Conexión de Azure Stack Hub a Azure mediante VPN
En este artículo se describe cómo crear una VPN de sitio a sitio para conectar una red virtual en Azure Stack Hub a una red virtual en Azure.
Antes de empezar
Para completar esta configuración de conexión, asegúrese de tener los elementos siguientes antes de empezar:
- Una implementación de sistemas integrados (varios nodos) de Azure Stack Hub que esté conectada directamente a Internet. Al intervalo de direcciones IP públicas externas se debe poder acceder directamente desde Internet público.
- Una suscripción válida a Azure. Si no tiene una suscripción a Azure, puede crear una cuenta gratuita de Azure aquí.
Diagrama de conexión de VPN
La ilustración siguiente muestra el aspecto que debería tener la configuración de la conexión cuando haya terminado:
Valores de ejemplo de configuración de la red
La tabla de ejemplos de configuración de la red muestra los valores que se usan para los ejemplos de este artículo. Puede usar estos valores o hacer referencia a ellos para comprender mejor los ejemplos de este artículo:
Value | Azure Stack Hub | Azure |
---|---|---|
Nombre de la red virtual | Azs-VNet | AzureVNet |
Espacio de direcciones de red virtual | 10.1.0.0/16 | 10.100.0.0/16 |
Nombre de subred | FrontEnd | FrontEnd |
Intervalo de direcciones de subred | 10.1.0.0/24 | 10.100.0.0/24 |
Subred de puerta de enlace | 10.1.1.0/24 | 10.100.1.0/24 |
Creación de recursos de red en Azure
En primer lugar, cree los recursos de red para Azure. Las instrucciones siguientes muestran cómo crear los recursos mediante Azure Portal.
Creación de la red virtual y la subred de la máquina virtual (VM)
- Inicie sesión en Azure Portal con su cuenta de Azure.
- En el portal de usuario, seleccione + Crear un recurso.
- Vaya a Marketplace y, a continuación, seleccione Redes.
- Seleccione Red virtual.
- Use la información de la tabla de configuración de red para identificar los valores de los campos Nombre, Espacio de direcciones, Nombre de subred e Intervalo de direcciones de subred de Azure.
- Para Grupo de recursos, cree un nuevo grupo de recursos o, si ya tiene uno, seleccione Usar existente.
- Seleccione la Ubicación de su VNet. Si utiliza los valores del ejemplo, seleccione Este de EE. UU. o utilice otra ubicación.
- Seleccione Anclar al panel.
- Seleccione Crear.
Creación de la subred de la puerta de enlace
Abra el recurso de red virtual que acaba de crear (AzureVNet) desde el panel.
En la sección Configuración, seleccione Subredes.
Seleccione Subred de puerta de enlace para agregar una subred de puerta de enlace a la red virtual.
El nombre de la subred se establece como GatewaySubnet de forma predeterminada.
Importante
Las subredes de puerta de enlace son especiales y tienen que tener este nombre específico para funcionar correctamente.
En el campo Intervalo de direcciones, compruebe que la dirección sea 10.100.1.0/24.
Seleccione Aceptar para crear la subred de puerta de enlace.
Creación de la puerta de enlace de red virtual
- En Azure Portal, seleccione + Crear un recurso.
- Vaya a Marketplace y, a continuación, seleccione Redes.
- Seleccione Puerta de enlace de red virtual en la lista de recursos de red.
- En el campo Nombre escriba Azure-GW.
- Seleccione Red virtual para elegir una red virtual. A continuación, seleccione AzureVnet en la lista.
- Seleccione Dirección IP pública. Cuando se abra la sección Elegir dirección IP pública, seleccione Crear nuevo.
- En el campo Nombre, escriba Azure-GW-PiP y seleccione Aceptar.
- Compruebe que la Suscripción y la Ubicación son correctas. Puede anclar el recurso en el panel. Seleccione Crear.
Creación del recurso de puerta de enlace de red local
En Azure Portal, seleccione + Crear un recurso.
Vaya a Marketplace y, a continuación, seleccione Redes.
En la lista de recursos, seleccione Puerta de enlace de red local.
En el campo Nombre escriba Azs-GW.
En el campo Dirección IP, escriba la dirección IP pública de la puerta de enlace de red virtual de Azure Stack Hub que se indicó anteriormente en la tabla de configuración de red.
