Configurare una connessione gateway VPN da rete virtuale a rete virtuale con il portale di Azure

Questo articolo illustra come connettere reti virtuali usando il tipo di connessione da rete virtuale a rete virtuale usando il portale di Azure. Le reti virtuali possono trovarsi in aree diverse e da sottoscrizioni diverse. Quando si connettono reti virtuali di sottoscrizioni diverse, non è necessario che le sottoscrizioni siano associate allo stesso tenant di Active Directory. Questo tipo di configurazione crea una connessione tra due gateway di rete virtuale. Questo articolo non si applica al peering reti virtuali. Per il peering reti virtuali, vedere l'articolo Rete virtuale peering.

È possibile creare questa configurazione usando vari strumenti, a seconda del modello di distribuzione della rete virtuale. I passaggi descritti in questo articolo si applicano al modello di distribuzione di Azure Resource Manager e al portale di Azure. Per passare a un altro modello di distribuzione o a un altro articolo del metodo di distribuzione, usare l'elenco a discesa.

• Portale di Azure
• PowerShell
• Interfaccia della riga di comando di Azure
• Portale di Azure (classico)
• Connettersi tra modelli di distribuzione diversi - Portale di Azure
• Connettersi tra modelli di distribuzione diversi - PowerShell

Informazioni sulla connessione di reti virtuali

Le sezioni seguenti illustrano i diversi modi in cui è possibile connettere le reti virtuali.

Tra reti virtuali

Un modo semplice per connettere le reti virtuali consiste nel configurare una connessione da rete virtuale a rete virtuale. La connessione di una rete virtuale a un'altra con il tipo di connessione da rete virtuale a rete virtuale è simile alla creazione di una connessione IPsec da sito a sito a una posizione locale. Entrambi i tipi di connessione usano un gateway VPN per offrire un tunnel sicuro con IPsec/IKE e presentano lo stesso funzionamento durante la comunicazione. Differiscono tuttavia nel modo in cui viene configurato il gateway di rete locale.

Quando si crea una connessione da rete virtuale a rete virtuale, lo spazio indirizzi del gateway di rete locale viene creato e popolato automaticamente. Se si aggiorna lo spazio indirizzi per una rete virtuale, l'altra rete virtuale verrà automaticamente indirizzata allo spazio indirizzi aggiornato. La creazione di una connessione da rete virtuale a rete virtuale è in genere più semplice e rapida rispetto alla creazione di una connessione da sito a sito. Tuttavia, il gateway di rete locale non è visibile in questa configurazione.

• Se si è certi di voler specificare spazi di indirizzi aggiuntivi per il gateway di rete locale o di aggiungere altre connessioni in un secondo momento ed è necessario modificare il gateway di rete locale, è necessario creare la configurazione usando la procedura da sito a sito.
• La connessione da rete virtuale a rete virtuale non include lo spazio indirizzi del pool client da punto a sito. Se è necessario il routing transitivo per i client da punto a sito, creare una connessione da sito a sito tra i gateway di rete virtuale o usare il peering reti virtuali.

Da sito a sito (IPsec)

Se si usa una configurazione di rete complessa, potrebbe essere preferibile connettere le reti virtuali usando invece una connessione da sito a sito. Con la procedura di connessione IPsec da sito a sito, i gateway di rete locali vengono creati e configurati manualmente. Il gateway di rete locale per ogni rete virtuale considera l'altra rete virtuale come sito locale. Tale procedura consente di specificare spazi indirizzi aggiuntivi per il routing del traffico con il gateway di rete locale. In caso di modifica dello spazio indirizzi per una rete virtuale, è necessario aggiornare manualmente il gateway di rete locale corrispondente.

Peering reti virtuali

È anche possibile connettere le reti virtuali con il peering reti virtuali.

• Il peering di reti virtuali non usa alcun gateway VPN e presenta vincoli diversi.
• I prezzi del peering reti virtuali vengono calcolati in modo diverso rispetto ai prezzi di Gateway VPN da rete virtuale a rete virtuale.
• Per altre informazioni sul peering reti virtuali, vedere l'articolo Rete virtuale peering.

Vantaggi di una connessione da rete virtuale a rete virtuale

Connettere le reti virtuali con una connessione da rete virtuale a rete virtuale può essere opportuno per i motivi illustrati di seguito.

Presenza e ridondanza in più aree geografiche

• È possibile configurare la sincronizzazione o la replica geografica con connettività sicura senza passare da endpoint con connessione Internet.
• Con Gestione traffico di Azure e Azure Load Balancer, è possibile configurare un carico di lavoro a disponibilità elevata con ridondanza geografica in più aree di Azure. Ad esempio, si possono configurare gruppi di disponibilità Always On di SQL Server in più aree di Azure.

Applicazioni multilivello a livello di area con isolamento o limiti amministrativi

• All'interno di una stessa area è possibile configurare applicazioni multilivello con più reti virtuali connesse tra loro, a causa di requisiti amministrativi o di isolamento.

La comunicazione tra reti virtuali può essere associata a configurazioni multisito. Tali configurazioni consentono di definire topologie di rete che combinano connettività cross-premise e connettività tra reti virtuali, come illustrato nel diagramma seguente:

Questo articolo illustra come connettere reti virtuali con il tipo di connessione da rete virtuale a rete virtuale. Se si segue questa procedura come esercizio, si possono usare i valori delle impostazioni di esempio riportati di seguito. Nell'esempio, le reti virtuali sono nella stessa sottoscrizione, ma in gruppi di risorse diversi. Se le reti virtuali si trovano in sottoscrizioni diverse, non sarà possibile creare la connessione nel portale. Usare invece PowerShell o l'interfaccia della riga di comando. Per altre informazioni sulle connessioni da rete virtuale a rete virtuale, vedere la sezione Domande frequenti sulle connessioni da rete virtuale a rete virtuale.

Impostazioni di esempio

Valori per VNet1:

• Impostazioni della rete virtuale

  • Nome: VNet1
  • Spazio degli indirizzi: 10.1.0.0/16
  • Sottoscrizione: selezionare la sottoscrizione da usare.
  • Gruppo di risorse: TestRG1
  • Località: Stati Uniti orientali
  • Subnet
    • Nome: FrontEnd
    • Intervallo di indirizzi: 10.1.0.0/24

• Impostazioni del gateway di rete virtuale

  • Nome: VNet1GW
  • Gruppo di risorse: Stati Uniti orientali
  • Generazione: Generazione 2
  • Tipo di gateway: selezionare VPN.
  • Tipo VPN: selezionare Basato su route.
  • SKU: VpnGw2
  • Rete virtuale: VNet1
  • Intervallo di indirizzi della subnet del gateway: 10.1.255.0/27
  • Indirizzo IP pubblico: Crea nuovo
  • Nome indirizzo IP pubblico: VNet1GWpip

• Connection

  • Nome: VNet1toVNet4
  • Chiave condivisa: è possibile creare manualmente la chiave condivisa. Quando si crea la connessione tra le reti virtuali, i valori devono corrispondere. Per questo esercizio, usare abc123.

Valori per VNet4:

• Impostazioni della rete virtuale

  • Nome: VNet4
  • Spazio indirizzi: 10.41.0.0/16
  • Sottoscrizione: selezionare la sottoscrizione da usare.
  • Gruppo di risorse: TestRG4
  • Località: Stati Uniti occidentali
  • Subnet
  • Nome: FrontEnd
  • Intervallo di indirizzi: 10.41.0.0/24

• Impostazioni del gateway di rete virtuale

  • Nome: VNet4GW
  • Gruppo di risorse: Stati Uniti occidentali
  • Generazione: Generazione 2
  • Tipo di gateway: selezionare VPN.
  • Tipo VPN: selezionare Basato su route.
  • SKU: VpnGw2
  • Rete virtuale: VNet4
  • Intervallo di indirizzi della subnet del gateway: 10.41.255.0/27
  • Indirizzo IP pubblico: Crea nuovo
  • Nome indirizzo IP pubblico: VNet4GWpip

• Connection

  • Nome: VNet4toVNet1
  • Chiave condivisa: è possibile creare manualmente la chiave condivisa. Quando si crea la connessione tra le reti virtuali, i valori devono corrispondere. Per questo esercizio, usare abc123.

Creare e configurare VNet1

Se si ha già una rete virtuale, verificare che le impostazioni siano compatibili con la progettazione del gateway VPN. Prestare particolare attenzione alle subnet che potrebbero sovrapporsi ad altre reti. La connessione non funziona correttamente se le subnet si sovrappongono.

Per creare una rete virtuale

Nota

Quando si usa una rete virtuale in un'architettura cross-premise, è necessario coordinarsi con l'amministratore di rete locale per definire un intervallo di indirizzi IP da usare in modo specifico per questa rete virtuale. Se su entrambi i lati della connessione VPN è presente un intervallo di indirizzi duplicato, il traffico verrà indirizzato in modo imprevisto. Se inoltre si vuole connettere questa rete virtuale a un'altra rete virtuale, lo spazio degli indirizzi non può sovrapporsi all'altra rete virtuale. Pianificare la configurazione di rete di conseguenza.

1. Accedere al portale di Azure.

2. In Cerca risorse, servizio e documentazione (G+/) digitare rete virtuale. Selezionare Rete virtuale nei risultati del Marketplace per aprire la pagina Rete virtuale .

   

3. Nella pagina Rete virtuale selezionare Crea. Verrà visualizzata la pagina Crea rete virtuale.

4. Nella scheda Informazioni di base configurare le impostazioni della rete virtuale per Dettagli progetto e Dettagli istanza. Quando i valori immessi vengono convalidati, verrà visualizzato un segno di spunta verde. I valori mostrati nell'esempio possono essere modificati in base alle impostazioni richieste.

   

   • Sottoscrizione: verificare che la sottoscrizione elencata sia corretta. È possibile cambiare sottoscrizione tramite l'elenco a discesa.
   • Gruppo di risorse: selezionare un gruppo di risorse esistente o selezionare Crea nuovo per crearne uno nuovo. Per altre informazioni sui gruppi di risorse, vedere Panoramica di Azure Resource Manager.
   • Name: immettere un nome per la rete virtuale.
   • Area: selezionare la località della rete virtuale. La località determina la posizione in cui risiederanno le risorse distribuite nella rete virtuale.

5. Selezionare Indirizzi IP per passare alla scheda Indirizzi IP. Nella scheda Indirizzi IP configurare le impostazioni.

   • Spazio indirizzi IPv4: per impostazione predefinita, viene creato automaticamente uno spazio indirizzi. È possibile selezionare lo spazio indirizzi e modificarlo in base ai propri valori. È anche possibile aggiungere altri spazi indirizzi selezionando la casella sotto lo spazio indirizzi esistente e specificando i valori per lo spazio indirizzi aggiuntivo. Ad esempio, è possibile modificare il campo indirizzo IPv4 impostando 10.1.0.0/16 dai valori predefiniti popolati automaticamente.
   • + Aggiungi subnet: se si usa lo spazio indirizzi predefinito, viene creata automaticamente una subnet predefinita. Se si cambia lo spazio indirizzi, è necessario aggiungere una subnet. Selezionare + Aggiungi subnet per aprire la finestra Aggiungi subnet. Configurare le impostazioni seguenti, quindi selezionare Aggiungi nella parte inferiore della pagina per aggiungere i valori.
     • Nome subnet: esempio: FrontEnd.
     • Intervallo di indirizzi subnet: intervallo di indirizzi per questa subnet. Ad esempio, 10.1.0.0/24.

