Configurare i gateway VPN attivi-attivi tramite il portale

  • Articolo

Questo articolo illustra come creare gateway VPN attivi e attivi a disponibilità elevata usando il modello di distribuzione Resource Manager e portale di Azure. È anche possibile configurare un gateway attivo-attivo usando PowerShell.

Per ottenere una disponibilità elevata per la connettività cross-premise e da rete virtuale a rete virtuale, occorre distribuire più gateway VPN e stabilire più connessioni parallele tra le reti e Azure. Per una panoramica delle opzioni di connettività e della topologia, vedere Connettività cross-premise e da rete virtuale a rete virtuale a disponibilità elevata.

Importante

La modalità attiva-attiva è disponibile per tutti gli SKU ad eccezione di Basic o Standard. Vedere l'articolo Informazioni sugli SKU del gateway per informazioni aggiornate sugli SKU, sulle prestazioni e sulle funzionalità supportate del gateway. Per questa configurazione sono necessari indirizzi IP pubblici SKU Standard. Non è possibile usare un indirizzo IP pubblico con SKU Basic.

I passaggi descritti in questo articolo illustrano come configurare un gateway VPN in modalità attiva-attiva. Esistono alcune differenze tra le modalità attivo-attivo e attivo-standby. Le altre proprietà corrispondono a quelle dei gateway non active-active.

  • I gateway attivi hanno due configurazioni IP gateway e due indirizzi IP pubblici.
  • Per i gateway attivi è abilitata l'impostazione attiva-attiva.
  • Lo SKU del gateway di rete virtuale non può essere Basic o Standard.

Se si dispone già di un gateway VPN, è possibile aggiornare un gateway VPN esistente dalla modalità attivo-standby alla modalità attivo-attivo o dalla modalità attivo-attivo a quello attivo-standby.

Creare una rete virtuale

Se non si ha già una rete virtuale (VNet) che si vuole usare, creare una rete virtuale usando i valori seguenti:

  • Gruppo di risorse: TestRG1
  • Nome: VNet1
  • Area: (Stati Uniti) Stati Uniti orientali
  • Spazio indirizzi IPv4: 10.1.0.0/16
  • Nome subnet: FrontEnd
  • Spazio indirizzi subnet: 10.1.0.0/24

  1. Accedere al portale di Azure.

  2. In Cerca risorse, servizio e documentazione (G+/) nella parte superiore della pagina del portale immettere la rete virtuale. Selezionare Rete virtuale nei risultati della ricerca del Marketplace per aprire la pagina Rete virtuale.

  3. Nella pagina Rete virtuale selezionare Crea per aprire la pagina Crea rete virtuale.

  4. Nella scheda Informazioni di base configurare le impostazioni della rete virtuale per Dettagli progetto e Dettagli istanza. Quando vengono convalidati i valori immessi, viene visualizzato un segno di spunta verde. È possibile modificare i valori visualizzati nell'esempio in base alle impostazioni necessarie.

    Screenshot che mostra la scheda Informazioni di base.

    • Sottoscrizione: verificare che la sottoscrizione elencata sia corretta. È possibile modificare le sottoscrizioni usando la casella di riepilogo a discesa.
    • Gruppo di risorse: selezionare un gruppo di risorse esistente o selezionare Crea nuovo per crearne uno nuovo. Per altre informazioni sui gruppi di risorse, vedere Panoramica di Azure Resource Manager.
    • Nome: immettere un nome per la rete virtuale.
    • Area: selezionare il percorso per la rete virtuale. Il percorso determina dove risiederanno le risorse distribuite in questa rete virtuale.

  5. Selezionare Avanti o Sicurezza per passare alla scheda Sicurezza. Per questo esercizio, lasciare i valori predefiniti per tutti i servizi in questa pagina.

  6. Selezionare Indirizzi IP per passare alla scheda Indirizzi IP. Nella scheda Indirizzi IP configurare le impostazioni.

    • Spazio indirizzi IPv4: per impostazione predefinita, viene creato automaticamente uno spazio indirizzi. È possibile selezionare lo spazio indirizzi e modificarlo in modo da riflettere i propri valori. È anche possibile aggiungere uno spazio indirizzi diverso e rimuovere l'impostazione predefinita creata automaticamente. Ad esempio, è possibile specificare l'indirizzo iniziale come 10.1.0.0 e specificare le dimensioni dello spazio degli indirizzi come /16. Selezionare quindi Aggiungi per aggiungere tale spazio indirizzi.

    • + Aggiungi subnet: se si usa lo spazio indirizzi predefinito, viene creata automaticamente una subnet predefinita. Se si modifica lo spazio indirizzi, aggiungere una nuova subnet all'interno di tale spazio indirizzi. Selezionare + Aggiungi subnet per aprire la finestra Aggiungi subnet. Configurare le impostazioni seguenti e quindi selezionare Aggiungi nella parte inferiore della pagina per aggiungere i valori.

      • Nome subnet: un esempio è FrontEnd.
      • Intervallo di indirizzi subnet: intervallo di indirizzi per questa subnet. Gli esempi sono 10.1.0.0 e /24.

  7. Esaminare la pagina Indirizzi IP e rimuovere eventuali spazi di indirizzi o subnet non necessari.

  8. Selezionare Rivedi e crea per convalidare le impostazioni della rete virtuale.

  9. Dopo aver convalidato le impostazioni, selezionare Crea per creare la rete virtuale.

Creare un gateway VPN attivo-attivo

In questo passaggio viene creato un gateway di rete virtuale attivo-attivo (gateway VPN) per la rete virtuale. La creazione di un gateway spesso richiede anche più di 45 minuti di tempo a seconda dello SKU gateway selezionato.

Creare un gateway di rete virtuale con i valori seguenti:

  • Nome: VNet1GW
  • Area: Stati Uniti orientali
  • Tipo di gateway: VPN
  • Tipo VPN: Basato su route
  • SKU: VpnGw2
  • Generazione: Generation2
  • Rete virtuale: VNet1
  • Intervallo di indirizzi della subnet del gateway: 10.1.255.0/27
  • Indirizzo IP pubblico: Crea nuovo
  • Nome indirizzo IP pubblico: VNet1GWpip

  1. In Cerca risorse, servizi e documentazione (G+/) immettere il gateway di rete virtuale. Individuare Gateway di rete virtuale nei risultati della ricerca del Marketplace e selezionarlo per aprire la pagina Crea gateway di rete virtuale.

  2. Nella scheda Informazioni di base immettere i valori per Dettagli progetto e Dettagli istanza.

    Screenshot che mostra i campi Istanza.

    • Sottoscrizione: selezionare la sottoscrizione da usare nell'elenco a discesa.

    • Gruppo di risorse: questa impostazione viene compilata automaticamente quando si seleziona la rete virtuale in questa pagina.

    • Nome: assegnare un nome al gateway. La denominazione del gateway non equivale alla denominazione di una subnet del gateway. ma il nome dell'oggetto gateway da creare.

    • Area: selezionare l'area in cui si vuole creare questa risorsa. L'area del gateway deve essere uguale a quella della rete virtuale.

    • Tipo di gateway: selezionare VPN. I gateway VPN usano il gateway di rete virtuale di tipo VPN.

    • SKU: nell'elenco a discesa selezionare lo SKU del gateway che supporta le funzionalità da usare. Vedere SKU del gateway. Nel portale gli SKU disponibili nell'elenco a discesa dipendono dall'opzione VPN type selezionata. Lo SKU Basic può essere configurato solo tramite l'interfaccia della riga di comando di Azure o PowerShell. Non è possibile configurare lo SKU Basic nel portale di Azure.

    • Generazione: selezionare la generazione da usare. È consigliabile usare uno SKU Generation2. Per altre informazioni, vedere SKU del gateway.

    • Rete virtuale: dall'elenco a discesa selezionare la rete virtuale a cui si vuole aggiungere il gateway. Se non è possibile visualizzare la rete virtuale per cui si vuole creare un gateway, assicurarsi di aver selezionato la sottoscrizione e l'area corrette nelle impostazioni precedenti.

    • Intervallo di indirizzi della subnet del gateway o Subnet: la subnet del gateway è necessaria per creare un gateway VPN.

      A questo punto, questo campo può visualizzare diverse opzioni di impostazioni, a seconda dello spazio degli indirizzi della rete virtuale e se è già stata creata una subnet denominata GatewaySubnet per la rete virtuale.

      Se non si ha una subnet del gateway e non viene visualizzata l'opzione per crearne una in questa pagina, tornare alla rete virtuale e creare la subnet del gateway. Tornare quindi a questa pagina e configurare il gateway VPN.

  1. Specificare i valori per Indirizzo IP pubblico. Queste impostazioni specificano l'oggetto indirizzo IP pubblico associato al gateway VPN. Quando si crea un oggetto indirizzo IP pubblico, all'oggetto viene assegnato un indirizzo IP. L'oggetto indirizzo IP pubblico viene quindi associato al gateway. Per i gateway che non sono con ridondanza della zona, l'unica volta che l'indirizzo IP pubblico cambia quando il gateway viene eliminato e ricreato. Non viene modificato in caso di ridimensionamento, reimpostazione o altre manutenzioni/aggiornamenti del gateway VPN. È necessario associare un oggetto indirizzo IP pubblico che usa lo SKU Standard . L'oggetto indirizzo IP pubblico dello SKU Basic è supportato solo per i gateway VPN SKU Basic.

    Screenshot del campo indirizzo IP pubblico.

