Data Center virtuale: una prospettiva di reteThe virtual datacenter: A network perspective

Le applicazioni migrate dall'ambiente locale trarranno vantaggio dall'infrastruttura economica sicura di Azure, anche con le modifiche minime apportate all'applicazione.Applications migrated from on-premises will benefit from Azure's secure cost-efficient infrastructure, even with minimal application changes. Anche in questo modo, le aziende devono adattare le proprie architetture per migliorare l'agilità e sfruttare le funzionalità di Azure.Even so, enterprises should adapt their architectures to improve agility and take advantage of Azure's capabilities.

Microsoft Azure offre servizi e infrastruttura a scalabilità elevata con funzionalità e affidabilità di livello aziendale.Microsoft Azure delivers hyperscale services and infrastructure with enterprise-grade capabilities and reliability. Questi servizi e l'infrastruttura offrono molte opzioni per la connettività ibrida, quindi i clienti possono scegliere di accedervi tramite Internet o una connessione di rete privata.These services and infrastructure offer many choices in hybrid connectivity, so customers can choose to access them over the internet or a private network connection. I partner Microsoft possono anche fornire funzionalità avanzate offrendo servizi di sicurezza e appliance virtuali ottimizzati per l'esecuzione in Azure.Microsoft partners can also provide enhanced capabilities by offering security services and virtual appliances that are optimized to run in Azure.

I clienti possono usare Azure per estendere facilmente la propria infrastruttura nel cloud e creare architetture a più livelli.Customers can use Azure to seamlessly extend their infrastructure into the cloud and build multitier architectures.

Che cos'è un data center virtuale?What is a virtual datacenter?

Il cloud è stato avviato come piattaforma per l'hosting di applicazioni pubbliche.The cloud began as a platform for hosting public-facing applications. Le aziende hanno riconosciuto il valore del cloud e hanno iniziato a migrare le applicazioni line-of-business interne.Enterprises recognized the value of the cloud and began migrating internal line-of-business applications. Queste applicazioni hanno introdotto considerazioni aggiuntive sulla sicurezza, l'affidabilità, le prestazioni e i costi che richiedono flessibilità aggiuntiva per la distribuzione di servizi cloud.These applications brought additional security, reliability, performance, and cost considerations that required additional flexibility when delivering cloud services. I nuovi servizi di infrastruttura e di rete sono stati progettati per offrire questa flessibilità e le nuove funzionalità disponibili per la scalabilità elastica, il ripristino di emergenza e altre considerazioni.New infrastructure and networking services were designed to provide this flexibility, and new features provided for elastic scale, disaster recovery, and other considerations.

Le soluzioni cloud sono state progettate inizialmente per ospitare applicazioni singole e relativamente isolate nello spettro pubblico.Cloud solutions were initially designed to host single, relatively isolated applications in the public spectrum. Questo approccio è andato bene per alcuni anni,This approach worked well for a few years. Poiché i vantaggi delle soluzioni cloud sono diventati chiari, più carichi di lavoro su larga scala erano ospitati sul cloud.As the benefits of cloud solutions became clear, multiple large-scale workloads were hosted on the cloud. La risoluzione dei problemi di sicurezza, affidabilità, prestazioni e costi delle distribuzioni in una o più aree è diventata fondamentale per tutto il ciclo di vita del servizio cloud.Addressing security, reliability, performance, and cost concerns of deployments in one or more regions became vital throughout the lifecycle of the cloud service.

Nel diagramma di distribuzione cloud di esempio riportato di seguito, la casella rossa evidenzia un gap di sicurezza.In the example cloud deployment diagram below, the red box highlights a security gap. La casella gialla mostra un'opportunità per ottimizzare le appliance virtuali di rete tra i carichi di lavoro.The yellow box shows an opportunity to optimize network virtual appliances across workloads.

00

I data center virtuali consentono di ottenere la scalabilità necessaria per i carichi di lavoro aziendali.Virtual datacenters help achieve the scale required for enterprise workloads. Questa scala deve soddisfare le esigenze introdotte durante l'esecuzione di applicazioni su larga scala nel cloud pubblico.This scale must address the challenges introduced when running large-scale applications in the public cloud.

Un'implementazione di data center virtuale (VCC) include più dei carichi di lavoro dell'applicazione nel cloud.A virtual datacenter (VDC) implementation includes more than the application workloads in the cloud. Fornisce inoltre la rete, la sicurezza, la gestione e altre infrastrutture, ad esempio servizi DNS e Active Directory.It also provides the network, security, management, and other infrastructure such as DNS and Active Directory services. Quando le aziende migrano carichi di lavoro aggiuntivi in Azure, prendere in considerazione l'infrastruttura e gli oggetti che supportano questi carichi di lavoro.As enterprises migrate additional workloads to Azure, consider the infrastructure and objects that support these workloads. Strutturare accuratamente le risorse consente di evitare la proliferazione di centinaia di "isole di carico di lavoro" gestite separatamente con flussi di dati indipendenti, modelli di sicurezza e problemi di conformità.Carefully structuring your resources helps avoid proliferation of hundreds of separately managed "workload islands" with independent data flows, security models, and compliance challenges.

Il concetto di data center virtuale fornisce consigli e progettazioni di alto livello per l'implementazione di una raccolta di entità separate ma correlate.The virtual datacenter concept provides recommendations and high-level designs for implementing a collection of separate but related entities. Queste entità spesso dispongono di funzioni, funzionalità e infrastruttura di supporto comuni.These entities often have common supporting functions, features, and infrastructure. La visualizzazione dei carichi di lavoro come data center virtuale aiuta a realizzare costi ridotti da economie di scalabilità, sicurezza ottimizzata tramite componenti e centralizzazione del flusso di dati e operazioni più semplici, gestione e controlli di conformità.Viewing your workloads as a virtual datacenter helps realize reduced cost from economies of scale, optimized security via component and data flow centralization, and easier operations, management, and compliance audits.

Nota

Un data center virtuale non è un servizio di Azure specifico.A virtual datacenter is not a specific Azure service. Vengono invece combinate diverse funzionalità e funzionalità di Azure per soddisfare i requisiti.Rather, various Azure features and capabilities are combined to meet your requirements. Un data center virtuale è un modo per considerare i carichi di lavoro e l'utilizzo di Azure per ottimizzare le risorse e le funzionalità nel cloud.A virtual datacenter is a way of thinking about your workloads and Azure usage to optimize your resources and capabilities in the cloud. Fornisce un approccio modulare per fornire servizi IT in Azure rispettando i ruoli e le responsabilità aziendali dell'organizzazione.It provides a modular approach to providing IT services in Azure while respecting the enterprise's organizational roles and responsibilities.

Un data center virtuale consente alle aziende di distribuire carichi di lavoro e applicazioni in Azure per gli scenari seguenti:A virtual datacenter helps enterprises deploy workloads and applications in Azure for the following scenarios:

  • Hosting di più carichi di lavoro correlatiHost multiple related workloads.
  • Migrazione dei carichi di lavoro da un ambiente locale ad AzureMigrate workloads from an on-premises environment to Azure.
  • Implementazione di requisiti di sicurezza e accesso condivisi o centralizzati nei carichi di lavoroImplement shared or centralized security and access requirements across workloads.
  • Combinare DevOps e centralizzarlo in modo appropriato per un'azienda di grandi dimensioni.Mix DevOps and centralized IT appropriately for a large enterprise.

Chi deve implementare un data center virtuale?Who should implement a virtual datacenter?

Tutti i clienti che hanno deciso di adottare Azure possono trarre vantaggio dall'efficienza della configurazione di un set di risorse per l'uso comune da parte di tutte le applicazioni.Any customer that has decided to adopt Azure can benefit from the efficiency of configuring a set of resources for common use by all applications. A seconda delle dimensioni, anche le singole applicazioni possono trarre vantaggio dall'uso dei modelli e dei componenti usati per creare un'implementazione di data center virtuale.Depending on the size, even single applications can benefit from using the patterns and components used to build a VDC implementation.

Alcune organizzazioni hanno team o reparti centralizzati per IT, rete, sicurezza o conformità.Some organizations have centralized teams or departments for IT, networking, security, or compliance. L'implementazione di un data center virtuale può consentire l'applicazione di punti criteri, responsabilità separate e garantire la coerenza dei componenti comuni sottostanti.Implementing a VDC can help enforce policy points, separate responsibilities, and ensure the consistency of the underlying common components. I team di applicazioni possono mantenere la libertà e il controllo idonei per i propri requisiti.Application teams can retain the freedom and control that is suitable for their requirements.

