Indietro

Prossima

Abilitare la connettività tra reti virtuali con il peering

Completato

Le organizzazioni con operazioni su larga scala dovranno spesso creare connessioni tra parti diverse dell'infrastruttura di rete virtuale. Il peering di reti virtuali consente di connettere facilmente reti virtuali separate con prestazioni di rete ottimali, indipendentemente dal fatto che si trovino nella stessa area di Azure (peering di reti virtuali) o in aree diverse (peering di reti virtuali globale). Il traffico di rete tra reti virtuali di cui è stato eseguito il peering è privato. Le reti virtuali vengono visualizzate come una sola per facilitare la connettività. Il traffico tra le macchine virtuali nelle reti virtuali con peering usa l'infrastruttura backbone di Microsoft e non è necessario Internet pubblico, gateway o crittografia nella comunicazione tra le reti virtuali.

Il peering di rete virtuale consente di connettere facilmente due reti virtuali di Azure. Dopo avere eseguito il peering, le reti virtuali vengono visualizzate come una sola per scopi di connettività. Sono disponibili due tipi di peering di reti virtuali.

• Il peering di reti virtuali a livello di area connette le reti virtuali di Azure nella stessa area.
• Il peering di reti virtuali globale connette le reti virtuali di Azure in aree diverse. Quando si crea un peering globale, le reti virtuali di cui viene eseguito il peering possono trovarsi in qualsiasi area di cloud pubblico di Azure o area di cloud cinese, ma non nelle aree di cloud di enti pubblici. È possibile eseguire il peering di reti virtuali soltanto nella stessa area nelle aree di cloud di Azure per enti pubblici.

Il peering reti virtuali, locale o globale, include i vantaggi seguenti:

• Connessione a bassa latenza e larghezza di banda elevata tra le risorse in reti virtuali diverse.
• Possibilità di applicare gruppi di sicurezza di rete a entrambe le reti virtuali per bloccare l'accesso alle altre reti virtuali o subnet.
• Possibilità di trasferire i dati tra le reti virtuali attraverso sottoscrizioni di Azure, tenant di Microsoft Entra, modelli di distribuzione e aree di Azure.
• Possibilità di eseguire il peering delle reti virtuali create tramite Azure Resource Manager.
• Possibilità di eseguire il peering di una rete virtuale creata tramite Resource Manager a una creata tramite il modello di distribuzione classica.
• Non sono previsti tempi di inattività per le risorse in entrambe le reti virtuali durante o dopo la creazione del peering.

Il diagramma seguente mostra uno scenario in cui le risorse nella rete virtuale Contoso e le risorse nella rete virtuale Fabrikam devono comunicare. La sottoscrizione Contoso nell'area Stati Uniti occidentali è connessa alla sottoscrizione Fabrikam nell'area Stati Uniti orientali.

Le tabelle di routing mostrano le route note alle risorse in ogni sottoscrizione. La tabella di routing seguente mostra le route note a Contoso, con la voce finale corrispondente alla voce del peering di reti virtuali globale per la subnet Fabrikam 10.10.26.0/24.

La tabella di routing seguente mostra le route note a Fabrikam. Anche in questo caso, la voce finale è quella del peering reti virtuali globale, questa volta per la subnet Contoso 10.17.26.0/24.

Configurare il peering di reti virtuali

Di seguito sono descritti i passaggi per configurare il peering di reti virtuali. Si noti che saranno necessarie due reti virtuali. Per testare il peering, sarà necessaria una macchina virtuale in ogni rete. Inizialmente le macchine virtuali non potranno comunicare, ma dopo la configurazione la comunicazione funzionerà. Il passaggio nuovo consiste nella configurazione del peering delle reti virtuali.

1. Creare due reti virtuali.
2. Eseguire il peering delle reti virtuali.
3. Creare macchine virtuali in ogni rete virtuale.
4. Testare la comunicazione tra le macchine virtuali.

