Configurare una connessione gateway VPN tra reti virtuali con il portale di Azure

Questo articolo descrive come creare una connessione gateway VPN tra reti virtuali. Le reti virtuali possono trovarsi in aree geografiche uguali o diverse e in sottoscrizioni uguali o diverse. Quando si connettono reti virtuali da sottoscrizioni diverse, non è necessario che le sottoscrizioni siano associate allo stesso tenant di Active Directory.

La procedura illustrata in questo articolo si applica al modello di distribuzione Resource Manager e usano il portale di Azure. È anche possibile creare questa configurazione usando strumenti o modelli di distribuzione diversi selezionando un'opzione differente nell'elenco seguente:

Diagramma V2V

La connessione di una rete virtuale a un'altra rete virtuale (da rete virtuale a rete virtuale) è simile alla connessione di una rete virtuale a un percorso di sito locale. Entrambi i tipi di connettività utilizzano un gateway VPN per fornire un tunnel sicuro tramite IPsec/IKE. Se le reti virtuali si trovano nella stessa area, è consigliabile considerare la possibilità di connetterle tramite peering reti virtuali. Peering reti virtuali non usa un gateway VPN. Per altre informazioni, vedere Peering reti virtuali.

La comunicazione tra reti virtuali può essere associata a configurazioni multisito. In questo modo è possibile definire topologie di rete che consentono di combinare la connettività cross-premise con la connettività tra reti virtuali, come illustrato nel diagramma seguente:

Informazioni sulle connessioni

Perché connettere reti virtuali?

È possibile connettere reti virtuali per i seguenti motivi:

  • Presenza e ridondanza in più aree geografiche

    • È possibile configurare la sincronizzazione o la replica geografica con connettività sicura senza passare da endpoint con connessione Internet.
    • Con Gestione traffico e il servizio di bilanciamento del carico di Azure è possibile configurare il carico di lavoro a disponibilità elevata con ridondanza geografica in più aree di Azure. Un esempio importante è rappresentato dalla configurazione SQL AlwaysOn con gruppi di disponibilità distribuiti in più aree di Azure.
  • Applicazioni multilivello in singole aree geografiche con isolamento o limite amministrativo

    • All'interno di una stessa area è possibile configurare applicazioni multilivello con più reti virtuali connesse tra loro a causa dell'isolamento o di requisiti amministrativi.

Per altre informazioni sulle connessioni da rete virtuale a rete virtuale, vedere la sezione Domande frequenti relative alla connessione da rete virtuale a rete virtuale alla fine di questo articolo. Si noti che se le reti virtuali si trovano in sottoscrizioni diverse non sarà possibile creare la connessione nel portale. È possibile usare PowerShell o l'interfaccia della riga di comando.

Impostazioni di esempio

Quando si segue questa procedura come esercizio, è possibile usare i valori delle impostazioni di esempio. A scopo esemplificativo, vengono usati più spazi di indirizzi per ogni rete virtuale, anche se per le configurazioni da rete virtuale a rete virtuale non sono necessari.

Valori per TestVNet1:

  • Nome della rete virtuale: TestVNet1
  • Spazio di indirizzi: 10.11.0.0/16
    • Nome subnet: FrontEnd
    • Intervallo di indirizzi subnet: 10.11.0.0/24
  • Gruppo di risorse: TestRG1
  • Location: Stati Uniti orientali
  • Spazio di indirizzi: 10.12.0.0/16
    • Nome subnet: BackEnd
    • Intervallo di indirizzi subnet: 10.12.0.0/24
  • Nome subnet del gateway: GatewaySubnet (compilato automaticamente nel portale)
    • Intervallo di indirizzi subnet del gateway: 10.11.255.0/27
  • Server DNS: usare l'indirizzo IP del server DNS
  • Nome gateway di rete virtuale: TestVNet1GW
  • Tipo di gateway: VPN
  • Tipo VPN: Basato su route
  • SKU: selezionare lo SKU di gateway da usare
  • Nome dell'indirizzo IP pubblico: TestVNet1GWIP
  • Valori di connessione:
    • Nome: TestVNet1toTestVNet4
    • Chiave condivisa: è possibile creare personalmente la chiave condivisa. In questo esempio viene usato il valore abc123. Quando si crea la connessione tra le reti virtuali, è importante che il valore corrisponda.

Valori per TestVNet4:

  • Nome della rete virtuale: TestVNet4
  • Spazio di indirizzi: 10.41.0.0/16
    • Nome subnet: FrontEnd
    • Intervallo di indirizzi subnet: 10.41.0.0/24
  • Gruppo di risorse: TestRG1
  • Località: Stati Uniti occidentali
  • Spazio di indirizzi: 10.42.0.0/16
    • Nome subnet: BackEnd
    • Intervallo di indirizzi subnet: 10.42.0.0/24
  • Nome subnet del gateway: GatewaySubnet (compilato automaticamente nel portale)
    • Intervallo di indirizzi subnet del gateway: 10.41.255.0/27
  • Server DNS: usare l'indirizzo IP del server DNS
  • Nome gateway di rete virtuale: TestVNet4GW
  • Tipo di gateway: VPN
  • Tipo VPN: Basato su route
  • SKU: selezionare lo SKU di gateway da usare
  • Nome dell'indirizzo IP pubblico: TestVNet4GWIP
  • Valori di connessione:
    • Nome: TestVNet4toTestVNet1
    • Chiave condivisa: è possibile creare personalmente la chiave condivisa. In questo esempio viene usato il valore abc123. Quando si crea la connessione tra le reti virtuali, è importante che il valore corrisponda.

1. Creare e configurare TestVNet1

Se si ha già una rete virtuale, verificare che le impostazioni siano compatibili con la progettazione del gateway VPN. Prestare particolare attenzione alle subnet che potrebbero sovrapporsi ad altre reti. Se sono presenti subnet che si sovrappongono, la connessione non funziona correttamente. Se la rete virtuale è configurata con le impostazioni corrette, è possibile iniziare la procedura descritta nella sezione Specificare un server DNS .

Per creare una rete virtuale

Per creare una rete virtuale nel modello di distribuzione Resource Manager usando il portale di Azure, seguire questa procedura. Gli screenshot sono forniti come esempi. Assicurarsi di sostituire i valori con i propri. Per altre informazioni sull'uso delle reti virtuali, vedere la panoramica sulla rete virtuale.

  1. In un browser passare al portale di Azure e, se necessario, accedere con l'account Azure.
  2. Fare clic su + Nel campo Cerca nel Marketplace digitare "Rete virtuale". Individuare Rete virtuale nell'elenco restituito e fare clic per aprire la pagina Rete virtuale.

    Pagina per individuare la risorsa Rete virtuale

  3. Nella parte inferiore della pagina Rete virtuale selezionare Resource Manager nell'elenco Selezionare un modello di distribuzione e quindi fare clic su Crea.

    Selezionare Resource Manager

  4. Nella pagina Crea rete virtuale configurare le impostazioni della rete virtuale. Durante la compilazione dei campi, il punto esclamativo rosso diventa un segno di spunta verde se i caratteri immessi nel campo sono validi. Alcuni valori possono essere compilati automaticamente. In questo caso, sostituire i valori con quelli personalizzati. La pagina Crea rete virtuale ha un aspetto simile all'esempio seguente:

    Pagina Crea rete virtuale

  5. Nome: immettere un nome per la rete virtuale.
  6. Spazio indirizzi: immettere lo spazio degli indirizzi. Se si hanno più spazi di indirizzi da aggiungere, aggiungere il primo. È possibile aggiungere altri spazi di indirizzi in un secondo momento, dopo aver creato la rete virtuale.
  7. Nome subnet: aggiungere il nome e l'intervallo di indirizzi della subnet. È possibile aggiungere altre subnet in un secondo momento, dopo aver creato la rete virtuale.
  8. Sottoscrizione: verificare che sia visualizzata la sottoscrizione corretta. È possibile cambiare sottoscrizione tramite l'elenco a discesa.
  9. Gruppo di risorse: selezionare un gruppo di risorse esistente o crearne uno nuovo digitandone il nome. Se si crea un nuovo gruppo, denominare il gruppo di risorse in base ai valori di configurazione pianificati. Per altre informazioni sui gruppi di risorse, vedere Panoramica di Gestione risorse di Azure.
  10. Località: selezionare la località della rete virtuale. La località determina la posizione in cui risiedono le risorse distribuite in questa rete virtuale.
  11. Selezionare Aggiungi al dashboard se si vuole trovare facilmente la rete virtuale nel dashboard e quindi fare clic su Crea.

