Configuración del tránsito de la puerta de enlace de VPN para el emparejamiento de red virtual
Este artículo le ayuda a configurar el tránsito de la puerta de enlace para el emparejamiento de red virtual. El emparejamiento de red virtual conecta perfectamente dos redes virtuales de Azure, combinando las dos redes virtuales en una sola para favorecer la conectividad. El tránsito de puerta de enlace es una propiedad del emparejamiento que permite que una red virtual utilice la puerta de enlace de VPN en la red virtual emparejada para la conectividad entre locales o entre redes virtuales. El siguiente diagrama muestra cómo funciona el tránsito de la puerta de enlace con el emparejamiento de red virtual.
En el diagrama, el tránsito de la puerta de enlace permite que las redes virtuales emparejadas usen Azure VPN Gateway en Hub-RM. La conectividad disponible en la puerta de enlace de VPN, que incluye las conexiones S2S, P2S y entre redes virtuales, se aplica a las tres redes virtuales. La opción de tránsito está disponible para el emparejamiento entre modelos de implementación iguales o diferentes. Si está configurando el tránsito entre distintos modelos de implementación, la red virtual del centro y la puerta de enlace de red virtual deben estar en el Modelo de implementación de Resource Manager, no en el modelo de implementación clásica.
En la arquitectura de red del tipo hub-and-spoke, el tránsito de la puerta de enlace permite que las redes virtuales de radio compartan la puerta de enlace de VPN en el concentrador, en lugar de implementar puertas de enlace de VPN en todas las redes virtuales de radio. Las rutas a las redes virtuales conectadas a la puerta de enlace o a las redes locales se propagarán a las tablas de enrutamiento de las redes virtuales emparejadas mediante el tránsito de la puerta de enlace. Puede deshabilitar la propagación automática de rutas de la puerta de enlace de VPN. Cree una tabla de enrutamiento con la opción "Deshabilitar la propagación de rutas BGP" y asóciela con las subredes para evitar la distribución de rutas en dichas subredes. Para más información, consulte Tabla de enrutamiento de redes virtuales.
En este artículo, hay dos escenarios:
- Mismo modelo de implementación: ambas redes virtuales se crean en el modelo de implementación de Resource Manager.
- Diferentes modelos de implementación: la red virtual de radio se crea en el modelo de implementación clásica y la red virtual de centro y la puerta de enlace se encuentran en el modelo de implementación de Resource Manager.
Nota
Si realiza un cambio en la topología de la red y tiene clientes VPN de Windows, el paquete de cliente VPN para clientes de Windows se debe descargar e instalar nuevamente para que los cambios se apliquen en el cliente.
Requisitos previos
Antes de comenzar, compruebe que dispone de las siguientes redes virtuales y permisos:
Redes virtuales
| VNet | Modelo de implementación | Puerta de enlace de red virtual |
|---|---|---|
| Hub-RM | Resource Manager | Sí |
| Spoke-RM | Resource Manager | No |
| Spoke-Classic | Clásico | No |
Permisos
Las cuentas que use para crear un emparejamiento de redes virtuales deben tener los rol o permisos necesarios. En el ejemplo siguiente, si fuera a emparejar dos redes virtuales llamadas Hub-RM y Spoke-Classic, la cuenta debería tener los siguientes roles o permisos mínimos para cada red virtual:
| VNet | Modelo de implementación | Role | Permisos |
|---|---|---|---|
| Hub-RM | Resource Manager | Colaborador de la red | Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write |
| Clásico | Colaborador de la red clásica | N/D | |
| Spoke-Classic | Resource Manager | Colaborador de la red | Microsoft.Network/virtualNetworks/peer |
| Clásico | Colaborador de la red clásica | Microsoft.ClassicNetwork/virtualNetworks/peer |
Obtenga más información sobre los roles integrados y la asignación de permisos específicos a roles personalizados (solo Resource Manager).
Mismo modelo de implementación
En este escenario, las redes virtuales están ambas en el modelo de implementación de Resource Manager. Use los pasos siguientes para crear o actualizar los emparejamientos de red virtual para habilitar el tránsito de puerta de enlace.
Para agregar un emparejamiento y habilitar el tránsito:
En Azure Portal, cree o actualice el emparejamiento de red virtual de Hub-RM. Vaya a la red virtual Hub-RM. Seleccione Emparejamientos y, después, + Agregar para abrir Agregar emparejamiento.
En la página Agregar emparejamiento, configure los valores de This virtual network (Esta red virtual).
