Connettività e topologia di reteNetwork topology and connectivity

In questo articolo vengono esaminate le considerazioni e le raccomandazioni di progettazione principali riguardanti la rete e la connettività a, da e all'interno Microsoft Azure.This article examines key design considerations and recommendations surrounding networking and connectivity to, from, and within Microsoft Azure.

Pianificare gli indirizzi IPPlan for IP addressing

È fondamentale che l'organizzazione piani per gli indirizzi IP in Azure per garantire che lo spazio degli indirizzi IP non si sovrappongano tra le località locali e le aree di Azure.It's vital that your organization plans for IP addressing in Azure to ensure that IP address space doesn't overlap across on-premises locations and Azure regions.

Considerazioni sulla progettazione:Design considerations:

  • Gli spazi degli indirizzi IP sovrapposti nelle aree locali e di Azure creeranno gravi problemi di conflitto.Overlapping IP address spaces across on-premises and Azure regions will create major contention challenges.

  • È possibile aggiungere spazio di indirizzi dopo aver creato una rete virtuale.You can add address space after you create a virtual network. Questo processo richiede un'interruzione se la rete virtuale è già connessa a un'altra rete virtuale tramite il peering di rete virtuale perché il peering deve essere eliminato e ricreato.This process requires an outage if the virtual network is already connected to another virtual network via virtual network peering because the peering must be deleted and re-created.

  • Azure riserva cinque indirizzi IP all'interno di ogni subnet.Azure reserves five IP addresses within each subnet. Fattore in questi indirizzi quando si ridimensionano le reti virtuali e le subnet incluse.Factor in those addresses when you're sizing virtual networks and encompassed subnets.

  • Alcuni servizi di Azure richiedono subnet dedicate.Some Azure services require dedicated subnets. Questi servizi includono il firewall di Azure e il gateway VPN di Azure.These services include Azure Firewall and Azure VPN Gateway.

  • È possibile delegare subnet a determinati servizi per creare istanze di un servizio all'interno della subnet.You can delegate subnets to certain services to create instances of a service within the subnet.

Suggerimenti per la progettazione:Design recommendations:

  • Pianificare in anticipo gli spazi di indirizzi IP non sovrapposti tra aree di Azure e posizioni locali.Plan for non-overlapping IP address spaces across Azure regions and on-premises locations well in advance.

  • Usare gli indirizzi IP dell'allocazione indirizzi per Internet privati (RFC 1918).Use IP addresses from the address allocation for private internets (RFC 1918).

  • Per gli ambienti con disponibilità limitata di indirizzi IP privati (RFC 1918), è consigliabile usare IPv6.For environments that have limited availability of private IP addresses (RFC 1918), consider using IPv6.

  • Non creare reti virtuali inutilmente grandi (ad esempio, /16 ) per assicurarsi che lo spazio degli indirizzi IP non venga sprecato.Don't create unnecessarily large virtual networks (for example, /16) to ensure that IP address space isn't wasted.

  • Non creare reti virtuali senza pianificare in anticipo lo spazio degli indirizzi richiesto.Don't create virtual networks without planning the required address space in advance. L'aggiunta dello spazio degli indirizzi provocherà un'interruzione dopo la connessione di una rete virtuale tramite il peering di rete virtuale.Adding address space will cause an outage after a virtual network is connected via virtual network peering.

  • Non usare indirizzi IP pubblici per le reti virtuali, specialmente se gli indirizzi IP pubblici non appartengono all'organizzazione.Don't use public IP addresses for virtual networks, especially if the public IP addresses don't belong to your organization.

Configurare DNS e la risoluzione dei nomi per le risorse locali e di AzureConfigure DNS and name resolution for on-premises and Azure resources

Domain Name System (DNS) è un argomento di progettazione essenziale nell'architettura globale di livello aziendale.Domain Name System (DNS) is a critical design topic in the overall enterprise-scale architecture. Alcune organizzazioni potrebbero voler usare gli investimenti esistenti in DNS.Some organizations might want to use their existing investments in DNS. Altri potrebbero vedere l'adozione del cloud come opportunità per modernizzare l'infrastruttura DNS interna e usare le funzionalità native di Azure.Others might see cloud adoption as an opportunity to modernize their internal DNS infrastructure and use native Azure capabilities.

Considerazioni sulla progettazione:Design considerations:

  • È possibile usare un resolver DNS insieme a DNS privato di Azure per la risoluzione dei nomi tra più sedi locali.You can use a DNS resolver in conjunction with Azure Private DNS for cross-premises name resolution.

  • Potrebbe essere necessario usare le soluzioni DNS esistenti in locale e in Azure.You might require the use of existing DNS solutions across on-premises and Azure.

  • Il numero massimo di zone DNS private a cui è possibile collegare una rete virtuale con la registrazione automatica è uno.The maximum number of private DNS zones to which a virtual network can link with auto-registration is one.

  • Il numero massimo di zone DNS private a cui è possibile collegare una rete virtuale è 1.000 senza registrazione automatica abilitata.The maximum number of private DNS zones to which a virtual network can link is 1,000 without auto-registration enabled.

Suggerimenti per la progettazione:Design recommendations:

  • Per gli ambienti in cui la risoluzione dei nomi in Azure è tutto ciò che è necessario, usare Azure DNS privato per la risoluzione.For environments where name resolution in Azure is all that's required, use Azure Private DNS for resolution. Creare una zona delegata per la risoluzione dei nomi (ad esempio azure.contoso.com ).Create a delegated zone for name resolution (such as azure.contoso.com).

  • Per gli ambienti in cui è richiesta la risoluzione dei nomi in Azure e in locale, usare l'infrastruttura DNS esistente (ad esempio Active Directory DNS integrato) distribuita in almeno due macchine virtuali di Azure.For environments where name resolution across Azure and on-premises is required, use existing DNS infrastructure (for example, Active Directory integrated DNS) deployed onto at least two Azure virtual machines (VMs). Configurare le impostazioni DNS nelle reti virtuali per l'uso di tali server DNS.Configure DNS settings in virtual networks to use those DNS servers.

  • È comunque possibile collegare una zona di DNS privato di Azure alle reti virtuali e usare i server DNS come sistemi di risoluzione ibrido con l'invio condizionale ai nomi DNS locali, ad esempio onprem.contoso.com , usando i server DNS locali.You can still link an Azure Private DNS zone to the virtual networks and use DNS servers as hybrid resolvers with conditional forwarding to on-premises DNS names, such as onprem.contoso.com, by using on-premises DNS servers. È possibile configurare i server locali con server d'inoltri condizionali per le macchine virtuali resolver in Azure per la zona di DNS privato di Azure (ad esempio, azure.contoso.com ).You can configure on-premises servers with conditional forwarders to resolver VMs in Azure for the Azure Private DNS zone (for example, azure.contoso.com).

  • I carichi di lavoro speciali che richiedono e distribuiscono il proprio DNS (ad esempio Red Hat OpenShift) devono usare la soluzione DNS preferita.Special workloads that require and deploy their own DNS (such as Red Hat OpenShift) should use their preferred DNS solution.

  • Abilitare la registrazione automatica per DNS di Azure per gestire automaticamente il ciclo di vita dei record DNS per le macchine virtuali distribuite in una rete virtuale.Enable auto-registration for Azure DNS to automatically manage the lifecycle of the DNS records for the virtual machines deployed within a virtual network.

  • Usare una macchina virtuale come resolver per la risoluzione DNS tra più sedi locali con DNS privato di Azure.Use a virtual machine as a resolver for cross-premises DNS resolution with Azure Private DNS.

  • Creare la zona di DNS privato di Azure in una sottoscrizione di connettività globale.Create the Azure Private DNS zone within a global connectivity subscription. È possibile creare altre zone di Azure DNS privato (ad esempio, privatelink.database.windows.net o privatelink.blob.core.windows.net per il collegamento privato di Azure).You might create other Azure Private DNS zones (for example, privatelink.database.windows.net or privatelink.blob.core.windows.net for Azure Private Link).

Definire una topologia di rete di AzureDefine an Azure network topology

La topologia di rete è un elemento fondamentale dell'architettura di livello aziendale perché definisce il modo in cui le applicazioni possono comunicare tra loro.Network topology is a critical element of the enterprise-scale architecture because it defines how applications can communicate with each other. Questa sezione illustra le tecnologie e gli approcci alla topologia per le distribuzioni aziendali di Azure.This section explores technologies and topology approaches for enterprise Azure deployments. Si concentra su due approcci principali: topologie basate su una rete WAN virtuale di Azure e topologie tradizionali.It focuses on two core approaches: topologies based on Azure Virtual WAN, and traditional topologies.

