Creare un peering di rete virtuale - Resource Manager, sottoscrizioni diverse e tenant di Microsoft Entra

  • Articolo

In questa esercitazione si apprenderà a creare un peering di rete virtuale tra reti virtuali distribuite tramite Resource Manager. Le reti virtuali esistono in sottoscrizioni diverse che possono appartenere a tenant Microsoft Entra diversi. Il peering di due reti virtuali consente alle risorse che si trovano in reti virtuali diverse di comunicare tra loro con la stessa larghezza di banda e la stessa latenza come se fossero nella stessa rete virtuale. Altre informazioni sul Peering di rete virtuale.

A seconda che le reti virtuali si trovino nella stessa sottoscrizione o in sottoscrizioni diverse, i passaggi per creare un peering di rete virtuale sono diversi. I passaggi per eseguire il peering delle reti create con il modello di distribuzione classica sono diversi. Per altre informazioni sui modelli di distribuzione, vedere Modello di distribuzione di Azure.

Per informazioni su come creare un peering di rete virtuale in altri scenari, selezionare lo scenario nella tabella seguente:

Modello di distribuzione di Azure Abbonamento di Azure
Entrambi con Resource Manager Uguali
Uno con Resource Manager, uno con una distribuzione classica Uguali
Uno con Resource Manager, uno con una distribuzione classica Diversa

Non è possibile creare un peering di rete virtuale tra due reti virtuali distribuite tramite il modello di distribuzione classica. Se è necessario connettere due reti virtuali, entrambe create tramite il modello di distribuzione classica, è possibile usare un gateway VPN di Azure.

Questa esercitazione consente di eseguire il peering di due reti virtuali nella stessa area. È anche possibile eseguire il peering di reti virtuali in diverse aree supportate. È consigliabile acquisire familiarità con i requisiti e i vincoli del peering prima di eseguire il peering di reti virtuali.

Prerequisiti

  • Un account Azure con due sottoscrizioni attive. Creare un account gratuitamente.

  • Un account Azure con autorizzazioni in entrambe le sottoscrizioni o un account in ogni sottoscrizione con le autorizzazioni appropriate per creare un peering di rete virtuale. Per un elenco di autorizzazioni, vedere Autorizzazioni di peering di reti virtuali.

    • Per separare il dovere di gestire la rete appartenente a ogni tenant, aggiungere l'utente da ogni tenant come guest nel tenant opposto e assegnargli il ruolo Collaboratore rete alla rete virtuale. Questa procedura si applica se le reti virtuali si trovano in sottoscrizioni diverse e tenant di Active Directory.

    • Per stabilire un peering di rete quando non si intende separare il dovere di gestire la rete appartenente a ogni tenant, aggiungere l'utente dal tenant A come guest nel tenant opposto. Assegnare quindi il ruolo Collaboratore rete per avviare e connettere il peering di rete da ogni sottoscrizione. Con queste autorizzazioni, l'utente è in grado di stabilire il peering di rete da ogni sottoscrizione.

    • Per altre informazioni sugli utenti guest, vedere Aggiungere utenti di Collaborazione B2B di Microsoft Entra B2B nel portale di Azure.

    • Ciascun utente deve accettare l'invito per l'utente guest dal tenant di Microsoft Entra opposto.

  • Accedere al portale di Azure.

Nei passaggi seguenti viene illustrato come eseguire il peering di reti virtuali in sottoscrizioni diverse e tenant di Microsoft Entra.

È possibile usare lo stesso account con autorizzazioni in entrambe le sottoscrizioni oppure è possibile usare account separati per ogni sottoscrizione per configurare il peering. Un account con autorizzazioni in entrambe le sottoscrizioni può completare tutti i passaggi senza disconnessione e accesso al portale e assegnazione delle autorizzazioni.

Nei passaggi descritti in questo articolo vengono usati gli esempi di risorse e account seguenti:

Account utente Resource group Subscription Rete virtuale
user-1 test-rg subscription-1 vnet-1
user-2 test-rg-2 subscription-2 vnet-2

Creare una rete virtuale - vnet-1

Nota

Se si usa un singolo account per completare i passaggi, è possibile ignorare i passaggi per la disconnessione dal portale e assegnare altre autorizzazioni utente alle reti virtuali.

La procedura seguente crea una rete virtuale con una subnet di risorse.

  1. Nel portale cercare e selezionare Reti virtuali.

  2. Nella pagina Reti virtuali selezionare + Crea.

  3. Nella scheda Informazioni di base di Crea rete virtuale immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la propria sottoscrizione.
    Resource group Selezionare Crea nuovo.
    Immettere test-rg in Nome.
    Selezionare OK.
    Dettagli istanza
    Nome Immettere vnet-1.
    Area Selezionare Stati Uniti orientali 2.

