Preguntas más frecuentes (P+F) acerca de Azure Virtual NetworkAzure Virtual Network frequently asked questions (FAQ)

Conceptos básicos de Virtual NetworkVirtual Network basics

¿Qué es Azure Virtual Network?What is an Azure Virtual Network (VNet)?

Azure Virtual Network es una representación de su propia red en la nube.An Azure Virtual Network (VNet) is a representation of your own network in the cloud. Es un aislamiento lógico de la nube de Azure dedicada a su suscripción.It is a logical isolation of the Azure cloud dedicated to your subscription. Puede usar las redes virtuales para aprovisionar y administrar redes privadas virtuales (VPN) en Azure y, opcionalmente, vincular las redes virtuales con otras redes virtuales en Azure o con sus infraestructura de TI local para crear soluciones híbridas o entre entornos.You can use VNets to provision and manage virtual private networks (VPNs) in Azure and, optionally, link the VNets with other VNets in Azure, or with your on-premises IT infrastructure to create hybrid or cross-premises solutions. Cada red virtual que se crea tiene su propio bloque CIDR y se puede vincular a otras redes locales y redes virtuales, siempre que los bloques CIDR no se superpongan.Each VNet you create has its own CIDR block and can be linked to other VNets and on-premises networks as long as the CIDR blocks do not overlap. También tiene el control de la configuración del servidor DNS para redes virtuales y de la segmentación de la red virtual en subredes.You also have control of DNS server settings for VNets, and segmentation of the VNet into subnets.

Use las redes virtuales para:Use VNets to:

  • Crear una red virtual dedicada solo en la nube privada.Create a dedicated private cloud-only VNet. A veces no necesita una configuración entre entornos para su solución.Sometimes you don't require a cross-premises configuration for your solution. Cuando se crea una red virtual, los servicios y las máquinas virtuales de la red virtual pueden comunicarse de forma directa y segura entre ellas en la nube.When you create a VNet, your services and VMs within your VNet can communicate directly and securely with each other in the cloud. Sin embargo, puede configurar conexiones de punto de conexión para las máquinas virtuales y los servicios que requieren la comunicación a Internet, como parte de la solución.You can still configure endpoint connections for the VMs and services that require Internet communication, as part of your solution.

  • Extender su centro de datos de forma segura.Securely extend your data center. Con las redes virtuales, puede crear VPN de sitio a sitio (S2S) tradicionales para ampliar la capacidad del centro de datos de forma segura.With VNets, you can build traditional site-to-site (S2S) VPNs to securely scale your datacenter capacity. Las redes virtuales de sitio a sitio (S2S) usan IPSEC para proporcionar una conexión segura entre la puerta de enlace VPN corporativa y Azure.S2S VPNs use IPSEC to provide a secure connection between your corporate VPN gateway and Azure.

  • Habilitar escenarios de nube híbrida.Enable hybrid cloud scenarios. Las redes virtuales proporcionan la flexibilidad para admitir una variedad de escenarios de nube híbrida.VNets give you the flexibility to support a range of hybrid cloud scenarios. Puede conectar de forma segura aplicaciones basadas en la nube a cualquier tipo de sistema local como grandes sistemas y sistemas Unix.You can securely connect cloud-based applications to any type of on-premises system such as mainframes and Unix systems.

¿Cómo empiezo?How do I get started?

Para comenzar, consulte Documentación de Virtual Network.Visit the Virtual network documentation to get started. En este artículo encontrará información general y de implementación de todas las características de una red virtual.This content provides overview and deployment information for all of the VNet features.

¿Puedo usar redes virtuales sin conectividad entre entornos?Can I use VNets without cross-premises connectivity?

Sí.Yes. Puede usar una red virtual sin necesidad de conectarse a su entorno local.You can use a VNet without connecting it to your premises. Por ejemplo, podría ejecutar controladores de dominio de Active Directory para Microsoft Windows Server y granjas de servidores de SharePoint únicamente en una red virtual de Azure.For example, you could run Microsoft Windows Server Active Directory domain controllers and SharePoint farms solely in an Azure VNet.

¿Se puede realizar la optimización de una WAN entre redes virtuales o entre una red virtual y un centro de datos local?Can I perform WAN optimization between VNets or a VNet and my on-premises data center?

Sí.Yes. A través de Azure Marketplace es posible implementar una aplicación virtual de red de optimización de la WAN de varios proveedores.You can deploy a WAN optimization network virtual appliance from several vendors through the Azure Marketplace.

ConfiguraciónConfiguration

¿Qué herramientas debo usar para crear una red virtual?What tools do I use to create a VNet?

Para crear o configurar una red virtual se pueden usar las siguientes herramientas:You can use the following tools to create or configure a VNet:

¿Qué intervalos de direcciones puedo usar en mis redes virtuales?What address ranges can I use in my VNets?

Cualquier intervalo de direcciones IP definido en RFC 1918.Any IP address range defined in RFC 1918. Por ejemplo, 10.0.0.0/16.For example, 10.0.0.0/16. No se pueden agregar los siguientes rangos de direcciones:You cannot add the following address ranges:

  • 224.0.0.0/4 (multidifusión)224.0.0.0/4 (Multicast)
  • 255.255.255.255/32 (difusión)255.255.255.255/32 (Broadcast)
  • 127.0.0.0/8 (bucle invertido)127.0.0.0/8 (Loopback)
  • 169.254.0.0/16 (local de vínculo)169.254.0.0/16 (Link-local)
  • 168.63.129.16/32 (DNS interno)168.63.129.16/32 (Internal DNS)

¿Puedo tener direcciones IP públicas en mis redes virtuales?Can I have public IP addresses in my VNets?

Sí.Yes. Para más información sobre los intervalos de direcciones IP públicas, consulte Creación de una red virtual.For more information about public IP address ranges, see Create a virtual network. Las direcciones IP públicas no son accesibles directamente desde Internet.Public IP addresses are not directly accessible from the internet.

¿Existe algún límite en el número de subredes de que puede tener una red virtual?Is there a limit to the number of subnets in my VNet?

Sí.Yes. Para más información, consulte los límites de Azure.See Azure limits for details. Los espacios de direcciones de las subredes no pueden superponerse entre sí.Subnet address spaces cannot overlap one another.

¿Hay alguna restricción en el uso de direcciones IP dentro de estas subredes?Are there any restrictions on using IP addresses within these subnets?

Sí.Yes. Azure reserva 5 direcciones IP dentro de cada subred.Azure reserves 5 IP addresses within each subnet. Son x.x.x.0-x.x.x.3 y la última dirección de la subred.These are x.x.x.0-x.x.x.3 and the last address of the subnet. x.x.x.1-x.x.x.3 está reservada en cada subred para los servicios de Azure.x.x.x.1-x.x.x.3 is reserved in each subnet for Azure services.

  • x.x.x.0: Dirección de redx.x.x.0: Network address
  • x.x.x.1: Reservado por Azure para la puerta de enlace predeterminadax.x.x.1: Reserved by Azure for the default gateway
  • x.x.x.2, x.x.x.3: Reservado por Azure para asignar las direcciones IP de Azure DNS al espacio de red virtualx.x.x.2, x.x.x.3: Reserved by Azure to map the Azure DNS IPs to the VNet space
  • x.x.x.255: Dirección de difusión de redx.x.x.255: Network broadcast address

¿Qué tamaños mínimo y máximo pueden tener las redes virtuales y las subredes?How small and how large can VNets and subnets be?

La subred IPv4 más pequeña admitida es /29 y la más grande /8 (mediante definiciones de subred CIDR).The smallest supported IPv4 subnet is /29, and the largest is /8 (using CIDR subnet definitions). Las subredes IPv6 deben tener un tamaño exactamente de /64.IPv6 subnets must be exactly /64 in size.

¿Puedo llevar mis VLAN a Azure mediante redes virtuales?Can I bring my VLANs to Azure using VNets?

No.No. Las redes virtuales son superposiciones de nivel 3.VNets are Layer-3 overlays. Azure no admite ninguna semántica de nivel 2.Azure does not support any Layer-2 semantics.

¿Puedo especificar directivas de enrutamiento personalizadas en mis redes virtuales y subredes?Can I specify custom routing policies on my VNets and subnets?

Sí.Yes. Puede crear una tabla de rutas y asociarla a una subred.You can create a route table and associate it to a subnet. Para más información sobre el enrutamiento en Azure, consulte Introducción al enrutamiento.For more information about routing in Azure, see Routing overview.

¿Las redes virtuales admiten la multidifusión o la difusión?Do VNets support multicast or broadcast?

No.No. No se admite difusión ni multidifusión.Multicast and broadcast are not supported.

¿Qué protocolos puedo usar en las redes virtuales?What protocols can I use within VNets?

En las redes virtuales se pueden usar los protocolos TCP, UDP e ICMP TCP/IP.You can use TCP, UDP, and ICMP TCP/IP protocols within VNets. La unidifusión se admite dentro de las redes virtuales, a excepción del Protocolo de configuración dinámica de host (DCHP) a través de unidifusión (puerto de origen UDP/68 / puerto de destino UDP/67).Unicast is supported within VNets, with the exception of Dynamic Host Configuration Protocol (DHCP) via Unicast (source port UDP/68 / destination port UDP/67). La multidifusión, la difusión, los paquetes encapsulados IP en IP y los paquetes de encapsulación de enrutamiento genérico (GRE) se bloquean en las subredes.Multicast, broadcast, IP-in-IP encapsulated packets, and Generic Routing Encapsulation (GRE) packets are blocked within VNets.

¿Puedo hacer ping a mis enrutadores predeterminados dentro de una red virtual?Can I ping my default routers within a VNet?

No.No.

¿Puedo usar tracert para diagnosticar la conectividad?Can I use tracert to diagnose connectivity?

No.No.

¿Puedo agregar subredes una vez creada la red virtual?Can I add subnets after the VNet is created?

Sí.Yes. Se pueden agregar subredes a redes virtuales en cualquier momento siempre y cuando el intervalo de direcciones de subred no sea parte de otra subred y se haya dejado espacio disponible en el intervalo de direcciones de la red virtual.Subnets can be added to VNets at any time as long as the subnet address range is not part of another subnet and there is available space left in the virtual network's address range.

¿Puedo modificar el tamaño de la subred después de crearla?Can I modify the size of my subnet after I create it?

Sí.Yes. Puede agregar, quitar, expandir o contraer una subred si no hay máquinas virtuales ni servicios implementados en ella.You can add, remove, expand, or shrink a subnet if there are no VMs or services deployed within it.

¿Puedo modificar subredes después de crearlas?Can I modify subnets after I created them?

Sí.Yes. Puede agregar, quitar y modificar los bloques CIDR usados por una red virtual.You can add, remove, and modify the CIDR blocks used by a VNet.

¿Puedo conectarme a Internet si ejecuto mis servicios en una red virtual?If I am running my services in a VNet, can I connect to the internet?

Sí.Yes. Todos los servicios implementados dentro de una red virtual pueden establecer una conexión a Internet saliente.All services deployed within a VNet can connect outbound to the internet. Para más información sobre las conexiones a Internet salientes en Azure, consulte Conexiones salientes en Azure.To learn more about outbound internet connections in Azure, see Outbound connections. Si quiere establecer una conexión entrante a un recurso implementado mediante Resource Manager, el recurso debe tener asignada una dirección IP pública.If you want to connect inbound to a resource deployed through Resource Manager, the resource must have a public IP address assigned to it. Para más información sobre las direcciones IP públicas, consulte Direcciones IP publicas.To learn more about public IP addresses, see Public IP addresses. Cada servicio en la nube de Azure implementado en Azure tiene asignada una dirección IP virtual direccionable de forma pública.Every Azure Cloud Service deployed in Azure has a publicly addressable VIP assigned to it. Para permitir que estos servicios acepten conexiones de Internet, se definen puntos de conexión de entrada para roles y puntos de conexión de PaaS en las máquinas virtuales.You define input endpoints for PaaS roles and endpoints for virtual machines to enable these services to accept connections from the internet.

¿Las redes virtuales admiten IPv6?Do VNets support IPv6?

Sí, las redes virtuales pueden ser solo IPv4 o de pila dual (IPv4 + IPv6).Yes, VNets can be IPv4-only or dual stack (IPv4+IPv6). Para obtener más información, consulte Información general de IPv6 para Azure Virtual Networks.For details, see Overview of IPv6 for Azure Virtual Networks.

¿Puede una red virtual abarcar varias regiones?Can a VNet span regions?

No.No. Una red virtual está limitada a una única región.A VNet is limited to a single region. Una red virtual, sin embargo, abarca zonas de disponibilidad.A virtual network does, however, span availability zones. Para más información sobre las zonas de disponibilidad, consulte Introducción a las zonas de disponibilidad.To learn more about availability zones, see Availability zones overview. Puede conectar redes virtuales de diferentes regiones con el emparejamiento de redes virtuales.You can connect virtual networks in different regions with virtual network peering. Para más información, consulte Emparejamiento de redes virtuales.For details, see Virtual network peering overview

¿Puedo conectar una red virtual a otra red virtual en Azure?Can I connect a VNet to another VNet in Azure?

Sí.Yes. Puede conectar una red virtual a otra mediante los métodos siguientes:You can connect one VNet to another VNet using either:

resolución de nombres DNSName Resolution (DNS)

¿Qué opciones de DNS hay para las redes virtuales?What are my DNS options for VNets?

Use la tabla de decisiones de la página Resolución de nombres para las máquinas virtuales e instancias de rol ; le guiará por todas las opciones de DNS disponibles.Use the decision table on the Name Resolution for VMs and Role Instances page to guide you through all the DNS options available.

¿Puedo especificar servidores DNS para una red virtual?Can I specify DNS servers for a VNet?

Sí.Yes. Puede especificar direcciones IP de servidor DNS en la configuración de la red virtual.You can specify DNS server IP addresses in the VNet settings. La configuración se aplica al servidor DNS predeterminado en todas las máquinas virtuales de la red virtual.The setting is applied as the default DNS server(s) for all VMs in the VNet.

¿Cuántos servidores DNS puedo especificar?How many DNS servers can I specify?

Consulte los límites de Azure.Reference Azure limits.

¿Puedo modificar mis servidores DNS después de haber creado la red?Can I modify my DNS servers after I have created the network?

Sí.Yes. Puede cambiar la lista de servidores DNS de la red virtual en cualquier momento.You can change the DNS server list for your VNet at any time. Si cambia la lista de servidores DNS, debe realizar una renovación de la concesión DHCP en todas las máquinas virtuales afectadas de la red virtual para que la nueva configuración de DNS surta efecto.If you change your DNS server list, you need to perform a DHCP lease renewal on all affected VMs in the VNet, for the new DNS settings to take effect. En el caso de las máquinas virtuales que ejecutan el sistema operativo Windows, puede hacerlo escribiendo ipconfig /renew directamente en la máquina virtual.For VMs running Windows OS you can do this by typing ipconfig /renew directly on the VM. Para otros tipos de sistema operativo, consulte la documentación respectiva sobre la renovación de las concesiones DHCP.For other OS types, refer to the DHCP lease renewal documentation for the specific OS type.

¿Qué es un DNS proporcionado por Azure? ¿Funciona con las redes virtuales?What is Azure-provided DNS and does it work with VNets?

Un DNS proporcionado por Azure es un servicio DNS multiempresa ofrecido por Microsoft.Azure-provided DNS is a multi-tenant DNS service offered by Microsoft. Azure registra en este servicio todas las máquinas virtuales y las instancias de rol de servicio en la nube.Azure registers all of your VMs and cloud service role instances in this service. Este servicio proporciona la resolución de nombres mediante nombre de host para las máquinas virtuales y las instancias de rol contenidas en el mismo servicio en la nube y mediante FQDN para las máquinas virtuales y las instancias de rol en la misma red virtual.This service provides name resolution by hostname for VMs and role instances contained within the same cloud service, and by FQDN for VMs and role instances in the same VNet. Para más información sobre DNS, consulte Resolución de nombres para las máquinas virtuales y las instancias de rol de Cloud Services.To learn more about DNS, see Name Resolution for VMs and Cloud Services role instances.

Existe una limitación de los 100 primeros servicios en la nube en una red virtual para la resolución de nombres entre inquilinos mediante DNS proporcionado por Azure.There is a limitation to the first 100 cloud services in a VNet for cross-tenant name resolution using Azure-provided DNS. Si usa su propio servidor DNS, esta limitación no es aplicable.If you are using your own DNS server, this limitation does not apply.

¿Puedo invalidar mi configuración de DNS por máquina virtual o servicio en la nube?Can I override my DNS settings on a per-VM or cloud service basis?

