Acerca de las puertas de enlace de red virtual de ExpressRoute
Para conectar la red virtual de Azure y la red local con ExpressRoute, primero debe crear una puerta de enlace de red virtual. Una puerta de enlace de red virtual tiene dos propósitos: intercambiar las rutas de IP entre las redes y enrutar el tráfico de red. En este artículo se explican los diferentes tipos de puerta de enlace, las SKU de puerta de enlace y el rendimiento previsto por SKU. En este artículo también se explica FastPath de ExpressRoute, una característica que permite que el tráfico de red desde la red local omita la puerta de enlace de red virtual para mejorar el rendimiento.
Tipos de puerta de enlace
Al crear una puerta de enlace de red virtual, debe especificar varios valores de configuración. Uno de los valores de configuración necesarios, -GatewayType, especifica si la puerta de enlace se usará para el tráfico VPN o ExpressRoute. Los dos tipos de puerta de enlace son los siguientes:
Vpn: para enviar tráfico cifrado a través de una conexión a Internet pública, use la puerta de enlace de tipo "Vpn". Este tipo de puerta de enlace también se conoce como VPN Gateway. Las conexiones de sitio a sitio, de punto a sitio y de red virtual a red virtual utilizan una puerta de enlace de VPN.
ExpressRoute: para enviar tráfico de red en una conexión privada, use la puerta de enlace de tipo "ExpressRoute". Este tipo de puerta de enlace también se conoce como puerta de enlace de ExpressRoute y se usa al configurar ExpressRoute.
Cada red virtual tiene una única puerta de enlace de red virtual por cada tipo de puerta de enlace. Por ejemplo, puede tener una puerta de enlace de una red virtual que use -GatewayType Vpn y otra que use -GatewayType ExpressRoute.
SKU de puerta de enlace
Al crear una puerta de enlace de red virtual, debe especificar la SKU de la puerta de enlace que desea usar. Cuando se selecciona una SKU de puerta de enlace superior, se asignan más CPU y mayor ancho de banda de red a la puerta de enlace y. como resultado, esta admite un mayor rendimiento de red a la red virtual.
Las puertas de enlace de red virtual de ExpressRoute pueden utilizar las SKU siguientes:
- ERGwScale (versión preliminar)
- Estándar
- HighPerformance
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
Si desea actualizar la puerta de enlace a una SKU de puerta de enlace de mayor capacidad, puede usar la herramienta Migración de puerta de enlace de conexión directa en Azure Portal o PowerShell. Se admiten las siguientes actualizaciones:
- SKU no habilitada para Az en IP básica a SKU no habilitada para Az en IP estándar.
- SKU no habilitada para Az en la dirección IP básica a la SKU habilitada para Az en IP Estándar.
- SKU no habilitada para Az en IP Estándar a SKU habilitada para Az en IP Estándar.
Para obtener más información, consulte Migración a una puerta de enlace habilitada para zona de disponibilidad.
En todos los demás escenarios de cambio a una versión anterior, tendrá que eliminar y volver a crear la puerta de enlace. Volver a crear una puerta de enlace provoca un tiempo de inactividad.
Subred de puerta de enlace
Antes de crear una puerta de enlace de ExpressRoute, debe crear una subred de puerta de enlace. La subred de puerta de enlace contiene las direcciones IP que usan los servicios y las máquinas virtuales de la puerta de enlace de red virtual. Al crear la puerta de enlace de red virtual, las máquinas virtuales de puerta de enlace se implementan en la subred de puerta de enlace y se configuran con las opciones necesarias de puerta de enlace de ExpressRoute. Nunca implemente nada más en la subred de puerta de enlace. Para que la subred de puerta de enlace funcione correctamente, su nombre tiene que ser “GatewaySubnet2”. Asignar el nombre "GatewaySubnet" a la subred de puerta de enlace permite a Azure saber que se trata de la subred donde se implementarán las máquinas virtuales y los servicios de la puerta de enlace de red virtual.
Nota:
Las rutas definidas por el usuario con un destino 0.0.0.0/0 y NSG en GatewaySubnet no se admiten. Las puertas de enlace con esta configuración no se pueden crear. Las puertas de enlace requieren acceso a los controladores de administración para que funcionen correctamente. Propagación de rutas BGP debe establecerse en "Habilitado" en GatewaySubnet para garantizar la disponibilidad de la puerta de enlace. Si la propagación de rutas BGP está establecida en deshabilitada, la puerta de enlace no funcionará.
