Configuración de una conexión de puerta de enlace de VPN de red virtual a red virtual mediante la CLI de AzureConfigure a VNet-to-VNet VPN gateway connection using Azure CLI

Este artículo le ayuda a conectarse a redes virtuales mediante el tipo de conexión de red virtual a red virtual.This article helps you connect virtual networks by using the VNet-to-VNet connection type. Las redes virtuales pueden estar en la misma región o en distintas, así como pertenecer a una única suscripción o a varias.The virtual networks can be in the same or different regions, and from the same or different subscriptions. Al conectar redes virtuales de distintas suscripciones, estas no necesitan estar asociadas con el mismo inquilino de Active Directory.When connecting VNets from different subscriptions, the subscriptions do not need to be associated with the same Active Directory tenant.

Los pasos descritos en este artículo se aplican al modelo de implementación de Resource Manager y usan la CLI de Azure.The steps in this article apply to the Resource Manager deployment model and use Azure CLI. También se puede crear esta configuración con una herramienta o modelo de implementación distintos, mediante la selección de una opción diferente en la lista siguiente:You can also create this configuration using a different deployment tool or deployment model by selecting a different option from the following list:

Acerca de la conexión de redes virtualesAbout connecting VNets

Hay varias formas de conectar redes virtuales.There are multiple ways to connect VNets. Las siguientes secciones describen distintas formas de conectar redes virtuales.The sections below describe different ways to connect virtual networks.

De red virtual a red virtualVNet-to-VNet

La configuración de una conexión entre redes virtuales es una buena manera de conectar redes virtuales fácilmente.Configuring a VNet-to-VNet connection is a good way to easily connect VNets. La conexión de una red virtual a otra mediante el tipo de conexión entre redes virtuales es parecida a la creación de una conexión IPsec de sitio a sitio en una ubicación local.Connecting a virtual network to another virtual network using the VNet-to-VNet connection type is similar to creating a Site-to-Site IPsec connection to an on-premises location. Ambos tipos de conectividad usan una puerta de enlace de VPN para proporcionar un túnel seguro mediante IPsec/IKE y los dos funcionan de la misma forma en lo relativo a la comunicación.Both connectivity types use a VPN gateway to provide a secure tunnel using IPsec/IKE, and both function the same way when communicating. La diferencia entre ambos tipos de conexión radica en la manera en que se configura la puerta de enlace de red local.The difference between the connection types is the way the local network gateway is configured. Al crear una conexión entre redes virtuales, no se ve el espacio de direcciones de la puerta de enlace de red local.When you create a VNet-to-VNet connection, you do not see the local network gateway address space. Se crea y rellena automáticamente.It is automatically created and populated. Si actualiza el espacio de direcciones de una de las redes virtuales, la otra sabe automáticamente cómo realizar el enrutamiento al espacio de direcciones actualizado.If you update the address space for one VNet, the other VNet automatically knows to route to the updated address space. La creación de una conexión entre redes virtuales suele ser más rápida y sencilla que la creación de una conexión de sitio a sitio entre redes virtuales.Creating a VNet-to-VNet connection is typically faster and easier than creating a Site-to-Site connection between VNets.

Conexión de redes virtuales mediante los pasos de sitio a sitio (IPsec)Connecting VNets using Site-to-Site (IPsec) steps

Si puntualmente trabaja con una configuración de red complicada, puede que prefiera conectar sus redes virtuales mediante los pasos que se indican en Creación de una red virtual con una conexión VPN de sitio a sitio mediante PowerShell, en lugar de los pasos entre redes virtuales.If you are working with a complicated network configuration, you may prefer to connect your VNets using the Site-to-Site steps, instead of the VNet-to-VNet steps. Cuando se usan las instrucciones para la conexión de sitio a sitio, las puertas de enlace de red locales se crean y se configuran manualmente.When you use the Site-to-Site steps, you create and configure the local network gateways manually. La puerta de enlace de red local de cada red virtual trata a la otra red virtual como un sitio local.The local network gateway for each VNet treats the other VNet as a local site. De esta forma, puede especificar más espacio de direcciones para la puerta de enlace de red local a fin de enrutar el tráfico.This lets you specify additional address space for the local network gateway in order to route traffic. Si el espacio de direcciones de una red virtual cambia, es preciso que actualice manualmente la puerta de enlace de red local correspondiente para reflejar dicho cambio.If the address space for a VNet changes, you need to manually update the corresponding local network gateway to reflect the change. No se actualiza automáticamente.It does not automatically update.

Emparejamiento de VNETVNet peering

Puede que desee considerar conectar sus redes virtuales mediante el emparejamiento de VNET.You may want to consider connecting your VNets using VNet Peering. El emparejamiento de VNET no utiliza una puerta de enlace de VPN y tiene distintas restricciones.VNet peering does not use a VPN gateway and has different constraints. Además, los precios del emparejamiento de VNET se calculan de forma diferente que los precios de VPN Gateway entre redes virtuales.Additionally, VNet peering pricing is calculated differently than VNet-to-VNet VPN Gateway pricing. Para más información, consulte Emparejamiento de VNET.For more information, see VNet peering.

¿Por qué crear una conexión de red virtual a red virtual?Why create a VNet-to-VNet connection?

Puede que desee conectar redes virtuales con una conexión entre redes virtuales por las siguientes razones:You may want to connect virtual networks using a VNet-to-VNet connection for the following reasons:

  • Presencia geográfica y redundancia geográfica entre regionesCross region geo-redundancy and geo-presence

    • Puede configurar su propia replicación geográfica o sincronización con conectividad segura sin recurrir a los puntos de conexión a Internet.You can set up your own geo-replication or synchronization with secure connectivity without going over Internet-facing endpoints.
    • Con el Equilibrador de carga y el Administrador de tráfico de Azure, puede configurar cargas de trabajo de alta disponibilidad con redundancia geográfica en varias regiones de Azure.With Azure Traffic Manager and Load Balancer, you can set up highly available workload with geo-redundancy across multiple Azure regions. Por ejemplo, puede configurar AlwaysOn de SQL con grupos de disponibilidad distribuidos en varias regiones de Azure.One important example is to set up SQL Always On with Availability Groups spreading across multiple Azure regions.
  • Aplicaciones regionales de niveles múltiples con aislamiento o un límite administrativoRegional multi-tier applications with isolation or administrative boundary

    • Dentro de la misma región, se pueden configurar aplicaciones de niveles múltiples con varias redes virtuales conectadas entre sí para cumplir requisitos administrativos o de aislamiento.Within the same region, you can set up multi-tier applications with multiple virtual networks connected together due to isolation or administrative requirements.

Se puede combinar la comunicación entre redes virtuales con configuraciones de varios sitios.VNet-to-VNet communication can be combined with multi-site configurations. Esto permite establecer topologías de red que combinen la conectividad entre entornos con la conectividad entre redes virtuales.This lets you establish network topologies that combine cross-premises connectivity with inter-virtual network connectivity.

¿Qué instrucciones para la conexión entre redes virtuales debo seguir?Which VNet-to-VNet steps should I use?

En este artículo, verá dos conjuntos de pasos diferentes de la conexión entre redes virtuales.In this article, you see two different sets of VNet-to-VNet connection steps. Un conjunto de pasos para las redes virtuales que residen en la misma suscripción y otro para las redes virtuales que residen en suscripciones diferentes.One set of steps for VNets that reside in the same subscription and one for VNets that reside in different subscriptions.

Para este ejercicio, puede combinar las configuraciones, o bien elegir con la que desea trabajar.For this exercise, you can combine configurations, or just choose the one that you want to work with. Todas las configuraciones utilizan el tipo de conexión entre redes virtuales.All of the configurations use the VNet-to-VNet connection type. Flujos de tráfico de red entre las redes virtuales que están directamente conectados entre sí.Network traffic flows between the VNets that are directly connected to each other. En este ejercicio, el tráfico de TestVNet4 no se enruta a TestVNet5.In this exercise, traffic from TestVNet4 does not route to TestVNet5.

Conexión de redes virtuales que están en la misma suscripciónConnect VNets that are in the same subscription

Antes de empezarBefore you begin

Antes de empezar, instale la versión más reciente de los comandos de la CLI (2.0 o posteriores).Before beginning, install the latest version of the CLI commands (2.0 or later). Para obtener más información sobre la instalación de los comandos de la CLI, consulte Instalación de la CLI de Azure.For information about installing the CLI commands, see Install the Azure CLI.

Planeamiento de los intervalos de direcciones IPPlan your IP address ranges

En los pasos siguientes, se crean dos redes virtuales junto con sus subredes de puerta de enlace y configuraciones correspondientes.In the following steps, you create two virtual networks along with their respective gateway subnets and configurations. Luego, se crea una conexión VPN entre las dos redes virtuales.You then create a VPN connection between the two VNets. Es importante planear los intervalos de direcciones IP para la configuración de red.It’s important to plan the IP address ranges for your network configuration. Tenga en cuenta que hay que asegurarse de que ninguno de los intervalos de VNet o intervalos de red local se solapen.Keep in mind that you must make sure that none of your VNet ranges or local network ranges overlap in any way. En estos ejemplos, no se incluye ningún servidor DNS.In these examples, we do not include a DNS server. Si desea disponer de resolución de nombres en las redes virtuales, consulte Resolución de nombres.If you want name resolution for your virtual networks, see Name resolution.

En los ejemplos usamos los siguientes valores:We use the following values in the examples:

Valores para TestVNet1:Values for TestVNet1:

  • Nombre de la red virtual: TestVNet1VNet Name: TestVNet1
  • Grupo de recursos: TestRG1Resource Group: TestRG1
  • Ubicación: Este de EE. UULocation: East US
  • TestVNet1: 10.11.0.0/16 y 10.12.0.0/16TestVNet1: 10.11.0.0/16 & 10.12.0.0/16
  • front-end: 10.11.0.0/24FrontEnd: 10.11.0.0/24
  • BackEnd: 10.12.0.0/24BackEnd: 10.12.0.0/24
  • GatewaySubnet: 10.12.255.0/27GatewaySubnet: 10.12.255.0/27
  • GatewayName: VNet1GWGatewayName: VNet1GW
  • Public IP: VNet1GWIPPublic IP: VNet1GWIP
  • VPNType: RouteBasedVPNType: RouteBased
  • Connection(1to4): VNet1toVNet4Connection(1to4): VNet1toVNet4
  • Connection(1to5): VNet1toVNet5 (para redes virtuales de suscripciones distintas)Connection(1to5): VNet1toVNet5 (For VNets in different subscriptions)

Valores para TestVNet4:Values for TestVNet4:

  • Nombre de la red virtual: TestVNet4VNet Name: TestVNet4
  • TestVNet2: 10.41.0.0/16 y 10.42.0.0/16TestVNet2: 10.41.0.0/16 & 10.42.0.0/16
  • front-end: 10.41.0.0/24FrontEnd: 10.41.0.0/24
  • BackEnd: 10.42.0.0/24BackEnd: 10.42.0.0/24
  • GatewaySubnet: 10.42.255.0/27GatewaySubnet: 10.42.255.0/27
  • Grupo de recursos: TestRG4Resource Group: TestRG4
  • Ubicación: Oeste de EE. UU.Location: West US
  • GatewayName: VNet4GWGatewayName: VNet4GW
  • Public IP: VNet4GWIPPublic IP: VNet4GWIP
  • VPNType: RouteBasedVPNType: RouteBased
  • Conexión: VNet4toVNet1Connection: VNet4toVNet1

Paso 1: Conexión a la suscripciónStep 1 - Connect to your subscription

  1. Inicie sesión en la suscripción de Azure con el comando az login y siga las instrucciones que aparecen en pantalla.Sign in to your Azure subscription with the az login command and follow the on-screen directions. Para más información sobre el inicio de sesión, consulte Introducción a la CLI de Azure.For more information about signing in, see Get Started with Azure CLI.

    az login
    
  2. Si tiene más de una suscripción de Azure, enumere las suscripciones de la cuenta.If you have more than one Azure subscription, list the subscriptions for the account.

    az account list --all
    
  3. Especifique la suscripción que desea usar.Specify the subscription that you want to use.

    az account set --subscription <replace_with_your_subscription_id>
    

Paso 2: Creación y configuración de TestVNet1Step 2 - Create and configure TestVNet1

  1. Cree un grupo de recursos.Create a resource group.

    az group create -n TestRG1  -l eastus
    
  2. Cree TestVNet1 y las subredes para TestVNet1.Create TestVNet1 and the subnets for TestVNet1. En este ejemplo se crea una red virtual denominada TestVNet1 y una subred llamada FrontEnd.This example creates a virtual network named TestVNet1 and a subnet named FrontEnd.

    az network vnet create -n TestVNet1 -g TestRG1 --address-prefix 10.11.0.0/16 -l eastus --subnet-name FrontEnd --subnet-prefix 10.11.0.0/24
    
  3. Cree otro espacio de direcciones para la subred de back-end.Create an additional address space for the backend subnet. Tenga en cuenta que, en este paso, se especifican tanto el espacio de direcciones que se creó antes como el adicional que se va a agregar.Notice that in this step, we specify both the address space that we created earlier, and the additional address space that we want to add. Esto se debe a que el comando az network vnet update sobrescribe la configuración anterior.This is because the az network vnet update command overwrites the previous settings. Asegúrese de especificar todos los prefijos de direcciones cuando use este comando.Make sure to specify all of the address prefixes when using this command.

    az network vnet update -n TestVNet1 --address-prefixes 10.11.0.0/16 10.12.0.0/16 -g TestRG1
    
  4. Cree la subred de back-end.Create the backend subnet.

    az network vnet subnet create --vnet-name TestVNet1 -n BackEnd -g TestRG1 --address-prefix 10.12.0.0/24 
    
  5. Cree la subred de la puerta de enlace.Create the gateway subnet. Asegúrese de que la subred de puerta de enlace se llame "GatewaySubnet".Notice that the gateway subnet is named 'GatewaySubnet'. Este nombre es obligatorio.This name is required. En este ejemplo, la subred de la puerta de enlace está usando un /27.In this example, the gateway subnet is using a /27. Aunque es posible crear una subred de puerta de enlace tan pequeña como /29, se recomienda que cree una subred mayor que incluya más direcciones seleccionando al menos /28 o /27.While it is possible to create a gateway subnet as small as /29, we recommend that you create a larger subnet that includes more addresses by selecting at least /28 or /27. Esto permitirá suficientes direcciones para dar cabida a posibles configuraciones adicionales que desee en el futuro.This will allow for enough addresses to accommodate possible additional configurations that you may want in the future.

    az network vnet subnet create --vnet-name TestVNet1 -n GatewaySubnet -g TestRG1 --address-prefix 10.12.255.0/27
    
  6. Solicite que se asigne una dirección IP pública a la puerta de enlace que creará para la red virtual.Request a public IP address to be allocated to the gateway you will create for your VNet. Observe que AllocationMethod es dinámico.Notice that the AllocationMethod is Dynamic. No puede especificar la dirección IP que desea usar.You cannot specify the IP address that you want to use. Se asigna dinámicamente a la puerta de enlace.It's dynamically allocated to your gateway.

    az network public-ip create -n VNet1GWIP -g TestRG1 --allocation-method Dynamic
    
  7. Cree la puerta de enlace de red virtual para TestVNet1.Create the virtual network gateway for TestVNet1. Las configuraciones VNet a VNet requieren un VpnType RouteBased.VNet-to-VNet configurations require a RouteBased VpnType. Si este comando se ejecuta con el parámetro '--no-wait', no se verán los comentarios o resultados.If you run this command using the '--no-wait' parameter, you don't see any feedback or output. El parámetro "--no-wait" permite que la puerta de enlace se cree en segundo plano.The '--no-wait' parameter allows the gateway to create in the background. No significa que se termine de crear la puerta de enlace de VPN de inmediato.It does not mean that the VPN gateway finishes creating immediately. Se suelen tardar 45 minutos o más en crear una puerta de enlace, según la SKU de puerta de enlace que se use.Creating a gateway can often take 45 minutes or more, depending on the gateway SKU that you use.

