Creare un gateway VPN con l'interfaccia della riga di comando

Questo articolo illustra come creare un gateway VPN di Azure usando l'interfaccia della riga di comando di Azure. Il gateway VPN viene usato quando si crea una connessione VPN alla rete locale. È anche possibile usare un gateway VPN per connettere reti virtuali. Per informazioni più complete su alcune delle impostazioni illustrate in questo articolo, vedere Creare un gateway VPN-portale.

• Sul lato sinistro del diagramma vengono mostrati la rete virtuale e il gateway VPN creati seguendo i passaggi descritti in questo articolo.
• In seguito, è possibile aggiungere diversi tipi di connessioni, come viene mostrato nella parte destra del diagramma. Ad esempio, è possibile creare connessioni da sito a sito e da punto a sito. Per visualizzare le diverse architetture di progettazione che è possibile creare, vedere Progettazione di gateway VPN.

I passaggi descritti in questo articolo creano una rete virtuale, una subnet, una subnet del gateway e un gateway VPN attivo-attivo con ridondanza della zona e con ridondanza della zona (gateway di rete virtuale) usando lo SKU VpnGw2AZ di seconda generazione. I passaggi descritti in questo articolo creano una rete virtuale, una subnet, una subnet del gateway e un gateway VPN attivo-attivo con ridondanza della zona e con ridondanza della zona (gateway di rete virtuale) usando lo SKU VpnGw2AZ di seconda generazione. Dopo aver creato il gateway, è possibile configurare le connessioni.

• Se invece si vuole creare un gateway VPN usando lo SKU Basic, vedere Creare un gateway VPN con SKU Basic.
• È consigliabile creare un gateway VPN in modalità attiva quando possibile. I gateway VPN in modalità attiva offrono una disponibilità e prestazioni migliori rispetto ai gateway VPN in modalità standard. Per altre informazioni sui gateway attivi-attivi, vedere Informazioni sui gateway in modalità active-active.
• Per informazioni sulle zone di disponibilità e sui gateway con ridondanza della zona, vedere Che cosa sono le zone di disponibilità?

Nota

Nei passaggi descritti in questo articolo viene usato lo SKU del gateway VpnGw2AZ, che supporta le zone di disponibilità di Azure. Se le zone di disponibilità non sono supportate per l'area, usare invece uno SKU non AZ. Per informazioni sugli SKU, vedere Informazioni sugli SKU del gateway.

Operazioni preliminari

Questi passaggi richiedono una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Prerequisiti

• Usare l'ambiente Bash in Azure Cloud Shell. Per altre informazioni, vedere Avvio rapido su Bash in Azure Cloud Shell.

  

• Se si preferisce eseguire i comandi di riferimento dell'interfaccia della riga di comando in locale, installare l'interfaccia della riga di comando di Azure. Per l'esecuzione in Windows o macOS, è consigliabile eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker. Per altre informazioni, vedere Come eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker.

  • Se si usa un'installazione locale, accedere all'interfaccia della riga di comando di Azure con il comando az login. Per completare il processo di autenticazione, seguire la procedura visualizzata nel terminale. Per altre opzioni di accesso, vedere Accedere tramite l'interfaccia della riga di comando di Azure.

  • Quando richiesto, al primo utilizzo installare l'estensione dell'interfaccia della riga di comando di Azure. Per altre informazioni sulle estensioni, vedere Usare le estensioni con l'interfaccia della riga di comando di Azure.

  • Eseguire az version per trovare la versione e le librerie dipendenti installate. Per eseguire l'aggiornamento alla versione più recente, eseguire az upgrade.

• Questo articolo richiede l'interfaccia della riga di comando di Azure versione 2.0.4 o successiva. Se si usa Azure Cloud Shell, la versione più recente è già installata.

Creare un gruppo di risorse

Creare un gruppo di risorse con il comando az group create. Un gruppo di risorse è un contenitore logico in cui vengono distribuite e gestite le risorse di Azure.

az group create --name TestRG1 --location eastus

Creare una rete virtuale

Se non si ha già una rete virtuale, crearne una usando il comando az network vnet create. Quando si crea una rete virtuale, assicurarsi che gli spazi indirizzi specificati non si sovrappongano ad alcuno degli spazi indirizzi presenti nella rete locale. Se esiste un intervallo di indirizzi duplicato su entrambi i lati della connessione VPN, il traffico non instrada il modo in cui potrebbe essere previsto. Inoltre, se si vuole connettere questa rete virtuale a un'altra rete virtuale, lo spazio indirizzi non può sovrapporsi ad altre reti virtuali. Pianificare quindi con attenzione la configurazione della rete.

Nell'esempio seguente viene creata una rete virtuale denominata "VNet1" e una subnet "FrontEnd". La subnet FrontEnd non viene usata in questo esercizio. È possibile sostituire il nome della subnet.

az network vnet create \
  -n VNet1 \
  -g TestRG1 \
  -l eastus \
  --address-prefix 10.1.0.0/16 \
  --subnet-name FrontEnd \
  --subnet-prefix 10.1.0.0/24

Aggiungere una subnet del gateway

Le risorse del gateway di rete virtuale vengono distribuite in una subnet specifica denominata GatewaySubnet. La subnet del gateway è inclusa nell'intervallo di indirizzi IP della rete virtuale specificato durante la configurazione della rete virtuale.

