AZURE

Los servicios de Azure van desde servicios web sencillos para hospedar la presencia empresarial en
la nube hasta la ejecución de equipos totalmente virtualizados para ejecutar soluciones de
software personalizadas.

¿Qué es Azure Portal?

Azure Portal es una consola unificada basada en web que proporciona una alternativa a las
herramientas de línea de comandos. Con Azure Portal, puede administrar la suscripción de Azure
mediante una interfaz gráfica de usuario. Puede:

Compile, administre y supervise todo, desde aplicaciones web sencillas hasta complejas
implementaciones en la nube.

Cree paneles personalizados para una vista organizada de recursos.

Configure opciones de accesibilidad para una experiencia óptima.

¿Qué es Azure Marketplace?

Azure Marketplace facilita la conexión entre los usuarios y los partners de Microsoft, proveedores
de software independientes y nuevas empresas que ofrecen sus soluciones y servicios,
optimizados para ejecutarse en Azure
Proceso

Azure Virtual Machines

Máquinas virtuales (VM) Windows o Linux hospedadas en Azure.

Azure Virtual Machine Scale Sets

Escalado de máquinas virtuales Windows o Linux hospedadas en Azure.

Redes

Azure Virtual Network

Conecta máquinas virtuales a conexiones de red privada virtual (VPN) entrantes

Azure Load Balancer

Equilibra las conexiones entrantes y salientes a aplicaciones o puntos de conexión de servicio.

Almacenamiento

Azure Blob Storage

Servicio de almacenamiento para objetos muy grandes, como archivos de vídeo o mapas de bits.

Azure File storage

Recursos compartidos de archivos que puede administrar como un servidor de archivos y acceder
a ellos del mismo modo.

Azure Queue Storage

Almacén de datos para la puesta en cola y la entrega confiable de mensajes entre aplicaciones.

Azure Table storage

Table Storage es un servicio que almacena datos estructurados no relacionales (también conocidos
como datos NoSQL estructurados) en la nube, lo que proporciona un almacén de claves y atributos
con un diseño sin esquema.

Móvil

Con Azure, los desarrolladores pueden crear servicios de back-end móviles para aplicaciones iOS,
Android y Windows de forma rápida y sencilla
Bases de datos

Azure Cosmos DB

Base de datos distribuida globalmente que admite opciones NoSQL.

Azure SQL Database

Base de datos relacional totalmente administrada con escalado automático, inteligencia integral y
seguridad sólida.

Web

Azure App Service

Creación rápida de aplicaciones en la nube eficaces basadas en web.

Azure Notification Hubs

Envíe notificaciones push a cualquier plataforma desde cualquier back-end.

IoT

IoT Central

Solución global de software como servicio (SaaS) de IoT totalmente administrada que facilita la
conexión, la supervisión y la administración de los recursos de IoT a escala.

Azure IoT Hub

Centro de mensajería que proporciona comunicaciones y supervisión seguras entre millones de

dispositivos de IoT.

Macrodatos

Azure Synapse Analytics

Ejecute análisis a gran escala mediante un almacenamiento de datos empresarial basado en la

nube que aprovecha las ventajas del procesamiento paralelo masivo para ejecutar rápidamente
consultas complejas en petabytes de datos.

HDInsight de Azure

Procese grandes cantidades de datos con los clústeres administrados de Hadoop en la nube.
INTELIGENCIA ARTIFICIAL

Azure Machine Learning Service

Entorno basado en la nube que puede usar para desarrollar, entrenar, probar, implementar,
administrar y realizar un seguimiento de los modelos de aprendizaje automático. Puede generar y
ajustar automáticamente un modelo. Le permite comenzar a entrenar en el equipo local y luego
escalar horizontalmente a la nube.

Azure ML Studio

Área de trabajo visual colaborativa donde puede compilar, probar e implementar soluciones de
aprendizaje automático mediante algoritmos de aprendizaje automático predefinidos y módulos
de control de datos.

DevOps

Azure DevOps

Use herramientas de colaboración de desarrollo como canalizaciones de alto rendimiento,

repositorios Git privados gratuitos, paneles Kanban configurables y completas pruebas de carga
basadas en la nube y automatizadas. Anteriormente conocido como Visual Studio Team Services.

Azure DevTest Labs

Cree rápidamente entornos de Windows y Linux a petición para probar o realizar demostraciones
de las aplicaciones directamente desde canalizaciones de implementación.
IaaS

Infraestructura como servicio

Este modelo de servicio en la nube es el más similar a la administración de servidores físicos; un

proveedor de servicios en la nube mantendrá actualizado el hardware, pero el mantenimiento del
sistema operativo y la configuración de red serán su responsabilidad como inquilino de nube.

PaaS

Plataforma como servicio

Este modelo de servicio en la nube es un entorno de hospedaje administrado. El proveedor de

servicios en la nube administra las máquinas virtuales y los recursos de red, y el inquilino de nube
implementa sus aplicaciones en el entorno de hospedaje administrado.

SaaS

Software como servicio

En este modelo de servicio en la nube, el proveedor de servicios en la nube administra todos los
aspectos del entorno de la aplicación, como las máquinas virtuales, los recursos de red, el
almacenamiento de datos y las aplicaciones.

Gracias a Azure Virtual Machines, puede crear y utilizar máquinas virtuales en la nube. Virtual
Machines proporciona infraestructura como servicio (IaaS) y se puede usar de maneras diferentes.
Conjuntos de escalado de máquinas virtuales

Los conjuntos de escalado de máquinas virtuales son un recurso de Azure Compute que puede
usar para implementar y administrar un conjunto de máquinas virtuales idénticas.

Containers y Kubernetes

Container Instances y Azure Kubernetes Service son recursos de Azure Compute que puede usar
para implementar contenedores y administrarlos

App Service

Con Azure App Service puede compilar, implementar y escalar de forma rápida aplicaciones de
API, móviles y web de nivel empresarial que se pueden ejecutar en cualquier plataforma.

Funciones

Functions es una opción ideal si le preocupa solo el código que ejecuta el servicio y no la
infraestructura o la plataforma subyacente. Se usan normalmente cuando se debe realizar un
trabajo en respuesta a un evento (a menudo a través de una solicitud REST),

Una posible solución a la falta de servidores físicos de Tailwind Traders es usar máquinas virtuales
(VM)

¿Qué es Azure Batch?

Azure Batch permite trabajo por lotes paralelos a gran escala y de informática de alto rendimiento
(HPC) con la capacidad de escalar a decenas, cientos o miles de máquinas virtuales

Otra alternativa consiste en implementar los sitios web front-end de la aplicación en Azure App
Service, lo que facilita la respuesta a la demanda de la aplicación.
A pesar de que las máquinas virtuales son una excelente manera de reducir los costos frente a las
inversiones que son necesarias para el hardware físico, están limitadas a un solo sistema operativo
por máquina virtual. Los contenedores son una excelente opción si quiere ejecutar varias
instancias de una aplicación en un solo equipo host.

¿Qué son los contenedores?

Los contenedores son un entorno de virtualización. Al igual que la ejecución de varias máquinas
virtuales en un solo host físico, se pueden ejecutar varios contenedores en un solo host físico o
virtual

Uso de contenedores en las soluciones

Imagine que el back-end de su sitio web ha alcanzado el límite de su capacidad, pero el front-end y
el almacenamiento no están sobrecargados. Podría:

Escalar el back-end por separado para mejorar el rendimiento.

Decidir utilizar un servicio de almacenamiento diferente.

Reemplazar el contenedor de almacenamiento sin que ello afecte al resto de la aplicación.

Tras consultar a varios de sus colegas desarrolladores en Tailwind Traders, ha determinado que
parte de la lógica de aplicación está orientada a eventos. En otras palabras, para una gran cantidad
de tiempo, la aplicación espera una entrada determinada antes de realizar cualquier
procesamiento. Para reducir los costos, se quiere evitar el tener que pagar por el tiempo que la
aplicación espera la entrada. Teniendo esto en cuenta, ha decidido investigar Azure Functions para
ver si puede ser de ayuda.

Esta tarea normalmente requeriría la configuración de varios equipos PC nuevos con todas las
herramientas de desarrollo necesarias para el nuevo equipo. Después, tendría que enviarlos a los
desarrolladores correspondientes. El tiempo de adquisición, configuración y envío de cada uno de
estos equipos sería costoso. Además, los nuevos desarrolladores tienen sus propios dispositivos
informáticos que ejecutan una combinación de sistemas operativos Windows, Android y macOS.

Quiere encontrar una manera de acelerar el proceso de implementación para los trabajadores
remotos. También quiere mantener los costos de administración al mínimo. Teniendo esto en
cuenta, quiere ver cómo Azure Virtual Desktop puede ayudar a su organización.
Azure Storage,

Es un servicio que puede usar para almacenar archivos, mensajes, tablas y otros tipos de
información. Los clientes como sitios web, aplicaciones móviles, aplicaciones de escritorio y
muchos otros tipos de soluciones personalizadas pueden leer y escribir datos en Azure Storage.
Azure Storage también se usa en máquinas virtuales de infraestructura como servicio y en
servicios en la nube de plataforma como servicio.

Disk Storage

Proporciona discos para Azure Virtual Machines. Las aplicaciones y otros servicios pueden acceder
a estos discos y usarlos cuando sea necesario, igual que se haría en escenarios locales. Disk
Storage permite que los datos se almacenen de forma persistente y que se acceda a ellos desde un
disco duro virtual conectado.

