Condividi tramite

Connettere l'hub di Azure Stack ad Azure tramite VPN

Questo articolo descrive come creare una VPN da sito a sito per connettere una rete virtuale nell'hub di Azure Stack a una rete virtuale in Azure.

Prima di iniziare

Per completare la configurazione della connessione, assicurarsi di disporre degli elementi seguenti prima di iniziare:

  • Distribuzione di sistemi integrati dell'hub di Azure Stack (multinodo) direttamente connessi a Internet. L'intervallo di indirizzi IP pubblici esterni deve essere raggiungibile direttamente dalla rete Internet pubblica.
  • Una sottoscrizione di Azure valida. Se non si ha una sottoscrizione di Azure, è possibile creare un account Azure gratuito qui.

Diagramma della connessione VPN

La figura seguente mostra come dovrebbe apparire la configurazione della connessione una volta completato il processo.

Configurazione della connessione VPN da sito a sito

Valori di esempio di configurazione di rete

La tabella degli esempi di configurazione di rete mostra i valori usati per esempi in questo articolo. È possibile usare questi valori oppure farvi riferimento per comprendere meglio gli esempi in questo articolo:

Valore Azure Stack Hub Azzurro
Nome della rete virtuale Azs-VNet AzureVNet
Spazio indirizzi rete virtuale 10.1.0.0/16 10.100.0.0/16
Nome della subnet FrontEnd FrontEnd
Intervallo di indirizzi subnet 10.1.0.0/24 10.100.0.0/24
Subnet di gateway 10.1.1.0/24 10.100.1.0/24

Creare le risorse di rete in Azure

Creare prima di tutto le risorse di rete per Azure. Le istruzioni seguenti illustrano come creare le risorse usando il portale di Azure.

Creare la rete virtuale e la subnet della macchina virtuale (VM)

  1. Accedere al portale di Azure con l'account di Azure.
  2. Nel portale utenti selezionare + Crea una risorsa.
  3. Passare a Marketplace e quindi selezionare Rete.
  4. Selezionare Rete virtuale.
  5. Usare le informazioni della tabella di configurazione di rete per identificare i valori per Nome di Azure, Spazio indirizzi, Nome subnet e Intervallo di indirizzi subnet.
  6. Per Gruppo di risorse creare un nuovo gruppo di risorse o, se ne è già disponibile uno, selezionare Usa esistente.
  7. Selezionare la posizione della rete virtuale. Se si usano i valori di esempio, selezionare Stati Uniti orientali o usare un'altra posizione.
  8. Selezionare Aggiungi al dashboard.
  9. Fare clic su Crea.

Creare la subnet del gateway

  1. Aprire la risorsa di rete virtuale creata (AzureVNet) dal dashboard.

  2. Nella sezione Impostazioni selezionare Subnet.

  3. Selezionare Gateway subnet per aggiungere una subnet gateway alla rete virtuale.

  4. Il nome della subnet è impostato su GatewaySubnet per impostazione predefinita.

    Importante

    Le subnet del gateway sono speciali e devono avere questo nome specifico per funzionare correttamente.

  5. Nel campo Intervallo di indirizzi verificare che l'indirizzo sia 10.100.1.0/24.

  6. Selezionare OK per creare la subnet del gateway.

Creare il gateway di rete virtuale

  1. Nel portale di Azure selezionare + Crea una risorsa.
  2. Passare a Marketplace e quindi selezionare Rete.
  3. Nell'elenco delle risorse di rete selezionare Gateway di rete virtuale.
  4. Nel campo Nome digitare Azure-GW.
  5. Per scegliere una rete virtuale, selezionare Rete virtuale. Seleziona quindi AzureVnet dall'elenco.
  6. Selezionare Indirizzo IP pubblico. Quando si apre la sezione Choose public IP address (Scegli indirizzo IP pubblico ) selezionare Create new (Crea nuovo).
  7. Nel campo Nome digitare Azure-GW-PiP e quindi selezionare OK.
  8. Verificare che la sottoscrizione e la località siano corrette. È possibile aggiungere la risorsa al dashboard. Fare clic su Crea.

Creare la risorsa per il gateway di rete locale

  1. Nel portale di Azure selezionare + Crea una risorsa.

  2. Passare a Marketplace e quindi selezionare Rete.

  3. Nell'elenco delle risorse selezionare Gateway di rete locale.

  4. Nel campo Nome digitare Azs-GW.

  5. Nel campo Indirizzo IP digitare l'indirizzo IP pubblico per il gateway di rete virtuale dell'hub di Azure Stack elencato in precedenza nella tabella di configurazione di rete.

  6. Nel campo Spazio indirizzi , dall'hub di Azure Stack, digitare lo spazio indirizzi 10.1.0.0/24 e 10.1.1.0/24 per AzureVNet.

