Guía paso a paso
de redes de Azure
Segunda edición
Recetas prácticas para una infraestructura de red segura,
entrega de aplicaciones global y conectividad accesible
en Azure
Mustafa Toroman
Guía paso a paso de
redes de Azure
Segunda edición
Recetas prácticas para una infraestructura
de red segura, entrega de aplicaciones global
y conectividad accesible en Azure
Mustafa Toroman
Guía paso a paso de redes de Azure, segunda edición
Copyright © 2020 Packt Publishing
Todos los derechos reservados. Ninguna parte de este libro puede reproducirse,
almacenarse en un sistema de recuperación o transmitirse en cualquier formato o por
cualquier medio, sin el permiso previo por escrito del editor, excepto en el caso de citas
breves incluidas en reseñas o artículos críticos.
En aras de asegurar la exactitud de la información presentada, se han realizado todos
los esfuerzos posibles en la preparación de este libro. No obstante, la información
contenida en él se proporciona sin garantía, ya sea expresa o implícita. Ni el autor ni
Packt Publishing, o sus filiales y distribuidores, serán responsables de cualquier daño
causado o presuntamente causado por este libro ya sea de manera directa o indirecta.
Si bien Packt Publishing ha procurado suministrar información sobre las marcas
comerciales de todas las empresas y productos mencionados en este libro mediante
el uso correspondiente de mayúsculas, no puede garantizar la exactitud de esta
información.
Autor: Mustafa Toroman
Revisores técnicos: Kapil Bansal, Rithin Skaria
Editores ejecutivos: Mamta Yadav, Siddhant Jain
Editores de adquisiciones: Ben Renow-Clarke y Divya Mudaliar
Editor de producción: Deepak Chavan
Consejo editorial: Alex Patterson, Arijit Sarkar, Ben Renow-Clarke, Dominic Shakeshaft,
Edward Doxey, Joanne Lovell y Vishal Bodwani
Primera publicación: marzo de 2019
Segunda publicación: octubre de 2020
Referencia de producción: 1281020
ISBN: 978-1-80056-375-9
Publicado por Packt Publishing Ltd.
Livery Place, 35 Livery Street
Birmingham B3 2PB, Reino Unido
Índice
Prefacio  i
Capítulo 1: Red virtual de Azure  1
Requisitos técnicos .................................................................................................. 1
Crear una red virtual en el portal de Azure .......................................................... 2
Preparación ..................................................................................................................... 2
Cómo hacerlo .................................................................................................................. 2
Cómo funciona ................................................................................................................ 6
Crear una red virtual con PowerShell ................................................................... 6
Preparación ..................................................................................................................... 6
Cómo hacerlo .................................................................................................................. 7
Cómo funciona ................................................................................................................ 7
Añadir una subred en el portal de Azure .............................................................. 8
Preparación ..................................................................................................................... 8
Cómo hacerlo .................................................................................................................. 8
Cómo funciona .............................................................................................................. 11
Añadir una subred con PowerShell ..................................................................... 11
Preparación ................................................................................................................... 11
Cómo hacerlo ................................................................................................................ 12
Cómo funciona .............................................................................................................. 12
Y eso no es todo …......................................................................................................... 12
Cambiar el tamaño del espacio de direcciones ................................................. 13
Preparación ................................................................................................................... 13
Cómo hacerlo ................................................................................................................ 13
Cómo funciona .............................................................................................................. 14
Cambiar el tamaño de la subred ......................................................................... 14
Preparación ................................................................................................................... 14
Cómo hacerlo ................................................................................................................ 14
Cómo funciona .............................................................................................................. 16
Capítulo 2: Redes de máquinas virtuales  17
Requisitos técnicos ................................................................................................ 17
Crear máquinas virtuales de Azure ..................................................................... 18
Preparación ................................................................................................................... 18
Cómo hacerlo ................................................................................................................ 18
Cómo funciona .............................................................................................................. 24
Y eso no es todo …......................................................................................................... 25
Ver la configuración de red de las máquinas virtuales ..................................... 25
Preparación ................................................................................................................... 25
Cómo hacerlo ................................................................................................................ 25
Cómo funciona .............................................................................................................. 26
Crear una nueva NIC ............................................................................................. 26
Preparación ................................................................................................................... 26
Cómo hacerlo ................................................................................................................ 27
Cómo funciona ... .......................................................................................................... 27
Asociar una NIC a una MV .................................................................................... 28
Preparación ................................................................................................................... 28
Cómo hacerlo ................................................................................................................ 28
Cómo funciona .............................................................................................................. 28
Desasociar una NIC de una MV ............................................................................ 29
Preparación ................................................................................................................... 29
Cómo hacerlo ................................................................................................................ 29
Cómo funciona .............................................................................................................. 29
Capítulo 3: Grupos de seguridad de red  31
Requisitos técnicos ................................................................................................ 32
Crear un nuevo NSG en el portal de Azure ......................................................... 32
Preparación ................................................................................................................... 32
Cómo hacerlo ................................................................................................................ 33
Cómo funciona .............................................................................................................. 33
Crear un nuevo NSG con PowerShell .................................................................. 34
Preparación ................................................................................................................... 34
Cómo hacerlo ................................................................................................................ 34
Cómo funciona .............................................................................................................. 34
Crear una nueva regla de permiso en un NSG ................................................... 35
Preparación ................................................................................................................... 35
Cómo hacerlo ................................................................................................................ 35
Cómo funciona .............................................................................................................. 37
Crear una nueva regla de denegación en un NSG ............................................. 37
Preparación ................................................................................................................... 37
Cómo hacerlo ................................................................................................................ 37
Cómo funciona .............................................................................................................. 39
Crear una nueva regla de NSG con PowerShell ................................................. 39
Preparación ................................................................................................................... 39
Cómo hacerlo ................................................................................................................ 39
Cómo funciona .............................................................................................................. 39
Y eso no es todo …......................................................................................................... 40
Asignar un NSG a una subred .............................................................................. 40
Preparación ................................................................................................................... 40
Cómo hacerlo ................................................................................................................ 40
Cómo funciona .............................................................................................................. 42
Asignar un NSG a una interfaz de red ................................................................. 42
Preparación ................................................................................................................... 42
Cómo hacerlo ................................................................................................................ 42
Cómo funciona .............................................................................................................. 44
Asignar un NSG a una subred con PowerShell ................................................... 44
Preparación ................................................................................................................... 44
Cómo hacerlo ................................................................................................................ 44
Cómo funciona .............................................................................................................. 44
Crear un grupo de seguridad de aplicación (ASG) ............................................. 45
Preparación ................................................................................................................... 45
Cómo hacerlo ................................................................................................................ 45
Cómo funciona .............................................................................................................. 46
Asociar un ASG con una máquina virtual ........................................................... 46
Preparación ................................................................................................................... 46
Cómo hacerlo ................................................................................................................ 46
Cómo funciona .............................................................................................................. 48
Crear reglas con un NSG y un ASG ....................................................................... 48
Preparación ................................................................................................................... 48
Cómo hacerlo ................................................................................................................ 48
Cómo funciona .............................................................................................................. 49
Capítulo 4: Administrar direcciones IP  51
Requisitos técnicos ................................................................................................ 52
Crear una nueva dirección IP pública en el portal de Azure ........................... 52
Preparación ................................................................................................................... 52
Cómo hacerlo ................................................................................................................ 53
Cómo funciona .............................................................................................................. 54
Crear una nueva dirección IP pública con PowerShell ...................................... 54
Preparación ................................................................................................................... 54
Cómo hacerlo ................................................................................................................ 54
Cómo funciona .............................................................................................................. 54
Asignar una dirección IP pública .......................................................................... 55
Preparación ................................................................................................................... 55
Cómo hacerlo ................................................................................................................ 55
Cómo funciona .............................................................................................................. 56
Desasignar una dirección IP pública ................................................................... 57
Preparación ................................................................................................................... 57
Cómo hacerlo ................................................................................................................ 57
Cómo funciona .............................................................................................................. 58
Crear una reserva para una dirección IP pública .............................................. 58
Preparación ................................................................................................................... 58
Cómo hacerlo ................................................................................................................ 59
Cómo funciona .............................................................................................................. 59
Eliminar una reserva para una dirección IP pública .......................................... 60
Preparación ................................................................................................................... 60
Cómo hacerlo ................................................................................................................ 60
Cómo funciona .............................................................................................................. 61
Crear una reserva para una dirección IP privada .............................................. 61
Preparación ................................................................................................................... 61
Cómo hacerlo ................................................................................................................ 61
Cómo funciona .............................................................................................................. 62
Cambiar una reserva para una dirección IP privada ......................................... 63
Preparación ................................................................................................................... 63
Cómo hacerlo ................................................................................................................ 63
Cómo funciona .............................................................................................................. 64
Eliminar una reserva para una dirección IP privada ......................................... 65
Preparación ................................................................................................................... 65
Cómo hacerlo ................................................................................................................ 65
Cómo funciona .............................................................................................................. 66
Añadir varias direcciones IP a una NIC ............................................................... 67
Preparación ................................................................................................................... 67
Cómo hacerlo ................................................................................................................ 67
Cómo funciona .............................................................................................................. 69
Crear un prefijo de IP pública ............................................................................... 70
Cómo hacerlo ................................................................................................................ 70
Cómo funciona .............................................................................................................. 71
Capítulo 5: Puertas de enlace de redes locales y virtuales  73
Requisitos técnicos ................................................................................................ 74
Crear una puerta de enlace de red local en el portal de Azure ....................... 74
Preparación ................................................................................................................... 74
Cómo hacerlo ................................................................................................................ 74
Cómo funciona .............................................................................................................. 75
Crear una puerta de enlace de red local con PowerShell ................................. 76
Preparación ................................................................................................................... 76
Cómo hacerlo ................................................................................................................ 76
Cómo funciona .............................................................................................................. 76
Crear una puerta de enlace de red virtual en el portal de Azure .................... 76
Preparación ................................................................................................................... 76
Cómo hacerlo ................................................................................................................ 77
Cómo funciona .............................................................................................................. 78
Crear una puerta de enlace de red virtual con PowerShell .............................. 79
Preparación ................................................................................................................... 79
Cómo hacerlo ................................................................................................................ 79
Cómo funciona .............................................................................................................. 80
Modificar la configuración de la puerta de enlace de red local ....................... 80
Preparación ................................................................................................................... 80
Cómo hacerlo ................................................................................................................ 80
Cómo funciona .............................................................................................................. 81
Capítulo 6: DNS y enrutamiento  83
Requisitos técnicos ................................................................................................ 84
Crear una zona DNS de Azure .............................................................................. 84
Preparación ................................................................................................................... 84
Cómo hacerlo ................................................................................................................ 84
Cómo funciona .............................................................................................................. 85
Crear una zona DNS privada de Azure ................................................................ 86
Preparación ................................................................................................................... 86
Cómo hacerlo ................................................................................................................ 86
Cómo funciona .............................................................................................................. 87
Integrar una red virtual con una zona DNS privada ......................................... 87
Preparación ................................................................................................................... 87
Cómo hacerlo ................................................................................................................ 87
Cómo funciona .............................................................................................................. 88
Crear un nuevo conjunto de registros en Azure DNS ....................................... 88
Preparación ................................................................................................................... 89
Cómo hacerlo ................................................................................................................ 89
Cómo funciona .............................................................................................................. 91
Crear una tabla de rutas ....................................................................................... 91
Preparación ................................................................................................................... 92
Cómo hacerlo ................................................................................................................ 92
Cómo funciona .............................................................................................................. 92
Cambiar una tabla de rutas .................................................................................. 93
Preparación ................................................................................................................... 93
Cómo hacerlo ................................................................................................................ 93
Cómo funciona .............................................................................................................. 93
Asociar una tabla de rutas con una subred ........................................................ 94
Preparación ................................................................................................................... 94
Cómo hacerlo ................................................................................................................ 94
Cómo funciona .............................................................................................................. 96
Desasociar una tabla de rutas de una subred ................................................... 97
Preparación ................................................................................................................... 97
Cómo hacerlo ................................................................................................................ 97
Cómo funciona .............................................................................................................. 99
Crear una nueva ruta .......................................................................................... 100
Preparación ................................................................................................................ 100
Cómo hacerlo ............................................................................................................. 100
Cómo funciona ........................................................................................................... 102
Cambiar una ruta ................................................................................................. 102
Preparación ................................................................................................................ 102
Cómo hacerlo ............................................................................................................. 102
Cómo funciona ........................................................................................................... 103
Eliminar una ruta ................................................................................................. 103
Preparación ................................................................................................................ 103
Cómo hacerlo ............................................................................................................. 104
Cómo funciona ........................................................................................................... 105
Capítulo 7: Azure Firewall  107
Requisitos técnicos .............................................................................................. 108
Crear un nuevo firewall ...................................................................................... 108
Preparación ................................................................................................................ 108
Cómo hacerlo ............................................................................................................. 110
Cómo funciona ........................................................................................................... 110
Crear un nuevo firewall con PowerShell ........................................................... 111
Cómo hacerlo ............................................................................................................. 111
Cómo funciona ........................................................................................................... 112
Configurar una nueva regla de permiso ........................................................... 112
Preparación ................................................................................................................ 112
Cómo hacerlo ............................................................................................................. 112
Cómo funciona ........................................................................................................... 112
Configurar una nueva regla de denegación ..................................................... 113
Preparación ................................................................................................................ 113
Cómo hacerlo ............................................................................................................. 113
Cómo funciona ........................................................................................................... 113
Configurar una tabla de rutas ............................................................................ 113
Preparación ................................................................................................................ 113
Cómo hacerlo ............................................................................................................. 114
Cómo funciona ........................................................................................................... 114
Habilitar registros de diagnóstico para Azure Firewall ................................... 114
Preparación ................................................................................................................ 114
Cómo hacerlo ............................................................................................................. 114
Cómo funciona ........................................................................................................... 116
Configurar Azure Firewall en modo de tunelización forzada ......................... 116
Preparación ................................................................................................................ 116
Cómo hacerlo ............................................................................................................. 116
Cómo funciona ........................................................................................................... 120
Crear un grupo de IP ........................................................................................... 120
Preparación ................................................................................................................ 120
Cómo hacerlo ............................................................................................................. 120
Cómo funciona ........................................................................................................... 121
Configurar las opciones de DNS de Azure Firewall .......................................... 121
Preparación ................................................................................................................ 121
Cómo hacerlo ............................................................................................................. 121
Cómo funciona ........................................................................................................... 122
Capítulo 8: Arear conexiones híbridas  123
Requisitos técnicos .............................................................................................. 124
Crear una conexión de sitio a sitio .................................................................... 124
Preparación ................................................................................................................ 125
Cómo hacerlo ............................................................................................................. 125
Cómo funciona ........................................................................................................... 128
Descargar la configuración del dispositivo VPN desde Azure ........................ 128
Preparación ................................................................................................................ 128
Cómo hacerlo ............................................................................................................. 128
Cómo funciona ........................................................................................................... 130
Crear una conexión de punto a sitio ................................................................. 130
Preparación ................................................................................................................ 130
Cómo hacerlo ............................................................................................................. 133
Cómo funciona ........................................................................................................... 136
Crear una conexión de red virtual a red virtual ............................................... 136
Preparación ................................................................................................................ 136
Cómo hacerlo ............................................................................................................. 136
Cómo funciona ........................................................................................................... 139
Conectar redes virtuales mediante el emparejamiento de red ..................... 139
Preparación ................................................................................................................ 140
Cómo hacerlo ............................................................................................................. 140
Cómo funciona ........................................................................................................... 143
Capítulo 9: Conectar a los recursos de manera segura  145
Requisitos técnicos .............................................................................................. 146
Crear una instancia de Azure Bastion ............................................................... 146
Preparación ................................................................................................................ 147
Cómo hacerlo ............................................................................................................. 149
Cómo funciona ........................................................................................................... 150
Conectar a una máquina virtual con Azure Bastion ........................................ 150
Preparación ................................................................................................................ 150
Cómo hacerlo ............................................................................................................. 150
Cómo funciona ........................................................................................................... 151
Crear una WAN virtual ........................................................................................ 151
Preparación ................................................................................................................ 151
Cómo hacerlo ............................................................................................................. 152
Cómo funciona ........................................................................................................... 152
Crear un centro (en WAN Virtual) ...................................................................... 153
Preparación ................................................................................................................ 153
Cómo hacerlo ............................................................................................................. 153
Cómo funciona ........................................................................................................... 158
Añadir una conexión de sitio a sitio (en un centro virtual) ............................ 158
Preparación ................................................................................................................ 158
Cómo hacerlo ............................................................................................................. 159
Cómo funciona ........................................................................................................... 163
Añadir una conexión de red virtual (en un centro virtual) ............................. 163
Preparación ................................................................................................................ 163
Cómo hacerlo ............................................................................................................. 164
Cómo funciona ........................................................................................................... 166
Crear un punto de conexión de Private Link .................................................... 166
Preparación ................................................................................................................ 166
Cómo hacerlo ............................................................................................................. 168
Cómo funciona ........................................................................................................... 170
Crear un servicio de Private Link ....................................................................... 170
Preparación ................................................................................................................ 171
Cómo hacerlo ............................................................................................................. 171
Cómo funciona ........................................................................................................... 173
Capítulo 10: Equilibradores de carga  175
Requisitos técnicos .............................................................................................. 176
Crear un equilibrador de carga interno ............................................................ 176
Preparación ................................................................................................................ 176
Cómo hacerlo ............................................................................................................. 176
Cómo funciona ........................................................................................................... 178
Crear un equilibrador de carga público ............................................................ 178
Preparación ................................................................................................................ 178
Cómo hacerlo ............................................................................................................. 178
Cómo funciona ........................................................................................................... 180
Crear un grupo de back-end ............................................................................... 180
Preparación ................................................................................................................ 180
Cómo hacerlo ............................................................................................................. 181
Cómo funciona ........................................................................................................... 184
Consulta también ...................................................................................................... 184
Crear sondeos de estado .................................................................................... 184
Preparación ................................................................................................................ 184
Cómo hacerlo ............................................................................................................. 185
Cómo funciona ........................................................................................................... 186
Crear reglas del equilibrador de carga .............................................................. 186
Preparación ................................................................................................................ 186
Cómo hacerlo ............................................................................................................. 186
Cómo funciona ........................................................................................................... 188
Crear reglas NAT de entrada .............................................................................. 188
Preparación ................................................................................................................ 188
Cómo hacerlo ............................................................................................................. 188
Cómo funciona ........................................................................................................... 190
Crear reglas de salida explícitas ........................................................................ 190
Preparación ................................................................................................................ 190
Cómo hacerlo ............................................................................................................. 191
Cómo funciona ........................................................................................................... 193
Capítulo 11: Traffic Manager  195
Requisitos técnicos .............................................................................................. 196
Crear un nuevo perfil de Traffic Manager ........................................................ 196
Preparación ................................................................................................................ 196
Cómo hacerlo ............................................................................................................. 196
Cómo funciona ........................................................................................................... 197
Añadir un punto de conexión ............................................................................. 197
Preparación ................................................................................................................ 198
Cómo hacerlo ............................................................................................................. 198
Cómo funciona ........................................................................................................... 201
Configurar el tráfico distribuido ........................................................................ 201
Preparación ................................................................................................................ 201
Cómo hacerlo ............................................................................................................. 202
Cómo funciona ........................................................................................................... 203
Configurar el tráfico en función de la prioridad .............................................. 203
Preparación ................................................................................................................ 203
Cómo hacerlo ............................................................................................................. 204
Cómo funciona ........................................................................................................... 204
Configurar el tráfico en función de la ubicación geográfica .......................... 204
Preparación ................................................................................................................ 205
Cómo hacerlo ............................................................................................................. 205
Cómo funciona ........................................................................................................... 205
Administrar puntos de conexión ....................................................................... 206
Preparación ................................................................................................................ 206
Cómo hacerlo ............................................................................................................. 206
Cómo funciona ........................................................................................................... 207
Administrar perfiles ............................................................................................. 207
Preparación ................................................................................................................ 207
Cómo hacerlo ............................................................................................................. 208
Cómo funciona ........................................................................................................... 208
Configurar Traffic Manager con equilibradores de carga .............................. 209
Preparación ................................................................................................................ 209
Cómo hacerlo ............................................................................................................. 209
Cómo funciona ........................................................................................................... 210
Capítulo 12: Azure Application Gateway y Azure WAF  211
Requisitos técnicos .............................................................................................. 212
Crear una nueva puerta de enlace de aplicaciones ........................................ 212
Preparación ................................................................................................................ 212
Cómo hacerlo ............................................................................................................. 213
Cómo funciona ........................................................................................................... 221
Configurar los grupos de back-end ................................................................... 221
Preparación ................................................................................................................ 221
Cómo hacerlo ............................................................................................................. 222
Cómo funciona ........................................................................................................... 223
Configurar las opciones de HTTP ....................................................................... 224
Preparación ................................................................................................................ 224
Cómo hacerlo ............................................................................................................. 224
Cómo funciona ........................................................................................................... 226
Configurar agentes de escucha .......................................................................... 226
Preparación ................................................................................................................ 226
Cómo hacerlo ............................................................................................................. 226
Cómo funciona ........................................................................................................... 227
Configurar reglas ................................................................................................. 228
Preparación ................................................................................................................ 228
Cómo hacerlo ............................................................................................................. 228
Cómo funciona ........................................................................................................... 229
Configurar sondeos ............................................................................................. 230
Preparación ................................................................................................................ 230
Cómo hacerlo ............................................................................................................. 230
Cómo funciona ........................................................................................................... 231
Configurar un firewall de aplicaciones web (WAF) .......................................... 231
Preparación ................................................................................................................ 232
Cómo hacerlo ............................................................................................................. 232
Cómo funciona ........................................................................................................... 234
Personalizar las reglas del WAF ......................................................................... 234
Preparación ................................................................................................................ 234
Cómo hacerlo ............................................................................................................. 234
Cómo funciona ........................................................................................................... 236
Crear una política de WAF .................................................................................. 236
Preparación ................................................................................................................ 236
Cómo hacerlo ............................................................................................................. 236
Cómo funciona ........................................................................................................... 241
Capítulo 13: Azure Front Door y Azure CDN  243
Requisitos técnicos .............................................................................................. 243
Crear una instancia de Azure Front Door ......................................................... 244
Preparación ................................................................................................................ 244
Cómo hacerlo ............................................................................................................. 244
Cómo funciona ........................................................................................................... 252
Crear un perfil de Azure CDN ............................................................................. 254
Preparación ................................................................................................................ 254
Cómo hacerlo ............................................................................................................. 254
Cómo funciona ........................................................................................................... 255
Índice  257
>
Prefacio
Acerca de
En esta sección se presentan brevemente al autor y a los revisores técnicos, la cobertura de este
libro de instrucciones, las habilidades técnicas que necesitarás para comenzar y el hardware y
software necesarios para completar todas las recetas incluidas.
ii | Prefacio
Acerca de la Guía paso a paso de redes de Azure, segunda edición
Los servicios de red de Azure permiten a las organizaciones administrar sus redes de
manera eficaz. Azure allana el camino para que una empresa consiga un rendimiento
fiable y una conectividad segura.
Guía paso a paso de redes de Azure, segunda edición empieza con una introducción
a las redes de Azure y abarca pasos básicos como la creación de redes virtuales de
Azure, el diseño de espacios de direcciones y la creación de subredes. Aprenderás a
crear y administrar grupos de seguridad de red, grupos de seguridad de aplicaciones y
direcciones IP en Azure.
A medida que avances, explorarás diversos aspectos, como las conexiones de sitio a
sitio, de punto a sitio y de red virtual a red virtual, DNS y enrutamiento, equilibradores
de carga y Traffic Manager. Esta guía paso a paso abarca todos los aspectos y funciones
que necesitas conocer, proporcionando recetas prácticas que te ayudarán a pasar
de tener una comprensión básica de las prácticas de red en el cloud a ser capaz de
planificar, implementar y proteger tu infraestructura de red con Azure.
Esta guía paso a paso no solo te ayudará a ampliar tu entorno actual, sino que también
te indicará cómo supervisar, diagnosticar y garantizar una conectividad segura. Tras
aprender a crear un entorno robusto, obtendrás conocimientos significativos de las
recetas basadas en las prácticas recomendadas.
Al final de esta guía paso a paso, contarás con suficiente experiencia práctica a la hora
de proporcionar soluciones rentables que faciliten una conectividad eficiente en tu
organización.
Acerca del autor
Mustafa Toroman es un arquitecto de soluciones en Authority Partners. Tiene años
de experiencia en el diseño y la supervisión de soluciones de infraestructura y en los
últimos años ha estado centrándose en el diseño de nuevas soluciones en el cloud y
en la migración de soluciones existentes al cloud. Le interesan mucho los procesos de
DevOps y también le entusiasma la infraestructura como código. Mustafa tiene más de
50 certificaciones de Microsoft y ha sido instructor certificado de Microsoft desde 2012.
Suele intervenir en conferencias internacionales sobre tecnologías en el cloud y ha sido
galardonado con el premio MVP para Azure durante los últimos tres años consecutivos.
Mustafa también es el autor de Hands-On Cloud Administration in Azure
(Administración práctica del cloud en Azure) y ha participado en Learn Node.js with
Azure (Aprender Node.js con Azure) y Mastering Azure Security (Dominar la seguridad
de Azure), todos publicados por Packt.
Acerca de los revisores | iii
Acerca de los revisores
Kapil Bansal es jefe de ingeniería de DevOps en S&P Global Market Intelligence, India.
Tiene más de 12 años de experiencia en el sector de TI y ha trabajado en computación
en el cloud de Azure (PaaS, IaaS y SaaS), Azure Stack, DevSecOps, Kubernetes,
Terraform, Office 365, SharePoint, administración de versiones, administración del ciclo
de vida de las aplicaciones (ALM), Information Technology Infrastructure Library (ITIL)
y Six Sigma. Ha trabajado con empresas como IBM India Pvt Ltd, HCL Technologies,
NIIT Technologies, Encore Capital Group, and Xavient Software Solutions, Noida y ha
atendido a clientes con sede en los Estados Unidos, el Reino Unido, India y África, como
T-Mobile, World Bank Group, H&M, WBMI, Encore Capital y Bharti Airtel (India y África).
Kapil también ha revisado Implementación práctica de Kubernetes en Azure y Guía paso
a paso de redes de Azure, publicados por Packt. Además, ha participado en Guía práctica
de Microsoft Azure IaaS y Beginning SharePoint Communication Sites (Comenzar a usar
sitios de comunicación de SharePoint), publicados por Apress.
Rithin Skaria es un evangelista del código abierto con más de siete años de experiencia
en la administración de cargas de trabajo de código abierto en Azure, AWS y OpenStack.
Actualmente trabaja para Microsoft y forma parte de varias actividades de la comunidad
de código abierto que se llevan a cabo en Microsoft. Es un formador certificado de
Microsoft, administrador e ingeniero certificado de la Fundación Linux, desarrollador y
administrador de aplicaciones de Kubernetes, y también administrador de OpenStack
certificado. En cuanto a Azure, tiene cuatro certificaciones, incluida arquitectura para
soluciones, administración de Azure, DevOps y seguridad, y también tiene certificación
en administración de Microsoft 365. Ha desempeñado un rol esencial en varias
implementaciones de código abierto y también en la administración y la migración de
estas cargas de trabajo al cloud. Ha colaborado en la creación de Administración de
Linux en Azure y Azure para arquitectos: tercera edición, publicados por Packt.
Objetivos de aprendizaje
Al final de esta guía paso a paso, podrás:
• Crear servicios de red de Azure.
• Crear y utilizar conexiones híbridas.
• Configurar y administrar servicios de red de Azure.
• Diseñar soluciones de red de alta disponibilidad en Azure.
• Supervisar y solucionar problemas de recursos de red en Azure.
• Utilizar diferentes métodos de conexión de redes locales con redes virtuales de Azure.
• Utilizar diferentes métodos para proteger las redes.
iv | Prefacio
Audiencia
Esta guía paso a paso está dirigida a arquitectos del cloud, proveedores de soluciones
en el cloud o cualquiera que trabaje con las redes en el cloud de Azure. La familiaridad
básica con Azure sería una ventaja.
Enfoque
Guía paso a paso de redes de Azure, segunda edición consigue una combinación ideal de
teoría y formación práctica para ayudarte a prepararte para los desafíos de conectividad
del mundo real a los que se enfrentan las empresas.
Para sacarle el máximo partido a este libro
En este libro, se supone que el lector tiene un nivel de conocimiento básico sobre
computación en el cloud y Azure. Para usarlo solo necesitas una suscripción válida a
Azure y conexión a Internet. Un equipo con Windows 10 con 4 GB de RAM es suficiente
para usar PowerShell.
Requisitos de hardware
El portal de Azure es una consola web que se ejecuta en todos los navegadores
modernos para equipos de escritorio, tabletas y dispositivos móviles. Para usar el portal
de Azure, debes tener JavaScript habilitado en el navegador.
Requisitos de software
Te recomendamos que utilices el navegador más actualizado que sea compatible con tu
sistema operativo. Se admiten los siguientes navegadores:
• Microsoft Edge (última versión)
• Internet Explorer 11
• Safari (última versión, solo para Mac)
• Chrome (última versión)
• Firefox (última versión)
Convenciones | v
Convenciones
Las palabras de código en el texto, los nombres de carpetas, los nombres de archivos,
las extensiones de archivo, las rutas de acceso, las rutas URL ficticias y las entradas de
usuario se muestran de la forma siguiente:
“Además, podemos utilizar modificadores adicionales, como -SKU para seleccionar
Basic (Básico) o Standard (Estándar), -IPAddressVersion para elegir entre IPv4 e IPv6 o
-DomainNamelabel para especificar la etiqueta DNS”.
Un bloque de código aparece de la siguiente forma:
$VirtualNetwork = Get-AzVirtualNetwork -Name 'Packt-Script' '
-ResourceGroupName 'Packt-Networking-Script'
Add-AzVirtualNetworkSubnetConfig -Name BackEnd '
-AddressPrefix 10.11.1.0/24 '
-VirtualNetwork $VirtualNetwork
$VirtualNetwork | Set-AzVirtualNetwork
Descargar recursos
El paquete de código este libro está hospedado en GitHub, en https://github.com/
PacktPublishing/Azure-Networking-Cookbook-Second-Edition. Puedes encontrar el
código y los archivos que se usan en este libro, a los que se hace referencia en las partes
relevantes. También tenemos otros paquetes de códigos de nuestro extenso catálogo de
libros y vídeos disponibles en https://github.com/PacktPublishing/. ¡Échales un vistazo!
1
Red virtual de Azure
En este primer capítulo aprenderemos los conceptos básicos de las redes de Azure,
incluida la creación de redes virtuales de Azure, el diseño de espacios de direcciones
y las subredes. Con eso, podrás sentar las bases para todas las demás recetas que se
abordarán en este capítulo.
En este capítulo, abordaremos las siguientes recetas:
• Crear una red virtual en el portal de Azure
• Crear una red virtual con PowerShell
• Añadir una subred en el portal de Azure
• Añadir una subred con PowerShell
• Cambiar el tamaño del espacio de direcciones
• Cambiar el tamaño de la subred
Requisitos técnicos
Para este capítulo, se necesita lo siguiente:
• Una suscripción a Azure
• Azure PowerShell
Puedes encontrar los ejemplos de código en https://github.com/PacktPublishing/
Azure-Networking-Cookbook-Second-Edition/tree/master/Chapter01.
2 | Red virtual de Azure
Crear una red virtual en el portal de Azure
La red virtual de Azure representa tu red local en el cloud. Permite que otros recursos
de Azure se comuniquen mediante una red privada segura sin exponer puntos de
conexión por Internet.
Preparación
Antes de empezar, abre un navegador web y ve al portal de Azure en https://portal.
azure.com.
Cómo hacerlo...
Para crear una nueva red virtual mediante el portal de Azure, sigue estos pasos:
1.
En el portal de Azure, selecciona Create a resource (Crear un recurso) y elige
Virtual network (Red virtual) en Networking (Redes) (o también puedes buscar
virtual network [red virtual] en la barra de búsqueda). Se abrirá un nuevo panel,
donde tenemos que proporcionar información para la red virtual. Primero, elige la
opción Subscription (Suscripción) que queramos usar y la opción Resource group
(Grupo de recursos) donde se implementará la red virtual. A continuación, incluye
un nombre y selecciona una región (del centro de datos de Azure) para el lugar en
el que se implementará la red virtual. Se muestra un ejemplo en la figura 1.1:
Figura 1.1: Crear una red virtual de Azure
Crear una red virtual en el portal de Azure | 3
2. En el siguiente panel, primero tenemos que definir el espacio de direcciones y los
valores de Subnet name (Nombre de subred) y Subnet address range (Intervalo
de direcciones de subred) para la primera subred. Después de definir el espacio de
direcciones, como se muestra en la figura 1.2, recibiremos un mensaje que indicará
que esta red virtual no tiene subredes. Por lo tanto, tenemos que seleccionar la
opción Add subnet (Añadir subred):
Figura 1.2: Configurar un espacio de direcciones de red virtual y subred
4 | Red virtual de Azure
3. En el panel Add subnet (Añadir subred), tenemos que definir Subnet name
(Nombre de subred) y Subnet address range (Intervalo de direcciones de subred).
De manera opcional, podemos añadir los puntos de conexión de servicio que
queramos conectar a la red virtual. Los puntos de conexión de servicio nos
permiten conectarnos a los servicios de Azure de forma segura, a través de la
infraestructura troncal de Azure, sin necesidad de una dirección IP pública.
Se muestra un ejemplo en la figura 1.3:
Figura 1.3: Añadir una subred
Crear una red virtual en el portal de Azure | 5
4. Después de añadir la primera subred, en nuestro caso, FrontEnd, podemos añadir
más subredes a la red virtual o ir a la sección Security (Seguridad), como se
muestra en la figura 1.4:
Figura 1.4: Añadir la subred FrontEnd
5. En la sección Security (Seguridad), podemos elegir si queremos activar Bastion
Host (Host bastión), DDoS protection (Protección DDoS) y Firewall. Si cualquiera
de estas opciones está activada, tenemos que proporcionar información adicional
para el servicio. Después podemos añadir etiquetas u omitirlo y crear el servicio.
Se muestra un ejemplo en la figura 1.5:
Figura 1.5: Cambiar las opciones de seguridad
6. La creación de una red virtual no suele llevar demasiado tiempo y se debería
completar en menos de dos minutos. Cuando haya terminado la implementación,
podemos empezar a usar la red virtual.
6 | Red virtual de Azure
Cómo funciona...
Implementamos redes virtuales en Resource group (Grupo de recursos) en
Subscription (Suscripción) en el centro de datos de Azure que elijamos. Region (Región)
y Subscription (Suscripción) son parámetros importantes; solo podremos adjuntar
recursos de Azure a esta red virtual si están en la misma suscripción y región que el
centro de datos de Azure. La opción de espacio de direcciones define el número de
direcciones IP que estarán disponibles para nuestra red. Utiliza el formato Classless
Inter-Domain Routing (Enrutamiento de interdominios sin clases o CIDR), y el mayor
intervalo que podemos elegir es /8. En el portal, tenemos que crear una subred inicial
y definir el intervalo de direcciones de la subred. La subred más pequeña disponible es
/29 y la más grande es /8 (sin embargo, no puede ser mayor que el intervalo de la red
virtual). Como referencia, el intervalo 10.0.0.0/8 (en formato CIDR) creará un intervalo
de 167772115 direcciones IP (de 10.0.0.0 a 10.255.255.255) y 10.0.0.0/29 creará un
intervalo de 8 direcciones IP (de 10.0.0.0 a 10.0.0.7).
Crear una red virtual con PowerShell
PowerShell es un shell de la línea de comandos y un lenguaje de scripting basado
en .NET Framework. Los administradores del sistema lo utilizan a menudo para
automatizar tareas y administrar sistemas operativos. Azure PowerShell Az es un
módulo de PowerShell que nos permite automatizar y administrar recursos de Azure.
Az también se usa muy a menudo para automatizar tareas de implementación y, además,
se puede usar para implementar una nueva red virtual de Azure.
Preparación
Antes de empezar, debemos asegurarnos de que tenemos instalados los módulos Az
más recientes. Para instalar los módulos Az, necesitamos ejecutar este comando en la
consola de PowerShell:
Install-Module -Name Az -AllowClobber -Scope CurrentUser
Para obtener más información, puedes visitar https://docs.microsoft.com/powershell/
azure/install-az-ps?view=azps-4.5.0.
Antes de empezar, tenemos que conectarnos a la suscripción de Azure desde una
consola de PowerShell. Este es el comando para hacerlo:
Connect-AzAccountAzAccount
Se abrirá una ventana emergente, en la que tendremos que introducir las credenciales
para la suscripción de Azure.
Posteriormente, tenemos que crear un grupo de recursos en el que se implementará
nuestra red virtual:
New-AzResourceGroup -name 'Packt-Networking-Script' -Location 'westeurope'
Crear una red virtual con PowerShell | 7
El resultado debe ser parecido al que se muestra en la figura 1.6:
Figura 1.6: Conectarse a una suscripción de Azure desde PowerShell
Cómo hacerlo...
La implementación de una red virtual de Azure se realiza con un solo script. Tenemos
que definir los parámetros del nombre, grupo de recursos, la ubicación y el intervalo de
direcciones. Aquí tenemos un script de ejemplo:
New-AzVirtualNetwork -ResourceGroupName 'Packt-Networking-Script' -Location
'westeurope' -Name 'Packt-Script' -AddressPrefix 10.11.0.0/16
Deberías obtener este resultado:
Figura 1.7: Implementar una red virtual de Azure con un script
Cómo funciona...
La diferencia entre implementar una red virtual desde el portal y utilizar PowerShell
es que no se necesita definir ninguna subred en PowerShell. La subred se implementa
en un comando separado que se puede ejecutar al implementar una red virtual o
posteriormente. Veremos este comando en la receta Añadir una subred con PowerShell
más adelante en este capítulo.
8 | Red virtual de Azure
Añadir una subred en el portal de Azure
Además de añadir subredes al crear una red virtual, podemos añadir subredes
adicionales a nuestra red en cualquier momento.
Preparación
Antes de empezar, abre un navegador web y ve al portal de Azure en https://portal.
azure.com. Una vez aquí, localiza la red virtual que hayas creado anteriormente.
Cómo hacerlo...
Para añadir una subred a una red virtual utilizando el portal de Azure, debemos usar los
siguientes pasos:
1.
