Ejercicio: Implementación de una topología de red en estrella tipo hub-and-spoke en Azure

Completado

Ha decidido implementar la infraestructura de red en una configuración en estrella tipo hub-and-spoke para los recursos. Además, el departamento interno de Recursos Humanos quiere hospedar un nuevo sistema de RR.HH. interno que no debe ser accesible desde Internet. El sistema de RR. HH. debe estar al alcance de todos en la empresa, tanto si trabajan en la sede central como en una oficina satélite.

En este ejercicio, implementará la infraestructura de red y, después, creará una red virtual para hospedar los servidores del nuevo sistema de RR. HH. de la empresa.

Diagram showing adding a new HR spoke to the network.

Configuración de entorno

Esta implementación crea los recursos de red de Azure que coinciden con el diagrama anterior. Con estos recursos, puede agregar la nueva red virtual de RR. HH.

Cree las redes y subredes virtuales para los recursos de su servidor. Ejecute el siguiente comando:

az deployment group create \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --template-uri https://raw.githubusercontent.com/MicrosoftDocs/mslearn-hub-and-spoke-network-architecture/master/azuredeploy.json

Creación de un radio en la red virtual

Puede crear una red virtual con Azure Portal, la CLI de Azure o Azure PowerShell. El resto de este ejercicio se realizará en Azure Portal.

  1. Inicie sesión en Azure Portal con la misma cuenta que ha usado para activar el espacio aislado.

  2. En la parte superior izquierda de Azure Portal, seleccione Crear un recurso. Aparecerá el panel Crear un recurso.

  3. En el cuadro de búsqueda del portal, escriba red virtual.

  4. Seleccione Virtual Network en el Marketplace. Aparece el panel Red virtual: Crear.

  5. Para iniciar la configuración de la red virtual, seleccione Crear. Aparece el panel Crear red virtual.

Configuración de los valores de red virtual

La experiencia de creación de recursos en el portal es un asistente que le guía a través de la configuración inicial de la red virtual.

  1. Para crear la red virtual, escriba los valores siguientes para cada configuración en la pestaña Aspectos básicos.

    Configuración Value
    Detalles del proyecto
    Suscripción Suscripción de Concierge
    Grupo de recursos En la lista desplegable, seleccione [nombre del grupo de recursos de espacio aislado].
    Detalles de instancia
    Nombre de la red virtual HRappVnet
    Region Deje la región predeterminada.
  2. Seleccione la pestaña Direcciones IP o seleccione Siguiente > Siguiente.

  3. Escriba los valores siguientes para cada opción.

    Configuración Value
    Espacio de direcciones IPv4 Reemplace la dirección predeterminada por 10.10.0.0/16 en el cuadro de texto.
    Nombre de subred Seleccione Predeterminado. Se mostrará el panel Editar subred. Escriba los valores siguientes para cada opción.
    Configuración Value
    Nombre de subred HRsystems
    Dirección inicial 10.10.1.0/24
  4. Seleccione Guardar.

  5. Seleccione Revisar + crear. Una vez que se supera la validación, seleccione Crear para iniciar el aprovisionamiento de la red virtual.

  6. Cuando la implementación se complete correctamente, seleccione Ir al recurso. Aparece el panel de la red virtual HRappVnet.

Configuración del emparejamiento de red virtual del centro de conectividad

Ahora que ha creado el tercer radio, tiene que configurar el emparejamiento de red virtual entre el centro de conectividad y los radios.

  1. Vaya a la página Inicio del portal. Seleccione Todos los recursos. Aparece el panel Todos los recursos.

    Debería ver las redes virtuales HubVNet, WebVNet, QuoteVNet y HRappVnet.

  2. Seleccione HubVNet. Aparece el panel HubVnet.

  3. En el panel de menús de la izquierda, en Configuración, seleccione Emparejamiento. Se abre el panel Emparejamientos del panel HubVnet.

  4. En la barra de menús superior, seleccione + Agregar. Se abre el panel Agregar emparejamiento para HubVnet.

  5. En la página Agregar emparejamiento, seleccione HRappVnet para Virtual Network antes de completar el resto de la configuración de emparejamiento.

  6. Escriba los valores siguientes para cada opción.

    Configuración Valor
    Esta red virtual
    Nombre del vínculo de emparejamiento Escriba gwPeering_hubVNet_HRappVnet. Este es el nombre del vínculo de emparejamiento de HubvNet a HRappVnet.
    Permita que "HubVnet" acceda a "HRappVnet". Active la casilla Permitir acceso.
    Permita que "HubVnet" reciba tráfico reenviado desde "HRappVnet". Deje la casilla desactivada para bloquear el tráfico que se origina desde fuera de esta red virtual.
    Permita que la puerta de enlace de "HubVnet" reenvíe el tráfico a "HRappVnet". Deje desactivada la casilla.
    Active "HubVnet" para usar la puerta de enlace remota de "HRappVnet". Deje desactivada la casilla.
    Red virtual remota
    Nombre del vínculo de emparejamiento gwPeering_HRappVnet_hubVNet. Este es el nombre del vínculo de emparejamiento de HRappVnet a HubVnet.
    Modelo de implementación de red virtual Seleccione Administrador de recursos.
    Subscription Seleccione Suscripción de Concierge.
    Red virtual Seleccione HRappVnet.
    Permita que "HRappVnet" acceda a "HubVnet". Active la casilla Permitir acceso.
    Permita que "HRappVnet" reciba tráfico reenviado desde "HubVnet". Deje la casilla desactivada para bloquear el tráfico que se origina desde fuera de esta red virtual.
    Permita que la puerta de enlace de "HRappVnet" reenvíe el tráfico a "HubVnet". Deje desactivada la casilla.
    Active "HRappVnet" para usar la puerta de enlace remota de "HubVnet". Deje desactivada la casilla.
  7. Para crear el emparejamiento, seleccione Agregar. Se vuelve a abrir el panel Emparejamientos con el nuevo emparejamiento.

