Emparejamiento de redes virtuales de AzureVirtual network peering

El emparejamiento de redes virtuales permite conectar sin problemas redes virtuales de Azure.Virtual network peering enables you to seamlessly connect Azure virtual networks. Una vez emparejadas, a efectos de conectividad las redes virtuales aparecen como una sola.Once peered, the virtual networks appear as one, for connectivity purposes. El tráfico entre las máquinas virtuales de las redes virtuales emparejadas se enruta a través de la infraestructura de la red troncal de Microsoft, de forma muy parecida a como se enruta el tráfico entre máquinas virtuales de la misma red virtual a través únicamente de direcciones IP privadas.The traffic between virtual machines in the peered virtual networks is routed through the Microsoft backbone infrastructure, much like traffic is routed between virtual machines in the same virtual network, through private IP addresses only. Azure admite:Azure supports:

  • Emparejamiento de redes virtuales: conexión de redes virtuales dentro de la misma región de AzureVNet peering - connecting VNets within the same Azure region
  • Emparejamiento de redes virtuales globales: conexión de redes virtuales por regiones de AzureGlobal VNet peering - connecting VNets across Azure regions

Las ventajas del uso del emparejamiento de redes virtuales, ya sean locales o globales, son las siguientes:The benefits of using virtual network peering, whether local or global, include:

  • El tráfico de red entre redes virtuales emparejadas es privado.Network traffic between peered virtual networks is private. El tráfico entre las redes virtuales se mantiene en la red troncal de Microsoft.Traffic between the virtual networks is kept on the Microsoft backbone network. No se requieren ninguna red pública de Internet, puertas de enlace o cifrado en la comunicación entre las redes virtuales.No public Internet, gateways, or encryption is required in the communication between the virtual networks.
  • Baja latencia, conexión de gran ancho de banda entre los recursos de redes virtuales diferentes.A low-latency, high-bandwidth connection between resources in different virtual networks.
  • La capacidad para que los recursos de una red virtual se comunique con los recursos de otra red virtual diferente, una vez que las redes virtuales estén emparejadas.The ability for resources in one virtual network to communicate with resources in a different virtual network, once the virtual networks are peered.
  • La capacidad para transferir datos a través de las suscripciones de Azure, los modelos de implementación y entre las distintas regiones de Azure.The ability to transfer data across Azure subscriptions, deployment models, and across Azure regions.
  • Posibilidad de emparejar redes virtuales creadas mediante Azure Resource Manager o de emparejar una red virtual creada mediante Resource Manager con una red virtual creada mediante el modelo de implementación clásica.The ability to peer virtual networks created through the Azure Resource Manager or to peer one virtual network created through Resource Manager to a virtual network created through the classic deployment model. Para más información sobre los modelos de implementación de Azure, consulte Descripción de los modelos de implementación de Azure.To learn more about Azure deployment models, see Understand Azure deployment models.
  • No tienen tiempo de inactividad ni los recursos de la red virtual al crear el emparejamiento, o después.No downtime to resources in either virtual network when creating the peering, or after the peering is created.

ConectividadConnectivity

Después de que se hayan emparejado las redes virtuales, los recursos de cualquiera de las máquinas virtuales se pueden conectar directamente con los recursos de la otra red virtual emparejada.After virtual networks are peered, resources in either virtual network can directly connect with resources in the peered virtual network.

La latencia de red entre las máquinas virtuales de redes virtuales emparejadas en la misma región es la misma que la de una única red virtual.The network latency between virtual machines in peered virtual networks in the same region is the same as the latency within a single virtual network. El rendimiento de la red se basa en el ancho de banda que se permite para la máquina virtual, en proporción a su tamaño.The network throughput is based on the bandwidth that's allowed for the virtual machine, proportionate to its size. No hay restricciones adicionales con respecto al ancho de banda en el emparejamiento.There isn't any additional restriction on bandwidth within the peering.

