Arquitectura de red para instancias de NetScaler VPX en Microsoft Azure
En Azure Resource Manager (ARM), una máquina virtual (VM) de NetScaler VPX reside en una red virtual. Se puede crear una única interfaz de red en una subred determinada de la red virtual y se puede adjuntar a la instancia de VPX. Puede filtrar el tráfico de red hacia y desde una instancia de VPX en una red virtual de Azure con un grupo de seguridad de red. Un grupo de seguridad de red contiene reglas de seguridad que permiten o deniegan el tráfico de red entrante o saliente hacia o desde una instancia de VPX. Para obtener más información, consulte Grupos de seguridad.
El grupo de seguridad de red filtra las solicitudes a la instancia de NetScaler VPX, y la instancia de VPX las envía a los servidores. La respuesta de un servidor sigue la misma ruta en sentido inverso. El grupo de seguridad de red se puede configurar para filtrar una única VM de VPX o, con subredes y redes virtuales, puede filtrar el tráfico en la implementación de varias instancias de VPX.
La NIC contiene detalles de configuración de red como la red virtual, las subredes, la dirección IP interna y la dirección IP pública.
Mientras esté en ARM, es bueno conocer las siguientes direcciones IP que se utilizan para acceder a las VM implementadas con una única NIC y una única dirección IP:
- La dirección IP pública (PIP) es la dirección IP orientada a Internet configurada directamente en la NIC virtual de la VM de NetScaler®. Esto le permite acceder directamente a una VM desde la red externa.
- La dirección IP de NetScaler (también conocida como NSIP) es la dirección IP interna configurada en la VM. No es enrutable.
- La dirección IP virtual (VIP) se configura utilizando la NSIP y un número de puerto. Los clientes acceden a los servicios de NetScaler a través de la dirección PIP, y cuando la solicitud llega a la NIC de la VM de NetScaler VPX™ o al equilibrador de carga de Azure, la VIP se traduce a la IP interna (NSIP) y al número de puerto interno.
- La dirección IP interna es la dirección IP privada interna de la VM del grupo de espacio de direcciones de la red virtual. No se puede acceder a esta dirección IP desde la red externa. Esta dirección IP es dinámica por defecto, a menos que la configure como estática. El tráfico de Internet se enruta a esta dirección de acuerdo con las reglas creadas en el grupo de seguridad de red. El grupo de seguridad de red se integra con la NIC para enviar selectivamente el tipo correcto de tráfico al puerto correcto de la NIC, lo que depende de los servicios configurados en la VM.
La siguiente figura muestra cómo fluye el tráfico de un cliente a un servidor a través de una instancia de NetScaler VPX aprovisionada en ARM.
Flujo de tráfico a través de la traducción de direcciones de red
También puede solicitar una dirección IP pública (PIP) para su instancia de NetScaler VPX (a nivel de instancia). Si utiliza esta PIP directa a nivel de VM, no necesita definir reglas de entrada y salida para interceptar el tráfico de red. La solicitud entrante de Internet se recibe directamente en la VM. Azure realiza la traducción de direcciones de red (NAT) y reenvía el tráfico a la dirección IP interna de la instancia de VPX.
La siguiente figura muestra cómo Azure realiza la traducción de direcciones de red para asignar la dirección IP interna de NetScaler.
En este ejemplo, la IP pública asignada al grupo de seguridad de red es 140.x.x.x y la dirección IP interna es 10.x.x.x. Cuando se definen las reglas de entrada y salida, el puerto HTTP público 80 se define como el puerto en el que se reciben las solicitudes del cliente, y un puerto privado correspondiente, 10080, se define como el puerto en el que escucha la instancia de NetScaler VPX. La solicitud del cliente se recibe en la dirección IP pública (140.x.x.x). Azure realiza la traducción de direcciones de red para asignar la PIP a la dirección IP interna 10.x.x.x en el puerto 10080 y reenvía la solicitud del cliente.
Nota:
Las VM de NetScaler VPX en alta disponibilidad están controladas por equilibradores de carga externos o internos que tienen reglas de entrada definidas para controlar el tráfico de equilibrio de carga. El tráfico externo es interceptado primero por estos equilibradores de carga y el tráfico se desvía según las reglas de equilibrio de carga configuradas, que tienen grupos de back-end, reglas NAT y sondeos de estado definidos en los equilibradores de carga.
Directrices de uso de puertos
Puede configurar más reglas de entrada y salida en el grupo de seguridad de red al crear la instancia de NetScaler VPX o después de que se aprovisione la máquina virtual. Cada regla de entrada y salida está asociada a un puerto público y un puerto privado.
Antes de configurar las reglas del grupo de seguridad de red, tenga en cuenta las siguientes directrices en cuanto a los números de puerto que puede usar:
-
La instancia de NetScaler VPX reserva los siguientes puertos. No puede definirlos como puertos privados cuando utiliza la dirección IP pública para solicitudes de Internet.
Puertos 21, 22, 80, 443, 8080, 67, 161, 179, 500, 520, 3003, 3008, 3009, 3010, 3011, 4001, 5061, 9000, 7000.
Sin embargo, si desea que los servicios orientados a Internet, como el VIP, utilicen un puerto estándar (por ejemplo, el puerto 443), debe crear una asignación de puertos mediante el grupo de seguridad de red. El puerto estándar se asigna entonces a un puerto diferente que está configurado en el NetScaler para este servicio VIP.
Por ejemplo, un servicio VIP podría estar ejecutándose en el puerto 8443 en la instancia VPX, pero estar asignado al puerto público 443. Así, cuando el usuario accede al puerto 443 a través de la IP pública, la solicitud se dirige al puerto privado 8443.
-
La dirección IP pública no admite protocolos en los que la asignación de puertos se abre dinámicamente, como FTP pasivo o ALG.
-
La alta disponibilidad no funciona para el tráfico que utiliza una dirección IP pública (PIP) asociada a una instancia VPX, en lugar de una PIP configurada en el equilibrador de carga de Azure.
Nota:
En Azure Resource Manager, una instancia de NetScaler VPX está asociada a dos direcciones IP: una dirección IP pública (PIP) y una dirección IP interna. Mientras que el tráfico externo se conecta a la PIP, la dirección IP interna o la NSIP no es enrutable. Para configurar VIP en VPX, utilice la dirección IP interna y cualquiera de los puertos libres disponibles. No utilice la PIP para configurar VIP.