Connettere l'hub di Azure Stack ad Azure tramite VPN

  • Articolo

Questo articolo descrive come creare una VPN da sito a sito per connettere una rete virtuale nell'hub di Azure Stack a una rete virtuale in Azure.

Prima di iniziare

Per completare la configurazione della connessione, assicurarsi di disporre degli elementi seguenti prima di iniziare:

  • Distribuzione di sistemi integrati (multinodo) dell'hub di Azure Stack direttamente connessi a Internet. L'intervallo di indirizzi IP pubblici esterni deve essere raggiungibile direttamente da Internet pubblico.
  • Una sottoscrizione di Azure valida. Se non si ha una sottoscrizione di Azure, è possibile creare un account Azure gratuito qui.

Diagramma della connessione VPN

La figura seguente mostra l'aspetto della configurazione della connessione al termine:

Configurazione della connessione VPN da sito a sito

Valori di esempio di configurazione di rete

La tabella degli esempi di configurazione di rete mostra i valori usati per esempi in questo articolo. È possibile usare questi valori oppure farvi riferimento per comprendere meglio gli esempi in questo articolo:

Valore Hub di Azure Stack Azure
Nome della rete virtuale Azs-VNet AzureVNet
Spazio indirizzi rete virtuale 10.1.0.0/16 10.100.0.0/16
Nome della subnet FrontEnd FrontEnd
Intervallo di indirizzi subnet 10.1.0.0/24 10.100.0.0/24
Subnet gateway 10.1.1.0/24 10.100.1.0/24

Creare le risorse di rete in Azure

Creare prima di tutto le risorse di rete per Azure. Le istruzioni seguenti illustrano come creare le risorse usando il portale di Azure.

Creare la subnet della rete virtuale e della macchina virtuale

  1. Accedere al portale di Azure usando l'account Azure.
  2. Nel portale utenti selezionare + Crea una risorsa.
  3. Passare a Marketplace e quindi selezionare Rete.
  4. Selezionare Rete virtuale.
  5. Usare le informazioni della tabella di configurazione di rete per identificare i valori per Nome di Azure, Spazio indirizzi, Nome subnet e Intervallo di indirizzi subnet.
  6. Per Gruppo di risorse creare un nuovo gruppo di risorse o, se ne è già disponibile uno, selezionare Usa esistente.
  7. Selezionare il percorso della rete virtuale. Se si usano i valori di esempio, selezionare Stati Uniti orientali o usare un'altra posizione.
  8. Selezionare Aggiungi al dashboard.
  9. Selezionare Crea.

Creare la subnet del gateway

  1. Aprire la risorsa di rete virtuale creata (AzureVNet) dal dashboard.

  2. Nella sezione Impostazioni selezionare Subnet.

  3. Selezionare Subnet del gateway per aggiungere una subnet del gateway alla rete virtuale.

  4. Il nome predefinito della subnet è GatewaySubnet.

    Importante

    Questo nome specifico è necessario per il corretto funzionamento delle subnet del gateway.

  5. Nel campo Intervallo indirizzi verificare che l'indirizzo sia 10.100.1.0/24.

  6. Selezionare OK per creare la subnet del gateway.

Creare il gateway di rete virtuale

  1. Nel portale di Azure selezionare + Crea una risorsa.
  2. Passare a Marketplace e quindi selezionare Rete.
  3. Nell'elenco delle risorse di rete selezionare Gateway di rete virtuale.
  4. Nel campo Nome digitare Azure-GW.
  5. Per scegliere una rete virtuale, selezionare Rete virtuale. Selezionare quindi AzureVnet nell'elenco.
  6. Selezionare Indirizzo IP pubblico. Quando si apre la sezione Scegli indirizzo IP pubblico , selezionare Crea nuovo.
  7. Nel campo Nome digitare Azure-GW-PiP e quindi selezionare OK.
  8. Verificare che la Sottoscrizione e la Località siano corrette. È possibile aggiungere la risorsa al dashboard. Selezionare Crea.

Creare la risorsa del gateway di rete locale

  1. Nel portale di Azure selezionare + Crea una risorsa.

  2. Passare a Marketplace e quindi selezionare Rete.

  3. Nell'elenco delle risorse selezionare Gateway di rete locale.

  4. Nel campo Nome digitare Azs-GW.

  5. Nel campo Indirizzo IP digitare l'indirizzo IP pubblico per l'hub di Azure Stack Rete virtuale Gateway elencato in precedenza nella tabella di configurazione di rete.

  6. Nel campo Spazio indirizzi , dall'hub di Azure Stack, digitare lo spazio indirizzi 10.1.0.0/24 e 10.1.1.0/24 per AzureVNet.

