Red local conectada a Azure mediante VPN GatewayOn-premises network connected to Azure using a VPN gateway

Esta arquitectura de referencia muestra cómo extender una red desde el entorno local o desde Azure Stack a una red virtual de Azure, mediante una red privada virtual (VPN) de sitio a sitio.This reference architecture shows how to extend a network from on premises or from Azure Stack into an Azure virtual network, using a site-to-site virtual private network (VPN). El tráfico fluye entre la red local y Azure a través de un túnel VPN de IPSec o a través de la puerta de enlace VPN multiinquilino de Azure Stack.Traffic flows between the on-premises network and Azure through an IPSec VPN tunnel or through the Azure Stack multitenant VPN gateway. Implemente esta solución.Deploy this solution.

Hybrid network spanning on-premises and Azure infrastructures

Un diagrama de la arquitectura de VPN Gateway.A diagram of the VPN gateway architecture. Una red local se conecta a una red virtual de Azure mediante una instancia de VPN Gateway.An on-premises network connects to an Azure virtual network through a VPN gateway. Una red virtual de Azure Stack también se conecta a VPN Gateway a través de VIP públicas.A virtual network in Azure Stack also connects to the VPN gateway through public VIPs.

Descargue un archivo Visio de esta arquitectura.Download a Visio file of this architecture.

ArchitectureArchitecture

La arquitectura consta de los siguientes componentes:The architecture consists of the following components.

  • Red local.On-premises network. Una red de área local privada que se ejecuta dentro de una organización.A private local-area network running within an organization.

  • Azure Stack.Azure Stack. Un entorno de red en una suscripción de inquilino de Azure Stack, que se ejecuta dentro de una organización.A network environment on an Azure Stack tenant subscription, running within an organization. VPN Gateway de Azure Stack envía tráfico cifrado a través de una conexión pública a direcciones IP virtuales (VIP) e incluye los componentes siguientes:The Azure Stack VPN gateway sends encrypted traffic across a public connection to virtual IP (VIP) addresses and includes the following components:

    • Subred de puerta de enlace.Gateway subnet. Una subred especial necesaria para implementar VPN Gateway en Azure Stack.A special subnet required to deploy the VPN Gateway on Azure Stack.
    • Puerta de enlace de red local.Local network gateway. Indica la dirección IP de destino de VPN Gateway en Azure, así como el espacio de direcciones de la red virtual de Azure.Indicates the target IP of the VPN gateway in Azure, as well as the address space of the Azure virtual network.
    • Túnel VPN de sitio a sitio.Site-to-site VPN tunnel. El tipo de conexión (IPSec) y la clave compartida con VPN Gateway de Azure para cifrar el tráfico.The connection type (IPSec) and the key shared with the Azure VPN Gateway to encrypt traffic.
  • Dispositivo VPN.VPN appliance. Un dispositivo o servicio que proporciona conectividad externa a la red local.A device or service that provides external connectivity to the on-premises network. El dispositivo VPN puede ser un dispositivo de hardware, o puede ser una solución de software como el servicio de Enrutamiento y acceso remoto (RRAS) en Windows Server 2012.The VPN appliance may be a hardware device, or it can be a software solution such as the Routing and Remote Access Service (RRAS) in Windows Server 2012. Para obtener una lista de dispositivos VPN admitidos e información sobre la configuración para conectarlos a Azure VPN Gateway, consulte las instrucciones para el dispositivo seleccionado en el artículo Acerca de los dispositivos VPN y los parámetros de IPsec/IKE para conexiones de VPN Gateway de sitio a sitio.For a list of supported VPN appliances and information on configuring them to connect to an Azure VPN gateway, see the instructions for the selected device in the article About VPN devices for Site-to-Site VPN Gateway connections.

  • Red virtual.Virtual network. La aplicación en la nube y los componentes de Azure VPN Gateway se encuentran en la misma red virtual.The cloud application and the components for the Azure VPN gateway reside in the same virtual network.

