Elección entre emparejamiento de redes virtuales y puertas de enlace de VPN

Microsoft Entra ID

Azure Virtual Network

Azure VPN Gateway

En este artículo se comparan dos maneras de conectar redes virtuales en Azure: emparejamiento de redes virtuales y puertas de enlace de VPN.

Una red virtual es una parte virtual y aislada de la red pública de Azure. De forma predeterminada, el tráfico no se puede enrutar entre dos redes virtuales. Sin embargo, es posible conectar redes virtuales, ya sea dentro de una sola región o entre dos regiones, para que el tráfico se pueda enrutar entre ellas.

Tipos de conexión de red virtual

Emparejamiento de red virtual. El emparejamiento de redes virtuales conecta dos redes virtuales de Azure. Una vez emparejadas, las redes virtuales aparecen como una para fines de conectividad. El tráfico entre las máquinas virtuales en las redes virtuales emparejadas se enruta a través de la infraestructura de red troncal de Microsoft, únicamente a través de direcciones IP privadas. No implica la red pública de Internet. También puede emparejar redes virtuales entre regiones de Azure (emparejamiento global).

Puertas de enlace de VPN. Una puerta de enlace de VPN es un tipo específico de puerta de enlace de red virtual que se usa para enviar tráfico entre una red virtual de Azure y una ubicación local a través de la red pública de Internet. También puede usar una puerta de enlace de VPN para enviar tráfico entre redes virtuales de Azure. Cada red virtual puede tener como máximo una puerta de enlace de VPN. Debe habilitar azure DDOS Protection en cualquier red virtual perimetral.

El emparejamiento de red virtual proporciona una conexión de ancho de banda alto y de baja latencia. No hay ninguna puerta de enlace en la ruta de acceso, por lo que no hay saltos adicionales, lo que garantiza conexiones de baja latencia. Resulta útil en escenarios como la replicación de datos entre regiones y la conmutación por error de la base de datos. Dado que el tráfico es privado y permanece en la red troncal de Microsoft, considere también la posibilidad de emparejamiento de redes virtuales si tiene directivas de datos estrictas y quiere evitar el envío de tráfico a través de Internet.

Las puertas de enlace de VPN proporcionan una conexión de ancho de banda limitada y son útiles en escenarios en los que se necesita cifrado, pero pueden tolerar restricciones de ancho de banda. En estos escenarios, los clientes tampoco son tan sensibles a la latencia.

Tránsito de puerta de enlace

El emparejamiento de redes virtuales y las puertas de enlace de VPN también pueden coexistir a través del tránsito de puerta de enlace.

El tránsito de puerta de enlace permite usar la puerta de enlace de una red virtual emparejada para conectarse al entorno local, en lugar de crear una nueva puerta de enlace para la conectividad. A medida que aumenta las cargas de trabajo en Azure, debe escalar las redes entre regiones y redes virtuales para mantenerse al día con el crecimiento. El tránsito de puerta de enlace le permite compartir una puerta de enlace de ExpressRoute o VPN con todas las redes virtuales emparejadas y le permite administrar la conectividad en un solo lugar. El uso compartido permite ahorrar costos y reducir la sobrecarga de administración.

Con el tránsito de puerta de enlace habilitado en el emparejamiento de red virtual, puede crear una red virtual de tránsito que contenga la puerta de enlace de VPN, la aplicación virtual de red y otros servicios compartidos. A medida que su organización crece con nuevas aplicaciones o unidades de negocio y a medida que pone en marcha nuevas redes virtuales, puede conectarse a la red virtual de tránsito mediante el emparejamiento. Esto evita agregar complejidad a la red y reduce la sobrecarga de administración de la administración de varias puertas de enlace y otros dispositivos.

Configuración de conexiones

El emparejamiento de redes virtuales y las puertas de enlace de VPN admiten los siguientes tipos de conexión:

• Redes virtuales en diferentes regiones.
• Redes virtuales en distintos inquilinos de Microsoft Entra.
• Redes virtuales en distintas suscripciones de Azure.
• Redes virtuales que usan una combinación de modelos de implementación de Azure (Resource Manager y clásico).

