Configurare una connessione gateway VPN da rete virtuale a rete virtuale - portale di Azure

  • Articolo

Questo articolo illustra come connettere reti virtuali usando il tipo di connessione da rete virtuale a rete virtuale usando il portale di Azure. Le reti virtuali possono trovarsi in aree diverse e da sottoscrizioni diverse. Quando si connettono reti virtuali da sottoscrizioni diverse, le sottoscrizioni non devono essere associate allo stesso tenant. Questo tipo di configurazione crea una connessione tra due gateway di rete virtuale. Questo articolo non si applica al peering reti virtuali. Per il peering reti virtuali, vedere l'articolo Rete virtuale peering.

VNet to VNet diagram.

È possibile creare questa configurazione usando vari strumenti, a seconda del modello di distribuzione della rete virtuale. I passaggi descritti in questo articolo si applicano al modello di distribuzione azure Resource Manager e al portale di Azure. Per passare a un altro modello di distribuzione o a un altro articolo del metodo di distribuzione, usare l'elenco a discesa.

Informazioni sulla connessione di reti virtuali

Le sezioni seguenti illustrano i diversi modi in cui è possibile connettere le reti virtuali.

Da rete virtuale a rete virtuale

Un modo semplice per connettere le reti virtuali consiste nel configurare una connessione da rete virtuale a rete virtuale. La connessione di una rete virtuale a un'altra con il tipo di connessione da rete virtuale a rete virtuale è simile alla creazione di una connessione IPsec da sito a sito a una posizione locale. Entrambi i tipi di connessione usano un gateway VPN per offrire un tunnel sicuro con IPsec/IKE e presentano lo stesso funzionamento durante la comunicazione. Differiscono tuttavia nel modo in cui viene configurato il gateway di rete locale.

Quando si crea una connessione da rete virtuale a rete virtuale, lo spazio indirizzi del gateway di rete locale viene creato e popolato automaticamente. Se si aggiorna lo spazio indirizzi per una rete virtuale, l'altra rete virtuale verrà automaticamente indirizzata allo spazio indirizzi aggiornato. La creazione di una connessione da rete virtuale a rete virtuale è in genere più semplice e rapida rispetto alla creazione di una connessione da sito a sito. Tuttavia, il gateway di rete locale non è visibile in questa configurazione.

  • Se si vuole specificare più spazi indirizzi per il gateway di rete locale o pianificare l'aggiunta di altre connessioni in un secondo momento e la necessità di modificare il gateway di rete locale, è necessario creare la configurazione usando i passaggi da sito a sito.
  • La connessione da rete virtuale a rete virtuale non include lo spazio di indirizzi del pool di client da punto a sito. Se è necessario il routing transitivo per i client da punto a sito, creare una connessione da sito a sito tra i gateway di rete virtuale o usare il peering reti virtuali.

Da sito a sito (IPsec)

Se si usa una configurazione di rete complessa, è preferibile connettere le reti virtuali usando invece una connessione da sito a sito. Con la procedura di connessione IPsec da sito a sito, i gateway di rete locali vengono creati e configurati manualmente. Il gateway di rete locale per ogni rete virtuale considera l'altra rete virtuale come sito locale. Questi passaggi consentono di specificare più spazi indirizzi per il gateway di rete locale per instradare il traffico. In caso di modifica dello spazio indirizzi per una rete virtuale, è necessario aggiornare manualmente il gateway di rete locale corrispondente.

Peering reti virtuali

È anche possibile connettere le reti virtuali con il peering reti virtuali.

  • Il peering di reti virtuali non usa alcun gateway VPN e presenta vincoli diversi.
  • I prezzi del peering reti virtuali vengono calcolati in modo diverso rispetto ai prezzi di Gateway VPN da rete virtuale a rete virtuale.
  • Per altre informazioni sul peering reti virtuali, vedere l'articolo Rete virtuale peering.

