Tutorial: Creación y administración de una instancia de VPN Gateway mediante Azure Portal
Este tutorial le ayuda a crear y administrar una puerta de enlace de red virtual (puerta de enlace de VPN) mediante Azure Portal. VPN Gateway es una parte de la arquitectura de conexión que le ayuda a acceder de forma segura a los recursos dentro de una red virtual mediante VPN Gateway.
- En el diagrama del lado izquierdo se muestra la red virtual y la puerta de enlace de VPN que se crean siguiendo los pasos descritos en este artículo.
- Más adelante puede agregar diferentes tipos de conexiones, como se muestra en el lado derecho del diagrama. Por ejemplo, puede crear conexiones de sitio a sitio y de punto a sitio. Para ver diferentes arquitecturas de diseño que puede compilar, consulte diseño de VPN Gateway.
Si desea obtener más información sobre las opciones de configuración que se usan en este tutorial, consulte Acerca de la configuración de VPN Gateway. Para más información sobre Azure VPN Gateway, consulte ¿Qué es Azure VPN Gateway?. Mediante estos pasos se crea un modo activo-activo de puerta de enlacecon redundancia de zona. Si, en su lugar, quiere crear una puerta de enlace de SKU básica en su lugar, consulte Creación de una puerta de enlace de VPN de SKU básica.
En este tutorial, aprenderá a:
- Cree una red virtual.
- Cree una puerta de enlace de VPN de modo activo-activo.
- Visualización de la dirección IP pública de la puerta de enlace.
- Cambio de tamaño de una puerta de enlace de VPN (cambio de tamaño de la SKU).
- Restablecimiento de una instancia de VPN Gateway.
En los pasos de este artículo se usa la SKU de puerta de enlace VpnGw2AZ, que es una SKU que admite zonas de disponibilidad de Azure. Algunas regiones no admiten zonas de disponibilidad. Si quiere implementar en una región diferente de los valores de ejemplo de este artículo, asegúrese de que se admiten zonas de disponibilidad para esa región. Si no se admiten zonas de disponibilidad, use en su lugar una SKU que no sea de AZ. Para obtener más información, consulte Servicio de zona de disponibilidad y compatibilidad regional. Para obtener más información sobre las SKU, consulte Acerca de las SKU de puerta de enlace.
Requisitos previos
Necesita una cuenta de Azure con una suscripción activa. Si no tiene ninguna, cree una gratis.
Creación de una red virtual
Cree una red virtual con los siguientes valores de ejemplo:
- Grupo de recursos: TestRG1
- Nombre: VNet1
- Región: (EE. UU.) Este de EE. UU. (o región de su elección)
- Espacio de direcciones IPv4: 10.1.0.0/16
- Nombre de subred: FrontEnd
- Espacio de direcciones de subred: 10.1.0.0/24
Inicie sesión en Azure Portal.
En Buscar recursos, servicios y documentos (G+/) en la parte superior de la página del portal, escriba red virtual. Seleccione Red virtual en los resultados de búsqueda de Marketplace para abrir la página Red virtual.
En la página Red virtual, seleccione Crear para abrir la página Crear red virtual.
En la pestaña Aspectos básicos, configure las opciones de la red virtual en Detalles del proyecto y Detalles de la instancia. Verá una marca de verificación verde cuando se validen los valores que escriba. Puede ajustar los valores que se muestran en el ejemplo según la configuración que necesite.
- Suscripción: compruebe que la suscripción que aparece en la lista es la correcta. Puede cambiar las suscripciones mediante el cuadro desplegable.
- Grupo de recursos: Seleccione uno existente o seleccione Crear nuevo para crear uno. Para más información sobre los grupos de recursos, consulte Información general de Azure Resource Manager.
- Name: escriba el nombre de la red virtual.
- Región: Seleccione la ubicación de la red virtual. La ubicación determina dónde van a residir los recursos que implemente en esta red virtual.