Le organizzazioni con un approccio DevOps possono anche usare i concetti di data center virtuale per fornire sacche di risorse di Azure autorizzate.Organizations with a DevOps approach can also use VDC concepts to provide authorized pockets of Azure resources. Questo metodo può garantire che i gruppi di DevOps dispongano del controllo totale all'interno di tale raggruppamento, a livello di sottoscrizione o all'interno di gruppi di risorse in una sottoscrizione comune.This method can ensure the DevOps groups have total control within that grouping, at either the subscription level or within resource groups in a common subscription. Allo stesso tempo, i limiti di rete e di sicurezza sono conformi in base a quanto definito da un criterio centralizzato nella rete Hub e nel gruppo di risorse gestito centralmente.At the same time, the network and security boundaries stay compliant as defined by a centralized policy in the hub network and centrally managed resource group.

Considerazioni per l'implementazione di un data center virtualeConsiderations for implementing a virtual datacenter

Quando si progetta un data center virtuale, prendere in considerazione i problemi cruciali seguenti:When designing a virtual datacenter, consider these pivotal issues:

Identità e servizio directoryIdentity and directory service

I servizi Identity e directory sono funzionalità chiave dei data center locali e cloud.Identity and directory services are key capabilities of both on-premises and cloud datacenters. Identity copre tutti gli aspetti di accesso e autorizzazione ai servizi all'interno di un'implementazione di data center virtuale.Identity covers all aspects of access and authorization to services within a VDC implementation. Per garantire che solo gli utenti autorizzati e i processi accedano alle risorse di Azure, Azure usa diversi tipi di credenziali per l'autenticazione, incluse le password degli account, le chiavi crittografiche, le firme digitali e i certificati.To ensure that only authorized users and processes access your Azure resources, Azure uses several types of credentials for authentication, including account passwords, cryptographic keys, digital signatures, and certificates. Azure multi-factor authentication offre un ulteriore livello di sicurezza per l'accesso ai servizi di Azure tramite l'autenticazione avanzata con una gamma di semplici opzioni di verifica (telefonata, SMS o notifica tramite app per dispositivi mobili) che consentono ai clienti di scegliere il metodo preferito.Azure Multi-Factor Authentication provides an additional layer of security for accessing Azure services using strong authentication with a range of easy verification options (phone call, text message, or mobile app notification) that allow customers to choose the method they prefer.

Tutte le aziende di grandi dimensioni devono definire un processo di gestione delle identità che descriva la gestione delle singole identità, l'autenticazione, l'autorizzazione, i ruoli e i privilegi all'interno o in tutto il data center virtuale.Any large enterprise needs to define an identity management process that describes the management of individual identities, their authentication, authorization, roles, and privileges within or across their VDC. Lo scopo di questo processo è quello di aumentare la sicurezza e la produttività riducendo al tempo stesso costi, tempi di inattività e attività manuali ripetitive.The goals of this process should be to increase security and productivity while reducing cost, downtime, and repetitive manual tasks.

Le organizzazioni aziendali possono richiedere una combinazione complessa di servizi per diverse linee di business e i dipendenti hanno spesso ruoli diversi quando sono soggetti a progetti diversi.Enterprise organizations may require a demanding mix of services for different lines of business, and employees often have different roles when involved with different projects. Un data center virtuale richiede una buona cooperazione tra i diversi team, ognuno con definizioni dei ruoli specifiche, in modo che i sistemi vengano eseguiti con una governance efficiente.The VDC requires good cooperation between different teams, each with specific role definitions, to get systems running with good governance. L'insieme di responsabilità, accesso e diritti può essere complesso.The matrix of responsibilities, access, and rights can be complex. La gestione delle identità nel data center virtuale viene implementata tramite Azure Active Directory (Azure ad) e il controllo degli accessi in base al ruolo (RBAC).Identity management in the VDC is implemented through Azure Active Directory (Azure AD) and role-based access control (RBAC).

Un servizio directory è un'infrastruttura di informazioni condivisa per individuare, gestire, amministrare e organizzare quotidianamente elementi e risorse di rete.A directory service is a shared information infrastructure that locates, manages, administers, and organizes everyday items and network resources. Queste risorse possono includere volumi, cartelle, file, stampanti, utenti, gruppi, dispositivi e altri oggetti.These resources can include volumes, folders, files, printers, users, groups, devices, and other objects. Ogni risorsa presente nella rete è considerata un oggetto dal server di directory.Each resource on the network is considered an object by the directory server. Le informazioni su una risorsa vengono archiviate come raccolta di attributi associati a tale risorsa o oggetto.Information about a resource is stored as a collection of attributes associated with that resource or object.

Tutti i servizi aziendali di Microsoft online si basano su Azure Active Directory (Azure AD) per l'accesso e altre esigenze di identità.All Microsoft online business services rely on Azure Active Directory (Azure AD) for sign-on and other identity needs. Azure Active Directory è una soluzione cloud completa di gestione di identità e accessi ad alta disponibilità che riunisce servizi di directory di base, governance delle identità avanzata e gestione dell'accesso alle applicazioni.Azure Active Directory is a comprehensive, highly available identity and access management cloud solution that combines core directory services, advanced identity governance, and application access management. Azure AD può essere integrato con Active Directory locale per abilitare Single Sign-On per tutte le applicazioni basate sul cloud e ospitate in locale.Azure AD can integrate with on-premises Active Directory to enable single sign-on for all cloud-based and locally hosted on-premises applications. Gli attributi utente di Active Directory locale possono essere automaticamente sincronizzati con Azure AD.The user attributes of on-premises Active Directory can be automatically synchronized to Azure AD.

Non è necessario un singolo amministratore globale per assegnare tutte le autorizzazioni in un'implementazione di data center virtuale.A single global administrator isn't required to assign all permissions in a VDC implementation. Ogni specifico reparto (o gruppo di utenti o servizi nel servizio directory) può invece avere le autorizzazioni necessarie per gestire le proprie risorse nell'implementazione di un data center virtuale.Instead, each specific department, group of users, or services in the Directory Service can have the permissions required to manage their own resources within a VDC implementation. La struttura delle autorizzazioni deve essere ben bilanciata.Structuring permissions requires balancing. Troppe autorizzazioni possono ostacolare le prestazioni, mentre autorizzazioni non sufficienti o approssimative possono aumentare i rischi per la sicurezza.Too many permissions can impede performance efficiency, and too few or loose permissions can increase security risks. Il controllo degli accessi in base al ruolo (RBAC) di Azure consente di risolvere questo problema, offrendo una gestione degli accessi con granularità fine per le risorse in un'implementazione di data center virtuale.Azure role-based access control (RBAC) helps to address this problem, by offering fine-grained access management for resources in a VDC implementation.

Infrastruttura di sicurezzaSecurity infrastructure

Il termine infrastruttura di sicurezza si riferisce alla separazione del traffico nel segmento di rete virtuale specifico dell'implementazione di un data center virtuale.Security infrastructure refers to the segregation of traffic in a VDC implementation's specific virtual network segment. Questa infrastruttura specifica il modo in cui l'ingresso e l'uscita sono controllati in un'implementazione di data center virtuale.This infrastructure specifies how ingress and egress are controlled in a VDC implementation. Azure si basa su un'architettura multi-tenant che impedisce il traffico non autorizzato e non intenzionale tra le distribuzioni usando l'isolamento della rete virtuale, gli elenchi di controllo di accesso, i bilanciamenti del carico, i filtri IP e i criteri di flusso del traffico.Azure is based on a multitenant architecture that prevents unauthorized and unintentional traffic between deployments by using virtual network isolation, access control lists, load balancers, IP filters, and traffic flow policies. Network Address Translation (NAT) separa il traffico di rete interno dal traffico esterno.Network address translation (NAT) separates internal network traffic from external traffic.

L'infrastruttura di Azure alloca le risorse di infrastruttura ai carichi di lavoro dei tenant e gestisce le comunicazioni verso e dalle macchine virtuali (VM).The Azure fabric allocates infrastructure resources to tenant workloads and manages communications to and from virtual machines (VMs). L'hypervisor di Azure impone la separazione di memoria e processi tra le VM e instrada in modo sicuro il traffico di rete ai tenant del sistema operativo guest.The Azure hypervisor enforces memory and process separation between VMs and securely routes network traffic to guest OS tenants.

