Habilitación de la conectividad entre redes virtuales con emparejamiento

  • 6 minutos

Las organizaciones con operaciones a gran escala crean conexiones entre diferentes partes de su infraestructura de red virtual. El emparejamiento de red virtual permite conectar fácilmente redes virtuales independientes con un rendimiento de red óptimo, ya sea en la misma región de Azure (emparejamiento de VNet) o en regiones diferentes (emparejamiento de VNet global). El tráfico de red entre redes virtuales emparejadas es privado. A efectos de conectividad las redes virtuales aparecen como una sola. El tráfico entre máquinas virtuales de redes virtuales emparejadas usa la infraestructura troncal de Microsoft, y no se requiere ninguna red pública de Internet, puertas de enlace o cifrado en la comunicación entre las redes virtuales.

El emparejamiento de redes virtuales permite conectar sin problemas dos redes virtuales de Azure. Una vez emparejadas, a efectos de conectividad las redes virtuales aparecen como una sola. Existen dos tipos de emparejamiento de red virtual:

  • El emparejamiento de red virtual regional conecta redes virtuales de Azure de la misma región.
  • El emparejamiento de VNet conecta redes virtuales de Azure de regiones diferentes. Las redes virtuales emparejadas pueden existir en cualquier región de nube pública de Azure o regiones en la nube de China, pero no en las regiones de nube de Administración Pública. Solo se pueden emparejar redes virtuales de la misma región que existan en regiones de la nube de Azure Government.

Diagrama con VNet1 en la región 1 y VNet2 y VNet3 en la región 2. VNet2 y VNet3 están conectadas con el emparejamiento de VNet regional. VNet1 y VNet2 están conectadas con un emparejamiento de VNet global.

Las ventajas del uso del emparejamiento de redes virtuales, ya sean locales o globales, son las siguientes:

  • Baja latencia, conexión de gran ancho de banda entre los recursos de redes virtuales diferentes.
  • La posibilidad de aplicar grupos de seguridad de red en cualquier red virtual para bloquear el acceso a otras redes virtuales o subredes.
  • La capacidad de transferir datos entre redes virtuales de distintas suscripciones de Azure, inquilinos de Azure Microsoft Entra, modelos de implementación y regiones de Azure.
  • La capacidad de emparejar redes virtuales creadas mediante Azure Resource Manager.
  • La capacidad de emparejar una red virtual creada mediante Resource Manager con otra creada mediante el modelo de implementación clásica.
  • No se requiere tiempo de inactividad para los recursos al crear el emparejamiento o después de crearlo.

En el diagrama siguiente se muestra un escenario en el que los recursos de la red virtual de Contoso y los recursos de la red virtual Fabrikam deben comunicarse. La suscripción de Contoso en la región Oeste de EE. UU. está conectada a la suscripción de Fabrikam en la región Este de EE. UU.

Diagrama de la red virtual y los recursos de Contoso en la red virtual de Fabrikam.

Las tablas de enrutamiento muestran las rutas conocidas a los recursos de cada suscripción. En la tabla de enrutamiento siguiente se muestran las rutas conocidas a Contoso, donde la entrada final es la entrada de emparejamiento de VNet global a la subred 10.10.26.0/24 de Fabrikam.

Captura de pantalla de la tabla de enrutamiento.

En la tabla siguiente se muestran las rutas conocidas a Fabrikam. Una vez más, la entrada final es la entrada de emparejamiento de VNet global, esta vez a la subred 10.17.26.0/24 de Contoso.

Captura de pantalla de la tabla de rutas de Fabrikam.

Configuración del emparejamiento de VNet

A continuación, se indican los pasos para configurar el emparejamiento de VNet. Observe que necesita dos redes virtuales. Para probar el emparejamiento, necesita una máquina virtual en cada red. Inicialmente, las máquinas virtuales no podrán comunicarse, pero después de configurar la comunicación funciona. El paso nuevo consiste en configurar el emparejamiento de las redes virtuales.