Sí.Yes. Puede configurar los servidores DNS por máquina virtual o servicio en la nube para invalidar la configuración de red predeterminada.You can set DNS servers per VM or cloud service to override the default network settings. Sin embargo, se recomienda usar DNS en toda la red siempre que sea posible.However, it's recommended that you use network-wide DNS as much as possible.

¿Puedo usar mi propio sufijo DNS?Can I bring my own DNS suffix?

No.No. No puede especificar un sufijo DNS personalizado para sus redes virtuales.You cannot specify a custom DNS suffix for your VNets.

Conexión de máquinas virtualesConnecting virtual machines

¿Puedo implementar máquinas virtuales en una red virtual?Can I deploy VMs to a VNet?

Sí.Yes. Todas las interfaces de red (NIC) conectadas a una máquina virtual implementada a través del modelo de implementación de Resource Manager deben estar conectadas a una red virtual.All network interfaces (NIC) attached to a VM deployed through the Resource Manager deployment model must be connected to a VNet. Las máquinas virtuales implementadas a través del modelo de implementación clásica también se pueden conectar a una red virtual.VMs deployed through the classic deployment model can optionally be connected to a VNet.

¿Cuáles son los distintos tipos de direcciones IP que se pueden asignar a máquinas virtuales?What are the different types of IP addresses I can assign to VMs?

  • Privada: se asigna a cada uno de los NIC de todas las máquinas virtuales.Private: Assigned to each NIC within each VM. Para asignar la dirección se puede usar el método estático o el dinámico.The address is assigned using either the static or dynamic method. La direcciones IP privadas se asignan del intervalo especificado en la configuración de subred de la red virtual.Private IP addresses are assigned from the range that you specified in the subnet settings of your VNet. A los recursos implementados a través del modelo de implementación clásica se les asignan direcciones IP privadas, aunque no estén conectadas a una red virtual.Resources deployed through the classic deployment model are assigned private IP addresses, even if they're not connected to a VNet. El comportamiento del método de asignación es diferente en función de si se ha implementado un recurso con el modelo de implementación clásica o de Resource Manager:The behavior of the allocation method is different depending on whether a resource was deployed with the Resource Manager or classic deployment model:

    • Resource Manager: una dirección IP privada asignada con el método dinámico o estático permanece asignada a una máquina virtual (Resource Manager) hasta que se elimina el recurso.Resource Manager: A private IP address assigned with the dynamic or static method remains assigned to a virtual machine (Resource Manager) until the resource is deleted. La diferencia es que cuando se usa el método estático el usuario selecciona la dirección que se asigna y cuando se usa el dinámico es Azure quien la elige.The difference is that you select the address to assign when using static, and Azure chooses when using dynamic.
    • Clásica: las direcciones IP privadas asignadas con el método dinámico pueden cambiar cuando se reinicia una máquina virtual (clásica) después de haber estado en un estado detenido (desasignada).Classic: A private IP address assigned with the dynamic method may change when a virtual machine (classic) VM is restarted after having been in the stopped (deallocated) state. Si necesita asegurarse de que la dirección IP privada de un recurso implementado mediante el modelo de implementación clásica no cambie nunca, asigne una dirección IP privada con el método estático.If you need to ensure that the private IP address for a resource deployed through the classic deployment model never changes, assign a private IP address with the static method.
  • Pública: opcionalmente, se puede asignar a NIC conectadas a máquinas virtuales implementadas a través del modelo de implementación de Azure Resource Manager.Public: Optionally assigned to NICs attached to VMs deployed through the Azure Resource Manager deployment model. La dirección se puede asignar con el método de asignación estática o el de asignación dinámica.The address can be assigned with the static or dynamic allocation method. Todas las máquinas virtuales y las instancias de rol de Cloud Services implementadas a través del modelo de implementación clásica existen en un servicio en la nube, al que se asigna una dirección IP virtual (VIP) pública y dinámica.All VMs and Cloud Services role instances deployed through the classic deployment model exist within a cloud service, which is assigned a dynamic, public virtual IP (VIP) address. Si se desea, una dirección IP pública estática, que se denomina dirección IP reservada, puede asignarse como si fuera una VIP.A public static IP address, called a Reserved IP address, can optionally be assigned as a VIP. Las direcciones IP públicas se pueden asignar a máquinas virtuales o instancias de rol de Cloud Services individuales implementadas mediante el modelo de implementación clásica.You can assign public IP addresses to individual VMs or Cloud Services role instances deployed through the classic deployment model. Estas direcciones se denominan direcciones IP públicas a nivel de instancia (ILPIP) y se puede asignar dinámicamente.These addresses are called Instance level public IP (ILPIP addresses and can be assigned dynamically.

¿Puedo reservar una dirección IP interna para una máquina virtual que crearé más adelante?Can I reserve a private IP address for a VM that I will create at a later time?

No.No. Las direcciones IP privadas no se pueden reservar.You cannot reserve a private IP address. Si hay una dirección IP privada disponible, el servidor DHCP la asigna a una máquina virtual o una instancia de rol.If a private IP address is available, it is assigned to a VM or role instance by the DHCP server. La máquina virtual puede ser, o no, aquella a la que quiere que se asigne la dirección IP privada.The VM may or may not be the one that you want the private IP address assigned to. Sin embargo, la dirección IP privada de una máquina virtual ya creada se puede cambiar por cualquier dirección IP privada disponible.You can, however, change the private IP address of an already created VM, to any available private IP address.

¿Cambian las direcciones IP privadas de las máquinas virtuales en una red virtual?Do private IP addresses change for VMs in a VNet?

Depende.It depends. Si se ha implementado la máquina virtual mediante Resource Manager, no, con independencia de si la dirección IP se asignó con el método de asignación estático o dinámico.If the VM was deployed through Resource Manager, no, regardless of whether the IP address was assigned with the static or dynamic allocation method. Si la máquina virtual se implementó mediante el modelo de implementación clásica, se pueden cambiar las direcciones IP dinámicas cuando se inicia una máquina virtual después de haber estado en estado detenido (desasignado).If the VM was deployed through the classic deployment model, dynamic IP addresses can change when a VM is started after having been in the stopped (deallocated) state. La dirección se libera de una máquina virtual implementada con cualquiera de los modelos de implementación cuando se elimina la máquina.The address is released from a VM deployed through either deployment model when the VM is deleted.

¿Se pueden asignar manualmente direcciones IP a las NIC del sistema operativo de la máquina virtual?Can I manually assign IP addresses to NICs within the VM operating system?

Sí, pero no se recomienda a menos que es necesario, por ejemplo, al asignar varias direcciones IP a una máquina virtual.Yes, but it's not recommended unless necessary, such as when assigning multiple IP addresses to a virtual machine. Para más información, consulte Adición de varias direcciones IP a una máquina virtual.For details, see Adding multiple IP addresses to a virtual machine. Si la dirección IP asignada a una NIC de Azure asociada a una máquina virtual cambia, y la dirección IP en el sistema operativo de la máquina virtual es diferente, se pierde la conectividad a la máquina virtual.If the IP address assigned to an Azure NIC attached to a VM changes, and the IP address within the VM operating system is different, you lose connectivity to the VM.

¿Qué les sucede a mis direcciones IP si se detiene una ranura de implementación de un servicio en la nube o se apaga una máquina virtual desde el sistema operativo?If I stop a Cloud Service deployment slot or shutdown a VM from within the operating system, what happens to my IP addresses?

Nada.Nothing. Las direcciones IP (VIP pública, pública y privada) siguen estando asignadas a la ranura de implementación de un servicio en la nube o a la máquina virtual.The IP addresses (public VIP, public, and private) remain assigned to the cloud service deployment slot or VM.

¿Puedo mover las máquinas virtuales de una subred a otra en una red virtual sin volver a implementarla?Can I move VMs from one subnet to another subnet in a VNet without redeploying?

Sí.Yes. Puede encontrar más información en el artículo Traslado de una máquina virtual o una instancia de rol a una subred diferente.You can find more information in the How to move a VM or role instance to a different subnet article.

¿Puedo configurar una dirección MAC estática para mi máquina virtual?Can I configure a static MAC address for my VM?

No.No. Una dirección MAC no se puede configurar de forma estática.A MAC address cannot be statically configured.

