Creare, modificare o eliminare il peering di rete virtuale di Azure

2025-05-09

Questo articolo illustra come creare, modificare o eliminare il peering di rete virtuale di Azure. Il peering di rete virtuale connette reti virtuali tra regioni usando la rete backbone di Azure. Per saperne di più, consulta la panoramica sul peering di rete virtuale o l'esercitazione sul peering di rete virtuale.

Prerequisiti

Se non si ha un account Azure con una sottoscrizione attiva, è possibile crearne uno gratuito. Completare una di queste attività prima di iniziare il resto di questo articolo:

Accedere al portale di Azure con un account Azure con le autorizzazioni necessarie per lavorare con i peering.

Eseguire i comandi in Azure Cloud Shell, oppure eseguire PowerShell in locale dal computer. Azure Cloud Shell è una shell interattiva gratuita che può essere usata per eseguire la procedura di questo articolo. Include strumenti comuni di Azure preinstallati e configurati per l'uso con l'account. Nella scheda del browser Azure Cloud Shell individuare l'elenco a discesa Seleziona ambiente, quindi selezionare PowerShell se non è già selezionato.

Se si esegue PowerShell in locale, usare il modulo Azure PowerShell versione 1.0.0 o successiva. Eseguire Get-Module -ListAvailable Az.Network per trovare la versione installata. Se è necessario eseguire l'installazione o l'aggiornamento, vedere come installare il modulo Azure PowerShell. Eseguire Connect-AzAccount per accedere ad Azure con un account con le autorizzazioni necessarie per lavorare con i peering di rete virtuale.

Eseguire i comandi in Azure Cloud Shell, oppure eseguire l'interfaccia della riga di comando di Azure in locale dal computer. Azure Cloud Shell è una shell interattiva gratuita che può essere usata per eseguire la procedura di questo articolo. Include strumenti comuni di Azure preinstallati e configurati per l'uso con l'account. Nella scheda del browser Azure Cloud Shell, individuare l'elenco a discesa Seleziona ambiente, quindi selezionare Bash se non è già selezionato.

Se si esegue l'interfaccia della riga di comando di Azure in locale, usare l'interfaccia della riga di comando di Azure versione 2.0.31 o successiva. Eseguire az --version per trovare la versione installata. Se è necessario eseguire l'installazione o l'aggiornamento, vedere Installare l'interfaccia della riga di comando di Azure. Eseguire az login per accedere ad Azure con un account con le autorizzazioni necessarie per lavorare con i peering di rete virtuale.

L'account usato per collegarsi ad Azure deve essere assegnato al ruolo collaboratore di rete o a un ruolo personalizzato a cui vengono assegnate le operazioni appropriate elencate nelle Autorizzazioni.

Creare un peering di rete virtuale

Prima di creare un peering, acquisire familiarità con i requisiti e i vincoli e con le autorizzazioni necessarie.

Nella casella di ricerca, nella parte superiore del portale di Azure, immettere Reti virtuali. Selezionare Reti virtuali nei risultati della ricerca.
In Reti virtuali, selezionare la rete per cui si vuole creare un peering.
Selezionare Peering, in Impostazioni.
Seleziona + Aggiungi.

Immettere o selezionare i valori per le impostazioni seguenti e quindi selezionare Aggiungi.