En el panel Virtual network (Red virtual), ve a la sección Subnets (Subredes).
2. Selecciona la opción Add subnet (Añadir subred).
3. Se abrirá un nuevo panel. Tenemos que proporcionar información sobre la subred,
incluidos los valores de Name (Nombre) y Address range (Intervalo de direcciones)
en formato CIDR. El valor de Address range (Intervalo de direcciones) debe estar
en el límite del intervalo de direcciones de la red virtual y no puede solaparse con
el intervalo de direcciones de otras subredes en la red virtual. De manera opcional,
podemos añadir información sobre Network security group (Grupo de seguridad
de red), Route table (Tabla de rutas), Service endpoints (Puntos de conexión de
servicio) y Subnet delegation (Delegación de subred). Estas opciones se estudiarán
en recetas posteriores:
Añadir una subred en el portal de Azure | 9
Figura 1.8: Añadir el intervalo de direcciones
10 | Red virtual de Azure
4. También podemos añadir una subred de puerta de enlace en el mismo panel. Para
añadir una subred de puerta de enlace, selecciona la opción Gateway subnet
(Subred de puerta de enlace).
Para una subred de puerta de enlace, el único parámetro que tenemos que definir
es Address range (Intervalo de direcciones). Se aplican las mismas reglas que para
añadir una subred normal. Esta vez no tenemos que facilitar un nombre, porque ya
está definido. Solo se puede añadir una subred de puerta de enlace por red virtual.
No se permiten puntos de conexión de servicio en la subred de puerta de enlace:
Figura 1.9: Añadir una subred de puerta de enlace para una red virtual
Añadir una subred con PowerShell | 11
5. Después de que se añadan las subredes, podemos ver las subredes creadas
recientemente en el panel Subnets (Subredes) en la red virtual:
Figura 1.10: Ver las subredes recién creadas en el panel de subredes
Cómo funciona...
Una sola red virtual puede tener varias subredes definidas. Las subredes no se pueden
solapar y tienen que estar en el intervalo de direcciones de la red virtual. En cada
subred se guardan cuatro direcciones IP para la administración de Azure y no se
pueden utilizar. En función de la configuración de red, podemos definir las reglas de
comunicación entre subredes en la red virtual. Se utiliza una subred de puerta de enlace
para conexiones por red privada virtual (VPN), lo que se abordará más adelante en la
guía paso a paso.
Ahora, vamos a aprender a añadir una subred mediante PowerShell.
Añadir una subred con PowerShell
Al crear una red virtual de Azure con PowerShell, no se crea una subred en el mismo
paso y se necesita un comando adicional que se tiene que ejecutar por separado.
Preparación
Antes de crear una subred, tenemos que recopilar información sobre la red virtual con
la que se asociará la nueva subred. Los parámetros que se han de facilitar son el nombre
de la red virtual y el grupo de recursos en el que se encuentra la red virtual:
$VirtualNetwork = Get-AzVirtualNetwork -Name 'Packt-Script'
-ResourceGroupName 'Packt-Networking-Script'
12 | Red virtual de Azure
Cómo hacerlo...
1.
Para añadir una subred a la red virtual con PowerShell, tenemos que ejecutar un
comando y proporcionar el nombre y el prefijo de la dirección. El prefijo de la
dirección vuelve a estar en formato CIDR:
Add-AzVirtualNetworkSubnetConfig -Name FrontEnd -AddressPrefix 10.11.0.0/24
-VirtualNetwork $VirtualNetwork
2. Tenemos que confirmar estos cambios ejecutando el siguiente comando:
$VirtualNetwork | Set-AzVirtualNetwork
3. Podemos añadir una subred adicional ejecutando todos los comandos en un único
paso, así:
$VirtualNetwork = Get-AzVirtualNetwork -Name 'Packt-Script'
-ResourceGroupName 'Packt-Networking-Script'
Add-AzVirtualNetworkSubnetConfig -Name BackEnd -AddressPrefix 10.11.1.0/24
-VirtualNetwork $VirtualNetwork
$VirtualNetwork | Set-AzVirtualNetwork
Cómo funciona...
Se crea y se añade la subred a la red virtual, pero tenemos que confirmar los cambios
antes de que sean efectivos. En cuanto al tamaño, todas las reglas de la creación o
incorporación de subredes mediante el portal de Azure también se aplican aquí; la
subred debe estar dentro del espacio de direcciones de la red virtual y no puede
superponerse a otras subredes de la red virtual. La subred más pequeña disponible es
/29 y la más grande es /8, teniendo en cuenta que el valor está dentro del espacio de
direcciones de la red virtual. Por ejemplo, si vas a crear una red /16, el valor más grande
para la subred será solo /16, ya que no podemos incluir una subred /8 en un espacio de
direcciones /16.
Y eso no es todo…
Podemos crear y añadir varias subredes con un único script, de esta manera:
$VirtualNetwork = Get-AzVirtualNetwork -Name 'Packt-Script'
-ResourceGroupName 'Packt-Networking-Script'
$FrontEnd = Add-AzVirtualNetworkSubnetConfig -Name FrontEnd -AddressPrefix
10.11.0.0/24 -VirtualNetwork $VirtualNetwork
$BackEnd = Add-AzVirtualNetworkSubnetConfig -Name BackEnd -AddressPrefix
10.11.1.0/24 -VirtualNetwork $VirtualNetwork
$VirtualNetwork | Set-AzVirtualNetwork
Cambiar el tamaño del espacio de direcciones | 13
Cambiar el tamaño del espacio de direcciones
Después de definir el espacio de direcciones inicial durante la creación de una red
virtual, podemos seguir cambiando el tamaño del espacio de direcciones según sea
necesario. Podemos aumentar o reducir el tamaño del espacio de direcciones o cambiar
el espacio de direcciones totalmente utilizando un nuevo intervalo de direcciones.
Preparación
Antes de empezar, abre un navegador web y ve al portal de Azure en
https://portal.azure.com.
Cómo hacerlo...
Para cambiar el tamaño del espacio de direcciones para una red virtual utilizando el
portal de Azure, debemos ver los siguientes pasos:
1.
En el panel Virtual network (Red virtual), localiza Address space (Espacio de
direcciones) en Settings (Configuración).
2. Después, haz clic en Address space (Espacio de direcciones) y cambia el valor por
el intervalo deseado. Se muestra un ejemplo en la figura 1.11:
Figura 1.11: Cambiar el intervalo del espacio de direcciones
3. Tras haber introducido un valor nuevo para Address space (Espacio de
direcciones), haz clic en Save (Guardar) para aplicar los cambios.
14 | Red virtual de Azure
Cómo funciona...
Aunque puedes cambiar el espacio de direcciones en cualquier momento, hay
algunas reglas que determinan lo que puedes y lo que no puedes hacer. El espacio
de direcciones no se puede reducir si tienes subredes definidas en el espacio de
direcciones que no quedarían cubiertas por el nuevo espacio de direcciones. Por
ejemplo, si los espacios de direcciones estaban en el intervalo de 10.0.0.0/16, cubriría
direcciones desde 10.0.0.1 hasta 10.0.255.254. Si una de las subredes se ha definido
como 10.0.255.0/24, no podríamos cambiar la red virtual a 10.0.0.0/17, ya que esto
haría que la subred quedara fuera del nuevo espacio.
El espacio de direcciones no se puede cambiar a un nuevo espacio de direcciones si
tienes subredes definidas. Para cambiar completamente el espacio de direcciones,
primero debes quitar todas las subredes. Por ejemplo, si tuviéramos el espacio de
direcciones definido como 10.0.0.0/16, no podríamos cambiarlo a 10.1.0.0/16, ya que
al tener subredes en el antiguo espacio estas quedarían en un intervalo de direcciones
sin definir.
Veamos cómo cambiar el tamaño de las subredes recién creadas.
Cambiar el tamaño de la subred
De forma similar al espacio de direcciones de red virtual, podemos cambiar el tamaño
de una subred en cualquier momento.
Preparación
Antes de empezar, abre un navegador web y ve al portal de Azure en https://portal.
azure.com.
Cómo hacerlo...
Para cambiar el tamaño de la subred mediante el portal de Azure, debemos realizar los
siguientes pasos:
1.
En el panel Virtual network (Red virtual), selecciona la opción Subnets (Subredes).
2. Selecciona la subred que quieras cambiar. En la opción Subnets (Subredes),
introduce un nuevo valor para el tamaño de subred en Address range (Intervalo de
direcciones). Se muestra un ejemplo de cómo hacer esto en la figura 1.12:
Cambiar el tamaño de la subred | 15
Figura 1.12: Cambiar el tamaño de la subred mediante el portal de Azure
16 | Red virtual de Azure
3. Después de introducir un nuevo intervalo de direcciones, haz clic en Save
(Guardar).
4. En la lista Subnets (Subredes), puedes ver que se han aplicado los cambios y que
ha cambiado el espacio de direcciones, como se muestra en la figura 1.13:
Figura 1.13: Ver los cambios realizados en el intervalo de direcciones de subred
Cómo funciona...
Al cambiar el tamaño de la subred, se deben seguir algunas reglas. No podemos cambiar
el espacio de direcciones si no está dentro del intervalo de espacios de direcciones de
la red virtual, y el intervalo de la subred no se puede solapar con otras subredes en una
red virtual. Si se añaden dispositivos a esta subred, no podemos cambiar la subred para
excluir las direcciones a las que ya están asignadas estos dispositivos.
2
Redes de máquinas
virtuales
En este capítulo, abordaremos las máquinas virtuales (MV) de Azure y la interfaz de
red (NIC) que se emplea como interconexión entre las máquinas virtuales de Azure y la
red virtual de Azure.
En este capítulo, abordaremos las siguientes recetas:
• Crear máquinas virtuales de Azure
• Ver la configuración de red de las máquinas virtuales
• Crear una nueva NIC
• Asociar una NIC a una MV
• Desasociar una NIC de una MV
Requisitos técnicos
Para este capítulo, se necesita lo siguiente:
• Una suscripción a Azure
18 | Redes de máquinas virtuales
Crear máquinas virtuales de Azure
Las máquinas virtuales de Azure dependen de redes virtuales, y durante el proceso de
creación tenemos que definir la configuración de red.
Preparación
Antes de empezar, abre un navegador web y ve al portal de Azure en
https://portal.azure.com.
Cómo hacerlo...
Para crear una nueva MV utilizando el portal de Azure, debemos seguir estos pasos:
1. En el portal de Azure, selecciona Create a resource (Crear un recurso) y elige la
máquina virtual Windows Server 2016 Datacenter (o busca cualquier imagen de
máquina virtual buscando image [imagen] en la barra de búsqueda Search the
Marketplace [Buscar en el Marketplace]).
2. En el panel Create a virtual machine (Crear una máquina virtual) tenemos que
facilitar información para varias opciones, y no todas ellas están relacionadas
con las redes. En primer lugar, tenemos que facilitar información sobre nuestra
Subscription (Suscripción) y Resource group (Grupo de recursos) de Azure (crear
un nuevo grupo de recursos o facilitar uno existente).
3. En Instance details (Detalles de la instancia), tenemos que proporcionar
información para los campos Virtual machine name (Nombre de la máquina
virtual), Region (Región), Availability options (Opciones de disponibilidad) e Image
(Imagen) (para el campo de imagen, deja el valor predeterminado o cambia a otra
imagen del menú desplegable). En la figura 2.1 se muestran algunas opciones de
configuración de ejemplo:
Figura 2.1: Proporcionar información para los detalles de la instancia
Crear máquinas virtuales de Azure | 19
4. A continuación, tenemos que seleccionar si queremos usar Azure Spot instance
(Instancia puntual de Azure) (donde la máquina virtual se ejecuta en la capacidad
del centro de datos sin usar a un precio inferior, pero se puede desactivar si se
necesitan recursos en otro lugar) y proporcionar información en los campos Size
(Tamaño), Username (Nombre de usuario) y Password (Contraseña) de la máquina
virtual. Ten en cuenta que para Username (Nombre de usuario), no puedes usar
nombres como admin, administrator, sysadmin ni root. La contraseña debe tener
al menos 12 caracteres y cumplir tres de las cuatro reglas comunes (es decir,
tener mayúsculas y minúsculas, caracteres especiales y números). Se muestra un
ejemplo de la pantalla completa en la figura 2.2:
Figura 2.2: Configurar la instancia puntual de Azure
5. A continuación, llegamos a una opción relativa a las redes. Tenemos que definir
si vamos a permitir algún tipo de conexión a través de una dirección IP pública.
Podemos elegir si queremos denegar todo tipo de acceso o permitir un puerto
específico. Opcionalmente, podemos usar Hybrid Benefit (Ventaja híbrida) para
usar una licencia existente con el fin de ahorrar costes. En el ejemplo siguiente,
voy a elegir RDP (3389), pero en la lista desplegable también se ofrecen opciones
para SSH (22), HTTP (80) y HTTPS (443):
Figura 2.3: Definir reglas de puerto de entrada
20 | Redes de máquinas virtuales
6. En la siguiente sección, tenemos que definir los discos. Podemos elegir entre
Premium SSD (SSD premium), Standard SSD (SSD estándar) y Standard HDD
(HDD estándar). Es necesario un disco para el SO, y debe definirse. Podemos
conectar discos de datos adicionales según sea necesario. Los discos también se
pueden añadir más adelante. La opción de cifrado predeterminada es usar claves
administradas por la plataforma, pero, si es necesario, podemos seleccionar claves
administradas por el cliente. Se muestra un ejemplo de configuración de disco en
el que solo aparece el disco del SO en la figura 2.4:
Figura 2.4: Configurar las opciones de almacenamiento
7. Tras definir los discos, llegamos a la configuración de red. Aquí tenemos que
definir las opciones Virtual network (Red virtual) y Subnet (Subred) que utilizará
la máquina virtual. Estas dos opciones son obligatorias. Puedes elegir asignar
la dirección de la Public IP (IP pública) a la máquina virtual (puedes elegir si
desactivar la dirección de la Public IP [IP pública], crear una nueva o asignar una
dirección IP existente). La última parte de la configuración de red tiene que ver
con NIC Network security group (Grupo de seguridad de red), donde tenemos
que decidir si vamos a usar o no un grupo de seguridad de red, uno básico o
uno avanzado. También hay otra opción en la que definiremos si permitiremos
puertos públicos. También podemos configurar Accelerated networking (Redes
aceleradas) o Load balancing (Equilibrio de carga) como opciones adicionales. En
la figura 2.5 se muestra un ejemplo de estas configuraciones de red de MV:
Crear máquinas virtuales de Azure | 21
Figura 2.5: Definir las opciones de la red virtual y la subred
22 | Redes de máquinas virtuales
8. Después de la sección de red, tenemos que configurar Management
(Administración) como se muestra en la figura 2.6:
Figura 2.6: Habilitar las características de administración
9. En Advanced options (Opciones avanzadas), podemos ajustar los pasos de
configuración posteriores a la implementación añadiendo instalaciones de
software, scripts de configuración, datos personalizados y mucho más. La
pantalla Advanced options (Opciones avanzadas) se muestra en la figura 2.7:
Figura 2.7: Definir la configuración posterior a la implementación
Crear máquinas virtuales de Azure | 23
10. En la segunda parte de Advanced options (Opciones avanzadas), podemos
seleccionar una configuración de Host group (Grupo host) (esta opción
proporciona un host dedicado que nos permite aprovisionar y administrar un
servidor físico en un centro de datos de Azure), un Proximity placement group
(Grupo con ubicación por proximidad) (para agrupar servidores de la misma
región) y si queremos usar máquinas virtuales de Gen 1 (Generación 1) o Gen 2
(Generación 2). Las opciones predeterminadas se muestran en la figura 2.8:
Figura 2.8: Asignar un host dedicado para aprovisionar y administrar un servidor físico
11. La última opción que podemos configurar es sobre las etiquetas. Las etiquetas
aplican metadatos adicionales a los recursos de Azure para organizarlos lógicamente
en una taxonomía. La pestaña Tags (Etiquetas) se muestra en la figura 2.9:
Figura 2.9: Aplicar etiquetas a los recursos de Azure
24 | Redes de máquinas virtuales
12. Después de definir toda la configuración, llegamos a la pantalla de validación,
donde se comprueba por última vez la configuración en su totalidad. Tras realizar
satisfactoriamente la validación, confirmamos la creación de una máquina virtual
haciendo clic en Create (Crear), como se muestra en la figura 2.10:
Figura 2.10: Crear una máquina virtual
Cómo funciona...
Cuando se crea una máquina virtual, se genera una NIC en el proceso. La NIC se utiliza
como un tipo de interconexión entre la máquina virtual y la red virtual. La red asigna a
la NIC una dirección IP privada. Como una NIC está asociada tanto a la máquina virtual
como a la red virtual, la máquina virtual usa la dirección IP. Al utilizar esta dirección IP,
la máquina virtual puede comunicarse por una red privada con otras máquinas virtuales
(u otros recursos de Azure) en la misma red. Además, a las NIC y las máquinas virtuales
se le pueden asignar también direcciones IP públicas. Se puede utilizar una dirección
pública para comunicarse con la máquina virtual por Internet, ya sea para acceder a los
servicios o para administrar la máquina virtual.
Ahora que hemos creado una máquina virtual de Azure y hemos definido la configuración
de red, en la siguiente sección, veremos cómo revisar esta configuración de red.
Ver la configuración de red de las máquinas virtuales | 25
Y eso no es todo…
Si te interesa obtener más información sobre las máquinas virtuales de Azure, puedes
leer mi libro, Hands-On Cloud Administration in Azure (Administración práctica del
cloud en Azure), de Packt Publishing, donde abordo las máquinas virtuales con más
detalle.
Ver la configuración de red de las máquinas virtuales
Tras crear una máquina virtual de Azure, podemos revisar la configuración de red en el
panel de la máquina virtual.
Preparación
Antes de empezar, abre un navegador web y ve al portal de Azure en https://portal.
azure.com. Aquí puedes localizar la máquina virtual creada anteriormente.
Cómo hacerlo...
Para revisar la configuración de red de la máquina virtual, debemos seguir estos pasos:
1.
En el panel de la máquina virtual, localiza la configuración Networking (Redes).
Aquí podrás ver los valores de Network interface (Interfaz de red), Application
security groups (Grupos de seguridad de aplicaciones) y Network security group
(Grupo de seguridad de red) asociados con la máquina virtual. Se muestra un
ejemplo de esto en la figura 2.11:
Figura 2.11: Configuración de red de una máquina virtual
26 | Redes de máquinas virtuales
2. Si seleccionamos cualquiera de los elementos de red asociados, podemos ver más
detalles. Por ejemplo, si seleccionamos la opción Network interface (Interfaz de
red) asociada con la máquina virtual, podemos ofrecer otra información de red
como Private IP address (Dirección IP privada), Public IP address (Dirección IP
pública), Virtual network/subnet (Red/subred virtual), Network security group
(Grupo de seguridad de red), IP configurations (Configuraciones IP) y DNS servers
(Servidores DNS) y mucho más. La vista NIC se muestra en la figura 2.12:
Figura 2.12: Ver la información de red de la NIC
Cómo funciona...
La información de red se muestra en varios lugares, incluida la configuración de red
de la máquina virtual. Además, cada recurso de Azure tiene un panel independiente y
existe como un recurso individual, por lo que podemos ver esta configuración en varios
lugares. Sin embargo, la imagen más completa de la configuración de red de la máquina
virtual la podemos encontrar en los paneles de la máquina virtual y de la NIC.
Crear una nueva NIC
Normalmente, las NIC se crean durante el proceso de creación de la máquina virtual,
pero cada máquina virtual puede tener varias NIC. Sobre esta base, podemos crear una
NIC como un recurso individual y asociarla o disociarla según sea necesario.
Preparación
Antes de empezar, abre un navegador web y ve al portal de Azure en https://portal.
azure.com.
Crear una nueva NIC | 27
Cómo hacerlo...
Para crear una nueva NIC utilizando el portal de Azure, debemos seguir estos pasos:
1.
En el portal de Azure, selecciona Create a resource (Crear un recurso) y elige Network
interface (Interfaz de red) en los servicios de Networking (Redes) (o también puedes
buscar network interface [interfaz de red] en la barra de búsqueda).
2. En el panel de creación, tenemos que facilitar información relacionada con los
campos Name (Nombre) y Virtual network (Red virtual), así como indicar la
subred a la que la NIC estará asociada. Entre el resto de información que se ha de
facilitar está el tipo de asignación de la dirección IP (Dynamic [Dinámica] o Static
[Estática]), si queremos que la NIC se asocie con un tipo de Network security
group (Grupo de seguridad de red) y si queremos usar IPv6. Todos los recursos
de Azure requieren información sobre Subscription (Suscripción), Resource
group (Grupo de recursos) y Region (Región), y las NIC no son una excepción.
La información necesaria para crear una nueva NIC se muestra en la figura 2.13:
Figura 2.13: Crear una NIC mediante el portal de Azure
Cómo funciona...
No puede existir ninguna NIC sin estar asociada a una red, y esta asociación debe
asignarse a una red virtual y una subred. Esto se define durante el proceso de creación
y no se puede cambiar más adelante. Por otro lado, la asociación con una máquina
virtual se puede cambiar y la NIC se puede asociar o desasociar de una máquina virtual
en cualquier momento.
28 | Redes de máquinas virtuales
Asociar una NIC a una MV
Cada máquina virtual puede tener varias NIC. Por este motivo, podemos añadir una
nueva NIC en cualquier momento.
Preparación
Antes de empezar, abre un navegador web y ve al portal de Azure en https://portal.
azure.com. Localiza la máquina virtual que creamos anteriormente en este capítulo.
Cómo hacerlo...
Para asociar una NIC a una máquina virtual, debemos hacer lo siguiente:
1.
En el panel de la máquina virtual, asegúrate de que la máquina virtual está
detenida (es decir, desasignada).
2. Localiza la configuración de Networking (Redes) en el panel de la máquina virtual.
3. En la parte superior de la pantalla de configuración de Networking (Redes) en
el panel de la máquina virtual, selecciona la opción Attach network interface
(Asociar interfaz de red).
4. Aparecerá una nueva opción que te permitirá crear una nueva NIC o seleccionar
una NIC ya existente que no esté asociada a la máquina virtual.
5. Haz clic en OK (Aceptar); en unos momentos, el proceso terminará y la NIC se
asociará a la máquina virtual. Se muestra un ejemplo de esto en la figura 2.14:
Figura 2.14: Asociar una NIC
Cómo funciona...
Cada máquina virtual puede tener varias NIC. El número de NIC que se pueden asociar
a una máquina virtual depende del tipo y tamaño de la máquina virtual. Para asociar
una NIC a una máquina virtual, la máquina virtual tiene que detenerse (es decir,
desasignarse); no se puede añadir una NIC adicional a una máquina virtual en ejecución.
Desasociar una NIC de una MV | 29
Desasociar una NIC de una MV
Al igual que al asociar una NIC, podemos desasociar una NIC en cualquier momento
y asociarla a otra máquina virtual.
Preparación
Antes de empezar, abre un navegador web y ve al portal de Azure en https://portal.
azure.com. Aquí puedes localizar la máquina virtual creada anteriormente.
Cómo hacerlo...
Para desasociar una NIC de una máquina virtual, debemos hacer lo siguiente:
1.
En el panel de la máquina virtual, asegúrate de que la máquina virtual está
detenida (es decir, desasignada).
2. Localiza la configuración de Networking (Redes) en el panel de la máquina virtual.
3. Al principio de la pantalla de configuración de Networking (Redes) en el panel de
la máquina virtual, selecciona la opción Detach network interface (Desasociar
interfaz de red).
4. Selecciona la NIC que quieras desasociar de la máquina virtual.
5. Haz clic en OK (Aceptar); en unos momentos, el proceso terminará y la NIC se
eliminará de la máquina virtual. Se muestra un ejemplo de esto en la figura 2.15:
Figura 2.15: Desasociar una NIC
Cómo funciona...
Para desasociar una NIC, la máquina virtual asociada a la NIC debe detenerse (es decir,
desasignarse). Debe haber al menos una NIC asociada a la máquina virtual; por eso, no
se puede eliminar la última NIC que tiene una máquina virtual. Todas las asociaciones
de red permanecen con la NIC; están asignadas a la NIC, no a la máquina virtual.
3
Grupos de seguridad
de red
Los grupos de seguridad de red (NSG) son herramientas integradas para el control
de red que nos permiten controlar el tráfico de entrada y de salida en una interfaz de
red o en el nivel de subred. Contienen conjuntos de reglas que permiten o deniegan el
tráfico a recursos específicos o subredes en Azure. Un NSG se puede asociar con una
subred (aplicando reglas de seguridad a todos los recursos asociados con la subred)
o una tarjeta de interfaz de red (NIC), que se hace mediante la aplicación de reglas
de seguridad únicamente a la máquina virtual (MV) asociada a la NIC).
32 | Grupos de seguridad de red
En este capítulo, abordaremos las siguientes recetas:
• Crear un nuevo NSG en el portal de Azure
• Crear un nuevo NSG con PowerShell
• Crear una nueva regla de permiso en un NSG
• Crear una nueva regla de denegación en un NSG
• Crear una nueva regla de NSG con PowerShell
• Asignar un NSG a una subred
• Asignar un NSG a una interfaz de red
• Asignar un NSG a una subred con PowerShell
• Crear un grupo de seguridad de aplicación (ASG)
• Asociar un ASG con una máquina virtual
• Crear reglas con un NSG y un ASG
Requisitos técnicos
Para este capítulo, se necesita lo siguiente:
• Una suscripción a Azure
• Azure PowerShell
Puedes encontrar los ejemplos de código en https://github.com/PacktPublishing/
Azure-Networking-Cookbook-Second-Edition/tree/master/Chapter03.
Crear un nuevo NSG en el portal de Azure
Como primer paso para controlar el tráfico de red más efectivamente, vamos a crear un
nuevo NSG.
Preparación
Antes de empezar, abre tu navegador y ve al portal de Azure, en https://portal.azure.com.
Crear un nuevo NSG en el portal de Azure | 33
Cómo hacerlo...
Para crear un nuevo NSG mediante el portal de Azure, debemos seguir estos pasos:
1.
En el portal de Azure, selecciona Create a resource (Crear un recurso) y elige
Network security group (Grupo de seguridad de red) en Networking (Redes)
(o también puedes buscar virtual network [red virtual] en la barra de búsqueda).
2. Los parámetros que tenemos que definir para la implementación son Subscription
(Suscripción), Resource group (Grupo de recursos), Name (Nombre) y Region
(Región). Se muestra un ejemplo de los parámetros necesarios en la figura 3.1:
Figura 3.1: Crear un nuevo NSG usando el portal de Azure
Una vez validada e iniciada la implementación (tarda unos momentos en completarse),
el NSG está listo para su uso.
Cómo funciona...
La implementación del NSG se puede iniciar durante una implementación de la máquina
virtual. Esto asociará el NSG con la NIC asociada a la máquina virtual implementada.
En este caso, el NSG ya está asociado con el recurso y las reglas definidas en el NSG
se aplicarán solo a la máquina virtual asociada.
Si el NSG se implementa por separado, como se puede ver en esta receta, no se asocia
y las reglas que se crean en él no se aplican hasta que se ha creado la asociación con
la NIC o la subred. Cuando se asocie con una subred, las reglas del NSG se aplicarán
a todos los recursos de la subred.
Pasemos a la siguiente receta para saber cómo crear un nuevo NSG usando PowerShell.
34 | Grupos de seguridad de red
Crear un nuevo NSG con PowerShell
Como alternativa, podemos crear un NSG usando Azure PowerShell. La ventaja de
este enfoque es que podemos añadir reglas de NSG en un solo script, creando reglas
personalizadas directamente después de crear el NSG. Esto nos permite automatizar
el proceso de implementación y crear nuestras propias reglas predeterminadas
directamente después de que se haya creado el NSG.
Preparación
Abre la consola de PowerShell y asegúrate de estar conectado a tu suscripción de
Azure. Consulta el capítulo 1, Red virtual de Azure, para obtener información sobre cómo
hacerlo.
Cómo hacerlo...
Para implementar un nuevo NSG, ejecuta el siguiente comando:
New-AzNetworkSecurityGroup -Name "nsg1" -ResourceGroupName "Packt-NetworkingScript" -Location "westeurope"
Cómo funciona...
El script utiliza el grupo de recursos (RG) que se implementó en el capítulo 1, Red virtual
de Azure (usaremos el mismo RG para todas las implementaciones). De lo contrario, es
necesario implementar un nuevo RG antes de ejecutar el script. El resultado final será
el mismo que al crear un nuevo NSG mediante el portal de Azure: se creará un nuevo
NSG con reglas predeterminadas. Una ventaja de usar PowerShell es que podemos
añadir reglas adicionales que pueden ser de ayuda durante la implementación. Verás
un ejemplo de esto en la receta Creación de una nueva regla de NSG con PowerShell más
adelante en este capítulo.
En esta receta, has aprendido a crear un nuevo NSG mediante PowerShell. Pasemos a la
siguiente receta para aprender a permitir reglas en NSG mediante el portal de Azure.
Crear una nueva regla de permiso en un NSG | 35
Crear una nueva regla de permiso en un NSG
Cuando se crea un nuevo NSG, solo están presentes las reglas predeterminadas, que
permiten todo el tráfico de salida y bloquean todo el tráfico de entrada. Para cambiarlas,
es necesario crear reglas adicionales. En primer lugar, vamos a mostrarte cómo crear
una nueva regla para permitir el tráfico entrante.
Preparación
Antes de empezar, abre tu navegador y ve al portal de Azure en https://portal.azure.com.
Localiza los NSG creados anteriormente.
Cómo hacerlo...
Para crear una nueva regla de permiso en un NSG mediante el portal de Azure, debemos
seguir estos pasos:
1.
En el panel NSG, localiza la opción Inbound security rules (Reglas de seguridad de
salida) en Settings (Configuración).
2. Haz clic en el botón Add (Añadir) en la parte superior de la página y espera a que
se abra el nuevo panel:
Figura 3.2: Crear una nueva regla de permiso de NSG con el portal de Azure
36 | Grupos de seguridad de red
3. En el nuevo panel, tenemos que facilitar información para los campos Source
(Origen) (ubicación e intervalo de puertos), Destination (Destino) (ubicación
e intervalo de puertos), Protocol (Protocolo), Action (Acción), Priority (Prioridad),
Name (Nombre) y Description (Descripción). Si quieres permitir el tráfico,
asegúrate de seleccionar Allow (Permitir) para Action (Acción). Se muestra
un ejemplo de cómo crear una regla para permitir el tráfico en el puerto 443
(lo que permite el tráfico hacia el servidor web) en la figura 3.3:
Figura 3.3: Crear una regla para permitir el tráfico en el puerto 443
Crear una nueva regla de denegación en un NSG | 37
Cómo funciona...
De forma predeterminada, se permitirá todo el tráfico procedente de un equilibrador
de carga o una red virtual de Azure. Se deniega todo el tráfico que llega a través
de Internet. Para cambiar esto, necesitamos crear reglas adicionales. Asegúrate de
establecer las prioridades adecuadas al crear las reglas. Las reglas con mayor prioridad
(es decir, las que tienen el número más bajo) se procesan primero, por lo que, si tienes
dos reglas, una que deniega el tráfico y otra que lo permite, la regla que tiene mayor
prioridad se aplicará primero, y la de prioridad más baja se pasará por alto.
En esta receta, has aprendido a crear una nueva regla para permitir el tráfico de entrada.
En la siguiente receta, aprenderás a crear una nueva regla en NSG para denegar el tráfico.
Crear una nueva regla de denegación en un NSG
Cuando se crea un nuevo NSG, solo están presentes las reglas predeterminadas. Las
reglas predeterminadas permiten todo el tráfico de salida y bloquean todo el tráfico
de entrada. Para cambiarlas, es necesario crear reglas adicionales. Ahora vamos
a mostrarte cómo crear una nueva regla saliente para denegar el tráfico.
Preparación
Antes de empezar, abre tu navegador y ve al portal de Azure en https://portal.azure.
com. Localiza los NSG creados anteriormente.
Cómo hacerlo...
Para crear una nueva regla de denegación en un NSG mediante el portal de Azure,
debemos seguir estos pasos:
1.
En el panel de NSG, localiza la opción Outbound security rules (Reglas de
seguridad de salida) en Settings (Configuración).
2. Haz clic en el botón Add (Añadir) en la parte superior de la página y espera a que
se abra el nuevo panel:
Figura 3.4: Crear una nueva regla de denegación de NSG usando el portal de Azure
38 | Grupos de seguridad de red
3. En el nuevo panel, tenemos que facilitar información para los campos Source
(Origen) (ubicación e intervalo de puertos), Destination (Destino) (ubicación e
intervalo de puerto), Protocol (Protocolo), Action (Acción), Priority (Prioridad),
Name (Nombre) y Description (Descripción). Si quieres denegar el tráfico, asegúrate
de seleccionar Deny (Denegar) para Action (Acción). Se muestra un ejemplo de
cómo crear una regla para denegar el tráfico por el puerto 22 en la figura 3.5:
Figura 3.5: Añadir una regla de seguridad de salida
Crear una nueva regla de NSG con PowerShell | 39
Cómo funciona...
Todo el tráfico de salida se permite de forma predeterminada, independientemente
de su destino. Si queremos denegar explícitamente el tráfico a un puerto específico,
necesitamos crear una regla para hacerlo. Asegúrate de establecer las prioridades
adecuadas al crear las reglas. Las reglas con la prioridad más alta (aquellas con un
número más bajo) se procesan primero, por lo que, si tienes dos reglas, una que
deniega el tráfico y otra que lo permite, se aplicará la regla con mayor prioridad.
Pasemos a la siguiente receta, donde aprenderás a crear una regla de NSG usando
PowerShell.
Crear una nueva regla de NSG con PowerShell
Como alternativa, podemos crear una regla de NSG usando PowerShell. Este comando
se puede ejecutar directamente después de que se haya creado el NSG, lo que nos
permite crear y configurar un NSG en un solo script. De esta manera, podemos
estandarizar la implementación y aplicar reglas cada vez que se crea un NSG.
Preparación
Abre la consola de PowerShell y asegúrate de estar conectado a tu suscripción de Azure.
Cómo hacerlo...
Para crear una nueva regla de NSG, ejecuta el siguiente comando:
$nsg = Get-AzNetworkSecurityGroup -Name 'nsg1' -ResourceGroupName 'PacktNetworking-Script'
$nsg | Add-AzNetworkSecurityRuleConfig -Name 'Allow_HTTPS' -Description
'Allow_HTTPS' -Access Allow -Protocol Tcp -Direction Inbound -Priority 100
-SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix *
-DestinationPortRange 443 | Set-AzNetworkSecurityGroup
Cómo funciona...
Crear una regla de NSG utilizando un script es solo cuestión de parámetros. El
parámetro Access (Acceso), que puede ser Allow (Permitir) o Deny (Denegar), determinará
si queremos permitir el tráfico o denegarlo. El parámetro Direction (Dirección), que
puede ser Inbound (Entrada) u Outbound (Salida), determina si la regla es para el tráfico
de entrada o salida. Todos los demás parámetros son iguales, independientemente del
tipo de regla que queramos crear. Una vez más, la prioridad desempeña un papel muy
importante, por lo que debemos asegurarnos de que se haya elegido correctamente.
40 | Grupos de seguridad de red
Y eso no es todo…
Como hemos mencionado en la receta Creación de un nuevo NSG con PowerShell,
podemos crear un NSG y las reglas necesarias en un único script. El siguiente script es
un ejemplo de esto:
$nsg = New-AzNetworkSecurityGroup -Name 'nsg1' -ResourceGroupName 'PacktNetworking-Script' -Location "westeurope"
$nsg | Add-AzNetworkSecurityRuleConfig -Name 'Allow_HTTPS' -Description
'Allow_HTTPS' -Access Allow -Protocol Tcp -Direction Inbound -Priority 100
-SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix *
-DestinationPortRange 443 | Set-AzNetworkSecurityGroup
En esta receta se explica cómo crear una nueva regla de NSG mediante PowerShell. En
la siguiente receta, aprenderás a asignar un NSG a una subred.
Asignar un NSG a una subred
El NSG y sus reglas se deben asignar a un recurso para que tengan impacto. Aquí verás
cómo asociar un NSG a una subred.
Preparación
Antes de empezar, abre tu navegador y ve al portal de Azure en https://portal.azure.
com. Localiza los NSG creados anteriormente.
Cómo hacerlo...
Para asignar un NSG a una subred, sigue estos pasos:
1.
En el panel de NSG, localiza la opción Subnets (Subredes) en Settings
(Configuración).
2. Haz clic en el botón Associate (Asociar) en la parte superior de la página y espera
a que se abra el nuevo panel:
Asignar un NSG a una subred | 41
Figura 3.6: Asignar un NSG a una subred
3. En el nuevo panel, selecciona primero la red virtual que contiene la subred con la
que deseas asociar el NSG y, a continuación, selecciona la subred, como se ve en la
figura 3.7:
Figura 3.7: Asociar el subconjunto con el NSG
42 | Grupos de seguridad de red
4. Tras enviar los cambios, la subred aparecerá en una lista de subredes asociadas:
Figura 3.8: Lista de subredes asociadas
Cómo funciona...
Cuando se asocie un NSG con una subred, se aplicarán las reglas del NSG a todos los
recursos de la subred. Ten en cuenta que la subred se puede asociar a más de un NSG
y en ese caso se aplicarán las reglas de todos los NSG. La prioridad es el factor más
importante cuando se examina un solo NSG, pero, si se tienen en cuenta las reglas de
más NSG, prevalecerá la regla Deny (Denegar). Por tanto, si tenemos dos NSG en una
subred, una con Allow (Permitir) en el puerto 443 y otra con la regla Deny (Denegar)
en el mismo puerto, se denegará el tráfico en este puerto.
Pasemos a la siguiente receta y aprendamos a asignar un NSG a una interfaz de red.
Asignar un NSG a una interfaz de red
Ahora vamos a ampliar el ámbito y te mostraremos cómo asociar un NSG a una interfaz
de red.
Preparación
Antes de empezar, abre tu navegador y ve al portal de Azure en https://portal.azure.com.
Localiza los NSG creados anteriormente.
Cómo hacerlo...
Para asignar un NSG a una interfaz de red, sigue estos pasos:
1.
En el panel de NSG, localiza la opción Network interfaces (Interfaces de red) en
Settings (Configuración).
