Configurare una connessione gateway VPN tra reti virtuali - Portale di Azure

Questo articolo illustra come connettere reti virtuali usando il tipo di connessione da rete virtuale a rete virtuale tramite il portale di Azure. Le reti virtuali possono trovarsi in regioni diverse e appartenere a sottoscrizioni diverse. Quando si connettono reti virtuali appartenenti a sottoscrizioni diverse, non è necessario che le sottoscrizioni siano associate allo stesso tenant. Questo tipo di configurazione crea una connessione tra due gateway di rete virtuale. Questo articolo non si applica al peering di reti virtuali. Per il peering di reti virtuali, vedere l'articolo Peering di reti virtuali.

È possibile creare questa configurazione usando vari strumenti, a seconda del modello di distribuzione della rete virtuale. I passaggi illustrati in questo articolo si applicano al modello di distribuzione Resource Manager di Azure e al portale di Azure. Per passare a un modello di distribuzione o a un articolo sul metodo di distribuzione diverso, usare l'elenco a discesa.

• Azure portal
• PowerShell
• Interfaccia della riga di comando di Azure

Informazioni sulla connessione di reti virtuali

Le sezioni seguenti illustrano i diversi modi in cui è possibile connettere le reti virtuali.

Da rete virtuale a rete virtuale

Un modo semplice per connettere le reti virtuali consiste nel configurare una connessione da rete virtuale a rete virtuale. La connessione di una rete virtuale a un'altra con il tipo di connessione da rete virtuale a rete virtuale è simile alla creazione di una connessione IPsec da sito a sito a una posizione locale. Entrambi i tipi di connessione usano un gateway VPN per offrire un tunnel sicuro con IPsec/IKE e presentano lo stesso funzionamento durante la comunicazione. Differiscono tuttavia nel modo in cui viene configurato il gateway di rete locale.

Quando si crea una connessione da rete virtuale a rete virtuale, lo spazio indirizzi del gateway di rete locale viene creato e popolato automaticamente. Se si aggiorna lo spazio indirizzi per una rete virtuale, l'altra rete virtuale verrà automaticamente indirizzata allo spazio indirizzi aggiornato. La creazione di una connessione da rete virtuale a rete virtuale è in genere più semplice e rapida rispetto alla creazione di una connessione da sito a sito. Tuttavia, il gateway di rete locale non è visibile in questa configurazione.

• Se si vuole specificare un numero maggiore di spazi indirizzi per il gateway di rete locale, o si pianifica di aggiungere altre connessioni in un secondo momento e si deve regolare il gateway di rete locale, è necessario creare la configurazione seguendo i passaggi da sito a sito.
• La connessione da rete virtuale a rete virtuale non include lo spazio indirizzi del pool di client da punto a sito. Se è necessario il routing transitivo per i client da punto a sito, creare una connessione da sito a sito tra i gateway di rete virtuale o usare il peering reti virtuali.

Da sito a sito (IPsec)

Se si usa una configurazione di rete complessa, potrebbe essere preferibile connettere le reti virtuali usando invece una connessione da sito a sito. Con la procedura di connessione IPsec da sito a sito, i gateway di rete locali vengono creati e configurati manualmente. Il gateway di rete locale per ogni rete virtuale considera l'altra rete virtuale come sito locale. Tale procedura consente di specificare più spazi indirizzi per il routing del traffico da parte del gateway di rete locale. In caso di modifica dello spazio indirizzi per una rete virtuale, è necessario aggiornare manualmente il gateway di rete locale corrispondente.

Peering reti virtuali

È anche possibile connettere le reti virtuali con il peering reti virtuali.

• Il peering di reti virtuali non usa alcun gateway VPN e presenta vincoli diversi.
• I prezzi del peering reti virtuali vengono calcolati in modo diverso rispetto ai prezzi del gateway VPN da rete virtuale a rete virtuale.
• Per altre informazioni sul peering reti virtuali, vedere l'articolo Peering reti virtuali.