  • Azure VPN Gateway.Azure VPN gateway. El servicio VPN Gateway permite conectar la red virtual a la red local a través de un dispositivo VPN o conectarse a Azure Stack a través de un túnel VPN de sitio a sitio.The VPN gateway service enables you to connect the virtual network to the on-premises network through a VPN appliance or to connect to Azure Stack through a site-to-site VPN tunnel. Para más información, consulte Conectar una red local con una red virtual de Microsoft Azure.For more information, see Connect an on-premises network to a Microsoft Azure virtual network. VPN Gateway incluye los siguientes elementos:The VPN gateway includes the following elements:

    • Puerta de enlace de red virtual.Virtual network gateway. Recurso que proporciona un dispositivo VPN virtual para la red virtual.A resource that provides a virtual VPN appliance for the virtual network. Es responsable de enrutar el tráfico de la red local a la red virtual.It is responsible for routing traffic from the on-premises network to the virtual network.
    • Puerta de enlace de red local.Local network gateway. Abstracción del dispositivo VPN local.An abstraction of the on-premises VPN appliance. El tráfico de red de la aplicación en la nube a la red local se enruta a través de esta puerta de enlace.Network traffic from the cloud application to the on-premises network is routed through this gateway.
    • Conexión.Connection. La conexión tiene propiedades que especifican el tipo de conexión (IPSec) y la clave compartida con el dispositivo VPN local para cifrar el tráfico.The connection has properties that specify the connection type (IPSec) and the key shared with the on-premises VPN appliance to encrypt traffic.
    • Subred de puerta de enlace.Gateway subnet. La puerta de enlace de red virtual se mantiene en su propia subred, que está sujeta a los distintos requisitos que se describen a continuación, en la sección Recomendaciones.The virtual network gateway is held in its own subnet, which is subject to various requirements, described in the Recommendations section below.
  • Aplicación en la nube.Cloud application. La aplicación hospedada en Azure.The application hosted in Azure. Puede incluir varios niveles, con varias subredes que se conectan a través de equilibradores de carga de Azure.It might include multiple tiers, with multiple subnets connected through Azure load balancers. Para obtener más información acerca de la infraestructura de aplicaciones, consulte Ejecución de cargas de trabajo de máquinas virtuales Windows y Ejecución de cargas de trabajo de máquinas virtuales Linux.For more information about the application infrastructure, see Running Windows VM workloads and Running Linux VM workloads.

  • Equilibrador de carga interno.Internal load balancer. El tráfico de red de VPN Gateway se enruta a la aplicación en la nube a través de un equilibrador de carga interno.Network traffic from the VPN gateway is routed to the cloud application through an internal load balancer. El equilibrador de carga se encuentra en la subred front-end de la aplicación.The load balancer is located in the front-end subnet of the application.

  • Bastion.Bastion. Azure Bastion permite iniciar sesión en las máquinas virtuales de la red virtual a través de SSH o el protocolo de escritorio remoto (RDP) sin exponer las máquinas virtuales directamente a Internet.Azure Bastion allows you to log into VMs in the virtual network through SSH or remote desktop protocol (RDP) without exposing the VMs directly to the internet. Si pierde la conectividad a través de la VPN, aún puede usar Bastion para administrar las máquinas virtuales de la red virtual.If you lose connectivity through the VPN, you can still use Bastion to manage the VMs in the virtual network.

RecomendacionesRecommendations

Las siguientes recomendaciones sirven para la mayoría de los escenarios.The following recommendations apply for most scenarios. Sígalas a menos que tenga un requisito concreto que las invalide.Follow these recommendations unless you have a specific requirement that overrides them.

Red virtual y subred de puerta de enlaceVirtual network and gateway subnet

Cree una red virtual de Azure con un espacio de direcciones lo suficientemente grande para todos los recursos necesarios.Create an Azure virtual network with an address space large enough for all of your required resources. Asegúrese de que el espacio de direcciones de la red virtual tiene suficiente espacio para crecer si es probable que se necesiten máquinas virtuales adicionales en el futuro.Ensure that the virtual network address space has sufficient room for growth if additional VMs are likely to be needed in the future. El espacio de direcciones de la red virtual no debe superponerse a la red local.The address space of the virtual network must not overlap with the on-premises network. Por ejemplo, en el diagrama anterior se usa el espacio de direcciones 10.20.0.0/16 para la red virtual.For example, the diagram above uses the address space 10.20.0.0/16 for the virtual network.