  7. Verificare che la sottoscrizione, il gruppo di risorse e la località siano corrette e quindi selezionare Crea.

Creare la connessione

  1. Nel portale utenti selezionare + Crea una risorsa.

  2. Passare a Marketplace e quindi selezionare Rete.

  3. Nell'elenco delle risorse selezionare Connessione.

  4. Nella sezione Impostazioni di base scegliere Da sito a sito (IPSec) per Tipo di connessione.

  5. Selezionare la sottoscrizione, il gruppo di risorse e la località e quindi selezionare OK.

  6. Nella sezione Impostazioni selezionare Gateway di rete virtuale e quindi Azure-GW.

  7. Selezionare Gateway di rete locale e quindi Azs-GW.

  8. In Nome connessione digitare Azure-Azs.

  9. In Chiave condivisa (PSK) digitare 12345 e quindi selezionare OK.

    Annotazioni

    Se si usa un valore diverso per la chiave condivisa, tenere presente che deve corrispondere al valore per la chiave condivisa creata nell'altra estremità della connessione.

  10. Esaminare la sezione Riepilogo e quindi selezionare OK.

Creare una politica IPSec personalizzata

È necessario un criterio IPSec personalizzato affinché Azure corrisponda all'hub di Azure Stack.

  1. Creare un criterio personalizzato:

    $IPSecPolicy = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup ECP384  `
-IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256 -PfsGroup ECP384 -SALifeTimeSeconds 27000 `
-SADataSizeKilobytes 102400000

  2. Applicare la politica alla connessione:

    $Connection = Get-AzVirtualNetworkGatewayConnection -Name myTunnel -ResourceGroupName myRG
Set-AzVirtualNetworkGatewayConnection -IpsecPolicies $IPSecPolicy -VirtualNetworkGatewayConnection $Connection

Creare una macchina virtuale

Creare ora una macchina virtuale in Azure e inserirla nella subnet della macchina virtuale nella rete virtuale.

  1. Nel portale di Azure selezionare + Crea una risorsa.

  2. Passare a Marketplace e quindi selezionare Calcolo.

  3. Nell'elenco di immagini di macchine virtuali selezionare l'immagine Eval di Windows Server 2016 Datacenter .

  4. Nella sezione Informazioni di base digitare AzureVM in Nome.

  5. Digitare un nome utente e una password validi. Questo account viene usato per accedere alla macchina virtuale dopo la creazione.

  6. Specificare una sottoscrizione, un gruppo di risorse e una località e quindi selezionare OK.

  7. Nella sezione Dimensioni selezionare le dimensioni della macchina virtuale per questa istanza e quindi selezionare Seleziona.

  8. Nella sezione Impostazioni è possibile usare le impostazioni predefinite. Prima di selezionare OK, verificare che:

    • È selezionata la rete virtuale AzureVnet .
    • La subnet è impostata su 10.100.0.0/24.

    Seleziona OK.

  9. Esaminare le impostazioni nella sezione Riepilogo e quindi selezionare OK.

Creare le risorse di rete nell'hub di Azure Stack

Creare quindi le risorse di rete nell'hub di Azure Stack.

Accedere come utente

Un amministratore del servizio può accedere come utente per testare i piani, le offerte e le sottoscrizioni che gli utenti potrebbero usare. Se non è già disponibile, creare un account utente prima di eseguire l'accesso .

Creare la rete virtuale e una subnet vm

  1. Usare un account utente per accedere al portale degli utenti.

  2. Nel portale utenti selezionare + Crea una risorsa.

    Creare una nuova rete virtuale

  3. Passare a Marketplace e quindi selezionare Rete.

  4. Selezionare Rete virtuale.

  5. Per Nome, Spazio indirizzi, Nome subnet e Intervallo di indirizzi subnet, usare i valori dalla tabella di configurazione di rete.

  6. In Sottoscrizione viene visualizzata la sottoscrizione creata in precedenza.

  7. Per Gruppo di risorse è possibile creare un gruppo di risorse o, se ne è già disponibile uno, selezionare Usa esistente.

  8. Verificare il percorso predefinito.

  9. Selezionare Aggiungi al dashboard.

  10. Fare clic su Crea.

Creare la subnet del gateway

  1. Nel dashboard apri la risorsa di rete virtuale Azs-VNet creata.

  2. Nella sezione Impostazioni selezionare Subnet.

  3. Per aggiungere un gateway subnet alla rete virtuale, selezionare Gateway Subnet.

    Aggiungere una subnet del gateway

  4. Per impostazione predefinita, il nome della subnet è impostato su GatewaySubnet. Affinché le subnet del gateway funzionino correttamente, devono usare il nome GatewaySubnet .