Vantaggi di una connessione da rete virtuale a rete virtuale

È consigliabile connettere le reti virtuali tramite una connessione da rete virtuale a rete virtuale per i motivi seguenti:

Presenza e ridondanza in più aree geografiche

• È possibile configurare la sincronizzazione o la replica geografica con connettività sicura senza passare da endpoint con connessione Internet.
• Con Gestione traffico di Azure e Azure Load Balancer, è possibile configurare un carico di lavoro a disponibilità elevata con ridondanza geografica in più aree di Azure. Ad esempio, si possono configurare gruppi di disponibilità Always On di SQL Server in più aree di Azure.

Applicazioni multilivello a livello di area con isolamento o limiti amministrativi

• All'interno di una stessa area è possibile configurare applicazioni multilivello con più reti virtuali connesse tra loro, a causa di requisiti amministrativi o di isolamento.

La comunicazione tra reti virtuali può essere associata a configurazioni multisito. Tali configurazioni consentono di definire topologie di rete che combinano connettività cross-premise e connettività tra reti virtuali, come illustrato nel diagramma seguente:

Questo articolo illustra come connettere reti virtuali con il tipo di connessione da rete virtuale a rete virtuale. Se si segue questa procedura come esercizio, si possono usare i valori delle impostazioni di esempio riportati di seguito. Nell'esempio, le reti virtuali sono nella stessa sottoscrizione, ma in gruppi di risorse diversi. Se le reti virtuali si trovano in sottoscrizioni diverse, non sarà possibile creare la connessione nel portale. Usare invece PowerShell o l'interfaccia della riga di comando. Per altre informazioni sulle connessioni da rete virtuale a rete virtuale, vedere la sezione Domande frequenti sulle connessioni da rete virtuale a rete virtuale.

Impostazioni di esempio

Valori per VNet1:

• Impostazioni della rete virtuale

  • Nome: VNet1
  • Spazio indirizzi: 10.1.0.0/16
  • Sottoscrizione: selezionare la sottoscrizione da usare.
  • Gruppo di risorse: TestRG1
  • Località: Stati Uniti orientali
  • Subnet
    • Nome: FrontEnd
    • Intervallo di indirizzi: 10.1.0.0/24

• Impostazioni del gateway di rete virtuale

  • Nome: VNet1GW
  • Gruppo di risorse: Stati Uniti orientali
  • Generazione: Generazione 2
  • Tipo di gateway: selezionare VPN.
  • Tipo VPN: selezionare Basato su route.
  • SKU: VpnGw2
  • Generazione: generazione 2
  • Rete virtuale: VNet1
  • Intervallo di indirizzi subnet del gateway: 10.1.255.0/27
  • Indirizzo IP pubblico: Crea nuovo
  • Nome indirizzo IP pubblico: VNet1GWpip
  • Abilitare la modalità attiva-attiva: Disabilitata
  • Configurare BGP: Disabilitato

• Connessione

  • Nome: VNet1toVNet4
  • Chiave condivisa: è possibile creare la propria chiave condivisa. Quando si crea la connessione tra le reti virtuali, i valori devono corrispondere. Per questo esercizio, usare abc123.

Valori per VNet4:

• Impostazioni della rete virtuale

  • Nome: VNet4
  • Spazio indirizzi: 10.41.0.0/16
  • Sottoscrizione: selezionare la sottoscrizione da usare.
  • Gruppo di risorse: TestRG4
  • Località: Stati Uniti occidentali
  • Subnet
  • Nome: FrontEnd
  • Intervallo di indirizzi: 10.41.0.0/24

