Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure VPN Gateway servicio se puede usar para enviar tráfico cifrado entre una red virtual Azure y ubicaciones locales a través de la red pública de Internet. También puede usar VPN Gateway para enviar tráfico cifrado entre Azure redes virtuales a través de la red de Microsoft. VPN Gateway usa un tipo específico de puerta de enlace de red virtual Azure denominada VPN gateway. Se pueden crear varias conexiones a la misma puerta de enlace de VPN. Al crear varias conexiones a la misma instancia de VPN Gateway, todos los túneles VPN comparten el ancho de banda de puerta de enlace disponible.
Nota:
Azure VPN Gateway es uno de los servicios que componen la categoría Conectividad híbrida en Azure. Otros servicios de esta categoría incluyen ExpressRoute y Virtual WAN. Cada servicio tiene sus propias características únicas y casos de uso. Para obtener más información sobre esta categoría de servicio, consulte Conectividad híbrida.
¿Por qué usar VPN Gateway?
Estos son algunos de los escenarios clave para VPN Gateway:
Envíe tráfico cifrado entre una red virtual de Azure y ubicaciones locales a través de la red pública de Internet mediante uno de los siguientes tipos de conexiones:
Conexión de sitio a sitio:conexión de túnel VPN IPsec/IKE entre entornos entre la puerta de enlace de VPN y un dispositivo VPN local.
Conexión de punto a sitio: VPN a través de OpenVPN, IKEv2 o SSTP. Este tipo de conexión le permite conectarse a una red virtual desde una ubicación remota, como desde una conferencia o desde casa.
Envíe tráfico cifrado entre Azure redes virtuales mediante los siguientes tipos de conexiones:
VNet-to-VNet: Una conexión de túnel VPN IPsec/IKE entre la puerta de enlace de VPN y otra puerta de enlace de VPN de Azure que usa un VNet-to-VNet tipo de conexión. Este tipo de conexión está diseñado específicamente para conexiones de red virtual a red virtual.
Conexión de sitio a sitio: Una conexión VPN IPsec/IKE entre la puerta de enlace de VPN y otra puerta de enlace de VPN de Azure. Este tipo de conexión, cuando se usa en la arquitectura de VNet a VNet, utiliza el tipo de conexión de sitio a sitio (IPsec), que permite conexiones entre instalaciones y a la puerta de enlace, además de conexiones entre puertas de enlace de VPN.
Puede configurar una VPN de sitio a sitio como una ruta de conmutación por error segura para ExpressRoute mediante:
- ExpressRoute + VPN Gateway: Combinación de conexiones expressRoute + VPN Gateway (conexiones coexistentes).
Use VPN de sitio a sitio para conectarse a sitios que no están conectados a través de ExpressRoute mediante:
- ExpressRoute + VPN Gateway: Combinación de conexiones expressRoute + VPN Gateway (conexiones coexistentes).
Planificación y diseño
Dado que puede crear varias configuraciones de conexión mediante VPN Gateway, debe determinar qué configuración se adapta mejor a sus necesidades. Las conexiones de punto a sitio, de sitio a sitio y en las que coexisten ExpressRoute y sitio a sitio tienen instrucciones y requisitos de configuración de recursos diferentes.
Consulte el artículo Topología y diseño de VPN Gateway para ver las topologías de diseño y enlaces a las instrucciones de configuración. En las secciones siguientes del artículo se resaltan algunas de las topologías de diseño que se usan con más frecuencia.
Tabla de planeación
La tabla siguiente puede ayudarle a decidir la mejor opción de conectividad para su solución.
| Punto a sitio | De sitio a sitio | |
|---|---|---|
| Servicios de Azure admitidos | Cloud Services y Virtual Machines | Cloud Services y Virtual Machines |
| Anchos de banda típicos | Se basa en la SKU de puerta de enlace | Agregación típica de < 10 Gbps |
| Protocolos admitidos | Protocolo de túnel de sockets seguros (SSTP), OpenVPN e IPsec | IPsec |
| Enrutamiento | RouteBased (dinámico) | Admitimos elementos basados en directivas (enrutamiento estático) y basados en enrutamiento (VPN de enrutamiento dinámico) |
| Resistencia de conexión | activa-pasiva o activa-activa | activa-pasiva o activa-activa |
| Caso de uso típico | Protección del acceso a Azure redes virtuales para usuarios remotos | Escenarios de desarrollo, pruebas y laboratorio, y cargas de trabajo de producción a pequeña y mediana escala para servicios en la nube y máquinas virtuales |
| SLA | SLA | SLA |
| Precios | Precios | Precios |
| Documentación técnica | VPN Gateway | VPN Gateway |
| Preguntas más frecuentes | preguntas más frecuentes sobre VPN Gateway | preguntas más frecuentes sobre VPN Gateway |
Zonas de Disponibilidad
Las puertas de enlace de VPN se pueden implementar en Azure Availability Zones. Las implementaciones de zona de disponibilidad aportan resistencia, escalabilidad y mayor disponibilidad a las puertas de enlace de red virtual. La implementación de puertas de enlace en Azure Availability Zones separa física y lógicamente las puertas de enlace dentro de una región, al tiempo que protege la conectividad de su red local a Azure frente a fallos de nivel de zona. Consulte Acerca de las gateways de red virtual con redundancia de zona en las Zonas de Disponibilidad de Azure.
Configuración de VPN Gateway
Una conexión de puerta de enlace de VPN se basa en varios recursos con una configuración específica. En algunos casos, los recursos se deben configurar en un orden determinado. La configuración que ha elegido para cada recurso es fundamental para crear una conexión correcta.
Para obtener información sobre los recursos individuales y la configuración de VPN Gateway, consulte Configuración de VPN Gateway y SKU de puerta de enlace.
Para obtener diagramas de diseño y vínculos a artículos de configuración, consulte el artículo VPN Gateway topología y diseño.
SKU de puerta de enlace
Al crear una puerta de enlace de red virtual, hay que especificar la SKU de la puerta de enlace que desea usar. Seleccione las SKU que cumplan sus requisitos en función de los tipos de cargas de trabajo, rendimientos, características y Acuerdos de Nivel de Servicio. Para más información sobre las SKU de puerta de enlace, incluidas las características admitidas, las tablas de rendimiento, los pasos de configuración y las cargas de trabajo de producción frente a pruebas de desarrollo, consulte Acerca de las SKU de puerta de enlace.
|
VPN Puerta de enlace Generación |
SKU |
S2S/de red virtual a red virtual Túneles |
P2S Conexiones SSTP |
P2S Conexiones IKEv2/OpenVPN |
Agregado Pruebas comparativas de rendimiento |
BGP | Zone-redundant | Número admitido de máquinas virtuales en el Virtual Network |
|---|---|---|---|---|---|---|---|---|
| Generación 1 | Basic | Máx. 10 | Máx. 128 | No compatible | 100 Mbps | No compatible | No | 200 |
| Generación 1 | VpnGw1 | Máx. 30 | Máx. 128 | Máx. 250 | 650 MBps | Compatible | No | 450 |
| Generación 1 | VpnGw2 | Máx. 30 | Máx. 128 | Máx. 500 | 1 Gbps | Compatible | No | 1300 |
| Generación 1 | VpnGw3 | Máx. 30 | Máx. 128 | Máx. 1 000 | 1,25 Gbps | Compatible | No | 4000 |
| Generación 1 | VpnGw1AZ | Máx. 30 | Máx. 128 | Máx. 250 | 650 MBps | Compatible | Sí | 1 000 |
| Generación 1 | VpnGw2AZ | Máx. 30 | Máx. 128 | Máx. 500 | 1 Gbps | Compatible | Sí | 2000 |
| Generación 1 | VpnGw3AZ | Máx. 30 | Máx. 128 | Máx. 1 000 | 1,25 Gbps | Compatible | Sí | cinco mil |
| Generación 2 | VpnGw2 | Máx. 30 | Máx. 128 | Máx. 500 | 1,25 Gbps | Compatible | No | 685 |
| Generación 2 | VpnGw3 | Máx. 30 | Máx. 128 | Máx. 1 000 | 2,5 Gbps | Compatible | No | 2240 |
| Generación 2 | VpnGw4 | Máx. 100* | Máx. 128 | Máx. cinco mil | 5 Gbps | Compatible | No | 5300 |
| Generación 2 | VpnGw5 | Máx. 100* | Máx. 128 | Máx. 10 000 | 10 Gbps | Compatible | No | 6700 |
| Generación 2 | VpnGw2AZ | Máx. 30 | Máx. 128 | Máx. 500 | 1,25 Gbps | Compatible | Sí | 2000 |
| Generación 2 | VpnGw3AZ | Máx. 30 | Máx. 128 | Máx. 1 000 | 2,5 Gbps | Compatible | Sí | 3300 |
| Generación 2 | VpnGw4AZ | Máx. 100* | Máx. 128 | Máx. cinco mil | 5 Gbps | Compatible | Sí | 4400 |
| Generación 2 | VpnGw5AZ | Máx. 100* | Máx. 128 | Máx. 10 000 | 10 Gbps | Compatible | Sí | 9.000 |
Nota:
"Número admitido de máquinas virtuales en el Virtual Network" hace referencia al recuento de recursos que se comunican a través de la puerta de enlace. Esto incluye:
- Máquinas virtuales en las redes virtuales en estrella tipo hub-and-spoke emparejadas
- Puntos de conexión privados
- Aplicaciones virtuales de red (como Application Gateway, Azure Firewall)
- Instancias de back-end de servicios PaaS implementados en redes virtuales (como SQL Managed Instance, App Service Environment)
(*) Si necesita más de 100 túneles VPN S2S, use Virtual WAN en lugar de VPN Gateway.
Precios
Se paga por dos cosas: los costos de proceso por horas de la puerta de enlace de red virtual y la transferencia de datos de salida de esta. La información de precios se puede encontrar en la página Precios . Para los precios de SKU de puerta de enlace heredada, consulte la página de precios de ExpressRoute y vaya a la sección Puertas de enlace de red virtual.
Costos de computación de gateway de red virtual
Cada puerta de enlace de red virtual tiene un costo de proceso por horas. El precio se basa en la SKU de la puerta de enlace que especifique al crear una puerta de enlace de red virtual. El costo es para la puerta de enlace en sí y se agrega a la transferencia de datos que pasa a través de la puerta de enlace. El costo de una configuración activa-activa es igual que el de activa-pasiva. Para obtener más información sobre los SKU de puerta de enlace para VPN Gateway, consulte Gateway SKUs.
Costos de la transferencia de datos
Los costos de transferencia de datos se calculan en función del tráfico de salida de la puerta de enlace de red virtual de origen.
- Si va a enviar tráfico a su dispositivo VPN local, los cargos se calculan según la tarifa de transferencia de datos de salida a Internet.
- Si va a enviar tráfico entre redes virtuales que se encuentren en diferentes regiones, el precio dependerá de la región.
- Si va a enviar tráfico solo entre redes virtuales que están en la misma región, no habrá ningún costo por datos. El tráfico entre redes virtuales de la misma región es gratuito.
¿Cuáles son las novedades de VPN Gateway?
Azure VPN Gateway se actualiza periódicamente. Para mantenerse al día con los anuncios más recientes, consulte el artículo Novedades . En el artículo se resaltan los siguientes puntos de interés:
- Versiones recientes
- Versiones preliminares en curso con limitaciones conocidas (si procede)
- Problemas conocidos
- Funcionalidad en desuso (si procede)
También puede suscribirse a la fuente RSS y ver las últimas actualizaciones de características de VPN Gateway en la página Azure Updates.
P+F
Para obtener preguntas más frecuentes sobre VPN gateway, consulte las preguntas más frecuentes sobre VPN Gateway.