Come creare un'appliance virtuale di rete in un hub della rete WAN virtuale di Azure

Questo articolo illustra come distribuire un'appliance virtuale di rete integrata in un hub di rete WAN virtuale di Azure.

Background

Le appliance virtuali di rete distribuite nell'hub rete WAN virtuale sono in genere suddivise in tre categorie:

• Appliance di connettività: usata per terminare le connessioni VPN e SD-WAN dall'ambiente locale. Le appliance di connettività usano BGP (Border Gateway Protocol) per scambiare route con l'hub rete WAN virtuale.
• Appliance NGFW (Next-Generation Firewall): usate con la finalità di routing per fornire un'ispezione in transito per il traffico che attraversa l'hub rete WAN virtuale.
• Connettività a doppio ruolo e appliance firewall: un singolo dispositivo che connette i dispositivi locali ad Azure e controlla il traffico che attraversa l'hub rete WAN virtuale con finalità di routing.

Per l'elenco delle appliance virtuali di rete che possono essere distribuite nell'hub rete WAN virtuale e le rispettive funzionalità, vedere rete WAN virtuale partner dell'appliance virtuale di rete.

Meccanismi di distribuzione

Le appliance virtuali di rete possono essere distribuite tramite un paio di flussi di lavoro diversi. Diversi partner dell'appliance virtuale di rete supportano meccanismi di distribuzione diversi. Ogni partner di appliance virtuale di rete integrato rete WAN virtuale supporta il flusso di lavoro dell'applicazione gestita di Azure Marketplace. Per informazioni su altri metodi di distribuzione, fare riferimento alla documentazione del provider di appliance virtuali di rete.

• Applicazione gestita di Azure Marketplace: tutti i partner di appliance virtuali di rete rete WAN virtuale usano applicazioni gestite di Azure per distribuire appliance virtuali di rete integrate nell'hub rete WAN virtuale. Le applicazioni gestite di Azure offrono un modo semplice per distribuire appliance virtuali di rete nell'hub rete WAN virtuale tramite un'esperienza di portale di Azure creata dal provider di appliance virtuali di rete. L'esperienza di portale di Azure raccoglie i parametri di configurazione e distribuzione critici necessari per distribuire e avviare l'appliance virtuale di rete. Per altre informazioni sulle applicazioni gestite di Azure, vedere la documentazione dell'applicazione gestita. Fare riferimento alla documentazione del provider sul flusso di lavoro di distribuzione completo tramite l'applicazione gestita di Azure.
• Distribuzioni dell'agente di orchestrazione dell'appliance virtuale di rete: alcuni partner dell'appliance virtuale di rete consentono di distribuire appliance virtuali di rete nell'hub direttamente dall'orchestrazione o dal software di gestione dell'appliance virtuale di rete. Le distribuzioni di appliance virtuali di rete dal software di orchestrazione dell'appliance virtuale di rete richiedono in genere di fornire un'entità servizio di Azure al software di orchestrazione dell'appliance virtuale di rete. L'entità servizio di Azure viene usata dal software di orchestrazione dell'appliance virtuale di rete per interagire con le API di Azure per distribuire e gestire appliance virtuali di rete nell'hub. Questo flusso di lavoro è specifico per l'implementazione del provider di appliance virtuali di rete. Per altre informazioni, fare riferimento alla documentazione del provider.
• Altri meccanismi di distribuzione: i partner dell'appliance virtuale di rete possono anche offrire altri meccanismi per distribuire appliance virtuali di rete nell'hub, ad esempio modelli arm e Terraform. Per altre informazioni su altri meccanismi di distribuzione supportati, vedere la documentazione del provider.

Prerequisiti

L'esercitazione seguente presuppone che sia stata distribuita una risorsa rete WAN virtuale con almeno un hub rete WAN virtuale. L'esercitazione presuppone anche la distribuzione di appliance virtuali di rete tramite l'applicazione gestita di Azure Marketplace.

Autorizzazioni necessarie

Per distribuire un'appliance virtuale di rete in un hub rete WAN virtuale, l'utente o l'entità servizio che crea e gestisce l'appliance virtuale di rete devono avere almeno le autorizzazioni seguenti:

• Microsoft.Network/virtualHubs/read over l'hub rete WAN virtuale in cui viene distribuita l'appliance virtuale di rete.
• Microsoft.Network/networkVirtualAppliances/write sul gruppo di risorse in cui viene distribuita l'appliance virtuale di rete.
• Microsoft.Network/publicIpAddresses/join sulle risorse degli indirizzi IP pubblici distribuite con l'appliance virtuale di rete per i casi d'uso in ingresso Internet.

Queste autorizzazioni devono essere concesse all'applicazione gestita di Azure Marketplace per garantire che le distribuzioni abbiano esito positivo. Altre autorizzazioni possono essere necessarie in base all'implementazione del flusso di lavoro di distribuzione sviluppato dal partner dell'appliance virtuale di rete.

Assegnazione di autorizzazioni all'applicazione gestita di Azure

Le appliance virtuali di rete distribuite tramite l'applicazione gestita di Azure Marketplace vengono distribuite in un gruppo di risorse speciale nel tenant di Azure denominato gruppo di risorse gestite. Quando si crea un'applicazione gestita nella sottoscrizione, viene creato un gruppo di risorse gestite corrispondente e separato nella sottoscrizione. Tutte le risorse di Azure create dall'applicazione gestita (inclusa l'appliance virtuale di rete) vengono distribuite nel gruppo di risorse gestite.

