Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Una puerta de enlace de red virtual conecta la red virtual de Azure a la red local a través de Azure ExpressRoute. La puerta de enlace sirve para dos propósitos clave: intercambiar rutas IP entre redes y enrutar el tráfico de red entre ellas.
En este artículo se explican los tipos de puerta de enlace, las SKU de puerta de enlace, el rendimiento estimado por SKU y las características clave. También cubre FastPath de ExpressRoute, que permite que el tráfico de red desde la red local omita la puerta de enlace de red virtual para mejorar el rendimiento.
SKU de puerta de enlace
Al crear una puerta de enlace de red virtual, debe especificar la SKU de puerta de enlace que desea usar. Al seleccionar una SKU de puerta de enlace superior, se asignan más CPU y ancho de banda de red a la puerta de enlace. Como resultado, la puerta de enlace puede admitir un mayor rendimiento de red en la red virtual.
Las puertas de enlace de red virtual de ExpressRoute pueden utilizar las SKU siguientes:
- ErGwScale: para más información, consulte Puerta de enlace escalable de ExpressRoute.
- Standard
- HighPerformance
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
Puede actualizar la puerta de enlace a una SKU de mayor capacidad dentro de la misma familia de SKU (zona de no disponibilidad o zona de disponibilidad habilitada). Por ejemplo:
- Actualización de una SKU de zona no de disponibilidad a otra SKU de zona de no disponibilidad
- Actualización de una SKU habilitada para zona de disponibilidad a otra SKU también habilitada para zona de disponibilidad
Para todos los demás escenarios, incluidas las degradaciones o el cambio entre tipos de zona de disponibilidad, debe eliminar y volver a crear la puerta de enlace. Este proceso incurre en tiempo de inactividad.
Subred de puerta de enlace
Antes de crear una puerta de enlace de ExpressRoute, debe crear una subred de puerta de enlace. La subred de puerta de enlace contiene las direcciones IP que usan las máquinas virtuales y los servicios de la puerta de enlace de red virtual.
Al crear la puerta de enlace de red virtual, Azure implementa máquinas virtuales de puerta de enlace en la subred de puerta de enlace y las configura con la configuración de ExpressRoute necesaria. Nunca implemente nada más en la subred de la puerta de enlace. La subred de puerta de enlace debe denominarse GatewaySubnet para Que Azure la reconozca e implemente correctamente los componentes de la puerta de enlace.
Note
Las rutas definidas por el usuario con un destino 0.0.0.0/0 y grupos de seguridad de red (NSG) en la subred de puerta de enlace no se admiten. Las rutas definidas por el usuario, que contienen el espacio de direcciones de GatewaySubnet, con el próximo salto configurado como ninguno o con el próximo salto configurado en NVA (que tiene directiva para bloquear el tráfico) no se admiten. Las puertas de enlace con esta configuración no se pueden crear. Las puertas de enlace requieren acceso a los controladores de administración para funcionar correctamente. Propagación de rutas del Protocolo de puerta de enlace de borde (BGP) debe habilitarse en la subred de la puerta de enlace para garantizar la disponibilidad de la puerta de enlace. Si la propagación de rutas BGP está deshabilitada, la puerta de enlace no funcionará.
Los diagnósticos, la ruta de acceso de datos y la ruta de acceso de control pueden verse afectados si una ruta definida por el usuario se superpone con el intervalo de subredes de puerta de enlace o el intervalo IP público de la puerta de enlace.
No implemente la resolución privada de Azure DNS en una red virtual que tenga una puerta de enlace de red virtual de ExpressRoute con reglas comodín que dirijan toda la resolución de nombres a un servidor DNS específico. Esta configuración puede provocar problemas de conectividad de administración.
Tamaño de la subred de la puerta de enlace
Al crear la subred de puerta de enlace, especifique cuántas direcciones IP contiene. Las máquinas virtuales y los servicios de puerta de enlace usan estas direcciones IP. Algunas configuraciones requieren más direcciones IP que otras.
