Peering di reti virtuali
Il peering di rete virtuale consente di connettere senza problemi due o più Rete virtuale in Azure. Le reti virtuali vengono visualizzate come una sola per facilitare la connettività. Il traffico tra macchine virtuali nelle reti virtuali con peering usa l'infrastruttura backbone Microsoft. Come il traffico tra macchine virtuali nella stessa rete, il traffico viene instradato solo attraverso la rete privata di Microsoft. Per impostazione predefinita, è possibile eseguire il peering di una rete virtuale con un massimo di 500 altre reti virtuali. Usando la configurazione della connettività di Azure Rete virtuale Manager, è possibile aumentare questo limite per eseguire il peering di fino a 1.000 reti virtuali a una singola rete virtuale. Ciò consente, ad esempio, di creare una topologia hub-spoke con 1.000 reti virtuali spoke e creare una mesh di 1000 spoke reti virtuali in cui tutte le reti virtuali spoke sono direttamente interconnesse.
Azure supporta i seguenti tipi di peering:
Peering di rete virtuale: connessione di reti virtuali all'interno della stessa area di Azure.
Peering di rete virtuale globale: connessione di reti virtuali tra aree di Azure.
Il peering reti virtuali, locale o globale, include i vantaggi seguenti:
Connessione a bassa latenza e larghezza di banda elevata tra le risorse in reti virtuali diverse.
Possibilità per le risorse in una rete virtuale di comunicare con le risorse in una rete virtuale diversa.
Possibilità di trasferire i dati tra le reti virtuali attraverso sottoscrizioni di Azure, tenant di Microsoft Entra, modelli di distribuzione e aree di Azure.
Possibilità di eseguire il peering delle reti virtuali create tramite Azure Resource Manager.
Possibilità di eseguire il peering di una rete virtuale creata tramite Resource Manager a una creata tramite il modello di distribuzione classica. Per altre informazioni in proposito, vedere le informazioni sui modelli di distribuzione di Azure.
Tempo di inattività nullo per le risorse nelle due reti virtuali durante o dopo la creazione del peering.
Il traffico di rete tra reti virtuali di cui è stato eseguito il peering è privato. Il traffico tra le reti virtuali viene mantenuto nella rete backbone Microsoft. Nella comunicazione tra le reti virtuali non sono necessari gateway, una rete Internet pubblica o la crittografia.
Connettività
Per il peering tra reti virtuali, le risorse di una delle due reti virtuali possono connettersi direttamente alle risorse nella rete virtuale con peering.
La latenza di rete tra macchine virtuali presenti in reti virtuali di cui è stato eseguito il peering nella stessa area è identica a quella in un'unica rete virtuale. La velocità effettiva della rete si basa sulla larghezza di banda consentita per la macchina virtuale proporzionalmente alle relative dimensioni, Non ci sono altre restrizioni alla larghezza di banda consentita nel peering.
Il traffico tra macchine virtuali presenti in reti virtuali di cui è stato eseguito il peering viene direttamente instradato attraverso l'infrastruttura backbone Microsoft, non attraverso un gateway né tramite la rete Internet pubblica.
È possibile applicare gruppi di sicurezza di rete in una rete virtuale per bloccare l'accesso ad altre reti virtuali o subnet. Quando si configura il peering di rete virtuale, aprire o chiudere le regole del gruppo di sicurezza di rete tra le reti virtuali. Se si apre la connettività completa tra reti virtuali con peering, è possibile applicare gruppi di sicurezza di rete per bloccare o negare l'accesso specifico. La connettività completa è l'opzione predefinita. Per altre informazioni sui gruppi di sicurezza di rete, vedere Gruppi di sicurezza.
Ridimensionare lo spazio indirizzi delle reti virtuali di Azure con peering
È possibile ridimensionare lo spazio indirizzi delle reti virtuali di Azure con peering senza incorrere in tempi di inattività nello spazio indirizzi con peering. Questa funzionalità è utile quando è necessario ridimensionare lo spazio indirizzi della rete virtuale dopo il ridimensionamento dei carichi di lavoro. Una volta ridimensionato lo spazio degli indirizzi, i peer devono eseguire la sincronizzazione con il nuovo spazio indirizzi cambia. Il ridimensionamento funziona sia per gli spazi indirizzi IPv4 che per IPv6.