¿Seguirá siendo la dirección MAC la misma en mi máquina virtual una vez que se ha creado?Will the MAC address remain the same for my VM once it's created?

Sí, la dirección MAC de una máquina virtual no cambia, independientemente de que esta se haya implementado a través del modelo de implementación clásica o de Resource Manager, hasta que se elimina.Yes, the MAC address remains the same for a VM deployed through both the Resource Manager and classic deployment models until it's deleted. Antes, la dirección MAC se liberaba si la máquina virtual se detenía (se desasignaba), pero ahora la dirección MAC se conserva aunque la máquina virtual se encuentre en estado desasignada.Previously, the MAC address was released if the VM was stopped (deallocated), but now the MAC address is retained even when the VM is in the deallocated state. La dirección MAC permanece asignada a la interfaz de red hasta que esta se elimina o se cambia la dirección IP privada asignada a la configuración de IP principal de la interfaz de red principal.The MAC address remains assigned to the network interface until the network interface is deleted or the private IP address assigned to the primary IP configuration of the primary network interface is changed.

¿Puedo conectarme a Internet desde una máquina virtual de una red virtual?Can I connect to the internet from a VM in a VNet?

Sí.Yes. Todas las máquinas virtuales y las instancias de rol de Cloud Services implementadas dentro de una red virtual pueden conectarse a Internet.All VMs and Cloud Services role instances deployed within a VNet can connect to the Internet.

Servicios de Azure que se conectan a redes virtualesAzure services that connect to VNets

¿Se puede usar Azure App Service Web Apps con una red virtual?Can I use Azure App Service Web Apps with a VNet?

Sí.Yes. Puede implementar Web Apps dentro de una red virtual mediante un ASE (App Service Environment), conectar el back-end de las aplicaciones a una red virtual con Integración con red virtual y bloquear el tráfico entrante a la aplicación con puntos de conexión de servicio.You can deploy Web Apps inside a VNet using an ASE (App Service Environment), connect the backend of your apps to your VNets with VNet Integration, and lock down inbound traffic to your app with service endpoints. Para más información, consulte los siguientes artículos.For more information, see the following articles:

¿Puedo implementar Cloud Services con los roles web y de trabajo (PaaS) en una red virtual?Can I deploy Cloud Services with web and worker roles (PaaS) in a VNet?

Sí.Yes. Opcionalmente, es posible implementar instancias de rol de Cloud Services en redes virtuales.You can (optionally) deploy Cloud Services role instances within VNets. Para hacerlo, es preciso especificar el nombre de la red virtual y las asignaciones de rol/subred en la sección de configuración de red de la configuración del servicio.To do so, you specify the VNet name and the role/subnet mappings in the network configuration section of your service configuration. No es necesario actualizar ninguno de los archivos binarios.You do not need to update any of your binaries.

¿Se puede conectar un conjunto de escalado de máquinas virtuales a una red virtual?Can I connect a virtual machine scale set to a VNet?

Sí.Yes. Debe conectar un conjunto de escalado de máquinas virtuales a una red virtual.You must connect a virtual machine scale set to a VNet.

¿Hay una lista completa de servicios de Azure de la que pueda implementar recursos desde una red virtual?Is there a complete list of Azure services that can I deploy resources from into a VNet?

Sí. Para más información, consulte Integración de red virtual para los servicios de Azure.Yes, For details, see Virtual network integration for Azure services.

¿Cómo se puede restringir el acceso a recursos de PaaS de Azure desde una red virtual?How can I restrict access to Azure PaaS resources from a VNet?

Los recursos implementados a través de algunos servicios PaaS de Azure (como Azure Storage y Azure SQL Database) pueden restringir el acceso de red a la red virtual mediante puntos de conexión de servicio de red virtual o Azure Private Link.Resources deployed through some Azure PaaS services (such as Azure Storage and Azure SQL Database), can restrict network access to VNet through the use of virtual network service endpoints or Azure Private Link. Para obtener más información, consulte la información general sobre puntos de conexión de servicio de red virtual y Azure Private LinkFor details, see Virtual network service endpoints overview, Azure Private Link overview

¿Puedo mover mis servicios dentro y fuera de las redes virtuales?Can I move my services in and out of VNets?

No.No. No se pueden mover los servicios dentro y fuera de las redes virtuales.You cannot move services in and out of VNets. Para mover un recurso a otra red virtual, tendrá que eliminar el recurso y volver a implementarlo.To move a resource to another VNet, you have to delete and redeploy the resource.

SeguridadSecurity

¿Cuál es el modelo de seguridad de las redes virtuales?What is the security model for VNets?

Las redes virtuales están aisladas unas de otras y de otros servicios hospedados en la infraestructura de Azure.VNets are isolated from one another, and other services hosted in the Azure infrastructure. Una máquina virtual es un límite de confianza.A VNet is a trust boundary.

¿Puedo restringir el flujo de tráfico de entrada o salida a los recursos conectados a la red virtual?Can I restrict inbound or outbound traffic flow to VNet-connected resources?

Sí.Yes. Puede aplicar grupos de seguridad de red a subredes individuales de una red virtual, a los NIC conectados a una red virtual, o a ambos.You can apply Network Security Groups to individual subnets within a VNet, NICs attached to a VNet, or both.

¿Se puede implementar un firewall entre los recursos conectados a una red virtual?Can I implement a firewall between VNet-connected resources?

Sí.Yes. A través de Azure Marketplace es posible implementar una aplicación virtual de red de firewall de varios proveedores.You can deploy a firewall network virtual appliance from several vendors through the Azure Marketplace.

¿Hay información disponible acerca la protección de las redes virtuales?Is there information available about securing VNets?

Sí.Yes. Para más información, consulte Información general sobre Azure Network Security.For details, see Azure Network Security Overview.

API, esquemas y herramientasAPIs, schemas, and tools

¿Puedo administrar redes virtuales mediante programación?Can I manage VNets from code?

Sí.Yes. Puede usar API de REST en redes virtuales en los modelos de implementación de Azure Resource Manager y clásica.You can use REST APIs for VNets in the Azure Resource Manager and classic deployment models.

¿Hay compatibilidad con las herramientas para redes virtuales?Is there tooling support for VNets?

Sí.Yes. Más información acerca del uso de:Learn more about using:

  • Azure Portal para implementar redes virtuales a través de los modelos de implementación con Azure Resource Manager y clásica.The Azure portal to deploy VNets through the Azure Resource Manager and classic deployment models.
  • PowerShell para administrar redes virtuales que se implementan a través de los modelos de implementación con Resource Manager y clásica.PowerShell to manage VNets deployed through the Resource Manager and classic deployment models.
  • La interfaz de la línea de comandos (CLI) de Azure para implementar y administrar redes virtuales implementadas mediante los modelos de implementación de Resource Manager y clásica.The Azure command-line interface (CLI) to deploy and manage VNets deployed through the Resource Manager and classic deployment models.

Emparejamiento de VNETVNet peering

¿Qué es el emparejamiento de VNet?What is VNet peering?

El emparejamiento de VNet (o emparejamiento de redes virtuales) permite conectar redes virtuales.VNet peering (or virtual network peering) enables you to connect virtual networks. Una conexión de emparejamiento de VNet entre redes virtuales permite enrutar el tráfico entre ellas de manera privada a través de direcciones IPv4.A VNet peering connection between virtual networks enables you to route traffic between them privately through IPv4 addresses. Las máquinas virtuales de las VNet emparejadas pueden comunicarse entre sí como si estuvieran dentro de la misma red.Virtual machines in the peered VNets can communicate with each other as if they are within the same network. Estas redes virtuales pueden estar en la misma región o en regiones diferentes (también conocidas como emparejamiento de VNet global).These virtual networks can be in the same region or in different regions (also known as Global VNet Peering). También se pueden crear conexiones de emparejamiento de VNet a través de las suscripciones a Azure.VNet peering connections can also be created across Azure subscriptions.

¿Puedo crear una conexión de emparejamiento a una red virtual en una región diferente?Can I create a peering connection to a VNet in a different region?

Sí.Yes. El emparejamiento de VNET global permite emparejar redes virtuales en diferentes regiones.Global VNet peering enables you to peer VNets in different regions. Emparejamiento de VNET global está disponible en todas las regiones públicas de Azure, en las regiones de nube de China y en regiones de nube gubernamentales.Global VNet peering is available in all Azure public regions, China cloud regions, and Government cloud regions. No se puede emparejar globalmente desde las regiones públicas de Azure a las regiones de nube nacionales.You cannot globally peer from Azure public regions to national cloud regions.