Seleccione Siguiente o Seguridad para ir a la pestaña Seguridad. Para este ejercicio, mantenga los valores predeterminados para todos los servicios de esta página.
Seleccione Direcciones IP para ir a la pestaña Direcciones IP. Configure los valores en la pestaña Direcciones IP.
Espacio de direcciones IPv4: de manera predeterminada, se crea automáticamente un espacio de direcciones. Puede seleccionar el espacio de direcciones y modificarlo para que refleje sus valores. También puede agregar un espacio de direcciones diferente y quitar el valor predeterminado que se creó automáticamente. Por ejemplo, puede especificar la dirección inicial como 10.1.0.0 y especificar el tamaño del espacio de direcciones como /16. A continuación, seleccione Agregar para agregar ese espacio de direcciones.
+ Agregar subred: Si usa el espacio de direcciones predeterminado, se crea automáticamente una subred predeterminada. Si cambia el espacio de direcciones, agregue una nueva subred dentro de ese espacio de direcciones. Seleccione + Agregar una subred para abrir la ventana Agregar subred. Configure las siguientes opciones y, a continuación, seleccione Agregar al final de la página para agregar los valores.
- Nombre de subred: Un ejemplo es FrontEnd.
- Rango de direcciones de subred: intervalo de direcciones para esta subred. Algunos ejemplos de ello son 10.1.0.0 y /24.
Revise la página Direcciones IP y quite los espacios de direcciones o subredes que no necesite.
Seleccione Revisar y crear para validar la configuración de la red virtual.
Después de validar la configuración, seleccione Crear para crear la red virtual.
Después de crear la red virtual, también puede configurar Azure DDoS Protection. La protección se puede habilitar fácilmente en cualquier red virtual nueva o existente y no requiere cambios en las aplicaciones ni los recursos. Para más información sobre Azure DDoS Protection, consulte Qué es Azure DDoS Protection.
Creación de una subred de puerta de enlace
La puerta de enlace de red virtual requiere una subred específica denominada GatewaySubnet. La subred de puerta de enlace forma parte del intervalo de direcciones IP de la red virtual y contiene las direcciones IP que usan los servicios y los recursos de la puerta de enlace de red virtual. Especifique una subred de puerta de enlace que sea /27 o superior.
- En la página de la red virtual, en el panel izquierdo, seleccione Subredes para abrir la página de Subredes.
- En la parte superior de la página Subred de puerta de enlace, para abrir el panel de Agregar subred.
- El nombre se escribe automáticamente como GatewaySubnet. Ajuste el valor del intervalo de direcciones IP, si es necesario. Por ejemplo, 10.1.255.0/27.
- No ajuste los demás valores de la página. Seleccione Guardar en la parte inferior de la página para guardar la subred.
Importante
No se admiten grupos de seguridad de red (NSG) en la subred de puerta de enlace. La asociación de grupos de seguridad de red a esta subred podría causar que la puerta de enlace de la red virtual (puertas de enlace de ExpressRoute y VPN) dejase de funcionar como cabría esperar. Para más información acerca de los grupos de seguridad de red, consulte ¿Qué es un grupo de seguridad de red?
Creación de una puerta de enlace de VPN
En esta sección, creará la puerta de enlace de red virtual (VPN Gateway) para la red virtual. La creación de una puerta de enlace suele tardar 45 minutos o más, según la SKU de la puerta de enlace seleccionada.
Cree una puerta de enlace con los valores siguientes:
- Name: VNet1GW
- Tipo de puerta de enlace: VPN
- SKU: VpnGw2AZ
- Generación: Generación 2
- Red virtual: VNet1
- Intervalo de direcciones de subred de puerta de enlace: 10.1.255.0/27
- Dirección IP pública: Crear nuevo
- Nombre de dirección IP pública: VNet1GWpip1
- SKU de dirección IP pública: Estándar
- Asignación de: estática
- Segundo nombre de dirección IP pública: VNet1GWpip2
En Buscar recursos, servicios y documentos (G+/), escriba puerta de enlace de red virtual. Busque Puerta de enlace de red virtual en los resultados de búsqueda de Marketplace y selecciónelo para abrir la página Crear puerta de enlace de red virtual.
