Red virtual Azure

La Red Virtual Azure (Azure VNet) desempeña un importante papel en la construcción de redes dentro de la infraestructura Azure. Es un componente fundamental para mantener tus recursos de Azure en una red privada en la que puedes gestionar de forma segura y conectarte a otras redes externas (públicas y locales) a través de Internet.

Azure VNet va más allá de las redes locales y tradicionales habituales. Aparte de las ventajas de aislamiento, alta disponibilidad y escalabilidad, Azure VNet ayuda a proteger tus recursos de Azure permitiéndote administrar, filtrar o enrutar el tráfico de red según tus preferencias.

Por ejemplo, las VM de Azure se conectan o adjuntan a una VNet de Azure a través de tarjetas de interfaz de red virtual (VNIC), como se muestra en la Figura 4-1, donde una VM de Azure se adjunta a tres NIC: Por defecto, NIC1 y NIC2.

Figura 4-1. ThreeTier-VNet una VM Azure con varios NICs

Los recursos de Azure necesitan comunicarse de forma segura entre sí internamente en la red privada, a través de Internet, y también con las redes de la infraestructura local. Azure VNet lo hace posible. Echemos un vistazo más de cerca a estas formas de comunicación.

Comunicación por Internet

Por defecto, Azure VNet es capaz de comunicarse de forma saliente con Internet. Si quieres comunicarte con un recurso de Azure de entrada, puedes hacerlo utilizando una dirección IP pública de Azure o un equilibrador de carga de Azure que esté configurado como público.

Comunicación y conexión con los recursos de Azure

Los recursos de Azure pueden comunicarse de forma segura a través de la red virtual y el peering de VNet y ampliando los puntos finales de servicio de la red virtual. Por ejemplo, es posible desplegar algunos recursos Azure dedicados como AKS, Azure Batch, Azure SQL Manage Instance, Microsoft Entra Domain Services, Azure Container Instance (ACI), Azure Functions, Azure App Service Environments y Azure VM Scale Sets dentro de la misma red virtual.

Enrutamiento y filtrado del tráfico de red

El tráfico de red puede filtrarse entre las subredes de de varias formas. Se pueden utilizar grupos de seguridad de red (NSG) y grupos de seguridad de aplicaciones para controlar las reglas de seguridad (entrantes y salientes) para controlar y filtrar el tráfico de red. Otra buena opción es utilizar una VM de red en la que puedas configurar los ajustes de tu cortafuegos y reglas de red y optimizar tu WAN. En Azure Marketplace, encontrarás algunos gestores de dispositivos de red disponibles para servicios externos o dentro de Microsoft.

Peering de Azure VNet

El peering de redes virtuales Azure (VNet peering) permite a conectar varias redes virtuales en Azure. La conectividad y el tráfico entre las máquinas virtuales de las redes virtuales peered utilizan la infraestructura de Microsoft en una red privada segura. Las redes virtuales peered pueden compartir y conectarse directamente con los recursos ubicados en cualquiera de las redes virtuales.

Actualmente, Azure admite tanto el peering de VNet como el peering de VNet global. La diferencia entre ambas es que el peering VNet global conecta redes virtuales entre regiones Azure, mientras que el peering VNet conecta redes virtuales dentro de la misma región Azure.

La Figura 4-2 ilustra cómo funciona el peering de VNet entre dos redes virtuales, la VNet A y la VNet B, que tienen varias conexiones con otros recursos de red.

Figura 4-2. VNet peering en Azure

Tanto el peering de VNet como el peering de VNet global admiten el tránsito de pasarela, una propiedad del peering que permite a una red virtual utilizar la pasarela VPN de la red virtual peerizada para la conectividad entre instalaciones o la conectividad de VNet a VNet. Puedes configurar el tránsito de puerta de enlace VPN para el peering de VNet a través del Portal Azure, Powershell, la plantilla ARM y la CLI de Azure.

Por último, el peering de VNet utiliza direcciones IP. Hay dos tipos de direcciones IP que se utilizan en Azure: IP públicas e IP privadas. Las direcciones IP privadas se utilizan para la conectividad y la comunicación de recursos Azure dentro del mismo grupo de recursos. Por otro lado, las direcciones IP públicas se utilizan para permitir que los recursos de Internet se comuniquen de forma entrante con los recursos de Azure. El uso de este tipo de dirección IP permite la comunicación de los recursos Azure y los servicios Azure de cara al público a través de internet.