    az network vnet-gateway create -n VNet1GW -l eastus --public-ip-address VNet1GWIP -g TestRG1 --vnet TestVNet1 --gateway-type Vpn --sku VpnGw1 --vpn-type RouteBased --no-wait
    

Paso 3: Creación y configuración de TestVNet4Step 3 - Create and configure TestVNet4

  1. Cree un grupo de recursos.Create a resource group.

    az group create -n TestRG4  -l westus
    
  2. Cree TestVNet4.Create TestVNet4.

    az network vnet create -n TestVNet4 -g TestRG4 --address-prefix 10.41.0.0/16 -l westus --subnet-name FrontEnd --subnet-prefix 10.41.0.0/24
    
  3. Cree subredes adicionales para TestVNet4.Create additional subnets for TestVNet4.

    az network vnet update -n TestVNet4 --address-prefixes 10.41.0.0/16 10.42.0.0/16 -g TestRG4 
    az network vnet subnet create --vnet-name TestVNet4 -n BackEnd -g TestRG4 --address-prefix 10.42.0.0/24 
    
  4. Cree la subred de la puerta de enlace.Create the gateway subnet.

    az network vnet subnet create --vnet-name TestVNet4 -n GatewaySubnet -g TestRG4 --address-prefix 10.42.255.0/27
    
  5. Solicite una dirección IP pública.Request a Public IP address.

    az network public-ip create -n VNet4GWIP -g TestRG4 --allocation-method Dynamic
    
  6. Cree la puerta de enlace de la red virtual TestVNet4.Create the TestVNet4 virtual network gateway.

    az network vnet-gateway create -n VNet4GW -l westus --public-ip-address VNet4GWIP -g TestRG4 --vnet TestVNet4 --gateway-type Vpn --sku VpnGw1 --vpn-type RouteBased --no-wait
    

Paso 4: Creación de las conexionesStep 4 - Create the connections

Ahora tiene dos redes virtuales con puertas de enlace de VPN.You now have two VNets with VPN gateways. El siguiente paso consiste en crear conexiones de puerta de enlace de VPN entre las puertas de enlace de red virtual.The next step is to create VPN gateway connections between the virtual network gateways. Si usó los ejemplos anteriores, las puertas de enlace de red virtual se encuentran en grupos de recursos distintos.If you used the examples above, your VNet gateways are in different resource groups. Cuando las puertas de enlace están en grupos de recursos distintos, debe identificar y especificar los identificadores de recursos para cada puerta de enlace al establecer una conexión.When gateways are in different resource groups, you need to identify and specify the resource IDs for each gateway when making a connection. Si sus redes virtuales están en el mismo grupo de recursos, puede usar el segundo conjunto de instrucciones porque no es necesario especificar los identificadores de recursos.If your VNets are in the same resource group, you can use the second set of instructions because you don't need to specify the resource IDs.

Conexión de redes virtuales que residen en grupos de recursos distintosTo connect VNets that reside in different resource groups

  1. Obtenga el id. de recurso de VNet1GW de la salida del comando siguiente:Get the Resource ID of VNet1GW from the output of the following command:

    az network vnet-gateway show -n VNet1GW -g TestRG1
    

    En la salida, busque la línea "id:".In the output, find the "id:" line. Los valores entrecomillados se necesitan para crear la conexión en la sección siguiente.The values within the quotes are needed to create the connection in the next section. Copie estos valores en un editor de texto, como el Bloc de notas, para que pueda pegarlos fácilmente al crear la conexión.Copy these values to a text editor, such as Notepad, so that you can easily paste them when creating your connection.

    Salida de ejemplo:Example output:

    "activeActive": false, 
    "bgpSettings": { 
     "asn": 65515, 
     "bgpPeeringAddress": "10.12.255.30", 
     "peerWeight": 0 
    }, 
    "enableBgp": false, 
    "etag": "W/\"ecb42bc5-c176-44e1-802f-b0ce2962ac04\"", 
    "gatewayDefaultSite": null, 
    "gatewayType": "Vpn", 
    "id": "/subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW", 
    "ipConfigurations":
    

    Copie los valores después de "id": dentro de las comillas.Copy the values after "id": within the quotes.

    "id": "/subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW"
    
  2. Obtenga el id. de recurso de VNet4GW y copie los valores en un editor de texto.Get the Resource ID of VNet4GW and copy the values to a text editor.

    az network vnet-gateway show -n VNet4GW -g TestRG4
    
  3. Cree la conexión de TestVNet1 a TestVNet4.Create the TestVNet1 to TestVNet4 connection. En este paso, creará la conexión de TestVNet1 a TestVNet4.In this step, you create the connection from TestVNet1 to TestVNet4. Se hace referencia a una clave compartida en los ejemplos.There is a shared key referenced in the examples. Puede utilizar sus propios valores para la clave compartida.You can use your own values for the shared key. Lo importante es que la clave compartida coincida en ambas conexiones.The important thing is that the shared key must match for both connections. Se tardará unos momentos en terminar de crear la conexión.Creating a connection takes a short while to complete.

    az network vpn-connection create -n VNet1ToVNet4 -g TestRG1 --vnet-gateway1 /subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW -l eastus --shared-key "aabbcc" --vnet-gateway2 /subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG4/providers/Microsoft.Network/virtualNetworkGateways/VNet4GW 
    
  4. Cree la conexión de TestVNet4 a TestVNet1.Create the TestVNet4 to TestVNet1 connection. Este paso es similar al anterior, salvo en que se crea la conexión de TestVNet4 a TestVNet1.This step is similar to the one above, except you are creating the connection from TestVNet4 to TestVNet1. Asegúrese de que coincidan las claves compartidas.Make sure the shared keys match. Se tarda unos minutos en establecer la conexión.It takes a few minutes to establish the connection.

    az network vpn-connection create -n VNet4ToVNet1 -g TestRG4 --vnet-gateway1 /subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG4/providers/Microsoft.Network/virtualNetworkGateways/VNet4GW -l westus --shared-key "aabbcc" --vnet-gateway2 /subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1G
    
  5. Compruebe las conexiones.Verify your connections. Consulte Comprobación de las conexiones.See Verify your connection.

Para conectar redes virtuales que residen en el mismo grupo de recursosTo connect VNets that reside in the same resource group

  1. Cree la conexión de TestVNet1 a TestVNet4.Create the TestVNet1 to TestVNet4 connection. En este paso, creará la conexión de TestVNet1 a TestVNet4.In this step, you create the connection from TestVNet1 to TestVNet4. Tenga en cuenta que los grupos de recursos son iguales en los ejemplos.Notice the resource groups are the same in the examples. También verá una clave compartida a la que se hace referencia en los ejemplos.You also see a shared key referenced in the examples. Puede usar sus propios valores para la clave compartida, pero esta debe coincidir en ambas conexiones.You can use your own values for the shared key, however, the shared key must match for both connections. Se tardará unos momentos en terminar de crear la conexión.Creating a connection takes a short while to complete.

    az network vpn-connection create -n VNet1ToVNet4 -g TestRG1 --vnet-gateway1 VNet1GW -l eastus --shared-key "eeffgg" --vnet-gateway2 VNet4GW
    
  2. Cree la conexión de TestVNet4 a TestVNet1.Create the TestVNet4 to TestVNet1 connection. Este paso es similar al anterior, salvo en que se crea la conexión de TestVNet4 a TestVNet1.This step is similar to the one above, except you are creating the connection from TestVNet4 to TestVNet1. Asegúrese de que coincidan las claves compartidas.Make sure the shared keys match. Se tarda unos minutos en establecer la conexión.It takes a few minutes to establish the connection.

    az network vpn-connection create -n VNet4ToVNet1 -g TestRG1 --vnet-gateway1 VNet4GW -l eastus --shared-key "eeffgg" --vnet-gateway2 VNet1GW
    
  3. Compruebe las conexiones.Verify your connections. Consulte Comprobación de las conexiones.See Verify your connection.

Conexión de redes virtuales que están en suscripciones diferentesConnect VNets that are in different subscriptions

En este escenario, se conectan TestVNet1 y TestVNet5.In this scenario, you connect TestVNet1 and TestVNet5. Las redes virtuales residen en suscripciones distintas.The VNets reside different subscriptions. Las suscripciones no necesitan estar asociadas con el mismo inquilino de Active Directory.The subscriptions do not need to be associated with the same Active Directory tenant. Los pasos para esta configuración permiten agregar una conexión de red virtual a red virtual adicional para poder conectar TestVNet1 a TestVNet5.The steps for this configuration add an additional VNet-to-VNet connection in order to connect TestVNet1 to TestVNet5.

Paso 5: Creación y configuración de TestVNet1Step 5 - Create and configure TestVNet1

Estas instrucciones son una continuación de los pasos descritos en las secciones anteriores.These instructions continue from the steps in the preceding sections. Tiene que completar el paso 1 y el paso 2 para crear y configurar TestVNet1 y VPN Gateway para TestVNet1.You must complete Step 1 and Step 2 to create and configure TestVNet1 and the VPN Gateway for TestVNet1. Para esta configuración, no se necesita crear TestVNet4 de la sección anterior, aunque, si la creó, no entrará en conflicto con estos pasos.For this configuration, you are not required to create TestVNet4 from the previous section, although if you do create it, it will not conflict with these steps. Cuando haya completado el paso 1 y el 2, continúe con el paso 6 (a continuación).Once you complete Step 1 and Step 2, continue with Step 6 (below).

