Condividi tramite


Esercitazione: Creare e gestire un gateway VPN tramite il portale di Azure

Questa esercitazione illustra come creare e gestire un gateway di rete virtuale (gateway VPN) tramite il portale di Azure. Il gateway VPN è un componente dell'architettura di connessione che consente di accedere in modo sicuro alle risorse all'interno di una rete virtuale tramite Gateway VPN.

Diagramma che mostra una rete virtuale e un gateway VPN.

  • Sul lato sinistro del diagramma vengono mostrati la rete virtuale e il gateway VPN creati seguendo i passaggi descritti in questo articolo.
  • In seguito, è possibile aggiungere diversi tipi di connessioni, come viene mostrato nella parte destra del diagramma. Ad esempio, è possibile creare connessioni da sito a sito e da punto a sito. Per visualizzare le diverse architetture di progettazione che è possibile creare, vedere Progettazione di gateway VPN.

Per altre informazioni sulle impostazioni di configurazione usate in questa esercitazione, vedere Informazioni sulle impostazioni di configurazione del gateway VPN. Per altre informazioni sul gateway VPN di Azure, vedere Che cos'è il gateway VPN di Azure? Questi passaggi creano un gateway con ridondanza della zona attivo-attivo. Se invece si vuole creare un gateway SKU Basic, vedere Creare un gateway VPN SKU Basic.

In questa esercitazione apprenderai a:

  • Crea una rete virtuale.
  • Creare un gateway VPN in modalità attiva-attiva.
  • Visualizzare l'IP pubblico del gateway.
  • Ridimensionare un gateway VPN (ridimensionare lo SKU).
  • Reimpostare un Gateway VPN.

Nei passaggi descritti in questo articolo viene usato lo SKU del gateway VpnGw2AZ, che supporta le zone di disponibilità di Azure. Alcune aree non supportano le zone di disponibilità. Se si vuole eseguire la distribuzione in un'area diversa dai valori di esempio di questo articolo, assicurarsi che le zone di disponibilità siano supportate per tale area. Se le zone di disponibilità non sono supportate, usare invece uno SKU non AZ. Per altre informazioni, consultare Servizio di zona di disponibilità e supporto regionale. Per informazioni sugli SKU, vedere Informazioni sugli SKU del gateway.

Prerequisiti

È necessario un account Azure con una sottoscrizione attiva. Se non è disponibile, crearne uno gratuitamente.

Creare una rete virtuale

Creare una rete virtuale usando i valori di esempio seguenti:

  • Gruppo di risorse: TestRG1
  • Nome: VNet1
  • Area: (Stati Uniti) Stati Uniti orientali (o area geografica a scelta)
  • Spazio indirizzi IPv4: 10.1.0.0/16
  • Nome subnet: FrontEnd
  • Spazio degli indirizzi della subnet: 10.1.0.0/24
  1. Accedere al portale di Azure.

  2. In Cerca risorse, servizio e documentazione (G+/) nella parte superiore della pagina del portale inserire la rete virtuale. Selezionare Rete virtuale nei risultati della ricerca del Marketplace per aprire la pagina Rete virtuale.

  3. Nella parte inferiore della pagina Rete virtuale selezionare Crea per aprire la pagina Crea rete virtuale.

  4. Nella scheda Informazioni di base configurare le impostazioni della rete virtuale per Dettagli del progetto e Dettagli dell’istanza. Quando vengono convalidati i valori immessi, viene visualizzato un segno di spunta verde. È possibile modificare i valori visualizzati nell'esempio in base alle impostazioni necessarie.

    Screenshot che mostra la scheda Informazioni di base.

    • Sottoscrizione: verificare che la sottoscrizione elencata sia corretta. È possibile modificare le sottoscrizioni tramite l'elenco a discesa.
    • Gruppo di risorse: selezionare un gruppo di risorse esistente oppure fare clic su Crea nuovo per creare un nuovo gruppo. Per altre informazioni sui gruppi di risorse, vedere Panoramica di Azure Resource Manager.
    • Nome: immettere un nome per la rete virtuale.
    • Area: selezionare il percorso per la rete virtuale. La località determina la posizione in cui risiederanno le risorse distribuite nella rete virtuale.
  5. Selezionare Avanti o Sicurezza per andare alla scheda sScurezza. Per questo esercizio, lasciare i valori predefiniti per tutti i servizi in questa pagina.