Para obtener más información, consulte los artículos siguientes:

• Creación de un emparejamiento de red virtual: Resource Manager, suscripciones diferentes
• Creación de un emparejamiento de red virtual: distintos modelos de implementación, la misma suscripción
• Configuración de una conexión de puerta de enlace de VPN de red virtual a red virtual mediante Azure Portal
• Conexión de redes virtuales desde diferentes modelos de implementación mediante el portal
• Preguntas más frecuentes sobre VPN Gateway

Comparación del emparejamiento de redes virtuales y VPN Gateway

Elemento	Emparejamiento de redes virtuales de Azure	VPN Gateway
Límites	Hasta 500 emparejamientos de red virtual por red virtual (consulte Límites de redes).	Una puerta de enlace de VPN por red virtual. El número máximo de túneles por puerta de enlace depende de la SKU de puerta de enlace.
Modelo de precios	Entrada/salida	Salida por hora y salida
Encriptación	Azure Virtual Network Encryption se puede aprovechar.	La directiva IPsec/IKE personalizada se puede aplicar a conexiones nuevas o existentes. Consulte Acerca de los requisitos criptográficos y las puertas de enlace de VPN de Azure.
Limitaciones de ancho de banda	Sin limitaciones de ancho de banda.	Varía en función de la SKU. Consulte SKU de puerta de enlace por túnel, conexión y rendimiento.
¿Privado?	Sí. Enrutado a través de la red troncal de Microsoft y privada. No hay internet público implicado.	Ip pública implicada, pero enrutada a través de la red troncal de Microsoft si está habilitada la red global de Microsoft .
Relación transitiva	Las conexiones de emparejamiento no son transitivas. Las redes transitivas se pueden lograr mediante NVA o puertas de enlace en la red virtual del concentrador. Consulte Topología de red en estrella tipo Hub-spoke para obtener un ejemplo.	Si las redes virtuales están conectadas a través de puertas de enlace de VPN y BGP está habilitada en las conexiones de red virtual, la transitividad funciona.
Hora de configuración inicial	Rápido	~30 minutos
Escenarios típicos	Replicación de datos, conmutación por error de base de datos y otros escenarios que necesitan copias de seguridad frecuentes de datos grandes.	Escenarios específicos del cifrado que no son sensibles a la latencia y que no necesitan un alto a lo largo de todo.

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.

Autor principal:

• Anavi Nahar | Administrador principal de PDM

Pasos siguientes

• Planear redes virtuales
• Elección de una solución para conectar una red local a Azure

En este artículo se comparan dos maneras de conectar redes virtuales en Azure: emparejamiento de redes virtuales y puertas de enlace de VPN.

Una red virtual es una parte virtual y aislada de la red pública de Azure. De forma predeterminada, el tráfico no se puede enrutar entre dos redes virtuales. Sin embargo, es posible conectar redes virtuales, ya sea dentro de una sola región o entre dos regiones, para que el tráfico se pueda enrutar entre ellas.

Tipos de conexión de red virtual

Emparejamiento de red virtual. El emparejamiento de redes virtuales conecta dos redes virtuales de Azure. Una vez emparejadas, las redes virtuales aparecen como una para fines de conectividad. El tráfico entre las máquinas virtuales en las redes virtuales emparejadas se enruta a través de la infraestructura de red troncal de Microsoft, únicamente a través de direcciones IP privadas. No implica la red pública de Internet. También puede emparejar redes virtuales entre regiones de Azure (emparejamiento global).

Puertas de enlace de VPN. Una puerta de enlace de VPN es un tipo específico de puerta de enlace de red virtual que se usa para enviar tráfico entre una red virtual de Azure y una ubicación local a través de la red pública de Internet. También puede usar una puerta de enlace de VPN para enviar tráfico entre redes virtuales de Azure. Cada red virtual puede tener como máximo una puerta de enlace de VPN. Debe habilitar azure DDOS Protection en cualquier red virtual perimetral.

El emparejamiento de red virtual proporciona una conexión de ancho de banda alto y de baja latencia. No hay ninguna puerta de enlace en la ruta de acceso, por lo que no hay saltos adicionales, lo que garantiza conexiones de baja latencia. Resulta útil en escenarios como la replicación de datos entre regiones y la conmutación por error de la base de datos. Dado que el tráfico es privado y permanece en la red troncal de Microsoft, considere también la posibilidad de emparejamiento de redes virtuales si tiene directivas de datos estrictas y quiere evitar el envío de tráfico a través de Internet.

