Connettere una rete locale ad Azure tramite ExpressRoute con failover VPNConnect an on-premises network to Azure using ExpressRoute with VPN failover

Questa architettura di riferimento illustra come connettere una rete locale a una rete virtuale di Azure (VNet) usando ExpressRoute, tramite una rete privata virtuale da sito a sito (VPN), che funge da connessione di failover.This reference architecture shows how to connect an on-premises network to an Azure virtual network (VNet) using ExpressRoute, with a site-to-site virtual private network (VPN) as a failover connection. Flussi di traffico tra la rete locale e la rete virtuale di Azure tramite una connessione ExpressRoute.Traffic flows between the on-premises network and the Azure VNet through an ExpressRoute connection. Se si verifica una perdita di connettività del circuito ExpressRoute, il traffico viene indirizzato attraverso un tunnel per VPN IPSec.If there is a loss of connectivity in the ExpressRoute circuit, traffic is routed through an IPSec VPN tunnel. Distribuire questa soluzione.Deploy this solution.

Si noti che se il circuito ExpressRoute non è disponibile, la route VPN gestisce solo le connessioni di peering private.Note that if the ExpressRoute circuit is unavailable, the VPN route will only handle private peering connections. Le connessioni di peering pubblico e peering Microsoft passano attraverso Internet.Public peering and Microsoft peering connections will pass over the Internet.

Architettura di riferimento di un'architettura di rete ibrida a disponibilità elevata con ExpressRoute e gateway VPN

Scaricare un file di Visio di questa architettura.Download a Visio file of this architecture.

ArchitectureArchitecture

L'architettura è costituita dai componenti seguenti.The architecture consists of the following components.

  • Rete locale.On-premises network. Una rete LAN privata in esecuzione all'interno di un'organizzazione.A private local-area network running within an organization.

  • Appliance VPN.VPN appliance. Un dispositivo o un servizio che offre connettività esterna alla rete locale.A device or service that provides external connectivity to the on-premises network. L'appliance VPN può essere un dispositivo hardware o una soluzione software, ad esempio il servizio Routing e Accesso remoto (RRAS) in Windows Server 2012.The VPN appliance may be a hardware device, or it can be a software solution such as the Routing and Remote Access Service (RRAS) in Windows Server 2012. Per una lista delle appliance VPN supportate e per informazioni sulla configurazione di appliance VPN selezionate per connettersi ad Azure, vedere Informazioni sui dispositivi VPN e sui parametri IPsec/IKE per connessioni del Gateway VPN da sito a sito.For a list of supported VPN appliances and information on configuring selected VPN appliances for connecting to Azure, see About VPN devices for Site-to-Site VPN Gateway connections.

  • Circuito ExpressRoute.ExpressRoute circuit. Un circuito di livello 2 o di livello 3 fornito dal provider di connettività che unisce la rete locale ad Azure attraverso i router perimetrali.A layer 2 or layer 3 circuit supplied by the connectivity provider that joins the on-premises network with Azure through the edge routers. Il circuito usa l'infrastruttura hardware gestita dal provider di connettività.The circuit uses the hardware infrastructure managed by the connectivity provider.

  • Gateway di rete virtuale per ExpressRoute:ExpressRoute virtual network gateway. il gateway di rete virtuale per ExpressRoute consente di connettere la rete virtuale al circuito ExpressRoute, usato per la connettività, con la rete locale.The ExpressRoute virtual network gateway enables the VNet to connect to the ExpressRoute circuit used for connectivity with your on-premises network.

  • Gateway di rete virtuale VPN:VPN virtual network gateway. il gateway di rete virtuale VPN consente di connettere la rete virtuale all'appliance VPN nella rete locale.The VPN virtual network gateway enables the VNet to connect to the VPN appliance in the on-premises network. Il gateway di rete virtuale VPN è configurato per accettare le richieste provenienti dalla rete locale solo tramite l'appliance VPN.The VPN virtual network gateway is configured to accept requests from the on-premises network only through the VPN appliance. Per maggiori informazioni, consultare Connettere una rete locale a una rete virtuale di Microsoft Azure.For more information, see Connect an on-premises network to a Microsoft Azure virtual network.

  • Connessione VPN.VPN connection. La connessione ha proprietà che specificano il tipo di connessione (IPSec) e la chiave condivisa con l'appliance VPN locale per crittografare il traffico.The connection has properties that specify the connection type (IPSec) and the key shared with the on-premises VPN appliance to encrypt traffic.

  • Rete virtuale di Azure (VNet).Azure Virtual Network (VNet). Ogni rete virtuale si trova in una singola area di Azure e può contenere più livelli applicazione.Each VNet resides in a single Azure region, and can host multiple application tiers. I livelli applicazione possono essere segmentati usando subnet in ogni rete virtuale.Application tiers can be segmented using subnets in each VNet.

  • Subnet del gateway.Gateway subnet. i gateway di rete virtuale vengono mantenuti nella stessa subnet.The virtual network gateways are held in the same subnet.

  • Applicazione cloud.Cloud application. Applicazione contenuta in Azure.The application hosted in Azure. Può includere più livelli, con più subnet connesse tramite i servizi di bilanciamento del carico di Azure.It might include multiple tiers, with multiple subnets connected through Azure load balancers. Per altre informazioni sull'infrastruttura dell'applicazione, vedere Esecuzione di carichi di lavoro della macchina virtuale Windows ed Esecuzione di carichi di lavoro della macchina virtuale di Linux.For more information about the application infrastructure, see Running Windows VM workloads and Running Linux VM workloads.

ConsigliRecommendations

Le raccomandazioni seguenti sono valide per la maggior parte degli scenari.The following recommendations apply for most scenarios. Seguire queste indicazioni, a meno che non si disponga di un requisito specifico che le escluda.Follow these recommendations unless you have a specific requirement that overrides them.

Rete virtuali e GatewaySubnetVNet and GatewaySubnet

Creare la connessione del gateway di rete virtuale ExpressRoute e la connessione del gateway di rete virtuale VPN nella stessa VNet con un oggetto gateway già esistente.Create the ExpressRoute virtual network gateway connection and the VPN virtual network gateway connection in the same VNet with a Gateway object already in place. Entrambi condividono la stessa subnet denominata GatewaySubnet.They will both share the same subnet named GatewaySubnet.

Se la rete virtuale include già una subnet denominata GatewaySubnet, verificare che abbia uno spazio di indirizzi /27 o maggiore.If the VNet already includes a subnet named GatewaySubnet, ensure that it has a /27 or larger address space. Se la subnet esistente è troppo piccola, usare il comando PowerShell seguente per rimuoverla:If the existing subnet is too small, use the following PowerShell command to remove the subnet:

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Remove-AzVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet

Se il VNet non contiene una subnet denominata GatewaySubnet, crearne una nuova usando il comando PowerShell seguente:If the VNet does not contain a subnet named GatewaySubnet, create a new one using the following PowerShell command:

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.224/27"
$vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet

VPN e gateway ExpressRouteVPN and ExpressRoute gateways

Verificare che l'organizzazione sia in linea con i Prerequisiti di ExpressRoute per connettersi ad Azure.Verify that your organization meets the ExpressRoute prerequisite requirements for connecting to Azure.

Se si dispone già di un gateway di rete virtuale VPN nella VNet di Azure, usare il comando di PowerShell seguente per rimuoverlo:If you already have a VPN virtual network gateway in your Azure VNet, use the following PowerShell command to remove it:

Remove-AzVirtualNetworkGateway -Name <your-gateway-name> -ResourceGroupName <your-resource-group>

Seguire le istruzioni in Implementing a hybrid network architecture with Azure ExpressRoute (Implementazione di un'architettura di rete ibrida con Azure ExpressRoute) per stabilire la connessione ExpressRoute.Follow the instructions in Implementing a hybrid network architecture with Azure ExpressRoute to establish your ExpressRoute connection.

Seguire le istruzioni in Implementing a hybrid network architecture with Azure and On-premises VPN (Implementazione di un'architettura di rete ibrida con Azure e con la rete VPN locale) per stabilire la connessione del gateway di rete virtuale VPN.Follow the instructions in Implementing a hybrid network architecture with Azure and On-premises VPN to establish your VPN virtual network gateway connection.

