¿Qué es una Azure Virtual Network?

  • 7 minutos

Azure Virtual Network es un servicio que proporciona el bloque de construcción fundamental para su red privada en Azure. Una instancia del servicio (una red virtual) permite que muchos tipos de recursos de Azure se comuniquen de forma segura entre sí, Internet y redes locales. Estos recursos de Azure incluyen máquinas virtuales (VM).

Una red virtual es similar a una red tradicional que operaría en su propio centro de datos. Pero aporta ventajas adicionales de la infraestructura Azure, como escala, disponibilidad y aislamiento.

Diagrama que muestra un ejemplo de una red virtual de Azure.

¿Por qué usar una red virtual Azure?

Entre los escenarios clave que puede lograr con una red virtual se incluyen:

  • Comunicación de los recursos Azure con Internet.
  • Comunicación entre los recursos de Azure.
  • Comunicación con recursos locales.
  • Filtrado del tráfico de red.
  • Enrutamiento del tráfico de red.
  • Integración con los servicios de Azure.

Comunicarse con Internet

De manera predeterminada, todos los recursos de una red virtual pueden comunicarse con Internet. También puede utilizar una dirección IP pública, una puerta de enlace NAT o un equilibrador de carga pública para administrar sus conexiones salientes. Puede comunicarse de entrada con un recurso asignándole una dirección IP pública o un equilibrador de carga pública.

Cuando se usa solo una instancia interna del equilibrador de carga estándar, la conectividad de salida no está disponible hasta que define cómo desea que las conexiones salientes trabajen con una dirección IP pública o un equilibrador de carga público en el nivel de instancia.

Comunicación entre recursos de Azure

Los recursos de Azure se comunican de forma segura entre sí de una de las maneras siguientes:

  • Red virtual: puede implementar máquinas virtuales y otros tipos de recursos de Azure en una red virtual. Algunos ejemplos de recursos son App Service Environments, Azure Kubernetes Service (AKS) y Azure Virtual Machine Scale Sets. Para ver una lista completa de los recursos de Azure que puede implementar en una red virtual, consulte Implementar servicios de Azure dedicados en redes virtuales.
  • Punto de conexión de servicio de red virtual: Puede ampliar el espacio de direcciones privadas de la red virtual y la identidad de la red virtual a los recursos de servicio de Azure a través de una conexión directa. Algunos ejemplos de recursos son las cuentas Azure Storage y Azure SQL Database. Los puntos de conexión de servicio permiten proteger los recursos críticos del servicio de Azure solo en una red virtual. Para más información, consulte Puntos de conexión de servicio de red virtual.
  • Emparejamiento de redes virtuales: puede conectar redes virtuales entre sí mediante el emparejamiento virtual. Los recursos de ambas redes virtuales pueden comunicarse entre sí. Las redes virtuales que conecte pueden estar en la misma región de Azure o en regiones diferente. Para obtener más información, consulte Emparejamiento de redes virtuales.

Comunicación con recursos localizados en las instalaciones

Puede conectar los equipos y redes locales a una red virtual usando cualquiera de las siguientes opciones:

  • Red privada virtual de punto a sitio (VPN): se establece entre una red virtual y un único equipo de la red. Cada equipo que desea establecer conectividad con una red virtual debe configurar su conexión. Este tipo de conexión es muy útil si está empezando a utilizar Azure, o para desarrolladores, dado que requiere pocos o ningún cambio en una red existente. La comunicación entre el equipo y una red virtual se envía mediante un túnel cifrado a través de internet. Para más información, consulte Acerca de VPN de punto a sitio.
  • VPN de sitio a sitio: se establece entre el dispositivo VPN local y una puerta de enlace de VPN de Azure que se implementa en una red virtual. Este tipo de conexión habilita cualquier recurso local que autorice para acceder a una red virtual. La comunicación entre un dispositivo VPN local y una puerta de enlace de VPN de Azure se envía mediante un túnel cifrado a través de internet. Para más información, consulte VPN de sitio a sitio.
  • Azure ExpressRoute: se establece entre la red y Azure, a través de un asociado de ExpressRoute. Esta conexión es privada. El tráfico no pasa por Internet. Para obtener más información, consulte ¿Qué es Azure ExpressRoute?.

Filtrado del tráfico de red

Puede filtrar el tráfico de red entre subredes mediante una o ambas de las siguientes opciones:

  • Grupos de seguridad de red: los grupos de seguridad de red y los grupos de seguridad de aplicaciones pueden contener varias reglas de seguridad entrantes y salientes. Estas reglas permiten filtrar el tráfico desde y hacia los recursos por dirección IP de origen y destino, puerto y protocolo. Para obtener más información, consulte Grupos de seguridad de red y Grupos de seguridad de aplicaciones.
  • Aplicaciones virtuales de red: una aplicación virtual de red es una máquina virtual que realiza una función de red, como un firewall o una optimización WAN. Para ver una lista de las aplicaciones virtuales de red que se pueden implementar en una red virtual, vaya a Azure Marketplace.

Enrutar tráfico de red

De forma predeterminada Azure enruta el tráfico entre subredes, redes virtuales conectadas, redes locales e Internet. Puede implementar una o ambas de las siguientes opciones para invalidar las rutas predeterminadas que crea Azure:

  • Tablas de rutas: puede crear tablas de rutas personalizadas que controle a dónde se enruta el tráfico para cada subred.
  • Rutas del Protocolo de Puerta de Enlace de Frontera (BGP): Si conecta la red virtual a la red local mediante una puerta de enlace de VPN de Azure o una conexión ExpressRoute, puede propagar las rutas BGP de la red local a las redes virtuales.

Integración con servicios de Azure

La integración de servicios de Azure en una red virtual de Azure permite el acceso privado al servicio desde las máquinas virtuales o los recursos de proceso de la red virtual. Puede usar las siguientes opciones para esta integración:

  • Implementar instancias dedicadas del servicio en una red virtual. A continuación, se puede acceder a los servicios de forma privada dentro de la red virtual y desde redes locales.
  • Use Azure Private Link para acceder de forma privada a una instancia específica del servicio desde su red virtual y desde redes locales.
  • Acceder al servicio a través de puntos de conexión públicos extendiendo una red virtual al servicio, a través de puntos de conexión de servicio. Los puntos de conexión de servicio permiten proteger los recursos de servicio en la red virtual.

Límites

Hay ciertos límites en torno al número de recursos de Azure que puede implementar. La mayoría de los límites de red de Azure están en los valores máximos. Sin embargo, puede aumentar determinados límites de red. Para más información, consulte Límites de red.

Redes virtuales y zonas de disponibilidad

Las redes virtuales y subredes abarcan todas las zonas de disponibilidad de una región. No es necesario dividirlos por zonas de disponibilidad para dar cabida a los recursos zonales. Por ejemplo, si configura una máquina virtual zonal, no tiene que tener en cuenta la red virtual al seleccionar la zona de disponibilidad para la máquina virtual. Lo mismo sucede con otros recursos zonales.

Precios

El uso de Azure Virtual Network es gratuito. No tiene coste alguno. Se aplican tarifas estándar para recursos como máquinas virtuales y otros productos. Para más información, consulte Precios de Virtual Network y la Calculadora de precios de Azure.