Vantaggi di una connessione da rete virtuale a rete virtuale

È possibile connettere le reti virtuali usando una connessione da rete virtuale a rete virtuale per i motivi seguenti:

Presenza e ridondanza in più aree geografiche

  • È possibile configurare la sincronizzazione o la replica geografica con connettività sicura senza passare da endpoint con connessione Internet.
  • Con Gestione traffico di Azure e Azure Load Balancer, è possibile configurare un carico di lavoro a disponibilità elevata con ridondanza geografica in più aree di Azure. Ad esempio, si possono configurare gruppi di disponibilità Always On di SQL Server in più aree di Azure.

Applicazioni multilivello a livello di area con isolamento o limiti amministrativi

  • All'interno di una stessa area è possibile configurare applicazioni multilivello con più reti virtuali connesse tra loro, a causa di requisiti amministrativi o di isolamento.

La comunicazione tra reti virtuali può essere associata a configurazioni multisito. Queste configurazioni consentono di stabilire topologie di rete che combinano la connettività cross-premise con la connettività tra reti virtuali, come illustrato nel diagramma seguente:

VNet connections diagram.

Questo articolo illustra come connettere reti virtuali con il tipo di connessione da rete virtuale a rete virtuale. Se si segue questa procedura come esercizio, si possono usare i valori delle impostazioni di esempio riportati di seguito. Nell'esempio, le reti virtuali sono nella stessa sottoscrizione, ma in gruppi di risorse diversi. Se le reti virtuali si trovano in sottoscrizioni diverse, non sarà possibile creare la connessione nel portale. Usare invece PowerShell o l'interfaccia della riga di comando. Per altre informazioni sulle connessioni da rete virtuale a rete virtuale, vedere la sezione Domande frequenti sulle connessioni da rete virtuale a rete virtuale.

Impostazioni di esempio

Valori per VNet1:

  • Impostazioni della rete virtuale

    • Nome: VNet1
    • Spazio indirizzi: 10.1.0.0/16
    • Sottoscrizione: selezionare la sottoscrizione da usare.
    • Gruppo di risorse: TestRG1
    • Località: Stati Uniti orientali
    • Subnet
      • Nome: FrontEnd
      • Intervallo di indirizzi: 10.1.0.0/24

  • Impostazioni del gateway di rete virtuale

    • Nome: VNet1GW
    • Gruppo di risorse: Stati Uniti orientali
    • Generazione: Generazione 2
    • Tipo di gateway: selezionare VPN.
    • Tipo VPN: selezionare Basato su route.
    • SKU: VpnGw2
    • Generazione: Generation2
    • Rete virtuale: VNet1
    • Intervallo di indirizzi della subnet del gateway: 10.1.255.0/27
    • Indirizzo IP pubblico: Crea nuovo
    • Nome indirizzo IP pubblico: VNet1GWpip
    • Abilitare la modalità attiva-attiva: Disabilitata
    • Configurare BGP: Disabilitato

  • Connessione

    • Nome: VNet1toVNet4
    • Chiave condivisa: è possibile creare manualmente la chiave condivisa. Quando si crea la connessione tra le reti virtuali, i valori devono corrispondere. Per questo esercizio, usare abc123.

Valori per VNet4:

  • Impostazioni della rete virtuale

    • Nome: VNet4
    • Spazio indirizzi: 10.41.0.0/16
    • Sottoscrizione: selezionare la sottoscrizione da usare.
    • Gruppo di risorse: TestRG4
    • Località: Stati Uniti occidentali
    • Subnet
    • Nome: FrontEnd
    • Intervallo di indirizzi: 10.41.0.0/24

  • Impostazioni del gateway di rete virtuale

    • Nome: VNet4GW
    • Gruppo di risorse: Stati Uniti occidentali
    • Generazione: Generazione 2
    • Tipo di gateway: selezionare VPN.
    • Tipo VPN: selezionare Basato su route.
    • SKU: VpnGw2
    • Generazione: Generation2
    • Rete virtuale: VNet4
    • Intervallo di indirizzi della subnet del gateway: 10.41.255.0/27
    • Indirizzo IP pubblico: Crea nuovo
    • Nome indirizzo IP pubblico: VNet4GWpip
    • Abilitare la modalità attiva-attiva: Disabilitata
    • Configurare BGP: Disabilitato

  • Connessione

    • Nome: VNet4toVNet1
    • Chiave condivisa: è possibile creare manualmente la chiave condivisa. Quando si crea la connessione tra le reti virtuali, i valori devono corrispondere. Per questo esercizio, usare abc123.