Cree una subred denominada GatewaySubnet, con un intervalo de direcciones de /27.Create a subnet named GatewaySubnet, with an address range of /27. Esta subred es necesaria para la puerta de enlace de red virtual.This subnet is required by the virtual network gateway. La asignación de treinta y dos direcciones a esta subred ayudará a evitar que se alcancen las limitaciones de tamaño de la puerta de enlace en el futuro.Allocating 32 addresses to this subnet will help to prevent reaching gateway size limitations in the future. Evite también colocar esta subred en el centro del espacio de direcciones.Also, avoid placing this subnet in the middle of the address space. Una práctica recomendada consiste en establecer el espacio de direcciones para la subred de la puerta de enlace en el extremo superior del espacio de direcciones de la red virtual.A good practice is to set the address space for the gateway subnet at the upper end of the virtual network address space. El ejemplo que aparece en el diagrama usa 10.20.255.224/27.The example shown in the diagram uses 10.20.255.224/27. Este es un procedimiento rápido para calcular el CIDR:Here is a quick procedure to calculate the CIDR:

  1. Establezca los bits variables del espacio de direcciones de la red virtual en 1 hasta alcanzar los bits que usa la subred de puerta de enlace. A continuación, establezca los bits restantes en 0.Set the variable bits in the address space of the virtual network to 1, up to the bits being used by the gateway subnet, then set the remaining bits to 0.
  2. Convierta los bits resultantes a decimales y expréselos como un espacio de direcciones con la longitud del prefijo establecida en el tamaño de la subred de puerta de enlace.Convert the resulting bits to decimal and express it as an address space with the prefix length set to the size of the gateway subnet.

Por ejemplo, al aplicar el paso 1 anterior a una red virtual con un intervalo de direcciones IP de 10.20.0.0/16, se convierte en 10.20.0b11111111.0b11100000.For example, for a virtual network with an IP address range of 10.20.0.0/16, applying step #1 above becomes 10.20.0b11111111.0b11100000. Si se convierte en decimales y se expresa como un espacio de direcciones, da como resultado 10.20.255.224/27.Converting that to decimal and expressing it as an address space yields 10.20.255.224/27.

Advertencia

No implemente ninguna máquina virtual en la subred de puerta de enlace.Do not deploy any VMs to the gateway subnet. Tampoco asigne ningún NSG a esta subred, ya que causaría que la puerta de enlace dejase de funcionar.Also, do not assign an NSG to this subnet, as it will cause the gateway to stop functioning.

Puerta de enlace de red virtualVirtual network gateway

Asigne una dirección IP pública para la puerta de enlace de la red virtual.Allocate a public IP address for the virtual network gateway.

Cree la puerta de enlace de red virtual en la subred de puerta de enlace y asígnele la dirección IP pública recién asignada.Create the virtual network gateway in the gateway subnet and assign it the newly allocated public IP address. Use el tipo de puerta de enlace que mejor se ajuste a sus requisitos y que su dispositivo VPN haya habilitado:Use the gateway type that most closely matches your requirements and that is enabled by your VPN appliance:

  • Cree una puerta de enlace basada en directivas si necesita controlar estrechamente cómo se enrutan las solicitudes en función de los criterios de las directivas, tales como los prefijos de las direcciones.Create a policy-based gateway if you need to closely control how requests are routed based on policy criteria such as address prefixes. Las puertas de enlace basadas en directivas utilizan el enrutamiento estático y solo funcionan con conexiones de sitio a sitio.Policy-based gateways use static routing, and only work with site-to-site connections.

  • Cree una puerta de enlace basada en rutas.Create a route-based gateway

    • Conéctese a la red local mediante RRAS,You connect to the on-premises network using RRAS,
    • Admita conexiones de varios sitios o entre regiones oYou support multi-site or cross-region connections, or
    • Disponga de conexiones entre redes virtuales, incluidas las rutas que atraviesan varias redes virtuales.You have connections between virtual networks, including routes that traverse multiple virtual networks.

    Las puertas de enlace basadas en rutas utilizan el enrutamiento dinámico para dirigir el tráfico entre redes.Route-based gateways use dynamic routing to direct traffic between networks. Dado que pueden intentar rutas alternativas, pueden tolerar mejor los errores en la ruta de acceso de red que las rutas estáticas.They can tolerate failures in the network path better than static routes because they can try alternative routes. Las puertas de enlace basadas en rutas también pueden reducir la sobrecarga de administración porque es posible que las rutas no tengan que actualizarse manualmente cuando las direcciones de red cambien.Route-based gateways can also reduce the management overhead because routes might not need to be updated manually when network addresses change.

Para obtener una lista de dispositivos VPN compatibles, consulte Acerca de los dispositivos VPN y los parámetros de IPsec/IKE para conexiones de VPN Gateway de sitio a sitio.For a list of supported VPN appliances, see About VPN devices for Site-to-Site VPN Gateway connections.

Nota

Tras crear la puerta de enlace, no se puede cambiar entre los tipos de puerta de enlace sin antes eliminarla y volverla a crear.After the gateway has been created, you cannot change between gateway types without deleting and re-creating the gateway.

Seleccione la SKU de Azure VPN Gateway que mejor se ajuste a sus requisitos de rendimiento.Select the Azure VPN gateway SKU that most closely matches your throughput requirements. Para más información, consulte SKU de puertas de enlace.For more information, see Gateway SKUs

Nota

La SKU Básica no es compatible con Azure ExpressRoute.The Basic SKU is not compatible with Azure ExpressRoute. También puede cambiar la SKU tras crear la puerta de enlace.You can change the SKU after the gateway has been created.

En lugar de permitir que las solicitudes pasen directamente a las máquinas virtuales de la aplicación, cree reglas de enrutamiento para la subred de puerta de enlace que dirige el tráfico de aplicaciones entrante desde la puerta de enlace hacia el equilibrador de carga interno.Create routing rules for the gateway subnet that direct incoming application traffic from the gateway to the internal load balancer, rather than allowing requests to pass directly to the application VMs.

Conexión de red localOn-premises network connection

Cree una puerta de enlace de red local.Create a local network gateway. Especifique la dirección IP pública del dispositivo VPN local y el espacio de direcciones de la red local.Specify the public IP address of the on-premises VPN appliance, and the address space of the on-premises network. Tenga en cuenta que el dispositivo VPN local debe tener una dirección IP pública a la cual pueda tener acceso la puerta de enlace de red local de Azure VPN Gateway.Note that the on-premises VPN appliance must have a public IP address that can be accessed by the local network gateway in Azure VPN Gateway. El dispositivo VPN no puede ubicarse detrás de un dispositivo de traducción de direcciones de red (NAT).The VPN device cannot be located behind a network address translation (NAT) device.

Cree una conexión de sitio a sitio para la puerta de enlace de red virtual y la puerta de enlace de red local.Create a site-to-site connection for the virtual network gateway and the local network gateway. Seleccione el tipo de conexión de sitio a sitio (IPSec) y especifique la clave compartida.Select the site-to-site (IPSec) connection type, and specify the shared key. El cifrado de sitio a sitio con Azure VPN Gateway se basa en el protocolo IPSec y utiliza claves compartidas previamente para la autenticación.Site-to-site encryption with the Azure VPN gateway is based on the IPSec protocol, using preshared keys for authentication. La clave se especifica al crear la instancia de Azure VPN Gateway.You specify the key when you create the Azure VPN gateway. Debe configurar el dispositivo VPN que se ejecuta localmente con la misma clave.You must configure the VPN appliance running on-premises with the same key. Actualmente, no se admiten otros mecanismos de autenticación.Other authentication mechanisms are not currently supported.

Asegúrese de que la infraestructura de enrutamiento local esté configurada para reenviar al dispositivo VPN las solicitudes destinadas a direcciones de la red virtual de Azure.Ensure that the on-premises routing infrastructure is configured to forward requests intended for addresses in the Azure virtual network to the VPN device.

Abra los puertos de la red local que requiera la aplicación en la nube.Open any ports required by the cloud application in the on-premises network.

Pruebe la conexión para comprobar que:Test the connection to verify that:

  • El dispositivo VPN local enruta correctamente el tráfico a la aplicación en la nube a través de Azure VPN Gateway.The on-premises VPN appliance correctly routes traffic to the cloud application through the Azure VPN gateway.
  • La red virtual enruta correctamente el tráfico a la red local.The virtual network correctly routes traffic back to the on-premises network.
  • El tráfico prohibido en ambas direcciones está bloqueado correctamente.Prohibited traffic in both directions is blocked correctly.

