Connettere una rete locale ad Azure tramite ExpressRouteConnect an on-premises network to Azure using ExpressRoute

Questa architettura di riferimento illustra come connettere una rete locale a reti virtuali in Azure usando Azure ExpressRoute.This reference architecture shows how to connect an on-premises network to virtual networks on Azure, using Azure ExpressRoute. Le connessioni ExpressRoute usano una connessione privata dedicata tramite un provider di connettività di terze parti.ExpressRoute connections use a private, dedicated connection through a third-party connectivity provider. La connessione privata estende la rete locale in Azure.The private connection extends your on-premises network into Azure. Distribuire questa soluzione.Deploy this solution.

00

Scaricare un file di Visio di questa architettura.Download a Visio file of this architecture.

ArchitectureArchitecture

L'architettura è costituita dai componenti seguenti.The architecture consists of the following components.

  • Rete aziendale locale.On-premises corporate network. Una rete LAN privata in esecuzione all'interno di un'organizzazione.A private local-area network running within an organization.

  • Circuito ExpressRoute.ExpressRoute circuit. Un circuito di livello 2 o di livello 3 fornito dal provider di connettività che unisce la rete locale ad Azure attraverso i router perimetrali.A layer 2 or layer 3 circuit supplied by the connectivity provider that joins the on-premises network with Azure through the edge routers. Il circuito usa l'infrastruttura hardware gestita dal provider di connettività.The circuit uses the hardware infrastructure managed by the connectivity provider.

  • Router perimetrali locali.Local edge routers. Router che connettono la rete locale al circuito gestito dal provider.Routers that connect the on-premises network to the circuit managed by the provider. A seconda di come viene eseguito il provisioning della connessione, è necessario fornire gli indirizzi IP pubblici usati dai router.Depending on how your connection is provisioned, you may need to provide the public IP addresses used by the routers.

  • Router perimetrali Microsoft.Microsoft edge routers. Due router in una configurazione a disponibilità elevata di tipo attivo-attivo.Two routers in an active-active highly available configuration. Questi router consentono a un provider di connettività di connettere i circuiti direttamente al data center.These routers enable a connectivity provider to connect their circuits directly to their datacenter. A seconda di come viene eseguito il provisioning della connessione, è necessario fornire gli indirizzi IP pubblici usati dai router.Depending on how your connection is provisioned, you may need to provide the public IP addresses used by the routers.

  • Reti virtuali di Azure.Azure virtual networks (VNets). Ogni rete virtuale si trova in una singola area di Azure e può contenere più livelli applicazione.Each VNet resides in a single Azure region, and can host multiple application tiers. I livelli applicazione possono essere segmentati usando subnet in ogni rete virtuale.Application tiers can be segmented using subnets in each VNet.

  • Servizi pubblici di Azure.Azure public services. Servizi di Azure che possono essere usati all'interno di un'applicazione ibrida.Azure services that can be used within a hybrid application. Questi servizi sono disponibili anche tramite Internet, ma l'accesso tramite un circuito ExpressRoute assicura bassa latenza e prestazioni più prevedibili, perché il traffico non passa attraverso Internet.These services are also available over the Internet, but accessing them using an ExpressRoute circuit provides low latency and more predictable performance, because traffic does not go through the Internet.

  • Servizi Office 365.Office 365 services. Le applicazioni e i servizi di Office 365 disponibili pubblicamente forniti da Microsoft.The publicly available Office 365 applications and services provided by Microsoft. Le connessioni vengono eseguite usando il peering Microsoft, con indirizzi di proprietà dell'organizzazione o forniti dal provider di connettività.Connections are performed using Microsoft peering, with addresses that are either owned by your organization or supplied by your connectivity provider. È inoltre possibile connettersi direttamente a Microsoft CRM Online tramite il peering Microsoft.You can also connect directly to Microsoft CRM Online through Microsoft peering.

  • Provider di connettività (non visualizzato).Connectivity providers (not shown). Società che forniscono una connessione usando la connettività di livello 2 o di livello 3 tra il data center dell'utente e un data center di Azure.Companies that provide a connection either using layer 2 or layer 3 connectivity between your datacenter and an Azure datacenter.

ConsigliRecommendations

Le raccomandazioni seguenti sono valide per la maggior parte degli scenari.The following recommendations apply for most scenarios. Seguire queste indicazioni, a meno che non si disponga di un requisito specifico che le escluda.Follow these recommendations unless you have a specific requirement that overrides them.

Provider di connettivitàConnectivity providers

Selezionare un provider di connettività ExpressRoute adatto alla propria località.Select a suitable ExpressRoute connectivity provider for your location. Per ottenere un elenco di provider di connettività disponibili per la propria località, usare il comando di Azure PowerShell seguente:To get a list of connectivity providers available at your location, use the following Azure PowerShell command:

Get-AzureRmExpressRouteServiceProvider

I provider di connettività di ExpressRoute connettono il data center dell'utente a Microsoft nei modi seguenti:ExpressRoute connectivity providers connect your datacenter to Microsoft in the following ways:

  • Percorso condiviso in uno scambio cloud.Co-located at a cloud exchange. Se si dispone di un percorso condiviso in una struttura con scambio cloud, è possibile ordinare Cross-Connection virtuali in Azure tramite lo scambio Ethernet del provider di condivisione percorso.If you're co-located in a facility with a cloud exchange, you can order virtual cross-connections to Azure through the co-location provider's Ethernet exchange. I provider di condivisione del percorso possono fornire connessioni incrociate di livello 2 oppure gestite di livello 3 tra l'infrastruttura nella struttura di condivisione percorso e Azure.Co-location providers can offer either layer 2 cross-connections, or managed layer 3 cross-connections between your infrastructure in the co-location facility and Azure.
  • Connessioni Ethernet da punto a punto.Point-to-point Ethernet connections. È possibile connettere i data center o gli uffici locali ad Azure tramite collegamenti Ethernet punto a punto.You can connect your on-premises datacenters/offices to Azure through point-to-point Ethernet links. I provider Ethernet punto a punto forniscono connessioni di livello 2 o connessioni gestite di livello 3 tra la sede dell'utente e Azure.Point-to-point Ethernet providers can offer layer 2 connections, or managed layer 3 connections between your site and Azure.
  • Reti any-to-any (IPVPN).Any-to-any (IPVPN) networks. È possibile integrare una rete WAN con Azure.You can integrate your wide area network (WAN) with Azure. I provider IPVPN (in genere VPN MPLS) forniscono connettività any-to-any tra le succursali e i data center.Internet protocol virtual private network (IPVPN) providers (typically a multiprotocol label switching VPN) offer any-to-any connectivity between your branch offices and datacenters. Azure può essere interconnesso a una rete WAN in modo che abbia l'aspetto di qualsiasi altra succursale.Azure can be interconnected to your WAN to make it look just like any other branch office. I provider WAN offrono in genere connettività gestita di livello 3.WAN providers typically offer managed layer 3 connectivity.

Per altre informazioni sui provider di connettività, vedere Introduzione a ExpressRoute.For more information about connectivity providers, see the ExpressRoute introduction.

Circuito ExpressRouteExpressRoute circuit

Assicurarsi che l'organizzazione sia in linea con i Prerequisiti di ExpressRoute per connettersi ad Azure.Ensure that your organization has met the ExpressRoute prerequisite requirements for connecting to Azure.

Se non è già stato fatto, aggiungere una subnet denominata GatewaySubnet alla rete virtuale di Azure e creare un gateway di rete virtuale ExpressRoute tramite il servizio gateway VPN di Azure.If you haven't already done so, add a subnet named GatewaySubnet to your Azure VNet and create an ExpressRoute virtual network gateway using the Azure VPN gateway service. Per altre informazioni su questo processo, vedere Flussi di lavoro ExpressRoute per provisioning di un circuito e stati di circuito.For more information about this process, see ExpressRoute workflows for circuit provisioning and circuit states.

Creare un circuito ExpressRoute nel modo seguente:Create an ExpressRoute circuit as follows:

  1. Eseguire il comando PowerShell seguente:Run the following PowerShell command:

    New-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>> -Location <<location>> -SkuTier <<sku-tier>> -SkuFamily <<sku-family>> -ServiceProviderName <<service-provider-name>> -PeeringLocation <<peering-location>> -BandwidthInMbps <<bandwidth-in-mbps>>
    
  2. Inviare ServiceKey per il nuovo percorso al provider di servizi.Send the ServiceKey for the new circuit to the service provider.

  3. Attendere che il provider esegua il provisioning del circuito.Wait for the provider to provision the circuit. Per verificare lo stato del provisioning di un circuito, eseguire il seguente comando PowerShell:To verify the provisioning state of a circuit, run the following PowerShell command:

    Get-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
    

    Il campo Provisioning state nella sezione Service Provider dell'output che passerà da NotProvisioned a Provisioned quando il circuito è pronto.The Provisioning state field in the Service Provider section of the output will change from NotProvisioned to Provisioned when the circuit is ready.

    Nota

    Se si usa una connessione di livello 3, il provider deve configurare e gestire il routing per l'utente.If you're using a layer 3 connection, the provider should configure and manage routing for you. Fornire le informazioni necessarie per consentire al provider di implementare le route appropriate.You provide the information necessary to enable the provider to implement the appropriate routes.

  4. Se si usa una connessione di livello 2:If you're using a layer 2 connection:

    1. Riservare due subnet /30 costituite da indirizzi IP pubblici validi per ogni tipo di peering che si vuole implementare.Reserve two /30 subnets composed of valid public IP addresses for each type of peering you want to implement. Queste subnet /30 verranno usate per fornire indirizzi IP per i router usati per il circuito.These /30 subnets will be used to provide IP addresses for the routers used for the circuit. Se si implementa il peering privato e Microsoft, sono necessarie 4/30 subnet con indirizzi IP pubblici validi.If you are implementing private and Microsoft peering, you'll need 4 /30 subnets with valid public IP addresses.

    2. Configurare il routing per il circuito ExpressRoute.Configure routing for the ExpressRoute circuit. Eseguire i comandi di PowerShell seguenti per ogni tipo di peering che si vuole configurare (privato e Microsoft).Run the following PowerShell commands for each type of peering you want to configure (private and Microsoft). Per altre informazioni, vedere Creare e modificare il routing per un circuito ExpressRoute.For more information, see Create and modify routing for an ExpressRoute circuit.

      Set-AzureRmExpressRouteCircuitPeeringConfig -Name <<peering-name>> -Circuit <<circuit-name>> -PeeringType <<peering-type>> -PeerASN <<peer-asn>> -PrimaryPeerAddressPrefix <<primary-peer-address-prefix>> -SecondaryPeerAddressPrefix <<secondary-peer-address-prefix>> -VlanId <<vlan-id>>
      
      Set-AzureRmExpressRouteCircuit -ExpressRouteCircuit <<circuit-name>>
      
    3. Riservare un altro pool di indirizzi IP pubblici validi da usare per la Network Address Translation (NAT) per il peering Microsoft.Reserve another pool of valid public IP addresses to use for network address translation (NAT) for Microsoft peering. È consigliabile disporre di un pool diverso per ogni tipo di peering.It is recommended to have a different pool for each peering. Specificare il pool al provider di connettività, per consentirgli di configurare gli annunci BGP (Border Gateway Protocol) per tali intervalli.Specify the pool to your connectivity provider, so they can configure border gateway protocol (BGP) advertisements for those ranges.

  5. Eseguire i comandi PowerShell seguenti per collegare le reti virtuali al circuito ExpressRoute.Run the following PowerShell commands to link your private VNet(s) to the ExpressRoute circuit. Per altre informazioni, vedere collegare una rete virtuale a un circuito ExpressRoute.For more information, see Link a virtual network to an ExpressRoute circuit.

    $circuit = Get-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
    $gw = Get-AzureRmVirtualNetworkGateway -Name <<gateway-name>> -ResourceGroupName <<resource-group>>
    New-AzureRmVirtualNetworkGatewayConnection -Name <<connection-name>> -ResourceGroupName <<resource-group>> -Location <<location> -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute
    

È possibile connettere più reti virtuali situate in diverse aree dello stesso circuito ExpressRoute, a condizione che tutte le reti virtuali e il circuito ExpressRoute si trovino nella stessa area geopolitica.You can connect multiple VNets located in different regions to the same ExpressRoute circuit, as long as all VNets and the ExpressRoute circuit are located within the same geopolitical region.

Risoluzione dei problemiTroubleshooting

Se un circuito ExpressRoute precedentemente funzionante non si connette, in assenza di eventuali modifiche di configurazione in locale o all'interno della rete virtuale privata, potrebbe essere necessario contattare il provider di connettività e collaborare con lui per risolvere il problema.If a previously functioning ExpressRoute circuit now fails to connect, in the absence of any configuration changes on-premises or within your private VNet, you may need to contact the connectivity provider and work with them to correct the issue. Usare i comandi di PowerShell seguenti per verificare che sia stato effettuato il provisioning del circuito ExpressRoute:Use the following PowerShell commands to verify that the ExpressRoute circuit has been provisioned:

Get-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

L'output di questo comando mostra diverse proprietà per il circuito, tra cui ProvisioningState, CircuitProvisioningState e ServiceProviderProvisioningState come illustrato di seguito.The output of this command shows several properties for your circuit, including ProvisioningState, CircuitProvisioningState, and ServiceProviderProvisioningState as shown below.

ProvisioningState                : Succeeded
Sku                              : {
                                     "Name": "Standard_MeteredData",
                                     "Tier": "Standard",
                                     "Family": "MeteredData"
                                   }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : NotProvisioned

Se ProvisioningState non è impostato su Succeeded dopo aver tentato di creare un nuovo circuito, rimuovere il circuito usando il comando di seguito e tentare di ricrearlo.If the ProvisioningState is not set to Succeeded after you tried to create a new circuit, remove the circuit by using the command below and try to create it again.

Remove-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

Se il provider ha già eseguito il provisioning del circuito e ProvisioningState è impostato su Failed o CircuitProvisioningState non Enabled contattare il provider per ulteriore assistenza.If your provider had already provisioned the circuit, and the ProvisioningState is set to Failed, or the CircuitProvisioningState is not Enabled, contact your provider for further assistance.

Considerazioni sulla scalabilitàScalability considerations

I circuiti ExpressRoute offrono un percorso di larghezza di banda elevata tra le reti.ExpressRoute circuits provide a high bandwidth path between networks. In genere, maggiore è la larghezza di banda maggiore sarà il costo.Generally, the higher the bandwidth the greater the cost.

ExpressRoute offre ai clienti due piani tariffari, un piano a consumo e un piano dati senza limiti.ExpressRoute offers two pricing plans to customers, a metered plan and an unlimited data plan. Gli addebiti variano a seconda della larghezza di banda del circuito.Charges vary according to circuit bandwidth. La larghezza di banda disponibile probabilmente varierà da provider a provider.Available bandwidth will likely vary from provider to provider. Usare cmdlet Get-AzureRmExpressRouteServiceProvider per visualizzare i provider disponibili nella propria area geografica e le larghezze di banda offerte.Use the Get-AzureRmExpressRouteServiceProvider cmdlet to see the providers available in your region and the bandwidths that they offer.

Un singolo circuito ExpressRoute può supportare un determinato numero di peering e collegamenti di rete virtuale.A single ExpressRoute circuit can support a certain number of peerings and VNet links. Per altre informazioni, vedere Limiti di ExpressRoute.See ExpressRoute limits for more information.

Per un addebito aggiuntivo, il componente aggiuntivo ExpressRoute Premium offre alcune funzionalità aggiuntive:For an extra charge, the ExpressRoute Premium add-on provides some additional capability:

  • Aumento dei limiti di route per il peering privato.Increased route limits for private peering.
  • Maggior numero di collegamenti della rete virtuale per il circuito ExpressRoute.Increased number of VNet links per ExpressRoute circuit.
  • Connettività globale per i servizi.Global connectivity for services.

Per altri dettagli, vedere Prezzi ExpressRoute.See ExpressRoute pricing for details.

I circuiti ExpressRoute sono progettati per consentire di potenziare fino al doppio il limite di larghezza di banda acquistato delle reti temporanee, senza alcun costo aggiuntivo.ExpressRoute circuits are designed to allow temporary network bursts up to two times the bandwidth limit that you procured for no additional cost. Questo risultato viene ottenuto tramite collegamenti ridondanti.This is achieved by using redundant links. Tuttavia, non tutti i provider di connettività supportano questa funzione.However, not all connectivity providers support this feature. Verificare che il provider di connettività consenta questa funzionalità prima di dipendere da essa.Verify that your connectivity provider enables this feature before depending on it.

Anche se alcuni provider consentono di modificare la larghezza di banda, assicurarsi di scegliere una larghezza di banda iniziale superiore alle proprie esigenze e che offra spazio per la crescita.Although some providers allow you to change your bandwidth, make sure you pick an initial bandwidth that surpasses your needs and provides room for growth. Se è necessario aumentare la larghezza di banda in futuro, restano a disposizione due opzioni:If you need to increase bandwidth in the future, you are left with two options:

  • Aumentare la larghezza di banda.Increase the bandwidth. È consigliabile evitare questa opzione quando possibile inoltre, non tutti i provider consentono di aumentare in modo dinamico la larghezza di banda.You should avoid this option as much as possible, and not all providers allow you to increase bandwidth dynamically. Tuttavia, se è necessario un aumento della larghezza di banda, rivolgersi al provider per verificare che supporti la modifica delle proprietà della larghezza di banda ExpressRoute tramite i comandi di PowerShell.But if a bandwidth increase is needed, check with your provider to verify they support changing ExpressRoute bandwidth properties via PowerShell commands. In caso affermativo, eseguire i comandi riportati di seguito.If they do, run the commands below.

    $ckt = Get-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
    $ckt.ServiceProviderProperties.BandwidthInMbps = <<bandwidth-in-mbps>>
    Set-AzureRmExpressRouteCircuit -ExpressRouteCircuit $ckt
    

    È possibile aumentare la larghezza di banda senza perdita di connettività.You can increase the bandwidth without loss of connectivity. Il downgrade della larghezza di banda comporterà interruzioni della connettività, perché è necessario eliminare il circuito e ricrearlo con la nuova configurazione.Downgrading the bandwidth will result in disruption in connectivity, because you must delete the circuit and recreate it with the new configuration.

  • Modificare il piano tariffario e/o eseguire l'aggiornamento a Premium.Change your pricing plan and/or upgrade to Premium. A tale scopo, eseguire i comandi seguenti.To do so, run the following commands. La proprietà Sku.Tier può essere Standard o Premium; la proprietà Sku.Name può essere MeteredData o UnlimitedData.The Sku.Tier property can be Standard or Premium; the Sku.Name property can be MeteredData or UnlimitedData.

    $ckt = Get-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
    
    $ckt.Sku.Tier = "Premium"
    $ckt.Sku.Family = "MeteredData"
    $ckt.Sku.Name = "Premium_MeteredData"
    
    Set-AzureRmExpressRouteCircuit -ExpressRouteCircuit $ckt
    

    Importante

    Verificare che la proprietà Sku.Name corrisponda a Sku.Tier e Sku.Family.Make sure the Sku.Name property matches the Sku.Tier and Sku.Family. Se si modifica la famiglia e il livello ma non il nome, la connessione verrà disabilitata.If you change the family and tier, but not the name, your connection will be disabled.

    È possibile aggiornare lo SKU senza interruzioni, ma non è possibile passare dal piano tariffario illimitato a quello a consumo.You can upgrade the SKU without disruption, but you cannot switch from the unlimited pricing plan to metered. Quando si esegue il downgrade dello SKU, il consumo di larghezza di banda deve rimanere entro il limite predefinito dello SKU standard.When downgrading the SKU, your bandwidth consumption must remain within the default limit of the standard SKU.

Considerazioni sulla disponibilitàAvailability considerations

ExpressRoute non supporta protocolli di ridondanza router, ad esempio HSRP (Standby Routing Protocol) e VRRP (Virtual Router Redundancy Protocol) per implementare la disponibilità elevata.ExpressRoute does not support router redundancy protocols such as hot standby routing protocol (HSRP) and virtual router redundancy protocol (VRRP) to implement high availability. Usa invece una coppia ridondante di sessioni BGP per il peering.Instead, it uses a redundant pair of BGP sessions per peering. Per facilitare le connessioni a disponibilità elevata per la rete, Azure esegue il provisioning di due porte ridondanti su due router (parte di Microsoft Edge) in una configurazione di tipo attivo-attivo.To facilitate highly-available connections to your network, Azure provisions you with two redundant ports on two routers (part of the Microsoft edge) in an active-active configuration.

Per impostazione predefinita, le sessioni BGP usano un valore di timeout inattività di 60 secondi.By default, BGP sessions use an idle timeout value of 60 seconds. In caso di tre timeout della sessione (180 secondi in totale), il router viene contrassegnato come non disponibile e tutto il traffico viene reindirizzato al router rimanente.If a session times out three times (180 seconds total), the router is marked as unavailable, and all traffic is redirected to the remaining router. Questo timeout di 180 secondi potrebbe essere troppo lungo per le applicazioni critiche.This 180-second timeout might be too long for critical applications. In questo caso, è possibile modificare le impostazioni di timeout BGP sul router locale su un valore inferiore.If so, you can change your BGP time-out settings on the on-premises router to a smaller value. ExpressRoute supporta anche il rilevamento di inoltri bidirezionali (BFD) sul peering privato.ExpressRoute also supports Bidirectional Forwarding Detection (BFD) over private peering. Abilitando questa funzionalità su ExpressRoute, è possibile accelerare il rilevamento degli errori di collegamento tra i dispositivi Microsoft Enterprise Edge (MSEE) e i router su cui termina il circuito ExpressRoute (PE).By enabling BFD over ExpressRoute, you can expedite link failure detection between Microsoft Enterprise edge (MSEE) devices and the routers on which you terminate the ExpressRoute circuit (PE). È possibile terminare ExpressRoute sui dispositivi di routing Edge di clienti o partner (se si è usato il servizio di connessione gestita di livello 3).You can terminate ExpressRoute over Customer Edge routing devices or Partner Edge routing devices (if you went with managed Layer 3 connection service).

È possibile configurare la disponibilità elevata per la connessione di Azure in modi diversi, in base al tipo di provider in uso e al numero di circuiti ExpressRoute e di connessioni del gateway di rete virtuale che si desidera configurare.You can configure high availability for your Azure connection in different ways, depending on the type of provider you use, and the number of ExpressRoute circuits and virtual network gateway connections you're willing to configure. Di seguito sono riepilogate le opzioni di disponibilità:The following summarizes your availability options:

  • Se si usa una connessione di livello 2, distribuire router ridondanti nella rete locale in una configurazione di tipo attivo-attivo.If you're using a layer 2 connection, deploy redundant routers in your on-premises network in an active-active configuration. Connettere il circuito primario a un router e il circuito secondario all'altro.Connect the primary circuit to one router, and the secondary circuit to the other. In questo modo si otterrà una connessione a disponibilità elevata a entrambe le estremità della connessione.This will give you a highly available connection at both ends of the connection. Questo è necessario se si richiede il contratto di servizio di ExpressRoute.This is necessary if you require the ExpressRoute service level agreement (SLA). Per altri dettagli, vedere Contratto di servizio per Azure ExpressRoute.See SLA for Azure ExpressRoute for details.

    Il diagramma seguente illustra una configurazione con router ridondanti locali connessi ai circuiti primari e secondari.The following diagram shows a configuration with redundant on-premises routers connected to the primary and secondary circuits. Ogni circuito gestisce il traffico per il peering privato. ogni peering viene designato come coppia di spazi di indirizzi/30, come descritto nella sezione precedente.Each circuit handles the traffic for private peering (each peering is designated a pair of /30 address spaces, as described in the previous section).

    11

  • Se si usa una connessione di livello 3, verificare che fornisca sessioni BGP ridondanti che gestiscono la disponibilità per l'utente.If you're using a layer 3 connection, verify that it provides redundant BGP sessions that handle availability for you.

  • Connettere la rete virtuale a più circuiti ExpressRoute, forniti da diversi provider di servizi.Connect the VNet to multiple ExpressRoute circuits, supplied by different service providers. Questa strategia offre funzionalità di disponibilità elevata e di ripristino di emergenza aggiuntive.This strategy provides additional high-availability and disaster recovery capabilities.

  • Configurare una VPN da sito a sito come percorso di failover per ExpressRoute.Configure a site-to-site VPN as a failover path for ExpressRoute. Per altre informazioni su questa opzione, vedere Connettere una rete locale ad Azure tramite ExpressRoute con failover VPN.For more about this option, see Connect an on-premises network to Azure using ExpressRoute with VPN failover. Questa opzione si applica solo al peering privato.This option only applies to private peering. Per i servizi di Azure e Office 365, Internet è l'unico percorso di failover.For Azure and Office 365 services, the Internet is the only failover path.

Considerazioni relative alla sicurezzaSecurity considerations

È possibile configurare opzioni di sicurezza per la connessione di Azure in diversi modi, a seconda delle preoccupazioni relative alla sicurezza e alle esigenze di conformità.You can configure security options for your Azure connection in different ways, depending on your security concerns and compliance needs.

ExpressRoute funzione al livello 3.ExpressRoute operates in layer 3. Le minacce a livello dell'applicazione possono essere impedite usando un dispositivo di sicurezza di rete per limitare il traffico alle risorse legittime.Threats in the application layer can be prevented by using a network security appliance that restricts traffic to legitimate resources.

Per ottimizzare la sicurezza, aggiungere dispositivi di sicurezza di rete tra la rete locale e i router perimetrali dei provider.To maximize security, add network security appliances between the on-premises network and the provider edge routers. Ciò è utile per limitare il carico del traffico non autorizzato dalla rete virtuale:This will help to restrict the inflow of unauthorized traffic from the VNet:

22

Per motivi di conformità o di controllo, potrebbe essere necessario impedire l'accesso diretto da componenti in esecuzione nella rete virtuale a Internet e implementare il tunneling forzato.For auditing or compliance purposes, it may be necessary to prohibit direct access from components running in the VNet to the Internet and implement forced tunneling. In questo caso, il traffico Internet dovrà essere reindirizzato tramite un proxy eseguito in locale in cui può essere controllato.In this situation, Internet traffic should be redirected back through a proxy running on-premises where it can be audited. Il proxy può essere configurato per bloccare i flussi di traffico in uscita non autorizzato e filtrare il traffico in ingresso potenzialmente dannoso.The proxy can be configured to block unauthorized traffic flowing out, and filter potentially malicious inbound traffic.

33

Per ottimizzare la sicurezza, non abilitare un indirizzo IP pubblico per le macchine virtuali e usare gruppi di sicurezza di rete per assicurarsi che tali macchine virtuali non siano accessibili pubblicamente.To maximize security, do not enable a public IP address for your VMs, and use NSGs to ensure that these VMs aren't publicly accessible. È consigliabile rendere disponibili le macchine virtuali solo tramite l'indirizzo IP interno. VMs should only be available using the internal IP address. Questi indirizzi possono essere resi accessibili tramite la rete di ExpressRoute, consentendo al personale DevOps locale di eseguire la configurazione o la manutenzione.These addresses can be made accessible through the ExpressRoute network, enabling on-premises DevOps staff to perform configuration or maintenance.

Se è necessario esporre gli endpoint di gestione per le macchine virtuali a una rete esterna, usare gruppi o gli elenchi di controllo di accesso per limitare la visibilità di queste porte a un elenco di indirizzi IP o reti consentiti.If you must expose management endpoints for VMs to an external network, use NSGs or access control lists to restrict the visibility of these ports to an allowed list of IP addresses or networks.

Nota

Le macchine virtuali di Azure distribuite tramite il portale di Azure possono includere un indirizzo IP pubblico che fornisce l'accesso all'account di accesso.Azure VMs deployed through the Azure portal can include a public IP address that provides login access. Tuttavia, è consigliabile non consentire questo problema.However, it is a best practice not to permit this.

Considerazioni su DevOpsDevOps considerations

Usare il processo Infrastructure as code (IaC) per la distribuzione dell'infrastruttura.Use the Infrastructure as Code (IaC) process for deploying the infrastructure. In questa architettura è stato usato un set di blocchi predefiniti di Azure per i modelli personalizzati distribuiti usando il portale di Azure.In this architecture, we've used a set of Azure Building Blocks custom templates deployed using the Azure portal. Per automatizzare la distribuzione dell'infrastruttura, è possibile usare Azure DevOps Services o altre soluzioni CI/CD.To automate infrastructure deployment, you can use Azure DevOps Services or other CI/CD solutions. Anche il processo di distribuzione è idempotente.The deployment process is also idempotent.

Perché una risorsa possa essere distribuita, potrebbe essere necessario che prima di essa esistano altre risorse specifiche.For a given resource, there can be other resources that must exist before the resource is deployed. I modelli di blocchi predefiniti di Azure sono utili anche per il rilevamento delle dipendenze, perché consentono di definire dipendenze per le risorse distribuite nello stesso modello.Azure Building Blocks templates are also good for dependency tracking because they allow you to define dependencies for resources that are deployed in the same template.

Monitoraggio della reteNetwork monitoring

Usare il Network Watcher per monitorare e risolvere i problemi relativi ai componenti di rete, ad esempio Analisi del traffico mostrerà i sistemi nelle reti virtuali che generano la maggior parte del traffico, in modo che sia possibile identificare visivamente i colli di bottiglia prima che degenerino i problemi.Use the Network Watcher to monitor and troubleshoot the network components, tools like Traffic Analytics will show you the systems in your virtual networks that generate most traffic, so that you can visually identify bottlenecks before they degenerate into problems. Network Performance Manager è in grado di monitorare le informazioni sui circuiti ExpressRoute Microsoft.Network Performance Manager has the ability to monitor information about Microsoft ExpressRoute circuits.

È anche possibile usare Azure Connectivity Toolkit (AzureCT) per monitorare la connettività tra il Data Center locale e Azure.You also can use the Azure Connectivity Toolkit (AzureCT) to monitor connectivity between your on-premises datacenter and Azure.

Per ulteriori informazioni, vedere la sezione DevOps in Azure Architecture Framework.For more information, see the DevOps section in Azure Architecture Framework. Per informazioni specifiche sul monitoraggio, vedere monitoraggio per DevOps.For information specific to monitoring, see Monitoring For DevOps.

Considerazioni sul costoCost considerations

Usare il calcolatore dei prezzi di Azure per stimare i costi.Use the Azure pricing calculator to estimate costs. Per considerazioni generali, vedere la sezione relativa ai costi in Microsoft Azure Framework ben architettato.For general considerations, see the Cost section in Microsoft Azure Well-Architected Framework.

I servizi usati in questa architettura vengono addebitati come segue:The services used in this architecture are charged as follows:

Azure ExpressRouteAzure ExpressRoute

In questa architettura viene usato un circuito ExpressRoute per aggiungere la rete locale con Azure attraverso i router perimetrali.In this architecture, an ExpressRoute circuit is used to join the on-premises network with Azure through the edge routers.

Esistono due piani principali.There are two main plans. Nel piano dati a consumo tutti i trasferimenti di dati in ingresso sono gratuiti.In the Metered Data plan, all inbound data transfer is free. Il trasferimento di tutti i dati in uscita viene addebitato in base a una tariffa predeterminata.All outbound data transfer is charged based on a pre-determined rate.

È anche possibile optare per il piano dati illimitato in cui è disponibile il trasferimento di tutti i dati in ingresso e in uscita.You can also opt for the Unlimited Data plan in which all inbound and outbound data transfer is free. Agli utenti viene addebitata una tariffa mensile fissa per le porte in base alle porte duali a disponibilità elevata.Users are charged a fixed monthly port fee based on high availability dual ports.

Calcolare l'utilizzo e scegliere un piano di fatturazione di conseguenza.Calculate your utilization and choose a billing plan accordingly. Il piano dati illimitato è consigliato se si supera il 68% di utilizzo.The Unlimited Data plan is recommended if you exceed about 68% of utilization.

Per altre informazioni, vedere prezzi di Azure ExpressRoute.For more information, see Azure ExpressRoute pricing.

Rete virtuale di AzureAzure Virtual Network

Tutti i livelli applicazione sono ospitati in una singola rete virtuale e sono segmentati con subnet.All application tiers are hosted in a single virtual network and are segmented using subnets.

La rete virtuale di Azure è gratuita.Azure Virtual Network is free. Per ogni sottoscrizione è possibile creare fino a 50 reti virtuali in tutte le aree.Every subscription is allowed to create up to 50 virtual networks across all regions. Tutto il traffico che si verifica entro i limiti di una rete virtuale è gratuito.All traffic that occurs within the boundaries of a virtual network is free. Quindi, la comunicazione tra due macchine virtuali nella stessa rete virtuale è gratuita.So, communication between two VMs in the same virtual network is free.

Macchine virtuali e bilanciamento del carico internoVirtual machine and internal load balancers

In questa architettura, i bilanciamenti del carico interno vengono usati per bilanciare il carico del traffico all'interno di una rete virtuale.In this architecture, internal load balancers are used to load balance traffic inside a virtual network. Il bilanciamento del carico di base tra macchine virtuali che risiedono nella stessa rete virtuale è gratuito.Basic load balancing between virtual machines that reside in the same virtual network is free.

I set di scalabilità di macchine virtuali sono disponibili in tutte le dimensioni di VM Linux e Windows.Virtual machine scale sets are available on all Linux and windows VM sizes. Vengono addebitate solo le macchine virtuali di Azure distribuite e le risorse di infrastruttura sottostanti utilizzate, ad esempio l'archiviazione e la rete.You are only charged for the Azure VMs you deploy and underlying infrastructure resources consumed such as storage and networking. Non sono previsti addebiti incrementali per il servizio set di scalabilità di macchine virtuali.There are no incremental charges for the virtual machine scale sets service.

Per altre informazioni, vedere prezzi di macchine virtuali di Azure.For more information, see Azure VM pricing.

Distribuire la soluzioneDeploy the solution

Prerequisiti.Prerequisites. È necessario disporre di un'infrastruttura locale esistente già configurata con un'appliance di rete adatta.You must have an existing on-premises infrastructure already configured with a suitable network appliance.

Per distribuire la soluzione, seguire questa procedura.To deploy the solution, perform the following steps.

  1. Fare clic sul collegamento seguente.Click the link below.

    Distribuzione in AzureDeploy to Azure

  2. Attendere che il collegamento si apra nel portale di Azure e quindi eseguire questi passaggi:Wait for the link to open in the Azure portal, then follow these steps:

    • Poiché il nome del gruppo di risorse è già definito nel file dei parametri, selezionare Crea nuovo e immettere ra-hybrid-er-rg nella casella di testo.The Resource group name is already defined in the parameter file, so select Create New and enter ra-hybrid-er-rg in the text box.
    • Selezionare l'area dalla casella di riepilogo a discesa Località.Select the region from the Location drop down box.
    • Non modificare le caselle di testo Template Root Uri (URI radice modello) né Parameter Root Uri (URI radice parametro).Do not edit the Template Root Uri or the Parameter Root Uri text boxes.
    • Leggere i termini e le condizioni, quindi fare clic sulla casella di controllo Accetto le condizioni riportate sopra.Review the terms and conditions, then click the I agree to the terms and conditions stated above checkbox.
    • Fare clic sul pulsante Acquista.Click the Purchase button.
  3. Attendere il completamento della distribuzione.Wait for the deployment to complete.

  4. Fare clic sul collegamento seguente.Click the link below.

    Distribuzione in AzureDeploy to Azure

  5. Attendere che il collegamento si apra nel portale di Azure e quindi eseguire questi passaggi:Wait for the link to open in the Azure portal, then follow these steps:

    • Selezionare Usa esistente nella sezione Gruppo di risorse e immettere ra-hybrid-er-rg nella casella di testo.Select Use existing in the Resource group section and enter ra-hybrid-er-rg in the text box.
    • Selezionare l'area dalla casella di riepilogo a discesa Località.Select the region from the Location drop down box.
    • Non modificare le caselle di testo Template Root Uri (URI radice modello) né Parameter Root Uri (URI radice parametro).Do not edit the Template Root Uri or the Parameter Root Uri text boxes.
    • Leggere i termini e le condizioni, quindi fare clic sulla casella di controllo Accetto le condizioni riportate sopra.Review the terms and conditions, then click the I agree to the terms and conditions stated above checkbox.
    • Fare clic sul pulsante Acquista.Click the Purchase button.
  6. Attendere il completamento della distribuzione.Wait for the deployment to complete.