Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Riassunto
Questa guida alla risoluzione dei problemi fornisce i passaggi per aiutarti a risolvere la maggior parte dei problemi di peering della rete virtuale.
Importante
Azure Basic Load Balancer è stato ritirato il 30 settembre 2025. Le risorse che utilizzano gli SKU Basic di bilanciamento del carico interno non funzionano tramite il peering globale della rete virtuale. Assicurarsi di eseguire l'aggiornamento a Load Balancer Standard il prima possibile. Per altre informazioni sui vincoli di peering globale, vedere Requisiti e vincoli.
Configurare il peering di rete virtuale tra due reti virtuali
Le reti virtuali si trovano nella stessa sottoscrizione o in sottoscrizioni diverse?
Le reti virtuali si trovano nella stessa sottoscrizione
Per configurare il peering di rete virtuale per le reti virtuali che si trovano nella stessa sottoscrizione, usare i metodi negli articoli seguenti:
- Se le reti virtuali si trovano nella stessa area, vedere Creare un peering.
- Se le reti virtuali si trovano nelle diverse aree, vedere Peering di rete virtuale.
Le reti virtuali si trovano in sottoscrizioni diverse o tenant di Microsoft Entra
Per configurare il peering di rete virtuale per le reti virtuali in sottoscrizioni diverse o tenant di Microsoft Entra, consultare Creare un peering di rete virtuale tra sottoscrizioni diverse.
Annotazioni
Per configurare il peering di rete, è necessario disporre delle autorizzazioni Collaboratore rete in entrambe le sottoscrizioni. Per altre informazioni, vedere Autorizzazioni di peering.
Configurare il peering di rete virtuale con la topologia hub-spoke che utilizza risorse in locale.
Per una connessione da sito a sito o una connessione ExpressRoute
Seguire la procedura descritta in Configurare il transito del gateway VPN per il peering di rete virtuale.
Per le connessioni da punto a sito
- Seguire la procedura descritta in Configurare il transito del gateway VPN per il peering di rete virtuale.
- Dopo aver stabilito o modificato il peering della rete virtuale, scarica e reinstalla il pacchetto punto a sito affinché i client punto a sito ottengano le rotte aggiornate per la rete virtuale spoke.
Configurare il peering delle reti virtuali con una rete virtuale a topologia hub-spoke
Le reti virtuali si trovano nella stessa area
- Nella rete virtuale del hub, configurare un'appliance virtuale di rete.
- Applicare nelle reti virtuali spoke le route definite dall'utente con tipo di hop successivo appliance virtuale di rete.
Per altre informazioni, vedere Concatenamento dei servizi.
Annotazioni
Per assistenza nella configurazione di un'appliance virtuale di rete, contattare il fornitore dell'appliance virtuale di rete.
Per informazioni sulla risoluzione dei problemi relativi all'installazione e al routing del dispositivo dell'appliance virtuale di rete, vedere Problemi dell'appliance virtuale di rete in Azure.
Le reti virtuali si trovano in aree diverse
Il transito tramite il peering di rete virtuale globale è ora supportato.
Risolvere un problema di connettività tra due reti virtuali con peering
Accedere al portale di Azure con un account con roles e autorizzazioni necessari. Selezionare la rete virtuale, selezionare Peering e quindi selezionare il campo Stato . Qual è lo stato?
Lo stato del peering è connesso
Per risolvere questo problema:
Controllare i flussi del traffico di rete:
Usare Risoluzione connessione e verifica flusso IP dalla macchina virtuale di origine alla macchina virtuale di destinazione per determinare se è presente un NSG o un UDR che causa interferenze nei flussi di traffico.
Se stai utilizzando un firewall o un'appliance virtuale di rete (NVA):
- Documentare i parametri UDR in modo che sia possibile ripristinarli al termine di questo passaggio.
- Rimuovere l'UDR dalla subnet o dalla scheda di interfaccia di rete (NIC) della macchina virtuale di origine che indica l'appliance virtuale di rete come hop successivo. Verificare la connettività dalla VM di origine direttamente alla destinazione che bypassa l'appliance virtuale di rete. Se questo passaggio non funziona, vedere lo NVA troubleshooter.
Effettuare un rilevamento di rete:
Avviare una traccia di rete nella macchina virtuale di destinazione. Per Windows è possibile usare Netsh. Per Linux, usare TCPDump.
Eseguire TcpPing o PsPing dall'indirizzo IP di origine all'indirizzo IP di destinazione.
Questo comando è un esempio di comando TcpPing :
tcping64.exe -t <destination VM address> 3389Al termine di TcpPing , arrestare la traccia di rete nella destinazione.
Se i pacchetti arrivano dall'origine, non c'è alcun problema di rete. Esaminare sia il firewall della macchina virtuale che l'applicazione in ascolto su tale porta per individuare il problema di configurazione.
Lo stato del peering è disconnesso
Lo stato disconnesso del peering indica che uno dei due collegamenti di peering viene eliminato. Il traffico non può fluire tra le reti virtuali finché il peering non viene ristabilito.
Cause comuni
- Eliminazione manuale: Hai eliminato un collegamento di peering da un lato ma non dall'altro. Quando si rimuove un collegamento, il collegamento rimanente passa a Disconnesso.
- Modifiche allo spazio degli indirizzi: è stato modificato lo spazio degli indirizzi di una rete virtuale peering, ma il peering non è stato sincronizzato. Questa modifica può causare il peering a passare a uno stato disconnesso. Per informazioni sulla sincronizzazione dopo la modifica dello spazio degli indirizzi, vedere Aggiornare lo spazio degli indirizzi per una rete virtuale con peering.
- Modifiche alla sottoscrizione o al tenant: una rete virtuale è stata spostata in una sottoscrizione o un tenant diverso. Questa modifica può interrompere le connessioni di peering esistenti.
- Applicazione delle policy di Azure: Le policy di Azure limitano il peering o le configurazioni di rete. Questo criterio potrebbe causare la rimozione o il blocco di un peering.
Diagnosticare gli stati di peering asimmetrico
Lo stato del peering può diventare asimmetrico tra le due reti virtuali. Ad esempio, un lato mostra Connected mentre l'altro mostra Avviato o Disconnesso. Per controllare lo stato del peering su entrambi i lati:
Nel portale di Azure passare a ogni rete virtuale e selezionare Peering.
Confronta il campo Stato per il peering su entrambi i lati.
Per verificare l'uso dell'interfaccia della riga di comando di Azure, eseguire il comando seguente per ogni rete virtuale:
az network vnet peering show --resource-group <resource-group> --vnet-name <vnet-name> --name <peering-name> --query peeringState
I possibili stati di peering sono:
| stato | Descrizione |
|---|---|
| avviato | Esiste solo il collegamento di peering iniziale. Creare il peering dalla seconda rete virtuale per completare la connessione. |
| Connesso | Sono presenti entrambi i collegamenti di peering e il traffico può fluire. |
| Disconnesso | Viene eliminato un collegamento di peering. È necessario eliminare e ricreare entrambi i collegamenti. |
Resolution
Eliminare il collegamento di peering residuo da entrambe le reti virtuali. Nel portale di Azure passare a ogni rete virtuale, selezionare Peering ed eliminare la voce di peering.
Per eliminare usando l'interfaccia della riga di comando di Azure:
az network vnet peering delete --resource-group <resource-group> --vnet-name <vnet-name> --name <peering-name>Ricreare il peering per entrambe le reti virtuali. Assicurati di configurare le impostazioni corrette per Consenti traffico inoltrato, Consenti transito gateway e Usa gateway remoti da entrambe le parti.
Verificare che lo stato del peering sia Connesso su entrambi i lati dopo la ricreazione.
