Configuración de la integración de red virtual con requisito de puerta de enlace

  • Artículo

La versión de la integración de red virtual que necesita una puerta de enlace permite conectarse a una red virtual de otra región o a una red virtual clásica. La integración de red virtual con requisito de puerta de enlace solo funciona para los planes de Windows. Se recomienda usar la integración de red virtual regional para integrarse con redes virtuales.

Integración de red virtual con requisito de puerta de enlace

  • Permite que una aplicación se conecte solo a una red virtual a la vez.
  • Permite la integración con hasta cinco redes virtuales dentro de un plan de App Service.
  • Permite que varias aplicaciones de un mismo plan de App Service usen la misma red virtual sin que ello afecte al número total que se puede utilizar en un plan de App Service. Si tiene seis aplicaciones que usen la misma red virtual en el mismo plan de App Service, solo se contabilizará una sola red virtual en uso.
  • El Acuerdo de Nivel de Servicio en la puerta de enlace puede afectar al Acuerdo de Nivel de Servicio general.
  • Permite que las aplicaciones utilicen el DNS con el que se ha configurado la red virtual.
  • Para poder conectarse a una aplicación, se necesita una puerta de enlace basada en rutas de red virtual que esté configurada con una VPN de punto a sitio SSTP.

No puede usar la integración de red virtual con requisito de puerta de enlace.

  • Con una red virtual conectada con ExpressRoute.
  • Desde una aplicación Linux.
  • Desde un contenedor de Windows.
  • Para acceder a recursos protegidos por puntos de conexión de servicio.
  • Para resolver la configuración de la aplicación que hace referencia a un Key Vault protegido por la red.
  • Con una puerta de enlace coexistente que admita tanto VPN de ExpressRoute como VPN de punto a sitio o de sitio a sitio.

La integración de red virtual regional mitiga las limitaciones mencionadas anteriormente.

Configuración de una puerta de enlace en Azure Virtual Network

Para crear una puerta de enlace:

  1. Cree la puerta de enlace de red virtual y la subred. Seleccione un tipo de VPN basada en rutas.

  2. Establezca las direcciones de punto a sitio. Si la puerta de enlace no está en la SKU básica, IKEV2 debe estar deshabilitado en la configuración de punto a sitio y SSTP debe estar seleccionado. El espacio de direcciones de punto a sitio debe especificarse en bloques de direcciones de RFC 1918 (10.0.0.0/8, 172.16.0.0/12 y 192.168.0.0/16).

Si crea la puerta de enlace para usarla con la integración de red virtual con requisito de puerta de enlace, no es necesario cargar un certificado. La creación de la puerta de enlace puede tardar 30 minutos. No podrá integrar su aplicación con la red virtual hasta que se cree la puerta de enlace.

Cómo funciona la integración de red virtual con requisito de puerta de enlace

La integración de red virtual con requisito de puerta de enlace se basa en la tecnología VPN de punto a sitio. Las VPN de punto a sitio limitan el acceso de red a la máquina virtual que hospeda la aplicación. Las aplicaciones están restringidas para enviar tráfico a Internet solo a través de conexiones híbridas o de la integración de red virtual. Cuando la aplicación se ha configurado con el portal para que utilice la integración de red virtual con requisito de puerta de enlace, se entabla una compleja negociación en su nombre para crear y asignar certificados en la puerta de enlace y en la aplicación. El resultado es que los trabajos que se usan para hospedar las aplicaciones pueden conectarse directamente a la puerta de enlace de la red virtual seleccionada.

Diagram that shows how gateway-required virtual network integration works.

Acceso a recursos locales

Las aplicaciones pueden acceder a los recursos locales mediante la integración con redes virtuales que tengan conexiones de sitio a sitio. Si usa la integración de red virtual con requisito de puerta de enlace, actualice las rutas de puerta de enlace de red virtual locales con los bloques de direcciones de punto a sitio. En la configuración inicial de la VPN de sitio a sitio, los scripts que se usan para configurarla deben configurar las rutas correctamente. Si agrega las direcciones de punto a sitio después de crear la VPN de sitio a sitio, deberá actualizar las rutas manualmente. El procedimiento varía según la puerta de enlace y no se describe aquí en detalle.

Las rutas BGP desde el entorno local no se propagarán automáticamente en App Service. Debe propagarlas manualmente en la configuración de punto a sitio siguiendo los pasos descritos en este documento Anuncio de rutas personalizadas para clientes VPN P2S.

Nota

La característica de integración de red virtual con requisito de puerta de enlace no integra una aplicación con una red virtual que tiene una puerta de enlace de ExpressRoute. Incluso si la puerta de enlace de ExpressRoute está configurada en modo de coexistencia, la integración de red virtual no funcionará. Si necesita acceder a los recursos mediante una conexión de ExpressRoute, utilice la característica de integración de red virtual regional o un entorno de App Service Environment que se ejecute en la red virtual.

Emparejamiento

Si usa la integración de red virtual con requisito de puerta de enlace con el emparejamiento, deberá configurar algunos elementos más. Para configurar el emparejamiento para que funcione con su aplicación:

  1. Agregue una conexión de emparejamiento en la red virtual a la que se conecta su aplicación. Al agregar la conexión de emparejamiento, habilite Permitir acceso a red virtual y active Permitir tráfico reenviado y Permitir tránsito de puerta de enlace.
  2. Agregue una conexión de emparejamiento en la red virtual que se esté emparejando con la red virtual a la que está conectado. Al agregar la conexión de emparejamiento en la red virtual de destino, habilite Permitir acceso a red virtual y active Permitir tráfico reenviado y Allow remote gateways (Permitir puertas de enlace remotas).
  3. Vaya a Plan de App Service>Redes>Integración de red virtual en el portal. Seleccione la red virtual a la que se conecta la aplicación. En la sección de enrutamiento, agregue el intervalo de direcciones de la red virtual que está emparejada con la red virtual a la que está conectada su aplicación.

Administración de integración de red virtual

La conexión y la desconexión con una red virtual tiene lugar en el nivel de la aplicación. Las operaciones que pueden afectar a la integración de red virtual en varias aplicaciones se encuentran en un nivel del plan de App Service. En el portal de la aplicación >>>>, puede obtener detalles sobre la red virtual. Puede encontrar información similar en el nivel del plan de App Service en el portal Plan de App Service>Redes>Integración con red virtual.

La única operación que puede realizar en la vista de aplicación de la instancia de integración de red virtual es desconectar la aplicación de la red virtual si está conectada a ella. Para desconectar la aplicación de una red virtual, seleccione Desconectar. La aplicación se reinicia cuando se desconecte de una red virtual. La desconexión no cambia la red virtual. La subred o la puerta de enlace no se quitan. Si después desea eliminar la red virtual, primero debe desconectar la aplicación de la red virtual y eliminar los recursos que hay en ella, como las puertas de enlace.

La interfaz de usuario de la integración de red virtual del plan de App Service muestra todas las integraciones de redes virtuales usadas por las aplicaciones de su plan de App Service. Para ver los detalles de cada red virtual, seleccione la red virtual que le interese. Hay dos acciones que puede realizar aquí en relación con la integración de red virtual con requisito de puerta de enlace:

  • Sincronización de red: la operación de sincronización de red solo se usa con la característica de integración de red virtual con requisito de puerta de enlace. La realización de una operación de red de sincronización garantiza que los certificados y la información de red estén sincronizados. Si agrega o cambia el DNS de la red virtual, realice una operación de red de sincronización. Esta operación reinicia todas las aplicaciones que usen esta red virtual. Esta operación no funcionará si usa una aplicación y una red virtual que pertenecen a distintas suscripciones.
  • Adición de rutas: la adición de rutas impulsa el tráfico saliente a la red virtual.

La dirección IP privada asignada a la instancia se expone por medio de la variable de entorno, WEBSITE_PRIVATE_IP. La interfaz de usuario de la consola de Kudu también muestra la lista de variables de entorno disponibles para la aplicación web. Esta IP es una dirección IP del intervalo de direcciones del grupo de direcciones de punto a sitio configurado en la puerta de enlace de red virtual. Esta es la dirección IP que va a usar la aplicación web para conectarse a los recursos a través de la red virtual de Azure.

Nota

El valor de WEBSITE_PRIVATE_IP va a cambiar. Pero va a ser una dirección IP del intervalo de direcciones de punto a sitio, por lo que va a tener que permitir el acceso desde todo el intervalo de direcciones.

Enrutamiento de la integración de red virtual con requisito de puerta de enlace

Las rutas definidas en la red virtual se usan para dirigir el tráfico desde la aplicación hacia la red virtual. Para enviar más tráfico saliente a la red virtual, agregue aquí esos bloques de direcciones. Esta característica solo funciona con la integración de red virtual con requisito de puerta de enlace. Las tablas de rutas no afectan al tráfico de la aplicación cuando se utiliza la integración de red virtual con requisito de puerta de enlace.

Certificados de integración de red virtual con requisito de puerta de enlace

Cuando la integración de red virtual con requisito de puerta de enlace está habilitada, existe un intercambio necesario de certificados para garantizar la seguridad de la conexión. Junto con los certificados, se incluyen la configuración de DNS, las rutas y otros elementos similares que describen la red.

Si los certificados o la información de red cambian, es necesario hacer clic en Sincronizar red. Al seleccionar Sincronizar red, se producirá una breve interrupción en la conectividad entre la aplicación y la red virtual. La aplicación no se reinicia, pero la pérdida de conectividad podría hacer que su sitio no funcione correctamente.

Renovación de certificado

El certificado usado por la integración de red virtual necesaria para la puerta de enlace tiene una duración de 8 años. Si tiene aplicaciones con integraciones de redes virtuales requeridas por la puerta de enlace que tengan una vida más larga, tendrá que renovar el certificado. Puede validar si su certificado ha expirado o le quedan menos de 6 meses para la expiración visitando la página de Integración con red virtual en Azure Portal.

Screenshot that shows a near expiry gateway-required virtual network integration certificate.

Puede renovar el certificado cuando el portal muestre un certificado casi expirado o expirado. Para renovar el certificado, debe desconectar y volver a conectar la red virtual. La reconexión provocará una breve interrupción en la conectividad entre la aplicación y la red virtual. La aplicación no se reinicia, pero la pérdida de conectividad podría hacer que su sitio no funcione correctamente.

Detalles de precios

Hay tres cargos relacionados con el uso de la característica de integración de red virtual con requisito de puerta de enlace:

  • Cargos del plan de tarifa del plan de App Service: las aplicaciones deben estar en un plan de App Service Básico, Estándar, Premium, Premium v2 o Premium v3. Para obtener más información sobre estos costes, consulte Precios de App Service.
  • Costos de la transferencia de datos: se aplica un cargo de salida de datos, aunque la red virtual esté en el mismo centro de datos. Estos cargos se describen en la página de detalles de precios de Transferencia de datos.
  • Costos de VPN Gateway: Existe un costo para la puerta de enlace de red virtual necesario para la VPN de punto a sitio. Para obtener más información, vea Precios de VPN Gateway.

Solución de problemas

Muchas situaciones pueden impedir que la aplicación se comunique con un host y un puerto específicos. La mayoría de las veces se debe a una de estas causas:

  • Existe un firewall que lo impide. Si tiene un firewall que lo impide, se agota el tiempo de espera de TCP. El tiempo de espera de TCP es de 21 segundos en este caso. Utilice la herramienta tcpping para probar la conectividad. Los tiempos de espera agotados de TCP pueden tener muchas causas además de los firewalls, pero comience por comprobar los firewalls.
  • El DNS no es accesible. El tiempo de espera de DNS es de 3 segundos por cada servidor DNS. Si tiene dos servidores DNS, el tiempo de espera es de seis segundos. Utilice nameresolver para ver si funciona el DNS. No puede usar nslookup, ya que este no usa el DNS con el que se ha configurado la red virtual. Si no puede acceder, podría haber un firewall o NSG bloqueando el acceso a DNS, o este puede estar inactivo.

Si estos elementos no resuelven el problema, plantéese cuestiones como las siguientes:

  • ¿El intervalo de direcciones de punto a sitio se encuentra en los intervalos de RFC 1918 (10.0.0.0-10.255.255.255/172.16.0.0-172.31.255.255/192.168.0.0-192.168.255.255)?
  • ¿La puerta de enlace aparece como activa en el portal? Si la puerta de enlace está inactiva, vuelva a activarla.
  • ¿Los certificados aparecen como sincronizados o sospecha que la configuración de red ha cambiado? Si los certificados no están sincronizados o sospecha que se produjo un cambio en la configuración de red virtual que no se ha sincronizado con sus planes de App Service, seleccione Sincronizar red.
  • Si está usando una VPN, ¿la puerta de enlace local está configurada para enrutar el tráfico de vuelta a Azure? Si puede acceder a los puntos de conexión de la red virtual pero no del entorno local, compruebe las rutas.
  • ¿Está intentando usar una puerta de enlace de coexistencia que admite tanto una conexión de punto a sitio como ExpressRoute? Las puertas de enlace de coexistencia no son compatibles con la integración de la red virtual.

Depurar problemas de red es todo un reto porque no se puede ver lo que está bloqueando el acceso en una combinación de host y puerto específica. Entre las causas se incluyen las siguientes:

  • Tiene un firewall en el host que bloquea el acceso al puerto de la aplicación desde el intervalo IP de punto a sitio. A menudo se requiere acceso público para establecer conexiones entre subredes.
  • El host de destino está fuera de servicio.
  • La aplicación está fuera de servicio.
  • La dirección IP o el nombre de host son incorrectos.
  • La aplicación escucha en un puerto diferente al esperado. Puede hacer coincidir el id. de proceso con el puerto de escucha usando "netstat -aon" en el host del punto de conexión.
  • Los grupos de seguridad de red están configurados de tal manera que evitan el acceso al host y al puerto de la aplicación desde el intervalo IP de punto a sitio.

No se sabe qué dirección usa realmente la aplicación. Podría ser cualquier dirección en el intervalo de direcciones de punto a sitio, por lo que será necesario permitir el acceso desde todo el intervalo de direcciones.

Entre otros pasos de depuración se incluyen los siguientes:

  • Conectarse a una máquina virtual de la red virtual e intentar acceder al recurso host:puerto desde allí. Para probar el acceso TCP, use el comando Test-NetConnection de PowerShell. La sintaxis es:
Test-NetConnection hostname [optional: -Port]
  • Abra una aplicación en una máquina virtual y pruebe el acceso a ese host y ese puerto desde la consola de la aplicación mediante tcpping.

Recursos locales

Si la aplicación no puede acceder a un recurso local, compruebe si puede hacerlo desde su red virtual. Use el comando Test-NetConnection de PowerShell para comprobar el acceso TCP. Si la máquina virtual no puede acceder al recurso local, puede que la conexión de VPN o ExpressRoute no esté configurada correctamente.

Si la máquina virtual hospedada en la red virtual puede acceder a su sistema local, pero la aplicación no, la causa es probablemente una de las razones siguientes:

  • Las rutas no están configuradas con los intervalos de direcciones de punto a sitio o subred en la puerta de enlace local.
  • Los grupos de seguridad de red están bloqueando el acceso del intervalo IP de punto a sitio.
  • Los firewalls locales están bloqueando el tráfico del intervalo IP de punto a sitio.
  • Está intentando acceder a una dirección que no es de RFC 1918 mediante la característica de integración de la red virtual regional.

Para más información, consulte guía de solución de problemas de la integración de red virtual.