Connettere reti virtuali tra tenant a un hub di rete WAN virtuale con l'interfaccia della riga di comando di Azure

Questo articolo illustra come usare Azure rete WAN virtuale per connettere una rete virtuale a un hub virtuale in un tenant diverso. Questa architettura è utile se si hanno carichi di lavoro client che devono essere connessi in modo che facciano parte della stessa rete, ma che si trovano in tenant diversi. Ad esempio, come illustrato nel diagramma seguente, è possibile connettere una rete virtuale non Contoso (il tenant remoto) a un hub virtuale Contoso (il tenant padre).

In questo articolo vengono illustrate le operazioni seguenti:

• Aggiungere un altro tenant come collaboratore nella sottoscrizione di Azure.
• Connettere una rete virtuale tra tenant a un hub virtuale.

I passaggi per questa configurazione usano una combinazione di portale di Azure e dell'interfaccia della riga di comando di Azure. Tuttavia, la funzionalità stessa è disponibile solo in PowerShell e nell'interfaccia della riga di comando di Azure.

Nota

È possibile gestire le connessioni di rete virtuale tra tenant solo tramite PowerShell o l'interfaccia della riga di comando di Azure. Non è possibile gestire le connessioni di rete virtuale tra tenant nel portale di Azure.

Prima di iniziare

Prerequisiti

Per usare i passaggi descritti in questo articolo, è necessario avere la configurazione seguente già configurata nell'ambiente:

• Una rete WAN virtuale e un hub virtuale nella sottoscrizione padre
• Una rete virtuale configurata in una sottoscrizione in un tenant diverso (remoto)
• rete WAN virtuale estensione dell'interfaccia della riga di comando, versione 0.3.0 o successiva. Per altre informazioni sull'estensione, vedere Estensioni dell'interfaccia della riga di comando di Azure disponibili.

Assicurarsi che lo spazio indirizzi della rete virtuale nel tenant remoto non si sovrapponga ad altri spazi indirizzi all'interno di altre reti virtuali già connesse all'hub virtuale padre.

Uso dell'interfaccia della riga di comando di Azure

Questo articolo usa i comandi dell'interfaccia della riga di comando di Azure. Per eseguire i comandi, è possibile usare Azure Cloud Shell. Cloud Shell è una shell interattiva gratuita che è possibile usare per eseguire i passaggi descritti in questo articolo. Include strumenti comuni di Azure preinstallati e configurati per l'uso con l'account.

Per aprire Cloud Shell, selezionare Apri Cloudshell nell'angolo in alto a destra di un blocco di codice. È anche possibile aprire Cloud Shell in una scheda del browser separata passando a CloudShell. Nel menu a discesa in alto a sinistra selezionare Bash anziché PowerShell.

Selezionare Copia per copiare i blocchi di codice, incollarli in Cloud Shell e selezionare la chiave INVIO per eseguirli.

Assegnare le autorizzazioni

1. Nella sottoscrizione della rete virtuale nel tenant remoto aggiungere l'assegnazione di ruolo Collaboratore all'amministratore (l'utente che gestisce l'hub virtuale). Le autorizzazioni di collaboratore consentiranno all'amministratore di modificare e accedere alle reti virtuali nel tenant remoto.

   È possibile usare l'interfaccia della riga di comando di Azure o il portale di Azure per assegnare questo ruolo. Per i passaggi, vedere gli articoli seguenti:

   • Assegnare ruoli di Azure tramite l'interfaccia della riga di comando di Azure
   • Assegnare ruoli di Azure usando il portale di Azure

2. Eseguire il comando seguente per aggiungere la sottoscrizione del tenant remoto e la sottoscrizione del tenant padre alla sessione corrente della console. Se si è connessi all'elemento padre, è necessario eseguire il comando solo per il tenant remoto.

   az login --tenant "[tenant ID]"
   

3. Verificare che l'assegnazione di ruolo sia riuscita. Accedere all'interfaccia della riga di comando di Azure (se non è già) usando le credenziali padre ed eseguire il comando seguente:

   az account list -o table
   

   Se le autorizzazioni sono state propagate correttamente all'elemento padre e sono state aggiunte alla sessione, le sottoscrizioni di proprietà dell'elemento padre e del tenant remoto verranno entrambe visualizzate nell'output del comando.

Connettere una rete virtuale a un hub

Nei passaggi seguenti si useranno i comandi dell'interfaccia della riga di comando di Azure per collegare un hub virtuale a una rete virtuale in una sottoscrizione da un tenant diverso. Sostituire i valori di esempio per riflettere il proprio ambiente.

1. Assicurarsi di essere nel contesto dell'account dell'hub virtuale:

   az account set --subscriptionId "[virtual hub subscription]"
   

2. Connettere la rete virtuale all'hub:

   az network vhub connection create --resource-group "[resource_group_name]" --name "[connection_name]" --vhub-name "[virtual_hub_name]" --remote-vnet "/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/rgName/providers/Microsoft.Network/virtualNetworks/vnetName"
   

È possibile visualizzare la nuova connessione nell'interfaccia della riga di comando di Azure o nella portale di Azure:

• Nella console i metadati della connessione appena formata vengono visualizzati se la connessione è stata creata correttamente.
• Nel portale di Azure passare all'hub virtuale e selezionare Connettività>Rete virtuale Connessioni. È quindi possibile visualizzare il puntatore alla connessione. Per visualizzare la risorsa effettiva, sono necessarie le autorizzazioni appropriate.

Risolvere problemi

• Verificare che l'estensione wan virtuale sia 0.3.0 o successiva usando az --version.
• Verificare che l'accesso alla sottoscrizione remota sia disponibile dall'interfaccia della riga di comando az account list -o table.
• Assicurarsi che le virgolette siano incluse nei nomi dei gruppi di risorse o in qualsiasi altra variabile specifica dell'ambiente (ad esempio, "VirtualHub1" o "VirtualNetwork1").

Passaggi successivi

• Per altre informazioni sulla rete WAN virtuale, vedere le domande frequenti.