Creare e configurare VNet1

Se si ha già una rete virtuale, verificare che le impostazioni siano compatibili con la progettazione del gateway VPN. Prestare particolare attenzione a tutte le subnet che potrebbero sovrapporsi ad altre reti. La connessione non funziona correttamente se le subnet si sovrappongono.

Per creare una rete virtuale

Nota

Quando si usa una rete virtuale come parte di un'architettura cross-premise, assicurarsi di coordinarsi con l'amministratore di rete locale per ritagliare un intervallo di indirizzi IP che è possibile usare in modo specifico per questa rete virtuale. Se su entrambi i lati della connessione VPN è presente un intervallo di indirizzi duplicato, il traffico verrà indirizzato in modo imprevisto. Inoltre, se si vuole connettere questa rete virtuale a un'altra rete virtuale, lo spazio indirizzi non può sovrapporsi all'altra rete virtuale. Pianificare la configurazione di rete di conseguenza.

  1. Accedere al portale di Azure.

  2. In Cerca risorse, servizio e documentazione (G+/) nella parte superiore della pagina del portale immettere la rete virtuale. Selezionare Rete virtuale nei risultati della ricerca del Marketplace per aprire la pagina Rete virtuale.

  3. Nella pagina Rete virtuale selezionare Crea per aprire la pagina Crea rete virtuale.

  4. Nella scheda Informazioni di base configurare le impostazioni della rete virtuale per Dettagli progetto e Dettagli istanza. Quando vengono convalidati i valori immessi, viene visualizzato un segno di spunta verde. È possibile modificare i valori visualizzati nell'esempio in base alle impostazioni necessarie.

    Screenshot that shows the Basics tab.

    • Sottoscrizione: verificare che la sottoscrizione elencata sia corretta. È possibile modificare le sottoscrizioni usando la casella di riepilogo a discesa.
    • Gruppo di risorse: selezionare un gruppo di risorse esistente o selezionare Crea nuovo per crearne uno nuovo. Per altre informazioni sui gruppi di risorse, vedere Panoramica di Azure Resource Manager.
    • Nome: immettere un nome per la rete virtuale.
    • Area: selezionare il percorso per la rete virtuale. Il percorso determina dove si trovano le risorse distribuite in questa rete virtuale.

  5. Selezionare Avanti o Sicurezza per passare alla scheda Sicurezza. Per questo esercizio, lasciare i valori predefiniti per tutti i servizi in questa pagina.

  6. Selezionare Indirizzi IP per passare alla scheda Indirizzi IP. Nella scheda Indirizzi IP configurare le impostazioni.

    • Spazio indirizzi IPv4: per impostazione predefinita, viene creato automaticamente uno spazio indirizzi. È possibile selezionare lo spazio indirizzi e modificarlo in modo da riflettere i propri valori. È anche possibile aggiungere uno spazio indirizzi diverso e rimuovere l'impostazione predefinita creata automaticamente. Ad esempio, è possibile specificare l'indirizzo iniziale come 10.1.0.0 e specificare le dimensioni dello spazio degli indirizzi come /16. Selezionare quindi Aggiungi per aggiungere tale spazio indirizzi.

    • + Aggiungi subnet: se si usa lo spazio indirizzi predefinito, viene creata automaticamente una subnet predefinita. Se si modifica lo spazio indirizzi, aggiungere una nuova subnet all'interno di tale spazio indirizzi. Selezionare + Aggiungi subnet per aprire la finestra Aggiungi subnet. Configurare le impostazioni seguenti e quindi selezionare Aggiungi nella parte inferiore della pagina per aggiungere i valori.