Cuando planifique el tamaño de la subred del gateway, consulte la documentación de la configuración específica. Por ejemplo, las configuraciones de coexistencia de ExpressRoute/VPN Gateway requieren subredes de puerta de enlace más grandes que la mayoría de las demás configuraciones. Se recomienda crear una subred de puerta de enlace que pueda dar cabida a posibles configuraciones futuras.
Recommendations:
- Para la mayoría de las configuraciones, cree una subred de puerta de enlace de /27 o superior.
- Si tiene previsto conectar 16 circuitos ExpressRoute a la puerta de enlace, debe crear una subred de puerta de enlace de /26 o superior.
- En el caso de las subredes de puerta de enlace de doble pila, se recomienda un intervalo IPv6 de /64 o superior.
En el ejemplo siguiente de PowerShell de Azure Resource Manager se muestra una subred de puerta de enlace denominada GatewaySubnet. La notación CIDR especifica una /27, que proporciona suficientes direcciones IP para la mayoría de las configuraciones.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Important
No se admiten grupos de seguridad de red en la subred de puerta de enlace. La asociación de un grupo de seguridad de red a esta subred puede causar que la puerta de enlace de la red virtual (VPN, puerta de enlace de ExpressRoute) deje de funcionar como cabría esperar. Para más información acerca de los grupos de seguridad de red, consulte ¿Qué es un grupo de seguridad de red?
Limitaciones y rendimiento de la puerta de enlace
Compatibilidad con características por SKU de puerta de enlace
En la tabla siguiente se muestran las características que admite cada SKU de puerta de enlace y el número máximo de conexiones de circuito ExpressRoute.
| SKU de puerta de enlace | Coexistencia de VPN y ExpressRoute | FastPath | Número máximo de conexiones de circuito |
|---|---|---|---|
| Standard/ERGw1Az | Yes | No | 4 |
| Alto rendimiento/ERGw2Az | Yes | No | 8 |
| Ultrarrendimiento/ErGw3Az | Yes | Yes | 16 |
| ErGwScale | Yes | Sí (mínimo 10 unidades de escala) | 4 (mínimo 1 unidad de escala) 8 (mínimo 2 unidades de escala) 16 (mínimo 10 unidades de escala) |
Note
El número máximo de circuitos ExpressRoute de la misma ubicación de emparejamiento que puede conectarse a la misma red virtual es 4 para todas las puertas de enlace.
Rendimiento estimado según SKU de puerta de enlace
En las tablas siguientes se proporciona información general sobre los distintos tipos de puertas de enlace, sus respectivas limitaciones y sus métricas de rendimiento esperadas.
Límites máximos admitidos
Esta tabla se aplica a los modelos de implementación clásicos y de Azure Resource Manager.
| SKU de puerta de enlace | Megabits por segundo | Paquetes por segundo | Número admitido de máquinas virtuales en la red virtual 1 | Límite de recuento de flujos | Número de rutas que ha aprendido la puerta de enlace |
|---|---|---|---|---|---|
| Standard/ERGw1Az | 1,000 | 100,000 | 2,000 | 200,000 | 4,000 |
| Alto rendimiento/ERGw2Az | 2,000 | 200,000 | 4,500 | 400,000 | 9,500 |
| Ultrarrendimiento/ErGw3Az | 10,000 | 1,000,000 | 11,000 | 1,000,000 | 9,500 |
| ErGwScale (por unidad de escalado 1-10) | 1000 por unidad de escalado | 100 000 por unidad de escalado | 2000 por unidad de escalado | 100 000 por unidad de escalado | 9500 totales por puerta de enlace |
| ErGwScale (por unidad de escalado 11-40) | 1000 por unidad de escalado | 200 000 por unidad de escalado | 1000 por unidad de escalado | 100 000 por unidad de escalado | 9500 totales por puerta de enlace |
1 Los valores de la tabla son estimaciones y varían en función del uso de cpu de la puerta de enlace. Si el uso de la CPU es alto y se supera el número de máquinas virtuales admitidas, la puerta de enlace comenzará a excluir paquetes.