Azure Blob Storage

Es una solución de almacenamiento de objetos para la nube. Puede almacenar grandes cantidades
de datos, como datos de texto o binarios. Azure Blob Storage es no estructurado, lo que significa
que no hay ninguna restricción en cuanto a los tipos de datos que puede contener. Blob Storage
puede administrar miles de cargas simultáneas, cantidades enormes de datos de vídeo, archivos
de registro en constante crecimiento y es accesible desde cualquier lugar con conexión a Internet.

Blob Storage resulta ideal para lo siguiente:

 Visualización de imágenes o documentos directamente en un explorador.

 Almacenamiento de archivos para acceso distribuido.
 Streaming de audio y vídeo.
 Almacenamiento de datos para copia de seguridad y restauración, recuperación ante
desastres y archivado.
 Almacenamiento de datos para el análisis en local o en un servicio hospedado de Azure.
 Almacenamiento de hasta 8 TB de datos para máquinas virtuales.
Azure Files

Ofrece recursos compartidos de archivos totalmente administrados en la nube a los que se puede
acceder mediante los protocolos del Bloque de mensajes del servidor y Network File System
(versión preliminar). Los recursos compartidos de Azure se pueden montar simultáneamente en
implementaciones de Windows, Linux y macOS en la nube o locales.

Use Azure Files para las siguientes situaciones:

 Muchas aplicaciones locales usan recursos compartidos de archivos. Azure Files facilita la
migración de esas aplicaciones que comparten datos a Azure. Si monta el recurso
compartido de archivos en la misma letra de unidad que usa la aplicación local, la parte de
la aplicación que accede al recurso compartido de archivos debe funcionar con cambios
mínimos, si los hay.
 Almacene archivos de configuración en un recurso compartido de archivos y acceda a ellos
desde varias máquinas virtuales. Las herramientas y utilidades que usen varios
desarrolladores de un grupo pueden almacenarse en un recurso compartido de archivos,
lo que garantiza que todos los usuarios puedan encontrarlas y que utilizan la misma
versión.
 Escriba datos en un recurso compartido de archivos y procese o analice los datos más
adelante. Por ejemplo, puede que desee hacerlo con registros de diagnóstico, métricas y
volcados de memoria.

La siguiente ilustración muestra el uso de Azure Files para compartir datos entre dos ubicaciones
geográficas. Azure Files garantiza que los datos se cifren en reposo, y el protocolo SMB garantiza
que los datos se cifren en tránsito.
Azure Storage ofrece diferentes niveles de acceso para el almacenamiento de blobs, lo que le
ayuda a almacenar datos de objetos de la manera más rentable. Entre los niveles de acceso
disponibles se incluyen:

 Nivel de acceso frecuente: optimizado para almacenar datos a los que se accede con
frecuencia (por ejemplo, imágenes para el sitio web).
 Nivel de acceso esporádico: optimizado para datos a los que se accede con poca
frecuencia y que se almacenan al menos durante 30 días (por ejemplo, las facturas de los
clientes).
 Nivel de acceso de archivo: conveniente para datos a los que raramente se accede y que
se almacenan durante al menos 180 días con requisitos de latencia flexibles (por ejemplo,
copias de seguridad a largo plazo).

Azure Virtual Network

Las redes virtuales de Azure proporcionan las importantes funcionalidades de red siguientes:

 Aislamiento y segmentación
 Comunicación con Internet
 Comunicación entre recursos de Azure
 Comunicación con los recursos locales
 Enrutamiento del tráfico de red
 Filtrado del tráfico de red
 Conexión de redes virtuales

Aislamiento y segmentación

La red virtual de Azure permite crear varias redes virtuales aisladas. Al configurar una red virtual,
se define un espacio de direcciones IP privadas con intervalos de direcciones IP públicas o
privadas. El intervalo IP público solo existe dentro de la red virtual y no es enrutable en Internet.
Después, puede dividir ese espacio de direcciones IP en subredes y asignar parte del espacio de
direcciones definido a cada subred con nombre.

Comunicación con Internet

Una máquina virtual en Azure se puede conectar a Internet de forma predeterminada. Puede
habilitar las conexiones entrantes desde Internet mediante la asignación de una dirección IP
pública a la máquina virtual o colocando la máquina virtual detrás de un equilibrador de carga
público. Para la administración de la máquina virtual, puede conectarse a través de la CLI de Azure,
el Protocolo de escritorio remoto o Secure Shell.

Comunicación entre los recursos de Azure

 Redes virtuales Las redes virtuales no solo pueden conectar máquinas virtuales, sino
también otros recursos de Azure, como App Service Environment para Power Apps, Azure
Kubernetes Service y conjuntos de escalado de máquinas virtuales de Azure.
 Puntos de conexión de servicio Puede usar los puntos de conexión de servicio para
conectarse a otros tipos de recursos de Azure, como cuentas de almacenamiento y bases
de datos SQL de Azure. Este enfoque permite vincular varios recursos de Azure con las
redes virtuales para mejorar la seguridad y proporcionar un enrutamiento óptimo entre
los recursos.

