Perspectiva del Framework Well-Architected de Azure sobre Azure Virtual Network
Azure Virtual Network es un bloque de creación fundamental para establecer una red privada en Azure. Puede usarlo para habilitar la comunicación entre los recursos de Azure y proporcionar conectividad a Internet. Virtual Network también se integra con sistemas locales. Incluye funcionalidades de filtrado integradas para garantizar que solo el tráfico esperado, permitido y seguro alcance los componentes dentro de los límites de red.
En este artículo se da por supuesto que, como arquitecto, está familiarizado con las construcciones de red en Azure. La guía se centra en recomendaciones arquitectónicas que se alinean con los principios de los pilares del Marco Well-Architected.
Importante
Cómo usar esta guía
Cada sección tiene una lista de comprobación de diseño que presenta áreas arquitectónicas de preocupación junto con estrategias de diseño adaptadas al ámbito tecnológico.
También se incluyen recomendaciones para las funcionalidades tecnológicas que pueden ayudar a materializar esas estrategias. Las recomendaciones no representan una lista exhaustiva de todas las configuraciones disponibles para Virtual Network y sus dependencias. En su lugar, enumeran las recomendaciones clave asignadas a las perspectivas de diseño. Use las recomendaciones para crear la prueba de concepto o para optimizar los entornos existentes.
Arquitectura fundamental que muestra las recomendaciones clave: Topología de red en estrella tipo hub-and-spoke en Azure.
Alcance de la tecnología
Esta revisión se centra en las decisiones relacionadas entre sí para los siguientes recursos de Azure:
- Virtual Network y sus subredes
- Tarjetas de interfaz de red (NIC)
- Puntos de conexión privados
- Grupos de seguridad de red (NSG)
- Direcciones IP y asignaciones de direcciones IP
- Tablas de rutas
- Administradores de red
Hay otros servicios asociados a Virtual Network, como equilibradores de carga. Esos servicios se tratan en sus respectivas guías.
Fiabilidad
El propósito del pilar Fiabilidad es proporcionar una funcionalidad continuada mediante la creación de suficiente resiliencia y la capacidad de recuperarse rápidamente de los fallos.
principios de diseño de confiabilidad proporcionar una estrategia de diseño de alto nivel aplicada a componentes individuales, flujos del sistema y al sistema en su conjunto.
Lista de comprobación de diseño
Comience su estrategia de diseño basándose en la lista de comprobación de revisión de diseño para Fiabilidad. Determine su relevancia para los requisitos empresariales, a la vez que tenga en cuenta las características de Virtual Network y sus dependencias. Amplíe la estrategia para incluir más enfoques según sea necesario.
Establecer los objetivos de confiabilidad. Virtual Network y la mayoría de sus subservicios no tienen garantías de acuerdo de nivel de servicio (SLA) respaldado por Microsoft. Sin embargo, los servicios específicos, como equilibradores de carga, NIC y direcciones IP públicas, tienen acuerdos de nivel de servicio. Debe comprender bien la cobertura que Azure proporciona en torno al percentil publicado. Tenga en cuenta que la organización central de servicios de TI normalmente posee la red virtual y los servicios centrales. Asegúrese de que los cálculos objetivos incluyan esta dependencia.
Mitigar puntos de fallo. Realice el análisis del modo de error e identifique puntos únicos de error en las conexiones de red.
