Informazioni sul gateway VPN

Un gateway VPN è un tipo di gateway di rete virtuale che invia traffico crittografato a un percorso locale tramite una connessione pubblica. È possibile anche usare gateway VPN per inviare traffico crittografato tra le reti virtuali di Azure tramite la rete Microsoft. Per inviare traffico di rete crittografato tra la rete virtuale di Azure e il sito locale, è necessario creare un gateway VPN per la rete virtuale.

Sebbene ogni rete virtuale possa avere solo un gateway VPN, è possibile creare più connessioni allo stesso gateway VPN. Una configurazione di connessione multisito ne è un esempio. Quando si creano più connessioni allo stesso gateway VPN, tutti i tunnel VPN, incluse le VPN da punto a sito, condividono la larghezza di banda disponibile per il gateway.

Informazioni sul gateway di rete virtuale

Un gateway di rete virtuale è costituito da due o più macchine virtuali distribuite in una subnet specifica denominata GatewaySubnet. Le macchine virtuali presenti nella GatewaySubnet vengono create nel momento in cui si crea il gateway di rete virtuale. Le macchine virtuali del gateway di rete virtuale sono configurate per contenere tabelle di routing e servizi specifici del gateway. È possibile configurare direttamente le macchine virtuali che fanno parte del gateway di rete virtuale ed è opportuno non distribuire mai risorse aggiuntive nella GatewaySubnet.

Quando si crea un gateway di rete virtuale usando il tipo di gateway "Vpn", viene creato un tipo specifico di gateway di rete virtuale che esegue la crittografia del traffico, ovvero un gateway VPN. Per la creazione di un gateway VPN possono essere necessari fino a 45 minuti. Le VM per il gateway VPN vengono infatti distribuite in GatewaySubnet e vengono configurate con le impostazioni specificate. Lo SKU di gateway selezionato determina le capacità delle VM.

SKU del gateway

Quando si crea un gateway di rete virtuale è necessario specificare il codice SKU del gateway da usare. Selezionare gli SKU che soddisfano i requisiti inerenti ai tipi di carichi di lavoro, alle velocità effettive, alle funzionalità e ai contratti di servizio.

Nota

I nuovi SKU di gateway VPN (VpnGw1, VpnGw2 e VpnGw3) sono supportati solo per il modello di distribuzione Resource Manager. Le reti virtuali di tipo classico devono continuare a usare gli SKU precedenti. Per altre informazioni sugli SKU di gateway di versione precedente, vedere Working with virtual network gateway SKUs (old) (Uso degli SKU di gateway di rete virtuale - Versione precedente).

Azure offre gli SKU del gateway VPN seguenti:

SKU Tunnel S2S/
rete virtuale-rete virtuale
Connessioni
P2S
Benchmark
velocità effettiva aggregata
VpnGw1 Max. 30 Max. 128 650 Mbps
VpnGw2 Max. 30 Max. 128 1 Gbps
VpnGw3 Max. 30 Max. 128 1,25 Gbps
Basic Max. 10 Max. 128 100 Mbps
  • Il benchmark della velocità effettiva aggregata si basa sulle misurazioni di più tunnel aggregati tramite un singolo gateway. Non è una velocità effettiva garantita, poiché può variare anche in funzione delle condizioni del traffico Internet e dei comportamenti dell'applicazione.

  • Le informazioni sui prezzi sono disponibili nella pagina Prezzi .

  • Le informazioni sul contratto di servizio sono disponibili nella pagina SLA (Contratto di servizio).

Carichi di lavoro di produzione e di sviluppo e test

A causa delle differenze in termini di contratti di servizio e set di funzionalità, per i carichi di produzione e di sviluppo e test è consigliabile usare SKU diversi, come descritto di seguito:

Carico di lavoro SKU
Carichi di lavoro critici, di produzione VpnGw1, VpnGw2, VpnGw3
Sviluppo e test o modello di verifica Basic

Se si usano gli SKU di versione precedente, per la produzione sono consigliati gli SKU Standard e HighPerformance. Per informazioni sugli SKU precedenti, vedere SKU del gateway (legacy).

Set di funzionalità degli SKU del gateway

I nuovi SKU del gateway semplificano i set di funzionalità offerti nei gateway:

SKU Funzionalità
Basic VPN basate su route: 10 tunnel con P2S; nessuna autenticazione RADIUS; nessun IKEv2
VPN basata su criteri (IKEv1): 1 tunnel, nessuna connessione P2S
VpnGw1, VpnGw2 e VpnGw3 VPN basata su route: fino a 30 tunnel (*), P2S, BGP, attivo-attivo, IPsec personalizzato/criterio IKE, coesistenza ExpressRoute/VPN

(*) È possibile configurare "PolicyBasedTrafficSelectors" per la connessione di un gateway VPN basato su route (VpnGw1, VpnGw2, VpnGw3) a più dispositivi firewall locali basati su criteri. Per informazioni dettagliate, vedere Connect VPN gateways to multiple on-premises policy-based VPN devices using PowerShell (Connettere gateway VPN a più dispositivi VPN basati su criteri tramite PowerShell).

Ridimensionamento degli SKU di gateway

  1. È possibile eseguire il ridimensionamento tra gli SKU VpnGw1, VpnGw2 e VpnGw3.
  2. Quando si usano SKU del gateway di versione precedente, è possibile eseguire il ridimensionamento tra gli SKU Basic, Standard e HighPerformance.
  3. Non è possibile invece eseguire il ridimensionamento dagli SKU Basic/Standard/HighPerformance ai nuovi SKU VpnGw1/VpnGw2/VpnGw3. È necessario eseguire la migrazione ai nuovi SKU.

Migrazione dagli SKU di versione precedente ai nuovi SKU

Nota

  • L'indirizzo IP pubblico del gateway VPN cambierà in caso di migrazione da uno SKU precedente a un nuovo SKU.
  • Non è possibile eseguire la migrazione di gateway VPN classici in nuovi SKU. I gateway VPN classici sono compatibili unicamente con gli SKU legacy (precedenti).

Non è possibile ridimensionare i gateway VPN di Azure tra gli SKU precedenti e le nuove famiglie di SKU. Se nel modello di distribuzione di Resource Manager sono presenti gateway VPN che usano la versione precedente degli SKU, è possibile eseguire la migrazione ai nuovi SKU. Per eseguire la migrazione, eliminare il gateway VPN esistente per la rete virtuale, quindi crearne uno nuovo.

Flusso di lavoro della migrazione:

  1. Rimuovere eventuali connessioni al gateway di rete virtuale.
  2. Eliminare il gateway VPN precedente.
  3. Creare il nuovo gateway VPN.
  4. Aggiornare i dispositivi VPN locali con il nuovo indirizzo IP del gateway VPN (per connessioni da sito a sito).
  5. Aggiornare il valore dell'indirizzo IP del gateway per eventuali gateway di rete locale da rete virtuale a rete virtuale che si connetteranno a questo gateway.
  6. Scaricare i nuovi pacchetti di configurazione VPN client per i client P2S che si connettono alla rete virtuale tramite questo gateway VPN.
  7. Creare di nuovo eventuali connessioni al gateway di rete virtuale.

Configurazione di un gateway VPN

Una connessione gateway VPN si basa su più risorse configurate con impostazioni specifiche. La maggior parte delle risorse può essere configurata separatamente, anche se in alcuni casi è necessario configurarle seguendo un determinato ordine.

Impostazioni

Le impostazioni scelte per ogni risorsa sono fondamentali per creare una connessione corretta. Per informazioni sulle singole risorse e le impostazioni per il gateway VPN, vedere Informazioni sulle impostazioni del gateway VPN. L'articolo contiene informazioni su tipi di gateway, tipi di VPN, tipi di connessione, subnet del gateway, gateway di rete locali e diverse altre impostazioni delle risorse che potrebbero risultare utili.

Strumenti di distribuzione

È possibile iniziare a creare e configurare le risorse usando uno strumento di configurazione, ad esempio il portale di Azure, e successivamente decidere di passare a un altro strumento, ad esempio PowerShell, per configurare risorse aggiuntive o eventualmente modificare quelle esistenti. Attualmente, non è possibile configurare tutte le risorse e le relative impostazioni nel portale di Azure. Le istruzioni riportate negli articoli per ogni topologia di connessione indicano se è necessario usare uno strumento di configurazione specifico.

Modello di distribuzione

Quando si configura un gateway VPN, i passaggi da eseguire dipendono dal modello di distribuzione usato per creare la rete virtuale. Ad esempio, se la rete virtuale è stata creata usando il modello di distribuzione classica, per creare e configurare le impostazioni del gateway VPN si usano le linee guida e le istruzioni per il modello di distribuzione classica. Per altre informazioni sui modelli di distribuzione, vedere Confronto tra distribuzione di Azure Resource Manager e classica: comprensione dei modelli di implementazione e dello stato delle risorse.

Diagrammi delle topologie di connessione

È importante tenere presente che sono disponibili configurazioni diverse per le connessioni del gateway VPN. È necessario determinare la configurazione più adatta alle proprie esigenze. Nelle sezioni seguenti è possibile trovare informazioni e diagrammi delle topologie sulle connessioni gateway VPN seguenti. Le sezioni seguenti contengono tabelle che elencano:

  • Modello di distribuzione disponibile
  • Strumenti di configurazione disponibili
  • Collegamenti che visualizzano direttamente un articolo, se disponibile

Usare i diagrammi e le descrizioni per selezionare la topologia di connessione più adatta alle esigenze. I diagrammi illustrano le principali topologie di base, ma è possibile creare configurazioni più complesse usando i diagrammi come riferimento.

