AZ-104

Deep Dive

Volver a guías
D1Identidad y Acceso
Microsoft Entra ID (Azure AD)Control de Acceso Basado en RolesAutenticacion Multi-FactorIdentidades AdministradasAcceso CondicionalGestion de ContrasenasAzure Policy y CumplimientoGobernanza y Jerarquia de Recursos
D2Almacenamiento
Cuentas de AlmacenamientoSQL Database y MIAzure Cosmos DBBackup y RecuperacionProteccion de DatosReplicacion de DatosAzure Files y File SyncSeguridad de Almacenamiento
D3Computo
Maquinas VirtualesAzure App ServiceContenedores y AKSAutoscaling y VMSSDisponibilidad y RedundanciaOptimizacion de RendimientoARM Templates y BicepAzure Functions
D4Redes
Redes Virtuales (VNet)Grupos de SeguridadBalanceo de CargaVPN Gateway y ExpressRouteDNS y Resolucion de NombresMonitoreo de Red
D5Monitoreo
Azure MonitorLog AnalyticsAlertas y NotificacionesMetricas y KPIsDiagnosticosApplication Insights
D6Recuperacion
Azure Site RecoveryBackup VaultEstrategia de DRRTO y RPOFailover y FailbackContinuidad del Negocio
Practicar ahora
D4 · Redes

Balanceo de Carga en Azure

Azure ofrece cuatro servicios de balanceo de carga: Load Balancer (L4 regional), Application Gateway (L7 regional), Traffic Manager (DNS global) y Front Door (L7 global). El AZ-104 evalúa cuál usar en cada escenario.

Contenido

Azure Load Balancer (L4)

Azure Load Balancer distribuye tráfico TCP/UDP en capa 4 entre backends. Es regional — no puede balancear entre regiones. Opera en milisegundos de latencia y es la opción de menor overhead.

Tipos de SKU

Basic (legacy)

  • Hasta 300 instancias en el backend
  • Sin zonas de disponibilidad — SLA 99.9% con VMSS
  • Sin HTTPS health probes
  • Gratis — pero Microsoft lo está discontinuando

Standard (recomendado)

  • Hasta 1000 instancias en el backend
  • Zonas de disponibilidad — SLA 99.99%
  • HTTPS, TCP, HTTP health probes
  • Secure by default: sin reglas, todo el tráfico está bloqueado
  • Diagnósticos completos en Azure Monitor

Componentes clave

Frontend IP

IP pública o privada que recibe el tráfico. Puede ser dinámica o estática.

Backend Pool

Conjunto de VMs o VMSS que reciben el tráfico. Pueden estar en diferentes subredes de la misma VNet.

Health Probe

El LB sondea periódicamente los backends. Si una instancia falla la sonda, el LB deja de enviarle tráfico.

Load Balancing Rule

Mapea un puerto frontend a un puerto backend con un algoritmo de distribución (5-tuple hash por defecto).

Inbound NAT Rule

Mapea un puerto específico del frontend a un backend específico. Útil para acceso directo (ej: RDP a una VM específica).

Outbound Rule

Configura SNAT para tráfico saliente desde el backend hacia internet (solo Standard LB).

LB Público vs Interno

Público: Frontend con IP pública. Para distribuir tráfico de internet a VMs internas.

Interno (ILB): Frontend con IP privada. Para balanceo entre capas de aplicación (web tier → app tier) o desde on-premises.

Algoritmos de distribución

5-tuple hash: IP src, IP dst, protocolo, puerto src, puerto dst. Garantiza que una sesión TCP va siempre al mismo backend. Default.

2-tuple hash: Solo IP src + dst. Misma IP cliente siempre al mismo backend.

3-tuple hash: IP src, IP dst, protocolo.

Application Gateway (L7)

Azure Application Gateway es un balanceador de carga de capa 7 (HTTP/HTTPS) con terminación SSL, enrutamiento basado en URL/host, y WAF opcional. Entiende el contenido HTTP — puede tomar decisiones de routing basadas en URL paths o headers.

Terminación SSL

Descifra HTTPS en el gateway — el backend recibe HTTP sin overhead de TLS. También soporta end-to-end SSL (re-cifra hacia el backend).

URL-based Routing

Rutas distintas a distintos backends según el path: /api/* → backend API, /images/* → backend de imágenes estáticas.

Multi-site Hosting

Un gateway puede servir múltiples sitios (www.contoso.com y www.fabrikam.com) con backends distintos para cada uno.

WAF Integration

WAF v2 con reglas OWASP CRS 3.2. Modo Detection (log) o Prevention (bloquea). Reglas personalizadas para excepciones.

Autoscaling (v2)

SKU v2 escala automáticamente según la carga. Mínimo y máximo de instancias configurables. Sin downtime en escala.

Session Affinity

Cookie-based affinity — el gateway establece una cookie en el cliente para que las peticiones de una sesión vayan siempre al mismo backend.

Traffic Manager (DNS global)

Azure Traffic Manager es un balanceador de carga DNS-based. No toca el tráfico de datos — solo resuelve a qué IP/endpoint apunta el DNS según el método de routing configurado. Funciona a nivel global entre múltiples regiones o endpoints.

Importante: el cliente se conecta directamente al endpoint — el tráfico NO pasa por Traffic Manager. Solo el DNS pasa por él.

Método de routingComportamientoCaso de uso
PriorityEnvía siempre al endpoint primario; failover al secundario si el primario fallaActivo/pasivo — DR entre regiones
WeightedDistribuye tráfico según pesos configurados (ej: 70% región A, 30% región B)Despliegues blue/green, A/B testing, migraciones graduales
PerformanceResuelve al endpoint con menor latencia de red desde la ubicación del clienteApps globales — usuarios van a la región más cercana
GeographicDirige según la región geográfica del cliente (país/continente)Cumplimiento de datos (GDPR: usuarios EU → endpoints en EU)
MultivalueDevuelve múltiples endpoints healthy en la respuesta DNSAplicaciones que pueden usar múltiples IPs (solo soporta IPv4/6)
SubnetMapea rangos de IP de origen a endpoints específicosDirigir tráfico de oficinas específicas a endpoints específicos

Azure Front Door

Azure Front Door es un CDN + balanceador L7 global. Combina aceleración de contenido, terminación SSL en el edge, WAF global y enrutamiento inteligente. A diferencia de Traffic Manager, el tráfico SÍ pasa por la infraestructura de Azure (anycast).

Front Door Standard/Premium

  • CDN global con 150+ PoPs (Points of Presence)
  • Terminación SSL en el edge — menor latencia TLS para usuarios
  • Enrutamiento por latency, weighted, session affinity
  • WAF global con reglas OWASP y custom (Premium)
  • Private Link integration para origen privado (Premium)
  • Caching de contenido estático en el edge

Front Door Classic (legacy)

  • Versión anterior — se mantiene pero se recomienda migrar
  • Menores capacidades que Standard/Premium
  • Sin Private Link, sin caching avanzado
  • Microsoft recomienda migrar a Standard/Premium

Comparativa — cuándo usar cada servicio

ServicioCapaAlcanceProtocoloCuándo usar
Load BalancerL4RegionalTCP/UDPVMs en misma región, balanceo simple sin necesidad de L7
Application GatewayL7RegionalHTTP/HTTPSApps web que necesitan SSL termination, URL routing, WAF en una región
Traffic ManagerDNSGlobalCualquieraFailover entre regiones o routing global sin modificar el tráfico HTTP
Front DoorL7GlobalHTTP/HTTPSApps web globales que necesitan CDN, WAF global, aceleración y multi-región

Trampa clásica del examen

Traffic Manager es DNS-based — el tráfico NO pasa por él. Si el escenario requiere WAF, SSL termination, o cualquier inspección del contenido HTTP, Traffic Manager no puede hacerlo. En ese caso usa Application Gateway (regional) o Front Door (global). Traffic Manager solo resuelve a qué endpoint apunta el DNS.

¿Entendiste este tema?

Pon a prueba lo que acabas de aprender

Una empresa tiene una aplicación web desplegada en East US y West Europe. Quieren que los usuarios de Europa se conecten automáticamente a West Europe y los de EE.UU. a East US para minimizar latencia. ¿Qué servicio usar?