  7. Verificare che la sottoscrizione, il gruppo di risorse e la località siano corrette e quindi selezionare Crea.

Creare la connessione

  1. Nel portale utenti selezionare + Crea una risorsa.

  2. Passare a Marketplace e quindi selezionare Rete.

  3. Nell'elenco delle risorse selezionare Connessione.

  4. Nella sezione Impostazioni di base scegliere Da sito a sito (IPSec) per Tipo di connessione.

  5. Selezionare la sottoscrizione, il gruppo di risorse e la località, quindi selezionare OK.

  6. Nella sezione Impostazioni selezionare Gateway di rete virtuale e quindi Azure-GW.

  7. Selezionare Gateway di rete locale e quindi Azs-GW.

  8. In Nome connessione digitare Azure-Azs.

  9. In Chiave condivisa (PSK) digitare 12345 e quindi selezionare OK.

    Nota

    Se si usa un valore diverso per la chiave condivisa, tenere presente che deve corrispondere al valore per la chiave condivisa creata nell'altra estremità della connessione.

  10. Esaminare la sezione Riepilogo e quindi selezionare OK.

Creare un criterio IPSec personalizzato

È necessario un criterio IPSec personalizzato per consentire ad Azure di corrispondere all'hub di Azure Stack.

  1. Creare un criterio personalizzato:

    $IPSecPolicy = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup ECP384  `
-IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256 -PfsGroup ECP384 -SALifeTimeSeconds 27000 `
-SADataSizeKilobytes 102400000

  2. Applicare i criteri alla connessione:

    $Connection = Get-AzVirtualNetworkGatewayConnection -Name myTunnel -ResourceGroupName myRG
Set-AzVirtualNetworkGatewayConnection -IpsecPolicies $IPSecPolicy -VirtualNetworkGatewayConnection $Connection

Creare una VM

Creare ora una macchina virtuale in Azure e inserirla nella subnet della macchina virtuale nella rete virtuale.

  1. Nel portale di Azure selezionare + Crea una risorsa.

  2. Passare a Marketplace e quindi selezionare Calcolo.

  3. Nell'elenco delle immagini della macchina virtuale selezionare l'immagine Windows Server 2016 Datacenter Eval.

  4. Nella sezione Nozioni di base digitare AzureVM per Nome.

  5. Digitare un nome utente e una password validi. Questo account viene usato per accedere alla macchina virtuale dopo la creazione.

  6. Specificare una sottoscrizione, un gruppo di risorse e una posizione e quindi selezionare OK.

  7. Nella sezione Dimensioni selezionare una dimensione della macchina virtuale per questa istanza e quindi selezionare Seleziona.

  8. Nella sezione Impostazioni è possibile usare le impostazioni predefinite. Prima di selezionare OK, verificare che:

    • La rete virtuale AzureVnet è selezionata.
    • La subnet è impostata su 10.100.0.0/24.

    Selezionare OK.

  9. Esaminare le impostazioni nella sezione Riepilogo e quindi selezionare OK.

Creare le risorse di rete nell'hub di Azure Stack

Creare quindi le risorse di rete nell'hub di Azure Stack.

Accedere come utente

Un amministratore del servizio può accedere come utente per testare i piani, le offerte e le sottoscrizioni che gli utenti potrebbero usare. Se non ne hai già uno, crea un account utente prima di accedere.

Creare la rete virtuale e una subnet della macchina virtuale

  1. Usare un account utente per accedere al portale utente.

  2. Nel portale utente selezionare + Crea una risorsa.

    Crea una nuova rete virtuale

  3. Passare a Marketplace e quindi selezionare Rete.

  4. Selezionare Rete virtuale.

  5. Per Nome, Spazio indirizzi, Nome subnet e Intervallo di indirizzi subnet, usare i valori della tabella di configurazione di rete.

  6. In Sottoscrizione viene visualizzata la sottoscrizione creata in precedenza.

  7. Per Gruppo di risorse è possibile creare un gruppo di risorse o se ne è già disponibile uno, selezionare Usa esistente.

  8. Verificare la località predefinita.

  9. Selezionare Aggiungi al dashboard.

  10. Selezionare Crea.

Creare la subnet del gateway

  1. Nel dashboard aprire la risorsa di rete virtuale Azs-VNet creata.

  2. Nella sezione Impostazioni selezionare Subnet.

  3. Per aggiungere una subnet gateway alla rete virtuale, selezionare Subnet gateway.

    Aggiungere la subnet del gateway

  4. Per impostazione predefinita, il nome della subnet è impostato su GatewaySubnet. Affinché le subnet del gateway funzionino correttamente, devono usare il nome gatewaySubnet .

