteriza (BGP) y proporciona un enrutamiento óptimo para el tráfico del punto de conexión del servicio. Los puntos de conexión de servicio siempre dirigen el tráfico de servicio directamente desde su red virtual hacia el servicio en la red troncal de Microsoft Azure.
Para obtener más información sobre cómo Azure selecciona una ruta, consulte Enrutamiento de tráfico de red virtual.
¿Funcionan los puntos de conexión de servicio con ICMP?
No. El tráfico ICMP procedente de una subred con puntos de conexión de servicio habilitados no tomará la ruta del túnel de servicio hacia el punto de conexión deseado. Los puntos de conexión del servicio solo controlan el tráfico TCP. Si desea comprobar la latencia o la conectividad a un punto de conexión a través de puntos de conexión de servicio, herramientas como ping y tracert no mostrarán la ruta real que seguirán los recursos dentro de la subred.
¿Cómo funcionan los NSG en una subred con los puntos de conexión de servicio?
Para llegar al servicio Azure, los NSGs deben permitir la conectividad saliente. Si sus NSG están abiertos a todo el tráfico saliente de Internet, el tráfico del punto de conexión del servicio debería funcionar. También puede limitar el tráfico saliente solo a direcciones IP de servicio utilizando las etiquetas de servicio.
¿Qué permisos necesito para configurar los puntos de conexión de servicio?
Puede configurar los puntos conexión del servicio en una red virtual de forma independiente si tiene acceso de escritura a esa red.
Para proteger los recursos de servicio de Azure a una red virtual, debe tener el permiso Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action para las subredes que va a agregar. Este permiso está incluido de forma predeterminada en la función de administrador de servicios integrada y se puede modificar mediante la creación de funciones personalizadas.
Para más información sobre los roles integrados y la asignación de permisos específicos a roles personalizados, consulte roles personalizados de Azure.
¿Puedo filtrar el tráfico de red virtual hacia los servicios de Azure a través de extremos de servicio?
Puede usar directivas de punto de conexión de servicio de red virtual para filtrar el tráfico de red virtual a servicios de Azure, permitiendo únicamente recursos específicos de servicios de Azure a través de estos puntos de conexión. Las directivas de punto de conexión proporcionan un control de acceso pormenorizado desde el tráfico de red virtual a los servicios de Azure.
Para más información, consulte Directivas de punto de conexión de servicio de red virtual para Azure Storage.
¿Microsoft Entra ID admite puntos de conexión de servicio de red virtual?
Microsoft Entra ID no admite puntos de conexión de servicio de forma nativa. Para obtener una lista completa de los servicios de Azure que admiten puntos de conexión de servicio de red virtual, consulte Puntos de conexión de servicio de red virtual.
En esa lista, la etiqueta Microsoft.AzureActiveDirectory que aparece bajo los servicios que admiten puntos de conexión de servicio se utiliza para apoyar los puntos de conexión de servicio a Azure Data Lake Storage Gen1. La integración de redes virtuales para Azure Data Lake Storage Gen1 usa la seguridad del punto de conexión de servicio de red virtual entre su red virtual y Microsoft Entra ID para generar reclamaciones de seguridad adicionales en el token de acceso. Estas declaraciones se usan para autenticar la red virtual en la cuenta de Data Lake Storage Gen1 y permitir el acceso.
¿Existe algún límite en cuanto al número de puntos de conexión de servicio que puedo configurar desde mi red virtual?
No hay límite en el número total de puntos de conexión de servicio en una red virtual. En el caso de un recurso de servicio de Azure (por ejemplo, una cuenta de Azure Storage), los servicios pueden aplicar límites en el número de subredes que se usan para proteger el recurso. En la tabla siguiente se muestran algunos límites de ejemplo:
| servicio Azure | Límites en las reglas de red virtual |
|---|---|
| Azure Storage | 200 |
| Azure SQL | 128 |
| Azure Synapse Analytics | 128 |
| Azure Key Vault | 200 |
| Azure Cosmos DB | 64 |
| Azure Event Hubs | 128 |
| Azure Service Bus | 128 |
Nota:
Los límites están sujetos a cambios a discreción de los servicios de Azure. Consulte la documentación del servicio correspondiente para obtener más detalles.
Migración de recursos de red clásicos a Resource Manager
¿Qué es Azure Service Manager y qué significa el término "clásico"?