Asignar un NSG a una interfaz de red | 43
2. Haz clic en el botón Associate (Asociar) en la parte superior de la página y espera
a que se abra el nuevo panel:
Figura 3.9: Asignar un NSG a una interfaz de red
3. Selecciona la NIC con la que desees asociar el NSG en la lista de las disponibles:
Figura 3.10: Asociar con la interfaz de red
44 | Grupos de seguridad de red
Cómo funciona...
Cuando se asocia un NSG con una NIC, las reglas del NSG se aplicarán solamente a una
sola NIC (o a una máquina virtual asociada a la NIC). La NIC se puede asociar a un solo
NSG directamente, pero una subred asociada a una NIC puede estar asociada a otro
NSG (o incluso a varios NSG). Esto es parecido a cuando tenemos varios NSG asignados
a una sola subred, y la regla Deny (Denegar) prevalece. Si uno de los NSG permite
el tráfico en un puerto pero hay otro NSG que lo bloquea, se denegará el tráfico.
En esta receta has aprendido a asignar un NSG a una interfaz de red. Pasemos a la
siguiente receta, donde aprenderás a asignar un NSG usando PowerShell.
Asignar un NSG a una subred con PowerShell
Como alternativa, podemos asociar un NSG usando Azure PowerShell. En esta receta,
vamos a mostrarte cómo asociar un NSG con una subred.
Preparación
Abre la consola de PowerShell y asegúrate de estar conectado a tu suscripción de Azure.
Cómo hacerlo...
Para asociar un NSG a una subred, ejecuta el siguiente comando:
$vnet = Get-AzVirtualNetwork -Name 'Packt-Script' -ResourceGroupName 'PacktNetworking-Script'
$subnet = Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name
BackEnd
$nsg = Get-AzNetworkSecurityGroup -ResourceGroupName 'Packt-NetworkingScript' -Name 'nsg1'
$subnet.NetworkSecurityGroup = $nsg
Set-AzVirtualNetwork -VirtualNetwork $vnet
Cómo funciona...
Para asignar un NSG usando PowerShell, necesitamos recopilar información sobre la
red virtual, la subred y el NSG. Cuando esté recopilada toda la información, podremos
realizar la asociación mediante el comando Set-AzVirtualNetwork y aplicar los cambios.
Pasemos a la siguiente receta y creemos un ASG mediante el portal de Azure.
Crear un grupo de seguridad de aplicación (ASG) | 45
Crear un grupo de seguridad de aplicación (ASG)
Los ASG son una extensión de los NSG, lo que nos permiten crear reglas adicionales
y asumir un mejor control del tráfico. El uso de solo NSG nos permite crear reglas
que permitirán o denegarán el tráfico solo para un determinado origen, dirección IP
o subred. Los ASG nos permiten crear un mejor filtrado y efectuar comprobaciones
adicionales en relación con qué tráfico se permite según los ASG. Por ejemplo, con
los NSG, podemos crear una regla para que la subred A pueda comunicarse con la
subred B. Si tenemos la estructura de la aplicación y un ASG asociado, podemos añadir
recursos a los grupos de aplicaciones. Al añadir este elemento, podemos crear una regla
que permita la comunicación entre la subred A y la subred B, pero solo si los recursos
pertenecen a la misma aplicación.
Preparación
Antes de empezar, abre tu navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para crear un ASG mediante el portal de Azure, debemos seguir estos pasos:
1.
En el portal de Azure, selecciona Create a resource (Crear un recurso) y elige
Application security group (Grupo de seguridad de aplicación) en Networking
(Redes) (o también puedes buscar application security group [grupo de seguridad
de aplicación] en la barra de búsqueda).
2. Los parámetros que tenemos que definir para la implementación son Subscription
(Suscripción), Resource group (Grupo de recursos), Name (Nombre) y Region
(Región). Se muestra un ejemplo de los parámetros necesarios en la figura 3.11:
Figura 3.11: Crear un ASG usando el portal de Azure
46 | Grupos de seguridad de red
Cómo funciona...
Los ASG no suponen una diferencia demasiado grande por sí solos y han de combinarse
con NSG para crear reglas de NSG que permitan un mejor control del tráfico, mediante
la aplicación de comprobaciones adicionales antes de que se permita el flujo del tráfico.
Ahora que hemos creado un ASG, pasemos a una nueva receta donde asociaremos el
ASG con una máquina virtual.
Asociar un ASG con una máquina virtual
Tras crear un ASG, debemos asociarlo con una máquina virtual. Cuando se realice este
paso, podemos crear reglas con el NSG y el ASG para el control del tráfico.
Preparación
Antes de empezar, abre tu navegador y ve al portal de Azure en https://portal.azure.com.
Localiza las máquinas virtuales creadas anteriormente.
Cómo hacerlo...
Para asociar un ASG a una máquina virtual, debemos seguir estos pasos:
1.
En el panel de la máquina virtual, localiza la configuración Networking (Redes).
2. En la configuración de Networking (Redes), selecciona la opción Application
security groups (Grupos de seguridad de aplicación), como se muestra en la
figura 3.12:
Figura 3.12: Asociar un ASG con una máquina virtual
Asociar un ASG con una máquina virtual | 47
3. En la configuración de Application security groups (Grupos de seguridad de
aplicación), selecciona Configure the application security groups (Configurar los
grupos de seguridad de aplicación), como se muestra en la figura 3.13:
Figura 3.13: Configurar ASG
4. En el nuevo panel de la lista de ASG disponibles, selecciona el ASG con el que
quieras asociar la máquina virtual:
Figura 3.14: Asociar un ASG con una máquina virtual
5. Después de hacer clic en Save (Guardar), se tarda unos segundos en aplicar los
cambios, tras los cuales la máquina virtual estará asociada con el ASG.
48 | Grupos de seguridad de red
Cómo funciona...
La máquina virtual debe estar asociada con el ASG. Podemos asociar más de una
máquina virtual a cada ASG. A continuación, el ASG se utiliza en combinación con
el NSG para crear nuevas reglas de NSG.
En la siguiente receta, crearemos nuevas reglas usando un NSG y un ASG.
Crear reglas con un NSG y un ASG
Como último paso, podemos usar NSG y ASG para crear nuevas reglas con mejor
control. Este enfoque nos permite tener mejor control del tráfico, limitando el tráfico
de entrada no solo a una subred específica, sino también exclusivamente sobre la base
de si el recurso forma parte del ASG.
Preparación
Antes de empezar, abre tu navegador y ve al portal de Azure en https://portal.azure.com.
Localiza los NSG creados anteriormente.
Cómo hacerlo...
Para crear una regla empleando tanto un ASG como un NSG, debemos seguir estos pasos:
1.
En el panel de NSG, busca Inbound security rules (Reglas de seguridad de
entrada). Selecciona Add (Añadir) para añadir una nueva regla.
2. Como origen, selecciona Application Security Group (Grupo de seguridad de
aplicación) y, después, elige qué ASG quieres usar como origen. También tenemos
que facilitar parámetros para Source (Origen), Source port ranges (Intervalos de
puertos de origen), Destination (Destino), Destination port ranges (Intervalos de
puertos de destino), Protocol (Protocolo), Action (Acción), Priority (Prioridad),
Name (Nombre) y Description (Descripción). Se muestra un ejemplo en la figura 3.15:
Crear reglas con un NSG y un ASG | 49
Figura 3.15: Añadir una regla de seguridad de entrada
Cómo funciona...
Si utilizamos únicamente NSG para crear reglas, podemos permitir tráfico solo para
una dirección IP específica o un intervalo. Con un ASG, podemos ampliar o reducir esto
según sea necesario. Por ejemplo, podemos crear una regla para permitir máquinas
virtuales desde una subred de front-end, pero solo si estas máquinas virtuales están
en un ASG específico. Como alternativa, podemos permitir el acceso a varias máquinas
virtuales desde diferentes redes virtuales y subredes, pero solo si pertenecen a un ASG
específico.
4
Administrar
direcciones IP
En Azure tenemos dos tipos de direcciones IP: privadas y públicas. Se puede acceder
a las direcciones públicas a través de Internet. Las direcciones privadas proceden del
espacio de direcciones de las redes virtuales de Azure y se usan para la comunicación
privada en redes privadas. Las direcciones se pueden asignar a un recurso o pueden
existir como un recurso independiente.
52 | Administrar direcciones IP
En este capítulo, abordaremos las siguientes recetas:
• Crear una nueva dirección IP pública en el portal de Azure
• Crear una nueva dirección IP pública con PowerShell
• Asignar una dirección IP pública
• Desasignar una dirección IP pública
• Crear una reserva para una dirección IP pública
• Eliminar una reserva para una dirección IP pública
• Crear una reserva para una dirección IP privada
• Cambiar una reserva para una dirección IP privada
• Eliminar una reserva para una dirección IP privada
• Añadir varias direcciones a una NIC
• Crear un prefijo de IP pública
Requisitos técnicos
Para este capítulo, se necesita lo siguiente:
• Una suscripción a Azure
• Azure PowerShell
Puedes encontrar los ejemplos de código en https://github.com/PacktPublishing/
Azure-Networking-Cookbook-Second-Edition/tree/master/Chapter04.
Crear una nueva dirección IP pública en el portal de Azure
Las direcciones IP públicas se pueden crear como un recurso independiente o se
pueden crear durante la creación de otros recursos (una máquina virtual [MV], por
ejemplo). Por lo tanto, una IP pública puede existir como parte de un recurso o como
un recurso independiente. En primer lugar, vamos a mostrarte cómo crear una nueva
dirección IP pública.
Preparación
Antes de empezar, abre tu navegador y ve al portal de Azure en https://portal.azure.com.
Crear una nueva dirección IP pública en el portal de Azure | 53
Cómo hacerlo...
Para crear una nueva dirección IP pública, debemos seguir estos pasos:
1.
En el portal de Azure, selecciona Create a resource (Crear un recurso) y elige Public
IP address (Dirección IP pública) en los servicios de Networking (Redes) (o también
puedes buscar public IP address [dirección IP pública] en la barra de búsqueda).
2. Los parámetros que tenemos que definir para la implementación son IP Version
(Versión de IP), SKU, Name (Nombre), IP address assignment (Asignación de dirección
IP), DNS name label (Etiqueta de nombre DNS), Subscription (Suscripción), Resource
group (Grupo de recursos) y Location (Ubicación). El tiempo de espera inactivo (el
periodo de tiempo que la conexión permanece abierta sin actividad) se establece de
forma predeterminada para que sean 4 minutos, pero se puede aumentar a 30 minutos
como máximo. Se muestra un ejemplo de los parámetros necesarios en la figura 4.1:
Figura 4.1: Crear una nueva dirección IP pública usando el portal de Azure
54 | Administrar direcciones IP
Cómo funciona...
La referencia de almacén (SKU, por sus siglas en inglés) puede ser Basic (Básico)
o Standard (Estándar). Las diferencias principales son que Standard (Estándar) está
cerrado para el tráfico de entrada de forma predeterminada (el tráfico de entrada debe
estar autorizado en los grupos de seguridad de red (NSG) y que Standard (Estándar) tiene
redundancia de zona. Otra diferencia es que una dirección IP pública con SKU estándar
tiene una asignación estática, mientras que un SKU básico puede ser estático o dinámico.
Puedes elegir la versión IPv4 o IPv6 para la dirección IP, o ambas, pero al elegir IPv6 te
limitarás a una asignación dinámica para la asignación de SKU básico y estática para el
SKU estándar.
El valor de DNS name label (Etiqueta de nombre DNS) es opcional; se puede utilizar para
resolver el punto de conexión si se selecciona una asignación dinámica. De lo contrario,
no tiene sentido crear una etiqueta DNS, ya que siempre se puede utilizar una dirección
IP para resolver el punto de conexión si se selecciona una asignación estática.
Crear una nueva dirección IP pública con PowerShell
Como alternativa, podemos crear una dirección IP pública mediante Azure PowerShell.
De nuevo, este enfoque es mejor cuando queremos automatizar el proceso. Aunque una
dirección IP pública puede existir por sí sola, normalmente se crea para asociarse a otros
recursos y para usarse como punto de conexión. Al usar PowerShell para crear un recurso,
podemos continuar con el paso siguiente y combinarlo con un recurso en un único script.
Preparación
Abre la consola de PowerShell y asegúrate de estar conectado a tu suscripción de Azure.
Cómo hacerlo...
Para implementar una nueva dirección IP pública, ejecuta el siguiente comando:
New-AzPublicIpAddress -Name 'ip-public-script' -ResourceGroupName 'PacktNetworking-Script' -AllocationMethod Dynamic -Location 'westeurope'
Cómo funciona...
Como resultado, se creará una nueva dirección IP pública. La configuración, en este
caso, será una asignación dinámica de SKU básico, versión IPv4 y sin una etiqueta
DNS. Además, podemos utilizar modificadores adicionales como -SKU para seleccionar
Basic (Básico) o Standard (Estándar), -IPAddressVersion para elegir entre IPv4 e IPv6 o
-DomainNamelabel para especificar la etiqueta DNS. Son parámetros opcionales. Si no se
especifican, Azure creará la IP pública con los valores predeterminados mencionados
anteriormente.
Asignar una dirección IP pública | 55
Asignar una dirección IP pública
Una dirección IP pública se puede crear como un recurso independiente o desasociado
de otro recurso y existir por sí sola. Dicha dirección IP se puede asignar posteriormente
a un recurso nuevo u otro recurso ya existente. Si el recurso ya no está en uso o se
ha migrado, podemos seguir usando la misma dirección IP pública. En este caso, el
punto de conexión público que se usa para acceder a un servicio puede permanecer sin
cambios. Esto puede resultar útil cuando se migra o actualiza una aplicación o servicio
disponibles públicamente, ya que podemos seguir usando el mismo punto de conexión
y los usuarios no tienen por qué ser conscientes de ningún cambio.
Preparación
Antes de empezar, abre tu navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para asignar una dirección IP pública, debemos hacer lo siguiente:
1.
Localiza la interfaz de red (NIC) con la que quieras asignar la dirección IP. Esto
se puede hacer directamente buscando la NIC o mediante el panel de la máquina
virtual con la que está asignada la NIC.
2. En el panel Network interface (Interfaz de red), ve a IP configurations
(Configuraciones IP) en Settings (Configuración), y selecciona la configuración que
se muestra en la figura 4.2:
Figura 4.2: Visualizar las configuraciones de IP en el panel NIC
56 | Administrar direcciones IP
3. En el nuevo panel, selecciona Associate (asociar) en Public IP address (Dirección
IP pública) y selecciona el valor de Public IP address (Dirección IP pública) que
quieras asignar. En la lista solo se mostrarán las direcciones IP sin asignar que
estén en la misma región. Se muestra un ejemplo de esto en la figura 4.3:
Figura 4.3: Asignar una dirección IP pública
4. Tras haber seleccionado la dirección IP pública, haz clic en Save (Guardar) para
aplicar la configuración.
Cómo funciona...
Una dirección IP pública existe como un recurso independiente y se puede asignar
a un recurso en cualquier momento. Cuando se asigna una dirección IP pública, puedes
utilizar esta dirección IP para acceder a los servicios que se ejecutan en un recurso
al que está asignada la dirección IP (recuerda que se debe aplicar un NSG adecuado).
También podemos eliminar una dirección IP de un recurso y asignarla a un nuevo
recurso. Por ejemplo, si queremos migrar servicios a una nueva máquina virtual, la
dirección IP se puede quitar de la máquina virtual antigua y asignarse a la nueva. Así,
los puntos de conexión de servicio que se ejecuten en la máquina virtual no variarán.
Esto resulta especialmente útil cuando se utilizan direcciones IP estáticas.
Desasignar una dirección IP pública | 57
Desasignar una dirección IP pública
Se puede desasignar una dirección IP pública de un recurso con el fin de guardarla para
un uso posterior o asignarla a otro recurso. Cuando se elimina o se retira un recurso,
aún podemos utilizar la dirección IP pública y asignarla al siguiente recurso.
Preparación
Antes de empezar, abre tu navegador y ve al portal de Azure en https://portal.azure.com.
Asegúrate de que la máquina virtual que usa una dirección IP pública no se esté ejecutando.
Cómo hacerlo...
Para desasignar una dirección IP pública, debemos hacer lo siguiente:
1.
Localiza la NIC con la que está asociada la dirección IP pública.
2. En el panel Network interface (Interfaz de red), ve a IP configurations
(Configuraciones IP) en Settings (Configuración) y selecciona la configuración IP:
Figura 4.4: Configuraciones IP en el panel NIC
58 | Administrar direcciones IP
3. En el nuevo panel, cambia la configuración de Public IP address (Dirección de IP
pública) a Disassociate (Desasociar):
Figura 4.5: Desasignar una dirección IP pública
4. Tras realizar los cambios, haz clic en Save (Guardar) para aplicar la nueva
configuración.
Cómo funciona...
Se puede asignar o desasignar una dirección IP pública de un recurso para guardarla
con el fin de usarla posteriormente o transferirla a un nuevo recurso. Para quitarla, solo
tenemos que desactivar la dirección IP pública en la configuración IP bajo la NIC a la
que está asignada la dirección IP. Esto quitará la asociación pero mantendrá la dirección
IP como un recurso independiente.
Crear una reserva para una dirección IP pública
La opción predeterminada para una dirección IP pública es la asignación de IP dinámica.
Esto se puede cambiar durante la creación de la dirección IP pública o posteriormente.
Si se cambia desde la asignación de IP dinámica, la dirección IP pública se convierte en
una dirección reservada (o estática).
Preparación
Antes de empezar, abre tu navegador y ve al portal de Azure en https://portal.azure.com.
Crear una reserva para una dirección IP pública | 59
Cómo hacerlo...
Para crear una reserva de una dirección IP pública, sigue estos pasos:
1.
Localiza la dirección IP pública en el portal de Azure. Esto se puede realizar
buscando directamente la dirección IP o mediante el recurso al que está asignada
(ya sea la NIC o la máquina virtual).
2. En el panel Public IP address (Dirección IP pública), ve a Configuration
(Configuración) en Settings (Configuración). Cambia Assignment (Asignación)
de Dynamic (Dinámica) a Static (Estática), como se muestra en la figura 4.6:
Figura 4.6: Cambiar la asignación de la dirección IP pública a estática
3. Tras haber realizado este cambio, haz clic en Save (Guardar) para aplicar la nueva
configuración.
Cómo funciona...
Las direcciones IP públicas se configuran como dinámicas de forma predeterminada.
Esto significa que una dirección IP puede cambiar en el tiempo. Por ejemplo, si una
máquina virtual a la que se ha asignado una dirección IP se apaga o se reinicia, existe
una posibilidad de que la dirección IP cambie cuando la máquina virtual esté activa de
nuevo. Esto puede causar problemas si se accede a los servicios que se ejecutan en la
máquina virtual a través de la dirección IP pública o si hay un registro de DNS asociado
a la dirección IP pública.
Creamos una reserva de IP y establecemos la asignación como estática para evitar un
escenario de este tipo y mantener la dirección IP reservada para nuestros servicios.
60 | Administrar direcciones IP
Eliminar una reserva para una dirección IP pública
Si la dirección IP pública se configura como estática, podemos eliminar una reserva
y configurar la asignación de la dirección IP como dinámica. Esto no se realiza
a menudo, ya que suele haber un motivo por el cual se establece la reserva en primer
lugar. Sin embargo, como la reserva de la dirección IP pública tiene un coste adicional,
a veces existe la necesidad de eliminar la reserva si no es necesaria.
Preparación
Antes de empezar, abre tu navegador y ve al portal de Azure en https://portal.azure.com.
Asegúrate de que la dirección IP no esté asociada a ningún recurso.
Cómo hacerlo...
Para eliminar una reserva de una dirección IP pública, sigue estos pasos:
1.
Localiza la dirección IP pública en el portal de Azure.
2. En el panel Public IP address (Dirección IP pública), ve a Configuration
(Configuración) en Settings (Configuración) y configura Assignment (Asignación)
como Dynamic (Dinámica):
Figura 4.7: Cambiar la asignación de la dirección IP pública a dinámica
3. Tras haber realizado los cambios, haz clic en Save (Guardar) para aplicar la nueva
configuración.
Crear una reserva para una dirección IP privada | 61
Cómo funciona...
Para quitar una reserva de IP de una dirección IP pública, la dirección IP pública
no debe estar asociada a un recurso. Podemos eliminar la reserva estableciendo la
asignación de la dirección IP como dinámica.
El motivo principal de esta decisión es el precio. En Azure, las primeras cinco reservas
de IP públicas son gratuitas. A partir de estas primeras cinco, las nuevas reservas se
cobran. Para evitar pagos innecesarios, podemos eliminar una reserva cuando sea
innecesaria o cuando la dirección IP pública no se utilice.
Crear una reserva para una dirección IP privada
De forma similar a lo que se hace con las direcciones IP públicas, podemos realizar
una reserva de direcciones IP privadas. Esto se hace normalmente para garantizar
la comunicación entre servidores en la misma red virtual y para permitir el uso de
direcciones IP en cadenas de conexión.
Preparación
Antes de empezar, abre tu navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para crear una reserva de una dirección IP privada, sigue estos pasos:
1.
En el portal de Azure, localiza la NIC para la que quieras realizar la reserva.
2. En el panel Network interface (Interfaz de red), ve a IP configurations
(Configuraciones IP) en Settings (Configuración) y selecciona la configuración IP:
Figura 4.8: Ver configuraciones de IP en el panel NIC
62 | Administrar direcciones IP
3. En nuevo panel, en la configuración de Private IP address (Dirección IP privada),
configura Assignment (Asignación) como Static (Estática). El valor de la dirección
IP actual se configurará automáticamente. Si fuera necesario, puedes cambiar ese
valor, pero debe estar en el espacio de direcciones de la subred asociada con la NIC:
Figura 4.9: Asignación de la dirección IP privada configurada como estática
4. Tras haber realizado los cambios, haz clic en Save (Guardar) para aplicar la nueva
configuración.
Cómo funciona...
Se puede hacer una reserva para una dirección IP privada. La diferencia es que una
dirección IP privada no existe como recurso independiente, sino que se asigna a una NIC.
Otra diferencia es que puedes seleccionar un valor para una dirección IP privada. Una
dirección IP pública se asigna aleatoriamente y se puede reservar, pero no puedes elegir
qué valor tendrá. Para direcciones IP privadas, puedes seleccionar el valor para la IP,
pero debe ser una IP sin usar de la subred asociada con la NIC.
Cambiar una reserva para una dirección IP privada | 63
Cambiar una reserva para una dirección IP privada
Para direcciones IP privadas, puedes cambiar la dirección IP en cualquier momento
para que tenga otro valor. Con las direcciones IP públicas no es así, ya que se obtiene
la dirección IP aleatoriamente de un grupo y no se puede cambiar el valor. Con las
direcciones IP privadas, puedes cambiar el valor a otra dirección IP del espacio de
direcciones.
Preparación
Antes de empezar, abre tu navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para cambiar una reserva de una dirección IP privada, sigue estos pasos:
1.
En el portal de Azure, localiza la NIC para la que quieras realizar los cambios.
2. En el panel Network interface (Interfaz de red), ve a IP configurations
(Configuraciones IP) en Settings (Configuración) y selecciona la configuración IP:
Figura 4.10: Localizar la configuración IP en el panel de interfaz de red
64 | Administrar direcciones IP
3. En Private IP address settings (Configuración de dirección IP privada), introduce
un nuevo valor para IP address (Dirección IP):
Figura 4.11: Asignar un nuevo valor para la dirección IP privada
4. Tras haber realizado los cambios, haz clic en Save (Guardar) para aplicar la nueva
configuración.
Cómo funciona...
Se puede cambiar una reserva de una dirección IP privada. Una vez más, el valor debe
ser una dirección IP no utilizada de una subred asociada a la NIC. Si la máquina virtual
asociada a la NIC se apaga, la nueva dirección IP se asignará en el momento de su
siguiente arranque. Si la máquina virtual está en ejecución, se reiniciará para aplicar los
nuevos cambios.
Eliminar una reserva para una dirección IP privada | 65
Eliminar una reserva para una dirección IP privada
De modo similar a las direcciones IP públicas, podemos eliminar una reserva para una
dirección IP privada en cualquier momento. Las direcciones IP privadas son gratuitas, por
lo que los costes adicionales no son un factor en este caso. Sin embargo, hay casos en los
que se necesita la asignación dinámica y podemos configurarla en cualquier momento.
Preparación
Antes de empezar, abre tu navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para eliminar una reserva de una dirección IP privada, sigue estos pasos:
1.
En el portal de Azure, localiza la NIC para la que quieras realizar los cambios.
2. En el panel Network interface (Interfaz de red), ve a IP configurations
(Configuraciones IP) en Settings (Configuración) y selecciona la configuración IP:
Figura 4.12: Seleccionar la configuración IP en el panel de interfaz de red
66 | Administrar direcciones IP
3. En el panel nuevo, en Private IP address settings (Configuración de la dirección IP
privada), cambia Assignment (Asignación) a Dynamic (Dinámica):
Figura 4.13: Asignación de la dirección IP privada configurada como dinámica
4. Tras haber realizado los cambios, haz clic en Save (Guardar) para aplicar la nueva
configuración.
Cómo funciona...
Podemos eliminar una reserva de una dirección IP privada en cualquier momento
cambiando Assignment (Asignación) a Dynamic (Dinámica). Cuando se haya realizado
este cambio, la máquina virtual asociada con la NIC se reiniciará para aplicar los nuevos
cambios. Después de realizar un cambio, una dirección IP privada podría cambiar tras
reiniciar o apagar la máquina virtual.
Añadir varias direcciones IP a una NIC | 67
Añadir varias direcciones IP a una NIC
En varias situaciones, es posible que necesitemos tener varias direcciones IP asociadas
a una sola NIC. En Azure, esto es posible para las direcciones IP privadas y públicas.
Preparación
Antes de empezar, abre tu navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
1.
En el portal de Azure, localiza la NIC para la que quieras realizar los cambios.
2. En el panel Network interface (Interfaz de red), ve a IP configurations
(Configuraciones IP) en Settings (Configuración) y haz clic en Add (Añadir):
Figura 4.14: El panel de la interfaz de red
68 | Administrar direcciones IP
3. Aparecerá un nuevo panel para la configuración IP. Tenemos que proporcionar
valores para los campos Name (Nombre) y Type (Tipo) (el campo Type [Tipo]
aparecerá en gris si ya existe otra configuración IP) y tenemos que seleccionar
algunas opciones de configuración de la dirección IP. Si solo se necesita una
dirección IP privada, únicamente tenemos que seleccionar el valor Allocation
(Asignación) de la dirección privada y hacer clic en Create (Crear):
Figura 4.15: Añadir la configuración IP a la NIC
Añadir varias direcciones IP a una NIC | 69
4. Si se necesita una dirección IP pública adicional, tenemos que seleccionar
Associate (Asociar) en Public IP address (Dirección IP pública). Tenemos
que facilitar información para las opciones Name (Nombre), SKU y el tipo
de Assignment (Asignación):
Figura 4.16: Añadir una nueva dirección IP pública
Cómo funciona...
A cada NIC se le pueden asignar varias configuraciones IP. Cada configuración IP debe
tener una dirección IP privada y puede tener una dirección IP pública. Por lo tanto, es
posible añadir una dirección IP privada sin una dirección IP pública, pero no al revés.
Esto nos da diferentes opciones de enrutamiento y la capacidad de comunicarnos con
diferentes aplicaciones y servicios a través de distintas direcciones IP. El enrutamiento
se explicará con más detalle en Capítulo 6: DNS y enrutamiento.
70 | Administrar direcciones IP
Crear un prefijo de IP pública
La creación de nuevos recursos suele estar asociada a la creación de nuevas direcciones IP.
Puede haber problemas cuando las direcciones IP públicas deben estar asociadas con reglas
de firewall o configuraciones de aplicaciones. Para solucionarlo, podemos crear un prefijo
de IP pública y reservar un intervalo de direcciones IP que se asignarán a nuestros recursos.
Cómo hacerlo...
Para crear un nuevo prefijo de IP pública, debemos seguir estos pasos:
1.
En el portal de Azure, selecciona Create a resource (Crear un recurso) y elige Public
IP prefix (Prefijo de IP pública) en los servicios de Networking (Redes) (o también
puedes buscar public IP prefix [prefijo de IP pública] en la barra de búsqueda).
2. Tenemos que proporcionar información para Subscription (Suscripción), Resource
group (Grupo de recursos), Name (Nombre), Region (Región) e IP Version (Versión
IP). SKU no se puede seleccionar y está configurado en Standard (Estándar). En
Prefix size (Tamaño de prefijo), definimos cuántas direcciones IP queremos reservar:
Figura 4.17: Crear un prefijo de IP pública
Crear un prefijo de IP pública | 71
Cómo funciona...
Cuando creamos un prefijo de IP pública, la asociación de direcciones IP públicas no
se realiza aleatoriamente, sino a partir de un grupo de direcciones reservadas para
nosotros. En muchos sentidos, actúa de forma similar a la creación de una red virtual
y la definición de un espacio de direcciones IP privadas, solo con direcciones IP
públicas. Puede ser muy útil cuando necesitamos conocer las direcciones de antemano.
Por ejemplo, supongamos que tenemos que crear una regla de firewall por cada servicio
que creemos. Para ello, tendríamos que esperar a que se implementara cada servicio
y obtener una dirección IP pública una vez creado. Con un prefijo de IP pública, se
conocen de antemano las direcciones IP y podemos establecer una regla para un
intervalo de direcciones IP, en lugar de hacerlo IP por IP.
5
Puertas de enlace
de redes locales
y virtuales
Las puertas de enlace de redes locales y virtuales son puertas de enlace de redes
privadas virtuales (VPN) que se utilizan para conectar redes on-premises y cifrar todo
el tráfico entre una red virtual de Azure (VNet) y una red local. Cada red virtual solo
puede tener una puerta de enlace de red virtual, pero se puede usar una puerta de
enlace de red virtual para configurar varias conexiones con VPN.
En este capítulo, abordaremos las siguientes recetas:
• Crear una puerta de enlace de red local en el portal de Azure
• Crear una puerta de enlace de red local con PowerShell
• Crear una puerta de enlace de red virtual en el portal de Azure
• Crear una puerta de enlace de red virtual con PowerShell
• Modificar la configuración de la puerta de enlace de red local
74 | Puertas de enlace de redes locales y virtuales
Requisitos técnicos
Para este capítulo, se necesita lo siguiente:
• Una suscripción a Azure
• Azure PowerShell
Puedes encontrar los ejemplos de código en https://github.com/PacktPublishing/
Azure-Networking-Cookbook-Second-Edition/tree/master/Chapter05.
Crear una puerta de enlace de red local en el portal de Azure
Cuando se crea una conexión de sitio a sitio, tenemos que configurar ambos lados de la
conexión, es decir, tanto Azure como on-premises. Aunque la puerta de enlace de red
local se crea en Azure, representa tu red local (on-premises) y contiene información
sobre la configuración de las opciones de tu red local. Es un componente esencial para
crear la conexión VPN necesaria para establecer una conexión de sitio a sitio entre la
red virtual y la red local.
Preparación
Antes de empezar, abre un navegador web y ve al portal de Azure en https://portal.
azure.com.
Cómo hacerlo...
Para crear una nueva puerta de enlace de red local, se deben seguir estos pasos:
1.
En el portal de Azure, selecciona Create a resource (Crear un recurso)
y elige Local network gateway (Puerta de enlace de red local) en los servicios
de Networking (Redes) (o también puedes buscar local network gateway
[puerta de enlace de red local] en la barra de búsqueda).
2. Los parámetros que tenemos que facilitar son Name (Nombre), IP address
(Dirección IP) (es decir, la dirección IP pública del firewall local), Address space
(Espacio de direcciones) (el espacio de direcciones local al que quieres conectarte),
Subscription (Suscripción), Resource group (Grupo de recursos) y Location
(Ubicación). De manera opcional, podemos configurar las opciones de Border
Gateway Protocol (Protocolo de puerta de enlace de borde) (BGP):
Crear una puerta de enlace de red local en el portal de Azure | 75
Figura 5.1: Crear una nueva puerta de enlace de red local
Cómo funciona...
La puerta de enlace de red local se utiliza para conectar una puerta de enlace de
red virtual a una red on-premises. La puerta de enlace de red virtual está conectada
directamente a la red virtual y tiene toda la información de la red virtual de Azure
necesaria para crear una conexión VPN. Por otro lado, una puerta de enlace de red local
contiene toda la información de red local necesaria para crear una conexión VPN.
En esta receta, hemos creado una puerta de enlace de red local en el portal de Azure.
En la siguiente receta, aprenderemos a hacer lo mismo con PowerShell.
76 | Puertas de enlace de redes locales y virtuales
Crear una puerta de enlace de red local con PowerShell
Como hemos mencionado en la receta anterior, la puerta de enlace de red local
contiene información sobre la red local que queremos conectar a una red virtual de
Azure. Además de crear una puerta de enlace de red local mediante el portal de Azure,
podemos crearla con Azure PowerShell.
Preparación
Abre la consola de PowerShell y asegúrate de estar conectado a tu suscripción de Azure.
Cómo hacerlo...
Para crear una nueva puerta de enlace de red local, ejecuta el siguiente comando:
New-AzLocalNetworkGateway -Name packt-lng-script -ResourceGroupName 'PacktNetworking-Script' -Location 'westeurope' -GatewayIpAddress '195.222.10.20'
-AddressPrefix '192.168.1.0/24'
Cómo funciona...
Para implementar una nueva puerta de enlace de red local, necesitamos proporcionar
parámetros para el nombre, el grupo de recursos, la ubicación, la dirección IP de la
puerta de enlace y el prefijo de dirección que queremos. La dirección IP de la puerta
de enlace es la dirección IP pública del firewall local al que estás intentando conectarte.
El prefijo de la dirección es el prefijo de la subred de la red local a la que estás
intentando conectarte. Esta dirección debe estar asociada con una dirección de firewall
proporcionada como dirección IP de puerta de enlace.
En esta receta, hemos creado una puerta de enlace de red local con Azure PowerShell.
Pasemos a la siguiente receta y aprendamos a crear una puerta de enlace de red virtual
en el portal de Azure.
Crear una puerta de enlace de red virtual en el portal de Azure
Después de crear una puerta de enlace de red local, necesitamos crear una puerta de
enlace de red virtual para establecer una conexión por VPN entre las redes locales y de
Azure. Igual que una puerta de enlace de red local contiene información sobre la red
local, la puerta de enlace de red virtual contiene información sobre la red virtual de
Azure a la que estamos intentando conectarnos.
Preparación
Antes de empezar, abre un navegador web y ve al portal de Azure en https://portal.
azure.com.
Crear una puerta de enlace de red virtual en el portal de Azure | 77
Cómo hacerlo...
Para crear una nueva puerta de enlace de red virtual, se deben seguir estos pasos:
1.
En el portal de Azure, selecciona Create a resource (Crear un recurso) y elige
Virtual network gateway (Puerta de enlace de red virtual) en los servicios
de Networking (Redes) (o también puedes buscar virtual network gateway
[puerta de enlace de red virtual] en la barra de búsqueda).
2. Todo se realiza en un solo panel, pero, para ofrecer una mejor visibilidad, voy a dividir
el contenido en dos secciones. En la primera sección, tenemos que proporcionar
la información de Subscription (Suscripción), Name (Nombre), Region (Región),
Gateway type (Tipo de puerta de enlace), VPN type (Tipo de VPN), SKU y Generation
(Generación) (la opción Generation [Generación] depende del SKU; no todos los SKU
admiten Generation 2 [Generación 2]) y tenemos que seleccionar la red virtual que se
usará en la conexión. Ten en cuenta que la subred de la puerta de enlace se debe crear
antes de este paso y que solo las redes virtuales con una subred de puerta de enlace
estarán disponibles para seleccionarlas. Se muestra un ejemplo en la figura 5.2:
Figura 5.2: Crear una nueva puerta de enlace de red virtual
78 | Puertas de enlace de redes locales y virtuales
3. En la segunda sección, tenemos que establecer las opciones de Public IP address
(Dirección IP pública) (seleccionar una dirección IP existente o crear una nueva) y,
opcionalmente, podemos establecer Enable active‑active mode (Habilitar el modo
activo-activo) y Border Gateway Protocol Autonomous System Number (Número
de sistema autónomo del protocolo de puerta de enlace de borde) (BGP ASN):
Figura 5.3: Configurar las opciones de dirección IP pública
4. Después de la validación, podemos hacer clic en Create (Crear) e iniciar la
implementación. Ten en cuenta que la creación de la puerta de enlace de red
virtual tarda más que la mayoría del resto de recursos de Azure; la implementación
puede tardar entre 45 y 90 minutos.
Cómo funciona...
La puerta de enlace de red virtual es la segunda parte necesaria para establecer la
conexión con la red virtual de Azure. Está conectada directamente con la red virtual y
es necesaria para crear tanto conexiones de sitio a sitio como de punto a sitio. Tenemos
que establecer el tipo de VPN, que tiene que coincidir con el tipo del dispositivo de VPN
local cuando se crea una conexión sitio a sitio.
El modo activo-activo proporciona alta disponibilidad mediante la asociación de dos
direcciones IP con configuraciones de puerta de enlace independientes para garantizar
el tiempo de actividad.
El protocolo de puerta de enlace de borde es un protocolo estándar para el intercambio
de información de enrutamiento y alcance entre diferentes sistemas autónomos (AS).
A cada sistema se le asigna un número de sistema autónomo (ASN).
En esta receta, hemos creado una puerta de enlace de red virtual en el portal de Azure.
Pasemos a la siguiente receta.
Crear una puerta de enlace de red virtual con PowerShell | 79
Crear una puerta de enlace de red virtual con PowerShell
Se puede crear una puerta de enlace de red virtual con PowerShell. De nuevo, esto
ayuda a automatizar los procesos. Por ejemplo, si comenzamos a crear una puerta
de enlace de red virtual mediante un portal y observamos que nuestra red virtual no
aparece en la lista, probablemente se deba a que falta una subred de puerta de enlace.
Por eso debemos abandonar el proceso, volver y crear la subred de la puerta de enlace
para empezar a crear la puerta de enlace de red virtual. Con PowerShell, podemos
asegurarnos de que todos los recursos necesarios estén presentes antes de empezar
y después continuar con la creación de la puerta de enlace de red virtual.
Preparación
Abre la consola de PowerShell y asegúrate de que tienes conexión a tu suscripción
de Azure.
Cómo hacerlo...
