Configurare una connessione VPN da rete virtuale a rete virtuale - portale di Azure
Questo articolo illustra come connettere le reti virtuali usando il tipo di connessione da rete virtuale a rete virtuale nella portale di Azure. Quando si usa il portale per connettere le reti virtuali usando la rete virtuale a rete virtuale, le reti virtuali possono trovarsi in aree diverse, ma devono trovarsi nella stessa sottoscrizione. Se le reti virtuali si trovano in sottoscrizioni diverse, usare invece le istruzioni di PowerShell . Questo articolo non si applica al peering di rete virtuale. Per il peering di rete virtuale, vedere l'articolo Rete virtuale peering.
Informazioni sulla connessione da rete virtuale a rete virtuale
La configurazione di una connessione da rete virtuale a rete virtuale è un modo semplice per connettere le reti virtuali. Quando si connette una rete virtuale a un'altra rete virtuale con un tipo di connessione da rete virtuale a rete virtuale, è simile alla creazione di una connessione IPsec da sito a sito a un percorso locale. Entrambi i tipi di connessione usano un gateway VPN per offrire un tunnel sicuro con IPsec/IKE e presentano lo stesso funzionamento durante la comunicazione. Differiscono tuttavia nel modo in cui viene configurato il gateway di rete locale.
Quando si crea una connessione da rete virtuale a rete virtuale, lo spazio indirizzi del gateway di rete locale viene creato e popolato automaticamente. Tuttavia, il gateway di rete locale non è visibile in questa configurazione. Ciò significa che non è possibile configurarlo manualmente.
Se si aggiorna lo spazio indirizzi per una rete virtuale, l'altra rete virtuale verrà automaticamente indirizzata allo spazio indirizzi aggiornato.
In genere è più veloce e facile creare una connessione da rete virtuale a rete virtuale rispetto a una connessione da sito a sito.
Se si è certi di voler specificare più spazi di indirizzi per il gateway di rete locale o di pianificare l'aggiunta di altre connessioni in un secondo momento e di dover modificare il gateway di rete locale, creare la configurazione usando i passaggi di connessione da sito a sito.
La connessione da rete virtuale a rete virtuale non include lo spazio di indirizzi del pool di client da punto a sito. Se è necessario il routing transitivo per i client da punto a sito, creare una connessione da sito a sito tra i gateway di rete virtuale o usare il peering di rete virtuale.
Vantaggi di una connessione da rete virtuale a rete virtuale
È consigliabile connettere le reti virtuali tramite una connessione da rete virtuale a rete virtuale per i motivi seguenti:
Presenza e ridondanza in più aree geografiche
- È possibile configurare la sincronizzazione o la replica geografica con connettività sicura senza passare da endpoint con connessione Internet.
- Con Gestione traffico di Azure e Azure Load Balancer, è possibile configurare un carico di lavoro a disponibilità elevata con ridondanza geografica in più aree di Azure. Ad esempio, si possono configurare gruppi di disponibilità Always On di SQL Server in più aree di Azure.
Applicazioni multilivello a livello di area con isolamento o limiti amministrativi
All'interno di una stessa area è possibile configurare applicazioni multilivello con più reti virtuali connesse tra loro, a causa di requisiti amministrativi o di isolamento. La comunicazione tra reti virtuali può essere associata a configurazioni multisito. Tali configurazioni consentono di definire topologie di rete che combinano connettività cross-premise e connettività tra reti virtuali, come illustrato nel diagramma seguente:
Creare e configurare VNet1
Se si ha già una rete virtuale, verificare che le impostazioni siano compatibili con la progettazione del gateway VPN. Prestare particolare attenzione alle subnet che potrebbero sovrapporsi ad altre reti. La connessione non funziona correttamente se le subnet si sovrappongono.
In questa sezione creare VNet1 usando i valori seguenti. Se si usano valori personalizzati, assicurarsi che gli spazi indirizzi non si sovrappongano ad alcuna delle reti virtuali a cui si vuole connettersi.
- Impostazioni della rete virtuale
- Nome: VNet1
- Spazio indirizzi: 10.1.0.0/16
- Sottoscrizione: selezionare la sottoscrizione da usare.
- Gruppo di risorse: TestRG1
- Località: Stati Uniti orientali
- Subnet
- Nome: FrontEnd
- Intervallo di indirizzi: 10.1.0.0/24
Accedere al portale di Azure.
In Cerca risorse, servizio e documentazione (G+/) nella parte superiore della pagina del portale inserire la rete virtuale. Selezionare Rete virtuale nei risultati della ricerca del Marketplace per aprire la pagina Rete virtuale.
