Pianificare e implementare la rete virtuale a livello di area, incluso l'hub virtuale protetto

  • 7 minuti

Una rete WAN virtuale si connette alle risorse in Azure tramite una connessione VPN IPsec/IKE (IKEv1 e IKEv2). Questo tipo di connessione richiede un dispositivo VPN che si trova in locale con un indirizzo IP pubblico esterno assegnato.

Diagramma che mostra una connessione di rete virtuale da sito a sito.

Prerequisiti

  • Verificare di possedere una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, è possibile attivare i vantaggi per i sottoscrittori di MSDN oppure iscriversi per ottenere un account gratuito.

  • Decidere l'intervallo di indirizzi IP da usare per lo spazio indirizzi privato dell'hub virtuale. Queste informazioni vengono usate durante la configurazione dell'hub virtuale. Un hub virtuale è una rete virtuale che viene creata e usata dalla rete WAN virtuale. Si tratta dell'elemento centrale della rete WAN virtuale in un'area. L'intervallo di indirizzi IP deve essere conforme a determinate regole.

    • L'intervallo di indirizzi specificati per l'hub non può sovrapporsi ad alcuna delle reti virtuali esistenti a cui ci si connette.
    • L'intervallo di indirizzi IP non può sovrapporsi agli intervalli di indirizzi locali a cui ci si connette.
    • Se non si ha familiarità con gli intervalli di indirizzi IP che si trovano nella configurazione di rete locale, coordinarsi con un utente in grado di fornire tali informazioni.

Portale di Azure o Azure PowerShell

È possibile usare il portale di Azure o i cmdlet di Azure PowerShell per creare una connessione da sito a sito alla rete WAN virtuale di Azure. Cloud Shell è una shell interattiva gratuita che include strumenti comuni di Azure preinstallati e configurati per l'uso attraverso l'account dell'utente.

Per aprire Cloud Shell, selezionare Apri Cloud Shell nell'angolo superiore destro di un blocco di codice. È anche possibile aprire Cloud Shell in una scheda separata del browser andando su https://shell.azure.com/powershell. Selezionare Copia per copiare i blocchi di codice e incollarli in Cloud Shell, poi premere INVIO per eseguirli.

È anche possibile installare ed eseguire i cmdlet di Azure PowerShell in locale nel computer. I cmdlet di PowerShell vengono aggiornati di frequente. Se non è stata installata la versione più recente, i valori specificati nelle istruzioni potrebbero non avere successo. Per trovare le versioni di Azure PowerShell installate nel computer, usare Get-Module -ListAvailable Az cmdlet.

Eseguire l'accesso

Se si usa Azure Cloud Shell, si verrà indirizzati automaticamente all'accesso all'account dopo aver aperto Cloud Shell. Non è necessario eseguire Connect-AzAccount. Dopo aver eseguito l'accesso, è comunque possibile cambiare la sottoscrizione, se necessario, usando Get-AzSubscription e Select-AzSubscription.

Se si esegue PowerShell in locale, aprire la console di PowerShell con privilegi elevati e connettersi all'account Azure. Il cmdlet Connect-AzAccount richiede le credenziali. Dopo l'autenticazione, scarica le impostazioni dell'account in modo che siano disponibili in Azure PowerShell. È possibile cambiare sottoscrizione usando Get-AzSubscription e Select-AzSubscription -SubscriptionName "Name of subscription".

Creare una rete WAN virtuale

Prima di poter creare una rete WAN virtuale, è necessario creare un gruppo di risorse per ospitarla o usare un gruppo di risorse esistente. Usare uno degli esempi seguenti.

In questo esempio viene creato un nuovo gruppo di risorse denominato TestRG nella posizione Stati Uniti orientali. Se invece si vuole usare un gruppo di risorse esistente, è possibile modificare il comando $resourceGroup = Get-AzResourceGroup -ResourceGroupName "NameofResourceGroup" e quindi completare i passaggi descritti in questo esercizio usando valori personalizzati.