Conexión de red de Azure StackAzure Stack network connection

Esta arquitectura de referencia muestra cómo conectar una red virtual en la implementación de Azure Stack a una red virtual de Azure a través de VPN Gateway multiinquilino de Azure Stack.This reference architecture shows how to connect a virtual network in your Azure Stack deployment to a virtual network in Azure through the Azure Stack multitenant VPN gateway. Un escenario común es aislar las operaciones críticas y los datos confidenciales en Azure Stack y aprovechar las ventajas de Azure para las transacciones públicas y operaciones transitorias y no confidenciales.A common scenario is to isolate critical operations and sensitive data in Azure Stack and take advantage of Azure for public transaction and transitory, non-sensitive operations.

En esta arquitectura, el tráfico de red fluye a través de un túnel VPN mediante la puerta de enlace multiinquilino de Azure Stack.In this architecture, network traffic flows through a VPN tunnel using the multitenant gateway on Azure Stack. Como alternativa, el tráfico puede fluir por Internet entre Azure Stack y Azure a través de VIP de inquilino, Azure ExpressRoute o una aplicación virtual de red que actúe como el punto de conexión de VPN.Alternatively, traffic can flow over the Internet between Azure Stack and Azure through tenant VIPs, Azure ExpressRoute, or a network virtual appliance that acts as the VPN endpoint.

Capacidad de la puerta de enlace de red virtual de Azure StackAzure Stack virtual network gateway capacity

Tanto Azure VPN Gateway como la puerta de enlace VPN de Azure Stack admiten el Protocolo de puerta de enlace de borde (BGP) para intercambiar información de enrutamiento entre Azure y Azure Stack.Both the Azure VPN Gateway and the Azure Stack VPN gateway support Border Gateway Protocol (BGP) for exchanging routing information between Azure and Azure Stack. Azure Stack no admite el enrutamiento estático para la puerta de enlace de multiinquilino.Azure Stack does not support static routing for the multitenant gateway.

Cree una red virtual de Azure Stack que tenga asignado un espacio de direcciones lo suficientemente grande para todos los recursos necesarios.Create an Azure Stack virtual network with an assigned IP address space large enough for all your required resources. El espacio de direcciones de la red virtual no debe superponerse con ninguna otra red que se vaya a conectar a esta red virtual.The address space of the virtual network must not overlap with any other network that is going to be connected to this virtual network.

Se asigna una dirección IP pública a la puerta de enlace multiinquilino durante la implementación de Azure Stack.A public IP address is assigned to the multitenant gateway during the deployment of Azure Stack. Se toma del grupo de direcciones VIP públicas.It is taken from the public VIP pool. El operador de Azure Stack no tiene control sobre la dirección IP que se usa, pero puede determinar su asignación.The Azure Stack operator has no control over what IP address is used but can determine its assignment.

Precaución

No se pueden implementar máquinas virtuales de carga de trabajo en la subred de puerta de enlace de Azure Stack.Workload VMs cannot be deployed on the Azure Stack gateway subnet. Tampoco asigne ningún NSG a esta subred, ya que causaría que la puerta de enlace dejase de funcionar.Also, do not assign an NSG to this subnet, as it will cause the gateway to stop functioning.

Consideraciones sobre escalabilidadScalability considerations

Puede lograr una escalabilidad vertical limitada si cambia de las SKU de VPN Gateway Estándar o Básica a la SKU Alto rendimiento de VPN.You can achieve limited vertical scalability by moving from the Basic or Standard VPN Gateway SKUs to the High Performance VPN SKU.

Para las redes virtuales que esperan un gran volumen de tráfico VPN, considere la posibilidad de distribuir las diferentes cargas de trabajo en redes virtuales más pequeñas independientes y de configurar una puerta de enlace VPN para cada una de ellas.For virtual networks that expect a large volume of VPN traffic, consider distributing the different workloads into separate smaller virtual networks and configuring a VPN gateway for each of them.

Puede dividir la red virtual de forma horizontal o vertical.You can partition the virtual network either horizontally or vertically. Para dividirla horizontalmente, mueva algunas instancias de máquina virtual de cada capa a subredes de la red virtual nueva.To partition horizontally, move some VM instances from each tier into subnets of the new virtual network. El resultado es que cada red virtual tiene la misma estructura y funcionalidad.The result is that each virtual network has the same structure and functionality. Para dividirla verticalmente, vuelva a diseñar cada capa para dividir la funcionalidad en diferentes áreas lógicas (por ejemplo, gestión de pedidos, facturación, administración de cuentas de clientes, etc.).To partition vertically, redesign each tier to divide the functionality into different logical areas (such as handling orders, invoicing, customer account management, and so on). Cada área funcional se puede colocar en su propia red virtual.Each functional area can then be placed in its own virtual network.

