Compartir vía


Creación de una puerta de enlace de VPN mediante PowerShell

Este artículo le ayuda a crear una puerta de enlace de VPN de Azure mediante PowerShell. Una instancia de VPN Gateway se usa al crear una conexión VPN a la red local. También puede utilizar una instancia de VPN Gateway para conectar redes virtuales. Para obtener información más completa sobre algunas de las opciones de configuración de este artículo, consulte Creación de una puerta de enlace de VPN: Azure Portal.

Diagrama que muestra una red virtual y una puerta de enlace de VPN

Una puerta de enlace de VPN es una parte de una arquitectura de conexión para ayudarle a acceder de forma segura a los recursos dentro de una red virtual.

  • En el diagrama del lado izquierdo se muestra la red virtual y la puerta de enlace de VPN que se crean siguiendo los pasos descritos en este artículo.
  • Más adelante puede agregar diferentes tipos de conexiones, como se muestra en el lado derecho del diagrama. Por ejemplo, puede crear conexiones de sitio a sitio y de punto a sitio. Para ver diferentes arquitecturas de diseño que puede compilar, consulte diseño de VPN Gateway.

Los pasos de este artículo crean una red virtual, una subred, una subred de puerta de enlace y una puerta de enlace de VPN (puerta de enlace de red virtual) activa-activa con redundancia de zona y basada en rutas mediante la SKU VpnGw2AZ de generación 2. Si quiere crear una puerta de enlace de VPN mediante la SKU básica en su lugar, consulte Creación de una puerta de enlace de VPN de SKU básica. Una vez completada la creación de la puerta de enlace, puede crear conexiones.

Las puertas de enlace activa-activa se diferencian de las puertas de enlace activa-en espera en lo siguiente:

  • Las puertas de enlace activo-activo tienen dos configuraciones IP de puerta de enlace y dos direcciones IP públicas.
  • Las puertas de enlace activo-activo tienen habilitada la configuración activo-activo.
  • La SKU de puerta de enlace de red virtual no puede ser Basic ni Standard.

Para obtener más información sobre las puertas de enlace activa-activa, consulte Conectividad de alta disponibilidad entre locales y de red virtual a red virtual. Para obtener más información sobre las zonas de disponibilidad y las puertas de enlace con redundancia de zona, consulte ¿Qué son las zonas de disponibilidad?

Antes de empezar

Estos pasos requieren una suscripción a Azure. Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Trabajo con Azure PowerShell

En este artículo se usan cmdlets de PowerShell. Para ejecutar los cmdlets, puede usar Azure Cloud Shell. Cloud Shell es un servicio de shell interactivo gratuito que se puede usar para ejecutar los pasos de este artículo. Tiene las herramientas comunes de Azure preinstaladas y configuradas para usarlas en la cuenta.

Para abrir Cloud Shell, seleccione Abrir Cloud Shell en la esquina superior derecha de un bloque de código. También puede abrir Cloud Shell en una pestaña independiente desde https://shell.azure.com/powershell. Seleccione Copiar para copiar los bloques de código, péguelos en Cloud Shell y, a continuación, seleccione la tecla Entrar para ejecutarlos.

También puede instalar y ejecutar los cmdlets de Azure PowerShell localmente en el equipo. Los cmdlets de PowerShell se actualizan con frecuencia. Si no ha instalado la última versión, los valores especificados en las instrucciones pueden dar lugar a errores. Para buscar las versiones de Azure PowerShell instaladas en el equipo, use el cmdlet Get-Module -ListAvailable Az. Para instalar la actualización, vea Instalación del módulo de Azure PowerShell.

Crear un grupo de recursos

Cree un grupo de recursos de Azure con New-AzResourceGroup. Un grupo de recursos es un contenedor lógico en el que se implementan y se administran los recursos de Azure. Si ejecuta PowerShell de manera local, abra la consola de PowerShell con privilegios elevados y conéctese a Azure con el comando Connect-AzAccount.

New-AzResourceGroup -Name TestRG1 -Location EastUS

Creación de una red virtual

Cree una red virtual con New-AzVirtualNetwork. En el siguiente ejemplo se crea una red virtual denominada VNet1 en la ubicación EastUS:

$virtualnetwork = New-AzVirtualNetwork `
  -ResourceGroupName TestRG1 `
  -Location EastUS `
  -Name VNet1 `
  -AddressPrefix 10.1.0.0/16

Cree una configuración de subred mediante el cmdlet New-AzVirtualNetworkSubnetConfig.

$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
  -Name Frontend `
  -AddressPrefix 10.1.0.0/24 `
  -VirtualNetwork $virtualnetwork

Establezca la configuración de la subred para la red virtual mediante el cmdlet Set-AzVirtualNetwork.

$virtualnetwork | Set-AzVirtualNetwork

Adición de una subred de puerta de enlace

La subred de puerta de enlace contiene las direcciones IP reservadas que usan los servicios de puerta de enlace de la red virtual. Utilice los siguientes ejemplos para agregar una subred de puerta de enlace:

Establezca una variable para la red virtual.

$vnet = Get-AzVirtualNetwork -ResourceGroupName TestRG1 -Name VNet1

Cree la subred de puerta de enlace mediante el cmdlet Add-AzVirtualNetworkSubnetConfig.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.1.255.0/27 -VirtualNetwork $vnet

Establezca la configuración de la subred para la red virtual mediante el cmdlet Set-AzVirtualNetwork.

$vnet | Set-AzVirtualNetwork

Solicitar una dirección IP pública

Cada puerta de enlace de VPN debe tener una dirección IP pública asignada. Cuando crea una conexión a una instancia de VPN Gateway, esta es la dirección IP que especifica. En este ejercicio, creamos un entorno de puerta de enlace de VPN activa-activa con redundancia de zona. Esto significa que se requieren dos direcciones IP públicas estándar, una para cada puerta de enlace y también debemos especificar la configuración de zona. En este ejemplo se muestra una configuración con redundancia de zona porque especifica 3 zonas regionales.

Use los ejemplos siguientes para solicitar una dirección IP pública para cada puerta de enlace. El método de asignación debe ser estático.

$gw1pip1 = New-AzPublicIpAddress -Name "VNet1GWpip1" -ResourceGroupName "TestRG1" -Location "EastUS" -AllocationMethod Static -Sku Standard -Zone 1,2,3
$gw1pip2 = New-AzPublicIpAddress -Name "VNet1GWpip2" -ResourceGroupName "TestRG1" -Location "EastUS" -AllocationMethod Static -Sku Standard -Zone 1,2,3

Creación de la configuración de direcciones IP de la puerta de enlace

La configuración de puerta de enlace define la subred y la dirección IP pública. Use el ejemplo siguiente para crear la configuración de la puerta de enlace.

$vnet = Get-AzVirtualNetwork -Name VNet1 -ResourceGroupName TestRG1
$subnet = Get-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet

$gwipconfig1 = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig1 -SubnetId $subnet.Id -PublicIpAddressId $gw1pip1.Id
$gwipconfig2 = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig2 -SubnetId $subnet.Id -PublicIpAddressId $gw1pip2.Id

Creación de la puerta de enlace VPN

La creación de una puerta de enlace suele tardar 45 minutos o más, según la SKU de la puerta de enlace seleccionada. Una vez creada la puerta de enlace, puede crear una conexión entre la red virtual y otra red virtual. O bien, cree una conexión entre su red virtual y una ubicación local.

Cree una puerta de enlace de VPN mediante el cmdlet New-AzVirtualNetworkGateway. Observe en los ejemplos que se hace referencia a ambas direcciones IP públicas y que la puerta de enlace está configurada como activa-activa. En el ejemplo, agregamos el modificador opcional -Debug.

New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 `
-Location "East US" -IpConfigurations $gwipconfig1,$gwipconfig2 -GatewayType "Vpn" -VpnType RouteBased `
-GatewaySku VpnGw2AZ -VpnGatewayGeneration Generation2 -EnableActiveActiveFeature -Debug

Visualización de VPN Gateway

Puede ver la instancia de VPN Gateway mediante el cmdlet Get-AzVirtualNetworkGateway.

Get-AzVirtualNetworkGateway -Name Vnet1GW -ResourceGroup TestRG1

Visualización de las direcciones IP públicas

Para ver la dirección IP pública de su instancia de VPN Gateway, utilice el cmdlet Get-AzPublicIpAddress. Ejemplo:

Get-AzPublicIpAddress -Name VNet1GWpip1 -ResourceGroupName TestRG1

Limpieza de recursos

Cuando ya no necesite los recursos que ha creado, use el comando Remove-AzResourceGroup para eliminar el grupo de recursos. Esto elimina el grupo de recursos y todos los recursos que contiene.

Remove-AzResourceGroup -Name TestRG1

Pasos siguientes

Una vez creada la puerta de enlace, puede crear una conexión entre su red virtual y otra red virtual. O bien, cree una conexión entre su red virtual y una ubicación local.