Connettività al cloudConnectivity to the cloud

Un data center virtuale richiede la connettività a reti esterne per offrire servizi a clienti, partner o utenti interni.A virtual datacenter requires connectivity to external networks to offer services to customers, partners, or internal users. quindi è in genere necessaria la connettività non solo a Internet, ma anche alle reti e ai data center locali.This need for connectivity refers not only to the Internet, but also to on-premises networks and datacenters.

I clienti controllano i servizi ai quali è possibile accedere e che accedono dalla rete Internet pubblica.Customers control which services can access and be accessed from the public internet. Questo accesso viene controllato usando il firewall di Azure o altri tipi di appliance di rete virtuale (appliance virtuali), i criteri di routing personalizzati usando le route definite dall'utentee il filtro di rete usando i gruppi di sicurezza di rete.This access is controlled by using Azure Firewall or other types of virtual network appliances (NVAs), custom routing policies by using user-defined routes, and network filtering by using network security groups. È consigliabile che tutte le risorse con connessione Internet siano protette anche tramite la protezione DDOS di Azure Standard.We recommend that all internet-facing resources also be protected by the Azure DDoS Protection Standard.

È possibile che le aziende debbano connettere il data center virtuale ai data center locali o ad altre risorse.Enterprises may need to connect their virtual datacenter to on-premises datacenters or other resources. La connettività tra Azure e le reti locali è quindi un aspetto fondamentale della progettazione di un'architettura efficace.This connectivity between Azure and on-premises networks is a crucial aspect when designing an effective architecture. Le aziende hanno due modi diversi per creare questa interconnessione: transito su Internet o tramite connessioni private dirette.Enterprises have two different ways to create this interconnection: transit over the Internet or via private direct connections.

Una VPN da sito a sito di Azure connette le reti locali al data center virtuale in Azure.An Azure Site-to-Site VPN connects on-premises networks to your virtual datacenter in Azure. Il collegamento viene stabilito tramite connessioni crittografate sicure (tunnel IPsec).The link is established through secure encrypted connections (IPsec tunnels). Le connessioni VPN da sito a sito di Azure sono flessibili, rapide da creare e in genere non richiedono l'approvvigionamento di hardware aggiuntivo.Azure Site-to-Site VPN connections are flexible, quick to create, and typically don't require any additional hardware procurement. In base ai protocolli standard di settore, la maggior parte dei dispositivi di rete correnti può creare connessioni VPN ad Azure tramite Internet o percorsi di connettività esistenti.Based on industry standard protocols, most current network devices can create VPN connections to Azure over the internet or existing connectivity paths.

ExpressRoute consente di stabilire connessioni private tra il data center virtuale e qualsiasi rete locale.ExpressRoute enables private connections between your virtual datacenter and any on-premises networks. Le connessioni ExpressRoute non passano attraverso la rete Internet pubblica e offrono maggiore sicurezza, affidabilità e velocità più elevate (fino a 100 Gbps) insieme alla latenza coerente.ExpressRoute connections don't go over the public Internet, and offer higher security, reliability, and higher speeds (up to 100 Gbps) along with consistent latency. ExpressRoute offre i vantaggi delle regole di conformità associate alle connessioni private.ExpressRoute provides the benefits of compliance rules associated with private connections. Con ExpressRoute Directè possibile connettersi direttamente ai router Microsoft a 10 gbps o 100 Gbps.With ExpressRoute Direct, you can connect directly to Microsoft routers at either 10 Gbps or 100 Gbps.

La distribuzione delle connessioni ExpressRoute in genere comporta l'interazione con un provider di servizi ExpressRoute (ExpressRoute Direct è l'eccezione).Deploying ExpressRoute connections usually involves engaging with an ExpressRoute service provider (ExpressRoute Direct being the exception). Per i clienti che devono iniziare rapidamente, è normale usare inizialmente la VPN da sito a sito per stabilire la connettività tra un data center virtuale e le risorse locali.For customers that need to start quickly, it's common to initially use Site-to-Site VPN to establish connectivity between a virtual datacenter and on-premises resources. Una volta completata l'interconnessione fisica con il provider di servizi, eseguire la migrazione della connettività tramite la connessione ExpressRoute.Once your physical interconnection with your service provider is complete, then migrate connectivity over your ExpressRoute connection.

Per un numero elevato di connessioni VPN o ExpressRoute, la rete WAN virtuale di Azure è un servizio di rete che fornisce connettività da ramo a ramo ottimizzata e automatizzata tramite Azure.For large numbers of VPN or ExpressRoute connections, Azure Virtual WAN is a networking service that provides optimized and automated branch-to-branch connectivity through Azure. La rete WAN virtuale consente di connettersi e configurare i dispositivi Branch per la comunicazione con Azure.Virtual WAN lets you connect to and configure branch devices to communicate with Azure. La connessione e la configurazione possono essere eseguite manualmente o usando i dispositivi provider preferiti tramite un partner WAN virtuale.Connecting and configuring can be done either manually or by using preferred provider devices through a Virtual WAN partner. L'uso di dispositivi di provider preferiti consente la facilità d'uso, semplifica le operazioni di connettività e agevola la gestione della configurazione.Using preferred provider devices allows ease of use, simplification of connectivity, and configuration management. Il dashboard predefinito di Azure WAN fornisce informazioni dettagliate sulla risoluzione dei problemi che consentono di risparmiare tempo e offre un modo semplice per visualizzare la connettività da sito a sito su larga scala.The Azure WAN built-in dashboard provides instant troubleshooting insights that can help save you time, and gives you an easy way to view large-scale site-to-site connectivity. La rete WAN virtuale fornisce anche servizi di sicurezza con un firewall di Azure facoltativo e gestione firewall nell'hub WAN virtuale.Virtual WAN also provides security services with an optional Azure Firewall and Firewall Manager in your Virtual WAN hub.

Connettività all'interno del cloudConnectivity within the cloud

Le reti virtuali di Azure e il peering di rete virtuale sono i componenti di rete di base di un data center virtuale.Azure Virtual Networks and virtual network peering are the basic networking components in a virtual datacenter. Una rete virtuale garantisce un limite di isolamento per le risorse del data center virtuale.A virtual network guarantees an isolation boundary for virtual datacenter resources. Il peering consente l'intercomunicazione tra diverse reti virtuali all'interno della stessa area di Azure, tra aree e anche tra le reti in sottoscrizioni diverse.Peering allows intercommunication between different virtual networks within the same Azure region, across regions, and even between networks in different subscriptions. Sia all'interno che tra le reti virtuali, i flussi di traffico possono essere controllati da set di regole di sicurezza specificati per i gruppi di sicurezza di rete, i criteri firewall (firewall diAzure o appliance virtuali di rete) e le route personalizzate definite dall'utente.Both inside and between virtual networks, traffic flows can be controlled by sets of security rules specified for network security groups, firewall policies (Azure Firewall or network virtual appliances), and custom user-defined routes.

Le reti virtuali sono anche punti di ancoraggio per l'integrazione di prodotti Azure di piattaforma distribuita come servizio (PaaS), ad esempio archiviazione di Azure, Azure SQLe altri servizi pubblici integrati con endpoint pubblici.Virtual networks are also anchor points for integrating platform as a service (PaaS) Azure products like Azure Storage, Azure SQL, and other integrated public services that have public endpoints. Con gli endpoint di servizio e il collegamento privato di Azure, è possibile integrare i servizi pubblici con la rete privata.With service endpoints and Azure Private Link, you can integrate your public services with your private network. È anche possibile utilizzare i servizi pubblici privati, ma è comunque possibile usufruire dei vantaggi offerti dai servizi PaaS gestiti da Azure.You can even take your public services private, but still enjoy the benefits of Azure-managed PaaS services.

Panoramica del data center virtualeVirtual datacenter overview

TopologieTopologies

Un data center virtuale può essere creato usando una di queste topologie di alto livello, in base alle esigenze e ai requisiti di scalabilità:A virtual datacenter can be built using one of these high-level topologies, based on your needs and scale requirements:

In una topologia Flat, tutte le risorse vengono distribuite in una singola rete virtuale.In a Flat topology, all resources are deployed in a single virtual network. Le subnet consentono il controllo di flusso e la separazione.Subnets allow for flow control and segregation.

