Condividi tramite


Rete virtuale peering

Il peering di rete virtuale consente di connettere facilmente reti virtuali in un ambiente hub di Azure Stack. Le reti virtuali vengono visualizzate come una sola per facilitare la connettività. Il traffico tra macchine virtuali usa l'infrastruttura SDN sottostante. Come il traffico tra macchine virtuali nella stessa rete, il traffico viene instradato solo tramite la rete privata dell'hub di Azure Stack.

L'hub di Azure Stack non supporta il peering globale, poiché il concetto di "aree" non viene applicato.

I vantaggi dell'uso del peering di rete virtuale sono i seguenti:

  • Connessione a bassa latenza e larghezza di banda elevata tra le risorse in reti virtuali diverse all'interno dello stesso timbro dell'hub di Azure Stack.
  • Possibilità di risorse in una rete virtuale di comunicare con le risorse in una rete virtuale diversa all'interno dello stesso timbro dell'hub di Azure Stack.
  • Possibilità di trasferire dati tra reti virtuali tra sottoscrizioni diverse all'interno dello stesso tenant Microsoft Entra.
  • Tempo di inattività nullo per le risorse nelle due reti virtuali durante o dopo la creazione del peering.

Il traffico di rete tra reti virtuali di cui è stato eseguito il peering è privato. Il traffico tra reti virtuali viene mantenuto nel livello dell'infrastruttura. Nessuna rete Internet pubblica, gateway o crittografia è necessaria nella comunicazione tra reti virtuali.

Connettività

Per le reti virtuali con peering, le risorse in una rete virtuale possono connettersi direttamente con le risorse nella rete virtuale con peering.

La latenza di rete tra macchine virtuali presenti in reti virtuali di cui è stato eseguito il peering nella stessa area è identica a quella in un'unica rete virtuale. La velocità effettiva della rete si basa sulla larghezza di banda consentita per la macchina virtuale proporzionalmente alle relative dimensioni, senza altre restrizioni alla larghezza di banda consentita nel peering.

Il traffico tra macchine virtuali nelle reti virtuali con peering viene instradato direttamente attraverso il livello SDN, non tramite un gateway o tramite Internet pubblico.

È possibile applicare gruppi di sicurezza di rete nella rete virtuale per bloccare l'accesso ad altre reti virtuali o subnet. Quando si configura il peering di rete virtuale, aprire o chiudere le regole del gruppo di sicurezza di rete tra le reti virtuali. Se si apre la connettività completa tra reti virtuali con peering, è possibile applicare gruppi di sicurezza di rete per bloccare o negare l'accesso specifico. La connettività completa è l'opzione predefinita. Per altre informazioni sui gruppi di sicurezza di rete, vedere Gruppi di sicurezza.

Concatenamento dei servizi

Il concatenamento dei servizi consente di indirizzare il traffico da una rete virtuale a un'appliance virtuale o un gateway in una rete con peering tramite route definite dall'utente.

Per abilitare il concatenamento dei servizi, configurare route definite dall'utente che puntano alle macchine virtuali in reti virtuali con peering come indirizzo IP hop successivo .

È possibile distribuire reti hub-spoke , dove la rete virtuale hub ospita componenti dell'infrastruttura, ad esempio un'appliance virtuale di rete o un gateway VPN. e tutte le reti virtuali spoke possono eseguire il peering con la rete virtuale dell'hub. Il traffico passa attraverso le appliance virtuali di rete o i gateway VPN nella rete virtuale hub.

Il peering di rete virtuale consente all'hop successivo in una route definita dall'utente di essere l'indirizzo IP di una macchina virtuale nella rete virtuale con peering. Per altre informazioni sulle route definite dall'utente, vedere Route definite dall'utente. Per informazioni su come creare una topologia di rete hub e spoke, vedere Topologia di rete hub-spoke in Azure.

Gateway e connettività locale

Ogni rete virtuale, inclusa una rete virtuale con peering, può avere il proprio gateway. Una rete virtuale può usare il gateway per connettersi a una rete locale. Consultare la documentazione dell'hub di Azure stack Rete virtuale gateway.

È anche possibile configurare il gateway nella rete virtuale con peering come punto di transito a una rete locale. In questo caso, la rete virtuale che usa un gateway remoto non può avere il proprio gateway. Una rete virtuale ha un solo gateway. Il gateway è un gateway locale o remoto nella rete virtuale con peering, come illustrato nella figura seguente:

Topologia del gateway VPN

Si noti che è necessario creare un oggetto Connection nel gateway VPN prima di abilitare le opzioni UseRemoteGateways nel peering.