Comunicación con recursos locales

  Redes privadas virtuales de punto a sitio El enfoque habitual para una conexión de red
privada virtual (VPN) consiste en establecer la conexión con la red corporativa desde un
equipo ajeno a la organización. En este caso, el equipo cliente inicia una conexión VPN
cifrada para conectar ese equipo a la red virtual de Azure.
 Redes virtuales privadas de sitio a sitio Una VPN de sitio a sitio vincula un dispositivo o
puerta de enlace de VPN local con la puerta de enlace de VPN de Azure en una red virtual.
De hecho, puede parecer que los dispositivos de Azure están en la red local. La conexión
se cifra y funciona a través de Internet.
 Azure ExpressRoute Para los entornos donde se necesita más ancho de banda e incluso
mayores niveles de seguridad, Azure ExpressRoute es el mejor sistema. ExpressRoute
proporciona una conectividad privada dedicada a Azure que no viaja por Internet.
(Obtendrá más información sobre ExpressRoute en una unidad independiente más
adelante en este módulo.)

Enrutamiento del tráfico de red

De forma predeterminada, Azure enruta el tráfico entre las subredes de todas las redes virtuales
conectadas, las redes locales e Internet. También puede controlar el enrutamiento e invalidar esa
configuración del siguiente modo:

 Tablas de rutas Una tabla de rutas permite definir reglas para dirigir el tráfico. Puede crear
tablas de rutas personalizadas que controlen cómo se enrutan los paquetes entre las
subredes.
 Protocolo de puerta de enlace de borde: el Protocolo de puerta de enlace de borde (BGP)
funciona con puertas de enlace de VPN, Azure Route Server o ExpressRoute para propagar
las rutas BGP locales a las redes virtuales de Azure.

Filtrado del tráfico de red

Las redes virtuales de Azure permiten filtrar el tráfico entre las subredes mediante los métodos
siguientes:

Grupos de seguridad de red Un grupo de seguridad de red es un recurso de Azure que puede
contener varias reglas de seguridad de entrada y salida. Estas reglas se pueden definir para
permitir o bloquear el tráfico en función de factores como el protocolo, el puerto y las direcciones
IP de destino y origen.

Aplicaciones virtuales de red Una aplicación virtual de red es una máquina virtual especializada
que se puede comparar con un dispositivo de red protegido. Una aplicación virtual de red ejerce
una función de red determinada, como ejecutar un firewall o realizar la optimización de la red de
área extensa (WAN).

Conexión de redes virtuales

Puede vincular redes virtuales entre sí mediante el emparejamiento de red virtual. El
emparejamiento permite que los recursos de cada red virtual se comuniquen entre sí. Estas redes
virtuales pueden estar en regiones distintas, lo que permite crear una red global interconectada
con Azure.
 Suscripción Esta opción solo se aplica si tiene varias suscripciones para elegir.
 Grupo de recursos Como cualquier otro recurso de Azure, una red virtual debe existir en
un grupo de recursos. Puede seleccionar un grupo de recursos existente o crear uno.
 Nombre de red El nombre de red debe ser único en la suscripción, pero no es necesario
que lo sea globalmente. Elija un nombre descriptivo que sea fácil de recordar e identificar
con respecto a otras redes virtuales.
 Región Seleccione la región en la que quiere que exista la red virtual.
 Espacio de direcciones Al configurar una red virtual, se define el espacio de direcciones
internas con el formato de Enrutamiento de interdominios sin clases (CIDR). Este espacio
de direcciones debe ser único dentro de la suscripción y de cualquier otra red a la que se
conecte. Supongamos que elige un espacio de direcciones de 10.0.0.0/24 para la primera
red virtual. Las direcciones definidas en este intervalo del espacio de direcciones van de
10.0.0.1 a 10.0.0.254. Luego cree una segunda red virtual y elija un espacio de direcciones
de 10.0.0.0/8. Las direcciones de este intervalo del espacio de direcciones van de 10.0.0.1
a 10.255.255.254. Algunas de las direcciones se superponen y no se pueden usar para las
dos redes virtuales. Pero puede usar 10.0.0.0/16, con direcciones que van desde 10.0.0.1
hasta 10.0.255.254 y 10.1.0.0/16, con direcciones que van desde 10.1.0.1 hasta
10.1.255.254. Puede asignar estos espacios de direcciones a las redes virtuales porque
ninguna dirección se superpone.
 Subred Dentro de cada intervalo de direcciones de red virtual, puede crear una o varias
subredes que dividirán el espacio de direcciones de la red virtual. El enrutamiento entre
las subredes dependerá de las rutas de tráfico predeterminadas. También puede definir
rutas personalizadas. Como alternativa, puede definir una subred que abarque todo el
intervalo de direcciones de la red virtual.
 Puntos de conexión de servicio Aquí se habilitan los puntos de conexión de servicio.
Después, se seleccionan en la lista los puntos de conexión de servicio de Azure que se
quieren habilitar. Las opciones incluyen Azure Cosmos DB, Azure Service Bus, Azure Key
Vault, etc
 Puerta de enlace NAT Una puerta de enlace NAT es un servicio de traducción de
direcciones de red (NAT) totalmente administrado y muy resistente. Puede configurar una
subred para que use una dirección IP de salida estática al acceder a Internet.

