Risolvere i problemi di peering di rete virtuale

Questa guida alla risoluzione dei problemi illustra la procedura per risolvere la maggior parte dei problemi di peering di reti virtuali.

Configurare il peering tra due reti virtuali

Le reti virtuali si trovano nella stessa sottoscrizione o in sottoscrizioni diverse?

Le reti virtuali si trovano nella stessa sottoscrizione

Per configurare il peering tra reti virtuali che si trovano nella stessa sottoscrizione, usare i metodi descritti negli articoli seguenti:

• Se le reti virtuali si trovano nella stessa area, vedere Creare un peering.
• Se le reti virtuali si trovano in aree diverse, vedere Peering di reti virtuali.

Nota

La connettività non funziona sul peering globale di reti virtuali per le risorse seguenti:

• Macchine virtuali (VM) dietro SKU Basic del servizio di bilanciamento del carico interno (ILB, internal load balancer)
• Cache Redis (usa lo SKU Basic di ILB)
• Gateway applicazione v1 (usa lo SKU ilB di base)
• Set di scalabilità di macchine virtuali (usa lo SKU Basic di ILB)
• Cluster di Azure Service Fabric (usa lo SKU Basic di ILB)
• SQL Server Always On (usa lo SKU Basic di ILB)
• ambiente del servizio app Azure per Power Apps (usa lo SKU ilB di base)
• Gestione API di Azure (usa lo SKU Basic di ILB)
• Servizi di dominio Microsoft Entra (usa lo SKU ILB di base)

Per altre informazioni, vedere Requisiti e vincoli del peering globale.

Le reti virtuali si trovano in sottoscrizioni o tenant di Active Directory diversi

Per configurare il peering di rete virtuale per le reti virtuali in sottoscrizioni o tenant di Active Directory diversi, vedere Creare un peering di rete virtuale tra sottoscrizioni diverse.

Nota

Per configurare il peering di reti, è necessario avere le autorizzazioni di Collaboratore Rete in entrambe le sottoscrizioni. Per altre informazioni, vedere Autorizzazioni per il peering.

Configurare il peering di reti virtuali con topologia hub-spoke in base a risorse locali

Per una connessione da sito a sito o ExpressRoute

Seguire la procedura descritta in Configurare il transito del gateway VPN per il peering di rete virtuale.

Per le connessioni da punto a sito

1. Seguire la procedura descritta in Configurare il transito del gateway VPN per il peering di rete virtuale.
2. Dopo aver stabilito o cambiato il peering di reti virtuali, scaricare e reinstallare il pacchetto da punto a sito in modo che i client da punto a sito ottengano le route aggiornate alla rete virtuale spoke.

Configurare il peering di reti virtuali con topologia hub-spoke

Le reti virtuali si trovano nella stessa area

1. Nella rete virtuale hub configurare un'appliance virtuale di rete.
2. Nelle reti virtuali spoke specificare route definite dall'utente con il tipo di hop successivo "appliance virtuale di rete" applicato.

Per altre informazioni, vedere Concatenamento di servizi.

Nota

Se è necessaria assistenza per configurare un'appliance virtuale di rete, contattare il fornitore dell'appliance.

Per informazioni sulla risoluzione dei problemi relativi alla configurazione e al routing di appliance virtuali di rete, vedere Problemi delle appliance virtuali di rete in Azure.

Le reti virtuali si trovano in aree diverse

Il transito su peering globale di reti virtuali è ora supportato. La connettività non funziona sul peering globale di reti virtuali per le risorse seguenti:

• Macchina virtuale dietro lo SKU Basic ILB
• Cache Redis (usa lo SKU Basic di ILB)
• Gateway applicazione (usa lo SKU Basic di ILB)
• Set di scalabilità (usa lo SKU Basic di ILB)
• Cluster Service Fabric (usa lo SKU Basic ILB)
• SQL Server Always On (usa lo SKU Basic di ILB)
• Ambienti del servizio app (usa lo SKU Basic di ILB)
• Gestione API (usa lo SKU Basic ILB)
• Servizi di dominio Microsoft Entra (usa lo SKU ILB di base)

Per altre informazioni su requisiti e vincoli del peering globale, vedere Peering di reti virtuali.