Obtén más información en la documentación de Microsoft sobre los servicios IP y algunas buenas prácticas recomendadas para la Red Virtual Azure.

Red de área extensa virtual Azure

Azure Virtual WAN es un servicio de red gestionada y un marco unificado para funciones de red, seguridad y enrutamiento. La red global Azure permite disponer de Azure Virtual WAN. Incluye conectividad VPN de sitio a sitio, de punto a sitio, ExpressRoute, etc.

La WAN Virtual ayuda a las organizaciones o unidades de negocio a conectarse a Internet y a otros recursos de Azure, por ejemplo, redes y conectividad de usuarios remotos, lo que resulta eficaz y útil para quienes prefieren trabajar desde casa u otras ubicaciones remotas. También puede utilizarse para trasladar la infraestructura existente o el centro de datos de las instalaciones a Microsoft Azure con la ayuda de la utilización de Azure Virtual WAN.

Entre las características de Azure Virtual WAN se incluyen:

• Conectividad de sucursales (mediante la automatización de la conectividad desde dispositivos asociados a la WAN Virtual, como SD-WAN o VPN CPE)

• Conectividad VPN de sitio a sitio

• Conectividad VPN punto a punto para usuarios remotos

• Conectividad privada mediante ExpressRoute

• Conectividad Intracloud para redes virtuales

• Interconectividad mediante VPN ExpressRoute

• Enrutamiento, cortafuegos Azure y encriptación para conectividad privada

Azure Virtual WAN también tiene ventajas como soluciones de conectividad integradas en el hub y el spoke, configuración automatizada del spoke y herramientas de solución de problemas y monitoreo. Al configurarla, necesitas recursos de WAN Virtual como Hub Virtual, Conexión VNet de Hub, conexión de hub a hub, una tabla de rutas de hub y recursos de sitio.

La Figura 4-3 muestra un ejemplo de Azure Virtual WAN utilizado e implementado para la conectividad remota.

Figura 4-3. Azure Virtual WAN (adaptado de una imagen de la documentación de Microsoft)

Azure Virtual WAN es un tema amplio y complejo. Para profundizar en él, consulta la documentación sobre la WAN Virtual de Microsoft en .

Azure ExpressRoute

Azure ExpressRoute te permite ampliar las redes que están en las instalaciones a la infraestructura en la nube de Microsoft utilizando un proveedor de conectividad a través de una conexión privada. Básicamente, este servicio de red permite conectar tus redes locales con Azure. Esta conexión entre una red local y Azure puede iniciarse utilizando una red cualquiera (IPVPN) con conectividad de Capa 3, que te permite interconectar con Azure tu propia WAN o centro de datos local.

La conexión en Azure ExpressRoute es privada, y el tráfico con esta conexión no va por Internet. Esto significa que las conexiones realizadas mediante ExpressRoute prometen velocidad, fiabilidad, disponibilidad y mayor seguridad en comparación con las conexiones a través de redes públicas.

Se puede establecer una conexión de red segura con otros recursos en la nube de Microsoft, como Microsoft 365, Dynamic 365 y Microsoft Azure, como se muestra en la Figura 4-4.

Figura 4-4. Conexiones Azure ExpressRoute entre redes públicas y locales (adaptado de una imagen de la documentación de Microsoft)

ExpressRoute tiene varias características útiles, como la compatibilidad con diferentes modelos de conectividad entre tu red local y Azure. Como se muestra en la Figura 4-5, estos modelos de conectividad pueden implementarse utilizando proveedores de servicios o directamente. Los proveedores de servicios utilizan actualmente tres tipos de modelos: coubicación de intercambio en la nube, conexión Ethernet punto a punto y conexión cualquiera a cualquiera (IPVPN). ExpressRoute Direct también puede utilizarse para la conexión directa a Microsoft Azure.

