La matriz de balanceadores (global vs regional × HTTP vs no-HTTP) es de las preguntas más fiables del AZ-305. Más Azure Firewall vs NSG, WAF y DDoS Protection.
Contenido
| HTTP/S (L7) | No-HTTP (L4) | |
|---|---|---|
| Global (multi-región) | Azure Front Door Anycast, CDN, WAF, TLS edge, failover instantáneo | Traffic Manager DNS-based, cualquier protocolo, failover sujeto a TTL |
| Regional | Application Gateway L7: path/host routing, WAF, TLS termination, cookie affinity, AGIC para AKS | Azure Load Balancer L4 TCP/UDP, latencia ultra baja, HA ports, interno o público, zone-redundant |
Cómo decidir en 2 preguntas
¿El tráfico es HTTP/S? Sí → Front Door (global) o App Gateway (regional). No (TCP/UDP, SQL, RDP, juegos) → Traffic Manager (global) o Load Balancer (regional). ¿Una región o varias? decide la fila.
NSG (Network Security Group)
Azure Firewall
No compiten: se usan JUNTOS
Defensa en profundidad: Firewall en el hub para tráfico norte-sur y este-oeste + NSGs en las subnets para microsegmentación. "Permitir solo salida a *.windowsupdate.com" → Firewall (FQDN). "Solo la subnet web habla con la subnet db por 1433" → NSG.
Web Application Firewall
DDoS Protection
| Escenario | Cadena |
|---|---|
| Web multi-región con WAF y CDN | Front Door (WAF) → App Service / App Gateway regional → backends |
| App regional de 3 capas | App Gateway WAF → web tier → Internal LB → app tier → DB |
| AKS con ingress gestionado | App Gateway for Containers (o AGIC) → pods |
| Solo aceptar tráfico que pasó por Front Door | App Gateway/NSG filtrando service tag AzureFrontDoor.Backend + header X-Azure-FDID |
| SQL Server en VMs con listener | Internal Load Balancer (HA ports) frente al Always On AG |
| Juego online UDP global | Traffic Manager → Load Balancer público regional |
| Requisito | Servicio |
|---|---|
| Web en 3 regiones, failover rápido, aceleración y WAF | Azure Front Door (Premium con Private Link a backends) |
| Routing por path /api → pool A, /images → pool B (regional) | Application Gateway |
| Balancear TCP 1433 interno con latencia mínima | Internal Load Balancer |
| Failover DNS de un servicio no-HTTP entre regiones | Traffic Manager (priority) |
| Egress filtrado por FQDN con threat intelligence | Azure Firewall Standard |
| Inspección TLS e IDPS del tráfico | Azure Firewall Premium |
| Reglas de red por rol de servidor sin gestionar IPs | NSG + Application Security Groups |
| Proteger del OWASP Top 10 | WAF (en Front Door o App Gateway) |
| Telemetría y SLA ante ataques DDoS | DDoS Network Protection |
| RDP/SSH a VMs sin IPs públicas | Azure Bastion |
¿Entendiste este tema?
Pon a prueba lo que acabas de aprender
Una app web corre en App Service en West Europe y East US. Requisitos: un único punto de entrada global con failover automático en segundos, protección contra inyección SQL y XSS en el edge, aceleración de contenido estático, y que los App Services NO acepten tráfico directo de internet. ¿Qué diseñas?
Inicia sesión para llevar tu progreso.