Connettere una rete locale ad Azure tramite ExpressRoute

Azure ExpressRoute
Rete virtuale di Azure
Gateway VPN di Azure

Questa architettura di riferimento illustra come connettere una rete locale a una rete virtuale di Azure usando Azure ExpressRoute, con una rete privata virtuale (VPN) da sito a sito come connessione di failover.

Architettura

Architettura di riferimento per un'architettura di rete ibrida a disponibilità elevata che usa ExpressRoute e gateway VPN.

Scaricare un file di Visio di questa architettura.

Workflow

L'architettura è costituita dai componenti seguenti.

  • Rete locale. Una rete LAN privata in esecuzione all'interno di un'organizzazione.
  • Appliance VPN. Un dispositivo o un servizio che offre connettività esterna alla rete locale. L'appliance VPN può essere un dispositivo hardware o può essere una soluzione software, ad esempio routing e servizio di accesso remoto (RRAS) in Windows Server 2012. Per una lista delle appliance VPN supportate e per informazioni sulla configurazione di appliance VPN selezionate per connettersi ad Azure, vedere Informazioni sui dispositivi VPN e sui parametri IPsec/IKE per connessioni del Gateway VPN da sito a sito.
  • Circuito ExpressRoute. Un circuito di livello 2 o di livello 3 fornito dal provider di connettività che unisce la rete locale ad Azure attraverso i router perimetrali. Il circuito usa l'infrastruttura hardware gestita dal provider di connettività.
  • Gateway di rete virtuale per ExpressRoute: Il gateway di rete virtuale ExpressRoute consente alla rete virtuale di Azure di connettersi al circuito ExpressRoute usato per la connettività con la rete locale.
  • Gateway di rete virtuale VPN: Il gateway di rete virtuale VPN consente alla rete virtuale di Azure di connettersi all'appliance VPN nella rete locale. Il gateway di rete virtuale VPN è configurato per accettare le richieste provenienti dalla rete locale solo tramite l'appliance VPN. Per maggiori informazioni, consultare Connettere una rete locale a una rete virtuale di Microsoft Azure.
  • Connessione VPN: La connessione ha proprietà che specificano il tipo di connessione (IPSec) e la chiave condivisa con l'appliance VPN locale per crittografare il traffico.
  • Rete virtuale di Azure. Ogni rete virtuale si trova in una singola area di Azure e può ospitare più livelli di applicazione. I livelli applicazione possono essere segmentati usando subnet in ogni rete virtuale.
  • Subnet del gateway: i gateway di rete virtuale vengono mantenuti nella stessa subnet.

Componenti

Dettagli dello scenario

Questa architettura di riferimento illustra come connettere una rete locale a una rete virtuale di Azure usando ExpressRoute, con una rete privata virtuale (VPN) da sito a sito come connessione di failover. Il traffico passa tra la rete locale e la rete virtuale di Azure tramite una connessione ExpressRoute. Se si verifica una perdita di connettività nel circuito ExpressRoute, il traffico viene instradato attraverso un tunnel VPN IPSec. Distribuire questa soluzione.

Si noti che se il circuito ExpressRoute non è disponibile, la route VPN gestirà solo le connessioni peering private. Il peering pubblico e le connessioni peering Microsoft passano tramite Internet.

Consigli

Le raccomandazioni seguenti sono valide per la maggior parte degli scenari. Seguire queste indicazioni, a meno che non si disponga di un requisito specifico che le escluda.

Rete virtuale e GatewaySubnet

Creare la connessione del gateway di rete virtuale ExpressRoute e la connessione del gateway di rete virtuale VPN nella stessa rete virtuale con un oggetto Gateway già presente. Entrambi condividono la stessa subnet denominata GatewaySubnet.

Se la rete virtuale include già una subnet denominata GatewaySubnet, assicurarsi che abbia uno spazio indirizzi /27 o superiore. Se la subnet esistente è troppo piccola, usare il comando PowerShell seguente per rimuoverla:

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Remove-AzVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet

Se la rete virtuale non contiene una subnet denominata GatewaySubnet, crearne una nuova usando il comando PowerShell seguente:

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.224/27"
$vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet

VPN e gateway ExpressRoute

Verificare che l'organizzazione sia in linea con i Prerequisiti di ExpressRoute per connettersi ad Azure.