En los ejemplos siguientes se muestran puntos únicos de error en las conexiones de red:
Fracaso Mitigación Error de dirección IP pública en una sola zona de disponibilidad. Implemente recursos de dirección IP entre zonas o use una dirección IP secundaria con un equilibrador de carga. Error de aplicación virtual de red (NVA) en una sola zona. Implemente una aplicación virtual de red secundaria en otra zona y use un equilibrador de carga para dirigir el tráfico a la aplicación virtual de red. Latencia en cargas de trabajo que se distribuyen entre regiones o zonas, lo que reduce el rendimiento y provoca tiempos de espera. Ubique conjuntamente los recursos en una región o zona. Rediseñe la arquitectura para usar patrones de confiabilidad, como instancias de implementación con equilibradores de carga, de modo que cada instancia pueda manejar la carga y trabajar junto con los recursos cercanos. Error de carga de trabajo de una sola región con un sitio de conmutación por error en frío. Configure previamente las opciones de red en la región de conmutación por error. Este enfoque garantiza que ninguna dirección IP se superponga. Fallo de aplicación en una sola región en una red virtual que se comunica con una base de datos a través de Azure Private Link usando un sitio de conmutación por error en frío. Replique las conexiones en la región secundaria y las redes virtuales del mismo nivel para la comunicación. Sobreaprovisionamiento de espacios de direcciones IP. Para ayudar a garantizar el escalado confiable, una estrategia común consiste en sobreaprovisionar la capacidad para evitar el agotamiento de direcciones IP. Sin embargo, este enfoque tiene un equilibrio entre la confiabilidad y la eficacia operativa. Las subredes solo deben usar una parte del espacio de direcciones de la red virtual. El objetivo debe ser tener solo suficiente espacio de direcciones adicional en la red virtual y subredes para equilibrar la confiabilidad con la eficacia operativa.
Tenga en cuenta los límites de red. Azure impone límites en el número de recursos que puede implementar. Aunque la mayoría de los límites de red de Azure se establecen en sus valores máximos, puede aumentar algunos límites. Para obtener más información, consulte Límites de redes de Azure Resource Manager.
Crear diagramas de red que se centran en los flujos de usuario. Estos diagramas pueden ayudarle a visualizar la segmentación de red, identificar posibles puntos de error e identificar transiciones clave como puntos de entrada y salida de Internet. También son herramientas importantes para auditorías y respuesta a incidentes.
Resalte los flujos de tráfico de alta prioridad entre los recursos de usuario y de carga de trabajo. Por ejemplo, si prioriza Azure ExpressRoute para flujos de red empresariales o protege las solicitudes de usuario en un diseño de red perimetral, puede obtener información sobre el planeamiento de la capacidad de los firewalls y otros servicios.
Agregar redundancia. Considere la posibilidad de implementar puertas de enlace NAT y redes virtuales en varias regiones si es necesario. Asegúrese de que las direcciones IP públicas y otros servicios con reconocimiento de zona de disponibilidad tengan habilitada la redundancia de zona y haga que los recursos compartidos, como los firewalls, tengan redundancia de región.
Para obtener más información, consulte Continuidad empresarial de la red virtual.
Evitar la complejidad. Preste mucha atención a las redes virtuales, subredes, direcciones IP, rutas, grupos de seguridad de aplicaciones (ASG) y etiquetas. Las configuraciones simples reducen la probabilidad de errores de configuración y error. Las configuraciones incorrectas y los errores contribuyen a los problemas de confiabilidad y se agregan a los costos operativos y de mantenimiento. Algunos ejemplos de simplificación son:
- Use DNS privado siempre que sea posible y minimice el número de zonas DNS.
- Simplificación de las configuraciones de enrutamiento. Considere la posibilidad de enrutar todo el tráfico a través del firewall, si se usa en la arquitectura.
Probar la resistencia de la red. Use Azure Chaos Studio para simular interrupciones de conectividad de red. Este enfoque garantiza que las cargas de trabajo sigan siendo redundantes y le ayudarán a evaluar el efecto de posibles errores.
Supervisar el tráfico de red para evaluar los efectos sobre la fiabilidad. La supervisión del flujo de tráfico es una operación fundamental para la confiabilidad. Por ejemplo, quiere identificar comunicadores de gran volumen en la red para determinar si pueden causar interrupciones. Azure proporciona funcionalidades de registro de flujo. Para obtener más información, consulte Operational Excellence.
Recomendaciones
| Recomendación | Beneficio |
|---|---|
| Ajuste el tamaño de las redes virtuales y subredes según la estrategia de escalado. Elija menos redes virtuales más grandes para dar cabida a la redundancia como estrategia de mitigación de errores. Asegúrese de que no se superponga el espacio de direcciones con otras redes virtuales con las que necesita comunicarse y planee el espacio de direcciones con antelación. Para obtener más información, consulte Crear, cambiar o eliminar una red virtual. |
Al sobreaprovisionar, puede asegurarse de que la red se escala de forma eficaz sin experimentar limitaciones de espacio de direcciones. Planee el espacio de direcciones con antelación para ayudar a evitar conflictos y garantizar una arquitectura de red fluida y escalable. |
| Utilice el SKU de IP Estándar para un mejor soporte de confiabilidad mediante zonas de disponibilidad. De forma predeterminada, las direcciones IP públicas se implementan en varias zonas a menos que estén restringidas a una zona. | Esta SKU ayuda a garantizar que la comunicación dentro de una dirección IP pública permanezca operativa durante los errores zonales. |
Seguridad
El propósito del pilar seguridad es proporcionar garantías de confidencialidad, integridad y disponibilidad a la carga de trabajo.
Los principios de diseño de Seguridad proporcionan una estrategia de diseño de alto nivel para lograr esos objetivos aplicando enfoques al diseño técnico de la red virtual.
Lista de comprobación de diseño
Inicie la estrategia de diseño en función de la lista de comprobación de revisión de diseño de seguridad e identifique vulnerabilidades y controles para mejorar la posición de seguridad. Amplíe la estrategia para incluir más enfoques según sea necesario.
Establecer una línea base de seguridad. Revise la línea base de seguridad de para la Red Virtual e incorpore medidas aplicables en su línea base.
Mantener actualizado el perímetro de red. La configuración de seguridad, como los grupos de seguridad de red, los grupos de seguridad de aplicaciones y los intervalos de direcciones IP se deben actualizar periódicamente. Es posible que las reglas obsoletas no se alineen con la arquitectura de red o los patrones de tráfico actuales. Esta brecha de seguridad puede dejar la red expuesta a posibles ataques mediante la reducción de restricciones en el tráfico de entrada y salida.
Usar segmentación para mejorar la seguridad. Use grupos de seguridad de red (NSG) como firewalls de nivel 4 en el nivel de subred. Enrute todo el tráfico externo a través de una aplicación virtual de red, como un firewall, mediante rutas definidas por el usuario para la supervisión y administración. Use nombres de dominio completos (FQDN) para filtrar el acceso a Internet.
Proteja la conectividad de plataforma como servicio con puntos de conexión privados al bloquear las conexiones salientes.
Aplique el principio de privilegios mínimos. Configure el control de acceso basado en roles (RBAC) con una mentalidad de no acceso para roles relacionados con la red. Asegúrese de que los usuarios solo pueden modificar la configuración según sea necesario para su función de trabajo.
Limitar direcciones IP públicas. Use direcciones IP públicas compartidas de servicios como Azure Front Door para mejorar la seguridad y las comprobaciones de solicitudes iniciales. La administración de una dirección IP pública dedicada requiere que supervise su seguridad, incluida la administración de puertos y la validación de solicitudes. Cuando sea posible, use la conectividad privada.
