AZ-900

Deep Dive

Volver a guías
D1Conceptos de nube
Qué es la computación en nube?CapEx vs OpExModelos de despliegueIaaS, PaaS y SaaSResponsabilidad compartidaInfraestructura global
D2Arquitectura y servicios
Infraestructura global de AzureJerarquía de recursosServicios de cómputoServicios de redAlmacenamiento
D3Gestión, seguridad y cumplimiento
Identidad y acceso (Entra ID)GobernanzaSeguridad - Defense in DepthMonitoreo y alertasGestión de costos
Practicar ahora
D2 · Arquitectura y servicios

Servicios de red en Azure

VNet, NSGs, Load Balancer, Application Gateway, VPN, ExpressRoute, DNS y DDoS. Las redes son ~15% del AZ-900 y la fuente de las preguntas más complejas del examen.

Contenido

Icon-networking-61

Virtual Network (VNet) en profundidad

¿Qué es una VNet?

Una red privada virtual en Azure. Aísla y segmenta tus recursos de red. Es el equivalente a una red corporativa local, pero en la nube. Cada VNet tiene un espacio de direcciones IP (ej: 10.0.0.0/16) que no se enruta públicamente.

Componentes de una VNet

Address Space: Rango de IPs privadas de la VNet. Ej: 10.0.0.0/16 = 65,536 IPs disponibles.
Subnets: Segmentos dentro de la VNet. Ej: 10.0.1.0/24 para web tier, 10.0.2.0/24 para DB tier.
Route Table: Define cómo se enruta el tráfico entre subnets y hacia internet.
Service Endpoints: Acceso directo a servicios Azure (Storage, SQL) desde la VNet sin salir por internet.
Private Endpoints: Servicios Azure con IP privada dentro de la VNet. Tráfico nunca sale a internet.
VNet: 10.0.0.0/16
├── Subnet: web-tier (10.0.1.0/24)
│ ├── VM: web-1 (10.0.1.4)
│ └── VM: web-2 (10.0.1.5)
├── Subnet: app-tier (10.0.2.0/24)
│ └── VM: api-1 (10.0.2.4)
├── Subnet: db-tier (10.0.3.0/24)
│ └── Azure SQL PE (10.0.3.4)
└── Subnet: GatewaySubnet (10.0.0.0/27)
└── VPN Gateway

Reglas de VNets para el examen

  • Una VNet pertenece a una sola región y suscripción.
  • Recursos en diferentes VNets NO se comunican por defecto (necesitan VNet Peering).
  • Una subnet puede tener una Route Table y un NSG asociados.
  • Azure reserva las primeras 4 IPs y la última de cada subnet (no usables).
  • Los recursos de una VNet obtienen resolución DNS privada automática.

Diagrama interactivo — pasa el cursor sobre cada nodo

Network Security Groups (NSG)

Firewall a nivel de subnet o NIC. Lista de reglas permit/deny para tráfico entrante y saliente.

Cómo funcionan las reglas NSG

Cada regla tiene prioridad (100–4096, menor = mayor prioridad). Se evalúan en orden hasta encontrar match. Si ninguna coincide → aplica regla default (Deny All para inbound, Allow VNet/Internet para outbound).

PrioridadPuertoProtocoloFuenteAcción
100443TCPInternetAllow
11080TCPInternetAllow
2003389TCP10.0.0.0/8Allow
4096***Deny

Error común: RDP expuesto a internet

Por defecto, las VMs nuevas NO tienen restricción de entrada si se crea una IP pública. Muchos admins dejan el puerto 3389 (RDP) o 22 (SSH) abierto a 0.0.0.0/0. Microsoft detecta millones de intentos de brute force diariamente contra estos puertos.

Solución correcta

Just-in-Time VM Access (Azure Defender): abre el puerto solo cuando un admin específico lo solicita, por tiempo limitado, desde su IP.

NSG en subnet vs NIC

Puedes asignar NSG a nivel subnet (afecta todos los recursos en ella) O a nivel NIC individual de una VM. Si ambos tienen NSGs, se evalúan los dos — el tráfico debe pasar ambos. NSG en subnet = defensa de primera línea. NSG en NIC = defensa de segunda línea.

Icon-networking-62

Balanceo de carga: las 4 opciones de Azure

Azure tiene 4 servicios distintos de balanceo. Elegir el correcto es pregunta frecuente del AZ-900.

Azure Load Balancer

L4 (TCP/UDP)Regional

Distribuye tráfico TCP/UDP entre VMs o backends. Opera a nivel de transporte (Layer 4). No entiende HTTP. Para tráfico no-HTTP o ultra-baja latencia.

Cuándo usar

  • TCP/UDP directo (no HTTP)
  • Balanceo interno entre VMs
  • Alta disponibilidad de VMs

No usar para

No filtra por URL o headers HTTP

Azure Application Gateway

L7 (HTTP/S)Regional

Web Application Firewall (WAF) + load balancing HTTP/S. Enruta por URL path (/api → backend1, /web → backend2). SSL termination. Protege contra OWASP top 10.

Cuándo usar

  • Apps web con múltiples backends
  • Necesitas WAF (protección OWASP)
  • SSL offloading
  • URL-based routing

No usar para

Solo HTTP/S. No para TCP/UDP

Azure Traffic Manager

DNS (L7)Global

Balanceo de carga basado en DNS. Enruta usuarios al endpoint más apropiado según políticas (geográfico, performance, prioridad). No toca el tráfico directamente — solo resuelve DNS.

Cuándo usar

  • Multi-región: usuarios a región más cercana
  • Failover entre regiones
  • A/B testing geográfico

No usar para

No es un proxy — no puede inspeccionar tráfico

Azure Front Door

L7 (HTTP/S)Global

CDN + WAF + balanceo HTTP/S global. Acelera contenido con caché en edge. Enruta al backend más sano y más cercano. Combina Traffic Manager + Application Gateway + CDN.

Cuándo usar

  • Apps web globales con latencia crítica
  • WAF + CDN + LB en uno
  • APIs globales con caché

No usar para

Solo HTTP/S. Más caro que Traffic Manager

Tabla de decisión rápida

EscenarioRespuesta
Distribuir tráfico HTTP entre 3 VMs en East USAzure Load Balancer (L4) o Application Gateway (L7)
Enrutar /api a backend1 y /web a backend2Application Gateway (URL-based routing)
Proteger app web contra SQL injectionApplication Gateway con WAF
Enviar usuarios europeos a West Europe y americanos a East USTraffic Manager (routing geográfico)
App web global de baja latencia con CDN + WAFAzure Front Door
Failover automático de región primaria a secundaria por DNSTraffic Manager (priority routing)
Icon-networking-63

VPN Gateway vs ExpressRoute

Para conectar tu red on-premises (u otra red) a Azure de forma privada.

Azure VPN Gateway

Túnel VPN encriptado sobre internet público. Conexión segura pero con latencia variable y ancho de banda limitado (~1 Gbps máx). Económico.

Site-to-Site (S2S): Tu datacenter on-prem ↔ Azure VNet. VPN persistente.
Point-to-Site (P2S): Laptop de empleado remoto ↔ Azure VNet. VPN por usuario.
VNet-to-VNet: Conecta dos VNets de Azure en distintas regiones via VPN.

Costo/mes

~$30–$700 (según SKU)

Ancho de banda

Hasta ~1 Gbps

Latencia

Variable (internet)

SLA

99.9%

Azure ExpressRoute

Conexión privada dedicada a Azure via un partner de telecomunicaciones (Telefónica, AT&T, Equinix, etc.). Nunca toca internet público. SLA garantizado. Hasta 100 Gbps.

ExpressRoute Circuit: 1–10 Gbps. Conexión dedicada en un datacenter del partner.
ExpressRoute Direct: 10–100 Gbps. Conexión directa al router de Azure (sin partner intermediario).
ExpressRoute Global Reach: Conecta dos redes on-premises entre sí vía Azure (tránsito).

Costo/mes

~$500–$5,000+

Ancho de banda

50 Mbps – 100 Gbps

Latencia

Predecible y baja

SLA

99.95%

VPN vs ExpressRoute — cuándo elegir

Usa VPN cuando:

  • Presupuesto ajustado (órdenes de magnitud más barato)
  • Conectividad no crítica (tolerante a variabilidad de internet)
  • Usuarios remotos (P2S para home office)
  • Prototipo o proyecto pequeño
  • Conectividad temporal o de backup

Usa ExpressRoute cuando:

  • Workloads críticos que no toleran latencia variable
  • Transferencias masivas de datos (migración de TBs)
  • Compliance que prohíbe tráfico por internet público
  • SAP, Oracle, bases de datos críticas en Azure
  • Ancho de banda garantizado necesario (>1 Gbps)
Icon-networking-64

Azure DNS

Azure Public DNS

Aloja zonas DNS públicas (ej: contoso.com) en Azure. Alta disponibilidad, anycast global, SLA 100% (Microsoft garantiza disponibilidad de resolución).

Soporta todos los tipos de registro: A, AAAA, CNAME, MX, TXT, NS, SOA, SRV

Integración con Azure Resource Manager (RBAC, tags, billing)

Alias Records para recursos Azure (actualización IP automática si cambia IP de VM/LB)

Azure Private DNS

Resolución DNS privada para recursos dentro de VNets. Sin exponer IPs privadas al DNS público.

vm1.internal.contoso.com → 10.0.1.4 (resolución interna)

Funciona entre VNets vinculadas (VNet links)

Servicios PaaS con Private Endpoints resuelven nombres privados

Sin gestionar servidores DNS propios (Azure lo gestiona)

VNet Peering y Private Endpoints

VNet Peering

Conecta dos VNets para que los recursos se comuniquen como si estuvieran en la misma red. Tráfico va por la red backbone de Azure (no internet). Baja latencia.

Regional Peering

Dos VNets en la misma región. Gratuito el tráfico en la misma región (solo paga egress estándar).

Global Peering

Dos VNets en diferentes regiones. Pequeño costo adicional por tráfico cross-region.

El peering NO es transitivo. Si A→B y B→C, A NO puede hablar con C sin crear un peering A→C directo.

Private Endpoints

Expone servicios Azure PaaS (Storage, SQL, Key Vault, etc.) con una IP privada dentro de tu VNet. El tráfico nunca sale a internet público.

Sin vs Con Private Endpoint

Sin Private Endpoint

VM → internet → storage.core.windows.net

Tráfico sale por internet, potencialmente interceptable

Con Private Endpoint

VM → 10.0.1.5 (PE) → storage (privado)

Tráfico permanece en red privada de Azure

Icon-networking-72

Azure DDoS Protection

DDoS Basic (gratuito)

Protección automática incluida en Azure para toda la infraestructura. Mitiga ataques volumétricos comunes. Sin costo adicional. SIN dashboards ni alertas personalizadas.

Cuándo usar

Siempre activo. Sin configuración.

DDoS Standard (de pago)

Políticas de mitigación customizadas per-VNet. Telemetría en tiempo real. Alertas. Soporte especializado de DDoS Response Team. Garantía de crédito si Azure falla en proteger.

Cuándo usar

Apps en producción expuestas a internet con requisitos de SLA alto.

¿Entendiste este tema?

Pon a prueba lo que acabas de aprender

¿Qué servicio de Azure permite conectar dos VNets para que los recursos en ambas se comuniquen como si estuvieran en la misma red?