Note
ExpressRoute puede facilitar hasta 11 000 rutas que abarcan espacios de direcciones de red virtual, redes locales y cualquier conexión de emparejamiento de red virtual pertinente. Para garantizar la estabilidad de la conexión de ExpressRoute, absténgase de propagar más de 11 000 rutas a ExpressRoute. El número máximo de rutas anunciadas por la puerta de enlace es de 1000 rutas.
Important
- El rendimiento de la aplicación depende de varios factores, como la latencia de un extremo a otro y el número de flujos de tráfico que abre la aplicación. Los números de la tabla representan el límite superior que teóricamente la aplicación puede alcanzar en un entorno ideal. Además, se realizan el mantenimiento rutinario del host y del sistema operativo en la puerta de enlace de red virtual de ExpressRoute para mantener la confiabilidad del servicio. Durante un período de mantenimiento, se reduce la capacidad del plano de control y la ruta de acceso de datos de la puerta de enlace.
- Durante períodos de mantenimiento, podría experimentar problemas de conectividad intermitentes con los recursos de punto de conexión privado.
- ExpressRoute admite un tamaño máximo de paquete TCP y UDP de 1400 bytes. Las puertas de enlace de ExpressRoute no admiten paquetes fragmentados. Ajuste la aplicación para evitar la fragmentación de ip. Si se requiere compatibilidad con la fragmentación de IP, habilite la característica FastPath de ExpressRoute para omitir la puerta de enlace de ExpressRoute.
- Azure Route Server puede admitir hasta 4000 máquinas virtuales. Este límite incluye a las máquinas virtuales en redes virtuales que son del mismo nivel. Para obtener más información, consulte Limitaciones del servidor de rutas Azure Route Server.
- Los valores de la tabla anterior representan los límites en cada SKU de puerta de enlace.
Dirección IP pública asignada automáticamente
La característica de dirección IP pública asignada automáticamente simplifica la implementación de la puerta de enlace de ExpressRoute al permitir que Microsoft administre la dirección IP pública necesaria en su nombre. Para PowerShell y la interfaz de línea de comandos (CLI), ya no es necesario crear ni mantener un recurso de dirección IP pública independiente para la puerta de enlace.
Cuando la dirección IP pública asignada automáticamente está habilitada, la página Información general de la puerta de enlace de ExpressRoute ya no muestra un campo dirección IP pública, lo que significa que Microsoft aprovisiona y administra automáticamente la dirección IP pública de la puerta de enlace.
Ventajas clave:
- Seguridad mejorada: Microsoft administra internamente la dirección IP pública y no se expone a usted, lo que reduce los riesgos asociados a los puertos de administración abiertos.
- Complejidad reducida: Ya no es necesario aprovisionar ni administrar un recurso de IP pública.
- Implementación simplificada: Azure PowerShell y la CLI ya no solicitan una dirección IP pública durante la creación de la puerta de enlace.
Funcionamiento:
Al crear una puerta de enlace de ExpressRoute, Microsoft aprovisiona y administra automáticamente la dirección IP pública en una suscripción de back-end segura. Esta dirección IP se encapsula dentro del recurso de puerta de enlace, lo que permite a Microsoft aplicar directivas como los límites de velocidad de datos y mejorar la auditabilidad. Anteriormente era posible crear el recurso de dirección IP pública como un recurso zonal que garantizaba que todas las instancias de la puerta de enlace de esa zona compartió la misma dirección IP pública. Un nuevo comportamiento es que la puerta de enlace siempre tiene redundancia de zona.
Availability:
La dirección IP pública asignada automáticamente no está disponible para las implementaciones de Virtual WAN (vWAN) o zona extendida.
