AZ-104

Deep Dive

Volver a guías
D1Identidad y Acceso
Microsoft Entra ID (Azure AD)Control de Acceso Basado en RolesAutenticacion Multi-FactorIdentidades AdministradasAcceso CondicionalGestion de ContrasenasAzure Policy y CumplimientoGobernanza y Jerarquia de Recursos
D2Almacenamiento
Cuentas de AlmacenamientoSQL Database y MIAzure Cosmos DBBackup y RecuperacionProteccion de DatosReplicacion de DatosAzure Files y File SyncSeguridad de Almacenamiento
D3Computo
Maquinas VirtualesAzure App ServiceContenedores y AKSAutoscaling y VMSSDisponibilidad y RedundanciaOptimizacion de RendimientoARM Templates y BicepAzure Functions
D4Redes
Redes Virtuales (VNet)Grupos de SeguridadBalanceo de CargaVPN Gateway y ExpressRouteDNS y Resolucion de NombresMonitoreo de Red
D5Monitoreo
Azure MonitorLog AnalyticsAlertas y NotificacionesMetricas y KPIsDiagnosticosApplication Insights
D6Recuperacion
Azure Site RecoveryBackup VaultEstrategia de DRRTO y RPOFailover y FailbackContinuidad del Negocio
Practicar ahora
D4 · Redes

Redes Virtuales (VNet)

Las VNets son el bloque de red fundamental en Azure. El AZ-104 evalúa diseño de subredes, CIDR, peering, routing personalizado y cómo aislar o conectar recursos dentro y fuera de Azure.

Contenido

Qué es una VNet

Una Virtual Network (VNet) es una red privada aislada en Azure. Funciona como una red on-premises: tiene un rango de IPs privadas (CIDR), subredes, tablas de rutas y control de tráfico — pero gestionada por software en la nube.

Las VNets son regionales — no pueden abarcar múltiples regiones directamente. Para conectar VNets entre regiones se usa Global VNet Peering.

Características clave

  • Aislamiento: una VNet no puede comunicarse con otra por defecto
  • Espacio de IPs privadas: RFC 1918 (10.x, 172.16-31.x, 192.168.x)
  • Sin costo por la VNet en sí — se cobran los recursos dentro
  • Soporta IPv4 e IPv6 simultáneamente (dual stack)
  • No requiere VPN ni gateway para comunicación intra-VNet

SLA y disponibilidad

  • VNet en sí: sin límite de disponibilidad declarado — es infraestructura de Azure
  • Recursos dentro de la VNet: depende del SLA del recurso (VM, LB, etc.)
  • La red intra-VNet es redundante por diseño en Azure
  • Pérdida de conectividad intra-VNet no ocurre en operación normal

Límites por suscripción

  • 50 VNets por región por suscripción (ampliable a 500)
  • 3000 subredes por VNet
  • Espacio de IPs: hasta /8 (16M IPs) por VNet
  • Azure reserva 5 IPs en cada subred (primera, broadcast, y 3 de Azure)
  • VMs en la misma VNet pueden comunicarse directamente sin NSG

Subredes y direccionamiento CIDR

IPs reservadas por Azure en cada subred

En una subred /28 (16 IPs) solo hay 11 IPs utilizables. Azure siempre reserva 5:

.0Dirección de red (identificador de subred)
.1Default gateway de Azure
.2DNS de Azure (mapeo interno)
.3DNS de Azure (mapeo interno)
.255Dirección de broadcast

Subredes especiales de Azure

GatewaySubnet

Requerida para VPN Gateway y ExpressRoute. Nombre exacto. Mínimo /27, recomendado /26 o mayor.

AzureBastionSubnet

Requerida para Azure Bastion. Nombre exacto. Mínimo /26.

AzureFirewallSubnet

Requerida para Azure Firewall. Nombre exacto. Mínimo /26.

AzureFirewallManagementSubnet

Para Azure Firewall con forced tunneling habilitado. /26 mínimo.

CIDRTotal IPsIPs utilizablesUso típico
/816.777.21616.777.211VNet entera (rango máximo)
/1665.53665.531VNet de organización mediana
/24256251Subred estándar con mucho espacio
/266459Subred de servicios de Azure (Bastion, Firewall, GW)
/273227GatewaySubnet mínimo viable
/281611Subred pequeña de recursos limitados
/2983Muy limitado — evitar en producción

VNet Peering

El VNet Peering conecta dos VNets de forma privada usando el backbone de Microsoft — sin pasar por internet, sin gateway, sin cifrado (el backbone ya es seguro). El tráfico viaja a velocidad de red completa con baja latencia.

Regional Peering

Conecta VNets en la misma región de Azure.

  • Sin costo de egress — tráfico dentro de la región es gratis entre VNets peered
  • Baja latencia — misma infraestructura de datacenter
  • No requiere gateway ni IP pública
  • Las VNets no pueden tener rangos CIDR solapados

Global VNet Peering

Conecta VNets en regiones distintas de Azure.

  • Sí tiene costo de egress (ancho de banda cross-region)
  • Usa backbone privado de Microsoft — no pasa por internet
  • Latencia mayor que regional pero mucho menor que VPN
  • Disponible entre cualquier par de regiones Azure

Características importantes del peering

• El peering no es transitivo: si VNet-A hace peering con VNet-B y VNet-B con VNet-C, VNet-A NO puede hablar con VNet-C

• Para conectividad transitiva: usa Azure Virtual WAN o un NVA (Network Virtual Appliance) como hub

• El peering es bidireccional: se crean dos enlaces (A→B y B→A)

• Opciones: Allow gateway transit (la VNet hub comparte su gateway con las spoke) y Use remote gateway (la spoke usa el gateway del hub)

Routing y User-Defined Routes (UDR)

Rutas del sistema (automáticas)

Azure crea rutas automáticamente para cada subred. No puedes modificarlas pero sí sobreescribirlas con UDR.

0.0.0.0/0InternetTráfico de salida a internet por defecto
10.0.0.0/8VNetTráfico interno dentro de la VNet
10.1.0.0/16VNet peeringRuta agregada al hacer peering (automática)
168.63.129.16VirtualNetworkServiceEndpointTráfico a servicios PaaS via service endpoint

User-Defined Routes (UDR)

Permiten sobreescribir las rutas del sistema para dirigir tráfico a través de un NVA, Azure Firewall, o VPN Gateway.

• Se crean en una Route Table y se asocian a subredes

• Next hop types: Virtual appliance (NVA/Firewall IP), Virtual network gateway, VNet, Internet, None (drop)

• Caso típico: forzar todo el tráfico de salida a internet por Azure Firewall (UDR 0.0.0.0/0 → IP del Firewall)

• Caso típico: forzar tráfico on-premises por VPN con BGP route propagation desactivado

Service Endpoints y Private Link

Service Endpoint

Extiende la identidad de la VNet a servicios PaaS de Azure (Storage, SQL, Key Vault, etc.). El tráfico viaja por el backbone de Azure pero la IP de origen sigue siendo la IP privada de la VNet.

Ventajas

  • +Gratis — sin costo adicional
  • +Fácil de configurar en la subred
  • +Mejora seguridad: puedes restringir el servicio PaaS solo a tu VNet

Limitaciones

  • El servicio PaaS sigue teniendo endpoint público (solo filtras por VNet)
  • No crea una IP privada en tu VNet para el servicio

Private Endpoint (Private Link)

Crea una NIC con IP privada en tu subred que mapea directamente al servicio PaaS. El servicio PaaS queda totalmente privado — accesible solo desde tu VNet.

Ventajas

  • +El servicio PaaS NO tiene endpoint público accesible desde internet
  • +Accesible desde on-premises vía VPN/ExpressRoute
  • +Resolución DNS privada con Azure Private DNS Zones

Limitaciones

  • Tiene costo (por hora de endpoint + datos procesados)
  • Requiere configuración de Private DNS Zone para resolución correcta

NSG aplicado a nivel de subred vs NIC

Evaluación de tráfico con NSG

Tráfico Entrante (Inbound)

1. NSG de subred destino → 2. NSG de NIC destino

Tráfico Saliente (Outbound)

1. NSG de NIC origen → 2. NSG de subred origen

Si el NSG de subred bloquea, el de NIC no se evalúa (el paquete ya fue descartado).

Service Tags útiles en NSG

InternetTráfico que sale/entra de internet
VirtualNetworkToda la VNet (incluye rangos peered y on-prem vía VPN)
AzureLoadBalancerProbes del Azure Load Balancer (168.63.129.16)
StorageAzure Storage (todos los endpoints)
SqlAzure SQL Database y Synapse
AppServiceOutbound de App Service Environment
AzureMonitorAzure Monitor, Log Analytics, Application Insights

¿Entendiste este tema?

Pon a prueba lo que acabas de aprender

Una subred tiene el rango 10.0.1.0/26. ¿Cuántas IPs están disponibles para recursos de Azure?