Configurare una VPN da sito a sito per l'uso con File di Azure

È possibile usare una connessione VPN da sito a sito (S2S) per montare le condivisioni file di Azure dalla rete locale, senza inviare dati tramite Internet aperto. È possibile configurare una VPN da sito a sito usando Gateway VPN di Azure, ovvero una risorsa di Azure che offre servizi VPN. Gateway VPN viene distribuito in un gruppo di risorse insieme agli account di archiviazione o ad altre risorse di Azure.

Per una descrizione completa delle opzioni di rete disponibili per File di Azure, è consigliabile leggere Panoramica della rete per File di Azure prima di procedere con questo articolo.

Questo articolo illustra i passaggi della configurazione di una VPN da sito a sito per montare le condivisioni file di Azure direttamente in locale. Se si vuole instradare il traffico di sincronizzazione per Sincronizzazione file di Azure tramite una VPN da sito a sito, vedere come configurare le impostazioni di proxy e firewall di Sincronizzazione file di Azure.

Si applica a

Tipo di condivisione file	SMB	NFS
Condivisioni file Standard (GPv2), archiviazione con ridondanza locale/archiviazione con ridondanza della zona
Condivisioni file Standard (GPv2), archiviazione con ridondanza geografica/archiviazione con ridondanza geografica della zona
Condivisioni file Premium (FileStorage), archiviazione con ridondanza locale/archiviazione con ridondanza della zona

Prerequisiti

• Una condivisione file di Azure che si vuole montare in locale. Le condivisioni file di Azure vengono distribuite all'interno degli account di archiviazione, ovvero costrutti di gestione che rappresentano un pool di archiviazione condiviso in cui è possibile distribuire più condivisioni file, oltra ad altre risorse come BLOB o code. Per altre informazioni su come distribuire condivisioni file di Azure e account di archiviazione, vedere Creare una condivisione file di Azure.

• Un'appliance o un server di rete nel data center locale compatibile con Gateway VPN di Azure. File di Azure è indipendente dall'appliance di rete locale scelta, ma Gateway VPN di Azure mantiene un elenco di dispositivi testati. Per la selezione di un'appliance di rete, è opportuno tenere presente che dispositivi diversi offrono funzionalità, caratteristiche di prestazioni e funzionalità di gestione diverse.

Se non si ha già un'appliance di rete, Windows Server contiene un ruolo predefinito del server, Routing e Accesso remoto, che può essere usato come appliance di rete locale. Per altre informazioni su come configurare Routing e Accesso remoto Windows Server, vedere Gateway RAS.

Aggiungere una rete virtuale all'account di archiviazione

Per aggiungere una rete virtuale nuova o esistente all'account di archiviazione, seguire questa procedura.

Portale

1. Accedere al portale di Azure e passare all'account di archiviazione che contiene la condivisione file di Azure che si vuole montare in locale.

2. Nel menu del servizio, in Sicurezza e rete, selezionare Rete. A meno che non sia stata aggiunta una rete virtuale all'account di archiviazione al momento della creazione, nel riquadro risultante sarà selezionato il pulsante di opzione per Abilitato per tutte le reti da Accesso alla rete pubblica.

3. Per aggiungere una rete virtuale, selezionare il pulsante di opzione Abilitato dalle reti virtuali e dagli indirizzi IP selezionati. Nell'intestazione secondaria Reti virtuali selezionare + Aggiungi rete virtuale esistente o + Aggiungi nuova rete virtuale. La creazione di una nuova rete virtuale genera la creazione di una nuova risorsa di Azure. La risorsa di rete virtuale nuova o esistente deve trovarsi nella stessa area dell'account di archiviazione, ma non deve trovarsi nello stesso gruppo di risorse o nella stessa sottoscrizione. Tenere tuttavia presente che il gruppo di risorse, l'area e la sottoscrizione in cui si distribuisce la rete virtuale devono corrispondere al punto in cui si distribuisce il gateway di rete virtuale nel passaggio successivo.

   

   Se si aggiunge una rete virtuale esistente, è necessario creare prima una subnet del gateway nella rete virtuale. Verrà chiesto di selezionare una o più subnet della rete virtuale. Se si crea una nuova rete virtuale, si creerà una subnet come parte del processo di creazione. È possibile aggiungere altre subnet in un secondo momento tramite la risorsa di Azure risultante per la rete virtuale.

   Se in precedenza non è stato abilitato l'accesso alla rete pubblica per la rete virtuale, l'endpoint servizio Microsoft.Storage dovrà essere aggiunto alla subnet della rete virtuale. Il completamento può richiedere fino a 15 minuti, anche se nella maggior parte dei casi sarà molto più veloce. Finché questa operazione non viene completata, non sarà possibile accedere alle condivisioni file di Azure all'interno di questo account di archiviazione, neanche tramite la connessione VPN. L'endpoint servizio instrada il traffico dalla rete virtuale attraverso un percorso ottimale al servizio Archiviazione di Azure. Con ogni richiesta vengono anche trasmesse le identità della subnet e della rete virtuale.