El tráfico entre las máquinas virtuales en las redes virtuales emparejadas se enruta directamente a través de la infraestructura de red troncal de Microsoft, no de una puerta de enlace ni de una red Internet pública.The traffic between virtual machines in peered virtual networks is routed directly through the Microsoft backbone infrastructure, not through a gateway or over the public Internet.

Si se desea, se pueden aplicar grupos de seguridad de red en cualquier red virtual para bloquear el acceso a otras redes o subredes virtuales.Network security groups can be applied in either virtual network to block access to other virtual networks or subnets, if desired. Al configurar el emparejamiento de red virtual, puede abrir o cerrar las reglas del grupo de seguridad de red entre las redes virtuales.When configuring virtual network peering, you can either open or close the network security group rules between the virtual networks. Si abre la conectividad completa entre las redes virtuales emparejadas (que es la opción predeterminada), puede aplicar grupos de seguridad de red a subredes o máquinas virtuales concretas para bloquear o denegar acceso específico.If you open full connectivity between peered virtual networks (which is the default option), you can apply network security groups to specific subnets or virtual machines to block or deny specific access. Para más información acerca de los grupos de seguridad de red, consulte Filtrado del tráfico de red con grupos de seguridad de red.To learn more about network security groups, see Network security groups overview.

Encadenamiento de serviciosService chaining

Puede configurar las rutas definidas por el usuario que apuntan a máquinas virtuales de redes virtuales emparejadas como la dirección IP del próximo salto, o a puertas de enlace de red virtual, para permitir el encadenamiento de servicios.You can configure user-defined routes that point to virtual machines in peered virtual networks as the next hop IP address, or to virtual network gateways, to enable service chaining. El encadenamiento de servicios permite dirigir el tráfico desde una red virtual hasta una aplicación virtual, o una puerta de enlace de red virtual, en una red virtual emparejada mediante rutas definidas por el usuario.Service chaining enables you to direct traffic from one virtual network to a virtual appliance, or virtual network gateway, in a peered virtual network, through user-defined routes.

Puede implementar redes del tipo de concentrador y radio, en los que el concentrador puede hospedar componentes de la infraestructura, como una aplicación virtual de red o puerta de enlace de VPN.You can deploy hub-and-spoke networks, where the hub virtual network can host infrastructure components such as a network virtual appliance or VPN gateway. Todas las redes virtuales de radio se pueden emparejar con la red virtual de concentrador.All the spoke virtual networks can then peer with the hub virtual network. El tráfico puede fluir por las aplicaciones virtuales de red o puertas de enlace de VPN que se ejecutan en la red virtual de concentrador.Traffic can flow through network virtual appliances or VPN gateways in the hub virtual network.

El emparejamiento de red virtual permite que el próximo salto de una ruta definida por el usuario sea la dirección IP de una máquina virtual de la red virtual emparejada o en una puerta de enlace de VPN.Virtual network peering enables the next hop in a user-defined route to be the IP address of a virtual machine in the peered virtual network, or a VPN gateway. Sin embargo, no puede enrutar entre redes virtuales con una ruta definida por el usuario que especifique una puerta de enlace ExpressRoute como el tipo de salto siguiente.You cannot however, route between virtual networks with a user-defined route specifying an ExpressRoute gateway as the next hop type. Para obtener más información sobre las rutas definidas por el usuario, consulte Introducción a las rutas definidas por el usuario.To learn more about user-defined routes, see User-defined routes overview. Para aprender a crear una topología de red en estrella tipo hub-and-spoke, consulte Implement a hub-spoke network topology in Azure (Implementación de una topología en estrella tipo hub-and-spoke en Azure).To learn how to create a hub and spoke network topology, see hub and spoke network topology.