    Screenshot of Basics tab of Create virtual network in the Azure portal.

  4. Selezionare Avanti per passare alla scheda Sicurezza .

  5. Selezionare Avanti per passare alla scheda Indirizzi IP.

  6. Nella casella Spazio indirizzi in Subnet selezionare la subnet predefinita.

  7. In Modifica subnet immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Dettagli subnet
    Modello di subnet Lasciare il valore predefinito Predefinito.
    Nome Immettere subnet-1.
    Indirizzo iniziale Lasciare il valore predefinito 10.0.0.0.
    Dimensioni della subnet Lasciare il valore predefinito /24(256 indirizzi).

    Screenshot of default subnet rename and configuration.

  8. Seleziona Salva.

  9. Selezionare Rivedi e crea nella parte inferiore della schermata e, al termine della convalida, selezionare Crea.

Assegnare le autorizzazioni per user-2

Un account utente nell'altra sottoscrizione con cui si vuole eseguire il peering deve essere aggiunto alla rete creata in precedenza. Se si usa un singolo account per entrambe le sottoscrizioni, è possibile ignorare questa sezione.

  1. Rimanere connessi al portale come utente-1.

  2. Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali nei risultati della ricerca.

  3. Selezionare vnet-1.

  4. Seleziona Controllo di accesso (IAM).

  5. Selezionare + Aggiungi ->Aggiungi assegnazione di ruolo.

  6. In Aggiungi assegnazione di ruolo nella scheda Ruolo selezionare Collaboratore rete.

  7. Selezionare Avanti.

  8. Nella scheda Membri selezionare + Seleziona membri.

  9. Nella casella di ricerca selezionare i membri immettere user-2.

  10. Selezionare Seleziona.

  11. Seleziona Rivedi + assegna.

  12. Seleziona Rivedi + assegna.

Ottenere l'ID risorsa di vnet-1

  1. Rimanere connessi al portale come utente-1.

  2. Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali nei risultati della ricerca.

  3. Selezionare vnet-1.

  4. In Impostazioni selezionare Proprietà.

  5. Copiare le informazioni nel campo ID risorsa e salvarle per i passaggi successivi. L'ID della risorsa è simile all'esempio seguente: /subscriptions/<Subscription Id>/resourceGroups/test-rg/providers/Microsoft.Network/virtualNetworks/vnet-1.

  6. Disconnettersi dal portale come utente-1.

Creare una rete virtuale - vnet-2

In questa sezione si accede come utente-2 e si crea una rete virtuale per la connessione di peering a vnet-1.

Ripetere i passaggi nella sezione precedente per creare una seconda rete virtuale con i valori seguenti:

Impostazione Valore
Subscription subscription-2
Gruppo di risorse test-rg-2
Nome vnet-2
Spazio indirizzi 10.1.0.0/16
Nome subnet subnet-1
Intervallo di indirizzi subnet 10.1.0.0/24

Assegnare le autorizzazioni per user-1

Un account utente nell'altra sottoscrizione con cui si vuole eseguire il peering deve essere aggiunto alla rete creata in precedenza. Se si usa un singolo account per entrambe le sottoscrizioni, è possibile ignorare questa sezione.

  1. Rimanere connessi al portale come utente-2.

  2. Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali nei risultati della ricerca.

  3. Selezionare vnet-2.

  4. Seleziona Controllo di accesso (IAM).

  5. Selezionare + Aggiungi ->Aggiungi assegnazione di ruolo.

  6. In Aggiungi assegnazione di ruolo nella scheda Ruolo selezionare Collaboratore rete.

  7. Selezionare Avanti.

  8. Nella scheda Membri selezionare + Seleziona membri.

  9. Nella casella di ricerca selezionare i membri immettere user-1.

  10. Selezionare Seleziona.

  11. Seleziona Rivedi + assegna.

  12. Seleziona Rivedi + assegna.

Ottenere l'ID risorsa di vnet-2

L'ID risorsa vnet-2è necessario per configurare la connessione di peering da vnet-1 a vnet-2. Usare la procedura seguente per ottenere l'ID risorsa di vnet-2.

  1. Rimanere connessi al portale come utente-2.

  2. Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali nei risultati della ricerca.

  3. Selezionare vnet-2.

  4. In Impostazioni selezionare Proprietà.

  5. Copiare le informazioni nel campo ID risorsa e salvarle per i passaggi successivi. L'ID della risorsa è simile all'esempio seguente: /subscriptions/<Subscription Id>/resourceGroups/test-rg-2/providers/Microsoft.Network/virtualNetworks/vnet-2.