6. Selezionare Sicurezza per passare alla scheda Sicurezza. Per questo esercizio, lasciare i valori predefiniti.

   • BastionHost: Disabilita
   • Protezione DDoS Standard: Disabilita
   • Firewall: Disabilita

7. Selezionare Rivedi e crea per convalidare le impostazioni della rete virtuale.

8. Dopo aver convalidato le impostazioni, selezionare Crea per creare la rete virtuale.

Creare il gateway VNet1

Questo passaggio illustra come creare il gateway di rete virtuale per la rete virtuale. La creazione di un gateway spesso richiede anche più di 45 minuti di tempo a seconda dello SKU gateway selezionato. Se si crea questa configurazione come esercizio, vedere Impostazioni di esempio.

Il gateway di rete virtuale usa una subnet specifica denominata subnet del gateway. La subnet del gateway è inclusa nell'intervallo di indirizzi IP della rete virtuale specificato durante la configurazione della rete virtuale. Contiene gli indirizzi IP usati dai servizi e dalle risorse del gateway di rete virtuale.

Quando si crea la subnet del gateway, si specifica il numero di indirizzi IP inclusi nella subnet. Il numero di indirizzi IP necessari dipende alla configurazione di gateway VPN che si vuole creare. Alcune configurazioni richiedono più indirizzi IP di altre. È consigliabile creare una subnet del gateway che usi /27 o /28.

Se viene visualizzato un errore che specifica che lo spazio indirizzi si sovrappone a una subnet o che la subnet non è contenuta nello spazio indirizzi per la rete virtuale, controllare l'intervallo di indirizzi della rete virtuale. Gli indirizzi IP disponibili nell'intervallo di indirizzi creato per la rete virtuale potrebbero non essere sufficienti. Se la subnet predefinita copre l'intero intervallo di indirizzi, ad esempio, non rimarranno indirizzi IP per creare subnet aggiuntive. È possibile modificare le subnet nello spazio indirizzi esistente per liberare indirizzi IP oppure specificare un intervallo di indirizzi aggiuntivo e creare la subnet del gateway in tale intervallo.

Per creare un gateway di rete virtuale

1. In Cerca risorse, servizi e documentazione (G+/) digitare gateway di rete virtuale. Individuare Gateway di rete virtuale nei risultati della ricerca del Marketplace e selezionarlo per aprire la pagina Crea gateway di rete virtuale .

   

2. Nella scheda Informazioni di base immettere i valori per Dettagli progetto e Dettagli istanza.

   

   • Sottoscrizione Selezionare la sottoscrizione da usare nell'elenco a discesa.
   • Gruppo di risorse: questa impostazione viene compilata automaticamente quando si seleziona la rete virtuale in questa pagina.
   • Nome: assegnare un nome al gateway. Il nome del gateway non è uguale al nome della subnet del gateway. ma il nome dell'oggetto gateway da creare.
   • Area: selezionare l'area in cui creare la risorsa. L'area del gateway deve essere uguale a quella della rete virtuale.
   • Tipo di gateway: selezionare VPN. I gateway VPN usano il gateway di rete virtuale di tipo VPN.
   • Tipo VPN: selezionare il tipo di VPN specificato per la configurazione. La maggior parte delle configurazioni richiede un tipo di VPN basato su route.
   • SKU: selezionare lo SKU del gateway da usare nell'elenco a discesa. Gli SKU disponibili nell'elenco a discesa dipendono dal tipo di VPN selezionato. Assicurarsi di selezionare uno SKU che supporti le funzionalità da usare. Ad esempio, se si seleziona uno SKU "AZ", ad esempio "VPNGw2AZ", si seleziona uno SKU della zona di disponibilità con impostazioni diverse rispetto a quelle illustrate in questo esempio. Per altre informazioni, vedere Gateway di rete virtuale con ridondanza della zona nelle zone di disponibilità di Azure. Per informazioni sugli SKU del gateway, vedere SKU del gateway.
   • Generazione: selezionare la generazione da usare. Per altre informazioni, vedere SKU del gateway.
   • Rete virtuale: scegliere la rete virtuale a cui aggiungere il gateway nell'elenco a discesa. Se non è possibile visualizzare la rete virtuale per cui si vuole creare un gateway, assicurarsi di selezionare la sottoscrizione e l'area corretti nelle impostazioni precedenti.
   • Intervallo di indirizzi subnet del gateway: questo campo viene visualizzato solo se la rete virtuale non include una subnet del gateway. È consigliabile specificare /27 o maggiore (/26,/25 e così via). Ciò consente un numero sufficiente di indirizzi IP per le modifiche future, ad esempio l'aggiunta di un gateway ExpressRoute. Non è consigliabile creare un intervallo inferiore a /28. Se è già disponibile una subnet del gateway, è possibile visualizzare i relativi dettagli passando alla rete virtuale. Selezionare Subnet per visualizzare l'intervallo. Se si vuole cambiare l'intervallo, è possibile eliminare l'oggetto GatewaySubnet e ricrearlo.

