Creare un peering di rete virtuale - Resource Manager, sottoscrizioni diverse e tenant di Microsoft Entra
Articolo
In questa esercitazione si apprenderà a creare un peering di rete virtuale tra reti virtuali distribuite tramite Resource Manager. Le reti virtuali esistono in sottoscrizioni diverse che possono appartenere a tenant Microsoft Entra diversi. Il peering di due reti virtuali consente alle risorse che si trovano in reti virtuali diverse di comunicare tra loro con la stessa larghezza di banda e la stessa latenza come se fossero nella stessa rete virtuale. Altre informazioni sul Peering di rete virtuale.
A seconda che le reti virtuali si trovino nella stessa sottoscrizione o in sottoscrizioni diverse, i passaggi per creare un peering di rete virtuale sono diversi. I passaggi per eseguire il peering delle reti create con il modello di distribuzione classica sono diversi. Per altre informazioni sui modelli di distribuzione, vedere Modello di distribuzione di Azure.
Per informazioni su come creare un peering di rete virtuale in altri scenari, selezionare lo scenario nella tabella seguente:
Non è possibile creare un peering di rete virtuale tra due reti virtuali distribuite tramite il modello di distribuzione classica. Se è necessario connettere due reti virtuali, entrambe create tramite il modello di distribuzione classica, è possibile usare un gateway VPN di Azure.
Questa esercitazione consente di eseguire il peering di due reti virtuali nella stessa area. È anche possibile eseguire il peering di reti virtuali in diverse aree supportate. È consigliabile acquisire familiarità con i requisiti e i vincoli del peering prima di eseguire il peering di reti virtuali.
Un account Azure con autorizzazioni in entrambe le sottoscrizioni o un account in ogni sottoscrizione con le autorizzazioni appropriate per creare un peering di rete virtuale. Per un elenco di autorizzazioni, vedere Autorizzazioni di peering di reti virtuali.
Per separare il dovere di gestire la rete appartenente a ogni tenant, aggiungere l'utente da ogni tenant come guest nel tenant opposto e assegnargli il ruolo Collaboratore rete alla rete virtuale. Questa procedura si applica se le reti virtuali si trovano in sottoscrizioni diverse e tenant di Active Directory.
Per stabilire un peering di rete quando non si intende separare il dovere di gestire la rete appartenente a ogni tenant, aggiungere l'utente dal tenant A come guest nel tenant opposto. Assegnare quindi il ruolo Collaboratore rete per avviare e connettere il peering di rete da ogni sottoscrizione. Con queste autorizzazioni, l'utente è in grado di stabilire il peering di rete da ogni sottoscrizione.
Un account Azure con autorizzazioni in entrambe le sottoscrizioni o un account in ogni sottoscrizione con le autorizzazioni appropriate per creare un peering di rete virtuale. Per un elenco di autorizzazioni, vedere Autorizzazioni di peering di reti virtuali.
Per separare il dovere di gestire la rete appartenente a ogni tenant, aggiungere l'utente da ogni tenant come guest nel tenant opposto e assegnargli il ruolo Collaboratore rete alla rete virtuale. Questa procedura si applica se le reti virtuali si trovano in sottoscrizioni diverse e tenant di Active Directory.
Per stabilire un peering di rete quando non si intende separare il dovere di gestire la rete appartenente a ogni tenant, aggiungere l'utente dal tenant A come guest nel tenant opposto. Assegnare quindi il ruolo Collaboratore rete per avviare e connettere il peering di rete da ogni sottoscrizione. Con queste autorizzazioni, l'utente è in grado di stabilire il peering di rete da ogni sottoscrizione.
Ciascun utente deve accettare l'invito per l'utente guest dal tenant di Microsoft Entra opposto.
Azure PowerShell installato localmente o Azure Cloud Shell.
Accedere ad Azure PowerShell e assicurarsi di aver selezionato la sottoscrizione con cui si vuole usare questa funzionalità. Per altre informazioni, vedere Accedere con Azure PowerShell.
Verificare che il Az.Network modulo sia 4.3.0 o versione successiva. Per verificare il modulo installato, usare il comando Get-InstalledModule -Name "Az.Network". Se il modulo richiede un aggiornamento, usare il comando Update-Module -Name Az.Network , se necessario.
Se si sceglie di installare e usare PowerShell in locale, per questo articolo è necessario il modulo Azure PowerShell 5.4.1 o versione successiva. Eseguire Get-Module -ListAvailable Az per trovare la versione installata. Se è necessario eseguire l'aggiornamento, vedere Installare e configurare Azure PowerShell. Se si esegue PowerShell in locale, è anche necessario eseguire Connect-AzAccount per creare una connessione con Azure.
Un account Azure con autorizzazioni in entrambe le sottoscrizioni o un account in ogni sottoscrizione con le autorizzazioni appropriate per creare un peering di rete virtuale. Per un elenco di autorizzazioni, vedere Autorizzazioni di peering di reti virtuali.
Per separare il dovere di gestire la rete appartenente a ogni tenant, aggiungere l'utente da ogni tenant come guest nel tenant opposto e assegnargli il ruolo Collaboratore rete alla rete virtuale. Questa procedura si applica se le reti virtuali si trovano in sottoscrizioni diverse e tenant di Active Directory.
Per stabilire un peering di rete quando non si intende separare il dovere di gestire la rete appartenente a ogni tenant, aggiungere l'utente dal tenant A come guest nel tenant opposto. Assegnare quindi il ruolo Collaboratore rete per avviare e connettere il peering di rete da ogni sottoscrizione. Con queste autorizzazioni, l'utente è in grado di stabilire il peering di rete da ogni sottoscrizione.
Se si preferisce eseguire i comandi di riferimento dell'interfaccia della riga di comando in locale, installare l'interfaccia della riga di comando di Azure. Per l'esecuzione in Windows o macOS, è consigliabile eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker. Per altre informazioni, vedere Come eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker.
Se si usa un'installazione locale, accedere all'interfaccia della riga di comando di Azure con il comando az login. Per completare il processo di autenticazione, seguire la procedura visualizzata nel terminale. Per altre opzioni di accesso, vedere Accedere con l'interfaccia della riga di comando di Azure.
Eseguire az version per trovare la versione e le librerie dipendenti installate. Per eseguire l'aggiornamento alla versione più recente, eseguire az upgrade.
Questo articolo sulle procedure richiede la versione 2.31.0 o successiva dell'interfaccia della riga di comando di Azure. Se si usa Azure Cloud Shell, la versione più recente è già installata.
Nei passaggi seguenti viene illustrato come eseguire il peering di reti virtuali in sottoscrizioni diverse e tenant di Microsoft Entra.
È possibile usare lo stesso account con autorizzazioni in entrambe le sottoscrizioni oppure è possibile usare account separati per ogni sottoscrizione per configurare il peering. Un account con autorizzazioni in entrambe le sottoscrizioni può completare tutti i passaggi senza disconnessione e accesso al portale e assegnazione delle autorizzazioni.
Nei passaggi descritti in questo articolo vengono usati gli esempi di risorse e account seguenti:
Account utente
Resource group
Subscription
Rete virtuale
user-1
test-rg
subscription-1
vnet-1
user-2
test-rg-2
subscription-2
vnet-2
Creare una rete virtuale - vnet-1
Nota
Se si usa un singolo account per completare i passaggi, è possibile ignorare i passaggi per la disconnessione dal portale e assegnare altre autorizzazioni utente alle reti virtuali.
Se si usa un account per entrambe le sottoscrizioni, accedere a tale account e modificare il contesto della sottoscrizione impostando subscription-1 con Set-AzContext.
Set-AzContext -Subscription subscription-1
Creare un gruppo di risorse - test-rg
Un gruppo di risorse di Azure è un contenitore logico in cui le risorse di Azure vengono distribuite e gestite.
Creare una rete virtuale con New-AzVirtualNetwork. Questo esempio crea una rete virtuale subnet-1 denominata vnet-1 nella località Stati Uniti occidentali 3 :
Azure distribuisce risorse in una subnet all'interno di una rete virtuale, pertanto è necessario creare una subnet. Creare una configurazione della subnet denominata subnet-1 con Add-AzVirtualNetworkSubnetConfig:
Se si usa un account per entrambe le sottoscrizioni, accedere a tale account e modificare il contesto della sottoscrizione in subscription-1 con az account set.
az account set --subscription "subscription-1"
Creare un gruppo di risorse - test-rg
Un gruppo di risorse di Azure è un contenitore logico in cui le risorse di Azure vengono distribuite e gestite.
Come prima cosa creare con az group create un gruppo di risorse:
az group create \
--name test-rg \
--location eastus2
Creare la rete virtuale
Creare una rete virtuale e una subnet con az network vnet create. Questo esempio crea una rete virtuale subnet-1 denominata vnet-1 nella località Stati Uniti occidentali 3 .
Un account utente nell'altra sottoscrizione con cui si vuole eseguire il peering deve essere aggiunto alla rete creata in precedenza. Se si usa un singolo account per entrambe le sottoscrizioni, è possibile ignorare questa sezione.
Usare Get-AzADUser per ottenere l'ID oggetto per user-2.
user-2 viene usato in questo esempio per l'account utente. Sostituire questo valore con il nome visualizzato per l'utente della sottoscrizione-2 che si desidera assegnare le autorizzazioni a vnet-1. È possibile ignorare questo passaggio se si usa lo stesso account per entrambe le sottoscrizioni.
user-2 viene usato in questo esempio per l'account utente. Sostituire questo valore con il nome visualizzato per l'utente della sottoscrizione-2 che si desidera assegnare le autorizzazioni a vnet-1. È possibile ignorare questo passaggio se si usa lo stesso account per entrambe le sottoscrizioni.
Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali nei risultati della ricerca.
Selezionare vnet-1.
In Impostazioni selezionare Proprietà.
Copiare le informazioni nel campo ID risorsa e salvarle per i passaggi successivi. L'ID della risorsa è simile all'esempio seguente: /subscriptions/<Subscription Id>/resourceGroups/test-rg/providers/Microsoft.Network/virtualNetworks/vnet-1.
Disconnettersi dal portale come utente-1.
L'ID risorsa vnet-1è necessario per configurare la connessione di peering da vnet-2 a vnet-1. Usare Get-AzVirtualNetwork per ottenere l'ID risorsa per vnet-1.
L'ID risorsa vnet-1è necessario per configurare la connessione di peering da vnet-2 a vnet-1. Usare az network vnet show per ottenere l'ID risorsa per vnet-1.
vnetidA=$(az network vnet show \
--name vnet-1 \
--resource-group test-rg \
--query id \
--output tsv)
echo $vnetidA
Creare una rete virtuale - vnet-2
In questa sezione si accede come utente-2 e si crea una rete virtuale per la connessione di peering a vnet-1.
Se si usa un account per entrambe le sottoscrizioni, accedere a tale account e modificare il contesto della sottoscrizione impostando subscription-2 con Set-AzContext.
Set-AzContext -Subscription subscription-2
Creare un gruppo di risorse - test-rg-2
Un gruppo di risorse di Azure è un contenitore logico in cui le risorse di Azure vengono distribuite e gestite.
Creare una rete virtuale con New-AzVirtualNetwork. Questo esempio crea una rete virtuale subnet-1 denominata vnet-2 nella località Stati Uniti occidentali 3 :
Azure distribuisce risorse in una subnet all'interno di una rete virtuale, pertanto è necessario creare una subnet. Creare una configurazione della subnet denominata subnet-1 con Add-AzVirtualNetworkSubnetConfig:
Se si usa un account per entrambe le sottoscrizioni, accedere a tale account e modificare il contesto della sottoscrizione in subscription-2 con az account set.
az account set --subscription "subscription-2"
Creare un gruppo di risorse - test-rg-2
Un gruppo di risorse di Azure è un contenitore logico in cui le risorse di Azure vengono distribuite e gestite.
Come prima cosa creare con az group create un gruppo di risorse:
az group create \
--name test-rg-2 \
--location eastus2
Creare la rete virtuale
Creare una rete virtuale e una subnet con az network vnet create. Questo esempio crea una rete virtuale subnet-1 denominata vnet-2 nella località Stati Uniti occidentali 3 .
Un account utente nell'altra sottoscrizione con cui si vuole eseguire il peering deve essere aggiunto alla rete creata in precedenza. Se si usa un singolo account per entrambe le sottoscrizioni, è possibile ignorare questa sezione.
Usare Get-AzADUser per ottenere l'ID oggetto per user-1.
user-1 viene usato in questo esempio per l'account utente. Sostituire questo valore con il nome visualizzato per l'utente della sottoscrizione-1 che si vuole assegnare le autorizzazioni a vnet-2. È possibile ignorare questo passaggio se si usa lo stesso account per entrambe le sottoscrizioni.
user-1 viene usato in questo esempio per l'account utente. Sostituire questo valore con il nome visualizzato per l'utente della sottoscrizione-1 che si vuole assegnare le autorizzazioni a vnet-2. È possibile ignorare questo passaggio se si usa lo stesso account per entrambe le sottoscrizioni.
Prendere nota dell'ID oggetto di user-1 nell'ID campo. In questo esempio è ee0645cc-e439-4ffc-b956-79577e473969.
vnetid=$(az network vnet show \
--name vnet-2 \
--resource-group test-rg-2 \
--query id \
--output tsv)
az role assignment create \
--assignee ee0645cc-e439-4ffc-b956-79577e473969 \
--role "Network Contributor" \
--scope $vnetid
Ottenere l'ID risorsa di vnet-2
L'ID risorsa vnet-2è necessario per configurare la connessione di peering da vnet-1 a vnet-2. Usare la procedura seguente per ottenere l'ID risorsa di vnet-2.
Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali nei risultati della ricerca.
Selezionare vnet-2.
In Impostazioni selezionare Proprietà.
Copiare le informazioni nel campo ID risorsa e salvarle per i passaggi successivi. L'ID della risorsa è simile all'esempio seguente: /subscriptions/<Subscription Id>/resourceGroups/test-rg-2/providers/Microsoft.Network/virtualNetworks/vnet-2.
Disconnettersi dal portale come utente-2.
L'ID risorsa vnet-2è necessario per configurare la connessione di peering da vnet-1 a vnet-2. Usare Get-AzVirtualNetwork per ottenere l'ID risorsa per vnet-2.
L'ID risorsa vnet-2è necessario per configurare la connessione di peering da vnet-1 a vnet-2. Usare az network vnet show per ottenere l'ID risorsa per vnet-2.
vnetidB=$(az network vnet show \
--name vnet-2 \
--resource-group test-rg-2 \
--query id \
--output tsv)
echo $vnetidB
Creare una connessione di peering - da vnet-1 a vnet-2
Per configurare la connessione di peering, è necessario l'ID risorsa per vnet-2 dei passaggi precedenti.
Se si usa un account per entrambe le sottoscrizioni, accedere a tale account e modificare il contesto della sottoscrizione impostando subscription-1 con Set-AzContext.
Set-AzContext -Subscription subscription-1
Accedere alla sottoscrizione-2
Eseguire l'autenticazione alla sottoscrizione-2 in modo che sia possibile configurare il peering.
Se si usa un account per entrambe le sottoscrizioni, accedere a tale account e modificare il contesto della sottoscrizione in subscription-1 con az account set.
az account set --subscription "subscription-1"
Accedere alla sottoscrizione-2
Eseguire l'autenticazione alla sottoscrizione-2 in modo che sia possibile configurare il peering.
az network vnet peering list \
--resource-group test-rg \
--vnet-name vnet-1 \
--output table
La connessione di peering viene visualizzata in Peering in stato Avviato . Per completare il peer, è necessario configurare una connessione corrispondente in vnet-2.
Creare una connessione di peering - da vnet-2 a vnet-1
Sono necessari gli ID risorsa per vnet-1 dai passaggi precedenti per configurare la connessione di peering.
Se si usa un account per entrambe le sottoscrizioni, accedere a tale account e modificare il contesto della sottoscrizione impostando subscription-2 con Set-AzContext.
Set-AzContext -Subscription subscription-2
Accedere alla sottoscrizione-1
Eseguire l'autenticazione alla sottoscrizione-1 in modo che sia possibile configurare il peering.
Se si usa un account per entrambe le sottoscrizioni, accedere a tale account e modificare il contesto della sottoscrizione in subscription-2 con az account set.
az account set --subscription "subscription-2"
Accedere alla sottoscrizione-1
Eseguire l'autenticazione alla sottoscrizione-1 in modo che sia possibile configurare il peering.
az network vnet peering list \
--resource-group test-rg-2 \
--vnet-name vnet-2 \
--output table
Il peering viene stabilito correttamente dopo aver visualizzato Connessione nella colonna Stato peering per entrambe le reti virtuali nel peering. Tutte le risorse di Azure create in una delle reti virtuali possono ora comunicare tra loro tramite i relativi indirizzi IP. Se si usa la risoluzione dei nomi di Azure subnet-1 per le reti virtuali, le risorse nelle reti virtuali non sono in grado di risolvere i nomi tra le reti virtuali. Per risolvere i nomi tra reti virtuali in un peering, è necessario creare un server DNS personalizzato o usare DNS di Azure.
Per altre informazioni sull'uso del proprio DNS per la risoluzione dei nomi, vedere Risoluzione dei nomi con il proprio server DNS.
Per altre informazioni su DNS di Azure, vedere Informazioni su DNS di Azure.