Los diagnósticos, la ruta de acceso de datos y la ruta de acceso de control se pueden ver afectados si una ruta definida por el usuario se superpone con el intervalo de subred de puerta de enlace o el intervalo de direcciones IP públicas de la puerta de enlace.
- No se recomienda implementar Azure DNS Private Resolver en una red virtual que tenga una puerta de enlace de red virtual de ExpressRoute y establezca reglas comodín para dirigir toda la resolución de nombres a un servidor DNS específico. Esta configuración puede provocar problemas de conectividad de administración.
Al crear la subred de puerta de enlace, especifique el número de direcciones IP que contiene la subred. Las direcciones IP de la subred de puerta de enlace se asignan a las máquinas virtuales y los servicios de puerta de enlace. Algunas configuraciones requieren más direcciones IP que otras.
Cuando planee el tamaño de la subred de puerta de enlace, consulte la documentación de la configuración que piensa crear. Por ejemplo, la configuración de coexistencia de ExpressRoute/VPN Gateway requiere una subred de puerta de enlace mayor que la mayoría de las restantes. Además, debe asegurarse de que la subred de puerta de enlace contenga suficientes direcciones IP para dar cabida a posibles configuraciones adicionales. Se recomienda crear una subred de puerta de enlace de /27 o superior (/27, /26, etc.). Si planea conectar 16 circuitos ExpressRoute a la puerta de enlace, debe crear una subred de puerta de enlace de tamaño /26 o mayor. Si va a crear una subred de puerta de enlace de pila dual, se recomienda usar también un intervalo IPv6 de /64 o superior. Esta configuración admite la mayoría de las configuraciones.
En el ejemplo de PowerShell de Resource Manager siguiente, se muestra una subred de puerta de enlace con el nombre GatewaySubnet. Puede ver que la notación CIDR especifica /27, que permite suficientes direcciones IP para la mayoría de las configuraciones que existen.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Importante
No se admiten grupos de seguridad de red (NSG) en la subred de puerta de enlace. La asociación de grupos de seguridad de red a esta subred podría causar que la puerta de enlace de la red virtual (puertas de enlace de ExpressRoute y VPN) dejase de funcionar como cabría esperar. Para más información acerca de los grupos de seguridad de red, consulte ¿Qué es un grupo de seguridad de red?
Limitaciones y rendimiento de la puerta de enlace de red virtual
Compatibilidad con características por SKU de puerta de enlace
En la tabla siguiente se muestran las características admitidas en cada tipo de puerta de enlace y el número máximo de conexiones de circuito ExpressRoute admitidas por cada SKU de puerta de enlace.
| SKU de puerta de enlace | Coexistencia de VPN Gateway y ExpressRoute | FastPath | Número máximo de conexiones de circuito |
|---|---|---|---|
| SKU estándar/ERGw1Az | Sí | No | 4 |
| SKU de alto rendimiento/ERGw2Az | Sí | No | 8 |
| SKU de ultrarrendimiento/ErGw3AZ | Sí | Sí | 16 |
| ErGwScale (versión preliminar) | Sí | Sí: mínimo 10 unidades de escalado | 4: mínimo 1 unidad de escalado 8: mínimo 2 unidades de escalado 16: mínimo 10 unidades de escalado |
Nota:
El número máximo de circuitos ExpressRoute desde la misma ubicación de emparejamiento que se puede conectar a la misma red virtual es 4 para todas las puertas de enlace.
Rendimientos estimados por SKU de puerta de enlace
En las tablas siguientes se proporciona información general sobre los distintos tipos de puertas de enlace, sus respectivas limitaciones y sus métricas de rendimiento esperadas. Estas cifras se derivan de las siguientes condiciones de prueba y representan los límites máximos de compatibilidad. El rendimiento real puede variar en función de la exactitud con la que el tráfico replique estas condiciones de prueba.
