Crear conexiones VPN de alta disponibilidad entre Google Cloud y Azure

En este tutorial se muestra cómo crear conexiones de red privada virtual (VPN) de alta disponibilidad entre Google Cloud y Microsoft Azure. Puedes usar estos servicios de VPN de alta disponibilidad para comunicarte directamente entre redes de nube privada virtual (VPC) enGoogle Cloud y pasarelas de red virtual de Microsoft Azure.

En este documento se presupone que conoces los conceptos básicos de las redes de VPC, el protocolo de puerta de enlace de frontera (BGP), las VPNs y los túneles de seguridad de protocolo de Internet (IPsec).

Google Cloud proporciona un servicio de VPN de alta disponibilidad para conectar tu red VPC a entornos que se ejecutan fuera de Google Cloud, como Microsoft Azure, a través de una conexión VPN IPsec. Una VPN de alta disponibilidad proporciona un acuerdo de nivel de servicio (SLA) del 99,99% de disponibilidad del servicio cuando se configura según las prácticas recomendadas de Google.

Información general sobre la arquitectura

En el siguiente diagrama se muestra la arquitectura que se describe en este documento.

Información general sobre la arquitectura.

La arquitectura que se muestra en el diagrama incluye los siguientes componentes:

  • Cloud Router: un servicio totalmente distribuido y gestionado Google Cloud que proporciona enrutamiento dinámico mediante BGP para tus redes de VPC.
  • Pasarela de VPN de alta disponibilidad: una pasarela de VPN gestionada por Google que se ejecuta en Google Cloud. Cada pasarela VPN de alta disponibilidad es un recurso regional que tiene dos interfaces: la interfaz 0 y la interfaz 1. Cada una de estas interfaces tiene su propia dirección IP externa.
  • Túneles VPN: conexiones desde la pasarela de VPN de alta disponibilidad de Google Cloud a la pasarela de VPN de par en Azure a través de las cuales pasa el tráfico cifrado.
  • Pasarela de red virtual: dos redes privadas definidas en el servicio de Azure Cloud.

Cada conexión de Virtual Network Gateway incluye dos túneles preconfigurados para que apunten a una única pasarela de cliente, que en este caso es una interfaz de pasarela de VPN de alta disponibilidad en Google Cloud. Con esta configuración, el número mínimo de túneles de Cloud VPN necesarios para cumplir el SLA de disponibilidad del servicio del 99,99% es dos.

Direcciones IP necesarias para los procedimientos

Para completar los procedimientos de este documento, se usan varias direcciones IP tanto en Google Cloud como en Azure. Algunas de estas direcciones IP se asignan automáticamente cuando creas un recurso.

En el caso de las direcciones que no se asignan automáticamente, debes definir estas direcciones IP en función de las que tengas disponibles y de las necesidades de tu organización.

Los recursos deGoogle Cloud requieren las siguientes direcciones IP:

  • Para crear una subred de una red de nube privada virtual, se necesita un intervalo de direcciones IP definido por el usuario.
  • Después de crear la pasarela VPN de alta disponibilidad, Google Cloud se le asignan automáticamente dos direcciones IP externas. Google asigna una dirección IP a cada una de las dos interfaces de la pasarela. Necesitas las direcciones IP de estas interfaces para configurar las puertas de enlace de red local en Azure.

  • Cuando creas túneles de VPN de alta disponibilidad en Google Cloud, cada túnel necesita una interfaz BGP para Cloud Router y una interfaz BGP para la pasarela de red virtual activa-activa (pasarela VPN) en Azure. Para cada túnel, elige un par de direcciones IPv4 de emparejamiento de BGP de enlace local en un bloque /30 de los intervalos 169.254.21.* y 169.254.22.*. Estos intervalos son los válidos para las direcciones IPv4 de emparejamiento BGP de APIPA de Azure. Debes seleccionar cuatro direcciones IP en total.

    Las direcciones IPv4 de emparejamiento de BGP que selecciones deben ser únicas entre todos los routers de Cloud Router de todas las regiones de una red de VPC.

Los recursos de Azure requieren las siguientes direcciones IP:

  • Cuando creas la red virtual (VNet), esta requiere un espacio de direcciones IP para la red y otro para la subred de la red. Puedes usar los espacios de direcciones predeterminados o introducir espacios de direcciones definidos por el usuario.
  • Cuando creas la pasarela de red virtual activa-activa (pasarela VPN), la pasarela requiere un intervalo de direcciones de subred. Puede usar el intervalo predeterminado o introducir un intervalo definido por el usuario.
  • Cuando configuras el BGP para la pasarela de VPN activa-activa, la pasarela requiere dos direcciones IP de emparejamiento BGP de APIPA. Como se ha mencionado anteriormente, los intervalos válidos para las direcciones IP de emparejamiento BGP de APIPA de Azure son 169.254.21.* y 169.254.22.*.
  • Después de crear una pasarela de VPN activa-activa, Azure asigna automáticamente una dirección IP externa a cada una de las interfaces de la pasarela. Necesitarás estas direcciones IP para configurar la pasarela VPN de par en Google Cloud.

Cuando definas direcciones IP, asegúrate de usar un conjunto único de direcciones IP para cada red.

