Aggiungere una connessione da sito a sito a una rete virtuale con una connessione gateway VPN esistente (modello classico)
Questo articolo illustra come usare PowerShell per aggiungere connessioni da sito a sito (S2S) a un gateway VPN con una connessione esistente usando il modello di distribuzione classico (legacy). Questo tipo di connessione viene talvolta definito configurazione "multisito". Questi passaggi non si applicano alle configurazioni di connessione coesistenti expressroute/da sito a sito.
I passaggi descritti in questo articolo si applicano al modello di distribuzione classica (legacy) e non al modello di distribuzione corrente, Resource Manager. A meno che non si voglia lavorare nel modello di distribuzione classica in modo specifico, è consigliabile usare la versione di Resource Manager di questo articolo.
Nota
Questo articolo riguarda il modello di distribuzione classica (legacy). È consigliabile usare invece il modello di distribuzione di Azure più recente. Il modello di distribuzione Resource Manager è il modello di distribuzione più recente e offre più opzioni e compatibilità con le funzionalità rispetto al modello di distribuzione classica. Per comprendere la differenza tra questi due modelli di distribuzione, vedere Informazioni sui modelli di distribuzione e sullo stato delle risorse.
Se si desidera usare una versione diversa di questo articolo, usare il sommario nel riquadro sinistro.
Informazioni sulla connessione
È possibile connettere più siti locali a una singola rete virtuale. Ciò è particolarmente interessante per la creazione di soluzioni per cloud ibride. La creazione di una connessione multisito al gateway della rete virtuale di Azure è simile alla creazione di altre connessioni da sito a sito. È infatti possibile usare un gateway VPN di Azure esistente, purché il gateway sia dinamico (basato su route).
Se è già presente un gateway statico connesso alla rete virtuale, è possibile modificare il tipo di gateway in dinamico senza dover ricreare la rete virtuale per adattarla a più siti. Prima di modificare il tipo di routing, assicurarsi che il gateway VPN locale supporti le configurazioni VPN basate su route.
Elementi da considerare:
Non sarà possibile usare il portale per apportare modifiche a questa rete virtuale. È necessario apportare modifiche al file di configurazione di rete invece di usare il portale. Se si apportano modifiche nel portale, queste sovrascriveranno le impostazioni di riferimento multisito per questa rete virtuale.
Dovrebbe risultare semplice usando il file di configurazione di rete nel momento in cui è stata completata la procedura multisito. Tuttavia, se si ci sono più persone che lavorano alla configurazione di rete, è necessario verificare che tutti siano a conoscenza di questa limitazione. Ciò non significa che non sia possibile usare il portale. È possibile usarlo per qualsiasi operazione, ad eccezione delle modifiche di configurazione a questa particolare rete virtuale.
Operazioni preliminari
Prima di iniziare la configurazione, verificare ci siano le condizioni seguenti:
- Hardware VPN compatibile per ogni sede locale. Controllare le Informazioni sui dispositivi VPN per le connessioni di rete virtuale da sito a sito per verificare se il dispositivo che si intende usare è ritenuto compatibile.
- Un indirizzo IP IPv4 pubblico esterno per ogni dispositivo VPN. L'indirizzo IP non può trovarsi dietro un NAT. Questo è un requisito.
- Una persona esperta nella configurazione di hardware VPN. È necessario avere una conoscenza approfondita di come configurare il proprio dispositivo VPN oppure lavorare insieme una persona esperta in questo campo.
- Gli intervalli di indirizzi IP da usare per la propria rete virtuale (se non ne hai già creata una).
- Gli intervalli di indirizzi IP per ogni sito della rete locale a cui si effettuerà la connessione. È necessario assicurarsi che gli intervalli di indirizzi IP per ogni sito di rete locale a cui ci si vuole connettere non si sovrappongano. In caso contrario, il portale o l'API REST rifiuta la configurazione caricata.
Se, ad esempio, ci sono due siti della rete locale che entrambi contengono l'intervallo di indirizzo IP 10.2.3.0/24 e si ha a disposizione un pacchetto con un indirizzo di destinazione 10.2.3.3, Azure non saprà a quale sito si vuole inviare il pacchetto perché gli intervalli degli indirizzi si sovrappongono. Per evitare problemi di routing, Azure non consente di caricare un file di configurazione con intervalli che si sovrappongono.
Uso di Azure PowerShell
Quando si usa il modello di distribuzione classica, non è possibile usare Azure Cloud Shell. È invece necessario installare la versione più recente dei cmdlet di PowerShell per Gestione dei servizi di Azure (SM) a livello locale nel computer. Questi cmdlet sono diversi dai cmdlet di AzureRM o Az. Per installare i cmdlet per Gestione dei servizi, vedere Installare i cmdlet di Gestione dei servizi. Per altre informazioni su Azure PowerShell in generale, vedere la documentazione di Azure PowerShell.
1. Creare una VPN da sito a sito
Se già si dispone di una VPN da sito a sito con un gateway di routing dinamico, eseguire l'operazione seguente. È possibile procedere e iniziare a Esportare le impostazioni di configurazione della rete virtuale. Se non ne avete una, eseguire le operazioni seguenti:
Se già si ha a disposizione una rete virtuale da sito a sito, ma con un gateway di routing statico basato su criteri:
- Modificare il tipo di gateway in routing dinamico. Una VPN multisito richiede un gateway di routing dinamico, ovvero basato su route. Per modificare il tipo di gateway, è necessario prima eliminare quello esistente e poi crearne uno nuovo.
- Configurare il nuovo gateway e creare il proprio tunnel VPN. Per istruzioni vedere Specificare il tipo di SKU e VPN. Assicurarsi di specificare il tipo di routing come "dinamico".
Se non si ha a disposizione una rete virtuale da sito a sito:
- Creare una rete virtuale da sito a sito usando le istruzioni seguenti: Creare una rete virtuale con una connessione VPN da sito a sito.
- Configurare un gateway di routing dinamico usando le istruzioni seguenti: Configurare un gateway VPN. Assicurarsi di selezionare routing dinamico per il tipo di gateway.
2. Esportare il file di configurazione di rete
Aprire la console di PowerShell con diritti elevati. Per passare alla gestione dei servizi, usare questo comando:
azure config mode asm
Connettersi all'account. Per eseguire la connessione, usare gli esempi che seguono:
Add-AzureAccount
Esportare il file di configurazione di rete di Azure eseguendo il comando seguente. Se necessario è possibile modificare il percorso del file da esportare.
Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml
3. Aprire il file di configurazione di rete
Aprire il file di configurazione di rete scaricato nell'ultimo passaggio. Usare qualsiasi editor xml desiderato. Il codice dovrebbe essere simile a quello riportato di seguito:
<NetworkConfiguration xmlns:xsd="https://www.w3.org/2001/XMLSchema" xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.microsoft.com/ServiceHosting/2011/07/NetworkConfiguration">
<VirtualNetworkConfiguration>
<LocalNetworkSites>
<LocalNetworkSite name="Site1">
<AddressSpace>
<AddressPrefix>10.0.0.0/16</AddressPrefix>
<AddressPrefix>10.1.0.0/16</AddressPrefix>
</AddressSpace>
<VPNGatewayAddress>131.2.3.4</VPNGatewayAddress>
</LocalNetworkSite>
<LocalNetworkSite name="Site2">
<AddressSpace>
<AddressPrefix>10.2.0.0/16</AddressPrefix>
<AddressPrefix>10.3.0.0/16</AddressPrefix>
</AddressSpace>
<VPNGatewayAddress>131.4.5.6</VPNGatewayAddress>
</LocalNetworkSite>
</LocalNetworkSites>
<VirtualNetworkSites>
<VirtualNetworkSite name="VNet1" AffinityGroup="USWest">
<AddressSpace>
<AddressPrefix>10.20.0.0/16</AddressPrefix>
<AddressPrefix>10.21.0.0/16</AddressPrefix>
</AddressSpace>
<Subnets>
<Subnet name="FE">
<AddressPrefix>10.20.0.0/24</AddressPrefix>
</Subnet>
<Subnet name="BE">
<AddressPrefix>10.20.1.0/24</AddressPrefix>
</Subnet>
<Subnet name="GatewaySubnet">
<AddressPrefix>10.20.2.0/29</AddressPrefix>
</Subnet>
</Subnets>
<Gateway>
<ConnectionsToLocalNetwork>
<LocalNetworkSiteRef name="Site1">
<Connection type="IPsec" />
</LocalNetworkSiteRef>
</ConnectionsToLocalNetwork>
</Gateway>
</VirtualNetworkSite>
</VirtualNetworkSites>
</VirtualNetworkConfiguration>
</NetworkConfiguration>
4. Aggiungere più riferimenti al sito
Quando si aggiungono o rimuovono le informazioni di riferimento ai siti, si apporteranno modifiche alla configurazione in ConnectionsToLocalNetwork/LocalNetworkSiteRef. L'aggiunta di un nuovo riferimento a siti locali induce Azure a creare un nuovo tunnel. Nell'esempio seguente, la configurazione di rete è per una connessione a un singolo sito. Dopo aver apportato le modifiche, salvare il file.
<Gateway>
<ConnectionsToLocalNetwork>
<LocalNetworkSiteRef name="Site1"><Connection type="IPsec" /></LocalNetworkSiteRef>
</ConnectionsToLocalNetwork>
</Gateway>
Per aggiungere riferimenti ad altri siti (creare una configurazione multisito), è sufficiente aggiungere altre righe "LocalNetworkSiteRef", come illustrato nell'esempio riportato di seguito:
<Gateway>
<ConnectionsToLocalNetwork>
<LocalNetworkSiteRef name="Site1"><Connection type="IPsec" /></LocalNetworkSiteRef>
<LocalNetworkSiteRef name="Site2"><Connection type="IPsec" /></LocalNetworkSiteRef>
</ConnectionsToLocalNetwork>
</Gateway>
5. Importare il file di configurazione di rete
Importare il file di configurazione di rete. Quando si importa questo file con le modifiche, vengono aggiunti i nuovi tunnel. I tunnel usano il gateway dinamico creato in precedenza. È possibile usare PowerShell per importare il file.
6. Scaricare le chiavi
Dopo aver aggiunto i nuovi tunnel, usare il cmdlet di PowerShell 'Get-AzureVNetGatewayKey' per ottenere le chiavi precondivise IPsec/IKE per ogni tunnel.
Ad esempio:
Get-AzureVNetGatewayKey –VNetName "VNet1" –LocalNetworkSiteName "Site1"
Get-AzureVNetGatewayKey –VNetName "VNet1" –LocalNetworkSiteName "Site2"
Se si preferisce, è anche possibile usare l'API REST Get Rete virtuale Gateway Shared Key per ottenere le chiavi precondivise.
7. Verificare le connessioni
Verificare lo stato del tunnel multisito. Dopo aver scaricato le chiavi per ogni tunnel, è opportuno verificare le connessioni. Usare "Get-AzureVnetConnection" per ottenere un elenco di tunnel di rete virtuale, come illustrato nell'esempio seguente. VNet1 è il nome della rete virtuale.
Get-AzureVnetConnection -VNetName VNET1
Esempio restituito:
ConnectivityState : Connected
EgressBytesTransferred : 661530
IngressBytesTransferred : 519207
LastConnectionEstablished : 5/2/2014 2:51:40 PM
LastEventID : 23401
LastEventMessage : The connectivity state for the local network site 'Site1' changed from Not Connected to Connected.
LastEventTimeStamp : 5/2/2014 2:51:40 PM
LocalNetworkSiteName : Site1
OperationDescription : Get-AzureVNetConnection
OperationId : 7f68a8e6-51e9-9db4-88c2-16b8067fed7f
OperationStatus : Succeeded
ConnectivityState : Connected
EgressBytesTransferred : 789398
IngressBytesTransferred : 143908
LastConnectionEstablished : 5/2/2014 3:20:40 PM
LastEventID : 23401
LastEventMessage : The connectivity state for the local network site 'Site2' changed from Not Connected to Connected.
LastEventTimeStamp : 5/2/2014 2:51:40 PM
LocalNetworkSiteName : Site2
OperationDescription : Get-AzureVNetConnection
OperationId : 7893b329-51e9-9db4-88c2-16b8067fed7f
OperationStatus : Succeeded
Passaggi successivi
Per altre informazioni sui gateway VPN, vedere Informazioni sui gateway VPN.