• Impostazioni del gateway di rete virtuale

  • Nome: VNet4GW
  • Gruppo di risorse: Stati Uniti occidentali
  • Generazione: Generazione 2
  • Tipo di gateway: selezionare VPN.
  • Tipo VPN: selezionare Basato su route.
  • SKU: VpnGw2
  • Generazione: generazione 2
  • Rete virtuale: VNet4
  • Intervallo di indirizzi subnet del gateway: 10.41.255.0/27
  • Indirizzo IP pubblico: Crea nuovo
  • Nome IP pubblico: VNet4GWpip
  • Abilitare la modalità attiva-attiva: Disabilitata
  • Configurare BGP: Disabilitato

• Connessione

  • Nome: VNet4toVNet1
  • Chiave condivisa: è possibile creare la propria chiave condivisa. Quando si crea la connessione tra le reti virtuali, i valori devono corrispondere. Per questo esercizio, usare abc123.

Creare e configurare VNet1

Se si ha già una rete virtuale, verificare che le impostazioni siano compatibili con la progettazione del gateway VPN. Prestare particolare attenzione alle subnet che potrebbero sovrapporsi ad altre reti. La connessione non funziona correttamente se le subnet si sovrappongono.

Per creare una rete virtuale

Nota

Quando si usa una rete virtuale in un'architettura cross-premise, è necessario coordinarsi con l'amministratore di rete locale per definire un intervallo di indirizzi IP da usare in modo specifico per questa rete virtuale. Se su entrambi i lati della connessione VPN è presente un intervallo di indirizzi duplicato, il traffico verrà indirizzato in modo imprevisto. Se inoltre si vuole connettere questa rete virtuale a un'altra rete virtuale, lo spazio degli indirizzi non può sovrapporsi all'altra rete virtuale. Pianificare la configurazione di rete di conseguenza.

1. Accedere al portale di Azure.

2. In Cerca risorse, servizio e documentazione (G+/) nella parte superiore della pagina del portale inserire la rete virtuale. Selezionare Rete virtuale nei risultati della ricerca del Marketplace per aprire la pagina Rete virtuale.

3. Nella parte inferiore della pagina Rete virtuale selezionare Crea per aprire la pagina Crea rete virtuale.

4. Nella scheda Informazioni di base configurare le impostazioni della rete virtuale per Dettagli del progetto e Dettagli dell’istanza. Quando vengono convalidati i valori immessi, viene visualizzato un segno di spunta verde. È possibile modificare i valori visualizzati nell'esempio in base alle impostazioni necessarie.

   

   • Sottoscrizione: verificare che la sottoscrizione elencata sia corretta. È possibile modificare le sottoscrizioni tramite l'elenco a discesa.
   • Gruppo di risorse: selezionare un gruppo di risorse esistente oppure fare clic su Crea nuovo per creare un nuovo gruppo. Per altre informazioni sui gruppi di risorse, vedere Panoramica di Azure Resource Manager.
   • Nome: immettere un nome per la rete virtuale.
   • Area: selezionare il percorso per la rete virtuale. La località determina la posizione in cui risiederanno le risorse distribuite nella rete virtuale.

5. Selezionare Avanti o Sicurezza per andare alla scheda sScurezza. Per questo esercizio, lasciare i valori predefiniti per tutti i servizi in questa pagina.

6. Selezionare indirizzi IP per andare alla scheda Indirizzi IP. Nella scheda Indirizzi IP configurare i le impostazioni.

   • Spazio indirizzi IPv4: per impostazione predefinita, viene creato automaticamente uno spazio indirizzi. È possibile selezionare lo spazio indirizzi e modificarlo in modo da riflettere i propri valori. È anche possibile aggiungere uno spazio indirizzi differente e rimuovere l'impostazione predefinita creata automaticamente. Ad esempio, è possibile specificare l'indirizzo iniziale come 10.1.0.0 e specificare le dimensioni dello spazio degli indirizzi come /16. Selezionare quindi Aggiungi per aggiungere tale spazio indirizzi.

   • + Aggiungi subnet: se si usa lo spazio indirizzi predefinito, viene creata automaticamente una subnet predefinita. Se si modifica lo spazio indirizzi, aggiungere una nuova subnet all'interno di tale spazio. Selezionare + Aggiungi subnet per aprire la finestra Aggiungi subnet. Configurare le impostazioni seguenti e quindi selezionare Aggiungi nella parte inferiore della pagina per aggiungere i valori.

     • Nome subnet: un esempio è FrontEnd.
     • Intervallo di indirizzi subnet: intervallo di indirizzi per questa subnet. Gli esempi sono 10.1.0.0 e /24.

7. Esaminare la pagina indirizzi IP e rimuovere eventuali spazi di indirizzi o subnet non necessari.

8. Selezionare Rivedi e crea per convalidare le impostazioni della rete virtuale.

9. Dopo aver convalidato le impostazioni, selezionare Crea per creare la rete virtuale.

Creare il gateway VNet1

Questo passaggio illustra come creare il gateway di rete virtuale per la rete virtuale. La creazione di un gateway spesso richiede anche più di 45 minuti di tempo a seconda dello SKU gateway selezionato. Per i prezzi degli SKU del gateway, vedere Prezzi. Se si crea questa configurazione come esercizio, vedere Impostazioni di esempio.

Il gateway di rete virtuale richiede una subnet specifica denominata GatewaySubnet. La subnet del gateway fa parte dell'intervallo di indirizzi IP per la rete virtuale e contiene gli indirizzi IP usati dalle risorse e dai servizi del gateway di rete virtuale.

Quando si crea la subnet del gateway, si specifica il numero di indirizzi IP inclusi nella subnet. Il numero di indirizzi IP necessari dipende alla configurazione di gateway VPN che si vuole creare. Alcune configurazioni richiedono più indirizzi IP di altre. È consigliabile specificare /27 o superiore (/26, /25 e così via) per la subnet del gateway.

Se viene visualizzato un errore che specifica che lo spazio indirizzi si sovrappone a una subnet o che la subnet non è inclusa nello spazio indirizzi della rete virtuale, controllare l'intervallo di indirizzi della rete virtuale. Gli indirizzi IP disponibili nell'intervallo di indirizzi creato per la rete virtuale potrebbero non essere sufficienti. Se la subnet predefinita copre l'intero intervallo di indirizzi, ad esempio, non rimarranno indirizzi IP per creare altre subnet. È possibile modificare le subnet nello spazio indirizzi esistente per liberare indirizzi IP oppure specificare un altro intervallo di indirizzi e creare la subnet del gateway in tale intervallo.

Per creare un gateway di rete virtuale

1. In Cerca risorse, servizi e documentazione (G+/)immettere il gateway di rete virtuale. Individuare Gateway di rete virtuale nei risultati della ricerca del Marketplace e selezionarlo per aprire la pagina Crea gateway di rete virtuale.

2. Nella scheda Informazioni di base inserire i valori per Dettagli del progetto e Dettagli dell’istanza.

   

   • Sottoscrizione: selezionare la sottoscrizione da usare nell'elenco a discesa.

   • Gruppo di risorse: questa impostazione viene compilata automaticamente quando si seleziona la rete virtuale in questa pagina.

   • Nome: assegnare un nome al gateway. Il nome del gateway non è uguale al nome della subnet del gateway. ma il nome dell'oggetto gateway da creare.

   • Area: selezionare l'area in cui creare la risorsa. L'area del gateway deve essere uguale a quella della rete virtuale.

   • Tipo di gateway: selezionare VPN. I gateway VPN usano il gateway di rete virtuale di tipo VPN.

   • SKU: nell'elenco a discesa selezionare lo SKU del gateway che supporta le funzionalità da usare. Vedere SKU del gateway. Nel portale gli SKU disponibili nell'elenco a discesa dipendono dall'opzione VPN type selezionata. È possibile configurare lo SKU Basic solo tramite l'interfaccia della riga di comando di Azure o PowerShell.

   • Generazione: selezionare la generazione da usare. È consigliabile usare uno SKU di generazione 2 Per altre informazioni, vedere SKU del gateway.