Objetivos

  • Crea una red virtual de Azure y una pasarela de red virtual activa-activa (pasarela de VPN).
  • Crea los componentes necesarios en Google Cloud: una red VPC, un Cloud Router, una pasarela de VPN de alta disponibilidad, una pasarela de VPN de par y dos túneles de VPN de alta disponibilidad con sesiones BGP.
  • Crea dos pasarelas de red local y dos conexiones VPN en Azure. Verifica la configuración de Cloud Router y comprueba el estado de tus túneles de VPN de alta disponibilidad en Google Cloud.
  • Prueba la conexión de Cloud VPN entre la red de VPC de Google Cloud y la red virtual (VNet) de Azure.

Costes

En los procedimientos de este documento se usan componentes facturables de Google Cloud, como los siguientes:

Para obtener una estimación de los costes de los Google Cloud componentes, usa la calculadora de precios de Google Cloud.

En los procedimientos de este documento se usan componentes facturables de los servicios de Microsoft Azure Cloud, incluidos los siguientes:

  • Pasarelas de VPN
  • Pasarelas de red local

Para obtener una estimación de los costes de los componentes de Azure, usa la calculadora de precios de Azure.

Antes de empezar

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  2. Verify that billing is enabled for your Google Cloud project.

  3. Enable the Compute Engine API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  4. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

  5. Asegúrate de que tienes los roles de administrador necesarios para configurar los componentes de red:

    • Administrador de red: compute.networkAdmin
    • Administrador de seguridad: compute.securityAdmin
    • Administrador de Compute: compute.admin

    Para obtener más información sobre los objetivos de estos roles, consulta Roles de gestión de identidades y accesos para funciones de tareas relacionadas con redes.

    6. Crear una red virtual y una pasarela de VPN activa-activa en Azure

    En Azure, debe configurar los siguientes componentes:

    • Una red virtual (VNet) de Azure que permite que los recursos de Azure se comuniquen con tu VPN de Google Cloud.
    • Una pasarela de red virtual (pasarela de VPN) activa-activa que permite que ambas instancias de las máquinas virtuales de la pasarela establezcan túneles VPN con tu VPN de Google Cloud.

    Crear una red virtual

    Una red virtual permite que los recursos de Azure se comuniquen de forma segura entre sí, con Internet y con otras redes (como Cloud VPN). Para obtener más información sobre cómo crear una red virtual, consulta la documentación de Azure sobre cómo crear una red virtual.

    1. Inicia sesión en Azure Portal.
    2. En el cuadro Buscar recursos, servicios y documentos (G+/), escribe virtual network.
    3. En la lista de resultados de Marketplace, selecciona Red virtual.
    4. En la página Red virtual, selecciona Crear.

    5. En la pestaña Básico de la página Crear red virtual, configura los siguientes ajustes de la red virtual en Detalles del proyecto y Detalles de la instancia:

      1. En el cuadro Suscripción, comprueba que la suscripción que aparece sea la correcta. Para cambiar la suscripción, selecciona la suscripción de la lista .
      2. Para especificar el grupo de recursos, haga clic en Crear nuevo para crear un grupo y escriba un nombre, como azure‑to‑google‑resgroup, para el grupo de recursos.
      3. En el cuadro Nombre, introduce el nombre de tu red virtual, como azure‑to‑google‑network.

      4. En el cuadro Región, selecciona una ubicación para tu red virtual.

        La ubicación que selecciones determinará la ubicación de almacenamiento de los recursos que implementes en esta red virtual.

    6. En la pestaña Direcciones IP, en el cuadro Espacio de direcciones IPv4, usa el espacio de direcciones y la subred predeterminados que ha creado Azure.

    7. En la pestaña Seguridad, deje los valores de BastionHost, DDos Protection Standard y Firewall con el valor predeterminado Disable.

    8. Para validar la configuración de la red virtual, selecciona Revisar y crear.

    9. Una vez que se hayan validado los ajustes, selecciona Crear.

    Crear una pasarela de VPN activa-activa

    En los siguientes procedimientos se crea la pasarela VPN activa-activa:

    • El primer procedimiento define los detalles del proyecto y de la instancia
    • En el segundo procedimiento se especifica la dirección IP de la pasarela.

    Por el momento, solo se crea la pasarela VPN activa-activa. Debes crear tus componentes Google Cloud antes de poder configurar los túneles necesarios en Azure. Para obtener más información sobre cómo crear una pasarela VPN activa-activa, consulta el tema Configurar pasarelas VPN activas-activas mediante el portal de la documentación de Azure.

    Definir los detalles de la pasarela

    1. Inicia sesión en Azure Portal.
    2. En Buscar recursos, servicios y documentos (G+/), escribe virtual network gateway.
    3. En Servicios de los resultados de búsqueda, busque y seleccione Puertas de enlace de red virtual.
    4. En la página Virtual network gateway (Puerta de enlace de red virtual), seleccione Create (Crear).

    5. En la pestaña Básicos de la página Crear una puerta de enlace de red virtual, especifica los siguientes valores para las opciones de las secciones Detalles del proyecto y Detalles de la instancia:

      1. En la lista Suscripción, selecciona la suscripción que quieras usar.
      2. Opcional: En el cuadro Intervalo de direcciones de la subred de la pasarela, introduce el intervalo de direcciones de la subred.
      3. Comprueba que en Grupo de recursos se muestre el grupo de recursos que corresponde a la red virtual que selecciones en esta página.
      4. En Nombre, introduce el nombre de tu pasarela, como azure‑to‑google‑gateway.
      5. En Región, selecciona la misma región que usaste al crear tu red virtual.
      6. En Tipo de pasarela, selecciona VPN.

      7. En Tipo de VPN, selecciona Basada en rutas.

      8. En la lista SKU, seleccione el SKU de la pasarela que quiera usar.

        Las SKUs que se muestran en el menú desplegable dependen del tipo de VPN que selecciones.

      9. En la lista Generación, selecciona la que quieras usar.

      10. En la lista Red virtual, selecciona la red virtual que has creado anteriormente.

    6. Permanece en esta página para seguir con el siguiente procedimiento.

    Definir las direcciones IP de la pasarela

    1. En la pestaña Básico de la página Crear pasarela de red virtual, sigue estos pasos para crear las direcciones IP externas que utiliza la pasarela de VPN activa-activa:

      1. En Dirección IP pública, selecciona Crear.

        Azure asigna automáticamente la dirección IP externa a tu pasarela VPN activa-activa.

      2. En el cuadro Nombre de la dirección IP pública, escribe un nombre para la instancia de dirección IP externa, como azure‑to‑google‑network‑ip1.

      3. En Habilitar el modo activo-activo, selecciona Habilitado.

      4. Opcional: Si está disponible en tu región, configura la zona de disponibilidad. Por ejemplo, puedes seleccionar Redundancia de zona.

      5. En Segunda dirección IP pública, selecciona Crear nueva.

      6. En el cuadro Nombre de la dirección IP pública, escribe el nombre de la segunda dirección IP externa, como azure‑to‑google‑network‑ip2.

      7. En Configurar BGP, selecciona Habilitado.

      8. En el caso de los números de sistema autónomo (ASN), asigne un valor válido y permitido.

        Este valor de ASN se usa al configurar las sesiones de BGP de los túneles enGoogle Cloud. Registre este valor como AZURE_ASN para hacer referencia a esta pasarela VPN activa-activa.

      9. En Dirección IP de BGP de APIPA de Azure personalizada, introduce la primera dirección IP de BGP de APIPA y registra el valor como AZURE_BGP_IP_0. Los intervalos válidos para las direcciones IP de BGP de APIPA de Azure son 169.254.21.* y 169.254.22.*.

      10. En Segunda dirección IP de BGP de APIPA personalizada de Azure, introduce la segunda dirección IP de BGP de APIPA y registra el valor como AZURE_BGP_IP_1. Usarás estas variables cuando configures las sesiones de BGP en Google Cloud.

    2. Para ejecutar la validación, selecciona Revisar y crear.

    3. Una vez completada la validación, selecciona Crear para implementar la pasarela VPN.

    Ver y registrar las direcciones IP externas de la pasarela de VPN activa-activa

    Necesitas las direcciones IP externas que Azure ha asignado automáticamente a la pasarela VPN activa-activa. Estas direcciones IP se usan para crear el recurso de pasarela VPN de par en Google Cloud.

    1. En la página Resumen de la pasarela activa-activa que acabas de crear, busca las direcciones IP externas de la pasarela.
    2. Anota las direcciones IP que veas en la pantalla:
      • Anota la primera dirección IP externa como AZURE_GW_IP_0.
      • Registra la segunda dirección IP externa como AZURE_GW_IP_1.

    Más adelante, en este documento se hará referencia a estas direcciones IP como AZURE_GW_IP_0 y AZURE_GW_IP_1.

    Crea tus Google Cloud componentes

    En Google Cloud, debe configurar los siguientes componentes:

    • Una red de VPC.
    • Una pasarela de VPN de alta disponibilidad.
    • Un Cloud Router.
    • Una pasarela de VPN de par.
    • Túneles de VPN de alta disponibilidad con sesiones de BGP.

    En los siguientes procedimientos se presupone que ha configurado Google Cloud tal como se describe en Antes de empezar. Si no has completado esos pasos, hazlo ahora.

    Crea una red VPC, una subred, una pasarela de VPN de alta disponibilidad y un Cloud Router en Google Cloud

    En Google Cloud, crea una red de VPC, una pasarela de VPN de alta disponibilidad y un Cloud Router. A continuación, configura las reglas de cortafuegos en Google Cloud.

    1. En Google Cloud Shell, asegúrate de que estás trabajando en el proyecto de Cloud que has creado o seleccionado:

      gcloud config set project YOUR_PROJECT_ID

export PROJECT_ID=`gcloud config list   --format="value(core.project)"`

      Sustituye YOUR_PROJECT_ID por el ID de tu proyecto de Cloud.

    2. Crea una red VPC personalizada con una sola subred:

      gcloud compute networks create NETWORK \
    --subnet-mode SUBNET_MODE \
    --bgp-routing-mode BGP_ROUTING_MODE

      Haz los cambios siguientes:

      • NETWORK: el nombre de la red, como google‑to‑azure‑vpc.
      • SUBNET_MODE: el modo de subred se ha definido como custom.

    3. BGP_ROUTING_MODE: El modo de enrutamiento BGP se ha definido como global.

      El comando debería tener un aspecto similar al siguiente ejemplo:

      gcloud compute networks create google-to-azure-vpc \
    --subnet-mode custom \
    --bgp-routing-mode global

    4. Crea una subred para alojar las VMs de prueba:

      gcloud compute networks subnets create SUBNET_NAME \
    --network NETWORK \
    --region SUBNET_REGION \
    --range SUBNET_IP_ADDRESS_RANGE

      Haz los cambios siguientes:

      El comando debería tener un aspecto similar al siguiente ejemplo:

      gcloud compute networks subnets create subnet-central1  \
    --network google-to-azure-vpc \
    --region us-central1 \
    --range 10.1.1.0/24

    5. Crea la pasarela de VPN de alta disponibilidad:

      gcloud compute vpn-gateways create HA_VPN_GATEWAY_NAME \
    --network NETWORK \
    --region REGION

      Sustituye HA_VPN_GATEWAY_NAME por el nombre de la pasarela de VPN de alta disponibilidad.

