Connettere reti virtuali tra tenant a un hub della rete WAN virtuale con l'interfaccia della riga di comando di Azure

Questo articolo illustra come usare la rete WAN virtuale di Azure per connettere una rete virtuale a un hub virtuale in un tenant diverso. Questa architettura è utile se si hanno carichi di lavoro client che devono essere connessi in modo che facciano parte della stessa rete, ma che si trovano in tenant diversi. Ad esempio, come illustrato nel diagramma seguente, è possibile connettere una rete virtuale non Contoso (il tenant remoto) a un hub virtuale Contoso (il tenant padre).

In questo articolo vengono illustrate le operazioni seguenti:

• Aggiungere un altro tenant come Collaboratore nella sottoscrizione di Azure.
• Connettere una rete virtuale tra tenant a un hub virtuale.

I passaggi per questa configurazione usano una combinazione del portale di Azure e dell'interfaccia della riga di comando di Azure. Tuttavia, la funzionalità stessa è disponibile solo in PowerShell e nell'interfaccia della riga di comando di Azure.

Operazioni preliminari

Prerequisiti

Per usare i passaggi descritti in questo articolo, è necessario avere la configurazione seguente già configurata nell'ambiente:

• Una rete WAN virtuale e un hub virtuale nella sottoscrizione padre
• Una rete virtuale configurata in una sottoscrizione in un tenant diverso (remoto)
• Estensione dell'interfaccia della riga di comando della rete WAN virtuale, versione 0.3.0 o successiva. Per altre informazioni sull'estensione, vedere Estensioni disponibili dell'interfaccia della riga di comando di Azure.

Assicurarsi che lo spazio indirizzi della rete virtuale nel tenant remoto non si sovrapponga ad altri spazi indirizzi all'interno di altre reti virtuali già connesse all'hub virtuale padre.

Uso dell'interfaccia della riga di comando di Azure

Questo articolo usa i comandi dell'interfaccia della riga di comando di Azure. Per eseguire i comandi, è possibile usare Azure Cloud Shell. Cloud Shell è una shell interattiva gratuita che può essere usata per eseguire la procedura di questo articolo. Include strumenti comuni di Azure preinstallati e configurati per l'uso con l'account.

Per aprire Cloud Shell, basta selezionare Apri Cloud Shell nell'angolo superiore destro di un blocco di codice. È anche possibile aprire Cloud Shell in una scheda separata del browser accedendo a CloudShell. Nel menu a discesa in alto a sinistra selezionare Bash anziché PowerShell.

Selezionare Copia per copiare i blocchi di codice e incollarli in Cloud Shell, poi premere INVIO per eseguirli.

Assegnare autorizzazioni

1. Nella sottoscrizione della rete virtuale nel tenant remoto aggiungere l'assegnazione di ruolo Collaboratore all'amministratore (l'utente che gestisce l'hub virtuale). Le autorizzazioni di collaboratore consentiranno all'amministratore di modificare e accedere alle reti virtuali nel tenant remoto.

   È possibile usare l'interfaccia della riga di comando di Azure o il portale di Azure per assegnare questo ruolo. Per la procedura, vedere gli articoli seguenti:

   • Assegnare i ruoli di Azure usando l'interfaccia della riga di comando di Azure
   • Assegnare ruoli di Azure usando il portale di Azure

2. Eseguire il comando seguente per aggiungere la sottoscrizione del tenant remoto e la sottoscrizione del tenant padre alla sessione corrente della console. Se si è connessi all'elemento padre, è necessario eseguire il comando solo per il tenant remoto.

   az login --tenant "[tenant ID]"
   

3. Verificare che l'assegnazione di ruolo sia avvenuta correttamente. Accedere all'interfaccia della riga di comando di Azure (se non è già stato fatto) usando le credenziali padre ed eseguire il comando seguente:

   az account list -o table
   

   Se le autorizzazioni sono state propagate correttamente all'elemento padre e sono state aggiunte alla sessione, le sottoscrizioni di proprietà dell'elemento padre e del tenant remoto verranno visualizzate entrambe nell'output del comando.

Connettere una rete virtuale a un hub

Nei passaggi seguenti si useranno i comandi dell'interfaccia della riga di comando di Azure per collegare un hub virtuale a una rete virtuale in una sottoscrizione da un tenant diverso. Sostituire i valori di esempio per riflettere il proprio ambiente.

1. Assicurarsi di essere nel contesto dell'account dell'hub virtuale:

   az account set --subscriptionId "[virtual hub subscription]"
   

2. Connettere la rete virtuale all'hub:

   az network vhub connection create --resource-group "[resource_group_name]" --name "[connection_name]" --vhub-name "[virtual_hub_name]" --remote-vnet "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rgName/providers/Microsoft.Network/virtualNetworks/vnetName"
   

È possibile visualizzare la nuova connessione nell'interfaccia della riga di comando di Azure o nel portale di Azure:

• Nella console i metadati della connessione appena creata vengono visualizzati se la connessione è stata stabilita correttamente.
• Nel portale di Azure passare all'hub virtuale e selezionare Connettività>Connessioni di rete virtuale. È quindi possibile visualizzare il puntatore alla connessione. Per visualizzare la risorsa effettiva, sono necessarie le autorizzazioni appropriate.

Risoluzione dei problemi

• Verificare che l'estensione della rete WAN virtuale sia 0.3.0 o versione successiva usando az --version.
• Verificare che l'accesso alla sottoscrizione remota sia disponibile dall'interfaccia della riga di comando az account list -o table.
• Assicurarsi che le virgolette siano incluse nei nomi dei gruppi di risorse o in qualsiasi altra variabile specifica dell'ambiente (ad esempio, "VirtualHub1" o "VirtualNetwork1").

Passaggi successivi

• Per altre informazioni sulla rete WAN virtuale, vedere le domande frequenti.