Compartir a través de

Conexión de redes virtuales entre inquilinos a un centro de conectividad de Virtual WAN

Este artículo muestra cómo usar Azure Virtual WAN para conectar una red virtual a un centro de conectividad virtual de otro inquilino. Esta arquitectura resulta útil cuando se tienen cargas de trabajo de cliente que se deben conectar para estar en la misma red, pero que se encuentran en distintos inquilinos. Por ejemplo, como se observa en el diagrama siguiente, se puede conectar una red virtual que no sea la de Contoso (el inquilino remoto) a un centro de conectividad virtual de Contoso (el inquilino primario).

Diagrama que muestra una configuración de enrutamiento con inquilino primario y un inquilino remoto.

En este artículo aprenderá a:

  • Agregar otro inquilino como Colaborador a la suscripción de Azure.
  • Conecte una red virtual entre inquilinos a un centro virtual.

Los pasos necesarios para esta configuración usan una combinación de Azure Portal y PowerShell. No obstante, la característica solo está disponible en PowerShell y la CLI de Azure.

Nota:

Puede administrar conexiones de red virtual entre inquilinos solo a través de PowerShell o la CLI de Azure instaladas en la máquina local. Dado que Azure Portal no admite operaciones entre inquilinos, no puede administrar conexiones de red virtual entre inquilinos a través de Azure Portal o Azure Portal CloudShell (tanto PowerShell como la CLI).

Antes de empezar

Requisitos previos

Para seguir los pasos de este artículo debe tener la configuración siguiente ya definida en el entorno:

  • Una WAN y un centro de conectividad virtuales en la suscripción primaria.
  • Una red virtual configurada en una suscripción de otro inquilino (remoto).

Asegúrese de que el espacio de direcciones de la red virtual del inquilino remoto no se superponga a ningún otro espacio de direcciones de otras redes virtuales ya conectadas al centro de conectividad virtual primario.

Trabajo con Azure PowerShell

En este artículo se usan cmdlets de PowerShell. Para ejecutar los cmdlets, puede usar Azure Cloud Shell. Cloud Shell es un servicio de shell interactivo gratuito que se puede usar para ejecutar los pasos de este artículo. Tiene las herramientas comunes de Azure preinstaladas y configuradas para usarlas en la cuenta.

Para abrir Cloud Shell, seleccione Abrir Cloud Shell en la esquina superior derecha de un bloque de código. También puede abrir Cloud Shell en una pestaña independiente desde https://shell.azure.com/powershell. Seleccione Copy para copiar los bloques de código, péguelos en Cloud Shell y, a continuación, seleccione la tecla Entrar para ejecutarlos.

Asignación de permisos

  1. En la suscripción de la red virtual en el inquilino remoto, agregue la asignación de roles Colaborador al administrador (el usuario que administra el centro virtual). Los permisos de colaborador permitirán al administrador modificar y acceder a las redes virtuales en el inquilino remoto.

    Puede usar PowerShell o Azure Portal para asignar este rol. Consulte los siguientes artículos para conocer los pasos:

  2. Ejecute el comando siguiente para agregar la suscripción del inquilino remoto y la del inquilino primario a la sesión actual de PowerShell. Si ha iniciado sesión en el inquilino primario, ejecute el comando para el inquilino remoto.

    Connect-AzAccount -SubscriptionId "[subscription ID]" -TenantId "[tenant ID]"

  3. Compruebe que la asignación de roles es la correcta. Inicie sesión en Azure PowerShell con las credenciales primarias y ejecute el siguiente comando:

    Get-AzSubscription

    Si los permisos se han propagado correctamente al inquilino principal y se han agregado a la sesión, la suscripción propiedad de dicho inquilino y del inquilino remoto se observará en la salida del comando.

Conexión de una red virtual a un centro de conectividad

En los pasos siguientes usará comandos para alternar el contexto de las dos suscripciones al vincular la red virtual al centro de conectividad virtual. Reemplace los valores del ejemplo para reflejar su propio entorno.

  1. Asegúrese de estar en el contexto de la cuenta remota:

    Select-AzSubscription -SubscriptionId "[remote ID]"

  2. Cree una variable local para almacenar los metadatos de la red virtual que desea conectar al centro de conectividad.

    $remote = Get-AzVirtualNetwork -Name "[vnet name]" -ResourceGroupName "[resource group name]"

  3. Conectarse a la cuenta primaria:

    Connect-AzAccount -TenantID "[parent tenant ID]"

  4. Seleccione la suscripción primaria:

    Select-AzSubscription -SubscriptionId "[parent ID]"

  5. Conecte la red virtual al centro de conectividad:

    New-AzVirtualHubVnetConnection -ResourceGroupName "[parent resource group name]" -VirtualHubName "[virtual hub name]" -Name "[name of connection]" -RemoteVirtualNetwork $remote

Puede ver la nueva conexión en PowerShell o en Azure Portal.

