Crear, cambiar o eliminar un emparejamiento de red virtual
Aprenda a crear, cambiar o eliminar un emparejamiento de red virtual. El emparejamiento de red virtual permite conectar redes virtuales de la misma región y entre regiones (lo que se conoce también como emparejamiento de VNET global) mediante la red troncal de Azure. Una vez emparejadas, las redes virtuales se siguen administrando como recursos separados. Si no está familiarizado con el emparejamiento de redes virtuales, puede obtener más información sobre él en la información general sobre el emparejamiento de redes virtuales o si sigue el tutorial de emparejamiento de red virtual.
Requisitos previos
Si no tiene una cuenta de Azure con una suscripción activa, puede crear una cuenta gratuita. Complete una de estas tareas antes de continuar con este artículo:
Inicie sesión en Azure Portal con una cuenta de Azure que tenga los permisos necesarios para trabajar con los emparejamientos.
Creación de un emparejamiento
Antes de crear un emparejamiento, familiarícese con los requisitos y las restricciones, así como los permisos necesarios.
En el cuadro de búsqueda de la parte superior de Azure Portal, escriba redes virtuales. En los resultados de la búsqueda, seleccione Redes virtuales.
En Redes virtuales, seleccione la red para la que desea crear un emparejamiento.
En Configuración, seleccione Emparejamientos.
Seleccione +Agregar.
Escriba o seleccione valores para la configuración siguiente y luego seleccione Agregar.
Configuración Descripción Resumen de red virtual remota Nombre del vínculo de emparejamiento Nombre del emparejamiento de la red virtual local. El nombre debe ser único dentro de la red virtual. Modelo de implementación de red virtual seleccione con qué modelo de implementación se implementó la red virtual con la que quiere realizar el emparejamiento. Conozco mi Id. de recurso si tiene acceso de lectura a la red virtual con la que quiere realizar el emparejamiento, no active esta casilla. Si no tiene acceso de lectura a la red virtual o la suscripción con la que quiere realizar el emparejamiento, seleccione esta casilla. Id. de recurso Este campo aparece cuando activa la casilla Conozco mi id. de recurso. El identificador de recurso que especifique debe ser para una red virtual que exista en la misma región de Azure, o en una regióndiferente admitida, que esta red virtual.
El identificador de recurso completo es similar a/subscriptions/<Id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/virtualNetworks/<virtual-network-name>
.
Para obtener el identificador de recurso de una red virtual, vea las propiedades de la red virtual. Para obtener información sobre cómo ver las propiedades de una red virtual, consulte Administración de redes virtuales. Se deben asignar permisos de usuario si la suscripción está asociada a un inquilino de Microsoft Entra diferente al de la suscripción con la red virtual que está emparejando. Agregue un usuario de cada inquilino como usuario invitado en el inquilino opuesto.Suscripción seleccione la suscripción de la red virtual con la que quiere realizar el emparejamiento. Se muestran una o varias suscripciones, en función del número de suscripciones al que tenga acceso de lectura su cuenta. Red virtual Seleccione la red virtual remota. Configuración de emparejamiento de red virtual remota Permitir que la red virtual emparejada acceda a "vnet-1" Esta opción está seleccionada de manera predeterminada.
: seleccione esta opción para permitir el tráfico de la red virtual emparejada a "vnet-1". Esta configuración permite la comunicación entre el concentrador y el radio en la topología de red en estrella tipo hub-and-spoke y permite que una máquina virtual de la red virtual emparejada se comunique con una máquina virtual en "vnet-1". La etiqueta de servicio VirtualNetwork para los grupos de seguridad de red incluye la red virtual y la red virtual emparejada cuando se selecciona esta configuración. Para obtener más información sobre las etiquetas de servicio, vea Etiquetas de servicio de Azure.Permitir que la red virtual emparejada reciba tráfico reenviado de "vnet-1" Esta opción no está seleccionada de forma predeterminada.