Condiciones de prueba
| SKU de puerta de enlace | Tráfico enviado desde el entorno local | Número de rutas anunciadas por la puerta de enlace | Número de rutas que ha aprendido la puerta de enlace |
|---|---|---|---|
| Standard/ERGw1Az | 1 Gbps | 500 | 4000 |
| Alto rendimiento/ERGw2Az | 2 Gbps | 500 | 9500 |
| Ultrarrendimiento/ErGw3Az | 10 Gbps | 500 | 9500 |
| ErGwScale (por unidad de escalado) | 1 Gbps | 500 | 4\.000 |
Nota:
ExpressRoute puede facilitar hasta 11 000 rutas que abarcan espacios de direcciones de red virtual, red local y cualquier conexión de emparejamiento de red virtual pertinente. Para garantizar la estabilidad de la conexión de ExpressRoute, absténgase de propagar más de 11 000 rutas a ExpressRoute.
Resultados de rendimiento
Esta tabla se aplica a los modelos de implementación clásicos y de Azure Resource Manager.
| SKU de puerta de enlace | Megabits por segundo | Paquetes por segundo | Número de máquinas virtuales admitidas en la red virtual 1 | Límite de recuento de flujos |
|---|---|---|---|---|
| Standard/ERGw1Az | 1,000 | 100 000 | 2 000 | 200 000 |
| Alto rendimiento/ERGw2Az | 2\.000 | 200 000 | 4500 | 400 000 |
| Ultrarrendimiento/ErGw3Az | 10 000 | 1 000 000 | 11 000 | 1 000 000 |
| ErGwScale (por unidad de escalado) | 1,000 | 100 000 | 2 000 | 100 000 por unidad de escalado |
1 Los valores de la tabla son estimaciones y varían en función del uso de la CPU de la puerta de enlace. Si el uso de la CPU fuera alto y se superase el número de máquinas virtuales admitidas, la puerta de enlace comenzará a quitar paquetes.
Importante
- El rendimiento de la aplicación depende de varios factores, como la latencia de un extremo a otro y el número de flujos de tráfico que abre la aplicación. Los números de la tabla representan el límite superior que teóricamente la aplicación puede alcanzar en un entorno ideal. Además, Microsoft realiza el mantenimiento rutinario del host y del sistema operativo en la puerta de enlace de red virtual de ExpressRoute para mantener la confiabilidad del servicio. Durante un período de mantenimiento, se reduce la capacidad del plano de control y la ruta de acceso de datos de la puerta de enlace.
- Durante un período de mantenimiento, puede experimentar problemas de conectividad intermitentes con los recursos de punto de conexión privado.
- ExpressRoute admite un tamaño máximo de paquete TCP y UDP de 1400 bytes. Un tamaño del paquete mayor que 1400 bytes se fragmentará.
- Azure Route Server puede compatibilizar hasta 4000 máquinas virtuales. Este límite incluye a las máquinas virtuales en redes virtuales que son del mismo nivel. Para obtener más información, consulte Limitaciones del servidor de rutas Azure Route Server.
SKU de puerta de enlace con redundancia de zona
También puede implementar puertas de enlace de ExpressRoute en Azure Availability Zones. Esta configuración las divide física y lógicamente en distintas zonas de disponibilidad, de forma que protege la conectividad de red local a Azure de los errores de nivel de zona.
Las puertas de enlace con redundancia de zona utilizan nuevas SKU de puerta de enlace específicas para la puerta de enlace de ExpressRoute.
- ErGw1AZ
- ErGw2AZ
- ErGw3AZ
- ErGwScale (versión preliminar)
Las nuevas SKU de puerta de enlace admiten también otras opciones de implementación que se ajusten mejor sus necesidades. Si crea una puerta de enlace de red virtual con las nuevas SKU de puerta de enlace, puede implementar la puerta de enlace en una zona determinada. Este tipo de puerta de enlace se conoce como puerta de enlace zonal. Al implementar una puerta de enlace zonal, todas las instancias de la puerta de enlace se implementan en la misma zona de disponibilidad.
Para más información sobre la migración de una puerta de enlace de ExpressRoute, consulte Migración de puerta de enlace.
Puerta de enlace escalable de ExpressRoute (versión preliminar)
La SKU de puerta de enlace de red virtual ErGwScale le permite lograr una conectividad de 40 Gbps a máquinas virtuales y puntos de conexión privados en la red virtual. Esta SKU permite establecer una unidad de escalado mínima y máxima para la infraestructura de puerta de enlace de red virtual, que se escala automáticamente en función del ancho de banda activo o el número de flujos. También puede establecer una unidad de escalado fija para mantener una conectividad constante a un valor de ancho de banda deseado.
Disponibilidad regional de implementación y de zona de disponibilidad
ErGwScale admite implementaciones zonales y con redundancia zonal en zonas de disponibilidad de Azure. Para obtener más información sobre estos conceptos, revise la documentación de servicios zonales y redundancia de zona.
ErGwScale está disponible en versión preliminar en las siguientes regiones:
- Este de Australia
- Sur de Brasil
- Centro de Canadá
- Este de EE. UU.
- Este de Asia
- Centro de Francia
- Centro-oeste de Alemania
- India central
- Norte de Italia
- Norte de Europa
- Este de Noruega
- Centro de Suecia
- Norte de Emiratos Árabes Unidos
- Sur de Reino Unido 2
- Oeste de EE. UU. 2
- Oeste de EE. UU. 3
Escalado automático frente a unidad de escalado fijo
La infraestructura de puerta de enlace de red virtual se escala automáticamente entre la unidad de escalado mínima y máxima que configure, en función del uso del ancho de banda o del número de flujos. Las operaciones de escalado pueden tardar hasta 30 minutos en completarse. Si desea lograr una conectividad fija con un valor de ancho de banda específico, puede configurar una unidad de escalado fija estableciendo la unidad de escalado mínima y la unidad de escalado máxima en el mismo valor.
Limitaciones
- IP básica: ErGwScale no admite la SKU de la IP básica. Debe usar una SKU de IP estándar para configurar ErGwScale.
- Unidades de escalado mínimas y máximas: puede configurar la unidad de escalado para ErGwScale entre 1 y 40. La unidad de escalado mínima no puede ser inferior a 1 y la unidad de escalado máxima no puede ser superior a 40.
- Escenarios de migración: no se puede migrar de Standard/ErGw1Az, HighPerf/ErGw2Az/UltraPerf/ErGw3Az a ErGwScale en la versión preliminar pública.
Precios
ErGwScale es gratuito durante la versión preliminar pública. Para más información sobre los precios de ExpressRoute, consulte Precios de Azure ExpressRoute.
Rendimiento estimado por unidad de escalado
Rendimiento admitido por unidad de escalado
| Unidad de escalado | Ancho de banda (Gbps) | Paquetes por segundo | Conexiones por segundo | Número máximo de conexiones de máquina virtual 1 | Número máximo de flujos |
|---|---|---|---|---|---|
| 1-10 | 1 | 100 000 | 7000 | 2.000 | 100 000 |
| 11-40 | 1 | 100 000 | 7000 | 1,000 | 100 000 |
Muestra de rendimiento con unidad de escalado
| Unidad de escalado | Ancho de banda (Gbps) | Paquetes por segundo | Conexiones por segundo | Número máximo de conexiones de máquina virtual 1 | Número máximo de flujos |
|---|---|---|---|---|---|
| 10 | 10 | 1 000 000 | 70 000 | 20 000 | 1 000 000 |
| 20 | 20 | 2 000 000 | 140 000 | 30,000 | 2 000 000 |
| 40 | 40 | 4 000 000 | 280 000 | 50.000 | 4 000 000 |
1 El número máximo de conexiones de máquina virtual se escala de forma diferente por encima de las 10 unidades de escalado. Las primeras 10 unidades de escalado proporcionan capacidad para 2000 máquinas virtuales por unidad de escalado. Las unidades de escalado 11 y posteriores proporcionan 1000 más capacidad de máquina virtual por unidad de escalado.
Conectividad de VNet a VNet y de VNet a Virtual WAN
De forma predeterminada, la conectividad de VNet a VNet y de VNet a Virtual WAN está deshabilitada a través de un circuito ExpressRoute para todas las SKU de puerta de enlace. Para habilitar esta conectividad, debe configurar la puerta de enlace de red virtual de ExpressRoute para permitir este tráfico. Para más información, consulte la guía sobre conectividad de red virtual a través de ExpressRoute. Para habilitar este tráfico, consulte Habilitación de la conectividad de VNet a VNet o de VNet a Virtual WAN a través de ExpressRoute.