Se nella rete virtuale di Azure è già presente un gateway di rete virtuale VPN, usare il comando PowerShell seguente per rimuoverlo:

Remove-AzVirtualNetworkGateway -Name <your-gateway-name> -ResourceGroupName <your-resource-group>

Seguire le istruzioni in Configurare un'architettura di rete ibrida con Azure ExpressRoute per stabilire la connessione ExpressRoute.

Seguire le istruzioni in Configurare un'architettura di rete ibrida con Azure e VPN locale per stabilire la connessione al gateway di rete virtuale VPN.

Dopo aver stabilito le connessioni gateway di rete virtuale, testare l'ambiente come indicato di seguito:

  1. Assicurarsi di potersi connettere dalla rete locale alla rete virtuale di Azure.
  2. Contattare il provider per arrestare la connettività a ExpressRoute per la verifica.
  3. Verificare che sia comunque possibile connettersi dalla rete locale alla rete virtuale di Azure usando la connessione gateway di rete virtuale VPN.
  4. Contattare il provider per ristabilire la connettività a ExpressRoute.

Considerazioni

Queste considerazioni implementano i pilastri di Azure Well-Architected Framework, che è un set di set di principi guida che possono essere usati per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Framework ben progettato di Microsoft Azure.

Sicurezza

La sicurezza offre garanzie contro attacchi intenzionali e l'abuso di dati e sistemi preziosi. Per altre informazioni, vedere Panoramica del pilastro della sicurezza.

Per considerazioni sulla sicurezza generale di Azure, vedere Servizi cloud Microsoft e sicurezza di rete.

Ottimizzazione dei costi

L'ottimizzazione dei costi riguarda l'analisi dei modi per ridurre le spese non necessarie e migliorare l'efficienza operativa. Per altre informazioni, vedere Panoramica del pilastro di ottimizzazione dei costi.

Per considerazioni sul costo di ExpressRoute, vedere gli articoli seguenti:

Eccellenza operativa

L'eccellenza operativa copre i processi operativi che distribuiscono un'applicazione e la mantengono in esecuzione nell'ambiente di produzione. Per altre informazioni, vedere Panoramica del pilastro dell'eccellenza operativa.

Per considerazioni su DevOps per ExpressRoute, vedere Configurare un'architettura di rete ibrida con Azure ExpressRoute .

Per considerazioni sulla VPN da sito a sito, vedere Configurare un'architettura di rete ibrida con Azure e VPN locale.

Distribuire lo scenario

Prerequisiti. È necessario disporre di un'infrastruttura locale esistente già configurata con un'appliance di rete adatta.

Per distribuire la soluzione, seguire questa procedura.

  1. Selezionare il collegamento seguente.

    Distribuisci in Azure

  2. Attendere che il collegamento venga aperto nella portale di Azure, quindi selezionare il gruppo di risorse in cui si vuole distribuire queste risorse o creare un nuovo gruppo di risorse. L'area e la località cambieranno automaticamente in modo che corrispondano al gruppo di risorse.

  3. Aggiornare i campi rimanenti se si desidera modificare i nomi delle risorse, i provider, lo SKU o gli indirizzi IP di rete per l'ambiente.

  4. Selezionare Rivedi e crea e quindi Crea per distribuire queste risorse.

  5. Attendere il completamento della distribuzione.

    Nota

    Questa distribuzione di modelli distribuisce solo le risorse seguenti:

    • Un gruppo di risorse (se si crea un nuovo)
    • Un circuito ExpressRoute
    • Una rete virtuale di Azure
    • Un gateway di rete virtuale ExpressRoute

    Per stabilire correttamente la connettività di peering privato dall'ambiente locale al circuito ExpressRoute, è necessario coinvolgere il provider di servizi con la chiave del servizio circuito. La chiave del servizio è disponibile nella pagina di panoramica della risorsa del circuito ExpressRoute. Per altre informazioni sulla configurazione del circuito ExpressRoute, vedere Creare o modificare la configurazione del peering. Dopo aver configurato correttamente il peering privato, è possibile collegare il gateway di rete virtuale ExpressRoute al circuito. Per altre informazioni, vedere Esercitazione: Connessione una rete virtuale a un circuito ExpressRoute usando il portale di Azure.

  6. Per completare la distribuzione della VPN da sito a sito come backup in ExpressRoute, vedere Creare una connessione VPN da sito a sito.

  7. Dopo aver configurato correttamente una connessione VPN alla stessa rete locale configurata con ExpressRoute, sarà stata completata la configurazione per eseguire il backup della connessione ExpressRoute in caso di errore totale nel percorso di peering.

Collaboratori

Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.

Autore principale:

Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.

Passaggi successivi