      • Nome subnet: un esempio è FrontEnd.
      • Intervallo di indirizzi subnet: intervallo di indirizzi per questa subnet. Gli esempi sono 10.1.0.0 e /24.

  7. Esaminare la pagina Indirizzi IP e rimuovere eventuali spazi di indirizzi o subnet non necessari.

  8. Selezionare Rivedi e crea per convalidare le impostazioni della rete virtuale.

  9. Dopo aver convalidato le impostazioni, selezionare Crea per creare la rete virtuale.

Creare il gateway VNet1

Questo passaggio illustra come creare il gateway di rete virtuale per la rete virtuale. La creazione di un gateway spesso richiede anche più di 45 minuti di tempo a seconda dello SKU gateway selezionato. Per i prezzi degli SKU del gateway, vedere Prezzi. Se si crea questa configurazione come esercizio, vedere Impostazioni di esempio.

Il gateway di rete virtuale richiede una subnet specifica denominata GatewaySubnet. La subnet del gateway fa parte dell'intervallo di indirizzi IP per la rete virtuale e contiene gli indirizzi IP usati dalle risorse e dai servizi del gateway di rete virtuale.

Quando si crea la subnet del gateway, si specifica il numero di indirizzi IP inclusi nella subnet. Il numero di indirizzi IP necessari dipende alla configurazione di gateway VPN che si vuole creare. Alcune configurazioni richiedono più indirizzi IP di altre. È consigliabile specificare /27 o superiore (/26, /25 e così via) per la subnet del gateway.

Se viene visualizzato un errore che specifica che lo spazio indirizzi si sovrappone a una subnet o che la subnet non è contenuta nello spazio indirizzi per la rete virtuale, controllare l'intervallo di indirizzi della rete virtuale. Potrebbe non essere disponibile un numero sufficiente di indirizzi IP nell'intervallo di indirizzi creato per la rete virtuale. Ad esempio, se la subnet predefinita include l'intero intervallo di indirizzi, non sono stati lasciati indirizzi IP per creare più subnet. È possibile modificare le subnet all'interno dello spazio indirizzi esistente per liberare gli indirizzi IP o specificare un altro intervallo di indirizzi e creare la subnet del gateway.

Per creare un gateway di rete virtuale

  1. In Cerca risorse, servizi e documentazione (G+/) immettere il gateway di rete virtuale. Individuare Gateway di rete virtuale nei risultati della ricerca del Marketplace e selezionarlo per aprire la pagina Crea gateway di rete virtuale.

    Screenshot that shows the Search field.

  2. Nella scheda Informazioni di base immettere i valori per Dettagli progetto e Dettagli istanza.

    Screenshot that shows the Instance fields.

    • Sottoscrizione: selezionare la sottoscrizione da usare nell'elenco a discesa.

    • Gruppo di risorse: questa impostazione viene compilata automaticamente quando si seleziona la rete virtuale in questa pagina.

    • Nome: assegnare un nome al gateway. La denominazione del gateway non equivale alla denominazione di una subnet del gateway. ma il nome dell'oggetto gateway da creare.

    • Area: selezionare l'area in cui si vuole creare questa risorsa. L'area del gateway deve essere uguale a quella della rete virtuale.

    • Tipo di gateway: selezionare VPN. I gateway VPN usano il gateway di rete virtuale di tipo VPN.

    • SKU: nell'elenco a discesa selezionare lo SKU del gateway che supporta le funzionalità da usare. Vedere SKU del gateway. Nel portale gli SKU disponibili nell'elenco a discesa dipendono dall'opzione VPN type selezionata. Lo SKU Basic può essere configurato solo tramite l'interfaccia della riga di comando di Azure o PowerShell. Non è possibile configurare lo SKU Basic nel portale di Azure.

    • Generazione: selezionare la generazione da usare. È consigliabile usare uno SKU Generation2. Per altre informazioni, vedere SKU del gateway.