4. Seleziona Salva nella parte superiore della pagina.

Azure PowerShell

1. Accedere ad Azure.

   Connect-AzAccount
   

2. Se si vuole aggiungere una nuova rete virtuale e una nuova subnet del gateway, eseguire lo script seguente. Se si dispone di una rete virtuale esistente che si vuole usare, ignorare questo passaggio e procedere con il passaggio 3. Assicurarsi di sostituire <your-subscription-id>, <resource-group> e <storage-account-name> con i propri valori. Se lo si desidera, specificare i propri valori per $location e $vnetName. Il parametro -AddressPrefix definisce i blocchi di indirizzi IP per la rete virtuale e la subnet, quindi sostituire quelli con i rispettivi valori.

   # Select subscription  
   $subscriptionId = "<your-subscription-id>"
   Select-AzSubscription -SubscriptionId $subscriptionId
   
   # Define parameters
   $storageAccount = "<storage-account-name>"
   $resourceGroup = "<resource-group>"
   $location = "East US" # Change to desired Azure region
   $vnetName = "myVNet"
   # Virtual network gateway can only be created in subnet with name 'GatewaySubnet'.
   $subnetName = "GatewaySubnet"
   $vnetAddressPrefix = "10.0.0.0/16" # Update this address as per your requirements
   $subnetAddressPrefix = "10.0.0.0/24" # Update this address as per your requirements
   
   # Set current storage account
   Set-AzCurrentStorageAccount -ResourceGroupName $resourceGroup -Name $storageAccount
   
   # Define subnet configuration  
   $subnetConfig = New-AzVirtualNetworkSubnetConfig -Name $subnetName -AddressPrefix $subnetAddressPrefix
   
   # Create a virtual network  
   New-AzVirtualNetwork -Name $vnetName -ResourceGroupName $resourceGroup -Location $location -AddressPrefix $vnetAddressPrefix -Subnet $subnetConfig  
   

3. Se sono state create una nuova rete virtuale e una nuova subnet nel passaggio precedente, ignorare questo passaggio. Se si dispone di una rete virtuale esistente che si vuole usare, è necessario creare prima una subnet del gateway nella rete virtuale prima di poter distribuire un gateway di rete virtuale.

   Per aggiungere una subnet del gateway a una rete virtuale esistente, eseguire lo script seguente. Assicurarsi di sostituire <your-subscription-id>, <resource-group> e <virtual-network-name> con i propri valori. Il parametro $subnetAddressPrefix definisce il blocco di indirizzi IP per la subnet, quindi sostituire l'indirizzo IP in base ai requisiti.

   # Select subscription  
   $subscriptionId = "<your-subscription-id>"
   Select-AzSubscription -SubscriptionId $subscriptionId
   
   # Define parameters
   $storageAccount = "<storage-account-name>"
   $resourceGroup = "<resource-group>"
   $vnetName = "<virtual-network-name>"
   # Virtual network gateway can only be created in subnet with name 'GatewaySubnet'.
   $subnetName = "GatewaySubnet"
   $subnetAddressPrefix = "10.0.0.0/24" # Update this address as per your requirements
   
   # Set current storage account
   Set-AzCurrentStorageAccount -ResourceGroupName $resourceGroup -Name $storageAccount
   
   # Get the virtual network
   $vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $resourceGroup
   
   # Add the gateway subnet
   Add-AzVirtualNetworkSubnetConfig -Name $subnetName -VirtualNetwork $vnet -AddressPrefix $subnetAddressPrefix
   
   # Apply the configuration to the virtual network
   Set-AzVirtualNetwork -VirtualNetwork $vnet
   

4. Per consentire il traffico solo da reti virtuali specifiche, usare il comando Update-AzStorageAccountNetworkRuleSet e impostare il parametro -DefaultAction su Nega.

   Update-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroup -Name $storageAccount -DefaultAction Deny
   

5. Abilitare un endpoint di servizio Microsoft.Storage nella rete virtuale e nella subnet. Il completamento può richiedere fino a 15 minuti, anche se nella maggior parte dei casi sarà molto più veloce. Finché questa operazione non viene completata, non sarà possibile accedere alle condivisioni file di Azure all'interno di questo account di archiviazione, neanche tramite la connessione VPN. L'endpoint servizio instrada il traffico dalla rete virtuale attraverso un percorso ottimale al servizio Archiviazione di Azure. Con ogni richiesta vengono anche trasmesse le identità della subnet e della rete virtuale.