Azure Marketplace è proprietario di un'entità servizio proprietaria che esegue la distribuzione delle risorse nel gruppo di risorse gestite. Questa entità proprietaria dispone delle autorizzazioni per creare risorse nel gruppo di risorse gestite, ma non dispone delle autorizzazioni per la lettura, l'aggiornamento o la creazione di risorse di Azure all'esterno del gruppo di risorse gestite.

Per assicurarsi che la distribuzione dell'appliance virtuale di rete venga eseguita con il livello di autorizzazioni sufficiente, concedere autorizzazioni aggiuntive all'entità servizio di distribuzione di Azure Marketplace distribuendo l'applicazione gestita con un'identità gestita assegnata dall'utente con autorizzazioni sull'hub rete WAN virtuale e sull'indirizzo IP pubblico che si vuole usare con l'appliance virtuale di rete. Questa identità gestita assegnata dall'utente viene usata solo per la distribuzione iniziale delle risorse nel gruppo di risorse gestite e viene usata esclusivamente nel contesto della distribuzione dell'applicazione gestita.

Nota

Solo le identità di sistema assegnate dall'utente possono essere assegnate ad Applicazioni gestite di Azure per distribuire appliance virtuali di rete nell'hub rete WAN virtuale. Le identità assegnate dal sistema non sono supportate.

1. Creare una nuova identità assegnata dall'utente. Per informazioni sulla creazione di nuove identità assegnate dall'utente, vedere la documentazione sull'identità gestita. È anche possibile usare un'identità assegnata dall'utente esistente.
2. Assegnare le autorizzazioni all'identità assegnata dall'utente per avere almeno le autorizzazioni descritte nella sezione Autorizzazioni necessarie insieme alle autorizzazioni richieste dal provider di appliance virtuali di rete. È anche possibile assegnare all'identità assegnata dall'utente un ruolo predefinito di Azure, ad esempio Collaboratore rete, che contiene un superset delle autorizzazioni necessarie.

In alternativa, è anche possibile creare un ruolo personalizzato con la definizione di esempio seguente e assegnare il ruolo personalizzato all'identità gestita assegnata dall'utente.

{  
"Name": "Virtual WAN NVA Operator", 
  "IsCustom": true,
  "Description": "Can perform deploy and manage NVAs in the Virtual WAN hub.",
  "Actions": [
    "Microsoft.Network/virtualHubs/read",
    "Microsoft.Network/publicIPAddresses/join",
    "Microsoft.Network/networkVirtualAppliances/*",
    "Microsoft.Network/networkVirtualAppliances/inboundSecurityRules/*"    
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
    "/subscriptions/{subscription where Virtual Hub and NVA is deployed}",
    "/subscriptions/{subscription where Public IP used for NVA is deployed}",
  ]
}

Distribuzione dell'appliance virtuale di rete

La sezione seguente descrive i passaggi necessari per distribuire un'appliance virtuale di rete nell'hub rete WAN virtuale usando l'applicazione gestita di Azure Marketplace.

1. Passare all'hub rete WAN virtuale e selezionare Appliance virtuale di rete in Provider di terze parti.

2. Selezionare Crea appliance virtuale di rete.

3. Scegliere il fornitore dell'appliance virtuale di rete. In questo esempio viene selezionato "fortinet-ngfw" e selezionare Crea. A questo punto, si viene reindirizzati all'applicazione gestita di Azure Marketplace del partner dell'appliance virtuale di rete.

4. Seguire l'esperienza di creazione dell'applicazione gestita per distribuire l'appliance virtuale di rete e fare riferimento alla documentazione del provider. Assicurarsi che l'identità di sistema assegnata dall'utente creata nella sezione precedente sia selezionata come parte del flusso di lavoro di creazione dell'applicazione gestita.

Errori di distribuzione comuni

Errori di autorizzazione

Nota

Il messaggio di errore associato a linkedAuthorizationFailed visualizza solo un'autorizzazione mancante. Di conseguenza, è possibile che venga visualizzata un'autorizzazione mancante diversa dopo aver aggiornato le autorizzazioni assegnate all'entità servizio, all'identità gestita o all'utente.

• Se viene visualizzato un messaggio di errore con codice di errore LinkedAuthorizationFailed, l'identità assegnata dall'utente fornita come parte della distribuzione dell'applicazione gestita non dispone delle autorizzazioni appropriate assegnate. Le autorizzazioni esatte mancanti sono descritte nel messaggio di errore. Nell'esempio seguente verificare che l'identità gestita assegnata dall'utente disponga delle autorizzazioni READ sull'hub rete WAN virtuale in cui si sta tentando di distribuire l'appliance virtuale di rete.

The client with object id '<>' does not have authorization to perform action 'Microsoft.Network/virtualHubs/read' over scope '/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>' or the scope is invalid. If access was recently granted, please refresh your credentials

Passaggi successivi

• Per altre informazioni sulla rete WAN virtuale, vedere Che cos'è la rete WAN virtuale?
• Per altre informazioni sulle appliance virtuali di rete in un hub della rete WAN virtuale, vedere Informazioni sull'appliance virtuale di rete nell'hub della rete WAN virtuale.