Compartir a través de

Excelencia operativa y Azure Virtual Network

  • Artículo

Un bloque de creación fundamental para la red privada, Azure Virtual Network permite a los recursos de Azure comunicarse de forma segura entre sí, internet y redes locales.

Entre las características clave de Azure Virtual Network se incluyen las siguientes:

Para más información, consulte ¿Qué es Azure Virtual Network?

Para comprender cómo Azure Virtual Network admite la excelencia operativa, consulte los temas siguientes:

Consideraciones de diseño

La red virtual (VNet) incluye las siguientes consideraciones de diseño para la excelencia operativa:

  • Los espacios de direcciones IP superpuestos entre las regiones locales y de Azure crearán importantes desafíos de contención.
  • Aunque se puede agregar un espacio de direcciones de red virtual después de la creación, este proceso requiere una interrupción si la red virtual ya está conectada a otra red virtual a través del emparejamiento. Se necesita una interrupción porque se elimina el emparejamiento de red virtual y se vuelve a crear.
  • Algunos servicios de Azure requieren subredes dedicadas, como:
    • Azure Firewall
    • Azure Bastion
    • Puerta de enlace de red virtual
  • Las subredes se pueden delegar a determinados servicios para crear instancias de dicho servicio dentro de la subred.
  • Azure reserva cinco direcciones IP dentro de cada subred, que se deben tener en cuenta al cambiar el tamaño de las redes virtuales y las subredes abarcadas.

Lista de comprobación

¿Ha configurado Azure Virtual Network teniendo en cuenta la excelencia operativa?

  • Use los planes de protección estándar de Azure DDoS para proteger todos los puntos de conexión públicos hospedados en las redes virtuales del cliente.
  • Los clientes empresariales deben planear el direccionamiento IP en Azure para asegurarse de que no haya espacio de direcciones IP superpuestos en ubicaciones locales y regiones de Azure.
  • Use direcciones IP de la asignación de direcciones para internets privadas (Solicitud de comentario (RFC) 1918).
  • En entornos con una disponibilidad limitada de direcciones IP privadas (RFC 1918), considere la posibilidad de usar IPv6.
  • No cree redes virtuales innecesariamente grandes (por ejemplo: /16) para asegurarse de que no haya ningún desperdicio innecesario del espacio de direcciones IP.
  • No cree redes virtuales sin planear el espacio de direcciones necesario con antelación.
  • No use direcciones IP públicas para redes virtuales, especialmente si las direcciones IP públicas no pertenecen al cliente.
  • Use puntos de conexión de servicio de red virtual para proteger el acceso a los servicios de plataforma como servicio (PaaS) de Azure desde una red virtual del cliente.
  • Para abordar los problemas de filtración de datos con los puntos de conexión de servicio, use el filtrado de aplicaciones virtuales de red (NVA) y las directivas de punto de conexión de servicio de red virtual para Azure Storage.
  • No implemente la tunelización forzada para habilitar la comunicación de Azure a los recursos de Azure.
  • Acceda a los servicios PaaS de Azure desde el entorno local a través del emparejamiento privado de ExpressRoute.
  • Para acceder a los servicios PaaS de Azure desde redes locales cuando la inyección de red virtual o Private Link no están disponibles, use ExpressRoute con el emparejamiento de Microsoft cuando no haya problemas de filtración de datos.
  • No replique la red perimetral local (también conocida como DMZ, zona desmilitarizada y subred filtrada) conceptos y arquitecturas en Azure.
  • Asegúrese de que la comunicación entre los servicios PaaS de Azure que se han insertado en una red virtual está bloqueada dentro de la red virtual mediante rutas definidas por el usuario (UDR) y grupos de seguridad de red (NSG).
  • No use puntos de conexión de servicio de red virtual cuando haya problemas de filtración de datos, a menos que se use el filtrado de NVA.
  • No habilite los puntos de conexión de servicio de red virtual de forma predeterminada en todas las subredes.

Recomendaciones para la configuración

Tenga en cuenta las siguientes recomendaciones para la excelencia operativa al configurar una instancia de Azure Virtual Network:

Recomendación Descripción
No cree redes virtuales sin planear el espacio de direcciones necesario con antelación. Agregar espacio de direcciones provocará una interrupción una vez que una red virtual esté conectada a través del emparejamiento de red virtual.
Use puntos de conexión de servicio de red virtual para proteger el acceso a los servicios de plataforma como servicio (PaaS) de Azure desde una red virtual del cliente. Solo cuando Private Link no está disponible y cuando no hay ningún problema de filtración de datos.
Acceda a los servicios PaaS de Azure desde el entorno local a través del emparejamiento privado de ExpressRoute. Use la inyección de red virtual para servicios de Azure dedicados o Azure Private Link para los servicios compartidos de Azure disponibles.
Para acceder a los servicios PaaS de Azure desde redes locales cuando la inyección de red virtual o Private Link no están disponibles, use ExpressRoute con el emparejamiento de Microsoft cuando no haya problemas de filtración de datos. Evita el tránsito a través de la red pública de Internet.
No replique la red perimetral local (también conocida como DMZ, zona desmilitarizada y subred filtrada) conceptos y arquitecturas en Azure. Los clientes pueden obtener funcionalidades de seguridad similares en Azure como locales, pero la implementación y la arquitectura deberán adaptarse a la nube.
Asegúrese de que la comunicación entre los servicios PaaS de Azure que se han insertado en una red virtual está bloqueada dentro de la red virtual mediante rutas definidas por el usuario (UDR) y grupos de seguridad de red (NSG). Los servicios PaaS de Azure que se han insertado en una red virtual siguen realizando operaciones del plano de administración mediante direcciones IP públicas.

Paso siguiente

Confiabilidad y ExpressRoute