3. Specificare i valori per l'indirizzo IP pubblico. Queste impostazioni specificano l'oggetto indirizzo IP pubblico associato al gateway VPN. L'indirizzo IP pubblico viene assegnato a questo oggetto quando viene creato il gateway VPN. L'unica volta che l'indirizzo IP pubblico primario cambia quando il gateway viene eliminato e ricreato. Non viene modificato in caso di ridimensionamento, reimpostazione o altre manutenzioni/aggiornamenti del gateway VPN.

   

   • Tipo di indirizzo IP pubblico: è possibile scegliere Basic o Standard.
   • Indirizzo IP pubblico: Lasciare Crea nuovo selezionato.
   • Nome indirizzo IP pubblico: digitare un nome per l'istanza dell'indirizzo IP pubblico nella casella di testo.
   • SKU indirizzo IP pubblico: questo campo è controllato dal valore Tipo di indirizzo IP pubblico .
   • Assegnazione: questa impostazione si basa sul valore Tipo di indirizzo IP pubblico .
   • Abilitare la modalità attiva-attiva: selezionare Abilita la modalità attiva solo se si sta creando una configurazione del gateway attivo-attivo. In caso contrario, lasciare l'impostazione Disabilitata.
   • Lasciare l'opzione Configura BGP impostata su Disabilitato, a meno che la configurazione non richieda specificamente questa opzione. Se è necessaria questa impostazione, l'ASN predefinito è 65515, anche se questo valore può essere modificato.

4. Selezionare Rivedi e crea per eseguire la convalida.

5. Una volta superata la convalida, selezionare Crea per distribuire il gateway VPN.

È possibile visualizzare lo stato della distribuzione nella pagina Panoramica per il gateway. Un gateway può richiedere 45 minuti o più per creare e distribuire completamente. Dopo la creazione del gateway, è possibile visualizzare l'indirizzo IP assegnato esaminando la rete virtuale nel portale. Il gateway viene visualizzato come un dispositivo connesso.

Importante

Quando si usano le subnet del gateway, evitare di associare un gruppo di sicurezza di rete (NSG) alla subnet del gateway. L'associazione di un gruppo di sicurezza di rete a questa subnet può causare l'arresto del funzionamento previsto del gateway di rete virtuale (VPN e gateway Express Route). Per altre informazioni sui gruppi di sicurezza di rete, vedere Informazioni su un gruppo di sicurezza di rete?

Creare e configurare la rete virtuale4

Dopo aver configurato VNet1, creare VNet4 e il gateway VNet4 ripetendo i passaggi precedenti e sostituendo i valori con i valori di rete virtuale4. Non è necessario attendere il completamento della creazione del gateway di rete virtuale per la rete virtuale1 prima di configurare la rete virtuale4. Se si usano valori personalizzati, verificare che gli spazi indirizzi non si sovrappongano alle reti virtuali a cui ci si vuole connettere.

Configurare la connessione gateway VNet1

Quando sono stati completati i gateway di rete virtuale per VNet1 e VNet4, è possibile creare le connessioni del gateway di rete virtuale. Questa sezione illustra come creare una connessione da VNet1 a VNet4. Le reti virtuali nella stessa sottoscrizione possono essere connesse usando il portale, anche se si trovano in gruppi di risorse diversi. Tuttavia, se le reti virtuali si trovano in sottoscrizioni diverse, è necessario usare PowerShell per effettuare le connessioni.