ExpressRoute Direct es un buen servicio de Azure si quieres conectar directamente tu red a la red de Microsoft globalmente en ubicaciones de peering con una conectividad de hasta 10 GBps o 100 GBps. Puedes crear una conexión ExpressRoute Direct a través del Portal Azure, Azure CLI y Azure PowerShell. Obtén más información sobre los circuitos ExpressRoute Direct, flujos de trabajo, etiquetado VLAN, SLA y precios en la documentación de Microsoft. Azure Storage puede integrarse con ExpressRoute Direct si tienes un caso de uso que requiera la ingestión de datos.

Figura 4-5. Diferentes modelos de conectividad de Azure ExpressRoute

Azure ExpressRoute tiene la opción de implementar peering privado para recursos Azure como VMs y Azure Virtual Desktop RDP Shortpath dentro de las redes virtuales.

Puerta de enlace VPN Azure

Una pasarela VPN es un tipo específico de pasarela de red virtual que se utiliza para enviar tráfico cifrado entre una red virtual Azure y una ubicación local a través de la Internet pública. También puedes utilizar una pasarela VPN para enviar tráfico cifrado entre redes virtuales Azure a través de la red Microsoft. Cada red virtual sólo puede tener una puerta de enlace VPN. Sin embargo, puedes crear varias conexiones a la misma pasarela VPN. Cuando creas varias conexiones a la misma pasarela VPN, todos los túneles VPN comparten el ancho de banda disponible de la pasarela.

Diferentes tipos de conexiones de pasarela VPN

Para crear una conexión de pasarela VPN, necesitamos conocer las distintas configuraciones. Estos diferentes tipos de conexiones te darán una visión clara y una comprensión de lo que es ideal en función de lo que se adapte a los requisitos de tu empresa.

VPN de sitio a sitio (S2S)

La conexión de sitio a sitio (S2S) se ejecuta a través del túnel VPN IPsec/IKE ((IKEv1 o IKEv2). La VPN IPsec es uno de los protocolos VPN habituales que se utilizan para establecer una conexión VPN. Las conexiones de pasarela VPN S2S pueden ser casos de uso híbrido o entre sedes. Este tipo de pasarela también requiere un dispositivo VPN que debe estar ubicado en las instalaciones. Este dispositivo VPN debe tener designada una dirección IP pública.

VPN punto a punto

El tipo de conexión VPN punto a punto (P2S) es aplicable si quieres conectar un ordenador cliente a una red virtual como Azure VNet. Este tipo de conexión VPN debe iniciarse desde el ordenador cliente, lo que resulta útil para trabajar a distancia.

VNet-a-VNet (túnel VPN IPsec/IKE)

A diferencia de la conexión VPN P2S, la conexión VNet-a-VNet es para conectar entre VNets, incluso redes virtuales en las instalaciones. Este tipo de pasarela VPN utiliza una conexión segura mediante IPsec/IKE. Con este tipo de conexión VNet a VNet también es posible configurar conexiones entre varios sitios.

De centro a centro y ExpressRoute

El tráfico de red de la pasarela VPN S2S se encripta de forma segura a través de la Internet pública. ExpressRoute también crea una conexión privada y directa desde una WAN a Azure y otros servicios de Microsoft. Esto significa que configurar ExpressRoute junto con S2S VPN tiene ventajas, especialmente si se establece para la misma red virtual.

Uno de los pasos importantes a la hora de configurar la pasarela VPN es elegir el tipo adecuado. Una red virtual sólo puede tener una pasarela VNet. Por ejemplo, si estás configurando la pasarela VNet para VPN, entonces tendrías que utilizar -GatewayType Vpn y para ExpressRoute utilizarías de forma similar su valor de palabra clave. Consulta la guía para configurar los ajustes de la pasarela VPN y algunos requisitos que debes conocer.

