Configurare una connessione da rete virtuale a rete virtuale (versione classica)

  • Articolo

Questo articolo consente di creare una connessione gateway VPN tra reti virtuali. Le reti virtuali possono trovarsi in aree geografiche uguali o diverse e in sottoscrizioni uguali o diverse.

I passaggi descritti in questo articolo si applicano al modello di distribuzione classica (legacy) e non si applicano al modello di distribuzione corrente, Resource Manager. Non è più possibile creare un gateway usando il modello di distribuzione classica. Vedere invece la versione di Resource Manager di questo articolo .

Importante

Non è più possibile creare nuovi gateway di rete virtuale per le reti virtuali del modello di distribuzione classica (gestione dei servizi). È possibile creare nuovi gateway di rete virtuale solo per le reti virtuali di Resource Manager.

Diagram showing classic VNet-to-VNet architecture.

Nota

Questo articolo è scritto per il modello di distribuzione classico (legacy). È consigliabile usare invece il modello di distribuzione di Azure più recente. Il modello di distribuzione Resource Manager è il modello di distribuzione più recente e offre più opzioni e compatibilità delle funzionalità rispetto al modello di distribuzione classica. Per comprendere la differenza tra questi due modelli di distribuzione, vedere Informazioni sui modelli di distribuzione e sullo stato delle risorse.

Se si vuole usare una versione diversa di questo articolo, usare il sommario nel riquadro sinistro.

Informazioni sulla connessione da rete virtuale a rete virtuale

La connessione di una rete virtuale a un'altra rete virtuale nel modello di distribuzione classico che usa un gateway VPN è simile alla connessione di una rete virtuale a un percorso di sito locale. Entrambi i tipi di connettività utilizzano un gateway VPN per fornire un tunnel sicuro tramite IPsec/IKE.

Le reti virtuali possono trovarsi in diverse sottoscrizioni e aree geografiche diverse. È possibile combinare una comunicazione da rete virtuale a rete virtuale con configurazioni multisito. Questo permette di definire topologie di rete che consentono di combinare la connettività cross-premise con la connettività tra reti virtuali.

Diagram showing VNet-VNet connections.

Perché connettere reti virtuali?

È possibile connettere le reti virtuali per i motivi seguenti:

  • Presenza e ridondanza in più aree geografiche

    • È possibile configurare la sincronizzazione o la replica geografica con connettività sicura senza passare da endpoint con connessione Internet.
    • Con Azure Load Balancer e una tecnologia di clustering Microsoft o di terze parti, è possibile configurare il carico di lavoro a disponibilità elevata con ridondanza geografica in più aree di Azure. Un esempio importante è rappresentato dalla configurazione SQL AlwaysOn con gruppi di disponibilità distribuiti in più aree di Azure.

  • Applicazioni multi livello in singole aree geografiche con alto grado di isolamento

    • Nella stessa area, è possibile configurare applicazioni multilivello con più reti virtuali collegate tra loro tramite forte isolamento e comunicazione tra livelli sicura.

  • Comunicazione tra sottoscrizioni e organizzazioni in Azure

    • Se si dispone di più sottoscrizioni di Azure, si possono connettere tra loro i carichi di lavoro di sottoscrizioni diverse in modo sicuro tra reti virtuali.
    • Per le aziende o i provider di servizi, è ora possibile abilitare la comunicazione tra organizzazioni con tecnologia VPN sicura in Azure.

Per altre informazioni sulle connessioni da rete virtuale a rete virtuale, vedere la sezione Considerazioni sulle connessioni da rete virtuale a rete virtuale alla fine di questo articolo.

Prerequisiti

Il portale viene utilizzato per la maggior parte dei passaggi, ma per creare connessioni tra VNet, occorre utilizzare PoweShell. Non è possibile creare le connessioni usando il portale di Azure perché non è possibile specificare la chiave condivisa nel portale. Quando si usa il modello di distribuzione classica, non è possibile usare Azure Cloud Shell. È invece necessario installare la versione più recente dei cmdlet powerShell di Gestione dei servizi di Azure (SM) in locale nel computer. Questi cmdlet sono diversi dai cmdlet AzureRM o Az. Per installare i cmdlet SM, vedere Installare i cmdlet di Gestione dei servizi. Per altre informazioni su Azure PowerShell in generale, vedere la documentazione di Azure PowerShell.