  1. Cree dos redes virtuales.
  2. Empareje las redes virtuales.
  3. Cree máquinas virtuales en cada red virtual.
  4. Pruebe la comunicación entre las máquinas virtuales.

Para configurar el emparejamiento, use la página Agregar emparejamiento. Solo debe tener en cuenta algunos parámetros de configuración opcionales.

Captura de pantalla de la página de configuración del emparejamiento de red virtual.

Nota:

Al agregar un emparejamiento en una red virtual, la segunda configuración de red virtual se agrega automáticamente.

Tránsito y conectividad de puerta de enlace

Cuando las redes virtuales están emparejadas, puede configurar una puerta de enlace de VPN en la red virtual emparejada como punto de tránsito. En este caso, una red virtual emparejada usa la puerta de enlace remota para obtener acceso a otros recursos. Una red virtual no puede tener más de una puerta de enlace. Se admite el tránsito de puerta de enlace tanto para el emparejamiento de VNet como para el emparejamiento de VNet global.

Cuando se permite el tránsito de puerta de enlace, la red virtual puede comunicarse con recursos de fuera del emparejamiento. Por ejemplo, la puerta de enlace de subred podría hacer lo siguiente:

  • Usar una VPN de sitio a sitio para conectarse a una red local.
  • Usar una conexión de red virtual a red virtual a otra red virtual.
  • Usar una VPN de punto a sitio para conectarse a un cliente.

En estos escenarios, el tránsito de puerta de enlace permite que las redes virtuales emparejadas compartan la puerta de enlace y obtengan acceso a los recursos. Esto significa que no es necesario implementar una puerta de enlace de VPN en la red virtual del mismo nivel.

Nota:

Se pueden aplicar grupos de seguridad de red en cualquier red virtual para bloquear el acceso a otras redes virtuales o subredes. Al configurar el emparejamiento de red virtual, puede abrir o cerrar las reglas del grupo de seguridad de red entre las redes virtuales.

Uso del encadenamiento de servicios para dirigir el tráfico a una puerta de enlace

Supongamos que quiere dirigir el tráfico desde la red virtual de Contoso a una aplicación virtual de red (NVA) específica. Cree rutas definidas por el usuario para dirigir el tráfico desde la red virtual de Contoso a la NVA de la red virtual de Fabrikam. Esta técnica se conoce como encadenamiento de servicios.

Para habilitar el encadenamiento de servicios, agregue rutas definidas por el usuario que apunten a máquinas virtuales de la red virtual emparejadas como dirección IP de próximo salto. Las rutas definidas por el usuario también pueden apuntar a puertas de enlace de red virtual.

Las redes virtuales de Azure se pueden implementar en una topología en estrella tipo hub-and-spoke (centro y radio), donde la red virtual de centro actúa como punto central de conectividad para todas las redes virtuales de radio. La red virtual de centro hospeda componentes de infraestructura, como una NVA, máquinas virtuales y una puerta de enlace de VPN. Todas las redes virtuales de radio se emparejan con la red virtual de centro. El tráfico fluye por las aplicaciones virtuales de red o las puertas de enlace de VPN de la red virtual del concentrador. Las ventajas de usar una configuración en estrella tipo hub-and-spoke incluyen el ahorro de costos, la superación de los límites de suscripción y el aislamiento de las cargas de trabajo.

En el diagrama siguiente se muestra un escenario en el que la red virtual de centro hospeda una puerta de enlace de VPN que administra el tráfico a la red local, lo que permite la comunicación controlada entre esta y las redes virtuales de Azure emparejadas.

Diagrama de la configuración de grupo radial de Contoso y Fabrikam.

Elija la respuesta más adecuada para cada pregunta.

Comprobación de conocimientos

1.

Cuando se necesiten los recursos de una red virtual para comunicarse con los recursos de una subred de una red virtual diferente. ¿Qué característica de red de Azure se debe usar?

2.

Al configurar el emparejamiento global, ¿qué cambios se producen en las redes virtuales emparejadas?