Gli indirizzi possono essere ridimensionati nei modi seguenti:
Modifica del prefisso dell'intervallo di indirizzi di un intervallo di indirizzi esistente (ad esempio modificando 10.1.0.0/16 in 10.1.0.0/18)
Aggiunta di intervalli di indirizzi a una rete virtuale
Eliminazione di intervalli di indirizzi da una rete virtuale
Il ridimensionamento dello spazio indirizzi è supportato tra tenant
La sincronizzazione dei peer di rete virtuale può essere eseguita tramite il portale di Azure o con Azure PowerShell. È consigliabile eseguire la sincronizzazione dopo ogni operazione di ridimensionamento dello spazio indirizzi anziché eseguire più operazioni di ridimensionamento e quindi eseguire l'operazione di sincronizzazione. Per informazioni su come aggiornare lo spazio degli indirizzi per una rete virtuale con peering, vedere Aggiornamento dello spazio degli indirizzi per una rete virtuale con peering.
Importante
Questa funzionalità non supporta scenari in cui la rete virtuale da aggiornare è con peering con:
- Una rete virtuale classica
Concatenamento dei servizi
Il concatenamento dei servizi consente di indirizzare il traffico da una rete virtuale a un'appliance virtuale o a un gateway in una rete con peering tramite route definite dall'utente.
Per abilitare il concatenamento dei servizi, configurare route definite dall'utente che puntano alle macchine virtuali nelle reti virtuali con peering come indirizzo IP hop successivo. Le route definite dall'utente possono anche puntare ai gateway di rete virtuale per abilitare il concatenamento dei servizi.
È possibile distribuire reti hub-spoke, in cui la rete virtuale hub ospita componenti dell'infrastruttura, ad esempio un'appliance virtuale di rete o un gateway VPN. e tutte le reti virtuali spoke possono eseguire il peering con la rete virtuale dell'hub. Il traffico passa attraverso le appliance virtuali di rete o i gateway VPN nella rete virtuale hub.
Il peering di rete virtuale consente di usare come hop successivo di una route definita dall'utente l'indirizzo IP di una macchina virtuale nella rete virtuale con peering oppure un gateway VPN. Non è possibile instradare tra reti virtuali con una route definita dall'utente che specifica un gateway Azure ExpressRoute come tipo di hop successivo. Per altre informazioni sulle route definite dall'utente, vedere Route definite dall'utente. Per informazioni su come creare una topologia di rete hub-spoke, vedere Topologia di rete hub-spoke in Azure.
Gateway e connettività locale
Ogni rete virtuale, inclusa una rete virtuale con peering, può avere un proprio gateway. Una rete virtuale può usare il gateway per connettersi a una rete locale. È anche possibile configurare connessioni da rete virtuale a rete virtuale usando gateway, anche per le reti virtuali con peering.
Quando si configurano entrambe le opzioni per l'interconnettività della rete virtuale, il traffico tra le reti virtuali passa attraverso la configurazione del peering. Il traffico usa il backbone di Azure.
È anche possibile configurare il gateway nella rete virtuale con peering come punto di transito a una rete locale. In questo caso, la rete virtuale che usa un gateway remoto non può avere il proprio gateway. Una rete virtuale può avere un solo gateway, il gateway deve essere locale o remoto nella rete virtuale con peering, come illustrato nel diagramma seguente:
Sia il peering di reti virtuali che il peering di reti virtuali globali supportano il transito tramite gateway.
Il transito del gateway tra reti virtuali create tramite modelli di distribuzione diversi è supportato. Il gateway deve trovarsi nella rete virtuale nel modello di Resource Manager. Per altre informazioni sull'uso di un gateway per la trasmissione, vedere Configurare un gateway VPN per il transito nel peering di rete virtuale.
