Creare una rete virtuale con crittografia

La crittografia della rete virtuale di Azure è una funzionalità della rete virtuale di Azure. Con la crittografia della rete virtuale, è possibile crittografare e decrittografare facilmente il traffico di rete interno in rete, con un effetto minimo sulle prestazioni e sulla scalabilità. Rete virtuale crittografia protegge i dati che attraversano la rete virtuale dalla macchina virtuale alla macchina virtuale.

Prerequisiti

Portale

Un account Azure con una sottoscrizione attiva. Crearne una gratuitamente.

PowerShell

• Avere a disposizione un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.

• Installare Azure PowerShell in locale o usare Azure Cloud Shell.

• Accedere ad Azure PowerShell e selezionare la sottoscrizione con cui si vuole usare questa funzionalità. Per altre informazioni, vedere Accedere con Azure PowerShell.

• Verificare che il modulo Az.Network sia 4.3.0 o versione successiva. Per verificare il modulo installato, usare il comando Get-InstalledModule -Name Az.Network. Se il modulo richiede un aggiornamento, usare il comando Update-Module -Name Az.Network, se necessario.

Se si sceglie di installare e usare PowerShell in locale, per questo articolo è necessario il modulo Azure PowerShell 5.4.1 o versione successiva. Eseguire Get-Module -ListAvailable Az per trovare la versione installata. Se è necessario eseguire l'aggiornamento, vedere Installare e configurare Azure PowerShell. Se si esegue PowerShell in locale, è anche necessario eseguire Connect-AzAccount per creare una connessione con Azure.

CLI

• Un account Azure con una sottoscrizione attiva. Crearne una gratuitamente.

• Usare l'ambiente Bash in Azure Cloud Shell. Per altre informazioni, vedere Avvio rapido su Bash in Azure Cloud Shell.

  

• Se si preferisce eseguire i comandi di riferimento dell'interfaccia della riga di comando in locale, installare l'interfaccia della riga di comando di Azure. Per l'esecuzione in Windows o macOS, è consigliabile eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker. Per altre informazioni, vedere Come eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker.

  • Se si usa un'installazione locale, accedere all'interfaccia della riga di comando di Azure con il comando az login. Per completare il processo di autenticazione, seguire la procedura visualizzata nel terminale. Per altre opzioni di accesso, vedere Accedere tramite l'interfaccia della riga di comando di Azure.

  • Quando richiesto, al primo utilizzo installare l'estensione dell'interfaccia della riga di comando di Azure. Per altre informazioni sulle estensioni, vedere Usare le estensioni con l'interfaccia della riga di comando di Azure.

  • Eseguire az version per trovare la versione e le librerie dipendenti installate. Per eseguire l'aggiornamento alla versione più recente, eseguire az upgrade.

• Questo articolo richiede la versione 2.31.0 o successiva dell'interfaccia della riga di comando di Azure. Se si usa Azure Cloud Shell, la versione più recente è già installata.

Creare una rete virtuale

Portale

La procedura seguente crea una rete virtuale con una subnet della risorsa.

1. Nel portale cercare e selezionare Reti virtuali.

2. Nella pagina Reti virtuali selezionare + Crea.

3. Nella scheda Informazioni di base di Crea rete virtuale immettere o selezionare le informazioni seguenti:

   Impostazione	Valore
   Dettagli di progetto
   Subscription	Selezionare la propria sottoscrizione.
   Gruppo di risorse	Selezionare Crea nuovo. Immettere test-rg in Nome. Selezionare OK.
   Dettagli istanza
   Nome	Immettere vnet-1.
   Paese	Selezionare Stati Uniti orientali 2.

   

4. Selezionare Avanti per passare alla scheda Sicurezza.

5. Selezionare Avanti per passare alla scheda Indirizzi IP.

6. Nella casella spazio indirizzi in Subnet selezionare la subnet predefinita.

7. Nel riquadro Modifica subnet immettere o selezionare le informazioni seguenti:

   Impostazione	Valore
   Dettagli subnet
   Modello di subnet	Lasciare l'impostazione predefinita Predefinito.
   Nome	Immettere subnet-1.
   Indirizzo iniziale	Lasciare l'impostazione predefinita 10.0.0.0.
   Dimensioni della subnet	Lasciare l'impostazione predefinita /24(256 indirizzi).

   

8. Seleziona Salva.

9. Selezionare Rivedi e crea nella parte inferiore della schermata. Al termine della convalida selezionare Crea.

PowerShell

Creare un gruppo di risorse con New-AzResourceGroup denominato test-rg nel percorso eastus2.

$rg =@{
    Name = 'test-rg'
    Location = 'eastus2'
}
New-AzResourceGroup @rg

Usare New-AzVirtualNetwork e New-AzVirtualNetworkSubnetConfig per creare una rete virtuale.