 BastionHost Puede seleccionar habilitar o deshabilitar Azure Bastion en la red virtual. El

servicio Azure Bastion proporciona conectividad RDP y SSH segura e ininterrumpida a las
máquinas virtuales directamente en Azure Portal a través de SSL
 DDoS Protection estándar: puede seleccionar habilitar o deshabilitar la protección contra
DDoS estándar. La protección contra DDoS estándar es un servicio prémium.
 Firewall: puede habilitar o deshabilitar Azure Firewall. Azure Firewall es un servicio de
seguridad de red administrado y basado en la nube que protege los recursos de Azure
Virtual Network.
Definición de opciones de configuración adicionales

Después de crear una red virtual, puede definir más opciones. Entre ellas se incluyen las
siguientes:

 Grupo de seguridad de red Los grupos de seguridad de red tienen reglas de seguridad que
permiten filtrar el tipo de tráfico de red que puede entrar o salir de las interfaces de red y
las subredes de red virtual. Cree el grupo de seguridad de red por separado. A
continuación, asócielo a cada subred de la red virtual.
 Tabla de rutas Azure crea automáticamente una tabla de rutas para cada subred de una
red virtual de Azure y agrega las rutas predeterminadas del sistema a la tabla. Puede
agregar tablas de rutas personalizadas para modificar el tráfico entre las redes virtuales y
las subredes.
 Delegación de subred: puede designar la subred que va a usar un servicio dedicado.
Configuración de redes virtuales

Una vez creada una red virtual, puede cambiar la configuración adicional desde el panel Redes
virtuales de Azure Portal. Como alternativa, puede usar comandos de PowerShell o Cloud Shell
para realizar los cambios.

Después, puede revisar y cambiar la configuración en paneles secundarios adicionales. Esta

configuración incluye:

 Espacios de direcciones: puede agregar espacios de direcciones adicionales a la definición

inicial.
 Dispositivos conectados: vea una lista de todos los host conectados de la red virtual.
 Subredes: puede agregar subredes adicionales.
 Protección contra DDos: puede habilitar o deshabilitar el plan de protección de DDos
estándar.
 Firewall: configure las opciones de firewall de la red virtual con el servicio Azure Firewall.
 Seguridad: proporciona una recomendación de seguridad que puede aplicar a la red
virtual.
 Administrador de redes: vea la configuración del administrador de seguridad y
conectividad a la que está asociada la red virtual.
 Servidores DNS: configure los servidores DNS internos o externos que usarán los recursos
de la red virtual.
  Emparejamientos: vincule las redes virtuales mediante organizaciones de
emparejamiento.
 Puntos de conexión de servicio: habilite los puntos de conexión de servicio y aplíquelos a
varias subredes.
 Puntos de conexión privados: vea una lista de los puntos de conexión privados habilitados
en una subred.

Puertas de enlace de VPN

Una puerta de enlace de VPN es un tipo de puerta de enlace de red virtual. Las instancias de Azure
VPN Gateway se implementan en una subred dedicada de la red virtual y permiten la conectividad
siguiente:

 Conectar los centros de datos locales a redes virtuales a través de una conexión de sitio a
sitio.
 Conectar los dispositivos individuales a redes virtuales a través de una conexión de punto
a sitio.
 Conectar las redes virtuales a otras redes virtuales a través de una conexión entre redes.

Redes privadas virtuales basadas en directivas

Las instancias de VPN Gateway basadas en directivas especifican de forma estática la dirección IP
de los paquetes que se deben cifrar a través de cada túnel. Este tipo de dispositivo evalúa cada
paquete de datos en función de los conjuntos de direcciones IP para elegir el túnel a través del
cual se va a enviar el paquete.

Entre las características clave de las instancias de VPN Gateway basadas en directivas en Azure se
incluyen:

 Compatibilidad solo con IKEv1.

 Uso del enrutamiento estático, en el que las combinaciones de prefijos de dirección de
ambas redes controlan cómo se cifra y descifra el tráfico a través del túnel VPN. El origen y
destino de las redes de túnel se declaran en la directiva y no necesitan declararse en las
tablas de enrutamiento.
  Las redes privadas virtuales basadas en directivas se deben usar en escenarios específicos
que las necesiten, por ejemplo, para ofrecer compatibilidad con dispositivos de red
privada virtual locales heredados.

