Implementación y emparejamiento de redes virtuales para crear una base segura para cargas de trabajo en la nube
Siguiendo mi recorrido por la infraestructura de Azure, recientemente implementé una configuración de red clave para cualquier entorno serio en la nube: una arquitectura de red virtual hub and spoke. Este fue mi proyecto número dieciocho con Azure y se centró en afianzar los fundamentos de conectividad privada y segura.
Tanto si estudias para una certificación como si construyes un entorno de producción, saber segmentar y conectar redes correctamente es una habilidad crítica. A continuación explico lo que construí y por qué importa.
El objetivo por qué hub and spoke
La meta fue simular un escenario real: migrar una aplicación web a Azure imponiendo controles estrictos de seguridad de red. Una red plana podría servir para algo simple, pero es un problema para la seguridad y la escalabilidad.
El modelo hub and spoke lo resuelve de esta forma:
El Hub hub-vnet es el núcleo seguro de la red. Aquí ubicamos servicios compartidos que deben ser accesibles por todas las cargas, como firewalls, puertas de enlace VPN o un DNS central. Todo el tráfico que entra, sale o se mueve entre spokes se enruta por el hub para inspección y registro.
El Spoke app-vnet es la red específica de la carga de trabajo. Aquí vive la aplicación, en este caso servidores web y bases de datos. Los spokes están aislados por defecto, lo que contiene posibles brechas de seguridad.
Este diseño brinda seguridad centralizada, reduce la carga operativa y facilita incorporar nuevas aplicaciones mediante nuevos spokes.
La construcción visión de la arquitectura
Antes de desplegar, definí un plano que luego ejecuté en el portal de Azure.
Objetivos técnicos
Provisionar dos redes virtuales con espacios de direcciones que no se superpongan.
Segmentar la red de la aplicación en subredes para una seguridad por capas.
Establecer conectividad privada entre ellas usando VNet Peering.
Paso 1 creación de redes aisladas
En Azure, una Red Virtual VNet es una red lógicamente aislada, tu propio segmento privado en la nube. Creé dos VNets en East US dentro del mismo grupo de recursos para colocalización.
Spoke de la aplicación app-vnet
Espacio de direcciones 10.1.0.0/16
Subred frontend 10.1.0.0/24 para servidores web y VMs de front.
Subred backend 10.1.1.0/24 para servicios de base de datos. La separación por niveles es un control de seguridad primario.
Hub de seguridad hub-vnet
Espacio de direcciones 10.0.0.0/16 es fundamental que los espacios de direcciones no se solapen.
Subred AzureFirewallSubnet 10.0.0.0/26 nombre obligatorio para Azure Firewall y tamaño mínimo de prefijo de barra 26.
Paso 2 conexión con VNet Peering
Con las redes creadas, al inicio estaban completamente aisladas. Para habilitar comunicación privada sin pasar por internet pública, configuré VNet Peering.
VNet Peering crea una conexión de baja latencia y alto ancho de banda sobre la red privada de Microsoft. Es transparente y segura.
El proceso es sencillo y potente:
Navegar a app-vnet, Peerings, agregar.
Configurar el enlace de peering del spoke al hub app-vnet-to-hub-vnet.
Configurar el enlace recíproco del hub al spoke hub-vnet-to-app-vnet.
Azure se encarga del resto. En segundos el estado pasó a Conectado.
Por qué importa conclusiones clave
El diseño intencional supera a las configuraciones por defecto. Los entornos cloud pueden ser seguros por defecto, pero a menudo quedan demasiado abiertos. Diseños como hub and spoke son esenciales para seguridad y cumplimiento de nivel empresarial.
Subredes para seguridad. Las subredes son tu herramienta principal para aplicar políticas de seguridad de red con Network Security Groups. Separar front y back permite reglas estrictas, por ejemplo, que la subred de base de datos solo acepte tráfico desde la subred frontend.
El poder del peering privado. VNet Peering es el pegamento de arquitecturas complejas. Ofrece beneficios de una red única manteniendo separación administrativa y aislamiento. Que el tráfico no salga a internet pública es una gran ventaja de seguridad y rendimiento.
Próximos pasos
Desplegar un Azure Firewall en la subred AzureFirewallSubnet.
Configurar tablas de enrutamiento UDR para forzar el tráfico del spoke a través del firewall.
Desplegar máquinas virtuales en las subredes y probar conectividad.
Construirlo por tu cuenta es la mejor manera de entenderlo. Te recomiendo activar una suscripción y ponerlo a prueba.
Este es mi proyecto número dieciocho en Azure y es increíble cómo estos conceptos se vuelven naturales y sirven de base para soluciones más complejas.
Cuál es tu patrón de diseño de red preferido en la nube Has usado hub and spoke en producción Comparte tu experiencia.
Azure CloudArchitecture Networking DevOps CyberSecurity HubAndSpoke VNet CloudEngineering LearnInPublic