   Get-AzVirtualNetwork -ResourceGroupName $resourceGroup -Name $vnetName | Set-AzVirtualNetworkSubnetConfig -Name $subnetName -AddressPrefix $subnetAddressPrefix -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork
   

6. Aggiungere una regola di rete per la rete virtuale e la subnet.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName $resourceGroup -Name $vnetName | Get-AzVirtualNetworkSubnetConfig -Name $subnetName
   Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroup -Name $storageAccount -VirtualNetworkResourceId $subnet.Id
   

Interfaccia della riga di comando di Azure

1. Accedere ad Azure.

   az login
   

2. Se si vuole aggiungere una nuova rete virtuale e una nuova subnet del gateway, eseguire lo script seguente. Se si dispone di una rete virtuale esistente che si vuole usare, ignorare questo passaggio e procedere con il passaggio 3. Assicurarsi di sostituire <your-subscription-id>, <storage-account-name> e <resource-group> con i propri valori. Sostituire <virtual-network-name> con il nome della nuova rete virtuale da creare. I parametri --address-prefix e --subnet-prefixes definiscono i blocchi di indirizzi IP per la rete virtuale e la subnet, quindi sostituire quelli con i rispettivi valori. La rete virtuale verrà creata nella stessa area del gruppo di risorse.

   # Set your subscription  
   az account set --subscription "<your-subscription-id>"  
   
   # Define parameters
   storageAccount="<storage-account-name>"
   resourceGroup="<resource-group>"
   vnetName="<virtual-network-name>"
   # Virtual network gateway can only be created in subnet with name 'GatewaySubnet'.
   subnetName="GatewaySubnet"
   vnetAddressPrefix="10.0.0.0/16" # Update this address per your requirements
   subnetAddressPrefix="10.0.0.0/24" # Update this address per your requirements
   
   # Create a virtual network and subnet
   az network vnet create \
     --resource-group $resourceGroup \
     --name $vnetName \
     --address-prefix $vnetAddressPrefix \
     --subnet-name $subnetName \
     --subnet-prefixes $subnetAddressPrefix  
   

3. Se sono state create una nuova rete virtuale e una nuova subnet nel passaggio precedente, ignorare questo passaggio. Se si dispone di una rete virtuale esistente che si vuole usare, è necessario creare prima una subnet del gateway nella rete virtuale prima di poter distribuire un gateway di rete virtuale.

   Per aggiungere una subnet del gateway a una rete virtuale esistente, eseguire lo script seguente. Assicurarsi di sostituire <your-subscription-id>, <resource-group> e <virtual-network-name> con i propri valori. Il parametro --address-prefixes definisce il blocco di indirizzi IP per la subnet, quindi sostituire il blocco dell'indirizzo IP, se necessario.

   # Set your subscription  
   az account set --subscription "<your-subscription-id>"
   
   # Define parameters
   storageAccount="<storage-account-name>"
   resourceGroup="<resource-group>"
   vnetName="<virtual-network-name>"
   # Virtual network gateway can only be created in subnet with name 'GatewaySubnet'.
   subnetName="GatewaySubnet"
   subnetAddressPrefix="10.0.0.0/24" # Update this address per your requirements
   
   # Create the gateway subnet
   az network vnet subnet create \
     --resource-group $resourceGroup \
     --vnet-name $vnetName \
     --name $subnetName \
     --address-prefixes $subnetAddressPrefix
   

4. Per consentire il traffico solo da reti virtuali specifiche, usare il comando az storage account update e impostare il parametro --default-action su Nega.

   az storage account update --resource-group $resourceGroup --name $storageAccount --default-action Deny
   

5. Abilitare un endpoint di servizio Microsoft.Storage nella rete virtuale e nella subnet. Il completamento può richiedere fino a 15 minuti, anche se nella maggior parte dei casi sarà molto più veloce. Finché questa operazione non viene completata, non sarà possibile accedere alle condivisioni file di Azure all'interno di questo account di archiviazione, neanche tramite la connessione VPN. L'endpoint servizio instrada il traffico dalla rete virtuale attraverso un percorso ottimale al servizio Archiviazione di Azure. Con ogni richiesta vengono anche trasmesse le identità della subnet e della rete virtuale.

   az network vnet subnet update --resource-group $resourceGroup --vnet-name $vnetName --name $subnetName --service-endpoints "Microsoft.Storage.Global"
   

6. Aggiungere una regola di rete per la rete virtuale e la subnet.

   subnetid=$(az network vnet subnet show --resource-group $resourceGroup --vnet-name $vnetName --name $subnetName --query id --output tsv)
   az storage account network-rule add --resource-group $resourceGroup --account-name $storageAccount --subnet $subnetid
   

Distribuire un gateway di rete virtuale

Per distribuire un gateway di rete virtuale, seguire questa procedura.

Portale

1. Nella barra di ricerca in alto nel portale di Azure, cercare e selezionare Gateway di rete virtuale. Verrà visualizzata la pagina Gateway di rete virtuale. Nella parte superiore della pagina selezionare +Crea.

2. Nella scheda Informazioni di base inserire i valori per Dettagli del progetto e Dettagli dell’istanza. Il gateway di rete virtuale deve trovarsi nella stessa sottoscrizione, nell'area di Azure e nel gruppo di risorse della rete virtuale.

   

   • Sottoscrizione: selezionare la sottoscrizione da usare nell'elenco a discesa.
   • Gruppo di risorse: questa impostazione viene compilata automaticamente quando si seleziona la rete virtuale in questa pagina.
   • Nome: assegnare un nome al gateway di rete virtuale. Il nome del gateway non è uguale al nome della subnet del gateway. Si tratta del nome dell'oggetto gateway di rete virtuale che si sta creando.
   • Area: selezionare l'area in cui creare la risorsa. L'area del gateway di rete virtuale deve essere uguale a quella della rete virtuale.
   • Tipo di gateway: selezionare VPN. I gateway VPN usano il gateway di rete virtuale di tipo VPN.
   • SKU: selezionare lo SKU del gateway che supporta le funzionalità da usare nell'elenco a discesa. lo SKU controlla il numero di tunnel consentiti da sito a sito e le prestazioni desiderate per la VPN. Vedere SKU del gateway. Non usare lo SKU Basic se si vuole usare l'autenticazione IKEv2 (VPN basata su route).
   • Generazione: selezionare la generazione da usare. È consigliabile usare uno SKU di generazione 2 Per altre informazioni, vedere SKU del gateway.
   • Rete virtuale: nell'elenco a discesa, selezionare la rete virtuale aggiunta all'account di archiviazione nel passaggio precedente.
   • Subnet: questo campo deve essere disattivato e contenere il nome della subnet del gateway creata, insieme al relativo intervallo di indirizzi IP. Se invece viene visualizzato un campo Intervallo di indirizzi della subnet del gateway con una casella di testo, non è stata ancora configurata una subnet del gateway nella rete virtuale.

3. Specificare i valori per l'indirizzo IP pubblico associato al gateway di rete virtuale. L'indirizzo IP pubblico viene assegnato a questo oggetto durante la creazione del gateway di rete virtuale. L'unica volta in cui l'indirizzo IP pubblico primario viene modificato è quando il gateway viene eliminato e creato di nuovo. Non viene modificato in caso di ridimensionamento, reimpostazione o altre manutenzioni/aggiornamenti.

   

   • Indirizzo IP pubblico: l'indirizzo IP del gateway di rete virtuale che verrà esposto a Internet. Probabilmente sarà necessario creare un nuovo indirizzo IP, ma se ne può anche usare uno esistente non utilizzato. Se si seleziona Crea nuovo, verrà creata una nuova risorsa di Azure di tipo indirizzo IP nello stesso gruppo di risorse del gateway di rete virtuale e il relativo nome sarà indicato in Nome indirizzo IP pubblico. Se si seleziona Usa esistente, è necessario selezionare un indirizzo IP esistente inutilizzato.
   • Nome indirizzo IP pubblico: nella casella di testo digitare un nome per l'istanza dell'indirizzo IP pubblico.
   • SKU indirizzo IP pubblico: l'impostazione è selezionata automaticamente.
   • Assegnazione: l'assegnazione viene in genere selezionata automaticamente e può essere Dinamica o Statica.
   • Abilita la modalità attiva-attiva: selezionare Disabilitata. Abilitare questa impostazione solo se si sta creando una configurazione del gateway attivo-attivo. Per altre informazioni sulla modalità attiva-attiva, vedere Connettività cross-premise e da rete virtuale a rete virtuale a disponibilità elevata.
   • Configurazione BGP: selezionare Disabilitato, a meno che la configurazione non richieda specificamente il Border Gateway Protocol. Se è un'impostazione necessaria, il numero ASN predefinito è 65515, anche se questo valore può essere modificato. Per altre informazioni su questa impostazione, vedere Informazioni su BGP con i gateway VPN di Azure.

4. Selezionare Rivedi e crea per eseguire la convalida. Una volta superata la convalida, selezionare Crea per distribuire il gateway di rete virtuale. Il completamento della distribuzione può richiedere fino a 45 minuti.

Azure PowerShell

1. Innanzitutto, richiedere un indirizzo IP pubblico. Se si dispone di un indirizzo IP inutilizzato esistente che si vuole usare, è possibile ignorare questo passaggio. Sostituire <resource-group> con il nome del gruppo di risorse e specificare la stessa area di Azure usata per la rete virtuale.

   $gwpip = New-AzPublicIpAddress -Name "mypublicip" -ResourceGroupName "<resource-group>" -Location "East US" -AllocationMethod Static -Sku Standard
   

2. Creare quindi la configurazione dell'indirizzo IP del gateway definendo la subnet e l'indirizzo IP pubblico da usare. L'indirizzo IP pubblico del gateway VPN verrà esposto a Internet. Sostituire <virtual-network-name> e <resource-group> con valori personalizzati.

   $vnet = Get-AzVirtualNetwork -Name <virtual-network-name> -ResourceGroupName <resource-group>
   $subnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
   $gwipconfig = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig -SubnetId $subnet.Id -PublicIpAddressId $gwpip.Id
   

3. Eseguire lo script seguente per creare il gateway VPN.

   Sostituire <resource-group> con lo stesso gruppo di risorse della rete virtuale. Specificare lo SKU del gateway che supporta le funzionalità da usare. Lo SKU del gateway controlla il numero di tunnel consentiti da sito a sito e le prestazioni desiderate per la VPN. È consigliabile usare uno SKU di generazione 2. Non usare lo SKU Basic se si vuole usare l'autenticazione IKEv2 (VPN basata su route).

   New-AzVirtualNetworkGateway -Name MyVnetGateway -ResourceGroupName <resource-group> -Location "East US" -IpConfigurations $gwipconfig -GatewayType "Vpn" -VpnType RouteBased -GatewaySku VpnGw2 -VpnGatewayGeneration Generation2
   

   È anche possibile scegliere di includere altre funzionalità, ad esempio Border Gateway Protocol (BGP) e Active-Active. Vedere la documentazione per il cmdlet New-AzVirtualNetworkGateway. Se è necessario il BGP, il numero ASN predefinito è 65515, anche se questo valore può essere modificato.

4. La creazione di un gateway richiede anche più di 45 minuti di tempo a seconda dell'SKU gateway specificato. È possibile visualizzare il gateway VPN usando il cmdlet Get-AzVirtualNetworkGateway.

   Get-AzVirtualNetworkGateway -Name MyVnetGateway -ResourceGroup <resource-group>
   

Interfaccia della riga di comando di Azure

1. Innanzitutto, richiedere un indirizzo IP pubblico. Se si dispone di un indirizzo IP inutilizzato esistente che si vuole usare, è possibile ignorare questo passaggio. Sostituire <resource-group> con il nome del gruppo di risorse.

   az network public-ip create -n mypublicip -g <resource-group>
   

2. Eseguire lo script seguente per creare il gateway VPN. La creazione di un gateway richiede anche più di 45 minuti di tempo a seconda dell'SKU gateway che viene specificato.

   Sostituire <resource-group> con lo stesso gruppo di risorse della rete virtuale. Specificare lo SKU del gateway che supporta le funzionalità da usare. Lo SKU del gateway controlla il numero di tunnel consentiti da sito a sito e le prestazioni desiderate per la VPN. È consigliabile usare uno SKU di generazione 2. Non usare lo SKU Basic se si vuole usare l'autenticazione IKEv2 (VPN basata su route).

   az network vnet-gateway create -n MyVnetGateway -l eastus --public-ip-address mypublicip -g <resource-group> --vnet <virtual-network-name> --gateway-type Vpn --sku VpnGw2 --vpn-gateway-generation Generation2 --no-wait
   

   Il parametro --no-wait consente la creazione in background del gateway. Questo non significa che il gateway VPN sia creato immediatamente.

3. È possibile visualizzare il gateway VPN usando il comando seguente. Se il gateway VPN non è completamente distribuito, verrà visualizzato un messaggio di errore.

   az network vnet-gateway show -n MyVnetGateway -g <resource-group>
   

Creare un gateway di rete locale per il gateway locale

Un gateway di rete locale è una risorsa di Azure che rappresenta l'appliance di rete locale. Viene distribuito insieme all'account di archiviazione, alla rete virtuale e al gateway di rete virtuale, ma non deve trovarsi nello stesso gruppo di risorse o sottoscrizione dell'account di archiviazione. Per creare un gateway di rete locale, seguire questa procedura.

Portale

1. Nella barra di ricerca in alto nel portale di Azure, cercare e selezionare gateway di rete locale. Verrà visualizzata la pagina Gateway di rete locale. Nella parte superiore della pagina selezionare +Crea.

2. Nella scheda Informazioni di base inserire i valori per Dettagli del progetto e Dettagli dell’istanza.

   

   • Sottoscrizione: la sottoscrizione di Azure da usare. Non deve necessariamente corrispondere alla sottoscrizione usata per il gateway di rete virtuale o per l'account di archiviazione.
   • Gruppo di risorse: il gruppo di risorse desiderato. Non deve necessariamente corrispondere al gruppo di risorse usato per il gateway di rete virtuale o per l'account di archiviazione.
   • Area: l'area di Azure in cui dovrà essere creata la risorsa gateway di rete locale. Deve corrispondere all'area selezionata per il gateway di rete virtuale e per l'account di archiviazione.
   • Nome: il nome della risorsa di Azure per il gateway di rete locale. Può essere qualsiasi nome che si ritiene utile per la gestione.
   • Endpoint: lasciare selezionato l'indirizzo IP.
   • Indirizzo IP: l'indirizzo IP pubblico del gateway locale in locale.
   • Spazio indirizzi: l'intervallo o gli intervalli di indirizzi per la rete rappresentata da questo gateway di rete locale. Esempio: 192.168.0.0/16. Se si aggiungono più intervalli dello spazio di indirizzi, assicurarsi che gli intervalli specificati non si sovrappongano a quelli di altre reti a cui ci si vuole connettere. Se si prevede di usare questo gateway di rete locale in una connessione abilitata per BGP, il prefisso minimo che è necessario dichiarare è l'indirizzo host dell'indirizzo IP del peer BGP nel dispositivo VPN.

3. Se l'organizzazione richiede il BGP, selezionare la scheda Avanzate per configurare le impostazioni BGP. Per altre informazioni, vedere Informazioni su BGP con Gateway VPN di Azure.

4. Selezionare Rivedi e crea per eseguire la convalida. Al termine della convalida, selezionare Crea per creare il gateway di rete locale.

Azure PowerShell

Eseguire il comando seguente per creare un nuovo gateway di rete locale. Sostituire <resource-group> con il proprio valore.

Il parametro -AddressPrefix specifica l'intervallo o gli intervalli di indirizzi per la rete rappresentata dal gateway di rete locale. Se si aggiungono più intervalli dello spazio di indirizzi, assicurarsi che gli intervalli specificati non si sovrappongano a quelli di altre reti a cui ci si vuole connettere.

New-AzLocalNetworkGateway -Name MyLocalGateway -Location "East US" -AddressPrefix @('10.101.0.0/24','10.101.1.0/24') -GatewayIpAddress "5.4.3.2" -ResourceGroupName <resource-group>

Interfaccia della riga di comando di Azure

Eseguire il comando seguente per creare un nuovo gateway di rete locale. Sostituire <resource-group> con il proprio valore.

Il parametro --local-address-prefixes specifica l'intervallo o gli intervalli di indirizzi per la rete rappresentata dal gateway di rete locale. Se si aggiungono più intervalli dello spazio di indirizzi, assicurarsi che gli intervalli specificati non si sovrappongano a quelli di altre reti a cui ci si vuole connettere.

az network local-gateway create --gateway-ip-address 5.4.3.2 --name MyLocalGateway -g <resource-group> --local-address-prefixes 10.101.0.0/24 10.101.1.0/24

Configurare l'appliance di rete locale

I passaggi specifici per configurare l'appliance di rete locale dipendono dall'appliance di rete selezionata dall'organizzazione.

Durante la configurazione dell'appliance di rete, sono necessari gli elementi seguenti:

• Chiave condivisa. Si tratta della stessa chiave condivisa che viene specificata durante la creazione della connessione VPN da sito a sito. Negli esempi viene usata una chiave condivisa di base, ad esempio "abc123". È consigliabile generare una chiave più complessa da usare, che sia conforme ai requisiti di sicurezza dell'organizzazione.

• Indirizzo IP pubblico del gateway di rete virtuale. Per trovare l'indirizzo IP pubblico del gateway di rete virtuale con PowerShell, eseguire il comando seguente. In questo esempio, mypublicip è il nome della risorsa indirizzo IP pubblico creata nel passaggio precedente.

  Get-AzPublicIpAddress -Name mypublicip -ResourceGroupName <resource-group>
  

A seconda del dispositivo VPN usato, potrebbe essere possibile scaricare un apposito script di configurazione. Per altre informazioni, vedere Scaricare gli script di configurazione del dispositivo VPN.

Per altre informazioni sulla configurazione, vedere i collegamenti seguenti:

• Per informazioni sui dispositivi VPN compatibili, vedere Informazioni sui dispositivi VPN.

• Prima di configurare il dispositivo VPN, verificare la presenza di eventuali problemi noti di compatibilità del dispositivo.

• Per collegamenti alle impostazioni di configurazione dei dispositivi, vedere Dispositivi VPN convalidati. Sono disponibili collegamenti di configurazione del dispositivo il più esaurienti possibile, ma è sempre consigliabile rivolgersi al produttore del dispositivo per ottenere le informazioni di configurazione più recenti.

  L'elenco mostra le versioni testate. Se la versione del sistema operativo per il proprio dispositivo VPN non è presente nell'elenco, potrebbe comunque essere compatibile. Rivolgersi al produttore del dispositivo.

• Per informazioni di base sulla configurazione dei dispositivi VPN, vedere Panoramica delle configurazioni dei dispositivi VPN dei partner.

• Per informazioni sulla modifica degli esempi, vedere Modifica degli esempi di configurazione di dispositivo.

• Per i requisiti di crittografia, vedere About cryptographic requirements and Azure VPN gateways (Informazioni sui requisiti di crittografia e i gateway VPN di Azure).

• Per informazioni sui parametri necessari per completare la configurazione, vedere Parametri IPsec/IKE predefiniti. Le informazioni includono la versione IKE, il gruppo Diffie-Hellman (DH), il metodo di autenticazione, gli algoritmi di crittografia e hash, la durata dell'associazione di sicurezza (SA), l'impostazione PFS (Perfect Forward Secrecy) e il rilevamento di peer non recapitabili (DPD).

• Per i passaggi di configurazione dei criteri IPsec/IKE, vedere Configurare criteri di connessione IPsec/IKE personalizzati per VPN da sito a sito e da rete virtuale a rete virtuale.

• Per connettere più dispositivi VPN basati su criteri, vedere Connettere un gateway VPN a più dispositivi VPN basati su criteri locali basati su criteri.

Creare la connessione da sito a sito

Per completare la distribuzione di una VPN da sito a sito, è necessario creare una connessione tra l'appliance di rete locale (rappresentata dalla risorsa gateway di rete locale) e il gateway di rete virtuale di Azure. A tale scopo, eseguire la procedura seguente.

Portale

1. Esplorare il gateway di rete virtuale creato. Nel sommario per il gateway di rete virtuale, selezionare Impostazioni > Connessioni e quindi selezionare + Aggiungi.

2. Nella scheda Informazioni di base inserire i valori per Dettagli del progetto e Dettagli dell’istanza.

   

   • Sottoscrizione: la sottoscrizione di Azure da usare.
   • Gruppo di risorse: il gruppo di risorse desiderato.
   • Tipo di connessione: poiché si tratta di una connessione da sito a sito, selezionare Da sito a sito (IPSec) nell'elenco a discesa.
   • Nome: il nome della connessione. Un gateway di rete virtuale può ospitare più connessioni, quindi scegliere un nome che sia utile per la gestione e che distinguerà questa particolare connessione dalle altre.
   • Area: l'area selezionata per il gateway di rete virtuale e per l'account di archiviazione.

3. Nella scheda Impostazioni, fornire le informazioni seguenti.

   

   • Gateway di rete virtuale: selezionare il gateway di rete virtuale creato.
   • Gateway di rete locale: selezionare il gateway di rete locale creato.
   • Chiave condivisa (PSK): una combinazione di lettere e numeri usata per stabilire la crittografia per la connessione. È necessario usare la stessa chiave condivisa sia nella rete virtuale che nei gateway di rete locali. Se il gateway non ne prevede una, è possibile crearla qui e fornirla al dispositivo.
   • Protocollo IKE: a seconda del dispositivo VPN, selezionare IKEv1 per VPN basata su criteri o IKEv2 per VPN basata su route. Per altre informazioni sui due tipi di gateway VPN, vedere Informazioni sui gateway VPN basati su criteri e basati su route.
   • Usare l'indirizzo IP privato di Azure: la verifica di questa opzione consente di usare gli indirizzi IP privati di Azure per stabilire una connessione VPN IPsec. Per il corretto funzionamento di questa opzione, è necessario impostare il supporto per gli indirizzi IP privati nel gateway VPN. È supportato solo per gli SKU del gateway della zona di disponibilità.
   • Abilita BGP: lasciare questa opzione deselezionata, a meno che l'organizzazione non richieda specificamente questa impostazione.
   • Abilita indirizzi BGP personalizzati: lasciare questa opzione deselezionata, a meno che l'organizzazione non richieda specificamente questa impostazione.
   • FastPath: FastPath è progettato per migliorare le prestazioni del percorso dati tra la rete locale e la rete virtuale. Altre informazioni.
   • Criterio IPsec/IKE: il criterio IPsec/IKE che verrà negoziato per la connessione. Lasciare selezionata l'opzione Predefinita a meno che l'organizzazione non richieda criteri personalizzati. Altre informazioni.
   • Usare il selettore di traffico basato su criteri: lasciare disabilitato, a meno che non sia necessario configurare il gateway VPN di Azure per connettersi a un firewall VPN basato su criteri in locale. Se si abilita questo campo, è necessario verificare che i selettori di traffico corrispondenti siano definiti nel dispositivo VPN con tutte le combinazioni dei prefissi della rete locale (gateway di rete locale) da/verso i prefissi della rete virtuale di Azure, anziché any-to-any. Se i prefissi della rete locale sono 10.1.0.0/16 e 10.2.0.0/16 e i prefissi della rete virtuale sono 192.168.0.0/16 e 172.16.0.0/16, ad esempio, è necessario specificare i selettori di traffico seguenti:
     • 10.1.0.0/16 <====> 192.168.0.0/16
     • 10.1.0.0/16 <====> 172.16.0.0/16
     • 10.2.0.0/16 <====> 192.168.0.0/16
     • 10.2.0.0/16 <====> 172.16.0.0/16
   • Timeout DPD in secondi: timeout di rilevamento peer inattivi della connessione in secondi. Il valore predefinito e consigliato di questa proprietà è 45 secondi.
   • Modalità di connessione: la modalità di connessione viene usata per decidere quale gateway può avviare la connessione. Quando questo valore è impostato su:
     • Impostazione predefinita: sia Azure che il gateway VPN locale possono avviare la connessione.
     • ResponderOnly: il gateway VPN di Azure non avvierà mai la connessione. Il gateway VPN locale deve avviare la connessione.
     • InitiatorOnly: il gateway VPN di Azure avvierà la connessione e rifiuterà eventuali tentativi di connessione dal gateway VPN locale.

4. Selezionare Rivedi e crea per eseguire la convalida. Al termine della convalida, selezionare Crea per creare la connessione. È possibile verificare se la connessione è stata creata correttamente tramite la pagina Connessioni del gateway di rete virtuale.

Azure PowerShell

Eseguire i comandi seguenti per creare la connessione VPN da sito a sito tra il gateway di rete virtuale e il dispositivo locale. Assicurarsi di sostituire i valori con i propri. La chiave condivisa deve corrispondere al valore utilizzato per la configurazione del dispositivo VPN. -ConnectionType per la VPN da sito a sito è IPsec.

Per altre opzioni, vedere la documentazione per il cmdlet New-AzVirtualNetworkGatewayConnection.

1. Impostare le variabili.

   $gateway1 = Get-AzVirtualNetworkGateway -Name MyVnetGateway -ResourceGroupName <resource-group>
   $local = Get-AzLocalNetworkGateway -Name MyLocalGateway -ResourceGroupName <resource-group>
   

2. Creare la connessione VPN.

   New-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName <resource-group> `
   -Location 'East US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
   -ConnectionType IPsec -SharedKey 'abc123'
   

3. La connessione verrà stabilita in breve tempo. È possibile verificare la connessione VPN eseguendo il comando seguente. Quando richiesto, selezionare "A" per eseguire "Tutti".

   Get-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName <resource-group>
   

   Lo stato della connessione deve essere visualizzato come "Connesso".

Interfaccia della riga di comando di Azure

Eseguire i comandi seguenti per creare la connessione VPN da sito a sito tra il gateway di rete virtuale e il dispositivo locale. Assicurarsi di sostituire i valori con i propri. La chiave condivisa deve corrispondere al valore utilizzato per la configurazione del dispositivo VPN.

Per altre opzioni, vedere la documentazione per il comando az network vnet create.

az network vpn-connection create --name VNet1toSite1 --resource-group <resource-group> --vnet-gateway1 MyVnetGateway -l eastus --shared-key abc123 --local-gateway MyLocalGateway

La connessione verrà stabilita in breve tempo. È possibile verificare la connessione VPN eseguendo il comando seguente. Mentre è in corso l'operazione per stabilire la connessione, lo stato della connessione è "Connecting". Dopo che la connessione è stata stabilita, lo stato diventa "Connected".

az network vpn-connection show --name VNet1toSite1 --resource-group <resource-group>

Montare la condivisione file di Azure

Il passaggio finale per la configurazione di una VPN da sito a sito consiste nel verificare che funzioni per File di Azure. A questo scopo, montare la condivisione file di Azure in locale. Per le istruzioni per il montaggio in base a sistema operativo, vedere qui:

• Windows
• macOS
• Linux (NFS)
• Linux (SMB)

Vedi anche

• Panoramica della rete per File di Azure
• Configurare una VPN da punto a sito in Windows per l'uso con File di Azure
• Configurare una VPN da punto a sito in Linux per l'uso con File di Azure