    • Rete virtuale: dall'elenco a discesa selezionare la rete virtuale a cui si vuole aggiungere il gateway. Se non è possibile visualizzare la rete virtuale per cui si vuole creare un gateway, assicurarsi di aver selezionato la sottoscrizione e l'area corrette nelle impostazioni precedenti.

    • Intervallo di indirizzi della subnet del gateway o Subnet: la subnet del gateway è necessaria per creare un gateway VPN.

      A questo punto, questo campo presenta un paio di comportamenti diversi, a seconda dello spazio degli indirizzi della rete virtuale e se è già stata creata una subnet denominata GatewaySubnet per la rete virtuale.

      Se non si ha una subnet del gateway e non viene visualizzata l'opzione per crearne una in questa pagina, tornare alla rete virtuale e creare la subnet del gateway. Tornare quindi a questa pagina e configurare il gateway VPN.

  1. Specificare i valori per Indirizzo IP pubblico. Queste impostazioni specificano l'oggetto indirizzo IP pubblico associato al gateway VPN. L'indirizzo IP pubblico viene assegnato a questo oggetto quando viene creato il gateway VPN. L'unica volta che l'indirizzo IP pubblico primario cambia è quando il gateway viene eliminato e ricreato. Non viene modificato in caso di ridimensionamento, reimpostazione o altre manutenzioni/aggiornamenti del gateway VPN.

    Screenshot that shows the Public IP address field.

    • Tipo di indirizzo IP pubblico: per questo esercizio, se è possibile scegliere il tipo di indirizzo, selezionare Standard.
    • Indirizzo IP pubblico: lasciare selezionata l'opzione Crea nuovo .
    • Nome indirizzo IP pubblico: nella casella di testo immettere un nome per l'istanza dell'indirizzo IP pubblico.
    • SKU indirizzo IP pubblico: l'impostazione è selezionata automaticamente.
    • Assegnazione: l'assegnazione viene in genere selezionata automaticamente e può essere dinamica o statica.
    • Abilita la modalità attiva-attiva: selezionare Disabilitato. Abilitare questa impostazione solo se si sta creando una configurazione del gateway attivo-attivo.
    • Configura BGP: selezionare Disabilitato, a meno che la configurazione non richieda specificamente questa impostazione. Se è necessaria questa impostazione, l'ASN predefinito è 65515, anche se questo valore può essere modificato.

  2. Selezionare Rivedi e crea per eseguire la convalida.

  3. Al termine della convalida, selezionare Crea per distribuire il gateway VPN.

È possibile visualizzare lo stato della distribuzione nella pagina Panoramica per il gateway. La creazione e la distribuzione completa di un gateway possono richiedere più di 45 minuti. Dopo la creazione del gateway, è possibile visualizzare l'indirizzo IP assegnato esaminando la rete virtuale nel portale. Il gateway viene visualizzato come un dispositivo connesso.

Importante

Quando si lavora con le subnet del gateway, evitare di associare un gruppo di sicurezza di rete (NSG) alla subnet del gateway. L'associazione di un gruppo di sicurezza di rete a questa subnet potrebbe causare l'arresto del gateway di rete virtuale (VPN ed ExpressRoute) come previsto. Per altre informazioni sui gruppi di sicurezza di rete, vedere Che cos'è un gruppo di sicurezza di rete?.

Creare e configurare VNet4

Dopo aver configurato VNet1, creare VNet4 e il gateway VNet4 ripetendo i passaggi precedenti e sostituendo i valori con i valori VNet4. Non è necessario attendere il completamento della creazione del gateway di rete virtuale per VNet1 prima di configurare VNet4. Se si usano valori personalizzati, verificare che gli spazi indirizzi non si sovrappongano alle reti virtuali a cui ci si vuole connettere.

Configurare le connessioni

Al termine dei gateway VPN sia per VNet1 che per VNet4, è possibile creare le connessioni gateway di rete virtuale.

