Definire una topologia di rete di Azure

  • Articolo

La topologia di rete è un elemento fondamentale di un'architettura della zona di destinazione perché definisce come le applicazioni possono comunicare tra loro. Questa sezione illustra le tecnologie e gli approcci alla topologia per le distribuzioni di Azure. Si concentra su due approcci principali: topologie basate su rete WAN virtuale di Azure e topologie tradizionali.

La rete WAN virtuale viene usata per soddisfare i requisiti di interconnettività su larga scala. Poiché si tratta di un servizio gestito da Microsoft, riduce anche la complessità generale della rete e consente di modernizzare la rete dell'organizzazione. Una topologia rete WAN virtuale potrebbe essere più appropriata se uno dei requisiti seguenti si applica all'organizzazione:

  • L'organizzazione intende distribuire le risorse in diverse aree di Azure e richiede connettività globale tra reti virtuali in queste aree di Azure e più posizioni locali.
  • L'organizzazione intende integrare una rete di succursali su larga scala direttamente in Azure tramite una distribuzione WAN (SD-WAN) software-defined oppure richiede più di 30 siti di succursale per la terminazione IPSec nativa.
  • È necessario il routing transitivo tra una rete privata virtuale (VPN) e Azure ExpressRoute. Ad esempio, i rami remoti connessi tramite VPN da sito a sito o utenti remoti connessi tramite VPN da punto a sito richiedono la connettività a un controller di dominio connesso a ExpressRoute tramite Azure.

Una topologia di rete hub-spoke tradizionale consente di creare reti personalizzate, con sicurezza avanzata e su larga scala in Azure. Con questa topologia, è possibile gestire il routing e la sicurezza. Una topologia tradizionale potrebbe essere più appropriata se uno dei requisiti seguenti si applica all'organizzazione:

  • L'organizzazione intende distribuire le risorse in una o più aree di Azure e, mentre è previsto un traffico tra aree di Azure (ad esempio, il traffico tra due reti virtuali tra due aree di Azure diverse), non è necessaria una rete mesh completa in tutte le aree di Azure.
  • Il numero di posizioni remote o di ramo per area è ridotto. Ciò significa che sono necessari meno di 30 tunnel IPSec da sito a sito.
  • È necessario un controllo completo e una granularità per configurare manualmente i criteri di routing di rete di Azure.

Topologia di rete WAN virtuale (gestita da Microsoft)

Diagram that illustrates a Virtual WAN network topology.

Topologia di rete di Azure tradizionale

Diagram that illustrates a traditional Azure network topology.

Azure Rete virtuale Manager nelle zone di destinazione di Azure

L'architettura concettuale delle zone di destinazione di Azure consiglia una delle due topologie di rete: una topologia di rete basata su rete WAN virtuale o una topologia di rete basata su un'architettura hub-spoke tradizionale. Man mano che i requisiti aziendali cambiano nel tempo (ad esempio, una migrazione di applicazioni locali ad Azure che richiede connettività ibrida), è possibile usare Rete virtuale Manager per espandere e implementare le modifiche di rete. In molti casi, è possibile farlo senza interrompere ciò che è già distribuito in Azure.

È possibile usare Rete virtuale Manager per creare tre tipi di topologie tra sottoscrizioni per reti virtuali esistenti e nuove:

  • Topologia hub-spoke
  • Topologia hub-spoke con connettività diretta tra spoke
  • Topologia mesh (in anteprima)

Diagram that shows Azure virtual network topologies.

Nota

Rete virtuale Manager non supporta hub rete WAN virtuale come parte di un gruppo di rete o come hub in una topologia. Per altre informazioni, vedere Domande frequenti su Azure Rete virtuale Manager.

Quando si crea una topologia hub-spoke con connettività diretta in Rete virtuale Manager, in cui gli spoke sono connessi l'uno all'altro direttamente, la connettività diretta tra reti virtuali spoke nello stesso gruppo di rete viene abilitata automaticamente, bidirezionalmente, tramite la funzionalità gruppo Connessione ed.

È possibile usare Rete virtuale Manager per aggiungere in modo statico o dinamico reti virtuali a gruppi di rete specifici. In questo modo viene definita e creata la topologia desiderata, in base alla configurazione della connettività in Rete virtuale Manager.

È possibile creare più gruppi di rete per isolare gruppi di reti virtuali dalla connettività diretta. Ogni gruppo di rete fornisce la stessa area e supporto in più aree per la connettività spoke-to-spoke. Assicurarsi di rimanere entro i limiti definiti per Rete virtuale Manager, descritti in Domande frequenti su Azure Rete virtuale Manager.

Dal punto di vista della sicurezza, Rete virtuale Manager offre un modo efficiente per applicare le regole di amministratore della sicurezza per negare o consentire i flussi di traffico in modo centralizzato, indipendentemente da quanto definito nei gruppi di sicurezza di rete. Questa funzionalità consente agli amministratori della sicurezza di rete di applicare i controlli di accesso e consentire ai proprietari delle applicazioni di gestire le proprie regole di livello inferiore nei gruppi di sicurezza di rete.

È possibile usare Rete virtuale Manager per raggruppare le reti virtuali. È quindi possibile applicare configurazioni ai gruppi anziché alle singole reti virtuali. Questa funzionalità consente una gestione più efficiente della connettività, della configurazione e della topologia, delle regole di sicurezza e della distribuzione in una o più aree contemporaneamente senza perdere il controllo granulare.

È possibile segmentare le reti in base a ambienti, team, località, linee di business o altre funzioni adatte alle proprie esigenze. È possibile definire gruppi di rete in modo statico o dinamico creando un set di condizioni che regolano l'appartenenza al gruppo.

È possibile usare Rete virtuale Manager per implementare i principi di progettazione della zona di destinazione di Azure per soddisfare tutte le esigenze di migrazione, modernizzazione e innovazione delle applicazioni su larga scala.

Considerazioni relative alla progettazione

  • In una distribuzione tradizionale hub-spoke, le connessioni peering di rete virtuale vengono create e gestite manualmente. Rete virtuale Manager introduce un livello di automazione per il peering di rete virtuale, che semplifica la gestione su larga scala di topologie di rete complesse come mesh. Per altre informazioni, vedere Panoramica del gruppo di rete.
  • I requisiti di sicurezza di varie funzioni aziendali determinano la necessità di creare gruppi di rete. Un gruppo di rete è un set di reti virtuali selezionate manualmente o tramite istruzioni condizionali, come descritto in precedenza in questo documento. Quando si crea un gruppo di rete, è necessario specificare un criterio o Rete virtuale Manager può creare un criterio se lo si consente esplicitamente. Questo criterio consente a Rete virtuale Manager di ricevere notifiche sulle modifiche. Per aggiornare le iniziative esistenti di Criteri di Azure, è necessario distribuire le modifiche al gruppo di rete all'interno della risorsa di Rete virtuale Manager.
  • Per progettare gruppi di rete appropriati, è necessario valutare quali parti della rete condividono caratteristiche di sicurezza comuni. Ad esempio, è possibile creare gruppi di rete per Corporate e Online per gestire la connettività e le regole di sicurezza su larga scala.
  • Quando più reti virtuali tra le sottoscrizioni dell'organizzazione condividono gli stessi attributi di sicurezza, è possibile usare Rete virtuale Manager per applicarle in modo efficiente. È necessario, ad esempio, inserire tutti i sistemi usati da un'unità aziendale, ad esempio HR o Finance, in un gruppo di rete separato perché è necessario applicare regole di amministrazione diverse.
  • Rete virtuale Manager può applicare centralmente le regole di amministratore della sicurezza, con priorità più alta rispetto alle regole del gruppo di sicurezza di rete applicate a livello di subnet. Questa funzionalità è disponibile in anteprima. Questa funzionalità consente ai team di rete e sicurezza di applicare in modo efficace i criteri aziendali e creare protezioni di sicurezza su larga scala, ma consente ai team del prodotto di mantenere simultaneamente il controllo dei gruppi di sicurezza di rete nelle sottoscrizioni della zona di destinazione.
  • È possibile usare la funzionalità regole di amministrazione della sicurezza di Rete virtuale Manager per consentire o negare in modo esplicito flussi di rete specifici indipendentemente dalle configurazioni del gruppo di sicurezza di rete a livello di subnet o di interfaccia di rete. È possibile usare questa funzionalità, ad esempio, per consentire ai flussi di rete dei servizi di gestione di essere sempre consentiti. I gruppi di sicurezza di rete controllati dai team delle applicazioni non possono eseguire l'override di queste regole.
  • Una rete virtuale può far parte di tutti i due gruppi connessi.

Suggerimenti per la progettazione

  • Definire l'ambito di Rete virtuale Manager. Applicare le regole di amministratore della sicurezza che applicano le regole a livello di organizzazione al gruppo di gestione radice (il tenant). Questa operazione applica in modo gerarchico le regole automaticamente alle risorse esistenti e nuove e a tutti i gruppi di gestione associati.
  • Creare un'istanza di Rete virtuale Manager nella sottoscrizione Connessione ivity con un ambito del gruppo di gestione radice intermedio ,ad esempio Contoso. Abilitare la funzionalità di amministratore della sicurezza in questa istanza. Questa configurazione consente di definire le regole di amministrazione della sicurezza che si applicano a tutte le reti virtuali e alle subnet nella gerarchia della zona di destinazione di Azure e consente di democratizzare i gruppi di sicurezza di rete ai proprietari e ai team delle aree di destinazione dell'applicazione.
  • Segmentare le reti raggruppando le reti virtuali in modo statico (manuale) o in modo dinamico (basato su criteri).
  • Abilitare la connettività diretta tra spoke quando gli spoke selezionati devono comunicare frequentemente, con bassa latenza e velocità effettiva elevata, l'uno con l'altro, oltre ad accedere a servizi comuni o appliance virtuali di rete nell'hub.
  • Abilitare la mesh globale quando tutte le reti virtuali tra aree devono comunicare tra loro.
  • Assegnare un valore di priorità a ogni regola di amministratore della sicurezza nelle raccolte regole. Minore è il valore, maggiore è la priorità della regola.
  • Usare le regole di amministrazione della sicurezza per consentire o negare in modo esplicito i flussi di rete, indipendentemente dalle configurazioni del gruppo di sicurezza di rete controllate dai team delle applicazioni. In questo modo è anche possibile delegare completamente il controllo dei gruppi di sicurezza di rete e le relative regole ai team dell'applicazione.