Nella parte inferiore della pagina Rete virtuale selezionare Crea per aprire la pagina Crea rete virtuale.
Nella scheda Informazioni di base configurare le impostazioni della rete virtuale per Dettagli del progetto e Dettagli dell’istanza. Quando vengono convalidati i valori immessi, viene visualizzato un segno di spunta verde. È possibile modificare i valori visualizzati nell'esempio in base alle impostazioni necessarie.
- Sottoscrizione: verificare che la sottoscrizione elencata sia corretta. È possibile modificare le sottoscrizioni tramite l'elenco a discesa.
- Gruppo di risorse: selezionare un gruppo di risorse esistente oppure fare clic su Crea nuovo per creare un nuovo gruppo. Per altre informazioni sui gruppi di risorse, vedere Panoramica di Azure Resource Manager.
- Nome: immettere un nome per la rete virtuale.
- Area: selezionare il percorso per la rete virtuale. La località determina la posizione in cui risiederanno le risorse distribuite nella rete virtuale.
Selezionare Avanti o Sicurezza per andare alla scheda sScurezza. Per questo esercizio, lasciare i valori predefiniti per tutti i servizi in questa pagina.
Selezionare indirizzi IP per andare alla scheda Indirizzi IP. Nella scheda Indirizzi IP configurare i le impostazioni.
Spazio indirizzi IPv4: per impostazione predefinita, viene creato automaticamente uno spazio indirizzi. È possibile selezionare lo spazio indirizzi e modificarlo in modo da riflettere i propri valori. È anche possibile aggiungere uno spazio indirizzi differente e rimuovere l'impostazione predefinita creata automaticamente. Ad esempio, è possibile specificare l'indirizzo iniziale come 10.1.0.0 e specificare le dimensioni dello spazio degli indirizzi come /16. Selezionare quindi Aggiungi per aggiungere tale spazio indirizzi.
+ Aggiungi subnet: se si usa lo spazio indirizzi predefinito, viene creata automaticamente una subnet predefinita. Se si modifica lo spazio indirizzi, aggiungere una nuova subnet all'interno di tale spazio. Selezionare + Aggiungi subnet per aprire la finestra Aggiungi subnet. Configurare le impostazioni seguenti e quindi selezionare Aggiungi nella parte inferiore della pagina per aggiungere i valori.
- Nome subnet: è possibile usare il valore predefinito o specificare il nome. Esempio: FrontEnd.
- Intervallo di indirizzi subnet: intervallo di indirizzi per questa subnet. Gli esempi sono 10.1.0.0 e /24.
Esaminare la pagina indirizzi IP e rimuovere eventuali spazi di indirizzi o subnet non necessari.
Selezionare Rivedi e crea per convalidare le impostazioni della rete virtuale.
Dopo aver convalidato le impostazioni, selezionare Crea per creare la rete virtuale.
Creare la subnet del gateway
Il gateway di rete virtuale richiede una subnet specifica denominata GatewaySubnet. La subnet del gateway fa parte dell'intervallo di indirizzi IP per la rete virtuale e contiene gli indirizzi IP usati dalle risorse e dai servizi del gateway di rete virtuale.
Quando si crea la subnet del gateway, si specifica il numero di indirizzi IP inclusi nella subnet. Il numero di indirizzi IP necessari dipende alla configurazione di gateway VPN che si vuole creare. Alcune configurazioni richiedono più indirizzi IP di altre. È consigliabile specificare /27 o superiore (/26, /25 e così via) per la subnet del gateway.
- Nella pagina della rete virtuale, nel riquadro sinistro selezionare Subnet per aprire la pagina Subnet.
- Nella parte superiore della pagina selezionare + Subnet gateway per aprire il riquadro Aggiungi subnet.
- Il nome viene immesso automaticamente come GatewaySubnet. Modificare il valore dell'intervallo di indirizzi IP, se necessario, ad esempio 10.1.255.0/27.
- Non modificare gli altri valori nella pagina. Selezionare Salva nella parte inferiore della pagina per salvare la subnet.
Importante
I gruppi di sicurezza di rete nella subnet del gateway non sono supportati. Se si associa un gruppo di sicurezza di rete a tale subnet, il gateway della rete virtuale (VPN e gateway Express Route) potrebbe smettere di funzionare come previsto. Per altre informazioni sui gruppi di sicurezza di rete, vedere Che cos'è un gruppo di sicurezza di rete.