Recomendaciones
| Recomendación | Beneficio |
|---|---|
| Utilice el cifrado de la red virtual. | Al aplicar el tráfico cifrado, puede proteger los datos en tránsito entre Azure Virtual Machines y Azure Virtual Machine Scale Sets dentro de la misma red virtual. También cifra el tráfico entre redes virtuales emparejadas de forma regional y global. |
| Habilitar el comprobador de red virtual en Azure Virtual Network Manager. Use esta característica en el entorno de preproducción para probar la conectividad entre los recursos. Esta característica no se recomienda en producción. |
Asegúrese de que los recursos de Azure dentro de la red son accesibles y no están bloqueados por las directivas. |
| Habilite Azure DDoS Protection para la red virtual. Como alternativa, puede proteger direcciones IP públicas individuales a través de Azure DDoS IP Protection. Revise las características de seguridad proporcionadas en DDoS IP Protection y DDoS Network Protection y elija una que se ajuste a sus requisitos. Por ejemplo, el nivel DDoS Network Protection proporciona compatibilidad con el equipo de respuesta rápida cuando se producen ataques. El nivel DDoS IP Protection no proporciona esta compatibilidad. |
Puede proteger contra ataques de denegación de servicio distribuidos. |
| Proteja los segmentos dentro de una red virtual mediante grupos de seguridad de red. Siempre que sea posible, use ASG para definir las reglas. |
El tráfico que entra y sale de la red se puede filtrar en función de la dirección IP y los intervalos de puertos. Los ASG simplifican la administración mediante la abstracción de los intervalos de direcciones IP subyacentes. |
| Use puntos de conexión privados para acceder a los servicios de Azure a través de una dirección IP privada dentro de la red virtual. Otra manera de implementar redes privadas es mediante puntos de conexión de servicio. Estos puntos de conexión enrutan el tráfico a un servicio a través de la red troncal de Azure. Si está disponible para el servicio, elija puntos de conexión privados en lugar de puntos de conexión de servicio. |
Los puntos de conexión privados eliminan la necesidad de direcciones IP públicas, lo que reduce la superficie expuesta a ataques. |
Optimización de costos
La optimización de costes se centra en detectar patrones de gasto, priorizar inversiones en áreas críticas y optimizar en otras para ajustarse al presupuesto de la organización al tiempo que se cumplen los requisitos empresariales.
Los principios de diseño de optimización de costos de proporcionan una estrategia de diseño de alto nivel para lograr esos objetivos y hacer concesiones cuando sea necesario en el diseño técnico relacionado con su entorno de red.
Lista de comprobación de diseño
Comience su estrategia de diseño basándose en la lista de comprobación de revisión de diseño para Optimización de costes para inversiones. Ajuste el diseño para que la carga de trabajo esté alineada con el presupuesto asignado para la carga de trabajo. El diseño debe usar las funcionalidades adecuadas de Azure, supervisar las inversiones y encontrar oportunidades para optimizar con el tiempo.
Optimizar transferencias de datos de gran volumen entre puntos de conexión. Use el emparejamiento de redes virtuales para mover datos de forma eficaz entre redes virtuales. Aunque el emparejamiento tiene costos de entrada y salida, este enfoque puede ser rentable porque reduce el consumo de ancho de banda y los problemas de rendimiento de red. Evite el enrutamiento a través de un centro para minimizar las ineficacias y los costos.
Para optimizar la transferencia de datos entre regiones, es importante tener en cuenta la frecuencia y el método de transferencia. Por ejemplo, cuando se tratan las copias de seguridad, la ubicación en la que guarda las copias de seguridad puede afectar significativamente a los costos. El almacenamiento de datos de copia de seguridad en una región diferente incurre en ancho de banda. Para mitigar estos costos, asegúrese de que los datos se comprimen antes de transferirlos entre regiones. Puede optimizar aún más los costos y la eficiencia ajustando la frecuencia de las transferencias de datos.
Incluir componentes de red en el modelo de costos. Tenga en cuenta los costos ocultos al crear o ajustar el presupuesto. Por ejemplo, en arquitecturas de varias regiones, cuesta más transferir datos entre regiones.
Es posible que los informes de costos de Azure no incluyan los gastos asociados a NVA que no son de Microsoft, que tienen costos de licencia independientes. También pueden tener modelos de facturación diferentes para las opciones basadas en el precio fijo y el consumo. Asegúrese de incluir estos factores en sus consideraciones presupuestarias.
Algunos recursos de red pueden ser costosos, como Azure Firewall y ExpressRoute. Puede aprovisionar estos recursos en modelos de concentrador centralizados y asignar cargos a los equipos por el costo incurrido. Incluya ese cargo en el modelo de costos.
No pagar por funcionalidades sin usar. Revise periódicamente los costos de los componentes y quite las características heredadas o las configuraciones predeterminadas. Limite el número de direcciones IP públicas para ahorrar costos. Este enfoque también mejora la seguridad al reducir la superficie expuesta a ataques.