Para crear una nueva puerta de enlace de red virtual, ejecuta el siguiente script:
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'Packt-Networking-Script'
-Name 'Packt-Script'
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix
10.11.2.0/27 -VirtualNetwork $vnet
$vnet | Set-AzVirtualNetwork
$gwpip = New-AzPublicIpAddress -Name VNet1GWIP -ResourceGroupName 'PacktNetworking-Script' -Location 'westeurope' -AllocationMethod Dynamic
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'Packt-Networking-Script'
-Name 'Packt-Script'
$subnet = Get-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet'
-VirtualNetwork $vnet
$gwipconfig = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig1 -SubnetId
$subnet.Id -PublicIpAddressId $gwpip.Id
New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName 'PacktNetworking-Script' -Location 'westeurope' -IpConfigurations $gwipconfig
-GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1
80 | Puertas de enlace de redes locales y virtuales
Cómo funciona...
El script realiza algunas operaciones diferentes para asegurarse de que se cumplen todos
los requisitos para que podamos crear una puerta de enlace de red virtual. El primer
paso es recopilar información sobre la red virtual que vamos a utilizar. A continuación,
añadimos la subred de puerta de enlace a la red virtual de Azure y creamos una dirección
IP pública que usará la puerta de enlace de red virtual. Recopilamos toda la información
y nos aseguramos de que todos los recursos necesarios estén presentes. Finalmente,
creamos una nueva puerta de enlace de red virtual.
En esta receta, hemos aprendido a crear una puerta de enlace de red virtual con Azure
PowerShell. En la siguiente receta, aprenderemos a modificar la configuración de la
puerta de enlace de red local.
Modificar la configuración de la puerta de enlace de red local
Las configuraciones de red pueden cambiar con el tiempo y puede que debamos
abordar estos cambios también en Azure; por ejemplo, la dirección IP pública de un
firewall local puede cambiar y tendríamos que reconfigurar la puerta de enlace de red
local, o se podría haber reconfigurado una red local y haber cambiado el espacio de
direcciones o la subred, por lo que tendríamos que reconfigurar la puerta de enlace de
red local una vez más.
Preparación
Antes de empezar, abre un navegador web y ve al portal de Azure en https://portal.
azure.com.
Cómo hacerlo...
Para modificar la configuración de la puerta de enlace de red local, debemos seguir
estos pasos:
1.
Localiza la puerta de enlace de red local en el portal de Azure y ve a Configuration
(Configuración).
2. En Configuration (Configuración), podemos editar IP address (Dirección IP)
o Address space (Espacio de direcciones). También podemos añadir espacios
de direcciones adicionales si queremos conectar varias subredes locales a la red
virtual de Azure:
Modificar la configuración de la puerta de enlace de red local | 81
Figura 5.4: Modificar la configuración de la puerta de enlace de red local
Cómo funciona...
La puerta de enlace de red local contiene la información de red local necesaria para
crear una conexión de sitio a sitio entre la red local y la de Azure. Si esta información
cambia, podemos editarla en las opciones de Configuration (Configuración). Los
cambios que se pueden realizar son la dirección IP (es decir, la dirección IP pública
del firewall local) y el espacio de direcciones al que nos estamos conectando. Además,
podemos añadir o quitar espacios de direcciones si queremos añadir o quitar subredes
que puedan conectarse a la red virtual de Azure. Si la configuración de la puerta de
enlace de red local ya no es válida, aun así podemos usarla para crear una conexión
completamente nueva a una nueva red local si es necesario.
6
DNS y enrutamiento
Azure DNS nos permite alojar dominios de sistemas de nombres de dominio (DNS)
en Azure. Cuando se usa Azure DNS, se usa la infraestructura de Microsoft para la
resolución de nombres, lo que da como resultado consultas DNS rápidas y fiables. La
infraestructura de DNS de Azure usa un gran número de servidores para proporcionar
una gran fiabilidad y disponibilidad del servicio. Mediante las redes con difusión por
proximidad (anycast), cada consulta DNS se responde desde el servidor DNS más
cercano disponible para ofrecer una respuesta rápida.
En este capítulo, abordaremos las siguientes recetas:
• Crear una zona DNS de Azure
• Crear una zona DNS privada de Azure
• Integrar una red virtual con una zona DNS privada
• Crear un nuevo conjunto de registros en Azure DNS
• Crear una tabla de rutas
• Cambiar una tabla de rutas
• Asociar una tabla de rutas con una subred
• Desasociar una tabla de rutas de una subred
• Crear una nueva ruta
• Cambiar una ruta
• Eliminar una ruta
84 | DNS y enrutamiento
Requisitos técnicos
Para este capítulo, se necesita lo siguiente:
• Una suscripción a Azure
Crear una zona DNS de Azure
Para empezar a usar Azure DNS, primero debemos crear una zona DNS. Una zona DNS
contiene un registro DNS para un dominio específico y puede contener registros para
un único dominio al mismo tiempo. Una zona DNS contendrá registros DNS para este
dominio y posibles subdominios. Los servidores de nombres DNS se configuran para
responder a cualquier consulta en un dominio registrado y apuntar a un destino.
Preparación
Antes de empezar, abre tu navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para crear una nueva zona DNS de Azure con el portal de Azure, debemos seguir estos
pasos:
1.
En el portal de Azure, selecciona Create a resource (Crear un recurso) y elige DNS
Zone (Zona DNS) en los servicios de Networking (Redes) (o también puedes buscar
DNS Zone [Zona DNS] en la barra de búsqueda).
2. En el nuevo panel, debemos introducir información para los campos Subscription
(Suscripción), Resource group (Grupo de recursos) y Name (Nombre). Si
seleccionamos un grupo de recursos existente, la región será automáticamente la
misma que para el grupo de recursos seleccionado. También podemos marcar esta
zona si el elemento secundario de una zona existente está alojado en Azure DNS.
El nombre debe ser un nombre de dominio completo (FQDN):
Crear una zona DNS de Azure | 85
Figura 6.1: Crear una nueva zona Azure DNS con el portal de Azure
Cómo funciona...
Una zona DNS es necesaria para empezar a usar Azure DNS. Se necesita una nueva zona
DNS para cada dominio que queramos alojar con Azure DNS, ya que una única zona
DNS puede contener información para un único dominio. Después de crear una zona
DNS, podemos añadir registros, conjuntos de registros y tablas de rutas a un dominio
alojado con Azure DNS. Con ellos podemos dirigir el tráfico y definir destinos mediante
un FQDN para los recursos de Azure (y otros recursos también). Te mostraremos cómo
crearlos y administrarlos en las próximas recetas de este capítulo.
Pasemos a la siguiente receta para aprender a crear una zona DNS privada.
86 | DNS y enrutamiento
Crear una zona DNS privada de Azure
Una zona DNS privada de Azure funciona de forma muy similar a una zona DNS. Sin
embargo, en lugar de operar en registros públicos, opera dentro de una red virtual. Se
utiliza para resolver nombres y dominios personalizados dentro de tu red virtual de Azure.
Preparación
Antes de empezar, abre tu navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para crear una nueva zona DNS de Azure con el portal de Azure, debemos seguir estos
pasos:
1.
En el portal de Azure, selecciona Create a resource (Crear un recurso) y elige Private
DNS Zone (Zona DNS privada) en los servicios de Networking (Redes) (o también
puedes buscar Private DNS Zone [Zona DNS privada] en la barra de búsqueda).
2. En el nuevo panel, debemos introducir información para los campos Subscription
(Suscripción), Resource group (Grupo de recursos) y Name (Nombre). Si
seleccionamos un grupo de recursos existente, la región será automáticamente la
misma que para el grupo de recursos seleccionado. El nombre de usuario debe ser
un FQDN:
Figura 6.2: Crear una nueva zona DNS privada con el portal de Azure
Integrar una red virtual con una zona DNS privada | 87
Cómo funciona...
Cuando se crea una red virtual, se proporciona una zona DNS predeterminada. La
zona DNS predeterminada utiliza nombres proporcionados por Azure y debemos usar
una zona DNS privada para usar los nombres personalizados. También se requiere una
zona DNS privada para la resolución de nombres en las redes virtuales, ya que el DNS
predeterminado no admite dicha opción.
Pasemos a la siguiente receta para aprender a integrar una red virtual con una zona
DNS privada.
Integrar una red virtual con una zona DNS privada
Cuando se crea una zona DNS privada, es un servicio independiente que no hace mucho
por sí mismo. Debemos integrarla con una red virtual para poder empezar a usarla. Una
vez integrada, proporcionará DNS dentro de la red virtual.
Preparación
Antes de empezar, abre el navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para añadir un nuevo registro a la zona DNS, debemos seguir estos pasos:
1.
En el portal de Azure, localiza la zona DNS privada.
2. En Private DNS Zone (Zona DNS privada), selecciona Virtual network links
(Enlaces de red virtual) y haz clic en Add (Añadir):
Figura 6.3: Añadir un enlace de red virtual
88 | DNS y enrutamiento
3. En el nuevo panel, rellena el valor de Link name (Nombre de enlace) y, a
continuación, selecciona los valores de los campos Subscription (Suscripción)
y Virtual network (Red virtual) (solo estarán disponibles las redes virtuales de la
suscripción seleccionada). También podemos proporcionar el ID de recurso de
nuestra red virtual, en lugar de seleccionar opciones en el menú desplegable:
Figura 6.4: Añadir un enlace de red virtual
Cómo funciona...
Una vez que la red virtual está enlazada a la zona DNS privada, la zona se puede utilizar
para la resolución de nombres dentro de la red virtual conectada. Para la resolución de
nombres en varias redes virtuales conectadas, debemos utilizar una zona DNS privada,
ya que el DNS predeterminado no admite la resolución entre redes. Sucede lo mismo si
la red está conectada a una red on-premises.
Si habilitamos el registro automático en Configuration (Configuración), las máquinas
virtuales recién creadas se registrarán automáticamente en la zona DNS privada. De lo
contrario, debemos añadir cada nuevo recurso manualmente.
Pasemos a la siguiente receta para aprender a crear un nuevo conjunto de registros en
Azure DNS.
Crear un nuevo conjunto de registros en Azure DNS
Cuando se crea una zona DNS, definimos de qué dominio vamos a contener los
registros. Se crea una zona DNS para un dominio root (raíz) definido con un FQDN.
Podemos añadir subdominios adicionales y añadir registros y conjuntos de registros
que contengan información sobre otros recursos en el mismo dominio.
Crear un nuevo conjunto de registros en Azure DNS | 89
Preparación
Antes de empezar, abre el navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para añadir un nuevo registro a la zona DNS, debemos seguir estos pasos:
1.
En el portal de Azure, localiza DNS zone (Zona DNS).
2. En Overview (Información general), selecciona la opción para añadir un conjunto
de registros:
Figura 6.5: Añadir un conjunto de registros en la zona DNS
3. Se abrirá un nuevo panel. Introduce el nombre del subdominio al que quieras
añadir un registro:
Figura 6.6: Añadir un subdominio para el registro
90 | DNS y enrutamiento
4. Necesitamos seleccionar el tipo de registro que queramos añadir. Las opciones
son A, AAAA, CNAME, MX, NS, SRV, TXT y PTR. El tipo de registro más habitual es
A, así que vamos a elegir ese:
Figura 6.7: Seleccionar el tipo de registro
5. Después de seleccionar el tipo de registro, tenemos que seleccionar un alias
(los alias solo están disponibles para los tipos A, AAAA y CNAME) y la opción TTL
(período de vida). Por último, añadimos un destino de registro. Esto depende del
tipo de registro y, en el caso del registro A, va a ser una dirección IP:
Figura 6.8: Añadir un alias, TTL y destino de registro
Crear una tabla de rutas | 91
6. Si elegimos CNAME como tipo de registro, no vamos a introducir una dirección
IP, sino un alias. Cuando se realiza una consulta del registro, en lugar de una
dirección IP, se devuelve una dirección URL y se dirige al cliente a este registro:
Figura 6.9: Añadir un registro CNAME
7. Al añadir una sola entrada a nuestro registro se crea un nuevo conjunto de
registros y un nuevo registro. Podemos añadir más registros al conjunto de
registros si añadimos direcciones IP adicionales (en este caso).
Cómo funciona...
Un conjunto de registros DNS contiene información sobre el subdominio en el dominio
alojado con la zona DNS. En este caso, el dominio sería toroman.cloud y el subdominio sería
test. Esto constituye un FQDN, demo.toroman.cloud, y el registro apunta este dominio a la
dirección IP que definimos. El conjunto de registros puede contener varios registros para
un único subdominio, que normalmente se usa para la redundancia y la disponibilidad.
Con Azure Traffic Manager se puede usar CNAME o un alias. De esta manera, se pueden
utilizar nombres de dominio personalizados para la resolución de nombres, en vez de
los nombres predeterminados proporcionados por Azure.
En esta receta has aprendido a crear un nuevo registro en Azure DNS. Pasemos a la
siguiente receta para aprender a crear una tabla de rutas.
Crear una tabla de rutas
Azure enruta el tráfico de red en subredes de forma predeterminada. Sin embargo, en
algunos casos, queremos usar rutas de tráfico personalizadas para definir dónde y cómo
fluye el tráfico. En esos casos, utilizamos tablas de rutas. Una tabla de rutas define el
siguiente salto para nuestro tráfico y determina adónde debe ir el tráfico de red.
92 | DNS y enrutamiento
Preparación
Antes de empezar, abre el navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para añadir un nuevo registro a la zona DNS, debemos seguir estos pasos:
1.
En el portal de Azure, selecciona Create a resource (Crear un recurso) y elige
Route Table (Tabla de rutas) en los servicios de Networking (Redes) (o también
puedes buscar route table [tabla de rutas] en la barra de búsqueda).
2. En el nuevo panel, tenemos que seleccionar las opciones para Subscription
(Suscripción), Resource group (Grupo de recursos) y Region (Región),
y proporcionar el nombre de la tabla de rutas. También podemos definir
si queremos permitir la propagación de ruta de puerta de enlace (que está
habilitada de forma predeterminada):
Figura 6.10: Crear una tabla de rutas
Cómo funciona...
El enrutamiento de red en Red virtual de Azure se realiza automáticamente, pero
podemos usar el enrutamiento con tablas de rutas. Las tablas de rutas usan reglas y
asociaciones de subredes para definir el flujo de tráfico en la red virtual. Cuando se
crea una nueva tabla de rutas, no se crea ninguna configuración, solo un recurso vacío.
Después de crear el recurso, necesitamos definir las reglas y las subredes para utilizar
una tabla de rutas para el flujo de tráfico. En las próximas recetas de este capítulo
mostraremos cómo se crean y se aplican reglas en las tablas de rutas.
Cambiar una tabla de rutas | 93
Cambiar una tabla de rutas
Como se mencionó en la receta anterior, la creación de una nueva tabla de rutas dará
como resultado un recurso vacío. Una vez que se crea un recurso, podemos cambiar
la configuración según sea necesario. Antes de configurar las rutas y las subredes
asociadas a la tabla de rutas, la única configuración que podemos cambiar es la
propagación de rutas del protocolo de puerta de enlace de borde (BGP). También
podemos cambiar otras opciones de configuración después de la creación.
Preparación
Antes de empezar, abre el navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para cambiar una tabla de rutas, debemos hacer lo siguiente:
1.
En el portal de Azure, localiza Route table (Tabla de rutas).
2. En Settings (Configuración), podemos cambiar la configuración de Propagate
gateway routes (Propagar rutas de puerta de enlace) en el panel Configuration
(Configuración) en cualquier momento:
Figura 6.11: Opción para cambiar la configuración de propagación de rutas de puerta de enlace
Cómo funciona...
En la configuración de la tabla de rutas, podemos deshabilitar o habilitar la propagación
de rutas de puerta de enlace en cualquier momento. Esta opción, si está deshabilitada,
impide que las rutas on-premises se propaguen a través de BGP a las interfaces de red
de una subred de red virtual. Desde los ajustes, podemos crear, eliminar o cambiar rutas
y subredes. Estas opciones se abordarán en las próximas recetas de este capítulo.
Pasemos a la siguiente receta, donde aprenderás a asociar una tabla de rutas a una subred.
94 | DNS y enrutamiento
Asociar una tabla de rutas con una subred
Cuando se crea una tabla de rutas, no ocurre nada hasta que no se configura
correctamente. Hay dos cosas que debemos abordar: qué recursos se ven afectados y
cómo. Para definir qué recursos se ven afectados, debemos establecer una asociación
entre una subred y una tabla de rutas.
Preparación
Antes de empezar, abre el navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para asociar una subred a una tabla de rutas, debemos hacer lo siguiente:
1.
En el portal de Azure, localiza Route table (Tabla de rutas).
2. En Settings (Configuración), selecciona la opción Subnets (Subredes). En el panel
Subnets (Subredes), selecciona la opción Associate (Asociar) para crear una nueva
asociación:
Figura 6.12: Crear una nueva asociación
3. Se abrirá un nuevo panel. Hay dos opciones disponibles: seleccionar una red
virtual y elegir una subred a la que queramos asociar la ruta. En primer lugar,
debemos seleccionar Virtual network (Red virtual). Al seleccionar esta opción,
se mostrará una lista de todas las redes virtuales disponibles. Selecciona la que
quieras asociar en esta lista:
Asociar una tabla de rutas con una subred | 95
Figura 6.13: Seleccionar una red virtual
4. Después de seleccionar una red virtual, podemos seleccionar una subred. La opción
Subnet (Subred) presentará una lista de todas las subredes de la red virtual que
seleccionamos en el paso anterior. Elige la subred que quieras asociar en esta lista:
Figura 6.14: Seleccionar la subred
96 | DNS y enrutamiento
5. Después de seleccionar ambas opciones, podemos crear una asociación:
Figura 6.15: Red virtual y subred seleccionadas
6. Una vez asociada una subred, aparecerá en una lista de subredes bajo la tabla
de rutas:
Figura 6.16: Lista de subredes asociadas
Cómo funciona...
La tabla de rutas, para ser eficaz, debe tener dos partes definidas: el qué y el cómo.
Definimos qué se verá afectado por la tabla de rutas con una asociación de subred. Esta
es solo una parte de la configuración, ya que la mera asociación de una subred a una
tabla de rutas no surtirá ningún efecto. Debemos crear reglas que se apliquen a esta
asociación. Explicaremos las reglas en las siguientes recetas de este capítulo.
Pasemos a una nueva receta y aprendamos a desasociar una tabla de rutas de una subred.
Desasociar una tabla de rutas de una subred | 97
Desasociar una tabla de rutas de una subred
Después de crear una asociación y las reglas, dichas reglas se aplicarán a todos los
recursos en la subred asociada. Si queremos que las reglas ya no se apliquen a una
subred específica, podemos quitar la asociación.
Preparación
Antes de empezar, abre el navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para eliminar la asociación entre la subred y la tabla de rutas, debemos realizar lo
siguiente:
1.
En el portal de Azure, localiza Route table (Tabla de rutas).
2. En Settings (Configuración), selecciona la opción Subnets (Subredes) y elige la
subred que quieras eliminar:
Figura 6.17: Seleccionar una subred para eliminarla
98 | DNS y enrutamiento
3. Se abrirá el panel de configuración de subred. Selecciona la opción Route table
(Tabla de rutas). Ten en cuenta que con esto se abrirá la configuración de una
subred. Es un error habitual confundir este panel con la asociación y elegir la
opción Delete (Eliminar). Esto no solo eliminará la asociación, sino que también
quitará la subred por completo:
Figura 6.18: Panel de configuración de subred
4. El portal de Azure mostrará una lista de las tablas de rutas disponibles para una
subred específica. Selecciona None (Ninguna):
Figura 6.19: Lista de tablas de rutas disponibles para una subred
Desasociar una tabla de rutas de una subred | 99
5. Tras seleccionar None (Ninguna), haz clic en el botón Save (Guardar) para aplicar la
nueva configuración. La asociación con la tabla de rutas se eliminará de la subred:
Figura 6.20: Eliminar la asociación con la tabla de rutas de la subred
Cómo funciona...
En algún momento, es posible que hayamos creado reglas en una tabla de rutas que
se aplican a varias subredes. Si no queremos que se apliquen una o varias reglas a una
subred específica, podemos quitar la asociación. Una vez que se quita la asociación, las
reglas ya no se aplicarán a la subred. Todas las reglas se aplicarán a todas las subredes
asociadas. Si necesitamos hacer que una sola regla ya no se aplique a una subred
específica, debemos quitar la asociación.
En esta receta, hemos aprendido a desasociar una tabla de rutas. Pasemos a la siguiente
receta y aprendamos a crear una nueva ruta.
100 | DNS y enrutamiento
Crear una nueva ruta
Después de crear una tabla de rutas y las subredes asociadas, todavía falta una
pieza. Hemos definido la tabla de rutas que se verá afectada con la asociación a la
subred, pero nos falta la parte que define cómo se verá afectada. Definimos cómo las
subredes asociadas se ven afectadas mediante reglas denominadas rutas. Las rutas
definen las rutas de tráfico que dicen a dónde debe ir el tráfico específico. Si la ruta
predeterminada para el tráfico específico es Internet, podemos cambiar esto y redirigir
el tráfico a una IP o subred específica.
Preparación
Antes de empezar, abre el navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para crear una nueva ruta, debemos hacer lo siguiente:
1.
En el portal de Azure, localiza Route table (Tabla de rutas).
2. En el panel Route table (Tabla de rutas), en Settings (Configuración), selecciona
Routes (Rutas). Selecciona Add (Añadir) para añadir una nueva ruta:
Figura 6.21: Añadir una nueva ruta
3. En el nuevo panel, tenemos que definir los valores para Route name (Nombre de
ruta) y Address prefix (Prefijo de dirección) (en formato CIDR) correspondiente
al intervalo de direcciones IP de destino y seleccionar la opción Next hop type
(Tipo de salto siguiente). Las opciones para este campo incluyen Virtual network
gateway (Puerta de enlace de red virtual), Virtual network (Red virtual), Internet,
Virtual appliance (Dispositivo virtual) y None (Ninguna):
Crear una nueva ruta | 101
Figura 6.22: Añadir los detalles de ruta
4. La última opción, Next hop address (Dirección de siguiente salto), está activa solo
cuando se usa un dispositivo virtual. En ese caso, necesitamos proporcionar la
dirección IP del dispositivo virtual en este campo y todo el tráfico pasará a través del
dispositivo virtual. Vamos a elegir Internet y a proporcionar una dirección IP pública
en el campo Address prefix (Prefijo de dirección) (la opción Address prefix [Prefijo
de dirección] siempre depende de la opción Next hop type [Tipo de salto siguiente]):
Figura 6.23: Seleccionar Internet para el tipo de salto siguiente
102 | DNS y enrutamiento
Cómo funciona...
La ruta define el flujo del tráfico. Todo el tráfico procedente de la subred asociada
seguirá la ruta definida por estas reglas. Si definimos que el tráfico irá a Internet, todo
el tráfico saldrá de la red a un intervalo de direcciones IP definido con un prefijo de
dirección IP. Si decidimos que el tráfico debe ir a una red virtual, irá a una subred
definida por el prefijo de la dirección IP. Si se utiliza esa puerta de enlace de red virtual,
todo el tráfico pasará por la puerta de enlace de red virtual y llegará a su conexión en
el otro lado, ya sea otra red virtual o nuestra red local. La opción Virtual appliance
(Dispositivo virtual) enviará todo el tráfico al dispositivo virtual, que define, con su
propio conjunto de reglas, a dónde va el tráfico a continuación.
Pasemos a la siguiente receta y aprendamos a cambiar una ruta.
Cambiar una ruta
Los requisitos de ruta pueden cambiar con el tiempo. En tales casos, podemos eliminar
la ruta o editarla, dependiendo de nuestras necesidades. Si una ruta tiene que ajustarse,
podemos seleccionar la opción para cambiar la ruta y aplicar el nuevo flujo de tráfico en
cualquier momento.
Preparación
Antes de empezar, abre el navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para cambiar la ruta existente, tenemos que hacer lo siguiente:
1.
En el portal de Azure, localiza Route table (Tabla de rutas).
2. En Settings (Configuración), selecciona Routes (Rutas) y selecciona la ruta que
quieras cambiar de la lista de rutas disponibles:
Figura 6.24: Cambiar una ruta disponible
Eliminar una ruta | 103
3. Se abrirá un nuevo panel. Podemos cambiar la configuración de Address prefix
(Prefijo de dirección) (para el intervalo de IP de destino) y Next hop type (Tipo
de salto siguiente). Si la opción Next hop type (Tipo de salto siguiente) es un
dispositivo virtual, estará disponible una opción Next hop address (Dirección de
salto siguiente):
Figura 6.25: Opción para la dirección de salto siguiente
Cómo funciona...
Los requisitos para una ruta pueden cambiar con el tiempo. Podemos cambiar una ruta
y ajustarla para adaptarla a los nuevos requisitos según sea necesario. Los escenarios
más comunes son que el tráfico tenga que alcanzar un servicio específico cuando la
IP del servicio cambia con el tiempo. Por ejemplo, puede que tengamos que enrutar
todo el tráfico a través de un dispositivo virtual pero que la dirección IP del dispositivo
cambie con el tiempo. Podríamos cambiar la ruta en la tabla de rutas para que se refleje
este cambio y forzar el flujo de tráfico a través del dispositivo virtual. Otro ejemplo es
cuando el tráfico necesita llegar a nuestra red local a través de una puerta de enlace
de red virtual: el intervalo de direcciones IP de destino puede cambiar con el tiempo y
tenemos que reflejar estos cambios en la ruta una vez más.
En esta receta, hemos aprendido a cambiar una ruta. En la siguiente receta,
aprenderemos a eliminar una ruta.
Eliminar una ruta
Como ya hemos mencionado, los requisitos de ruta pueden cambiar con el tiempo. En
algunos casos, las reglas ya no son aplicables y debemos eliminarlas. En esos casos,
al cambiar la ruta no se completará la tarea y tendremos que eliminar la ruta por
completo. Esta tarea se puede completar eliminando la ruta.
Preparación
Antes de empezar, abre el navegador y ve al portal de Azure en https://portal.azure.com.
104 | DNS y enrutamiento
Cómo hacerlo...
Para eliminar una ruta, debemos hacer lo siguiente:
1.
En el portal de Azure, localiza el enlace Route table (Tabla de rutas).
2. En Settings (Configuración), selecciona Routes (Rutas) y, a continuación,
selecciona la ruta que quieras eliminar:
Figura 6.26: Eliminar una ruta existente
3. Se abrirá un nuevo panel. Selecciona la opción Delete (Eliminar) y confirma tu acción:
Figura 6.27: Seleccionar la opción de eliminación
4. Tras haber confirmado esta acción, volverás al panel anterior y la ruta eliminada ya
no aparecerá en la lista:
Figura 6.28: Eliminación correcta de una ruta
Eliminar una ruta | 105
Cómo funciona...
A medida que nuestros requisitos cambien, tendremos que abordar los nuevos
requisitos en nuestras tablas de rutas. Podemos editar rutas o eliminarlas para que se
ajusten a estos nuevos requisitos. Cuando se utilizan varias rutas en una sola tabla de
rutas, una de las rutas puede quedar obsoleta o bloquear incluso nuevos requisitos. En
esos casos, puede que queramos eliminar una ruta para resolver cualquier problema.
7
Azure Firewall
La mayoría de los componentes de red de Azure que se usan para la seguridad existen
para detener el tráfico de entrada no deseado. Independientemente de si usamos
grupos de seguridad de red, grupos de seguridad de aplicaciones o un firewall de
aplicaciones web (WAF), todos estos métodos tienen un único propósito: evitar que el
tráfico no deseado llegue a nuestros servicios. Azure Firewall tiene una funcionalidad
similar, incluida una extensión que podemos usar para impedir que el tráfico de salida
deje la red virtual.
En este capítulo, abordaremos las siguientes recetas:
• Crear un nuevo firewall
• Crear un nuevo firewall con PowerShell
• Configurar una nueva regla de permiso
• Configurar una nueva regla de denegación
• Configurar una tabla de rutas
• Habilitar registros de diagnóstico para Azure Firewall
• Configurar Azure Firewall en modo de tunelización forzada
• Crear un grupo de IP
• Configurar las opciones de DNS de Azure Firewall
108 | Azure Firewall
Requisitos técnicos
Para este capítulo, se necesita lo siguiente:
• Una suscripción a Azure
• Azure PowerShell
Puedes encontrar los ejemplos de código en https://github.com/PacktPublishing/
Azure-Networking-Cookbook-Second-Edition/tree/master/Chapter07.
Crear un nuevo firewall
Azure Firewall nos da control total sobre nuestro tráfico. Además de controlar el tráfico
de entrada, con Azure Firewall también podemos controlar el tráfico de salida.
Preparación
Para poder crear una instancia de Azure Firewall, primero debemos preparar una
subred.
Para crear una nueva subred para Azure Firewall, debemos hacer lo siguiente:
1.
Localiza la red virtual que se asociará a nuestro Azure Firewall.
2. Selecciona la opción Subnets (Subredes) en Settings (Configuración) y haz clic en
Subnet (Subred) para añadir una nueva subred, como se muestra en la figura 7.1:
Figura 7.1: Añadir una nueva subred
Crear un nuevo firewall | 109
3. En el nuevo panel, debemos proporcionar los valores para los campos Name
(Nombre) y Address range (Intervalo de direcciones). Es muy importante que la
subred se denomine AzureFirewallSubnet:
Figura 7.2: Proporcionar el nombre y el intervalo de direcciones de la subred
110 | Azure Firewall
Cómo hacerlo...
Para crear una nueva instancia de Azure Firewall utilizando el portal de Azure, sigue
estos pasos:
1.
En el portal de Azure, selecciona Create a resource (Crear un recurso) y elige
Azure Firewall en los servicios de Networking (Redes) (o también puedes buscar
Azure Firewall en la barra de búsqueda).
2. En el nuevo panel, introduce primero los valores de los menús desplegables
Subscription (Suscripción) y Resource group (Grupo de recursos). Tenemos
que rellenar los campos Name (Nombre) Region (Región) para Azure Firewall y,
opcionalmente, selecciona la opción Availability zone (Zona de disponibilidad).
A continuación, seleccionaremos la red virtual. Solo están disponibles las redes
virtuales de la región donde se creará la instancia de Azure Firewall. Además,
la red virtual seleccionada debe contener la subred AzureFirewallSubnet que
creamos anteriormente. Por último, definimos una dirección IP pública (podemos
elegir una existente o crear una nueva). También podemos habilitar la Forced
tunneling (Tunelización forzada):
Figura 7.3: Añadir los detalles de Azure Firewall
Cómo funciona...
Azure Firewall utiliza un conjunto de reglas para controlar el tráfico de salida. Podemos
bloquear todo de forma predeterminada y permitir solo el tráfico incluido en la lista
de permitidos, o podemos permitir todo y bloquear solo el tráfico incluido en la lista
de bloqueados. Básicamente, es el punto central donde podemos establecer políticas
de red, aplicar estas políticas y supervisar el tráfico de red a través de redes virtuales
o incluso suscripciones. Como servicio de firewall, Azure Firewall es un servicio
administrado con alta disponibilidad y escalabilidad integradas.
Crear un nuevo firewall con PowerShell | 111
Crear un nuevo firewall con PowerShell
Como alternativa, podemos implementar Azure Firewall mediante PowerShell. Este
método es muy útil cuando los servicios forman parte de una implementación grande
o cualquier implementación que deba automatizarse.
Cómo hacerlo...
Hay varios pasos que deben ejecutarse para crear un nuevo firewall con Azure PowerShell:
1.
Primero, definimos los parámetros:
$RG="Packt-Networking-Script"
$Location="West Europe"
$VNetName = "Packt-Script"
$AzFwIpName = "AzFW-Public-IP"
$AzFwname = "AzFw-Script"
2. A continuación, tenemos que crear una subred independiente para Azure Firewall:
$vnet = Get-AzVirtualNetwork -ResourceGroupName $RG '
-Name $VnetName
Add-AzVirtualNetworkSubnetConfig -Name AzureFirewallSubnet '
-VirtualNetwork $vnet '
-AddressPrefix 10.11.3.0/24
Set-AzVirtualNetwork -VirtualNetwork $vnet
3. A continuación, tenemos que crear una dirección IP pública para Azure Firewall:
$AzFwIp = New-AzPublicIpAddress -Name $AzFwIpName
-ResourceGroupName $RG '
-Location $Location '
-AllocationMethod Static '
-Sku Standard
'
4. Por último, ponemos todos los componentes en su lugar y podemos crear el firewall:
$Azfw = New-AzFirewall -Name $AzFwname '
-ResourceGroupName $RG '
-Location $Location '
-VirtualNetworkName $vnet.Name '
-PublicIpName $AzFwIp.Name
112 | Azure Firewall
Cómo funciona...
El firewall requiere una subred independiente denominada AzureFirewallSubnet. Por lo
tanto, tenemos que crear una subred de este tipo en la red virtual que tenemos previsto
usar. Otro requisito es una dirección IP pública. Por último, ya nos hemos preparado
para la implementación y podemos crear una nueva instancia de Azure Firewall.
Pero la implementación de Azure Firewall es solo el comienzo. Tenemos que configurar
nuestro firewall mediante la creación de reglas y rutas. Pasemos a la siguiente receta
para ver cómo se crean las reglas.
Configurar una nueva regla de permiso
Si queremos permitir tráfico específico, debemos crear una regla de permiso. Las reglas
se aplican en función del nivel de prioridad, por lo que una regla solo se aplicará cuando
no haya ninguna otra regla con mayor prioridad.
Preparación
Abre la consola de PowerShell y asegúrate de estar conectado a tu suscripción de Azure.
Cómo hacerlo...
Para crear una nueva regla de permiso en Azure Firewall, ejecuta el siguiente comando:
$RG="Packt-Networking-Script"
$Location="West Europe"
$Azfw = Get-AzFirewall -ResourceGroupName $RG
$Rule = New-AzFirewallApplicationRule -Name Rule1 -Protocol
"http:80","https:443" -TargetFqdn "*packt.com"
$RuleCollection = New-AzFirewallApplicationRuleCollection -Name
RuleCollection1 -Priority 100 -Rule $Rule -ActionType "Allow"
$Azfw.ApplicationRuleCollections = $RuleCollection
Set-AzFirewall -AzureFirewall $Azfw
Cómo funciona...
Una regla de permiso en Azure Firewall incluirá un determinado tráfico en la lista de
permitidos. Si hay una regla que también bloquearía este tráfico, se aplicará la regla de
mayor prioridad.
También podemos crear reglas de denegación. Veamos cómo podemos hacerlo en la
siguiente receta.
Configurar una nueva regla de denegación | 113
Configurar una nueva regla de denegación
Si queremos denegar tráfico específico, debemos crear una regla de denegación. Las
reglas se aplican por prioridad, por lo que esta regla solo se aplicará si no hay una regla
de mayor prioridad en vigor.
Preparación
Abre la consola de PowerShell y asegúrate de estar conectado a tu suscripción de Azure.
Cómo hacerlo...
Para crear una nueva regla de denegación en Azure Firewall, ejecuta el siguiente comando:
$RG="Packt-Networking-Script"
$Location="West Europe"
$Azfw = Get-AzFirewall -ResourceGroupName $RG
$Rule = New-AzFirewallApplicationRule -Name Rule1 -Protocol
"http:80","https:443" -TargetFqdn "*google.com"
$RuleCollection = New-AzFirewallApplicationRuleCollection -Name
RuleCollection1 -Priority 100 -Rule $Rule -ActionType "Deny"
$Azfw.ApplicationRuleCollections = $RuleCollection
Set-AzFirewall -AzureFirewall $Azfw
Cómo funciona...
La regla de denegación es la opción más utilizada con Azure Firewall. El enfoque en el
que lo bloqueas todo y solo permites el tráfico incluido en la lista de permitidos no es
muy práctico, ya que podemos acabar añadiendo demasiadas reglas de permiso. Por lo
tanto, el enfoque más común es usar reglas de denegación para bloquear determinado
tráfico que queramos evitar.
Configurar una tabla de rutas
Las tablas de rutas se utilizan habitualmente con Azure Firewall cuando hay
conectividad cruzada. La conectividad cruzada puede ser con otras redes virtuales de
Azure o con redes on-premises. En estos casos, Azure Firewall usa tablas de rutas para
reenviar el tráfico en función de las reglas especificadas en las tablas de rutas.
Preparación
Abre la consola de PowerShell y asegúrate de estar conectado a tu suscripción de Azure.
114 | Azure Firewall
Cómo hacerlo...
Para crear una nueva tabla de rutas en Azure Firewall, ejecuta el siguiente comando:
$RG="Packt-Networking-Script"
$Location="West Europe"
$Azfw = Get-AzFirewall -ResourceGroupName $RG
$config = $Azfw.IpConfigurations[0].PrivateIPAddress
$Route = New-AzRouteConfig -Name 'Route1' -AddressPrefix 0.0.0.0/0 -NextHopType
VirtualAppliance -NextHopIpAddress $config
$RouteTable = New-AzRouteTable -Name 'RouteTable1' -ResourceGroupName $RG
-location $Location -Route $Route
Cómo funciona...
Al utilizar las tablas de rutas asociadas con Azure Firewall, podemos definir cómo se
administra el tráfico entre redes y cómo se enruta de una red a otra. En un entorno de
varias redes, especialmente en una red híbrida donde conectamos una red virtual de
Azure con una red on-premises local, esta opción es muy importante. Esto nos permite
determinar qué tipo de tráfico puede fluir dónde y cómo.
Habilitar registros de diagnóstico para Azure Firewall
Los diagnósticos son una parte muy importante de cualquier sistema informático, y las
redes no son ninguna excepción. La configuración de diagnóstico de Azure Firewall nos
permite recopilar información diversa que se puede usar para solucionar problemas
o realizar auditorías.
Preparación
Antes de empezar, abre tu navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para habilitar el diagnóstico en Azure Firewall, debemos seguir estos pasos:
1.
En el panel de Azure Firewall, localiza Diagnostics settings (Configuración de
diagnóstico) en Monitoring (Supervisión).
2. Selecciona la opción Add diagnostic setting (Añadir configuración de diagnóstico),
como se muestra en la figura 7.4:
Habilitar registros de diagnóstico para Azure Firewall | 115
Figura 7.4: Añadir una configuración de diagnóstico
3. En el nuevo panel, rellena el campo de nombre y especifica dónde se almacenarán
los registros. Selecciona la cuenta de almacenamiento en la que se almacenarán
los registros, y especifica el periodo de retención y qué registros se almacenarán,
como se muestra en la figura 7.5:
Figura 7.5: Añadir los detalles de registro
116 | Azure Firewall
Cómo funciona...
