Configuración del tránsito de la puerta de enlace de VPN para el emparejamiento de red virtual
Este artículo le ayuda a configurar el tránsito de la puerta de enlace para el emparejamiento de red virtual. El emparejamiento de red virtual conecta perfectamente dos redes virtuales de Azure, combinando las dos redes virtuales en una sola para favorecer la conectividad. El tránsito de puerta de enlace es una propiedad del emparejamiento que permite que una red virtual utilice la puerta de enlace de VPN en la red virtual emparejada para la conectividad entre locales o entre redes virtuales.
El siguiente diagrama muestra cómo funciona el tránsito de la puerta de enlace con el emparejamiento de red virtual. En el diagrama, el tránsito de la puerta de enlace permite que las redes virtuales emparejadas usen Azure VPN Gateway en Hub-RM. La conectividad disponible en la puerta de enlace de VPN, que incluye las conexiones S2S, P2S y entre redes virtuales, se aplica a las tres redes virtuales.
La opción de tránsito está disponible para el emparejamiento entre los mismos modelos de implementación o diferentes y se puede usar con todas las SKU de VPN Gateway, excepto la SKU básica. Si está configurando el tránsito entre distintos modelos de implementación, la red virtual del centro y la puerta de enlace de red virtual deben estar en el modelo de implementación de Resource Manager, no en el modelo de implementación clásica heredado.
En la arquitectura de red del tipo hub-and-spoke, el tránsito de la puerta de enlace permite que las redes virtuales de radio compartan la puerta de enlace de VPN en el concentrador, en lugar de implementar puertas de enlace de VPN en todas las redes virtuales de radio. Las rutas a las redes virtuales conectadas a la puerta de enlace o a las redes locales se propagan a las tablas de enrutamiento de las redes virtuales emparejadas mediante el tránsito de la puerta de enlace.
Puede deshabilitar la propagación automática de rutas de la puerta de enlace de VPN. Cree una tabla de enrutamiento con la opción "Deshabilitar la propagación de rutas BGP" y asóciela con las subredes para evitar la distribución de rutas en dichas subredes. Para más información, consulte Tabla de enrutamiento de redes virtuales.
En este artículo, hay dos escenarios. Seleccione el escenario que se aplica a su entorno. La mayoría de las personas usan el escenario Mismo modelo de implementación. Si no está trabajando con una red virtual de modelo de implementación clásica (red virtual heredada) que ya existe en su entorno, no tendrá que trabajar con el escenario Diferentes modelos de implementación.
- Mismo modelo de implementación: ambas redes virtuales se crean en el modelo de implementación de Resource Manager.
- Diferentes modelos de implementación: la red virtual de radio se crea en el modelo de implementación clásica y la red virtual de centro y la puerta de enlace se encuentran en el modelo de implementación de Resource Manager. Este escenario es útil cuando necesita conectar una red virtual heredada que ya existe en el modelo de implementación clásica.
Nota:
Si realiza un cambio en la topología de la red y tiene clientes VPN de Windows, el paquete de cliente VPN para clientes de Windows se debe descargar e instalar nuevamente para que los cambios se apliquen en el cliente.
Requisitos previos
En este artículo se requieren las siguientes redes virtuales y permisos. Si no trabaja con el escenario de modelo de implementación diferente, no es necesario crear la red virtual clásica.
Redes virtuales
| VNet | Pasos de configuración | Puerta de enlace de red virtual |
|---|---|---|
| Hub-RM | Resource Manager | Sí |
| Spoke-RM | Resource Manager | No |
| Spoke-Classic | Clásico | No |
Permisos
Las cuentas que use para crear un emparejamiento de redes virtuales deben tener los rol o permisos necesarios. En el ejemplo siguiente, si fuera a emparejar dos redes virtuales llamadas Hub-RM y Spoke-Classic, la cuenta debería tener los siguientes roles o permisos mínimos para cada red virtual:
| VNet | Modelo de implementación | Role | Permisos |
|---|---|---|---|
| Hub-RM | Resource Manager | Colaborador de la red | Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write |
| Clásico | Colaborador de la red clásica | N/D | |
| Spoke-Classic | Resource Manager | Colaborador de la red | Microsoft.Network/virtualNetworks/peer |
| Clásico | Colaborador de la red clásica | Microsoft.ClassicNetwork/virtualNetworks/peer |
Obtenga más información sobre los roles integrados y la asignación de permisos específicos a roles personalizados (solo Resource Manager).
Mismo modelo de implementación
Se trata del escenario más común. En este escenario, las redes virtuales están ambas en el modelo de implementación de Resource Manager. Use los pasos siguientes para crear o actualizar los emparejamientos de red virtual para habilitar el tránsito de puerta de enlace.
Para agregar un emparejamiento y habilitar el tránsito:
En Azure Portal, cree o actualice el emparejamiento de red virtual de Hub-RM. Vaya a la red virtual Hub-RM. Seleccione Emparejamientos y, después, + Agregar para abrir Agregar emparejamiento.
En la página Agregar emparejamiento, configure los valores de This virtual network (Esta red virtual).
