Integrare le Web App con Azure Virtual Network da VPN Point-to-Site

È situazione comune che si voglia usare VNet Integration per abilitare l’accesso di una web app ad un database o permettere ad altri servizi di essere eseguiti su una macchina virtuale su una rete virtuale Azure.
Con VNet Integration, non è necessario esporre un endpoint pubblico per le applicazioni sulle macchine virtuali, è invece possibile usare un indirizzo non -internet privato instradabile.

Questa necessità può essere soddisfatta semplicemente nel caso in cui la rete virtuale abbia una VPN da punto a sito configurata con un Dynamic routing gateway invece di un routing statico. Costruendo una tecnologia da punto a sito possiamo limitare l’accesso network alle sole macchine virtuali che ospitano le app. L’accesso al network è oltremodo limitato alle app host: in questo modo le applicazioni possono accedere al network configurato per l’accesso. Basandoci sulla funzionalità VNet Integration, possiamo far sì che il network virtuale si connetta alla rete on-premises via Sito a Sito VPN: a questo punto le app possono accedere alle risorse on-premises.

Prima di tutto, creiamo una rete virtuale con le seguenti configurazioni.

Virtual Network Address Block: 10.1.0.0/16
Default Subnet Address Block: 10.1.0.0/24
Gateway Subnet Address Block: 10.1.1.0/28

In seguito, creiamo un nuovo Virtual Network Gateway per la VNet qui sopra.
Cliccate poi su “Point to site configuration” per configurare la VPN, impostate l’Address Block Punto a Sito come 172.16.0.0/24 in questo esempio.
Questo è l’indirizzo IP punto a sito per la VNet. La nostra web app mostrerà che la comunicazione proviene da uno degli IP nell’intervallo degli indirizzi.
Inoltre, assicuratevi che l’IKEv2 Tunnel Type non sia configurato come web app Azure che non supporta IKEv2 yet.

 

Azure

 

Dev’essere chiaro che SSTP è un SSL-based VPN tunnel supportato solo su piattaforme Windows client e può penetrare i firewall. Tutto ciò lo rende l’opzione ideale per connettersi ad Azure da qualsiasi luogo in cui vi troviate.
Dall’altro lato, IKEv2 VPN è una soluzione standard-based IPsec VPN e può essere utilizzato per connettersi anche da dispositivi Mac.
A questo punto, sulla barra dell’applicazione, selezionate la voce Networking, cliccate su Setup e completate il processo.

 

Azure

 

Se avete un network virtuale esistente e vi riporta errori quali
“Adding network jac-vnet to web app jawebsite failed.: Legacy Cmak generation is not supported for gateway id /subscriptions/subscriptionid/resourceGroups/javnetrg/providers/Microsoft.Network/virtualNetworkGateways/p2sgateway when IKEV2 or External Radius based authentication is configured. Please use vpn profile package option instead”
quando integrate la vostra web app alla rete virtuale, un problema comune è che la rete virtuale esistente supporta sia SSTP che IKEv2.
Per sistemare la cosa, eseguite il seguente script Powershell per individuare la causa e limitare il protocollo client VPN a SSTP solo se necessario.

$gateway = Get-AzureRmVirtualNetworkGateway -ResourceGroupName groupname -Name vpngatewayname
$gateway.VpnClientConfiguraiton.VpnClientProtocols
Set-AzureRmVirtualNetworkGateway -VirtualNetworkGateway $gateway -VpnClientProtocol “SSTP”

Contattaci

La tua crescita parte da qui
Per maggiori informazioni

Contattaci

    Iscriviti alla newsletter

      Tematiche d'interesse