Creare il gateway VPN VNet1
Questo passaggio illustra come creare il gateway di rete virtuale per la rete virtuale. La creazione di un gateway spesso richiede anche più di 45 minuti di tempo a seconda dello SKU gateway selezionato. Per i prezzi degli SKU del gateway, vedere Prezzi.
Creare un gateway di rete virtuale (Gateway VPN) con i valori seguenti:
- Nome: VNet1GW
- Tipo di gateway: VPN
- SKU: VpnGw2AZ
- Generazione: Generazione 2
- Rete virtuale: VNet1
- Intervallo di indirizzi subnet del gateway: 10.1.255.0/27
- Indirizzo IP pubblico: Crea nuovo
- Nome indirizzo IP pubblico: VNet1GWpip1
- SKU IP pubblico: Standard
- Assegnazione: Statico
- Nome indirizzo IP pubblico secondario: VNet1GWpip2
- Abilitare la modalità attiva-attiva: Abilitato
In Cerca risorse, servizi e documentazione (G+/)immettere il gateway di rete virtuale. Individuare Gateway di rete virtuale nei risultati della ricerca del Marketplace e selezionarlo per aprire la pagina Crea gateway di rete virtuale.
Nella scheda Informazioni di base inserire i valori per Dettagli del progetto e Dettagli dell’istanza.
Sottoscrizione: selezionare la sottoscrizione da usare nell'elenco a discesa.
Gruppo di risorse: questo valore viene compilato automaticamente quando si seleziona la rete virtuale in questa pagina.
Nome: si tratta del nome dell'oggetto gateway da creare. Tale nome è diverso da quello della subnet del gateway in cui verranno distribuite le risorse.
Area: selezionare l'area in cui creare la risorsa. L'area del gateway deve essere uguale a quella della rete virtuale.
Tipo di gateway: selezionare VPN. I gateway VPN usano il gateway di rete virtuale di tipo VPN.
SKU: nell'elenco a discesa selezionare uno SKU del gateway che supporta le funzionalità da usare.
- È consigliabile selezionare uno SKU che termina con AZ quando possibile. Gli SKU AZ supportano le zone di disponibilità.
- Lo SKU di base non è disponibile nel portale. Per configurare un gateway SKU Basic, è necessario usare PowerShell o l'interfaccia della riga di comando.
Generazione: selezionare Generation2 nell'elenco a discesa.
Rete virtuale: scegliere la rete virtuale a cui aggiungere il gateway nell'elenco a discesa. Se non è possibile visualizzare la rete virtuale che si vuole usare, assicurarsi di aver selezionato la sottoscrizione e l'area corrette nelle impostazioni precedenti.
Intervallo di indirizzi della subnet del gateway o Subnet: la subnet del gateway è necessaria per creare un gateway VPN.
Attualmente, questo campo può mostrare opzioni di impostazioni diverse a seconda dello spazio indirizzi della rete virtuale e del fatto che sia già stata creata o meno una subnet denominata GatewaySubnet per la rete virtuale.
Se non si dispone di una subnet del gateway e non viene visualizzata l'opzione per crearne una in questa pagina, tornare alla rete virtuale e creare la subnet del gateway. Tornare quindi a questa pagina e configurare il gateway VPN.
Specificare i valori per Indirizzo IP pubblico. Queste impostazioni specificano l'oggetto IP pubblico che verrà associato al gateway VPN. Un IP pubblico viene assegnato a ogni oggetto IP pubblico quando viene creato il gateway VPN. L'unico caso in cui l'IP pubblico assegnato cambia è quando il gateway viene eliminato e ricreato. Gli indirizzi IP non cambiano durante il ridimensionamento, la reimpostazione o altre operazioni di manutenzione/aggiornamento interne del gateway VPN.
Tipo di IP pubblico: se viene visualizzata questa opzione, selezionare Standard.
Indirizzo IP pubblico: lasciare Crea nuovo selezionato.
Nome indirizzo IP pubblico: nella casella di testo digitare un nome per l'istanza dell'indirizzo IP pubblico.
SKU IP pubblico: l'impostazione viene selezionata automaticamente su SKU Standard.
Assegnazione: l'assegnazione viene in genere selezionata automaticamente e deve essere Statica.
Zona di disponibilità: questa impostazione è disponibile per gli SKU del gateway AZ nelle aree che supportano le zone di disponibilità. Selezionare Ridondanza della zona, a meno che non si sappia di voler specificare una zona.