  6. Disconnettersi dal portale come utente-2.

Creare una connessione di peering - da vnet-1 a vnet-2

Per configurare la connessione di peering, è necessario l'ID risorsa per vnet-2 dei passaggi precedenti.

  1. Accedere al portale di Azure come utente-1. Se si usa un account per entrambe le sottoscrizioni, passare a subscription-1 nel portale.

  2. Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali nei risultati della ricerca.

  3. Selezionare vnet-1.

  4. Selezionare Peering.

  5. Selezionare + Aggiungi.

  6. Immettere o selezionare le informazioni seguenti in Aggiungi peering:

    Impostazione Valore
    Questa rete virtuale
    Nome del collegamento di peering Immettere vnet-1-to-vnet-2.
    Consentire a 'vnet-1' di accedere a 'vnet-2' Lasciare l'impostazione predefinita selezionata.
    Consentire a 'vnet-1' di ricevere traffico inoltrato da 'vnet-2' Selezionare la casella di controllo.
    Consentire al gateway in 'vnet-1' di inoltrare il traffico a 'vnet-2' Lasciare l'impostazione predefinita deselezionata.
    Abilitare 'vnet-1' per l'uso del gateway remoto 'vnet-2' Lasciare l'impostazione predefinita deselezionata.
    Usare il gateway di rete virtuale remoto o il server di route Lasciare l'impostazione predefinita deselezionata.
    Rete virtuale remota
    Nome del collegamento di peering Lasciare vuoto.
    Modello di distribuzione della rete virtuale Selezionare Resource Manager.
    Selezionare la casella per Conoscere l'ID risorsa.
    ID risorsa Immettere o incollare l'ID risorsa per vnet-2.

  7. Nella casella di riepilogo a discesa selezionare la directory corrispondente a vnet-2 e user-2.

  8. Selezionare Autentica.

    Screenshot of peering from vnet-1 to vnet-2.

  9. Seleziona Aggiungi.

  10. Disconnettersi dal portale come utente-1.

La connessione di peering viene visualizzata in Peering in stato Avviato . Per completare il peer, è necessario configurare una connessione corrispondente in vnet-2.

Creare una connessione di peering - da vnet-2 a vnet-1

Sono necessari gli ID risorsa per vnet-1 dai passaggi precedenti per configurare la connessione di peering.

  1. Accedere al portale di Azure come utente-2. Se si usa un account per entrambe le sottoscrizioni, passare a subscription-2 nel portale.

  2. Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali nei risultati della ricerca.

  3. Selezionare vnet-2.

  4. Selezionare Peering.

  5. Selezionare + Aggiungi.

  6. Immettere o selezionare le informazioni seguenti in Aggiungi peering:

    Impostazione Valore
    Questa rete virtuale
    Nome del collegamento di peering Immettere vnet-2-to-vnet-1.
    Consentire a 'vnet-2' di accedere a 'vnet-1' Lasciare l'impostazione predefinita selezionata.
    Consentire a 'vnet-2' di ricevere traffico inoltrato da 'vnet-1' Selezionare la casella di controllo.
    Consentire al gateway in 'vnet-2' di inoltrare il traffico a 'vnet-1' Lasciare l'impostazione predefinita deselezionata.
    Abilitare "vnet-2" per l'uso del gateway remoto "vnet-1" Lasciare l'impostazione predefinita deselezionata.
    Rete virtuale remota
    Nome del collegamento di peering Lasciare vuoto.
    Modello di distribuzione della rete virtuale Selezionare Resource Manager.
    Selezionare la casella per Conoscere l'ID risorsa.
    ID risorsa Immettere o incollare l'ID risorsa per vnet-1.

  7. Nella casella di riepilogo a discesa selezionare la directory corrispondente a vnet-1 e user-1.

  8. Selezionare Autentica.

    Screenshot of peering from vnet-2 to vnet-1.

  9. Seleziona Aggiungi.

Il peering viene stabilito correttamente dopo aver visualizzato Connessione nella colonna Stato peering per entrambe le reti virtuali nel peering. Tutte le risorse di Azure create in una delle reti virtuali possono ora comunicare tra loro tramite i relativi indirizzi IP. Se si usa la risoluzione dei nomi di Azure subnet-1 per le reti virtuali, le risorse nelle reti virtuali non sono in grado di risolvere i nomi tra le reti virtuali. Per risolvere i nomi tra reti virtuali in un peering, è necessario creare un server DNS personalizzato o usare DNS di Azure.

Per altre informazioni sull'uso del proprio DNS per la risoluzione dei nomi, vedere Risoluzione dei nomi con il proprio server DNS.

Per altre informazioni su DNS di Azure, vedere Informazioni su DNS di Azure.

Passaggi successivi