Creación de una puerta de enlace de VPN mediante la CLI

Este artículo le ayuda a crear una puerta de enlace de VPN de Azure mediante la CLI de Azure. Una instancia de VPN Gateway se usa al crear una conexión VPN a la red local. También puede usar una puerta de enlace de VPN para conectar redes virtuales. Para obtener información más completa sobre algunas de las opciones de configuración de este artículo, consulte Creación de una puerta de enlace de VPN: Azure Portal.

• En el diagrama del lado izquierdo se muestra la red virtual y la puerta de enlace de VPN que se crean siguiendo los pasos descritos en este artículo.
• Más adelante puede agregar diferentes tipos de conexiones, como se muestra en el lado derecho del diagrama. Por ejemplo, puede crear conexiones de sitio a sitio y de punto a sitio. Para ver diferentes arquitecturas de diseño que puede compilar, consulte diseño de VPN Gateway.

Los pasos descritos en este artículo crean una red virtual, una subred, una subred de puerta de enlace y una puerta de enlace de VPN en modo activo-activo con redundancia de zona (puerta de enlace de red virtual) mediante la SKU VpnGw2AZ de Generación 2. Los pasos descritos en este artículo crean una red virtual, una subred, una subred de puerta de enlace y una puerta de enlace de VPN en modo activo-activo con redundancia de zona (puerta de enlace de red virtual) mediante la SKU VpnGw2AZ de Generación 2. Una vez creada la puerta de enlace, puede configurar conexiones.

• Si quiere crear una puerta de enlace de VPN mediante la SKU básica en su lugar, consulte Creación de una puerta de enlace de VPN de SKU básica.
• Se recomienda crear una puerta de enlace de VPN en modo activo-activo siempre que sea posible. Las puertas de enlace de VPN en modo activo-activo proporcionan una mejor disponibilidad y rendimiento que las puertas de enlace de VPN en modo estándar. Para obtener más información sobre las puertas de enlace activo-activo, consulte Acerca de las puertas de enlace en modo activo-activo.
• Para obtener información sobre las zonas de disponibilidad y las puertas de enlace con redundancia de zona, consulte ¿Qué son las zonas de disponibilidad?

Nota:

En los pasos de este artículo se usa la SKU de puerta de enlace VpnGw2AZ, que es una SKU que admite zonas de disponibilidad de Azure. Si no se admiten zonas de disponibilidad para su región, use en su lugar una SKU que no sea AZ. Para obtener más información sobre las SKU, consulte Acerca de las SKU de puerta de enlace.

Antes de empezar

Estos pasos requieren una suscripción a Azure. Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Requisitos previos

• Use el entorno de Bash en Azure Cloud Shell. Para más información, consulte Inicio rápido para Bash en Azure Cloud Shell.

  

• Si prefiere ejecutar comandos de referencia de la CLI localmente, instale la CLI de Azure. Si utiliza Windows o macOS, considere la posibilidad de ejecutar la CLI de Azure en un contenedor Docker. Para más información, vea Ejecución de la CLI de Azure en un contenedor de Docker.

  • Si usa una instalación local, inicie sesión en la CLI de Azure mediante el comando az login. Siga los pasos que se muestran en el terminal para completar el proceso de autenticación. Para ver otras opciones de inicio de sesión, consulte Inicio de sesión con la CLI de Azure.

  • En caso de que se le solicite, instale las extensiones de la CLI de Azure la primera vez que la use. Para más información sobre las extensiones, consulte Uso de extensiones con la CLI de Azure.

  • Ejecute az version para buscar cuál es la versión y las bibliotecas dependientes que están instaladas. Para realizar la actualización a la versión más reciente, ejecute az upgrade.

• En este artículo se necesita la versión 2.0.4 de la CLI de Azure, o cualquier versión posterior. Si usa Azure Cloud Shell, ya está instalada la versión más reciente.

Crear un grupo de recursos

Cree un grupo de recursos con el comando az group create. Un grupo de recursos es un contenedor lógico en el que se implementan y se administran los recursos de Azure.

az group create --name TestRG1 --location eastus

Creación de una red virtual

Si aún no tiene una red virtual, créela con el comando az network vnet create. Cuando cree una red virtual, asegúrese de que los espacios de direcciones especificados no se superponen con los espacios de direcciones existentes en la red local. Si existe un intervalo de direcciones duplicados en ambos lados de la conexión VPN, el tráfico no enruta la manera en que podría esperar que lo haga. Además, si desea conectar esta red virtual a otra red virtual, el espacio de direcciones no se puede superponer con otra red virtual. Por consiguiente, tenga cuidado al planear la configuración de red.

En el ejemplo siguiente se crea una red virtual denominada "VNet1" y una subred, "FrontEnd". La subred FrontEnd no se usa en este ejercicio. Puede sustituir su propio nombre de subred.

az network vnet create \
  -n VNet1 \
  -g TestRG1 \
  -l eastus \
  --address-prefix 10.1.0.0/16 \
  --subnet-name FrontEnd \
  --subnet-prefix 10.1.0.0/24

Adición de una subred de puerta de enlace

Los recursos de puerta de enlace de red virtual se implementan en una subred específica denominada GatewaySubnet. Esta subred forma parte del intervalo de direcciones IP de red virtual que se especifican al configurar una red virtual.