Nombre del vínculo de emparejamiento: Asigne un nombre al vínculo. Ejemplo: HubRMToSpokeRM
Tráfico hacia la red virtual remota: Permitir
Tráfico reenviado desde la red virtual remota: Permitir
Puerta de enlace de red virtual: Usar la puerta de enlace de esta red virtual o el servidor de rutas
En la misma página, continúe con la configuración de los valores de la red virtual remota.
Nombre del vínculo de emparejamiento: Asigne un nombre al vínculo. Ejemplo: SpokeRMtoHubRM
Modelo de implementación de red virtual: Resource Manager
Conozco mi id. de recurso: dejar en blanco. Solo tiene que seleccionar esta opción si no tiene acceso de lectura a la red virtual o la suscripción con la que quiere realizar el emparejamiento.
Suscripción: seleccione la suscripción.
Red virtual: Spoke-RM
Tráfico hacia la red virtual remota: Permitir
Tráfico reenviado desde la red virtual remota: Permitir
Puerta de enlace de red virtual: Usar la puerta de enlace de red virtual remota o el servidor de rutas
Seleccione Agregar para crear el emparejamiento.
Compruebe que el estado de emparejamiento sea Conectado en ambas redes virtuales.
Para modificar un emparejamiento existente para el tránsito:
Si ya tiene un emparejamiento, puede modificar el emparejamiento para el tránsito.
Vaya a la red virtual. Seleccione Emparejamientos y elija el emparejamiento que quiere modificar. Por ejemplo, en la red virtual Spoke-RM, seleccione el emparejamiento SpokeRMtoHubRM.
Actualice el emparejamiento de red virtual.
- Tráfico hacia la red virtual remota: Permitir
- Tráfico reenviado a la red virtual; Permitir
- Puerta de enlace de red virtual o servidor de rutas: Usar la puerta de enlace de red virtual remota o el servidor de rutas
Guarde la configuración de emparejamiento.
Ejemplo de PowerShell
También puede usar PowerShell para crear o actualizar el emparejamiento. Reemplace las variables por los nombres de las redes virtuales y los grupos de recursos.
$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name SpokeRMtoHubRM `
-VirtualNetwork $spokermvnet `
-RemoteVirtualNetworkId $hubrmvnet.Id `
-UseRemoteGateways
Add-AzVirtualNetworkPeering `
-Name HubRMToSpokeRM `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId $spokermvnet.Id `
-AllowGatewayTransit
Diferentes modelos de implementación
En esta configuración, la red virtual de radio Spoke-Classic está en el modelo de implementación clásica y la red virtual de centro Hub-RM está en el modelo de implementación de Resource Manager. Al configurar el tránsito entre los modelos de implementación, la puerta de enlace de red virtual debe estar configurada para la red virtual de Resource Manager, no la red virtual clásica.
Con esta configuración, solo tiene que configurar la red virtual Hub-RM. No es necesario configurar nada en la red virtual Spoke-Classic.
En Azure Portal, vaya a la red virtual Hub-RM, seleccione Emparejamientos y, luego, elija + Agregar.
En la página Agregar emparejamiento, configure los siguientes valores:
Nombre del vínculo de emparejamiento: Asigne un nombre al vínculo. Ejemplo: HubRMToClassic
Tráfico hacia la red virtual remota: Permitir
Tráfico reenviado desde la red virtual remota: Permitir
Puerta de enlace de red virtual o servidor de rutas: Usar esta puerta de enlace de red virtual o el servidor de rutas
Nombre del vínculo de emparejamiento: este valor desaparece al seleccionar Clásico para el modelo de implementación de red virtual.
Modelo de implementación de red virtual: Clásico
Conozco mi id. de recurso: dejar en blanco. Solo tiene que seleccionar esta opción si no tiene acceso de lectura a la red virtual o la suscripción con la que quiere realizar el emparejamiento.
Compruebe que la suscripción es correcta y, a continuación, seleccione la red virtual en la lista desplegable.
Seleccione Agregar para agregar el emparejamiento.
Compruebe que el estado de emparejamiento sea Conectado en la red virtual Hub-RM.
Con esta configuración, no es necesario configurar nada en la red virtual Spoke-Classic. Una vez que el estado muestra Conectado, la red virtual de radio puede usar la conectividad a través de la puerta de enlace de VPN en la red virtual de centro.
Ejemplo de PowerShell
También puede usar PowerShell para crear o actualizar el emparejamiento. Reemplace las variables y el identificador de la suscripción por los valores de la red virtual y de los grupos de recursos, así como de la suscripción. Basta con crear un emparejamiento de red virtual en la red virtual del concentrador.
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name HubRMToClassic `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId "/subscriptions/<subscription Id>/resourceGroups/Default-Networking/providers/Microsoft.ClassicNetwork/virtualNetworks/Spoke-Classic" `
-AllowGatewayTransit
Pasos siguientes
- Obtenga más información acerca de las restricciones y comportamientos importantes del emparejamiento de redes virtuales, así como la configuración del emparejamiento de redes virtuales antes de crear uno para usarlo en un entorno de producción.
- Aprenda a crear una topología del tipo hub-and-spoke con emparejamiento de redes virtuales y tránsito de la puerta de enlace.
- Creación de un emparejamiento de red virtual con el mismo modelo de implementación.
- Creación de un emparejamiento de red virtual con distintos modelos de implementación.