: habilitar esta opción permitirá que la red virtual emparejada reciba tráfico de redes virtuales emparejadas a "vnet-1". Por ejemplo, si vnet-2 tiene un NVA que recibe tráfico desde fuera de vnet-2 que se reenvía a vnet-1, puede seleccionar esta opción para permitir que el tráfico llegue a vnet-1 desde vnet-2. Aunque al habilitar esta funcionalidad se permite el tráfico reenviado a través del emparejamiento, no se crean rutas definidas por el usuario ni aplicaciones virtuales de red. Las rutas definidas por el usuario y las aplicaciones virtuales de red se crean por separado.Permitir que la puerta de enlace o el servidor de rutas de la red virtual emparejada reenvíen el tráfico a "vnet-1" Esta opción no está seleccionada de forma predeterminada.
: al habilitar esta configuración, se permitirá que "vnet-1" reciba tráfico de la puerta de enlace o del servidor de rutas de las redes virtuales emparejadas. Para habilitar esta opción, la red virtual emparejada debe contener una puerta de enlace o un servidor de rutas.Habilite la red virtual emparejada para usar la puerta de enlace remota o el servidor de rutas "vnet-1" Esta opción no está seleccionada de forma predeterminada.
: esta opción solo se puede habilitar si "vnet-1" tiene una puerta de enlace remota o un servidor de rutas y "vnet-1" habilita "Permitir la puerta de enlace en 'vnet-1' para reenviar el tráfico a la red virtual emparejada". Esta opción solo se puede habilitar en uno de los emparejamientos de las redes virtuales emparejadas.
También puede seleccionar esta opción si desea que esta red virtual use Route Server remoto para intercambiar rutas, consulte Azure Route Server.
NOTA: No puede usar las puertas de enlace remotas si ya tiene una puerta de enlace configurada en la red virtual. Para obtener más información sobre el uso de una puerta de enlace de tránsito, consulte Configuración del tránsito de la puerta de enlace de VPN para el emparejamiento de red virtual.Resumen de red virtual local Nombre del vínculo de emparejamiento Nombre del emparejamiento de la red virtual remota. El nombre debe ser único dentro de la red virtual. Configuración de emparejamiento de red virtual local Permitir que "vnet-1" acceda a la red virtual emparejada Esta opción está seleccionada de manera predeterminada.
: seleccione esta opción para permitir el tráfico de "vnet-1" a la red virtual emparejada. Esta configuración habilita la comunicación entre el concentrador y el radio en la topología de red en estrella tipo hub-and-spoke y permite que una máquina virtual de "vnet-1" se comunique con una máquina virtual en la red virtual emparejada.Permitir que "vnet-1" reciba tráfico reenviado de la red virtual emparejada Esta opción no está seleccionada de forma predeterminada.
: habilitar esta opción permitirá que "vnet-1" reciba tráfico de redes virtuales emparejadas a la red virtual emparejada. Por ejemplo, si vnet-2 tiene un NVA que recibe tráfico de fuera de vnet-2 que se reenvía a vnet-1, puede seleccionar esta configuración para permitir que ese tráfico llegue a vnet-1 desde vnet-2. Aunque al habilitar esta funcionalidad se permite el tráfico reenviado a través del emparejamiento, no se crean rutas definidas por el usuario ni aplicaciones virtuales de red. Las rutas definidas por el usuario y las aplicaciones virtuales de red se crean por separado.Permitir que la puerta de enlace o el servidor de rutas en "vnet-1" reenvíen el tráfico a la red virtual emparejada Esta opción no está seleccionada de forma predeterminada.
: al habilitar esta configuración, la red virtual emparejada recibirá tráfico de la puerta de enlace o del servidor de rutas de "vnet-1". Para que esta opción esté habilitada, "vnet-1" debe contener una puerta de enlace o un servidor de rutas.Habilite "vnet-1" para usar la puerta de enlace remota o el servidor de rutas emparejadas Esta opción no está seleccionada de forma predeterminada.
: esta opción solo se puede habilitar si la red virtual emparejada tiene una puerta de enlace remota o un servidor de rutas y la red virtual emparejada habilita "Permitir que la puerta de enlace de la red virtual emparejada reenvíe el tráfico a "vnet-1". Esta opción solo se puede habilitar en uno de los emparejamientos de "vnet-1".Nota:
Si usa una puerta de enlace de red virtual para enviar el tráfico local de manera transitiva a una red virtual emparejada, el intervalo IP de la red virtual emparejada para el dispositivo VPN local debe establecerse en el tráfico "interesante". Es posible que tenga que agregar todas las direcciones CIDR de la red virtual de Azure a la configuración del túnel VPN de IPSec de sitio a sitio en el dispositivo VPN local. Las direcciones CIDR incluyen recursos como centros de conectividad, radios y grupos de direcciones IP de punto a sitio. De lo contrario, sus recursos locales no podrán comunicarse con recursos en la red virtual emparejada. El tráfico interesante se comunica a través de asociaciones de seguridad de la fase 2. La asociación de seguridad crea un túnel VPN dedicado para cada subred especificada. El nivel local y azure VPN Gateway tienen que admitir el mismo número de túneles VPN de sitio a sitio y subredes de red virtual de Azure. De lo contrario, sus recursos locales no podrán comunicarse con recursos en la red virtual emparejada. Consulte la documentación de VPN local para obtener instrucciones para crear asociaciones de seguridad de la fase 2 para cada subred de red virtual de Azure especificada.
Seleccione el botón Actualizar pasados unos segundos; el estado de emparejamiento cambiará de Actualizando a Conectado.
Para obtener instrucciones paso a paso para implementar el emparejamiento entre redes virtuales de distintas suscripciones y los modelos de implementación, consulte los pasos siguientes.
Visualización o cambio de la configuración de emparejamiento
Antes de cambiar un emparejamiento, familiarícese con los requisitos y las restricciones, así como con los permisos necesarios.
En el cuadro de búsqueda de la parte superior de Azure Portal, escriba redes virtuales. En los resultados de la búsqueda, seleccione Redes virtuales.
Seleccione la red virtual que desea ver o cambiar la configuración de emparejamiento de red virtual en Redes virtuales.
Seleccione Emparejamientos en Configuración y, a continuación, elija el emparejamiento para el que desea ver o cambiar la configuración.
Cambie los valores pertinentes. Lea la información sobre las opciones de cada opción en el paso 4 de la sección de creación de un emparejamiento. Después, seleccione Guardar para completar los cambios de configuración.
Eliminación de un emparejamiento
Antes de eliminar un emparejamiento, familiarícese con los requisitos y las restricciones, y también con los permisos necesarios.
Cuando se elimina un emparejamiento entre dos redes virtuales, el tráfico deja de pasar entre las redes virtuales. Si desea que las redes virtuales se comuniquen ocasionalmente pero no siempre, en lugar de eliminar un emparejamiento, deseleccione la opción Permitir el tráfico a la red virtual remota si quiere bloquear el tráfico a la red virtual remota. Probablemente le resulte más fácil deshabilitar y habilitar el acceso a la red que eliminar y volver a crear emparejamientos.
En el cuadro de búsqueda de la parte superior de Azure Portal, escriba redes virtuales. En los resultados de la búsqueda, seleccione Redes virtuales.
Seleccione la red virtual que desea ver o cambiar la configuración de emparejamiento de red virtual en Redes virtuales.
En Configuración, seleccione Emparejamientos.
Seleccione el cuadro situado junto al emparejamiento que quiera eliminar y, a continuación, seleccione Eliminar.
En Eliminar emparejamientos, escriba eliminar en el cuadro de confirmación y seleccione Eliminar.
Nota:
Al eliminar un emparejamiento de red virtual de una red virtual, también se eliminará el emparejamiento de la red virtual remota.
Seleccione Eliminar para confirmar la eliminación en Eliminar confirmación.
