Conexión de redes virtuales entre inquilinos a un centro de conectividad de Virtual WAN - con la CLI de Azure

Este artículo muestra cómo usar Azure Virtual WAN para conectar una red virtual a un centro de conectividad virtual de otro inquilino. Esta arquitectura resulta útil cuando se tienen cargas de trabajo de cliente que se deben conectar para estar en la misma red, pero que se encuentran en distintos inquilinos. Por ejemplo, como se observa en el diagrama siguiente, se puede conectar una red virtual que no sea la de Contoso (el inquilino remoto) a un centro de conectividad virtual de Contoso (el inquilino primario).

En este artículo aprenderá a:

• Agregar otro inquilino como Colaborador a la suscripción de Azure.
• Conecte una red virtual entre inquilinos a un centro virtual.

Los pasos necesarios para esta configuración usan una combinación de Azure Portal y la CLI de Azure. No obstante, la característica solo está disponible en PowerShell y la CLI de Azure.

Nota

Solo se pueden administrar conexiones de red virtual entre inquilinos a través de PowerShell o la CLI de Azure. No es posible administrar conexiones de red virtual entre inquilinos en Azure Portal.

Antes de empezar

Requisitos previos

Para seguir los pasos de este artículo debe tener la configuración siguiente ya definida en el entorno:

• Una WAN y un centro de conectividad virtuales en la suscripción primaria.
• Una red virtual configurada en una suscripción de otro inquilino (remoto).
• Extensión de la CLI de Virtual WAN, versión 0.3.0 o posterior. Para obtener más detalles sobre la extensión, vaya a Extensiones de la CLI de Azure disponibles.

Asegúrese de que el espacio de direcciones de la red virtual del inquilino remoto no se superponga a ningún otro espacio de direcciones de otras redes virtuales ya conectadas al centro de conectividad virtual primario.

Trabajo con la CLI de Azure

En este artículo se usan comandos de la CLI de Azure. Para ejecutar comandos, puede usar Azure Cloud Shell. Cloud Shell es un servicio de shell interactivo gratuito que se puede usar para ejecutar los pasos de este artículo. Tiene las herramientas comunes de Azure preinstaladas y configuradas para usarlas en la cuenta.

Para abrir Cloud Shell, seleccione Abrir Cloud Shell en la esquina superior derecha de un bloque de código. También puede abrir Cloud Shell en una pestaña independiente desde CloudShell. En el menú desplegable de la parte superior izquierda, seleccione Bash en lugar de PowerShell.

Seleccione Copy para copiar los bloques de código, péguelos en Cloud Shell y, a continuación, seleccione la tecla Entrar para ejecutarlos.

Asignación de permisos

1. En la suscripción de la red virtual en el inquilino remoto, agregue la asignación de roles Colaborador al administrador (el usuario que administra el centro virtual). Los permisos de colaborador permitirán al administrador modificar y acceder a las redes virtuales en el inquilino remoto.

   Puede usar la CLI de Azure o Azure Portal para asignar este rol. Consulte los siguientes artículos para conocer los pasos:

   • Asignación de roles de Azure mediante la CLI de Azure
   • Asignación de roles de Azure mediante Azure Portal

2. Ejecute el comando siguiente para agregar la suscripción del inquilino remoto y la del inquilino primario a la sesión actual de la consola. Si ha iniciado sesión en el inquilino primario, ejecute el comando para el inquilino remoto.

   az login --tenant "[tenant ID]"
   

3. Compruebe que la asignación de roles es la correcta. Inicie sesión en la CLI de Azure si aún no lo ha hecho con las credenciales primarias y ejecute el siguiente comando:

   az account list -o table
   

   Si los permisos se han propagado correctamente al inquilino principal y se han agregado a la sesión, la suscripción propiedad de dicho inquilino y del inquilino remoto se observará en la salida del comando.

Conexión de una red virtual a un centro de conectividad

En los pasos siguientes, usará los comandos de la CLI de Azure para vincular un centro virtual a una red virtual de una suscripción desde un inquilino diferente. Reemplace los valores del ejemplo para reflejar su propio entorno.

1. Asegúrese de que está en el contexto de la cuenta del centro virtual:

   az account set --subscriptionId "[virtual hub subscription]"
   

2. Conecte la red virtual al centro de conectividad:

   az network vhub connection create --resource-group "[resource_group_name]" --name "[connection_name]" --vhub-name "[virtual_hub_name]" --remote-vnet "/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/rgName/providers/Microsoft.Network/virtualNetworks/vnetName"
   

Puede ver la nueva conexión en la CLI de Azure o en Azure Portal:

• En la consola, los metadatos de la conexión recién creada se mostrarán si la conexión se ha creado correctamente.
• En el Azure Portal, vaya al centro virtual y seleccione Connectivity>Virtual Network Connections. Posteriormente, puede ver el puntero a la conexión. Para ver el propio recurso, necesitará los permisos adecuados.

Solucionar problemas

• Compruebe que la extensión de virtual wan es 0.3.0 o posterior mediante az --version.
• Compruebe que el acceso a la suscripción remota está disponible en la CLI az account list -o table.
• Asegúrese de que se usen comillas para los nombres de los grupos de recursos o cualquier otra variable específica del entorno (por ejemplo, "VirtualHub1" o "VirtualNetwork1").

Pasos siguientes

• Para más información sobre Virtual WAN, consulte las preguntas más frecuentes.