1. Nel portale passare al gateway di rete virtuale. Ad esempio, VNet1GW.

2. Nella pagina gateway di rete virtuale passare a Connessioni. Selezionare +Aggiungi.

   

3. Nella pagina Aggiungi connessione immettere i valori di connessione.

   

   • Nome: immettere un nome per la connessione. Ad esempio, VNet1toVNet4.

   • Tipo di connessione: selezionare rete virtuale da rete virtuale a rete virtuale dall'elenco a discesa.

   • Primo gateway di rete virtuale: questo valore di campo viene compilato automaticamente perché si sta creando questa connessione dal gateway di rete virtuale specificato.

   • Secondo gateway di rete virtuale: questo campo è il gateway di rete virtuale della rete virtuale a cui si vuole creare una connessione. Selezionare Scegli un altro gateway di rete virtuale per aprire la pagina Scegliere un gateway di rete virtuale.

     

     • Esaminare i gateway di rete virtuale visualizzati in questa pagina. Si noti che sono elencati solo i gateway di rete virtuale inclusi nella sottoscrizione. Per connettersi a un gateway di rete virtuale non incluso nella sottoscrizione, usare PowerShell.

     • Selezionare il gateway di rete virtuale a cui ci si vuole connettere.

   • Chiave condivisa (PSK): in questo campo immettere una chiave condivisa per la connessione. La chiave può essere generata o creata dall'utente. In una connessione da sito a sito, per il dispositivo locale e la connessione del gateway di rete virtuale viene usata la stessa chiave. In questo caso si applica un concetto simile, ma anziché a un dispositivo VPN ci si connette a un altro gateway di rete virtuale.

4. Selezionare OK per salvare le modifiche.

Configurare la connessione gateway VNet4

Creare quindi una connessione dalla rete virtuale4 alla rete virtuale1. Nel portale individuare il gateway di rete virtuale associato a VNet4. Seguire i passaggi della sezione precedente, sostituendo i valori per creare una connessione da rete virtuale4 a rete virtuale1. Assicurarsi di usare la stessa chiave condivisa.

Verificare le connessioni

1. Individuare il gateway di rete virtuale nel portale di Azure.

2. Nella pagina Gateway di rete virtuale selezionare Connessioni per visualizzare la pagina Connessioni per il gateway di rete virtuale. Dopo aver stabilito la connessione, verranno visualizzati i valori Di stato cambiano in Connesso.

   

3. Nella colonna Nome selezionare una delle connessioni per visualizzare altre informazioni. Quando inizia il flusso dei dati, vengono visualizzati valori per Dati in entrata e Dati in uscita.

   

Aggiungere altre connessioni

Per aggiungere altre connessioni, passare al gateway di rete virtuale da cui si vuole creare la connessione e quindi selezionare Connessioni. È possibile creare un'altra connessione da rete virtuale a rete virtuale o creare una connessione IPsec da sito a sito in un percorso locale. Assicurarsi di impostare Tipo di connessione in modo che corrisponda al tipo di connessione che si vuole creare. Prima di creare connessioni aggiuntive, verificare che lo spazio indirizzi della rete virtuale non si sovrapponga agli spazi indirizzi a cui ci si vuole connettere. Per la procedura per a una connessione da sito a sito, vedere Creare una connessione da sito a sito.

Domande frequenti relative alla connessione di reti virtuali

Vedere le domande frequenti Gateway VPN per la rete virtuale a rete virtuale domande frequenti.

Passaggi successivi

• Per informazioni su come limitare il traffico di rete verso le risorse in una rete virtuale, vedere l'articolo relativo alla sicurezza di rete.

• Per informazioni sul modo in cui Azure instrada il traffico tra Azure, l'ambiente locale e le risorse Internet, vedere Routing del traffico di rete virtuale.