Usare collegamento privato in rete WAN virtuale

collegamento privato di Azure è una tecnologia che consente di connettere le offerte di piattaforma di Azure come servizio usando la connettività degli indirizzi IP privati esponendo endpoint privati. Con Azure rete WAN virtuale è possibile distribuire un endpoint privato in una delle reti virtuali connesse a qualsiasi hub virtuale. In questo modo viene fornita la connettività a qualsiasi altra rete virtuale o ramo connessa alla stessa rete WAN virtuale.

Prima di iniziare

I passaggi descritti in questo articolo presuppongono che sia già stata distribuita una rete WAN virtuale con uno o più hub, nonché almeno due reti virtuali connesse a rete WAN virtuale.

Per creare una nuova rete WAN virtuale e un nuovo hub, attenersi ai passaggi descritti negli articoli seguenti:

Creare un endpoint di collegamento privato

È possibile creare un endpoint di collegamento privato per molti servizi diversi. In questo esempio si userà database SQL di Azure. È possibile trovare altre informazioni su come creare un endpoint privato per un database SQL di Azure in Avvio rapido: Creare un endpoint privato usando l'portale di Azure. L'immagine seguente mostra la configurazione di rete del database SQL di Azure:

create private link

Dopo aver creato la database SQL di Azure, è possibile verificare l'indirizzo IP dell'endpoint privato che esplora gli endpoint privati:

private endpoints

Facendo clic sull'endpoint privato creato, è necessario visualizzare il relativo indirizzo IP privato, nonché il relativo nome di dominio completo (FQDN). Si noti che l'endpoint privato ha un indirizzo IP nell'intervallo della rete virtuale in cui è stato distribuito (10.1.3.0/24):

SQL endpoint

Verificare la connettività dalla stessa rete virtuale

In questo esempio si verificherà la connettività all'database SQL di Azure da una macchina virtuale Ubuntu con gli strumenti di SQL ms installati. Il primo passaggio consiste nel verificare che la risoluzione DNS funzioni e che il nome di dominio completo database SQL di Azure venga risolto in un indirizzo IP privato, nella stessa rete virtuale in cui è stato distribuito l'endpoint privato (10.1.3.0/24):

$ nslookup wantest.database.windows.net
Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
wantest.database.windows.net    canonical name = wantest.privatelink.database.windows.net.
Name:   wantest.privatelink.database.windows.net
Address: 10.1.3.228

Come si può notare nell'output precedente, il nome di wantest.database.windows.net dominio completo viene mappato a wantest.privatelink.database.windows.net, che la zona DNS privata creata lungo l'endpoint privato risolverà l'indirizzo 10.1.3.228IP privato . L'analisi della zona DNS privata conferma che è presente un record A per l'endpoint privato mappato all'indirizzo IP privato:

DNS zone

Dopo aver verificato la risoluzione DNS corretta, è possibile tentare di connettersi al database:

$ query="SELECT CONVERT(char(15), CONNECTIONPROPERTY('client_net_address'));"
$ sqlcmd -S wantest.database.windows.net -U $username -P $password -Q "$query"

10.1.3.75

Come si può notare, si usa una query SQL speciale che fornisce l'indirizzo IP di origine visualizzato dal server di SQL dal client. In questo caso, il server vede il client con il relativo INDIRIZZO IP privato (10.1.3.75), il che significa che il traffico passa dalla rete virtuale direttamente all'endpoint privato.

Si noti che è necessario impostare le variabili username e password per corrispondere alle credenziali definite nel database SQL di Azure per creare gli esempi in questa guida.

Connessione da una rete virtuale diversa

Ora che una rete virtuale in Azure rete WAN virtuale ha connettività all'endpoint privato, tutte le altre reti virtuali e rami connessi a rete WAN virtuale possono anche accedervi. È necessario fornire la connettività tramite uno dei modelli supportati da Azure rete WAN virtuale, ad esempio lo scenario Any-to-any o lo scenario di rete virtuale servizi condivisi, per assegnare due esempi.

Dopo aver eseguito la connettività tra la rete virtuale o il ramo alla rete virtuale in cui è stato distribuito l'endpoint privato, è necessario configurare la risoluzione DNS:

  • Se ci si connette all'endpoint privato da una rete virtuale, è possibile usare la stessa zona privata creata con l'database SQL di Azure.
  • Se ci si connette all'endpoint privato da un ramo (VPN da sito a sito, VPN da punto a sito o ExpressRoute), è necessario usare la risoluzione DNS locale.

In questo esempio ci si connetterà da una rete virtuale diversa, quindi prima si allegherà la zona DNS privata alla nuova rete virtuale in modo che i carichi di lavoro possano risolvere il database SQL di Azure Nome di dominio completo all'indirizzo IP privato. Questa operazione viene eseguita tramite il collegamento della zona DNS privata alla nuova rete virtuale:

DNS link

Ora qualsiasi macchina virtuale nella rete virtuale collegata deve risolvere correttamente il nome di dominio completo database SQL di Azure all'indirizzo IP privato del collegamento privato:

$ nslookup wantest.database.windows.net
Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
wantest.database.windows.net    canonical name = wantest.privatelink.database.windows.net.
Name:   wantest.privatelink.database.windows.net
Address: 10.1.3.228

Per verificare che questa rete virtuale (10.1.1.1.0/24) disponga della connettività alla rete virtuale originale in cui è stato configurato l'endpoint privato (10.1.3.0/24), è possibile verificare la tabella di route effettiva in qualsiasi macchina virtuale nella rete virtuale:

effective routes

Come si può notare, esiste una route che punta alla rete virtuale 10.1.3.0/24 inserita dai gateway di Rete virtuale in Azure rete WAN virtuale. Ora è possibile testare la connettività al database:

$ query="SELECT CONVERT(char(15), CONNECTIONPROPERTY('client_net_address'));"
$ sqlcmd -S wantest.database.windows.net -U $username -P $password -Q "$query"

10.1.1.75

In questo esempio è stato illustrato come creare un endpoint privato in una delle reti virtuali collegate a un rete WAN virtuale fornisce connettività al resto delle reti virtuali e dei rami nella rete WAN virtuale.

Passaggi successivi

Per altre informazioni sulla rete WAN virtuale, vedere le domande frequenti.