Impostazioni	Descrizione
Riepilogo della rete virtuale remota
Nome del collegamento di peering	Il nome del peering dalla rete virtuale locale. Il nome deve essere univoco all'interno della rete virtuale.
Modello di distribuzione della rete virtuale	selezionare il modello di distribuzione tramite il quale è stata distribuita la rete virtuale con cui si vuole eseguire il peering.
Conosco l'ID della risorsa	se si ha accesso in lettura alla rete virtuale con la quale si vuole eseguire il peering, lasciare deselezionata questa casella di controllo. Se non si dispone dell'accesso in lettura alla rete virtuale o alla sottoscrizione con cui si vuole eseguire il peering, selezionare questa casella di controllo.
ID risorsa	Questo campo viene visualizzato quando si seleziona Conosco il mio ID della risorsa. L'ID risorsa immesso deve essere quello di una rete virtuale che esiste nella stessa area di Azure della rete virtuale o in un'altra area supportata. L'ID della risorsa completo è simile a `/subscriptions/<Id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/virtualNetworks/<virtual-network-name>`. È possibile ottenere l'ID della risorsa per una rete virtuale visualizzandone le proprietà. Per informazioni su come visualizzare le proprietà per una rete virtuale, vedere Gestire le reti virtuali. Le autorizzazioni utente devono essere assegnate se la sottoscrizione è associata a un tenant Microsoft Entra diverso rispetto alla sottoscrizione con la rete virtuale di cui si sta eseguendo il peering. Aggiungere un utente da ogni tenant come utente guest nel tenant opposto.
Abbonamento	selezionare la sottoscrizione della rete virtuale con la quale si vuole eseguire il peering. Vengono elencate una o più sottoscrizioni, a seconda del numero di sottoscrizioni a cui l'account ha accesso.
Rete virtuale	Selezionare la rete virtuale remota.
Impostazioni di peering di reti virtuali remote
Consentire alla rete virtuale con peering di accedere a "vnet-1"	Per impostazione predefinita, questa opzione è selezionata. - Selezionare questa opzione per consentire il traffico dalla rete virtuale con peering a "vnet-1". Questa impostazione consente la comunicazione tra hub e spoke nella topologia di rete hub-spoke e consente a una macchina virtuale nella rete virtuale con peering di comunicare con una macchina virtuale in "vnet-1". Il tag del servizio VirtualNetwork per i gruppi di sicurezza di rete include la rete virtuale e la rete virtuale con peering quando questa impostazione è selezionata. Per altre informazioni sui tag del servizio, vedere Tag del servizio di Azure.
Consentire alla rete virtuale con peering di ricevere traffico inoltrato da "vnet-1"	Questa opzione non è selezionata per impostazione predefinita. - L'abilitazione di questa opzione consente alla rete virtuale con peering di ricevere traffico dalle reti virtuali con peering a "vnet-1". Ad esempio, se vnet-2 ha un'appliance virtuale di rete che riceve traffico dall'esterno di vnet-2 che inoltra a vnet-1, è possibile selezionare questa impostazione per consentire al traffico di raggiungere vnet-1 da vnet-2. L'abilitazione di questa funzionalità consente il traffico inoltrato attraverso il peering, tuttavia non crea route definite dall'utente né appliance virtuali di rete. Le route definite dall'utente e le appliance virtuali di rete vengono create separatamente.
Consentire al gateway o al server di route nella rete virtuale con peering di inoltrare il traffico a 'vnet-1'	Questa opzione non è selezionata per impostazione predefinita. - L'abilitazione di questa impostazione consente a 'vnet-1' di ricevere traffico dal gateway o dal server di route delle reti virtuali con peering. Per abilitare questa opzione, la rete virtuale con peering deve contenere un gateway o un server di route.
Abilitare la rete virtuale con peering per l'uso del gateway remoto o del server di route "vnet-1"	Questa opzione non è selezionata per impostazione predefinita. - Questa opzione può essere abilitata solo se "vnet-1" ha un gateway remoto o un server di route e "vnet-1" abilita "Consenti al gateway in 'vnet-1' di inoltrare il traffico alla rete virtuale con peering". Questa opzione può essere abilitata solo in uno dei peering delle reti virtuali con peering. È anche possibile selezionare questa opzione, se si vuole che questa rete virtuale usi il server di route remoto per scambiare le route, vedere Server di route di Azure. NOTA:non è possibile usare gateway remoti se nella rete virtuale è già configurato un gateway. Per altre informazioni sull'uso di un gateway per il transito, vedere Configurare un gateway VPN per il transito in un peering di rete virtuale.
Riepilogo della rete virtuale locale
Nome del collegamento di peering	Nome del peering dalla rete virtuale remota. Il nome deve essere univoco all'interno della rete virtuale.
Impostazioni di peering di rete virtuale locale
Consentire a "vnet-1" di accedere alla rete virtuale con peering	Per impostazione predefinita, questa opzione è selezionata. - Selezionare questa opzione per consentire il traffico da "vnet-1" alla rete virtuale con peering. Questa impostazione consente la comunicazione tra hub e spoke nella topologia di rete hub-spoke e consente a una macchina virtuale in "vnet-1" di comunicare con una macchina virtuale nella rete virtuale con peering.
Consentire a "vnet-1" di ricevere traffico inoltrato dalla rete virtuale con peering	Questa opzione non è selezionata per impostazione predefinita. - Attivare questa opzione consente a 'vnet-1' di ricevere traffico da reti virtuali collegate tramite peering alla rete virtuale connessa. Ad esempio, se vnet-2 ha un'appliance virtuale di rete che riceve traffico dall'esterno di vnet-2 che viene inoltrato a vnet-1, è possibile selezionare questa impostazione per consentire al traffico di raggiungere vnet-1 da vnet-2. L'abilitazione di questa funzionalità consente il traffico inoltrato attraverso il peering, tuttavia non crea route definite dall'utente né appliance virtuali di rete. Le route definite dall'utente e le appliance virtuali di rete vengono create separatamente.
Consentire al gateway o al server di route in "vnet-1" di inoltrare il traffico alla rete virtuale con peering	Questa opzione non è selezionata per impostazione predefinita. - L'abilitazione di questa impostazione consente alla rete virtuale con peering di ricevere traffico dal gateway o dal server di route "vnet-1". Per abilitare questa opzione, "vnet-1" deve contenere un gateway o un server di route.
Abilitare "vnet-1" per usare il gateway remoto o il server di route con peering	Questa opzione non è selezionata per impostazione predefinita. - Questa opzione può essere abilitata solo se la rete virtuale con peering ha un gateway remoto o un server di route e la rete virtuale con peering abilita "Consenti al gateway nella rete virtuale con peering di inoltrare il traffico a "vnet-1". Questa opzione può essere abilitata solo in uno dei peering "vnet-1".

