Confiabilidad y Virtual Network de Azure
Un bloque de creación fundamental para la red privada, Azure Virtual Network permite a los recursos de Azure comunicarse de forma segura entre sí, Internet y redes locales.
Entre las características clave de Azure Virtual Network se incluyen:
- Comunicación con recursos de Azure
- Comunicación con Internet
- Comunicación con recursos locales
- Filtrado del tráfico de red
Para más información, consulte ¿Qué es Azure Virtual Network?
Para comprender cómo Azure Virtual Network admite una carga de trabajo confiable, consulte los temas siguientes:
- Tutorial: Traslado de máquinas virtuales de Azure entre regiones
- Inicio rápido: Creación de una red virtual mediante el Portal de Azure
- Virtual Network: continuidad del negocio
Consideraciones de diseño
El Virtual Network (red virtual) incluye las siguientes consideraciones de diseño para una carga de trabajo confiable de Azure:
- Los espacios de direcciones IP superpuestos entre las regiones locales y de Azure crearán importantes desafíos de contención.
- Aunque se puede agregar un espacio de direcciones Virtual Network después de la creación, este proceso requiere una interrupción si el Virtual Network ya está conectado a otra Virtual Network a través del emparejamiento. Se necesita una interrupción porque se elimina y se vuelve a crear el emparejamiento de Virtual Network.
- El cambio de tamaño de las redes virtuales emparejadas está en versión preliminar pública (20 de agosto de 2021).
- Algunos servicios de Azure requieren subredes dedicadas, como:
- Azure Firewall
- Azure Bastion
- Puerta de enlace de red virtual
- Las subredes se pueden delegar a determinados servicios para crear instancias de dicho servicio dentro de la subred.
- Azure reserva cinco direcciones IP dentro de cada subred, que se deben tener en cuenta al cambiar el tamaño de las redes virtuales y las subredes abarcadas.
Lista de comprobación
¿Ha configurado Azure Virtual Network teniendo en cuenta la confiabilidad?
- Use los planes de Azure DDoS Standard Protection para proteger todos los puntos de conexión públicos hospedados en las redes virtuales del cliente.
- Los clientes empresariales deben planear el direccionamiento IP en Azure para asegurarse de que no haya espacio de direcciones IP superpuestos en ubicaciones locales y regiones de Azure consideradas.
- Use direcciones IP de la asignación de direcciones para internets privadas (Solicitud de comentario (RFC) 1918).
- En entornos con una disponibilidad limitada de direcciones IP privadas (RFC 1918), considere la posibilidad de usar IPv6.
- No cree redes virtuales innecesariamente grandes (por ejemplo,
/16
) para asegurarse de que no haya ningún desperdicio innecesario del espacio de direcciones IP. - No cree redes virtuales sin planear con antelación el espacio de direcciones necesario.
- No use direcciones IP públicas para redes virtuales, especialmente si las direcciones IP públicas no pertenecen al cliente.
- Use puntos de conexión de servicio de red virtual para proteger el acceso a los servicios de plataforma como servicio (PaaS) de Azure desde una red virtual del cliente.
- Para solucionar los problemas de filtración de datos con los puntos de conexión de servicio, use el filtrado de la aplicación virtual de red (NVA) y las directivas de punto de conexión de servicio de red virtual para Azure Storage.
- No implemente la tunelización forzada para habilitar la comunicación de Azure a los recursos de Azure.
- Acceda a los servicios PaaS de Azure desde el entorno local a través del emparejamiento privado de ExpressRoute.
- Para acceder a los servicios PaaS de Azure desde redes locales cuando la inserción de red virtual o Private Link no están disponibles, use ExpressRoute con el emparejamiento de Microsoft cuando no haya problemas de filtración de datos.
- No replique la red perimetral local (también conocida como DMZ, zona desmilitarizada y subred filtrada) conceptos y arquitecturas en Azure.
- Asegúrese de que la comunicación entre los servicios PaaS de Azure que se han insertado en una Virtual Network está bloqueada dentro del Virtual Network mediante rutas definidas por el usuario (UDR) y grupos de seguridad de red (NSG).
- No use puntos de conexión de servicio de red virtual cuando haya problemas de filtración de datos, a menos que se use el filtrado de NVA.
- No habilite los puntos de conexión de servicio de red virtual de forma predeterminada en todas las subredes.
Recomendaciones para la configuración
Tenga en cuenta las siguientes recomendaciones para optimizar la confiabilidad al configurar una Virtual Network de Azure:
Recomendación | Descripción |
---|---|
No cree redes virtuales sin planear con antelación el espacio de direcciones necesario. | Agregar espacio de direcciones provocará una interrupción una vez que un Virtual Network esté conectado a través de Virtual Network emparejamiento. |
Use puntos de conexión de servicio de red virtual para proteger el acceso a los servicios de plataforma como servicio (PaaS) de Azure desde una red virtual del cliente. | Solo cuando Private Link no está disponible y cuando no hay problemas de filtración de datos. |
Acceda a los servicios PaaS de Azure desde el entorno local a través del emparejamiento privado de ExpressRoute. | Use la inserción de red virtual para servicios de Azure dedicados o Azure Private Link para los servicios compartidos de Azure disponibles. |
Para acceder a los servicios PaaS de Azure desde redes locales cuando la inserción de red virtual o Private Link no están disponibles, use ExpressRoute con el emparejamiento de Microsoft cuando no haya problemas de filtración de datos. | Evita el tránsito a través de la red pública de Internet. |
No replique la red perimetral local (también conocida como DMZ, zona desmilitarizada y subred filtrada) conceptos y arquitecturas en Azure. | Los clientes pueden obtener funcionalidades de seguridad similares en Azure como locales, pero la implementación y la arquitectura deberán adaptarse a la nube. |
Asegúrese de que la comunicación entre los servicios PaaS de Azure que se han insertado en una Virtual Network está bloqueada dentro del Virtual Network mediante rutas definidas por el usuario (UDR) y grupos de seguridad de red (NSG). | Los servicios PaaS de Azure que se han insertado en una Virtual Network siguen realizando operaciones del plano de administración mediante direcciones IP públicas. |