    Aggiungi al dashboard

  12. Dopo aver fatto clic su Crea, verrà visualizzato un riquadro nel dashboard che riflette lo stato di avanzamento della rete virtuale. Il riquadro cambia durante la creazione della rete virtuale.

    Riquadro Creazione della rete virtuale

2. Aggiungere altri spazi degli indirizzi e creare subnet

Dopo aver creato la rete virtuale è possibile aggiungere altri spazi degli indirizzi e creare subnet.

Per aggiungere altro spazio indirizzi

  1. Per aggiungere altro spazio indirizzi, nella sezione Impostazioni della pagina della rete virtuale fare clic su Spazio indirizzi per aprire la pagina Spazio indirizzi.
  2. Aggiungere l'ulteriore spazio indirizzi e quindi fare clic su Salva nella parte superiore della pagina.

    Aggiungere spazio di indirizzi

Per creare subnet aggiuntive

  1. Per creare subnet, nella sezione Impostazioni della pagina della rete virtuale fare clic su Subnet per aprire la pagina Subnet.
  2. Nella pagina Subnet fare clic su +Subnet per aprire la pagina Aggiungi subnet. Assegnare un nome alla nuova subnet e specificare l'intervallo di indirizzi.

    Impostazioni della subnet

  3. Per salvare le modifiche, fare clic su OK nella parte inferiore della pagina.

    Impostazioni della subnet

3. Creare una subnet del gateway

Prima di connettere la rete virtuale a un gateway, è necessario creare la subnet del gateway per la rete virtuale con cui si vuole stabilire la connessione. Se possibile, è consigliabile creare una subnet del gateway con un blocco CIDR di /28 o /27 per fornire indirizzi IP sufficienti a soddisfare altri requisiti di configurazione futuri.

Se si crea questa configurazione come esercizio, fare riferimento a queste impostazioni di esempio quando si crea la subnet del gateway.

Importante

Quando si usano le subnet del gateway, evitare di associare un gruppo di sicurezza di rete (NSG) alla subnet del gateway. Se si associa un gruppo di sicurezza di rete a tale subnet, il gateway VPN potrebbe smettere di funzionare come previsto. Per altre informazioni sui gruppi di sicurezza di rete, vedere Che cos'è un gruppo di sicurezza di rete.

Per creare una subnet del gateway

  1. Nel portale passare alla rete virtuale di Resource Manager per cui si vuole creare un gateway di rete virtuale.
  2. Nella sezione Impostazioni della pagina della rete virtuale fare clic su Subnet per espandere la pagina Subnet.
  3. Nella pagina Subnet fare clic su +Subnet del gateway per aprire la pagina Aggiungi subnet.

    Aggiungere la subnet del gateway

  4. Il nome della subnet verrà compilato automaticamente con il valore 'GatewaySubnet'. Questo valore è obbligatorio per consentire ad Azure di riconoscere la subnet come subnet del gateway. Modificare i valori di Intervallo di indirizzi inseriti automaticamente in modo che corrispondano ai requisiti della configurazione e quindi fare clic su OK nella parte inferiore della pagina per creare la subnet.

    Aggiunta della subnet

4. Specificare un server DNS (facoltativo)

Il server DNS non è necessario per le connessioni da rete virtuale a rete virtuale. Se tuttavia si vuole ottenere la risoluzione dei nomi per le risorse distribuite nella rete virtuale, è necessario specificare un server DNS. Questa impostazione consente di specificare il server DNS da usare per la risoluzione dei nomi nella rete virtuale. Non comporta la creazione di un server DNS.