  6. Selezionare indirizzi IP per andare alla scheda Indirizzi IP. Nella scheda Indirizzi IP configurare i le impostazioni.

    • Spazio indirizzi IPv4: per impostazione predefinita, viene creato automaticamente uno spazio indirizzi. È possibile selezionare lo spazio indirizzi e modificarlo in modo da riflettere i propri valori. È anche possibile aggiungere uno spazio indirizzi differente e rimuovere l'impostazione predefinita creata automaticamente. Ad esempio, è possibile specificare l'indirizzo iniziale come 10.1.0.0 e specificare le dimensioni dello spazio degli indirizzi come /16. Selezionare quindi Aggiungi per aggiungere tale spazio indirizzi.

    • + Aggiungi subnet: se si usa lo spazio indirizzi predefinito, viene creata automaticamente una subnet predefinita. Se si modifica lo spazio indirizzi, aggiungere una nuova subnet all'interno di tale spazio. Selezionare + Aggiungi subnet per aprire la finestra Aggiungi subnet. Configurare le impostazioni seguenti e quindi selezionare Aggiungi nella parte inferiore della pagina per aggiungere i valori.

      • Nome subnet: un esempio è FrontEnd.
      • Intervallo di indirizzi subnet: intervallo di indirizzi per questa subnet. Gli esempi sono 10.1.0.0 e /24.
  7. Esaminare la pagina indirizzi IP e rimuovere eventuali spazi di indirizzi o subnet non necessari.

  8. Selezionare Rivedi e crea per convalidare le impostazioni della rete virtuale.

  9. Dopo aver convalidato le impostazioni, selezionare Crea per creare la rete virtuale.

Dopo aver creato la rete virtuale, è possibile configurare facoltativamente Protezione DDoS di Azure. La protezione è semplice da abilitare in qualsiasi rete virtuale nuova o esistente e non richiede alcuna modifica di applicazioni o risorse. Per altre informazioni su Protezione DDoS di Azure, vedere Che cos'è Protezione DDoS di Azure?

Creare una subnet del gateway

Il gateway di rete virtuale richiede una subnet specifica denominata GatewaySubnet. La subnet del gateway fa parte dell'intervallo di indirizzi IP per la rete virtuale e contiene gli indirizzi IP usati dalle risorse e dai servizi del gateway di rete virtuale. Aggiungere una subnet del gateway con dimensioni pari a /27 o maggiori.

  1. Nella pagina della rete virtuale, nel riquadro sinistro selezionare Subnet per aprire la pagina Subnet.
  2. Nella parte superiore della pagina selezionare + Subnet gateway per aprire il riquadro Aggiungi subnet.
  3. Il nome viene immesso automaticamente come GatewaySubnet. Modificare il valore dell'intervallo di indirizzi IP, se necessario, ad esempio 10.1.255.0/27.
  4. Non modificare gli altri valori nella pagina. Selezionare Salva nella parte inferiore della pagina per salvare la subnet.

Importante

I gruppi di sicurezza di rete nella subnet del gateway non sono supportati. Se si associa un gruppo di sicurezza di rete a tale subnet, il gateway della rete virtuale (VPN e gateway Express Route) potrebbe smettere di funzionare come previsto. Per altre informazioni sui gruppi di sicurezza di rete, vedere Che cos'è un gruppo di sicurezza di rete.

Creare un gateway VPN

In questa sezione viene creato il gateway di rete virtuale (gateway VPN) per la rete virtuale. La creazione di un gateway spesso richiede anche più di 45 minuti di tempo a seconda dello SKU gateway selezionato.

Creare un gateway VPN usando i valori seguenti:

  • Nome: VNet1GW
  • Tipo di gateway: VPN
  • SKU: VpnGw2AZ
  • Generazione: Generazione 2
  • Rete virtuale: VNet1
  • Intervallo di indirizzi subnet del gateway: 10.1.255.0/27
  • Indirizzo IP pubblico: Crea nuovo
  • Nome indirizzo IP pubblico: VNet1GWpip1
  • SKU IP pubblico: Standard
  • Assegnazione: Statico
  • Nome indirizzo IP pubblico secondario: VNet1GWpip2
  1. In Cerca risorse, servizi e documentazione (G+/)immettere il gateway di rete virtuale. Individuare Gateway di rete virtuale nei risultati della ricerca del Marketplace e selezionarlo per aprire la pagina Crea gateway di rete virtuale.

  2. Nella scheda Informazioni di base inserire i valori per Dettagli del progetto e Dettagli dell’istanza.

    Screenshot che mostra i campi di Istanza.

    • Sottoscrizione: selezionare la sottoscrizione da usare nell'elenco a discesa.

    • Gruppo di risorse: questo valore viene compilato automaticamente quando si seleziona la rete virtuale in questa pagina.

    • Nome: si tratta del nome dell'oggetto gateway da creare. Tale nome è diverso da quello della subnet del gateway in cui verranno distribuite le risorse.

    • Area: selezionare l'area in cui creare la risorsa. L'area del gateway deve essere uguale a quella della rete virtuale.

    • Tipo di gateway: selezionare VPN. I gateway VPN usano il gateway di rete virtuale di tipo VPN.

    • SKU: nell'elenco a discesa selezionare uno SKU del gateway che supporta le funzionalità da usare.

      • È consigliabile selezionare uno SKU che termina con AZ quando possibile. Gli SKU AZ supportano le zone di disponibilità.
      • Lo SKU di base non è disponibile nel portale. Per configurare un gateway SKU Basic, è necessario usare PowerShell o l'interfaccia della riga di comando.
    • Generazione: selezionare Generation2 nell'elenco a discesa.

    • Rete virtuale: scegliere la rete virtuale a cui aggiungere il gateway nell'elenco a discesa. Se non è possibile visualizzare la rete virtuale che si vuole usare, assicurarsi di aver selezionato la sottoscrizione e l'area corrette nelle impostazioni precedenti.

    • Intervallo di indirizzi della subnet del gateway o Subnet: la subnet del gateway è necessaria per creare un gateway VPN.

      Attualmente, questo campo può mostrare opzioni di impostazioni diverse a seconda dello spazio indirizzi della rete virtuale e del fatto che sia già stata creata o meno una subnet denominata GatewaySubnet per la rete virtuale.

      Se non si dispone di una subnet del gateway e non viene visualizzata l'opzione per crearne una in questa pagina, tornare alla rete virtuale e creare la subnet del gateway. Tornare quindi a questa pagina e configurare il gateway VPN.

  1. Specificare i valori per Indirizzo IP pubblico. Queste impostazioni specificano l'oggetto IP pubblico che verrà associato al gateway VPN. Un IP pubblico viene assegnato a ogni oggetto IP pubblico quando viene creato il gateway VPN. L'unico caso in cui l'IP pubblico assegnato cambia è quando il gateway viene eliminato e ricreato. Gli indirizzi IP non cambiano durante il ridimensionamento, la reimpostazione o altre operazioni di manutenzione/aggiornamento interne del gateway VPN.

    Screenshot che mostra il campo Indirizzo IP pubblico.

    • Tipo di IP pubblico: se viene visualizzata questa opzione, selezionare Standard.

    • Indirizzo IP pubblico: lasciare Crea nuovo selezionato.

    • Nome indirizzo IP pubblico: nella casella di testo digitare un nome per l'istanza dell'indirizzo IP pubblico.

    • SKU IP pubblico: l'impostazione viene selezionata automaticamente su SKU Standard.

    • Assegnazione: l'assegnazione viene in genere selezionata automaticamente e deve essere Statica.

    • Zona di disponibilità: questa impostazione è disponibile per gli SKU del gateway AZ nelle aree che supportano le zone di disponibilità. Selezionare Ridondanza della zona, a meno che non si sappia di voler specificare una zona.

    • Abilitare la modalità attiva-attiva: è consigliabile selezionare Abilitato per sfruttare i vantaggi di un gateway in modalità attiva-attiva. Se si prevede di usare questo gateway per una connessione da sito a sito, prendere in considerazione quanto segue:

      • Verificare la progettazione attiva-attiva da usare. Le connessioni con il dispositivo VPN locale devono essere configurate in modo specifico per sfruttare la modalità attiva-attiva.
      • Alcuni dispositivi VPN non supportano la modalità attiva-attiva. Se non si è certi, rivolgersi al fornitore del dispositivo VPN. Se si usa un dispositivo VPN che non supporta la modalità attiva-attiva, è possibile selezionare Disabilitato per questa impostazione.
    • IP pubblico secondario: selezionare Crea nuovo. Questa opzione è disponibile solo se è stata selezionata l'opzione Abilitato per l'impostazione Abilita modalità attiva-attiva.