Da sito a sito e multisito (tunnel VPN IPsec/IKE)

Da sito a sito

Una connessione gateway VPN da sito a sito (S2S) avviene tramite un tunnel VPN IPsec/IKE (IKEv1 o IKEv2). Una connessione da sito a sito richiede un dispositivo VPN in locale con un indirizzo IP pubblico assegnato e non situato dietro una NAT. Le connessioni S2S possono essere usate per le configurazioni cross-premise e ibride.

Esempio di connessione gateway VPN di Azure da sito a sito

Multisito

Questo tipo di connessione è una variante della connessione da sito a sito. È possibile creare più di una connessione VPN dal gateway di rete virtuale, che in genere connette a più siti locali. Quando si usano più connessioni, è necessario usare una rete VPN di tipo RouteBased (nota come gateway dinamico nell'ambito delle reti virtuali classiche). Poiché ogni rete virtuale può avere un solo gateway VPN, tutte le connessioni che usano il gateway condividono la larghezza di banda disponibile. Questo tipo di connessione è spesso definito "multisito".

Esempio di connessione gateway VPN di Azure multisito

Metodi e modelli di distribuzione per connessioni da sito a sito e multisito

Modello/metodo di distribuzione Portale di Azure PowerShell Interfaccia della riga di comando di Azure
Gestione risorse Articolo Articolo Articolo
Classico Articolo** Articolo+ Non supportato

(**) indica che questo metodo contiene passaggi per cui è necessario PowerShell.

(+) indica che questo articolo è scritto per connessioni multisito.

Da punto a sito (VPN su IKEv2 o SSTP)

Una connessione gateway VPN da punto a sito (P2S) consente di creare una connessione sicura alla rete virtuale da un singolo computer client. Una connessione da punto a sito viene stabilita avviandola dal computer client. Questa soluzione è utile per i telelavoratori che intendono connettersi alle reti virtuali di Azure da una posizione remota, ad esempio da casa o durante una riunione. Una VPN da punto a sito è anche una soluzione utile da usare al posto di una VPN da sito a sito quando solo pochi client devono connettersi a una rete virtuale.

A differenza delle connessioni da sito a sito, le connessioni da punto a sito non necessitano di un indirizzo IP pubblico locale o di un dispositivo VPN. Le connessioni da punto a sito possono essere usate con le connessioni da sito a sito attraverso lo stesso gateway VPN, purché tutti i requisiti di configurazione per entrambe le connessioni siano compatibili. Per altre informazioni sulle connessioni da punto a sito, vedere About Point-to-Site VPN (Informazioni sulla VPN da punto a sito).

Nota

L'autenticazione RADIUS da punto a sito e IKEv2 sono attualmente in fase di anteprima.

Esempio di connessione gateway VPN di Azure da punto a sito

Metodi e modelli di distribuzione per la connessione da punto a sito

Autenticazione del certificato nativa di Azure

Modello/metodo di distribuzione Portale di Azure PowerShell
Gestione risorse Articolo Articolo
Classico Articolo Supportato

Autenticazione RADIUS

Modello/metodo di distribuzione Portale di Azure PowerShell
Gestione risorse Supportato Articolo
Classico Non supportato Non supportato

Connessioni da rete virtuale a rete virtuale (tunnel VPN IPsec/IKE)

La connessione di una rete virtuale a un'altra rete virtuale (da rete virtuale a rete virtuale) è simile alla connessione di una rete virtuale a un percorso di sito locale. Entrambi i tipi di connettività utilizzano un gateway VPN per fornire un tunnel sicuro tramite IPsec/IKE. È anche possibile combinare una comunicazione tra reti virtuali con configurazioni di connessioni multisito. Questo permette di definire topologie di rete che consentono di combinare la connettività cross-premise con la connettività tra reti virtuali.

Le reti virtuali connesse possono essere:

  • Nella stessa area o in aree diverse
  • Nella stessa sottoscrizione o in sottoscrizioni diverse
  • Nello stesso modello di distribuzione o in modelli diversi

Esempio di connessione gateway VPN di Azure da rete virtuale a rete virtuale

Connessioni tra modelli di distribuzione

Azure offre attualmente di due modelli di distribuzione: classica e Resource Manager. Se si usa Azure da qualche tempo, si dispone probabilmente di VM e istanze del ruolo di Azure in esecuzione su una rete virtuale classica. Le VM e le istanze del ruolo più recenti potrebbero invece essere in esecuzione su una rete virtuale creata in Resource Manager. Si crea una connessione tra le reti virtuali per consentire alle risorse di una rete virtuale di comunicare direttamente con le risorse di un'altra.

