Preparación para conectar Azure Communications Gateway a su propia red virtual (versión preliminar)
En este artículo se describen los pasos necesarios para conectar una instancia de Azure Communications Gateway a su propia red virtual mediante la inserción de red virtual para Azure Communications Gateway (versión preliminar). Este procedimiento es necesario para implementar Azure Communications Gateway en una subred que controle y se use al conectar la red local con el emparejamiento privado de ExpressRoute o a través de una instancia de Azure VPN Gateway. Azure Communications Gateway tiene dos regiones de servicio con su propia conectividad, lo que significa que debe proporcionar redes virtuales y subredes en cada una de estas regiones.
En el diagrama siguiente se muestra información general de Azure Communications Gateway implementada con la inyección de red virtual. Las interfaces de red de Azure Communications Gateway orientadas a la red se implementan en la subred, mientras que las interfaces de red orientadas a los servicios de comunicaciones back-end permanecen administradas por Microsoft.
Requisitos previos
- Obtenga la suscripción de Azure habilitada para Azure Communications Gateway.
- Informe a su equipo de incorporación que piensa usar sus propias redes virtuales.
- Cree una red virtual de Azure en cada una de las regiones de Azure que se van a usar como regiones de servicio de Azure Communications Gateway. Aprenda a crear una red virtual.
- Cree una subred en cada red virtual de Azure para el uso exclusivo de Azure Communications Gateway. Estas subredes deben tener al menos 16 direcciones IP (un intervalo /28 IPv4 o superior). Nada más debe usar esta subred. Aprenda a crear una subred.
- Asegúrese de que la cuenta de Azure tenga el rol Colaborador de red o un elemento primario de este rol en las redes virtuales.
- Implemente la solución de conectividad elegida (por ejemplo, ExpressRoute) en su suscripción de Azure y asegúrese de que está lista para su uso.
Sugerencia
Las implementaciones de laboratorio solo tienen una región de servicio, por lo que solo debe configurar una sola región durante este procedimiento.
Delegar las subredes de red virtual
Para usar la red virtual con Azure Communications Gateway, debe delegar las subredes en Azure Communications Gateway. La delegación de subred proporciona permisos explícitos a Azure Communications Gateway para crear recursos específicos del servicio, como interfaces de red (NIC), en las subredes.
Siga estos pasos para delegar las subredes para usarlas con Azure Communications Gateway:
Vaya a las redes virtuales y seleccione la red virtual que se usará en la primera región de servicio de Azure Communications Gateway.
Seleccione Subredes.
Seleccione una subred que quiera delegar en Azure Communications Gateway.
Importante
La subred que use debe estar dedicada a Azure Communications Gateway.
En Delegar subred en un servicio, seleccione Microsoft.AzureCommunicationsGateway/networkSettingsy, a continuación, seleccione Guardar.
Compruebe que Microsoft.AzureCommunicationsGateway/networkSettings aparece en la columna Delegado a para la subred.
Repita los pasos anteriores para la red virtual y la subred en la otra región del servicio Azure Communications Gateway.
Configuración de grupos de seguridad de red
Al conectar la puerta de enlace de comunicaciones de Azure a redes virtuales, debe configurar un grupo de seguridad de red (NSG) para permitir que el tráfico de la red llegue a Azure Communications Gateway. Un grupo de seguridad de red contiene reglas de control de acceso que permitan o denieguen el tráfico según la dirección del tráfico, el protocolo, la dirección de origen y el puerto, y la dirección de destino y el puerto.
Las reglas de un grupo de seguridad de red pueden cambiarse en cualquier momento; los cambios se aplican a todas las instancias asociadas. Los cambios del grupo de seguridad de red pueden tardar hasta 10 minutos en ser efectivos.
Importante
Si no configura un grupo de seguridad de red, el tráfico no podrá acceder a las interfaces de red de Azure Communication Gateway.
La configuración del grupo de seguridad de red consta de dos pasos, que se realizarán en cada región de servicio:
- Cree un grupo de seguridad de red que permita el tráfico deseado.
- Asocie el grupo de seguridad de red a las subredes de red virtual.
Puede usar un grupo de seguridad de red para controlar el tráfico a una o más máquinas virtuales, instancias de rol, adaptadores de red o subredes de su red virtual. Un grupo de seguridad de red contiene reglas de control de acceso que permitan o denieguen el tráfico según la dirección del tráfico, el protocolo, la dirección de origen y el puerto, y la dirección de destino y el puerto. Las reglas de un grupo de seguridad de red pueden cambiarse en cualquier momento; los cambios se aplican a todas las instancias asociadas.
Para obtener más información sobre NSG, visite ¿Qué es un NSG.
Creación del grupo de seguridad de red correspondiente
Trabaje con el equipo de incorporación para determinar la configuración correcta del grupo de seguridad de red para las redes virtuales. Esta configuración depende de la opción de conectividad (por ejemplo, ExpressRoute) y de la topología de red virtual.
La configuración del grupo de seguridad de red debe permitir el tráfico a los intervalos de puertos necesarios que usa Azure Communications Gateway.
Sugerencia
Puede usar recomendaciones para grupos de seguridad de red para ayudar a garantizar que la configuración coincida con los procedimientos recomendados para la seguridad.
Asociación de la subred con el grupo de seguridad de red
- Vaya al grupo de seguridad de red y seleccione Subredes.
- Seleccione + Asociar en la barra de menús superior.
- En Red virtual, seleccione la red virtual.
- En Subred, seleccione la subred de la red virtual.
- Seleccione Aceptar para asociar la subred de red virtual al grupo de seguridad de red.
- Repita estos pasos para la otra región de servicio.