Nombre del vínculo de emparejamiento: Asigne un nombre al vínculo. Ejemplo: HubRMToSpokeRM
Tráfico hacia la red virtual remota: Permitir
Tráfico reenviado desde la red virtual remota: Permitir
Puerta de enlace de red virtual: Use this virtual network's gateway (Usar la puerta de enlace de esta red virtual)
En la misma página, continúe con la configuración de los valores de la red virtual remota.
Nombre del vínculo de emparejamiento: Asigne un nombre al vínculo. Ejemplo: SpokeRMtoHubRM
Modelo de implementación: Resource Manager
Red virtual: Spoke-RM
Tráfico hacia la red virtual remota: Permitir
Tráfico reenviado desde la red virtual remota: Permitir
Puerta de enlace de red virtual: Use the remote virtual network's gateway (Usar la puerta de enlace de esta red virtual)
Seleccione Agregar para crear el emparejamiento.
Compruebe que el estado de emparejamiento sea Conectado en ambas redes virtuales.
Para modificar un emparejamiento existente para el tránsito:
Si ya se ha creado el emparejamiento, puede modificarlo para el tránsito.
Vaya a la red virtual. Seleccione Emparejamientos y elija el emparejamiento que quiere modificar.
Actualice el emparejamiento de red virtual.
Tráfico hacia la red virtual remota: Permitir
Tráfico reenviado a la red virtual; Permitir
Puerta de enlace de red virtual: Use remote virtual network's gateway (Usar la puerta de enlace de esta red virtual)
Guarde la configuración de emparejamiento.
Ejemplo de PowerShell
También puede usar PowerShell para crear o actualizar el emparejamiento con el ejemplo anterior. Reemplace las variables por los nombres de las redes virtuales y los grupos de recursos.
$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name SpokeRMtoHubRM `
-VirtualNetwork $spokermvnet `
-RemoteVirtualNetworkId $hubrmvnet.Id `
-UseRemoteGateways
Add-AzVirtualNetworkPeering `
-Name HubRMToSpokeRM `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId $spokermvnet.Id `
-AllowGatewayTransit
Diferentes modelos de implementación
En esta configuración, la red virtual de radio Spoke-Classic está en el modelo de implementación clásica y la red virtual de centro Hub-RM está en el modelo de implementación de Resource Manager. Al configurar el tránsito entre los modelos de implementación, la puerta de enlace de red virtual debe estar configurada para la red virtual de Resource Manager, no la red virtual clásica.
Con esta configuración, solo tiene que configurar la red virtual Hub-RM. No es necesario configurar nada en la red virtual Spoke-Classic.
En Azure Portal, vaya a la red virtual Hub-RM, seleccione Emparejamientos y, luego, elija + Agregar.
En la página Agregar emparejamiento, configure los siguientes valores:
Nombre del vínculo de emparejamiento: Asigne un nombre al vínculo. Ejemplo: HubRMToClassic
Tráfico hacia la red virtual remota: Permitir
Tráfico reenviado desde la red virtual remota: Permitir
Puerta de enlace de red virtual: Use this virtual network's gateway (Usar la puerta de enlace de esta red virtual)
Red virtual remota: Clásico
Compruebe que la suscripción es correcta y, a continuación, seleccione la red virtual en la lista desplegable.
Seleccione Agregar para agregar el emparejamiento.
Compruebe que el estado de emparejamiento sea Conectado en la red virtual Hub-RM.
Con esta configuración, no es necesario configurar nada en la red virtual Spoke-Classic. Una vez que el estado muestra Conectado, la red virtual de radio puede usar la conectividad a través de la puerta de enlace de VPN en la red virtual de centro.
Ejemplo de PowerShell
También puede usar PowerShell para crear o actualizar el emparejamiento con el ejemplo anterior. Reemplace las variables y el identificador de la suscripción por los valores de la red virtual y de los grupos de recursos, así como de la suscripción. Basta con crear un emparejamiento de red virtual en la red virtual del concentrador.
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name HubRMToClassic `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId "/subscriptions/<subscription Id>/resourceGroups/Default-Networking/providers/Microsoft.ClassicNetwork/virtualNetworks/Spoke-Classic" `
-AllowGatewayTransit
Pasos siguientes
- Obtenga más información acerca de las restricciones y comportamientos importantes del emparejamiento de redes virtuales, así como la configuración del emparejamiento de redes virtuales antes de crear uno para usarlo en un entorno de producción.
- Aprenda a crear una topología del tipo hub-and-spoke con emparejamiento de redes virtuales y tránsito de la puerta de enlace.
- Creación de un emparejamiento de red virtual con el mismo modelo de implementación.
- Creación de un emparejamiento de red virtual con distintos modelos de implementación.