El diagnóstico tiene dos finalidades: la auditoría y la solución de problemas. Según el
tráfico y la configuración, estos registros pueden crecer con el tiempo, por lo que es
importante tener en cuenta la principal finalidad de la habilitación del diagnóstico
en primer lugar. Si el diagnóstico está habilitado para la auditoría, conviene elegir un
máximo de 365 días de retención. Si la finalidad principal es la solución de problemas,
el período de retención se puede mantener en 7 días o un período de tiempo aún más
corto. Si se establece la política de retención en 0, se almacenarán los registros sin
eliminarlos después de un período de tiempo. Esto puede generar costes adicionales
y puede que necesites configurar un procedimiento diferente para eliminar registros.
Si no queremos almacenar registros de diagnóstico en una cuenta de almacenamiento,
podemos usar Log Analytics o Event Hubs. En este caso, el proceso no incluye
establecer períodos de retención, ya que esta configuración se guarda en el destino.
Configurar Azure Firewall en modo de tunelización forzada
La tunelización forzada nos permite llevar todo el tráfico con conexión a Internet a un
firewall on-premises para su inspección o auditoría. Ya que hay diferentes dependencias
de Azure, esto no está habilitado de forma predeterminada y requiere rutas definidas
por el usuario (USR) para permitir la tunelización forzada. Tampoco es posible
mediante el uso de AzureFirewallSubnet y tenemos que añadir una subred adicional
denominada AzureFirewallManagementSubnet. Ten en cuenta que se debe hacer antes
de la implementación de Azure Firewall y no funcionará si se añade la subred después.
Preparación
Antes de empezar, abre tu navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para añadir AzureFirewallManagementSubnet a la tunelización forzada, tenemos que
hacer lo siguiente:
1.
En el portal de Azure, selecciona Create a resource (Crear un recurso) y elige
Route Table (Tabla de rutas) en los servicios de Networking (Redes) (o también
puedes buscar Route Table [Tabla de rutas] en la barra de búsqueda).
Configurar Azure Firewall en modo de tunelización forzada | 117
2. En el nuevo panel, debemos facilitar información para los campos Subscription
(Suscripción), Resource group (Grupo de recursos), Region (Región) y Name
(Nombre) para la tabla de rutas. Asegúrate de seleccionar No en Propagate
gateway routes (Propagar rutas de puerta de enlace):
Figura 7.6: Crear una tabla de rutas con el portal de Azure
3. Una vez creada la tabla de rutas, tenemos que establecer una ruta de Internet
predeterminada. Ve a la tabla de rutas que hemos creado y, en Routes (Rutas), en la
sección Settings (Configuración), selecciona Add (Añadir):
Figura 7.7: Añadir una ruta de Internet predeterminada para la tabla de rutas
118 | Azure Firewall
4. En el nuevo panel, debemos proporcionar un nombre para la ruta. También
debemos indicar 0.0.0.0/0 en Address prefix (Prefijo de dirección) e Internet en
Next hop type (Tipo de salto siguiente):
Figura 7.8: Configurar la ruta de Internet predeterminada para la tabla de rutas
5. Ahora ve a la red virtual donde tienes previsto implementar Azure Firewall. En
Subnets (Subredes), añade una nueva subred. Ten en cuenta que también debe
añadirse AzureFirewallSubnet:
Figura 7.9: Añadir una nueva subred en el panel de redes virtuales
Configurar Azure Firewall en modo de tunelización forzada | 119
6. En el nuevo panel, establece como nombre AzureFirewallManagementSubnet,
proporciona un valor para el campo Subnet address range (Intervalo de
direcciones de subred) (se requiere un tamaño mínimo de subred de /26) y
selecciona la tabla de rutas que creamos en el campo Route table (Tabla de rutas):
Figura 7.10: Configurar las opciones de subred en el nuevo panel
7. Ahora podemos ir a la implementación de Azure Firewall. Consulta la receta
Creación de un nuevo firewall.
120 | Azure Firewall
Cómo funciona...
Para dar soporte a la tunelización forzada, el tráfico asociado con la administración del
servicio se separa del resto del tráfico. Se necesita una subred adicional con un tamaño
mínimo de /26, además de una dirección IP pública asociada. Se requiere una tabla de
rutas con una sola ruta que defina la ruta a Internet y debe desactivarse la propagación
de rutas por BGP (propagación de rutas de puerta de enlace). Ahora podemos incluir
rutas y definir a dónde debe ir exactamente el tráfico (un dispositivo de red virtual o un
firewall on-premises) para poder inspeccionarlo o supervisarlo antes de llegar a Internet.
Crear un grupo de IP
Los grupos de IP son recursos de Azure que ayudan a agrupar direcciones IP para
facilitar la administración. Así podemos aplicar las reglas de Azure Firewall de forma
más sencilla y con mejor visibilidad.
Preparación
Antes de empezar, abre tu navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para crear un nuevo grupo de IP, tenemos que hacer lo siguiente:
1.
En el portal de Azure, selecciona Create a resource (Crear un recurso) y elige
IP Group (Grupo de IP) en los servicios de Networking (Redes) (o también puedes
buscar IP Group [Grupo de IP] en la barra de búsqueda).
2. En el nuevo panel, proporciona información para Subscription (Suscripción),
Resource group (Grupo de recursos), Name (Nombre) y Region (Región):
Figura 7.11: Crear un nuevo grupo de IP con el portal de Azure
Configurar las opciones de DNS de Azure Firewall | 121
3. En IP addresses (Direcciones IP), demos proporcionar algo para el campo IP
address, range or subnet (Dirección IP, intervalo o subred). En este ejemplo,
vamos a añadir una subred:
Figura 7.12: Añadir una subred en el campo de dirección IP, intervalo o subred
4. Ahora podemos implementar el grupo de IP.
Cómo funciona...
Los grupos de IP nos permiten asociar varias direcciones IP con un único recurso
para facilitar la administración. Podemos asociar cualquier número de direcciones IP
individuales (en el formato 10.10.10.10), intervalos de IP (en el formato 10.10.10.1010.10.10.20) o subredes (en el formato 10.10.10.0/24). Después, las reglas de firewall
pueden asociarse con grupos de IP y todas las direcciones IP en un grupo de IP
definido. En lugar de crear una regla independiente para cada dirección IP, intervalo o
subred, ahora puede haber una sola regla para un solo intervalo IP. Esto se traduce en
una administración y un mantenimiento más sencillos de Azure Firewall, junto con una
mayor visibilidad de las reglas efectivas.
Configurar las opciones de DNS de Azure Firewall
Podemos utilizar un servidor DNS personalizado con nuestra instancia de Azure
Firewall. Esto nos permite resolver nombres personalizados y aplicar el filtrado en
función del nombre de dominio completo (FQDN).
Preparación
Antes de empezar, abre tu navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para configurar las opciones de DNS personalizadas en Azure Firewall, debemos hacer
lo siguiente:
122 | Azure Firewall
1.
En el panel de Azure Firewall, localiza DNS en Settings (Configuración). Debemos
configurarlo en Enabled (Habilitado). Selecciona el tipo de DNS (predeterminado o
personalizado) y si queremos utilizar un proxy DNS:
Figura 7.13: Configurar las opciones de DNS de Azure Firewall mediante el portal de Azure
2. Una vez proporcionadas todas las configuraciones necesarias, selecciona
Save (Guardar) para aplicarlas. Pueden tardar hasta 30 minutos en propagarse
correctamente las rutas y que tengan pleno efecto.
Cómo funciona...
Para usar el filtrado de FQDN, Azure Firewall necesita poder resolver el FQDN en
cuestión. Se puede lograr si se habilita la configuración de DNS en Azure Firewall.
Cuando se habilita, podemos elegir entre el DNS proporcionado por Azure o el DNS
personalizado. El DNS personalizado puede ser una zona de Azure DNS o un servidor
DNS que se ejecuta en una red virtual.
8
Crear conexiones
híbridas
Las conexiones híbridas nos permiten crear conexiones seguras con redes virtuales de
Azure (VNets). Estas conexiones pueden establecerse localmente o desde otras redes
virtuales de Azure. El establecimiento de conexiones a redes virtual de Azure permite
el intercambio de tráfico de red con otros servicios que se encuentran en diferentes
redes virtuales de Azure, suscripciones diferentes o fuera de Azure (en distintas clouds
u on-premises). El uso de conexiones seguras elimina la necesidad de contar con puntos
de conexión expuestos públicamente que presenten un riesgo potencial de seguridad.
Esto es especialmente importante si pensamos en la administración, donde la apertura
de puntos de conexión públicos crea un riesgo de seguridad y presenta un problema
importante. Por ejemplo, si pensamos en administrar redes virtuales, es una práctica
habitual utilizar o bien un protocolo de escritorio remoto o (RDP) o PowerShell para
la administración. La exposición de estos puertos al acceso público supone un gran
riesgo. Una práctica recomendada es deshabilitar cualquier tipo de acceso público a
dichos puertos y utilizar solamente el acceso desde una red interna para las tareas de
administración. En este caso, usamos una conexión de sitio a sitio o de punto a sitio
para permitir una administración segura.
124 | Crear conexiones híbridas
En otro escenario, puede que necesitemos tener acceso a un servicio o una base de
datos en otra red, ya sea on-premises o a través de otra red virtual de Azure. Insisto en
que la exposición de estos servicios podría presentar un riesgo y que deberíamos usar
sitio a sitio, red virtual a red virtual o emparejamiento de redes para permitir ese tipo
de conexión de forma segura.
En este capítulo, abordaremos las siguientes recetas:
• Crear una conexión de sitio a sitio
• Descargar la configuración del dispositivo VPN desde Azure
• Creación de una conexión de punto a sitio
• Crear una conexión de red virtual a red virtual
• Conectar redes virtuales mediante el emparejamiento de red
Requisitos técnicos
Para este capítulo, se necesita lo siguiente:
• Una suscripción a Azure
• Windows PowerShell
Puedes encontrar los ejemplos de código en https://github.com/PacktPublishing/
Azure-Networking-Cookbook-Second-Edition/tree/master/Chapter08.
Crear una conexión de sitio a sitio
Se utiliza una conexión de sitio a sitio para crear una conexión segura entre una red
on-premises y una red virtual de Azure. Esta conexión se utiliza para realizar varias
tareas diferentes, como habilitar conexiones híbridas o una administración segura.
En una conexión híbrida, permitimos que un servicio en un entorno se conecte a un
servicio en otro entorno. Por ejemplo, podríamos tener una aplicación en Azure que use
una base de datos ubicada en un entorno on-premises. Con la administración segura
podemos limitar las operaciones de administración para permitirlas únicamente cuando
provienen de un entorno seguro y controlado, como nuestra red local.
Crear una conexión de sitio a sitio | 125
Preparación
Antes de empezar, abre tu navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para crear una nueva conexión sitio a sitio, debemos seguir estos pasos:
1.
Busca la puerta de enlace de red virtual (la que creamos en el capítulo 5, Puertas de
enlace de redes locales y virtuales) y selecciona Connections (Conexiones).
2. En Connections (Conexiones), selecciona la opción Add (Añadir) para añadir una
nueva conexión:
Figura 8.1: Panel de conexiones en el portal de Azure
126 | Crear conexiones híbridas
3. En el nuevo panel, tenemos que introducir el nombre de la conexión y seleccionar
Site-to-site (IPsec) (Sitio a sitio [IPSec]) para Connection type (Tipo de conexión):
Figura 8.2: Añadir atributos de conexión
4. En Local network gateway (Puerta de enlace de red local), tenemos que
seleccionar una puerta de enlace de red local de la lista (una puerta de enlace de
red local se creó en el capítulo 5, Puertas de enlace de redes locales y virtuales):
Figura 8.3: Seleccionar una puerta de enlace de red local
Crear una conexión de sitio a sitio | 127
5. Tenemos que facilitar una clave compartida en el campo Shared key (Clave
compartida) (PSK) que se utilizará para la conexión IPSec. También tenemos que
definir el protocolo IKE que se usará para la asociación de seguridad. Podemos
elegir entre IKEv1 e IKEv2. Ten en cuenta que las opciones de Subscription
(Suscripción), Resource group (Grupo de recursos) y Location (Ubicación) están
bloqueadas y serán las mismas que para la puerta de enlace de la red virtual:
Figura 8.4: Añadir una nueva conexión
6. Por último, seleccionamos Create (Crear) y se iniciará la implementación.
128 | Crear conexiones híbridas
Cómo funciona...
Mediante la puerta de enlace de la red virtual, configuramos el lado de Azure del
túnel IPsec. La puerta de enlace de red local proporciona información sobre la red
local y define el lado local del túnel con la dirección IP pública y la información de
la subred local. De esta manera, el lado del túnel de Azure tiene toda la información
relevante necesaria para establecer una conexión correcta con una red on-premises.
Sin embargo, esto completa solamente la mitad del trabajo, ya que el lado opuesto
de la conexión también se debe configurar. Esta parte del trabajo realmente depende
del dispositivo VPN que se utilice localmente, y cada dispositivo tiene pasos de
configuración únicos. Después de configurar ambos lados del túnel, el resultado
es una conexión VPN segura y cifrada entre redes.
Echemos un vistazo a cómo configurar nuestro dispositivo VPN local.
Descargar la configuración del dispositivo VPN desde Azure
Tras crear el lado de Azure de la conexión de sitio a sitio, seguimos teniendo que configurar
el dispositivo VPN local. La configuración depende del proveedor y del tipo de dispositivo.
Puedes ver todos los dispositivos compatibles en https://docs.microsoft.com/azure/
vpn-gateway/vpn-gateway-about-vpn-devices. En algunos casos, hay una opción para
descargar la configuración de un dispositivo VPN directamente desde el portal de Azure.
Preparación
Antes de empezar, abre el navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para descargar la configuración del dispositivo VPN, debemos seguir estos pasos:
1.
Busca la conexión Site-2-Site (Sitio a sitio) en el portal de Azure. El panel
Overview (Información general) se abrirá de forma predeterminada.
2. Selecciona la opción Download configuration (Descargar configuración) en la
parte superior del panel:
Figura 8.5: Información general de la conexión de sitio a sitio en el portal de Azure.
Descargar la configuración del dispositivo VPN desde Azure | 129
3. Se abrirá un nuevo panel y verás que todas las opciones del panel están predefinidas:
Figura 8.6: Seleccionar la configuración del dispositivo VPN
4. Selecciona las opciones correspondientes para los campos Device vendor
(Proveedor de dispositivos), Device family (Familia de dispositivos) y Firmware
version (Versión del firmware). Ten en cuenta que solo algunas opciones están
disponibles, y no todos los dispositivos compatibles tienen estas opciones. Tras
haber seleccionado todas estas opciones, descarga el archivo de configuración.
El archivo de ejemplo (Site-2-Site.txt en la carpeta del capítulo 8) se puede
encontrar en el repositorio de GitHub asociado con este libro:
Figura 8.7: Descargar el archivo de configuración
130 | Crear conexiones híbridas
5. Después de utilizar el archivo de configuración para el dispositivo VPN local, se
configuran ambos lados del túnel IPsec. El valor de Status (Estado) en la conexión
Site-2-Site (Sitio a sitio) cambiará a Connected (Conectado):
Figura 8.8: Comprobar el estado de la conexión de sitio a sitio
Ahora vamos a ver en detalle cómo funciona esta conexión.
Cómo funciona...
Después de configurar el lado de Azure del túnel IPsec, tenemos que configurar el otro
lado, además del dispositivo VPN local. Los pasos y la configuración son diferentes para
cada dispositivo. En algunos casos, podemos descargar el archivo de configuración
directamente desde el portal de Azure. Una vez configurado el dispositivo VPN, todo
está preparado y podemos usar el túnel para una comunicación segura entre la red local
y la red virtual.
Crear una conexión de punto a sitio
Es importante acceder a los recursos de forma segura y mantener la seguridad en el
proceso. No siempre es posible llevar a cabo este proceso mediante una conexión de
sitio a sitio, especialmente cuando tenemos que hacer algo fuera de las horas de trabajo.
En este caso, podemos usar el método de punto a sitio para crear una conexión segura
que se puede establecer desde cualquier lugar.
Preparación
Para crear una conexión de punto a sitio, necesitaremos generar un certificado que se
usará para la conexión. Para crear un certificado, debemos seguir estos pasos:
1.
Ejecuta el siguiente script de PowerShell para generar un certificado:
$cert = New-SelfSignedCertificate -Type Custom '
-KeySpec Signature '
-Subject "CN=P2SRootCert" '
-KeyExportPolicy Exportable '
Crear una conexión de punto a sitio | 131
-HashAlgorithm sha256 -KeyLength 2048 '
-CertStoreLocation "Cert:\CurrentUser\My" '
-KeyUsageProperty Sign '
-KeyUsage CertSign
New-SelfSignedCertificate -Type Custom '
-DnsName P2SChildCert '
-KeySpec Signature '
-Subject "CN=P2SChildCert" '
-KeyExportPolicy Exportable '
-HashAlgorithm sha256 -KeyLength 2048 '
-CertStoreLocation "Cert:\CurrentUser\My" '
-Signer $cert '
-TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2")
2. A continuación, tenemos que exportar el certificado. Abre certmgr, ve a
Personal>Certificates (Certificados), selecciona P2SRootCert y, a continuación,
haz clic en la opción Export... (Exportar...):
Figura 8.9: Exportar el certificado mediante certmgr
3. De este modo se iniciará el Asistente para exportar certificados. Haz clic en Next
(Siguiente).
132 | Crear conexiones híbridas
4. Selecciona la opción No, do not export the private key (No exportar la clave
privada) y haz clic en Next (Siguiente).
Figura 8.10: Asistente para exportar certificados
5. Selecciona el formato Base-64 encoded X.509 (.CER) (X.509 codificado en base 64,
.CER) y haz clic en Next (Siguiente):
Figura 8.11: Seleccionar el formato de exportación
Crear una conexión de punto a sitio | 133
6. Selecciona la ubicación en la que quieras guardar el certificado y haz clic en Next
(Siguiente).
7. Por último, tenemos la opción de revisar toda la información. Tras hacer clic en
Finish (Finalizar), la exportación estará completa:
Figura 8.12: Completar el Asistente para exportar certificados
Ahora echemos un vistazo a los pasos de creación de una conexión de punto a sitio.
Cómo hacerlo...
Para crear una conexión de punto a sitio, necesitamos hacer lo siguiente:
1.
En el portal de Azure, localiza la puerta de enlace de red virtual y User VPN
configuration (Configuración de VPN de usuario). Selecciona Configure now
(Configurar ahora):
Figura 8.13: Configurar la conexión de punto a sitio
134 | Crear conexiones híbridas
2. Tenemos que definir el valor de Address pool (Grupo de direcciones). El grupo
de direcciones no puede solaparse con el grupo de direcciones de la red virtual
asociada con la puerta de enlace de la red virtual:
Figura 8.14: Añadir el grupo de direcciones
3. A continuación, tenemos que seleccionar la opción Tunnel type (Tipo de túnel) de
la lista de opciones predefinidas. En esta receta, seleccionaremos OpenVPN (SSL),
pero cualquier opción es válida:
Figura 8.15: Seleccionar el tipo de túnel en el menú desplegable
Crear una conexión de punto a sitio | 135
4. Localiza el certificado exportado (de la sección Preparación) y ábrelo en el Bloc de
notas (o cualquier editor de texto). Selecciona el valor del certificado y copia este
valor del modo siguiente:
Figura 8.16: Abrir el certificado en el Bloc de notas
5. En el portal de Azure, debemos definir el certificado raíz. Escribe el nombre del
certificado y, a continuación, pega el valor del certificado (del paso anterior) en el
campo Public certificate data (Datos de certificado público):
Figura 8.17: Definir el certificado raíz
136 | Crear conexiones híbridas
6. Tras hacer clic en Save (Guardar) para la configuración de punto a sitio, aparecerá
disponible una nueva opción: Download VPN client (Descargar cliente de VPN).
Podemos descargar la configuración y empezar a usar esta conexión:
Figura 8.18: Descarga de la configuración
Ahora vamos a analizar cómo funciona.
Cómo funciona...
La conexión de punto a sitio nos permite acceder a redes virtuales de Azure de forma
segura. El acceso a una conexión de sitio a sitio está restringido desde nuestra red
local, pero la de punto a sitio nos permite conectar desde cualquier lugar. Se usa la
autenticación basada en certificados, que emplea el mismo certificado tanto en el
servidor (Azure) como en el cliente (el cliente VPN) para comprobar la conexión y
permitir el acceso. Esto nos permite acceder a las redes virtuales de Azure desde
cualquier lugar y en cualquier momento. Este tipo de conexión se utiliza normalmente
para tareas de administración y mantenimiento, ya que se trata de una conexión bajo
demanda. Si se necesita una conexión constante, piensa en una conexión de sitio a sitio.
Crear una conexión de red virtual a red virtual
Puede que tengamos la necesidad de conectarnos a recursos en otra red virtual de
Azure, de modo similar a como necesitamos conectar nuestras redes virtuales de Azure
a los recursos de una red local. En tales casos, podemos crear una conexión entre redes
virtuales que nos permita usar servicios y puntos de conexión en otra red virtual. Este
proceso es muy similar a la creación de una conexión de sitio a sitio; la diferencia es que
no necesitamos una puerta de enlace de red local. En su lugar, usamos dos puertas de
enlace de red virtual, una para cada red virtual.
Preparación
Antes de empezar, abre tu navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para crear una nueva conexión entre redes virtuales, debemos seguir estos pasos:
1.
En el portal de Azure, localiza una de las puertas de enlace de red virtual (asociada
con una de las redes virtuales a las que intentas conectarte).
2. En el panel Virtual network gateway (Puerta de enlace de red virtual), selecciona
Connections (Conexiones) y, después, Add (Añadir) para añadir una nueva conexión:
Crear una conexión de red virtual a red virtual | 137
Figura 8.19: Añadir una nueva conexión
3. En el nuevo panel, introduce el valor de Name (Nombre) para la nueva conexión
y selecciona VNet-to-VNet (Red virtual a red virtual) en Connection type (Tipo de
conexión):
Figura 8.20: Configurar la nueva conexión
138 | Crear conexiones híbridas
4. La primera puerta de enlace de red virtual se resaltará automáticamente. Tenemos
que seleccionar la segunda puerta de enlace de red virtual:
Figura 8.21: Elegir la puerta de enlace de red virtual
5. Tenemos que proporcionar una clave compartida para nuestra conexión antes
de seleccionar Create (Crear) e iniciar la implementación. Ten en cuenta que
las opciones Subscription (Suscripción), Resource group (Grupo de recursos)
y Location (Ubicación) están bloqueadas y que se usarán los valores para la
primera puerta de enlace de red virtual:
Figura 8.22: Proporcionar una clave compartida para la conexión
Conectar redes virtuales mediante el emparejamiento de red | 139
6. La implementación de la conexión entre redes virtuales no tarda demasiado y debería
completarse en unos minutos. Sin embargo, sí que se tarda algún tiempo en establecer
las conexiones, por lo que puedes ver el estado como Unknown (Desconocido) hasta
un máximo de 15 minutos antes de cambiar a Connected (Conectado):
Figura 8.23: Estado de la implementación de red virtual a red virtual
Echemos un vistazo al funcionamiento en detalle.
Cómo funciona...
Las conexiones entre redes virtuales funcionan de forma muy similar a una conexión
de sitio a sitio. La diferencia es que Azure usa una puerta de enlace de red local para
obtener información sobre la red local. En este caso, no necesitamos esta información;
utilizamos dos puertas de enlace de red virtual para la conexión. Cada puerta de enlace
de red virtual proporciona información de red para la red virtual a la que está asociada.
Esto da como resultado conexiones VPN seguras y cifradas entre dos redes virtuales
de Azure que se pueden usar para establecer conexiones entre recursos de Azure en
ambas redes virtuales.
Ahora, vamos a aprender a usar el emparejamiento de red para conectar redes virtuales.
Conectar redes virtuales mediante el emparejamiento de red
Otra manera de conectar dos redes virtuales de Azure consiste en usar el
emparejamiento de red. Este enfoque no requiere el uso de una puerta de enlace
de red virtual, por lo que es más económico usarlo si el único requisito es establecer
una conexión entre redes virtuales de Azure. El emparejamiento de redes utiliza la
infraestructura troncal de Microsoft para establecer una conexión entre dos redes
virtuales, y el tráfico se dirige únicamente mediante direcciones IP privadas. Sin embargo,
este tráfico no se cifra; es tráfico privado que permanece en la red de Microsoft, de forma
parecida a lo que sucede con el tráfico en la misma red virtual de Azure.
140 | Crear conexiones híbridas
Preparación
Antes de empezar, abre tu navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para crear emparejamientos de red, debemos seguir estos pasos:
1.
En el portal de Azure, localiza una de las redes virtuales a la que quieras conectarte.
2. En el panel Virtual network (Red virtual), selecciona la opción Peerings
(Emparejamientos) y, después, Add (Añadir) para añadir una nueva conexión:
Figura 8.24: Añadir una nueva conexión de emparejamiento de red
3. En el nuevo panel, debemos introducir el nombre de la conexión, seleccionar
la opción Virtual network deployment model (Modelo de implementación de
red virtual) (Resource manager [Administrador de recursos] o Classic [Clásico])
y seleccionar la red virtual a la que nos vamos a conectar. Esta información
se puede facilitar indicando un identificador de recurso o seleccionando las
opciones Subscription (Suscripción) y Virtual network (Red virtual) en el menú
desplegable. Hay algunas configuraciones adicionales que son opcionales pero nos
proporcionan un mejor control del tráfico:
Conectar redes virtuales mediante el emparejamiento de red | 141
Figura 8.25: Configurar los detalles de emparejamiento para una nueva conexión
142 | Crear conexiones híbridas
4. Tras crear una conexión, podemos ver la información y el estado del
emparejamiento. También podemos cambiar las opciones de Configuration
(Configuración) en cualquier momento:
Figura 8.26: Revisar la información de emparejamiento y el estado de una nueva conexión
Ahora echemos un vistazo al funcionamiento interno en detalle.
Conectar redes virtuales mediante el emparejamiento de red | 143
Cómo funciona...
El emparejamiento de red nos permite establecer una conexión entre dos redes
virtuales de Azure en el mismo inquilino de Azure. El emparejamiento utiliza una red
troncal de Microsoft para enrutar el tráfico privado entre recursos de la misma red,
utilizando solo direcciones IP privadas. No es necesario contar con puertas de enlace
de red virtual (que crean costes adicionales), ya que se crea una "puerta de enlace
remota" virtual para establecer una conexión. La desventaja de este enfoque es que la
misma red virtual no puede usar a la vez el emparejamiento y una puerta de enlace de
red virtual. Si es necesario conectar una red virtual a la red local y a otra red virtual,
debemos adoptar un enfoque diferente y usar una puerta de enlace de red virtual, que
nos permitirá crear una conexión de sitio a sitio con una red local y una conexión de
red virtual a red virtual con otra red virtual.
Cuando se trata de la configuración de acceso a la red, tenemos varias opciones para
controlar el flujo de tráfico de red. Por ejemplo, podemos decir que el tráfico se permite
desde la red virtual A hasta la red virtual B, pero que se deniega de la red virtual B a la
red virtual A. Por supuesto, podemos establecerlo al revés o hacerlo bidireccional.
También podemos controlar el tráfico en tránsito cuando se mezcla una red adicional.
Si la red virtual A está conectada a la red virtual B y, además, la red virtual A está
conectada a la red virtual C, podemos controlar si el tráfico está permitido entre las
redes virtuales B y C como tráfico en tránsito a través de la red virtual A.
Sin embargo, esto solo funciona si el tránsito no se realiza a través de emparejamiento.
Si todas las redes son redes virtuales de Azure y la red virtual A está conectada a la red
virtual B mediante emparejamiento, y la red virtual B está conectada a la red virtual C
mediante emparejamiento, la conexión entre las redes virtuales A y C no sería posible
mediante el tránsito entre redes virtuales. Esto se debe a que el emparejamiento es una
relación no transitiva entre dos redes virtuales. Si la red virtual B está conectada a la red
virtual C a través de red virtual a red virtual (o a una red on-premises a través de sitio a
sitio), sería posible el tránsito entre las redes virtuales A y C a través de la red virtual B.
9
Conectar a los
recursos de
manera segura
No es buena idea exponer puntos de conexión de administración (RDP, SSH, HTTP
y otros) en una dirección IP pública. Cualquier tipo de acceso de administración debe
controlarse y permitirse únicamente a través de una conexión segura. Normalmente,
esto se hace mediante la conexión a una red privada (a través de S2S o P2S) y el acceso
a los recursos a través de direcciones IP privadas. En algunas situaciones, no es fácil de
lograr. La causa puede ser una infraestructura local insuficiente o, en algunos casos,
el escenario puede ser demasiado complejo. Afortunadamente, hay otras maneras de
alcanzar el mismo objetivo. Podemos conectarnos con seguridad a nuestros recursos
con Azure Bastion, Azure Virtual WAN y Azure Private Link.
146 | Conectar a los recursos de manera segura
En este capítulo, abordaremos las siguientes recetas:
• Crear una instancia de Azure Bastion
• Conectar a una máquina virtual con Azure Bastion
• Crear una WAN virtual
• Crear un centro (en WAN Virtual)
• Añadir una conexión de sitio a sitio (en un centro virtual)
• Añadir una conexión de red virtual (en un centro virtual)
• Crear un punto de conexión de Private Link
• Crear un servicio de Private Link
Requisitos técnicos
Para este capítulo, se necesita lo siguiente:
• Una suscripción a Azure
Crear una instancia de Azure Bastion
Azure Bastion nos permite conectarnos de forma segura a nuestros recursos de Azure
sin infraestructura adicional. Todo lo que necesitamos es un navegador. En esencia, es
un servicio PaaS aprovisionado en nuestra red virtual que proporciona una conexión
RDP/SSH segura a Azure Virtual Machines. La conexión se establece directamente
desde el portal de Azure a través de Transport Layer Security (Seguridad de la capa de
transporte) (TLS).
Crear una instancia de Azure Bastion | 147
Preparación
Para poder crear una instancia de Azure Bastion, debemos preparar la subred.
Para crear una nueva subred para Azure Bastion, debemos hacer lo siguiente:
1.
Localiza la red virtual que se asociará a nuestra instancia de Azure Bastion.
2. Selecciona la opción Subnets (Subredes) en Settings (Configuración) y selecciona
la opción para añadir una nueva subred, como se muestra en la figura 9.1:
Figura 9.1: Crear una nueva subred para Azure Bastion
148 | Conectar a los recursos de manera segura
3. En el nuevo panel, debemos rellenar los campos Name (Nombre) y Address
range (Intervalo de direcciones). Es muy importante que la subred se denomine
AzureBastionSubnet y que la subred utilice un prefijo de al menos /27 (este es
un requisito de servicio, y no podremos continuar de otra manera). Se pueden
añadir opciones para NAT gateway (Puerta de enlace NAT) y Network security
group (Grupo de seguridad de red) (NSG) si es necesario (por ejemplo, una regla
que fuerza el tráfico mediante la traducción de direcciones de red [NAT]). Los
campos Service endpoints (Puntos de conexión de servicio) y Subnet delegation
(Delegación de subred) no son obligatorios y, como esta subred solo debe estar
dedicada a Azure Bastion, no se recomienda utilizarlos:
Figura 9.2: Rellenado del nombre y el intervalo de direcciones de la subred
Crear una instancia de Azure Bastion | 149
Cómo hacerlo...
Para crear una nueva instancia de Azure Bastion, debemos seguir estos pasos:
1.
En el portal de Azure, selecciona Create a resource (Crear un recurso) y elige
Azure Bastion en Networking (Redes) (o también puedes buscar Azure Bastion
en la barra de búsqueda).
2. En el nuevo panel, debemos facilitar información para los campos Subscription
(Suscripción), Resource group (Grupo de recursos), Name (Nombre) y Region
(Región). A continuación, debemos seleccionar Virtual network (Red virtual)
(solo estarán disponibles las redes de la misma región) y Subnet (Subred) (la que
hemos creado anteriormente) y proporcionar información para Public IP address
(Dirección IP pública) (selecciona una existente o crea una nueva):
Figura 9.3: Detalles de configuración de una instancia de Bastion
150 | Conectar a los recursos de manera segura
Cómo funciona...
Azure Bastion se aprovisiona en nuestra red virtual, lo que permite la comunicación con
todos los recursos de dicha red. Mediante TLS, proporciona una conexión RDP y SSH
segura a todos los recursos de esa red. La conexión se realiza a través de una sesión
del navegador y no se necesita ninguna dirección IP pública. Es decir, no tenemos que
exponer ninguno de los puertos de administración a través de una dirección IP pública.
Después de crear la instancia de Azure Bastion, pasemos a la siguiente receta, donde
aprenderemos a conectarnos a una máquina virtual con Azure Bastion.
Conectar a una máquina virtual con Azure Bastion
Con Azure Bastion podemos conectarnos a una máquina virtual a través de un
navegador sin una dirección IP pública y sin exponerla públicamente.
Preparación
Antes de empezar, abre el navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para conectarnos a una máquina virtual con Azure Bastion, debemos seguir estos pasos:
1.
En el portal de Azure, busca la máquina virtual a la que quieres conectarte. La
máquina virtual debe estar en la misma red virtual en la que se implementa Azure
Bastion.
2. En el panel Virtual machine (Máquina virtual), selecciona la opción Connect
(Conectar) en Settings (Configuración). Selecciona la pestaña BASTION y, en esa
pestaña, selecciona Use Bastion (Usar Bastion):
Figura 9.4: Conectar a una máquina virtual con Azure Bastion
Crear una WAN virtual | 151
3. Selecciona la opción Open in new window (Abrir en una nueva ventana) y rellena
Username (Nombre de usuario) y Password (Contraseña):
Figura 9.5: Añadir un nombre de usuario y una contraseña para la máquina virtual
La conexión se abrirá en una nueva ventana, lo que te permitirá administrar
completamente tu máquina virtual. La interfaz depende del puerto de administración
predeterminado, RDP o SSH.
Cómo funciona...
Azure Bastion utiliza una subred en la red virtual para conectarse a máquinas virtuales
de esa red específica. Proporciona una conexión segura a través de TLS y permite la
conexión a una máquina virtual sin exponerla en una dirección IP pública.
En esta receta, hemos aprendido a conectar una máquina virtual con Azure Bastion.
En la siguiente receta, aprenderemos a crear una WAN virtual.
Crear una WAN virtual
En muchas situaciones, la topología de red puede llegar a ser muy compleja. Puede
ser difícil realizar un seguimiento de todas las conexiones de red, puertas de enlace
y procesos de emparejamiento. Azure Virtual WAN proporciona una interfaz única para
administrar todos estos puntos.
Preparación
Antes de empezar, abre el navegador y ve al portal de Azure en https://portal.azure.com.
152 | Conectar a los recursos de manera segura
Cómo hacerlo...
1.
En el portal de Azure, selecciona Create a resource (Crear un recurso) y elige
Virtual WAN (WAN virtual) en Networking (Redes) (o también puedes buscar
Virtual WAN [WAN virtual] en la barra de búsqueda).
2. En el nuevo panel, debemos facilitar información para los campos Subscription
(Suscripción), Resource group (Grupo de recursos) Resource group location
(Ubicación del grupo de recursos), Name (Nombre) y Type (Tipo):
Figura 9.6: Información para el recurso de WAN virtual
La WAN virtual de Azure está lista para implementarse y, por lo general, solo tarda unos
minutos en completarse.
Cómo funciona...
Azure Virtual WAN lleva varios servicios de red a un solo punto. Desde aquí,
podemos configurar, controlar y supervisar conexiones como, por ejemplo, de sitio
a sitio, de punto a sitio, ExpressRoute o una conexión entre redes virtuales. Cuando
tenemos varias conexiones de sitio a sitio o varias redes virtuales conectadas con
emparejamiento, puede ser difícil realizar un seguimiento de todos estos recursos.
La WAN virtual nos permite hacerlo con un único servicio.
Esto se consigue con centros y, en la siguiente receta, veremos cómo configurar uno.
Crear un centro (en WAN Virtual) | 153
Crear un centro (en WAN Virtual)
Los centros se utilizan como puntos de conexión regionales. Contienen varios puntos
de conexión de servicio que permiten la conectividad entre diferentes redes y servicios.
Son el núcleo de las redes de cada región.
Preparación
Antes de empezar, abre el navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
1.
En el portal de Azure, localiza la WAN virtual creada anteriormente.
2. En el panel Virtual WAN (WAN virtual), selecciona Hubs (Centros) en la sección
Connectivity (Conectividad). Selecciona la opción para añadir un nuevo centro:
Figura 9.7: Añadir un nuevo centro
154 | Conectar a los recursos de manera segura
3. En el nuevo panel, tenemos que proporcionar información en los campos
Region (Región), Name (Nombre) (para el nuevo centro) y Hub private address
space (Espacio de direcciones privadas del centro). Los campos Subscription
(Suscripción) y Resource group (Grupo de recursos) están atenuados cuando
utilizan las mismas opciones que la WAN virtual:
Figura 9.8: Información del nuevo centro virtual
4. Los siguientes tres pasos son opcionales y podemos elegir cualquiera de ellos o
todos. El primer paso consiste en configurar una puerta de enlace de sitio a sitio. Si
habilitamos esta opción, tenemos que seleccionar una opción para Gateway scale
units (Unidades de escalado de puerta de enlace) (o SKU). Se proporciona un número
de sistema autónomo (AS Number [Número AS]) para utilizarlo si es necesario (para la
configuración de VPN más adelante):
Figura 9.9: Configurar una puerta de enlace de sitio a sitio
Crear un centro (en WAN Virtual) | 155
5. La siguiente configuración opcional es Point to site (Punto a sitio). Si elegimos
habilitarla, tenemos que seleccionar una opción para Gateway scale units
(Unidades de escalado de puerta de enlace) y Point to site configuration
(Configuración de punto a sitio). Haz clic en Create new (Crear nuevo) para añadir
una nueva configuración:
Figura 9.10: Configurar una puerta de enlace de punto a sitio
156 | Conectar a los recursos de manera segura
6. En el nuevo panel, tenemos que facilitar información para Configuration name
(Nombre de configuración), Tunnel type (Tipo de túnel) y Authentication method
(Método de autenticación). Si se utiliza Azure certificate (Certificado de Azure),
debemos proporcionar información del certificado (para obtener más información
sobre los certificados, consulta la receta Creación de una conexión de punto a sitio
del capítulo 8, Creación de conexiones híbridas):
Figura 9.11: Crear una nueva configuración de VPN
7. Después de añadir la configuración de punto a sitio, volvemos al panel anterior.
Tenemos que rellenar el campo Client address pool (Grupo de direcciones de
cliente) y, opcionalmente, Custom DNS Servers (Servidores DNS personalizados):
Crear un centro (en WAN Virtual) | 157
Figura 9.12: Añadir la información de grupo de direcciones de cliente y de servidores DNS personalizados
8. La tercera configuración opcional es ExpressRoute. Si decidimos habilitar esta
opción, tenemos que seleccionar una opción para Gateway scale units (Unidades
de escalado de puerta de enlace):
Figura 9.13: Configurar ExpressRoute
9. También podemos añadir etiquetas y, a continuación, continuar con la creación del
centro virtual. La implementación puede tardar hasta 30 minutos en completarse.