Azure Service Manager es el modelo de implementación anterior de Azure que era responsable de crear, administrar y eliminar recursos. La palabra classic en un servicio de red hace referencia a los recursos administrados por el modelo de Azure Service Manager. Para obtener más información, consulte la comparación de modelos de implementación.
¿Qué es Azure Resource Manager?
Azure Resource Manager es el modelo de implementación y administración más reciente de Azure responsable de crear, administrar y eliminar recursos en la suscripción de Azure. Para obtener más información, consulte ¿Qué es Azure Resource Manager?
¿Puedo revertir la migración después de que los recursos se hayan confirmado en Resource Manager?
Puede cancelar la migración siempre que los recursos se encuentren aún en estado preparado. No se admite volver al modelo de implementación anterior después de migrar correctamente los recursos mediante la operación de confirmación.
¿Se puede revertir la migración si no se ha podido realizar la operación de confirmación?
No se puede revertir una migración si no se ha podido realizar la operación de confirmación. Todas las operaciones de migración, incluida la operación de confirmación, no se pueden modificar una vez iniciadas. Le recomendamos que vuelva a intentar la operación después de un breve periodo de tiempo. Si la operación sigue sin funcionar, envíe una solicitud de soporte técnico.
¿Puedo validar mi suscripción o mis recursos para ver si son aptos para la migración?
Sí. El primer paso para preparar la migración es validar que los recursos se pueden migrar. Si la validación falla, recibirá mensajes con todas las razones por las que no se puede completar la migración.
¿Se migran los recursos de Application Gateway como parte de la migración de red virtual de clásico a Resource Manager?
Los recursos de Azure Application Gateway no se migran automáticamente como parte del proceso de migración de red virtual. Si hay uno en la red virtual, la migración no se realiza correctamente. Para migrar un recurso de Application Gateway a Resource Manager, debe quitar y volver a crear la instancia de Application Gateway una vez completada la migración.
¿Se migran los recursos de VPN Gateway como parte de la migración de la red virtual del modelo clásico a Resource Manager?
Los recursos de Azure VPN Gateway se migran como parte del proceso de migración de red virtual. La migración se completa en una red virtual cada vez, sin más requisitos. Los pasos de migración son los mismos que para migrar una red virtual sin una VPN gateway
¿Se asocia una interrupción del servicio con la migración de puertas de enlace de VPN clásicas a Resource Manager?
No experimentará ninguna interrupción del servicio con la conexión VPN al migrar a Resource Manager. Las cargas de trabajo existentes seguirán funcionando con conectividad local completa durante la migración.
¿Es necesario volver a configurar mi dispositivo local después de migrar la puerta de enlace de VPN a Resource Manager?
La dirección IP pública asociada a la VPN gateway sigue siendo la misma después de la migración. No es necesario volver a configurar el enrutador local.
¿Cuáles son los escenarios admitidos para la migración de VPN Gateway de clásico a Resource Manager?
La migración de clásico a Resource Manager abarca la mayoría de los escenarios comunes de conectividad VPN. Los escenarios compatibles incluyen:
Conectividad punto a sitio.
Conectividad de sitio a sitio con una VPN gateway conectada a una ubicación local.
Conectividad de red a red entre dos redes virtuales que utilizan VPN gateways.
Varias redes virtuales conectadas a la misma ubicación local.
Conectividad en múltiples sitios.
Redes virtuales con túnel forzado habilitado.
¿Qué escenarios no se admiten para la migración de VPN Gateway de clásico a Resource Manager?
Entre los escenarios que no se admiten se incluyen:
Una red virtual con una ExpressRoute gateway y una VPN gateway.
Una red virtual con una ExpressRoute gateway conectada a un circuito en una suscripción diferente.
Escenarios de tránsito donde las extensiones de máquina virtual están conectadas a servidores locales.
¿Dónde puedo encontrar más información sobre la migración de clásico a Resource Manager?
Consulte Preguntas frecuentes sobre la migración clásica a Azure Resource Manager.
¿Puedo recuperar una dirección IP pública eliminada?
No. Una vez que se elimina una dirección IP pública Azure, no se puede recuperar. Para más información, consulte Visualización, modificación de la configuración o eliminación de una dirección IP pública.
¿Cómo puedo informar de un problema?
Puede publicar preguntas sobre los problemas de migración en la