ITHub.es logo
Login
Azure · AZ-305

Conectividad híbrida en Azure (AZ-305)

Dominio: Red y acceso privado a PaaS Nivel: Intermedio Tiempo de lectura: 20-30 min Última revisión: Nov 2025

1. Opciones

Objetivo: conectar redes locales con Azure con resiliencia y rendimiento.

  • VPN Site-to-Site: túnel IPsec/IKEv2 entre gateway y firewall on-prem; ideal para entornos pequeños o dev/test.
  • ExpressRoute: conexión privada (MPLS o Metro-Ethernet) con SLA superior, latencia mínima y opción de Global Reach.
  • BGP dinámico: intercambia rutas entre on-prem y Azure; facilita failover automático Active-Active.
  • Redundancia: gateways emparejados en Zonas de Disponibilidad y backups geográficos.
Usa VPN Gateway SKU VpnGw2 o superior para producción y habilita IKEv2 + BGP.

Patrón típico:

On-prem ── VPN Gateway ── HUB VNet ── Spokes

2. Private Link y DNS

Objetivo: exponer servicios PaaS de forma privada dentro de una VNet.

  • Private Endpoint: interfaz de red privada en tu VNet con IP interna; accede al servicio PaaS sin internet público.
  • Private Link Service: publica tu propio servicio privado a otros tenants o VNets.
  • Private DNS Zones: resuelve nombres de endpoints privados (privatelink.*).
  • Split-horizon DNS: misma zona con respuestas distintas on-prem/Azure; evita bucles DNS.
  • DNS Resolver: nuevo servicio para reenviar peticiones on-prem ↔ Azure sin VM DNS.
Centraliza las zonas DNS en la VNet HUB y usa Azure DNS Private Resolver con reglas in/out.

Ejemplo:

SQL → mydb.database.windows.net
resuelve a → privatelink.database.windows.net (IP privada)

3. Seguridad y patrones

Objetivo: proteger el perímetro y controlar tráfico entre VNets y on-prem.

  • Firewall perimetral: Azure Firewall o NVA; inspección L3-L4, DNAT/SNAT, políticas centralizadas.
  • UDR (User Defined Routes): fuerza tráfico por NVAs o inspección.
  • Inspección L7: WAF en App Gateway o Front Door (protección OWASP Top 10).
  • DDoS Protection Standard: capa adicional de mitigación volumétrica.
  • NSG/ASG: control granular por IP o aplicación.
  • Encriptación: IPsec/IKEv2 para VPN, MACsec para ExpressRoute Direct.
Patrón HUB-SPOKE: centraliza firewall y DNS en el HUB, spokes aislados; simplifica seguridad y costes.

Diseño típico:

On-prem ── VPN Gateway ── HUB VNet ── FW ── SPOKE (App)
       │             │
       └── ExpressRoute (Private Peering)