Abilitare la modalità attiva-attiva: è consigliabile selezionare Abilitato per sfruttare i vantaggi di un gateway in modalità attiva-attiva. Se si prevede di usare questo gateway per una connessione da sito a sito, prendere in considerazione quanto segue:
- Verificare la progettazione attiva-attiva da usare. Le connessioni con il dispositivo VPN locale devono essere configurate in modo specifico per sfruttare la modalità attiva-attiva.
- Alcuni dispositivi VPN non supportano la modalità attiva-attiva. Se non si è certi, rivolgersi al fornitore del dispositivo VPN. Se si usa un dispositivo VPN che non supporta la modalità attiva-attiva, è possibile selezionare Disabilitato per questa impostazione.
IP pubblico secondario: selezionare Crea nuovo. Questa opzione è disponibile solo se è stata selezionata l'opzione Abilitato per l'impostazione Abilita modalità attiva-attiva.
Nome indirizzo IP pubblico: nella casella di testo digitare un nome per l'istanza dell'indirizzo IP pubblico.
SKU IP pubblico: l'impostazione viene selezionata automaticamente su SKU Standard.
Zona di disponibilità: selezionare Con ridondanza della zona, a meno che non si voglia specificare una zona.
Configurazione BGP: selezionare Disabilitato, a meno che la configurazione non richieda specificamente questa opzione. Se è un'impostazione necessaria, il numero ASN predefinito è 65515, anche se questo valore può essere modificato.
Abilitare l'accesso all'insieme di credenziali delle chiavi: selezionare Disabilitato a meno che la configurazione non richieda specificamente questa impostazione.
Selezionare Rivedi e crea per eseguire la convalida.
Una volta superata la convalida, selezionare Crea per distribuire il gateway VPN.
La creazione e la distribuzione completa di un gateway può richiedere più di 45 minuti. È possibile visualizzare lo stato della distribuzione nella pagina Panoramica per il gateway. Dopo la creazione del gateway, è possibile visualizzare l'indirizzo IP assegnato esaminando la rete virtuale nel portale. Il gateway viene visualizzato come un dispositivo connesso.
Importante
I gruppi di sicurezza di rete nella subnet del gateway non sono supportati. Se si associa un gruppo di sicurezza di rete a tale subnet, il gateway della rete virtuale (VPN e gateway Express Route) potrebbe smettere di funzionare come previsto. Per altre informazioni sui gruppi di sicurezza di rete, vedere Che cos'è un gruppo di sicurezza di rete.
Creare e configurare VNet4
Dopo aver configurato VNet1, creare VNet4 e il gateway VNet4 ripetendo la procedura precedente e sostituendo i valori con quelli di VNet4. Per configurare VNet4 non è necessario attendere che sia completata la creazione del gateway di rete virtuale per VNet1. Se si usano valori personalizzati, assicurarsi che gli spazi indirizzi non si sovrappongano ad alcuna delle reti virtuali a cui si vuole connettersi.
È possibile usare i valori di esempio seguenti per configurare VNet4 e il gateway VNet4.
- Impostazioni della rete virtuale
- Nome: VNet4
- Spazio indirizzi: 10.41.0.0/16
- Sottoscrizione: selezionare la sottoscrizione da usare.
- Gruppo di risorse: TestRG4
- Località: Stati Uniti occidentali 2
- Subnet
- Nome: FrontEnd
- Intervallo di indirizzi: 10.41.0.0/24
Aggiungere la subnet del gateway:
- Nome: GatewaySubnet
- Intervallo di indirizzi subnet del gateway: 10.41.255.0/27
Configurare il gateway VPN VNet4
È possibile usare i valori di esempio seguenti per configurare il gateway VPN VNet4.
- Impostazioni del gateway di rete virtuale
- Nome: VNet4GW
- Gruppo di risorse: Stati Uniti occidentali 2
- Generazione: Generazione 2
- Tipo di gateway: selezionare VPN.
- Tipo VPN: selezionare Basato su route.
- SKU: VpnGw2AZ
- Generazione: generazione 2
- Rete virtuale: VNet4
- Nome indirizzo IP pubblico: VNet4GWpip1
- SKU IP pubblico: Standard
- Assegnazione: Statico
- Secondo nome indirizzo IP pubblico: VNet4GWpip2
- Abilitare la modalità attiva-attiva: Abilitato
Configurare le connessioni
Dopo aver completato i gateway VPN per VNet1 e VNet4, è possibile creare le connessioni gateway di rete virtuale.