Se non si ha una subnet denominata GatewaySubnet, quando si crea il gateway VPN, l'operazione ha esito negativo. È consigliabile creare una subnet del gateway che usa /27 (o superiore). Ad esempio, /27 o /26. Per altre informazioni, vedere impostazioni Gateway VPN - Subnet del gateway.

Importante

I gruppi di sicurezza di rete nella subnet del gateway non sono supportati. Se si associa un gruppo di sicurezza di rete a tale subnet, il gateway della rete virtuale (VPN e gateway Express Route) potrebbe smettere di funzionare come previsto. Per altre informazioni sui gruppi di sicurezza di rete, vedere Che cos'è un gruppo di sicurezza di rete.

Usare l'esempio seguente per aggiungere una subnet del gateway:

az network vnet subnet create \
  --vnet-name VNet1 \
  -n GatewaySubnet \
  -g TestRG1 \
  --address-prefix 10.1.255.0/27 

Richiedere indirizzi IP pubblici

Un gateway VPN deve avere un indirizzo IP pubblico. Si tratta dell'indirizzo IP specificato durante la creazione di una connessione in un gateway VPN. Per i gateway in modalità active-active, ogni istanza del gateway ha una propria risorsa indirizzo IP pubblico. È necessario richiedere prima di tutto la risorsa dell'indirizzo IP e quindi farvi riferimento durante la creazione del gateway di rete virtuale. Inoltre, per qualsiasi SKU del gateway che termina con AZ, è necessario specificare anche l'impostazione Zona. In questo esempio viene specificata una configurazione con ridondanza della zona perché specifica tutte e tre le zone a livello di area.

L'indirizzo IP viene assegnato alla risorsa quando viene creato il gateway VPN. L'unica volta in cui l'indirizzo IP pubblico viene modificato è quando il gateway viene eliminato e creato di nuovo. Non viene modificato in caso di ridimensionamento, reimpostazione o altre manutenzioni/aggiornamenti del gateway VPN.

Usare il comando az network public-ip create per richiedere un indirizzo IP pubblico:

az network public-ip create --name VNet1GWpip1 --resource-group TestRG1 --allocation-method Static --sku Standard --version IPv4 --zone 1 2 3

Per creare un gateway attivo-attivo (scelta consigliata), richiedere un secondo indirizzo IP pubblico:

az network public-ip create --name VNet1GWpip2 --resource-group TestRG1 --allocation-method Static --sku Standard --version IPv4 --zone 1 2 3

Creare il gateway VPN

La creazione di un gateway spesso richiede anche più di 45 minuti di tempo a seconda dello SKU gateway selezionato. Dopo aver creato il gateway, è possibile creare una connessione tra la rete virtuale e il percorso locale. In alternativa, creare una connessione tra la rete virtuale e un'altra rete virtuale.

Creare il gateway VPN usando il comando az network vnet-gateway create. Se si esegue questo comando usando il parametro --no-wait, non viene visualizzato alcun output o commento. Il parametro --no-wait consente la creazione in background del gateway. Questo non significa che il gateway VPN sia creato immediatamente. Per creare un gateway usando uno SKU diverso, vedere Informazioni sugli SKU del gateway per determinare lo SKU più adatto ai requisiti di configurazione.

Gateway in modalità active-active

az network vnet-gateway create --name VNet1GW --public-ip-addresses VNet1GWpip1 VNet1GWpip2 --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw2AZ --vpn-gateway-generation Generation2 --no-wait

Gateway in modalità standby attivo

az network vnet-gateway create --name VNet1GW --public-ip-addresses VNet1GWpip1 --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw2AZ --vpn-gateway-generation Generation2 --no-wait

La creazione di un gateway VPN può richiedere almeno 45 minuti.

Visualizzare il gateway VPN

az network vnet-gateway show \
  -n VNet1GW \
  -g TestRG1

Visualizzare gli indirizzi IP del gateway

A ogni istanza del gateway VPN viene assegnata una risorsa indirizzo IP pubblico. Per visualizzare l'indirizzo IP associato alla risorsa, usare il comando seguente. Ripetere per ogni istanza del gateway.

az network public-ip show -g TestRG1 -n VNet1GWpip1

Pulire le risorse

Quando le risorse create non sono più necessarie, usare il comando az group delete per eliminare il gruppo di risorse. Il comando elimina il gruppo di risorse e tutte le risorse in esso contenute.

az group delete --name TestRG1 --yes

Passaggi successivi

Dopo aver creato il gateway, è possibile configurare le connessioni.

• Creare una connessione da sito a sito
• Creare una connessione a un'altra rete virtuale
• Creare una connessione da punto a sito