  1. Nella pagina Impostazioni della rete virtuale passare a Server DNS e fare clic per aprire il pannello corrispondente.

    Aggiungi server DNS

    • Server DNS: selezionare Personalizzato.
    • Aggiungi server DNS: immettere l'indirizzo IP del server DNS che si vuole usare per la risoluzione dei nomi.
  2. Dopo aver aggiunto i server DNS, fare clic su Salva nella parte superiore del pannello.

5. Creare un gateway di rete virtuale

Questo passaggio illustra come creare il gateway di rete virtuale per la rete virtuale. La creazione di un gateway spesso richiede anche più di 45 minuti di tempo a seconda dell'SKU gateway selezionato. Se si crea questa configurazione come esercizio, è possibile fare riferimento alle impostazioni di esempio.

Per creare un gateway di rete virtuale

  1. Sul lato sinistro del portale fare clic su + e digitare "Gateway di rete virtuale" nella casella di ricerca. Individuare Gateway di rete virtuale nei risultati della ricerca e fare clic sulla voce. Nella pagina Gateway di rete virtuale fare clic su Crea nella parte inferiore per aprire la pagina Crea gateway di rete virtuale.
  2. Nella pagina Crea gateway di rete virtuale inserire i valori per il gateway di rete virtuale.

    Campi nella pagina Crea gateway di rete virtuale

  3. Nome: assegnare un nome al gateway. Il nome del gateway non è lo stesso assegnato a una subnet del gateway. Si tratta del nome dell'oggetto gateway che verrà creato.
  4. Tipo di gateway: selezionare VPN. I gateway VPN usano il gateway di rete virtuale di tipo VPN.
  5. Tipo VPN: selezionare il tipo di VPN specificato per la configurazione. La maggior parte delle configurazioni richiede un tipo di VPN basato su route.
  6. SKU: selezionare lo SKU del gateway dall'elenco a discesa. Gli SKU disponibili nell'elenco a discesa dipendono dal tipo di VPN selezionato.
  7. Località: modificare il campo Località in modo che faccia riferimento alla località in cui si trova la rete virtuale. Se la località non fa riferimento all'area in cui si trova la rete virtuale, quest'ultima non verrà visualizzata nell'elenco a discesa "Scegliere una rete virtuale".
  8. Scegliere la rete virtuale a cui si vuole aggiungere un gateway. Fare clic su Rete virtuale per aprire la pagina Scegliere una rete virtuale. Selezionare la rete virtuale. Se la rete virtuale non viene visualizzata, verificare che il campo Località faccia riferimento all'area in cui si trova la rete virtuale.
  9. Indirizzo IP pubblico: verrà creato un oggetto indirizzo IP pubblico a cui verrà assegnato dinamicamente un indirizzo IP pubblico. Fare clic su Indirizzo IP pubblico per aprire la pagina Scegli indirizzo IP pubblico. Fare clic su +Crea nuovo per aprire la pagina Crea indirizzo IP pubblico. Immettere un nome per l'indirizzo IP pubblico. Fare clic su OK per salvare le modifiche. L'indirizzo IP viene assegnato dinamicamente durante la creazione del gateway VPN. Il gateway VPN supporta attualmente solo l'allocazione degli indirizzi IP pubblici dinamici. Ciò non significa tuttavia che l'indirizzo IP venga modificato dopo l'assegnazione al gateway VPN. L'indirizzo IP pubblico viene modificato solo quando il gateway viene eliminato e ricreato. Non viene modificato in caso di ridimensionamento, reimpostazione o altre manutenzioni/aggiornamenti del gateway VPN.
  10. Sottoscrizione: verificare che sia selezionata la sottoscrizione corretta.
  11. Gruppo di risorse: l'impostazione del gruppo di risorse è determinata dalla rete virtuale selezionata.
  12. Non modificare il valore di Località dopo aver specificato le impostazioni precedenti.
  13. Verificare le impostazioni. È possibile selezionare Aggiungi al dashboard nella parte inferiore della pagina se si vuole che il gateway venga visualizzato nel dashboard.
  14. Fare clic su Crea per iniziare a creare il gateway. Le impostazioni vengono convalidate e il gateway viene distribuito. La creazione di un gateway può richiedere fino a 45 minuti.
  15. Dopo la creazione del gateway, visualizzare l'indirizzo IP assegnato esaminando la pagina della rete virtuale. Il gateway viene visualizzato come un dispositivo connesso. È possibile fare clic sul dispositivo connesso, ovvero il gateway di rete virtuale, per visualizzare altre informazioni.