  1. Crea un gruppo di risorse.

    New-AzResourceGroup -Location "East US" -Name "TestRG"

  2. Creare la rete wan virtuale usando il cmdlet New-AzVirtualWan.

    $virtualWan = New-AzVirtualWan -ResourceGroupName TestRG -Name TestVWAN1 -Location "East US"

Creare l'hub e configurarne le impostazioni

Un hub è una rete virtuale che può contenere gateway per funzionalità da sito a sito, ExpressRoute o da punto a sito. Creare un hub virtuale con New-AzVirtualHub. Questo esempio crea un hub virtuale predefinito denominato Hub1 con il prefisso dell'indirizzo specificato e un percorso per l'hub.

$virtualHub = New-AzVirtualHub -VirtualWan $virtualWan -ResourceGroupName "TestRG" -Name "Hub1" -AddressPrefix "10.1.0.0/16" -Location "westus"

Creare un gateway VPN da sito a sito

In questa sezione viene creato un gateway VPN da sito a sito nella stessa posizione dell'hub virtuale di riferimento. Quando si crea il gateway VPN, si specificano le unità di scala desiderate. La creazione del gateway richiede circa 30 minuti.

  1. Se è stato chiuso Azure Cloud Shell o il timeout della connessione, potrebbe essere necessario dichiarare nuovamente la variabile per $virtualHub.

    $virtualHub = Get-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1"

  2. Creare un gateway VPN usando il cmdlet New-AzVpnGateway.

    New-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1" -VirtualHubId $virtualHub.Id -VpnGatewayScaleUnit 2

  3. Dopo aver creato il gateway VPN, è possibile visualizzarlo usando l'esempio seguente.

    Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"

Creare un sito e connessioni

In questa sezione vengono creati siti che corrispondono alle posizioni fisiche e alle connessioni. Questi siti contengono gli endpoint dei dispositivi VPN locali; è possibile creare fino a 1000 siti per ogni hub virtuale in una rete WAN virtuale. Se si hanno più hub, è possibile crearne 1000 per ognuno.

  1. Impostare la variabile per il gateway VPN e per lo spazio indirizzi IP che si trova nel sito locale. Il traffico destinato a questo spazio di indirizzi viene indirizzato al sito locale. Questa operazione è necessaria quando BGP non è abilitato per il sito.

    $vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"
$vpnSiteAddressSpaces = New-Object string[] 2
$vpnSiteAddressSpaces[0] = "192.168.2.0/24"
$vpnSiteAddressSpaces[1] = "192.168.3.0/24"

  2. Creare collegamenti per aggiungere informazioni sui collegamenti fisici nel ramo, inclusi i metadati relativi alla velocità di collegamento, al nome del provider di collegamenti e all'indirizzo IP pubblico del dispositivo locale.

    $vpnSiteLink1 = New-AzVpnSiteLink -Name "TestSite1Link1" -IpAddress "15.25.35.45" -LinkProviderName "SomeTelecomProvider" -LinkSpeedInMbps "10"

$vpnSiteLink2 = New-AzVpnSiteLink -Name "TestSite1Link2" -IpAddress "15.25.35.55" -LinkProviderName "SomeTelecomProvider2" -LinkSpeedInMbps "100"

  3. Creare il sito VPN, facendo riferimento alle variabili dei collegamenti del sito appena create. Se è stato chiuso Azure Cloud Shell o è apporto un errore di timeout della connessione, ripetere la variabile della rete WAN virtuale:

    $virtualWan = Get-AzVirtualWAN -ResourceGroupName "TestRG" -Name "TestVWAN1"

    Creare il sito VPN usando il cmdlet New-AzVpnSite.

    $vpnSite = New-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1" -Location "westus" -VirtualWan $virtualWan -AddressSpace $vpnSiteAddressSpaces -DeviceModel "SomeDevice" -DeviceVendor "SomeDeviceVendor" -VpnSiteLink @($vpnSiteLink1, $vpnSiteLink2)

  4. Creare la connessione collegamento al sito. La connessione è costituita da due tunnel attivi-attivi da un ramo/sito al gateway scalabile.

    $vpnSiteLinkConnection1 = New-AzVpnSiteLinkConnection -Name "TestLinkConnection1" -VpnSiteLink $vpnSite.VpnSiteLinks[0] -ConnectionBandwidth 100

$vpnSiteLinkConnection2 = New-AzVpnSiteLinkConnection -Name "testLinkConnection2" -VpnSiteLink $vpnSite.VpnSiteLinks[1] -ConnectionBandwidth 10

Connettere il sito VPN a un hub

  1. Prima di eseguire il comando, potrebbe essere necessario ripetere le variabili seguenti:

    $virtualWan = Get-AzVirtualWAN -ResourceGroupName "TestRG" -Name "TestVWAN1"
$vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"
$vpnSite = Get-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1"

  2. Connettere il sito VPN all'hub.

    New-AzVpnConnection -ResourceGroupName $vpnGateway.ResourceGroupName -ParentResourceName $vpnGateway.Name -Name "testConnection" -VpnSite $vpnSite -VpnSiteLinkConnection @($vpnSiteLinkConnection1, $vpnSiteLinkConnection2)

Connettere una rete virtuale all'hub

Il passaggio successivo consiste nel connettere l'hub alla rete virtuale. Se è stato creato un nuovo gruppo di risorse per questo esercizio, in genere non si avrà già una rete virtuale nel gruppo di risorse. La procedura seguente consente di creare una rete virtuale se ce n'è già una disponibile. È quindi possibile creare una connessione tra l'hub e la rete virtuale.

Creare una rete virtuale

È possibile usare i valori di esempio seguenti per creare una rete virtuale. Assicurarsi di sostituire i valori negli esempi con i valori usati per l'ambiente.

  1. Creare una rete virtuale.

    $vnet = @{ Name = 'VNet1' ResourceGroupName = 'TestRG' Location = 'eastus' AddressPrefix = '10.21.0.0/16' } $virtualNetwork = New-AzVirtualNetwork @vnet

  2. Specificare le impostazioni della subnet.

    $subnet = @{ Name = 'Subnet-1' VirtualNetwork = $virtualNetwork AddressPrefix = '10.21.0.0/24' } $subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet

  3. Impostare la rete virtuale.

    $virtualNetwork | Set-AzVirtualNetwork

Connettere una rete virtuale a un hub

La procedura seguente consente di connettere la rete virtuale all'hub virtuale usando PowerShell. È anche possibile usare il portale di Azure per completare questa attività. Ripetere questi passaggi per ogni rete virtuale a cui ci si vuole connettere.

Prima di creare una connessione, tenere presente quanto segue:

  • Una rete virtuale può essere connessa a un solo hub virtuale alla volta.
  • Per connetterlo a un hub virtuale, la rete virtuale remota non può avere un gateway.
  • Alcune impostazioni di configurazione, ad esempio Propagare route statica, possono essere configurate solo nel portale di Azure in questo momento.

Se nell'hub virtuale sono presenti gateway VPN, questa operazione, così come qualsiasi altra operazione di scrittura nella rete virtuale connessa può causare la disconnessione ai client da punto a sito, nonché la riconnessione di tunnel da sito a sito e delle sessioni Border Gateway Protocol (BGP).

Aggiunta di una connessione

  1. Dichiarare le variabili per le risorse esistenti, inclusa la rete virtuale esistente.

    $resourceGroup = Get-AzResourceGroup -ResourceGroupName "TestRG" $virtualWan = Get-AzVirtualWan -ResourceGroupName "TestRG" -Name "TestVWAN1" $virtualHub = Get-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1" $remoteVirtualNetwork = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG"

  2. Creare una connessione per eseguire il peering della rete virtuale all'hub virtuale.

    New-AzVirtualHubVnetConnection -ResourceGroupName "TestRG" -VirtualHubName "Hub1" -Name "VNet1-connection" -RemoteVirtualNetwork $remoteVirtualNetwork

Configurare il dispositivo VPN

Scaricare la configurazione della VPN

Usare il file di configurazione del dispositivo VPN per configurare il dispositivo VPN locale. I passaggi principali sono indicati di seguito.

  1. Nella pagina rete WAN virtuale passare alla pagina Hub ->Hub virtuale -> pagina VPN (da sito a sito).

  2. Nella parte superiore della pagina VPN (da sito a sito) fare clic su Scaricare configurazione VPN. Verrà visualizzata una serie di messaggi quando Azure crea un nuovo account di archiviazione nel gruppo di risorse “microsoft-network-[location]”, dove posizione è il percorso della rete WAN. È anche possibile aggiungere un account di archiviazione esistente facendo clic su "Usare esistente" e aggiungendo un URL di firma di accesso condiviso valido con autorizzazioni di scrittura abilitate.