Usare una topologia di rete basata sulla rete WAN virtuale di Azure se si verifica una delle condizioni seguenti:Use a network topology based on Azure Virtual WAN if any of the following are true:

  • L'organizzazione intende distribuire le risorse in diverse aree di Azure ed è necessario connettere le località globali ad Azure e in locale.Your organization intends to deploy resources across several Azure regions and needs to connect your global locations to both Azure and on-premises.
  • L'organizzazione intende usare distribuzioni WAN definite dal software (SD-WAN) completamente integrate con Azure.Your organization intends to use software-defined WAN (SD-WAN) deployments fully integrated with Azure.
  • Si prevede di distribuire fino a 2.000 carichi di lavoro di macchine virtuali in tutte le reti virtuali connesse a un singolo hub WAN virtuale di Azure.You intend to deploy up to 2,000 virtual machine workloads across all VNets connected to a single Azure Virtual WAN hub.

La rete WAN virtuale viene utilizzata per soddisfare i requisiti di interconnettività su larga scala.Virtual WAN is used to meet large-scale interconnectivity requirements. Poiché si tratta di un servizio gestito da Microsoft, riduce anche la complessità complessiva della rete e consente di modernizzare la rete dell'organizzazione.Because it's a Microsoft-managed service, it also reduces overall network complexity and helps to modernize your organization's network.

Usare una topologia di rete di Azure tradizionale se si verifica una delle condizioni seguenti:Use a traditional Azure network topology if any of the following are true:

  • L'organizzazione intende distribuire le risorse in diverse aree di Azure.Your organization intends to deploy resources across several Azure regions.
  • È possibile usare il peering VNet globale per connettere reti virtuali tra aree di Azure.You can use global VNet peering to connect virtual networks across Azure regions.
  • Si dispone di un numero basso di località remote o Branch per area.You have a low number of remote or branch locations per region. Ovvero sono necessari meno di 30 tunnel di sicurezza IP (IPsec).That is, you need fewer than 30 IP security (IPsec) tunnels.
  • È necessario il controllo completo e la granularità per configurare manualmente la rete di Azure.You require full control and granularity for manually configuring your Azure network.

Una topologia di rete tradizionale consente di creare una rete sicura su larga scala in Azure.A traditional network topology helps you build a secure large-scale network in Azure.

Topologia di rete WAN virtuale (gestita da Microsoft)Virtual WAN network topology (Microsoft-managed)

Diagramma che illustra una topologia di rete WAN virtuale.

Figura 1: topologia di rete WAN virtuale.Figure 1: Virtual WAN network topology.

Considerazioni sulla progettazione:Design considerations:

  • La rete WAN virtuale di Azure è una soluzione gestita da Microsoft che offre connettività di transito globale end-to-end per impostazione predefinita.Azure Virtual WAN is a Microsoft-managed solution that provides end-to-end global transit connectivity by default. Gli hub WAN virtuali eliminano la necessità di configurare manualmente la connettività di rete.Virtual WAN hubs eliminate the need to manually configure network connectivity. Ad esempio, non è necessario configurare il routing definito dall'utente (UDR) o appliance virtuali di rete (appliance virtuali) per abilitare la connettività di transito globale.For example, you don't need to set up user-defined routing (UDR) or network virtual appliances (NVAs) to enable global transit connectivity.

  • WAN virtuale semplifica notevolmente la connettività di rete end-to-end in Azure e cross-premise creando un' architettura di rete hub-spoke.Virtual WAN greatly simplifies end-to-end network connectivity in Azure and cross-premises by creating a hub-and-spoke network architecture. L'architettura si estende su più aree di Azure e posizioni locali (any-to-any Connectivity), come illustrato nella figura seguente:The architecture spans multiple Azure regions and on-premises locations (any-to-any connectivity) out of the box, as shown in this figure:

    Diagramma che illustra una rete di transito globale con WAN virtuale.

    Figura 2: rete di transito globale con WAN virtuale.Figure 2: Global transit network with Virtual WAN.

  • La connettività della rete WAN virtuale any-to-any transitiva supporta i percorsi seguenti (all'interno della stessa area e tra le aree):Virtual WAN any-to-any transitive connectivity supports the following paths (within the same region and across regions):

    • Da rete virtuale a rete virtualeVirtual network to virtual network
    • Da rete virtuale a ramoVirtual network to branch
    • Da ramo a rete virtualeBranch to virtual network
    • Ramo a ramoBranch to branch
  • Gli hub WAN virtuali sono bloccati.Virtual WAN hubs are locked down. Le uniche risorse che è possibile distribuire al loro interno sono i gateway di rete virtuale (VPN da punto a sito, VPN da sito a sito e Azure ExpressRoute), il firewall di Azure tramite gestione firewall e le tabelle di routing.The only resources that you can deploy within them are virtual network gateways (point-to-site VPN, site-to-site VPN, and Azure ExpressRoute), Azure Firewall via Firewall Manager, and route tables.

  • La rete WAN virtuale aumenta il limite di un massimo di 200 prefissi annunciati da Azure in locale tramite peering privato di ExpressRoute a 10.000 prefissi per hub WAN virtuale.Virtual WAN increases the limit of up to 200 prefixes advertised from Azure to on-premises via ExpressRoute private peering to 10,000 prefixes per Virtual WAN hub. Il limite di 10.000 prefissi include anche la VPN da sito a sito e la VPN da punto a sito.The limit of 10,000 prefixes also includes site-to-site VPN and point-to-site VPN.

  • La connettività transitiva da rete a rete (all'interno di un'area e tra più aree) è ora disponibile a livello generale (GA).Network-to-network transitive connectivity (within a region and across regions) is now in general availability (GA).

  • La connettività Hub WAN virtuale a hub è ora disponibile in GA.Virtual WAN hub-to-hub connectivity is now in GA.

  • La connettività di transito tra le reti virtuali nella rete WAN virtuale standard è abilitata a causa della presenza di un router in ogni hub virtuale.Transit connectivity between the virtual networks in Standard Virtual WAN is enabled due to the presence of a router in every virtual hub. Ogni router di hub virtuale supporta una velocità effettiva aggregata fino a 50 Gbps.Every virtual hub router supports an aggregate throughput up to 50 Gbps.

  • Un massimo di 2.000 carichi di lavoro di VM in tutte le reti virtuali può essere connesso a un singolo hub WAN virtuale.A maximum of 2,000 VM workloads across all VNets can be connected to a single Virtual WAN hub.

  • La rete WAN virtuale si integra con un'ampia gamma di provider SD-WAN.Virtual WAN integrates with a variety of SD-WAN providers.

  • Molti provider di servizi gestiti offrono servizi gestiti per la rete WAN virtuale.Many managed service providers offer managed services for Virtual WAN.

  • I gateway VPN nella rete WAN virtuale possono essere ridimensionati fino a 20 Gbps e 20.000 connessioni per hub virtuale.VPN gateways in Virtual WAN can scale up to 20 Gbps and 20,000 connections per virtual hub.

  • Sono necessari circuiti ExpressRoute con il componente aggiuntivo Premium.ExpressRoute circuits with the premium add-on are required. Devono provenire da un percorso di Copertura globale ExpressRoute.They should be from an ExpressRoute Global Reach location.

  • Azure Firewall Manager, ora disponibile in GA, consente la distribuzione del firewall di Azure nell'hub WAN virtuale.Azure Firewall Manager, now in GA, allows the deployment of Azure Firewall in the Virtual WAN hub.

  • Il traffico da Hub WAN virtuale a Hub tramite il firewall di Azure non è attualmente supportato.Virtual WAN hub-to-hub traffic via Azure Firewall is currently not supported. In alternativa, usare le funzionalità native di routing di transito da Hub a hub in WAN virtuale.As alternative, use the native hub-to-hub transit routing capabilities in Virtual WAN. Usare i gruppi di sicurezza di rete (gruppi) per consentire o bloccare il traffico di rete virtuale negli hub.Use network security groups (NSGs) to allow or block virtual network traffic across hubs.

Suggerimenti per la progettazione:Design recommendations:

  • Si consiglia la rete WAN virtuale per le nuove distribuzioni di rete globali o di grandi dimensioni in Azure, in cui è necessaria la connettività di transito globale tra le aree di Azure e i percorsi locali.We recommend Virtual WAN for new large or global network deployments in Azure where you need global transit connectivity across Azure regions and on-premises locations. In questo modo, non è necessario configurare manualmente il routing transitivo per la rete di Azure.That way, you don't have to manually set up transitive routing for Azure networking.

    La figura seguente illustra una distribuzione globale di esempio con i data center distribuiti in Europa e i Stati Uniti.The following figure shows a sample global enterprise deployment with datacenters spread across Europe and the United States. La distribuzione ha anche un numero elevato di succursali in entrambe le aree.The deployment also has a large number of branch offices within both regions. L'ambiente è connesso a livello globale tramite la rete WAN virtuale e ExpressRoute Copertura globale.The environment is globally connected via Virtual WAN and ExpressRoute Global Reach.

    Diagramma di una topologia di rete di esempio.

    Figura 3: topologia di rete di esempio.Figure 3: Sample network topology.

  • Usare la rete WAN virtuale come risorsa di connettività globale.Use Virtual WAN as a global connectivity resource. Usare un hub WAN virtuale per ogni area di Azure per connettere più zone di destinazione tra aree di Azure tramite l'hub WAN virtuale locale.Use a Virtual WAN hub per Azure region to connect multiple landing zones together across Azure regions via the local Virtual WAN hub.

  • Connettere Hub WAN virtuali a data center locali usando ExpressRoute.Connect Virtual WAN hubs to on-premises datacenters by using ExpressRoute.

  • Distribuire i servizi condivisi necessari, ad esempio i server DNS, in una zona di destinazione dedicata.Deploy required shared services, like DNS servers, in a dedicated landing zone. Le risorse condivise obbligatorie non possono essere distribuite in un hub WAN virtuale.Required shared resources can't be deployed on a Virtual WAN hub.

  • Connettere i rami e le posizioni remote all'hub WAN virtuale più vicino tramite una VPN da sito a sito o abilitare la connettività del ramo alla rete WAN virtuale tramite una soluzione partner SD-WAN.Connect branches and remote locations to the nearest Virtual WAN hub via site-to-site VPN, or enable branch connectivity to Virtual WAN via an SD-WAN partner solution.

  • Connettere gli utenti all'hub WAN virtuale tramite una VPN da punto a sito.Connect users to the Virtual WAN hub via a point-to-site VPN.

  • Seguire il principio "traffico in Azure rimane in Azure" in modo che la comunicazione tra le risorse in Azure avvenga tramite la rete backbone Microsoft, anche quando le risorse si trovano in aree diverse.Follow the principle "traffic in Azure stays in Azure" so that communication across resources in Azure occurs via the Microsoft backbone network, even when the resources are in different regions.

  • Distribuire il firewall di Azure in hub WAN virtuali per la protezione del traffico verso est/ovest e Sud/Nord e per filtrare in un'area di Azure.Deploy Azure Firewall in Virtual WAN hubs for east/west and south/north traffic protection and filtering within an Azure region.

  • Se i partner appliance virtuali sono necessari per la protezione e il filtraggio del traffico est/ovest o sud-nord, distribuire il appliance virtuali di sicurezza di rete in una rete virtuale separata, ad esempio una rete virtuale dell'appliance virtuale di reteIf partner NVAs are required for east/west or south/north traffic protection and filtering, deploy the NVAs to a separate virtual network such as an NVA virtual network. Connetterlo all'hub WAN virtuale a livello di area e alle zone di destinazione che richiedono l'accesso a appliance virtuali.Connect it to the regional Virtual WAN hub and to the landing zones that need access to NVAs. Per altre informazioni, vedere creare una tabella di route dell'hub WAN virtuale per appliance virtuali.For more information, see Create a Virtual WAN hub route table for NVAs.

  • Quando si distribuiscono tecnologie di rete partner e appliance virtuali, seguire le indicazioni del fornitore del partner per assicurarsi che non ci siano configurazioni in conflitto con la rete di Azure.When you're deploying partner networking technologies and NVAs, follow the partner vendor's guidance to ensure there are no conflicting configurations with Azure networking.

  • Non creare una rete di transito oltre alla rete WAN virtuale di Azure.Don't build a transit network on top of Azure Virtual WAN. La rete WAN virtuale soddisfa i requisiti della topologia di rete transitiva, ad esempio la possibilità di usare appliance virtuali di terze parti.Virtual WAN satisfies transitive network topology requirements such as the ability to use third-party NVAs. La creazione di una rete di transito sulla rete WAN virtuale di Azure è ridondante e aumenta la complessità.Building a transit network on top of Azure Virtual WAN would be redundant and increase complexity.

  • Non usare reti locali esistenti come il cambio di etichette multiprotocollo (MPLS) per connettere le risorse di Azure tra aree di Azure, in quanto le tecnologie di rete di Azure supportano l'interconnessione delle risorse di Azure tra le aree attraverso la backbone Microsoft.Don't use existing on-premises networks like multiprotocol label switching (MPLS) to connect Azure resources across Azure regions, as Azure networking technologies support the interconnection of Azure resources across regions through the Microsoft backbone. Ciò è dovuto alle caratteristiche di prestazioni e tempo di esecuzione del backbone Microsoft, nonché alla semplicità del routing.This is because of the performance and uptime characteristics of the Microsoft backbone as well as routing simplicity. Questo suggerimento illustra le caratteristiche di prestazioni e tempo di esecuzione del backbone Microsoft.This suggestion addresses the performance and uptime characteristics of the Microsoft backbone. Favorisce anche la semplicità di routing.It also encourages routing simplicity.

  • Per gli scenari Brownfield in cui si esegue la migrazione da una topologia di rete Hub e spoke non basata sulla rete WAN virtuale, vedere eseguire la migrazione alla rete WAN virtuale di Azure.For brownfield scenarios where you're migrating from a hub-and-spoke network topology not based on Virtual WAN, see Migrate to Azure Virtual WAN.

  • Creare una rete WAN virtuale di Azure e le risorse del firewall di Azure nella sottoscrizione di connettività.Create Azure Virtual WAN and Azure Firewall resources within the connectivity subscription.

  • Non creare più di 500 connessioni di rete virtuale per ogni hub virtuale WAN virtuale.Don't create more than 500 virtual network connections per Virtual WAN virtual hub.

  • Pianificare con attenzione la distribuzione e assicurarsi che l'architettura di rete si trovi entro i limiti della WAN virtuale di Azure.Plan your deployment carefully, and ensure that your network architecture is within the Azure Virtual WAN limits.

Topologia di rete tradizionale di AzureTraditional Azure networking topology

Sebbene la rete WAN virtuale offra un'ampia gamma di potenti funzionalità, un approccio tradizionale per la rete di Azure potrebbe essere ottimale in alcuni casi:Although Virtual WAN offers a wide range of powerful capabilities, a traditional Azure networking approach might be optimal in some cases:

  • Se non è necessaria una rete transitiva globale in più aree di Azure o cross-premise.If a global transitive network across multiple Azure regions or cross-premises isn't required. Un esempio è un ramo nell'Stati Uniti che richiede la connettività a una rete virtuale in Europa.An example is a branch in the United States that requires connectivity to a virtual network in Europe.

  • Se è necessario distribuire una rete globale in più aree di Azure ed è possibile usare il peering VNet globale per connettere le reti virtuali tra le aree.If you need to deploy a global network across multiple Azure regions, and you can use global VNet peering to connect virtual networks across regions.

  • Se non è necessario connettersi a un numero elevato di percorsi remoti tramite VPN o l'integrazione con una soluzione SD-WAN.If there's no need to connect to a large number of remote locations via VPN or integration with an SD-WAN solution.

  • Se si preferisce che la propria organizzazione disponga di un controllo e una configurazione granulari durante la configurazione di una topologia di rete in Azure.If your organization's preference is to have granular control and configuration when setting up a network topology in Azure.

Diagramma che illustra una topologia di rete tradizionale di Azure.

Figura 4: topologia di rete tradizionale di Azure.Figure 4: A traditional Azure network topology.

Considerazioni sulla progettazione:Design considerations:

  • Varie topologie di rete possono connettere più reti virtuali della zona di destinazione.Various network topologies can connect multiple landing zone virtual networks. Gli esempi sono una rete virtuale flat di grandi dimensioni, più reti virtuali connesse a più circuiti o connessioni ExpressRoute, Hub e spoke, mesh completo e ibrido.Examples are one large flat virtual network, multiple virtual networks connected with multiple ExpressRoute circuits or connections, hub and spoke, full mesh, and hybrid.

  • Le reti virtuali non attraversano i limiti della sottoscrizione.Virtual networks don't traverse subscription boundaries. Tuttavia, è possibile ottenere la connettività tra reti virtuali in sottoscrizioni diverse tramite il peering di rete virtuale, un circuito ExpressRoute o gateway VPN.But, you can achieve connectivity between virtual networks in different subscriptions by using virtual network peering, an ExpressRoute circuit, or VPN gateways.

  • È possibile usare il peering di rete virtuale per connettere reti virtuali nella stessa area, in aree diverse di Azure e in diversi tenant di Azure Active Directory (Azure AD).You can use virtual network peering to connect virtual networks in the same region, across different Azure regions, and across different Azure Active Directory (Azure AD) tenants.

  • Il peering di rete virtuale e il peering di rete virtuale globale non sono transitivi.Virtual network peering and global virtual network peering aren't transitive. UdR e appliance virtuali sono necessari per abilitare una rete di transito.UDRs and NVAs are required to enable a transit network. Per ulteriori informazioni, vedere la pagina relativa alla topologia di rete hub-spoke in Azure.For more information, see Hub-spoke network topology in Azure.

  • È possibile usare circuiti ExpressRoute per stabilire la connettività tra reti virtuali all'interno della stessa area geopolitica o usando il componente aggiuntivo Premium per la connettività tra aree geopolitiche.You can use ExpressRoute circuits to establish connectivity across virtual networks within the same geopolitical region or by using the premium add-on for connectivity across geopolitical regions. Tenere presenti questi punti:Keep these points in mind:

    • Il traffico da rete a rete potrebbe riscontrare una latenza più elevata perché il traffico deve essere in linea con i router Microsoft Enterprise Edge (MSEE).Network-to-network traffic might experience more latency because traffic must hairpin at the Microsoft enterprise edge (MSEE) routers.

    • La larghezza di banda sarà vincolata allo SKU del gateway ExpressRoute.Bandwidth will be constrained to the ExpressRoute gateway SKU.

    • È comunque necessario distribuire e gestire UdR se richiedono l'ispezione o la registrazione del traffico tra reti virtuali.You must still deploy and manage UDRs if they require inspection or logging for traffic across virtual networks.

  • I gateway VPN con Border Gateway Protocol (BGP) sono transitivi in Azure e in locale, ma non transitano tra gateway ExpressRoute.VPN gateways with Border Gateway Protocol (BGP) are transitive within Azure and on-premises, but they don't transit across ExpressRoute gateways.

  • Quando più circuiti ExpressRoute sono connessi alla stessa rete virtuale, usare i pesi di connessione e le tecniche BGP per garantire un percorso ottimale per il traffico tra l'ambiente locale e Azure.When multiple ExpressRoute circuits are connected to the same virtual network, use connection weights and BGP techniques to ensure an optimal path for traffic between on-premises and Azure. Per altre informazioni, vedere optimize ExpressRoute routing.For more information, see Optimize ExpressRoute routing.

  • L'uso di tecniche BGP per influenzare il routing del ExpressRoute è una configurazione all'esterno della piattaforma Azure.Using BGP techniques to influence ExpressRoute routing is a configuration outside the Azure platform. L'organizzazione o il provider di connettività deve configurare i router locali di conseguenza.Your organization or your connectivity provider must configure the on-premises routers accordingly.

  • I circuiti ExpressRoute con componenti aggiuntivi Premium offrono connettività globale.ExpressRoute circuits with premium add-ons provide global connectivity. Tuttavia, il numero massimo di connessioni ExpressRoute per ogni gateway ExpressRoute è quattro.However, the maximum number of ExpressRoute connections per ExpressRoute gateway is four.

  • Sebbene il numero massimo di connessioni peering di rete virtuale per ogni rete virtuale sia 500, il numero massimo di route che è possibile annunciare da Azure a locale tramite peering privato ExpressRoute è 200.Although the maximum number of virtual network peering connections per virtual network is 500, the maximum number of routes that can be advertised from Azure to on-premises via ExpressRoute private peering is 200.

  • La velocità effettiva massima aggregata del gateway VPN è 10 Gbps.A VPN gateway's maximum aggregated throughput is 10 Gbps. Supporta fino a 30 tunnel da sito a sito o da rete a rete.It supports up to 30 site-to-site or network-to-network tunnels.

Suggerimenti per la progettazione:Design recommendations:

  • Si consideri una progettazione di rete basata sulla topologia di rete hub-spoke con tecnologie WAN non virtuali per gli scenari seguenti:Consider a network design based in the hub-and-spoke network topology with non-Virtual WAN technologies for the following scenarios:

    • Il limite di traffico in una distribuzione di Azure si trova all'interno di un'area di Azure.The traffic boundary in an Azure deployment is within an Azure region.

    • Un'architettura di rete si estende su più aree di Azure e non è necessaria la connettività transitiva tra le reti virtuali per le zone di destinazione tra le aree.A network architecture spans multiple Azure regions, and there's no need for transitive connectivity between virtual networks for landing zones across regions.

    • Un'architettura di rete si estende su più aree di Azure e il peering VNet globale può essere usato per connettere reti virtuali in aree di Azure.A network architecture spans multiple Azure regions, and global VNet peering can be used to connect virtual networks across Azure regions.

    • Non è necessaria la connettività transitiva tra le connessioni VPN e ExpressRoute.There's no need for transitive connectivity between VPN and ExpressRoute connections.

    • Il canale di connettività principale cross-premise è ExpressRoute e il numero di connessioni VPN è inferiore a 30 per ogni gateway VPN.The main cross-premises connectivity channel is ExpressRoute, and the number of VPN connections is less than 30 per VPN gateway.

    • Esiste una dipendenza da appliance virtuali centralizzati e routing granulare.There's a dependency on centralized NVAs and granular routing.

  • Per le distribuzioni a livello di area, usare principalmente la topologia hub e spoke.For regional deployments, primarily use the hub-and-spoke topology. Usare le reti virtuali della zona di destinazione che si connettono al peering di rete virtuale a una rete virtuale hub centrale per la connettività cross-premise tramite ExpressRoute, la VPN per la connettività del ramo, la connettività spoke-spoke tramite appliance virtuali e UdR e la protezione in uscita Internet tramite appliance virtuale di rete.Use landing-zone virtual networks that connect with virtual network peering to a central-hub virtual network for cross-premises connectivity via ExpressRoute, VPN for branch connectivity, spoke-to-spoke connectivity via NVAs and UDRs, and internet-outbound protection via NVA. Nella figura seguente è illustrata questa topologia.The following figure shows this topology. Questo consente il controllo del traffico appropriato per soddisfare la maggior parte dei requisiti di segmentazione ed ispezione.This allows for appropriate traffic control to meet most requirements for segmentation and inspection.

    Diagramma che illustra una topologia di rete hub e spoke.

    Figura 5: topologia di rete hub-spoke.Figure 5: Hub-and-spoke network topology.

  • Usare la topologia di più reti virtuali connesse a più circuiti ExpressRoute quando si verifica una delle condizioni seguenti:Use the topology of multiple virtual networks connected with multiple ExpressRoute circuits when one of these conditions is true:

    • È necessario un livello elevato di isolamento.You need a high level of isolation.

    • È necessaria una larghezza di banda ExpressRoute dedicata per le business unit specifiche.You need dedicated ExpressRoute bandwidth for specific business units.

    • È stato raggiunto il numero massimo di connessioni per ogni gateway di ExpressRoute (fino a quattro).You've reached the maximum number of connections per ExpressRoute gateway (up to four).

    Nella figura seguente è illustrata questa topologia.The following figure shows this topology.

    Diagramma che illustra più reti virtuali connesse a più circuiti ExpressRoute.

    Figura 6: più reti virtuali connesse con più circuiti ExpressRoute.Figure 6: Multiple virtual networks connected with multiple ExpressRoute circuits.

  • Distribuire un set di servizi condivisi minimi, inclusi i gateway ExpressRoute, i gateway VPN (come richiesto) e il firewall di Azure o appliance virtuali del partner (come richiesto) nella rete virtuale dell'hub centrale.Deploy a set of minimal shared services, including ExpressRoute gateways, VPN gateways (as required), and Azure Firewall or partner NVAs (as required) in the central-hub virtual network. Se necessario, distribuire anche Active Directory controller di dominio e i server DNS.If necessary, also deploy Active Directory domain controllers and DNS servers.

  • Distribuire il firewall di Azure o il partner appliance virtuali per la protezione e il filtro del traffico est/ovest o Sud/Nord nella rete virtuale hub centrale.Deploy Azure Firewall or partner NVAs for east/west or south/north traffic protection and filtering, in the central-hub virtual network.

  • Quando si distribuiscono tecnologie di rete partner o appliance virtuali, seguire le indicazioni del fornitore del partner per assicurarsi che:When you're deploying partner networking technologies or NVAs, follow the partner vendor's guidance to ensure that:

    • Il fornitore supporta la distribuzione.The vendor supports deployment.

    • Le linee guida sono progettate per la disponibilità elevata e le prestazioni massime.The guidance is designed for high availability and maximal performance.

    • Non sono presenti configurazioni in conflitto con la rete di Azure.There are no conflicting configurations with Azure networking.

  • Non distribuire appliance virtuali in ingresso L7, ad esempio applicazione Azure gateway come servizio condiviso nella rete virtuale hub centrale.Don't deploy L7 inbound NVAs such as Azure Application Gateway as a shared service in the central-hub virtual network. È invece necessario distribuirli insieme all'app nelle rispettive zone di destinazione.Instead, deploy them together with the app in their respective landing zones.

  • Usa la rete esistente, MPLS e SD-WAN, per la connessione di sedi di rami con sedi aziendali.Use your existing network, MPLS and SD-WAN, for connecting branch locations with corporate headquarters. Il transito in Azure tra ExpressRoute e i gateway VPN non è supportato.Transit in Azure between ExpressRoute and VPN gateways isn't supported.

  • Per le architetture di rete con più topologie Hub e spoke tra aree di Azure, usare il peering di rete virtuale globale per connettere le reti virtuali di zona di destinazione quando un numero ridotto di zone di destinazione deve comunicare tra le aree.For network architectures with multiple hub-and-spoke topologies across Azure regions, use global virtual network peering to connect landing-zone virtual networks when a small number of landing zones need to communicate across regions. Questo approccio offre vantaggi come la larghezza di banda di rete elevata con il peering di rete virtuale globale, come consentito dallo SKU della VM.This approach offers benefits like high network bandwidth with global virtual network peering, as allowed by the VM SKU. Ma ignorerà l'appliance virtuale di sistema, nel caso in cui sia necessario il controllo del traffico o il filtro.But it will bypass the central NVA, in case traffic inspection or filtering is required. Questo è anche soggetto a limitazioni sul peering di rete virtuale globale.This would also be subject to limitations on global virtual network peering.

  • Quando si distribuisce un'architettura di rete Hub-and-spoke in due aree di Azure e la connettività di transito tra tutte le zone di destinazione tra le aree è obbligatoria, usare ExpressRoute con due circuiti per fornire connettività di transito per le reti virtuali di zona di destinazione tra le aree di Azure.When you deploy a hub-and-spoke network architecture in two Azure regions and transit connectivity between all landing zones across regions is required, use ExpressRoute with dual circuits to provide transit connectivity for landing-zone virtual networks across Azure regions. In questo scenario le zone di destinazione possono transitare all'interno di un'area tramite appliance virtuale di rete nella rete virtuale dell'Hub locale e tra aree tramite il circuito ExpressRoute.In this scenario, landing zones can transit within a region via NVA in local-hub virtual network and across regions via ExpressRoute circuit. Il traffico deve essere tornato ai router MSEE.Traffic must hairpin at the MSEE routers. Nella figura seguente viene illustrata questa struttura.The following figure shows this design.

    Diagramma che illustra una progettazione della connettività della zona di destinazione.

    Figura 7: progettazione della connettività della zona di destinazione.Figure 7: Landing zone connectivity design.

  • Quando l'organizzazione richiede architetture di rete Hub e spoke in più di due aree di Azure e connettività di transito globale tra le zone di destinazione, sono necessarie reti virtuali tra le aree di Azure.When your organization requires hub-and-spoke network architectures across more than two Azure regions and global transit connectivity between landing zones, virtual networks across Azure regions are required. È possibile implementare questa architettura interconnettendo le reti virtuali dell'hub centrale con il peering di rete virtuale globale e usando UdR e appliance virtuali per abilitare il routing di transito globale.You can implement this architecture by interconnecting central-hub virtual networks with global virtual network peering and using UDRs and NVAs to enable global transit routing. Poiché il sovraccarico di complessità e gestione è elevato, è consigliabile valutare un'architettura di rete di transito globale con la rete WAN virtuale.Because the complexity and management overhead are high, we recommend evaluating a global transit network architecture with Virtual WAN.

  • Usare monitoraggio di Azure per le reti (anteprima) per monitorare lo stato end-to-end delle reti in Azure.Use Azure Monitor for Networks (Preview) to monitor the end-to-end state of your networks on Azure.

  • Non creare più di 200 connessioni peering per ogni rete virtuale hub centrale.Don't create more than 200 peering connections per central-hub virtual network. Sebbene le reti virtuali supportino fino a 500 connessioni peering, ExpressRoute con peering privato supporta solo la pubblicità fino a 200 prefissi da Azure a locale.Although virtual networks support up to 500 peering connections, ExpressRoute with private peering only supports advertising up to 200 prefixes from Azure to on-premises.

Connettività ad AzureConnectivity to Azure

Questa sezione espande la topologia di rete per considerare i modelli consigliati per la connessione di percorsi locali ad Azure.This section expands on the network topology to consider recommended models for connecting on-premises locations to Azure.

Considerazioni sulla progettazione:Design considerations:

  • Azure ExpressRoute offre connettività privata dedicata alla funzionalità di infrastruttura distribuita come servizio (IaaS) e piattaforma distribuita come servizio (PaaS) di Azure dalle posizioni locali.Azure ExpressRoute provides dedicated private connectivity to Azure infrastructure as a service (IaaS) and platform as a service (PaaS) functionality from on-premises locations.

  • È possibile usare il collegamento privato per stabilire la connettività ai servizi PaaS tramite ExpressRoute con peering privato.You can use Private Link to establish connectivity to PaaS services over ExpressRoute with private peering.

  • Quando più reti virtuali sono connesse allo stesso circuito ExpressRoute, diventeranno parte dello stesso dominio di routing e tutte le reti virtuali condivideranno la larghezza di banda.When multiple virtual networks are connected to the same ExpressRoute circuit, they'll become part of the same routing domain, and all virtual networks will share the bandwidth.

  • È possibile usare ExpressRoute Copertura globale, dove disponibili, per connettere i percorsi locali tramite circuiti ExpressRoute per il transito del traffico sulla rete dorsale Microsoft.You can use ExpressRoute Global Reach, where available, to connect on-premises locations together through ExpressRoute circuits to transit traffic over the Microsoft backbone network.

  • ExpressRoute Copertura globale è disponibile in molte località di peering ExpressRoute.ExpressRoute Global Reach is available in many ExpressRoute peering locations.

  • ExpressRoute Direct consente la creazione di più circuiti ExpressRoute senza costi aggiuntivi, fino alla capacità di porta diretta ExpressRoute (10 Gbps o 100 Gbps).ExpressRoute Direct allows creation of multiple ExpressRoute circuits at no additional cost, up to the ExpressRoute Direct port capacity (10 Gbps or 100 Gbps). Consente inoltre di connettersi direttamente ai router ExpressRoute di Microsoft.It also allows you to connect directly to Microsoft's ExpressRoute routers. Per lo SKU 100-Gbps, la larghezza di banda minima del circuito è 5 Gbps.For the 100-Gbps SKU, the minimum circuit bandwidth is 5 Gbps. Per lo SKU da 10 Gbps, la larghezza di banda minima del circuito è 1 Gbps.For the 10-Gbps SKU, the minimum circuit bandwidth is 1 Gbps.

Suggerimenti per la progettazione:Design recommendations:

  • Usare ExpressRoute come canale di connettività principale per connettere una rete locale ad Azure.Use ExpressRoute as the primary connectivity channel for connecting an on-premises network to Azure. È possibile usare le VPN come origine della connettività di backup per migliorare la resilienza della connettività.You can use VPNs as a source of backup connectivity to enhance connectivity resiliency.

  • Usare circuiti ExpressRoute doppi da diverse località di peering quando si connette una posizione locale alle reti virtuali in Azure.Use dual ExpressRoute circuits from different peering locations when you're connecting an on-premises location to virtual networks in Azure. Questa configurazione consente di garantire percorsi ridondanti ad Azure rimuovendo i singoli punti di errore tra l'ambiente locale e Azure.This setup will ensure redundant paths to Azure by removing single points of failure between on-premises and Azure.

  • Quando si usano più circuiti ExpressRoute, ottimizzare il routing ExpressRoute tramite la preferenza locale BGP e il percorso in sospeso.When you use multiple ExpressRoute circuits, optimize ExpressRoute routing via BGP local preference and AS PATH prepending.

  • Assicurarsi di usare lo SKU corretto per i gateway ExpressRoute/VPN in base ai requisiti di larghezza di banda e prestazioni.Ensure that you're using the right SKU for the ExpressRoute/VPN gateways based on bandwidth and performance requirements.

  • Distribuire un gateway ExpressRoute con ridondanza della zona nelle aree di Azure supportate.Deploy a zone-redundant ExpressRoute gateway in the supported Azure regions.

  • Per gli scenari che richiedono una larghezza di banda superiore a 10 Gbps o porte dedicate 10/100 Gbps, usare ExpressRoute Direct.For scenarios that require bandwidth higher than 10 Gbps or dedicated 10/100-Gbps ports, use ExpressRoute Direct.

  • Quando è richiesta una bassa latenza oppure la velocità effettiva dall'ambiente locale ad Azure deve essere superiore a 10 Gbps, abilitare FastPath per ignorare il gateway ExpressRoute dal percorso dati.When low latency is required, or throughput from on-premises to Azure must be greater than 10 Gbps, enable FastPath to bypass the ExpressRoute gateway from the data path.

  • Usare i gateway VPN per connettere i rami o i percorsi remoti ad Azure.Use VPN gateways to connect branches or remote locations to Azure. Per una resilienza più elevata, distribuire gateway con ridondanza della zona (se disponibili).For higher resilience, deploy zone-redundant gateways (where available).

  • Usare ExpressRoute Copertura globale per connettere uffici di grandi dimensioni, sedi locali o Data Center connessi ad Azure tramite ExpressRoute.Use ExpressRoute Global Reach to connect large offices, regional headquarters, or datacenters connected to Azure via ExpressRoute.

  • Quando è necessario l'isolamento del traffico o la larghezza di banda dedicata, ad esempio per separare gli ambienti di produzione e non di produzione, usare circuiti ExpressRoute diversi.When traffic isolation or dedicated bandwidth is required, such as for separating production and nonproduction environments, use different ExpressRoute circuits. Consente di garantire i domini di routing isolati e di attenuare i rischi per i router adiacenti.It will help you ensure isolated routing domains and alleviate noisy-neighbor risks.

  • Monitorare in modo proattivo i circuiti ExpressRoute usando Monitoraggio prestazioni rete.Proactively monitor ExpressRoute circuits by using Network Performance Monitor.

  • Non usare in modo esplicito i circuiti ExpressRoute da un'unica posizione di peering.Don't explicitly use ExpressRoute circuits from a single peering location. In questo modo si crea un singolo punto di errore e si rende l'organizzazione soggetta a interruzioni della località di peering.This creates a single point of failure and makes your organization susceptible to peering location outages.

  • Non usare lo stesso circuito ExpressRoute per connettere più ambienti che richiedono l'isolamento o la larghezza di banda dedicata, per evitare rischi di disturbo vicino.Don't use the same ExpressRoute circuit to connect multiple environments that require isolation or dedicated bandwidth, to avoid noisy-neighbor risks.

Connettività ai servizi PaaS di AzureConnectivity to Azure PaaS services

In questa sezione vengono illustrati gli approcci di connettività consigliati per l'uso dei servizi PaaS di Azure.Building on the previous connectivity sections, this section explores recommended connectivity approaches for using Azure PaaS services.

Considerazioni sulla progettazione:Design considerations:

  • I servizi PaaS di Azure sono in genere accessibili tramite endpoint pubblici.Azure PaaS services are typically accessed over public endpoints. Tuttavia, la piattaforma Azure offre funzionalità per la protezione di tali endpoint o anche per renderli completamente privati:However, the Azure platform provides capabilities to secure such endpoints or even make them entirely private:

    • L'inserimento di reti virtuali fornisce distribuzioni private dedicate per i servizi supportati.Virtual network injection provides dedicated private deployments for supported services. Ma il traffico del piano di gestione passa attraverso indirizzi IP pubblici.But management plane traffic flows through public IP addresses.

    • Il collegamento privato fornisce l'accesso dedicato usando indirizzi IP privati alle istanze di Azure PaaS o ai servizi personalizzati dietro Azure Load Balancer standard.Private Link provides dedicated access by using private IP addresses to Azure PaaS instances or custom services behind Azure Load Balancer Standard.

    • Gli endpoint del servizio rete virtuale forniscono l'accesso a livello di servizio dalle subnet selezionate ai servizi PaaS selezionati.Virtual network service endpoints provide service-level access from selected subnets to selected PaaS services.

  • Le aziende spesso hanno preoccupazioni sugli endpoint pubblici per i servizi PaaS che devono essere adeguatamente mitigati.Enterprises often have concerns about public endpoints for PaaS services that must be appropriately mitigated.

  • Per i servizi supportati, il collegamento privato risolve i problemi di exfiltration dei dati associati agli endpoint di servizio.For supported services, Private Link addresses data exfiltration concerns associated with service endpoints. In alternativa, è possibile usare il filtro in uscita tramite appliance virtuali per fornire i passaggi per attenuare i dati exfiltration.As an alternative, you can use outbound filtering via NVAs to provide steps to mitigate data exfiltration.

Suggerimenti per la progettazione:Design recommendations:

  • Usare l'inserimento di reti virtuali per i servizi di Azure supportati per renderli disponibili all'interno della rete virtuale.Use virtual network injection for supported Azure services to make them available from within your virtual network.

  • I servizi PaaS di Azure che sono stati inseriti in una rete virtuale eseguono ancora operazioni del piano di gestione usando indirizzi IP pubblici.Azure PaaS services that have been injected into a virtual network still perform management plane operations by using public IP addresses. Verificare che questa comunicazione sia bloccata nella rete virtuale usando UdR e gruppi.Ensure that this communication is locked down within the virtual network by using UDRs and NSGs.

  • Usare il collegamento privato, se disponibile, per i servizi PaaS di Azure condivisi.Use Private Link, where available, for shared Azure PaaS services. Il collegamento privato è disponibile a livello generale per diversi servizi ed è disponibile in versione di anteprima pubblica per molti di essi.Private Link is generally available for several services and is in public preview for numerous ones.

  • Accedere ai servizi PaaS di Azure dall'ambiente locale tramite peering privato ExpressRoute.Access Azure PaaS services from on-premises via ExpressRoute private peering. Usare l'inserimento di una rete virtuale per i servizi di Azure dedicati o il collegamento privato di Azure per i servizi di Azure condivisi disponibili.Use either virtual network injection for dedicated Azure services or Azure Private Link for available shared Azure services. Per accedere ai servizi PaaS di Azure dall'ambiente locale quando non è disponibile l'inserimento di una rete virtuale o un collegamento privato, usare ExpressRoute con il peering Microsoft.To access Azure PaaS services from on-premises when virtual network injection or Private Link isn't available, use ExpressRoute with Microsoft peering. Questo metodo consente di evitare il transito sulla rete Internet pubblica.This method avoids transiting over the public internet.

  • Usare gli endpoint del servizio rete virtuale per proteggere l'accesso ai servizi PaaS di Azure dall'interno della rete virtuale, ma solo quando il collegamento privato non è disponibile e non ci sono problemi di exfiltration dei dati.Use virtual network service endpoints to secure access to Azure PaaS services from within your virtual network, but only when Private Link isn't available and there are no data exfiltration concerns. Per risolvere i problemi relativi ai exfiltration di dati con gli endpoint di servizio, usare il filtro di appliance virtuale di rete o usare i criteri dell'endpoint di servizio di reteTo address data exfiltration concerns with service endpoints, use NVA filtering or use virtual network service endpoint policies for Azure Storage.

  • Non abilitare gli endpoint servizio di rete virtuale per impostazione predefinita in tutte le subnet.Don't enable virtual network service endpoints by default on all subnets.

  • Non usare gli endpoint del servizio rete virtuale quando si verificano problemi di exfiltration dei dati, a meno che non si usi il filtro di appliance di rete virtualeDon't use virtual network service endpoints when there are data exfiltration concerns, unless you use NVA filtering.

  • Non è consigliabile implementare il tunneling forzato per consentire la comunicazione da Azure alle risorse di Azure.We don't recommend that you implement forced tunneling to enable communication from Azure to Azure resources.

Pianificare la connettività Internet in ingresso e in uscitaPlan for inbound and outbound internet connectivity

In questa sezione vengono descritti i modelli di connettività consigliati per la connettività in ingresso e in uscita da e verso la rete Internet pubblica.This section describes recommended connectivity models for inbound and outbound connectivity to and from the public internet.

Considerazioni sulla progettazione:Design considerations:

  • I servizi di sicurezza di rete nativi di Azure, ad esempio firewall di Azure, Web Application Firewall (WAF) di Azure in applicazione Azure gateway e il servizio front door di Azure sono servizi completamente gestiti.Azure-native network security services such as Azure Firewall, Azure Web Application Firewall (WAF) on Azure Application Gateway, and Azure Front Door Service are fully managed services. Non è quindi necessario sostenere i costi operativi e di gestione associati alle distribuzioni dell'infrastruttura, che possono diventare complesse su larga scala.So you don't incur the operational and management costs associated with infrastructure deployments, which can become complex at scale.

  • L'architettura a livello aziendale è completamente compatibile con la appliance virtuali dei partner, se l'organizzazione preferisce usare appliance virtuali o per situazioni in cui i servizi nativi non soddisfano i requisiti specifici dell'organizzazione.The enterprise-scale architecture is fully compatible with partner NVAs, if your organization prefers to use NVAs or for situations where native services don't satisfy your organization's specific requirements.

Suggerimenti per la progettazione:Design recommendations:

  • Usare il firewall di Azure per gestire:Use Azure Firewall to govern:

    • Traffico in uscita di Azure verso Internet.Azure outbound traffic to the internet.

    • Connessioni in ingresso non HTTP/S.Non-HTTP/S inbound connections.

    • Filtraggio del traffico est/ovest (se richiesto dall'organizzazione).East/west traffic filtering (if your organization requires it).

  • Usare gestione firewall con la rete WAN virtuale per distribuire e gestire i firewall di Azure tra hub WAN virtuali o reti virtuali Hub.Use Firewall Manager with Virtual WAN to deploy and manage Azure firewalls across Virtual WAN hubs or in hub virtual networks. Gestione firewall è ora disponibile in GA sia per la rete WAN virtuale che per le normali reti virtuali.Firewall Manager is now in GA for both Virtual WAN and regular virtual networks.

  • Creare un criterio del firewall globale di Azure per gestire il comportamento di sicurezza nell'ambiente di rete globale e assegnarlo a tutte le istanze del firewall di Azure.Create a global Azure Firewall policy to govern security posture across the global network environment and assign it to all Azure Firewall instances. Consentire ai criteri granulari di soddisfare i requisiti di aree specifiche delegando i criteri del firewall incrementale ai team di sicurezza locali tramite il controllo degli accessi in base al ruolo.Allow for granular policies to meet requirements of specific regions by delegating incremental firewall policies to local security teams via role-based access control.

  • Configurare i provider di sicurezza SaaS partner supportati all'interno di Firewall Manager se l'organizzazione vuole usare tali soluzioni per proteggere le connessioni in uscita.Configure supported partner SaaS security providers within Firewall Manager if your organization wants to use such solutions to help protect outbound connections.

  • Usare WAF all'interno di una rete virtuale di zona di destinazione per la protezione del traffico HTTP/S in ingresso da Internet.Use WAF within a landing-zone virtual network for protecting inbound HTTP/S traffic from the internet.

  • Usare il servizio front-end di Azure e i criteri WAF per fornire la protezione globale tra le aree di Azure per le connessioni HTTP/S in ingresso a una zona di destinazione.Use Azure Front Door Service and WAF policies to provide global protection across Azure regions for inbound HTTP/S connections to a landing zone.

  • Quando si usa il servizio front door di Azure e applicazione Azure gateway per proteggere le app HTTP/S, usare i criteri WAF nel servizio front-end di Azure.When you're using Azure Front Door Service and Azure Application Gateway to help protect HTTP/S apps, use WAF policies in Azure Front Door Service. Bloccare applicazione Azure gateway per ricevere traffico solo dal servizio front door di Azure.Lock down Azure Application Gateway to receive traffic only from Azure Front Door Service.

  • Se i partner appliance virtuali sono necessari per la protezione e il filtraggio del traffico est/ovest o sud-nord:If partner NVAs are required for east/west or south/north traffic protection and filtering:

    • Per le topologie di rete WAN virtuale, distribuire il appliance virtuali in una rete virtuale separata, ad esempio la rete virtuale dell'appliance di rete virtuale.For Virtual WAN network topologies, deploy the NVAs to a separate virtual network (for example, NVA virtual network). Connetterlo quindi all'hub WAN virtuale a livello di area e alle zone di destinazione che richiedono l'accesso a appliance virtuali.Then connect it to the regional Virtual WAN hub and to the landing zones that require access to NVAs. Questo articolo descrive il processo.This article describes the process.
    • Per le topologie di rete WAN non virtuali, distribuire il partner appliance virtuali nella rete virtuale hub centrale.For non-Virtual WAN network topologies, deploy the partner NVAs in the central-hub virtual network.
  • Se sono necessarie appliance virtuali partner per le connessioni HTTP/S in ingresso, distribuirle in una rete virtuale di zona di destinazione e con le app che proteggono ed espongono a Internet.If partner NVAs are required for inbound HTTP/S connections, deploy them within a landing-zone virtual network and together with the apps that they're protecting and exposing to the internet.

  • Usare i piani di protezione standard di protezione DDoS di Azure per proteggere tutti gli endpoint pubblici ospitati nelle reti virtuali.Use Azure DDoS Protection Standard protection plans to help protect all public endpoints hosted within your virtual networks.

  • Non replicare i concetti e le architetture della rete perimetrale locale in Azure.Don't replicate on-premises perimeter network concepts and architectures into Azure. In Azure sono disponibili funzionalità di sicurezza simili, ma l'implementazione e l'architettura devono essere adattate al cloud.Similar security capabilities are available in Azure, but the implementation and architecture must be adapted to the cloud.

Pianificare la distribuzione di appPlan for app delivery

Questa sezione illustra le raccomandazioni principali per fornire app interne ed esterne in modo sicuro, altamente scalabile e a disponibilità elevata.This section explores key recommendations to deliver internal-facing and external-facing apps in a secure, highly scalable, and highly available way.

Considerazioni sulla progettazione:Design considerations:

  • Azure Load Balancer (interno e pubblico) fornisce disponibilità elevata per la distribuzione di app a livello di area.Azure Load Balancer (internal and public) provides high availability for app delivery at a regional level.

  • Applicazione Azure Gateway consente il recapito sicuro delle app HTTP/S a livello di area.Azure Application Gateway allows the secure delivery of HTTP/S apps at a regional level.

  • Il servizio front-end di Azure consente la distribuzione sicura di app HTTP/S a disponibilità elevata tra aree di Azure.Azure Front Door Service allows the secure delivery of highly available HTTP/S apps across Azure regions.

  • Gestione traffico di Azure consente la distribuzione di app globali.Azure Traffic Manager allows the delivery of global apps.

Suggerimenti per la progettazione:Design recommendations:

  • Eseguire la distribuzione di app all'interno di zone di destinazione per le app interne ed esterne.Perform app delivery within landing zones for both internal-facing and external-facing apps.

  • Per la distribuzione sicura delle app HTTP/S, usare il gateway applicazione V2 e verificare che la protezione WAF e i criteri siano abilitati.For secure delivery of HTTP/S apps, use Application Gateway v2 and ensure that WAF protection and policies are enabled.

  • Usare un'appliance virtuale di partner se non è possibile usare il gateway applicazione V2 per la sicurezza delle app HTTP/S.Use a partner NVA if you can't use Application Gateway v2 for the security of HTTP/S apps.

  • Distribuire applicazione Azure gateway v2 o appliance virtuali del partner usato per le connessioni HTTP/S in ingresso nella rete virtuale di zona di destinazione e con le app che proteggono.Deploy Azure Application Gateway v2 or partner NVAs used for inbound HTTP/S connections within the landing-zone virtual network and with the apps that they're securing.

  • Usare un piano di protezione DDoS standard per tutti gli indirizzi IP pubblici in una zona di destinazione.Use a DDoS standard protection plan for all public IP addresses in a landing zone.

  • Usare il servizio front-end di Azure con i criteri di WAF per offrire e proteggere le app HTTP/S globali che si estendono su aree di Azure.Use Azure Front Door Service with WAF policies to deliver and help protect global HTTP/S apps that span Azure regions.

  • Quando si usa il servizio front-end di Azure e il gateway applicazione per proteggere le app HTTP/S, usare i criteri WAF nel servizio front door di Azure.When you're using Azure Front Door Service and Application Gateway to help protect HTTP/S apps, use WAF policies in Azure Front Door Service. Bloccare il gateway applicazione per ricevere traffico solo dal servizio front door di Azure.Lock down Application Gateway to receive traffic only from Azure Front Door Service.

  • Usare gestione traffico per distribuire app globali che si estendono su protocolli diversi da HTTP/S.Use Traffic Manager to deliver global apps that span protocols other than HTTP/S.

Pianificare la segmentazione della rete della zona di destinazionePlan for landing zone network segmentation

Questa sezione illustra le raccomandazioni principali per fornire la segmentazione della rete interna altamente sicura all'interno di una zona di destinazione per condurre un'implementazione di attendibilità zero di rete.This section explores key recommendations to deliver highly secure internal network segmentation within a landing zone to drive a network zero-trust implementation.

Considerazioni sulla progettazione:Design considerations:

  • Il modello con attendibilità zero presuppone uno stato violato e verifica ogni richiesta come se avesse origine da una rete non controllata.The zero-trust model assumes a breached state and verifies each request as though it originates from an uncontrolled network.

  • Un'implementazione di rete con attendibilità zero avanzata impiega micro-perimetri cloud in ingresso/uscita completamente distribuiti e una micro-segmentazione più profonda.An advanced zero-trust network implementation employs fully distributed ingress/egress cloud micro-perimeters and deeper micro-segmentation.

  • I gruppi di sicurezza di rete possono usare i tag dei servizi di Azure per semplificare la connettività ai servizi PaaS di Azure.Network security groups can use Azure service tags to facilitate connectivity to Azure PaaS services.

  • I gruppi di sicurezza delle app non si estendono o forniscono la protezione tra le reti virtuali.App security groups don't span or provide protection across virtual networks.

  • I log di flusso NSG sono ora supportati tramite i modelli Azure Resource Manager.NSG flow logs are now supported through Azure Resource Manager templates.

Suggerimenti per la progettazione:Design recommendations:

  • Delegare la creazione della subnet al proprietario della zona di destinazione.Delegate subnet creation to the landing zone owner. Ciò consentirà di definire come segmentare i carichi di lavoro tra le subnet, ad esempio una singola subnet di grandi dimensioni, un'app multilivello o un'app inserita nella rete.This will enable them to define how to segment workloads across subnets (for example, a single large subnet, multitier app, or network-injected app). Il team della piattaforma può usare criteri di Azure per garantire che un NSG con regole specifiche, ad esempio negare SSH in ingresso o RDP da Internet o consentire/bloccare il traffico tra le zone di destinazione, sia sempre associato a subnet con criteri di sola negazione.The platform team can use Azure Policy to ensure that an NSG with specific rules (such as deny inbound SSH or RDP from internet, or allow/block traffic across landing zones) is always associated with subnets that have deny-only policies.

  • Usare gruppi per proteggere il traffico tra le subnet, nonché il traffico est/ovest attraverso la piattaforma (traffico tra le zone di destinazione).Use NSGs to help protect traffic across subnets, as well as east/west traffic across the platform (traffic between landing zones).

  • Il team di app deve usare i gruppi di sicurezza delle app a livello di subnet gruppi per proteggere le macchine virtuali a più livelli all'interno dell'area di destinazione.The app team should use app security groups at the subnet-level NSGs to help protect multitier VMs within the landing zone.

  • Usare gruppi e i gruppi di sicurezza delle app per ridurre il traffico all'interno della zona di destinazione ed evitare di usare un'appliance virtuale di sistema per filtrare i flussi di traffico.Use NSGs and app security groups to micro-segment traffic within the landing zone and avoid using a central NVA to filter traffic flows.

  • Abilitare i log di flusso NSG e inserirli in Analisi del traffico per ottenere informazioni dettagliate sui flussi di traffico interni ed esterni.Enable NSG flow logs and feed them into Traffic Analytics to gain insights into internal and external traffic flows.

  • Usare gruppi per consentire selettivamente la connettività tra le zone di destinazione.Use NSGs to selectively allow connectivity between landing zones.

  • Per le topologie WAN virtuali, instradare il traffico tra le zone di destinazione tramite il firewall di Azure se l'organizzazione richiede funzionalità di filtro e registrazione per il flusso del traffico tra le zone di destinazione.For Virtual WAN topologies, route traffic across landing zones via Azure Firewall if your organization requires filtering and logging capabilities for traffic flowing across landing zones.

Definire i requisiti di crittografia di reteDefine network encryption requirements

Questa sezione illustra le raccomandazioni principali per ottenere la crittografia di rete tra l'ambiente locale e Azure, nonché tra le aree di Azure.This section explores key recommendations to achieve network encryption between on-premises and Azure as well as across Azure regions.

Considerazioni sulla progettazione:Design considerations:

  • Il costo e la larghezza di banda disponibile sono inversamente proporzionali alla lunghezza del tunnel di crittografia tra gli endpoint.Cost and available bandwidth are inversely proportional to the length of the encryption tunnel between endpoints.

  • Quando si usa una VPN per connettersi ad Azure, il traffico viene crittografato tramite Internet tramite tunnel IPsec.When you're using a VPN to connect to Azure, traffic is encrypted over the internet via IPsec tunnels.

  • Quando si usa ExpressRoute con peering privato, il traffico non è attualmente crittografato.When you're using ExpressRoute with private peering, traffic isn't currently encrypted.

  • È possibile applicare la crittografia Media Access Control Security (MACsec) a ExpressRoute Direct per ottenere la crittografia di rete.You can apply media access control security (MACsec) encryption to ExpressRoute Direct to achieve network encryption.

  • Azure attualmente non offre la crittografia nativa sul peering di rete virtuale globale.Azure doesn't currently offer native encryption over global virtual network peering. Se è necessaria la crittografia tra aree di Azure, è possibile connettere le reti virtuali usando i gateway VPN anziché il peering di rete virtuale globale.If you need encryption between Azure regions, it's possible to connect virtual networks by using VPN gateways rather than global virtual network peering.

Suggerimenti per la progettazione:Design recommendations:

Diagramma che illustra i flussi di crittografia.

Figura 8: flussi di crittografia.Figure 8: Encryption flows.

  • Quando si stabiliscono connessioni VPN da locale ad Azure usando i gateway VPN, il traffico viene crittografato a livello di protocollo tramite i tunnel IPsec.When you're establishing VPN connections from on-premises to Azure by using VPN gateways, traffic is encrypted at a protocol level through IPsec tunnels. Il diagramma precedente Mostra questa crittografia nel flusso A .The preceding diagram shows this encryption in flow A.

  • Quando si usa ExpressRoute Direct, configurare MACsec per crittografare il traffico a livello due tra i router e MSEE dell'organizzazione.When you're using ExpressRoute Direct, configure MACsec in order to encrypt traffic at the layer-two level between your organization's routers and MSEE. Il diagramma Mostra questa crittografia nel flusso B .The diagram shows this encryption in flow B.

  • Per gli scenari WAN virtuali in cui MACsec non è un'opzione (ad esempio, non usando ExpressRoute Direct), usare un gateway VPN WAN virtuale per stabilire i tunnel IPsec tramite il peering privato ExpressRoute.For Virtual WAN scenarios where MACsec isn't an option (for example, not using ExpressRoute Direct), use a Virtual WAN VPN gateway to establish IPsec tunnels over ExpressRoute private peering. Il diagramma Mostra questa crittografia nel flusso C .The diagram shows this encryption in flow C.

  • Per gli scenari WAN non virtuali e in cui MACsec non è un'opzione (ad esempio, non usando ExpressRoute Direct), le uniche opzioni sono:For non-Virtual WAN scenarios, and where MACsec isn't an option (for example, not using ExpressRoute Direct), the only options are:

    • Usare appliance virtuali partner per stabilire tunnel IPsec tramite peering privato ExpressRoute.Use partner NVAs to establish IPsec tunnels over ExpressRoute private peering.
    • Stabilire un tunnel VPN su ExpressRoute con il peering Microsoft.Establish a VPN tunnel over ExpressRoute with Microsoft peering.
  • Se il traffico tra le aree di Azure deve essere crittografato, usare i gateway VPN per connettere le reti virtuali tra le aree.If traffic between Azure regions must be encrypted, use VPN gateways to connect virtual networks across regions.

  • Se le soluzioni native di Azure, come illustrato nei flussi B e C nel diagramma, non soddisfano i requisiti, usare appliance virtuali partner in Azure per crittografare il traffico attraverso il peering privato di ExpressRoute.If native Azure solutions (as shown in flows B and C in the diagram) don't meet your requirements, use partner NVAs in Azure to encrypt traffic over ExpressRoute private peering.

Pianificare l'ispezione del trafficoPlan for traffic inspection

In molti settori, le organizzazioni richiedono il mirroring del traffico in Azure a un agente di raccolta di pacchetti di rete per l'ispezione e l'analisi approfondite.In many industries, organizations require that traffic in Azure is mirrored to a network packet collector for deep inspection and analysis. Questo requisito è in genere incentrato sul traffico Internet in ingresso e in uscita.This requirement typically focuses on inbound and outbound internet traffic. Questa sezione illustra le considerazioni chiave e gli approcci consigliati per il mirroring o il tocco del traffico nella rete virtuale di Azure.This section explores key considerations and recommended approaches for mirroring or tapping traffic within Azure Virtual Network.

Considerazioni sulla progettazione:Design considerations:

  • Il punto di accesso terminale di rete virtuale di Azure (TAP) è in anteprima.Azure Virtual Network Terminal Access Point (TAP) is in preview. Contattare azurevnettap@microsoft.com per informazioni dettagliate sulla disponibilità.Contact azurevnettap@microsoft.com for availability details.

  • L'acquisizione di pacchetti in Azure Network Watcher è disponibile a livello generale, ma le acquisizioni sono limitate a un periodo massimo di cinque ore.Packet capture in Azure Network Watcher is generally available, but captures are limited to a maximum period of five hours.

Suggerimenti per la progettazione:Design recommendations:

In alternativa alla rete virtuale di Azure toccare, valutare le opzioni seguenti:As an alternative to Azure Virtual Network TAP, evaluate the following options:

  • Usare i pacchetti di Network Watcher per acquisire nonostante la finestra di acquisizione limitata.Use Network Watcher packets to capture despite the limited capture window.

  • Valutare se la versione più recente dei log di flusso di NSG fornisce il livello di dettaglio necessario.Evaluate if the latest version of NSG flow logs provides the level of detail that you need.

  • Usare le soluzioni partner per gli scenari che richiedono l'ispezione approfondita dei pacchetti.Use partner solutions for scenarios that require deep packet inspection.

  • Non sviluppare una soluzione personalizzata per il mirroring del traffico.Don't develop a custom solution to mirror traffic. Sebbene questo approccio possa essere accettabile per gli scenari su scala ridotta, non viene incoraggiato a livello di scalabilità a causa della complessità e dei problemi di supporto che possono verificarsi.Although this approach might be acceptable for small-scale scenarios, we don't encourage it at scale because of complexity and the supportability issues that might arise.