Puertas de enlace y conectividad localGateways and on-premises connectivity

Todas las redes virtuales, con independencia de que estén emparejadas con otra, pueden tener su propia puerta de enlace y usarla para conectarse a una red local.Each virtual network, regardless of whether it is peered with another virtual network, can still have its own gateway and use it to connect to an on-premises network. También puede configurar conexiones de red virtual a red virtual mediante puertas de enlace, incluso aunque las redes virtuales estén emparejadas.You can also configure virtual network-to-virtual network connections by using gateways, even though the virtual networks are peered.

Cuando están configuradas las dos opciones de interconectividad de redes virtual, el tráfico entre las redes virtuales se propaga a través de la configuración del emparejamiento (es decir, a través de la red troncal de Azure).When both options for virtual network interconnectivity are configured, the traffic between the virtual networks flows through the peering configuration (that is, through the Azure backbone).

Cuando las redes virtuales están emparejadas, también puede configurar la puerta de enlace de la red virtual emparejada como punto de tránsito a una red local.When virtual networks are peered, you can also configure the gateway in the peered virtual network as a transit point to an on-premises network. En este caso, la red virtual que usa una puerta de enlace remota no puede tener su propia puerta de enlace.In this case, the virtual network that is using a remote gateway cannot have its own gateway. Una red virtual no puede tener más de una puerta de enlace.A virtual network can have only one gateway. La puerta de enlace puede ser local o remota (en la red virtual emparejada), como se muestra en la siguiente imagen:The gateway can be either a local or remote gateway (in the peered virtual network), as shown in the following picture:

tránsito de emparejamiento de redes virtuales

Se admite el tránsito de puerta de enlace tanto para el emparejamiento de VNet como para el emparejamiento de VNet global.Gateway transit is supported for both VNet Peering and Global VNet Peering. El tránsito de puerta de enlace entre las redes virtuales creadas mediante diferentes modelos de implementación (Resource Manager y clásico) solo se admite si la puerta de enlace está en la red virtual (Resource Manager).Gateway transit between virtual networks created through different deployment models (Resource Manager and classic) is supported only if the gateway is in the virtual network (Resource Manager). Para más información sobre el uso de una puerta de enlace de tránsito, consulte Configure a VPN gateway for transit in a virtual network peering (Configuración de una puerta de enlace de VPN de tránsito en un emparejamiento de red virtual).To learn more about using a gateway for transit, see Configure a VPN gateway for transit in a virtual network peering.

Cuando las redes virtuales que comparten una única conexión de Azure ExpressRoute están emparejadas, el tráfico entre ellas atraviesa la relación de emparejamiento (es decir, la red troncal de Azure).When the virtual networks that are sharing a single Azure ExpressRoute connection are peered, the traffic between them goes through the peering relationship (that is, through the Azure backbone network). Puede seguir usando las puertas de enlace locales de cada red virtual para conectarse al circuito local.You can still use local gateways in each virtual network to connect to the on-premises circuit. Como alternativa, puede utilizar una puerta de enlace compartida y configurar el tránsito para la conectividad local.Alternatively, you can use a shared gateway and configure transit for on-premises connectivity.

Solución de problemasTroubleshoot

Para confirmar un emparejamiento de redes virtuales puede comprobar rutas efectivas para una interfaz de red en cualquier subred de una red virtual.To confirm a virtual network peering, you can check effective routes for a network interface in any subnet in a virtual network. Si el emparejamiento de redes virtuales existe, todas las subredes de la red virtual tienen rutas con próximo salto del tipo emparejamiento de VNet, para cada espacio de direcciones en cada red virtual emparejada.If a virtual network peering exists, all subnets within the virtual network have routes with next hop type VNet peering, for each address space in each peered virtual network.

También puede solucionar problemas con la conectividad de una máquina virtual en una red virtual emparejada con la comprobación de conectividad de Network Watcher.You can also troubleshoot connectivity to a virtual machine in a peered virtual network using Network Watcher's connectivity check. La comprobación de conectividad le permite ver cómo se enruta el tráfico desde la interfaz de red de una máquina virtual de origen a la interfaz de red de una máquina virtual de destino.Connectivity check lets you see how traffic is routed from a source virtual machine's network interface to a destination virtual machine's network interface.

