Condividi tramite

Preparare la connessione del gateway di comunicazione di Azure alla propria rete virtuale (anteprima)

  • Articolo

Questo articolo descrive i passaggi necessari per connettere un gateway di comunicazione di Azure alla propria rete virtuale usando l'inserimento della rete virtuale per Gateway di comunicazione di Azure (anteprima). Questa procedura è necessaria per distribuire Il gateway di comunicazione di Azure in una subnet che si controlla e viene usata per la connessione della rete locale con il peering privato ExpressRoute o tramite un Gateway VPN di Azure. Il gateway di comunicazione di Azure ha due aree di servizio con la propria connettività, il che significa che è necessario fornire reti virtuali e subnet in ognuna di queste aree.

Il diagramma seguente illustra una panoramica del gateway di comunicazione di Azure distribuito con l'inserimento di reti virtuali. Le interfacce di rete nel gateway di comunicazione di Azure rivolte alla rete vengono distribuite nella subnet, mentre le interfacce di rete rivolte ai servizi di comunicazione back-end rimangono gestite da Microsoft.

Diagramma di rete che mostra il gateway di comunicazione di Azure distribuito in due aree di Azure. La risorsa gateway di comunicazione di Azure in ogni area si connette a una rete virtuale Operatore con indirizzi IP controllati dall'operatore.

Prerequisiti

  • Ottenere la sottoscrizione di Azure abilitata per Il gateway di comunicazione di Azure.
  • Informare il team di onboarding che si intende usare le proprie reti virtuali.
  • Creare una rete virtuale di Azure in ognuna delle aree di Azure da usare come aree del servizio Gateway di comunicazione di Azure. Informazioni su come creare una rete virtuale.
  • Creare una subnet in ogni rete virtuale di Azure per l'uso esclusivo di Gateway di comunicazione di Azure. Queste subnet devono avere almeno 16 indirizzi IP (un intervallo IPv4 /28 o superiore). Nessun altro elemento deve usare questa subnet. Informazioni su come creare una subnet.
  • Assicurarsi che l'account Azure abbia il ruolo Collaboratore rete o padre di questo ruolo nelle reti virtuali.
  • Distribuire la soluzione di connettività scelta (ad esempio ExpressRoute) nella sottoscrizione di Azure e assicurarsi che sia pronta per l'uso.

Suggerimento

Le distribuzioni di lab hanno una sola area del servizio, quindi è sufficiente configurare una singola area durante questa procedura.

Delegare le subnet della rete virtuale

Per usare la rete virtuale con Il gateway di comunicazione di Azure, è necessario delegare le subnet al gateway di comunicazione di Azure. La delega della subnet concede autorizzazioni esplicite al gateway di comunicazione di Azure per creare risorse specifiche del servizio, ad esempio le interfacce di rete (NIC), nelle subnet.

Seguire questa procedura per delegare le subnet da usare con il gateway di comunicazione di Azure:

  1. Passare alle reti virtuali e selezionare la rete virtuale da usare nella prima area del servizio per Il gateway di comunicazione di Azure.

  2. Selezionare subnet.

  3. Selezionare una subnet da delegare al gateway di comunicazione di Azure.

    Importante

    La subnet usata deve essere dedicata al gateway di comunicazione di Azure.

  4. In Delegare la subnet a un servizio selezionare Microsoft.AzureCommunicationsGateway/networkSettings e quindi selezionare Salva.

  5. Verificare che Microsoft.AzureCommunicationsGateway/networkSettings sia visualizzato nella colonna Delegated to per la subnet.

  6. Ripetere i passaggi precedenti per la rete virtuale e la subnet nell'altra area del servizio Gateway di comunicazione di Azure.

Configurare i gruppi di sicurezza di rete

Quando si connette il gateway di comunicazione di Azure alle reti virtuali, è necessario configurare un gruppo di sicurezza di rete (NSG) per consentire al traffico dalla rete di raggiungere il gateway di comunicazione di Azure. Un NSG contiene le regole di controllo di accesso che consentono o negano il traffico in base alla direzione del traffico, al protocollo, all’indirizzo e alla porta di origine e all’indirizzo e alla porta di destinazione.

Le regole di un gruppo di sicurezza di rete possono essere modificate in qualsiasi momento e le modifiche vengono applicate a tutte le istanze associate. Potrebbero essere necessari fino a 10 minuti affinché le modifiche del gruppo di sicurezza di rete abbiano effetto.

Importante

Se non si configura un gruppo di sicurezza di rete, il traffico non sarà in grado di accedere alle interfacce di rete del gateway di comunicazione di Azure.

La configurazione del gruppo di sicurezza di rete è costituita da due passaggi, da eseguire in ogni area del servizio:

  1. Creare un gruppo di sicurezza di rete che consenta il traffico desiderato.
  2. Associare il gruppo di sicurezza di rete alle subnet della rete virtuale.

È possibile usare un gruppo di sicurezza di rete per controllare il traffico verso una o più istanze di macchina virtuale, le istanze del ruolo, le schede di rete (NIC) o i subnet in una rete virtuale. Un NSG contiene le regole di controllo di accesso che consentono o negano il traffico in base alla direzione del traffico, al protocollo, all’indirizzo e alla porta di origine e all’indirizzo e alla porta di destinazione. Le regole di un gruppo di sicurezza di rete possono essere modificate in qualsiasi momento e le modifiche vengono applicate a tutte le istanze associate.

Per ulteriori informazioni su NSGs, visitare Informazioni su NSG.

Creare il gruppo di sicurezza di rete pertinente

Collaborare con il team di onboarding per determinare la configurazione corretta del gruppo di sicurezza di rete per le reti virtuali. Questa configurazione dipende dalla scelta della connettività( ad esempio ExpressRoute) e dalla topologia della rete virtuale.

La configurazione del gruppo di sicurezza di rete deve consentire il traffico verso gli intervalli di porte necessari usati da Gateway di comunicazione di Azure.

Suggerimento

È possibile usare le raccomandazioni per i gruppi di sicurezza di rete per garantire che la configurazione corrisponda alle procedure consigliate per la sicurezza.

Associare la subnet al gruppo di sicurezza di rete

  1. Passare al gruppo di sicurezza di rete e selezionare Subnet.
  2. Selezionare + Associa nella barra dei menu in alto.
  3. In Rete virtuale, selezionare la rete virtuale richiesta.
  4. Per Subnetselezionare la subnet della rete virtuale.
  5. Selezionare OK per associare la subnet di rete virtuale al gruppo di sicurezza di rete.
  6. Ripetere questi passaggi per l'altra area del servizio.

Passaggio successivo

Preparare la distribuzione di Gateway di comunicazione di Azure