Configurare il transito nel gateway VPN per il peering di rete virtuale
Questo articolo aiuta a configurare il transito nel gateway per il peering di rete virtuale. Il peering di rete virtuale connette facilmente due reti virtuali di Azure, unendole in un'unica rete per scopi di connettività. Il transito del gateway è una proprietà di peering che consente a una rete virtuale di usare il gateway VPN nella rete virtuale con peering per la connettività cross-premise o da rete virtuale a rete virtuale.
Il diagramma seguente mostra come funziona il transito nel gateway con il peering di rete virtuale. Nel diagramma il transito nel gateway consente alle reti virtuali con peering di usare il gateway VPN di Azure nella rete Hub-RM. La connettività disponibile nel gateway VPN, incluse le connessioni S2S, P2S e da rete virtuale a rete virtuale, si applica a tutte e tre le reti virtuali.
L'opzione di transito è disponibile per il peering tra gli stessi modelli di distribuzione o diversi e può essere usata con tutti gli SKU Gateway VPN ad eccezione dello SKU Basic. Se si configura il transito tra modelli di distribuzione diversi, la rete virtuale hub e il gateway di rete virtuale devono trovarsi nel modello di distribuzione Resource Manager, non nel modello di distribuzione classica legacy.
Nell'architettura di rete hub-spoke il transito nel gateway consente alle reti virtuali spoke di condividere il gateway VPN nell'hub invece di distribuire gateway VPN in ogni rete virtuale spoke. Le route alle reti virtuali connesse al gateway o alle reti locali vengono propagate alle tabelle di routing per le reti virtuali con peering usando il transito del gateway.
È possibile disabilitare la propagazione automatica della route dal gateway VPN. Creare una tabella di routing con l'opzione "Disabilita propagazione route BGP" e associare la tabella di routing alle subnet per impedire la distribuzione di route alle subnet. Per altre informazioni, vedere Tabella di routing di una rete virtuale.
In questo articolo sono disponibili due scenari. Selezionare lo scenario applicabile all'ambiente. La maggior parte delle persone usa lo scenario dello stesso modello di distribuzione. Se non si usa una rete virtuale del modello di distribuzione classica (rete virtuale legacy) già esistente nell'ambiente, non sarà necessario usare lo scenario Modelli di distribuzione diversi.
- Stesso modello di distribuzione: entrambe le reti virtuali vengono create nel modello di distribuzione Resource Manager.
- Modelli di distribuzione diversi: la rete virtuale spoke viene creata nel modello di distribuzione classica e la rete virtuale hub e il gateway si trovano nel modello di distribuzione Resource Manager. Questo scenario è utile quando è necessario connettere una rete virtuale legacy già esistente nel modello di distribuzione classica.
Nota
Se si apporta una modifica alla topologia della rete e sono disponibili client VPN di Windows, il pacchetto client VPN per i client Windows deve essere scaricato e installato nuovamente affinché le modifiche vengano applicate al client.
Prerequisiti
Questo articolo richiede le reti virtuali e le autorizzazioni seguenti. Se non si usa lo scenario del modello di distribuzione diverso, non è necessario creare la rete virtuale classica.
Reti virtuali
| VNet | Passaggi di configurazione | Gateway di rete virtuale |
|---|---|---|
| Hub-RM | Resource Manager | Sì |
| Spoke-RM | Resource Manager | No |
| Spoke-Classic | Classico | No |
Autorizzazioni
Gli account usati per creare un peering di rete virtuale devono disporre del ruolo o delle autorizzazioni necessari. Nell'esempio seguente, se si esegue il peering delle due reti virtuali denominate Hub-RM e Spoke-Classic, l'account deve avere i ruoli o le autorizzazioni seguenti per ogni rete virtuale:
| VNet | Modello di distribuzione | Ruolo | Autorizzazioni |
|---|---|---|---|
| Hub-RM | Gestione risorse | Collaboratore di rete | Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write |
| Classico | Collaboratore reti virtuali classiche | N/D | |
| Spoke-Classic | Gestione risorse | Collaboratore di rete | Microsoft.Network/virtualNetworks/peer |
| Classico | Collaboratore reti virtuali classiche | Microsoft.ClassicNetwork/virtualNetworks/peer |
Altre informazioni sui ruoli predefiniti e sull'assegnazione di autorizzazioni specifiche ai ruoli personalizzati (solo Resource Manager).
Stesso modello di distribuzione
Questo è lo scenario più comune. In questo scenario, le reti virtuali sono entrambe incluse nel modello di distribuzione Resource Manager. Usare la procedura seguente per creare o aggiornare i peering di rete virtuale per abilitare il transito del gateway.
Per aggiungere un peering e abilitare il transito
Nella portale di Azure creare o aggiornare il peering di rete virtuale da Hub-RM. Passare alla rete virtuale Hub-RM . Selezionare Peering, quindi + Aggiungi per aprire Aggiungi peering.
Nella pagina Aggiungi peering configurare i valori per Questa rete virtuale.
Nome collegamento di peering: assegnare un nome al collegamento. Esempio: HubRMToSpokeRM
Traffico verso la rete virtuale remota: Consenti
Traffico inoltrato dalla rete virtuale remota: Consenti
Gateway di rete virtuale: usare il gateway o il server di route della rete virtuale
Nella stessa pagina continuare a configurare i valori per la rete virtuale remota.
Nome collegamento di peering: assegnare un nome al collegamento. Esempio: SpokeRMtoHubRM
Modello di distribuzione di rete virtuale: Resource Manager
Conosco l'ID risorsa: lasciare vuoto. È necessario selezionare questa opzione solo se non si ha accesso in lettura alla rete virtuale o alla sottoscrizione con cui si vuole eseguire il peering.
Sottoscrizione: selezionare la sottoscrizione.
Rete virtuale: Spoke-RM
Traffico verso la rete virtuale remota: Consenti
Traffico inoltrato dalla rete virtuale remota: Consenti
Gateway di rete virtuale: usare il gateway o il server di route della rete virtuale remota
Selezionare Aggiungi per creare il peering.
Verificare lo stato del peering come Connessione in entrambe le reti virtuali.
Per modificare un peering esistente per il transito
Se si dispone di un peering già esistente, è possibile modificare il peering per il transito.
Passare alla rete virtuale. Selezionare Peering e selezionare il peering da modificare. Ad esempio, nella rete virtuale Spoke-RM selezionare il peering SpokeRMtoHubRM.
Aggiornare il peering reti virtuali.
- Traffico verso la rete virtuale remota: Consenti
- Traffico inoltrato alla rete virtuale; Consentire
- Gateway di rete virtuale o server di route: usare il gateway o il server di route della rete virtuale remota
Salvare le impostazioni di peering.
Esempio PowerShell
È anche possibile usare PowerShell per creare o aggiornare il peering. Sostituire le variabili con i nomi delle reti virtuali e dei gruppi di risorse.
$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name SpokeRMtoHubRM `
-VirtualNetwork $spokermvnet `
-RemoteVirtualNetworkId $hubrmvnet.Id `
-UseRemoteGateways
Add-AzVirtualNetworkPeering `
-Name HubRMToSpokeRM `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId $spokermvnet.Id `
-AllowGatewayTransit
Modelli di distribuzione diversi
In questa configurazione, la rete virtuale spoke-classic spoke si trova nel modello di distribuzione classica e l'hub VNet Hub-RM si trova nel modello di distribuzione Resource Manager. Quando si configura il transito tra modelli di distribuzione, il gateway di rete virtuale deve essere configurato per la rete virtuale di Resource Manager, non per la rete virtuale classica.
Per questa configurazione, è sufficiente configurare la rete virtuale Hub-RM . Non è necessario configurare alcun elemento nella rete virtuale spoke-classica .
Nella portale di Azure passare alla rete virtuale Hub-RM, selezionare Peering e quindi + Aggiungi.
Nella pagina Aggiungi peering configurare i valori seguenti:
Nome collegamento di peering: assegnare un nome al collegamento. Esempio: HubRMToClassic
Traffico verso la rete virtuale remota: Consenti
Traffico inoltrato dalla rete virtuale remota: Consenti
Gateway di rete virtuale o server di route: usare il gateway o il server di route della rete virtuale
Nome del collegamento di peering: questo valore scompare quando si seleziona Classica per il modello di distribuzione della rete virtuale.
Modello di distribuzione di rete virtuale: classico
Conosco l'ID risorsa: lasciare vuoto. È necessario selezionare questa opzione solo se non si ha accesso in lettura alla rete virtuale o alla sottoscrizione con cui si vuole eseguire il peering.
Verificare che la sottoscrizione sia corretta, quindi selezionare la rete virtuale dall'elenco a discesa.
Selezionare Aggiungi per aggiungere il peering.
Verificare lo stato del peering come Connessione nella rete virtuale Hub-RM.
Per questa configurazione non è necessario configurare alcun elemento nella rete virtuale Spoke-Classic . Quando lo stato viene visualizzato Connessione, la rete virtuale spoke può usare la connettività tramite il gateway VPN nella rete virtuale hub.
Esempio PowerShell
È anche possibile usare PowerShell per creare o aggiornare il peering. Sostituire le variabili e l'ID sottoscrizione con i valori dei gruppi di risorse e della rete virtuale e con la sottoscrizione. È necessario creare solo il peering di rete virtuale nella rete virtuale hub.
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name HubRMToClassic `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId "/subscriptions/<subscription Id>/resourceGroups/Default-Networking/providers/Microsoft.ClassicNetwork/virtualNetworks/Spoke-Classic" `
-AllowGatewayTransit
Passaggi successivi
- Acquisire altre informazioni su comportamenti e vincoli del peering di rete virtuale e impostazioni del peering di rete virtuale prima di creare un peering di rete virtuale per l'uso in produzione.
- Acquisire informazioni su come creare una topologia di rete hub-spoke con peering di rete virtuale e transito nel gateway.
- Creare il peering di rete virtuale con lo stesso modello di distribuzione.
- Creare un peering di rete virtuale con modelli di distribuzione diversi.