También puede probar el Solucionador de los problemas de emparejamiento de redes virtuales.You can also try the Troubleshooter for virtual network peering issues.

Requisitos y restriccionesRequirements and constraints

Cuando las redes virtuales están emparejadas globalmente, se aplican las siguientes restricciones:The following constraints apply only when virtual networks are globally peered:

  • Los recursos de una red virtual no pueden comunicarse con la dirección IP de front-end de un equilibrador de carga interno básico en una red virtual emparejada globalmente.Resources in one virtual network cannot communicate with the front-end IP address of a Basic internal load balancer in a globally peered virtual network. La compatibilidad con el equilibrador de carga básico solo existe dentro de la misma región.Support for Basic Load Balancer only exists within the same region. Hay compatibilidad con Standard Load Balancer para Emparejamiento de VNet y Emparejamiento de VNet Global.Support for Standard Load Balancer exists for both, VNet Peering and Global VNet Peering. Los servicios que usan un equilibrador de carga básico que no funcionarán a través de Emparejamiento de VNet global se documentan aquí.Services that use a Basic load balancer which will not work over Global VNet Peering are documented here.

Para más información acerca de los requisitos y restricciones, consulte Requisitos y restricciones del emparejamiento de redes virtuales.To learn more about requirements and constraints, see Virtual network peering requirements and constraints. Para más información acerca de los límites para el número de emparejamientos que puede crear para una red virtual, consulte Límites de red de Azure.To learn about the limits for the number of peerings you can create for a virtual network, see Azure networking limits.

PermisosPermissions

Para más información acerca de los permisos necesarios para crear un emparejamiento de red virtual, consulte Permisos de emparejamiento de red virtual.To learn about permissions required to create a virtual network peering, see Virtual network peering permissions.

PreciosPricing

Hay un cargo nominal para el tráfico de entrada y salida que utiliza una conexión de emparejamiento de red virtual.There is a nominal charge for ingress and egress traffic that utilizes a virtual network peering connection. Para más información acerca del emparejamiento de VNet y los precios del emparejamiento de VNet global, consulte la página de precios.For more information on VNet Peering and Global VNet peering pricing, see the pricing page.

El tránsito de puerta de enlace es una propiedad del emparejamiento que permite que una red virtual utilice una puerta de enlace de VPN/ExpressRoute de una red virtual emparejada para la conectividad entre entornos locales o entre redes virtuales.Gateway transit is a peering property that enables a virtual network to utilize a VPN/ExpressRoute gateway in a peered virtual network for cross premises or VNet-to-VNet connectivity. El tráfico que pasa por una puerta de enlace remota en este escenario está sujeto a cargos de la puerta de enlace de VPN o cargos de la puerta de enlace de ExpressRoute, pero no acarrea los cargos de emparejamiento de VNet.Traffic passing through a remote gateway in this scenario is subject to VPN gateway charges or ExpressRoute gateway charges and does not incur VNet peering charges. Por ejemplo, si VNetA tiene una puerta de enlace de VPN para la conectividad local y VNetB está emparejada a VNetA con las propiedades adecuadas configuradas, el tráfico desde VNetB al entorno local se cobra solo de salida, en función de los precios de la puerta de enlace de VPN o ExpressRoute.For example, If VNetA has a VPN gateway for on-premises connectivity and VNetB is peered to VNetA with appropriate properties configured, traffic from VNetB to on-premises is only charged egress per VPN gateway pricing or ExpressRoute pricing. No se aplican cargos de emparejamiento de VNet.VNet peering charges do not apply. Aprenda a configurar el tránsito de la puerta de enlace de VPN para el emparejamiento de red virtual.Learn how to configure VPN gateway transit for virtual network peering.

Pasos siguientesNext steps