Requisitos y restricciones
Puede emparejar redes virtuales de la misma región o de regiones diferentes. El emparejamiento de redes virtuales de diferentes regiones se conoce también como emparejamiento de red virtual global.
Al crear un emparejamiento global, las redes virtuales emparejadas pueden existir en cualquier región de la nube pública de Azure, en las regiones de la nube de China o en las regiones de la nube de Government. No se puede efectuar un emparejamiento entre nubes. Por ejemplo, una red virtual en la nube pública de Azure no puede ser emparejada a una red virtual en Microsoft Azure operada por la nube 21Vianet.
Cuando forma parte de un emparejamiento, no se puede mover una red virtual. Si necesita mover una red virtual a otro grupo de recursos o suscripción, debe eliminar el emparejamiento, mover la red virtual y volver a crear el emparejamiento.
Los recursos de una red virtual no pueden comunicarse con la dirección IP de front-end de un equilibrador de carga básico (interno o público) en una red virtual emparejada globalmente. El soporte técnico para el equilibrador de carga básico solo existe dentro de la misma región. Existe compatibilidad con el equilibrador de carga estándar tanto para el emparejamiento de red virtual como para el emparejamiento global de red virtual. Algunos servicios que usan un equilibrador de carga básico no funcionan en el emparejamiento de red virtual global. Para obtener más información, vea Restricciones relacionadas con el emparejamiento de red virtual global y los equilibradores de carga.
Puede usar puertas de enlace remotas o permitir el tránsito de puerta de enlace en redes virtuales emparejadas globalmente y redes virtuales emparejadas localmente.
Las redes virtuales pueden estar en suscripciones distintas o en la misma. Cuando se emparejan redes virtuales en distintas suscripciones, las suscripciones pueden estar asociadas al mismo inquilino de Microsoft Entra o a uno diferente. Si todavía no tiene un inquilino de AD, puede crear uno.
Las redes virtuales que empareje deben tener espacios de direcciones IP que no se solapen.
Es posible emparejar dos redes virtuales implementadas mediante el Administrador de recursos, o bien una red virtual implementada mediante el Administrador de recursos con una red virtual implementada mediante el modelo de implementación clásica. No es posible emparejar dos redes virtuales creadas mediante el modelo de implementación clásica. Si no está familiarizado con los modelos de implementación de Azure, vea el artículo de descripción de los modelos de implementación de Azure. Puede usar VPN Gateway para conectar dos redes virtuales creadas mediante el modelo de implementación clásica.
Cuando empareja dos redes virtuales creadas mediante el Administrador de recursos, debe configurar un emparejamiento para cada red virtual en el emparejamiento. Vea uno de los tipos siguientes de estado de emparejamiento:
Iniciado: cuando se crea el primer emparejamiento, su estado es Iniciado.
Conectado: al crear el segundo emparejamiento, el estado de emparejamiento pasa a Conectado para ambos emparejamientos. El emparejamiento no se habrá establecido correctamente mientras el estado de ambos emparejamientos de red virtual no sea Conectado.
Al emparejar una red virtual creada mediante el Administrador de recursos con una red virtual creada mediante el modelo de implementación clásica, solo se configura un emparejamiento para la red virtual implementada mediante el Administrador de recursos. No se puede configurar el emparejamiento para una red virtual (clásica), o bien entre dos redes virtuales implementadas mediante el modelo de implementación clásica. Cuando se crea el emparejamiento de la red virtual (Administrador de recursos) a la red virtual (clásica), el estado de emparejamiento es Actualizando, pero en breve cambia a Conectado.
El emparejamiento se establece entre dos redes virtuales. Los emparejamientos por sí mismos no son transitivos. Si crea emparejamientos entre:
VirtualNetwork1 y VirtualNetwork2
VirtualNetwork2 y VirtualNetwork3
No hay ninguna conectividad entre VirtualNetwork1 y VirtualNetwork3 mediante VirtualNetwork2. Si desea que VirtualNetwork1 y VirtualNetwork3 se comuniquen directamente, debe crear un emparejamiento explícito entre VirtualNetwork1 y VirtualNetwork3 o recorrer una NVA en la red del centro de conectividad. Para obtener más información, vea Topología de red centro-radio (spoke) en Azure.
No se pueden resolver nombres en redes virtuales emparejadas mediante la resolución de nombres predeterminada de Azure. Para resolver nombres de otras redes virtuales, tiene que usar DNS privado de Azure o un servidor DNS personalizado. Para obtener información sobre cómo configurar el servidor DNS, consulte Resolución de nombres mediante su propio servidor DNS.
Los recursos en redes virtuales emparejadas de la misma región pueden comunicarse entre sí con la misma latencia que si estuvieran en la misma red virtual. El rendimiento de la red se basa en el ancho de banda que se permite para la máquina virtual, en proporción a su tamaño. No hay restricciones adicionales con respecto al ancho de banda en el emparejamiento. El tamaño de cada máquina virtual tiene su propio ancho de banda de red máximo. Para obtener más información sobre el ancho de banda de red máximo para los diferentes tamaños de máquina virtual, vea Tamaños de máquinas virtuales en Azure
Una red virtual puede emparejarse con otra red virtual y también conectarse a otra red virtual con una puerta de enlace de red virtual de Azure. Cuando las redes virtuales están conectadas mediante emparejamiento y una puerta de enlace, el tráfico entre las redes virtuales fluye a través de la configuración de emparejamiento, en lugar de la puerta de enlace.
Para asegurarse de que se están descargando las nuevas rutas en el cliente, los clientes VPN de punto a sitio deben descargarse de nuevo después de que el emparejamiento de red virtual se haya configurado correctamente.
Hay un cargo nominal para el tráfico de entrada y salida que utiliza un emparejamiento de red virtual. Consulte la página de preciospara obtener más información.
Las instancias de Application Gateway que no tienen habilitado el aislamiento de red no permiten enviar tráfico entre redes virtuales emparejadas cuando se deshabilita Permitir el tráfico a la red virtual remota.
Permisos
Las cuentas que use para trabajar con el emparejamiento de redes virtuales deben asignarse a los siguientes roles:
Colaborador de red: para una red virtual implementada mediante Resource Manager.
Colaborador de la red virtual clásica: para una red virtual implementada a través del modelo de implementación clásico.
Si su cuenta no está asignada a uno de los roles anteriores, se debe asignar a un rol personalizado que tenga asignadas las acciones necesarias de la tabla siguiente:
Acción | Nombre |
---|---|
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write | Necesaria para crear un emparejamiento desde la red virtual A hasta la red virtual B. La red virtual A debe ser una red virtual (Resource Manager) |
Microsoft.Network/virtualNetworks/peer/action | Necesaria para crear un emparejamiento desde la red virtual B (Resource Manager) a la red virtual A |
Microsoft.ClassicNetwork/virtualNetworks/peer/action | Necesaria para crear un emparejamiento desde la red virtual B (clásica) a la red virtual A |
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read | Lectura de un emparejamiento de redes virtuales |
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete | Eliminación de un emparejamiento de redes virtuales |
Pasos siguientes
Un emparejamiento de redes virtuales se puede crear entre redes virtuales creadas mediante el mismo modelo de implementación o mediante modelos distintos que existen en la misma suscripción o en cualquier suscripción diferente. Realice el tutorial para uno de los siguientes escenarios:
Modelo de implementación de Azure Subscription Ambas mediante Resource Manager La misma Diferente Una mediante Resource Manager y la otra clásica La misma Diferente Aprenda a crear una topología de red de centro y radio
Crear un emparejamiento de redes virtuales con scripts de ejemplo de PowerShell o de la CLI de Azure, o bien con plantillas de Resource Manager
Crear y asignar definiciones de Azure Policy para redes virtuales