Redes privadas virtuales basadas en rutas

Si la definición de las direcciones IP que están detrás de cada túnel es demasiado compleja, se
pueden usar puertas de enlace basadas en rutas. Con las puertas de enlace basadas en rutas, los
túneles IPSec se modelan como una interfaz de red o una interfaz de túnel virtual. El enrutamiento
IP (ya sean rutas estáticas o protocolos de enrutamiento dinámico) decide cuál de estas interfaces
de túnel se va a usar al enviar cada paquete. Las redes privadas virtuales basadas en rutas son el
método preferido para conectar dispositivos locales. Son más resistentes a los cambios de la
topología, como la creación de subredes.

Si necesita alguno de los siguientes tipos de conectividad, use una instancia de VPN Gateway
basada en rutas:

 Conexiones entre redes virtuales

 Conexiones de punto a sitio
 Conexiones de varios sitios
 Coexistencia con una puerta de enlace de Azure ExpressRoute

Entre las características clave de las instancias de VPN Gateway basadas en rutas en Azure se
incluyen:

 Compatibilidad con IKEv2

 Uso de selectores de tráfico universales (comodín)
 Puede usar protocolos de enrutamiento dinámico, donde las tablas de enrutamiento y
reenvío dirigen el tráfico a diferentes túneles IPSec. En este caso, las redes de origen y
destino no se definen estáticamente como en las VPN basadas en directivas o incluso en
las VPN basadas en rutas con enrutamiento estático. En su lugar, los paquetes de datos se
cifran en función de las tablas de enrutamiento de red que se crean de forma dinámica
mediante protocolos de enrutamiento, como el Protocolo de puerta de enlace de borde
(BGP).
Implementación de instancias de VPN Gateway

Antes de implementar una instancia de VPN Gateway, necesitará algunos recursos de Azure y
locales.

Recursos de Azure necesarios

Se necesitarán estos recursos de Azure para poder implementar una instancia de VPN Gateway
operativa:

 Red virtual. Implemente una red virtual que tenga suficiente espacio de direcciones para la
subred adicional que necesitará para la instancia de VPN Gateway. El espacio de
direcciones para esta red virtual no se debe superponer con la red local que se va a
conectar. Solo se puede implementar una única instancia de VPN Gateway en una red
virtual.
 GatewaySubnet. Implemente una subred llamada GatewaySubnet para la instancia de VPN
Gateway. Use al menos una máscara de dirección /27 con el fin de asegurarse de que
proporciona suficientes direcciones IP en la subred para un crecimiento futuro. Esta
subred no se puede usar para otros servicios.
 Dirección IP pública. Cree una dirección IP pública dinámica de SKU básico si usa una
puerta de enlace que no tenga en cuenta la zona. Esta dirección proporciona una dirección
IP pública enrutable como destino para el dispositivo VPN local. Aunque esta dirección IP
es dinámica, no se cambiará, a menos que elimine y vuelva a crear la instancia de VPN
Gateway.
 Puerta de enlace de red local. Cree una puerta de enlace de red local para definir la
configuración de la red local; por ejemplo, dónde y a qué se conectará la instancia de VPN
Gateway. Esta configuración incluye la dirección IPv4 pública del dispositivo VPN local y las
redes de enrutamiento locales. Esta información la usa la instancia de VPN Gateway con el
fin de enrutar paquetes destinados para las redes locales a través del túnel IPSec.
  Puerta de enlace de red virtual. Cree la puerta de enlace de red virtual para enrutar el
tráfico entre la red virtual y el centro de datos local u otras redes virtuales. La puerta de
enlace de red virtual puede ser una puerta de enlace de VPN o ExpressRoute, pero en esta
unidad solo se trata el tipo de puerta de enlace de red virtual de VPN. (Obtendrá más
información sobre ExpressRoute en una unidad independiente más adelante en este
módulo.)
 Conexión. Cree un recurso de conexión para crear una conexión lógica entre la instancia
de VPN Gateway y la puerta de enlace de red local.
 La conexión se realiza a las direcciones IPv4 del dispositivo VPN local, tal como define la
puerta de enlace de red local.
 La conexión se realiza desde la puerta de enlace de red virtual y la dirección IP pública
asociada.

Se pueden crear varias conexiones.

En el diagrama siguiente se muestra esta combinación de recursos y sus relaciones para que le
resulte más fácil entender los requisitos necesarios para implementar una instancia de VPN
Gateway.

Recursos locales necesarios

Para conectar el centro de datos a una instancia de VPN Gateway, se necesitarán los siguientes
recursos locales:

Un dispositivo VPN que admita instancias de VPN Gateway basadas en directivas o en rutas.

Una dirección IPv4 de acceso público (enrutable por Internet).