Optimizar puntos de conexión privados. Determine si puede reutilizar un vínculo privado a un recurso de otras redes virtuales. Al usar un punto de conexión privado en un emparejamiento de red virtual regional, no se le cobrarán tarifas de emparejamiento por el tráfico hacia y desde el punto de conexión privado. Solo paga por el acceso al enlace privado, no por el tráfico entre redes virtuales. Para obtener más información, consulte Private Link en una red en estrella tipo hub-and-spoke.
Alinear las funciones de inspección del tráfico de red con los requisitos de prioridad y seguridad del flujo. Para grandes requisitos de ancho de banda, considere enrutar el tráfico por rutas de menor coste. ExpressRoute es adecuado para tráfico grande, pero puede ser costoso. Considere alternativas como los puntos de conexión públicos para ahorrar costos. Sin embargo, hay una compensación en cuanto a la seguridad. Use el emparejamiento de red para el tráfico de red a red, para omitir el firewall y para evitar inspecciones innecesarias.
Permitir solo el tráfico necesario entre los componentes y bloquear el tráfico inesperado. Si se espera tráfico y el flujo está alineado con los requisitos de seguridad, puede omitir esos puntos de control. Por ejemplo, evalúe si necesita enrutar el tráfico a través de un firewall si el recurso remoto está dentro del límite de confianza.
Evalúe el número de subredes y sus NSG asociados, incluso dentro de una red virtual. Cuantos más NSG tenga, mayor será el costo operativo para administrar los conjuntos de reglas. Siempre que sea posible, use ASG para simplificar la gestión y reducir los costes.
Optimización de los costes de código. Al desarrollar la aplicación, elija protocolos más eficaces y aplique compresión de datos para optimizar el rendimiento. Por ejemplo, puede mejorar la eficacia en una aplicación web configurando componentes para comprimir datos. Estas optimizaciones también afectan al rendimiento.
Aprovechar los recursos de la red virtual centralizada. Use recursos centralizados para reducir la duplicación y la sobrecarga. Además, la descarga de responsabilidades en los equipos existentes puede ayudar a optimizar aún más los costos y permitir la delegación de conocimientos para funciones específicas.
Recomendaciones
| Recomendación | Beneficio |
|---|---|
| Utilizar el emparejamiento de red virtual para hacer que el flujo de red sea más eficiente al omitir los controles. Evite el emparejamiento excesivo. |
Transfiere datos directamente entre redes virtuales emparejadas para omitir el firewall, lo que reduce el consumo de ancho de banda y los problemas de rendimiento de red. Evite colocar todos los recursos en una sola red virtual. Podría incurrir en costes de emparejamiento, pero no es práctico poner todos los recursos en una única red virtual solo para ahorrar costes. Puede dificultar el crecimiento. La red virtual puede llegar finalmente a un punto en el que los nuevos recursos ya no caben. |
| Minimizar los recursos de dirección IP pública si no los necesita. Antes de la eliminación, asegúrese de que la dirección IP no esté vinculada con ninguna configuración de dirección IP o interfaz de red de máquina virtual. |
Las direcciones IP públicas innecesarias pueden aumentar los costos debido a los cargos de recursos y la sobrecarga operativa. |
Excelencia operativa
La excelencia operativa se centra principalmente en los procedimientos para las prácticas de desarrollo , la observabilidad y la administración de versiones.
Los principios de diseño de Excelencia Operativa proporcionan una estrategia de diseño de alto nivel para lograr esos objetivos hacia los requisitos operativos de la carga de trabajo.
Lista de comprobación de diseño
Inicie su estrategia de diseño basándose en la lista de comprobación de revisión del diseño para la excelencia operativa para definir los procesos de observabilidad, prueba e implementación relacionados con su entorno de red.
Aprende nuevos constructos de red de Azure. Cuando se incorpora a Azure, los equipos de red suelen suponer que sus conocimientos existentes son suficientes. Sin embargo, Azure tiene muchos aspectos diferentes. Asegúrese de que el equipo comprende los conceptos fundamentales de redes de Azure, las complejidades de DNS, el enrutamiento y las funcionalidades de seguridad. Cree una taxonomía de servicios de red para que el equipo pueda compartir conocimientos y tener una comprensión común.
Formalizar el diseño de la red y esforzarse por simplificar. Documente el diseño y los cambios, incluidos los detalles de configuración, como tablas de rutas, grupos de seguridad de red y reglas de firewall. Incluya las directivas de gobernanza que están en vigor, como los puertos de bloqueo. La documentación clara hace que la colaboración con otros equipos y partes interesadas sea eficaz.
Las redes simplificadas son más fáciles de supervisar, solucionar problemas y mantener. Por ejemplo, si tiene una topología de topología de red tipo hub-and-spoke, minimice los emparejamientos directos entre radios para reducir la carga operativa y reforzar la seguridad. Documente siempre el diseño y proporcione justificaciones para cada decisión de diseño.
Reduzca la complejidad mediante alias en lugar de intervalos de direcciones IP directas. Este método reduce la carga operativa.
Usar patrones de diseño que optimizan el tráfico de red. Para optimizar el uso y la configuración de la red, implemente patrones de diseño conocidos que minimicen o optimicen el tráfico de red. Valide la configuración de red durante las compilaciones mediante escáneres de seguridad para asegurarse de que todo está configurado correctamente.
Realiza implementaciones de red coherentes. Use la infraestructura como código (IaC) para todos los componentes, incluidos los emparejamientos de red y los puntos de conexión privados. Comprenda que es probable que los componentes principales de red cambien con menos frecuencia que otros componentes. Aplique un enfoque de despliegue en capas para su pila, de modo que pueda implementar cada capa independientemente. Evite combinar IaC con scripting para evitar la complejidad.
Supervisar la pila de redes. Supervise los patrones de tráfico continuamente para identificar anomalías y problemas, como caídas de conexión, antes de que causen errores en cascada. Cuando sea posible, establezca alertas para recibir notificaciones sobre estas interrupciones.
De forma similar a otros componentes de esta arquitectura, capture todas las métricas y registros pertinentes de varios componentes de red, como la red virtual, las subredes, los grupos de seguridad de red, los firewalls y los equilibradores de carga. Las puede agregar visualizar y analizar en sus paneles. Cree alertas para eventos importantes.
Incluir redes en la estrategia de mitigación de errores. Las redes virtuales y subredes se implementan inicialmente y normalmente permanecen sin cambios, lo que dificulta la reversión. Sin embargo, puede optimizar la recuperación siguiendo algunas estrategias:
Infraestructura de red duplicada de antemano, especialmente para las configuraciones híbridas. Asegúrese de que las rutas independientes de diferentes regiones estén listas para comunicarse entre sí de antemano. Replique y mantenga reglas coherentes de NSG y Azure Firewall en los sitios principales y de recuperación ante desastres (DR). Este proceso puede llevar mucho tiempo y requiere aprobación, pero hacerlo de antemano ayuda a evitar problemas y errores. Asegúrese de probar el stack de red en el sitio de recuperación ante desastres.
Evitar rangos de direcciones IP superpuestos entre las redes de producción y recuperación ante desastres. Al mantener intervalos de direcciones IP distintos, puede simplificar la administración de red y acelerar la transición durante un evento de conmutación por error.
Considere las compensaciones entre el costo y la fiabilidad. Para obtener más información, consulte Desventajas.
Delegar las operaciones de red en los equipos centrales. Centralice la administración y la gobernanza de la infraestructura de red, siempre que sea posible. Por ejemplo, en una topología de red en estrella tipo hub-spoke, los servicios como Azure Firewall y ExpressRoute, DNS que están diseñados para uso compartido, se colocan en la red del concentrador. Esa pila de red debe administrarse de forma centralizada, lo que quita la carga del equipo de tareas.
Delegue la administración de la red virtual al equipo central, incluso en la red en estrella tipo hub-and-spoke. Minimice las operaciones de red a lo que es pertinente para la carga de trabajo, como la administración de grupos de seguridad de red.
Mantenga los equipos centrales informados de los cambios necesarios en la carga de trabajo que podrían afectar a la configuración de recursos compartidos. Los alias abstraen las direcciones IP subyacentes, lo que simplifica las operaciones.