Dopo avere stabilito le connessioni del gateway di rete virtuale, verificare l'ambiente come segue:After you have established the virtual network gateway connections, test the environment as follows:

  1. Verificare che sia possibile connettersi dalla rete locale a quella virtuale di Azure.Make sure you can connect from your on-premises network to your Azure VNet.
  2. Contattare il provider per arrestare la connettività a ExpressRoute per la verifica.Contact your provider to stop ExpressRoute connectivity for testing.
  3. Verificare che sia ancora possibile connettersi dalla rete locale alla rete virtuale di Azure tramite la connessione del gateway di rete virtuale VPN.Verify that you can still connect from your on-premises network to your Azure VNet using the VPN virtual network gateway connection.
  4. Contattare il provider per ristabilire la connettività a ExpressRoute.Contact your provider to reestablish ExpressRoute connectivity.

Considerazioni su DevOpsDevOps considerations

Per considerazioni su ExpressRoute DevOps, vedere l'articolo relativo all' implementazione di un'architettura di rete ibrida con le linee guida di Azure ExpressRoute.For ExpressRoute DevOps considerations, see the Implementing a Hybrid Network Architecture with Azure ExpressRoute guidance.

Per considerazioni sulla DevOps VPN da sito a sito, vedere l'articolo relativo all' implementazione di un'architettura di rete ibrida con Azure e linee guida per VPN locale .For site-to-site VPN DevOps considerations, see the Implementing a Hybrid Network Architecture with Azure and On-premises VPN guidance.

Considerazioni relative alla sicurezzaSecurity considerations

Per considerazioni sulla sicurezza generale di Azure, vedere Servizi cloud Microsoft e sicurezza di rete.For general Azure security considerations, see Microsoft cloud services and network security.

Considerazioni sul costoCost considerations

Per le considerazioni sui costi di ExpressRoute, vedere questi articoli:For ExpressRoute cost considerations, see these articles:

Distribuire la soluzioneDeploy the solution

Prerequisiti.Prerequisites. È necessario disporre di un'infrastruttura locale esistente già configurata con un'appliance di rete adatta.You must have an existing on-premises infrastructure already configured with a suitable network appliance.

Per distribuire la soluzione, seguire questa procedura.To deploy the solution, perform the following steps.

  1. Fare clic sul collegamento seguente.Click the link below.

    Distribuzione in AzureDeploy to Azure

  2. Attendere che il collegamento si apra nel portale di Azure e quindi eseguire questi passaggi:Wait for the link to open in the Azure portal, then follow these steps:

    • Poiché il nome del gruppo di risorse è già definito nel file dei parametri, selezionare Crea nuovo e immettere ra-hybrid-vpn-er-rg nella casella di testo.The Resource group name is already defined in the parameter file, so select Create New and enter ra-hybrid-vpn-er-rg in the text box.
    • Selezionare l'area dalla casella di riepilogo a discesa Località.Select the region from the Location drop down box.
    • Non modificare le caselle di testo Template Root Uri (URI radice modello) né Parameter Root Uri (URI radice parametro).Do not edit the Template Root Uri or the Parameter Root Uri text boxes.
    • Leggere i termini e le condizioni, quindi fare clic sulla casella di controllo Accetto le condizioni riportate sopra.Review the terms and conditions, then click the I agree to the terms and conditions stated above checkbox.
    • Fare clic sul pulsante Acquista.Click the Purchase button.
  3. Attendere il completamento della distribuzione.Wait for the deployment to complete.

  4. Fare clic sul collegamento seguente.Click the link below.

    Distribuzione in AzureDeploy to Azure

  5. Attendere che il collegamento si apra nel Portale di Azure, successivamente premere Invio ed eseguire i passaggi seguenti:Wait for the link to open in the Azure portal, then enter then follow these steps:

    • Selezionare Usa esistente nella sezione Gruppo di risorse e immettere ra-hybrid-vpn-er-rg nella casella di testo.Select Use existing in the Resource group section and enter ra-hybrid-vpn-er-rg in the text box.
    • Selezionare l'area dalla casella di riepilogo a discesa Località.Select the region from the Location drop down box.
    • Non modificare le caselle di testo Template Root Uri (URI radice modello) né Parameter Root Uri (URI radice parametro).Do not edit the Template Root Uri or the Parameter Root Uri text boxes.
    • Leggere i termini e le condizioni, quindi fare clic sulla casella di controllo Accetto le condizioni riportate sopra.Review the terms and conditions, then click the I agree to the terms and conditions stated above checkbox.
    • Fare clic sul pulsante Acquista.Click the Purchase button.