Esaminare le opzioni di reteReview your network options

La progettazione e l'implementazione delle funzionalità di rete di Azure costituiscono una parte essenziale dei lavori richiesti per l'adozione del cloud.Designing and implementing Azure networking capabilities is a critical part of your cloud adoption efforts. È necessario prendere decisioni relative alla progettazione della rete per supportare correttamente i carichi di lavoro e i servizi che saranno ospitati nel cloud.You'll need to make networking design decisions to properly support the workloads and services that will be hosted in the cloud. I prodotti e i servizi di rete di Azure supportano un'ampia gamma di funzionalità di rete.Azure networking products and services support a wide variety of networking capabilities. Come strutturare questi servizi e le architetture di rete scelte dipende dai requisiti di connettività, governance e carico di lavoro dell'organizzazione.How you structure these services and the networking architectures you choose depends on your organization's workload, governance, and connectivity requirements.

Identificare i requisiti di rete del carico di lavoroIdentify workload networking requirements

Nell'ambito della valutazione e della preparazione dell'area di destinazione è necessario identificare le funzionalità di rete che devono essere supportate dalla stessa.As part of your landing zone evaluation and preparation, you need to identify the networking capabilities that your landing zone needs to support. Questo processo comporta la valutazione di tutte le applicazioni e dei servizi che costituiscono i carichi di lavoro per determinare i requisiti di controllo della rete di connettività.This process involves assessing each of the applications and services that make up your workloads to determine their connectivity network control requirements. Una volta identificati e documentati i requisiti, è possibile creare criteri per l'area di destinazione in modo da controllare risorse e configurazione di rete consentite in base alle esigenze del carico di lavoro.After you identify and document the requirements, you can create policies for your landing zone to control the allowed networking resources and configuration based on your workload needs.

Usare l'albero delle decisioni seguente come punto di partenza per determinare gli strumenti o i servizi di rete da usare, per ogni applicazione o servizio che verrà distribuito nell'ambiente dell'area di destinazione:For each application or service you'll deploy to your landing zone environment, use the following decision tree as a starting point to help you determine the networking tools or services to use:

Albero delle decisioni dei servizi di rete di Azure figura 1: albero delle decisioni del servizio di rete di Azure.Azure networking services decision tree Figure 1: The Azure networking service decision tree.

Domande principaliKey questions

Rispondere alle domande seguenti sui carichi di lavoro per prendere decisioni in base all'albero delle decisioni dei servizi di rete di Azure:Answer the following questions about your workloads to help you make decisions based on the Azure networking services decision tree:

  • I carichi di lavoro richiedono una rete virtuale?Will your workloads require a virtual network? I tipi di risorse della piattaforma gestita distribuita come servizio (PaaS, Platform as a Service) usano funzionalità di rete della piattaforma sottostante che non richiedono sempre una rete virtuale.Managed platform as a service (PaaS) resource types use underlying platform network capabilities that don't always require a virtual network. Se i carichi di lavoro non richiedono funzionalità di rete avanzate e non è necessario distribuire risorse di infrastruttura distribuita come servizio (IaaS), le funzionalità di rete native predefinite fornite dalle risorse PaaS potrebbero soddisfare i requisiti di connettività del carico di lavoro e di gestione del traffico.If your workloads don't require advanced networking features and you don't need to deploy infrastructure as a service (IaaS) resources, the default native networking capabilities provided by PaaS resources might meet your workload connectivity and traffic management requirements.
  • I carichi di lavoro richiedono la connettività tra le reti virtuali e il data center locale?Will your workloads require connectivity between virtual networks and your on-premises datacenter? Azure offre due soluzioni per la creazione di funzionalità di rete ibride: gateway VPN di Azure e Azure ExpressRoute.Azure provides two solutions for establishing hybrid networking capabilities: Azure VPN gateway and Azure ExpressRoute. Il gateway VPN di Azure connette le reti locali ad Azure tramite VPN da sito a sito, in modo analogo a come si può configurare e connettersi a una succursale remota.Azure VPN gateway connects your on-premises networks to Azure through site-to-site VPNs similar to how you might set up and connect to a remote branch office. Il gateway VPN ha una larghezza di banda massima di 10 Gbps.VPN gateway has a maximum bandwidth of 10 Gbps. Azure ExpressRoute offre maggiore affidabilità e una latenza più bassa tramite connessione privata tra Azure e l'infrastruttura locale.Azure ExpressRoute offers higher reliability and lower latency by using a private connection between Azure and your on-premises infrastructure. Le opzioni relative alla larghezza di banda per ExpressRoute variano da 50 Mbps a 100 Gbps.Bandwidth options for ExpressRoute range from 50 Mbps to 100 Gbps.
  • È necessario verificare e controllare il traffico in uscita usando i dispositivi di rete locali?Will you need to inspect and audit outgoing traffic by using on-premises network devices? Per i carichi di lavoro nativi del cloud, è possibile usare il firewall di Azure o le appliance virtuali di rete di terze parti (appliance virtuali) ospitate nel cloud per controllare e controllare il traffico da o verso la rete Internet pubblica.For cloud-native workloads, you can use Azure Firewall or cloud-hosted, third-party network virtual appliances (NVAs) to inspect and audit traffic moving to or from the public internet. Tuttavia, molti criteri di sicurezza IT aziendali richiedono un traffico in uscita associato a Internet per passare attraverso i dispositivi gestiti centralmente nell'ambiente locale dell'organizzazione.But many enterprise IT security policies require internet-bound outgoing traffic to pass through centrally managed devices in the organization's on-premises environment. Il tunneling forzato supporta questi scenari.Forced tunneling supports these scenarios. Non tutti i servizi gestiti supportano il tunneling forzato.Not all managed services support forced tunneling. Servizi e funzionalità come ambiente del servizio app nel servizio app Azure, gestione API di Azure, Azure Kubernetes Service (AKS), Azure SQL istanza gestita, Azure Databrickse Azure HDInsight supportano questa configurazione quando il servizio o la funzionalità viene distribuita all'interno di una rete virtuale.Services and features like App Service Environment in Azure App Service, Azure API management, Azure Kubernetes Service (AKS), Azure SQL Managed Instance, Azure Databricks, and Azure HDInsight support this configuration when the service or feature is deployed inside a virtual network.
  • È necessario connettere più reti virtuali?Do you need to connect multiple virtual networks? È possibile usare il peering di rete virtuale per connettere più istanze di Rete virtuale di Azure.You can use virtual network peering to connect multiple instances of Azure Virtual Network. Il peering può supportare le connessioni tra sottoscrizioni e aree geografiche.Peering can support connections across subscriptions and regions. Per gli scenari in cui si forniscono servizi condivisi tra più sottoscrizioni o si ha la necessità di gestire un numero elevato di peering di rete è consigliabile adottare un'architettura di rete hub-spoke o usare rete WAN virtuale di Azure.For scenarios where you provide services that are shared across multiple subscriptions or need to manage a large number of network peerings, consider adopting a hub and spoke networking architecture or using Azure Virtual WAN. Il peering di rete virtuale fornisce connettività solo tra due reti con peering.Virtual network peering provides connectivity only between two peered networks. Per impostazione predefinita, non fornisce connettività transitiva tra più peer.By default, it doesn't provide transitive connectivity across multiple peerings.
  • I carichi di lavoro sono accessibili tramite Internet?Will your workloads be accessible over the internet? Azure offre servizi progettati per semplificare la gestione e la protezione dell'accesso esterno ad applicazioni e servizi:Azure provides services that are designed to help you manage and secure external access to your applications and services:
  • È necessario supportare la gestione DNS personalizzata?Will you need to support custom DNS management? DNS di Azure è un servizio di hosting per i domini DNSAzure DNS is a hosting service for DNS domains. che fornisce la risoluzione dei nomi tramite l'infrastruttura di Azure.Azure DNS provides name resolution by using the Azure infrastructure. Potrebbe essere necessario distribuire soluzioni aggiuntive, se i carichi di lavoro richiedono una risoluzione dei nomi che va oltre le funzionalità fornite da DNS di Azure.If your workloads require name resolution that goes beyond the features that are provided by Azure DNS, you might need to deploy additional solutions. È consigliabile usare Azure Active Directory Domain Services per potenziare le funzionalità DNS di Azure se i carichi di lavoro richiedono anche servizi di Active Directory.If your workloads also require Active Directory services, consider using Azure Active Directory Domain Services to augment Azure DNS capabilities. Per maggiori funzionalità è anche possibile distribuire macchine virtuali IaaS personalizzate per supportare i requisiti.For more capabilities, you can also deploy custom IaaS virtual machines to support your requirements.

Scenari di rete comuniCommon networking scenarios

La rete di Azure è costituita da più prodotti e servizi che forniscono diverse funzionalità di rete.Azure networking is composed of multiple products and services that provide different networking capabilities. È possibile confrontare i requisiti del carico di lavoro con gli scenari di rete indicati nella tabella seguente, come parte del processo di progettazione della rete, per identificare gli strumenti o i servizi di Azure da usare per fornire queste funzionalità di rete:As part of your networking design process, you can compare your workload requirements to the networking scenarios in the following table to identify the Azure tools or services you can use to provide these networking capabilities:

ScenarioScenario Prodotto di rete o servizioNetworking product or service
L'infrastruttura di rete deve connettere tutto, dalle macchine virtuali alle connessioni VPN in ingresso.I need the networking infrastructure to connect everything, from virtual machines to incoming VPN connections. Rete virtuale di AzureAzure Virtual Network
Per bilanciare le connessioni in ingresso e in uscita e le richieste alle applicazioni o ai servizi.I need to balance inbound and outbound connections and requests to my applications or services. Azure Load BalancerAzure Load Balancer
Desidero ottimizzare il recapito dalle farm di server applicazioni aumentando la sicurezza delle applicazioni con un Web Application Firewall.I want to optimize delivery from application server farms while increasing application security with a Web Application Firewall. Gateway applicazione di AzureAzure Application Gateway
Frontdoor di AzureAzure Front Door
Per usare Internet in modo sicuro per accedere alle reti virtuali di Azure tramite gateway VPN a prestazioni elevate.I need to securely use the internet to access Azure Virtual Network through high-performance VPN gateways. Gateway VPN di AzureAzure VPN gateway
Per assicurare risposte DNS velocissime e disponibilità elevatissima per tutte le esigenze a livello di dominio.I want to ensure ultra-fast DNS responses and ultra-high availability for all my domain needs. DNS di AzureAzure DNS
Per accelerare il recapito di contenuto a larghezza di banda elevata ai clienti in tutto il mondo, da applicazioni e contenuto archiviato ai video in streaming.I need to accelerate the delivery of high-bandwidth content to customers worldwide, from applications and stored content to streaming video. Rete per la distribuzione di contenuti (CDN) di AzureAzure Content Delivery Network (CDN)
Per proteggere le applicazioni Azure da attacchi Distributed Denial of Service.I need to protect my Azure applications from DDoS attacks. Protezione DDoS di AzureAzure DDoS protection
Per distribuire il traffico in modo ottimale ai servizi nelle aree di Azure globali, garantendo al contempo disponibilità e tempi di risposta elevati.I need to distribute traffic optimally to services across global Azure regions, while providing high availability and responsiveness. Gestione traffico di AzureAzure Traffic Manager

Frontdoor di AzureAzure Front Door
Per aggiungere la connettività di rete privata per accedere ai servizi cloud Microsoft dalle reti aziendali come se fossero reti locali e risiedessero nel data center.I need to add private network connectivity to access Microsoft cloud services from my corporate networks, as if they were on-premises and residing in my own datacenter. Azure ExpressRouteAzure ExpressRoute
Per monitorare e diagnosticare le condizioni a livello di scenario di rete.I want to monitor and diagnose conditions at a network-scenario level. Azure Network WatcherAzure Network Watcher
Sono necessarie funzionalità del firewall Native, con disponibilità elevata incorporata, scalabilità illimitata del cloud e manutenzione zero.I need native firewall capabilities, with built-in high availability, unrestricted cloud scalability, and zero maintenance. Firewall di AzureAzure Firewall
Per connettere uffici, sedi commerciali e siti in modo sicuro.I need to connect business offices, retail locations, and sites securely. Rete WAN virtuale di AzureAzure Virtual WAN
Per un punto di distribuzione scalabile e ottimizzato per la sicurezza per applicazioni Web basate su microservizi globali.I need a scalable, security-enhanced delivery point for global microservices-based web applications. Frontdoor di AzureAzure Front Door

Scegliere un'architettura di reteChoose a networking architecture

Dopo aver identificato i servizi di rete di Azure necessari per supportare i carichi di lavoro è necessario progettare l'architettura che combinerà questi servizi per fornire l'infrastruttura di rete cloud dell'area di destinazione.After you identify the Azure networking services that you need to support your workloads, you also need to design the architecture that will combine these services to provide your landing zone's cloud networking infrastructure. La guida alle decisioni per le reti definite dal software Cloud Adoption Framework fornisce informazioni dettagliate su alcuni dei modelli di architettura di rete più comuni usati in Azure.The Cloud Adoption Framework Software Defined Networking decision guide provides details about some of the most common networking architecture patterns used on Azure.

Nella tabella seguente sono riepilogati gli scenari principali supportati da questi modelli:The following table summarizes the primary scenarios that these patterns support:

ScenarioScenario Architettura di rete suggeritaSuggested network architecture
Tutti i carichi di lavoro ospitati da Azure distribuiti nell'area di destinazione saranno completamente basati su PaaS, non richiederanno una rete virtuale e non fanno parte di un lavoro di adozione cloud più ampio che include risorse IaaS.All of the Azure-hosted workloads deployed to your landing zone will be entirely PaaS-based, won't require a virtual network, and aren't part of a wider cloud adoption effort that includes IaaS resources. solo PaaSPaaS-only
I carichi di lavoro ospitati in Azure distribuiscono risorse basate su IaaS, come le macchine virtuali, o richiedono una rete virtuale ma non richiedono la connettività all'ambiente locale.Your Azure-hosted workloads will deploy IaaS-based resources like virtual machines or otherwise require a virtual network, but don't require connectivity to your on-premises environment. Gestione nativa del cloudCloud-native
I carichi di lavoro ospitati da Azure richiedono un accesso limitato alle risorse locali ma è necessario gestire le connessioni cloud come non attendibili.Your Azure-hosted workloads require limited access to on-premises resources, but you're required to treat cloud connections as untrusted. Reti perimetrali nel cloudCloud DMZ
I carichi di lavoro ospitati da Azure richiedono un accesso limitato alle risorse locali; si prevede di implementare criteri di sicurezza maturi e una connettività sicura tra il cloud e l'ambiente locale.Your Azure-hosted workloads require limited access to on-premises resources, and you plan to implement mature security policies and secure connectivity between the cloud and your on-premises environment. Configurazione ibridaHybrid
Per distribuire e gestire un numero elevato di macchine virtuali e carichi di lavoro, superando potenzialmente i limiti della sottoscrizione di Azure è necessario condividere i servizi tra le sottoscrizioni oppure è necessaria una struttura più segmentata per ruolo, applicazione o separazione delle autorizzazioni.You need to deploy and manage a large number of VMs and workloads, potentially exceeding Azure subscription limits, you need to share services across subscriptions, or you need a more segmented structure for role, application, or permission segregation. Hub e spokeHub and spoke
Sono disponibili molte succursali che devono connettersi tra loro e ad Azure.You have many branch offices that need to connect to each other and to Azure. Rete WAN virtuale di AzureAzure Virtual WAN

Data center virtuale di AzureAzure Virtual Datacenter

Oltre a usare uno di questi modelli di architettura, se il gruppo IT aziendale gestisce ambienti cloud di grandi dimensioni, valutare la possibilità di consultare l' area di destinazione di livello aziendale CAF.In addition using one of these architecture patterns, if your enterprise IT group manages large cloud environments, consider consulting the CAF enterprise-scale landing zone. Quando si progetta un'infrastruttura cloud basata su Azure, la zona di destinazione di livello aziendale CAF offre un approccio combinato per la rete, la sicurezza, la gestione e l'infrastruttura se si dispone di un obiettivo a metà periodo (entro 24 mesi) per ospitare più di 1.000 asset (app, infrastruttura o asset di dati) nel cloud.When you design your Azure-based cloud infrastructure, the CAF enterprise-scale landing zone provides a combined approach to networking, security, management, and infrastructure if you have a mid-term objective (within 24 months) to host more than 1,000 assets (apps, infrastructure, or data assets) in the cloud.

È possibile iniziare con la zona di destinazione a livello aziendale di Cloud Adoption Framework anche per le organizzazioni che soddisfano i criteri seguenti:For organizations that meet the following criteria, you may also want to start with the CAF enterprise-scale landing zone:

  • L'azienda è tenuta a soddisfare requisiti di conformità alle normative in base ai quali è necessario disporre di funzionalità di monitoraggio e controllo centralizzate.Your enterprise is subject to regulatory compliance requirements that require centralized monitoring and audit capabilities.
  • È necessario mantenere criteri comuni, la conformità alla governance e il controllo IT centralizzato sui servizi essenziali.You need to maintain common policy and governance compliance and centralized IT control over core services.
  • Il settore dipende da una piattaforma complessa che richiede controlli complessi e competenze di dominio approfondite per la regolamentazione.Your industry depends on a complex platform which requires complex controls and deep domain expertise to govern the platform. Questa situazione è più comune nelle grandi imprese in settori come finanza, petrolio e gas o produzione.This is most common in large enterprises within finance, oil and gas, or manufacturing.
  • I criteri di governance IT esistenti richiedono un adeguamento più rigoroso alle funzionalità esistenti, anche durante la fase di adozione iniziale.Your existing IT governance policies require tighter parity with existing features, even during early stage adoption.

Seguire le procedure di rete consigliate di AzureFollow Azure networking best practices

Come parte del processo di progettazione della rete, vedere gli articoli seguenti:As part of your networking design process, see these articles: