Arquitectura de red para instancias de NetScaler VPX en Microsoft Azure
En Azure Resource Manager (ARM), una máquina virtual (VM) de NetScaler VPX reside en una red virtual. Se puede crear una única interfaz de red en una subred determinada de la red virtual y se puede adjuntar a la instancia de VPX. Puede filtrar el tráfico de red hacia y desde una instancia de VPX en una red virtual de Azure con un grupo de seguridad de red. Un grupo de seguridad de red contiene reglas de seguridad que permiten o deniegan el tráfico de red entrante o saliente de una instancia de VPX. Para obtener más información, consulte Grupos de seguridad.
El grupo de seguridad de red filtra las solicitudes a la instancia de NetScaler VPX, y la instancia de VPX las envía a los servidores. La respuesta de un servidor sigue la misma ruta en sentido inverso. El grupo de seguridad de red se puede configurar para filtrar una única VM VPX o, con subredes y redes virtuales, puede filtrar el tráfico en la implementación de varias instancias VPX.
La NIC contiene detalles de configuración de red como la red virtual, las subredes, la dirección IP interna y la dirección IP pública.
Mientras esté en ARM, es bueno conocer las siguientes direcciones IP que se utilizan para acceder a las VM implementadas con una única NIC y una única dirección IP:
- La dirección IP pública (PIP) es la dirección IP orientada a Internet configurada directamente en la NIC virtual de la VM de NetScaler®. Esto le permite acceder directamente a una VM desde la red externa.
- La dirección IP de NetScaler (también conocida como NSIP) es la dirección IP interna configurada en la VM. No es enrutable.
- La dirección IP virtual (VIP) se configura utilizando la NSIP y un número de puerto. Los clientes acceden a los servicios de NetScaler a través de la dirección PIP, y cuando la solicitud llega a la NIC de la VM de NetScaler VPX™ o al equilibrador de carga de Azure, la VIP se traduce a la IP interna (NSIP) y al número de puerto interno.
- La dirección IP interna es la dirección IP interna privada de la VM del grupo de espacio de direcciones de la red virtual. No se puede acceder a esta dirección IP desde la red externa. Esta dirección IP es dinámica por defecto, a menos que la configure como estática. El tráfico de Internet se enruta a esta dirección según las reglas creadas en el grupo de seguridad de red. El grupo de seguridad de red se integra con la NIC para enviar selectivamente el tipo correcto de tráfico al puerto correcto de la NIC, lo que depende de los servicios configurados en la VM.
La siguiente figura muestra cómo fluye el tráfico de un cliente a un servidor a través de una instancia de NetScaler VPX aprovisionada en ARM.
Flujo de tráfico a través de la traducción de direcciones de red
También puede solicitar una dirección IP pública (PIP) para su instancia de NetScaler VPX (a nivel de instancia). Si utiliza esta PIP directa a nivel de VM, no necesita definir reglas de entrada y salida para interceptar el tráfico de red. La solicitud entrante de Internet se recibe directamente en la VM. Azure realiza la traducción de direcciones de red (NAT) y reenvía el tráfico a la dirección IP interna de la instancia de VPX.
La siguiente figura muestra cómo Azure realiza la traducción de direcciones de red para asignar la dirección IP interna de NetScaler.
En este ejemplo, la IP pública asignada al grupo de seguridad de red es 140.x.x.x y la dirección IP interna es 10.x.x.x. Cuando se definen las reglas de entrada y salida, el puerto HTTP público 80 se define como el puerto en el que se reciben las solicitudes del cliente, y un puerto privado correspondiente, 10080, se define como el puerto en el que escucha la instancia de NetScaler VPX. La solicitud del cliente se recibe en la dirección IP pública (140.x.x.x). Azure realiza la traducción de direcciones de red para asignar la PIP a la dirección IP interna 10.x.x.x en el puerto 10080, y reenvía la solicitud del cliente.
Nota:
Las máquinas virtuales NetScaler VPX en alta disponibilidad son controladas por balanceadores de carga externos o internos que tienen reglas de entrada definidas para controlar el tráfico de equilibrio de carga. El tráfico externo es interceptado primero por estos balanceadores de carga y el tráfico se desvía de acuerdo con las reglas de equilibrio de carga configuradas, que tienen grupos de back-end, reglas NAT y sondeos de estado definidos en los balanceadores de carga.
Directrices de uso de puertos
Puede configurar más reglas de entrada y salida en el grupo de seguridad de red al crear la instancia de NetScaler VPX o después de que se aprovisione la máquina virtual. Cada regla de entrada y salida está asociada con un puerto público y un puerto privado.
Antes de configurar las reglas del grupo de seguridad de red, tenga en cuenta las siguientes directrices con respecto a los números de puerto que puede utilizar:
-
La instancia de NetScaler VPX reserva los siguientes puertos. No puede definirlos como puertos privados cuando utiliza la dirección IP pública para solicitudes desde Internet.
Puertos 21, 22, 80, 443, 8080, 67, 161, 179, 500, 520, 3003, 3008, 3009, 3010, 3011, 4001, 5061, 9000, 7000.
Sin embargo, si desea que los servicios orientados a Internet, como el VIP, utilicen un puerto estándar (por ejemplo, el puerto 443), debe crear una asignación de puertos utilizando el grupo de seguridad de red. El puerto estándar se asigna luego a un puerto diferente que está configurado en el NetScaler para este servicio VIP.
Por ejemplo, un servicio VIP podría estar ejecutándose en el puerto 8443 en la instancia VPX pero estar asignado al puerto público 443. Así, cuando el usuario accede al puerto 443 a través de la IP pública, la solicitud se dirige al puerto privado 8443.
-
La dirección IP pública no admite protocolos en los que la asignación de puertos se abre dinámicamente, como FTP pasivo o ALG.
-
La alta disponibilidad no funciona para el tráfico que utiliza una dirección IP pública (PIP) asociada a una instancia VPX, en lugar de una PIP configurada en el balanceador de carga de Azure.
Nota:
En Azure Resource Manager, una instancia de NetScaler VPX está asociada con dos direcciones IP: una dirección IP pública (PIP) y una dirección IP interna. Mientras que el tráfico externo se conecta a la PIP, la dirección IP interna o la NSIP no es enrutable. Para configurar VIP en VPX, utilice la dirección IP interna y cualquiera de los puertos libres disponibles. No utilice la PIP para configurar VIP.