Escenarios de alta disponibilidad

Configuración de activo-en espera

De forma predeterminada, las instancias de VPN Gateway se implementan como dos instancias en
una configuración de activo-en espera, incluso si solo ve un recurso de VPN Gateway en Azure.
Cuando el mantenimiento planeado o la interrupción imprevista afectan a la instancia activa, la
instancia en espera asume de forma automática la responsabilidad de las conexiones sin ninguna
intervención del usuario. Durante esta conmutación por error, las conexiones se interrumpen,
pero por lo general se restauran en cuestión de segundos si se trata del mantenimiento planeado y
en un plazo de 90 segundos en el caso de las interrupciones imprevistas.

Activo/activo

Al incorporar compatibilidad con el protocolo de enrutamiento de BGP, también puede

implementar puertas de enlace VPN en una configuración del tipo activo/activo. En esta
configuración, se asigna una IP pública única a cada instancia. Después, se crean túneles
independientes desde el dispositivo local a cada dirección IP. Se puede ampliar la alta
disponibilidad mediante la implementación de un dispositivo VPN local adicional.
Conmutación por error de ExpressRoute

Otra opción de alta disponibilidad consiste en configurar una instancia de VPN Gateway como una
ruta segura de conmutación por error para las conexiones ExpressRoute. Los circuitos
ExpressRoute tienen resistencia integrada. Sin embargo, no son inmunes a los problemas físicos
que afectan a los cables que entregan conectividad ni a las interrupciones que afectan a la
ubicación completa de ExpressRoute. En escenarios de alta disponibilidad, en los que existe un
riesgo asociado a una interrupción de un circuito ExpressRoute, también puede aprovisionar una
instancia de VPN Gateway que usa Internet como un método alternativo de conectividad. De este
modo, puede garantizar que siempre haya una conexión a las redes virtuales.

Puertas de enlace con redundancia de zona

En las regiones que admiten zonas de disponibilidad, se pueden implementar puertas de enlace
VPN y ExpressRoute en una configuración con redundancia de zona. Esta configuración aporta una
mayor disponibilidad, escalabilidad y resistencia a las puertas de enlace de red virtual.
Implementar puertas de enlace en Azure Availability Zones separa de forma física y lógica las
puertas de enlace dentro de una región, al mismo tiempo que protege la conectividad de red local
en Azure de errores de nivel de zona. Estas puertas de enlace requieren diferentes SKU de puerta
de enlace y usan direcciones IP públicas estándar en lugar de direcciones IP públicas básicas.

Aspectos básicos de Azure ExpressRoute

ExpressRoute le permite ampliar las redes locales a la nube de Microsoft mediante una conexión
privada con la ayuda de un proveedor de conectividad. Con ExpressRoute, puede establecer
conexiones con servicios en la nube de Microsoft, como Microsoft Azure y Microsoft 365.

La conectividad puede ser desde una red de conectividad universal (IP VPN), una red Ethernet de
punto a punto o una conexión cruzada virtual a través de un proveedor de conectividad en una
instalación de ubicación compartida. Las conexiones de ExpressRoute no pasan por la red pública
de Internet. Esto permite a las conexiones de ExpressRoute ofrecer más confiabilidad, más
velocidad, latencia coherentes y mayor seguridad que las conexiones normales a través de
Internet. Para información sobre cómo conectar la red a Microsoft mediante ExpressRoute,
consulte ExpressRoute connectivity models (Modelos de conectividad de ExpressRoute).

A lo largo de esta unidad, nos centraremos en dos niveles diferentes del modelo de interconexión
de sistemas abiertos (OSI):

Nivel 2 (L2): se trata del nivel de vínculo de datos, que proporciona una comunicación de nodo a
nodo entre dos nodos de la misma red.

Nivel 3 (L3): se trata del nivel de red, que proporciona el direccionamiento y enrutamiento entre
los nodos de una red de varios nodos.

Características y ventajas de ExpressRoute

El uso de ExpressRoute como servicio de conexión entre Azure y las redes locales tiene varias
ventajas.

Conectividad de nivel 3 entre su red local y Microsoft Cloud a través de un proveedor de

conectividad. La conectividad puede ser desde una red de conectividad universal (IP VPN), una red
Ethernet de punto a punto, o una conexión cruzada virtual a través de un intercambio de Ethernet.

Conectividad de servicios en la nube de Microsoft en todas las regiones dentro de la región

geopolítica.

Conectividad global a los servicios de Microsoft en todas las regiones con el complemento
ExpressRoute Premium.

Enrutamiento dinámico entre la red y Microsoft a través de BGP.

Redundancia integrada en todas las ubicaciones de configuración entre pares para una mayor
confiabilidad.

El tiempo de actividad de conexión SLA.

Compatibilidad con QoS de Skype para la empresa.