   • Rete virtuale: scegliere la rete virtuale a cui aggiungere il gateway nell'elenco a discesa. Se non è possibile visualizzare la rete virtuale per cui si vuole creare un gateway, assicurarsi di aver selezionato la sottoscrizione e l'area corrette nelle impostazioni precedenti.

   • Intervallo di indirizzi della subnet del gateway o Subnet: la subnet del gateway è necessaria per creare un gateway VPN.

     A questo punto, questo campo può mostrare diverse opzioni di impostazioni a seconda dello spazio indirizzi della rete virtuale e del fatto che sia già stata creata o meno una subnet denominata GatewaySubnet per la rete virtuale.

     Se non si dispone di una subnet del gateway e non viene visualizzata l'opzione per crearne una in questa pagina, tornare alla rete virtuale e creare la subnet del gateway. Tornare quindi a questa pagina e configurare il gateway VPN.

3. Specificare i valori per Indirizzo IP pubblico. Queste impostazioni specificano l'oggetto indirizzo IP pubblico che viene associato al gateway VPN. L'indirizzo IP pubblico viene assegnato a questo oggetto durante la creazione del gateway VPN. L'unica volta in cui l'indirizzo IP pubblico primario viene modificato è quando il gateway viene eliminato e creato di nuovo. Non viene modificato in caso di ridimensionamento, reimpostazione o altre manutenzioni/aggiornamenti del gateway VPN.

   

   • Tipo di indirizzo IP pubblico: se viene visualizzata questa opzione, selezionare Standard. Lo SKU dell'indirizzo IP pubblico Basic è supportato solo per i gateway VPN con SKU Basic.
   • Indirizzo IP pubblico: lasciare Crea nuovo selezionato.
   • Nome indirizzo IP pubblico: nella casella di testo digitare un nome per l'istanza dell'indirizzo IP pubblico.
   • SKU indirizzo IP pubblico: l'impostazione è selezionata automaticamente.
   • Assegnazione: l'assegnazione viene in genere selezionata automaticamente. Per lo SKU Standard, l'assegnazione è sempre Statica.
   • Abilita la modalità attiva-attiva: selezionare Disabilitata. Abilitare questa impostazione solo se si sta creando una configurazione del gateway attivo-attivo.
   • Configura BGP: selezionare Disabilitato, a meno che la configurazione non richieda specificamente questa opzione. Se è un'impostazione necessaria, il numero ASN predefinito è 65515, anche se questo valore può essere modificato.

4. Selezionare Rivedi e crea per eseguire la convalida.

5. Una volta superata la convalida, selezionare Crea per distribuire il gateway VPN.

È possibile visualizzare lo stato della distribuzione nella pagina Panoramica per il gateway. La creazione e la distribuzione completa di un gateway può richiedere più di 45 minuti. Dopo la creazione del gateway, è possibile visualizzare l'indirizzo IP assegnato esaminando la rete virtuale nel portale. Il gateway viene visualizzato come un dispositivo connesso.

Importante

I gruppi di sicurezza di rete nella subnet del gateway non sono supportati. Se si associa un gruppo di sicurezza di rete a tale subnet, il gateway della rete virtuale (VPN e gateway Express Route) potrebbe smettere di funzionare come previsto. Per altre informazioni sui gruppi di sicurezza di rete, vedere Che cos'è un gruppo di sicurezza di rete.

Creare e configurare VNet4

Dopo aver configurato VNet1, creare VNet4 e il gateway VNet4 ripetendo la procedura precedente e sostituendo i valori con quelli di VNet4. Per configurare VNet4 non è necessario attendere che sia completata la creazione del gateway di rete virtuale per VNet1. Se si usano valori personalizzati, verificare che gli spazi indirizzi non si sovrappongano alle reti virtuali a cui ci si vuole connettere.

Configurare le connessioni

Dopo aver completato i gateway VPN per VNet1 e VNet4, è possibile creare le connessioni gateway di rete virtuale.