Quando si esegue il peering di reti virtuali che condividono una singola connessione Azure ExpressRoute, il traffico tra di essi passa attraverso la relazione di peering. Questo traffico usa la rete backbone di Azure. È comunque possibile continuare a usare i gateway locali in ogni rete virtuale per connettersi al circuito locale. In caso contrario, è possibile usare un gateway condiviso e configurare il transito per la connettività locale.
Risoluzione dei problemi
Per verificare che le reti virtuali siano sottoposte a peering, è possibile controllare le route valide. Controllare le route per un'interfaccia di rete in qualsiasi subnet in una rete virtuale. Se esiste un peering di rete virtuale, tutte le subnet all'interno della rete virtuale hanno route con tipo di hop successivo Peering reti virtuali per ogni spazio degli indirizzi di ogni rete virtuale con peering. Per altre informazioni, vedere Diagnosticare un problema di routing delle macchine virtuali.
È anche possibile risolvere i problemi di connettività a una macchina virtuale in una rete virtuale con peering usando Azure Network Watcher. Un controllo della connettività consente di vedere in che modo il traffico viene instradato dall'interfaccia di rete di una macchina virtuale di origine all'interfaccia di rete di una macchina virtuale di destinazione. Per altre informazioni, vedere Risolvere i problemi relativi alle connessioni con Azure Network Watcher usando il portale di Azure.
È anche possibile provare a risolvere i problemi di peering di rete virtuale.
Vincoli per le reti virtuali con peering
I vincoli seguenti si applicano solo quando viene eseguito il peering globale delle reti virtuali:
Le risorse in una rete virtuale non possono comunicare con l'indirizzo IP front-end di bilanciamento del carico base (interno o pubblico) in una rete virtuale con peering globale.
Alcuni servizi che usano un servizio di bilanciamento del carico di base non funzionano tramite il peering di reti virtuali globale. Per altre informazioni, vedere Quali sono i vincoli correlati al peering reti virtuali globali e ai servizi di bilanciamento del carico?.
Non è possibile eseguire peering di rete virtuale come parte dell'operazione di PUT
rete virtuale.
Per altre informazioni, vedere Requisiti e vincoli. Per altre informazioni sul numero supportato di peering, vedere Limiti di rete.
Autorizzazioni
Per informazioni sulle autorizzazioni necessarie per creare un peering di rete virtuale, vedere Autorizzazioni.
Prezzi
È previsto un addebito nominale per il traffico in ingresso e in uscita che usa una connessione peering di rete virtuale. Per altre informazioni, vedere Prezzi di Rete virtuale.
Il transito del gateway è una proprietà di peering che consente a una rete virtuale di usare un gateway VPN/ExpressRoute in una rete virtuale con peering. Il transito del gateway funziona sia per la connettività cross-premise che per la connettività da rete a rete. Il traffico verso il gateway (in ingresso o in uscita) nella rete virtuale con peering comporta addebiti per il peering di rete virtuale nella rete virtuale spoke (o rete virtuale senza un gateway VPN). Per altre informazioni, vedere prezzi Gateway VPN per i costi del gateway VPN e i prezzi del gateway ExpressRoute per i costi del gateway ExpressRoute.
Nota
Una versione precedente di questo documento ha dichiarato che gli addebiti per il peering di rete virtuale non si applicano alla rete virtuale spoke (o alla rete virtuale non gateway) con il transito del gateway. Ora riflette i prezzi accurati in base alla pagina dei prezzi.
Passaggi successivi
È possibile creare un peering tra due reti virtuali. Le reti possono appartenere alla stessa sottoscrizione, a modelli di distribuzione diversi nella stessa sottoscrizione o a sottoscrizioni diverse. Completare un'esercitazione per uno degli scenari seguenti:
Modello di distribuzione di Azure Subscription Entrambi con Resource Manager Uguale Diversa Uno con Resource Manager, uno con una distribuzione classica Uguale Diversa Per informazioni su come creare una topologia di rete hub-spoke, vedere Topologia di rete hub-spoke in Azure.
Per informazioni su tutte le impostazioni di peering di rete virtuale, vedere Creare, modificare o eliminare un peering di rete virtuale.
Per risposte alle domande comuni sul peering di reti virtuali e sul peering di reti virtuali globali, vedere Peering reti virtuali.