Con la replicación de un controlador de dominio de Active Directory local en la red virtual y la implementación de DNS en la red virtual, puede ayudar a reducir tráfico relacionado con la seguridad y la administración que fluye de la red local a la nube.Replicating an on-premises Active Directory domain controller in the virtual network, and implementing DNS in the virtual network, can help to reduce some of the security-related and administrative traffic flowing from on-premises to the cloud. Para obtener más información, consulte Extensión de Active Directory Domain Services (AD DS) a Azure.For more information, see Extending Active Directory Domain Services (AD DS) to Azure.

Consideraciones sobre disponibilidadAvailability considerations

Si necesita asegurarse de que la red local sigue estando disponible en Azure VPN Gateway, implemente un clúster de conmutación por error para la instancia de VPN Gateway local.If you need to ensure that the on-premises network remains available to the Azure VPN gateway, implement a failover cluster for the on-premises VPN gateway.

Si su organización tiene varios sitios locales, cree conexiones multisitio a una o varias redes virtuales de Azure.If your organization has multiple on-premises sites, create multi-site connections to one or more Azure virtual networks. Este enfoque requiere enrutamiento dinámico (basado en rutas), así que debe asegurarse de que la instancia de VPN Gateway local admite esta característica.This approach requires dynamic (route-based) routing, so make sure that the on-premises VPN gateway supports this feature.

Para obtener más información acerca de los acuerdos de nivel de servicio, consulte Contrato de nivel de servicio para VPN Gateway.For details about service level agreements, see SLA for VPN Gateway.

En Azure Stack, puede expandir las puertas de enlace de VPN para incluir interfaces en varios sellos de Azure Stack e implementaciones de Azure.On Azure Stack, you can expand VPN gateways to include interfaces to multiple Azure Stack stamps and Azure deployments.

Consideraciones sobre DevOpsDevOps considerations

Use el proceso de infraestructura como código (IaC) para implementar la infraestructura.Use the Infrastructure as Code (IaC) process for deploying the infrastructure. En esta arquitectura, hemos usado un conjunto de plantillas personalizadas de bloques de creación de Azure implementadas mediante Azure Portal.In this architecture, we've used a set of Azure Building Blocks custom templates deployed using the Azure portal. Para automatizar la implementación de la infraestructura, puede usar Azure DevOps Services u otras soluciones de CI/CD.To automate infrastructure deployment, you can use Azure DevOps Services or other CI/CD solutions. El proceso de implementación también es idempotente.The deployment process is also idempotent.

Antes de proceder a la implementación de un recurso determinado, es posible que deban existir otros recursos.For a given resource, there can be other resources that must exist before the resource is deployed. Las plantillas de bloques de creación de Azure también son adecuadas para el seguimiento de dependencias, ya que permiten definir las dependencias de los recursos que se implementan en la misma plantilla.Azure Building Blocks templates are also good for dependency tracking because they allow you to define dependencies for resources that are deployed in the same template.

Todos los recursos principales (conjunto de escalado de máquinas virtuales, puerta de enlace VPN, Azure Bastion) se encuentran en la misma red virtual, por lo que están aislados en la misma carga de trabajo básica.All the main resources (Virtual machine scale set, VPN gateway, Azure Bastion) are in the same virtual network so they are isolated in the same basic workload. Así que es más fácil asociar recursos específicos de la carga de trabajo a un equipo para que este pueda administrar todos los aspectos de esos recursos de forma independiente.It's then easier to associate the workload's specific resources to a team, so that the team can independently manage all aspects of those resources. Este aislamiento permite que DevOps realice la integración continua y la entrega continua (CI/CD).This isolation enables DevOps to perform continuous integration and continuous delivery (CI/CD).

SupervisiónMonitoring

Supervise la información de diagnóstico de los dispositivos VPN locales.Monitor diagnostic information from on-premises VPN appliances. Este proceso depende de las características que proporcione el dispositivo VPN.This process depends on the features provided by the VPN appliance. Por ejemplo, si usa el servicio de Enrutamiento y acceso remoto en Windows Server 2012, consulte Registro de RRAS.For example, if you are using the Routing and Remote Access Service on Windows Server 2012, RRAS logging.

