Conexión de servicios mediante el emparejamiento de redes virtuales

Completado

Puede usar el emparejamiento de redes virtuales para conectar directamente redes virtuales de Azure conjuntamente. Al usar el emparejamiento para conectar las redes virtuales, las máquinas virtuales de esas redes se pueden comunicar entre sí, como si estuvieran en la misma red.

En las redes virtuales emparejadas, el tráfico entre las máquinas virtuales se enruta a través de la red de Azure. El tráfico usa solo direcciones IP privadas. No se basa en la conectividad de Internet, puertas de enlace ni conexiones cifradas. El tráfico siempre es privado, y aprovecha las ventajas de la baja latencia y el elevado ancho de banda de la red troncal de Azure.

Un diagrama básico de dos redes virtuales conectadas mediante emparejamiento de red virtual

Los dos tipos de conexiones de emparejamiento se crean de la misma manera:

  • El emparejamiento de red virtual conecta las redes virtuales en la misma región de Azure, por ejemplo, dos redes virtuales en Norte de Europa.
  • El emparejamiento de red virtual global conecta las redes virtuales que están en regiones de Azure distintas, por ejemplo, una red virtual en Norte de Europa y otra en Oeste de Europa.

El emparejamiento de red virtual no interrumpe ni afecta a ninguno de los recursos que ya se hayan implementado en las redes virtuales. Cuando use el emparejamiento de redes virtuales, tenga en cuenta las características clave que se definen en las secciones siguientes.

Conexiones recíprocas

Al crear una conexión de emparejamiento de red virtual con Azure PowerShell o la CLI de Azure, solo se crea un lado del emparejamiento. Para completar la configuración de emparejamiento de red virtual, debe configurar el emparejamiento en dirección inversa para establecer la conectividad. Al crear la conexión de emparejamiento de red virtual a través del Azure Portal, la configuración de ambos lados se completa al mismo tiempo.

Piense en cómo se conectan dos conmutadores de red entre sí. Es posible que conecte un cable a cada conmutador y que configure algunas opciones para que los conmutadores se puedan comunicar. El emparejamiento de redes virtuales requiere conexiones similares en cada red virtual. Las conexiones recíprocas proporcionan esta funcionalidad.

Emparejamiento de redes virtuales entre suscripciones

El emparejamiento de redes virtuales se puede usar incluso cuando ambas redes están en suscripciones distintas. Esta configuración puede ser necesaria en situaciones de fusión o adquisición empresarial, o bien para conectar redes virtuales de suscripciones administradas por otros departamentos. Las redes virtuales pueden estar en suscripciones distintas y las suscripciones pueden usar los mismos inquilinos de Microsoft Entra u otros diferentes.

Cuando se usa el emparejamiento de redes virtuales entre suscripciones, es posible que detecte que un administrador de una suscripción no administra la suscripción de la red del mismo nivel. Es posible que el administrador no pueda configurar ambos extremos de la conexión. Para emparejar las redes virtuales cuando las dos suscripciones están en inquilinos de Microsoft Entra distintos, los administradores de cada suscripción deben concederse el uno al otro el rol Network Contributor en su red virtual correspondiente.

Transitividad

El emparejamiento de redes virtuales es no transitivo. Solo las redes virtuales emparejadas directamente se pueden comunicar entre sí. Las redes virtuales no se pueden comunicar con las del mismo nivel de sus redes del mismo nivel.

Imagine, por ejemplo, que las tres redes virtuales (A, B y C) están emparejadas de esta forma: A <-> B <-> C. Los recursos de A no se pueden comunicar con los de C ya que no se permite el tráfico por la red virtual B. Si necesita comunicación entre las redes virtuales A y C, tendrá que emparejarlas de forma explícita.

Tránsito de puerta de enlace

Puede conectarse a la red local desde una red virtual emparejada si habilita el tránsito de puerta de enlace desde una red virtual que tenga una puerta de enlace de VPN. Mediante el tránsito de puerta de enlace, puede habilitar la conectividad local sin implementar puertas de enlace de red virtual en todas las redes virtuales. Este método puede reducir el costo general y la complejidad de la red. Mediante el emparejamiento de redes virtuales con tránsito de puerta de enlace, puede configurar una sola red virtual como una red de concentrador. Conecte esta red de concentrador al centro de datos local y comparta su puerta de enlace de red virtual con elementos del mismo nivel.

Para permitir el tránsito de puerta de enlace, configure la opción Permitir tránsito de puerta de enlace en la red virtual de concentrador donde se implementa la conexión de puerta de enlace a la red local. Configure también la opción Usar puertas de enlace remotas en cualquiera de las redes virtuales de radio.

Nota:

Si quiere habilitar la opción Usar puertas de enlace remotas en un emparejamiento de redes de radio, no puede implementar una puerta de enlace de red virtual en la red virtual de radio.

Espacios de direcciones superpuestos

Los espacios de direcciones IP de las redes conectadas en Azure y entre Azure y la red local no se pueden superponer. Esta regla también sucede con las redes virtuales emparejadas. Recuerde esta regla cuando planee el diseño de la red. En las redes que conecte a través del emparejamiento de redes virtuales, VPN o ExpressRoute, asigne otros espacios de direcciones que no se superpongan.

Diagrama de una comparación de direcciones de red superpuestas y no superpuestas.

Métodos de conectividad alternativos

El emparejamiento de redes virtuales es la forma menos compleja de conectar redes virtuales conjuntamente. Otros métodos se centran principalmente en la conectividad entre redes locales y de Azure en lugar de las conexiones entre las redes virtuales.

También puede conectar redes virtuales entre sí a través de un circuito de ExpressRoute. ExpressRoute es una conexión privada y dedicada entre un centro de datos local y la red troncal de Azure. Las redes virtuales que se conectan a un circuito ExpressRoute forman parte del mismo dominio de enrutamiento y se pueden comunicar entre sí. Las conexiones ExpressRoute no pasan por la red pública de Internet, por lo que las comunicaciones con los servicios de Azure son tan seguras como sea posible.

Las VPN usan Internet para conectar el centro de datos local a la red troncal de Azure a través de un túnel cifrado. Puede usar una configuración de sitio a sitio para conectar redes virtuales entre sí a través de puertas de enlace de VPN. Las puertas de enlace de VPN tienen una latencia mayor que las configuraciones de emparejamiento de redes virtuales. Son más complejas de administrar y pueden ser más caras.

Cuando las redes virtuales se conectan mediante una puerta de enlace y emparejamiento de redes virtuales, el tráfico fluye a través de la configuración de emparejamiento.

Cuándo elegir el emparejamiento de redes virtuales

El emparejamiento de redes virtuales puede ser una forma excelente de habilitar la conectividad de red entre los servicios que se encuentran en redes virtuales distintas. El emparejamiento de redes virtuales debe ser su primera opción cuando necesite integrar redes virtuales de Azure. Es fácil de implementar, y funciona bien entre regiones y suscripciones.

Es posible que el emparejamiento no sea la mejor opción si tiene servicios o conexiones de VPN o ExpressRoute existentes detrás de instancias básicas de Azure Load Balancer a las que se podría acceder desde una red virtual emparejada. En estos casos, debe buscar alternativas.