Si no tiene una subred denominada GatewaySubnet, al crear la puerta de enlace de VPN, se produce un error. Se recomienda crear una subred de puerta de enlace que use /27 (o superior). Por ejemplo, /27 o /26. Para más información, consulte Configuración de VPN Gateway: Subred de puerta de enlace.

Importante

No se admiten grupos de seguridad de red (NSG) en la subred de puerta de enlace. La asociación de grupos de seguridad de red a esta subred podría causar que la puerta de enlace de la red virtual (puertas de enlace de ExpressRoute y VPN) dejase de funcionar como cabría esperar. Para más información acerca de los grupos de seguridad de red, consulte ¿Qué es un grupo de seguridad de red?

Use el ejemplo siguiente para agregar una subred de puerta de enlace:

az network vnet subnet create \
  --vnet-name VNet1 \
  -n GatewaySubnet \
  -g TestRG1 \
  --address-prefix 10.1.255.0/27 

Solicitud de direcciones IP públicas

Una puerta de enlace VPN tiene que tener una dirección IP pública. Cuando crea una conexión a una instancia de VPN Gateway, esta es la dirección IP que especifica. Para las puertas de enlace en modo activo-activo, cada instancia de puerta de enlace tiene su propio recurso de dirección IP pública. Primero se solicita el recurso de la dirección IP y, después, se hace referencia a él al crear la puerta de enlace de red virtual. Además, para cualquier SKU de puerta de enlace que termine en AZ, también debe especificar la configuración Zona. En este ejemplo se muestra una configuración con redundancia de zona porque especifica tres zonas regionales.

La dirección IP se asigna al recurso cuando se crea la puerta de enlace VPN. La única vez que la dirección IP pública cambia es cuando la puerta de enlace se elimina y se vuelve a crear. No cambia cuando se cambia el tamaño, se restablece o se realizan actualizaciones u otras operaciones de mantenimiento interno de una puerta de enlace VPN.

Use el comando az network public-ip create para solicitar una dirección IP pública:

az network public-ip create --name VNet1GWpip1 --resource-group TestRG1 --allocation-method Static --sku Standard --version IPv4 --zone 1 2 3

Para crear una puerta de enlace activa-activa (recomendada), solicite una segunda dirección IP pública:

az network public-ip create --name VNet1GWpip2 --resource-group TestRG1 --allocation-method Static --sku Standard --version IPv4 --zone 1 2 3

Creación de la puerta de enlace VPN

La creación de una puerta de enlace suele tardar 45 minutos o más, según la SKU de la puerta de enlace seleccionada. Una vez creada la puerta de enlace, puede crear una conexión entre la red virtual y la ubicación local. O bien, cree una conexión entre la red virtual y otra red virtual.

Cree la puerta de enlace VPN con el comando az network vnet-gateway create. Si este comando se ejecuta con el parámetro --no-wait, no se verán los comentarios o resultados. Este parámetro --no-wait permite que la puerta de enlace se cree en segundo plano. No significa que la puerta de enlace de VPN se cree de inmediato. Si desea crear una puerta de enlace mediante una SKU diferente, consulte Acerca de las SKU de puerta de enlace para determinar la SKU que mejor se adapte a sus requisitos de configuración.

Puertas de enlace en modo activo-activo

az network vnet-gateway create --name VNet1GW --public-ip-addresses VNet1GWpip1 VNet1GWpip2 --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw2AZ --vpn-gateway-generation Generation2 --no-wait

Puerta de enlace en modo activo-en espera

az network vnet-gateway create --name VNet1GW --public-ip-addresses VNet1GWpip1 --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw2AZ --vpn-gateway-generation Generation2 --no-wait

Una instancia de VPN Gateway puede tardar 45 minutos o más en crearse.

Visualización de VPN Gateway

az network vnet-gateway show \
  -n VNet1GW \
  -g TestRG1

Visualización de direcciones IP de puerta de enlace

A cada instancia de puerta de enlace VPN se le asigna un recurso de dirección IP pública. Para ver la dirección IP asociada al recurso, use el siguiente comando. Repita esta operación para cada instancia de puerta de enlace.

az network public-ip show -g TestRG1 -n VNet1GWpip1

Limpieza de recursos

Cuando ya no necesite los recursos que ha creado, use az group delete para eliminar el grupo de recursos. Esto elimina el grupo de recursos y todos los recursos que contiene.

az group delete --name TestRG1 --yes

Pasos siguientes

Una vez creada la puerta de enlace, puede configurar conexiones.

• Creación de una conexión de sitio a sitio
• Creación de una conexión a otra red virtual
• Creación de una conexión de punto a sitio