    • Indirizzo IP pubblico: lasciare selezionata l'opzione Crea nuovo .
    • Nome indirizzo IP pubblico: nella casella di testo digitare un nome per l'istanza dell'indirizzo IP pubblico.
    • Assegnazione: l'opzione Statica viene selezionata automaticamente.
    • Abilitare la modalità attiva-attiva: selezionare Abilitato.
    • Secondo indirizzo IP pubblico: selezionare Crea nuovo.
    • Nome indirizzo IP pubblico: assegnare un nome al secondo indirizzo IP pubblico.
    • Lasciare l'opzione Configura BGP impostata su Disabilitato, a meno che la configurazione non richieda specificamente questa opzione. Se è necessaria questa impostazione, l'ASN predefinito è 65515, ma è possibile usare altri ASN.

  2. Selezionare Rivedi e crea per eseguire la convalida.

  3. Una volta superata la convalida, selezionare Crea per distribuire il gateway VPN.

È possibile visualizzare lo stato della distribuzione nella pagina Panoramica per il gateway. Dopo la creazione del gateway, è possibile visualizzare l'indirizzo IP assegnato esaminando la rete virtuale nel portale. Il gateway viene visualizzato come un dispositivo connesso.

Importante

Quando si lavora con le subnet del gateway, evitare di associare un gruppo di sicurezza di rete (NSG) alla subnet del gateway. Se si associa un gruppo di sicurezza di rete a tale subnet, il gateway della rete virtuale (VPN e gateway Express Route) potrebbe smettere di funzionare come previsto. Per altre informazioni sui gruppi di sicurezza di rete, vedere Che cos'è un gruppo di sicurezza di rete.

Aggiornare un gateway VPN esistente

Questa sezione illustra come modificare un gateway VPN di Azure esistente dalla modalità attivo-standby alla modalità attiva-attiva e dalla modalità attivo-attivo a quello attivo-standby. Quando si modifica un gateway attivo-standby in attivo-attivo, si crea un altro indirizzo IP pubblico, quindi si aggiunge una seconda configurazione IP del gateway.

Modificare active-standby in active-active-active

Usare la procedura seguente per convertire il gateway in modalità attivo-attivo. Se il gateway è stato creato usando il modello di distribuzione Resource Manager, è anche possibile aggiornare lo SKU in questa pagina.

  1. Passare alla pagina per il gateway di rete virtuale.

  2. Nel menu a sinistra selezionare Configurazione.

  3. Nella pagina Configurazione configurare le impostazioni seguenti:

    • Modificare la modalità Attiva-attiva su Abilitato.
    • Fare clic su Aggiungi nuovo per aggiungere un altro indirizzo IP pubblico. Se si dispone già di un indirizzo IP creato in precedenza che è disponibile per dedicare questa risorsa, è possibile selezionarlo dall'elenco a discesa indirizzo IP PUBBLICO edizione Standard COND.

    Screenshot che mostra la pagina Configurazione con la modalità attiva abilitata.

  4. Nella pagina Scegli indirizzo IP pubblico e specificare un indirizzo IP pubblico esistente che soddisfi i criteri oppure selezionare +Crea nuovo per creare un nuovo indirizzo IP pubblico da usare per la seconda istanza del gateway VPN. Dopo aver specificato il secondo indirizzo IP pubblico, fare clic su OK.

  5. Nella parte superiore della pagina Configurazione fare clic su Salva. Il completamento di questo aggiornamento può richiedere circa 30-45 minuti.

Importante

Se sono in esecuzione sessioni BGP, tenere presente che la configurazione di Azure Gateway VPN BGP verrà modificata e verrà effettuato il provisioning di due indirizzi IP BGP appena assegnati all'interno dell'intervallo di indirizzi della subnet del gateway. L'indirizzo IP BGP precedente di Azure Gateway VPN non esiste più. Ciò comporta tempi di inattività e l'aggiornamento dei peer BGP nei dispositivi locali sarà necessario. Al termine del provisioning del gateway, è possibile ottenere i nuovi INDIRIZZI IP BGP e aggiornare di conseguenza la configurazione del dispositivo locale. Questo vale per gli indirizzi IP BGP non APIPA. Per informazioni su come configurare BGP in Azure, vedere Come configurare BGP in Azure Gateway VPN s.

Modificare active-active-active in active-standby

Usare la procedura seguente per convertire il gateway in modalità attivo-attivo in modalità di standby attivo.

  1. Passare alla pagina per il gateway di rete virtuale.

  2. Nel menu a sinistra selezionare Configurazione.

  3. Nella pagina Configurazione modificare la modalità Attiva-attiva su Disabilitata.

  4. Nella parte superiore della pagina Configurazione fare clic su Salva.

Importante

Se sono in esecuzione sessioni BGP, tenere presente che la configurazione di Azure Gateway VPN BGP cambierà da due indirizzi IP BGP a un singolo indirizzo BGP. La piattaforma assegna in genere l'ultimo indirizzo IP utilizzabile della subnet del gateway. Ciò comporta tempi di inattività e l'aggiornamento dei peer BGP nei dispositivi locali sarà necessario. Questo vale per gli indirizzi IP BGP non APIPA. Per informazioni su come configurare BGP in Azure, vedere Come configurare BGP in Azure Gateway VPN s.

Passaggi successivi

Per configurare le connessioni, vedere gli articoli seguenti: