Autore: Nicola Ferrini
In questo articolo si andrà a vedere come sia possibile realizzare una connessione VNet to VNet tra due virtual network su Azure. Uno dei vantaggi di questo tipo di implementazione consiste nell’avere sia geo-ridondanza che geo-presenza dei vostri servizi ospitati su Azure. È possibile realizzare questo tipo di connessione VNet to VNet anche tra due Region diverse o addirittura tra sottoscrizioni diverse.
Creazione della Virtual Network
La prima operazione da fare è realizzare le due virtual network. Dal portale di Azure vi basterà cliccare sul pulsante Nuovo -> Servizi di Rete -> Rete Virtuale -> Creazione Personalizzata, scegliete in quale sottoscrizione di Azure volete creare la rete (ovviamente se ne avete più di una) e in quale Region. Nel mio caso ho chiamato la prima rete con il nome Rete-Europa-Occidentale, come mostrato nella figura 1.
Figura 1 – Creazione Virtual Network
Nel passaggio successivo ci verrà chiesto se vogliamo assegnare un DNS alla rete e che tipo di rete vogliamo realizzare. Scegliamo di configurare una rete VPN Site-to-Site e creaiamo nuova una Rete Locale, come mostrato nella figura 2.
Figura 2 – Configurazione Local Network
La rete locale che creeremo sarà la rete del nostro secondo Datacenter su Azure. Poiché voglio connettermi con il Giappone chiamo la rete Giappone e come indirizzo IP del dispositivo VPN metto un indirizzo IP temporaneo 2.2.2.2, che verrà poi sostituito con l’IP del Gateway remoto della rete virtuale che creeremo prossimamente. Scelgo anche quale sarà lo spazio degli indirizzi che ha la rete locale, come mostrato nella figura 3.
Figura 3 – Configurazione Indirizzi
Concludiamo il wizard di creazione della prima rete andando ad indicare quale sarà lo spazio degli indirizzi IP che verranno utilizzati dalle macchine virtuali, come mostra la figura 4; nel mio caso ho scelto la rete 10.0.2.0/24.
Figura 4 – Configurazione Rete Interna
Terminata la creazione della rete è necessario esportare la configurazione, in quanto non è possibile creare le reti VNet-to-VNet dal portale di Azure. Scaricate il file di configurazione cliccando sul pulsante Esporta e modifichiamolo in questo modo:
1) Selezionate la parte tra <LocalNetworkSites> e </LocalNetworkSites>, copiatela ed incollatela sotto la parte esistente modificando il contenuto in:
<LocalNetworkSite name=”Europa”>
<AddressSpace>
<AddressPrefix>10.0.2.0/24</AddressPrefix>
</AddressSpace>
<VPNGatewayAddress>2.2.2.2</VPNGatewayAddress>
</LocalNetworkSite>
2) Selezionate la parte tra <VirtualNetworkSites> e </VirtualNetworkSites> >, copiatela ed incollatela sotto la parte esistente modificando il contenuto in:
<VirtualNetworkSite name=”Rete-Giappone-Occidentale” Location=”Japan West “>
<AddressSpace>
<AddressPrefix>10.0.1.0/24</AddressPrefix>
</AddressSpace>
<Subnets>
<Subnet name=”Subnet-1″>
<AddressPrefix>10.0.1.0/27</AddressPrefix>
</Subnet>
<Subnet name=”GatewaySubnet”>
<AddressPrefix>10.0.1.32/29</AddressPrefix>
</Subnet>
</Subnets>
<Gateway>
<ConnectionsToLocalNetwork>
<LocalNetworkSiteRef name=”Europa”>
<Connection type=”IPsec” />
</LocalNetworkSiteRef>
</ConnectionsToLocalNetwork>
</Gateway>
</VirtualNetworkSite>
Salvate il file NetworkConfig.xml e da Nuovo -> Servizi di Rete -> Rete Virtuale -> Importa Configurazione, modificate la rete con le informazioni appena aggiunte. La figura 5 mostra il risultato della modifica della configurazione.
Figura 5 – Modifica Configurazione
A questo punto avrete due reti virtuali e due reti locali, come nella figura 6.
Figura 6 – Reti Locali
Creazione dei Gateway di Tipo Dinamico
Terminata la creazione della rete è necessario creare un Gateway di tipo dinamico, come mostra la figura 7, per ognuna delle due reti, in quanto le connessioni di tipo VNet to VNet supportano solo il protocollo lKEv2. La creazione dei due gateway richiede circa 15-20 minuti.
Figura 7 – Creazione Routing
Riassumendo le configurazioni sono:
| Nome rete virtuale | Spazio degli indirizzi | Rete locale |
| Rete-Europa-Occidentale | 10.0.2.0/24 | Giappone |
| Rete-Giappone-Occidentale | 10.0.1.0/24 | Europa |
| Nome rete locale | Indirizzi locali | IP Gateway temporaneo |
| Europa | 10.0.2.0/24 | 2.2.2.2 |
| Giappone | 10.0.1.0/24 | 2.2.2.2 |
Configurazione dei Gateway Creati
Una volta che i due gateway sono stati creati, segnatevi gli indirizzi IP pubblici che gli sono stati assegnati. Nel mio caso ho ottenuto questa configurazione.
| Nome rete virtuale | IP Gateway |
| Rete-Europa-Occidentale | 104.40.221.69 |
| Rete-Giappone-Occidentale | 104.46.227.221 |
Modificate quindi le Reti Locali sostituendo gli indirizzi IP provvisori 2.2.2.2 con quelli corretti.
| Nome rete locale | Indirizzi locali | IP Gateway |
| Europa | 10.0.2.0/24 | 104.40.221.69 |
| Giappone | 10.0.1.0/24 | 104.46.227.221 |
La figura 8 mostra come effettuare la modifica della rete locale.
Figura 8 – Modifica Configurazione
A questo punto non ci resta altro da fare che configurare la Pre-Shared Key della connessione IPSEC/IKE in modo tale che sia la stessa per entrambi i Gateway creati. Per farlo vi basterà lanciare la cmdlet in PowerShell.
Set-AzureVNetGatewayKey -VNetName Rete-Europa-Occidentale -LocalNetworkSiteName Giappone -SharedKey Qwerty123456
Set-AzureVNetGatewayKey -VNetName Rete-Giappone-Occidentale -LocalNetworkSiteName Europa -SharedKey Qwerty123456
La lunghezza e complessità della chiave è a vostra scelta. Il risultato della cmdlet dovrà essere simile a quello della figura 9.
Figura 9 – Configurazione Pre-Shared Key
Terminati tutti gli steps le due reti saranno collegate ed il risultato si potrà vedere dalla console Azure, come mostra la figura 10.
Figura 10 – Connessione VNet Stabilita