Puerta de enlace NAT de Azure para redes virtuales

Azure Virtual Network NAT ayuda a simplificar la conectividad saliente a Internet para redes virtuales (una o varias subredes). Una vez que una subred está asociada a una pasarela NAT, ésta ofrece la ventaja de proporcionar una traducción de direcciones de red de origen (SNAT). Por ejemplo, puedes utilizar Azure NAT Gateway para conectarte de forma segura a tus máquinas virtuales utilizando una IP pública dedicada, a la vez que tienes control sobre los puertos que compartes. Cuando se configura una VNet NAT a nivel de subred, la conectividad saliente utilizará las direcciones IP públicas estáticas especificadas. La Figura 4-6 ilustra cómo funciona la pasarela Azure VNet NAT con una VM con IP pública. Las máquinas virtuales Azure de la subred A tienen direcciones IP públicas a nivel de instancia, pero las de la subred B no. El tráfico de red entrante se dirige a las máquinas virtuales de la Subred A que siguen estando dirigidas a una IP de nivel de instancia. Sin embargo, todo el tráfico saliente de ambas Subredes A y B se enruta a través de Azure NAT Gateway.

Figura 4-6. IP Pública a Nivel de Instancia con una VM y NAT

Las siguientes son algunas de las ventajas de utilizar Azure VNet NAT:

Seguridad y privacidad

La pasarela NAT de Azure VNet no necesita direcciones IP públicas; por tanto, la conexión entre redes virtuales es totalmente privada y segura. Los recursos pueden seguir conectándose a recursos externos fuera de la VNet incluso sin direcciones IP públicas.

Escalabilidad

Todos los recursos informáticos pertenecen a una subred. Todas las subredes pueden comunicarse y utilizar el mismo recurso en la misma red virtual. El escalado automático es posible con el uso de un prefijo IP público, que ayuda a identificar y escalar cuántas direcciones IP salientes se necesitan.

Resiliencia

NAT no tiene ninguna dependencia individual de otras instancias de cálculo, lo que se debe a que es un servicio distribuido y totalmente gestionado. Esta característica lo hace muy resistente como servicio de red definido por software.

Rendimiento

El rendimiento de una pasarela NAT es satisfactorio porque es un servicio de red definido por software; cuando esté en funcionamiento no tendrá un efecto negativo en el ancho de banda de la red.

La pasarela NAT de Azure VNet ofrece la posibilidad de controlar quién tiene acceso a los recursos de tu organización y desde qué ubicaciones se puede acceder a ellos. Por estas razones, la pasarela NAT puede ser útil para poner en una lista blanca a un grupo de personas que trabajan como contratistas para una empresa.

NAT no es aplicable ni compatible para trabajar con direcciones IP públicas básicas y equilibradores de carga. Si necesitas utilizar la pasarela NAT en tu implementación, tendrías que utilizar las versiones estándar redes virtuales (una o varias subredes). Una vez que una subred está asociada a una pasarela NAT, la NAT da al en su lugar o actualizar los Balanceadores de Carga Públicos de Azure a versiones superiores.

Si quieres probar a diseñar una red virtual utilizando la pasarela NAT, consulta la documentación de Microsoft y un vídeo al respecto del Azure Friday.

Sistema de nombres de dominio Azure

Azure Domain Name System (DNS) es un servicio de alojamiento para dominios DNS que proporciona resolución de nombres utilizando la infraestructura de Microsoft Azure. Al alojar tus dominios en Azure, puedes gestionar tus registros DNS utilizando las mismas credenciales, API, herramientas y facturación que tus otros servicios Azure. No puedes utilizar Azure DNS para comprar un nombre de dominio. Por una cuota anual, puedes comprar un nombre de dominio utilizando dominios de App Service o un registrador de nombres de dominio de terceros. A continuación, tus dominios pueden alojarse en Azure DNS para la gestión de registros.

Las siguientes son algunas de las características clave de Azure DNS:

Fiabilidad y rendimiento

Los dominios DNS en Azure DNS se alojan en la red global de servidores de nombres DNS de Azure. Azure DNS utiliza una red anycast. Cada consulta DNS es respondida por el servidor DNS disponible más cercano para proporcionar un rendimiento rápido y una alta disponibilidad para tu dominio.

Seguridad

Azure DNS es seguro porque está vinculado a Azure Resource Manager, que está asociado a servicios de control de identidad de usuarios como Azure RBAC y Azure Resource Lock. El bloqueo de recursos se utiliza para evitar que otros usuarios de tu organización borren o modifiquen accidentalmente recursos críticos.

Registros de alias

Azure DNS admite conjuntos de registros de alias. Puedes utilizar un conjunto de registros de alias para hacer referencia a un recurso de Azure, como una dirección IP pública de Azure, un perfil de Azure Traffic Manager o un punto final de Azure Content Delivery Network (CDN). Si la dirección IP del recurso subyacente cambia, el conjunto de registros de alias se actualiza sin problemas durante la resolución DNS. El conjunto de registros de alias apunta a la instancia de servicio, y la instancia de servicio está asociada a una dirección IP. Además, ahora puedes apuntar tu dominio apex o naked a un perfil de Traffic Manager o a un punto final CDN utilizando un registro de alias.

Al utilizar Azure DNS, alojas tus propios sitios web de dominio en Azure, gestionas tus registros DNS y los integras con los recursos alojados en Azure. Si ya tienes un dominio, hay varias formas de alojarlo en Azure DNS. Microsoft dispone de diferentes guías para configurar tu propio dominio personalizado en una aplicación de función, aplicación web, blob storage u otro recurso de Azure.

Bastión Azul

El servicio Azure Bastion es un nuevo servicio PaaS gestionado por la plataformaque permite conexiones seguras de máquinas virtuales sin exponer los puertos confidenciales de tu red a la Internet pública. Proporciona una conectividad RDP/SSH segura y sin fisuras a tus máquinas virtuales directamente en el Portal Azure a través de TLS. Cuando te conectas a través de Azure Bastion, tus máquinas virtuales no necesitan una dirección IP pública.

Puedes conectarte de forma segura mediante RDP y SSH a todas las máquinas virtuales de la red virtual en la que está aprovisionado Azure Bastion. De este modo, te conectarás de forma segura a tus máquinas virtuales y no expondrás los puertos RDP/SSH a la Internet pública.

Las principales ventajas y usos de Azure Bastion son:

RDP y SSH directamente en un navegador web

Como Azure Basion utiliza un cliente web basado en HTML5, puedes acceder a tus máquinas virtuales desde cualquier dispositivo. Esto significa que no necesitas descargar un cliente RDP o SSH compatible para conectarte a una VM. Puedes conectarte a tus VM de forma segura utilizando sesiones RDP y SSH directamente en cualquier navegador web a través del Portal Azure.

La IP pública no es necesaria en la VM Azure

Azure Bastion abre la conexión RDP/SSH a tu VM de Azure utilizando una IP privada en tu VM. No necesitas una IP pública en tu VM.

Ahorra tiempo gestionando grupos de seguridad de red (GSN)

Azure Bastion está reforzado internamente para proporcionarte una conectividad RDP/SSH segura. No necesitas aplicar ninguna NSG a la subred de Azure Bastion. Como Azure Bastion se conecta a tus máquinas virtuales a través de una IP privada, puedes configurar tus NSG para permitir RDP/SSH sólo desde Azure Bastion. Esto elimina la molestia de gestionar las NSG cada vez que necesites conectarte de forma segura a tus máquinas virtuales.

Protección contra el escaneado de puertos

Las máquinas virtuales están aseguradas y protegidas contra el escaneado del puerto por parte de usuarios malintencionados situados fuera de tu red virtual.

Protégete contra los exploits de día cero

Azure Bastion protege contra los exploits de día cero de . Un exploit de día cero es un ataque de ciberseguridad que se aprovecha de una vulnerabilidad de seguridad. También se conoce como "0-day", que significa que el desarrollador tuvo 0 días para trabajar en una actualización que solucionara el problema. El uso de antivirus, cortafuegos y herramientas de protección de datos puede ayudar a evitar estas amenazas de seguridad. Obtendrás más información sobre los exploits de día cero y la seguridad en la nube de los recursos en la nube de Azure en el Capítulo 9.

Azure Bastion es una forma flexible y segura de conectar máquinas virtuales sobre la marcha. Para saber más, consulta esta guía en vídeo de Azure Friday.

Cortafuegos Azure

Azure Firewall es un servicio de seguridad de cortafuegos de red inteligente nativo de la nube que proporciona protección contra amenazas para tus cargas de trabajo en la nube que se ejecutan en Azure. Se trata de un cortafuegos como servicio, con estado completo, alta disponibilidad integrada y escalabilidad sin restricciones en la nube.