    • Nome indirizzo IP pubblico: nella casella di testo digitare un nome per l'istanza dell'indirizzo IP pubblico.

    • SKU IP pubblico: l'impostazione viene selezionata automaticamente su SKU Standard.

    • Zona di disponibilità: selezionare Con ridondanza della zona, a meno che non si voglia specificare una zona.

    • Configurazione BGP: selezionare Disabilitato, a meno che la configurazione non richieda specificamente questa opzione. Se è un'impostazione necessaria, il numero ASN predefinito è 65515, anche se questo valore può essere modificato.

    • Abilitare l'accesso all'insieme di credenziali delle chiavi: selezionare Disabilitato a meno che la configurazione non richieda specificamente questa impostazione.

  2. Selezionare Rivedi e crea per eseguire la convalida.

  3. Una volta superata la convalida, selezionare Crea per distribuire il gateway VPN.

La creazione e la distribuzione completa di un gateway può richiedere più di 45 minuti. È possibile visualizzare lo stato della distribuzione nella pagina Panoramica per il gateway. Dopo aver creato il gateway, è possibile visualizzare l'indirizzo IP assegnatogli esaminando la rete virtuale nel portale. Il gateway viene visualizzato come un dispositivo connesso.

Visualizzare l'indirizzo IP pubblico

Per visualizzare gli IP pubblici associati al gateway di rete virtuale, passare al gateway nel portale.

  1. Nella pagina del portale per il gateway di rete virtuale, in Impostazioni, aprire la pagina Proprietà.
  2. Per visualizzare altre informazioni sull'oggetto indirizzo IP, fare clic sul collegamento dell’indirizzo IP associato.

Ridimensionare uno SKU del gateway

Il ridimensionamento e la modifica di uno SKU del gateway sono soggetti a regole specifiche. In questa sezione si ridimensiona lo SKU. Per altre informazioni, vedere Ridimensionare o modificare gli SKU del gateway.

I passaggi di base sono:

  1. Passare alla pagina Configurazione del gateway di rete virtuale.
  2. Sul lato destro della pagina, selezionare la freccia a discesa per visualizzare un elenco di SKU disponibili. Si noti che l'elenco popola solo gli SKU che è possibile usare per ridimensionare lo SKU corrente. Se non viene visualizzato lo SKU che si vuole usare, invece di ridimensionare, è necessario passare a un nuovo SKU.
  3. Selezionare lo SKU dall'elenco a discesa e salvare le modifiche.

Reimpostare un gateway

Le reimpostazioni del gateway si comportano in modo diverso, a seconda della configurazione del gateway. Per altre informazioni, vedere Reimpostare un gateway VPN o una connessione.

I passaggi di base sono:

  1. Nel portale passare al gateway di rete virtuale da reimpostare.
  2. Nel riquadro sinistro della pagina Gateway di rete virtuale scorrere e individuare Guida -> Reimposta.
  3. Nella pagina Reimposta selezionare Reimposta. Dopo l'emissione del comando, l'istanza attualmente attiva del Gateway VPN di Azure viene riavviata immediatamente. La reimpostazione del gateway provoca un'interruzione della connettività VPN e potrebbe limitare l'analisi futura delle causa radice del problema.

Pulire le risorse

Se non si prevede di continuare a usare questa applicazione o di passare all'esercitazione successiva, eliminare tali risorse.

  1. Immettere il nome del gruppo di risorse nella casella Cerca nella parte superiore del portale e selezionarlo nei risultati della ricerca.
  2. Selezionare Elimina gruppo di risorse.
  3. Immettere il nome del gruppo di risorse in DIGITARE IL NOME DEL GRUPPO DI RISORSE e selezionare Elimina.

Passaggi successivi

Dopo aver creato un gateway VPN, è possibile configurare più impostazioni e connessioni del gateway. Gli articoli seguenti illustrano come creare alcune delle configurazioni più comuni: