Estendere una rete locale con ExpressRoute

Questa architettura di riferimento illustra come connettere una rete locale a reti virtuali in Azure usando Azure ExpressRoute. Le connessioni ExpressRoute usano una connessione dedicata privata tramite un provider di connettività di terze parti. La connessione privata estende la rete locale in Azure.

Architettura

Scaricare un file di Visio di questa architettura.

Workflow

L'architettura è costituita dai componenti seguenti.

• Rete aziendale locale. Una rete LAN privata in esecuzione all'interno di un'organizzazione.

• Circuito ExpressRoute. Un circuito di livello 2 o di livello 3 fornito dal provider di connettività che unisce la rete locale ad Azure attraverso i router perimetrali. Il circuito usa l'infrastruttura hardware gestita dal provider di connettività.

• Router perimetrali locali. Router che connettono la rete locale al circuito gestito dal provider. A seconda di come viene eseguito il provisioning della connessione, è necessario fornire gli indirizzi IP pubblici usati dai router.

• Router perimetrali Microsoft. Due router in una configurazione a disponibilità elevata di tipo attivo-attivo. Questi router consentono a un provider di connettività di connettere i circuiti direttamente al data center. A seconda di come viene eseguito il provisioning della connessione, è necessario fornire gli indirizzi IP pubblici usati dai router.

• Reti virtuali di Azure. Ogni rete virtuale si trova in una singola area di Azure e può contenere più livelli applicazione. I livelli applicazione possono essere segmentati usando subnet in ogni rete virtuale.

• Servizi pubblici di Azure. Servizi di Azure che possono essere usati all'interno di un'applicazione ibrida. Questi servizi sono disponibili anche tramite Internet, ma l'accesso tramite un circuito ExpressRoute assicura bassa latenza e prestazioni più prevedibili, perché il traffico non passa attraverso Internet.

• Servizi di Microsoft 365. Le applicazioni e i servizi di Microsoft 365 disponibili pubblicamente forniti da Microsoft. Le connessioni vengono eseguite usando il peering Microsoft, con indirizzi di proprietà dell'organizzazione o forniti dal provider di connettività. È inoltre possibile connettersi direttamente a Microsoft CRM Online tramite il peering Microsoft.

• Provider di connettività (non visualizzato). Società che forniscono una connessione usando la connettività di livello 2 o di livello 3 tra il data center dell'utente e un data center di Azure.

Componenti

• Azure ExpressRoute. ExpressRoute consente di estendere le reti locali nel cloud Microsoft tramite una connessione privata, con l'aiuto di un provider di connettività. Con ExpressRoute è possibile stabilire connessioni ai servizi cloud Microsoft, come Microsoft Azure e Microsoft 365.

• Rete virtuale di Azure. Rete virtuale di Azure (VNet) è il blocco predefinito fondamentale per la rete privata in Azure. La rete virtuale consente a molti tipi di risorse di Azure, ad esempio azure Macchine virtuali (VM), di comunicare in modo sicuro tra loro, Internet e reti locali.

Consigli

Le raccomandazioni seguenti sono valide per la maggior parte degli scenari. Seguire queste indicazioni, a meno che non si disponga di un requisito specifico che le escluda.

Provider di connettività

Selezionare un provider di connettività ExpressRoute adatto alla propria località. Per ottenere un elenco di provider di connettività disponibili per la propria località, usare il comando di Azure PowerShell seguente:

Get-AzExpressRouteServiceProvider

I provider di connettività di ExpressRoute connettono il data center dell'utente a Microsoft nei modi seguenti:

• Percorso condiviso in una struttura con scambio cloud. Se ci si trova in una struttura con uno scambio cloud, è possibile ordinare connessioni incrociate virtuali ad Azure tramite lo scambio Ethernet del provider di condivisione della posizione. I provider di condivisione del percorso possono fornire connessioni incrociate di livello 2 oppure gestite di livello 3 tra l'infrastruttura nella struttura di condivisione percorso e Azure.
• Connessioni Ethernet da punto a punto. È possibile connettere i data center o gli uffici locali ad Azure tramite collegamenti Ethernet punto a punto. I provider Ethernet punto a punto forniscono connessioni di livello 2 o connessioni gestite di livello 3 tra la sede dell'utente e Azure.
• Reti Any-to-any (IPVPN). È possibile integrare una rete WAN con Azure. I provider IPVPN (in genere VPN MPLS) forniscono connettività any-to-any tra le succursali e i data center. Azure può essere interconnesso a una rete WAN in modo che abbia l'aspetto di qualsiasi altra succursale. I provider WAN offrono in genere connettività gestita di livello 3.

Per altre informazioni sui provider di connettività, vedere Introduzione a ExpressRoute.

Circuito ExpressRoute

Assicurarsi che l'organizzazione sia in linea con i Prerequisiti di ExpressRoute per connettersi ad Azure.

Se non è già stato fatto, aggiungere una subnet denominata GatewaySubnet alla rete virtuale di Azure e creare un gateway di rete virtuale ExpressRoute tramite il servizio gateway VPN di Azure. Per altre informazioni su questo processo, vedere Flussi di lavoro ExpressRoute per provisioning di un circuito e stati di circuito.

Creare un circuito ExpressRoute nel modo seguente:

1. Eseguire il comando PowerShell seguente:

   New-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>> -Location <<location>> -SkuTier <<sku-tier>> -SkuFamily <<sku-family>> -ServiceProviderName <<service-provider-name>> -PeeringLocation <<peering-location>> -BandwidthInMbps <<bandwidth-in-mbps>>
   

2. Inviare ServiceKey per il nuovo percorso al provider di servizi.

3. Attendere che il provider esegua il provisioning del circuito. Per verificare lo stato del provisioning di un circuito, eseguire il seguente comando PowerShell:

   Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
   

   Il campo Provisioning state nella sezione Service Provider dell'output che passerà da NotProvisioned a Provisioned quando il circuito è pronto.

   Nota

   Se si usa una connessione di livello 3, il provider deve configurare e gestire il routing per l'utente. Fornire le informazioni necessarie per consentire al provider di implementare le route appropriate.

4. Se si usa una connessione di livello 2:

   1. Riservare due subnet /30 costituite da indirizzi IP pubblici validi per ogni tipo di peering che si vuole implementare. Queste subnet /30 verranno usate per fornire indirizzi IP per i router usati per il circuito. Se si implementa il peering privato e Microsoft, sono necessarie 4 subnet /30 con indirizzi IP pubblici validi.

   2. Configurare il routing per il circuito ExpressRoute. Eseguire i comandi di PowerShell seguenti per ogni tipo di peering che si vuole configurare (privato e Microsoft). Per altre informazioni, vedere Creare e modificare il routing per un circuito ExpressRoute.

      Set-AzExpressRouteCircuitPeeringConfig -Name <<peering-name>> -ExpressRouteCircuit <<circuit-name>> -PeeringType <<peering-type>> -PeerASN <<peer-asn>> -PrimaryPeerAddressPrefix <<primary-peer-address-prefix>> -SecondaryPeerAddressPrefix <<secondary-peer-address-prefix>> -VlanId <<vlan-id>>
      
      Set-AzExpressRouteCircuit -ExpressRouteCircuit <<circuit-name>>
      

   3. Riservare un altro pool di indirizzi IP pubblici validi da usare per nat (Network Address Translation) per il peering Microsoft. È consigliabile disporre di un pool diverso per ogni tipo di peering. Specificare il pool al provider di connettività, per consentirgli di configurare gli annunci BGP (Border Gateway Protocol) per tali intervalli.

5. Eseguire i comandi PowerShell seguenti per collegare le reti virtuali al circuito ExpressRoute. Per altre informazioni, vedere Collegare una rete virtuale a un circuito ExpressRoute.

   $circuit = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
   $gw = Get-AzVirtualNetworkGateway -Name <<gateway-name>> -ResourceGroupName <<resource-group>>
   New-AzVirtualNetworkGatewayConnection -Name <<connection-name>> -ResourceGroupName <<resource-group>> -Location <<location> -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute
   

È possibile connettere più reti virtuali situate in diverse aree dello stesso circuito ExpressRoute, a condizione che tutte le reti virtuali e il circuito ExpressRoute si trovino nella stessa area geopolitica.

Risoluzione dei problemi

Se un circuito ExpressRoute precedentemente funzionante non si connette, in assenza di eventuali modifiche di configurazione in locale o all'interno della rete virtuale privata, potrebbe essere necessario contattare il provider di connettività e collaborare con lui per risolvere il problema. Usare i comandi di PowerShell seguenti per verificare che sia stato effettuato il provisioning del circuito ExpressRoute:

Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

L'output di questo comando mostra diverse proprietà per il circuito, tra cui ProvisioningState, CircuitProvisioningState e ServiceProviderProvisioningState come illustrato di seguito.

ProvisioningState                : Succeeded
Sku                              : {
                                     "Name": "Standard_MeteredData",
                                     "Tier": "Standard",
                                     "Family": "MeteredData"
                                   }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : NotProvisioned

Se ProvisioningState non è impostato su Succeeded dopo aver tentato di creare un nuovo circuito, rimuovere il circuito usando il comando di seguito e tentare di ricrearlo.

Remove-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

Se il provider ha già eseguito il provisioning del circuito e ProvisioningState è impostato su Failed o CircuitProvisioningState non Enabled contattare il provider per ulteriore assistenza.

Considerazioni

Queste considerazioni implementano i pilastri di Azure Well-Architected Framework, che è un set di set di principi guida che possono essere usati per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Framework ben progettato di Microsoft Azure.

Scalabilità

I circuiti ExpressRoute offrono un percorso di larghezza di banda elevata tra le reti. In genere, maggiore è la larghezza di banda maggiore sarà il costo.

ExpressRoute offre ai clienti due piani tariffari, un piano a consumo e un piano dati senza limiti. Gli addebiti variano a seconda della larghezza di banda del circuito. La larghezza di banda disponibile probabilmente varierà da provider a provider. Usare cmdlet Get-AzExpressRouteServiceProvider per visualizzare i provider disponibili nella propria area geografica e le larghezze di banda offerte.

Un singolo circuito ExpressRoute può supportare un determinato numero di peering e collegamenti di rete virtuale. Per altre informazioni, vedere Limiti di ExpressRoute.

Per un addebito aggiuntivo, il componente aggiuntivo ExpressRoute Premium offre alcune funzionalità aggiuntive:

• Aumento dei limiti di route per il peering privato.
• Maggior numero di collegamenti della rete virtuale per il circuito ExpressRoute.
• Connettività globale per i servizi.

Per altri dettagli, vedere Prezzi ExpressRoute.

I circuiti ExpressRoute sono progettati per consentire di potenziare fino al doppio il limite di larghezza di banda acquistato delle reti temporanee, senza alcun costo aggiuntivo. Questo risultato viene ottenuto tramite collegamenti ridondanti. Tuttavia, non tutti i provider di connettività supportano questa funzione. Verificare che il provider di connettività consenta questa funzionalità prima di dipendere da essa.

Anche se alcuni provider consentono di modificare la larghezza di banda, assicurarsi di scegliere una larghezza di banda iniziale superiore alle proprie esigenze e che offra spazio per la crescita. Se è necessario aumentare la larghezza di banda in futuro, restano a disposizione due opzioni:

• Aumentare la larghezza di banda. È consigliabile evitare questa opzione quando possibile inoltre, non tutti i provider consentono di aumentare in modo dinamico la larghezza di banda. Tuttavia, se è necessario un aumento della larghezza di banda, rivolgersi al provider per verificare che supportino la modifica delle proprietà della larghezza di banda di ExpressRoute tramite i comandi di PowerShell. In caso affermativo, eseguire i comandi riportati di seguito.

  $ckt = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
  $ckt.ServiceProviderProperties.BandwidthInMbps = <<bandwidth-in-mbps>>
  Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
  

  È possibile aumentare la larghezza di banda senza perdita di connettività. Il downgrade della larghezza di banda comporterà interruzioni della connettività, perché è necessario eliminare il circuito e ricrearlo con la nuova configurazione.

• Modificare il piano tariffario e/o eseguire l'aggiornamento a Premium. A tale scopo, eseguire i comandi seguenti. La proprietà Sku.Tier può essere Standard o Premium; la proprietà Sku.Name può essere MeteredData o UnlimitedData.

  $ckt = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
  
  $ckt.Sku.Tier = "Premium"
  $ckt.Sku.Family = "MeteredData"
  $ckt.Sku.Name = "Premium_MeteredData"
  
  Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
  

  Importante

  Verificare che la proprietà Sku.Name corrisponda a Sku.Tier e Sku.Family. Se si modifica la famiglia e il livello ma non il nome, la connessione verrà disabilitata.

  È possibile aggiornare lo SKU senza interruzioni, ma non è possibile passare dal piano tariffario illimitato a quello a consumo. Quando si esegue il downgrade dello SKU, il consumo di larghezza di banda deve rimanere entro il limite predefinito dello SKU standard.

Disponibilità

ExpressRoute non supporta protocolli di ridondanza router, ad esempio HSRP (Standby Routing Protocol) e VRRP (Virtual Router Redundancy Protocol) per implementare la disponibilità elevata. Usa invece una coppia ridondante di sessioni BGP per il peering. Per facilitare le connessioni a disponibilità elevata per la rete, Azure esegue il provisioning di due porte ridondanti su due router (parte di Microsoft Edge) in una configurazione di tipo attivo-attivo.

Per impostazione predefinita, le sessioni BGP usano un valore di timeout inattività di 60 secondi. In caso di tre timeout della sessione (180 secondi in totale), il router viene contrassegnato come non disponibile e tutto il traffico viene reindirizzato al router rimanente. Questo timeout di 180 secondi potrebbe essere troppo lungo per le applicazioni critiche. In questo caso, è possibile modificare le impostazioni di timeout BGP sul router locale su un valore inferiore. ExpressRoute supporta anche il rilevamento dell'inoltro bidirezionale (BFD) tramite peering privato. Abilitando questa funzionalità su ExpressRoute, è possibile accelerare il rilevamento degli errori di collegamento tra i dispositivi Microsoft Enterprise Edge (MSEE) e i router su cui termina il circuito ExpressRoute (PE). È possibile terminare ExpressRoute sui dispositivi di routing Edge di clienti o partner (se si è usato il servizio di connessione gestita di livello 3).

È possibile configurare la disponibilità elevata per la connessione di Azure in modi diversi, in base al tipo di provider in uso e al numero di circuiti ExpressRoute e di connessioni del gateway di rete virtuale che si desidera configurare. Di seguito sono riepilogate le opzioni di disponibilità:

• Se si usa una connessione di livello 2, distribuire router ridondanti nella rete locale in una configurazione di tipo attivo-attivo. Connettere il circuito primario a un router e il circuito secondario all'altro. In questo modo si otterrà una connessione a disponibilità elevata a entrambe le estremità della connessione. Questo è necessario se si richiede il contratto di servizio di ExpressRoute. Per altri dettagli, vedere Contratto di servizio per Azure ExpressRoute.

  Il diagramma seguente illustra una configurazione con router ridondanti locali connessi ai circuiti primari e secondari. Ogni circuito gestisce il traffico per il peering privato (ogni peering è designato una coppia di spazi di indirizzi /30, come descritto nella sezione precedente).

  

• Se si usa una connessione di livello 3, verificare che fornisca sessioni BGP ridondanti che gestiscono la disponibilità per l'utente.

• Connettere la rete virtuale a più circuiti ExpressRoute, forniti da diversi provider di servizi. Questa strategia offre funzionalità di disponibilità elevata e di ripristino di emergenza aggiuntive.

• Configurare una VPN da sito a sito come percorso di failover per ExpressRoute. Per altre informazioni su questa opzione, vedere Connettere una rete locale ad Azure tramite ExpressRoute con failover VPN. Questa opzione si applica solo al peering privato. Per i servizi di Azure e Microsoft 365, Internet è l'unico percorso di failover.

Sicurezza

La sicurezza offre garanzie contro attacchi intenzionali e l'abuso di dati e sistemi preziosi. Per altre informazioni, vedere Panoramica del pilastro della sicurezza.

È possibile configurare opzioni di sicurezza per la connessione di Azure in diversi modi, a seconda delle preoccupazioni relative alla sicurezza e alle esigenze di conformità.

ExpressRoute funzione al livello 3. Le minacce a livello dell'applicazione possono essere impedite usando un dispositivo di sicurezza di rete per limitare il traffico alle risorse legittime.

Per ottimizzare la sicurezza, aggiungere dispositivi di sicurezza di rete tra la rete locale e i router perimetrali dei provider. Ciò è utile per limitare il carico del traffico non autorizzato dalla rete virtuale:

Per motivi di conformità o di controllo, potrebbe essere necessario impedire l'accesso diretto da componenti in esecuzione nella rete virtuale a Internet e implementare il tunneling forzato. In questo caso, il traffico Internet dovrà essere reindirizzato tramite un proxy eseguito in locale in cui può essere controllato. Il proxy può essere configurato per bloccare i flussi di traffico in uscita non autorizzato e filtrare il traffico in ingresso potenzialmente dannoso.

Per ottimizzare la sicurezza, non abilitare un indirizzo IP pubblico per le macchine virtuali e usare gruppi di sicurezza di rete per assicurarsi che tali macchine virtuali non siano accessibili pubblicamente. È consigliabile rendere disponibili le macchine virtuali solo tramite l'indirizzo IP interno. Questi indirizzi possono essere resi accessibili tramite la rete di ExpressRoute, consentendo al personale DevOps locale di eseguire la configurazione o la manutenzione.

Se è necessario esporre gli endpoint di gestione per le macchine virtuali a una rete esterna, usare gruppi di sicurezza di rete o elenchi di controllo di accesso per limitare la visibilità di queste porte a un elenco di indirizzi IP o reti consentiti.

Monitoraggio della rete

Usare Network Watcher per monitorare e risolvere i problemi dei componenti di rete, gli strumenti come Analisi del traffico mostreranno i sistemi nelle reti virtuali che generano la maggior parte del traffico, in modo da poter identificare visivamente i colli di bottiglia prima che vengano degenerati in problemi. Network Performance Manager ha la possibilità di monitorare le informazioni sui circuiti Microsoft ExpressRoute.

È anche possibile usare Azure Connessione ivity Toolkit (AzureCT) per monitorare la connettività tra il data center locale e Azure.

Per altre informazioni, vedere la sezione DevOps in Microsoft Azure Well-Architected Framework. Per informazioni specifiche per il monitoraggio, vedere Monitoraggio per DevOps.

Ottimizzazione dei costi

L'ottimizzazione dei costi riguarda l'analisi dei modi per ridurre le spese non necessarie e migliorare l'efficienza operativa. Per altre informazioni, vedere Panoramica del pilastro di ottimizzazione dei costi.

Usare il calcolatore dei prezzi di Azure per stimare i costi.

Le sezioni successive illustrano gli addebiti del servizio usati in questa architettura.

Azure ExpressRoute

In questa architettura viene usato un circuito ExpressRoute per aggiungere la rete locale ad Azure tramite i router perimetrali.

Ci sono due piani principali. Nel piano dati a consumo, tutto il trasferimento dei dati in ingresso è gratuito. Tutto il trasferimento dei dati in uscita viene addebitato in base a una tariffa pre-determinata.

È anche possibile scegliere il piano Dati illimitato in cui il trasferimento dei dati in ingresso e in uscita è gratuito. Agli utenti viene addebitata una tariffa di porta mensile fissa in base alle porte duali a disponibilità elevata.

Calcolare l'utilizzo e scegliere un piano di fatturazione di conseguenza. Il piano dati senza limiti è consigliato se si supera circa il 68% dell'utilizzo.

Per altre informazioni, vedere Prezzi di ExpressRoute di Azure.

Rete virtuale di Azure

Tutti i livelli applicazione sono ospitati in una singola rete virtuale e vengono segmentati usando subnet.

La rete virtuale di Azure è gratuita. Per ogni sottoscrizione è possibile creare fino a 50 reti virtuali in tutte le aree. Tutto il traffico che si verifica entro i limiti di una rete virtuale è gratuito. Quindi, la comunicazione tra due macchine virtuali nella stessa rete virtuale è gratuita.

Passaggi successivi

Documentazione sui prodotti:

• Servizi di Microsoft 365
• Che cos'è Azure ExpressRoute?
• Che cos'è Azure Rete virtuale?

Moduli di Microsoft Learn:

• Configurare ExpressRoute e rete WAN virtuale
• Configurare il peering della rete virtuale
• Progettare e implementare Azure ExpressRoute
• Esplorare i servizi della piattaforma Microsoft 365

Risorse correlate

• Design dell'architettura ibrida
• Connessione una rete locale ad Azure tramite ExpressRoute
• Estendere una rete locale tramite VPN