A continuación se describen los distintos tipos de Cortafuegos Azure para ayudarte a identificar cuál es el adecuado para tus necesidades:

Cortafuegos Azure Estándar

Azure Firewall Standard proporciona filtrado de cortafuegos de Capa 3 a Capa 7 y feeds de inteligencia sobre amenazas de Microsoft Cyber Security. Estos feeds de amenazas pueden utilizarse para notificar cualquier alerta importante e incluso pueden denegar el tráfico de red desde/a cualquier dominio y dirección IP maliciosos para proteger los recursos de Azure contra posibles pirateos o ataques.

Cortafuegos Azure Premium

Azure Firewall Premium proporciona a capacidades avanzadas como IDPS basado en firmas que permite la detección de ataques analizando y detectando patrones específicos, como secuencias de bytes en el tráfico de red o secuencias de instrucciones maliciosas conocidas utilizadas por el malware. Este nivel también es compatible con las ofertas de terceros disponibles de WatchGuard, Sophos, Palo Alto, Check Point y similares.

Aparte de las distintas categorías y niveles de cortafuegos de Azure, puedes gestionar de forma centralizada los cortafuegos de Azure en varias suscripciones de Azure mediante Azure Firewall Manager. Admite la configuración centralizada de la seguridad y la gestión de rutas. Esta política de cortafuegos puede utilizarse aplicando un conjunto común de reglas de cortafuegos en tu red o aplicación en tu tenant de Azure. Azure Firewall Manager admite cortafuegos en entornos como VNets y WAN virtuales (Secured Virtual Hub).

Azure Firewall es una opción excelente para asegurar tus recursos de Azure. El equipo que está detrás de Azure Firewall seguirá añadiendo funciones tanto al nivel estándar como al premium.

Protección DDoS Azure

Azure DDoS Protection proporciona contramedidas contra las amenazas DDoS (denegación de servicio distribuida) más sofisticadas, que pueden causar pérdidas graves y de gran impacto. Proporciona funciones avanzadas de mitigación de DDoS para tus aplicaciones y recursos.

Los clientes que utilizan Azure DDoS Protection también tienen acceso a soporte y comunicación con expertos en DDoS mediante Azure DDoS Rapid Response durante un ataque activo. Un plan estándar de Azure DDoS Protection es un requisito previo para este soporte.

La Figura 4-7 ilustra cómo funciona la Protección DDoS de Azure para proteger una pasarela de aplicaciones en una red virtual.

Figura 4-7. Protección DDoS de Azure para una aplicación web en una red virtual

Los ingenieros con una función relacionada con la seguridad de los recursos en Azure deben aprender los conceptos básicos de la seguridad de Azure y la protección de los recursos de Azure frente a los ataques. Consulta la ruta de aprendizaje de Microsoft para una introducción a la Protección DDoS de Azure.

Enlace privado Azure

Azure Private Link te permite acceder a Azure PaaS Services (por ejemplo, Azure Storage y SQL Database) y a servicios de socios/propiedad de clientes alojados en Azure a través de un punto final privado en tu red virtual. El tráfico entre tu red virtual y el servicio viaja a través de la red troncal de Microsoft. Ya no es necesario exponer tu servicio a la Internet pública. Puedes crear tu propio servicio de enlace privado en tu red virtual y ofrecerlo a tus clientes.

Puerta Azul

Azure Front Door es un punto de entrada global y escalable que utiliza la red de perímetro global de Microsoft para crear aplicaciones web rápidas, seguras y ampliamente escalables. Con Front Door, puedes transformar tus aplicaciones globales para consumidores y empresas en aplicaciones modernas personalizadas, robustas y de alto rendimiento, con contenidos que lleguen a un público global a través de Azure.

Con el servicio Azure Front Door, el contenido de tus aplicaciones llegará rápidamente a los usuarios de las mismas, estén donde estén. Este servicio utiliza la red de perímetro global de Microsoft que se interconecta con muchos puntos de presencia (POP) distribuidos por todo el mundo.

