En este artículo se comparan dos formas de conectar redes virtuales en Azure: emparejamiento de red virtual e instancias de VPN Gateway.
Una red virtual es una parte virtual y aislada de la red pública de Azure. De manera predeterminada, no se puede enrutar el tráfico entre dos redes virtuales. Sin embargo, es posible conectar redes virtuales, ya sea dentro de una sola región o en dos regiones, de modo que se pueda enrutar el tráfico entre ellas.
Tipos de conexiones de Virtual Network
Emparejamiento de red virtual. El emparejamiento de red virtual conecta dos redes virtuales de Azure. Una vez emparejadas, las redes virtuales aparecen como una sola a efectos de conectividad. El tráfico entre las máquinas virtuales en las redes virtuales emparejadas se enruta a través de la infraestructura de red troncal de Microsoft, únicamente a través de direcciones IP privadas. No implica la red pública de Internet. También puede emparejar redes virtuales entre regiones de Azure (emparejamiento global).
Instancias de VPN Gateway. VPN Gateway es un tipo específico de puerta de enlace de red virtual que se usa para enviar tráfico entre una red virtual de Azure y una ubicación local a través de la red pública de Internet. También puede utilizar una instancia de VPN Gateway para enviar tráfico entre redes virtuales de Azure. Cada red virtual puede tener una instancia de VPN Gateway como máximo. Debe habilitar Azure DDOS Protection en cualquier red virtual perimetral.
El emparejamiento de red virtual proporciona una conexión de baja latencia y ancho de banda alto. No hay ninguna puerta de enlace en la ruta de acceso, por lo que no hay saltos adicionales, lo que garantiza conexiones de latencia baja. Es útil en escenarios como la replicación de datos entre regiones y la conmutación por error de base de datos. Dado que el tráfico es privado y permanece en la red troncal de Microsoft, considere también el emparejamiento de red virtual si tiene directivas de datos estrictas y quiere evitar el envío de tráfico a través de Internet.
Las instancias de VPN Gateway proporcionan una conexión de ancho de banda limitado y son útiles en escenarios donde se necesita cifrado, pero pueden tolerar restricciones de ancho de banda. En estos casos, los clientes tampoco son tan susceptibles a la latencia.
Tránsito de puerta de enlace
El emparejamiento de red virtual y las instancias de VPN Gateway también pueden coexistir a través del tránsito de puerta de enlace.
El tránsito de puerta de enlace le permite usar la puerta de enlace de una red virtual emparejada para conectarse en el entorno local, en lugar de crear una nueva puerta de enlace para la conectividad. A medida que aumente las cargas de trabajo en Azure, deberá escalar las redes entre regiones y redes virtuales para mantener el crecimiento. El tránsito de puerta de enlace le permite compartir una puerta de enlace de ExpressRoute o una instancia de VPN Gateway con todas las redes virtuales emparejadas, así como administrar la conectividad en un solo lugar. El uso compartido permite ahorrar costos y reducir la sobrecarga de administración.
Con el tránsito de puerta de enlace habilitado en el emparejamiento de red virtual, puede crear una red virtual de tránsito que contenga la instancia de VPN Gateway, el dispositivo de red virtual y otros servicios compartidos. A medida que la organización crece con nuevas aplicaciones o unidades de negocio y pone en marcha nuevas redes virtuales, puede conectarse a la red virtual de tránsito mediante el emparejamiento. Esto evita agregar complejidad a la red y reduce la sobrecarga de administración que supone administrar varias puertas de enlace y otros dispositivos.
Configuración de conexiones
El emparejamiento de red virtual y las instancias de VPN Gateway admiten los siguientes tipos de conexión:
- Redes virtuales en regiones diferentes.
- Redes virtuales en distintos inquilinos de Microsoft Entra.
- Redes virtuales en diferentes suscripciones de Azure.
- Redes virtuales que usan una combinación de modelos de implementación de Azure (clásico y de Resource Manager).
Para obtener más información, vea los artículos siguientes:
- Crear un emparejamiento de redes virtuales: Resource Manager, suscripciones diferentes
- Creación de un emparejamiento de red virtual: distintos modelos de implementación, la misma suscripción
- Configuración de una conexión de VPN Gateway de red virtual a red virtual mediante Azure Portal
- Conexión de redes virtuales a partir de diferentes modelos de implementación con el portal
- Preguntas más frecuentes sobre VPN Gateway
Comparación del emparejamiento de red virtual y VPN Gateway
| Elemento | Emparejamiento de redes virtuales | VPN Gateway |
|---|---|---|
| Límites | Hasta 500 emparejamientos de red virtual por red virtual (consulte Límites de red). | Una instancia de VPN Gateway por cada red virtual. El número máximo de túneles por puerta de enlace depende del SKU de puerta de enlace. |
| Modelo de precios | Entrada/salida | Cada hora y salida |
| Cifrado | Se recomienda el cifrado de nivel de software. | La directiva de IPsec o IKE personalizada se puede aplicar a las conexiones nuevas o existentes. Consulte Acerca de los requisitos criptográficos y las instancias de Azure VPN Gateway. |
| Limitaciones de ancho de banda | Sin limitaciones de ancho de banda. | Varía en función del SKU. Consulte SKU de puerta de enlace por túnel, conexión y rendimiento. |
| ¿Es privado? | Sí. Se enruta a través de la red troncal de Microsoft y de forma privada. No implica la red pública de Internet. | IP pública implicada, pero enrutada a través de la red troncal de Microsoft si está habilitada la red global de Microsoft. |
| Relación transitiva | Las conexiones de emparejamiento no son transitivas. Las redes transitivas se pueden lograr mediante NVA o puertas de enlace en la red virtual del centro de conectividad. Consulte Topología de red en estrella tipo hub-and-spoke en Azure para obtener un ejemplo. | Si las redes virtuales están conectadas a través de instancias de VPN Gateway y BGP está habilitado en las conexiones de red virtual, la transitividad funciona. |
| Tiempo de instalación inicial | Fast (rápido) | 30 minutos aproximadamente |
| Escenarios típicos | La replicación de datos, la conmutación por error de base de datos y otros escenarios necesitan copias de seguridad frecuentes de datos de gran tamaño. | Escenarios específicos de cifrado que no son susceptibles a la latencia y no necesitan un rendimiento alto. |
Colaboradores
Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.
Autor principal:
- Anavi Nahar | Directora de administración de PDM