6. Creare e configurare TestVNet4

Dopo aver configurato TestVNet1, creare TestVNet4 ripetendo i passaggi precedenti e sostituendo i valori con quelli di TestVNet4. Per configurare TestVNet4 non è necessario aspettare che sia terminata la creazione del gateway di rete virtuale per TestVNet1. Se si usano valori personalizzati, assicurarsi che gli spazi degli indirizzi non si sovrappongano alle reti virtuali a cui ci si vuole connettere.

7. Configurare la connessione per TestVNet1

Dopo aver completato i gateway di rete virtuale per TestVNet1 e TestVNet4, è possibile creare le connessioni al gateway di rete virtuale. Questa sezione illustra come creare una connessione da VNet1 a VNet4. Questa procedura funziona solo per le reti virtuali nella stessa sottoscrizione. Se le reti virtuali si trovano in diverse sottoscrizioni, è necessario usare PowerShell per creare la connessione. Vedere l'articolo su PowerShell.

  1. In Tutte le risorse passare al gateway di rete virtuale per la rete virtuale. Ad esempio, TestVNet1GW. Fare clic su TestVNet1GW per aprire il pannello del gateway di rete virtuale.

    Pannello connessioni

  2. Fare clic su +Aggiungi per aprire il pannello Aggiungi connessione.
  3. Nel pannello Aggiungi connessione digitare un nome per la connessione nel campo Nome. Ad esempio, TestVNet1toTestVNet4.

    Nome connessione

  4. Per Tipo di connessione, selezionare Da rete virtuale a rete virtuale nell'elenco a discesa.
  5. Il valore del campo Primo gateway di rete virtuale viene compilato automaticamente, perché la connessione viene creata dal gateway di rete virtuale specificato.
  6. Il campo Secondo gateway di rete virtuale corrisponde al gateway di rete virtuali della rete virtuale a cui si vuole creare una connessione. Fare clic su Scegliere un altro gateway di rete virtuale per aprire il pannello Scegliere un gateway di rete virtuale.

    Aggiungi connessione

  7. Esaminare i gateway di rete virtuale visualizzati in questo pannello. Si noti che sono elencati solo i gateway di rete virtuale inclusi nella sottoscrizione. Per connettersi a un gateway di rete virtuale non incluso nella sottoscrizione, vedere l'articolo relativo a PowerShell.
  8. Fare clic sul gateway di rete virtuale a cui ci si vuole connettere.
  9. Nel campo Chiave condivisa digitare una chiave condivisa per la connessione. La chiave può essere generata o creata dall'utente. Nel caso di una connessione da sito a sito si userebbe esattamente la stessa chiave sia per il dispositivo locale che per la connessione del gateway di rete virtuale. In questo caso si applica un concetto simile, ma anziché connettersi a un dispositivo VPN ci si connette a un altro gateway di rete virtuale.

    Chiave condivisa

  10. Fare clic su OK nella parte inferiore del pannello per salvare le modifiche.

8. Configurare la connessione per TestVNet4

Successivamente, creare una connessione da TestVNet4 a TestVNet1. Adottare lo stesso metodo usato per creare la connessione da TestVNet1 TestVNet4. Assicurarsi di usare la stessa chiave condivisa.

9. Verificare la connessione

Verificare la connessione. Per ogni gateway di rete virtuale, seguire questa procedura:

  1. Trovare il pannello per il gateway di rete virtuale. Ad esempio, TestVNet4GW.
  2. Nel pannello per il gateway di rete virtuale fare clic su Connessioni per visualizzare il pannello delle connessioni per il gateway di rete virtuale.

Visualizzare le connessioni e verificare lo stato. Dopo aver creato la connessione, i valori di Stato visualizzati saranno Operazione completata e Connesso.

Operazione riuscita

Per visualizzare altre informazioni, è possibile fare doppio clic su ogni singola connessione.