Annotazioni
Non è possibile ricreare un peering mentre un lato si trova in stato Disconnesso. È prima necessario eliminare il peering da entrambe le reti virtuali e quindi creare nuovi collegamenti di peering.
Risolvere un problema di connettività tra una rete virtuale hub-spoke e una risorsa locale
La tua rete utilizza un NVA (appliance virtuale di rete) di terze parti o un gateway VPN?
La mia rete usa un'appliance virtuale di rete (NVA) di terze parti o un gateway VPN.
Per risolvere i problemi di connettività che interessano un'appliance virtuale di rete di terze parti o un gateway VPN, vedere gli articoli seguenti:
La mia rete non utilizza un'appliance virtuale di rete di terze parti o un gateway VPN
La rete virtuale hub e la rete virtuale spoke hanno un gateway VPN?
Sia la rete virtuale hub che la rete virtuale spoke hanno un gateway VPN
L'uso di un gateway remoto non è supportato.
Se la rete virtuale spoke dispone già di un gateway VPN, l'opzione Usa gateway remoto non è supportata nella rete virtuale spoke. Questa limitazione esiste a causa del peering di rete virtuale.
Sia la rete virtuale hub che la rete virtuale spoke non hanno un gateway VPN
Per le connessioni da sito a sito o Azure ExpressRoute, controllare le cause principali seguenti dei problemi di connettività alla rete virtuale remota dall'ambiente locale:
- Nella rete virtuale con un gateway verificare che sia selezionata la casella di controllo Consenti traffico inoltrato .
- Nella rete virtuale che non dispone di un gateway verificare che sia selezionata la casella di controllo Usa gateway remoto .
- Chiedere all'amministratore di rete di controllare i dispositivi locali per verificare che siano stati aggiunti tutti gli spazi di indirizzi della rete virtuale remota.
Per le connessioni da punto a sito:
- Nella rete virtuale con un gateway verificare che sia selezionata la casella di controllo Consenti traffico inoltrato .
- Nella rete virtuale che non dispone di un gateway verificare che sia selezionata la casella di controllo Usa gateway remoto .
- Scaricare e reinstallare il pacchetto client Point-to-Site. Le route di rete virtuale appena sottoposte a peering non aggiungono automaticamente route ai client da punto a sito.
Risolvere gli errori di sincronizzazione del peering
Quando si modifica lo spazio indirizzi di una rete virtuale con peering, è necessario sincronizzare il peering per ogni rete virtuale con peering remoto per raccogliere le modifiche. Se non si esegue la sincronizzazione, il traffico potrebbe non essere instradato correttamente tra le reti virtuali con peering.
Verificare lo stato del collegamento su entrambi i lati
Nel portale di Azure passare a ogni rete virtuale e selezionare Peering. Verificare che lo Stato sia Connesso per entrambe le parti.
Per controllare lo stato del peering e i prefissi degli indirizzi, usare l'interfaccia della riga di comando di Azure:
az network vnet peering show \ --resource-group <resource-group> \ --vnet-name <vnet-name> \ --name <peering-name> \ --query "{state:peeringState, remoteAddressSpace:remoteAddressSpace.addressPrefixes}"Per controllare lo stato del peering e i prefissi degli indirizzi, usare Azure PowerShell:
Get-AzVirtualNetworkPeering -ResourceGroupName <resource-group> -VirtualNetworkName <vnet-name> | Select-Object Name, PeeringState, RemoteVirtualNetworkAddressSpace
Problemi di sincronizzazione comuni
| Problema | Sintomo | Resolution |
|---|---|---|
| Spazio indirizzi non aggiornato dopo il ridimensionamento | La rete virtuale con peering non riflette gli intervalli di indirizzi modificati. Mancano le rotte per il nuovo spazio degli indirizzi. | Nel portale di Azure passare alla rete virtuale, selezionare Peering, selezionare il peering e quindi selezionare Sincronizza. Ripetere per ogni peer remoto. Per altre informazioni, vedere Aggiornare lo spazio degli indirizzi per una rete virtuale con peering. |
| Stato di peering bloccato su Avviato | È stato creato un solo collegamento di peering. La seconda rete virtuale non dispone di un peering corrispondente. | Crea il peering dalla seconda rete virtuale alla prima. Entrambi i collegamenti sono necessari affinché lo stato cambi in Connesso. |
| Route non si propagano dopo il nuovo peering | Le route effettive nelle macchine virtuali nella rete virtuale non mostrano lo spazio degli indirizzi della rete virtuale associata. | Attendere alcuni minuti per consentire ad Azure di propagare le route. Controllare quindi le route valide in un'interfaccia di rete. Per altre informazioni, vedere Diagnosticare un problema di routing delle macchine virtuali. |
| La sincronizzazione del peering non riesce tra i tenant | L'operazione di sincronizzazione non riesce o le modifiche all'indirizzo non sono visibili al peer remoto in un tenant diverso. | Assicurarsi che l'account che esegue la sincronizzazione disponga delle autorizzazioni necessarie in entrambi i tenant. Per il peering tra tenant, vedere Creare un peering di rete virtuale tra sottoscrizioni diverse. |
Sincronizzare il peering dopo la modifica dello spazio degli indirizzi IP
Dopo aver aggiunto, modificato o eliminato intervalli di indirizzi in una rete virtuale con peering, quindi sincronizza il peering.
- Nel portale di Azure, vai alla rete virtuale in cui hai modificato lo spazio degli indirizzi.
- Selezionare Peering e quindi selezionare la casella di controllo per la connessione peering.
- Selezionare Sincronizza.
- Ripetere per ciascuna rete virtuale con peering remoto.
Per eseguire la sincronizzazione con l'interfaccia della riga di comando di Azure:
az network vnet peering sync --resource-group <resource-group> --vnet-name <vnet-name> --name <peering-name>
Importante
Eseguire l'operazione di sincronizzazione dopo ogni modifica dello spazio degli indirizzi anziché raggruppare più operazioni di ridimensionamento prima della sincronizzazione. La sincronizzazione dello spazio degli indirizzi non è supportata quando la rete virtuale è in peering con una rete virtuale classica.
Risolvere i conflitti delle tabelle di route nelle reti virtuali peering
Le rotte definite dall'utente possono sostituire le rotte di sistema predefinite che Azure crea per le reti virtuali con peering. Questa sovrascrittura può causare il routing asimmetrico o la perdita di traffico nelle topologie hub-spoke.
Come le route definite dall'utente (UDR) interagiscono con le route di peering
Quando si crea un peering di rete virtuale, Azure aggiunge automaticamente le route di sistema con il tipo di hop successivo Peering di rete virtuale per ogni spazio di indirizzi nella rete virtuale con peering. Se un UDR in una tabella di route ha lo stesso prefisso di indirizzo di una route di peering, l'UDR ha la precedenza e override la route del sistema di peering. Questo comportamento può causare l'instradamento del traffico verso un NVA (network virtual appliance) o la sua eliminazione anziché che fluisca direttamente alla rete virtuale connessa in peering.
Per altre informazioni sulla priorità di selezione della route, vedere Come Azure seleziona una route.
Diagnosticare il routing asimmetrico nelle topologie hub-spoke
Nelle topologie hub-spoke, in cui un'appliance virtuale di rete (NVA) nell'hub ispeziona il traffico, si utilizzano tipicamente le UDR nelle subnet spoke per instradare il traffico attraverso l'appliance virtuale di rete. Se il percorso di ritorno dalla destinazione non segue lo stesso percorso tramite l'NVA, questo causa un percorso asimmetrico che può causare interruzioni di connessione.
Per diagnosticare il routing asimmetrico:
Controllare i percorsi effettivi sull'interfaccia di rete di una macchina virtuale nella subnet di tipo spoke: a. Nel portale di Azure passare alla macchina virtuale, selezionare Rete, selezionare l'interfaccia di rete e quindi selezionare Route valide. b. Cercare le route con il tipo di hop successivo peering rete virtuale e confrontarle con eventuali voci UDR che potrebbero eseguirne l'override.
Usare l'interfaccia della riga di comando di Azure per visualizzare le route valide:
az network nic show-effective-route-table --resource-group <resource-group> --name <nic-name> --output tableVerificare che le route definite dall'utente nelle subnet di origine e di destinazione creino un percorso simmetrico tramite l'NVA (appliance virtuale di rete). Se l'appliance virtuale di rete rileva solo il traffico in una direzione, il firewall con stato potrebbe eliminare il traffico restituito.
Scenari comuni di conflitto delle tabelle di route
| Scenario | Sintomo | Resolution |
|---|---|---|
| UDR esegue l'override della route di peering | Il traffico verso una rete virtuale connessa passa a un NVA o viene eliminato anziché fluire direttamente al peer. | Esaminare la tabella di route associata alla subnet. Rimuovere o regolare l'UDR in conflitto con lo spazio indirizzi del peering. |
| Mancante UDR per il traffico di ritorno | Il traffico passa alla destinazione attraverso un'appliance virtuale di rete (NVA), ma il traffico di ritorno ignora l'NVA, causando il fallimento della connessione. | Aggiungere una UDR alla subnet di destinazione che instrada il traffico di ritorno attraverso la stessa NVA. |
| La rotta BGP si sovrappone allo spazio degli indirizzi di peering | Una route BGP pubblicizzata dall'ambiente locale ha un prefisso di indirizzo che si sovrappone a uno spazio indirizzi di rete virtuale con peering. Anche se le rotte del sistema di peering hanno sempre la precedenza sulle rotte BGP, questa sovrapposizione può causare confusione nella diagnosi delle rotte. | Verificare le route valide nell'interfaccia di rete della macchina virtuale interessata. Verificare che la route del sistema di peering abbia la precedenza sulla route BGP. Se il traffico è ancora indirizzato in modo errato, verificare la presenza di una route definita dall'utente che potrebbe eseguire l'override della route di peering. |
Suggerimento
Usare Network Watcher per verificare il prossimo hop per un flusso di traffico specifico tra macchine virtuali in reti virtuali con peering. Questo passaggio consente di verificare se una route definita dall'utente (UDR) sostituisce la route di peering prevista.
Risolvere i problemi relativi agli spazi indirizzi sovrapposti nelle reti virtuali con peering
Azure non consente il peering di rete virtuale tra due reti virtuali con spazi indirizzi sovrapposti. Se si tenta di creare un peering con intervalli CIDR (Classless Inter-Domain Routing) sovrapposti, l'operazione non riesce.
Messaggi di errore comuni
Quando si tenta di creare un peering con spazi indirizzi sovrapposti, è possibile che vengano visualizzati errori come i messaggi seguenti:
- Lo spazio degli indirizzi della rete virtuale si sovrappone con lo spazio degli indirizzi della rete virtuale già esistente in peering.
- Impossibile creare o aggiornare il peering perché lo spazio indirizzi delle reti virtuali si sovrappone.
Identificare gli intervalli CIDR sovrapposti
Per identificare gli spazi di indirizzamento sovrapposti:
Nel portale di Azure passare a ogni rete virtuale e selezionare Spazio indirizzi in Impostazioni.
Confrontare gli intervalli di indirizzi tra le due reti virtuali per trovare gli intervalli CIDR sovrapposti.
Usa Azure CLI per elencare gli spazi degli indirizzi:
az network vnet show --resource-group <resource-group> --name <vnet-name> --query "addressSpace.addressPrefixes"
Due intervalli CIDR si sovrappongono se una parte degli intervalli di indirizzi IP si interseca. Ad esempio, 10.0.0.0/16 e 10.0.1.0/24 si sovrappongono perché 10.0.1.0/24 è un subset di 10.0.0.0/16.
Resolution
Per risolvere gli spazi indirizzi sovrapposti, scegliere uno degli approcci seguenti:
Ridimensionare una delle reti virtuali: rimuovere o modificare l'intervallo di indirizzi sovrapposto in modo che le due reti virtuali non condividono intervalli CIDR. Per altre informazioni, vedere Aggiornare lo spazio degli indirizzi per una rete virtuale con peering.
Importante
Prima di rimuovere un intervallo di indirizzi, assicurarsi che non vengano distribuite subnet o risorse all'interno di tale intervallo.
Usare Gestore di rete virtuale di Azure: se si gestiscono più reti virtuali con peering, usare il Gestore della rete virtuale di Azure con la
ConnectedGroupAddressOverlapproprietà impostata su Non consentito per impedire la sovrapposizione degli spazi di indirizzi nelle topologie a maglia.Pianificare gli spazi di indirizzi prima del peering: esaminare l'allocazione degli indirizzi di tutte le reti virtuali coinvolte prima di stabilire il peering. Usare una soluzione di gestione degli indirizzi IP centralizzata per evitare conflitti futuri.
Risolvere un problema di connettività di rete hub-spoke tra le reti virtuali spoke nella stessa regione.
Una rete hub deve includere una NVA (appliance virtuale di rete). Configurare le UDR negli spoke che hanno un'appliance virtuale di rete impostata come hop successivo e abilitare Consenti traffico inoltrato nella rete virtuale dell'hub.
Per ulteriori informazioni, vedere Service chaining e discutere questi requisiti con il fornitore NVA di vostra scelta.
Risolvere un problema di connettività di rete hub-spoke tra reti virtuali spoke in regioni diverse
Il transito tramite il peering di rete virtuale globale è ora supportato.
Per altre informazioni, vedere Topologie VPN diverse.
Risolvere un problema di connettività di rete hub-spoke tra un'app Web e la rete virtuale spoke
Per risolvere questo problema:
- Accedere al portale di Azure.
- Nell'app Web selezionare Rete e quindi Integrazione rete virtuale.
- Controllare se è possibile visualizzare la rete virtuale remota. Immettere manualmente lo spazio degli indirizzi della rete virtuale remota (Sincronizza rete e Aggiungi route).
Per altre informazioni, vedere gli articoli seguenti:
Diagnosticare e risolvere un messaggio di errore nella configurazione del peering di rete virtuale
Il tenant attuale <TENANT ID> non è autorizzato ad accedere alla sottoscrizione collegata
Per risolvere questo problema, vedere Effettuare una connessione di rete virtuale tra sottoscrizioni diverse.
Non connesso
Per risolvere questo problema, eliminare i peering da entrambe le reti virtuali e quindi ricrearli.
Impossibile eseguire il peering di una rete virtuale di Databricks
Per risolvere questo problema, configurare il peering di rete virtuale in Azure Databricks e quindi specificare la rete virtuale di destinazione usando l'ID risorsa. Per ulteriori informazioni, consultare Associare una rete virtuale di Databricks a una rete virtuale remota.
La rete virtuale remota non dispone di un gateway
Questo problema si verifica quando si esegue il peering di reti virtuali da tenant diversi e in un secondo momento si vuole configurare Use Remote Gateways. Il portale di Azure non è in grado di verificare se è presente un gateway di rete virtuale nella rete virtuale di un altro tenant.
Per risolvere il problema, è possibile:
- Eliminare i peering e selezionare l'opzione
Use Remote Gatewaysquando si crea un nuovo peering. - Usare PowerShell o l'interfaccia della riga di comando anziché il portale di Azure per abilitare
Use Remote Gateways.
Passaggi successivi
- Risoluzione dei problemi di connettività tra macchine virtuali Azure
- Panoramica di Network Watcher : usare la risoluzione dei problemi di connessione, la verifica del flusso IP, l'hop successivo e le route efficaci per diagnosticare i problemi di connettività del peering.