En el campo Espacio de direcciones, en Azure Stack Hub, escriba el espacio de direcciones 10.1.0.0/24 y 10.1.1.0/24 para AzureVNet.
Compruebe que la Suscripción, Grupo de recursos y Ubicación son correctos y seleccione Crear.
Creación de la conexión
En el portal de usuario, seleccione + Crear un recurso.
Vaya a Marketplace y, a continuación, seleccione Redes.
Seleccione Conexión en la lista de recursos.
En la sección de configuración Básico, para Tipo de conexión, elija Sitio a sitio (IPSec) .
Seleccione la Suscripción, Grupo de recursos y Ubicación y, a continuación, seleccione Aceptar.
En la sección Configuración, seleccione Puerta de enlace de red virtual y, a continuación, seleccione Azure-GW.
Seleccione Puerta de enlace de red local y, a continuación, seleccione Azs-GW.
En Nombre de la conexión, escriba Azure-Azs.
En Clave compartida (PSK) , escriba 12345 y, después, seleccione Aceptar.
Nota
Si usa otro valor diferente para la clave compartida, recuerde que tiene que coincidir con el valor de la clave compartida que creó en el otro extremo de la conexión.
Revise la sección Resumen y, a continuación, seleccione Aceptar.
Creación de una directiva de IPsec personalizada
Se necesita una directiva IPSec personalizada para que Azure coincida con Azure Stack Hub.
Cree una directiva personalizada:
$IPSecPolicy = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup ECP384 ` -IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256 -PfsGroup ECP384 -SALifeTimeSeconds 27000 ` -SADataSizeKilobytes 102400000
Aplique la directiva a la conexión:
$Connection = Get-AzVirtualNetworkGatewayConnection -Name myTunnel -ResourceGroupName myRG Set-AzVirtualNetworkGatewayConnection -IpsecPolicies $IPSecPolicy -VirtualNetworkGatewayConnection $Connection
Crear una VM
Cree una máquina virtual en Azure ahora y colóquela en la subred de máquina virtual de la red virtual.
En Azure Portal, seleccione + Crear un recurso.
Vaya a Marketplace y, a continuación, seleccione Compute.
En la lista de imágenes de máquina virtual, seleccione la imagen Windows Server 2016 Datacenter Eval.
En la sección Conceptos básicos, para Nombre, escriba AzureVM.
Escriba un nombre de usuario y una contraseña válidos. Usará esta cuenta para iniciar sesión en la máquina virtual una vez creada.
Proporcione una Suscripción, Grupo de recursos y Ubicación y, a continuación, seleccione Aceptar.
En la sección Tamaño, seleccione un tamaño de máquina virtual para esta instancia y, a continuación, seleccione Seleccionar.
En la sección Configuración, puede usar la configuración predeterminada. Antes de seleccionar Aceptar, confirme que:
- La red virtual AzureVnet está seleccionada.
- La subred está establecida en 10.100.0.0/24.
Seleccione Aceptar.
Revise la configuración de la sección Resumen y seleccione Aceptar.
Creación de recursos de red en Azure Stack Hub
Después, cree los recursos de red en Azure Stack Hub.
Inicio de sesión como usuario
Un administrador de servicios puede iniciar sesión como usuario para probar los planes, ofertas y suscripciones que pueden usar sus usuarios. Si aún no tiene una, cree una cuenta de usuario antes de iniciar sesión.
Creación de la red virtual y una subred de máquina virtual
Use una cuenta de usuario para iniciar sesión en el portal de usuario.
En el portal de usuario, seleccione + Crear un recurso.
Vaya a Marketplace y, a continuación, seleccione Redes.
Seleccione Red virtual.
Para Nombre, Espacio de direcciones, Nombre de subred e Intervalo de direcciones de subred, utilice los valores de la tabla de configuración de red.
En Suscripción aparece la suscripción que creó anteriormente.
Para Grupo de recursos, puede crear un grupo de recursos o, si ya tiene uno, seleccione Usar existente.
Compruebe la ubicación predeterminada.
Seleccione Anclar al panel.
Seleccione Crear.
Creación de la subred de la puerta de enlace
Abra el panel, abra el recurso de red virtual Azs-VNet que acaba de crear.
En la sección Configuración, seleccione Subredes.
Seleccione Subred de puerta de enlace para agregar una subred de puerta de enlace a la red virtual.
El nombre de la subred se establece en GatewaySubnet de forma predeterminada. Para que las subredes de puerta de enlace funcione correctamente, deben utilizar el nombre GatewaySubnet.