Informazioni di base

Domande frequenti sulle connessioni da rete virtuale a rete virtuale

Visualizzare i dettagli delle frequenti per altre informazioni sulle connessioni da rete virtuale a rete virtuale.

Le domande frequenti sulla connessione tra reti virtuali si applicano alle connessioni gateway VPN. Per informazioni sul peering reti virtuali, vedere Peering di rete virtuale

È previsto un addebito per il traffico tra le reti virtuali?

Il traffico da rete virtuale a rete virtuale nella stessa area è gratuito in entrambe le direzioni quando si usa una connessione gateway VPN. Per il traffico in uscita tra reti virtuali in aree diverse vengono applicate le tariffe di trasferimento dati in uscita tra reti virtuali in base alle aree di origine. Per informazioni dettagliate, vedere la pagina dei prezzi del gateway VPN. Se si connettono le reti virtuali tramite peering reti virtuali e non con il gateway VPN, vedere la pagina dei prezzi delle reti virtuali.

Il traffico da rete virtuale a rete virtuale viene trasmesso su Internet?

No. Il traffico tra reti virtuali passa per il backbone di Microsoft Azure, non Internet.

Il traffico tra reti virtuali è sicuro?

Sì, è protetto mediante la crittografia IPsec/IKE.

È necessario un dispositivo VPN per connettere le reti virtuali?

No. Per il collegamento di più reti virtuali di Azure non è necessario un dispositivo VPN, a meno che non sia necessaria la connettività cross-premise.

Le reti virtuali devono trovarsi nella stessa area?

No. Le reti virtuali possono essere nelle sottoscrizioni uguale o diverse.

Se le reti virtuali non sono nella stessa sottoscrizione, è necessario che le sottoscrizioni siano associate allo stesso tenant di AD?

No.

È possibile usare la connessione da rete virtuale a rete virtuale insieme alle connessioni multisito?

Sì. La connettività di rete virtuale può essere usata contemporaneamente con VPN multisito,

A quanti siti locali e reti virtuali può connettersi una rete virtuale?

Vedere la tabella Requisiti del gateway.

È possibile usare la connessione da rete virtuale a rete virtuale per connettere macchine virtuali o servizi cloud esterni a una rete virtuale?

No. La connettività da VNet a VNet supporta la connessione di reti virtuali. Non supporta la connessione di macchine virtuali o servizi cloud non inclusi in una rete virtuale.

È possibile estendere un servizio cloud o un endpoint del servizio di bilanciamento del carico in più reti virtuali?

No. Un servizio cloud o un endpoint di bilanciamento del carico non può estendersi tra reti virtuali, anche se sono connesse tra loro.

È possibile usare una VPN di tipo PolicyBased per connessioni da rete virtuale a rete virtuale o multisito?

No. La connettività tra reti virtuali e multisito richiede la presenza di gateway VPN con tipi VPN RouteBased (in precedenza denominato routing dinamico).

È possibile connettere una rete virtuale con un tipo di VPN RouteBased a un'altra rete virtuale con un tipo di VPN PolicyBased?

No, entrambe le reti virtuali DEVONO usare VPN basate su route (denominate in precedenza routing dinamico).

I tunnel VPN condividono la larghezza di banda?

Sì. Tutti i tunnel VPN della rete virtuale condividono la larghezza di banda disponibile sul gateway VPN di Azure e i tempi di servizio del gateway VPN dello stesso contratto di servizio in Azure.

Sono supportati i tunnel ridondanti?

I tunnel ridondanti tra una coppia di reti virtuali sono supportati quando un gateway di rete virtuale è configurato come attivo/attivo.

È consentita la sovrapposizione di spazi di indirizzi per configurazioni da rete virtuale a rete virtuale?

No. Gli intervalli di indirizzi IP non possono sovrapporsi.

Possono esistere spazi di indirizzi sovrapposti tra le reti virtuali connesse e i siti locali?

No. Gli intervalli di indirizzi IP non possono sovrapporsi.

Passaggi successivi

Dopo aver completato la connessione, è possibile aggiungere macchine virtuali alle reti virtuali. Per altre informazioni, vedere Macchine virtuali - Documentazione .