Configurare il transito nel gateway VPN per il peering di rete virtuale
Questo articolo aiuta a configurare il transito nel gateway per il peering di rete virtuale. Il peering di rete virtuale connette facilmente due reti virtuali di Azure, unendole in un'unica rete per scopi di connettività. Il transito nel gateway è una proprietà del peering che consente a una rete virtuale di utilizzare il gateway VPN nella rete virtuale con peering per la connettività cross-premise o da rete virtuale a rete virtuale.
Il diagramma seguente mostra come funziona il transito nel gateway con il peering di rete virtuale. Nel diagramma il transito nel gateway consente alle reti virtuali con peering di usare il gateway VPN di Azure nella rete Hub-RM. La connettività disponibile nel gateway VPN, incluse le connessioni S2S, P2S e da rete virtuale a rete virtuale, si applica a tutte e tre le reti virtuali.
L'opzione di transito può essere usata con tutti gli SKU del gateway VPN tranne lo SKU Basic.
Nell'architettura di rete hub-spoke il transito nel gateway consente alle reti virtuali spoke di condividere il gateway VPN nell'hub invece di distribuire gateway VPN in ogni rete virtuale spoke. Le route alle reti virtuali connesse al gateway o alle reti locali si propagheranno alle tabelle di routing per le reti virtuali con peering che usano il transito nel gateway.
È possibile disabilitare la propagazione automatica della route dal gateway VPN. Creare una tabella di routing con l'opzione "Disabilita propagazione route BGP" e associare la tabella di routing alle subnet per impedire la distribuzione di route alle subnet. Per altre informazioni, vedere Tabella di routing di una rete virtuale.
Nota
Se si apporta una modifica alla topologia della rete e sono disponibili client VPN di Windows, il pacchetto client VPN per i client Windows deve essere scaricato e installato nuovamente affinché le modifiche vengano applicate al client.
Prerequisiti
Questo articolo richiede le seguenti VNet e autorizzazioni.
Reti virtuali
| VNet | Passaggi di configurazione | Gateway di rete virtuale |
|---|---|---|
| Hub-RM | Resource Manager | Sì |
| Spoke-RM | Resource Manager | No |
Autorizzazioni
Gli account usati per creare un peering di rete virtuale devono disporre del ruolo o delle autorizzazioni necessari. Nell'esempio seguente se si esegue il peering di due reti virtuali denominate Hub-RM e Spoke-Classic l'account deve avere i ruoli o le autorizzazioni seguenti per ogni rete virtuale:
| VNet | Modello di distribuzione | Ruolo | Autorizzazioni |
|---|---|---|---|
| Hub-RM | Gestione risorse | Collaboratore di rete | Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write |
| Spoke-RM | Gestione risorse | Collaboratore di rete | Microsoft.Network/virtualNetworks/peer |
Altre informazioni sui ruoli predefiniti e sull'assegnazione di autorizzazioni specifiche ai ruoli personalizzati (solo Resource Manager).
Per aggiungere un peering e abilitare il transito
Nel portale di Azure creare o aggiornare il peering di rete virtuale da Hub-RM. Andare alla rete virtuale Hub-RM. Selezionare Peering, quindi + Aggiungi per aprire Aggiungi peering.
Nella pagina Aggiungi peeringconfigurare i valori per Riepilogo della rete virtuale remota.
- Nome collegamento di peering: assegnare un nome al collegamento. Esempio: SpokeRMToHubRM
- Modello di distribuzione della rete virtuale: Resource Manager.
- Conosco l'ID della risorsa: lasciare vuoto. Questa opzione è da selezionare solo se non si ha accesso in lettura alla rete virtuale o alla sottoscrizione con la quale si vuole eseguire il peering.
- Sottoscrizione: selezionare la sottoscrizione.
- Rete virtuale: Spoke-RM
Nella pagina Aggiungi peeringconfigurare i valori per Impostazioni peering della rete virtuale remota.
- Consentire a 'Spoke-RM' di accedere a 'Hub-RM': Lasciare l'impostazione predefinita selezionata.
- Consentire a 'Spoke-RM' di ricevere traffico inoltrato da 'Hub-RM': Selezionare la casella di controllo.
- Consentire al gateway o al server di route nella rete virtuale con peering di inoltrare il traffico a 'Hub-RM': Lasciare deselezionato come da opzione predefinita.
- Abilitare 'SpokeRM' per usare il gateway remoto o il server di route di Hub-RM: Selezionare la casella di controllo.
Nella pagina Aggiungi peeringconfigurare i valori per Riepilogo della rete virtuale locale.
- Nome collegamento di peering: assegnare un nome al collegamento. Esempio: HubRMToSpokeRM
Nella pagina Aggiungi peeringconfigurare i valori per Impostazioni peering della rete virtuale locale.
- Consentire a 'Hub-RM' di accedere alla rete virtuale con peering: Lasciare l'impostazione predefinita selezionata.
- Consentire a 'Hub-RM' di ricevere traffico inoltrato dalla rete virtuale con peering: Selezionare la casella di controllo.
- Consentire al gateway o al server di route in 'Hub-RM' di inoltrare il traffico alla rete virtuale con peering: Selezionare la casella di controllo.
- Consentire a 'Hub-RM' di usare il gateway remoto della rete virtuale con peering o il server di route: Lasciare deselezionato come da impostazione predefinita.
Selezionare Aggiungi per creare il peering.
Verificare che lo stato del peering sia Connesso in entrambe le reti virtuali.
Per modificare un peering esistente per il transito
Se si dispone di un peering già esistente, è possibile modificare il peering per il transito.
Passare alla rete virtuale. Selezionare Peering e selezionare il peering da modificare. Ad esempio, nella rete virtuale Spoke-RM selezionare il peering SpokeRMtoHubRM.
Aggiornare il peering reti virtuali.
Abilitare 'SpokeRM' per usare il gateway remoto o il server di route di Hub-RM: Selezionare la casella di controllo.
Salvare le impostazioni di peering.
Esempio PowerShell
È inoltre possibile usare PowerShell per creare o aggiornare il peering. Sostituire le variabili con i nomi delle reti virtuali e dei gruppi di risorse.
$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name SpokeRMtoHubRM `
-VirtualNetwork $spokermvnet `
-RemoteVirtualNetworkId $hubrmvnet.Id `
-UseRemoteGateways
Add-AzVirtualNetworkPeering `
-Name HubRMToSpokeRM `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId $spokermvnet.Id `
-AllowGatewayTransit
Passaggi successivi
- Acquisire altre informazioni su comportamenti e vincoli del peering di rete virtuale e impostazioni del peering di rete virtuale prima di creare un peering di rete virtuale per l'uso in produzione.
- Acquisire informazioni su come creare una topologia di rete hub-spoke con peering di rete virtuale e transito nel gateway.
- Creare un peering di rete virtuale con lo stesso modello di distribuzione
- Creare un peering di rete virtuale con modelli di distribuzione diversi.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per