FastPath
La puerta de enlace de red virtual de ExpressRoute está diseñada para intercambiar las rutas de red y enrutar el tráfico de red. FastPath está diseñado para mejorar el rendimiento de las rutas de acceso a los datos entre la red local y una red virtual. Cuando está habilitado, FastPath envía el tráfico de red directamente a las máquinas virtuales que están en la red, omitiendo la puerta de enlace.
Para más información acerca de FastPath, incluidas las limitaciones y los requisitos, consulte Acerca de FastPath.
Conectividad a puntos de conexión privados
La puerta de enlace de red virtual de ExpressRoute facilita la conectividad a los puntos de conexión privados implementados en la misma red virtual que la puerta de enlace de red virtual y entre nodos del mismo nivel de la red virtual.
Importante
- El rendimiento y la capacidad del plano de control para la conectividad a recursos de punto de conexión privados pueden reducirse a la mitad en comparación con la conectividad a recursos de punto de conexión no privados.
- Durante un período de mantenimiento, puede experimentar problemas de conectividad intermitentes con los recursos de punto de conexión privado.
- Debe asegurarse de que su configuración local, incluida la configuración del enrutador y del firewall, es correcta para garantizar que los paquetes de la tupla de 5 IP usan un único salto siguiente (enrutador Microsoft Enterprise Edge - MSEE) a menos que se produzca un evento de mantenimiento. Si la configuración del firewall o enrutador local está causando la misma tupla IP 5 para cambiar con frecuencia los próximo saltos, experimentará problemas de conectividad.
Conectividad de punto de conexión privado y eventos de mantenimiento planeado
La conectividad del punto de conexión privado es con estado. Cuando se establece una conexión a un punto de conexión privado a través del emparejamiento privado de ExpressRoute, las conexiones entrantes y salientes se enrutan a través de una de las instancias de back-end de la infraestructura de puerta de enlace. Durante un evento de mantenimiento, las instancias de back-end de la infraestructura de puerta de enlace de red virtual se reinician de uno en uno, lo que podría provocar problemas de conectividad intermitentes.
Para evitar o minimizar los problemas de conectividad con puntos de conexión privados durante las actividades de mantenimiento, se recomienda establecer el valor de tiempo de espera de TCP para que caiga entre 15 y 30 segundos en las aplicaciones locales. Pruebe y configure el valor óptimo en función de los requisitos de la aplicación.
API de REST y cmdlets de PowerShell
Para encontrar más recursos técnicos y conocer los requisitos de sintaxis específicos al usar API REST y cmdlets de PowerShell para configurar la puerta de enlace de red virtual, consulte las páginas siguientes:
| Clásico | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
Conectividad de VNet a VNet
De forma predeterminada, la conectividad entre redes virtuales está habilitada cuando vincula varias redes virtuales al mismo circuito ExpressRoute. Microsoft recomienda no usar el circuito ExpressRoute para la comunicación entre redes virtuales. En su lugar, se recomienda usar el emparejamiento de red virtual. Para más información sobre por qué no se recomienda la conectividad de red virtual a red virtual a través de ExpressRoute, consulte Conectividad entre redes virtuales a través de ExpressRoute.
Emparejamiento de redes virtuales
Una red virtual con una puerta de enlace de ExpressRoute puede tener un emparejamiento de red virtual con hasta otras 500 redes virtuales. El emparejamiento de red virtual sin una puerta de enlace de ExpressRoute puede tener una limitación de emparejamiento mayor.
Pasos siguientes
Para más información sobre configuraciones de conexión disponibles, consulte Introducción a ExpressRoute.
Para más información sobre cómo crear puertas de enlace de ExpressRoute, consulte Creación de una puerta de enlace de red virtual para ExpressRoute.
Para más información sobre la presentación de ErGwScale, consulte Configuración de una puerta de enlace de red virtual para ExpressRoute con Azure Portal.
Para más información acerca de cómo configurar puertas de enlace con redundancia de zona, consulte Crear una puerta de enlace de red virtual con redundancia de zona.
Para más información sobre FastPath, vea Acerca de FastPath.