Pianificazione

È importante stabilire gli intervalli che verranno usati per configurare le reti virtuali. Per questa configurazione, controllare che nessun intervallo di rete virtuale si sovrapponga a un altro o a una delle reti locali alle quali si connette.

Reti virtuali

Per questo esercizio vengono usati i valori di esempio seguenti:

Valori per TestVNet1

Nome: TestVNet1
Spazio di indirizzi: 10.11.0.0/16, 10.12.0.0/16 (facoltativo)
Nome subnet: predefinito
Intervallo di indirizzi subnet: 10.11.0.0/24
Gruppo di risorse: ClassicRG
Località: Stati Uniti orientali
GatewaySubnet: 10.11.1.0/27

Valori per TestVNet4

Nome: TestVNet4
Spazio di indirizzi: 10.41.0.0/16, 10.42.0.0/16 (facoltativo)
Nome subnet: predefinito
Intervallo di indirizzi subnet: 10.41.0.0/24
Gruppo di risorse: ClassicRG
Località: Stati Uniti occidentali
GatewaySubnet: 10.41.1.0/27

Connessioni

Nella tabella seguente viene illustrato un esempio di connessione delle reti virtuali. Usare gli intervalli solo come linee guida. Annotare gli intervalli per le reti virtuali. Queste informazioni sono necessarie per i passaggi successivi.

In questo esempio TestVNet1 si connette a un sito di rete locale creato denominato "VNet4Local". Le impostazioni per VNet4Local contengono i prefissi di indirizzo per TestVNet4. Il sito locale per ogni rete virtuale è l'altra rete virtuale. Per la configurazione vengono usati i valori nell'esempio seguente:

Esempio

Rete virtuale Spazio di indirizzi Titolo Si connette al sito della rete locale
TestVNet1 TestVNet1
(10.11.0.0/16)
(10.12.0.0/16)		 Stati Uniti orientali SiteVNet4
(10.41.0.0/16)
(10.42.0.0/16)
TestVNet4 TestVNet4
(10.41.0.0/16)
(10.42.0.0/16)		 Stati Uniti occidentali SiteVNet1
(10.11.0.0/16)
(10.12.0.0/16)

Creare reti virtuali

In questo passaggio vengono create due reti virtuali classiche, TestVNet1 e TestVNet4. Se si usa questo articolo come esercizio, usare i valori di esempio.

Quando si creano le reti virtuali, tenere presenti le seguenti impostazioni:

  • Spazi di indirizzi della rete virtuale: nella pagina Spazi di indirizzi della rete virtuale specificare l'intervallo di indirizzi che si desidera usare per la rete virtuale. Questi sono gli indirizzi IP dinamici che verranno assegnati alle macchine virtuali e alle istanze di altri ruoli distribuiti nella rete virtuale.
    Gli spazi indirizzi selezionati non possono sovrapporsi agli spazi indirizzi per le altre reti virtuali o le posizioni locali a cui si connetterà la rete virtuale.

  • Indirizzo : quando si crea una rete virtuale viene associata a una località di Azure (area). Ad esempio, se si desidera che le macchine virtuali distribuite nella rete virtuale vengano posizionate fisicamente in Stati Uniti occidentali, selezionare tale posizione. È possibile modificare il percorso associato alla rete virtuale dopo averla creata.

Dopo aver creato le reti virtuali, è possibile aggiungere le seguenti impostazioni:

  • Spazio indirizzi: lo spazio indirizzi aggiuntivo non è necessario per questa configurazione, ma è possibile aggiungere spazio indirizzi aggiuntivo dopo la creazione della rete virtuale.

  • Subnet: per questa configurazione non sono necessarie subnet aggiuntive , ma è possibile che si vogliano avere le macchine virtuali in una subnet separata dalle altre istanze del ruolo.

  • Server DNS: per immettere il nome del server DNS e l'indirizzo IP. Questa impostazione non crea un server DNS. Consente di specificare i server DNS da usare per la risoluzione dei nomi per la rete virtuale.

Per creare una rete virtuale classica

  1. In un browser passare al portale di Azure e, se necessario, accedere con l'account Azure.
  2. Selezionare +Crea una risorsa. Nel campo Cerca nel Marketplace digitare "Rete virtuale". Individuare Rete virtuale dall'elenco restituito e selezionarlo per aprire la pagina Rete virtuale.
  3. Nella pagina Rete virtuale, sotto il pulsante Crea, viene visualizzato "Deploy with Resource Manager (change to Classic)". Resource Manager è l'impostazione predefinita per la creazione di una rete virtuale. Non si vuole creare una rete virtuale di Resource Manager. Selezionare (passare alla versione classica) per creare una rete virtuale classica. Selezionare quindi la scheda Panoramica e selezionare Crea.
  4. Nella pagina Crea rete virtuale (versione classica) della scheda Informazioni di base configurare le impostazioni della rete virtuale con i valori di esempio.
  5. Selezionare Rivedi e crea per convalidare la rete virtuale.
  6. Viene eseguita la convalida. Dopo aver convalidato la rete virtuale, selezionare Crea.

Le impostazioni DNS non sono una parte obbligatoria di questa configurazione, ma dns è necessario se si vuole risolvere i nomi tra le macchine virtuali. Se si specifica un valore, non verrà creato un nuovo server DNS. L'indirizzo IP del server DNS specificato deve essere un server DNS in grado di risolvere i nomi per le risorse a cui ci si connette.

Dopo aver creato la rete virtuale, è possibile aggiungere l'indirizzo IP di un server DNS per gestire la risoluzione dei nomi. Aprire le impostazioni per la rete virtuale, selezionare Server DNS e aggiungere l'indirizzo IP del server DNS da usare per la risoluzione dei nomi.

  1. Individuare la rete virtuale nel portale.
  2. Nella pagina della rete virtuale, nella sezione Impostazioni selezionare Server DNS.
  3. Aggiungere un server DNS.
  4. Per salvare le impostazioni, selezionare Salva nella parte superiore della pagina.

Configurare siti e gateway

Azure utilizza le impostazioni specificate in ogni sito di rete locale per stabilire come instradare il traffico tra le reti virtuali. Ogni rete virtuale deve puntare alla rete locale alla quale si desidera indirizzare il traffico. Il nome da assegnare a ogni sito di rete locale viene stabilito dall'utente. È consigliabile usare un nome descrittivo.

Ad esempio, TestVNet1 si connette al sito di rete locale creato dall'utente con il nome "VNet4Local". Le impostazioni per VNet4Local contengono i prefissi di indirizzo per TestVNet4.

Tenere presente che il sito locale per ogni rete virtuale è l'altra rete virtuale.

Rete virtuale Spazio di indirizzi Titolo Si connette al sito della rete locale
TestVNet1 TestVNet1
(10.11.0.0/16)
(10.12.0.0/16)		 Stati Uniti orientali SiteVNet4
(10.41.0.0/16)
(10.42.0.0/16)
TestVNet4 TestVNet4
(10.41.0.0/16)
(10.42.0.0/16)		 Stati Uniti occidentali SiteVNet1
(10.11.0.0/16)
(10.12.0.0/16)

Per configurare un sito

In genere il sito locale fa riferimento alla posizione locale. Contiene l'indirizzo IP del dispositivo VPN a cui si creerà una connessione e gli intervalli di indirizzi IP indirizzati attraverso il gateway VPN al dispositivo VPN.

  1. Nella pagina della rete virtuale, in Impostazioni selezionare Connessioni da sito a sito.

  2. Nella pagina Connessioni da sito a sito selezionare + Aggiungi.

  3. Nella pagina Configura connessione VPN e gateway, per Connessione tipo di connessione lasciare selezionata l'opzione Da sito a sito.

    • Indirizzo IP del gateway VPN: questo è l'indirizzo IP pubblico del dispositivo VPN per la rete locale. Per questo esercizio, è possibile inserire un indirizzo fittizio perché non si dispone ancora dell'indirizzo IP per il gateway VPN per l'altro sito. Ad esempio, 5.4.3.2. Successivamente, dopo aver configurato il gateway per l'altra rete virtuale, è possibile modificare questo valore.

    • Spazio indirizzi client: elencare gli intervalli di indirizzi IP da instradare all'altra rete virtuale tramite questo gateway. È possibile aggiungere più intervalli di spazi indirizzi. Assicurarsi che gli intervalli specificati qui non si sovrappongano agli intervalli di altre reti a cui si connette la rete virtuale o con gli intervalli di indirizzi della rete virtuale stessa.

  4. Nella parte inferiore della pagina NON selezionare Rivedi e crea. Selezionare invece Avanti: Gateway>.

Per configurare un gateway di rete virtuale

  1. Nella pagina Gateway selezionare i valori seguenti:

    • Dimensioni: si tratta dello SKU del gateway usato per creare il gateway di rete virtuale. I gateway VPN classici usano gli SKU del gateway legacy. Per altre informazioni sugli SKU del gateway legacy, vedere Lavorare con gli SKU del gateway di rete virtuale (SKU precedenti). È possibile selezionare Standard per questo esercizio.

    • Subnet del gateway: le dimensioni della subnet del gateway specificata dipendono dalla configurazione del gateway VPN che si vuole creare. Sebbene sia possibile creare una subnet del gateway di dimensioni minime pari a /29, è consigliabile usare /27 o /28. In questo modo viene creata una subnet più grande che include più indirizzi. L'uso di una subnet del gateway di dimensioni maggiori consente un numero sufficiente di indirizzi IP per eventuali configurazioni future.

  2. Selezionare Rivedi e crea nella parte inferiore della pagina per convalidare le impostazioni. Selezionare Crea per la distribuzione. La creazione di un gateway di rete virtuale può richiedere fino a 45 minuti, a seconda dello SKU del gateway selezionato.

  3. È possibile iniziare con il passaggio successivo durante la creazione del gateway.

Configurare le impostazioni di TestVNet4

Ripetere i passaggi per Creare un sito e un gateway per configurare TestVNet4, sostituendo i valori quando necessario. Se si esegue questa operazione come esercizio, usare i valori di esempio.

Aggiornare i siti locali

Dopo aver creato i gateway di rete virtuale per entrambe le reti virtuali, è necessario modificare le proprietà del sito locale per l'indirizzo IP del gateway VPN.

Nome della rete virtuale Sito collegato Indirizzo IP del gateway
TestVNet1 VNet4Local Indirizzo IP del gateway VPN per TestVNet4
TestVNet4 VNet1Local Indirizzo IP del gateway VPN per TestVNet1

Parte 1: ottenere l'indirizzo IP pubblico del gateway di rete virtuale

  1. Passare alla rete virtuale passando al gruppo di risorse e selezionando la rete virtuale.
  2. Nella pagina della rete virtuale, nel riquadro Informazioni di base a destra individuare l'indirizzo IP del gateway e copiarlo negli Appunti.

Parte 2: Modificare le proprietà del sito locale

  1. In Connessioni da sito a sito selezionare la connessione. Ad esempio, SiteVNet4.
  2. Nella pagina Proprietà per la connessione da sito a sito selezionare Modifica sito locale.
  3. Nel campo Indirizzo IP del gateway VPN incollare l'indirizzo IP del gateway VPN copiato nella sezione precedente.
  4. Seleziona OK.
  5. Il campo viene aggiornato nel sistema. È anche possibile usare questo metodo per aggiungere un indirizzo IP aggiuntivo che si vuole instradare a questo sito.

Parte 3- Ripetere i passaggi per l'altra rete virtuale

Ripetere i passaggi per TestVNet4.

Recuperare i valori di configurazione

Quando si creano reti virtuali classiche nel portale di Azure, il nome da visualizzare non è il nome completo usato per PowerShell. Ad esempio, una rete virtuale che sembra avere il nome TestVNet1 nel portale potrebbe avere un nome molto più lungo nel file di configurazione di rete. Per una rete virtuale nel nome "ClassicRG" del gruppo di risorse potrebbe essere simile a: Group ClassicRG TestVNet1. Quando si creano le connessioni, è importante usare i valori visualizzati nel file di configurazione di rete.

Nelle procedure seguenti, ci si connetterà al proprio account Azure per scaricare e visualizzare il file di configurazione di rete per ottenere i valori necessari alle connessioni.

  1. Scaricare e installare la versione più recente dei cmdlet di PowerShell per Gestione del servizio di Azure. La maggior parte degli utenti ha i moduli di Resource Manager installati in locale, ma non dispone di moduli di gestione dei servizi. I moduli di gestione dei servizi sono legacy e devono essere installati separatamente. Per altre informazioni, vedere Installare i cmdlet di Gestione dei servizi.

