Connettere i servizi tramite il peering di rete virtuale

È possibile usare il peering di rete virtuale per connettersi direttamente alle reti virtuali di Azure. Quando si usa il peering per connettere le reti virtuali, le macchine virtuali in queste reti possono comunicare tra loro come se appartenessero alla stessa rete.

Nelle reti virtuali con peering il traffico tra le macchine virtuali viene instradato attraverso la rete di Azure. Il traffico usa solo indirizzi IP privati. Non dipende dalla connettività Internet, da gateway o da connessioni crittografate. Il traffico è sempre privato e sfrutta i vantaggi della larghezza di banda elevata e della bassa latenza della rete backbone di Azure.

Diagramma semplice di due reti virtuali connesse tramite il peering di rete virtuale

I due tipi di connessioni di peering vengono creati nello stesso modo:

  • Il peering di rete virtuale connette le reti virtuali nella stessa area di Azure, ad esempio due reti virtuali nell'area Europa settentrionale.
  • Il peering di rete virtuale globale connette le reti virtuali in aree di Azure diverse, ad esempio una rete virtuale nell'area Europa settentrionale e una nell'area Europa occidentale.

Il peering di rete virtuale non influisce né altera nessuna risorsa già distribuita nelle reti virtuali. Ma quando si usa il peering di rete virtuale, prendere in considerazione le funzionalità principali definite nelle sezioni seguenti.

Connessioni reciproche

Quando si crea una connessione di peering di rete virtuale in una sola rete virtuale per connettersi a un peer in un'altra rete, non si stanno connettendo le reti tra loro. Per connettere le reti tramite il peering di rete virtuale, è necessario creare connessioni in ogni rete virtuale.

Si pensi ad esempio a come si connettono tra loro due commutatori di rete. Si connette un cavo a ogni commutatore e con molta probabilità si configurano alcune impostazioni per consentire ai commutatori di comunicare tra loro. Il peering di rete virtuale richiede connessioni analoghe in ogni rete virtuale. Questa funzionalità è garantita dalle connessioni reciproche.

Peering di rete virtuale tra sottoscrizioni diverse

È possibile usare il peering di rete virtuale anche quando entrambe le reti virtuali si trovano in sottoscrizioni diverse. Questo potrebbe essere necessario in caso di fusioni e acquisizioni aziendali o per connettere reti virtuali in sottoscrizioni gestite da reparti diversi. Le reti virtuali possono trovarsi in sottoscrizioni diverse e le sottoscrizioni possono usare gli stessi tenant di Azure Active Directory o tenant diversi.

Quando si usa il peering di rete virtuale tra sottoscrizioni diverse, è possibile che l'amministratore di una sottoscrizione non sia l'amministratore della sottoscrizione della rete peer. L'amministratore potrebbe non essere in grado di configurare entrambe le direzioni della connessione. Per il peering delle reti virtuali quando entrambe le sottoscrizioni si trovano in tenant di Azure Active Directory diversi, l'amministratore di ogni sottoscrizione deve concedere all'amministratore della sottoscrizione peer il ruolo Network Contributor nella propria rete virtuale.

Transitività

Il peering di rete virtuale non è transitivo. Solo le reti virtuali con peering diretto possono comunicare tra loro. Le reti virtuali non possono comunicare con i peer dei relativi peer.

Si supponga, ad esempio, di avere tre reti virtuali (A, B, C) con peering A <-> B <-> C. Le risorse in A non possono comunicare con le risorse in C perché il traffico non può transitare attraverso la rete virtuale B. Per consentire le comunicazioni tra la rete virtuale A e la rete virtuale C, è necessario creare in modo esplicito un peering tra queste due reti virtuali.

Transito gateway

Se si usano i gateway di rete virtuali come punti di transito, è possibile configurare connessioni transitive locali. Tramite il transito gateway, è possibile abilitare la connettività locale senza distribuire gateway di rete virtuali in tutte le reti virtuali. Questo metodo potrebbe ridurre i costi e la complessità. Tramite il peering gateway, è possibile configurare una singola rete virtuale come rete hub. Connettere questa rete hub al data center locale e condividere il gateway di rete virtuale della rete con i peer.

Per consentire il transito gateway, configurare l'opzione Consenti transito gateway nella rete virtuale hub in cui è stata distribuita la connessione gateway alla rete locale. Configurare anche l'opzione Usa gateway remoti nelle reti virtuali spoke.

Nota

Se si vuole abilitare l'opzione Usa gateway remoti in un peering di rete spoke, non è possibile implementare un gateway di rete virtuale nella rete virtuale spoke. Inoltre, il transito gateway non è attualmente supportato con il peering di rete virtuale globale.

Spazi indirizzi sovrapposti

Gli spazi indirizzi IP delle reti connesse all'interno di Azure e tra Azure e il sistema locale non possono sovrapporsi. Lo stesso vale anche per le reti virtuali con peering. Questo è un aspetto importante da tenere in considerazione quando si pianifica la struttura della rete. Assegnare spazi indirizzi diversi e non sovrapposti a tutte le reti connesse tramite peering di rete virtuale, VPN o ExpressRoute.

Confronto tra indirizzi di rete sovrapposti e non sovrapposti

Metodi di connettività alternativi

Il peering di rete virtuale è il metodo meno complesso per connettere le reti virtuali. Gli altri metodi sono basati principalmente sulla connettività tra reti locali e la rete di Azure anziché su connessioni tra reti virtuali.

È anche possibile connettere reti virtuali tra loro attraverso il circuito ExpressRoute. ExpressRoute è una connessione privata dedicata tra un data center locale e la rete backbone di Azure. Le reti virtuali che si connettono a un circuito ExpressRoute appartengono allo stesso dominio di routing e possono comunicare tra loro. Le connessioni ExpressRoute non comunicano sulla rete Internet pubblica, pertanto le comunicazioni con i servizi di Azure avvengono con il massimo grado di sicurezza.

Le VPN usano Internet per connettere il data center locale al backbone di Azure tramite un tunnel crittografato. È possibile usare una configurazione da sito a sito per connettere tra loro le reti virtuali attraverso gateway VPN. I gateway VPN hanno una latenza maggiore rispetto alle configurazioni di peering di rete virtuale. Sono più complessi da gestire e possono costare di più.

Quando le reti virtuali vengono connesse sia tramite un gateway che tramite il peering di rete virtuale, il traffico segue la configurazione del peering.

Quando scegliere il peering di rete virtuale

Il peering di rete virtuale può essere un ottimo modo per consentire la connettività di rete tra i servizi che si trovano in reti virtuali diverse. Poiché è facile da implementare e da distribuire e può essere usato in aree e sottoscrizioni diverse, il peering di rete virtuale è il metodo consigliato per l'integrazione delle reti virtuali di Azure.

Il peering potrebbe non essere la soluzione ottimale se si prevede l'accesso da una rete virtuale con peering a connessioni VPN o ExpressRoute esistenti o servizi protetti da sistemi Azure Load Balancer Basic. In questi casi è necessario cercare un'alternativa.