      El comando debería tener un aspecto similar al siguiente ejemplo:

      gcloud compute vpn-gateways create ha-vpn-gw-a \
   --network google-to-azure-vpc \
   --region us-central1

      La pasarela que crees debería ser similar al siguiente ejemplo de salida:

      Created [https://www.googleapis.com/compute/v1/projects/YOUR_PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
NAME          INTERFACE0     INTERFACE1     NETWORK     REGION
ha-vpn-gw-a   203.0.113.1   203.0.113.2   google-to-azure-vpc   us-central1

      En el resultado se muestran las direcciones IPv4 externas que se han asignado automáticamente a cada interfaz de la pasarela (INTERFACE0 y INTERFACE1). Necesitará estas direcciones IP cuando configure las pasarelas de red local en Azure:

      • Anota la dirección IP de INTERFACE0 en HA_VPN_INT_0.
      • Anota la dirección IP de INTERFACE1 en HA_VPN_INT_1.

    6. Crea un router de Cloud Router:

      gcloud compute routers create ROUTER_NAME \
    --region REGION \
    --network NETWORK \
    --asn GOOGLE_ASN \

      Haz los cambios siguientes:

      • ROUTER_NAME: el nombre de tu Cloud Router.
      • REGION: región en la que vas a crear la pasarela y los túneles de VPN de alta disponibilidad.
      • GOOGLE_ASN: número de sistema autónomo (ASN) privado del router de Cloud que vas a crear. Puede ser cualquier ASN privado del intervalo 64512-65534 o 4200000000-4294967294 que no estés usando ya como ASN de par en la misma región y red.

      El comando debería tener un aspecto similar al siguiente ejemplo:

      gcloud compute routers create cloud-router \
    --region us-central1 \
    --network google-to-azure-vpc \
    --asn 65534

    Crear una pasarela de VPN de par para la VPN de Azure

    En esta sección, creará un recurso de pasarela VPN externa que proporcione información a Google Cloud sobre su pasarela VPN activa-activa en Azure. Crea una única pasarela VPN de otro proveedor que usa dos interfaces independientes, cada una con su propia dirección IP externa.

    Crea una pasarela de VPN de par externa con dos interfaces:

    gcloud compute external-vpn-gateways create AZURE_GW_NAME \
     --interfaces 0=AZURE_GW_IP_0,1=AZURE_GW_IP_1

    Haz los cambios siguientes:

    • AZURE_GW_NAME: el nombre de tu pasarela de VPN activa-activa de Azure
    • AZURE_GW_IP_0: la dirección IP externa de una interfaz de la pasarela peer
    • AZURE_GW_IP_1: la dirección IP externa de otra interfaz de la pasarela peer

    El recurso de pasarela VPN de par que has creado debería ser similar al siguiente ejemplo, donde AZURE_GW_IP_0 y AZURE_GW_IP_1 muestran las direcciones IP externas reales de las interfaces de la pasarela de par:

    gcloud compute external-vpn-gateways create azure-peer-gw \
     --interfaces 0=203.0.113.1,1=203.0.113.2

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
NAME     INTERFACE0    INTERFACE1
azure-peer-gw  203.0.113.1  203.0.113.2

    Crear túneles de VPN

    Debes crear dos túneles VPN: uno para cada interfaz de la pasarela de VPN de la otra organización. Cuando configures túneles VPN en Azure, usa el protocolo de cifrado IKEv2.

    En los comandos que se usan en esta sección, sustituye lo siguiente:

    • TUNNEL_NAME_IF0 y TUNNEL_NAME_IF1: nombre del túnel. Si se incluye el nombre de la interfaz de la pasarela, será más fácil identificar los túneles más adelante.
    • AZURE_GW_NAME: el nombre de la pasarela de par externa creada anteriormente
    • AZURE_GW_INT_NUM_0 y AZURE_GW_INT_NUM_1: los números de interfaz configurados anteriormente en la pasarela externa del mismo nivel.
    • IKE_VERS: usa 2 para IKEv2.
    • SHARED_SECRET: tu clave precompartida (secreto compartido), que debe corresponderse con la clave precompartida que especifiques al configurar las conexiones VPN en Azure. Para ver recomendaciones, consulta Generar una clave precompartida segura.
    • HA_VPN_GATEWAY_NAME: el nombre de la pasarela de VPN de alta disponibilidad.
    • INT_NUM_0: el número 0 de la primera interfaz de la pasarela de VPN de alta disponibilidad que has creado anteriormente.
    • INT_NUM_1: el número 1 de la segunda interfaz de la pasarela de VPN de alta disponibilidad que has creado anteriormente.

    Sigue estos pasos para crear los túneles VPN:

    1. Crea el túnel VPN para la interfaz 0:

      gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
   --peer-external-gateway=AZURE_GW_NAME \
   --peer-external-gateway-interface=AZURE_GW_INT_NUM_0  \
   --region=REGION \
   --ike-version=IKE_VERS \
   --shared-secret=SHARED_SECRET \
   --router=ROUTER_NAME \
   --vpn-gateway=HA_VPN_GATEWAY_NAME \
   --interface=INT_NUM_0

      El comando debería tener un aspecto similar al siguiente ejemplo:

      gcloud compute vpn-tunnels create azure-tunnel-1 \
   --peer-external-gateway azure-peer-gw \
   --peer-external-gateway-interface 0  \
   --region us-central1  \
   --ike-version 2 \
   --shared-secret xo2aTKHipD/oE1GAXgj3lMwjBmJXZjqD \
   --router cloud-router \
   --vpn-gateway ha-vpn-gw-a \
   --interface 0

    2. Crea el túnel VPN para la interfaz 1:

      gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
  --peer-external-gateway=AZURE_GW_NAME \
  --peer-external-gateway-interface=AZURE_GW_INT_NUM_1 \
  --region=REGION \
  --ike-version=IKE_VERS \
  --shared-secret=SHARED_SECRET \
  --router=ROUTER_NAME \
  --vpn-gateway=HA_VPN_GATEWAY_NAME \
  --interface=INT_NUM_1

      El comando debería tener un aspecto similar al siguiente ejemplo:

      gcloud compute vpn-tunnels create azure-tunnel-2 \
   --peer-external-gateway azure-peer-gw \
   --peer-external-gateway-interface 1  \
   --region us-central1  \
   --ike-version 2 \
   --shared-secret xo2aTKHipD/oE1GAXgj3lMwjBmJXZjqD \
   --router cloud-router \
   --vpn-gateway ha-vpn-gw-a \
   --interface 1

    Crear sesiones de BGP

    Para el enrutamiento dinámico, usa Cloud Router para establecer sesiones de BGP entre Google Cloud y Azure. Te recomendamos que utilices el enrutamiento dinámico en lugar del estático siempre que sea posible, tal como se explica en los artículos Información general de Cloud VPN y Enrutamiento de redes y túneles de Cloud VPN.

    Debe crear una sesión de BGP para cada túnel VPN. Cada sesión de BGP consta de una interfaz de BGP para Cloud Router y un par de BGP. Crea un par BGP para cada uno de los dos túneles VPN que acabas de crear.

    En los comandos que se usan en esta sección, sustituye lo siguiente:

    • ROUTER_NAME: el nombre que has asignado a Cloud Router.
    • ROUTER_INTERFACE_NAME_0 y ROUTER_INTERFACE_NAME_1: el nombre de la interfaz BGP de Cloud Router. Puede ser útil usar nombres relacionados con los nombres de los túneles configurados anteriormente.
    • MASK_LENGTH: especifica 30. Cada sesión BGP del mismo router de Cloud Router debe usar un /30CIDR único del bloque 169.254.0.0/16.
    • GOOGLE_BGP_IP_0 y GOOGLE_BGP_IP_1: las direcciones IP de emparejamiento de BGP de las interfaces de la pasarela de VPN de alta disponibilidad que configures. Cada túnel usa una interfaz de pasarela diferente. Como los intervalos permitidos para las direcciones IP de emparejamiento BGP de APIPA de Azure son 169.254.21.* y 169.254.22.*, debes seleccionar una dirección IP disponible en el CIDR /30 de esos intervalos para las direcciones IP de emparejamiento BGP de Cloud Router.
    • AZURE_BGP_IP_0 y AZURE_BGP_IP_1: las direcciones IP de emparejamiento BGP de APIPA que ya has configurado en la pasarela VPN activa-activa de Azure. Cada túnel usa una dirección diferente.
    • TUNNEL_NAME_IF0 y TUNNEL_NAME_IF1: los túneles asociados a la interfaz de la pasarela de VPN de alta disponibilidad que has configurado.
    • AZURE_ASN: el ASN que has configurado para la pasarela de VPN de par activa-activa en Azure.
    • BGP_PEER_NAME_1 y BGP_PEER_NAME_2 con nombres únicos para cada peer de BGP. Por ejemplo, azure‑bgp‑peer‑1 y azure‑bgp‑peer‑2.

    Para crear sesiones de BGP para los túneles VPN, sigue estos pasos:

    1. En el primer túnel VPN, añade una interfaz BGP al Cloud Router:

      gcloud compute routers add-interface ROUTER_NAME \
   --interface-name=ROUTER_INTERFACE_NAME_0 \
   --mask-length=MASK_LENGTH \
   --vpn-tunnel=TUNNEL_NAME_IF0 \
   --ip-address=GOOGLE_BGP_IP_0 \
   --region=REGION

      El comando debería tener un aspecto similar al siguiente ejemplo:

      gcloud compute routers add-interface cloud-router \
   --interface-name azure-tunnel-1-int-0 \
   --mask-length 30 \
   --vpn-tunnel azure-tunnel-1 \
   --ip-address 169.254.21.2 \
   --region us-central1

    2. En el primer túnel VPN, añade un par de BGP a la interfaz:

      gcloud compute routers add-bgp-peer ROUTER_NAME \
   --peer-name=BGP_PEER_NAME_1 \
   --peer-asn=AZURE_ASN \
   --interface=ROUTER_INTERFACE_NAME_0 \
   --peer-ip-address=AZURE_BGP_IP_0 \
   --region=REGION

      El comando debería tener un aspecto similar al siguiente ejemplo:

      gcloud compute routers add-bgp-peer cloud-router \
   --peer-name azure-bgp-peer-1 \
   --peer-asn 65515 \
   --interface azure-tunnel-1-int-0 \
   --peer-ip-address 169.254.21.1 \
   --region us-central1

    3. En el segundo túnel VPN, añade una interfaz BGP al Cloud Router:

      gcloud compute routers add-interface ROUTER_NAME \
   --interface-name=ROUTER_INTERFACE_NAME_1 \
   --mask-length=MASK_LENGTH \
   --vpn-tunnel=TUNNEL_NAME_IF1 \
   --ip-address=GOOGLE_BGP_IP_1 \
   --region=REGION

      El comando debería tener un aspecto similar al siguiente ejemplo:

      gcloud compute routers add-interface cloud-router \
   --interface-name azure-tunnel-2-int-1 \
   --mask-length 30 \
   --vpn-tunnel azure-tunnel-2 \
   --ip-address 169.254.22.2 \
   --region us-central1

    4. En el segundo túnel VPN, añade un peer de BGP a la interfaz:

      gcloud compute routers add-bgp-peer ROUTER_NAME \
   --peer-name=BGP_PEER_NAME_2 \
   --peer-asn=AZURE_ASN \
   --interface=ROUTER_INTERFACE_NAME_1 \
   --peer-ip-address=AZURE_BGP_IP_1 \
   --region=REGION

      El comando debería tener un aspecto similar al siguiente ejemplo:

      gcloud compute routers add-bgp-peer cloud-router \
  --peer-name azure-bgp-peer-2 \
  --peer-asn 65515 \
  --interface azure-tunnel-2-int-1 \
  --peer-ip-address 169.254.22.1 \
  --region us-central1

    Crear pasarelas de red local y conexiones VPN en Azure

    Una vez que hayas creado y configurado los componentes de Google Cloud , vuelve a tu entorno de Azure para terminar de conectarte a Azure. Google Cloud Para completar esta conexión, debes crear los siguientes componentes en Azure:

    • Dos pasarelas de red local que representan tu VPN de Google Cloud en Azure.
    • Dos conexiones VPN que corresponden a los dos túneles de VPN de alta disponibilidad que has configurado en Google Cloud.

    Crea dos pasarelas de red local

    Una pasarela de red local es un objeto específico que representa tu VPN de Google Cloud en Azure. Cuando creas una puerta de enlace de red local, debes especificar la siguiente información:

    • Nombre de la pasarela de la red local.
    • Dirección IP de la interfaz de VPN de alta disponibilidad que se va a usar en la conexión.
    • La dirección IP del router de Google Cloud al que quieres crear una conexión.
    • Los prefijos de dirección IP que se enrutan a través de la pasarela de VPN a Cloud Router. Los prefijos de dirección que especifiques son los que se encuentran en tu Cloud VPN. Si tu red privada virtual de Cloud cambia o necesitas cambiar la dirección IP externa de Cloud Router, puedes actualizar los valores más adelante.

    Debes crear dos pasarelas de red local: una que se conecte a la primera interfaz de túnel de VPN de alta disponibilidad en Google Cloud y otra que se conecte a la segunda interfaz de túnel de VPN de alta disponibilidad.

    Para obtener más información, consulta la sección Crear una pasarela de red local del tutorial Crear una conexión VPN de sitio a sitio en Azure Portal de la documentación de Azure.

    Para crear la primera puerta de enlace de red local, sigue estos pasos:

    1. Inicia sesión en Azure Portal.
    2. En Buscar recursos, servicios y documentos (G+/), escribe puerta de enlace de red local.
    3. En los resultados de búsqueda de Marketplace, busca y selecciona local network gateway (puerta de enlace de red local).
    4. Haz clic en Crear.

    5. En la pestaña Básicos de la página Crear una puerta de enlace de red local, especifique los siguientes valores para la puerta de enlace de red local:

      1. En la lista Suscripción, comprueba que se muestre la suscripción correcta.
      2. En la lista Grupo de recursos, selecciona el mismo grupo de recursos que creaste para la red virtual anteriormente en este documento.
      3. En Región, selecciona la misma ubicación en la que se encuentra tu red virtual.
      4. En Name (Nombre), introduce un nombre para la pasarela de red local, como azure-to-google-locgateway1.
      5. En Endpoint (Endpoint), selecciona IP address (Dirección IP).
      6. En el cuadro Dirección IP, introduce la dirección IP de INTERFACE0 de tu VPN de alta disponibilidad (es decir, HA_VPN_INT_0).

      7. En Espacio de direcciones,introduce los intervalos de direcciones de la red que representa esta red local.

        Puede añadir varios intervalos de espacio de direcciones. Asegúrate de que los intervalos que especifiques aquí no se solapen con los intervalos de otras redes a las que quieras conectarte.

    6. En la pestaña Avanzado, configura los ajustes de BGP de la siguiente manera:

      1. En Configurar ajustes de BGP, seleccione .
      2. En Número de sistema autónomo (ASN), introduce el ASN de tu Cloud Router (es decir, GOOGLE_ASN).
      3. En Dirección IP de par BGP, introduzca la dirección IP de BGP del Cloud Router del túnel 1 (es decir, GOOGLE_BGP_IP_0).

    7. Para validar la configuración de la puerta de enlace de red local, haz clic en Revisar y crear en la parte inferior de la página.