Use los diagnósticos de Azure VPN Gateway para capturar información sobre problemas de conectividad.Use Azure VPN gateway diagnostics to capture information about connectivity issues. Estos registros se pueden utilizar para realizar el seguimiento de información, como el origen y los destinos de las solicitudes de conexión, el protocolo que se utilizó y cómo se estableció la conexión (o por qué el intento fue erróneo).These logs can be used to track information such as the source and destinations of connection requests, which protocol was used, and how the connection was established (or why the attempt failed).

Supervise los registros operativos de Azure VPN Gateway mediante los registros de auditoría disponibles en Azure Portal.Monitor the operational logs of the Azure VPN gateway using the audit logs available in the Azure portal. Hay disponibles registros independientes para la puerta de enlace de red local, la puerta de enlace de red de Azure y la conexión.Separate logs are available for the local network gateway, the Azure network gateway, and the connection. Esta información puede utilizarse para realizar un seguimiento de los cambios realizados en la puerta de enlace y puede resultar útil si una puerta de enlace que funcionaba previamente dejó de hacerlo por algún motivo.This information can be used to track any changes made to the gateway, and can be useful if a previously functioning gateway stops working for some reason.

Audit logs in the Azure portal

Captura de pantalla de Azure Portal, que muestra los eventos de registro de auditoría filtrados por fecha.A screenshot of the Azure portal, showing audit log events filtered by date.

Supervise la conectividad y realice un seguimiento de los eventos de error de conectividad.Monitor connectivity, and track connectivity failure events. Puede usar un paquete de supervisión como Nagios para capturar y notificar esta información.You can use a monitoring package such as Nagios to capture and report this information.

Para solucionar problemas de conexión, consulte Solución de problemas de una conexión VPN híbrida.To troubleshoot the connection, see Troubleshoot a hybrid VPN connection.

Si la conectividad de la puerta de enlace desde la red local a Azure está inactiva, puede acceder a las máquinas virtuales de la red virtual de Azure a través de Azure Bastion.If gateway connectivity from your on-premises network to Azure is down, you can still reach the VMs in the Azure virtual network through Azure Bastion.

Consideraciones sobre la seguridadSecurity considerations

Genere una clave compartida diferente para cada instancia de VPN Gateway.Generate a different shared key for each VPN gateway. Use una clave compartida segura para resistir los ataques de fuerza bruta.Use a strong shared key to help resist brute-force attacks.

En el caso de las conexiones Azure Stack, genere una clave compartida diferente para cada túnel VPN.For Azure Stack connections, generate a different shared key for each VPN tunnel. Use una clave compartida segura para resistir los ataques de fuerza bruta.Use a strong shared key to help resist brute-force attacks.

Nota

Actualmente, no se puede usar Azure Key Vault para la compartición de claves previa en Azure VPN Gateway.Currently, you cannot use Azure Key Vault to preshare keys for the Azure VPN gateway.

Asegúrese de que el dispositivo VPN local usa un método de cifrado compatible con Azure VPN Gateway.Ensure that the on-premises VPN appliance uses an encryption method that is compatible with the Azure VPN gateway. Para el enrutamiento basado en directivas, Azure VPN Gateway admite los algoritmos de cifrado AES256, AES128 y 3DES.For policy-based routing, the Azure VPN gateway supports the AES256, AES128, and 3DES encryption algorithms. Las puertas de enlace basadas en rutas admiten AES256 y 3DES.Route-based gateways support AES256 and 3DES.

Si su dispositivo VPN local se encuentra en una red perimetral (DMZ) que tiene un firewall entre la red perimetral e Internet, es posible que deba configurar reglas de firewall adicionales para permitir la conexión VPN de sitio a sitio.If your on-premises VPN appliance is on a perimeter network (DMZ) that has a firewall between the perimeter network and the Internet, you might have to configure additional firewall rules to allow the site-to-site VPN connection.

Si la aplicación en la red virtual envía datos a Internet, considere la posibilidad de implementar la tunelización forzada para enrutar todo el tráfico vinculado a Internet a través de la red local.If the application in the virtual network sends data to the Internet, consider implementing forced tunneling to route all Internet-bound traffic through the on-premises network. Este enfoque le permite auditar las solicitudes salientes que realiza la aplicación desde la infraestructura local.This approach enables you to audit outgoing requests made by the application from the on-premises infrastructure.

Nota

La tunelización forzada puede afectar a la conectividad a los servicios de Azure (por ejemplo, el servicio de almacenamiento) y el administrador de licencias de Windows.Forced tunneling can impact connectivity to Azure services (the Storage Service, for example) and the Windows license manager.

Consideraciones sobre el costoCost considerations

Puede usar la calculadora de precios de Azure para calcular los costos.Use the Azure pricing calculator to estimate costs. Para las consideraciones generales, consulte la sección Costo de Marco de buena arquitectura de Microsoft Azure.For general considerations, see the Cost section in Microsoft Azure Well-Architected Framework.

Los servicios usados en esta arquitectura se cobran de la siguiente manera:The services used in this architecture are charged as follows:

Azure VPN GatewayAzure VPN Gateway

El componente principal de esta arquitectura es el servicio VPN Gateway.The main component of this architecture is the VPN gateway service. Se le aplicará un cargo dependiendo del tiempo de aprovisionamiento y de la disponibilidad de la puerta de enlace.You are charged based on the amount of time that the gateway is provisioned and available.

Todo el tráfico entrante es gratuito, se cobra todo el tráfico saliente.All inbound traffic is free, all outbound traffic is charged. Al tráfico de salida de la VPN se le aplican los costos de ancho de banda de Internet.Internet bandwidth costs are applied to VPN outbound traffic.

Para obtener más información, vea Precios de VPN Gateway.For more information, see VPN Gateway Pricing.

Azure Virtual NetworkAzure Virtual Network

Azure Virtual Network es gratis.Azure Virtual Network is free. A cada suscripción se le permite crear un máximo de 50 redes virtuales en todas las regiones.Every subscription is allowed to create up to 50 virtual networks across all regions.

Todo el tráfico que produce dentro de los límites de una red virtual es gratis.All traffic that occurs within the boundaries of a virtual network is free. Por consiguiente, la comunicación entre dos máquinas virtuales de la misma red virtual es gratis.So, communication between two virtual machines in the same virtual network is free.

Azure BastionAzure Bastion

Azure Bastion se conecta de forma segura a la máquina virtual en la red virtual a través de RDP y SSH sin necesidad de configurar una dirección IP pública en la máquina virtual.Azure Bastion securely connects to your virtual machine in the virtual network over RDP and SSH without having the need to configure a public IP on the virtual machine. Necesitará Bastion en cada red virtual que contenga máquinas virtuales a las que desee conectarse.You will need Bastion in every virtual network that contains virtual machines that you want to connect to. Esta solución es más económica y segura que el uso de Jumpbox.This solution is more economical and secure than using jump boxes.

Para ver ejemplos, consulte Precios de Azure Bastion.For examples, see Azure Bastion Pricing.

Máquina virtual y equilibradores de carga internosVirtual machine and internal load balancers

En esta arquitectura, los equilibradores de carga internos se usan para equilibrar la carga del tráfico dentro de una red virtual.In this architecture, internal load balancers are used to load balance traffic inside a virtual network. El equilibrio de carga básico entre máquinas virtuales que residen en la misma red virtual es gratuito.Basic load balancing between virtual machines that reside in the same virtual network is free.

Los conjuntos de escalado de máquinas virtuales están disponibles en todos los tamaños de máquina virtual con Linux y Windows.Virtual machine scale sets are available on all Linux and windows VM sizes. Solo se le cobrará por las máquinas virtuales de Azure que implemente y por los recursos de infraestructura subyacente que haya consumido, como el almacenamiento y las redes.You are only charged for the Azure VMs you deploy and underlying infrastructure resources consumed such as storage and networking. No hay cargos incrementales por el servicio de conjuntos de escalado de máquinas virtuales.There are no incremental charges for the virtual machine scale sets service.

Para obtener más información, consulte Precios de máquinas virtuales de Azure.For more information, see Azure VM pricing.

Implementación de la soluciónDeploy the solution

Para implementar esta arquitectura de referencia, consulte el Léame de GitHub.To deploy this reference architecture, see the GitHub readme.

Pasos siguientesNext steps

Aunque se pueden usar VPN para conectar redes virtuales en Azure, no siempre es la mejor opción.Although VPNs can be used to connect virtual networks within Azure, it's not always the best choice. Para más información, consulte Elección entre el emparejamiento de red virtual y las puertas de enlace de VPN en Azure.For more information, see Choose between virtual network peering and VPN gateways in Azure.