Planear redes virtuales

La creación de una red virtual con la que experimentar es lo suficientemente fácil, pero es probable que implemente varias redes virtuales a lo largo del tiempo para admitir las necesidades de producción de su organización. Con algún planeamiento, puede implementar redes virtuales y conectar los recursos que necesita de forma más eficaz. La información de este artículo es más útil si ya está familiarizado con las redes virtuales y tiene cierta experiencia al trabajar con ellas. Si no está familiarizado con las redes virtuales, le recomendamos que lea Introducción a la red virtual.

Nomenclatura

Todos los recursos de Azure tienen un nombre. El nombre debe ser único dentro de un ámbito, que puede variar para cada tipo de recurso. Por ejemplo, el nombre de una red virtual debe ser único dentro de un grupo de recursos, pero puede usar un nombre duplicado dentro de una suscripción o una región de Azure. Definir una convención de nomenclatura que puede usar de forma coherente cuando asigne un nombre a los recursos resulta útil al administrar varios recursos de red a lo largo del tiempo. Consulte Naming conventions (Convenciones de nomenclatura) para obtener sugerencias.

Regions

Todos los recursos de Azure se crean en una suscripción y una región de Azure. Puede crear un recurso solo en una red virtual que exista en la misma región y suscripción que el recurso. Pero puede conectar redes virtuales que existen en distintas suscripciones y regiones. Para obtener más información, consulteConectividad. Cuando decida qué regiones implementarán los recursos, tenga en cuenta dónde se encuentran físicamente los consumidores de los recursos:

• ¿Tiene baja latencia de red? Los consumidores de recursos normalmente quieren obtener la latencia de red más baja para sus recursos. Para determinar las latencias relativas entre una ubicación específica y las regiones de Azure, consulte View relative latencies (Ver latencias relativas).
• ¿Debe cumplir con requisitos de residencia, soberanía, cumplimiento o resistencia de datos? Si es así, es fundamental elegir la región que mejor se ajuste a sus requisitos. Para obtener más información, consulte Zonas geográficas de Azure.
• ¿Necesita resistencia en las zonas de disponibilidad de Azure dentro de la misma región de Azure para los recursos que implemente? Puede implementar recursos, como máquinas virtuales, en diferentes zonas de disponibilidad dentro de la misma red virtual. Sin embargo, no todas las regiones de Azure admiten zonas de disponibilidad. Para obtener más información sobre las zonas de disponibilidad y las regiones que las admiten, consulte Zonas de disponibilidad.

Suscripciones

Puede implementar tantas redes virtuales como sea necesario en cada suscripción, hasta el límite que se haya establecido. Por ejemplo, algunas organizaciones tienen suscripciones distintas para diferentes departamentos. Para obtener más información y detalles en torno a las suscripciones, consulte Gobernanza de suscripción.

Segmentación

Puede crear varias redes virtuales por suscripción y por región. Puede crear varias subredes en cada red virtual. Las consideraciones siguientes le ayudan a determinar cuántas redes virtuales y subredes necesita.

Redes virtuales

Una red virtual es una parte virtual y aislada de la red pública de Azure. Cada red virtual está dedicada a su suscripción. Cuando decida si desea crear una red virtual o varias redes virtuales en una suscripción, tenga en cuenta los siguientes puntos:

• ¿Hay algún requisito de seguridad en la organización para aislar el tráfico en redes virtuales diferentes? Puede elegir conectar la redes virtuales o no. Si conecta las redes virtuales, puede implementar una aplicación virtual de red (como un firewall) para controlar el flujo de tráfico entre las redes virtuales. Para obtener más información, consulte Seguridad y Conectividad.
• ¿Hay algún requisito en la organización para aislar las redes virtuales en diversas suscripciones o regiones?
• ¿Tiene requisitos de interfaz de red? Una interfaz de red permite que una máquina virtual se comunique con otros recursos. Cada interfaz de red puede tener una o varias direcciones IP privadas asignadas. ¿Cuántas interfaces de red y direcciones IP privadas se necesitan en una red virtual? Hay límites en el número de interfaces de red y direcciones IP privadas que se pueden tener en una red virtual.
• ¿Quiere conectar la red virtual a otra red virtual o red local? Es posible que decida conectar algunas redes virtuales entre sí o redes locales, pero no a otras. Para obtener más información, consulteConectividad. Cada red virtual que se conecte a otra red virtual o a la red local debe tener un espacio de direcciones único. Cada red virtual tiene uno o más intervalos de direcciones públicas o privadas asignados a su espacio de direcciones. Un intervalo de direcciones se especifica en un formato propio del enrutamiento de interdominios sin clases (CIDR), como 10.0.0.0/16. Obtenga más información sobre los intervalos de direcciones para redes virtuales.
• ¿Tiene algún requisito de administración de la organización para recursos en diferentes redes virtuales? Si es así, puede separar los recursos en redes virtuales independientes para simplificar asignación de permisos a usuarios de su organización o asignar directivas diferentes a diferentes redes virtuales.
• ¿Tiene requisitos para los recursos que pueden crear su propia red virtual? Cuando implementa algunos recursos del servicio de Azure en una red virtual, estos se encargan de crear su propia red virtual. Para determinar si un servicio de Azure crea su propia red virtual, consulte la información de cada servicio de Azure que puede implementar en una red virtual.

Subredes

Puede segmentar una red virtual en una o varias subredes hasta los límites. Cuando decida si desea crear una subred o varias redes virtuales en una suscripción, tenga en cuenta los siguientes puntos:

• Tener un intervalo de direcciones único para cada subred, especificado en formato CIDR, dentro del espacio de direcciones de la red virtual. El intervalo de direcciones no se puede superponer con otras subredes de la red virtual.
• Tenga en cuenta que si planea implementar algunos recursos de servicio de Azure en una red virtual, es posible que necesiten o creen su propia subred. Debe haber suficiente espacio sin asignar para que lo hagan. Para determinar si un servicio de Azure crea su propia subred, consulte la información de cada servicio de Azure que puede implementar en una red virtual. Por ejemplo, si conecta una red virtual a una red local mediante una puerta de enlace de VPN de Azure, la red virtual debe tener una subred dedicada para la puerta de enlace. Obtenga más información sobre las subredes de puerta de enlace.
• Invalide el enrutamiento predeterminado para el tráfico de red entre todas las subredes de una red virtual. Quiere evitar el enrutamiento de Azure entre subredes o para enrutar el tráfico entre subredes a través de una aplicación virtual de red, por ejemplo. Si necesita que el tráfico entre los recursos de la misma red virtual fluya a través de una aplicación virtual de red (NVA), implemente los recursos en diferentes subredes. Obtenga más información en Seguridad.
• Limite el acceso a los recursos de Azure, como una cuenta de Azure Storage o Azure SQL Database, a subredes específicas con un punto de conexión de servicio de red virtual. También puede denegar el acceso a los recursos de Internet. Puede crear varias subredes y habilitar un punto de conexión de servicio para algunas subredes, pero no para otras. Obtenga más información sobre puntos de conexión de servicio y los recursos de Azure para los que puede habilitarlos.
• Asocie cero o un grupo de seguridad de red a cada subred de una red virtual. Puede asociar el mismo grupo de seguridad de red u otro diferente a cada subred. Cada grupo de seguridad de red contiene reglas que permiten o niegan el paso del tráfico hacia y desde los orígenes y destinos. Más información sobre los grupos de seguridad de red.

Seguridad

Puede filtrar el tráfico de red hacia y desde los recursos en una red virtual mediante los grupos de seguridad de red y las aplicaciones virtuales de red. Puede controlar la manera en que Azure enruta el tráfico de subredes. Asimismo, también puede limitar en su organización quién puede trabajar con los recursos en redes virtuales.

Filtrado de tráfico

• Para filtrar el tráfico de red entre los recursos de una red virtual, use un grupo de seguridad de red, una NVA que filtre el tráfico de red o ambos. Para implementar una NVA, como un firewall, para filtrar el tráfico de red, consulte Azure Marketplace. Al usar una NVA, también se crean rutas personalizadas para enrutar el tráfico desde subredes a la NVA. Obtenga más información acerca el enrutamiento del tráfico.
• Un grupo de seguridad de red contiene varias reglas de seguridad predeterminadas que permiten o deniegan el tráfico hacia o desde los recursos. Puede asociar un grupo de seguridad de red a una interfaz de red, la subred en la que se encuentra la interfaz de red o ambas. Para simplificar la administración de reglas de seguridad, se recomienda asociar un grupo de seguridad de red a subredes individuales en lugar de interfaces de red individuales dentro de la subred siempre que sea posible.
• Si debe aplicar reglas de seguridad a varias máquinas virtuales de una subred, puede asociar la interfaz de red en la máquina virtual a uno o varios grupos de seguridad de aplicaciones. Una regla de seguridad puede especificar un grupo de seguridad de aplicaciones en el origen, en el destino o en ambos. Esa regla solo se aplica a las interfaces de red que son miembros del grupo de seguridad de aplicaciones. Obtenga más información sobre los grupos de seguridad de red y los grupos de seguridad de aplicaciones.
• Cuando un grupo de seguridad de red está asociado en el nivel de subred, se aplica a todos los controladores de interfaz de red de la subred, no solo al tráfico procedente de fuera de la subred. El tráfico entre las máquinas virtuales contenidas en la subred también podría verse afectada.
• Azure crea de forma predeterminada varias reglas de seguridad en cada grupo de seguridad de red. Una regla predeterminada permite que todo el tráfico fluya entre todos los recursos de una red virtual. Para invalidar este comportamiento, use los grupos de seguridad de red, el enrutamiento personalizado para enrutar el tráfico a una NVA o ambas opciones. Se recomienda familiarizarse con todas las reglas de seguridad predeterminadas de Azure y comprender cómo se aplican las reglas de grupo de seguridad de red a un recurso.

Puede ver diseños de ejemplo para implementar una red perimetral (también conocida como red perimetral) entre Azure e Internet mediante una NVA.

Enrutamiento del tráfico

Azure crea varias rutas predeterminadas para el tráfico saliente desde una subred. Puede invalidar el enrutamiento predeterminado de Azure mediante la creación de una tabla de rutas y la asociación a una subred. Las razones comunes para invalidar el enrutamiento predeterminado de Azure son:

• Quiere que el tráfico entre subredes fluya a través de una NVA. Obtenga más información sobre cómo configurar tablas de rutas para forzar el tráfico a través de una NVA.
• Quiere forzar todo el tráfico enlazado a Internet a través de una NVA, o local a través de una puerta de enlace de VPN de Azure. Forzar el tráfico de Internet de forma local para su inspección y registro a menudo se conoce como "tunelización forzada". Obtenga más información sobre la configuración de la tunelización forzada.

Si necesita implementar el enrutamiento personalizado, se recomienda familiarizarse con el enrutamiento en Azure.

Conectividad

Puede conectar una red virtual a otras redes virtuales mediante el emparejamiento de redes virtuales o a la red local mediante una puerta de enlace de VPN de Azure.

Emparejamiento

Al usar emparejamiento de red virtual, puede tener redes virtuales en las mismas regiones de Azure compatibles o diferentes. Puede tener redes virtuales en las mismas o diferentes suscripciones de Azure (incluso suscripciones que pertenecen a diferentes inquilinos de Microsoft Entra).

Antes de crear un emparejamiento, se recomienda familiarizarse con todos los requisitos y restricciones del emparejamiento. El ancho de banda entre recursos de redes virtuales emparejadas en la misma región es el mismo que si los recursos estuvieran en la misma red virtual.

puerta de enlace de VPN

Puede usar una puerta de enlace de VPN de Azure para conectar una red virtual a la red local mediante un VPN de sitio a sitio o una conexión dedicada con Azure ExpressRoute.

Puede combinar el emparejamiento y una puerta de enlace de VPN para crear redes en estrella tipo hub-and-spoke, donde las redes virtuales radiales se conectan a una red virtual de concentrador y el concentrador se conecta a una red local, por ejemplo.

Resolución de nombres

Los recursos de una red virtual no pueden resolver los nombres de los recursos de una red virtual emparejada mediante Azure Sistema de nombres de dominio (DNS) integrado. Para resolver nombres en una red virtual emparejada, despliegue su propio servidor DNS, o use los dominios privados de Azure DNS. Recuerde que la resolución de nombres entre recursos en una red virtual y en redes locales también requiere que implemente su propio servidor DNS.

Permisos

Azure usa control de acceso basado en rol de Azure. Se asignan permisos a un ámbito en la jerarquía de grupo de administración, suscripción, grupo de recursos y recurso individual. Para obtener más información acerca de la jerarquía, consulte Organización de los recursos.

Para trabajar con redes virtuales de Azure y todas sus funcionalidades relacionadas, como el emparejamiento, los grupos de seguridad de red, los puntos de conexión de servicio y las tablas de rutas, asigne miembros de su organización al Propietario integrado, Colaborador, o roles de Colaborador de red. A continuación, asigne el rol al ámbito adecuado. Si desea asignar permisos específicos para un subconjunto de funcionalidades de red virtual, cree un rol personalizado y asigne los permisos específicos necesarios para:

• Redes virtuales
• Subredes y puntos de conexión de servicio
• Interfaces de red
• Emparejamiento
• Grupos de seguridad de aplicaciones y redes
• Tablas de ruta

Directiva

Con Azure Policy, puede crear, asignar y administrar definiciones de directiva. Las definiciones de directivas aplican distintas reglas en los recursos, para que estos sigan siendo compatibles con los estándares de la organización y los contratos de nivel de servicio. Azure Policy ejecuta una evaluación de los recursos. Examina los recursos que no son compatibles con las definiciones de directiva que tiene.

Por ejemplo, puede definir y aplicar una directiva que permita la creación de redes virtuales en un solo grupo de recursos o región específicos. Otra directiva puede requerir que cada subred tenga un grupo de seguridad de red asociado a ella. A continuación, las directivas se evalúan al crear y actualizar recursos.

Igualmente, las directivas se aplican según la jerarquía siguiente: grupo de administración, suscripción y grupo de recursos. Obtenga más información sobre Azure Policy o acerca de cómo implementar algunas definiciones de Azure Policy.

Contenido relacionado

Obtenga información sobre todas las tareas, la configuración y las opciones de:

• Red virtual
• Subred y punto de conexión de servicio
• Interfaz de red
• Emparejamiento
• Grupo de seguridad de aplicaciones y red
• Tabla de rutas