  5. In Intervallo di indirizzi verificare che l'indirizzo sia 10.1.1.0/24.

  6. Selezionare OK per creare la subnet del gateway.

Creare il gateway di rete virtuale

  1. Nel portale dell'hub di Azure Stack selezionare + Crea una risorsa.

  2. Passare a Marketplace e quindi selezionare Rete.

  3. Nell'elenco delle risorse di rete selezionare Gateway di rete virtuale.

  4. In Nome digitare Azs-GW.

  5. Selezionare l'elemento Rete virtuale per scegliere una rete virtuale. Selezionare Azs-VNet dall'elenco.

  6. Selezionare la voce di menu Indirizzo IP pubblico . Quando si apre la sezione Scegli indirizzo IP pubblico , selezionare Crea nuovo.

  7. In Nome digitare Azs-GW-PiP e quindi selezionare OK.

  8. Per impostazione predefinita, la route basata su route è selezionata per il tipo VPN. Mantenere il tipo VPN basato su route .

  9. Verificare che la Sottoscrizione e la Località siano corrette. È possibile aggiungere la risorsa al dashboard. Selezionare Crea.

Creare il gateway di rete locale

Il concetto di un gateway di rete locale nell'hub di Azure Stack è diverso da quello di una distribuzione di Azure.

In una distribuzione di Azure, un gateway di rete locale rappresenta un dispositivo fisico locale (nel percorso utente) che si connette a un gateway di rete virtuale in Azure. Tuttavia, nell'hub di Azure Stack entrambe le estremità della connessione sono gateway di rete virtuale.

Una descrizione più generica è che la risorsa gateway di rete locale indica sempre il gateway remoto all'altra fine della connessione.

Creare la risorsa del gateway di rete locale

  1. Accedere al portale dell'hub di Azure Stack.

  2. Nel portale utente selezionare + Crea una risorsa.

  3. Passare a Marketplace e quindi selezionare Rete.

  4. Nell'elenco delle risorse selezionare gateway di rete locale.

  5. Nel campo Nome digitare Azure-GW.

  6. Nel campo Indirizzo IP digitare l'indirizzo IP pubblico per il gateway di rete virtuale in Azure-GW-PiP. Questo indirizzo viene visualizzato in precedenza nella tabella di configurazione di rete.

  7. Nel campo Spazio indirizzi per lo spazio indirizzi della rete virtuale di Azure creata digitare 10.100.0.0/24 e 10.100.1.0/24.

  8. Verificare che i valori della sottoscrizione, del gruppo di risorse e della posizione siano corretti e quindi selezionare Crea.

Creare la connessione

  1. Nel portale utente selezionare + Crea una risorsa.

  2. Passare a Marketplace e quindi selezionare Rete.

  3. Nell'elenco delle risorse selezionare Connessione.

  4. Nella sezione Impostazioni di base selezionare Site-to-site (IPSec) per il tipo di connessione.

  5. Selezionare la sottoscrizione, il gruppo di risorse e la posizione e quindi selezionare OK.

  6. Nella sezione Impostazioni selezionare Gateway di rete virtuale e quindi Azs-GW.

  7. Selezionare Gateway di rete locale e quindi Azure-GW.

  8. In Nome connessione digitare Azs-Azure.

  9. In Chiave condivisa (PSK) digitare 12345 e quindi selezionare OK.

  10. Nella sezione Riepilogo selezionare OK.

Creare una VM

Per controllare la connessione VPN, creare due macchine virtuali: una in Azure e una nell'hub di Azure Stack. Dopo aver creato queste macchine virtuali, è possibile usarle per inviare e ricevere dati tramite il tunnel VPN.

  1. Nel portale di Azure selezionare + Crea una risorsa.

  2. Passare a Marketplace e quindi selezionare Calcolo.

  3. Nell'elenco delle immagini della macchina virtuale selezionare l'immagine Windows Server 2016 Datacenter Eval.

  4. Nella sezione Nozioni di basedigitareAzs-VM.

  5. Digitare un nome utente e una password validi. Questo account viene usato per accedere alla macchina virtuale dopo la creazione.

  6. Specificare una sottoscrizione, un gruppo di risorse e una posizione e quindi selezionare OK.

  7. Nella sezione Dimensioni , per questa istanza, selezionare una dimensione della macchina virtuale e quindi selezionare Seleziona.

  8. Nella sezione Impostazioni accettare le impostazioni predefinite. Assicurarsi che sia selezionata la rete virtuale Azs-VNet . Verificare che la subnet sia impostata su 10.1.0.0/24. Quindi scegliere OK.

  9. Nella sezione Riepilogo esaminare le impostazioni e quindi selezionare OK.

Testare la connessione

Dopo aver stabilito la connessione da sito a sito, è necessario verificare che sia possibile ottenere il flusso dei dati in entrambe le direzioni. Il modo più semplice per testare la connessione consiste nell'eseguire un test ping:

  • Accedere alla macchina virtuale creata nell'hub di Azure Stack e eseguire il ping della macchina virtuale in Azure.
  • Accedere alla macchina virtuale creata in Azure e eseguire il ping della macchina virtuale nell'hub di Azure Stack.

Nota

Per assicurarsi di inviare il traffico tramite la connessione da sito a sito, eseguire il ping dell'indirizzo IP diretto (DIP) della macchina virtuale nella subnet remota, non l'indirizzo VIP.

Accedere alla macchina virtuale utente nell'hub di Azure Stack

  1. Accedere al portale dell'hub di Azure Stack.

  2. Nella barra di spostamento a sinistra selezionare Macchine virtuali.

  3. Nell'elenco delle macchine virtuali trovare Azs-VM creato in precedenza e quindi selezionarlo.

  4. Nella sezione della macchina virtuale selezionare Connetti e quindi aprire il file Azs-VM.rdp.

    Pulsante Connetti

  5. Accedere con l'account configurato al momento della creazione della macchina virtuale.

  6. Aprire un prompt Windows PowerShell con privilegi elevati.

  7. Digitare ipconfig /all.

  8. Nell'output trovare l'indirizzo IPv4 e quindi salvare l'indirizzo per un uso successivo. Questo è l'indirizzo che si esegue il ping da Azure. Nell'ambiente di esempio l'indirizzo è 10.1.0.4, ma nell'ambiente potrebbe essere diverso. Deve rientrare nella subnet 10.1.0.0/24 creata in precedenza.

  9. Per creare una regola del firewall che consente alla macchina virtuale di rispondere ai ping, eseguire il comando di PowerShell seguente:

    New-NetFirewallRule `
 -DisplayName "Allow ICMPv4-In" `
 -Protocol ICMPv4

Accedere alla macchina virtuale tenant in Azure

  1. Accedere al portale di Azure.

  2. Nella barra di spostamento a sinistra selezionare Macchine virtuali.

  3. Nell'elenco delle macchine virtuali trovare la macchina virtuale di Azure creata in precedenza e quindi selezionarla.

  4. Nella sezione per la macchina virtuale selezionare Connetti.

  5. Accedere con l'account configurato al momento della creazione della macchina virtuale.

  6. Aprire una finestra Windows PowerShell con privilegi elevati.

  7. Digitare ipconfig /all.

  8. Verrà visualizzato un indirizzo IPv4 compreso tra 10.100.0.0/24. Nell'ambiente di esempio l'indirizzo è 10.100.0.4, ma l'indirizzo potrebbe essere diverso.

  9. Per creare una regola del firewall che consente alla macchina virtuale di rispondere ai ping, eseguire il comando di PowerShell seguente:

    New-NetFirewallRule `
 -DisplayName "Allow ICMPv4-In" `
 -Protocol ICMPv4

  10. Dalla macchina virtuale in Azure eseguire il ping della macchina virtuale nell'hub di Azure Stack tramite il tunnel. A tale scopo, è possibile eseguire il ping del valore DIP registrato da Azs-VM. Nell'ambiente di esempio si tratta di 10.1.0.4, ma assicurarsi di eseguire il ping dell'indirizzo indicato nel lab. Verrà visualizzato un risultato simile all'acquisizione dello schermo seguente:

    Ping riuscito

  11. Una risposta dalla macchina virtuale remota indica un test riuscito. È possibile chiudere la finestra della macchina virtuale.

È anche consigliabile eseguire test di trasferimento dati più rigorosi, ad esempio copiando file di dimensioni diverse in entrambe le direzioni.

Visualizzazione delle statistiche di trasferimento dati attraverso la connessione del gateway

Se si vuole conoscere la quantità di dati passati attraverso la connessione da sito a sito, queste informazioni sono disponibili nella sezione Connessione . Questo test è anche un altro modo per verificare il ping appena inviato è stato effettivamente passato attraverso la connessione VPN.

  1. Durante l'accesso alla macchina virtuale utente nell'hub di Azure Stack, usare l'account utente per accedere al portale utente.

  2. Passare a Tutte le risorse e quindi selezionare la connessione Azs-Azure . Viene visualizzata la finestra Connessioni .

  3. Nella sezione Connessione vengono visualizzate le statistiche per i dati in e i dati . Nell'acquisizione dello schermo seguente, i numeri di grandi dimensioni vengono attributi al trasferimento di file aggiuntivo. Verranno visualizzati alcuni valori non zero.

    Dati in e fuori

Passaggi successivi