Per configurare il peering, usare la pagina Aggiungi peering. È necessario considerare solo alcuni parametri di configurazione facoltativi.

Nota

Quando si aggiunge un peering in una rete virtuale, viene aggiunta automaticamente la configurazione della seconda rete virtuale.

Transito tramite gateway e connettività

Dopo aver eseguito il peering delle reti virtuali, si configura un gateway VPN nella rete virtuale con peering come punto di transito. In questo caso, una rete virtuale con peering usa il gateway remoto per ottenere l'accesso ad altre risorse. Una rete virtuale può avere un solo gateway, Il transito tramite gateway è supportato sia per il peering di reti virtuali che per il peering di reti virtuali globale.

Quando si consente il transito tramite gateway, la rete virtuale può comunicare con risorse esterne al peering. Ad esempio, il gateway subnet può:

• Usare una VPN da sito a sito per connettersi a una rete locale.
• Usare una connessione da rete virtuale a rete virtuale a un'altra rete virtuale.
• Usare una VPN da punto a sito per connettersi a un client.

In questi scenari il transito tramite gateway consente alle reti virtuali con peering di condividere il gateway e ottenere l'accesso alle risorse. Non è quindi necessario distribuire un gateway VPN nella rete virtuale peer.

Nota

È possibile applicare gruppi di sicurezza di rete a una delle reti virtuali per bloccare l'accesso alle altre reti virtuali o subnet. Quando si configura il peering di rete virtuale, è possibile aprire o chiudere le regole dei gruppi di sicurezza di rete tra le reti virtuali.

Usare il concatenamento dei servizi per indirizzare il traffico a un gateway

Si supponga di voler indirizzare il traffico dalla rete virtuale Contoso a una specifica appliance virtuale di rete. Creare route definite dall'utente per indirizzare il traffico dalla rete virtuale Contoso all'appliance virtuale di rete nella rete virtuale Fabrikam. Questa tecnica è il cosiddetto concatenamento dei servizi.

Per abilitare il concatenamento dei servizi, aggiungere route definite dall'utente che puntano alle macchine virtuali nella rete virtuale con peering come indirizzo IP dell'hop successivo. Le route definite dall'utente possono puntare anche ai gateway di rete virtuale.

Le reti virtuali di Azure possono essere distribuite in una topologia hub-spoke, con la rete virtuale hub che funge da punto centrale di connettività per tutte le reti virtuali spoke. La rete virtuale hub ospita i componenti dell'infrastruttura, ad esempio un'appliance virtuale di rete, le macchine virtuali e un gateway VPN. Viene eseguito il peering di tutte le reti virtuali spoke con la rete virtuale dell'hub. Il traffico passa attraverso le appliance virtuali di rete o i gateway VPN nella rete virtuale hub. I vantaggi dell'uso di una configurazione hub-spoke includono il risparmio sui costi, il superamento dei limiti delle sottoscrizioni e l'isolamento del carico di lavoro.

Il diagramma seguente mostra uno scenario in cui la rete virtuale hub ospita un gateway VPN che gestisce il traffico verso la rete locale, abilitando la comunicazione controllata tra la rete locale e le reti virtuali di Azure con peering.

Verificare le conoscenze

Scegliere la risposta migliore per ogni domanda che segue. Al termine, selezionare Controlla le risposte.

1.

Quando è necessario che le risorse in una rete virtuale comunichino con le risorse in una subnet di un'altra rete virtuale, quale funzionalità di rete di Azure deve essere usata?

DNS interno.

Zone di disponibilità di Azure.

Peering reti virtuali.

2.

Quando si configura il peering globale, quali modifiche verranno applicate nelle reti virtuali con peering?

Viene aggiunta una voce di peering alla tabella di route solo nella rete virtuale di origine.

Tutto il traffico sulla rete virtuale deve essere instradato attraverso un gateway.

Viene aggiunta una voce di peering alla tabella di routing in ogni rete virtuale.

Devi rispondere a tutte le domande prima di controllare il lavoro svolto.

Continua