  • En la consola de PowerShell, los metadatos de la conexión recién creada se mostrarán si la conexión se ha creado correctamente.
  • En el Azure Portal, vaya al centro virtual y seleccione Connectivity>Virtual Network Connections. Posteriormente, puede ver el puntero a la conexión. Para ver el propio recurso, necesitará los permisos adecuados.

Escenario: Adición de rutas estáticas a una conexión de centro de red virtual

En los pasos siguientes, usará comandos para agregar una ruta estática a la tabla de rutas predeterminada del centro virtual y una conexión de red virtual para que apunte a una dirección IP de próximo salto (es decir, un dispositivo de NVA). Reemplace los valores del ejemplo para reflejar su propio entorno.

Nota:

  • Antes de ejecutar los comandos, asegúrese de que tiene acceso y autorización para la suscripción remota.
  • El prefijo de destino puede ser uno o varios CIDR. Para un único CIDR, use este formato: @("10.19.2.0/24"). Para varios CIDR, use este formato: @("10.19.2.0/24", "10.40.0.0/16").

  1. Asegúrese de que está en el contexto de la cuenta primaria:

    Select-AzSubscription -SubscriptionId "[parent ID]"

  2. Agregue una ruta en la tabla de rutas predeterminada del centro virtual sin una dirección IP específica.

    1. Obtenga los detalles de conexión:

      $hubVnetConnection = Get-AzVirtualHubVnetConnection -Name "[HubconnectionName]" -ParentResourceName "[Hub Name]" -ResourceGroupName "[resource group name]"

    2. Agregue una ruta estática a la tabla de rutas del centro de conectividad virtual con la conexión de red virtual del próximo salto. Las rutas existentes en la tabla de rutas se conservan con el siguiente script de ejemplo.

      $routeTable = Get-AzVHubRouteTable -ResourceGroupName "[Resource group name]" -VirtualHubName "[Virtual hub name]" -Name "defaultRouteTable"
$Route2 = New-AzVHubRoute -Name "[Route Name]" -Destination “[@("Destination prefix")]” -DestinationType "CIDR" -NextHop $hubVnetConnection.Id -NextHopType "ResourceId"
$routeTable.Routes.add($Route2)

    3. Compruebe que la tabla de rutas tiene las nuevas rutas:

      $routeTable.Routes

    4. Actualice la tabla de rutas predeterminada actual del centro:

     Update-AzVHubRouteTable -ResourceGroupName "[resource group name]"-VirtualHubName [“Hub Name”] -Name "defaultRouteTable" -Route @($routeTable.Routes)

    1. Actualice la ruta en la conexión de red virtual para especificar el próximo salto como una dirección IP. Este script de ejemplo agrega una nueva ruta a la conexión de red virtual (conservando las rutas existentes).

      Nota:

      El nombre de ruta debe ser el mismo que se usó al agregar una ruta estática anteriormente. De lo contrario, se crearán dos rutas en la tabla de enrutamiento: una sin una dirección IP y otra con dirección IP.

        $newroute = New-AzStaticRoute -Name "[Route Name]"  -AddressPrefix "[@("Destination prefix")]" -NextHopIpAddress "[Destination NVA IP address]"

    $hubVNetConnection.RoutingConfiguration.VnetRoutes.StaticRoutes.add($newroute)

    Update-AzVirtualHubVnetConnection -ResourceGroupName $rgname -VirtualHubName "[Hub Name]" -Name "[Virtual hub connection name]" -RoutingConfiguration $hubVNetConnection.RoutingConfiguration

    1. Compruebe que la ruta estática se ha establecido en una dirección IP de próximo salto.

      Get-AzVirtualHubVnetConnection -ResourceGroupName "[Resource group]" -VirtualHubName "[virtual hub name]" -Name "[Virtual hub connection name]"

Solucionar problemas

  • Compruebe que los metadatos de $remote (en la sección anterior) coinciden con la información de Azure Portal.
  • Para comprobar los permisos use la configuración de IAM del grupo de recursos del inquilino remoto, o bien comandos de Azure PowerShell (Get-AzSubscription).
  • Asegúrese de que se usen comillas para los nombres de los grupos de recursos o cualquier otra variable específica del entorno (por ejemplo, "VirtualHub1" o "VirtualNetwork1").
  • Si se usa el SDK de red de Azure o una solicitud directa de API de REST, es necesario que el token de autorización del inquilino principal "Hub" se pase en el encabezado "Authorization" y que se pase un token de autorización adicional para el segundo inquilino "VNet" en el encabezado especial "x-ms-authorization-auxiliary".

Pasos siguientes

  • Last updated on