• Cloud, Guide
• 9 Ottobre 2025

Azure Virtual Network Manager (AVNM) è la piattaforma centralizzata che consente di gestire, configurare e monitorare la connettività e la sicurezza delle reti virtuali in Azure. Attraverso AVNM possiamo definire regole e criteri comuni per più virtual network (VNet), applicarli a intere subscription o management group e automatizzare la gestione della connettività tramite network groups e connectivity configuration.

AVNM semplifica le operazioni di rete, riducendo la complessità tipica degli ambienti distribuiti e garantendo coerenza tra region e ambienti differenti. Oltre alle funzionalità di connettività e sicurezza, Azure Virtual Network Manager integra ora anche IP address management (IPAM), uno strumento fondamentale per la pianificazione e l’allocazione automatica dello spazio IP in Azure.

Introduzione a IP Address Management (IPAM)

Con Azure Virtual Network Manager possiamo oggi gestire in modo centralizzato e strutturato l’indirizzamento IP grazie alla funzionalità IP Address Management (IPAM).

IPAM ci permette di pianificare, assegnare e controllare in modo uniforme lo spazio IP di tutte le nostre Virtual Network (VNet) in Azure, definendo pool gerarchici di indirizzi IP che vengono automaticamente allocati alle risorse durante la creazione.

In questo modo possiamo evitare conflitti di indirizzo, semplificare il capacity planning e ridurre gli errori manuali.

La funzionalità supporta la creazione di root pool e child pool, la prenotazione di CIDR statici per ambienti on-premises o risorse non gestite da IPAM (come Virtual WAN hub o Azure VMware Private Cloud), e la possibilità di integrare il tutto con Azure Policy per garantire la conformità automatica.

Prerequisiti

Per utilizzare IPAM è necessario disporre di una subscription Azure attiva e di un’istanza di Azure Virtual Network Manager già creata nello scope corretto (subscription o management group).

Le virtual network da gestire devono trovarsi nella stessa region dei rispettivi IP address pool. Occorrono anche permessi adeguati: il ruolo Network Contributor per la gestione completa delle risorse, oppure il ruolo IPAM Pool User per delegare la sola gestione dei pool a utenti o gruppi specifici.

È inoltre consigliabile implementare una Azure Policy che impedisca la creazione di VNet con spazi IP non conformi o sovrapposti, garantendo così la coerenza complessiva dell’ambiente.

Creazione e configurazione dell’ambiente IPAM

Per prima cosa accediamo al portale di Azure e cerchiamo la voce Network managers.

Se non abbiamo ancora un Network Manager possiamo crearne uno nuovo, assegnando un nome, selezionando lo scope e specificando la region di interesse. Una volta creato, al suo interno troveremo il blade IP address management, da cui potremo iniziare a gestire i pool IP.

Figura 1: Creazione dell’istanza di Azure Virtual Network Manager (AVNM)

Inserite le informazioni richieste per la creazione del Virtual Network Manager.

Nella sezione Features è fondamentale per definire quali funzionalità il nuovo Azure Virtual Network Manager (AVNM) potrà gestire:

• Connectivity: Attivando questa opzione abilitiamo AVNM a configurare la connettività tra le virtual network incluse nel suo ambito.
  In pratica, possiamo creare network groups e applicare configurazioni di mesh o hub-and-spoke, che stabiliscono automaticamente le connessioni peer-to-peer tra VNet selezionate.
  È la funzionalità classica usata per centralizzare e automatizzare la gestione dei collegamenti di rete in Azure.
• Security admin: Questa funzionalità permette di definire regole di sicurezza di rete globali applicabili in modo coerente a tutte le VNet gestite.
  Attraverso le Security Admin Rules possiamo applicare policy che hanno priorità superiore rispetto alle regole di Network Security Group (NSG) locali.
  È utile per garantire che determinate comunicazioni — ad esempio il blocco di porte specifiche o la restrizione del traffico interregionale — siano sempre applicate, indipendentemente dalle configurazioni locali.
• User defined routing (UDR): Selezionando questa opzione consentiamo al Network Manager di gestire le rotte personalizzate (User Defined Routes) all’interno delle VNet.
  Serve per centralizzare e standardizzare i percorsi di rete, garantendo che tutto il traffico verso destinazioni specifiche (per esempio appliance di sicurezza, firewall o VPN gateway) segua rotte predefinite e coerenti tra più reti.

Io ho selezionato Connectivity perché in questo scenario il focus è sulla gestione degli indirizzi IP (IPAM) e delle connessioni di rete, mentre le altre due funzionalità possono essere abilitate successivamente se necessario.

Figura 2: Creazione dell’istanza di Azure Virtual Network Manager (AVNM)

Nella scheda Management scope selezionate la subscription o il management group che definirà l’ambito di gestione del nuovo Azure Virtual Network Manager.

Nel nostro esempio è stata scelta la subscription Azure MVP, che determinerà dove il servizio potrà applicare le configurazioni di rete e le funzionalità di IP Address Management (IPAM).

Figura 3: Creazione di un Virtual Network Manager: selezione dello scope di gestione

Figura 4: Schermata di riepilogo del wizard di creazione di Azure Virtual Network Manager

Figura 5: Azure Virtual Network Manager creato

Creazione dell’IP address pool

Dopo la creazione di Azure Virtual Network Manager possiamo procedere con la creazione di un IP address pool.

Un IP address pool è un contenitore logico che rappresenta uno spazio di indirizzamento IP (IPv4 o IPv6) gestito in modo centralizzato da Azure Virtual Network Manager (AVNM).

In pratica, il pool definisce un blocco di indirizzi IP (CIDR) che può essere suddiviso e allocato automaticamente alle virtual network (VNet) o ad altri pool “figli”.

L’obiettivo è garantire che non ci siano sovrapposizioni tra gli spazi IP assegnati alle varie reti Azure, eliminando la necessità di gestire manualmente i prefissi e i range IP.

Figura 6: Creazione di un IP address pool

Definite i parametri principali del pool, inserendo il nome e l’eventuale descrizione, scegliendo la region in cui verrà creato e lasciando vuoto il campo Parent pool per creare un root pool.

Il root pool rappresenta il livello iniziale della gerarchia IPAM da cui potranno derivare eventuali child pool dedicati a regioni, ambienti o team specifici.

Figura 7: Creazione di un IP address pool

Nella scheda IP addresses dovete definire il tipo di indirizzamento e lo spazio IP da gestire.

In questa fase selezionate se utilizzare indirizzi IPv4 o IPv6 e specificate lo starting address e la size (in notazione CIDR) del blocco, ad esempio 10.0.0.0/16.

Questo intervallo rappresenta lo spazio IP che utilizzerete per le allocazioni automatiche delle virtual network gestite tramite IPAM.

Figura 8: Definizione degli indirizzi IP da gestire

Figura 9: Schermata di riepilogo del wizard di creazione dell’IP Address Pool

Figura 10: IP Address Pool creato

Dopo aver creato il pool, potete iniziare a gestire le allocazioni cliccando sul pulsante Allocate. Questa operazione vi consente di creare child pool, associare risorse come virtual network oppure riservare blocchi static CIDR all’interno dello spazio di indirizzamento gestito da IPAM.

Figura 11: Gestione del pool e avvio dell’allocazione degli indirizzi IP

Nella sezione Allocations potete visualizzare lo stato del pool e le risorse attualmente associate.

Da qui potete creare un child pool, riservare blocchi static CIDR oppure cliccare su Associate resources per associare una o più virtual network al pool.

In questo modo IPAM assegnerà automaticamente un intervallo IP non sovrapposto a ciascuna rete virtuale selezionata.

Figura 12: Allocazione degli indirizzi IP dal pool

Nella finestra Associate virtual networks selezionate le VNet che desiderate associare al pool di indirizzi, in questo caso Dev-VNET e Prod-VNET.

Dopo averle selezionate, cliccate su Associate per completare l’operazione.

Figura 13: Associazione delle virtual network al pool IPAM

Dopo l’associazione, nella sezione Allocations potete vedere le VNet che avete collegato al pool, in questo caso Prod-VNET e Dev-VNET.

Per ciascuna rete viene mostrato l’intervallo di indirizzi assegnato, il numero di IP disponibili e lo stato dell’allocazione, indicato come Allocated.

In questa vista potete monitorare in tempo reale l’utilizzo dello spazio IP e verificare che le allocazioni non si sovrappongano all’interno del pool.

Figura 14: Visualizzazione delle allocazioni IP associate al pool

Nella sezione Allocations potete creare anche blocchi di indirizzi riservati cliccando su Allocate static CIDRs.

Uno static CIDR serve per riservare manualmente un intervallo di indirizzi IP all’interno del pool, senza associarlo direttamente a una risorsa gestita da IPAM.

Questa funzionalità è utile quando dovete tenere conto di spazi IP utilizzati da ambienti on-premises, reti legacy, Virtual WAN hub o altre soluzioni Azure non gestite direttamente da IPAM.

In questo modo potete garantire che anche gli indirizzi assegnati esternamente non si sovrappongano con quelli gestiti automaticamente da Azure. Bello no?

Figura 15: Allocazione di blocchi static CIDR

Nella finestra Allocate static CIDR from pool potete riservare manualmente, come ho già scritto prima, un intervallo di indirizzi all’interno del pool IP.

Inserite un nome descrittivo, ad esempio On-Prem, e specificate lo starting address e la size del blocco, come 10.0.10.0/23.

Cliccando su Allocate, lo spazio IP selezionato verrà marcato come riservato, evitando che venga utilizzato per allocazioni automatiche di altre risorse.

Figura 16: Creazione di uno static CIDR dal pool

Dopo aver completato l’allocazione, nella sezione Allocations potete vedere il nuovo blocco static CIDR elencato tra le risorse del pool.

Nel nostro esempio è stato riservato l’intervallo 10.0.10.0/23, contrassegnato con lo stato Allocated.

Figura 17: Visualizzazione del blocco static CIDR allocato

Nella figura sotto potete visualizzare il riepilogo completo delle allocazioni totali presenti nel pool. Nel nostro esempio risultano tre allocazioni: due risorse associate (Prod-VNET e Dev-VNET) e un blocco static CIDR riservato (On-Prem).

Questa vista vi consente di avere sotto controllo l’intero spazio IP del pool, distinguendo chiaramente tra indirizzi assegnati alle risorse gestite e intervalli riservati manualmente.

Figura 18: Riepilogo delle allocazioni IP effettuate

Dalla sezione Allocations potete cliccare su Create child pool per creare un nuovo pool figlio all’interno del pool principale.

Un child pool serve per suddividere lo spazio di indirizzamento in blocchi più piccoli e gestibili, ad esempio separando gli indirizzi in base a regioni, ambienti (Produzione, Test, Sviluppo) o team.

In questo modo potete organizzare la vostra architettura IP in modo gerarchico e coerente.

Figura 19: Creazione di un child pool

Nel wizard di creazione del child pool dovete specificare il nome, il display name, la regione e, se necessario, una descrizione per identificare lo scopo del pool.

Notate che il campo Parent pool è valorizzato automaticamente con il pool principale da cui deriva (in questo caso Italy-IPpool).

La creazione di un child pool consente di delegare porzioni dello spazio IP principale per gestire in modo indipendente specifici carichi di lavoro, come le reti di management, test o dev, mantenendo comunque la governance centralizzata garantita da Azure IPAM.

Figura 20: Creazione del child pool “Italy-ManagementPool”

Nella scheda IP addresses potete definire lo spazio di indirizzamento che verrà assegnato al nuovo child pool.

Viene mostrato il Parent pool di riferimento, insieme allo spazio IP disponibile, che in questo caso corrisponde al pool principale Italy-IPpool. Specificate l’indirizzo iniziale (10.0.254.0) e la dimensione del blocco (/24).

Figura 21: Configurazione dell’indirizzamento del child pool

Nella scheda Review + create potete rivedere il riepilogo delle impostazioni configurate per il nuovo child pool, prima di confermare la creazione.

Una volta verificati i parametri, potete selezionare Create per completare la creazione.

Figura 22: Schermata finale del wizard di creazione del child pool

Dopo la creazione, nella sezione Allocations del pool principale potete visualizzare tutte le allocazioni effettuate. In questo esempio, il child pool
Italy-ManagementPool è stato aggiunto con successo, con uno spazio di indirizzamento di 10.0.254.0/24, composto da 256 indirizzi IP.

L’indicatore mostra ora 4 allocazioni totali, suddivise tra risorse associate, static CIDR e child pools.

Figura 23: Verifica del child pool creato

Creazione di una nuova Virtual Network utilizzando un pool IP

Quando Azure Virtual Network Manager con IP Address Management (IPAM) è attivo, avete la possibilità di utilizzare direttamente un pool IP definito in precedenza per assegnare in automatico un CIDR non sovrapposto alla nuova VNet.

In questo modo Azure garantisce che lo spazio di indirizzamento selezionato non vada in conflitto con subnet o reti già esistenti all’interno della vostra organizzazione, semplificando la governance degli indirizzi e migliorando la coerenza dell’architettura di rete.

Questa integrazione vi consente di creare nuove VNet in modo più rapido e sicuro, evitando errori manuali nella pianificazione degli spazi IP.

Figura 24: Creazione di una nuova Azure Virtual Network

Nella scheda Security potete abilitare servizi aggiuntivi per migliorare la protezione della vostra rete virtuale.

Tra le opzioni disponibili trovate Virtual Network Encryption, che consente di cifrare il traffico interno tra le risorse della rete; Azure Bastion, che permette l’accesso sicuro alle macchine virtuali tramite RDP o SSH senza esporre indirizzi IP pubblici; Azure Firewall, che fornisce un servizio di sicurezza gestito e centralizzato; e Azure DDoS Network Protection, che offre difese avanzate contro attacchi di tipo Distributed Denial of Service.

Figura 25: Configurazione delle opzioni di sicurezza della Azure Virtual Network

Nella scheda IP addresses del wizard di creazione della Virtual Network, potete selezionare l’opzione Allocate using IP address pools per utilizzare uno degli address pool gestiti da Azure IPAM.

Cliccando su Select an IP address pool, si apre il pannello di selezione dove potete scegliere, tra i pool disponibili, quello da cui la nuova rete virtuale riceverà in automatico un intervallo di indirizzi non sovrapposto.

In questo esempio viene scelto il child pool “Italy-ManagementPool”, già configurato in precedenza con lo spazio di indirizzamento 10.0.254.0/24.

Figura 26: Associazione di un IP address pool alla Azure Virtual Network

Figura 27: Selezione e utilizzo di un IP address pool nella creazione di una Virtual Network

Nella schermata Review + create, Azure mostra il riepilogo della configurazione prima del deploy della Virtual Network. Come si può vedere, il campo IPv4 IP address pool riporta il pool selezionato (Italy-ManagementPool), confermando che l’indirizzamento della VNet è stato ottenuto in modo automatico e coerente tramite Azure IPAM.

Una volta completata la validazione, è sufficiente cliccare su Create per distribuire la rete virtuale con l’indirizzamento gestito dal pool.

Figura 28: Schermata finale del wizard di creazione della Virtual Network con IPAM integration

Dopo la creazione, nella sezione Address space della Virtual Network è possibile verificare che lo spazio di indirizzi (10.0.254.0/24) provenga dal pool gestito da IPAM (Italy-ManagementPool).

Questa schermata conferma che:

• Il range di indirizzi è stato assegnato automaticamente dal pool, evitando sovrapposizioni con altre reti;
• la VNet mantiene un collegamento diretto con il pool IP, semplificando la gestione e l’eventuale riallocazione futura;
• tutte le informazioni relative a range e dimensione dello spazio IP restano centralizzate nel sistema di gestione degli indirizzi (Azure IPAM).

Figura 29: Conferma dell’indirizzamento assegnato tramite IP Address Pool

Dalla sezione Address space della Virtual Network è possibile, in qualsiasi momento, modificare l’IP address pool associato.

Facendo clic su Change IP address pool, si apre la finestra di selezione dove potete scegliere un diverso pool disponibile nella stessa subscription e regione.

Questa funzionalità è utile quando:

• volete riallocare la VNet sotto un nuovo spazio IP gestito da un differente pool;
• desiderate ristrutturare l’indirizzamento per una migliore segmentazione o per evitare sovrapposizioni future;
• dovete allineare la rete a una politica di governance IP centralizzata.

Figura 30: Modifica dell’IP address pool associato alla Azure Virtual Network

Nella sezione delle allocazioni del pool Italy-ManagementPool viene mostrato in modo chiaro come lo spazio di indirizzi 10.0.254.0/24 sia stato completamente utilizzato per la creazione della rete virtuale Management-VNET. La barra rossa in alto indica infatti che il 100% degli indirizzi di questo intervallo è stato assegnato.

La tabella nella parte inferiore permette di vedere il collegamento diretto tra il pool e la risorsa che lo utilizza: qui compare la Management-VNET con il relativo spazio di indirizzi e lo stato dell’allocazione, che risulta Allocated. In pratica, Azure IPAM sta tracciando e gestendo automaticamente l’uso dello spazio IP, mantenendo una visione centralizzata di tutte le risorse che lo consumano.

Figura 31: Allocazioni visualizzate dal Management Pool

Conclusioni

Le funzionalità di IP Address Management (IPAM) integrate in Azure Virtual Network Manager (AVNM) permettono di gestire in maniera centralizzata, coerente e automatizzata gli spazi di indirizzamento IP all’interno di un ambiente Azure complesso.

L’integrazione di IPAM in Azure Virtual Network Manager rappresenta un notevole passo avanti verso una gestione intelligente e automatizzata delle reti cloud, dove la coerenza dell’indirizzamento, la tracciabilità delle assegnazioni e la riduzione degli errori manuali diventano elementi fondamentali per mantenere infrastrutture sicure, ordinate e facilmente scalabili.

A proposito, avete già dato un’occhiata alla mia guida Windows Server 2025 – IP Address Management (IPAM)?