Con Front Door puedes desarrollar, operar y escalar tus aplicaciones web dinámicas e incluso de contenido estático. También te permite configurar, gestionar y monitorizar el enrutamiento global de tu tráfico web, optimizando el rendimiento y la fiabilidad del usuario final mediante una rápida conmutación por error global.

A continuación se indican otras ventajas y usos clave de Azure Front Door:

• Afinidad de sesión basada en cookies, que es útil para mantener activa la sesión de un usuario en el mismo dispositivo o servidor

• Descarga SSL y gestión de certificados

• Dominios personalizados si quieres configurar tus propios dominios

• Integración con Web Application Firewall (WAP) para la seguridad

• La redirección HTTP/HTTPS ayuda a garantizar que la conexión entre tu cliente web y el servidor sea segura y esté encriptada

• Reescritura de URL y redireccionamiento personalizado

• Monitoreo inteligente de recursos en el backend que ayudará a rastrear y depurar problemas

• Alojamiento de múltiples sitios web y soporte para dominios comodín

• Conectividad IPv6 de extremo a extremo y compatibilidad con el protocolo HTTP/2

Puedes elegir entre diferentes niveles: Azure Front Door Standard y Azure Front Door Premium. Para más información sobre los distintos niveles, consulta la guía de Microsoft sobre los niveles de Azure Front Door.

Puerta de enlace de aplicaciones Azure

Azure Application Gateway es un equilibrador de carga para el tráfico web. Te permite gestionar y controlar el tráfico de tus aplicaciones web. Es un controlador de entrega de aplicaciones (ADC) como servicio que admite varias capacidades de equilibrado de carga de Capa 7 para tus aplicaciones.

Azure Application Gateway de Microsoft ocupa el puesto nº 3 en soluciones de controlador de entrega de aplicaciones según una encuesta de clasificación de Peerspot.com.

Entre las características de la pasarela de aplicaciones se incluyen:

• Soporte para autoescalado (escalado hacia arriba y hacia abajo) basado en la carga de tráfico en curso de tu aplicación

• Terminación SSL/TLS en la pasarela para asegurar el tráfico no cifrado a los servidores

• Redundancia de zonas y compatibilidad con múltiples zonas de disponibilidad para garantizar la alta disponibilidad y la tolerancia a fallos de

• Enrutamiento basado en URL, alojamiento en varios sitios y redireccionamiento

• Protección y seguridad mediante el Cortafuegos de Aplicaciones Web (WAF)

• Uso como controlador de entrada para un clúster del Servicio Azure Kubernetes (AKS)

• Integración con Azure Monitor para el monitoreo, registro e información

Azure dispone de varias soluciones de equilibrio de carga totalmente gestionadas que se adaptan a diferentes casos de uso o necesidades . Azure Load Balancer es una alternativa si quieres hacer equilibrio de carga a nivel de la capa de red. También está Azure Front Door para optimizar el enrutamiento global del tráfico web y Azure Application Gateway si necesitas equilibrar la carga del servidor en la capa de aplicación.

Gestor de tráfico Azure

El Gestor de Tráfico de Azure es un equilibrador de carga de tráfico basado en DNS . Este servicio de red te permite distribuir eficazmente el tráfico a tus aplicaciones de cara al público a través de las regiones globales de Azure. El Gestor de Tráfico también proporciona a tus puntos finales públicos una alta disponibilidad y una rápida capacidad de respuesta.

Las principales ventajas de Azure Traffic Manager son

Integrar y asociar aplicaciones híbridas

Traffic Manager es compatible con puntos finales externos, ajenos a Azure, lo que permite utilizarlo en implementaciones en la nube híbrida y en las instalaciones, incluidos los escenarios de "ráfaga a la nube " , "migración a la nube" y "conmutación por error a la nube".

Mejorar la disponibilidad, la mantenibilidad y el rendimiento

Azure Traffic Manager promete ofrecer alta disponibilidad para las aplicaciones críticas mediante el monitoreo de los puntos finales y la conmutación por error automática si un punto final se cae. Puedes realizar el mantenimiento planificado de tus aplicaciones sin tiempo de inactividad. Traffic Manager puede dirigir el tráfico a puntos finales alternativos mientras se realiza el mantenimiento. También puede ayudar a mejorar el rendimiento de tu aplicación dirigiendo el tráfico web al punto final con menor latencia.