  3. Al termine della creazione del file, fare clic sul collegamento per scaricare il file. Verrà creato un nuovo file con configurazione VPN nel percorso dell'URL di firma di accesso condiviso specificato.

  4. Applicare la configurazione al dispositivo VPN locale. Per altre informazioni, vedere Configurazione del dispositivo VPN in questa sezione.

  5. Dopo aver applicato la configurazione ai dispositivi VPN, non è necessario mantenere l'account di archiviazione creato.

    • Spazio indirizzi della rete virtuale degli hub virtuali.

      • Esempio:

        • "AddressSpace":"10.1.0.0/24"

    • Spazio indirizzi delle reti virtuali connesse all'hub virtuale.

      • Esempio:

        • "ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]

    • Spazio indirizzi IP del gateway vpn dell'hub virtuale. Poiché ogni connessione gateway vpn è costituita da due tunnel nella configurazione attiva-attiva, entrambi gli indirizzi IP saranno visibili in questo file. In questo esempio, sono indicati "Instance0" e "Instance1" per ogni sito.

      • Esempio:

        • "Instance0":"nnn.nn.nn.nnn"
        • "Instance1":"nnn.nn.nn.nnn"

    • Indirizzo IP pubblico: Assegnato da Azure.

    • Indirizzo IP privato: Assegnato da Azure.

    • Indirizzo IP BGP predefinito: Assegnato da Azure.

    • Indirizzo IP BGP personalizzato: Questo campo è riservato per APIPA (Indirizzamento IP privato automatico). Azure supporta l'indirizzo IP BGP negli intervalli 169.254.21.* e 169.254.22.*. Azure accetta le connessioni BGP in questi intervalli, ma effettua la connessione con l'IP BGP predefinito. Gli utenti possono specificare più indirizzi IP BGP personalizzati per ogni istanza. Non deve essere usato lo stesso indirizzo IP BGP personalizzato per entrambe le istanze.

File di configurazione del dispositivo VPN

Il file di configurazione del dispositivo contiene le impostazioni da usare quando si configura il dispositivo VPN locale. Quando si visualizza questo file, notare le informazioni seguenti:

  • vpnSiteConfiguration - Questa sezione indica la configurazione dei dettagli del dispositivo come sito che si connette alla rete WAN virtuale. Include il nome e l'indirizzo IP pubblico del dispositivo derivato.

vpnSiteConnections - Questa sezione include informazioni sulle impostazioni seguenti:

  • Dettagli di configurazione della connessione gateway vpn, ad esempio BGP, chiave precondivisa e così via. PSK è la chiave precondivisa che viene generata automaticamente. È sempre possibile modificare la connessione nella pagina di panoramica per ottenere una chiave precondivisa (PSK) personalizzata.

Esempio di file di configurazione del dispositivo

{ "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5" }, "vpnSiteConfiguration":{ "Name":"testsite1", "IPAddress":"73.239.3.208" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe", "ConnectedSubnets":[ "10.2.0.0/16", "10.3.0.0/16" ] }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.186", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }, { "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac" }, "vpnSiteConfiguration":{ "Name":" testsite2", "IPAddress":"66.193.205.122" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe" }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.187", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }, { "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7" }, "vpnSiteConfiguration":{ "Name":" testsite3", "IPAddress":"182.71.123.228" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe" }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.187", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }

Configurazione del dispositivo VPN

Nota

Se si usa la soluzione di un partner di rete WAN virtuale, la configurazione del dispositivo VPN avviene automaticamente. Il controller del dispositivo ottiene il file di configurazione da Azure e lo applica al dispositivo per configurare la connessione ad Azure. Ciò significa che non è necessario sapere come configurare manualmente il dispositivo VPN.

Visualizzare o modificare le impostazioni del gateway

È possibile visualizzare e modificare le impostazioni del gateway VPN in qualsiasi momento. Passare all'HUB virtuale ->VPN (da sito a sito) e selezionare Visualizza/Configura.

Screenshot che mostra come visualizzare e modificare le impostazioni del gateway di rete privata virtuale dalla pagina di configurazione dell'hub virtuale.

Nella pagina Modifica gateway VPN è possibile visualizzare le impostazioni seguenti:

Screenshot che mostra come modificare le impostazioni del gateway della rete privata virtuale.