Las puertas de enlace de VPN proporcionan una conexión de ancho de banda limitada y son útiles en escenarios en los que se necesita cifrado, pero pueden tolerar restricciones de ancho de banda. En estos escenarios, los clientes tampoco son tan sensibles a la latencia.

Tránsito de puerta de enlace

El emparejamiento de redes virtuales y las puertas de enlace de VPN también pueden coexistir a través del tránsito de puerta de enlace.

El tránsito de puerta de enlace permite usar la puerta de enlace de una red virtual emparejada para conectarse al entorno local, en lugar de crear una nueva puerta de enlace para la conectividad. A medida que aumenta las cargas de trabajo en Azure, debe escalar las redes entre regiones y redes virtuales para mantenerse al día con el crecimiento. El tránsito de puerta de enlace le permite compartir una puerta de enlace de ExpressRoute o VPN con todas las redes virtuales emparejadas y le permite administrar la conectividad en un solo lugar. El uso compartido permite ahorrar costos y reducir la sobrecarga de administración.

Con el tránsito de puerta de enlace habilitado en el emparejamiento de red virtual, puede crear una red virtual de tránsito que contenga la puerta de enlace de VPN, la aplicación virtual de red y otros servicios compartidos. A medida que su organización crece con nuevas aplicaciones o unidades de negocio y a medida que pone en marcha nuevas redes virtuales, puede conectarse a la red virtual de tránsito mediante el emparejamiento. Esto evita agregar complejidad a la red y reduce la sobrecarga de administración de la administración de varias puertas de enlace y otros dispositivos.

Configuración de conexiones

El emparejamiento de redes virtuales y las puertas de enlace de VPN admiten los siguientes tipos de conexión:

• Redes virtuales en diferentes regiones.
• Redes virtuales en distintos inquilinos de Microsoft Entra.
• Redes virtuales en distintas suscripciones de Azure.
• Redes virtuales que usan una combinación de modelos de implementación de Azure (Resource Manager y clásico).

Para obtener más información, consulte los artículos siguientes:

• Creación de un emparejamiento de red virtual: Resource Manager, suscripciones diferentes
• Creación de un emparejamiento de red virtual: distintos modelos de implementación, la misma suscripción
• Configuración de una conexión de puerta de enlace de VPN de red virtual a red virtual mediante Azure Portal
• Conexión de redes virtuales desde diferentes modelos de implementación mediante el portal
• Preguntas más frecuentes sobre VPN Gateway

Comparación del emparejamiento de redes virtuales y VPN Gateway

Elemento	Emparejamiento de redes virtuales de Azure	VPN Gateway
Límites	Hasta 500 emparejamientos de red virtual por red virtual (consulte Límites de redes).	Una puerta de enlace de VPN por red virtual. El número máximo de túneles por puerta de enlace depende de la SKU de puerta de enlace.
Modelo de precios	Entrada/salida	Salida por hora y salida
Encriptación	Azure Virtual Network Encryption se puede aprovechar.	La directiva IPsec/IKE personalizada se puede aplicar a conexiones nuevas o existentes. Consulte Acerca de los requisitos criptográficos y las puertas de enlace de VPN de Azure.
Limitaciones de ancho de banda	Sin limitaciones de ancho de banda.	Varía en función de la SKU. Consulte SKU de puerta de enlace por túnel, conexión y rendimiento.
¿Privado?	Sí. Enrutado a través de la red troncal de Microsoft y privada. No hay internet público implicado.	Ip pública implicada, pero enrutada a través de la red troncal de Microsoft si está habilitada la red global de Microsoft .
Relación transitiva	Las conexiones de emparejamiento no son transitivas. Las redes transitivas se pueden lograr mediante NVA o puertas de enlace en la red virtual del concentrador. Consulte Topología de red en estrella tipo Hub-spoke para obtener un ejemplo.	Si las redes virtuales están conectadas a través de puertas de enlace de VPN y BGP está habilitada en las conexiones de red virtual, la transitividad funciona.
Hora de configuración inicial	Rápido	~30 minutos
Escenarios típicos	Replicación de datos, conmutación por error de base de datos y otros escenarios que necesitan copias de seguridad frecuentes de datos grandes.	Escenarios específicos del cifrado que no son sensibles a la latencia y que no necesitan un alto a lo largo de todo.

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.

Autor principal:

• Anavi Nahar | Administrador principal de PDM

Pasos siguientes

• Planear redes virtuales
• Elección de una solución para conectar una red local a Azure