158 | Conectar a los recursos de manera segura
Cómo funciona...
Los centros virtuales representan puntos de control en una región. A partir de ahí,
podemos definir todas las conexiones a las redes virtuales en la región. Esto se aplica
a las conexiones de sitio a sitio, punto a sitio y ExpressRoute. Cada sección es opcional
y podemos crear un centro sin ninguna configuración de los tipos de conexión. Si
decidimos crearlas en este momento, necesitamos proporcionar un SKU para cada tipo.
Una conexión de punto a sitio también requiere que se proporcione la configuración de
VPN del usuario. Cada tipo de conexión también se puede añadir más adelante.
En esta receta, hemos aprendido a crear un centro virtual. Pasemos a la siguiente receta
y aprendamos a añadir una conexión de sitio a sitio en un centro virtual.
Añadir una conexión de sitio a sitio (en un centro virtual)
Después de crear un centro virtual y de definir la SKU de sitio a sitio en el hub,
podemos crear una conexión de sitio a sitio. Para ello, debemos aplicar la configuración
de conexión apropiada y proporcionar los detalles de configuración.
Preparación
Antes de empezar, abre el navegador y ve al portal de Azure en https://portal.azure.com.
Añadir una conexión de sitio a sitio (en un centro virtual) | 159
Cómo hacerlo...
Para crear una conexión de sitio a sitio en un centro virtual (en una WAN virtual),
debemos seguir estos pasos:
1.
Busca la WAN virtual y localiza el centro virtual creado anteriormente en Hubs
(Centros) en la sección Connectivity (Conectividad). Selecciona ese centro:
Figura 9.14: Seleccionar el centro creado anteriormente en la sección Connectivity (Conectividad)
160 | Conectar a los recursos de manera segura
2.
En el panel Virtual HUB (Centro virtual), ve a la configuración VPN (Site to site)
(VPN [de sitio a sitio]) en Connectivity (Conectividad). Selecciona la opción Create
new VPN site (Crear nuevo sitio de VPN):
Figura 9.15: Seleccionar la opción Create new VPN site (Crear nuevo sitio de VPN)
en el panel de centro virtual
3. Aparecerá un nuevo panel. Las opciones Subscription (Suscripción) y Resource
group (Grupo de recursos) están atenuadas, ya que el sitio VPN es un recurso
secundario en la WAN virtual y debe utilizar las mismas opciones que la WAN
virtual. Tenemos que proporcionar información en los campos Region (Región),
Name (Nombre) (del sitio VPN) y Device vendor (Proveedor de dispositivo).
Tenemos la opción de habilitar o deshabilitar el protocolo de puerta de enlace de
borde (BGP). Si el BGP no está configurado, debemos proporcionar al menos un
espacio de direcciones privadas. También tenemos que definir un centro (o más de
uno) que se usará en la conexión:
Añadir una conexión de sitio a sitio (en un centro virtual) | 161
Figura 9.16: Crear un sitio de VPN
4. En la sección Links (Enlaces) del sitio VPN, debemos proporcionar información
para Link name (Nombre del enlace), Provider name (Nombre del proveedor),
Speed (Velocidad) (en Mbps), IP address/FQDN (Dirección IP/FQDN) (del
dispositivo VPN al que queremos conectarnos), BGP address (Dirección de BGP)
y ASN, como se muestra en la figura 9.17:
Figura 9.17: Proporcionar detalles del enlace en el panel Links (Enlaces)
162 | Conectar a los recursos de manera segura
5. Después de crear el sitio de VPN, podemos descargar la configuración de VPN
correspondiente al dispositivo VPN. Después de configurar el dispositivo VPN,
podemos seleccionar el sitio de VPN e iniciar la conexión con la opción Connect
VPN sites (Conectar sitios de VPN):
Figura 9.18: Hacer clic en la opción Connect VPN sites (Conectar sitios de VPN) para iniciar la conexión
6. Se abrirá un nuevo panel. Debemos proporcionar información para Pre-shared
key (PSK) (Clave previamente compartida, PSK), Protocol (Protocolo) e IPSec,
y elegir las opciones de Propagate Default Route (Propagar ruta predeterminada)
y Use policy based traffic selector (Usar selector de tráfico basado en política):
Figura 9.19: Proporcionar información en el panel de Connect sites (Conectar sitios)
Añadir una conexión de red virtual (en un centro virtual) | 163
Cómo funciona...
La incorporación de una conexión de sitio a sitio a nuestro centro virtual nos permite
conectarnos a un centro virtual de una región específica desde nuestra red on-premises
(u otras redes que utilizan Virtual appliance [Dispositivo virtual]). Para ello, debemos
proporcionar información sobre la conexión VPN en el centro virtual y configurar el
dispositivo VPN que se usará para la conexión.
Sin embargo, esto solo nos permite conectarnos al centro. Debemos conectar redes
virtuales para poder acceder a los recursos de Azure. En la siguiente receta, veremos
cómo añadir una conexión de red virtual al centro virtual.
Añadir una conexión de red virtual (en un centro virtual)
Un centro virtual representa un punto central en una región de Azure. Pero, para
utilizar este punto, necesitamos conectar redes virtuales a un centro virtual. Después,
podemos usar el centro virtual según lo previsto.
Preparación
Antes de empezar, abre el navegador y ve al portal de Azure en https://portal.azure.com.
164 | Conectar a los recursos de manera segura
Cómo hacerlo...
Para añadir una conexión de red virtual en un centro virtual (en una WAN virtual),
debemos seguir estos pasos:
1.
Busca la WAN virtual y localiza el centro virtual creado anteriormente en Virtual
network connections (Conexiones de red virtual) en la sección Connectivity
(Conectividad). Selecciona la opción Add connection (Añadir conexión):
Figura 9.20: Añadir un centro virtual creado anteriormente
Añadir una conexión de red virtual (en un centro virtual) | 165
2. En el nuevo panel, tenemos que proporcionar información en los campos
Connection name (Nombre de conexión), Hubs (Centros), Subscription
(Suscripción), Resource group (Grupo de recursos) y Virtual network (Red virtual).
A continuación, tenemos que proporcionar información de Routing configuration
(Configuración de enrutamiento). Podemos seleccionar Yes (Sí) en Propagate to
none (No propagar a ninguno). Si seleccionamos No, tenemos que proporcionar
información de Associate Route Table (Asociar tabla de rutas), Propagate to Route
Tables (Propagar a tablas de rutas), y Propagate to labels (Propagar a etiquetas).
Static routes (Rutas estáticas) es una configuración opcional:
Figura 9.21: Configurar los detalles del centro virtual
166 | Conectar a los recursos de manera segura
Cómo funciona...
La conexión de una red virtual a un centro virtual nos permitirá acceder a los recursos
cuando se conecten al mismo centro. Una conexión se puede establecer a través
de una conexión de sitio a sitio, de punto a sitio o de otra red virtual (conectada al
mismo centro). Al crear una conexión, debemos proporcionar reglas de enrutamiento
y propagación para definir el flujo de red. También podemos definir una ruta estática.
Una ruta estática forzará todo el tráfico a través de una única dirección IP, normalmente
a través de un firewall o un dispositivo virtual de red.
Pasemos a la siguiente receta y aprendamos a crear un punto de conexión de Private Link.
Crear un punto de conexión de Private Link
Private Link nos permite conectarnos a servicios PaaS a través de una red segura. Dado
que estos servicios suelen estar expuestos en Internet, este método de acceso es más
seguro. Hay dos componentes disponibles para establecer una conexión segura: un
punto de conexión y un servicio de Private Link. Empecemos con la creación en primer
lugar de un punto de conexión de Private Link.
Preparación
Debemos crear un servicio que se asociará con el punto de conexión de Private Link:
1.
Abre el navegador web y ve al portal de Azure en https://portal.azure.com.
Selecciona la opción para añadir un nuevo servicio. Busca SQL Server (servidor lógico)
y selecciona la opción Create new (Crear nuevo).
2. En el nuevo panel, debemos proporcionar información en los campos Subscription
(Suscripción), Resource group (Grupo de recursos), Server name (Nombre de
servidor) (debe ser un FQDN único) y Location (Ubicación). Por último, debemos
proporcionar las credenciales del inicio de sesión del administrador antes de
seleccionar Review + create (Revisar + crear):
Crear un punto de conexión de Private Link | 167
Figura 9.22: Asociar un nuevo servicio con un punto de conexión de Private Link
168 | Conectar a los recursos de manera segura
Cómo hacerlo...
Para implementar un nuevo punto de conexión de Private Link, debemos seguir
estos pasos:
1.
Ve al portal de Azure y selecciona la opción para crear un nuevo servicio. Busca
Private Link y selecciona la opción Create new (Crear nuevo).
2. En el nuevo panel, Private Link Center (Centro de Private Link), selecciona Create
private endpoint (Crear punto de conexión privado):
Figura 9.23: Crear un nuevo punto de conexión de Private Link
Crear un punto de conexión de Private Link | 169
3. En el nuevo panel, en la sección Basics (Datos básicos), debemos facilitar
información para los campos Subscription (Suscripción), Resource group
(Grupode recursos), Name (Nombre) y Region (Región).
Figura 9.24: Información básica para el punto de conexión de Private Link
4. En la sección Resource (Recurso), debemos seleccionar una opción para Subscription
(Suscripción), Resource type (Tipo de recurso) (en nuestro caso, Microsoft.Sql/
servers), Resource (Recurso) (solo estarán disponibles los recursos del tipo de recurso
seleccionado) y Target sub-resource (Recurso secundario de destino):
Figura 9.25: Configurar los recursos para el punto de conexión de Private Link
170 | Conectar a los recursos de manera segura
5. En el panel Configuration (Configuración), debemos proporcionar la configuración
de Networking (Redes) y seleccionar la red virtual y la subred que se asociarán.
De manera opcional, podemos añadir la integración con un DNS privado. Si
elegimos añadir la integración de DNS, debemos proporcionar información para
Subscription (Suscripción) y Private DNS zones (Zonas DNS privadas):
Figura 9.26: Configurar las opciones de red
Cómo funciona...
El punto de conexión de Private Link asocia el recurso de PaaS seleccionado con la
subred de la red virtual. Al hacerlo, tenemos la opción de acceder al recurso de PaaS
a través de una conexión segura. También podemos integrar una zona DNS privada y
utilizar la resolución de DNS en lugar de direcciones IP.
Un punto de conexión de Private Link nos permite enlazar los servicios directamente,
pero solo los servicios individuales y directamente. Si necesitamos añadir equilibradores
de carga, podemos usar un servicio de Private Link.
Crear un servicio de Private Link
Un servicio de Private Link nos permite configurar una conexión segura a los recursos
asociados con el equilibrador de carga estándar. Para ello, tenemos que preparar la
infraestructura antes de implementar el servicio de Private Link.
Crear un servicio de Private Link | 171
Preparación
Primero debemos crear una máquina virtual. Consulta la receta Creación de máquinas
virtuales de Azure del capítulo 2, Redes de máquinas virtuales. Ten en cuenta que, en la
sección Networking (Redes), queremos seleccionar la misma red virtual que se usó para
conectar SQL Server en la receta anterior.
Un servicio de Private Link también requiere un equilibrador de carga estándar.
Consulta las recetas Creación de un equilibrador de carga público, Creación de un grupo
de back-end, Creación de sondeos de estado y Creación de reglas para el equilibrador de
carga del capítulo 10, Equilibradores de carga. Ten en cuenta que, en el destino del backend, debemos seleccionar la máquina virtual que hemos creado.
Ahora, abre el navegador web y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para implementar el nuevo servicio de Private Link, debemos seguir estos pasos:
1.
En el portal de Azure, selecciona la opción para crear un nuevo servicio. Busca
Private Link y selecciona la opción Create new (Crear nuevo).
2. En el nuevo panel, Private Link Center (Centro de Private Link), selecciona Create
private link service (Crear servicio de Private Link):
Figura 9.27: Crear un nuevo servicio de Private Link
172 | Conectar a los recursos de manera segura
3. En Basics (Datos básicos), debemos proporcionar información para Subscription
(Suscripción), Resource group (Grupo de recursos), Name (Nombre) y Region (Región):
Figura 9.28: Información sobre el nuevo servicio de Private Link
4. En Outbound settings (Configuración de salida), debemos seleccionar las opciones
para Load Balancer (Equilibrador de carga), Load Balancer frontend IP address
(Dirección IP del front-end del equilibrador de carga) y Source NAT subnet (Subred
NAT de origen). De forma automática, la opción Source NAT Virtual network (Red
virtual NAT de origen) está seleccionada y atenuada. También podemos seleccionar
Yes (Sí) o No para Enable TCP proxy V2 (Habilitar proxy TCP V2) y si la dirección IP
privada va a ser dinámica o estática:
Figura 9.29: Configurar las opciones de salida
Crear un servicio de Private Link | 173
5. En Access security (Seguridad de acceso), podemos seleccionar quién puede
solicitar acceso a nuestro servicio. Las opciones son Role-based access control
only (Control de acceso solo basado en roles) (RBAC), Restricted by subscription
(Restringido por suscripción) y Anyone with your alias (Cualquier persona con el
alias). La opción predeterminada y recomendada es utilizar RBAC como control de
acceso nativo en Azure:
Figura 9.30: Panel de seguridad de acceso
Cómo funciona...
El servicio de Private Link y el punto de conexión de Private Link funcionan de manera
similar, lo que nos permite conectarnos a los servicios (a los que se puede acceder
públicamente de forma predeterminada) a través de una red privada. La principal
diferencia reside en que con un punto de conexión de Private Link enlazamos servicios
PaaS y, con un servicio de Private Link, creamos un servicio personalizado detrás del
equilibrador de carga estándar.
10
Equilibradores
de carga
Los equilibradores de carga se utilizan para permitir el escalado y la alta disponibilidad
de aplicaciones y servicios. Un equilibrador de carga se compone principalmente de
tres elementos: un front-end, un back-end y reglas de enrutamiento. Las solicitudes
que llegan al front-end de un equilibrador de carga se distribuyen en base a reglas de
enrutamiento, donde colocamos varias instancias de un servicio. Se pueden utilizar
por razones relacionadas con el rendimiento, si quisiéramos distribuir el tráfico por
igual entre los puntos de conexión en el back-end, o para tener alta disponibilidad, si
utilizáramos varias instancias de servicios para aumentar las posibilidades de que al
menos un punto de conexión esté disponible en todo momento.
En este capítulo, abordaremos las siguientes recetas:
• Crear un equilibrador de carga interno
• Crear un equilibrador de carga público
• Crear un grupo de back-end
• Crear sondeos de estado
• Crear reglas del equilibrador de carga
• Crear reglas NAT de entrada
• Crear reglas de salida explícitas
176 | Equilibradores de carga
Requisitos técnicos
Para este capítulo, se requiere una suscripción a Azure.
Puedes encontrar los ejemplos de código en https://github.com/PacktPublishing/
Azure-Networking-Cookbook-Second-Edition/tree/master/Chapter10.
Crear un equilibrador de carga interno
Microsoft Azure admite dos tipos de equilibradores de carga: interno y público. A un
equilibrador de carga interno se le asigna una dirección IP privada (del intervalo de
direcciones de las subredes en la red virtual) para una dirección IP del front-end, y
tiene como objetivo las direcciones IP privadas de nuestros servicios (normalmente, una
máquina virtual de Azure [MV]) en el back-end. Los equilibradores de carga internos
los suelen usar servicios que no están orientados a Internet y a los que solo se accede
desde dentro de nuestra red virtual.
Preparación
Antes de empezar, abre el navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para crear un nuevo equilibrador de carga interno con el portal de Azure, debemos
realizar estos pasos:
1.
En el portal de Azure, selecciona Create a resource (Crear un recurso) y elige Load
Balancer (Equilibrador de carga) en los servicios de Networking (Redes) (o busca
load balancer [equilibrador de carga] en la barra de búsqueda).
2. En el nuevo panel, debemos seleccionar las opciones Subscription (Suscripción)
y Resource group (Grupo de recursos) correspondientes al lugar donde se va a
crear el equilibrador de carga. A continuación, debemos facilitar información para
las opciones Name (Nombre), Region (Región), Type (Tipo) y SKU. En este caso,
seleccionamos Internal (Interno) para Type (Tipo) con el fin de implementar un
equilibrador de carga interno y establecemos SKU en Standard (Estándar). Por
último, debemos seleccionar los valores de Virtual network (Red virtual) y Subnet
(Subred) para la asociación del equilibrador de carga, además de información
sobre IP address assignment (Asignación de dirección IP), que puede ser Static
(Estática) o Dynamic (Dinámica):
Crear un equilibrador de carga interno | 177
Figura 10.1: Crear un nuevo equilibrador de carga interno
3. Después de introducir toda la información, seleccionamos la opción Review +
create (Revisar + crear) para validar la información e iniciar la implementación
del equilibrador de carga.
178 | Equilibradores de carga
Cómo funciona...
A un equilibrador de carga interno se le asigna una dirección IP privada y todas las
solicitudes que llegan al front-end de un equilibrador de carga interno deben llegar a
esa dirección privada. Esto limita que el tráfico que llega al equilibrador de carga sea de
la red virtual asociada al equilibrador de carga. El tráfico puede proceder de otras redes
(otras redes virtuales o locales) si hay algún tipo de red privada virtual (VPN) activa.
El tráfico que llega al front-end desde el equilibrador de carga interno se distribuirá
entre los puntos de enlace en el back-end del equilibrador de carga. Los equilibradores
de carga internos se suelen emplear para servicios que no están ubicados en una zona
desmilitarizada (DMZ) (y, por tanto, no son accesibles por Internet), sino en un servicio
de nivel medio o de back-end en una arquitectura de aplicación con varios niveles.
También debemos tener en cuenta las diferencias entre SKU de tipo Basic (Básico) y
Standard (Estándar). La principal diferencia se encuentra en el rendimiento (es mejor el
de SKU estándar) y SLA (el tipo estándar tiene un SLA que garantiza una disponibilidad
del 99,99 % mientras que el básico no tiene ningún SLA). Además, ten en cuenta que
el SKU estándar necesita un grupo de seguridad de red (NSG). Si no hay un NSG en
la subred, la interfaz de red o NIC (de la máquina virtual en el back-end), el tráfico no
podrá llegar a su destino. Para obtener más información sobre los SKU del equilibrador
de carga, consulta https://docs.microsoft.com/azure/load-balancer/skus.
Crear un equilibrador de carga público
El segundo tipo de equilibrador de carga de Azure es un equilibrador de carga público.
La principal diferencia es que a un equilibrador de carga público se le asigna una
dirección IP pública en el front-end y todas las solicitudes proceden de Internet. A
continuación, las solicitudes se distribuyen a los puntos de conexión en el back-end.
Preparación
Antes de empezar, abre el navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para crear un nuevo equilibrador de carga público con el portal de Azure, debemos
seguir estos pasos:
1.
En el portal de Azure, selecciona Create a resource (Crear un recurso) y elige Load
Balancer (Equilibrador de carga) en los servicios de Networking (Redes) (o busca
load balancer [equilibrador de carga] en la barra de búsqueda).
Crear un equilibrador de carga público | 179
2. En el nuevo panel, debemos seleccionar las opciones Subscription (Suscripción)
y Resource group (Grupo de recursos) correspondientes al lugar donde se va a
crear el equilibrador de carga. Tenemos que facilitar información para las opciones
Name (Nombre), Region (Región), Type (Tipo) y SKU. En este caso, seleccionamos
Public (Público) para Type (Tipo) con el fin de implementar un equilibrador de
carga público y establecemos SKU en Standard (Estándar). Si seleccionamos Public
(Público) como tipo de equilibrador de carga, el panel cambiará ligeramente. Ya no
tendremos la opción de seleccionar una red virtual y una subred, como hicimos
para el equilibrador de carga interno. En lugar de eso, podemos elegir opciones para
Public IP address (Dirección IP pública) (nueva o existente), Public IP address SKU
(SKU de dirección IP pública), asignación de dirección IP y si queremos usar IPv6.
Ten en cuenta que el SKU de dirección IP pública depende directamente del SKU del
equilibrador de carga, por lo que el SKU seleccionado para el equilibrador de carga
se transferirá automáticamente a la dirección IP:
Figura 10.2: Crear un nuevo equilibrador de carga público
180 | Equilibradores de carga
3. Después de introducir toda la información, selecciona la opción Review + create
(Revisar + crear) para validar la información e iniciar la implementación del
equilibrador de carga.
Cómo funciona...
Al equilibrador de carga público se le asigna una dirección IP pública en el frontend. Por lo tanto, todas las solicitudes que llegan al equilibrador de carga público
procederán de Internet y se dirigirán a la dirección IP pública del equilibrador de carga.
A continuación, las solicitudes se distribuyen a los puntos de conexión en el back-end
del equilibrador de carga. Lo interesante es que el equilibrador de carga público no
tiene como destino las direcciones IP públicas en el back-end, sino las direcciones IP
privadas. Por ejemplo, supongamos que tenemos un equilibrador de carga público con
dos máquinas virtuales de Azure en el back-end. El tráfico que llega a la dirección IP
pública del equilibrador de carga se distribuirá a las máquinas virtuales, pero se dirigirá
a las direcciones IP privadas de las máquinas virtuales.
Los equilibradores de carga públicos se utilizan para servicios orientados al público,
normalmente para servidores web.
Crear un grupo de back-end
Después de crear el equilibrador de carga, ya sea interna o públicamente, debemos
configurarlo en profundidad para empezar a usarlo. Durante el proceso de creación,
definimos el front-end del equilibrador de carga y sabemos adónde debe ir el tráfico
para llegar al equilibrador de carga. Sin embargo, para definir dónde debe ir ese
tráfico después de llegar al equilibrador de carga, primero debemos definir un grupo
de back-end.
Preparación
Antes de empezar, abre el navegador y ve al portal de Azure en https://portal.azure.com.
Crear un grupo de back-end | 181
Cómo hacerlo...
Para crear el grupo del back-end, debemos hacer lo siguiente:
1.
En el portal de Azure, localiza el equilibrador de carga creado anteriormente
(ya sea interno o público).
2. En el panel Load balancer (Equilibrador de carga), en Settings (Configuración),
selecciona Backend pools (Grupos de back-end). Selecciona Add (Añadir) para
añadir el nuevo grupo de back-end:
Figura 10.3: Añadir un nuevo grupo de back-end
182 | Equilibradores de carga
3. En el nuevo panel, debemos proporcionar un nombre y especificar a qué está
asociado el equilibrador de carga. Las asociaciones se pueden crear para máquinas
virtuales o conjuntos de escalado de máquinas virtuales. En este ejemplo,
utilizaremos máquinas virtuales. En función de esta selección, se te ofrecerán
opciones adicionales para añadir máquinas virtuales al grupo de back-end:
Figura 10.4: Información adicional para añadir el grupo de back-end
4. Haz clic en Add (Añadir) y se abrirá un nuevo panel. Aquí podemos añadir las
máquinas virtuales que queremos asociar al grupo de back-end. Ten en cuenta que
las máquinas virtuales deben estar en la misma red virtual que el equilibrador de
carga y en el mismo conjunto de disponibilidad. Selecciona las máquinas virtuales
que quieras añadir al grupo de back-end:
Figura 10.5: Añadir máquinas virtuales al grupo de back-end
Crear un grupo de back-end | 183
5. Después de seleccionar las MV, aparecerán en la lista Virtual machines (Máquinas
virtuales) para crear el grupo. Haz clic en Add (Añadir) para crear el grupo de backend con las máquinas virtuales asociadas:
Figura 10.6: Lista de máquinas virtuales para crear un grupo de back-end
6. Tras introducir la configuración, se tarda unos minutos en crear el grupo de backend. Después, los recursos asociados aparecerán en la lista del grupo de back-end:
Figura 10.7: La lista del grupo de back-end
184 | Equilibradores de carga
Cómo funciona...
Los dos componentes principales de cualquier equilibrador de carga son el front-end
y el back-end. El front-end define el punto de conexión del equilibrador de carga y el
back-end define adónde debe ir el tráfico después de llegar al equilibrador de carga.
A medida que la información del front-end se crea junto con el equilibrador de carga,
debemos definir el back-end por nuestra cuenta. Después de hacerlo, el tráfico se
distribuirá uniformemente entre los puntos de conexión en el back-end. Las opciones
disponibles para el grupo de back-end son máquinas virtuales y conjuntos de escalado
de máquinas virtuales.
Consulta también
Puedes encontrar más información sobre máquinas virtuales, conjuntos de
disponibilidad y conjuntos de escalado de máquina virtual en mi libro, Hands-On
Cloud Administration in Azure (Administración práctica del cloud en Azure), publicado
por Packt en https://www.packtpub.com/virtualization-and-cloud/hands-cloudadministration-azure.
Crear sondeos de estado
Una vez definidos el front-end y el back-end del equilibrador de carga, el tráfico se
distribuye uniformemente entre los puntos de conexión en el back-end. Pero ¿qué
pasa si uno de los puntos de conexión no está disponible? En ese caso, algunas de las
solicitudes fallarán hasta que detectemos el problema, o incluso se producirá un error
indefinidamente en caso de que el problema no se detecte. El equilibrador de carga
enviaría una solicitud a todos los puntos de conexión definidos en el grupo de back-end
y la solicitud produciría un error cuando se dirigiera a un servidor no disponible.
Ese es el motivo por el que introducimos los dos siguientes componentes en el
equilibrador de carga: los sondeos de estado y las reglas. Estos componentes se utilizan
para detectar problemas y definir qué hacer cuando se detectan.
Los sondeos de estado supervisan constantemente todos los puntos de conexión
definidos en el grupo de back-end y detectan si alguno de ellos no está disponible.
Para ello, envían un sondeo en el protocolo configurado y se espera la respuesta. Si se
configura un sondeo de HTTP, se requiere una respuesta HTTP 200 OK para que se
considere correcto.
Preparación
Antes de empezar, abre el navegador y ve al portal de Azure en https://portal.azure.com.
Crear sondeos de estado | 185
Cómo hacerlo...
Para crear un nuevo sondeo de estado en el equilibrador de carga, debemos hacer lo
siguiente:
1.
En el portal de Azure, localiza el equilibrador de carga creado anteriormente
(ya sea interno o público).
2. En el panel Load balancer (Equilibrador de carga), en Settings (Configuración),
selecciona Health probes (Sondeos de estado). Selecciona Add (Añadir) para añadir
un nuevo sondeo de estado:
Figura 10.8: Añadir un nuevo sondeo de estado
3. En el nuevo panel, tenemos que facilitar información sobre Name (Nombre) y
la versión IP o Protocol (Protocolo) que queremos usar, así como configurar
las opciones Port (Puerto), Interval (Intervalo) y Unhealthy threshold (Umbral
incorrecto), como se muestra en la figura 10.9:
Figura 10.9: Proporcionar la información de sondeo de estado
4. Después de seleccionar OK (Aceptar), se creará el nuevo sondeo de estado y aparecerá
en la lista de sondeos de estado disponibles asociados con el equilibrador de carga.
186 | Equilibradores de carga
Cómo funciona...
Después de definir el sondeo de estado, se usará para supervisar los puntos de conexión
en el grupo de back-end. Definimos el protocolo y el puerto como datos útiles que
ofrecerán información sobre si el servicio que estamos utilizando está disponible o no.
La supervisión del estado del servidor no sería suficiente, ya que podría ser engañosa.
Por ejemplo, el servidor podría estar en ejecución y disponible, pero es posible que la
instancia de IIS o SQL Server que usemos esté inactiva. Así, el protocolo y el puerto
detectarán cambios en el servicio que nos interesa y no solo si el servidor está en
ejecución. El intervalo define la frecuencia con la que se realiza una comprobación
y el umbral incorrecto define después de cuántos errores consecutivos se declara
que el punto de conexión no está disponible.
Crear reglas del equilibrador de carga
La última pieza del puzle al hablar de equilibradores de carga de Azure es la regla. Las
reglas acaban de unificarlo todo y definen qué sondeo de estado (puede haber más de
uno) supervisará cada grupo de back-end (puede haber más de uno disponible). Además,
las reglas habilitan la asignación de puertos desde el front-end de un equilibrador
de carga al grupo de back-end, definiendo cómo se relacionan los puertos y cómo
se reenvía el tráfico entrante al back-end.
Preparación
Antes de empezar, abre tu navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para crear una nueva regla del equilibrador de carga, debemos hacer lo siguiente:
1.
En el portal de Azure, localiza el equilibrador de carga creado anteriormente
(ya sea interno o público).
2. En el panel Load balancer (Equilibrador de carga), en Settings (Configuración),
selecciona Load balancing rules (Reglas del equilibrador de carga). Selecciona Add
(Añadir) para añadir una regla de equilibrador de carga:
Figura 10.10: Añadir reglas de equilibrio de carga
Crear reglas del equilibrador de carga | 187
3. En el nuevo panel, debemos proporcionar información para Name (Nombre) e IP
Version (Versión de IP) que vamos a utilizar, qué Frontend IP address (Dirección IP de
front-end) vamos a utilizar (ya que un equilibrador de carga puede tener más de una),
Protocol (Protocolo) y la asignación de Port (Puerto) (el tráfico del puerto de entrada
se reenviará al puerto de back-end). Si habilitamos puertos de alta disponibilidad
(solo disponibles en equilibradores de carga internos), se eliminarán las opciones de
protocolo y se habilitará el equilibrio de carga en todos los puertos para los protocolos
TCP y UDP. Además, tenemos que facilitar información sobre la configuración de
Backend port (Puerto de back-end), Backend pool (Grupo de back-end), Health
probe (Sondeo de estado), Session persistence (Persistencia de sesión) e Idle timeout
(Tiempo de espera de inactividad) (minutos) y decidir si queremos usar Floating IP
(IP flotante). Por último, tenemos la opción de crear una regla de salida implícita:
Figura 10.11: Configurar las reglas de equilibrio de carga
4. Después de seleccionar OK (Aceptar), se creará una nueva regla que aparecerá en
la lista de reglas de equilibrio de carga disponibles.
188 | Equilibradores de carga
Cómo funciona...
La regla del equilibrador de carga es la pieza final que une todos los componentes.
Definimos qué dirección IP de front-end se utiliza y a qué grupo de back-end se
reenviará el tráfico. El sondeo de estado se asigna para supervisar los puntos de
conexión en el grupo de back-end y para realizar un seguimiento de si hay puntos
de conexión que no responden. También creamos una asignación de puertos que
determinará en qué protocolo y puerto escuchará el equilibrador de carga y, cuando
llegue el tráfico, a dónde se reenviará este tráfico.
Como modo de distribución predeterminado, el equilibrador de carga de Azure utiliza
un hash de cinco tuplas (IP de origen, puerto de origen, IP de destino, puerto de destino
y tipo de protocolo). Si cambiamos la persistencia de sesión a Client IP (IP de cliente),
la distribución será de dos tuplas (las solicitudes de la misma dirección IP del cliente las
administrará la misma máquina virtual). Cambiar la persistencia de la sesión a Client
IP and protocol (IP de cliente y protocolo) cambiará la distribución a tres tuplas (las
solicitudes de la misma dirección IP del cliente y la combinación de protocolos las
administrará la misma máquina virtual).
Crear reglas NAT de entrada
Las reglas Network Address Translation (Traducción de direcciones de red) (NAT)
de entrada es una configuración opcional en Azure Load Balancer. Estas reglas crean
esencialmente otra asignación de puertos desde el front-end hasta el back-end,
reenviando el tráfico de un puerto específico en el front-end a un puerto específico en
el back-end. La diferencia entre las reglas NAT de entrada y la asignación de puertos
en las reglas del equilibrador de carga es que las reglas NAT de entrada se aplican al
reenvío directo a una máquina virtual, mientras que las reglas del equilibrador de carga
reenvían el tráfico a un grupo de back-end.
Preparación
Antes de empezar, abre el navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para crear una nueva regla NAT de entrada, debemos hacer lo siguiente:
1.
En el portal de Azure, localiza el equilibrador de carga creado anteriormente
(ya sea interno o público).
2. En el panel Load balancer (Equilibrador de carga), en Settings (Configuración),
selecciona Inbound NAT rules (Reglas NAT de entrada). Selecciona Add (Añadir)
para añadir una nueva regla NAT de entrada:
Crear reglas NAT de entrada | 189
Figura 10.12: Añadir una regla NAT de entrada para un equilibrador de carga existente
3. En el nuevo panel, debemos proporcionar detalles para los campos Name
(Nombre), Frontend IP address (Dirección IP de front-end), IP Version (Versión
IP)(se establece en función de la dirección IP de front-end), Service (Servicio),
Protocol (Protocolo) y Port (Puerto). También podemos editar Idle timeout
(Tiempo de espera de inactividad), que está configurado en 4 minutos de forma
predeterminada. Selecciona Target virtual machine (Máquina virtual de destino)
y Network IP configuration (Configuración IP de red) para la misma máquina (si la
máquina virtual tiene más de una configuración IP). Por último, puedes seleccionar
la asignación predeterminada de puertos o usar una personalizada:
Figura 10.13: Configurar las opciones de la regla NAT de entrada
4. Después de seleccionar OK (Aceptar), se creará una nueva regla NAT de entrada.
190 | Equilibradores de carga
Cómo funciona...
Las reglas NAT de entrada te permiten utilizar la IP pública del equilibrador de
carga para conectarte directamente a una instancia de back-end específica. Crean
una asignación de puertos similar a la asignación de puertos creada por las reglas
del equilibrador de carga pero a una instancia de back-end específica. Una regla de
equilibrador de carga crea una configuración adicional, como el sondeo de estado o
la persistencia de la sesión. Las reglas NAT de entrada excluyen esta configuración y
crean una asignación incondicional desde el front-end hasta el back-end. Con una regla
NAT de entrada, el tráfico reenviado siempre llegará al servidor único en el back-end,
mientras que un equilibrador de carga reenviará el tráfico al grupo de back-end y usará
un algoritmo "pseudo round robin" para enrutar el tráfico a alguno de los servidores
correctos del grupo de back-end.
Crear reglas de salida explícitas
Al crear reglas de equilibrio de carga, podemos crear reglas de salida implícitas. Esto
activará la traducción de direcciones de red de origen (SNAT) para las máquinas
virtuales del grupo de back-end y les permitirá acceder a Internet a través de la
dirección IP pública del equilibrador de carga (especificada en la regla). Pero, en algunos
escenarios, las reglas implícitas no son suficientes y debemos crear reglas de salida
explícitas. Las reglas de salida explícitas (y SNAT en general) solo están disponibles para
equilibradores de carga públicos con SKU estándar.
Preparación
Antes de comenzar, asegúrate de que las reglas de salida implícitas estén deshabilitadas
en las reglas de equilibrio de carga:
Figura 10.14: Deshabilitar reglas de salida implícitas
Ahora, abre el navegador web y ve al portal de Azure en https://portal.azure.com.
Crear reglas de salida explícitas | 191
Cómo hacerlo...
Para crear una nueva regla del equilibrador de carga, debemos hacer lo siguiente:
1.
En el portal de Azure, localiza el equilibrador de carga público creado
anteriormente.
2. En el panel Load balancer (Equilibrador de carga), en Settings (Configuración),
selecciona Outbound rules (Reglas de salida). Selecciona Add (Añadir) para añadir
la regla del equilibrador de carga:
Figura 10.15: Añadir reglas de salida
192 | Equilibradores de carga
3. En el panel de Outbound rules (Reglas de salida), debemos proporcionar el
nombre de la regla y seleccionar las opciones para los campos Frontend IP
address (Dirección IP de front-end), Protocol (Protocolo) (All [Todo], TCP o UDP),
Idle timeout (Tiempo de espera de inactividad), TCP reset (Restablecimiento) y
Backend pool (Grupo de back-end). En la sección Port allocation (Asignación de
puertos) del mismo panel, debemos seleccionar opciones para Port allocation
(Asignación de puertos), Outbound ports (Puertos de salida), Ports per instance
(Puertos por instancia) (se deshabilita cuando se selecciona el número máximo
de instancias de back-end) y Maximum number of backend instances (Número
máximo de instancias de back-end):
Figura 10.16: Panel de reglas de salida
Crear reglas de salida explícitas | 193
Cómo funciona...
Las reglas de salida dependen de tres cosas: direcciones IP de front-end, instancias en
el grupo de back-end y conexiones. Cada dirección IP de front-end tiene un número
limitado de puertos para las conexiones. Cuantas más direcciones IP se asignan al frontend, más conexiones se permiten. Por otro lado, el número de conexiones permitidas
(por instancia de back-end) disminuye con el número de instancias en el back-end.
Si establecemos el número predeterminado de puertos de salida, la asignación se
realiza automáticamente y sin control. Si tenemos un conjunto de escalado de máquinas
virtuales con el número predeterminado de instancias, la asignación de puertos se
realizará automáticamente para cada máquina virtual de dicho conjunto. Si aumenta el
número de instancias de un conjunto de escalado, significa que el número de puertos
asignados a cada máquina virtual se reducirá.
Para evitarlo, podemos establecer la asignación de puertos en manual y limitar el
número de instancias permitidas o limitar el número de puertos por instancia. De
este modo, se garantizará que cada máquina virtual tenga un número determinado
de puertos dedicados y que las conexiones no se descarten.
11
Traffic Manager
Azure Load Balancer se limita a proporcionar alta disponibilidad y escalabilidad solo
a las máquinas virtuales de Azure (MV). Además, un único equilibrador de carga se
limita a las máquinas virtuales de una sola región de Azure. Si queremos proporcionar
alta disponibilidad y escalabilidad a otros servicios de Azure distribuidos globalmente,
debemos incorporar un nuevo componente: Azure Traffic Manager. Azure Traffic
Manager está basado en DNS y proporciona la capacidad de distribuir el tráfico a
través de servicios y repartir el tráfico entre las regiones de Azure. Sin embargo, Traffic
Manager no se limita solo a los servicios de Azure; también podemos añadir puntos de
conexión externos.
En este capítulo, abordaremos las siguientes recetas:
• Crear un nuevo perfil de Traffic Manager
• Añadir un punto de conexión
• Configurar el tráfico distribuido
• Configurar el tráfico en función de la prioridad
• Configurar el tráfico en función de la ubicación geográfica
• Administrar los puntos de conexión
• Administrar perfiles
• Configurar Traffic Manager con equilibradores de carga
196 | Traffic Manager
Requisitos técnicos
Para este capítulo, se requiere una suscripción a Azure.
Puedes encontrar los ejemplos de código en https://github.com/PacktPublishing/
Azure-Networking-Cookbook-Second-Edition/tree/master/Chapter11.
Crear un nuevo perfil de Traffic Manager
Traffic Manager proporciona equilibrio de carga a los servicios, pero el tráfico se enruta
y dirige mediante entradas DNS. El front-end es un nombre de dominio completo
(FQDN) que se asigna durante la creación y todo el tráfico que llega a Traffic Manager se
distribuye a los puntos de conexión en el back-end. En esta receta, crearemos un nuevo
perfil de Traffic Manager.
Preparación
Antes de empezar, abre tu navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para crear un nuevo perfil de Traffic Manager, debemos hacer lo siguiente:
1.
En el portal de Azure, selecciona Create a resource (Crear un recurso) y elige
Traffic Manager Profile (Perfil de Traffic Manager) en los servicios de Networking
(Redes) (o también puedes buscar Traffic Manager Profile [Perfil de Traffic
Manager] en la barra de búsqueda).
2. En el nuevo panel, debemos facilitar información para los campos Name
(Nombre), Routing method (Método de enrutamiento), Subscription (Suscripción)
y Resource group (Grupo de recursos):
Figura 11.1: Proporcionar información para un nuevo perfil de Traffic Manager
Añadir un punto de conexión | 197
3. Ten en cuenta que en los métodos de enrutamiento tenemos varias opciones
entre las que elegir: Performance (Rendimiento), Weighted (Ponderado),
Priority (Prioridad), Geographic (Geográfico), MultiValue (Multivalor) y Subnet
(Subred). Para esta receta, vamos a dejar la opción predeterminada (Performance
[Rendimiento]), pero trataremos el resto de los métodos de enrutamiento en otras
recetas de este capítulo:
Figura 11.2: Seleccionar el método de enrutamiento
Cómo funciona...
A Traffic Manager se le asigna un punto de conexión público que debe ser un FQDN.
Todo el tráfico que llega a ese punto de conexión se distribuirá a los puntos de conexión
en el back-end, mediante el método de enrutamiento seleccionado. El método de
enrutamiento predeterminado es Performance (Rendimiento). El método de rendimiento
distribuirá el tráfico en función del mejor rendimiento posible disponible. Por ejemplo,
si tenemos más de un punto de conexión de back-end en la misma región, el tráfico
se distribuirá uniformemente. Si los puntos de conexión se encuentran en diferentes
regiones, Traffic Manager dirigirá el tráfico al punto de conexión más cercano al tráfico
de entrada en términos de ubicación geográfica y latencia de red mínima.
Pasemos a la siguiente receta y añadamos un punto de conexión a Traffic Manager.
Añadir un punto de conexión
Después de crear un perfil de Traffic Manager , tenemos el punto de conexión del
front-end y el método de enrutamiento definido. Pero todavía tenemos que definir
dónde debe ir el tráfico después de que haya llegado a Traffic Manager. Debemos añadir
puntos de conexión al back-end y definir adónde se dirige el tráfico. En esta receta,
añadiremos un nuevo punto de conexión a Traffic Manager.
198 | Traffic Manager
Preparación
Antes de añadir puntos de conexión a Traffic Manager, tenemos que crearlos. Ejecutar el
siguiente script en PowerShell puede ayudarte a crear rápidamente dos aplicaciones web:
$ResourceGroupName = "packt-demo-webapp"
$webappname="packt-demo-webapp"
$location1="West Europe"
$NumberOfWebApps= 2
New-AzResourceGroup -Name $ResourceGroupName '
-Location $location
$i=1
Do
{
New-AzWebApp -Name $webappname'-0'$i '
-Location $location '
-AppServicePlan $webappname '
-ResourceGroupName $ResourceGroupName
} While (($i=$I+1) -le $NumberOfWebApps)
El script se puede editar para implementar más de dos aplicaciones web si es necesario.
Sin embargo, para sacar el máximo partido de Traffic Manager, es mejor tener
aplicaciones web en diferentes regiones.
Una vez finalizado el script, abre el navegador y ve al portal de Azure en https://portal.
azure.com.
Cómo hacerlo...
Para añadir puntos de conexión a Traffic Manager, debemos hacer lo siguiente:
1.
En el portal de Azure, localiza el perfil de Traffic Manager creado anteriormente.
2. En el panel Traffic Manager profile (Perfil de Traffic Manager), en Settings
(Configuración), selecciona Endpoints (Puntos de conexión). Selecciona Add
(Añadir) para añadir un nuevo punto de conexión:
Añadir un punto de conexión | 199
Figura 11.3: Añadir un nuevo punto de conexión
3. En el nuevo panel, tenemos que facilitar información para los campos Type (Tipo) (del
punto de conexión que vamos a añadir) y Name (Nombre). Para Type (Tipo), podemos
elegir entre Azure, External (Externo) y Nested (Anidado). Si se elige Azure, podemos
seleccionar ciertos tipos de recursos de destino (Cloud service (Servicio de cloud),
App service [Servicio de aplicaciones] o slot (ranura) y Public IP address [Dirección IP
pública]) y, en función de la selección del tipo de recurso de destino, podemos elegir
los recursos que se ajusten al tipo de recurso de destino seleccionado. Aquí, hemos
seleccionado packt-demo-webapp01, que creamos anteriormente:
Figura 11.4: Configurar el tipo de punto de conexión
200 | Traffic Manager
4. Añadir un único punto de conexión solo funcionará como redireccionamiento
desde un FQDN a otro. Tenemos que repetir el proceso al menos una vez más y
añadir al menos un punto de conexión más:
Figura 11.5: Añadir un punto de conexión secundario
5. Todos los puntos de conexión añadidos aparecerán en la lista de puntos de
conexión en la sección Endpoint (Punto de conexión) en la opción Settings
(Configuración) de Traffic Manager:
Figura 11.6: Lista de puntos de conexión
Configurar el tráfico distribuido | 201
Cómo funciona...
Las solicitudes entrantes llegan a Traffic Manager a través del punto de conexión
del front-end de Traffic Manager. Según las reglas (principalmente el método de
enrutamiento), el tráfico se reenvía a los puntos de conexión de back-end. El equilibrador
de carga reenvía el tráfico a direcciones IP privadas. Por otro lado, Traffic Manager
usa puntos de conexión públicos en el back-end. Los tipos de puntos de conexión
compatibles son de Azure, externo y anidado. En función del tipo de punto de conexión,
podemos añadir puntos de conexión externos o de Azure. Los puntos de conexión
pueden ser FQDN (públicos) o direcciones IP públicas. Los puntos de conexión anidados
nos permiten añadir otros perfiles de Traffic Manager al back-end de Traffic Manager.
La configuración de encabezado personalizado incluye encabezados HTTP
específicos de las comprobaciones de estado que envía Traffic Manager a los puntos
de conexión en un perfil. Pueden definirse en el nivel de perfil (y aplicarse a todos
los puntos de conexión de ese perfil) o a cada punto de conexión individual. Tiene
el formato encabezado:valor y podemos añadir hasta 8 pares (encabezado1:valor1,
encabezado2:valor2, encabezado3:valor3, ...).
Después de añadir puntos de conexión a Traffic Manager, pasemos a la siguiente receta
y aprendamos a configurar el tráfico distribuido.
Configurar el tráfico distribuido
El método de enrutamiento predeterminado para Traffic Manager es el de rendimiento.
El método de rendimiento distribuirá el tráfico en función del mejor rendimiento
posible disponible. Este método solo tiene pleno efecto si tenemos varias instancias de
un servicio en varias regiones. Como este no suele ser el caso, tenemos otros métodos
disponibles, como el método de tráfico distribuido (también conocido como el método
de enrutamiento ponderado). En esta receta, configuraremos Traffic Manager para que
funcione en modo distribuido.
Preparación
Antes de empezar, abre el navegador y ve al portal de Azure en https://portal.azure.com.
202 | Traffic Manager
Cómo hacerlo...
Para establecer el tráfico distribuido, debemos hacer lo siguiente:
1.
En el portal de Azure, localiza el perfil de Traffic Manager creado anteriormente.
2. En Settings (Configuración), selecciona la opción Configuration (Configuración).
Aquí tenemos varias opciones que podemos cambiar, como DNS time to live (TTL)
(Período de vida [TTL] de DNS), protocolos y conmutación por error:
Figura 11.7: Panel de configuración de Traffic Manager
Configurar el tráfico en función de la prioridad | 203
3. Cambia Routing method (Método de enrutamiento) a Weighted (Ponderado),
como se muestra en la figura 11.8. Además, podemos configurar las opciones de
ponderación si es necesario:
Figura 11.8: Cambiar el método de enrutamiento a ponderado
Cómo funciona...
El método de enrutamiento ponderado distribuirá el tráfico de forma uniforme en
todos los puntos de conexión del back-end. También podemos establecer los ajustes de
ponderación para que un punto de conexión determinado tenga ventaja y determinar
que algunos puntos de conexión reciban un porcentaje del tráfico mayor o menor. Este
método se utiliza normalmente cuando tenemos varias instancias de una aplicación en
la misma región, o para escalar horizontalmente y aumentar el rendimiento.
En esta receta, hemos aprendido a distribuir el tráfico uniformemente en todos los
puntos de conexión. En la siguiente receta, aprenderemos a configurar el tráfico en
función de la prioridad.
Configurar el tráfico en función de la prioridad
Otro método de enrutamiento disponible es el de prioridad. La prioridad, como su
nombre indica, establece una prioridad para algunos puntos de conexión, mientras
que hay otros que se mantienen como copias de seguridad. Los puntos de conexión de
copia de seguridad solo se utilizan si los prioritarios no están disponibles. En esta receta
configuraremos Traffic Manager para enrutar el tráfico en función de la prioridad.
Preparación
Antes de empezar, abre tu navegador y ve al portal de Azure en https://portal.azure.com.
204 | Traffic Manager
Cómo hacerlo...
Para establecer el método de enrutamiento como Priority (Prioridad), debemos hacer lo
siguiente:
1.
En el portal de Azure, localiza el perfil de Traffic Manager creado anteriormente.
2. En Settings (Configuración), selecciona la opción Configuration (Configuración).
3. Cambia Routing method (Método de enrutamiento) por Priority (Prioridad), como
se muestra en la figura 11.9:
Figura 11.9: Cambiar el método de enrutamiento a prioridad
Cómo funciona...
El método de prioridad establece un orden de prioridad para los puntos de conexión.
Todo el tráfico irá primero a los puntos de conexión con la prioridad más alta. Se realiza
una copia de seguridad de otros puntos de conexión (con menor prioridad) y el tráfico
se enruta a estos puntos de conexión solo cuando los puntos de conexión con mayor
prioridad no están disponibles. El orden de prioridad predeterminado es el orden en
el que se añaden puntos de conexión a Traffic Manager, donde el punto de conexión
añadido primero se convierte en el que tiene la prioridad más alta y el añadido el
último se convierte en el que tiene la menor prioridad. El método de prioridad se puede
cambiar en la configuración de los puntos de conexión.
En la siguiente receta, aprenderemos a configurar el tráfico en función de la ubicación
geográfica.
Configurar el tráfico en función de la ubicación geográfica
El método de ubicación geográfica es otro método de enrutamiento de Traffic Manager.
Este método se basa en la latencia de red y dirige una solicitud basándose en la
ubicación geográfica del origen y el punto de conexión. Cuando llega una solicitud a
Traffic Manager, en función del origen de la solicitud, se enruta al punto de conexión
más cercano según la región. De esta manera, proporciona la menor latencia de red
posible. En esta receta configuraremos Traffic Manager para enrutar el tráfico en
función de la ubicación geográfica.
Configurar el tráfico en función de la ubicación geográfica | 205
Preparación
Antes de empezar, abre el navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para establecer que el método de enrutamiento esté basado en ubicación geográfica,
debemos hacer lo siguiente:
1.
En el portal de Azure, localiza el perfil de Traffic Manager creado anteriormente.
2. En Settings (Configuración), selecciona la opción Configuration (Configuración).
3. Cambia el método de enrutamiento a Geographic (Geográfico), como se muestra
en la figura 11.10
Figura 11.10: Cambiar el método de enrutamiento a geográfico
Cómo funciona...
El método de enrutamiento geográfico asigna el origen de la solicitud al punto de
conexión más cercano en cuanto a la ubicación geográfica.
Por ejemplo, supongamos que tenemos varios puntos de conexión, cada uno en un
continente distinto. Si una solicitud proviene de Europa, no tendría sentido enrutarla
a Asia o América del Norte. El método de enrutamiento geográfico se asegurará de que
una solicitud procedente de Europa se dirija al punto de conexión situado en Europa.
Pasemos a la siguiente receta y aprendamos a administrar puntos de conexión.
206 | Traffic Manager
Administrar puntos de conexión
Tras añadir puntos de conexión a Traffic Manager, es posible que tengamos que realizar
cambios a lo largo del tiempo. Esto puede ser para realizar ajustes o para eliminar
completamente los puntos de conexión. En esta receta, editaremos los puntos de
conexión existentes en Traffic Manager.
Preparación
Antes de empezar, abre el navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para realizar cambios en los puntos de conexión de Traffic Manager, debemos hacer lo
siguiente:
1.
En el portal de Azure, localiza el perfil de Traffic Manager creado anteriormente.
2. En Settings (Configuración), selecciona Endpoints (Puntos de conexión). En la lista
que aparece, selecciona el punto de conexión que quieras cambiar:
Figura 11.11: Cambiar los puntos de conexión en Traffic Manager
Administrar perfiles | 207
3. En el nuevo panel, podemos eliminar, deshabilitar o realizar ajustes en el punto de
conexión:
Figura 11.12: Panel para realizar ajustes en el punto de conexión
Cómo funciona...
El punto de conexión existente en el back-end de Traffic Manager se puede cambiar.
Podemos eliminar el punto de conexión para que desaparezca por completo de Traffic
Manager o podemos deshabilitarlo para eliminarlo temporalmente de back-end.
También podemos cambiar el punto de conexión completamente para que apunte a
otro servicio o a un tipo completamente diferente.
En esta receta, hemos aprendido a administrar puntos de conexión. En la siguiente
receta, aprenderemos a administrar y ajustar perfiles.
Administrar perfiles
El perfil de Traffic Manager es otra configuración que podemos administrar y ajustar.
Aunque tiene opciones muy limitadas, con las que solo podemos deshabilitar y habilitar
Traffic Manager, la administración de la configuración del perfil puede ser muy útil para
fines de mantenimiento. En esta receta, vamos a administrar nuestro perfil de Traffic
Manager.
Preparación
Antes de empezar, abre tu navegador y ve al portal de Azure en https://portal.azure.com.
208 | Traffic Manager
Cómo hacerlo...
Para realizar cambios en el perfil de Traffic Manager, debemos hacer lo siguiente:
1.
En el portal de Azure, localiza el perfil de Traffic Manager creado anteriormente.
2. En Overview (Información general), selecciona la opción Disable profile
(Deshabilitar perfil) y confírmalo haciendo clic en el botón Yes (Sí):
Figura 11.13: Deshabilitar un perfil
3. Una vez que el perfil se ha deshabilitado, se puede habilitar de nuevo con la opción
Enable profile (Habilitar perfil):
Figura 11.14: Habilitar un perfil
Cómo funciona...
La administración del perfil de Traffic Manager con las opciones de deshabilitación y
habilitación hará que el front-end de Traffic Manager esté o deje de estar disponible
(según la opción seleccionada). Esto puede ser muy útil para fines de mantenimiento. Si
debemos aplicar cambios en todos los puntos de conexión y los cambios deben aplicarse
a todos los puntos de conexión al mismo tiempo, podemos deshabilitar el perfil de Traffic
Manager temporalmente. Tras haber aplicado los cambios a todos los puntos de conexión,
podemos hacer que Traffic Manager esté disponible de nuevo habilitando el perfil.
Pasemos a la siguiente receta y aprendamos a configurar Traffic Manager con
equilibradores de carga.
Configurar Traffic Manager con equilibradores de carga | 209
Configurar Traffic Manager con equilibradores de carga
La combinación de Traffic Manager con equilibradores de carga se suele realizar
para proporcionar la máxima disponibilidad. Los equilibradores de carga se limitan a
proporcionar alta disponibilidad a un conjunto de recursos ubicados en la misma región.
Esto nos da una ventaja si se produce un error en un único recurso, ya que tenemos
varias instancias de un recurso. Pero ¿qué pasa si deja de funcionar toda una región?
Los equilibradores de carga no pueden controlar los recursos en varias regiones, pero
podemos combinar equilibradores de carga con Traffic Manager para proporcionar
una disponibilidad aún mayor con recursos de varias regiones de Azure. En esta receta,
configuraremos Traffic Manager para que funcione con equilibradores de carga.
Preparación
Antes de empezar, abre tu navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para configurar Traffic Manager con un equilibrador de carga, debemos hacer lo
siguiente:
1.
En el portal de Azure, localiza el equilibrador de carga y comprueba que tenga la
dirección IP asignada como se explica en el capítulo 8, Equilibradores de carga.
Solo se pueden utilizar direcciones IP públicas:
Figura 11.15: Verificar la dirección IP asignada de un equilibrador de carga
210 | Traffic Manager
2. Ve a Traffic Manager y selecciona Add (Añadir) para añadir un nuevo punto de
conexión. Selecciona Azure endpoint (Punto de conexión de Azure) para Type
(Tipo), facilita un nombre para el punto de conexión y selecciona Public IP address
(Dirección IP pública) como el tipo del recurso de destino. En función del tipo
seleccionado, aparecerá una nueva opción que nos permitirá seleccionar recursos
que coincidan con el tipo que hemos seleccionado. En nuestro caso, la opción de
seleccionar Public IP address (Dirección IP pública) está disponible:
Figura 11.16: Configurar un nuevo punto de conexión en Traffic Manager
3. Repite el proceso y añade otro equilibrador de carga (de otra región) como
segundo punto de conexión de Traffic Manager.
Cómo funciona...
Los equilibradores de carga proporcionan una mejor disponibilidad, ya que mantienen
un servicio activo incluso si se produce un error en uno de los servicios del grupo de
back-end. Si se produce un error en una región, los equilibradores de carga no pueden
proporcionar ayuda porque están limitados a una sola región. Debemos proporcionar
otro conjunto de recursos en otra región para aumentar realmente la disponibilidad,
pero estos conjuntos serán completamente independientes y no proporcionarán
conmutación por error a menos que incluyamos Traffic Manager. Traffic Manager
se convertirá en el front-end y añadiremos equilibradores de carga como puntos de
conexión en el back-end de Traffic Manager. Todas las solicitudes llegarán primero a
Traffic Manager y después se enrutarán al equilibrador de carga adecuado en el backend. Traffic Manager supervisará el estado de los equilibradores de carga y, si uno de
ellos no está disponible, el tráfico se redirigirá a un equilibrador de carga activo.
12
Azure Application
Gateway y Azure WAF
Azure Application Gateway es esencialmente un equilibrador de carga para el tráfico
web, pero también nos proporciona un mejor control del tráfico. Los equilibradores
de carga tradicionales funcionan en la capa de transporte y nos permiten enrutar el
tráfico en función del protocolo (TCP o UDP) y la dirección IP, mediante la asignación
de direcciones IP y protocolos en el front-end a direcciones IP y protocolos en el backend. Este modo de operación "clásico" se conoce como capa 4. La puerta de enlace de
aplicaciones se amplía y nos permite utilizar nombres de host y rutas para determinar
adónde debe ir el tráfico, lo que lo convierte en un equilibrador de carga de capa 7. Por
ejemplo, podemos tener varios servidores optimizados para diferentes cosas. Si uno de
nuestros servidores está optimizado para vídeo, todas las solicitudes de vídeo deben
enrutarse a ese servidor específico en función de la solicitud de URL entrante.
212 | Azure Application Gateway y Azure WAF
En este capítulo, abordaremos las siguientes recetas:
• Crear una nueva puerta de enlace de aplicaciones
• Configurar los grupos de back-end
• Configurar las opciones de HTTP
• Configurar agentes de escucha
• Configurar reglas
• Configurar sondeos
• Configurar un firewall de aplicaciones web (WAF)
• Personalizar las reglas del WAF
• Crear una política de WAF
Requisitos técnicos
Para este capítulo, se requiere una suscripción a Azure.
Crear una nueva puerta de enlace de aplicaciones
Azure Application Gateway se puede usar como un equilibrador de carga simple para
realizar la distribución de tráfico desde el front-end hasta el back-end basándose
en protocolos y puertos. Pero también puede desarrollar más esa tarea y realizar
enrutamiento adicional basándose en nombres de host y rutas. Esto nos permite
tener grupos de recursos basados en reglas, así como optimizar un rendimiento
específico. El uso de estas opciones y la realización de un enrutamiento basado en el
contexto aumentarán el rendimiento de la aplicación, además de proporcionar alta
disponibilidad. Naturalmente, en este caso, necesitamos tener varios recursos para cada
tipo de rendimiento en cada grupo de back-end (cada tipo de rendimiento solicita un
grupo de back-end independiente).
Preparación
Antes de empezar, abre el navegador y ve al portal de Azure en https://portal.azure.com.
Crear una nueva puerta de enlace de aplicaciones | 213
Cómo hacerlo...
Para crear una nueva puerta de enlace de aplicaciones, debemos hacer lo siguiente:
1.
En el portal de Azure, selecciona Create a resource (Crear un recurso) y elige
Application gateway (Puerta de enlace de aplicaciones) en Networking (Redes) (o
también puedes buscar application gateway [puerta de enlace de aplicaciones] en
la barra de búsqueda).
2. En el nuevo panel, tenemos que facilitar la información de Subscription (Suscripción),
Resource group (Grupo de recursos), Name (Nombre), Region (Región), Tier (Capa),
Autoscaling (Escalado automático), Instance count (Recuento de instancias),
Availability zone (Zona de disponibilidad) y HTTP2. También debemos seleccionar
los valores de Virtual network (Red virtual) y Subnet (Subred) que se asociarán con
nuestra puerta de enlace de aplicaciones. Estarás limitado a las redes virtuales que se
encuentran en la región seleccionada para la puerta de enlace de aplicaciones:
Figura 12.1: Configurar los detalles del proyecto para la puerta de enlace de aplicaciones
214 | Azure Application Gateway y Azure WAF
3. Ahora, rellenamos la pestaña Frontends. Tenemos que seleccionar el tipo de
dirección IP que utilizará el front-end (Public [Pública], Private [Privada] o Both
[Ambas]) y proporcionar una IP (selecciona una existente o crea una nueva):
Figura 12.2: Seleccionar el tipo de dirección IP del front-end
4. A continuación está la pestaña Backends. Debemos seleccionar Add a backend
pool (Añadir un grupo de back-end):
Figura 12.3: Definir los back-ends para la puerta de enlace de aplicaciones
Crear una nueva puerta de enlace de aplicaciones | 215
5. En este punto, se abrirá un nuevo panel. Debemos proporcionar información
para Name (Nombre) y elegir si queremos añadir un grupo de back-end con o
sin destinos. Si elegimos añadir destinos en esta etapa, primero tenemos que
seleccionar Target type (Tipo de destino). Los tipos disponibles son máquinas
virtuales, conjuntos de escalado de máquinas virtuales, servicios de aplicaciones
y direcciones IP/FQDN. Según la selección del tipo, puedes añadir los destinos
correspondientes:
Figura 12.4: Añadir un grupo de back-end
216 | Azure Application Gateway y Azure WAF
6. Después de añadir un grupo de back-end, podemos ver la información relacionada
y continuar. Ten en cuenta que podemos añadir más de un grupo de back-end:
Figura 12.5: Revisar la configuración del grupo de back-end
7. En el panel Configuración, podemos ver que los grupos de front-end y back-end
están aplicados, pero nos falta una regla de enrutamiento. Es obligatoria para
continuar, por lo que debemos crear una mediante la selección de Add a routing
rule (Añadir una regla de enrutamiento):
Figura 12.6: Crear una regla de enrutamiento
Crear una nueva puerta de enlace de aplicaciones | 217
8. En el nuevo panel, primero debemos definir un agente de escucha. Para el agente
de escucha debemos proporcionar un nombre, seleccionar la configuración
Frontend IP (IP de front-end) y proporcionar un Port (Puerto) y un Protocol
(Protocolo) que se van a supervisar: También podemos cambiar el botón de
opción Listener type (Tipo de agente de escucha) y añadir una página de URL de
redirección para los errores (solo puede ser una dirección URL de la cuenta de
almacenamiento de Azure):
Figura 12.7: Configurar las opciones del agente de escucha para la regla de enrutamiento
218 | Azure Application Gateway y Azure WAF
9. Para la regla de enrutamiento, también tenemos que configurar los Backend
targets (Destinos de back-end). En esta sección, tenemos que establecer Target
type (Tipo de destino), Backend target (Destino de back-end) y HTTP settings
(Configuración de HTTP). En esta etapa, todavía nos falta una configuración HTTP,
por lo que tenemos que seleccionar Add new (Añadir nuevo) en el campo HTTP
settings (Configuración de HTTP):
Figura 12.8: Configurar destinos de back-end para la regla de enrutamiento
Crear una nueva puerta de enlace de aplicaciones | 219
10. En el nuevo panel, primero tenemos que proporcionar nuestra configuración de
HTTP con un nombre y añadir detalles para Backend protocol (Protocolo de backend) y Backend port (Puerto de back-end). También debemos habilitar o deshabilitar
Cookie-based affinity (Afinidad basada en cookies) y Connection draining (Vaciado
de conexiones) antes de especificar el período de Request time-out (seconds)
(Tiempo de espera de la solicitud [segundos]). Podemos habilitar o deshabilitar la
configuración Create custom probes (Crear sondeos personalizados) y Override
with new host name (Reemplazar por el nuevo nombre de host):
Figura 12.9: Añadir una configuración de HTTP
220 | Azure Application Gateway y Azure WAF
11. Después de crear la configuración de HTTP, se añadirá automáticamente a nuestra
regla de enrutamiento, que ahora podemos finalizar:
Figura 12.10: Configuración final para añadir una regla de enrutamiento
12. La configuración ahora está completada y podemos seguir adelante e implementar
nuestra puerta de enlace de aplicaciones:
Figura 12.11: Implementar nuestra puerta de enlace de aplicaciones
Configurar los grupos de back-end | 221
Cómo funciona...
Azure Application Gateway es muy similar a Azure Load Balancer, con algunas
opciones adicionales. Enrutará el tráfico que llega al front-end de la puerta de enlace
de aplicaciones a un back-end definido basado en las reglas que definimos. Además
del enrutamiento basado en protocolos y puertos, la puerta de enlace de aplicaciones
también permite el enrutamiento definido basado en rutas y protocolos. Con estas
reglas adicionales, podemos enrutar las solicitudes entrantes a los puntos de conexión
optimizados para determinados roles. Por ejemplo, podemos tener varios grupos
de back-end con diferentes configuraciones optimizados para realizar solo tareas
específicas. En función de la naturaleza de las solicitudes entrantes, la puerta de enlace
de aplicaciones enrutará las solicitudes al grupo de back-end adecuado. Este enfoque,
junto con la alta disponibilidad, proporcionará un mejor rendimiento enrutando
cada solicitud a un grupo de back-end que procesará la solicitud de una manera más
optimizada.
Podemos configurar el escalado automático para la puerta de enlace de aplicaciones
(disponible solo para V2) con información adicional para el número mínimo y máximo
de unidades. De esta manera, la puerta de enlace de aplicaciones se escalará en función
de la demanda y garantizará que el rendimiento no se vea afectado, incluso con el
número máximo de solicitudes.
Configurar los grupos de back-end
Después de crear la puerta de enlace de aplicaciones, debemos definir los grupos de
back-end. El tráfico que llega al front-end de la puerta de enlace de aplicaciones se
reenviará a los grupos de back-end. Los grupos de back-end en las puertas de enlace de
aplicaciones son los mismos que los grupos de back-end de los equilibradores de carga
y se definen como los posibles destinos a los que se enrutará el tráfico en función de
otras opciones de configuración que se añadirán en futuras recetas de este capítulo.
Preparación
Antes de empezar, abre el navegador y ve al portal de Azure en https://portal.azure.com.
222 | Azure Application Gateway y Azure WAF
Cómo hacerlo...
Para añadir grupos de back-end a nuestra puerta de enlace de aplicaciones, debemos
hacer lo siguiente:
1.
En el portal de Azure, localiza el perfil de la puerta de enlace de aplicaciones
creado anteriormente.
2. En el panel Application gateway (Puerta de enlace de aplicaciones), en Settings
(Configuración), selecciona Backend pools (Grupos de back-end). Selecciona Add
(Añadir) para añadir un nuevo grupo de back-end o seleccionar uno existente para
editarlo:
Figura 12.12: Añadir un grupo de back-end a nuestra puerta de enlace de aplicaciones
3. En el nuevo panel, la única diferencia entre los grupos nuevos y los existentes es
el nombre. Para un grupo nuevo, debemos proporcionar el nombre del grupo de
back-end y, en el caso de los grupos existentes, esta opción está atenuada y no se
puede editar. Para los grupos nuevos y existentes, debemos proporcionar el tipo
de destino. Los tipos disponibles son máquinas virtuales, conjuntos de escalado
de máquinas virtuales, servicios de aplicaciones y direcciones IP/FQDN. Según la
selección del tipo, puedes añadir los destinos correspondientes:
Configurar los grupos de back-end | 223
Figura 12.13: Proporcionar el tipo de destino del grupo de back-end
Cómo funciona...
Con los grupos de back-end, definimos los destinos a los que se reenviará el tráfico.
Dado que la puerta de enlace de aplicaciones nos permite definir el enrutamiento para
cada solicitud, es mejor tener destinos basados en el rendimiento y tipos agrupados de
la misma manera. Por ejemplo, si tenemos varios servidores web, estos deben colocarse
en el mismo grupo de back-end. Los servidores utilizados para el procesamiento de
datos deben colocarse en un grupo independiente y los servidores que se usan para
el vídeo en otro grupo independiente. De esta manera, podemos separar los grupos
en función de los tipos de rendimiento y enrutar el tráfico según las operaciones que
deben completarse.
De este modo aumentará el rendimiento de nuestra aplicación, ya que cada solicitud
la procesará el recurso mejor adaptado a una tarea específica. Para lograr una alta
disponibilidad, debemos añadir más servidores a cada grupo de back-end.
224 | Azure Application Gateway y Azure WAF
Configurar las opciones de HTTP
La configuración de HTTP en las puertas de enlace de aplicaciones se utiliza para la
validación y para varias configuraciones del tráfico. Su finalidad principal es asegurarse
de que las solicitudes se dirigen al grupo de back-end adecuado. También se incluyen
algunas configuraciones de HTTP, como la afinidad o el vaciado de conexiones. La
configuración de anulación también forma parte de la configuración de HTTP, que te
permitirá forzar el redireccionamiento si se envía una solicitud incompleta o incorrecta.
Preparación
Antes de empezar, abre el navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para añadir la configuración de HTTP a nuestra puerta de enlace de aplicaciones,
debemos hacer lo siguiente:
1.
En el portal de Azure, localiza el perfil de la puerta de enlace de aplicaciones
creado anteriormente.
2. En el panel Application gateway (Puerta de enlace de aplicaciones), en Settings
(Configuración), selecciona HTTP settings (Configuración de HTTPS). Selecciona
Add (Añadir) para añadir una nueva configuración de HTTP o seleccionar una
existente para editarla:
Figura 12.14: Localizar la configuración de HTTP en el panel de la puerta de enlace de aplicaciones
Configurar las opciones de HTTP | 225
3. En el nuevo panel, primero tenemos que proporcionar un nombre (si vas a editar
una configuración de HTTP existente, esta opción aparecerá atenuada). Las
siguientes opciones nos permiten habilitar o deshabilitar Cookie-based affinity
(Afinidad basada en cookies) y Connection draining (Vaciado de conexiones).
Además, seleccionamos nuestro Protocol (Protocolo), Port (Puerto) y el período
de Request time-out (seconds) (Tiempo de espera de la solicitud [segundos]). La
configuración opcional nos permite configurar Use custom probe (Usar sondeo
personalizado) y Override with new host name (Reemplazar por el nuevo nombre
de host):
Figura 12.15: Configurar las opciones de HTTP
226 | Azure Application Gateway y Azure WAF
Cómo funciona...
Como hemos mencionado anteriormente, el propósito principal de la configuración de
HTTP es asegurarse de que las solicitudes se dirijan al grupo de back-end correcto. Sin
embargo, hay disponibles otras opciones. La afinidad basada en cookies nos permite
enrutar las solicitudes desde el mismo origen al mismo servidor de destino en el grupo
de back-end. El vaciado de conexiones controlará el comportamiento cuando se quite
el servidor del grupo de back-end. Si está habilitado, el servidor ayudará a mantener
solicitudes en proceso al mismo servidor. La configuración de anulación nos permite
cambiar la ruta de la URL a una ruta diferente o a un dominio completamente nuevo,
antes de reenviar la solicitud al grupo de back-end.
Configurar agentes de escucha
Los agentes de escucha en una puerta de enlace de aplicaciones están a la escucha de
solicitudes entrantes. Una vez detectada una nueva solicitud, se reenvía al grupo de
back-end en función de las reglas y la configuración que hemos definido. En esta receta,
añadiremos un nuevo agente de escucha a nuestra puerta de enlace de aplicaciones.
Preparación
Antes de empezar, abre el navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para añadir un agente de escucha a una puerta de enlace de aplicaciones, debemos
hacer lo siguiente:
1.
En el portal de Azure, localiza el perfil de la puerta de enlace de aplicaciones
creado anteriormente.
2. En el panel Application gateway (Puerta de enlace de aplicaciones), en Settings
(Configuración), selecciona Listeners (Agentes de escucha) y, después, elige Add
listener (Añadir agente de escucha) para añadir un nuevo agente de escucha o
editar uno ya existente:
Figura 12.16: Añadir un nuevo agente de escucha a través del portal de Azure
Configurar agentes de escucha | 227
3. En el nuevo panel, tenemos que proporcionar un nombre para el agente
de escucha (si estás editando un agente de escucha existente, esta opción
estará atenuada), seleccionar la configuración Frontend IP (IP de front-end) y
proporcionar el Port (Puerto) y Protocol (Protocolo) que se supervisarán. Además,
podemos configurar Listener type (Tipo de agente de escucha) y una página de
URL personalizada para los errores:
Figura 12.17: Configurar las opciones del agente de escucha para nuestra puerta de enlace de aplicaciones
Cómo funciona...
Un agente de escucha supervisa las nuevas solicitudes que llegan a la puerta de enlace
de aplicaciones. Cada agente de escucha supervisa una sola dirección IP de frontend y un solo puerto. Si tenemos dos direcciones IP de front-end (una pública y otra
privada) y tráfico procedente de varios protocolos y puertos, debemos crear un agente
de escucha para cada dirección IP y cada puerto al que el tráfico pueda estar llegando.
El tipo de agente de escucha básico se utiliza cuando este escucha un único dominio; se
utiliza normalmente cuando hospedamos una sola aplicación detrás de una puerta de
enlace de aplicaciones. Se utiliza un agente de escucha de varios sitios cuando tenemos
más de una aplicación detrás de la puerta de enlace de aplicaciones y necesitamos
configurar el enrutamiento en función de un nombre de host o de dominio.
228 | Azure Application Gateway y Azure WAF
Configurar reglas
Las reglas de las puertas de enlace de aplicaciones se utilizan para determinar cómo
fluye el tráfico. Las diferentes configuraciones determinan a dónde se reenvía una
solicitud específica y cómo se hace.
Preparación
Antes de empezar, abre el navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para añadir una regla a la puerta de enlace de aplicaciones, debemos hacer lo siguiente:
1.
En el portal de Azure, localiza el perfil de la puerta de enlace de aplicaciones
creado anteriormente.
2. En el panel Application gateway (Puerta de enlace de aplicaciones), en Settings
(Configuración), selecciona Rules (Reglas). Añade una nueva regla o selecciona una
existente para editarla:
Figura 12.18: Añadir una regla de enrutamiento para nuestra puerta de enlace de aplicaciones
Configurar reglas | 229
3. En el nuevo panel, debemos proporcionar un nombre para la nueva regla (si vas
a editar una regla existente, esta opción estará atenuada) y seleccionar Listener
(Agente de escucha), como se muestra en la figura 12.19:
Figura 12.19: Configurar la regla de enrutamiento
4. También tenemos que configurar un destino de back-end, donde tenemos que
definir Target type (Tipo de destino) y seleccionar opciones para Backend target
(Destino de back-end) y HTTP settings (Configuración de HTTP):
Figura 12.20: Configurar un destino de back-end para nuestra regla de enrutamiento
Cómo funciona...
Mediante reglas, podemos unificar algunas configuraciones creadas previamente.
Definimos un agente de escucha que especifica qué solicitud y en qué dirección IP
estamos esperando, y en qué puerto. A continuación, estas solicitudes se reenvían
al grupo de back-end. El reenvío se realiza en función de la configuración de HTTP.
También podemos añadir redireccionamiento a las reglas.
230 | Azure Application Gateway y Azure WAF
Configurar sondeos
Los sondeos de la puerta de enlace de aplicaciones se utilizan para supervisar el estado
de los destinos del back-end. Se supervisa cada punto de conexión y, si se descubre que
no está correcto, se quita temporalmente de la rotación y las solicitudes no se reenvían.
Cuando el estado cambia, se añade de nuevo. Esto impide que las solicitudes se envíen a
puntos de conexión incorrectos que no puedan resolver la solicitud.
Preparación
Antes de empezar, abre el navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para añadir un sondeo a nuestra puerta de enlace de aplicaciones, debemos hacer lo
siguiente:
1.
En el portal de Azure, localiza el perfil de la puerta de enlace de aplicaciones
creado anteriormente.
2. En el panel Application gateway (Puerta de enlace de aplicaciones), en Settings
(Configuración), selecciona Health probes (Sondeos de estado). Selecciona Add
(Añadir) para añadir el nuevo sondeo de estado:
Figura 12.21: Añadir un nuevo sondeo de estado
Configurar un firewall de aplicaciones web (WAF) | 231
3. En el nuevo panel, debemos proporcionar el valor de Name (Nombre) del sondeo
(esta opción aparecerá atenuada si se edita un sondeo existente), junto con los
valores de Protocol (Protocolo), Host y Path (Ruta). También necesitamos establecer
la configuración de Interval (seconds) (Intervalo [segundos]), Timeout (seconds)
(Tiempo de espera [segundos]) y Unhealthy threshold (Umbral incorrecto).
También podemos configurar Use probe matching conditions (Usar condiciones
de coincidencia de sondeo) y asociar HTTP settings (Configuración de HTTP):
Figura 12.22: Configurar los detalles del sondeo de estado
Cómo funciona...
Protocol (Protocolo), Host y Path (Ruta) definen qué sonda se está supervisando.
Interval (Intervalo) define con qué frecuencia se realizan las comprobaciones.
Timeout (Tiempo de espera) define cuánto tiempo debe transcurrir antes de que la
comprobación se declare como errónea. Por último, Unhealthy threshold (Umbral
incorrecto) se utiliza para establecer cuántas comprobaciones erróneas deben
producirse antes de que se declare el punto de conexión como no disponible.
Configurar un firewall de aplicaciones web (WAF)
El WAF es una configuración adicional para la puerta de enlace de aplicaciones. Se
utiliza para aumentar la seguridad de las aplicaciones detrás de la puerta de enlace de
aplicaciones y también proporciona una protección centralizada.
232 | Azure Application Gateway y Azure WAF
Preparación
Para habilitar un WAF, debemos establecer la puerta de enlace de aplicaciones en el
nivel del WAF. Para ello, debemos hacer esto:
1.
En el panel Application gateway (Puerta de enlace de aplicaciones), ve a Web
application firewall (Firewall de aplicaciones web), en Settings (Configuración).
Cambia la selección de Tier (Nivel) de Standard V2 (Estándar V2) a WAF V2
y selecciona Save (Guardar):
Figura 12.23: Configurar la puerta de enlace de aplicaciones en el nivel WAF V2
Cómo hacerlo...
Cuando la puerta de enlace de aplicaciones está configurada como WAF, podemos
habilitar y configurar las reglas del firewall. Para ello, debemos hacer esto:
Configurar un firewall de aplicaciones web (WAF) | 233
1.
En el panel Application gateway (Puerta de enlace de aplicaciones), ve a Web
application firewall (Firewall de aplicaciones web), en Settings (Configuración), y
habilita Firewall status (Estado de firewall). Tras establecer Firewall status (Estado
del firewall) en Enabled (Habilitado), aparecerá un nuevo conjunto de opciones:
Figura 12.24: Habilitar un WAF para nuestra puerta de enlace de aplicaciones
234 | Azure Application Gateway y Azure WAF
2. Debemos seleccionar un valor de Firewall mode (Modo de firewall), configurar
una lista de exclusiones, y especificar el valor de Global parameters (Parámetros
globales) de esta forma:
Figura 12.25: Configurar el WAF
Cómo funciona...
La función del WAF ayuda a aumentar la seguridad, ya que comprueba todo el tráfico
entrante. Como esto puede ralentizar el rendimiento, podemos excluir algunos
elementos que generen falsos positivos, especialmente cuando se trate de artículos
de tamaño importante. Los elementos excluidos no se inspeccionarán. El WAF puede
funcionar en dos modos: detección y prevención. La detección solo detectará si se envía
una solicitud malintencionada, mientras que la prevención detendrá dicha solicitud.
Personalizar las reglas del WAF
El WAF incorpora un conjunto predeterminado de reglas. Estas reglas se aplican para
aumentar la seguridad de las aplicaciones y evitar solicitudes maliciosas. Podemos
cambiar estas reglas para abordar problemas o requisitos específicos según sea necesario.
Preparación
Antes de empezar, abre el navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para cambiar las reglas del WAF, debemos hacer lo siguiente:
1.
Selecciona Web application firewall (Firewall de aplicaciones web) en Settings
(Configuración) en el panel Application gateway (Puerta de enlace de aplicaciones).
Personalizar las reglas del WAF | 235
2. Selecciona Rules (Reglas) en la configuración del WAF. Selecciona Enabled
(Habilitado) en Advanced rule configuration (Configuración avanzada de reglas),
como se muestra en la figura 12.26:
Figura 12.26: Habilitar la configuración avanzada de reglas
3. Las reglas aparecerán en forma de lista. Podemos marcar o desmarcar las casillas
para activar o desactivar las reglas:
Figura 12.27: Personalizar las reglas del WAF en el panel de la puerta de enlace de aplicaciones
236 | Azure Application Gateway y Azure WAF
Cómo funciona...
El WAF incluye todas las reglas activadas de forma predeterminada. Esto puede
ralentizar el rendimiento, por lo que podemos deshabilitar algunas de las reglas si es
necesario. Además, hay tres conjuntos de reglas disponibles: OWASP 2.2.9, OWASP 3.0 y
OWASP 3.1. El conjunto de reglas predeterminado (y recomendado) es OWASP 3.0, pero
podemos cambiar de un conjunto de reglas a otro según sea necesario.
Crear una política de WAF
Una política del WAF nos permite gestionar las opciones y las configuraciones del WAF
como un recurso independiente. De este modo, podemos aplicar la misma política a
varios recursos en lugar de hacerlo a puertas de enlace de aplicaciones individuales.
Se puede asociar una política de WAF a Application Gateway, Front Door o CDN.
Preparación
Antes de empezar, abre el navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para crear una nueva puerta de enlace de aplicaciones, debemos hacer lo siguiente:
1.
En el portal de Azure, selecciona Create a resource (Crear un recurso) y elige
Web Application Firewall (Firewall de aplicaciones web) en los servicios de
Networking (Redes) (o también puedes buscar Web Application Firewall [Firewall
de aplicaciones web] en la barra de búsqueda).
2. En el nuevo panel, debemos completar primero la sección Basics (Datos básicos).
Tenemos que establecer para qué se va a utilizar la política (Application Gateway,
Front Door o CDN), configurar los valores de Subscription (Suscripción) y
Resource group (Grupo de recursos) y rellenar los campos Policy name (Nombre
de la política) y Location (Ubicación). Además, podemos establecer si la política se
habilitará o deshabilitará una vez creada:
Crear una política de WAF | 237
Figura 12.28: Crear una nueva política de WAF
238 | Azure Application Gateway y Azure WAF
3. En Policy settings (Configuración de política), podemos establecer Mode (Modo)
en Detection (Detección) o Prevention (Prevención), junto con Exclusions
(Exclusiones) y Global parameters (Parámetros globales):
Figura 12.29: Configurar las opciones de tu política del WAF
4. En Managed rules (Reglas administradas), podemos seleccionar un conjunto de
reglas (OWASP 2.2.9, OWASP 3.0 o OWASP 3.1) y deshabilitar algunas reglas si es
necesario (no se recomienda deshabilitar las reglas a menos que sea necesario):
Figura 12.30: Configurar reglas para la política del WAF
Crear una política de WAF | 239
5. En Custom rules (Reglas personalizadas), podemos añadir reglas adicionales si es
necesario. Selecciona Add custom rule (Añadir regla personalizada) para añadir una:
Figura 12.31: Añadir una regla personalizada a nuestra política del WAF
6. Se abrirá un nuevo panel que nos permitirá definir una regla personalizada.
Tenemos que rellenar el campo Custom rule name (Nombre de regla
personalizada) y establecer Priority (Prioridad) en 1. En Conditions (Condiciones),
vamos a crear un tipo de coincidencia y variables que deben coincidir para activar
la regla. Por último, establecemos una respuesta (permitir, denegar o registrar):
Figura 12.32: Definir condiciones para la regla personalizada
240 | Azure Application Gateway y Azure WAF
7. Una vez creada la regla personalizada, aparecerá en la lista y podemos ir a la
sección Association (Asociación):
Figura 12.33: Lista que muestra la nueva regla personalizada
8. En la sección Association (Asociación), vamos a crear una asociación con el
servicio al que queremos aplicar la política. Esta sección dependerá del tipo de
servicio seleccionado anteriormente (en nuestro caso, la puerta de enlace de
aplicaciones). Selecciona Associate an application gateway (Asociar una puerta
de enlace de aplicaciones):
Figura 12.34: Crear una asociación con nuestra puerta de enlace de aplicaciones
9. En el nuevo panel, selecciona Application gateway (Puerta de enlace de aplicaciones)
en el menú desplegable. Ten en cuenta que solo se admite WAF V2 SKU:
Figura 12.35: Elegir la puerta de enlace de aplicaciones en el menú desplegable
Crear una política de WAF | 241
10. Una vez seleccionado el valor de Application gateway (Puerta de enlace de
aplicaciones), debemos asociar agentes de escucha. Selecciona Associate listener
(Asociar agente de escucha) en Associate HTTP listeners (Asociar agentes de
escucha de HTTP). En el nuevo panel, en el menú desplegable, selecciona el agente
de escucha que quieras utilizar:
Figura 12.36: Seleccionar el agente de escucha en el menú desplegable
11. Una vez asociado el agente de escucha, podemos empezar a crear nuestra política
de WAF:
Figura 12.37: Configuración final de nuestra nueva política de WAF
Cómo funciona...
Nuestra política de WAF contiene todas las opciones y la configuración necesarias
para nuestro WAF y se puede asociar a Application Gateway, Front Door o CDN.
Puede asociarse con varios recursos, pero solo con un tipo a la vez. En Mode (Modo)
se determina qué tipo de acción se va a realizar cuando se detecte un problema.
Prevention (Prevención) bloqueará las solicitudes sospechosas y Detection (Detección)
solo creará una entrada de registro.
13
Azure Front Door
y Azure CDN
Varios servicios de red de Microsoft Azure están dedicados a la entrega de aplicaciones.
Azure Front Door y Azure CDN son servicios que nos permiten crear aplicaciones para
la entrega global y aprovechar la red global de centros de datos de Azure. Al aprovechar
esta función, podemos proporcionar la misma experiencia a nuestros usuarios,
independientemente de su ubicación física.
En este capítulo, abordaremos las siguientes recetas:
• Crear una instancia de Azure Front Door
• Crear un perfil de Azure CDN
Requisitos técnicos
Para este capítulo, se necesita lo siguiente:
• Una suscripción a Azure
244 | Azure Front Door y Azure CDN
Crear una instancia de Azure Front Door
Azure Front Door se utiliza para el enrutamiento global del tráfico web para
aplicaciones distribuidas en diferentes regiones de Azure. Con Azure Front Door,
podemos definir, administrar y supervisar el enrutamiento de nuestro tráfico web
y facilitar una conmutación por error global rápida. Nos permite entregar nuestras
aplicaciones con el mejor rendimiento y alta disponibilidad. Azure Front Door es un
equilibrador de carga L7, similar a Application Gateway. Sin embargo, hay una diferencia
en cuanto a la distribución global. En términos de distribución global, es similar a
otro servicio: Traffic Manager. En esencia, Azure Front Door combina las mejores
características de Application Gateway y Traffic Manager: la seguridad de Application
Gateway y la capacidad de distribución de Traffic Manager.
Preparación
Azure Front Door requiere servicios que se añadirán al grupo de back-end. Puedes
utilizar un script en la sección Preparación de la receta Añadir un punto de conexión,
en el capítulo 11, Traffic Manager.
Después, abre el navegador web y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para crear una nueva instancia de Azure Front Door, sigue estos pasos:
1.
En el portal de Azure, selecciona Create a resource (Crear un recurso) y elige
Front Door en los servicios de Networking (Redes) (o también puedes buscar Front
Door en la barra de búsqueda).
2. En el nuevo panel, tenemos varias secciones para tratar. En Basics (Datos básicos),
tenemos que proporcionar detalles sobre Subscription (Suscripción) y Resource
group (Grupo de recursos). El valor de Resource group location (Ubicación del
grupo de recursos) se selecciona y se atenúa automáticamente:
Crear una instancia de Azure Front Door | 245
Figura 13.1: Proporcionar detalles de la suscripción y del grupo de recursos
3. En la sección Configuration (Configuración), tenemos que proporcionar detalles
para Frontends/domains (Front-ends/dominios), Backend pools (Grupos de backend) y Routing rules (Reglas de enrutamiento). Haz clic en el cuadro Frontends/
domains (Front-ends/dominios) para abrir el panel de configuración:
Figura 13.2: Seleccionar la opción de configuración Frontends/domains (Front-ends/dominios)
246 | Azure Front Door y Azure CDN
4. En el nuevo panel, debemos proporcionar un nombre de host y seleccionar
si queremos habilitar SESSION AFFINITY (AFINIDAD DE SESIÓN) y WEB
APPLICATION FIREWALL (FIREWALL DE APLICACIONES WEB):
Figura 13.3: Habilitar SESSION AFFINITY (AFINIDAD DE SESIÓN) y WEB APPLICATION FIREWALL
(FIREWALL DE APLICACIONES WEB)
5. Una vez creado el front-end, volveremos a la sección Configuration
(Configuración). Selecciona Backend pools (Grupos de back-end) para iniciar
el siguiente panel de configuración:
Figura 13.4: Seleccionar la opción de configuración de grupos de back-end
Crear una instancia de Azure Front Door | 247
6. Tenemos que proporcionar un nombre para nuestro grupo de back-end y añadirle
servicios. Para añadir un back-end, selecciona la opción Add a backend (Añadir un
back-end):
Figura 13.5: Añadir un grupo de back-end
7. Para añadir un back-end, primero debemos seleccionar Backend host type (Tipo de
host de back-end) y Subscription (Suscripción). En función de nuestra selección,
se nos permitirá elegir servicios (de un tipo seleccionado en la suscripción
seleccionada) en Backend host name (Nombre de host de back-end). También
tenemos que proporcionar detalles para Backend host header (Encabezado de host
de back-end), puertos (HTTP y HTTPS), Priority (Prioridad) y Weight (Peso). Por
último, tenemos que seleccionar la opción Enabled (Habilitado) para Status (Estado):
Figura 13.6: Detalles del grupo de back-end
248 | Azure Front Door y Azure CDN
8. Repite este proceso para añadir al menos otro punto de conexión al grupo de
back-end:
Figura 13.7: Añadir otro punto de conexión al grupo de back-end
Crear una instancia de Azure Front Door | 249
9. Una vez que hayamos añadido puntos de conexión suficientes al grupo de backend, podemos seguir con la configuración:
Figura 13.8: Configurar el grupo de back-end
10. Los sondeos de estado requieren información para Path (Ruta) (usa / para la
opción predeterminada o añade la tuya propia), Protocol (Protocolo) (HTTP o
HTTPS), Probe method (Método de sondeo) (HEAD o GET) e Interval (Intervalo)
en segundos (con qué frecuencia comprobará el sondeo el estado del back-end):
Figura 13.9: Configurar los sondeos de estado para comprobar el estado del back-end
250 | Azure Front Door y Azure CDN
11. En la sección LOAD BALANCING (EQUILIBRIO DE CARGA), debemos proporcionar
información para Sample size (Tamaño de muestra), Successful samples required
(Muestras correctas necesarias) y Latency sensitivity (Sensibilidad de latencia):
Figura 13.10: Panel LOAD BALANCING (EQUILIBRIO DE CARGA)
12. Una vez que hayamos añadido toda la información necesaria, podemos crear
un grupo de back-end. Volveremos de nuevo a la sección Configuration
(Configuración). Selecciona Routing rules (Reglas de enrutamiento) para abrir el
panel Routing rules (Reglas de enrutamiento):
Figura 13.11: Seleccionar la opción de configuración de reglas de enrutamiento
13. En el panel Add a rule (Añadir una regla), debemos proporcionar los detalles de
Name (Nombre) (para nuestra regla), Accepted protocol (Protocolo aceptado)
(HTTP, HTTPS o ambos), Frontends/domains (Front-ends/dominios) (elige la
opción seleccionada anteriormente) y PATTERNS TO MATCH (PATRONES DE
COINCIDENCIA) (los patrones de ruta de URL que aceptará la ruta):
Crear una instancia de Azure Front Door | 251
Figura 13.12: Añadir los detalles de la regla de enrutamiento
14. En ROUTE DETAILS (DETALLES DE RUTA), debemos proporcionar detalles para
Route type (Tipo de ruta), Backend pool (Grupo de back-end) y Forwarding protocol
(Protocolo de reenvío). También podemos seleccionar si queremos habilitar las
opciones URL rewrite (Reescritura de URL) y Caching (Almacenamiento en caché):
Figura 13.13: El panel ROUTE DETAILS (DETALLES DE RUTA)
252 | Azure Front Door y Azure CDN
15. Una vez creada la regla de enrutamiento, tenemos todos los componentes
necesarios y podemos continuar con la creación de la instancia de Azure Front
Door en la pestaña Review + create (Revisar + crear):
Figura 13.14: Todos los componentes están configurados
Cómo funciona...
Todas las solicitudes de aplicación están llegando al front-end. En función de las reglas
que creamos, las solicitudes se reenvían a los puntos de conexión en el back-end. Las
reglas de equilibrio de carga garantizarán que las solicitudes se envíen al back-end
disponible más rápidamente.
La frecuencia de muestreo correcta garantiza que los puntos de conexión en el backend estén disponibles y determina cuántas muestras se envían al mismo tiempo.
Successful samples required (Muestras correctas necesarias) define cuántas solicitudes
deben ser correctas para que un punto de conexión se considere correcto. Latency
sensitivity (Sensibilidad de latencia) establece la tolerancia entre el punto de conexión
con la latencia más baja y el resto de los puntos de conexión. Por ejemplo, supongamos
que la configuración de Latency sensitivity (Sensibilidad de latencia) es de 30 ms,
mientras que la latencia del punto de conexión A es de 15 ms, la del B es de 30 ms y la
del C es de 90 ms. Los puntos de conexión A y B se colocarán en el grupo más rápido,
ya que la diferencia en latencia es menor que el umbral de sensibilidad y el punto de
conexión C queda fuera ya que está por encima del umbral.
Crear una instancia de Azure Front Door | 253
Las reglas de enrutamiento definen cómo se gestiona el tráfico y si el tráfico específico
debe redirigirse o reenviarse. Si se habilita la opción URL rewrite (Reescritura de URL),
podemos construir una URL que se reenviará a un back-end. Si el almacenamiento en
caché está habilitado, Azure Front Door almacenará contenido estático en caché para
una entrega más rápida.
Nota
Hay muchos términos y opciones iguales que los de Application Gateway y no
los explicaremos de nuevo. Además, Web Application Firewall (Firewall de
aplicaciones web) (WAF) es una opción que se puede habilitar en Azure Front Door
para mejorar la seguridad. Para obtener más información sobre el WAF, consulta
las recetas relacionadas del capítulo 12, Azure Application Gateway y Azure WAF.
Azure Front Door también incluye una serie de opciones y reglas configurables que
pueden ayudar a tus aplicaciones web a ofrecer un servicio centrado en el cliente y en
la marca. Estos son algunos de los recursos más importantes relacionados con Azure
Front Door:
• Más información sobre los dominios personalizados: https://docs.microsoft.
com/azure/frontdoor/front-door-custom-domain
• Más información sobre los dominios comodín: https://docs.microsoft.com/
azure/frontdoor/front-door-wildcard-domain
• Más información sobre el motor de reglas: https://docs.microsoft.com/azure/
frontdoor/front-door-rules-engine
• Más información sobre las condiciones de coincidencia del motor de reglas:
https://docs.microsoft.com/azure/frontdoor/front-door-rules-engine-matchconditions
• Más información sobre las acciones del motor de reglas: https://docs.microsoft.
com/azure/frontdoor/front-door-rules-engine-actions
Después de crear la instancia de Azure Front Door, pasemos a la siguiente receta
y aprendamos a crear un perfil de Azure CDN.
254 | Azure Front Door y Azure CDN
Crear un perfil de Azure CDN
Azure Content Delivery Network (Azure CDN) es una red distribuida que permite
una entrega más rápida de contenido web a los usuarios finales. Azure CDN guarda
contenido almacenado en caché en servidores perimetrales en varias ubicaciones
(regiones de Azure). Este contenido estará disponible para los usuarios finales más
rápidamente, con una latencia de red mínima.
Preparación
Antes de empezar, abre el navegador y ve al portal de Azure en https://portal.azure.com.
Cómo hacerlo...
Para crear un nuevo perfil de Azure CDN, sigue estos pasos:
1.
En el portal de Azure, selecciona Create a resource (Crear un recurso) y, a
continuación, elige CDN en los servicios de Networking (Redes) (o también puedes
buscar CDN en la barra de búsqueda).
2. En el nuevo panel, debemos facilitar información para los campos Name (Nombre),
Subscription (Suscripción), Resource group (Grupo de recursos) y Pricing tier
(Nivel de precios). Si decidimos proporcionar un punto de conexión de CDN en
este momento, necesitamos proporcionar detalles para CDN endpoint name
(Nombre de punto de conexión de CDN), Origin type (Tipo de origen) y Origin
hostname (Nombre de host de origen). Origin hostname (Nombre de host de
origen) estará disponible en la lista desplegable, en función de la opción Origin
type (Tipo de origen) seleccionada:
Crear un perfil de Azure CDN | 255
Figura 13.15: Añadir detalles del perfil de Azure CDN
3. Ahora podemos crear un perfil de Azure CDN. Tras la implementación, Azure
CDN comienza a almacenar el contenido del origen en caché y podemos empezar
a usarlo inmediatamente.
Cómo funciona...
Azure CDN almacena el contenido de nuestra aplicación en servidores perimetrales.
Como estos servidores perimetrales están distribuidos por las regiones de Azure,
tenemos copias de contenido en prácticamente todas las regiones del mundo. A
continuación, el contenido se entrega a los usuarios finales desde la ubicación más
cercana, lo que proporciona una latencia de red mínima. Supongamos que una aplicación
está hospedada en Europa Occidental y un usuario se encuentra en la parte occidental de
EE. UU. El contenido, en este caso, no se entregará desde la ubicación original, sino desde
la más cercana al usuario, en este ejemplo, el Oeste de EE. UU. De esta manera, podemos
asegurarnos de que cada usuario tenga la mejor experiencia y entrega esté donde esté.
>
Índice
Acerca de
En esta sección, se encuentran todas las palabras clave principales que se utilizan en este libro
ordenadas alfabéticamente. Cada una va acompañada del número de página en el que aparece.
A
acceso: 19, 24, 39,
49, 55-56, 123-124,
136, 143, 145, 163,
166, 170, 173, 190
acción: 36, 38, 48, 104, 241
administración: 11, 22,
120-121, 123-124,
136, 145, 150-151
administrado: 110, 238
admitido: 128-129,
201, 240
afinidad: 219, 224-226, 246
agente de escucha: 217,
226-227, 229, 241
alias: 90
almacenado en caché: 254
almacenamiento:
20, 115-116, 217
análisis: 116
anidado: 199, 201
aplicado: 234
aplicar: 110
arranque: 64
asignación: 186-190, 211
asignación: 68, 192-193
asignar: 20, 40, 42,
44, 55-57
asociar: 33, 40-44, 46-48,
56, 69, 93-95, 121, 165,
182, 231, 240-241
auditoría: 114, 116
automatizar: 6, 34, 54, 79
autónomo: 78, 154
B
back-end: 12, 44, 171,
175-176, 178, 180-184,
186-188, 190, 192-193,
196-197, 201, 203,
207, 210, 212, 214-216,
218-219, 221-224,
226, 229-230,
244-249, 251, 253
bajo demanda: 136
basado en dns: 195
basado en roles: 173
basado en rutas: 79
base de datos: 124
bastion: 5, 145-151
bloqueado: 127, 138
C
cambiar: 236
centro de datos: 2,
6, 18-19, 23
cerrado: 54
cifrado: 128, 139
cinco tuplas: 188
cliente: 253
cliente: 91, 136,
156-157, 188
clouds: 123
codificado: 132
comando: 6-7, 11-12, 34,
39, 44, 54, 76, 112-114
comodín: 253
compartido: 127, 138
condiciones: 231, 239, 253
conexión: 19, 53, 61,
74-78, 81, 102, 123-128,
130, 133, 136-143,
145-146, 150-153, 156,
158-160, 162-166,
170, 219, 224-226
configuración: 114
configurar: 20, 39, 47,
73-74, 93, 112, 121,
128, 130, 133, 152,
154, 163, 180, 201,
203-204, 208-209,
218, 225, 227, 231, 236
conmutación por error:
202, 210, 244
consola: 6, 34, 39, 44,
54, 76, 79, 112-113
consultas: 83
contraseña: 19, 151
control: 31-32, 45-46, 48,
108, 110, 140, 143, 152,
158, 173, 193, 211, 226
controlado: 124, 145
cualificado: 84, 121, 196
cuenta: 115-116, 217
D
de entrada: 19, 35, 37,
39-40, 48-49, 54,
108, 175, 188-190
de salida: 35, 37-39,
107-108, 110, 172,
175, 187, 190-193
dedicado: 23, 148, 193, 243
definido: 3, 7, 10-11, 13-14,
20, 24, 27, 33, 88, 91, 96,
100, 102, 116, 121, 158,
184, 197, 201, 221, 226
delegación: 8, 148
denegado: 37, 42, 44, 143
desasignar: 57
desasociar: 26, 29
desasociar: 96, 99
descargar: 128-130,
136, 162
descartado: 193
deshabilitación: 190, 208
deshabilitar: 20, 58, 93,
123, 160, 207-208, 219,
225, 235-236, 238
desmarcar: 235
desplegable: 18, 56,
88, 110, 134, 140,
240-241, 254
destino: 169, 171, 178, 180,
189, 199, 210, 215, 218,
222-223, 226, 229
detección: 234, 238, 241
detectar: 184, 186, 234
diagnóstico: 107, 114-116
difusión por
proximidad: 83
dinámico: 27, 54, 58-61,
65-66, 79, 172, 176
dirección: 1, 3-4, 6-14, 16,
19-20, 24, 26-27, 45, 49,
51-66, 68-69, 71, 74, 76,
78, 80-81, 90-91, 94,
100-103, 105, 109-112,
118-121, 128, 134, 145,
148-151, 154, 156-157,
160-161, 166, 172, 176,
178-180, 187-190,
192-193, 199, 209-211,
214, 227, 229, 234
directo: 188, 197
dirigido: 91, 184,
196-197, 224, 226
dispositivo: 100-103,
120, 163, 166
dispositivo: 78, 124,
128-130, 160-163
distribuir: 175, 195,
197, 201, 203
-dnsname: 131
dominio: 83-85, 88, 91,
121, 196, 226-227
dominios: 83, 86,
245, 250, 253
dos tuplas: 188
E
económico: 139
editor: 135
efecto: 113, 122, 201
elementos: 26
eliminar: 93, 98,
103-105, 207
emparejamiento:
124, 139-140,
142-143, 151-152
en proceso: 226
encabezado: 201, 247
encabezados: 201
enrutamiento: 6, 69,
78, 83, 92, 165-166,
175, 196-197, 201,
203-205, 212, 216-218,
220-221, 223, 227-229,
244-245, 250-253
entradas: 196
entrante: 31, 48, 107,
186-187, 197, 201,
211, 221, 226, 234
entrega: 243, 253-255
equilibrador: 37, 170-173,
175-182, 184-191, 195,
201, 209-212, 221, 244
erróneo: 231
errores: 217, 227
escalado: 175, 203
estado: 130, 139, 142,
230, 233, 247
estado: 171, 175,
184-188, 190, 201,
210, 230-231, 249
estándar: 20, 54, 70, 78,
111, 170-171, 173, 176,
178-179, 190, 232
estático: 27, 54, 56,
58-60, 62, 111, 165-166,
172, 176, 253
etiquetas: 165
excepción: 27, 114
excluir: 16, 190, 234
expandir: 212
expectativa: 229
explícito: 175, 190
exportar: 131-133
expuesto: 123, 166
extensión: 45, 107
externo, 195, 199, 201
F
factor: 42, 65
falta: 79, 100, 216
filtrado: 45, 121-122
firewall: 5, 70-71, 74, 76,
80-81, 107-108, 110-114,
116, 118-122, 166, 212,
231-234, 236, 246, 253
firma: 130-131
firmware: 129
físico: 23, 243
flotante: 187
formato: 6, 8, 12, 100,
121, 132, 201
forzado: 107, 110, 116, 120
forzar: 148
frontdoor: 253
front-end: 5, 12, 49,
172, 175-176, 178,
180, 184, 186-190,
192-193, 197, 201, 208,
210-212, 214, 217, 227
front-ends: 214,
216, 245, 250
fuente: 36, 38, 45, 48,
172, 188, 190, 226
fuera: 14, 102, 123
funciones: 130
G
generación: 77
generar: 116, 130
geográfico: 197, 205
global: 234, 238, 243-244
grupos: 25, 31, 45-47,
54, 107, 120-121
gwipconfig: 79
H
híbrido: 19, 114,
123-124, 156
hospedado 84-85, 91, 255
I
implementado: 2, 6-7,
33-34, 71, 150
implícito: 187, 190
incompleto: 224
incorrecto: 185-186,
230-231
indefinido: 14
independiente: 52, 87
Individual: 26, 121,
170, 201, 236
información general:
89, 128, 208
inicial: 6, 13, 61
iniciar: 162
inspección: 116
inspeccionado: 120, 234
instalar: 6
instancia: 18-19, 108,
110, 112, 121, 146-147,
149-150, 190, 192-193,
213, 243-244,
252-253, 255
integrar: 87, 170
interfaz: 17, 25-29, 31-32,
42-44, 55, 57, 61,
63, 65, 67, 151, 178
internet: 2, 24, 37, 39-40,
51, 100-102, 117-118,
120, 166, 178, 180, 190
interno: 123, 175-179,
181, 184, 186-188
intervalo: 185-186,
231, 249
intervalos: 48, 121
K
-keylength: 130-131
-keyspec: 130-131
-keyusage: 131
L
latencia: 197, 204, 250,
252, 254-255
limitado: 193, 195,
207, 209-210, 213
límites: 178
lista de permitidos: 112
-location: 6-7, 34, 40, 54,
76, 79, 111, 114, 198
M
maestro: 1, 32, 52, 74,
108, 124, 176, 196
malicioso: 234
manager: 91, 140, 195-198,
200-210, 244
máquina: 17-18, 31, 52,
146, 150-151, 171,
176, 189, 215, 222
máximo: 116, 192, 209, 221
medio: 178
métodos: 197, 201
migrado: 55
migrar: 56
mínimo: 254
modificación: 73, 80-81
modificar: 80
momentos: 28-29, 33
monitores: 227
muestra: 129, 250, 252
multisitio: 227
N
nativa: 173
navegar: 252
no detectado: 184
nombre de usuario: 19, 151
nombres de host: 211-212
O
obligatorio: 20, 216
openvpn: 134
operación: 211
operaciones: 80, 124, 223
optimizado: 211, 221
optimizar: 212
origen: 204-205, 254-255
P
parámetros: 6-7, 11, 33,
39, 45, 48, 53-54, 74,
76, 111, 234, 238
patrones: 250
perfil: 195-198, 201-202,
204-205, 207-208,
243, 253-255
permiso: 136
peso: 203, 247
política: 116, 162,
212, 236-241
potencial: 123
powershell: 1, 6-7, 11-12,
32-34, 39-40, 44,
52, 54, 73-76, 79-80,
107-108, 111-113,
123-124, 130, 198
predefinido: 129, 134
prefijo: 12, 52, 70-71, 76,
100-103, 118, 148
premium: 20
previamente
compartido: 162
prioridad: 36-39, 42, 44,
48, 112-113, 195, 197,
203-204, 239, 247
privado: 2, 11, 24, 26,
51-52, 61-69, 71, 73,
83, 85-88, 132, 139,
143, 145-146, 154,
160, 166-173, 176, 178,
180, 201, 214, 227
problemas: 59, 70,
105, 184, 234
procesamiento: 223
proceso: 18, 24, 26-29,
34, 54, 79, 116, 136, 180,
200, 210, 221, 248
proteger: 2, 4, 123-124,
128, 130, 136, 139,
145-146, 150, 166, 170
-protocol: 39-40, 112-113
protocolo: 36, 38, 48,
74, 78, 93, 123, 127,
160, 162, 184-189,
192, 211, 217, 219, 225,
227, 231, 249-251
protocolos: 187, 202,
211-212, 221, 227
proveedor: 128-129, 160
proveedor: 161
proximidad: 23
proyecto: 213
público: 4, 19-20, 24, 26,
51-63, 65, 67, 69-71,
74, 76, 78, 80-81,
86, 101, 110-112, 120,
123, 128, 135, 145,
149-151, 171, 175-176,
178-181, 184, 186, 188,
190-191, 197, 199, 201,
209-210, 214, 227
puerta de enlace: 10-11,
73-81, 92-93, 100,
102-103, 117, 120,
125-128, 133-134,
136, 138-139, 143,
148, 154-155, 157, 160,
211-214, 220-224,
226-228, 230-236,
240-241, 244, 253
puertas de enlace: 73,
125-126, 136, 139, 143,
151, 221, 224, 228, 236
punto de conexión: 54-55,
146, 166-170, 173, 175,
184, 186, 195, 197-201,
203-207, 210, 230-231,
244, 248, 252, 254
R
recurso: 2, 6-7, 11, 18,
26-27, 33-34, 40, 45,
48, 51-62, 70, 74, 76-77,
84, 86, 88, 92-93, 110,
116-117, 120-121, 127,
138, 140, 149, 152, 154,
160, 165-166, 169-170,
172, 176, 178-179, 196,
199, 209-210, 212-213,
223, 236, 244-245, 254
red: 1-8, 10-14, 16-18,
20-21, 24-29, 31-34,
37, 41-44, 51, 54-55,
57, 61, 63, 65, 67, 71,
73-81, 83, 86-88,
91-96, 100, 102-103,
107-108, 110, 112, 114,
118, 120, 122-128, 130,
133-134, 136, 138-140,
143, 145-152, 163-166,
170-173, 176, 178-179,
182, 188-190, 197, 204,
213, 243, 254-255
redes: 1-2, 17-20, 22,
25-29, 33, 45-46,
53, 70, 74, 77, 83-84,
86, 92, 107, 110, 114,
116, 120, 149, 152-153,
170-171, 176, 178, 196,
213, 236, 243-244, 254
redirigir: 100
redirigir: 217, 224
redundante: 54
reemplazar: 219, 224-226
reenvío: 188, 201,
226, 229, 251
reescribir: 251, 253
regiones: 195, 197-198,
201, 209, 244, 254-255
registrado: 84, 88
registro: 59, 83-85, 87-92
reiniciado: 59
remoto: 123, 143
repositorio: 129
resolución: 83,
87-88, 91, 170
respuesta: 184, 239
restringido: 136, 173
retención: 115-116
rotación: 230
-route: 114
rutas: 91, 93, 100, 102,
104-105, 112, 116-117,
120, 122, 165
S
salida: 7
saliente: 31
schildcert: 131
-scope: 6
script: 7, 12, 34, 39-40, 54,
79-80, 130, 198, 244
seguridad: 5, 8, 20, 25-27,
31-33, 35, 37-38,
45-49, 54, 107, 123,
127, 146, 148, 173, 178,
231, 234, 244, 253
selector: 162
servidor: 18, 23, 36, 83,
121-122, 136, 166, 171,
184, 186, 190, 211, 226
servidores: 23, 26, 61,
83-84, 156-157, 169, 180,
190, 211, 223, 254-255
-signer: 131
sin asignar: 56-58
sin clases: 6
sistema: 6, 78, 83, 114, 154
solaparse: 8, 11-12, 16, 134
solicitudes: 175, 178, 180,
184, 188, 201, 210-212,
221, 224, 226-227,
229-230, 234, 241, 252
sondeos: 171, 175, 184-185,
212, 219, 230, 249
sospechoso: 241
srootcert: 130-131
subdominio: 89, 91
subdominios: 84, 88
-subject: 130-131
-subnetid: 79
subred: 1, 3-8, 10-12,
14-16, 20-21, 26-27,
31-33, 40-42, 44-45,
48-49, 62, 64, 76-77,
79-80, 83, 92-100, 102,
108-112, 116, 118-121, 128,
147-149, 151, 170, 172,
176, 178-179, 197, 213
subredes: 1, 3, 5, 8, 11-12,
14, 16, 31, 40, 42, 49,
80-81, 91-97, 99-100,
108, 118, 121, 147, 176
superado: 24
supervisado: 217,
227, 230-231
supervisar: 110, 152, 184,
186, 188, 210, 230, 244
T
tablas: 85, 91-92, 98,
105, 113-114, 165
tiempo de actividad: 78
tiempo de espera: 53,
187, 189, 192, 231
tolerancia: 252
tráfico: 31-32, 35-39, 42,
44-46, 48-49, 54, 73,
85, 91-92, 100-103,
107-108, 110, 112-114,
116, 120, 123, 139-140,
143, 148, 162, 166, 175,
178, 180, 184, 186-188,
190, 195-198, 200-212,
221, 223-224, 227-228,
234, 244, 253
tunelización: 107,
110, 116, 120
U
ubicación: 7, 36, 38, 53,
74, 76, 111-114, 127,
133, 138, 152, 166, 195,
197-198, 204-205,
236, 243-244, 255
umbral: 185-186, 231, 252
V
vaciado: 219, 224-226
validar: 177, 180
valores: 3, 54, 68, 88,
100, 109-110, 138
variables: 239
varios niveles: 178
varios: 11-12, 26, 28, 44, 52,
67, 69, 73, 80, 88, 91, 99,
105, 121, 143, 152-153,
175, 197, 201-203, 205,
209, 211-212, 221, 223,
227, 236, 241, 254
ver: 11, 16-17, 25-26, 55, 61
verificar: 136, 209
versión: 53-54, 70,
129, 185, 187, 189
visibilidad: 77, 120-121
vnetname: 111
-vpntype: 79
W
webappname: 198
windows: 18, 124