## Create backend subnet config ##
$subnet = @{
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
}
$subnetConfig = New-AzVirtualNetworkSubnetConfig @subnet 

## Create the virtual network ##
$net = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
    AddressPrefix = '10.0.0.0/16'
    Subnet = $subnetConfig
    EnableEncryption = 'true'
    EncryptionEnforcementPolicy = 'AllowUnencrypted'
}
New-AzVirtualNetwork @net

CLI

Creare un gruppo di risorse con az group create denominato test-rg nel percorso eastus2.

  az group create \
    --name test-rg \
    --location eastus2

Usare az network vnet create per creare una rete virtuale.

  az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-1 \
    --enable-encryption true \
    --encryption-enforcement-policy allowUnencrypted \
    --address-prefixes 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.0.0.0/24 

Importante

Per crittografare il traffico, la crittografia della rete virtuale richiede le versioni supportate delle macchine virtuali nella rete virtuale. L'impostazione dropUnencrypted elimina il traffico tra le versioni delle macchine virtuali non supportate, se vengono distribuite nella rete virtuale. Per altre informazioni, vedere Requisiti di crittografia della rete virtuale di Azure.

Abilitare la crittografia in una rete virtuale

Portale

Usare la procedura seguente per abilitare la crittografia per una rete virtuale.

1. Nella casella di ricerca nella parte superiore del portale iniziare a immettere Reti virtuali. Selezionare Reti virtuali quando viene visualizzato nei risultati della ricerca.

2. Selezionare vnet-1 per aprire il riquadro vnet-1.

3. Nel menu del servizio selezionare Panoramica, quindi selezionare la scheda Proprietà.

4. In Crittografia selezionare Disabilitato.

   

5. Selezionare la casella, accanto a Crittografia rete virtuale.

6. Seleziona Salva.

PowerShell

È inoltre possibile abilitare la crittografia in una rete virtuale esistente usando Set-AzVirtualNetwork. Questo passaggio non è necessario se la rete virtuale è stata creata con la crittografia abilitata nei passaggi precedenti.

## Place the virtual network configuration into a variable. ##
$net = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$vnet = Get-AzVirtualNetwork @net

## Enable encryption on the virtual network ##
$vnet.Encryption = @{
    Enabled = 'true'
    Enforcement = 'allowUnencrypted'
}
$vnet | Set-AzVirtualNetwork

CLI

È inoltre possibile abilitare la crittografia in una rete virtuale esistente usando az network vnet update. Questo passaggio non è necessario se la rete virtuale è stata creata con la crittografia abilitata nei passaggi precedenti.

  az network vnet update \
    --resource-group test-rg \
    --name vnet-1 \
    --enable-encryption true \
    --encryption-enforcement-policy allowUnencrypted

Verificare che la crittografia sia abilitata

Portale

1. Nella casella di ricerca nella parte superiore del portale iniziare a immettere Reti virtuali. Selezionare Reti virtuali quando viene visualizzato nei risultati della ricerca.

2. Selezionare vnet-1 per aprire il riquadro vnet-1.

3. Nel menu del servizio selezionare Panoramica, quindi selezionare la scheda Proprietà.

4. Verificare che Crittografia sia impostata su Abilitato.

   

PowerShell

Usare Get-AzVirtualNetwork per visualizzare il parametro di crittografia della rete virtuale creata in precedenza.

## Place the virtual network configuration into a variable. ##
$net = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$vnet = Get-AzVirtualNetwork @net

Per visualizzare il parametro per la crittografia, immettere le informazioni seguenti:

$vnet.Encryption

Enabled Enforcement
------- -----------
True   allowUnencrypted

CLI

Usare az network vnet show per visualizzare il parametro di crittografia della rete virtuale creata in precedenza.

  az network vnet show \
    --resource-group test-rg \
    --name vnet-1 \
    --query encryption \
    --output tsv

user@Azure:~$ az network vnet show \
    --resource-group test-rg \
    --name vnet-1 \
    --query encryption \
    --output tsv
True   AllowUnencrypted

Pulire le risorse

Portale

Quando le risorse create non sono più necessarie, è possibile eliminare il gruppo di risorse e tutte le risorse al suo interno.

1. Accedere al portale di Azure e selezionare Gruppi di risorse.

2. Nella pagina Gruppi di risorse selezionare il gruppo di risorse test-rg.

3. Nella pagina test-rg selezionare Elimina gruppo di risorse.

4. Immettere test-rg in Immettere il nome del gruppo di risorse per confermare l'eliminazione, quindi selezionare Elimina.

PowerShell

Quando questo gruppo di risorse non è più necessario, usare Remove-AzResourceGroup per rimuovere il gruppo di risorse e tutte le risorse in esso contenute.

$cleanup = @{
  Name  = "test-rg"
}
Remove-AzResourceGroup @cleanup -Force

CLI

Una volta terminato con la rete virtuale, usare az group delete per rimuovere il gruppo di risorse e tutte le relative risorse.

az group delete \
    --name test-rg \
    --yes

Contenuto correlato

• Per altre informazioni sulla rete virtuale, vedere Che cos'è la rete virtuale di Azure?.
• Per altre informazioni sulla crittografia di Rete virtuale, vedere Che cos'è la crittografia di Rete virtuale di Azure?.