Gestiona la distribución compleja del tráfico y las Implementaciones avanzadas

Con los perfiles anidados del Gestor de Tráfico, puedes utilizar varios métodos de encaminamiento del tráfico para crear reglas flexibles que se adapten a las exigencias de las Implementaciones más complejas y grandes.

La Figura 4-12 muestra cómo se puede utilizar Azure Traffic Manager para dirigir la petición de un cliente de una aplicación web a un punto final específico en función del método de enrutamiento de tráfico que se haya configurado.

Figura 4-12. Ejemplo de uso de Azure Traffic Manager en una aplicación web para escalar y equilibrar la carga de tráfico en un entorno de nube híbrida

Si tienes varias instancias en distintas regiones de Azure y una de ellas falla durante la comprobación de estado, el tráfico de tu aplicación se dirige a la región de Azure que está sana. Sin embargo, puede producirse un problema de rendimiento en la latencia del tráfico hacia una región situada lejos.

Por lo tanto, hay que tener en cuenta algunas consideraciones sobre el rendimiento al utilizar y gestionar Azure Traffic Manager. Hay varias herramientas que puedes utilizar para medir la latencia y el rendimiento de tu DNS. Discutir los detalles técnicos de estas herramientas de monitoreo del tráfico está fuera del alcance de este libro, pero si quieres saber más, consulta las recomendaciones de Microsoft para medir el rendimiento del gestor de tráfico.

Observador de red Azure

Azure Network Watcher es un compuesto de diferentes herramientas utilizadas para el monitoreo, diagnóstico, registro y gestión de métricas de una Red Virtual Azure. Este servicio de red se utiliza habitualmente para rastrear y monitorizar los estados de salud de la red de servicios IaaS, como máquinas virtuales, pasarelas de aplicaciones, equilibradores de carga, redes virtuales, etc.

Estas son algunas de las ventajas de utilizar Azure Network Watcher:

• Monitorea la comunicación entre las máquinas virtuales y los puntos finales de la red a intervalos regulares con alertas y notificaciones

• Visualiza la visión general y las relaciones de los recursos Azure en una red virtual

• Detecta y soluciona cualquier problema de filtrado del tráfico de red entre tus máquinas virtuales

• Diagnosticar problemas de enrutamiento de red y conexiones salientes para máquinas virtuales

• Captura de paquetes VMs que ayuda a detectar posibles anomalías en la red

Azure Network Watcher es útil cuando resuelves problemas relacionados con la detección de anomalías en el tráfico de red en los recursos Azure IaaS. Por ejemplo, si quieres solucionar un problema con una conexión VPN entre dos máquinas virtuales, puedes utilizar Azure Network Watcher para monitorizar el tráfico entre ellas.

Merece la pena conocer una limitación del uso de Azure Network Watcher. No funcionará con los servicios PaaS de análisis y monitoreo web porque Network Watcher no se diseñó para utilizarse con estos dos servicios.

Monitoreo de Azure Perspectivas de la red

Azure Monitor Network Insights proporciona una vista general de de la salud y las métricas de todos los recursos de red que has desplegado y alojado en Azure. Este servicio Network Insights forma parte de Azure Monitor y te permite hacer un seguimiento de las métricas de red fácilmente sin necesidad de configuración avanzada.

Se estructura en torno a estos componentes clave del monitoreo:

• Salud de la red y métricas para la visualización de todos tus recursos de red con la opción de buscar, filtrar y configurar alertas y vistas de dependencia

• Conectividad te ayuda a visualizar todas las pruebas configuradas realizadas mediante el Monitor de Conexión

• Tráfico te ofrece una vista de todos los registros de flujo de los grupos de seguridad de red (NSG) y también de los análisis de tráfico del conjunto seleccionado de suscripciones, agrupados por ubicación

• El Kit de herramientas de diagnóstico puede utilizarse para solucionar problemas de red, como la verificación del flujo IP, la captura de paquetes, etc.

Si utilizas Azure Monitor para monitorizar y recopilar métricas de tus recursos Azure, entonces Network Insights es una buena herramienta, sobre todo cuando albergas varios recursos de red en Azure.