Risolvere un problema di connettività tra due reti virtuali con peering

Accedere al portale di Azure con un account che abbia ruoli e autorizzazioni necessari. Selezionare la rete virtuale, selezionare Peering, quindi controllare il campo Stato. Qual è lo stato?

Lo stato del peering è "Connesso".

Per risolvere il problema:

1. Controllare i flussi del traffico di rete:

   Usare le opzioni Risoluzione dei problemi di connessione e Verifica flusso IP dalla VM di origine a quella di destinazione per determinare se è presente un gruppo di sicurezza di rete o una route definita dall'utente che genera interferenza nel flusso del traffico.

   Se si usa un firewall o un appliance virtuale di rete:

   1. Prendere nota dei parametri della route definita dall'utente in modo da poterli ripristinare al termine di questo parametro.
   2. Rimuovere la route definita dall'utente dalla subnet della VM di origine o dalla scheda di interfaccia di rete che punta all'appliance virtuale di rete come hop successivo. Verificare la connettività dalla VM di origine direttamente alla destinazione che ignora l'appliance virtuale di rete. Se questo passaggio non funziona, vedere Strumento di risoluzione dei problemi dell'appliance virtuale di rete.

2. Eseguire una traccia di rete:

   1. Avviare una traccia di rete nella VM di destinazione. Per Windows, è possibile usare Netsh. Per Linux, usare TCPDump.

   2. Eseguire TcpPing o PsPing dall'IP di origine a quello di destinazione.

      Ecco un esempio di comando TcpPing: tcping64.exe -t <destination VM address> 3389

   3. Una volta completato il comando TcpPing, arrestare la traccia di rete nella destinazione.

   4. Se i pacchetti arrivano dall'origine, non è presente alcun problema di rete. Esaminare il firewall della VM e l'applicazione in ascolto su tale porta per individuare il problema di configurazione.

   Nota

   Non è possibile connettersi ai tipi di risorse seguenti tramite peering globale di reti virtuali (reti virtuali in aree diverse):

   • Macchina virtuale dietro lo SKU Basic ILB
   • Cache Redis (usa lo SKU Basic di ILB)
   • Gateway applicazione (usa lo SKU Basic di ILB)
   • Set di scalabilità (usa lo SKU Basic di ILB)
   • Cluster Service Fabric (usa lo SKU Basic ILB)
   • SQL Server Always On (usa lo SKU Basic di ILB)
   • Ambienti del servizio app (usa lo SKU Basic di ILB)
   • Gestione API (usa lo SKU Basic ILB)
   • Servizi di dominio Microsoft Entra (usa lo SKU ILB di base)

Per altre informazioni, vedere Requisiti e vincoli del peering globale.

Lo stato del peering è "Disconnesso"

Per risolvere questo problema, eliminare il peering da entrambe le reti virtuali e quindi ricrearlo.

Risolvere un problema di connettività tra una rete virtuale hub-spoke e una risorsa locale

La rete usa un'appliance virtuale di rete o un gateway VPN di terze parti?

La rete usa un'appliance virtuale di rete o un gateway VPN di terze parti

Per risolvere i problemi di connettività che interessano appliance virtuali di rete o gateway VPN di terze parti, vedere gli articoli seguenti:

• Strumento di risoluzione dei problemi delle appliance virtuali di rete
• Concatenamento dei servizi

La rete non usa un'appliance virtuale di rete o un gateway VPN di terze parti

La rete virtuale hub e la rete virtuale spoke hanno un gateway VPN?

Sia la rete virtuale hub che la rete virtuale spoke hanno un gateway VPN

L'uso di un gateway remoto non è supportato.

Se la rete virtuale spoke ha già un gateway VPN, l'opzione Usa gateway remoti non è supportata in tale rete. Il motivo è dovuto a una limitazione del peering di reti virtuali.

La rete virtuale hub e la rete virtuale spoke non hanno un gateway VPN

Per le connessioni da sito a sito o Azure ExpressRoute, verificare le seguenti cause principali di problemi di connettività alla rete virtuale remota da locale:

• Nella rete virtuale con un gateway, verificare che la casella di controllo Consenti traffico inoltrato sia selezionata.
• Nella rete virtuale senza un gateway, verificare che la casella di controllo Usa gateway remoti sia selezionata.
• Chiedere all'amministratore di rete di controllare i dispositivi locali per verificare che lo spazio di indirizzi della rete virtuale remota sia stato aggiunto a tutti.

Per le connessioni da punto a sito:

• Nella rete virtuale con un gateway, verificare che la casella di controllo Consenti traffico inoltrato sia selezionata.
• Nella rete virtuale senza un gateway, verificare che la casella di controllo Usa gateway remoti sia selezionata.
• Scaricare e reinstallare il pacchetto client da punto a sito. Le route di reti virtuali di cui è stato appena creato il peering non aggiungono automaticamente route ai client da punto a sito.

Risolvere un problema di connettività di rete hub-spoke tra reti virtuali spoke nella stessa area

Una rete hub deve includere un'appliance virtuale di rete. Configurare le route definite dall'utente negli spoke per cui è impostata un'appliance virtuale di rete come hop successivo e abilitare l'opzione Consenti traffico inoltrato nella rete virtuale hub.

Per altre informazioni, vedere Concatenamento dei servizi e rivolgersi al fornitore dell'appliance virtuale di rete per discutere dei requisiti.

Risolvere un problema di connettività di rete hub-spoke tra reti virtuali spoke in aree diverse

Il transito su peering globale di reti virtuali è ora supportato. La connettività non funziona sul peering globale di reti virtuali per le risorse seguenti:

• Macchina virtuale dietro lo SKU Basic ILB
• Cache Redis (usa lo SKU Basic di ILB)
• Gateway applicazione (usa lo SKU Basic di ILB)
• Set di scalabilità (usa lo SKU Basic di ILB)
• Cluster Service Fabric (usa lo SKU Basic ILB)
• SQL Server Always On (usa lo SKU Basic di ILB)
• Ambienti del servizio app (usa lo SKU Basic di ILB)
• Gestione API (usa lo SKU Basic ILB)
• Servizi di dominio Microsoft Entra (usa lo SKU ILB di base)

Per altre informazioni, vedere Requisiti e vincoli del peering globale e Topologie diverse di VPN.

Risolvere un problema di connettività di rete hub-spoke tra un'app Web e la rete virtuale spoke

Per risolvere il problema:

1. Accedi al portale di Azure.
2. Nell'app Web selezionare Rete e quindi Integrazione rete virtuale.
3. Verificare se è possibile vedere la rete virtuale remota. Immettere manualmente lo spazio di indirizzi della rete virtuale remota (Sincronizza rete e Aggiungi route).

Per altre informazioni, vedere gli articoli seguenti:

• Integrare un'app in una rete virtuale di Azure
• Informazioni sul routing VPN da punto a sito

Risolvere un messaggio di errore sulla configurazione del peering di reti virtuali

Il tenant corrente <TENANT ID> non è autorizzato ad accedere alla sottoscrizione collegata

Per risolvere questo problema, vedere Creare un peering di rete virtuale tra sottoscrizioni diverse.

Non connesso

Per risolvere questo problema, eliminare il peering da entrambe le reti virtuali e quindi ricrearlo.

Non è possibile eseguire il peering di una rete virtuale Databricks

Per risolvere questo problema, configurare il peering di reti virtuali in Azure Databricks, quindi specificare la rete virtuale di destinazione usando ID risorsa. Per altre informazioni, vedere Peering di una rete virtuale Databricks con una rete virtuale remota.

La rete virtuale remota non ha un gateway

Questo problema si verifica quando si esegue il peering di reti virtuali da tenant diversi e in un secondo momento si vuole configurare Use Remote Gateways. Una limitazione del portale di Azure è che non è in grado di verificare la presenza di un gateway di rete virtuale nella rete virtuale di un altro tenant.

È possibile risolvere questo problema in due modi:

• Eliminare i peering e attivare l'opzione Use Remote Gateways quando si crea un nuovo peering.
• Usare PowerShell o l'interfaccia della riga di comando, invece del portale di Azure, per abilitare Use Remote Gateways.

Passaggi successivi

• Risoluzione dei problemi di connettività tra macchine virtuali di Azure