En Intervalo de direcciones, compruebe que la dirección sea 10.1.1.0/24.
Seleccione Aceptar para crear la subred de puerta de enlace.
Creación de la puerta de enlace de red virtual
En el portal de Azure Stack Hub, seleccione + Crear un recurso.
Vaya a Marketplace y, a continuación, seleccione Redes.
Seleccione Puerta de enlace de red virtual en la lista de recursos de red.
En Nombre, escriba Azs-GW.
Seleccione el elemento Red virtual para elegir una red virtual. Seleccione Azs-VNet en la lista.
Seleccione el elemento de menú Dirección IP pública. Cuando se abra la sección Elegir dirección IP pública, seleccione Crear nuevo.
En Nombre, escriba Azs-GW-PiP y seleccione Aceptar.
De forma predeterminada, en Tipo de VPN está seleccionado Basada en rutas. Mantenga el tipo de VPN Basada en enrutamiento.
Compruebe que la Suscripción y la Ubicación son correctas. Puede anclar el recurso en el panel. Seleccione Crear.
Creación de la puerta de enlace de red local
El concepto de una puerta de enlace de red local en Azure Stack Hub es diferente al de una implementación de Azure.
En una implementación de Azure, una puerta de enlace de red local representa un dispositivo físico local (en la ubicación del usuario) que se conecta a una puerta de enlace de red virtual en Azure. Sin embargo, en Azure Stack Hub, ambos extremos de la conexión son puertas de enlace de red virtual.
Una descripción más genérica es que el recurso de la puerta de enlace de red local siempre indica la puerta de enlace remota en el otro extremo de la conexión.
Creación del recurso de puerta de enlace de red local
Inicie sesión en el portal de Azure Stack Hub.
En el portal de usuario, seleccione + Crear un recurso.
Vaya a Marketplace y, a continuación, seleccione Redes.
En la lista de recursos, seleccione Puerta de enlace de red local.
En el campo Nombre escriba Azure-GW.
En el campo dirección IP, escriba la dirección IP pública para la puerta de enlace de red virtual de Azure Azure-GW-PiP. Esta dirección aparece antes en la tabla de configuración de red.
En el campo Espacio de direcciones, para el espacio de direcciones de la red virtual de Azure que creó, escriba 10.100.0.0/24 y 10.100.1.0/24.
Compruebe que los valores de Suscripción, Grupo de recursos y Ubicación son correctos y seleccione Crear.
Creación de la conexión
En el portal de usuario, seleccione + Crear un recurso.
Vaya a Marketplace y, a continuación, seleccione Redes.
Seleccione Conexión en la lista de recursos.
En la sección de configuración Básico, elija Sitio a sitio (IPSec) como Tipo de conexión.
Seleccione la Suscripción, Grupo de recursos y Ubicación y, a continuación, seleccione Aceptar.
En la sección Configuración, seleccione Puerta de enlace de red virtual y, a continuación, seleccione Azs-GW.
Seleccione Puerta de enlace de red local y, a continuación, seleccione Azure-GW.
En Nombre de la conexión, escriba Azs-Azure.
En Clave compartida (PSK) , escriba 12345 y, a continuación, seleccione Aceptar.
En la sección Resumen, seleccione Aceptar.
Crear una VM
Para comprobar la conexión VPN, cree dos máquinas virtuales: una en Azure y otra en Azure Stack Hub. Después de crear estas máquinas virtuales, puede usarlas para enviar y recibir datos a través del túnel VPN.
En Azure Portal, seleccione + Crear un recurso.
Vaya a Marketplace y, a continuación, seleccione Compute.
En la lista de imágenes de máquina virtual, seleccione la imagen Windows Server 2016 Datacenter Eval.
En la sección Conceptos básicos, en Nombre, escriba Azs-VM.
Escriba un nombre de usuario y una contraseña válidos. Usará esta cuenta para iniciar sesión en la máquina virtual una vez creada.
Proporcione una Suscripción, Grupo de recursos y Ubicación y, a continuación, seleccione Aceptar.
En la sección Tamaño, para esta instancia, seleccione un tamaño de máquina virtual y, a continuación, seleccione Seleccionar.
En la sección Configuración, acepte los valores predeterminados. Asegúrese de que la red virtual Azs-VNet esté seleccionada. Compruebe que la subred esté establecida en 10.1.0.0/24. Después, seleccione Aceptar.
En la sección Resumen, revise la configuración y luego seleccione Aceptar.
Comprobación de la conexión
Después de que se establece la conexión de sitio a sitio, debe comprobar que puede hacer que los datos fluyan en ambas direcciones. La forma más fácil de probar la conexión es realizar una prueba del ping:
- Inicie sesión en la máquina virtual que creó en Azure Stack Hub y haga ping en la máquina virtual de Azure.
- Inicie sesión en la máquina virtual que creó en Azure y haga ping en la máquina virtual de Azure Stack Hub.
Nota
Para asegurarse de que envía el tráfico a través de la conexión de sitio a sitio, haga ping a la dirección IP directa (DIP) de la máquina virtual en la subred remota, no a la IP virtual.
Inicio de sesión en la máquina virtual de usuario en Azure Stack Hub
Inicie sesión en el portal de Azure Stack Hub.
En la barra de navegación izquierda, seleccione Máquinas virtuales.
Encuentre la máquina Azs-VM que creó anteriormente en la lista de máquinas virtuales y selecciónela.
En la sección de la máquina virtual, seleccione Conectar y, después, abra el archivo Azs-VM.rdp.
Inicie sesión con la cuenta que configuró al crear la máquina virtual.
Abra un símbolo del sistema de Windows PowerShell con privilegios elevados.
Escriba ipconfig/all.
En la salida, busque la dirección IPv4 y, a continuación, guarde la dirección para su uso posterior. Esta es la dirección a la que hará ping desde Azure. En el entorno de ejemplo, la dirección es 10.1.0.4, pero en su entorno puede ser diferente. Debe estar dentro de la subred 10.1.0.0/24 que se creó anteriormente.
Para crear una regla de firewall que permita que la máquina virtual responda a los pings, ejecute el siguiente comando de PowerShell:
New-NetFirewallRule ` -DisplayName "Allow ICMPv4-In" ` -Protocol ICMPv4
Inicio de sesión en la máquina virtual del inquilino en Azure
Inicie sesión en Azure Portal.
En la barra de navegación izquierda, seleccione Máquinas virtuales.
Encuentre la máquina Azure-VM que creó anteriormente en la lista de máquinas virtuales y selecciónela.
En la sección de la máquina virtual, seleccione Conectar.
Inicie sesión con la cuenta que configuró al crear la máquina virtual.
Abra una ventana de Windows PowerShell con privilegios elevados.
Escriba ipconfig/all.
Debería ver una dirección IPv4 que se encuentre dentro de 10.100.0.0/24. En el entorno de ejemplo, la dirección es 10.100.0.4, pero en su entorno puede ser diferente.
Para crear una regla de firewall que permita que la máquina virtual responda a los pings, ejecute el siguiente comando de PowerShell:
New-NetFirewallRule ` -DisplayName "Allow ICMPv4-In" ` -Protocol ICMPv4
Desde la máquina virtual de Azure, haga ping a la máquina virtual de Azure Stack Hub, a través del túnel. Para ello, haga ping a la DIP que registró de Azs-VM. En el entorno de ejemplo la dirección es 10.1.0.4, pero asegúrese de hacer ping a la dirección que haya anotado en su laboratorio. Debe ver un resultado con un aspecto como la captura de pantalla siguiente:
Una respuesta de la máquina virtual remota indica que la prueba ha dado un resultado correcto. Puede cerrar la ventana de la máquina virtual.
También debe hacer pruebas más rigurosas de la transferencia de datos; por ejemplo, copiar archivos de distintos tamaños en ambas direcciones.
Visualización de las estadísticas de transferencia de datos a través de la conexión de puerta de enlace
Si desea saber qué cantidad de datos pasa mediante la conexión de sitio a sitio, esta información está disponible en la sección Conexión. Esta prueba también es otra forma de comprobar que el ping que acaba de enviar ha ido a través de la conexión VPN.
Mientras tiene iniciada la sesión en la máquina virtual del usuario en Azure Stack Hub, use la cuenta de usuario para iniciar sesión en el portal de usuarios.
Vaya a Todos los recursos y, a continuación, seleccione la conexión Azs-Azure. Aparece Conexiones.
En la sección Conexión, aparecen las estadísticas de Datos de entrada y Datos de salida. En la siguiente captura de pantalla, los números grandes se atribuyen a transferencias de archivos adicionales. Debería ver algunos valores distintos de cero.