  2. Aprire la console di PowerShell con diritti elevati e connettersi all'account. Usare gli esempi seguenti per connettersi. È necessario eseguire questi comandi in locale usando il modulo Di gestione dei servizi PowerShell. Connettersi all'account. Per eseguire la connessione, usare gli esempi che seguono:

    Add-AzureAccount

  3. Controllare le sottoscrizioni per l'account.

    Get-AzureSubscription

  4. Se sono disponibili più sottoscrizioni, selezionare la sottoscrizione da usare.

    Select-AzureSubscription -SubscriptionId "Replace_with_your_subscription_ID"

  5. Creare una directory nel computer. Ad esempio, C:\AzureVNet

  6. Esportare il file di configurazione di rete nella directory . In questo esempio il file di configurazione di rete viene esportato in C:\AzureNet.

    Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml

  7. Aprire il file con un editor di testo e visualizzare il nome delle reti virtuali e dei siti. Questi nomi saranno i nomi usati quando si creano le connessioni.
    I nomi delle reti virtuali sono elencati come Nome sito di rete virtuale =
    I nomi dei siti sono elencati come LocalNetworkSiteRef name =

Creare connessioni

Al termine di tutti i passaggi precedenti, è possibile impostare le chiavi precondivise IPsec/IKE e creare la connessione. Questa procedura usa PowerShell. Le connessioni da rete virtuale a rete virtuale per il modello di distribuzione classica non possono essere configurate nella portale di Azure perché la chiave condivisa non può essere specificata nel portale.

Negli esempi notare che la chiave condivisa è esattamente la stessa. La chiave condivisa deve sempre corrispondere. Assicurarsi di sostituire i valori in questi esempi con i nomi esatti delle reti virtuali e dei siti di rete locale.

  1. Creare la connessione da TestVNet1 a TestVNet4. Assicurarsi di modificare i valori.

    Set-AzureVNetGatewayKey -VNetName 'Group ClassicRG TestVNet1' `
-LocalNetworkSiteName 'value for _VNet4Local' -SharedKey A1b2C3D4

  2. Creare la connessione da TestVNet4 a TestVNet1.

    Set-AzureVNetGatewayKey -VNetName 'Group ClassicRG TestVNet4' `
-LocalNetworkSiteName 'value for _VNet1Local' -SharedKey A1b2C3D4

  3. Attendere l'inizializzazione delle connessioni. Dopo l'inizializzazione del gateway, lo stato è "Riuscito".

    Error          :
HttpStatusCode : OK
Id             :
Status         : Successful
RequestId      :
StatusCode     : OK

Domande frequenti e considerazioni

Queste considerazioni si applicano alle reti virtuali classiche e ai gateway di rete virtuale classici.

  • Le reti virtuali possono trovarsi in sottoscrizioni uguali o diverse.
  • Le reti virtuali possono essere nelle sottoscrizioni uguale o diverse.
  • Un servizio cloud o un endpoint del servizio di bilanciamento del carico non può essere esteso tra reti virtuali, anche se sono connesse tra loro.
  • Per il collegamento di più reti virtuali non sono necessari dispositivi VPN.
  • VNet to VNet supporta la connessione di reti virtuali di Azure. Non supporta la connessione di macchine virtuali o servizi cloud non distribuiti in una rete virtuale.
  • Per la connessione da rete virtuale a rete virtuale sono necessari gateway con routing dinamico. I gateway di routing statico di Azure non sono supportati.
  • La connettività di rete virtuale può essere usata contemporaneamente con VPN multisito, con un massimo di 10 tunnel VPN per gateway VPN di rete virtuale con connessione ad altre reti virtuali o a siti locali.
  • Gli spazi degli indirizzi delle reti virtuali e dei siti di rete locali non devono sovrapporsi. Gli spazi indirizzi sovrapposti causano l'esito negativo della creazione di reti virtuali o il caricamento di file di configurazione netcfg.
  • I tunnel ridondanti tra una coppia di reti virtuali non sono supportati.
  • Tutti i tunnel VPN della rete virtuale, tra cui reti VPN da punto a sito, condividono la larghezza di banda disponibile sul gateway VPN e il contratto di servizio relativo al tempo di inattività del gateway VPN in Azure.
  • Il traffico da rete virtuale a rete virtuale scorre attraverso il backbone di Azure.

Passaggi successivi

Verificare le connessioni. Vedere Verificare una connessione di Gateway VPN.