Ya ha emparejado la red virtual del centro de conectividad a la de los radios. Ha permitido que el tráfico se reenvíe desde el centro de conectividad a los radios mediante una puerta de enlace de VPN en la configuración.

Creación de un grupo de seguridad de red para la red virtual

Para configurar el flujo de tráfico, creará un grupo de seguridad de red.

  1. Vaya a la página Principal del portal y seleccione Crear un recurso. Aparecerá el panel Crear un recurso.

  2. En el cuadro de búsqueda, escriba grupo de seguridad de red y, después, seleccione el vínculo con el mismo título en la lista. Aparecerá el panel Grupo de seguridad de red: Crear.

  3. Para iniciar la configuración de la red virtual, seleccione Crear. Aparecerá Crear un grupo de seguridad de red.

  4. En la pestaña Aspectos básicos, escriba los valores siguientes para cada opción.

    Configuración Value
    Detalles del proyecto
    Suscripción Suscripción de Concierge
    Grupo de recursos En la lista desplegable, seleccione [nombre del grupo de recursos de espacio aislado].
    Detalles de instancia
    Nombre Escriba HRNsg.
    Region Deje la ubicación predeterminada.
  5. Seleccione Revisar + crear.

  6. Una vez que se supera la validación, seleccione Crear para implementar el grupo de seguridad de red. Aparece el panel Información general del grupo de seguridad de red.

  7. Seleccione Ir al recurso y anote el NSG, HRNsg.

Acaba de crear un grupo de seguridad de red que se puede asignar a cada una de las redes virtuales.

Asociación del grupo de seguridad de red a la nueva red virtual RR.HH.

Ahora asociará el grupo de seguridad de red a la red virtual.

  1. Si ha cerrado la ventana de HRNsg, vaya a la página de Inicio del portal. Seleccione Todos los recursos y HRNsg. Aparece el panel HRNsg. De lo contrario, vaya al paso siguiente.

  2. En el panel del menú de la izquierda, en Configuración, seleccione Subredes. Aparece el panel Subredes para el grupo de seguridad de red HRNsg.

  3. En la barra de menús superior, seleccione + Asociar. Aparecerá el panel Asociar subred.

  4. En la lista desplegable Red virtual, seleccione HRappVnet.

  5. En la lista desplegable Subred, seleccione HRsystems.

  6. Para asociar el grupo de seguridad de red, seleccione Aceptar. Vuelve a aparecer el panel Subredes para el grupo de seguridad de red HRNsg.

Configuración de la regla del grupo de seguridad de red para detener el tráfico HTTP entrante

Existe un requisito de seguridad que se debe cumplir para que la aplicación de Recursos Humanos se hospede en HRappVnet. No debe haber tráfico HTTP entrante procedente del radio porque solo los empleados internos necesitan acceso. Configure la regla del grupo de seguridad de red para cumplir este requisito.

  1. En la página HRNsg | Subredes, seleccione Reglas de seguridad de entrada en Configuración. Aparece el panel Reglas de seguridad de entrada para el grupo de seguridad de red HRNsg.

  2. En la barra de menús superior, seleccione + Agregar. Aparece el panel Agregar regla de seguridad de entrada.

  3. Escriba los valores siguientes para cada opción.

    Configuración Valor
    Source En la lista desplegable, seleccione Cualquiera.
    Source port ranges Deje el valor predeterminado de *.
    Destino En la lista desplegable, seleccione Etiqueta de servicio.
    Etiqueta de servicio de destino Seleccione VirtualNetwork.
    Service seleccione Personalizada.
    Intervalos de puertos de destino Escriba 80,443.
    Protocolo Seleccione Cualquiera.
    Acción Seleccione Denegar.
    Prioridad Escriba 100.
    Nombre Escriba Block-Inbound-HTTP-HTTPS.
    Descripción Escriba Bloquear tráfico HTTP y HTTPS entrante desde el radio.
  4. Para agregar la regla, seleccione Agregar. Vuelve a aparecer el panel Reglas de seguridad de entrada para el grupo de seguridad de red.

Ahora ha bloqueado el acceso HTTP entrante desde el radio en los puertos 80 y 443.

En este escenario, ha creado una red virtual de Azure de radio y luego la ha emparejado con una red virtual de centro de conectividad existente. Después, ha protegido el tráfico desde este radio mediante el bloqueo del acceso entrante en los puertos 80 y 443, además de asegurarse de que se puede conectar a través del centro de conectividad.