Le reti virtuali nella stessa sottoscrizione possono essere connesse tramite il portale, anche se si trovano in gruppi di risorse diversi. Tuttavia, se le reti virtuali si trovano in sottoscrizioni diverse, è necessario usare PowerShell per stabilire le connessioni.
È possibile creare una connessione bidirezionale o una singola direzione. Per questo esercizio, verrà specificata una connessione bidirezionale. Il valore della connessione bidirezionale crea due connessioni separate in modo che il traffico possa fluire in entrambe le direzioni.
Nel portale passare a VNet1GW.
Nel riquadro sinistro della pagina gateway di rete virtuale selezionare Connessioni per aprire la pagina Connessioni. Selezionare quindi + Aggiungi per aprire la pagina Crea connessione .
Nella pagina Crea connessione, immettere i valori di connessione.
- Tipo di connessione: selezionare Da rete virtuale a rete virtuale nell'elenco a discesa.
- Stabilire la connettività bidirezionale: selezionare questo valore se si vuole stabilire il flusso del traffico in entrambe le direzioni. Se non si seleziona questa impostazione e successivamente si vuole aggiungere una connessione nella direzione opposta, sarà necessario creare una nuova connessione proveniente dall'altro gateway di rete virtuale.
- Nome connessione primario: da VNet1 a VNet4
- Nome connessione secondario: da VNet4 a VNet1
- Area: Stati Uniti orientali (area per VNet1GW)
Fare clic su Avanti : Impostazioni >, nella parte inferiore della pagina, per passare alla pagina Impostazioni.
Nella pagina Impostazioni specificare i valori seguenti:
- Gateway di rete virtuale primario: selezionare VNet1GW dall'elenco a discesa.
- Gateway di rete virtuale secondario: selezionare VNet4GW dall'elenco a discesa.
- Chiave condivisa (PSK): in questo campo, immettere una chiave condivisa per la connessione. La chiave può essere generata o creata dall'utente. In una connessione da sito a sito, per il dispositivo locale e la connessione del gateway di rete virtuale viene usata la stessa chiave. In questo caso si applica un concetto simile, ma anziché a un dispositivo VPN ci si connette a un altro gateway di rete virtuale. L'aspetto importante quando si specifica una chiave condivisa è che è esattamente lo stesso per entrambi i lati della connessione.
- IKE Protocol: IKEv2
Per questo esercizio, è possibile lasciare invariate le altre impostazioni come valori predefiniti.
Selezionare Rivedi e crea, quindi Crea per convalidare e creare le connessioni.
Verificare le connessioni
Individuare il gateway di rete virtuale nel portale di Azure. Ad esempio, VNet1GW.
Nella pagina Gateway di rete virtuale selezionare Connessioni per visualizzare la pagina Connessioni per il gateway di rete virtuale. Dopo aver stabilito la connessione, i valori di Stato visualizzati diventeranno Connesso.
Nella colonna Nome, selezionare una delle connessioni per visualizzare altre informazioni. Quando inizia il flusso dei dati, vengono visualizzati valori per Dati in entrata e Dati in uscita.
Aggiungere altre connessioni
È possibile creare un'altra connessione da rete virtuale a rete virtuale o creare una connessione da sito a sito IPsec a un percorso locale.
Prima di creare più connessioni, verificare che lo spazio indirizzi della rete virtuale non si sovrapponga agli spazi indirizzi a cui ci si vuole connettere.
Quando si configura una nuova connessione, assicurarsi di modificare il tipo di connessione in modo che corrisponda al tipo di connessione che si vuole creare. Se si aggiunge una connessione da sito a sito, è necessario creare un gateway di rete locale prima di creare la connessione.
Quando si configura una connessione che usa una chiave condivisa, assicurarsi che la chiave condivisa sia esattamente la stessa per entrambi i lati della connessione.
Per creare altre connessioni, seguire questa procedura:
- Nella portale di Azure passare al gateway VPN da cui si vuole creare la connessione.
- Nel riquadro sinistro selezionare Connessioni. Visualizzare le connessioni esistenti.
- Creare la nuova connessione.
Domande frequenti relative alla connessione di reti virtuali
Per le domande frequenti sulla connessione da rete virtuale a rete virtuale, vedere Domande frequenti sul gateway VPN.
Passaggi successivi
Per informazioni su come limitare il traffico di rete verso le risorse in una rete virtuale, vedere l'articolo relativo alla sicurezza di rete.
Per informazioni sul modo in cui Azure instrada il traffico tra Azure, l'ambiente locale e le risorse Internet, vedere Routing del traffico di rete virtuale.