Redimensione las redes virtuales y las subredes. Elija menos redes virtuales más grandes para reducir la sobrecarga de administración y evitar hacer que las subredes sean excesivamente grandes. La administración de subredes y sus NSG puede aumentar la carga operativa. Para entornos que tienen una disponibilidad limitada de direcciones IP privadas (RFC 1918), considere la posibilidad de usar IPv6.
| Recomendación | Beneficio |
|---|---|
| Implemente el Gestor de Redes Virtuales . | En lugar de configurar cada red virtual individualmente, Virtual Network Manager administra de forma centralizada la conectividad basada en reglas. Este enfoque simplifica las operaciones de red. |
| Use herramientas de supervisión de redes. Use regularmente registros de flujo de red virtual y análisis de tráfico para identificar los cambios en la demanda y los patrones. Utilice la función de monitor de conexión para analizar e identificar problemas como caídas de conexión antes de que afecten a las aplicaciones. |
Puede comprender cómo fluyen los datos a través de la red, identificar cuellos de botella e identificar intentos de acceso inusuales o no autorizados. |
| Al definir rutas, use etiquetas de servicio en lugar de direcciones IP específicas. De forma similar, use ASG al definir reglas de tráfico para grupos de seguridad de red. |
Este enfoque garantiza la confiabilidad porque las direcciones IP pueden cambiar, pero no es necesario realizar la configuración. Además, ayuda a superar los límites del número de rutas o reglas que puede establecer mediante el uso de nombres más genéricos. |
Eficiencia del rendimiento
La eficiencia del rendimiento consiste en mantener la experiencia del usuario incluso cuando hay un aumento de la carga mediante la administración de la capacidad. La estrategia incluye el escalado de recursos, la identificación y la optimización de posibles cuellos de botella y la optimización del rendimiento máximo.
Los principios de diseño eficiencia del rendimiento proporcionan una estrategia de diseño de alto nivel para lograr esos objetivos de capacidad con respecto al uso esperado.
Lista de comprobación de diseño
Inicie su estrategia de diseño basada en la lista de comprobación de revisión de diseño para la eficiencia del rendimiento para definir una línea base basada en los indicadores clave de rendimiento.
Definir objetivos de rendimiento. Para definir los objetivos de rendimiento, confíe en las métricas de supervisión, específicamente para la latencia y el ancho de banda. Use los datos del monitor de conexión, como la latencia y el número de saltos, para establecer destinos y umbrales para un rendimiento aceptable. Application Insights proporciona una vista detallada del tiempo que las solicitudes de carga de trabajo pasan en la red, lo que ayuda a refinar estos objetivos.
Redimensione las subredes. Al asignar subredes, es importante equilibrar el tamaño y la escalabilidad. Quiere que las subredes sean lo suficientemente grandes como para dar cabida al crecimiento proyectado sin la carga operativa.
Para administrar la capacidad de forma eficaz, una estrategia común consiste en sobreaprovisionar la capacidad debido a la incertidumbre, pero el objetivo debe ser optimizar con el tiempo. Analice continuamente los datos para que la red pueda controlar la carga, pero no paga más por los recursos no utilizados.
Realizar pruebas de rendimiento. Use una combinación de datos sintéticos y de producción para probar la latencia y el ancho de banda. Este enfoque ayuda a evaluar cómo estos factores pueden afectar al rendimiento de la carga de trabajo. Por ejemplo, puede detectar recursos que provocan problemas ruidosos de vecinos y consumen más ancho de banda de lo esperado. Además, identifica el tráfico que realiza varios saltos y provoca una latencia alta.
Se recomienda probar en producción o capturar y reproducir datos de producción como datos de prueba. Este enfoque garantiza que las pruebas reflejen el uso real, lo que le ayuda a establecer objetivos de rendimiento realistas.
Supervisar el tráfico entre regiones. Es importante tener en cuenta que los recursos de carga de trabajo pueden encontrarse en regiones diferentes. La comunicación entre regiones puede agregar una latencia significativa. El tráfico entre zonas de disponibilidad de la misma región tiene baja latencia, pero es posible que no sea lo suficientemente rápido para algunas cargas de trabajo especializadas.
Recomendaciones
| Recomendación | Beneficio |
|---|---|
| Habilite el monitor de conexión de Azure Network Watcher. Use el monitor de conexión durante las pruebas, que puede generar tráfico sintético. |
Puede recopilar métricas que indican la pérdida y la latencia entre redes. Además, puede seguir toda la ruta del tráfico, lo que es importante para detectar cuellos de botella en la red. |
| Mantenga el espacio de direcciones de red virtual lo suficientemente grande como para admitir el escalado. | Puede dar cabida al crecimiento proyectado sin carga operativa. |
Ventajas y desventajas
Es posible que tenga que hacer concesiones en el diseño si utiliza los enfoques de las listas de comprobación de pilares. En los ejemplos siguientes se resaltan las ventajas y desventajas.
Pila de redes redundantes
Cuando se decide implantar una pila de red redundante, incluidos sus NSG, rutas y otras configuraciones, hay que añadir el coste de la infraestructura y de las pruebas exhaustivas.
Esta inversión inicial mejora la confiabilidad. Puede asegurarse de que todo funciona según lo previsto y acelerar la recuperación durante las interrupciones.
Emparejamiento de red virtual
El emparejamiento directo de red virtual mejora el rendimiento al reducir la latencia, ya que evita la necesidad de enrutar el tráfico a través de un centro donde un firewall descifra, inspecciona y vuelve a cifrar la carga.
Esa ganancia de rendimiento se produce a costa de reducir la seguridad. Sin las inspecciones de firewall que proporciona el enrutamiento central, la carga de trabajo es más vulnerable a posibles amenazas.
Subredes grandes
Las subredes grandes proporcionan un amplio espacio de direcciones, lo que permite que las cargas de trabajo se escalen de manera fluida. Un espacio de direcciones grande puede protegerse frente a picos inesperados de demanda. Sin embargo, podría dar lugar a un uso ineficaz de direcciones IP. Con el tiempo, esta ineficiencia puede provocar el agotamiento de direcciones IP a medida que evoluciona la carga de trabajo. Además, esta estrategia conlleva mayores costos operativos. Desde una perspectiva de excelencia operativa, es ideal mantener las subredes lo más pequeñas posible.
Directivas de Azure
Azure proporciona un amplio conjunto de directivas integradas relacionadas con Virtual Network y sus dependencias. Defina y asigne directivas para ayudar a garantizar que los recursos cumplan los estándares de la organización. Cree un panel de cumplimiento de Azure Policy para identificar recursos no conformes y realizar acciones correctivas.
Un conjunto de directivas de Azure puede auditar algunas de las recomendaciones anteriores. Por ejemplo, puede establecer directivas que se apliquen automáticamente:
- Proteja la red virtual frente a ataques volumétricos y de protocolo.
- Denegar la creación de interfaces de red que tienen direcciones IP públicas.
- Implemente Network Watcher para redes virtuales.
- Habilite el análisis de tráfico y los registros de flujo para supervisar los patrones de tráfico.
Para una gobernanza completa, revise las Definiciones integradas en Azure Policy y otras políticas que puedan afectar a la seguridad de la capa de red.
Recomendaciones de Azure Advisor
azure Advisor es un consultor en la nube personalizado que le ayuda a seguir los procedimientos recomendados para optimizar las implementaciones de Azure. Estas son algunas recomendaciones que pueden ayudarle a mejorar la confiabilidad, la seguridad, la rentabilidad, el rendimiento y la excelencia operativa de la red virtual.
Pasos siguientes
En los artículos siguientes se muestran las recomendaciones que se describen en este artículo.
En el caso de una topología tipo hub-spoke, utilice la arquitectura de referencia de la topología de red en estrella tipo hub-and-spoke para configurar su stamp inicial.
Use la siguiente documentación del producto para mejorar la experiencia de implementación:
- Red virtual
- Documentación de los servicios de red virtual IP