  5. In Intervallo di indirizzi verificare che l'indirizzo sia 10.1.1.0/24.

  6. Selezionare OK per creare la subnet del gateway.

Creare il gateway di rete virtuale

  1. Nel portale dell'hub di Azure Stack selezionare + Crea una risorsa.

  2. Passare a Marketplace e quindi selezionare Rete.

  3. Nell'elenco delle risorse di rete selezionare Gateway di rete virtuale.

  4. In Nome digitare Azs-GW.

  5. Selezionare l'elemento Rete virtuale per scegliere una rete virtuale. Selezionare Azs-VNet nell'elenco.

  6. Selezionare la voce di menu Indirizzo IP pubblico . Quando si apre la sezione Choose public IP address (Scegli indirizzo IP pubblico ) selezionare Create new (Crea nuovo).

  7. In Nome digitare Azs-GW-PiP e quindi selezionare OK.

  8. Per impostazione predefinita, l'opzione Basata su route è selezionata per il tipo di VPN. Mantenere il tipo di VPN route-based.

  9. Verificare che la sottoscrizione e la località siano corrette. È possibile aggiungere la risorsa al dashboard. Fare clic su Crea.

Creare il gateway di rete locale

Il concetto di gateway di rete locale nell'hub di Azure Stack è diverso da quello di una distribuzione di Azure.

In una distribuzione di Azure un gateway di rete locale rappresenta un dispositivo fisico locale (nel percorso utente) connesso a un gateway di rete virtuale in Azure. Tuttavia, nell'hub di Azure Stack entrambe le estremità della connessione sono gateway di rete virtuale.

Una descrizione più generica è che la risorsa di gateway della rete locale indica sempre il gateway remoto all'estremità opposta della connessione.

Creare la risorsa per il gateway di rete locale

  1. Accedere al portale dell'hub di Azure Stack.

  2. Nel portale utenti selezionare + Crea una risorsa.

  3. Passare a Marketplace e quindi selezionare Rete.

  4. Nell'elenco delle risorse selezionare gateway di rete locale.

  5. Nel campo Nome digitare Azure-GW.

  6. Nel campo Indirizzo IP digitare l'indirizzo IP pubblico per il gateway di rete virtuale in Azure-GW-PiP. Questo indirizzo viene visualizzato in precedenza nella tabella di configurazione di rete.

  7. Nel campo Spazio indirizzi, per lo spazio indirizzi della rete virtuale di Azure che hai creato, digitare 10.100.0.0/24 e 10.100.1.0/24.

  8. Verificare che i valori di sottoscrizione, gruppo di risorse e località siano corretti e quindi selezionare Crea.

Creare la connessione

  1. Nel portale utenti selezionare + Crea una risorsa.

  2. Passare a Marketplace e quindi selezionare Rete.

  3. Nell'elenco delle risorse selezionare Connessione.

  4. Nella sezione Impostazioni di base selezionare Da sito a sito (IPSec) per Tipo di connessione.

  5. Selezionare la sottoscrizione, il gruppo di risorse e la località e quindi selezionare OK.

  6. Nella sezione Impostazioni selezionare Gateway di rete virtuale e quindi Azs-GW.

  7. Selezionare Gateway di rete locale e quindi Azure-GW.

  8. In Nome connessione digitare Azs-Azure.

  9. In Chiave condivisa (PSK) digitare 12345 e quindi selezionare OK.

  10. Nella sezione Riepilogo selezionare OK.

Creare una macchina virtuale

Per controllare la connessione VPN, creare due macchine virtuali: una in Azure e una nell'hub di Azure Stack. Dopo aver creato queste macchine virtuali, è possibile usarle per inviare e ricevere dati tramite il tunnel VPN.

  1. Nel portale di Azure selezionare + Crea una risorsa.

  2. Passare a Marketplace e quindi selezionare Calcolo.

  3. Nell'elenco di immagini di macchine virtuali selezionare l'immagine Eval di Windows Server 2016 Datacenter .

  4. Nella sezione Informazioni di base digitare Azs-VM in Nome.

  5. Digitare un nome utente e una password validi. Questo account viene usato per accedere alla macchina virtuale dopo la creazione.

  6. Specificare una sottoscrizione, un gruppo di risorse e una località e quindi selezionare OK.

  7. Nella sezione Dimensioni , per questa istanza, selezionare le dimensioni di una macchina virtuale e quindi selezionare Seleziona.

  8. Nella sezione Impostazioni accettare le impostazioni predefinite. Assicurarsi che sia selezionata la rete virtuale Azs-VNet . Verificare che la subnet sia impostata su 10.1.0.0/24. Quindi, seleziona OK.

  9. Nella sezione Riepilogo esaminare le impostazioni e quindi selezionare OK.

Testare la connessione

Dopo aver stabilito la connessione da sito a sito, è necessario verificare che sia possibile ottenere il flusso di dati in entrambe le direzioni. Il modo più semplice per testare la connessione consiste nell'eseguire un test ping:

  • Accedere alla macchina virtuale creata nell'hub di Azure Stack ed eseguire il ping della macchina virtuale in Azure.
  • Accedere alla macchina virtuale creata in Azure ed eseguire il ping della macchina virtuale nell'hub di Azure Stack.

Annotazioni

Per assicurarsi di inviare traffico tramite la connessione da sito a sito, effettuare il ping dell'indirizzo IP diretto (DIP) della macchina virtuale nella subnet remota, non l'indirizzo VIP.

Accedere alla macchina virtuale dell'utente nell'hub di Azure Stack

  1. Accedere al portale dell'hub di Azure Stack.

  2. Nella barra di spostamento a sinistra selezionare Macchine virtuali.

  3. Nell'elenco delle macchine virtuali trovare Azs-VM creato in precedenza e quindi selezionarlo.

  4. Nella sezione relativa alla macchina virtuale selezionare Connetti e quindi aprire il file Azs-VM.rdp.

    Pulsante Connetti

  5. Accedere con l'account configurato al momento della creazione della macchina virtuale.

  6. Aprire una richiesta di Windows PowerShell con privilegi elevati.

  7. Digitare ipconfig /all.

  8. Nell'output trovare l'indirizzo IPv4 e quindi salvare l'indirizzo per usarlo in un secondo momento. Questo è l'indirizzo di cui si effettua il ping da Azure. Nell'ambiente di esempio l'indirizzo è 10.1.0.4, ma nell'ambiente potrebbe essere diverso. Deve rientrare nella subnet 10.1.0.0/24 creata in precedenza.

  9. Per creare una regola del firewall che consente alla macchina virtuale di rispondere ai ping, eseguire il comando di PowerShell seguente:

    New-NetFirewallRule `
 -DisplayName "Allow ICMPv4-In" `
 -Protocol ICMPv4

Effettuare l'accesso alla macchina virtuale del tenant in Azure

  1. Accedere al portale di Azure.

  2. Nella barra di spostamento a sinistra selezionare Macchine virtuali.

  3. Nell'elenco delle macchine virtuali trovare Azure-VM create in precedenza e quindi selezionarlo.

  4. Nella sezione relativa alla macchina virtuale selezionare Connetti.

  5. Accedere con l'account configurato al momento della creazione della macchina virtuale.

  6. Aprire una finestra di Windows PowerShell con privilegi elevati.

  7. Digitare ipconfig /all.

  8. Verrà visualizzato un indirizzo IPv4 compreso tra 10.100.0.0/24. Nell'ambiente di esempio l'indirizzo è 10.100.0.4, ma l'indirizzo potrebbe essere diverso.

  9. Per creare una regola del firewall che consente alla macchina virtuale di rispondere ai ping, eseguire il comando di PowerShell seguente:

    New-NetFirewallRule `
 -DisplayName "Allow ICMPv4-In" `
 -Protocol ICMPv4

  10. Dalla macchina virtuale in Azure eseguire il ping della macchina virtuale nell'hub di Azure Stack, attraverso il tunnel. Per fare ciò, esegui il ping del DIP che hai registrato da Azs-VM. Nell'ambiente di esempio, si tratta di 10.1.0.4, ma assicurarsi di effettuare il ping dell'indirizzo annotato nel lab. Verrà visualizzato un risultato simile all'acquisizione dello schermo seguente:

    Ping riuscito

  11. Una risposta dalla macchina virtuale remota indica un test riuscito. È possibile chiudere la finestra della macchina virtuale.

È anche consigliabile eseguire test di trasferimento dei dati più rigorosi, ad esempio copiando file di dimensioni diverse in entrambe le direzioni.

Visualizzazione delle statistiche di trasferimento dei dati tramite la connessione gateway

Per conoscere la quantità di dati che passano attraverso la connessione da sito a sito, queste informazioni sono disponibili nella sezione Connessione . Questo test è anche un altro modo per verificare il ping appena inviato è stato effettivamente passato attraverso la connessione VPN.

  1. Durante l'accesso alla macchina virtuale utente nell'hub di Azure Stack, usare l'account utente per accedere al portale utenti.

  2. Passare a Tutte le risorse e quindi selezionare la connessione Azs-Azure . Viene visualizzata la finestra Connessioni .

  3. Nella sezione Connessione vengono visualizzate le statistiche per Dati in e Dati in uscita . Nella schermata di acquisizione seguente, i numeri elevati vengono attribuiti al trasferimento di file aggiuntivo. Verranno visualizzati alcuni valori diversi da zero.

    Dati in entrata e in uscita

Passaggi successivi