En la pestaña Aspectos básicos, rellene los valores de Detalles del proyecto y Detalles de la instancia.
Subscripción: Seleccione la suscripción que quiere usar en la lista desplegable.
Grupo de recursos: este valor se rellena automáticamente al seleccionar la red virtual en esta página.
Nombre: este es el nombre del objeto de puerta de enlace que va a crear. Esto es diferente de la subred de puerta de enlace en la que se implementarán los recursos de puerta de enlace.
Región: Seleccione la región en la que quiere crear este recurso. La región de la puerta de enlace debe ser la misma que la red virtual.
Tipo de puerta de enlace: Seleccione VPN. Las puertas de enlace VPN usan el tipo de puerta de enlace de red virtual VPN.
SKU: En la lista desplegable, seleccione el SKU de puerta de enlace que admita las características que desea usar.
- Se recomienda seleccionar una SKU que termine en AZ siempre que sea posible. Los SKU de AZ admiten zonas de disponibilidad.
- La SKU básica no está disponible en el portal. Para configurar una puerta de enlace de SKU básica, debe usar PowerShell o la CLI.
Generación: seleccione Generation2en la lista desplegable.
Red virtual: En la lista desplegable, seleccione la red virtual a la que quiere agregar esta puerta de enlace. Si no puede ver la red virtual que quiere usar, asegúrese de seleccionar la suscripción y la región correctas en la configuración anterior.
Intervalo de direcciones de subred de puerta de enlace o subred: La subred de puerta de enlace es necesaria para crear una puerta de enlace de VPN.
Actualmente, este campo puede mostrar diferentes opciones de configuración, según el espacio de direcciones de la red virtual y si ya ha creado una subred denominada GatewaySubnet para la red virtual.
Si no tiene una subred de puerta de enlace y no ve la opción de crear una en esta página, vuelva a la red virtual y cree la subred de puerta de enlace. A continuación, vuelva a esta página y configure la puerta de enlace de VPN.
Especifique los valores de Dirección IP pública. Esta configuración especifica los objetos de dirección IP pública que se asociarán a la puerta de enlace de VPN. Una dirección IP pública se asigna a cada objeto de dirección IP pública cuando se crea la puerta de enlace de VPN. La única vez que cambia la dirección IP pública asignada es cuando se elimina y se vuelve a crear la puerta de enlace. Las direcciones IP no cambian en el cambio de tamaño, el restablecimiento u otras actualizaciones o mantenimiento internos de la puerta de enlace de VPN.
Tipo de dirección IP pública: si aparece esta opción, seleccione Estándar.
Dirección IP pública: Mantenga la opción Crear nueva seleccionada.
Nombre de la dirección IP pública: En el cuadro de texto, escriba un nombre para la dirección IP pública.
SKU de dirección IP pública: la configuración se selecciona automáticamente en SKU estándar.
Asignación: la asignación suele seleccionarse automáticamente y debe ser Estática.
Zona de disponibilidad: esta configuración está disponible para las SKU de puerta de enlace de AZ en regiones que admiten zonas de disponibilidad. Seleccione Redundancia de zona, a menos que sepa que desea especificar una zona.
Habilitar el modo activo-activo: se recomienda seleccionar Habilitado para aprovechar las ventajas de una puerta de enlace del modo activo-activo. Si tiene previsto usar esta puerta de enlace para una conexión de sitio a sitio, tenga en cuenta lo siguiente:
- Compruebe el diseño activo-activo que desea usar. Las conexiones con el dispositivo VPN local deben configurarse específicamente para aprovechar el modo activo-activo.
- Algunos dispositivos VPN no admiten el modo activo-activo. Si no está seguro, consulte con el proveedor del dispositivo VPN. Si usa un dispositivo VPN que no admite el modo activo-activo, puede seleccionar Deshabilitado para esta configuración.
Segunda dirección IP pública: Seleccione Crear nuevo. Solo está disponible si seleccionó Habilitado para la opción Habilitar modo activo-activo.
Nombre de la dirección IP pública: En el cuadro de texto, escriba un nombre para la dirección IP pública.
SKU de dirección IP pública: la configuración se selecciona automáticamente en SKU estándar.
Zona de disponibilidad: seleccione Redundancia de zona, a menos que sepa que desea especificar una zona.
Configurar BGP: Seleccionar deshabilitado a menos que la configuración requiera específicamente esta configuración. Si necesita este valor de configuración, el valor predeterminado del ASN es 65515, aunque esto se puede cambiar.
Habilitar el acceso a Key Vault: seleccione Deshabilitado a menos que la configuración requiera específicamente esta configuración.
Seleccione Revisar y crear para ejecutar la validación.
Una vez superada la validación, seleccione Crear para implementar VPN Gateway.
Una puerta de enlace puede tardar 45 minutos aproximadamente en crearse e implementarse completamente. Puede ver el estado de implementación en la página Información general de la puerta de enlace. Una vez creada la puerta de enlace, puede ver la dirección IP que se le ha asignado consultando la red virtual en el portal. La puerta de enlace aparece como un dispositivo conectado.
Ver dirección IP pública
Para ver las direcciones IP públicas asociadas a la puerta de enlace de red virtual, vaya a la puerta de enlace en el portal.
- En la página del portal de la puerta de enlace de red virtual, en Configuración, abra la página Propiedades.
- Para ver más información sobre el objeto de dirección IP, haga clic en el vínculo dirección IP asociada.
Cambio del tamaño de la SKU de una puerta de enlace
Hay reglas específicas para cambiar el tamaño en lugar de cambiar una SKU de puerta de enlace. En esta sección, cambiará el tamaño de una SKU. Para obtener más información, consulte Cambiar el tamaño o cambiar las SKU de puerta de enlace.
Los pasos básicos son:
- Vaya a la página de configuración de la puerta de enlace de red virtual.
- En el lado derecho de la página, seleccione la flecha desplegable para mostrar una lista de SKU disponibles. Observe que la lista solo rellena las SKU que puede usar para cambiar el tamaño de su SKU actual. Si no ve la SKU que desea usar, en lugar de cambiar el tamaño, debe cambiar a una nueva SKU.
- Seleccione la SKU en la lista desplegable y guarde los cambios.
Restablecimiento de una puerta de enlace
Los restablecimientos de puerta de enlace se comportan de forma diferente, en función de la configuración de la puerta de enlace. Para obtener más información, consulte Restablecer una puerta de enlace de VPN o una conexión.
Los pasos básicos son:
- En el portal, vaya a la puerta de enlace de red virtual que desea restablecer.
- En la página Puerta de enlace de red virtual, en el panel izquierdo, desplácese y busque Ayuda:> Restablecer.
- En la página Restablecer, seleccione Restablecer. Una vez que se emite el comando, se reinicia inmediatamente la instancia activa actual de Azure VPN Gateway. El restablecimiento de la puerta de enlace provocará un vacío en la conectividad VPN y puede limitar el futuro análisis de la causa principal del problema.
Limpieza de recursos
Si no va a seguir usando esta aplicación o si va al siguiente tutorial, elimine estos recursos.
- Escriba el nombre del grupo de recursos en el cuadro Buscar de la parte superior del portal y selecciónelo en los resultados de la búsqueda.
- Seleccione Eliminar grupo de recursos.
- En TYPE THE RESOURCE GROUP NAME (ESCRIBIR EL NOMBRE DEL GRUPO DE RECURSOS), escriba el grupo de recursos y seleccione Delete (Eliminar).
Pasos siguientes
Una vez creada la puerta de enlace de VPN, podrá configurar más configuraciones de puerta de enlace y conexiones. Los siguientes artículos le ayudarán a crear algunas de las configuraciones más comunes: