Usare collegamento privato in rete WAN virtuale
collegamento privato di Azure è una tecnologia che consente di connettere le offerte di piattaforma di Azure come servizio usando la connettività degli indirizzi IP privati esponendo endpoint privati. Con Azure rete WAN virtuale è possibile distribuire un endpoint privato in una delle reti virtuali connesse a qualsiasi hub virtuale. Questo collegamento privato fornisce la connettività a qualsiasi altra rete virtuale o ramo connesso alla stessa rete WAN virtuale.
Prima di iniziare
I passaggi descritti in questo articolo presuppongono che sia già stata distribuita una rete WAN virtuale con uno o più hub e almeno due reti virtuali connesse a rete WAN virtuale.
Per creare una nuova rete WAN virtuale e un nuovo hub, attenersi ai passaggi descritti negli articoli seguenti:
Creare un endpoint di collegamento privato
È possibile creare un endpoint di collegamento privato per molti servizi diversi. In questo esempio si usa Azure SQL Database. È possibile trovare altre informazioni su come creare un endpoint privato per un database Azure SQL in Avvio rapido: Creare un endpoint privato usando l'portale di Azure. L'immagine seguente mostra la configurazione di rete del database Azure SQL:
Dopo aver creato il database Azure SQL, è possibile verificare l'indirizzo IP dell'endpoint privato che esplora gli endpoint privati:
Facendo clic sull'endpoint privato creato, verrà visualizzato il relativo indirizzo IP privato e il relativo nome di dominio completo (FQDN). L'endpoint privato deve avere un indirizzo IP nell'intervallo della rete virtuale in cui è stato distribuito (10.1.3.0/24):
Verificare la connettività dalla stessa rete virtuale
In questo esempio viene verificata la connettività al database Azure SQL da una macchina virtuale Linux con gli strumenti MS SQL installati. Il primo passaggio consiste nel verificare che la risoluzione DNS funzioni e che il nome di dominio completo del database Azure SQL venga risolto in un indirizzo IP privato, nella stessa rete virtuale in cui è stato distribuito l'endpoint privato (10.1.3.0/24):
nslookup wantest.database.windows.net
Server: 127.0.0.53
Address: 127.0.0.53#53
Non-authoritative answer:
wantest.database.windows.net canonical name = wantest.privatelink.database.windows.net.
Name: wantest.privatelink.database.windows.net
Address: 10.1.3.228
Come si può notare nell'output precedente, il nome di wantest.database.windows.net dominio completo viene mappato a wantest.privatelink.database.windows.net, che la zona DNS privata creata lungo l'endpoint privato risolverà l'indirizzo 10.1.3.228IP privato . L'analisi della zona DNS privata conferma che è presente un record A per l'endpoint privato mappato all'indirizzo IP privato:
Dopo aver verificato la risoluzione DNS corretta, è possibile tentare di connettersi al database:
query="SELECT CONVERT(char(15), CONNECTIONPROPERTY('client_net_address'));"
sqlcmd -S wantest.database.windows.net -U $username -P $password -Q "$query"
10.1.3.75
Come si può notare, si usa una query SQL speciale che fornisce l'indirizzo IP di origine visualizzato dal client. In questo caso, il server vede il client con il relativo INDIRIZZO IP privato (10.1.3.75), il che significa che il traffico passa dalla rete virtuale direttamente all'endpoint privato.
Impostare le variabili username e password per corrispondere alle credenziali definite nel database Azure SQL per eseguire gli esempi in questa guida.
Connettersi da una rete virtuale diversa
Ora che una rete virtuale in Azure rete WAN virtuale ha connettività all'endpoint privato, tutte le altre reti virtuali e rami connessi a rete WAN virtuale possono anche accedervi. È necessario fornire la connettività tramite uno dei modelli supportati da Azure rete WAN virtuale, ad esempio lo scenario Any-to-any o lo scenario di rete virtuale servizi condivisi, per assegnare due esempi.
Dopo aver eseguito la connettività tra la rete virtuale o il ramo alla rete virtuale in cui è stato distribuito l'endpoint privato, è necessario configurare la risoluzione DNS:
- Se ci si connette all'endpoint privato da una rete virtuale, è possibile usare la stessa zona privata creata con il database Azure SQL.
- Se ci si connette all'endpoint privato da un ramo (VPN da sito a sito, VPN da punto a sito o ExpressRoute), è necessario usare la risoluzione DNS locale.
In questo esempio ci si connette da una rete virtuale diversa. Collegare prima di tutto la zona DNS privata alla nuova rete virtuale in modo che i carichi di lavoro possano risolvere il nome di dominio completo del database Azure SQL all'indirizzo IP privato. Questa operazione viene eseguita tramite il collegamento della zona DNS privata alla nuova rete virtuale:
Ora qualsiasi macchina virtuale nella rete virtuale collegata deve risolvere correttamente l'FQDN del database Azure SQL all'indirizzo IP privato del collegamento privato:
nslookup wantest.database.windows.net
Server: 127.0.0.53
Address: 127.0.0.53#53
Non-authoritative answer:
wantest.database.windows.net canonical name = wantest.privatelink.database.windows.net.
Name: wantest.privatelink.database.windows.net
Address: 10.1.3.228
Per verificare che questa rete virtuale (10.1.1.1.0/24) disponga della connettività alla rete virtuale originale in cui è stato configurato l'endpoint privato (10.1.3.0/24), è possibile verificare la tabella di route effettiva in qualsiasi macchina virtuale nella rete virtuale:
Come si può notare, esiste una route che punta alla rete virtuale 10.1.3.0/24 inserita dai gateway Rete virtuale in Azure rete WAN virtuale. Ora è possibile testare la connettività al database:
query="SELECT CONVERT(char(15), CONNECTIONPROPERTY('client_net_address'));"
sqlcmd -S wantest.database.windows.net -U $username -P $password -Q "$query"
10.1.1.75
In questo esempio è stato illustrato come creare un endpoint privato in una delle reti virtuali collegate a un rete WAN virtuale offre connettività al resto delle reti virtuali e dei rami nella rete WAN virtuale.
Passaggi successivi
Per altre informazioni sulla rete WAN virtuale, vedere le domande frequenti.