    8. Una vez que se haya completado la validación, haz clic en Crear para crear la puerta de enlace de red local.

    Para crear la segunda puerta de enlace de red local, sigue estos pasos:

    1. En Azure Portal, en Buscar recursos, servicios y documentos (G+/), escribe local network gateway.
    2. En Marketplace (Mercado), en los resultados de búsqueda, busca y selecciona local network gateway (puerta de enlace de red local).

    3. En la pestaña Básicos de la página Crear una puerta de enlace de red local, especifique los siguientes valores para la puerta de enlace de red local:

      1. En la lista Suscripción, comprueba que se muestre la suscripción correcta.
      2. En la lista Grupo de recursos, selecciona el mismo grupo de recursos que creaste para la red virtual anteriormente en este documento.
      3. En Región, selecciona la misma región que la de tu red virtual.
      4. En Name (Nombre), introduce un nombre para la pasarela de red local, como azure-to-google-locgateway2.
      5. En Endpoint (Endpoint), selecciona IP address (Dirección IP).
      6. En el cuadro Dirección IP, introduce la dirección IP de INTERFACE1 de tu VPN de alta disponibilidad (es decir, HA_VPN_INT_1).
      7. En Espacio de direcciones,introduce los intervalos de direcciones de la red que representa esta red local.

      Puede añadir varios intervalos de espacio de direcciones. Asegúrate de que los intervalos que especifiques aquí no se solapen con los intervalos de otras redes a las que quieras conectarte.

    4. En la pestaña Avanzado, configura los ajustes de BGP de la siguiente manera:

      1. En Configurar ajustes de BGP, seleccione .
      2. En Número de sistema autónomo (ASN), introduce el ASN de tu Cloud Router (es decir, GOOGLE_ASN).
      3. En Dirección IP de par BGP, introduzca la dirección IP de BGP del Cloud Router del túnel 1 (es decir, GOOGLE_BGP_IP_1).

    5. Para validar la configuración de la puerta de enlace de red local, haz clic en Revisar y crear en la parte inferior de la página.

    6. Una vez que se haya completado la validación, haz clic en Crear para crear la puerta de enlace de red local.

    Crear dos conexiones VPN

    Para crear las conexiones VPN en Azure, necesitas las claves precompartidas o SHARED_SECRET que configuraste al crear los túneles de VPN de alta disponibilidad en Google Cloud.

    1. En Azure Portal, busca la pasarela VPN activa-activa que has creado en Crear una pasarela VPN activa-activa.
    2. Selecciona Conexiones.
    3. En la parte superior de la página Conexiones, selecciona + Añadir.
    4. En la página Añadir conexión, especifica los siguientes valores para tu primera conexión:
      1. En Name (Nombre), introduce el nombre de la conexión, como azure-vnet-to-google1.
      2. En Tipo de conexión, selecciona De sitio a sitio (IPsec).
      3. En Pasarela de red local, especifica la primera pasarela de red local que hayas creado, como azure-to-google-locgateway1.
      4. En Clave compartida (PSK), especifica la clave compartida que has configurado para el primer túnel de VPN de alta disponibilidad.
      5. Selecciona Habilitar BGP.
      6. En Protocolo IKE, selecciona IKEv2.
      7. Haz clic en Aceptar.
      8. En la página Conexiones, selecciona +Añadir para añadir una segunda conexión con los siguientes valores:
      9. En Name (Nombre), introduce el nombre de la conexión, como azure-vnet-to-google2.
      10. En Tipo de conexión, selecciona De sitio a sitio (IPsec).
      11. En Pasarela de red local, especifica la segunda pasarela de red local que has creado, como azure-to-google-locgateway2.
      12. En Clave compartida (PSK), especifica la clave compartida que has configurado para el segundo túnel de VPN de alta disponibilidad.
      13. Selecciona Habilitar BGP.
      14. En Protocolo IKE, selecciona IKEv2.
      15. Haz clic en Aceptar.
    5. En la página Conexiones, comprueba que el estado de ambas conexiones sea Conectado.

    Verificar la configuración

    En Google Cloud, puedes verificar tu configuración de VPN de alta disponibilidad. Para ello, primero examina (lista) tu configuración de Cloud Router y, después, comprueba el estado de los túneles de VPN de alta disponibilidad.

    1. En Cloud Shell, enumera las direcciones IP de emparejamiento de BGP elegidas por Cloud Router:

      gcloud compute routers get-status ROUTER_NAME \
   --region=REGION \
   --format='flattened(result.bgpPeerStatus[].name,
     result.bgpPeerStatus[].ipAddress, result.bgpPeerStatus[].peerIpAddress)'

      El comando debería tener un aspecto similar al siguiente ejemplo:

      gcloud compute routers get-status cloud-router \
    --region us-central1 \
--format='flattened(result.bgpPeerStatus[].name,result.bgpPeerStatus[].ipAddress,result.bgpPeerStatus[].peerIpAddress)'

      La salida esperada de un Cloud Router que gestiona dos túneles de VPN de alta disponibilidad (índice 0 e índice 1) debería ser similar a la del ejemplo siguiente:

      result.bgpPeerStatus[0].ipAddress:     169.254.21.2
result.bgpPeerStatus[0].name:          azure-bgp-peer-1
result.bgpPeerStatus[0].peerIpAddress: 169.254.21.1
result.bgpPeerStatus[1].ipAddress:     169.254.22.2
result.bgpPeerStatus[1].name:          azure-bgp-peer-2
result.bgpPeerStatus[1].peerIpAddress: 169.254.22.1

    2. En Cloud Shell, consulta el estado del primer túnel de VPN de alta disponibilidad:

      gcloud compute vpn-tunnels describe TUNNEL_NAME_IF0 \
   --region=REGION

      Haz los cambios siguientes:

      • TUNNEL_NAME_IF0: el túnel asociado a la primera interfaz de pasarela de VPN de alta disponibilidad que has configurado.
      • REGION: región en la que has implementado la pasarela VPN de alta disponibilidad.

      El comando debería tener un aspecto similar al siguiente ejemplo:

      gcloud compute vpn-tunnels describe azure-tunnel-1 -–region=us-central1

      La salida esperada del túnel debería ser similar al siguiente ejemplo:

      creationTimestamp: '2022-09-28T17:13:21.592-07:00'
description: ''
detailedStatus: Tunnel is up and running.
id: '278561789474069966'
ikeVersion: 2
kind: compute#vpnTunnel
localTrafficSelector:
-   0.0.0.0/0
name: azure-tunnel-1
peerExternalGateway: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/global/externalVpnGateways/azure-peer-gw
peerExternalGatewayInterface: 0
peerIp: 203.0.113.1
region: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1
remoteTrafficSelector:
-   0.0.0.0/0
router: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1/routers/cloud-router
selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1/vpnTunnels/azure-tunnel-1
sharedSecret: '*************'
sharedSecretHash: ALDZGgSMUxj8KFahMoG_L0Fz9paz
status: ESTABLISHED
vpnGateway: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1/vpnGateways/ha-vpn-gw-a
vpnGatewayInterface: 0

    3. En Cloud Shell, consulta el estado del segundo túnel de VPN de alta disponibilidad:

      gcloud compute vpn-tunnels describe TUNNEL_NAME_IF1 \
   --region=REGION

      Haz los cambios siguientes:

      • TUNNEL_NAME_IF1: el túnel asociado a la segunda interfaz de pasarela de VPN de alta disponibilidad que has configurado.
      • REGION: región en la que has implementado la pasarela VPN de alta disponibilidad.

      El comando debería tener un aspecto similar al siguiente ejemplo:

      gcloud compute vpn-tunnels describe azure-tunnel-2 --region=us-central1

      La salida esperada del túnel debería ser similar al siguiente ejemplo:

      creationTimestamp: '2022-09-28T17:13:21.592-07:00'
description: ''
detailedStatus: Tunnel is up and running.
id: '5665972275117479944'
ikeVersion: 2
kind: compute#vpnTunnel
localTrafficSelector:
-   0.0.0.0/0
name: azure-tunnel-2
peerExternalGateway: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/global/externalVpnGateways/azure-peer-gw
peerExternalGatewayInterface: 1
peerIp: 203.0.113.2
region: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1
remoteTrafficSelector:
-   0.0.0.0/0
router: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1/routers/cloud-router
selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1/vpnTunnels/azure-tunnel-2
sharedSecret: '*************'
sharedSecretHash: ALDZGgSMUxj8KFahMoG_L0Fz9ddd

    Probar la conectividad

    Para probar las conexiones de VPN de alta disponibilidad, primero debes crear máquinas virtuales en cada extremo del túnel.

    A continuación, debes asegurarte de que has definido reglas de cortafuegos en Google Cloud que permitan el tráfico ICMP entrante de las subredes de la red de Azure. Una vez que hayas configurado las máquinas virtuales y las reglas de cortafuegos, puedes probar la conectividad con ping y el ancho de banda con iperf.

    1. Crea máquinas virtuales de prueba en cada extremo de los túneles para probar las solicitudes de ping.

      También debes configurar el cortafuegos de red de Azure para permitir el tráfico entrante de los prefijos de subred que se usan en tu nube privada virtual.

    2. En Google Cloud, configura una regla de cortafuegos que permita el tráfico ICMP entrante de tu VPN de Azure:

      gcloud compute firewall-rules create RULE_NAME \
    --network NETWORK \
    --direction ingress \
    --action allow \
    --source-ranges AZURE_VNET_RANGE \
    --rules icmp \

      Sustituye AZURE_VNET_RANGE por el intervalo de direcciones IP asignado a tu red virtual de Azure.

      El comando debería tener un aspecto similar al siguiente ejemplo:

      gcloud compute firewall-rules create allow-azure-icmp \
  --network google-to-azure-vpc \
  --direction ingress \
  --action allow \
  --source-ranges 10.0.0.0/16 \
  --rules icmp

    3. Prueba la conexión con el comando ping.

    4. Mide el ancho de banda entre tus máquinas de prueba con iperf.

    Limpieza

    Elimina los recursos de Google Cloud y Azure que hayas creado durante este tutorial.

    Eliminar el Google Cloud proyecto

    Para evitar que se apliquen cargos en tu Google Cloud cuenta por los recursos utilizados en este tutorial, puedes eliminar tu proyecto:

    1. In the Google Cloud console, go to the Manage resources page.

      Go to Manage resources

    2. In the project list, select the project that you want to delete, and then click Delete.
    3. In the dialog, type the project ID, and then click Shut down to delete the project.

    Eliminar un grupo de recursos de Azure

    Elimina el grupo de recursos de Azure Manager que creaste al crear la red virtual. En este tutorial, el nombre del grupo de recursos de ejemplo es azure-to-google-resgroup.

    Para obtener más información, consulta el artículo Eliminación de recursos y grupos de recursos de Azure Resource Manager.

    Siguientes pasos