Conectividad de nivel 3

ExpressRoute proporciona conectividad de nivel 3 (nivel de dirección) entre la red local y la nube
de Microsoft a través de asociados de conectividad. Estas conexiones pueden ser de una red punto
a punto o universal. También puede tratarse de conexiones cruzadas virtuales a través de un
intercambio.

Redundancia integrada
Cada proveedor de conectividad usa dispositivos redundantes para garantizar que las conexiones
establecidas con Microsoft tengan alta disponibilidad. Puede configurar varios circuitos para
complementar esta característica. Todas las conexiones redundantes se configuran con
conectividad de nivel 3 para cumplir los Acuerdos de Nivel de Servicio.

Conectividad con los Servicios en la nube de Microsoft

ExpressRoute permite el acceso directo a los siguientes servicios en todas las regiones:

Microsoft Office 365

Microsoft Dynamics 365

Servicios de proceso de Azure, como Azure Virtual Machines

Servicios en la nube de Azure, como Azure Cosmos DB y Azure Storage

Microsoft 365 se creó para que se pueda acceder a él de forma segura y confiable a través de
Internet. Por este motivo, se recomienda utilizar ExpressRoute en escenarios concretos. La sección
"Más información" al final de este módulo incluye un vínculo sobre el uso de ExpressRoute para
acceder a Office 365.

Conectividad local con Global Reach de ExpressRoute

Puede permitir que Global Reach de ExpressRoute intercambie datos entre los sitios locales si
conecta los diferentes circuitos ExpressRoute. Por ejemplo, supongamos que tiene un centro de
datos privado en California conectado a ExpressRoute en Silicon Valley. Tiene otro centro de
centros privado en Texas conectado a ExpressRoute en Dallas. Con Global Reach de ExpressRoute,
puede conectar sus centros de recursos privados a través de dos circuitos ExpressRoute. El tráfico
de los centros de datos viajará a través de la red de Microsoft.

Enrutamiento dinámico

ExpressRoute usa el protocolo de enrutamiento Protocolo de puerta de enlace de borde (BGP).

BGP se usa para intercambiar rutas entre las redes locales y los recursos que se ejecutan en Azure.
Este protocolo permite el enrutamiento dinámico entre la red local y los servicios que se ejecutan
en la nube de Microsoft.

Modelos de conectividad de ExpressRoute

ExpressRoute admite los siguientes modelos que puede usar para conectar la red local con la nube
de Microsoft:
Ubicación de CloudExchange

Conexión Ethernet de punto a punto

Conexión universal

Directamente desde sitios de ExpressRoute

Coubicación en un intercambio en la nube

Normalmente, los proveedores de coubicación pueden ofrecer conexiones de

nivel 2 y nivel 3 entre la infraestructura, que puede encontrarse en las instalación
de la coubicación, y la nube de Microsoft. Por ejemplo, si el centro de datos tiene la
ubicación compartida en un intercambio en la nube, como un ISP, puede solicitar
una conexión cruzada virtual a la nube de Microsoft.

Conexión Ethernet de punto a punto

Las conexiones de punto a punto proporcionan conectividad de nivel 2 y nivel 3

entre el sitio local y Azure. Puede conectar sus oficinas o centros de datos a Azure
mediante vínculos de punto a punto. Por ejemplo, si tiene un centro de datos local,
puede usar un vínculo de Ethernet de punto a punto para conectarse a Microsoft.
Redes universales

Con la conectividad universal, puede integrar la red de área extensa (WAN) con
Azure si proporciona conexiones a las oficinas y los centros de datos. Azure se
integra con la conexión WAN para proporcionarle una conexión, como la que
tendría entre el centro de datos y las sucursales.

Con las conexiones universales, todos los proveedores de WAN ofrecen

conectividad de nivel 3. Por ejemplo, si ya usa la conmutación de etiquetas de
multiprotocolo para conectarse a las sucursales o a otros sitios de la organización,
una conexión ExpressRoute a Microsoft se comporta como cualquier otra ubicación
en la WAN privada.

Directamente desde sitios de ExpressRoute

Puede conectarse directamente a la red global de Microsoft en una ubicación de

emparejamiento distribuida estratégicamente por todo el mundo. ExpressRoute
Direct proporciona conectividad dual de 100 Gbps o 10 Gbps, que es compatible
con la conectividad activa/activa a escala.

Consideraciones sobre la seguridad

Con ExpressRoute los datos no viajan a través de la red pública de Internet y, por
tanto, no se exponen a los posibles riesgos asociados a las comunicaciones de
Internet. ExpressRoute es una conexión privada de la infraestructura local a la
infraestructura de Azure. Incluso si tiene una conexión ExpressRoute, las consultas
de DNS, la comprobación de la lista de revocación de certificados y las solicitudes
de Azure Content Delivery Network se siguen enviando a través de la red pública
de Internet.
https://docs.microsoft.com/es-mx/learn/challenges?id=495571f3-ba53-426a-b5cc-2885cf229e8b