Connettere i servizi tramite il peering di rete virtuale
È possibile usare il peering di rete virtuale per connettere insieme direttamente reti virtuali di Azure. Quando si usa il peering per connettere le reti virtuali, le macchine virtuali in queste reti possono comunicare tra loro come se appartenessero alla stessa rete.
Nelle reti virtuali con peering il traffico tra le macchine virtuali viene instradato attraverso la rete di Azure. Il traffico usa solo indirizzi IP privati. Non dipende dalla connettività Internet, da gateway o da connessioni crittografate. Il traffico è sempre privato e sfrutta i vantaggi della larghezza di banda elevata e della bassa latenza della rete backbone di Azure.
I due tipi di connessioni di peering vengono creati nello stesso modo:
- Il peering di rete virtuale connette le reti virtuali nella stessa area di Azure, ad esempio due reti virtuali nell'area Europa settentrionale.
- Il peering di rete virtuale globale connette le reti virtuali in aree di Azure diverse, ad esempio una rete virtuale nell'area Europa settentrionale e una nell'area Europa occidentale.
Il peering di reti virtuali non influisce né altera nessuna risorsa già distribuita nelle reti virtuali. Quando si usa il peering di rete virtuale, prendere in considerazione le funzionalità chiave definite nelle sezioni seguenti.
Connessioni reciproche
Quando si crea una connessione di peering di rete virtuale con Azure PowerShell o l'interfaccia della riga di comando di Azure, viene creato un solo lato del peering. Per completare la configurazione del peering di reti virtuali, è necessario configurare il peering in direzione inversa per stabilire la connettività. Quando si crea la connessione di peering di reti virtuali tramite il portale di Azure, la configurazione per entrambi i lati viene completata contemporaneamente.
Si pensi ad esempio a come si connettono tra loro due commutatori di rete. È possibile connettere un cavo a ogni commutatore e anche configurare alcune impostazioni per consentire ai commutatori di comunicare tra loro. Il peering di rete virtuale richiede connessioni analoghe in ogni rete virtuale. Questa funzionalità è garantita dalle connessioni reciproche.
Peering di rete virtuale tra sottoscrizioni diverse
È possibile usare il peering di rete virtuale anche quando entrambe le reti virtuali si trovano in sottoscrizioni diverse. Questa configurazione potrebbe essere necessaria in caso di fusioni e acquisizioni aziendali o per connettere reti virtuali in sottoscrizioni gestite da reparti diversi. Le reti virtuali possono trovarsi in abbonamenti diversi e gli abbonamenti possono usare gli stessi tenant di Microsoft Entra oppure usarne altri.
Quando si usa il peering di rete virtuale tra sottoscrizioni diverse, è possibile che l'amministratore di una sottoscrizione non sia l'amministratore della sottoscrizione della rete peer. L'amministratore potrebbe non essere in grado di configurare entrambe le direzioni della connessione. Per eseguire il peering delle reti virtuali quando entrambi gli abbonamenti si trovano in tenant Microsoft Entra diversi, gli amministratori di ogni abbonamento devono concedere all'amministratore dell’abbonamento peer il ruolo Network Contributor nella rete virtuale.
Transitività
Il peering di rete virtuale non è transitivo. Solo le reti virtuali con peering diretto possono comunicare tra loro. Le reti virtuali non possono comunicare con i peer dei relativi peer.
Si supponga, ad esempio, di avere tre reti virtuali (A, B, C) con peering A <-> B <-> C. Le risorse in A non possono comunicare con le risorse in C perché il traffico non può transitare attraverso la rete virtuale B. Per consentire le comunicazioni tra la rete virtuale A e la rete virtuale C, è necessario creare in modo esplicito un peering tra queste due reti virtuali.
Transito gateway
È possibile connettersi alla rete locale da una rete virtuale con peering se si abilita il transito tramite gateway da una rete virtuale con gateway VPN. Tramite il transito gateway, è possibile abilitare la connettività locale senza distribuire gateway di rete virtuali in tutte le reti virtuali. Questo metodo può ridurre il costo complessivo e la complessità della rete. Usando il peering di rete virtuale con il transito gateway, è possibile configurare una singola rete virtuale come rete hub. Connettere questa rete hub al data center locale e condividere il gateway di rete virtuale della rete con i peer.
Per consentire il transito tramite gateway, configurare l'opzione Consenti transito tramite gateway nella rete virtuale hub in cui è stata distribuita la connessione gateway alla rete locale. Configurare anche l'opzione Usa gateway remoti nelle reti virtuali spoke.
Nota
Se si vuole abilitare l'opzione Usa gateway remoti in un peering di rete spoke, non è possibile implementare un gateway di rete virtuale nella rete virtuale spoke.
Spazi indirizzi sovrapposti
Gli spazi indirizzi IP delle reti connesse all'interno di Azure e tra Azure e la rete locale non possono sovrapporsi. Questa regola vale anche per le reti virtuali con peering. Questo è un aspetto importante da tenere in considerazione quando si pianifica la struttura della rete. Assegnare spazi indirizzi diversi e non sovrapposti a tutte le reti connesse tramite peering di rete virtuale, VPN o ExpressRoute.
Metodi di connettività alternativi
Il peering di rete virtuale è il metodo meno complesso per connettere le reti virtuali. Gli altri metodi sono basati principalmente sulla connettività tra reti locali e la rete di Azure anziché su connessioni tra reti virtuali.
È anche possibile connettere reti virtuali tra loro attraverso un circuito ExpressRoute. ExpressRoute è una connessione privata dedicata tra un data center locale e la rete backbone di Azure. Le reti virtuali che si connettono a un circuito ExpressRoute appartengono allo stesso dominio di routing e possono comunicare tra loro. Le connessioni ExpressRoute non comunicano sulla rete Internet pubblica, pertanto le comunicazioni con i servizi di Azure avvengono con il massimo grado di sicurezza.
Le VPN usano Internet per connettere il data center locale al backbone di Azure tramite un tunnel crittografato. È possibile usare una configurazione da sito a sito per connettere tra loro le reti virtuali attraverso gateway VPN. I gateway VPN hanno una latenza maggiore rispetto alle configurazioni di peering di rete virtuale. Sono più complesse da gestire e possono costare di più.
Quando le reti virtuali vengono connesse sia tramite un gateway che tramite il peering di rete virtuale, il traffico segue la configurazione del peering.
Quando scegliere il peering di rete virtuale
Il peering di rete virtuale può essere un ottimo modo per consentire la connettività di rete tra i servizi che si trovano in reti virtuali diverse. Il peering di reti virtuali è il metodo più indicato quando è necessario integrare le reti virtuali di Azure. È facile da implementare e distribuire e funziona bene tra aree e sottoscrizioni.
Il peering potrebbe non essere la soluzione ottimale se si prevede l'accesso da una rete virtuale con peering a connessioni VPN o ExpressRoute esistenti o servizi protetti da sistemi Azure Load Balancer Basic. In questi casi è necessario cercare un'alternativa.