Peering reti virtuali

È possibile usare il peering reti virtuali per creare la connessione, purché la rete virtuale soddisfi determinati requisiti. Peering reti virtuali non usa un gateway di rete virtuale. Per altre informazioni, vedere Peering reti virtuali.

Metodi e modelli di distribuzione per connessioni da rete virtuale a rete virtuale

Modello/metodo di distribuzione Portale di Azure PowerShell Interfaccia della riga di comando di Azure
Classico Articolo* Supportato Non supportato
Gestione risorse Articolo+ Non supportato Articolo
Connessioni tra modelli di distribuzione diversi Articolo* Articolo Non supportato

(+) indica che questo metodo di distribuzione è disponibile solo per le reti virtuali nella stessa sottoscrizione.
(*) indica che questo metodo di distribuzione richiede anche PowerShell.

ExpressRoute (connessione privata)

Microsoft Azure ExpressRoute consente di estendere le reti locali nel cloud Microsoft tramite una connessione privata fornita da un provider di connettività. Con ExpressRoute è possibile stabilire connessioni ai servizi cloud Microsoft, come Microsoft Azure, Office 365 e CRM Online. La connettività può essere stabilita da una rete (IP VPN) any-to-any, da una rete Ethernet punto a punto o da una Cross Connection virtuale tramite un provider di connettività presso una struttura di condivisione del percorso.

Le connessioni ExpressRoute non sfruttano la rete Internet pubblica. In questo modo possono offrire un livello di sicurezza superiore, maggiore affidabilità, velocità più elevate e minori latenze rispetto alle connessioni Internet tradizionali.

Una connessione ExpressRoute non usa un gateway VPN, anche se usa un gateway di rete virtuale come parte della configurazione obbligatoria. In una connessione ExpressRoute il gateway di rete virtuale viene configurato con il tipo di gateway "ExpressRoute" invece che "Vpn". Per altre informazioni su ExpressRoute, vedere Panoramica tecnica relativa a ExpressRoute.

Connessioni coesistenti da sito a sito ed ExpressRoute

ExpressRoute è una connessione privata diretta dalla rete WAN (non sulla rete Internet pubblica) a servizi Microsoft come Azure. Il traffico VPN da sito a sito viaggia crittografato sulla rete Internet pubblica. La possibilità di configurare connessioni VPN da sito a sito ed ExpressRoute per la stessa rete virtuale offre diversi vantaggi.

È possibile configurare una VPN da sito a sito come percorso di failover sicuro per ExpressRoute oppure usare VPN da sito a sito per connettersi a siti che non fanno parte della rete, ma che sono connessi tramite ExpressRoute. Si noti che questa configurazione richiede due gateway di rete virtuale per la stessa rete virtuale, uno che usa il tipo di gateway "Vpn" e l'altro che usa il tipo di gateway "ExpressRoute".

Esempio di connessioni coesistenti ExpressRoute e gateway VPN

Metodi e modelli di distribuzione per la coesistenza di connessioni da sito a sito ed ExpressRoute

|Modello/metodo di distribuzione | Portale di Azure | PowerShell | |---|---|---| | Resource Manager | Non supportato | Articolo| | Classico | Non supportato | Articolo |

Prezzi

Si pagano due cose: i costi di calcolo orari per il gateway di rete virtuale e il trasferimento dei dati in uscita dal gateway di rete virtuale. Le informazioni sui prezzi sono disponibili nella pagina Prezzi .

Costi di calcolo per il gateway di rete virtuale
Ogni gateway di rete virtuale ha un costo di calcolo orario. Il prezzo dipende dallo SKU del gateway specificato quando si crea un gateway di rete virtuale. Il costo è relativo al gateway in sé e va aggiunto al trasferimento dei dati che passano dal gateway.

Costi di trasferimento dati
I costi per il trasferimento dei dati vengono calcolati in base al traffico in uscita dal gateway di rete virtuale di origine.

  • Se si invia il traffico al dispositivo VPN locale, i costi verranno addebitati insieme alla tariffa per il trasferimento dei dati in uscita da Internet.
  • Se si invia il traffico tra reti virtuali in aree diverse, i prezzi dipendono dall'area.
  • Se si invia il traffico solo tra reti virtuali nella stessa area, non sono previsti costi per i dati. Il traffico tra reti virtuali nella stessa area è gratuito.

Per informazioni sugli SKU del gateway VPN, vedere SKU del gateway.

Domande frequenti

Per le domande frequenti sul gateway VPN, vedere le Domande frequenti su Gateway VPN.

Passaggi successivi