Screenshot del portale di Azure che mostra la pagina di configurazione del peering di rete virtuale.

Nota

Se si usa un gateway di rete virtuale per inviare il traffico locale in modo transitivo a una rete virtuale con peering, l'intervallo ip della rete virtuale con peering per il dispositivo VPN locale deve essere impostato sul traffico "interessante". Potrebbe essere necessario aggiungere tutti gli indirizzi CIDR della rete virtuale di Azure alla configurazione del tunnel VPN IPsec da sito 2 nel dispositivo VPN locale. Gli indirizzi CIDR includono risorse come hub, spoke e pool di indirizzi IP da punto 2. In caso contrario, le risorse locali non possono comunicare con le risorse nella rete virtuale con peering. Il traffico interessante viene comunicato tramite le associazioni di sicurezza della fase 2. L'associazione di sicurezza crea un tunnel VPN dedicato per ogni subnet specificata. Il livello di gateway VPN locale e Azure deve supportare lo stesso numero di tunnel VPN da sito a sito e subnet della rete virtuale di Azure. In caso contrario, le risorse locali non possono comunicare con le risorse nella rete virtuale con peering. Consultare la documentazione della VPN locale per istruzioni su come creare associazioni di sicurezza della fase 2 per ogni subnet di rete virtuale di Azure specificata.

Selezionare il pulsante Aggiorna dopo alcuni secondi e lo stato del peering cambierà da In aggiornamento a Connesso.

Per istruzioni dettagliate sull'implementazione di peering tra reti virtuali in sottoscrizioni e modelli di distribuzione diversi, vedere Passaggi successivi.

Usare Add-AzVirtualNetworkPeering per creare peering di reti virtuali.

## Place the virtual network vnet-1 configuration into a variable. ##
$net-1 = @{
        Name = 'vnet-1'
        ResourceGroupName = 'test-rg'
}
$vnet-1 = Get-AzVirtualNetwork @net-1

## Place the virtual network vnet-2 configuration into a variable. ##
$net-2 = @{
        Name = 'vnet-2'
        ResourceGroupName = 'test-rg-2'
}
$vnet-2 = Get-AzVirtualNetwork @net-2

## Create peering from vnet-1 to vnet-2. ##
$peer1 = @{
        Name = 'vnet-1-to-vnet-2'
        VirtualNetwork = $vnet-1
        RemoteVirtualNetworkId = $vnet-2.Id
}
Add-AzVirtualNetworkPeering @peer1

## Create peering from vnet-2 to vnet-1. ##
$peer2 = @{
        Name = 'vnet-2-to-vnet-1'
        VirtualNetwork = $vnet-2
        RemoteVirtualNetworkId = $vnet-1.Id
}
Add-AzVirtualNetworkPeering @peer2

Usare az network virtual network peering create per creare peering di rete virtuale.

## Create peering from vnet-1 to vnet-2. ##
az network vnet peering create \
    --name vnet-1-to-vnet-2 \
    --vnet-name vnet-1 \
    --remote-vnet vnet-2 \
    --resource-group test-rg \
    --allow-vnet-access \
    --allow-forwarded-traffic

## Create peering from vnet-2 to vnet-1. ##
az network vnet peering create \
    --name vnet-2-to-vnet-1 \
    --vnet-name vnet-2 \
    --remote-vnet vnet-1 \
    --resource-group test-rg-2 \
    --allow-vnet-access \
    --allow-forwarded-traffic

Visualizzare o modificare le impostazioni dei peering

Prima di modificare un peering, acquisire familiarità con i requisiti e i vincoli e con le autorizzazioni necessarie.

Nella casella di ricerca, nella parte superiore del portale di Azure, immettere Reti virtuali. Selezionare Reti virtuali nei risultati della ricerca.
Selezionare la rete virtuale che si vuole visualizzare o modificare le impostazioni di peering in Reti virtuali.
Selezionare Peering in Impostazioni e quindi selezionare il peering per cui si desidera visualizzare o modificare le impostazioni.
Modificare l'impostazione appropriata. Per informazioni sulle opzioni per ogni impostazione, vedere il passaggio 4 in Creare un peering. Selezionare quindi Salva per completare le modifiche alla configurazione.

Usare Get-AzVirtualNetworkPeering per elencare i peering di una rete virtuale e le relative impostazioni.

$peer = @{
        VirtualNetworkName = 'vnet-1'
        ResourceGroupName = 'test-rg'
}
Get-AzVirtualNetworkPeering @peer

Usare Set-AzVirtualNetworkPeering per modificare le impostazioni di peering.

## Place the virtual network peering configuration into a variable. ##
$peer = @{
        Name = 'vnet-1-to-vnet-2'
        ResourceGroupName = 'test-rg'
}
$peering = Get-AzVirtualNetworkPeering @peer

# Allow traffic forwarded from remote virtual network. ##
$peering.AllowForwardedTraffic = $True

## Update the peering with changes made. ##
Set-AzVirtualNetworkPeering -VirtualNetworkPeering $peering

Usare az network vnet peering list per elencare i peering di una rete virtuale.

az network vnet peering list \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --out table

Usare az network vnet peering show per visualizzare le impostazioni per un peering specifico.

az network vnet peering show \
    --resource-group test-rg \
    --name vnet-1-to-vnet-2 \
    --vnet-name vnet-1

Usare az network vnet peering update per modificare le impostazioni di peering.

## Block traffic forwarded from remote virtual network. ##
az network vnet peering update \
    --resource-group test-rg \
    --name vnet-1-to-vnet-2 \
    --vnet-name vnet-1 \
    --set allowForwardedTraffic=false

Eliminare un peering

Prima di eliminare un peering, acquisire familiarità con requisiti e vincoli e con le autorizzazioni necessarie.

Quando viene eliminato un peering tra due reti virtuali, il traffico non può più fluire tra le reti virtuali. Se si vuole che le reti virtuali comunichino a volte, ma non sempre, anziché eliminare un peering, deselezionare l'impostazione Consenti traffico alla rete virtuale remota se si vuole bloccare il traffico verso la rete virtuale remota. La disabilitazione e l'abilitazione dell'accesso alla rete possono risultare più semplici rispetto all'eliminazione e alla ricreazione dei peering.

Nella casella di ricerca, nella parte superiore del portale di Azure, immettere Reti virtuali. Selezionare Reti virtuali nei risultati della ricerca.
Selezionare la rete virtuale che si vuole visualizzare o modificare le impostazioni di peering in Reti virtuali.
Selezionare Peering, in Impostazioni.
Selezionare la casella accanto al peering che si vuole eliminare, quindi selezionare Elimina.
In Elimina peering, immettere elimina nella casella di conferma e quindi selezionare Elimina.

Nota

Quando si elimina un peering di rete virtuale da una rete virtuale, viene eliminato anche il peering dalla rete virtuale remota.
Selezionare Elimina per confermare l'eliminazione in Conferma eliminazione.

Usare Remove-AzVirtualNetworkPeering per eliminare i peering di rete virtuale

## Delete vnet-1 to vnet-2 peering. ##
$peer1 = @{
        Name = 'vnet-1-to-vnet-2'
        ResourceGroupName = 'test-rg'
}
Remove-AzVirtualNetworkPeering @peer1

## Delete vnet-2 to vnet-1 peering. ##
$peer2 = @{
        Name = 'vnet-2-to-vnet-1'
        ResourceGroupName = 'test-rg-2'
}
Remove-AzVirtualNetworkPeering @peer2

Usare az network vnet peering delete per eliminare i peering di rete virtuale.

## Delete vnet-1 to vnet-2 peering. ##
az network vnet peering delete \
    --resource-group test-rg \
    --name vnet-1-to-vnet-2 \
    --vnet-name vnet-1

## Delete vnet-2 to vnet-1 peering. ##
az network vnet peering delete \
    --resource-group test-rg-2 \
    --name vnet-2-to-vnet-1 \
    --vnet-name vnet-2

Requisiti e vincoli

È possibile eseguire il peering di reti virtuali nella stessa area o in aree differenti. Il peering di reti virtuali in aree diverse è detto anche peering di reti virtuali globale.
Quando si crea un peering globale, le reti virtuali con peering possono esistere in qualsiasi area cloud pubblica di Azure, area cloud Cina o area cloud per enti pubblici. Tuttavia, non è possibile eseguire il peering di reti virtuali tra cloud diversi. Ad esempio, una rete virtuale nel cloud pubblico di Azure non può connettersi a una rete virtuale in Microsoft Azure gestita dal cloud 21Vianet.
Non è possibile spostare una rete virtuale quando fa parte di un peering. Per spostare una rete virtuale in un gruppo di risorse o una sottoscrizione diversa, eliminare prima il peering, quindi spostare la rete virtuale e infine ricreare il peering.
Le risorse in una rete virtuale non possono comunicare con l'indirizzo IP front-end di bilanciamento del carico base (interno o pubblico) in una rete virtuale con peering globale. Il supporto per Load Balancer Basic è disponibile solo all'interno della stessa area. Il supporto per il servizio di bilanciamento del carico standard esiste sia per il peering di reti virtuali che per il peering di reti virtuali globale. Alcuni servizi che usano un servizio di bilanciamento del carico di base non funzionano tramite il peering di reti virtuali globale. Per altre informazioni, vedere Vincoli correlati al peering di reti virtuali globale e ai servizidi bilanciamento del carico.
È possibile usare gateway remoti o consentire il transito del gateway in reti virtuali con peering globale e reti virtuali con peering locale.
Le reti virtuali possono trovarsi in sottoscrizioni uguali o diverse. Quando il peering delle reti virtuali viene eseguito in sottoscrizioni diverse, entrambe le sottoscrizioni possono essere associate allo stesso tenant di Microsoft Entra o a uno diverso. Se non si ha già un tenant di ACTIVE Directory, è possibile crearne uno.
Le reti virtuali di cui si esegue il peering non devono avere spazi di indirizzi IP sovrapposti.
Quando si esegue il peering di due reti virtuali create tramite Resource Manager, deve essere configurato un peering per ogni rete virtuale nel peering. Viene visualizzato uno dei seguenti tipi di stato del peering:
- Avviato: quando si crea il primo peering, lo stato è Avviato.
- Connesso: quando si crea il secondo peering, lo stato del peering diventa Connesso per entrambi i peering. Il peering non è stabilito correttamente finché lo stato del peering per entrambe le reti virtuali è Connesso.
Un peering viene stabilito tra due reti virtuali. I peering da soli non sono transitivi. Se si creano peering tra:
- VirtualNetwork1 e VirtualNetwork2
- VirtualNetwork2 e VirtualNetwork3
  
  Non vengono stabilite connessioni tra la VirtualNetwork1 e la VirtualNetwork3 tramite la VirtualNetwork2. Se si vuole che VirtualNetwork1 e VirtualNetwork3 comunichino direttamente, è necessario creare un peering esplicito tra VirtualNetwork1 e VirtualNetwork3 oppure passare attraverso un'appliance virtuale di rete nella rete hub. Per altre informazioni, vedere Topologia di rete hub-spoke in Azure.
Non è possibile risolvere i nomi nelle reti virtuali con peering usando la risoluzione dei nomi di Azure predefinita. Per risolvere i nomi in altre reti virtuali, è necessario usare DNS privato di Azure privati o un server DNS personalizzato. Per informazioni su come configurare il server DNS, vedere Risoluzione dei nomi usando il server DNS.
Le risorse in reti virtuali con peering nella stessa area possono comunicare tra loro con la stessa latenza che userebbero se fossero nella stessa rete virtuale. La velocità effettiva di rete si basa sulla larghezza di banda consentita per la macchina virtuale, proporzionale alle dimensioni. Non ci sono altre restrizioni alla larghezza di banda consentita nel peering. Ogni dimensione di macchina virtuale presenta una specifica larghezza di banda di rete massima. Per altre informazioni sulla larghezza di banda di rete massima per le diverse dimensioni delle macchine virtuali, vedere Dimensioni delle macchine virtuali in Azure.
È possibile eseguire il peering di una rete virtuale a un'altra rete virtuale e anche connettere una rete virtuale a un'altra con un gateway di rete virtuale di Azure. Quando le reti virtuali vengono connesse sia tramite il peering che tramite un gateway, il traffico tra le reti virtuali segue la configurazione del peering invece che il gateway.
I client VPN da punto a sito devono essere scaricati di nuovo dopo che il peering di rete virtuale è stato configurato correttamente per assicurarsi che le nuove route vengano scaricate nel client.
È previsto un importo minimo per il traffico in ingresso e in uscita che usa un peering di rete virtuale. Per ulteriori informazioni, vedere la pagina dei prezzi.
I gateway applicativi che non hanno l'isolamento di rete abilitato non permettono il passaggio del traffico tra reti virtuali in peering quando l'opzione Consenti traffico alla rete virtuale remota è disabilitata.

Autorizzazioni

Gli account usati per lavorare con il peering di rete virtuale devono essere assegnati al ruolo seguente:

Collaboratore di rete

Se l'account non è assegnato al ruolo precedente, deve essere assegnato a un ruolo personalizzato a cui sono assegnate le azioni necessarie dalla tabella seguente:

Azione	Nome
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write	Necessario per creare un peering dalla rete virtuale A alla rete virtuale B.
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read	Leggere un peering di rete virtuale
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete	Eliminare un peering di rete virtuale

Importante

È necessario disporre di Collaboratore rete o dei ruoli personalizzati di Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read e Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete assegnati alla rete virtuale remota per rimuovere il peering di rete virtuale remota.

Passaggi successivi

È possibile creare un peering di rete virtuale tra reti virtuali presenti nella stessa sottoscrizione o in sottoscrizioni diverse. Completare un'esercitazione per uno degli scenari seguenti:

Modello di distribuzione di Azure Abbonamento

Gestore delle Risorse Uguale

Diversa
Altre informazioni su come creare una Topologia di rete hub-spoke
Creare un peering di rete virtuale usando gli script di esempio di PowerShell o dell'interfaccia della riga di comando di Azure oppure i modelli di Resource Manager
Creare e assegnare definizioni di Criteri di Azure per le reti virtuali