Si las dos redes virtuales en dos regiones diferentes están emparejadas a través del emparejamiento de VNet global, no se puede conectar a los recursos que están detrás de una instancia básica de Load Balancer a través de la dirección IP de front-end de Load Balancer.If the two virtual networks in two different regions are peered over Global VNet Peering, you cannot connect to resources that are behind a Basic Load Balancer through the Front End IP of the Load Balancer. Esta restricción no existe para una instancia de Load Balancer estándar.This restriction does not exist for a Standard Load Balancer. Los siguientes recursos pueden usar instancias básicas de Load Balancer, lo que significa que no puede acceder a ellos desde la dirección IP de front-end de Load Balancer a través del emparejamiento de red virtual global.The following resources can use Basic Load Balancers which means you cannot reach them through the Load Balancer's Front End IP over Global VNet Peering. Sin embargo, puede usar el emparejamiento de red virtual global para llegar a los recursos directamente desde sus direcciones IP de red virtual privada, si se permite.You can however use Global VNet peering to reach the resources directly through their private VNet IPs, if permitted.

  • Máquinas virtuales detrás de equilibradores de carga básicosVMs behind Basic Load Balancers
  • Conjuntos de escalado de máquinas virtuales con equilibradores de carga básicosVirtual machine scale sets with Basic Load Balancers
  • Redis CacheRedis Cache
  • SKU de Application Gateway (versión 1)Application Gateway (v1) SKU
  • Service FabricService Fabric
  • MI de SQLSQL MI
  • API ManagementAPI Management
  • Active Directory Domain Services (ADDS)Active Directory Domain Service (ADDS)
  • Logic AppsLogic Apps
  • HDInsightHDInsight
  • Azure BatchAzure Batch
  • Entorno de App ServiceApp Service Environment

Se puede conectar a estos recursos a través de ExpressRoute o de red virtual a red virtual a través de puertas de enlace de red virtuales.You can connect to these resources via ExpressRoute or VNet-to-VNet through VNet Gateways.

¿Puedo habilitar el emparejamiento de VNET si mis redes virtuales pertenecen a suscripciones de diferentes inquilinos de Azure Active Directory?Can I enable VNet Peering if my virtual networks belong to subscriptions within different Azure Active Directory tenants?

Sí.Yes. No es posible establecer el emparejamiento de VNET (ya sea local o global) si las suscripciones pertenecen a diferentes inquilinos de Azure Active Directory.It is possible to establish VNet Peering (whether local or global) if your subscriptions belong to different Azure Active Directory tenants. Puede hacerlo a través de PowerShell o CLI.You can do this via PowerShell or CLI. Aún no se admite el Portal.Portal is not yet supported.

Mi conexión de emparejamiento de VNET se encuentra en estado Iniciado, ¿por qué no puedo conectarme?My VNet peering connection is in Initiated state, why can't I connect?

Si la conexión de emparejamiento está en estado Iniciado, esto significa que ha creado un solo vínculo.If your peering connection is in an Initiated state, this means you have created only one link. Se debe crear un vínculo bidireccional con el fin de establecer una conexión correcta.A bidirectional link must be created in order to establish a successful connection. Por ejemplo, para emparejar VNET A a VNET B, debe crearse un vínculo de VNET A a VNET B y de VNET B a VNET A.For example, to peer VNet A to VNet B, a link must be created from VNetA to VNetB and from VNetB to VNetA. La creación de ambos vínculos cambiará el estado a Conectado.Creating both links will change the state to Connected.

Mi conexión de emparejamiento de VNet se encuentra en estado Desconectado, ¿por qué no puedo crear una conexión de emparejamiento?My VNet peering connection is in Disconnected state, why can't I create a peering connection?

Si la conexión de emparejamiento de VNet está en estado Desconectado, significa que se ha eliminado uno de los vínculos creados.If your VNet peering connection is in a Disconnected state, it means one of the links created was deleted. Para volver a establecer una conexión de emparejamiento, deberá eliminar el vínculo y volverlo a crear.In order to re-establish a peering connection, you will need to delete the link and recreate it.

¿Puedo emparejar mi red virtual con otra en una suscripción diferente?Can I peer my VNet with a VNet in a different subscription?

Sí.Yes. Puede emparejar redes virtuales entre suscripciones y entre regiones.You can peer VNets across subscriptions and across regions.

¿Puedo emparejar dos redes virtuales con rangos de direcciones coincidentes o superpuestas?Can I peer two VNets with matching or overlapping address ranges?

No.No. Los espacios de direcciones no deben solaparse para habilitar el emparejamiento de redes virtuales.Address spaces must not overlap to enable VNet Peering.

La creación de una conexión de emparejamiento VNET es gratuita.There is no charge for creating a VNet peering connection. Se cobra la transferencia de datos a través de conexiones de emparejamiento.Data transfer across peering connections is charged. Consulte aquí.See here.

¿Está cifrado el tráfico de emparejamiento de VNET?Is VNet peering traffic encrypted?

No.No. El tráfico entre recursos en redes virtuales emparejadas es privado y aislado.Traffic between resources in peered VNets is private and isolated. Sigue estando en la columna vertebral de Microsoft.It remains completely on the Microsoft Backbone.

¿Por qué mi conexión de emparejamiento está en estado Desconectado?Why is my peering connection in a Disconnected state?

Las conexiones de emparejamiento de redes virtuales pasan a un estado Desconectado cuando se elimina un vínculo de emparejamiento de red virtual.VNet peering connections go into Disconnected state when one VNet peering link is deleted. Debe eliminar ambos vínculos para restablecer una conexión de emparejamiento correcta.You must delete both links in order to reestablish a successful peering connection.

Si se empareja VNETA con VNETB y se empareja VNETB con VNETC, ¿significa que VNETA y VNETC están emparejadas?If I peer VNetA to VNetB and I peer VNetB to VNetC, does that mean VNetA and VNetC are peered?

No.No. No se admite el emparejamiento transitivo.Transitive peering is not supported. Se deben emparejar VNETA y VNETC para que esto se produzca.You must peer VNetA and VNetC for this to take place.

¿Hay alguna limitación de ancho de banda para las conexiones de emparejamiento?Are there any bandwidth limitations for peering connections?

No.No. El emparejamiento de VNET, ya sea local o global, no impone ninguna restricción de ancho de banda.VNet peering, whether local or global, does not impose any bandwidth restrictions. El ancho de banda solo está limitado por el recurso de proceso o de máquina virtual.Bandwidth is only limited by the VM or the compute resource.

¿Cómo se pueden solucionar problemas de emparejamiento de redes virtuales?How can I troubleshoot VNet Peering issues?

Pruebe con esta guía de solucionador de problemas.Here is a troubleshooter guide you can try.

TAP de red virtualVirtual network TAP

¿Qué regiones de Azure están disponibles para TAP de red virtual?Which Azure regions are available for virtual network TAP?

La versión preliminar de TAP de red virtual está disponible en todas las regiones de Azure.Virtual network TAP preview is available in all Azure regions. Las interfaces de red supervisadas, el recurso TAP de la red virtual y el recopilador o solución de análisis deben implementarse en la misma región.The monitored network interfaces, the virtual network TAP resource, and the collector or analytics solution must be deployed in the same region.

¿El TAP de red virtual admite las funcionalidades de filtrado de los paquetes reflejados?Does Virtual Network TAP support any filtering capabilities on the mirrored packets?

Las funcionalidades de filtrado no son compatibles con la versión preliminar de TAP de la red virtual.Filtering capabilities are not supported with the virtual network TAP preview. Cuando se agrega una configuración de TAP a una interfaz de red, se transmite una copia en profundidad de todo el tráfico de entrada y salida de la interfaz de red al destino de TAP.When a TAP configuration is added to a network interface a deep copy of all the ingress and egress traffic on the network interface is streamed to the TAP destination.

¿Se pueden agregar varias configuraciones de TAP a una interfaz de red supervisada?Can multiple TAP configurations be added to a monitored network interface?

Una interfaz de red supervisada puede tener solo una configuración de TAP.A monitored network interface can have only one TAP configuration. Compruebe con la solución de asociados individual la funcionalidad de transmitir varias copias del tráfico de TAP a las herramientas de análisis de su elección.Check with the individual partner solution for the capability to stream multiple copies of the TAP traffic to the analytics tools of your choice.