Paso 6: Comprobación de los intervalos de direcciones IPStep 6 - Verify the IP address ranges

Cuando cree conexiones adicionales, es importante asegurarse de que el espacio de direcciones IP de la red virtual nueva no se solape con ninguno de los demás intervalos de redes virtuales o de puertas de enlace de red local.When creating additional connections, it's important to verify that the IP address space of the new virtual network does not overlap with any of your other VNet ranges or local network gateway ranges. En este ejercicio, use los siguientes valores para TestVNet5:For this exercise, you can use the following values for the TestVNet5:

Valores para TestVNet5:Values for TestVNet5:

  • Nombre de la red virtual: TestVNet5VNet Name: TestVNet5
  • Grupo de recursos: TestRG5Resource Group: TestRG5
  • Ubicación: Este de JapónLocation: Japan East
  • TestVNet5: 10.51.0.0/16 y 10.52.0.0/16TestVNet5: 10.51.0.0/16 & 10.52.0.0/16
  • front-end: 10.51.0.0/24FrontEnd: 10.51.0.0/24
  • BackEnd: 10.52.0.0/24BackEnd: 10.52.0.0/24
  • GatewaySubnet: 10.52.255.0.0/27GatewaySubnet: 10.52.255.0.0/27
  • GatewayName: VNet5GWGatewayName: VNet5GW
  • Public IP: VNet5GWIPPublic IP: VNet5GWIP
  • VPNType: RouteBasedVPNType: RouteBased
  • Conexión: VNet5toVNet1Connection: VNet5toVNet1
  • ConnectionType: VNet2VNetConnectionType: VNet2VNet

Paso 7: Creación y configuración de TestVNet5Step 7 - Create and configure TestVNet5

Este paso debe realizarse en el contexto de la nueva suscripción, Suscripción 5.This step must be done in the context of the new subscription, Subscription 5. Es posible que esta parte la realice el administrador de otra organización que posea la suscripción.This part may be performed by the administrator in a different organization that owns the subscription. Para cambiar entre suscripciones, use az account list --all para obtener una lista de las suscripciones disponibles para su cuenta y después use az account set --subscription <subscriptionID> para cambiar a la suscripción que desea usar.To switch between subscriptions use az account list --all to list the subscriptions available to your account, then use az account set --subscription <subscriptionID> to switch to the subscription that you want to use.

  1. Asegúrese de que está conectados a Suscripción 5 y cree un grupo de recursos.Make sure you are connected to Subscription 5, then create a resource group.

    az group create -n TestRG5  -l japaneast
    
  2. Cree TestVNet5.Create TestVNet5.

    az network vnet create -n TestVNet5 -g TestRG5 --address-prefix 10.51.0.0/16 -l japaneast --subnet-name FrontEnd --subnet-prefix 10.51.0.0/24
    
  3. Agregue subredes.Add subnets.

    az network vnet update -n TestVNet5 --address-prefixes 10.51.0.0/16 10.52.0.0/16 -g TestRG5
    az network vnet subnet create --vnet-name TestVNet5 -n BackEnd -g TestRG5 --address-prefix 10.52.0.0/24
    
  4. Agregue la subred de puerta de enlace.Add the gateway subnet.

    az network vnet subnet create --vnet-name TestVNet5 -n GatewaySubnet -g TestRG5 --address-prefix 10.52.255.0/27
    
  5. Pida una dirección IP pública.Request a public IP address.

    az network public-ip create -n VNet5GWIP -g TestRG5 --allocation-method Dynamic
    
  6. Creación de la puerta de enlace de TestVNet5Create the TestVNet5 gateway

    az network vnet-gateway create -n VNet5GW -l japaneast --public-ip-address VNet5GWIP -g TestRG5 --vnet TestVNet5 --gateway-type Vpn --sku VpnGw1 --vpn-type RouteBased --no-wait
    

Paso 8: Creación de las conexionesStep 8 - Create the connections

Este paso se divide en dos sesiones de la CLI marcadas como [Suscripción 1] y [Suscripción 5] , ya que las puertas de enlace están en suscripciones diferentes.This step is split into two CLI sessions marked as [Subscription 1], and [Subscription 5] because the gateways are in the different subscriptions. Para cambiar entre suscripciones, use az account list --all para obtener una lista de las suscripciones disponibles para su cuenta y después use az account set --subscription <subscriptionID> para cambiar a la suscripción que desea usar.To switch between subscriptions use az account list --all to list the subscriptions available to your account, then use az account set --subscription <subscriptionID> to switch to the subscription that you want to use.

  1. [Suscripción 1] Inicie sesión y conéctese a Suscripción 1.[Subscription 1] Log in and connect to Subscription 1. Ejecute el siguiente comando para obtener el nombre y el identificador de la puerta de enlace de la salida:Run the following command to get the name and ID of the Gateway from the output:

    az network vnet-gateway show -n VNet1GW -g TestRG1
    

    Copie la salida para "id:".Copy the output for "id:". Envíe el identificador y el nombre de la puerta de enlace de red virtual (VNet1GW) al administrador de Suscripción 5 por correo electrónico u otro método.Send the ID and the name of the VNet gateway (VNet1GW) to the administrator of Subscription 5 via email or another method.

    Salida de ejemplo:Example output:

    "id": "/subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW"
    
  2. [Suscripción 5] Inicie sesión y conéctese a Suscripción 5.[Subscription 5] Log in and connect to Subscription 5. Ejecute el siguiente comando para obtener el nombre y el identificador de la puerta de enlace de la salida:Run the following command to get the name and ID of the Gateway from the output:

    az network vnet-gateway show -n VNet5GW -g TestRG5
    

    Copie la salida para "id:".Copy the output for "id:". Envíe el identificador y el nombre de la puerta de enlace de red virtual (VNet5GW) al administrador de Suscripción 1 por correo electrónico u otro método.Send the ID and the name of the VNet gateway (VNet5GW) to the administrator of Subscription 1 via email or another method.