Le reti virtuali appartenenti alla stessa sottoscrizione possono essere connesse tramite il portale, anche se si trovano in gruppi di risorse diversi. Tuttavia, se le reti virtuali si trovano in sottoscrizioni diverse, per stabilire la connessione è necessario usare PowerShell.

È possibile creare una connessione bidirezionale o unidirezionale. Per questo esercizio, verrà specificata una connessione bidirezionale. Il valore della connessione bidirezionale crea due connessioni separate in modo che il traffico possa fluire in entrambe le direzioni.

1. Nel portale passare a VNet1GW.

2. Nella pagina gateway di rete virtuale, passare a Connessioni. Selezionare +Aggiungi.

   

3. Nella pagina Crea connessione, immettere i valori di connessione.

   

   • Tipo di connessione: selezionare Da rete virtuale a rete virtuale nell'elenco a discesa.
   • Stabilire la connettività bidirezionale: selezionare questo valore
   • Nome connessione primario: da VNet1 a VNet4
   • Nome connessione secondario: da VNet4 a VNet1
   • Area: Stati Uniti orientali (area per VNet1GW)

4. Fare clic su Avanti : Impostazioni >, nella parte inferiore della pagina, per passare alla pagina Impostazioni.

5. Nella pagina Impostazioni specificare i valori seguenti:

   • Gateway di rete virtuale primario: selezionare VNet1GW dall'elenco a discesa.
   • Gateway di rete virtuale secondario: selezionare VNet4GW dall'elenco a discesa.
   • Chiave condivisa (PSK): in questo campo, immettere una chiave condivisa per la connessione. La chiave può essere generata o creata dall'utente. In una connessione da sito a sito, per il dispositivo locale e la connessione del gateway di rete virtuale viene usata la stessa chiave. In questo caso si applica un concetto simile, ma anziché a un dispositivo VPN ci si connette a un altro gateway di rete virtuale.
   • IKE Protocol: IKEv2

6. Per questo esercizio, è possibile lasciare invariate le altre impostazioni come valori predefiniti.

7. Selezionare Rivedi e crea, quindi Crea per convalidare e creare le connessioni.

Verificare le connessioni

1. Individuare il gateway di rete virtuale nel portale di Azure. Ad esempio, VNet1GW

2. Nella pagina Gateway di rete virtuale selezionare Connessioni per visualizzare la pagina Connessioni per il gateway di rete virtuale. Dopo aver stabilito la connessione, i valori di Stato visualizzati diventeranno Connesso.

   

3. Nella colonna Nome, selezionare una delle connessioni per visualizzare altre informazioni. Quando inizia il flusso dei dati, vengono visualizzati valori per Dati in entrata e Dati in uscita.

   

Aggiungere altre connessioni

Se si vogliono aggiungere più connessioni, passare al gateway di rete virtuale da cui si vuole creare la connessione, quindi selezionare Connessioni. È possibile creare un'altra connessione da rete virtuale a rete virtuale o creare una connessione IPsec da sito a sito in un percorso locale. Assicurarsi di impostare Tipo di connessione in modo che corrisponda al tipo di connessione che si vuole creare. Prima di creare più connessioni, verificare che lo spazio indirizzi della rete virtuale non si sovrapponga agli spazi indirizzi a cui ci si vuole connettere. Per la procedura per a una connessione da sito a sito, vedere Creare una connessione da sito a sito.

Domande frequenti relative alla connessione di reti virtuali

Per le domande frequenti sulla connessione da rete virtuale a rete virtuale, vedere Domande frequenti sul gateway VPN.

Passaggi successivi

• Per informazioni su come limitare il traffico di rete verso le risorse in una rete virtuale, vedere l'articolo relativo alla sicurezza di rete.

• Per informazioni sul modo in cui Azure instrada il traffico tra Azure, l'ambiente locale e le risorse Internet, vedere Routing del traffico di rete virtuale.