¿Puede el mismo recurso TAP de red virtual agregar tráfico desde las interfaces de red supervisadas en más de una red virtual?Can the same virtual network TAP resource aggregate traffic from monitored network interfaces in more than one virtual network?

Sí.Yes. El mismo recurso de TAP de red virtual se puede utilizar para agregar tráfico reflejado desde las interfaces de red supervisadas en redes virtuales emparejadas en la misma suscripción o en otra.The same virtual network TAP resource can be used to aggregate mirrored traffic from monitored network interfaces in peered virtual networks in the same subscription or a different subscription. El recurso TAP de red virtual y el equilibrador de carga de destino o la interfaz de red de destino deben estar en la misma suscripción.The virtual network TAP resource and the destination load balancer or destination network interface must be in the same subscription. Todas las suscripciones deben estar bajo el mismo inquilino de Azure Active Directory.All subscriptions must be under the same Azure Active Directory tenant.

¿Existen consideraciones de rendimiento en el tráfico de producción si se habilita una configuración de TAP de red virtual en una interfaz de red?Are there any performance considerations on production traffic if I enable a virtual network TAP configuration on a network interface?

TAP de red virtual está en versión preliminar.Virtual network TAP is in preview. Durante la versión preliminar no hay ningún Acuerdo de Nivel de Servicio.During preview, there is no service level agreement. La funcionalidad no debe usarse para cargas de trabajo de producción.The capability should not be used for production workloads. Cuando se habilita una interfaz de red de máquina virtual con una configuración de TAP, se utilizan los mismos recursos en el host de Azure asignados a la máquina virtual para enviar el tráfico de producción para realizar la función de creación de reflejo y enviar los paquetes reflejados.When a virtual machine network interface is enabled with a TAP configuration, the same resources on the Azure host allocated to the virtual machine to send the production traffic is used to perform the mirroring function and send the mirrored packets. Seleccione el tamaño correcto de la máquina virtual Linux o Windows para asegurarse de que dispone de recursos suficientes para que la máquina virtual envíe el tráfico de producción y el tráfico reflejado.Select the correct Linux or Windows virtual machine size to ensure that sufficient resources are available for the virtual machine to send the production traffic and the mirrored traffic.

¿Se admiten redes aceleradas para Linux o Windows con TAP de red virtual?Is accelerated networking for Linux or Windows supported with virtual network TAP?

Podrá agregar una configuración de TAP en una interfaz de red asociada a una máquina virtual que esté habilitada con redes aceleradas.You will be able to add a TAP configuration on a network interface attached to a virtual machine that is enabled with accelerated networking. Pero el rendimiento y la latencia en la máquina virtual se verán afectados por la adición de la configuración de TAP, ya que la descarga para reflejar el tráfico no se admite actualmente por la red acelerada de Azure.But the performance and latency on the virtual machine will be affected by adding TAP configuration since the offload for mirroring traffic is currently not supported by Azure accelerated networking.

Puntos de conexión de servicio de red virtualVirtual network service endpoints

¿Cuál es la secuencia correcta de operaciones para configurar los puntos de conexión de servicio en un servicio de Azure?What is the right sequence of operations to set up service endpoints to an Azure service?

Existen dos pasos para asegurar un recurso de servicio de Azure mediante puntos de conexión de servicio:There are two steps to secure an Azure service resource through service endpoints:

  1. Active los puntos de conexión de servicio para el servicio de Azure.Turn on service endpoints for the Azure service.
  2. Configure las ACL de red virtual en el servicio de Azure.Set up VNet ACLs on the Azure service.

El primer paso es realizar una operación del lado de red y, el segundo, es realizar una operación del lado del recurso de servicio.The first step is a network side operation and the second step is a service resource side operation. Según los permisos RBAC otorgados al rol de administrador, el mismo administrador o varios administradores diferentes pueden realizar ambos pasos.Both steps can be performed either by the same administrator or different administrators based on the RBAC permissions granted to the administrator role. Le recomendamos que primero active los puntos de conexión de servicio de la red virtual antes de configurar las ACL de red virtual en el lado del servicio de Azure.We recommend that you first turn on service endpoints for your virtual network prior to setting up VNet ACLs on Azure service side. Por lo tanto, los pasos deben realizarse en la secuencia que se detalló anteriormente para configurar los puntos de conexión de servicio de la red virtual.Hence, the steps must be performed in the sequence listed above to set up VNet service endpoints.

Nota

Debe completar las dos operaciones descritas anteriormente antes de poder limitar el acceso del servicio de Azure a la red virtual y a la subred permitidas.Both the operations described above must be completed before you can limit the Azure service access to the allowed VNet and subnet. Si solo activa los puntos de conexión de servicio del servicio de Azure en el lado de red no obtendrá el acceso limitado.Only turning on service endpoints for the Azure service on the network side does not provide you the limited access. Asimismo, también debe configurar las ACL de red virtual en el lado del servicio de Azure.In addition, you must also set up VNet ACLs on the Azure service side.

Ciertos servicios (como SQL y CosmosDB) permiten excepciones en la secuencia anterior si usa la marca IgnoreMissingVnetServiceEndpoint.Certain services (such as SQL and CosmosDB) allow exceptions to the above sequence through the IgnoreMissingVnetServiceEndpoint flag. Una vez que la marca se establece en True, las ACL de la red virtual pueden establecerse en el lado del servicio de Azure antes de configurar los puntos de conexión de servicio en el lado de red.Once the flag is set to True, VNet ACLs can be set on the Azure service side prior to setting up the service endpoints on the network side. Los servicios de Azure proporcionan esta marca para ayudar a los clientes en los casos en que los firewalls de IP específicos estén configurados en los servicios de Azure y la activación de los puntos de conexión de servicio en el lado de la red pueda provocar una caída de la conectividad, ya que la IP de origen cambia de una dirección IPv4 pública a una dirección privada.Azure services provide this flag to help customers in cases where the specific IP firewalls are configured on Azure services and turning on the service endpoints on the network side can lead to a connectivity drop since the source IP changes from a public IPv4 address to a private address. La configuración de las ACL de la red virtual en el lado del servicio de Azure antes de configurar los puntos de conexión de servicio en el lado de red puede ayudarle a evitar que la conectividad se vea afectada.Setting up VNet ACLs on the Azure service side before setting service endpoints on the network side can help avoid a connectivity drop.

¿Todos los servicios de Azure residen en la red virtual de Azure que proporciona el cliente?Do all Azure services reside in the Azure virtual network provided by the customer? ¿Cómo funciona el punto de conexión de servicio de la red virtual con los servicios de Azure?How does VNet service endpoint work with Azure services?

No, no todos los servicios de Azure residen en la red virtual del cliente.No, not all Azure services reside in the customer's virtual network. La mayoría de los servicios de datos de Azure, como Azure Storage, Azure SQL y Azure Cosmos DB, son servicios de varios inquilinos a los que se puede obtener acceso a través de direcciones IP públicas.The majority of Azure data services such as Azure Storage, Azure SQL, and Azure Cosmos DB, are multi-tenant services that can be accessed over public IP addresses. Puede obtener más información sobre la integración de redes virtuales para los servicios de Azure aquí.You can learn more about virtual network integration for Azure services here.

Cuando usa la característica de puntos de conexión de servicio de la red virtual (debe activar el punto de conexión de servicio de la red virtual en el lado de la red y configurar las ACL de red virtual adecuadas en el lado del servicio de Azure), el acceso a un servicio de Azure está restringido desde una red y una subred permitidas.When you use the VNet service endpoints feature (turning on VNet service endpoint on the network side and setting up appropriate VNet ACLs on the Azure service side), access to an Azure service is restricted from an allowed VNet and subnet.

¿Cómo proporciona seguridad el punto de conexión de servicio de la red virtual?How does VNet service endpoint provide security?

La característica de puntos de conexión de servicio de la red virtual (debe activar el punto de conexión de servicio de la red virtual en el lado de la red y configurar las ACL de red virtual adecuadas en el lado del servicio de Azure) limita el acceso a un servicio de Azure a la red virtual y la subred permitidas, lo que proporciona seguridad a nivel de red y el aislamiento del tráfico de los servicios de Azure.The VNet service endpoint feature (turning on VNet service endpoint on the network side and setting up appropriate VNet ACLs on the Azure service side) limits the Azure service access to the allowed VNet and subnet, thus providing a network level security and isolation of the Azure service traffic. Todo el tráfico que usa los puntos de conexión de servicio de la red virtual fluye sobre la red troncal de Microsoft, proporcionando así otra capa de aislamiento de la red pública de Internet.All traffic using VNet service endpoints flows over Microsoft backbone, thus providing another layer of isolation from the public internet. Además, los clientes pueden optar por eliminar completamente el acceso público de Internet a los recursos del servicio de Azure y permitir el tráfico solo desde su red virtual a través de una combinación de firewall de IP y ACL de red virtual, lo que les permitirá proteger los recursos del servicio de Azure de accesos no autorizados.Moreover, customers can choose to fully remove public Internet access to the Azure service resources and allow traffic only from their virtual network through a combination of IP firewall and VNet ACLs, thus protecting the Azure service resources from unauthorized access.

¿Qué protege el punto de conexión de servicio de la red virtual, los recursos de red virtual o el servicio de Azure?What does the VNet service endpoint protect - VNet resources or Azure service?

Los puntos de conexión de servicio de la red virtual le ayudan a proteger los recursos del servicio de Azure.VNet service endpoints help protect Azure service resources. Los recursos de red virtual están protegidos mediante grupos de seguridad de red (NSG).VNet resources are protected through Network Security Groups (NSGs).

¿Hay algún costo por usar los puntos de conexión de servicio de la red virtual?Is there any cost for using VNet service endpoints?

No hay ningún cargo adicional para el uso de puntos de conexión de servicio.No, there is no additional cost for using VNet service endpoints.

¿Puedo activar los puntos de conexión de servicio de la red virtual y configurar las ACL de red virtual si esta y los recursos del servicio de Azure pertenecen a suscripciones diferentes?Can I turn on VNet service endpoints and set up VNet ACLs if the virtual network and the Azure service resources belong to different subscriptions?

Sí, es posible.Yes, it is possible. Las redes virtuales y los recursos del servicio de Azure pueden estar en la misma o en diferentes suscripciones.Virtual networks and Azure service resources can be either in the same or different subscriptions. El único requisito es que tanto la red virtual como los recursos del servicio de Azure deben estar bajo el mismo inquilino de Active Directory (AD).The only requirement is that both the virtual network and Azure service resources must be under the same Active Directory (AD) tenant.

¿Puedo activar los puntos de conexión de servicio de la red virtual y configurar las ACL de red virtual si esta y los recursos del servicio de Azure pertenecen a diferentes inquilinos de AD?Can I turn on VNet service endpoints and set up VNet ACLs if the virtual network and the Azure service resources belong to different AD tenants?

No, los puntos de conexión de servicio de la red virtual y las ACL de red virtual no son compatibles con los inquilinos de AD.No, VNet service endpoints and VNet ACLs are not supported across AD tenants.

¿La dirección IP de un dispositivo local que está conectada mediante la puerta de enlace de Azure Virtual Network (VPN) o la puerta de enlace de ExpressRoute puede obtener acceso al servicio de Azure PaaS mediante los puntos de conexión de servicio de la red virtual?Can an on-premises device’s IP address that is connected through Azure Virtual Network gateway (VPN) or ExpressRoute gateway access Azure PaaS Service over VNet service endpoints?

De forma predeterminada, los recursos de servicio de Azure protegidos para las redes virtuales no son accesibles desde redes locales.By default, Azure service resources secured to virtual networks are not reachable from on-premises networks. Si quiere permitir el tráfico desde el entorno local, también debe permitir las direcciones IP públicas (normalmente NAT) desde el entorno local o ExpressRoute.If you want to allow traffic from on-premises, you must also allow public (typically, NAT) IP addresses from your on-premises or ExpressRoute. Estas direcciones IP se pueden agregar a través de la configuración del firewall de IP para los recursos de los servicios de Azure.These IP addresses can be added through the IP firewall configuration for the Azure service resources.

¿Puedo usar la característica de punto de conexión de servicio de la red virtual para proteger el servicio de Azure en varias subredes de una o varias redes virtuales?Can I use VNet Service Endpoint feature to secure Azure service to multiple subnets within a virtual network or across multiple virtual networks?

Para proteger los servicios de Azure en varias subredes que se encuentren en una o varias redes virtuales, habilite los puntos de conexión de servicio en el lado de red en cada una de las subredes de manera independiente y, a continuación, proteja los recursos del servicio de Azure en todas las subredes mediante la configuración de las ACL de red virtual adecuadas en el lado del servicio de Azure.To secure Azure services to multiple subnets within a virtual network or across multiple virtual networks, enable service endpoints on the network side on each of the subnets independently and then secure Azure service resources to all of the subnets by setting up appropriate VNet ACLs on the Azure service side.

¿Cómo puedo filtrar el tráfico saliente de una red virtual a los servicios de Azure y seguir usando los puntos de conexión de servicio?How can I filter outbound traffic from a virtual network to Azure services and still use service endpoints?

Si quiere inspeccionar o filtrar el tráfico destinado a un servicio de Azure desde una red virtual, puede implementar una aplicación virtual de red dentro de la red virtual.If you want to inspect or filter the traffic destined to an Azure service from a virtual network, you can deploy a network virtual appliance within the virtual network. Después, puede aplicar los puntos de conexión de servicio a la subred donde se implementa la aplicación virtual de red y se protegen los recursos de servicio de Azure solo para esta subred mediante las ACL de red virtual.You can then apply service endpoints to the subnet where the network virtual appliance is deployed and secure Azure service resources only to this subnet through VNet ACLs. Este escenario también puede resultar útil si quiere restringir el acceso de servicio de Azure desde la red virtual solo a recursos específicos de Azure, mediante el filtrado de la aplicación virtual de red.This scenario might also be helpful if you wish to restrict Azure service access from your virtual network only to specific Azure resources using network virtual appliance filtering. Para más información, consulte el artículo sobre la salida con las aplicaciones de redes virtuales.For more information, see egress with network virtual appliances.

¿Qué ocurre si accede a una cuenta de servicio de Azure que tiene habilitada la lista de control de acceso (ACL) de una red virtual que está fuera de la misma red virtual?What happens when you access an Azure service account that has a virtual network access control list (ACL) enabled from outside the VNet?

Se devuelve el error HTTP 403 o 404.The HTTP 403 or HTTP 404 error is returned.

¿Las subredes de una máquina virtual creada en regiones distintas pueden obtener acceso a una cuenta de servicio de Azure en otra región?Are subnets of a virtual network created in different regions allowed to access an Azure service account in another region?

Sí, para la mayoría de los servicios de Azure, las redes virtuales creadas en diferentes regiones pueden obtener acceso a los servicios de Azure en otra región a través de los puntos de conexión de servicio de la red virtual.Yes, for most of the Azure services, virtual networks created in different regions can access Azure services in another region through the VNet service endpoints. Por ejemplo, si una cuenta de Azure Cosmos DB está en el Oeste de EE. UU. o el Este de EE. UU. y las redes virtuales están en varias regiones, la red virtual puede obtener acceso a Azure Cosmos DB.For example, if an Azure Cosmos DB account is in West US or East US and virtual networks are in multiple regions, the virtual network can access Azure Cosmos DB. Storage y SQL son excepciones que son de naturaleza regional, y tanto la red virtual como el servicio de Azure deben estar en la misma región.Storage and SQL are exceptions and are regional in nature and both the virtual network and the Azure service need to be in the same region.

¿Puede un servicio de Azure tener una ACL de red virtual y un firewall de IP?Can an Azure service have both a VNet ACL and an IP firewall?

Sí, una ACL de red virtual y el firewall de IP pueden coexistir.Yes, a VNet ACL and an IP firewall can co-exist. Ambas características se complementan entre sí para garantizar el aislamiento y la seguridad.Both features complement each other to ensure isolation and security.

¿Qué sucede si se elimina una red virtual o subred que tiene el punto de conexión de servicio activado para el servicio de Azure?What happens if you delete a virtual network or subnet that has service endpoint turned on for Azure service?

La eliminación de redes virtuales y subredes son operaciones independientes y se admiten incluso cuando los puntos de conexión de servicio están activados para los servicios de Azure.Deletion of VNets and subnets are independent operations and are supported even when service endpoints are turned on for Azure services. En los casos en que los servicios de Azure tienen configuradas las ACL de red virtual, para esas redes virtuales y subredes, la información de las ACL de la red virtual asociada con ese servicio de Azure se desactiva cuando se elimina una red virtual o subred que tiene el punto de conexión de servicio de la red virtual activado.In cases where the Azure services have VNet ACLs set up, for those VNets and subnets, the VNet ACL information associated with that Azure service is disabled when a VNet or subnet that has VNet service endpoint turned on is deleted.

¿Qué sucede si se elimina una cuenta de servicio de Azure que tiene un punto de conexión de servicio de la red virtual habilitado?What happens if an Azure service account that has a VNet Service endpoint enabled is deleted?

La eliminación de una cuenta de servicio de Azure es una operación independiente y se admite incluso cuando el punto de conexión de servicio está habilitado en el lado de la red y las ACL de la red virtual se configuran en el lado del servicio de Azure.The deletion of an Azure service account is an independent operation and is supported even when the service endpoint is enabled on the network side and VNet ACLs are set up on Azure service side.

¿Qué sucede con la dirección IP de origen de un recurso (como una máquina virtual en una subred) que tiene habilitado el punto de conexión de servicio de la red virtual?What happens to the source IP address of a resource (like a VM in a subnet) that has VNet service endpoint enabled?

Si los puntos de conexión de servicio de red virtual están habilitados, las direcciones IP de los recursos de la subred de la red virtual pasarán de usar las direcciones IPV4 públicas a usar las direcciones IP privadas de Azure Virtual Network para el tráfico que fluye hacia el servicio de Azure.When virtual network service endpoints are enabled, the source IP addresses of the resources in your virtual network's subnet switches from using public IPV4 addresses to the Azure virtual network's private IP addresses for traffic to Azure service. Tenga en cuenta que esto puede provocar un error en los firewalls de IP específicos que se configuran en una dirección IPV4 pública que estaba anteriormente en los servicios de Azure.Note that this can cause specific IP firewalls that are set to public IPV4 address earlier on the Azure services to fail.

¿La ruta del punto de conexión de servicio siempre tiene prioridad?Does the service endpoint route always take precedence?

Los puntos de conexión de servicio agregan una ruta de sistema que tiene prioridad sobre las rutas BGP y que proporciona un enrutamiento óptimo para el tráfico del punto de conexión de servicio.Service endpoints add a system route which takes precedence over BGP routes and provides optimum routing for the service endpoint traffic. Los puntos de conexión de servicio siempre toman el tráfico del servicio directamente de la red virtual al servicio en la red troncal de Microsoft Azure.Service endpoints always take service traffic directly from your virtual network to the service on the Microsoft Azure backbone network. Para más información sobre cómo Azure selecciona una ruta, vea Enrutamiento del tráfico de Azure Virtual Network.For more information about how Azure selects a route, see Azure Virtual network traffic routing.

¿Cómo funciona NSG en una subred con puntos de conexión de servicio?How does NSG on a subnet work with service endpoints?

Para alcanzar el servicio de Azure, los NSG deben permitir la conectividad de salida.To reach the Azure service, NSGs need to allow outbound connectivity. Si los NSG están abiertos a todo el tráfico saliente de Internet, entonces el tráfico del punto de conexión de servicio debería funcionar.If your NSGs are opened to all Internet outbound traffic, then the service endpoint traffic should work. También puede limitar el tráfico saliente a las IP de servicio mediante las etiquetas de servicio.You can also limit the outbound traffic to service IPs only using the Service tags.

¿Qué permisos necesito para configurar los puntos de conexión de servicio?What permissions do I need to set up service endpoints?

Un usuario con acceso de escritura a la red virtual puede configurar los puntos de conexión de servicio de forma independiente en redes virtuales.Service endpoints can be configured on a virtual network independently by a user with write access to the virtual network. Para proteger los recursos de servicio de Azure en una red virtual, el usuario debe tener el permiso Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action en las subredes que se agreguen.To secure Azure service resources to a VNet, the user must have permission Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action for the subnets being added. De forma predeterminada, este permiso se incluye en los roles de administrador de servicios integrado y puede modificarse mediante la creación de roles personalizados.This permission is included in the built-in service administrator role by default and can be modified by creating custom roles. Obtenga más información sobre los roles integrados y la asignación de permisos específicos a roles personalizados.Learn more about built-in roles and assigning specific permissions to custom roles.

¿Puedo filtrar el tráfico de red virtual a los servicios de Azure, permitiendo únicamente recursos de servicio específicos de Azure, sobre los puntos de conexión de servicio de la red virtual?Can I filter virtual network traffic to Azure services, allowing only specific azure service resources, over VNet service endpoints?

Las directivas de punto de conexión de servicio de la red virtual (VNet) le permiten filtrar el tráfico de red virtual a los servicios de Azure, lo que permite únicamente recursos de servicio específicos de Azure, sobre los puntos de conexión de servicio.Virtual network (VNet) service endpoint policies allow you to filter virtual network traffic to Azure services, allowing only specific Azure service resources over the service endpoints. Las directivas de punto de conexión de servicio ofrecen un control de acceso pormenorizado para el tráfico de red virtual a los servicios de Azure.Endpoint policies provide granular access control from the virtual network traffic to the Azure services. Puede obtener más información acerca de las directivas de punto de conexión de servicio aquí.You can learn more about the service endpoint policies here.

¿Admite Azure Active Directory (Azure AD) puntos de conexión de servicio de red virtual?Does Azure Active Directory (Azure AD) support VNet service endpoints?

Azure Active Directory (Azure AD) no admite puntos de conexión de servicio de forma nativa.Azure Active Directory (Azure AD) doesn't support service endpoints natively. Aquí encontrará una lista completa de los servicios de Azure que admiten puntos de conexión de servicio de red virtual.Complete list of Azure Services supporting VNet service endpoints can be seen here. Cabe mencionar que la etiqueta "Microsoft.AzureActiveDirectory" que aparece bajo los servicios compatibles con los puntos de conexión de servicio se usa para admitir los puntos de conexión de servicio para ADLS Gen 1.Note that the "Microsoft.AzureActiveDirectory" tag listed under services supporting service endpoints is used for supporting service endpoints to ADLS Gen 1. En el caso de ADLS Gen 1, la integración de red virtual de Azure Data Lake Storage Gen1 emplea la seguridad del punto de conexión de servicio de red virtual entre la red virtual y Azure Active Directory (Azure AD) para generar notificaciones de seguridad adicionales en el token de acceso.For ADLS Gen 1, virtual network integration for Azure Data Lake Storage Gen1 makes use of the virtual network service endpoint security between your virtual network and Azure Active Directory (Azure AD) to generate additional security claims in the access token. Estas notificaciones se usan entonces para autenticar la red virtual en la cuenta de Data Lake Storage Gen1 y permitir el acceso.These claims are then used to authenticate your virtual network to your Data Lake Storage Gen1 account and allow access. Más información sobre la integración con redes virtuales de Azure Data Lake Store Gen 1Learn more about Azure Data Lake Store Gen 1 VNet Integration

¿Hay algún límite en la cantidad de puntos de conexión de servicio de la red virtual que puedo configurar desde mi red virtual?Are there any limits on how many VNet service endpoints I can set up from my VNet?

No hay límite en el número total de puntos de conexión de servicio de la red virtual en una red virtual.There is no limit on the total number of VNet service endpoints in a virtual network. Para un recurso de servicio de Azure (por ejemplo, una cuenta de Azure Storage), los servicios pueden exigir límites en el número de subredes que se usan para proteger el recurso.For an Azure service resource (such as an Azure Storage account), services may enforce limits on the number of subnets used for securing the resource. En la tabla siguiente se muestran algunos límites de ejemplo:The following table shows some example limits:

Servicio de AzureAzure service Límites en las reglas de red virtualLimits on VNet rules
Azure StorageAzure Storage 100100
Azure SQLAzure SQL 128128
Azure SQL Data WarehouseAzure SQL Data Warehouse 128128
Azure KeyVaultAzure KeyVault 127127
Azure Cosmos DBAzure Cosmos DB 6464
Centro de eventos de AzureAzure Event Hub 128128
Azure Service BusAzure Service Bus 128128
Azure Data Lake Store V1Azure Data Lake Store V1 100100

Nota

Los límites están sujetos a cambios a discreción del servicio de Azure.The limits are subjected to changes at the discretion of the Azure service. Consulte la documentación de servicio correspondiente para obtener detalles acerca de los servicios.Refer to the respective service documentation for services details.