  3. [Suscripción 1] En este paso, va a crear la conexión de TestVNet1 a TestVNet5.[Subscription 1] In this step, you create the connection from TestVNet1 to TestVNet5. Puede usar sus propios valores para la clave compartida, pero esta debe coincidir en ambas conexiones.You can use your own values for the shared key, however, the shared key must match for both connections. Se tardará unos momentos en terminar de crear la conexión.Creating a connection can take a short while to complete. Asegúrese de conectarse a la suscripción 1. Make sure you connect to Subscription 1.

    az network vpn-connection create -n VNet1ToVNet5 -g TestRG1 --vnet-gateway1 /subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW -l eastus --shared-key "eeffgg" --vnet-gateway2 /subscriptions/e7e33b39-fe28-4822-b65c-a4db8bbff7cb/resourceGroups/TestRG5/providers/Microsoft.Network/virtualNetworkGateways/VNet5GW
    
  4. [Suscripción 5] Este paso es similar al anterior, salvo en que se crea la conexión de TestVNet5 a TestVNet1.[Subscription 5] This step is similar to the one above, except you are creating the connection from TestVNet5 to TestVNet1. Asegúrese de que las claves compartidas coincidan y que se conecta a Suscripción 5.Make sure that the shared keys match and that you connect to Subscription 5.

    az network vpn-connection create -n VNet5ToVNet1 -g TestRG5 --vnet-gateway1 /subscriptions/e7e33b39-fe28-4822-b65c-a4db8bbff7cb/resourceGroups/TestRG5/providers/Microsoft.Network/virtualNetworkGateways/VNet5GW -l japaneast --shared-key "eeffgg" --vnet-gateway2 /subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW
    

Comprobación de las conexionesVerify the connections

Importante

Cuando trabaje con subredes de la puerta de enlace, evite asociar un grupo de seguridad de red (NSG) a la subred de la puerta de enlace.When working with gateway subnets, avoid associating a network security group (NSG) to the gateway subnet. La asociación de un grupo de seguridad de red a esta subred puede causar que la puerta de enlace de la red virtual (VPN, puerta de enlace de Express Route) deje de funcionar como cabría esperar.Associating a network security group to this subnet may cause your Virtual Network gateway(VPN, Express Route gateway) to stop functioning as expected. Para más información acerca de los grupos de seguridad de red, consulte ¿Qué es un grupo de seguridad de red?For more information about network security groups, see What is a network security group?

Puede comprobar que la conexión se realizó correctamente mediante el comando az network vpn-connection show.You can verify that your connection succeeded by using the az network vpn-connection show command. En el ejemplo, " --name" hace referencia al nombre de la conexión que desea probar.In the example, '--name' refers to the name of the connection that you want to test. Mientras la conexión aún se está estableciendo, su estado de conexión muestra "Conectando".When the connection is in the process of being established, its connection status shows 'Connecting'. Una vez establecida la conexión, el estado cambia a "Conectado".Once the connection is established, the status changes to 'Connected'.

az network vpn-connection show --name VNet1toSite2 --resource-group TestRG1

P+F sobre conexiones de red virtual a red virtualVNet-to-VNet FAQ

Las preguntas más frecuentes sobre red virtual a red virtual se aplican a las conexiones de VPN Gateway.The VNet-to-VNet FAQ applies to VPN gateway connections. Para más información sobre el emparejamiento de redes virtuales, consulte Emparejamiento de redes virtuales.For information about VNet peering, see Virtual network peering.

¿Cobra Azure por el tráfico entre redes virtuales?Does Azure charge for traffic between VNets?

El tráfico entre redes virtuales dentro de la misma región es gratuito en ambas direcciones cuando se usa una conexión de puerta de enlace de VPN.VNet-to-VNet traffic within the same region is free for both directions when you use a VPN gateway connection. El tráfico de salida de red virtual a red virtual entre regiones se cobra según las tarifas de transferencia de datos de salida entre redes virtuales en función de las regiones de origen.Cross-region VNet-to-VNet egress traffic is charged with the outbound inter-VNet data transfer rates based on the source regions. Para más información, consulte la página de precios de VPN Gateway.For more information, see VPN Gateway pricing page. Si conecta las redes virtuales mediante el emparejamiento de redes virtuales en lugar de una puerta de enlace de red virtual, consulte los precios de redes virtuales.If you're connecting your VNets by using VNet peering instead of a VPN gateway, see Virtual network pricing.

¿Viaja el tráfico entre dos redes virtuales a través de Internet?Does VNet-to-VNet traffic travel across the internet?

No.No. Viaja por la red troncal de Microsoft Azure, no por Internet.VNet-to-VNet traffic travels across the Microsoft Azure backbone, not the internet.

¿Puedo establecer una conexión entre dos redes virtuales a través de los inquilinos de Azure Active Directory (AAD)?Can I establish a VNet-to-VNet connection across Azure Active Directory (AAD) tenants?

Sí, las conexiones entre dos redes virtuales que usan puertas de enlace de VPN de Azure funcionan en los inquilinos de AAD.Yes, VNet-to-VNet connections that use Azure VPN gateways work across AAD tenants.

¿Es seguro el tráfico entre dos redes virtuales?Is VNet-to-VNet traffic secure?

Sí, se protege mediante cifrado IPsec/IKE.Yes, it's protected by IPsec/IKE encryption.

¿Necesito un dispositivo VPN para conectar redes virtuales?Do I need a VPN device to connect VNets together?

No.No. La conexión simultánea de varias redes virtuales de Azure no requiere dispositivos VPN, a menos que sea necesaria la conectividad entre locales.Connecting multiple Azure virtual networks together doesn't require a VPN device unless cross-premises connectivity is required.

¿Deben estar mis redes virtuales en la misma región?Do my VNets need to be in the same region?

No.No. Las redes virtuales pueden estar en la misma región de Azure o en regiones distintas (ubicaciones).The virtual networks can be in the same or different Azure regions (locations).

Si las redes virtuales no están en la misma suscripción, ¿las suscripciones tienen que estar asociadas con el mismo inquilino de Active Directory?If the VNets aren't in the same subscription, do the subscriptions need to be associated with the same Active Directory tenant?

No.No.

¿Puedo usar una conexión entre redes virtuales para conectar redes virtuales en instancias independientes de Azure?Can I use VNet-to-VNet to connect virtual networks in separate Azure instances?

No.No. La conexión entre redes virtuales permite conectar redes virtuales dentro de la misma instancia de Azure.VNet-to-VNet supports connecting virtual networks within the same Azure instance. Por ejemplo, no puede crear una conexión entre instancias de Azure del gobierno estadounidense, chino o alemán con una instancia global de Azure.For example, you can’t create a connection between global Azure and Chinese/German/US government Azure instances. Considere la posibilidad de usar una conexión VPN de sitio a sitio en estos escenarios.Consider using a Site-to-Site VPN connection for these scenarios.

¿Puedo usar las conexiones entre dos redes virtuales con conexiones multisitio?Can I use VNet-to-VNet along with multi-site connections?

Sí.Yes. La conectividad de red virtual se puede usar de forma simultánea con VPN de varios sitios.Virtual network connectivity can be used simultaneously with multi-site VPNs.

¿A cuántos sitios locales y redes virtuales se puede conectar una red virtual?How many on-premises sites and virtual networks can one virtual network connect to?

Consulte la tabla Requisitos de la puerta de enlace.See the Gateway requirements table.

¿Puedo usar la conexión entre dos redes virtuales para conectar máquinas virtuales o servicios en la nube fuera de una red virtual?Can I use VNet-to-VNet to connect VMs or cloud services outside of a VNet?

No.No. VNet a VNet admite la conexión de redes virtuales.VNet-to-VNet supports connecting virtual networks. No admite la conexión de máquinas virtuales ni servicios en la nube que no estén en una red virtual.It doesn't support connecting virtual machines or cloud services that aren't in a virtual network.

¿Abarca redes virtuales un servicio en la nube o un punto de conexión de equilibrio de carga?Can a cloud service or a load-balancing endpoint span VNets?

No.No. Un servicio en la nube o un punto de conexión de equilibrio de carga no puede abarcar varias redes virtuales, aunque estas estén conectadas entre sí.A cloud service or a load-balancing endpoint can't span across virtual networks, even if they're connected together.

¿Puedo usar un tipo de VPN PolicyBased para las conexiones entre dos redes virtuales o multisitio?Can I use a PolicyBased VPN type for VNet-to-VNet or Multi-Site connections?

No.No. Las conexiones entre dos redes virtuales y multisitio requieren puertas de enlace de VPN de Azure con tipos de VPN RouteBased (antes denominado enrutamiento dinámico).VNet-to-VNet and Multi-Site connections require Azure VPN gateways with RouteBased (previously called dynamic routing) VPN types.

¿Puedo conectar una red virtual con un tipo de VPN RouteBased a otra red virtual con un tipo de VPN PolicyBased?Can I connect a VNet with a RouteBased VPN Type to another VNet with a PolicyBased VPN type?

No, ambas redes virtuales TIENEN que usar VPN basadas en enrutamiento (antes denominado enrutamiento dinámico).No, both virtual networks MUST use route-based (previously called dynamic routing) VPNs.

¿Comparten ancho de banda los túneles de VPN?Do VPN tunnels share bandwidth?

Sí.Yes. Todos los túneles de VPN de la red virtual comparten el ancho de banda disponible en la puerta de enlace de VPN de Azure y el mismo SLA de tiempo de actividad de puerta de enlace de VPN en Azure.All VPN tunnels of the virtual network share the available bandwidth on the Azure VPN gateway and the same VPN gateway uptime SLA in Azure.

¿Se admiten túneles redundantes?Are redundant tunnels supported?

Los túneles redundantes entre dos redes virtuales se admiten cuando la puerta de enlace de una red virtual está configurada como activa-activa.Redundant tunnels between a pair of virtual networks are supported when one virtual network gateway is configured as active-active.

¿Puedo tener espacios de direcciones superpuestos para configuraciones de red virtual a red virtual?Can I have overlapping address spaces for VNet-to-VNet configurations?

No.No. No puede tener intervalos de direcciones de IP superpuestos.You can't have overlapping IP address ranges.

¿Puede haber espacios de direcciones superpuestos entre las redes virtuales conectadas y los sitios locales?Can there be overlapping address spaces among connected virtual networks and on-premises local sites?

No.No. No puede tener intervalos de direcciones de IP superpuestos.You can't have overlapping IP address ranges.

Pasos siguientesNext steps