Conectividad de la red virtual a la red virtual y de la red virtual a virtual WAN
De forma predeterminada, la conectividad de red virtual a conmutador virtual, y red virtual a WAN virtual está deshabilitada a través de un circuito ExpressRoute para todas las SKU de puerta de enlace. Para habilitar esta conectividad, debe configurar la puerta de enlace de red virtual de ExpressRoute para permitir este tráfico. Para más información, consulte la guía acerca de conectividad de red virtual a través de ExpressRoute. Para habilitar este tráfico, consulte Cómo habilitar la conectividad de red virtual a red virtual o de red virtual a WAN virtual mediante ExpressRoute.
FastPath
FastPath de ExpressRoute mejora el rendimiento de la ruta de acceso de datos entre la red local y la red virtual. Cuando está habilitada, FastPath envía el tráfico de red directamente a las máquinas virtuales de la red virtual, pasando la puerta de enlace.
Para obtener más información sobre FastPath, incluidas las limitaciones y los requisitos, consulte Acerca de FastPath.
Punto de conexión privado conectividad
La puerta de enlace de red virtual de ExpressRoute facilita la conectividad a los puntos de conexión privados implementados en la misma red virtual y entre redes virtuales emparejadas.
Important
- La capacidad del plano de control y el rendimiento para la conectividad a los recursos de punto de conexión privado podría reducirse a la mitad en comparación con la conectividad con los recursos de punto de conexión no privados.
- Durante períodos de mantenimiento, podría experimentar problemas de conectividad intermitentes con los recursos de punto de conexión privado.
- Debe asegurarse de que esa configuración local, incluyendo la configuración del enrutador y del firewall, es correcta para garantizar que los paquetes de la tupla IP 5 usan un único próximo salto (enrutador Microsoft Enterprise Edge) a menos que se produzca un evento de mantenimiento. Si el firewall local o la configuración del enrutador están causando que la misma tupla IP de 5 cambie con frecuencia los próximos saltos, experimentarás problemas de conectividad.
- Asegúrese de que las directivas de red (como mínimo, para la compatibilidad con UDR) estén habilitadas en las subredes donde se implementan los puntos de conexión privados
Conectividad de punto de conexión privado y eventos de mantenimiento planeado
La conectividad del punto de conexión privado es con estado. Cuando se establece una conexión a un punto de conexión privado a través del emparejamiento privado de ExpressRoute, la infraestructura de puerta de enlace enruta las conexiones entrantes y salientes a través de una de sus instancias de back-end. Durante los eventos de mantenimiento, las instancias de back-end se reinician de uno en uno, lo que puede provocar problemas de conectividad intermitentes.
Para evitar o minimizar los problemas de conectividad con puntos de conexión privados durante las actividades de mantenimiento, establezca el valor de tiempo de espera de TCP entre 15 y 30 segundos en las aplicaciones locales. Pruebe y configure el valor óptimo en función de los requisitos de la aplicación.
API de REST y cmdlets de PowerShell
Para conocer los recursos técnicos y los requisitos de sintaxis específicos al usar las API REST y los cmdlets de PowerShell para las configuraciones de puerta de enlace de red virtual, consulte:
| Classic | Administrador de recursos |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
Conectividad de red virtual a red virtual
De forma predeterminada, la conectividad entre redes virtuales se habilita cuando se vinculan varias redes virtuales al mismo circuito ExpressRoute. No se recomienda usar el circuito ExpressRoute para la comunicación entre redes virtuales. En su lugar, se recomienda usar el emparejamiento de red virtual. Para obtener más información sobre por qué no se recomienda la conectividad de red virtual a red virtual a través de ExpressRoute, consulte Conectividad entre redes virtuales a través de ExpressRoute.
Límites de emparejamiento de redes virtuales
Una red virtual con una puerta de enlace de ExpressRoute puede tener emparejamiento de red virtual con hasta 500 otras redes virtuales. Las redes virtuales sin una puerta de enlace de ExpressRoute podrían tener mayores límites de emparejamiento.