Le reti virtuali nella stessa sottoscrizione possono essere connesse tramite il portale, anche se si trovano in gruppi di risorse diversi. Tuttavia, se le reti virtuali si trovano in sottoscrizioni diverse, è necessario usare PowerShell per stabilire le connessioni.

È possibile creare una connessione bidirezionale o una singola direzione. Per questo esercizio si specificherà una connessione bidirezionale. Il valore della connessione bidirezionale crea due connessioni separate in modo che il traffico possa fluire in entrambe le direzioni.

  1. Nel portale passare a VNet1GW.

  2. Nella pagina del gateway di rete virtuale passare a Connessione ions. Selezionare +Aggiungi.

    Screenshot showing the connections page.

  3. Nella pagina Crea connessione immettere i valori di connessione.

    Screenshot showing the Create Connection page.

    • Connessione ion digitare: selezionare da rete virtuale a rete virtuale dall'elenco a discesa.
    • Stabilire la connettività bidirezionale: selezionare questo valore
    • Nome connessione: da VNet1 a VNet4
    • Secondo nome di connessione: da VNet4 a VNet1
    • Area: Stati Uniti orientali (area per VNet1GW)

  4. Fare clic su Avanti : Impostazioni>nella parte inferiore della pagina per passare alla pagina Impostazioni.

  5. Nella pagina Impostazioni specificare i valori seguenti:

    • Primo gateway di rete virtuale: selezionare VNet1GW dall'elenco a discesa.
    • Secondo gateway di rete virtuale: selezionare VNet4GW dall'elenco a discesa.
    • Chiave condivisa (PSK): in questo campo immettere una chiave condivisa per la connessione. La chiave può essere generata o creata dall'utente. In una connessione da sito a sito, per il dispositivo locale e la connessione del gateway di rete virtuale viene usata la stessa chiave. In questo caso si applica un concetto simile, ma anziché a un dispositivo VPN ci si connette a un altro gateway di rete virtuale.
    • Protocollo IKE: IKEv2

  6. Per questo esercizio, è possibile lasciare invariate le altre impostazioni come valori predefiniti.

  7. Selezionare Rivedi e crea, quindi Crea per convalidare e creare le connessioni.

Verificare le connessioni

  1. Individuare il gateway di rete virtuale nel portale di Azure. Ad esempio, VNet1GW

  2. Nella pagina Gateway di rete virtuale selezionare Connessioni per visualizzare la pagina Connessioni per il gateway di rete virtuale. Dopo aver stabilito la connessione, si noterà che i valori di stato cambiano in Connessione ed.

    Screenshot connection status.

  3. Nella colonna Nome selezionare una delle connessioni per visualizzare altre informazioni. Quando inizia il flusso dei dati, vengono visualizzati valori per Dati in entrata e Dati in uscita.

    Screenshot shows a resource group with values for Data in and Data out.

Aggiungere altre connessioni

Per aggiungere altre connessioni, passare al gateway di rete virtuale da cui si vuole creare la connessione, quindi selezionare Connessione ions. È possibile creare un'altra connessione da rete virtuale a rete virtuale o creare una connessione IPsec da sito a sito in un percorso locale. Assicurarsi di impostare Tipo di connessione in modo che corrisponda al tipo di connessione che si vuole creare. Prima di creare più connessioni, verificare che lo spazio indirizzi per la rete virtuale non si sovrapponga ad alcuno degli spazi indirizzi a cui ci si vuole connettere. Per la procedura per a una connessione da sito a sito, vedere Creare una connessione da sito a sito.

Domande frequenti relative alla connessione di reti virtuali

Vedere le domande frequenti sulle Gateway VPN per le domande frequenti da rete virtuale a rete virtuale.

Passaggi successivi

  • Per informazioni su come limitare il traffico di rete verso le risorse in una rete virtuale, vedere l'articolo relativo alla sicurezza di rete.

  • Per informazioni sul modo in cui Azure instrada il traffico tra Azure, l'ambiente locale e le risorse Internet, vedere Routing del traffico di rete virtuale.