Importante

L'hub di Azure Stack configura le route di sistema in base alle subnet delle reti virtuali con peering, non al prefisso dell'indirizzo di rete virtuale. Questa operazione è diversa dall'implementazione di Azure. Se si desidera eseguire l'override delle route predefinite del sistema, ad esempio lo scenario descritto in Scenario: instradare il traffico tramite un'appliance virtuale di rete o una topologia di rete hub spoke in Azure, in cui si vuole instradare il traffico a un'appliance NVA o firewall, è necessario creare una voce di route per ogni subnet all'interno della rete virtuale.

Configurazione del peering di rete virtuale

Consenti l'accesso alla rete virtuale: L'abilitazione della comunicazione tra reti virtuali consente alle risorse connesse a una rete virtuale di comunicare tra loro con la stessa larghezza di banda e latenza come se fossero connesse alla stessa rete virtuale. Tutte le comunicazioni tra le risorse nelle due reti virtuali vengono indirizzate attraverso il livello SDN interno.

Un motivo per non abilitare l'accesso alla rete potrebbe essere uno scenario in cui è stato eseguito il peering di una rete virtuale con un'altra rete virtuale, ma talvolta si vuole disabilitare il flusso di traffico tra le due reti virtuali. È possibile che l'abilitazione o la disabilitazione sia più utile rispetto all'eliminazione e alla ricreazione dei peering. Quando questa impostazione è disabilitata, il traffico non scorre tra le reti virtuali con peering.

Consenti traffico inoltrato: selezionare questa casella per consentire al traffico inoltrato da un'appliance virtuale di rete a una rete virtuale (ma che non ha avuto origine dalla rete virtuale) di raggiungere la rete virtuale tramite un peering. Si considerino ad esempio tre reti virtuali denominate Spoke1, Spoke2 e Hub. Tra ognuna delle reti virtuali Spoke e la rete virtuale Hub esiste un peering, che però non esiste tra le reti virtuali Spoke. Un'appliance virtuale di rete viene distribuita nella rete virtuale Hub e route definite dall'utente vengono applicate a ogni rete virtuale Spoke che instrada il traffico tra le subnet attraverso l'appliance virtuale di rete. Se questa casella di controllo non è selezionata per il peering tra ogni rete virtuale spoke e la rete virtuale hub, il traffico non scorre tra le reti virtuali spoke perché l'hub non inoltra il traffico tra le reti virtuali. L'abilitazione di questa funzionalità consente il traffico inoltrato attraverso il peering, tuttavia non crea route definite dall'utente né appliance virtuali di rete. Le route definite dall'utente e le appliance virtuali di rete vengono create separatamente. Informazioni sulle route definite dall'utente. Non è necessario controllare questa impostazione se il traffico viene inoltrato tra reti virtuali tramite un Gateway VPN.

Consenti transito del gateway: Selezionare questa casella se si dispone di un gateway di rete virtuale collegato a questa rete virtuale e si vuole consentire il traffico dalla rete virtuale con peering per il flusso attraverso il gateway. Questa rete virtuale, ad esempio, potrebbe essere collegata a una rete locale tramite un gateway di rete virtuale. Selezionando questa casella, si consente il flusso del traffico verso la rete locale dalla rete virtuale con peering attraverso il gateway collegato alla rete virtuale stessa. Se si seleziona questa casella, la rete virtuale con peering non può avere un gateway configurato. La rete virtuale con peering deve avere la casella Usa gateway remoti selezionata durante la configurazione del peering dall'altra rete virtuale a questa rete virtuale. Se si lascia deselezionata questa casella (impostazione predefinita), il traffico dalla rete virtuale con peering passa comunque a questa rete virtuale, ma non può passare attraverso un gateway di rete virtuale collegato a questa rete virtuale.

Usa gateway remoti: selezionare questa casella per consentire il flusso del traffico da questa rete virtuale attraverso un gateway di rete virtuale collegato alla rete virtuale con cui si sta eseguendo il peering. Ad esempio, la rete virtuale con cui si sta eseguendo il peering ha un gateway VPN collegato che consente la comunicazione con una rete locale. Selezionando questa casella, si consente il flusso del traffico da questa rete virtuale attraverso il gateway VPN collegato alla rete virtuale con peering. Se si seleziona questa casella, la rete virtuale con peering deve avere un gateway di rete virtuale collegato e deve avere la casella di transito Consenti gateway . Se si lascia deselezionata questa casella (impostazione predefinita), il traffico dalla rete virtuale con peering può comunque passare a questa rete virtuale, ma non può passare attraverso un gateway di rete virtuale collegato a questa rete virtuale.

Non è possibile usare gateway remoti se si dispone già di un gateway configurato nella rete virtuale.

Autorizzazioni

Assicurarsi che quando si creano peering con VNET in sottoscrizioni diverse all'interno dello stesso tenant Microsoft Entra, gli account hanno almeno il ruolo collaboratore di rete assegnato.

Importante

L'hub di Azure Stack non supporta il peering reti virtuali tra reti virtuali in sottoscrizioni diverse e in tenant diversi Microsoft Entra. Supporta il peering reti virtuali tra reti virtuali in sottoscrizioni diverse, purché tali sottoscrizioni appartengano allo stesso tenant Microsoft Entra. Questa operazione è diversa dall'implementazione di Azure.

Domande frequenti sul peering di rete virtuale

Che cos'è il peering di rete virtuale?

Il peering di rete virtuale consente di connettere reti virtuali. Usando una connessione di peering di reti virtuali è possibile instradare il traffico tra le reti in modo privato tramite indirizzi IPv4. Le macchine virtuali nelle reti virtuali con peering possono comunicare tra loro come se si trovassero nella stessa rete. È anche possibile creare connessioni di peering reti virtuali tra più sottoscrizioni all'interno dello stesso tenant Microsoft Entra.

L'hub di Azure Stack supporta il peering globale della rete virtuale?

L'hub di Azure Stack non supporta il peering globale, poiché il concetto di "aree" non viene applicato.

In quale aggiornamento dell'hub di Azure Stack sarà disponibile il peering di rete virtuale?

Il peering di rete virtuale è disponibile nell'hub di Azure Stack a partire dall'aggiornamento 2008.

È possibile eseguire il peering della rete virtuale nell'hub di Azure Stack a una rete virtuale in Azure?

No, il peering tra Azure e l'hub di Azure Stack non è supportato in questo momento.

È possibile eseguire il peering della rete virtuale in Hub di Azure Stack1 a una rete virtuale in Azure Stack Hub2?

No, il peering può essere creato solo tra reti virtuali in un sistema hub di Azure Stack. Per altre informazioni su come connettere due reti virtuali da stamp diversi, vedere Stabilire una rete virtuale per la connessione alla rete virtuale nell'hub di Azure Stack.

È possibile abilitare il peering se le reti virtuali appartengono alle sottoscrizioni all'interno di tenant diversi Microsoft Entra?

No. Non è possibile stabilire il peering reti virtuali se le sottoscrizioni appartengono a tenant diversi Microsoft Entra. Si tratta di una limitazione specifica per l'hub di Azure Stack.

È possibile eseguire il peering della rete virtuale con una rete virtuale in una sottoscrizione diversa?

Sì. È possibile eseguire il peering di reti virtuali tra sottoscrizioni diverse se appartengono allo stesso tenant Microsoft Entra.

Sono presenti limitazioni relative alla larghezza di banda per le connessioni peering?

No. Il peering di rete virtuale non impone restrizioni di larghezza di banda. La larghezza di banda è limitata solo dalla macchina virtuale o dalla risorsa di calcolo.

La connessione peering di rete virtuale è in stato Avviato , perché non è possibile connettersi?

Se la connessione di peering è in stato Avviato , significa che è stato creato un solo collegamento. È necessario creare un collegamento bidirezionale per stabilire una connessione. Ad esempio, per eseguire il peering della rete virtuale A alla rete virtuale B, è necessario creare un collegamento dalla rete virtuale A alla rete virtuale B e dalla rete B alla rete virtuale A. La creazione di entrambi i collegamenti modifica lo stato su Connesso.

La connessione peering di rete virtuale è in stato Disconnesso , perché non è possibile creare una connessione di peering?

Se la connessione peering di rete virtuale è in stato Disconnesso , significa che uno dei collegamenti creati è stato eliminato. Per ristabilire una connessione di peering, eliminare il collegamento e ricrearlo.

Il traffico di peering di rete virtuale è crittografato?

No. Il traffico tra le risorse nelle reti virtuali con peering è privato e isolato. Rimane completamente nel livello SDN del sistema hub di Azure Stack.

Se si esegue il peering della rete virtuale A alla rete virtuale B e si esegue il peering della rete virtuale B alla rete virtuale C, significa che la rete virtuale A e la rete virtuale C sono con peering?

No. Il peering transitivo non è supportato. È necessario eseguire il peering della rete virtuale A e della rete virtuale C.

Passaggi successivi