1111

In una topologia mesh, il peering di rete virtuale connette tutte le reti virtuali direttamente tra loro.In a Mesh topology, virtual network peering connects all virtual networks directly to each other.

1212

Un Hub peering e una topologia spoke sono particolarmente adatti per le applicazioni distribuite e i team con responsabilità delegate.A Peering hub and spoke topology is well suited for distributed applications and teams with delegated responsibilities.

1313

Una topologia WAN virtuale di Azure può supportare scenari di succursali su larga scala e servizi WAN globali.An Azure Virtual WAN topology can support large-scale branch office scenarios and global WAN services.

1414

L'hub peering e la topologia spoke e la topologia WAN virtuale di Azure usano una progettazione hub e spoke, ideale per la comunicazione, le risorse condivise e i criteri di sicurezza centralizzati.The peering hub and spoke topology and the Azure Virtual WAN topology both use a hub and spoke design, which is optimal for communication, shared resources, and centralized security policy. Gli hub vengono compilati usando un hub di peering di rete virtuale (con etichetta come Hub Virtual Network nel diagramma) o un hub WAN virtuale (contrassegnato come Azure Virtual WAN nel diagramma).Hubs are built using either a virtual network peering hub (labeled as Hub Virtual Network in the diagram) or a Virtual WAN hub (labeled as Azure Virtual WAN in the diagram). La rete WAN virtuale di Azure è progettata per le comunicazioni da ramo a ramo su larga scala e da ramo a Azure o per evitare le complessità della creazione di tutti i componenti singolarmente in un hub di peering di rete virtuale.Azure Virtual WAN is designed for large-scale branch-to-branch and branch-to-Azure communications, or for avoiding the complexities of building all the components individually in a virtual networking peering hub. In alcuni casi, i requisiti potrebbero richiedere una progettazione dell'hub di peering di rete virtuale, ad esempio la necessità di appliance virtuali di rete nell'hub.In some cases, your requirements might mandate a virtual network peering hub design, such as the need for network virtual appliances in the hub.

In entrambe le topologie Hub e spoke, l'hub è l'area di rete centrale che controlla e controlla tutto il traffico tra zone diverse: Internet, locale e spoke.In both of the hub and spoke topologies, the hub is the central network zone that controls and inspects all traffic between different zones: internet, on-premises, and the spokes. La topologia hub e spoke consente al reparto IT di applicare centralmente i criteri di sicurezza.The hub and spoke topology helps the IT department centrally enforce security policies. riducendo al contempo il rischio di configurazione non corretta ed esposizione.It also reduces the potential for misconfiguration and exposure.

L'hub spesso contiene i componenti del servizio comuni utilizzati dai spoke.The hub often contains the common service components consumed by the spokes. Di seguito sono riportati alcuni esempi di servizi centrali comuni:The following examples are common central services:

  • Infrastruttura di Windows Active Directory necessaria per l'autenticazione utente delle terze parti che accedono da reti non attendibili prima di ottenere l'accesso ai carichi di lavoro nello spoke.The Windows Active Directory infrastructure, required for user authentication of third parties that access from untrusted networks before they get access to the workloads in the spoke. Include il componente correlato Active Directory Federation Services (AD FS).It includes the related Active Directory Federation Services (AD FS).
  • Un servizio DNS (Distributed Name System) per la risoluzione dei nomi per il carico di lavoro nei spoke, per accedere alle risorse in locale e su Internet se non viene usato DNS di Azure .A Distributed Name System (DNS) service to resolve naming for the workload in the spokes, to access resources on-premises and on the internet if Azure DNS isn't used.
  • Infrastruttura a chiave pubblica (PKI) per implementare Single Sign-On nei carichi di lavoro.A public key infrastructure (PKI), to implement single sign-on on workloads.
  • Controllo di flusso del traffico TCP e UDP tra le zone della rete degli spoke e Internet.Flow control of TCP and UDP traffic between the spoke network zones and the internet.
  • Controllo di flusso tra gli spoke e le zone locali.Flow control between the spokes and on-premises.
  • Se necessario, controllo di flusso tra uno spoke e un altro.If needed, flow control between one spoke and another.

Un data center virtuale riduce il costo complessivo usando l'infrastruttura dell'hub condiviso tra più spoke.A virtual datacenter reduces overall cost by using the shared hub infrastructure between multiple spokes.

Il ruolo di ogni spoke può essere quello di ospitare tipi diversi di carichi di lavoro.The role of each spoke can be to host different types of workloads. Gli spoke consentono anche un approccio modulare per le distribuzioni ripetibili degli stessi carichi di lavoro.The spokes also provide a modular approach for repeatable deployments of the same workloads. Gli esempi includono sviluppo/test, test di accettazione degli utenti, pre-produzione e produzione.Examples include dev/test, user acceptance testing, preproduction, and production. Gli spoke possono anche essere usati per isolare e consentire gruppi diversi all'interno dell'organizzazione,The spokes can also segregate and enable different groups within your organization. Un esempio è DevOps groups.An example is DevOps groups. In uno spoke è possibile distribuire un carico di lavoro di base o carichi di lavoro complessi multilivello con il controllo del traffico tra i livelli.Inside a spoke, it's possible to deploy a basic workload or complex multitier workloads with traffic control between the tiers.

Limiti della sottoscrizione e hub multipliSubscription limits and multiple hubs

Importante

A seconda delle dimensioni delle distribuzioni di Azure, potrebbe essere necessaria una strategia per hub multipli.Based on the size of your Azure deployments, a multiple hub strategy may be needed. Quando si progetta la strategia di hub e spoke, è possibile richiedere la scalabilità di progettazione per l'uso di un'altra rete virtuale dell'hub in questa area? ", inoltre, la scalabilità della progettazione può includere più aree?"When designing your hub and spoke strategy, ask "can this design scale to use another hub virtual network in this region?", also, "can this design scale to accommodate multiple regions?" È preferibile pianificare una progettazione che sia scalabile e non necessaria, rispetto alla mancata pianificazione e alla necessità.It's far better to plan for a design that scales and not need it, than to fail to plan and need it.

Quando la scalabilità in un hub secondario (o più) dipende da una miriade di fattori, in genere in base ai limiti intrinseci sulla scala.When to scale to a secondary (or more) hub will depend on myriad factors, usually based on inherent limits on scale. Assicurarsi di esaminare i limiti della sottoscrizione, della rete virtuale e della macchina virtuale durante la progettazione per la scalabilità.Be sure to review the subscription, virtual network, and virtual machine limits when designing for scale.

In Azure ogni componente, indipendentemente dal tipo, viene distribuito in una sottoscrizione di Azure.In Azure, every component, whatever the type, is deployed in an Azure subscription. L'isolamento dei componenti di Azure in diverse sottoscrizioni di Azure può soddisfare i requisiti di diverse line-of-business, come la configurazione di livelli differenziati di accesso e autorizzazione.The isolation of Azure components in different Azure subscriptions can satisfy the requirements of different lines of business, such as setting up differentiated levels of access and authorization.

Una singola implementazione di data center virtuale può essere scalata fino a un numero elevato di spoke, anche se, come per ogni sistema IT, esistono limiti di piattaforma.A single VDC implementation can scale up to large number of spokes, although, as with every IT system, there are platform limits. La distribuzione dell'hub è associata a una sottoscrizione di Azure specifica, che presenta restrizioni e limiti, ad esempio un numero massimo di peering di rete virtuale.The hub deployment is bound to a specific Azure subscription, which has restrictions and limits (for example, a maximum number of virtual network peerings. Per informazioni dettagliate, vedere sottoscrizione di Azure e limiti, quote e vincoli dei servizi.For details, see Azure subscription and service limits, quotas, and constraints). Nei casi in cui i limiti possono costituire un problema, è possibile aumentare ulteriormente le prestazioni per l'architettura estendendo il modello da un singolo hub-spoke a un cluster di hub e spoke.In cases where limits may be an issue, the architecture can scale up further by extending the model from a single hub-spokes to a cluster of hub and spokes. È possibile connettere più hub in una o più aree di Azure usando il peering di rete virtuale, ExpressRoute, WAN virtuale o una VPN da sito a sito.Multiple hubs in one or more Azure regions can be connected using virtual network peering, ExpressRoute, Virtual WAN, or site-to-site VPN.

22

L'introduzione di più hub aumenta il costo e l'impegno di gestione del sistemaThe introduction of multiple hubs increases the cost and management effort of the system. È giustificato solo a causa della scalabilità, dei limiti di sistema, della ridondanza, della replica a livello di area per le prestazioni dell'utente finale o del ripristino di emergenza.It is only justified due to scalability, system limits, redundancy, regional replication for end-user performance, or disaster recovery. Negli scenari in cui sono necessari più hub, tutti gli hub devono cercare di offrire lo stesso set di servizi per facilitare le operazioni.In scenarios requiring multiple hubs, all the hubs should strive to offer the same set of services for operational ease.

Interconnessione tra spokeInterconnection between spokes

All'interno di un singolo spoke o di una struttura di rete Flat, è possibile implementare carichi di lavoro multilivello complessi.Inside a single spoke, or a flat network design, it's possible to implement complex multitier workloads. Le configurazioni a più livelli possono essere implementate usando subnet, una per ogni livello o applicazione, nella stessa rete virtuale.Multitier configurations can be implemented using subnets, one for every tier or application, in the same virtual network. Il controllo del traffico e i filtri vengono eseguiti usando gruppi di sicurezza di rete e route definite dall'utente.Traffic control and filtering are done using network security groups and user-defined routes.

Un architetto potrebbe voler distribuire un carico di lavoro multilivello in più reti virtuali.An architect might want to deploy a multitier workload across multiple virtual networks. Usando il peering di rete virtuale, gli spoke possono connettersi ad altri spoke nello stesso hub o in hub diversi.With virtual network peering, spokes can connect to other spokes in the same hub or different hubs. Un esempio tipico di questo scenario è quello in cui i server di elaborazione delle applicazioni sono in uno spoke o rete virtuale,A typical example of this scenario is the case where application processing servers are in one spoke, or virtual network. mentre il database viene distribuito in un altro spoke o rete virtuale.The database deploys in a different spoke, or virtual network. In questo caso, è facile collegare i spoke con il peering di rete virtuale e, in questo modo, evitare di transitare nell'hub.In this case, it's easy to interconnect the spokes with virtual network peering and, by doing that, avoid transiting through the hub. Per assicurarsi che il bypass dell'hub non ignori importanti punti di sicurezza o di controllo che potrebbero esistere solo nell'hub, è necessario eseguire un'attenta analisi della sicurezza e dell'architettura.A careful architecture and security review should be done to ensure that bypassing the hub doesn't bypass important security or auditing points that might exist only in the hub.

33

Gli spoke possono anche essere interconnessi a uno spoke che funge da hub.Spokes can also be interconnected to a spoke that acts as a hub. Questo approccio crea una gerarchia a due livelli: lo spoke nel livello superiore (livello 0) diventa l'hub degli spoke inferiori (livello 1) nella gerarchia.This approach creates a two-level hierarchy: the spoke in the higher level (level 0) becomes the hub of lower spokes (level 1) of the hierarchy. I spoke di un'implementazione di data center virtuale sono necessari per l'invio del traffico all'hub centrale, in modo che il traffico possa transitare alla propria destinazione nella rete locale o in una rete Internet pubblica.The spokes of a VDC implementation are required to forward the traffic to the central hub so that the traffic can transit to its destination in either the on-premises network or the public internet. Un'architettura con due livelli di hub introduce un routing complesso che rimuove i vantaggi di una semplice relazione hub-spoke.An architecture with two levels of hubs introduces complex routing that removes the benefits of a simple hub-spoke relationship.

Anche se Azure consente topologie complesse, uno dei principi fondamentali del data center virtuale è il concetto di ripetibilità e semplicità.Although Azure allows complex topologies, one of the core principles of the VDC concept is repeatability and simplicity. Per ridurre al minimo l'impegno di gestione, la progettazione hub-spoke semplice è l'architettura di riferimento consigliata per il data center virtuale.To minimize management effort, the simple hub-spoke design is the VDC reference architecture that we recommend.

ComponentiComponents

Il data center virtuale è costituito da quattro tipi di componenti di base: infrastruttura, reti perimetrali, carichi di lavoroe monitoraggio.The virtual datacenter is made up of four basic component types: Infrastructure, Perimeter Networks, Workloads, and Monitoring.

Ogni tipo di componente è costituito da diverse funzionalità e risorse di Azure.Each component type consists of various Azure features and resources. L'implementazione del data center virtuale è costituita da istanze di più tipi di componenti e di più varianti dello stesso tipo di componente.Your VDC implementation is made up of instances of multiple components types and multiple variations of the same component type. È possibile, ad esempio, che siano presenti diverse istanze del carico di lavoro separate logicamente, che rappresentano applicazioni diverse.For instance, you may have many different, logically separated workload instances that represent different applications. Questi diversi tipi di componenti e istanze vengono usati per creare il data center virtuale.You use these different component types and instances to ultimately build the VDC.

44

L'architettura concettuale generale precedente del data center virtuale illustra tipi di componenti diversi usati in zone diverse della topologia hub-spoke.The preceding high-level conceptual architecture of the VDC shows different component types used in different zones of the hub-spokes topology. Il diagramma illustra i componenti dell'infrastruttura in svariate parti dell'architettura.The diagram shows infrastructure components in various parts of the architecture.

È consigliabile in generale che i diritti e i privilegi di accesso siano basati sui gruppi.As good practice in general, access rights and privileges should be group-based. Gestire i gruppi piuttosto che singoli utenti semplifica la manutenzione dei criteri di accesso, offrendo un modo coerente per gestirli tra i team e aiuta a ridurre al minimo gli errori di configurazione.Dealing with groups rather than individual users eases maintenance of access policies, by providing a consistent way to manage it across teams, and aids in minimizing configuration errors. L'assegnazione e la rimozione degli utenti da e verso i gruppi appropriati consente di mantenere aggiornati i privilegi di un utente specifico.Assigning and removing users to and from appropriate groups helps keeping the privileges of a specific user up to date.

Ogni gruppo di ruoli deve avere un prefisso univoco nel nomeEach role group should have a unique prefix on their names. per identificare più facilmente il gruppo associato a un determinato carico di lavoro.This prefix makes it easy to identify which group is associated with which workload. Un carico di lavoro che ospita un servizio di autenticazione, ad esempio, potrebbe avere gruppi denominati AuthServiceNetOps, AuthServiceSecOps, AuthServiceDevOps e AuthServiceInfraOps.For example, a workload hosting an authentication service might have groups named AuthServiceNetOps, AuthServiceSecOps, AuthServiceDevOps, and AuthServiceInfraOps. I ruoli centralizzati o i ruoli non correlati a un servizio specifico possono essere preceduti da Corp. Un esempio è CorpNetOps.Centralized roles, or roles not related to a specific service, might be prefaced with Corp. An example is CorpNetOps.

Molte organizzazioni usano una variante dei gruppi seguenti per una suddivisione primaria dei ruoli:Many organizations use a variation of the following groups to provide a major breakdown of roles:

  • Il team IT centrale, Corp, dispone dei diritti di proprietà per controllare i componenti dell'infrastruttura.The central IT team, Corp, has the ownership rights to control infrastructure components. (ad esempio, rete e sicurezza)Examples are networking and security. e quindi deve avere il ruolo Collaboratore nella sottoscrizione (e avere il controllo dell'hub) e i diritti di Collaboratore Rete negli spoke.The group needs to have the role of contributor on the subscription, control of the hub, and network contributor rights in the spokes. Le grandi organizzazioni spesso suddividono queste responsabilità di gestione tra più team,Large organizations frequently split up these management responsibilities between multiple teams. ad esempio un gruppo per le operazioni di rete CorpNetOps, dedicato esclusivamente alle rete, e un gruppo per le operazioni di sicurezza CorpSecOps, responsabile del firewall e dei criteri di sicurezza.Examples are a network operations CorpNetOps group with exclusive focus on networking and a security operations CorpSecOps group responsible for the firewall and security policy. In questo caso specifico è necessario creare due gruppi diversi per l'assegnazione di questi ruoli personalizzati.In this specific case, two different groups need to be created for assignment of these custom roles.
  • Il gruppo sviluppo/test, AppDevOps, è responsabile della distribuzione dei carichi di lavoro dell'app o del servizio.The dev/test group, AppDevOps, has the responsibility to deploy app or service workloads. Questo gruppo prende il ruolo di collaboratore macchina virtuale per le distribuzioni IaaS o uno o più ruoli del collaboratore PaaS.This group takes the role of virtual machine contributor for IaaS deployments or one or more PaaS contributor's roles. Per altre informazioni, vedere Ruoli predefiniti per le risorse di Azure.For more information, see Built-in roles for Azure resources. Facoltativamente, il team di sviluppo/test potrebbe avere la necessità di visibilità sui criteri di sicurezza (gruppi di sicurezza di rete) e sui criteri di routing (route definite dall'utente) all'interno dell'hub o di un spoke specifico.Optionally, the dev/test team might need visibility on security policies (network security groups) and routing policies (user-defined routes) inside the hub or a specific spoke. Oltre ai ruoli di collaboratore per i carichi di lavoro, questo gruppo avrà anche bisogno del ruolo di lettore di rete.In addition to the role of contributor for workloads, this group would also need the role of network reader.
  • Il gruppo dedicato a operazioni e manutenzione CorpInfraOps o AppInfraOps ha la responsabilità di gestire i carichi di lavoro in produzione.The operation and maintenance group, CorpInfraOps or AppInfraOps, has the responsibility of managing workloads in production. Questo gruppo deve essere un collaboratore della sottoscrizione per i carichi di lavoro in qualsiasi sottoscrizione di produzione.This group needs to be a subscription contributor on workloads in any production subscriptions. Alcune organizzazioni potrebbero anche valutare la necessità di un gruppo aggiuntivo come team di supporto per l'escalation con il ruolo di collaboratore della sottoscrizione nella produzione e nella sottoscrizione dell'hub centrale,Some organizations might also evaluate if they need an additional escalation support team group with the role of subscription contributor in production and the central hub subscription. per risolvere potenziali problemi di configurazione nell'ambiente di produzione.The additional group fixes potential configuration issues in the production environment.

Il data center virtuale è progettato in modo che i gruppi creati per il team IT centrale, che gestiscono l'hub, dispongano di gruppi corrispondenti a livello di carico di lavoro.The VDC is designed so that groups created for the central IT team, managing the hub, have corresponding groups at the workload level. Oltre a gestire solo le risorse Hub, il team IT centrale può controllare l'accesso esterno e le autorizzazioni di primo livello per la sottoscrizione.In addition to managing hub resources only, the central IT team can control external access and top-level permissions on the subscription. I gruppi del carico di lavoro possono inoltre controllare le risorse e le autorizzazioni della rete virtuale indipendentemente dal team IT centrale.Workload groups can also control resources and permissions of their virtual network independently from the central IT team.

Il data center virtuale è partizionato per ospitare in modo sicuro più progetti in diverse linee di business.The virtual datacenter is partitioned to securely host multiple projects across different lines of business. Tutti i progetti richiedono ambienti isolati diversi (sviluppo, UAT e produzione).All projects require different isolated environments (dev, UAT, and production). Le sottoscrizioni di Azure separate per ognuno di questi ambienti possono fornire isolamento naturale.Separate Azure subscriptions for each of these environments can provide natural isolation.

55

Il diagramma precedente illustra la relazione tra i progetti, gli utenti, i gruppi di un'organizzazione e gli ambienti in cui vengono distribuiti i componenti di Azure.The preceding diagram shows the relationship between an organization's projects, users, and groups and the environments where the Azure components are deployed.

Nell'ambito IT un ambiente (o livello) è in genere un sistema in cui vengono distribuite ed eseguite più applicazioni.Typically in IT, an environment (or tier) is a system in which multiple applications are deployed and executed. Le aziende di grandi dimensioni usano un ambiente di sviluppo (in cui le modifiche vengono apportate e testate) e un ambiente di produzione (cosa usano gli utenti finali).Large enterprises use a development environment (where changes are made and tested) and a production environment (what end-users use). Tali ambienti sono separati, spesso con diversi ambienti di staging, per consentire la distribuzione a fasi (rollout), il test e il ripristino dello stato precedente in caso di problemi.Those environments are separated, often with several staging environments in between them to allow phased deployment (rollout), testing, and rollback if problems arise. Le architetture di distribuzione variano in modo significativo, ma in genere il processo di base, che prevede l'avvio con lo sviluppo (DEV) e la fine con la produzione (PROD), è ancora seguito.Deployment architectures vary significantly, but usually the basic process of starting at development (DEV) and ending at production (PROD) is still followed.

Un'architettura comune per questi tipi di ambienti multilivello è costituita da DevOps per lo sviluppo e il test, UAT per gli ambienti di gestione temporanea e di produzione.A common architecture for these types of multitier environments consists of DevOps for development and testing, UAT for staging, and production environments. Le organizzazioni possono usare uno o più tenant di Azure AD per definire l'accesso e i diritti per questi ambienti.Organizations can use single or multiple Azure AD tenants to define access and rights to these environments. Il diagramma precedente illustra un caso in cui vengono usati due diversi tenant di Azure AD: uno per DevOps e il test di accettazione utente e l'altro esclusivamente per la produzione.The previous diagram shows a case where two different Azure AD tenants are used: one for DevOps and UAT, and the other exclusively for production.

La presenza di tenant di Azure AD diversi impone la separazione tra gli ambienti.The presence of different Azure AD tenants enforces the separation between environments. Lo stesso gruppo di utenti, ad esempio il team IT centrale, deve eseguire l'autenticazione utilizzando un URI diverso per accedere a un tenant di Azure AD diverso per modificare i ruoli o le autorizzazioni degli ambienti DevOps o di produzione di un progetto.The same group of users, such as the central IT team, need to authenticate by using a different URI to access a different Azure AD tenant to modify the roles or permissions of either the DevOps or production environments of a project. La presenza di autenticazioni utente diverse per accedere ad ambienti diversi riduce le possibili interruzioni e gli altri problemi causati dagli errori umani.The presence of different user authentications to access different environments reduces possible outages and other issues caused by human errors.

Tipo di componente: infrastrutturaComponent type: Infrastructure

Questo tipo di componente è quello in cui si trova la maggior parte dell'infrastruttura di supportoThis component type is where most of the supporting infrastructure resides. e a cui i team di IT centralizzato, sicurezza e conformità dedicano la maggior parte del tempo.It's also where your centralized IT, security, and compliance teams spend most of their time.

66

I componenti dell'infrastruttura forniscono un'interconnessione per i diversi componenti dell'implementazione di un data center virtuale e sono presenti sia nell'hub che negli spoke.Infrastructure components provide an interconnection for the different components of a VDC implementation, and are present in both the hub and the spokes. La responsabilità della gestione e della gestione dei componenti dell'infrastruttura viene in genere assegnata al team IT centrale o al team di sicurezza.The responsibility for managing and maintaining the infrastructure components is typically assigned to the central IT team or security team.

Una delle attività principali del team dell'infrastruttura IT è di garantire la coerenza degli schemi degli indirizzi IP in tutta l'organizzazione.One of the primary tasks of the IT infrastructure team is to guarantee the consistency of IP address schemas across the enterprise. Lo spazio indirizzi IP privato assegnato all'implementazione di un data center virtuale deve essere coerente e NON sovrapporsi agli indirizzi IP privati assegnati alle reti locali.The private IP address space assigned to a VDC implementation must be consistent and NOT overlapping with private IP addresses assigned on your on-premises networks.

Anche se NAT nei router perimetrali locali o negli ambienti di Azure può evitare i conflitti di indirizzi IP, crea complicazioni nei componenti dell'infrastruttura.While NAT on the on-premises edge routers or in Azure environments can avoid IP address conflicts, it adds complications to your infrastructure components. La semplicità di gestione è uno degli obiettivi principali del data center virtuale, quindi l'uso di NAT per gestire le problematiche IP, mentre una soluzione valida, non è una soluzione consigliata.Simplicity of management is one of the key goals of the VDC, so using NAT to handle IP concerns, while a valid solution, is not a recommended solution.

I componenti dell'infrastruttura contengono le funzionalità seguenti:Infrastructure components have the following functionality:

  • Identità e servizi di directory.Identity and directory services. L'accesso a ogni tipo di risorsa in Azure è controllato da un'identità archiviata in un servizio directory.Access to every resource type in Azure is controlled by an identity stored in a directory service. Il servizio directory archivia non solo l'elenco di utenti, ma anche i diritti di accesso alle risorse in una sottoscrizione di Azure specifica.The directory service stores not only the list of users, but also the access rights to resources in a specific Azure subscription. Questi servizi possono esistere solo nel cloud o essere sincronizzati con l'identità locale archiviata in Active Directory.These services can exist cloud-only, or they can be synchronized with on-premises identity stored in Active Directory.
  • Rete virtuale.Virtual Network. Le reti virtuali sono uno dei principali componenti del data center virtuale e consentono di creare un limite di isolamento del traffico nella piattaforma Azure.Virtual networks are one of main components of the VDC, and enable you to create a traffic isolation boundary on the Azure platform. Una rete virtuale è costituita da uno o più segmenti di rete virtuale, ognuno con un prefisso di rete IP specifico (una subnet, IPv4 o dual stack IPv4/IPv6).A virtual network is composed of a single or multiple virtual network segments, each with a specific IP network prefix (a subnet, either IPv4 or dual stack IPv4/IPv6). La rete virtuale definisce un'area perimetrale interna in cui le macchine virtuali IaaS e i servizi PaaS possono stabilire comunicazioni private.The virtual network defines an internal perimeter area where IaaS virtual machines and PaaS services can establish private communications. Le VM (e i servizi PaaS) in una rete virtuale non possono comunicare direttamente con le VM (e i servizi PaaS) in una rete virtuale diversa, anche se entrambe le reti virtuali vengono create dallo stesso cliente, nella stessa sottoscrizione.VMs (and PaaS services) in one virtual network can't communicate directly to VMs (and PaaS services) in a different virtual network, even if both virtual networks are created by the same customer, under the same subscription. L'isolamento è una proprietà essenziale che assicura che le macchine virtuali e le comunicazioni dei clienti rimangano private entro una rete virtuale.Isolation is a critical property that ensures customer VMs and communication remains private within a virtual network. Quando si desidera la connettività tra reti, le funzionalità seguenti descrivono come eseguire questa operazione.Where cross-network connectivity is desired, the following features describe how that can be accomplished.
  • Peering di rete virtuale.Virtual network peering. La funzionalità fondamentale usata per creare l'infrastruttura di un data center virtuale è il peering di rete virtuale, che connette due reti virtuali nella stessa area, tramite la rete del Data Center di Azure o usando la backbone globale di Azure tra le aree.The fundamental feature used to create the infrastructure of a VDC is virtual network peering, which connects two virtual networks in the same region, either through the Azure datacenter network or using the Azure worldwide backbone across regions.
  • Endpoint del servizio rete virtuale.Virtual Network service endpoints. Gli endpoint di servizio estendono lo spazio di indirizzi privato della rete virtuale per includere lo spazio PaaS.Service endpoints extend your virtual network private address space to include your PaaS space. Gli endpoint estendono anche l'identità della rete virtuale ai servizi di Azure tramite una connessione diretta.The endpoints also extend the identity of your virtual network to the Azure services over a direct connection. Gli endpoint consentono di associare le risorse critiche dei servizi di Azure solo alle proprie reti virtuali.Endpoints allow you to secure your critical Azure service resources to only your virtual networks.
  • Collegamento privato.Private Link. Il collegamento privato di Azure consente di accedere ai servizi PaaS di Azure, ad esempio archiviazione di Azure, Azure Cosmos DBe database SQLdi Azure, e ai servizi cliente/partner ospitati in Azure tramite un endpoint privato nella rete virtuale.Azure Private Link enables you to access Azure PaaS Services (for example, Azure Storage, Azure Cosmos DB, and Azure SQL Database) and Azure hosted customer/partner services over a Private Endpoint in your virtual network. Il traffico tra la rete virtuale e il servizio attraversa la rete backbone Microsoft, impedendone l'esposizione alla rete Internet pubblica.Traffic between your virtual network and the service traverses over the Microsoft backbone network, eliminating exposure from the public Internet. È anche possibile creare un servizio di collegamento privato nella rete virtuale e distribuirlo privatamente ai clienti.You can also create your own Private Link Service in your virtual network and deliver it privately to your customers. Collegamento privato di Azure offre un'esperienza di configurazione e utilizzo coerente per i servizi PaaS di Azure, i servizi di proprietà dei clienti e quelli condivisi dei partner.The setup and consumption experience using Azure Private Link is consistent across Azure PaaS, customer-owned, and shared partner services.
  • Route definite dall'utente.User-defined routes. Per impostazione predefinita, il traffico in una rete virtuale viene instradato in base alla tabella di routing di sistema.Traffic in a virtual network is routed by default based on the system routing table. Una route definita dall'utente è una tabella di routing personalizzata che gli amministratori di rete possono associare a una o più subnet per eseguire l'override del comportamento della tabella di routing di sistema e definire un percorso di comunicazione all'interno di una rete virtuale.A user-defined route is a custom routing table that network administrators can associate to one or more subnets to override the behavior of the system routing table and define a communication path within a virtual network. La presenza di route definite dall'utente garantisce che il traffico in uscita dal transito spoke attraverso VM personalizzate specifiche o appliance virtuali di rete e i bilanciamenti del carico siano presenti sia nell'hub che negli spoke.The presence of user-defined routes guarantees that egress traffic from the spoke transit through specific custom VMs or network virtual appliances and load balancers present in both the hub and the spokes.
  • Gruppi di sicurezza di rete.Network security groups. Un gruppo di sicurezza di rete è un elenco di regole di sicurezza che fungono da filtraggio del traffico su origini IP, destinazioni IP, protocolli, porte di origine IP e porte di destinazione IP (detto anche tupla di livello 4 5).A network security group is a list of security rules that act as traffic filtering on IP sources, IP destinations, protocols, IP source ports, and IP destination ports (also called a Layer 4 five-tuple). Il gruppo di sicurezza di rete può essere applicato a una subnet, a una scheda di interfaccia di rete virtuale associata a una macchina virtuale di Azure o a entrambe.The network security group can be applied to a subnet, a Virtual NIC associated with an Azure VM, or both. I gruppi di sicurezza di rete sono essenziali per implementare un controllo di flusso corretto nell'hub e negli spoke.The network security groups are essential to implement a correct flow control in the hub and in the spokes. Il livello di sicurezza concesso dal gruppo di sicurezza di rete è una funzione di quali porte si aprono e per quale scopo.The level of security afforded by the network security group is a function of which ports you open, and for what purpose. I clienti devono applicare filtri aggiuntivi per macchina virtuale con firewall basati su host, ad esempio iptables o il Windows Firewall.Customers should apply additional per-VM filters with host-based firewalls such as iptables or the Windows Firewall.
  • DNS.DNS. DNS fornisce la risoluzione dei nomi per le risorse in un data center virtuale.DNS provides name resolution for resources in a virtual datacenter. Azure offre servizi DNS per la risoluzione dei nomi sia pubblica che privata.Azure provides DNS services for both public and private name resolution. Le zone private consentono la risoluzione dei nomi sia all'interno di una rete virtuale che tra diverse reti virtuali.Private zones provide name resolution both within a virtual network and across virtual networks. È possibile avere zone private che si estendono non solo su più reti virtuali nella stessa area, ma anche in diverse aree e sottoscrizioni.You can have private zones not only span across virtual networks in the same region, but also across regions and subscriptions. Per la risoluzione pubblica, DNS di Azure offre un servizio di hosting per i domini DNS, che fornisce la risoluzione dei nomi usando l'infrastruttura di Microsoft Azure.For public resolution, Azure DNS provides a hosting service for DNS domains, providing name resolution using Microsoft Azure infrastructure. Ospitando i domini in Azure, è possibile gestire i record DNS usando le stesse credenziali, API, strumenti e fatturazione come per gli altri servizi Azure.By hosting your domains in Azure, you can manage your DNS records using the same credentials, APIs, tools, and billing as your other Azure services.
  • Gestione gruppo di gestione, sottoscrizionee gruppo di risorse .Management group, subscription, and resource group management. Una sottoscrizione definisce un limite naturale per creare più gruppi di risorse in Azure.A subscription defines a natural boundary to create multiple groups of resources in Azure. Questa separazione può essere per la funzione, la separazione dei ruoli o la fatturazione.This separation can be for function, role segregation, or billing. Le risorse in una sottoscrizione vengono assemblate insieme in contenitori logici noti come gruppi di risorse.Resources in a subscription are assembled together in logical containers known as resource groups. Il gruppo di risorse rappresenta un gruppo logico per organizzare le risorse in un data center virtuale.The resource group represents a logical group to organize the resources in a virtual datacenter. Se l'organizzazione dispone di molte sottoscrizioni, potrebbe essere necessario gestire in modo efficace l'accesso, i criteri e la conformità per tali sottoscrizioni.If your organization has many subscriptions, you may need a way to efficiently manage access, policies, and compliance for those subscriptions. I gruppi di gestione di Azure forniscono un livello di ambito oltre le sottoscrizioni.Azure management groups provide a level of scope above subscriptions. Le sottoscrizioni vengono organizzate in contenitori noti come gruppi di gestione e si applicano le condizioni di governance ai gruppi di gestione.You organize subscriptions into containers known as management groups and apply your governance conditions to the management groups. Tutte le sottoscrizioni all'interno di un gruppo di gestione ereditano automaticamente le condizioni applicate al gruppo di gestione.All subscriptions within a management group automatically inherit the conditions applied to the management group. Per visualizzare queste tre funzionalità in una visualizzazione gerarchica, vedere organizzazione delle risorse nel Framework di adozione del cloud.To see these three features in a hierarchy view, see Organizing your resources in the Cloud Adoption Framework.
  • Controllo degli accessi in base al ruolo (RBAC).Role-based access control (RBAC). Il controllo degli accessi in base al ruolo consente di eseguire il mapping dei ruoli e dei diritti aziendali per accedere a risorse di Azure specifiche, consentendo di limitare gli utenti a un soloRBAC can map organizational roles and rights to access specific Azure resources, allowing you to restrict users to only a certain subset of actions. Se si esegue la sincronizzazione di Azure Active Directory con una Active Directory locale, è possibile usare gli stessi gruppi di Active Directory in Azure usati in locale.If you're synchronizing Azure Active Directory with an on-premises Active Directory, you can use the same Active Directory groups in Azure that you use on-premises. Con il controllo degli accessi in base al ruolo, è possibile concedere l'accesso assegnando i ruoli appropriati a utenti, gruppi e applicazioni nell'ambito pertinente.With RBAC, you can grant access by assigning the appropriate role to users, groups, and applications within the relevant scope. L'ambito di un'assegnazione di ruolo può essere una sottoscrizione di Azure, un gruppo di risorse o una singola risorsa.The scope of a role assignment can be an Azure subscription, a resource group, or a single resource. Il controllo degli accessi in base al ruolo consente l'ereditarietà delle autorizzazioni.RBAC allows inheritance of permissions. Un ruolo assegnato a un ambito padre concede anche l'accesso agli elementi figlio contenuti al suo interno.A role assigned at a parent scope also grants access to the children contained within it. Usando il controllo degli accessi in base al ruolo, è possibile separare i compiti e concedere agli utenti solo la quantità di accesso di cui hanno bisogno per svolgere il proprio lavoro.Using RBAC, you can segregate duties and grant only the amount of access to users that they need to perform their jobs. Ad esempio, un dipendente può gestire le macchine virtuali in una sottoscrizione, mentre un altro può gestire SQL Server database nella stessa sottoscrizione.For example, one employee can manage virtual machines in a subscription, while another can manage SQL Server databases in the same subscription.

Tipo di componente: reti perimetraliComponent Type: Perimeter Networks

I componenti di una rete perimetrale (talvolta detta rete DMZ) connettono le reti locali o fisiche dei Data Center, insieme a qualsiasi connettività Internet.Components of a perimeter network (sometimes called a DMZ network) connect your on-premises or physical datacenter networks, along with any internet connectivity. Il perimetro richiede in genere un investimento significativo in termini di tempo dai team di rete e sicurezza.The perimeter typically requires a significant time investment from your network and security teams.

I pacchetti in ingresso devono attraversare le appliance di sicurezza nell'hub prima di raggiungere i server back-end e i servizi negli spoke.Incoming packets should flow through the security appliances in the hub before reaching the back-end servers and services in the spokes. Gli esempi includono il firewall, gli ID e gli IP.Examples include the firewall, IDS, and IPS. Prima di lasciare la rete, anche i pacchetti diretti a Internet dai carichi di lavoro devono attraversare le appliance di sicurezza nella rete perimetrale.Before they leave the network, internet-bound packets from the workloads should also flow through the security appliances in the perimeter network. Questo flusso Abilita l'applicazione dei criteri, l'ispezione e il controllo.This flow enables policy enforcement, inspection, and auditing.

I componenti della rete perimetrale includono:Perimeter network components include:

In genere, il team IT centrale e i team addetti alla sicurezza sono responsabili della definizione dei requisiti e del funzionamento delle reti perimetrali.Usually, the central IT team and security teams have responsibility for requirement definition and operation of the perimeter networks.

77

Il diagramma precedente illustra l'applicazione di due perimetri con accesso a Internet e una rete locale, entrambi residenti nell'hub DMZ.The preceding diagram shows the enforcement of two perimeters with access to the internet and an on-premises network, both resident in the DMZ hub. Nell'hub DMZ la rete perimetrale a Internet può essere ridimensionata per supportare molte linee di business, usando più farm di Web Application Firewall (WAFs) o firewall di Azure.In the DMZ hub, the perimeter network to internet can scale up to support many lines of business, using multiple farms of Web Application Firewalls (WAFs) or Azure Firewalls. L'hub consente anche la connettività locale tramite VPN o ExpressRoute in base alle esigenze.The hub also allows for on-premises connectivity via VPN or ExpressRoute as needed.

Nota

Nel diagramma precedente, in "hub DMZ", molte delle funzionalità seguenti possono essere raggruppate in un hub WAN virtuale di Azure, ad esempio reti virtuali, route definite dall'utente, gruppi di sicurezza di rete, gateway VPN, gateway ExpressRoute, servizi di bilanciamento del carico di Azure, firewall di Azure, gestione firewall e DDOS.In the preceding diagram, in the "DMZ Hub", many of the following features can be bundled together in an Azure Virtual WAN hub (such as virtual networks, user-defined routes, network security groups, VPN gateways, ExpressRoute gateways, Azure load balancers, Azure Firewalls, Firewall Manager, and DDOS). L'uso di hub WAN virtuali di Azure consente di creare la rete virtuale dell'hub e, di conseguenza, il data center virtuale, molto più semplice, poiché la maggior parte della complessità della progettazione viene gestita da Azure quando si distribuisce un hub WAN virtuale di Azure.Using Azure Virtual WAN hubs can make the creation of the hub virtual network, and thus the VDC, much easier, since most of the engineering complexity is handled for you by Azure when you deploy an Azure Virtual WAN hub.

Reti virtuali.Virtual networks. L'hub si basa in genere su una rete virtuale con più subnet per ospitare i diversi tipi di servizi che filtrano e ispezionano il traffico da e verso Internet tramite le istanze di Azure firewall, appliance virtuali, WAF e applicazione Azure gateway.The hub is typically built on a virtual network with multiple subnets to host the different types of services that filter and inspect traffic to or from the internet via Azure Firewall, NVAs, WAF, and Azure Application Gateway instances.

Route definite dall'utente Con le route definite dall'utente, i clienti possono distribuire firewall, ID/IP e altre appliance virtuali e instradare il traffico di rete attraverso queste appliance di sicurezza per l'applicazione dei criteri di sicurezza, il controllo e l'ispezione.User-defined routes Using user-defined routes, customers can deploy firewalls, IDS/IPS, and other virtual appliances, and route network traffic through these security appliances for security boundary policy enforcement, auditing, and inspection. Le route definite dall'utente possono essere create sia nell'hub che negli spoke per garantire che il traffico venga transitato attraverso le VM personalizzate specifiche, le appliance virtuali di rete e i bilanciamenti del carico usati da un'implementazione di Data Center.User-defined routes can be created in both the hub and the spokes to guarantee that traffic transits through the specific custom VMs, Network Virtual Appliances, and load balancers used by a VDC implementation. Per garantire che il traffico generato dalle macchine virtuali che risiedono nel raggio di transito ai dispositivi virtuali corretti, è necessario impostare una route definita dall'utente nelle subnet della spoke impostando l'indirizzo IP front-end del servizio di bilanciamento del carico interno come hop successivo.To guarantee that traffic generated from virtual machines residing in the spoke transits to the correct virtual appliances, a user-defined route needs to be set in the subnets of the spoke by setting the front-end IP address of the internal load balancer as the next hop. Il servizio di bilanciamento del carico interno distribuisce il traffico interno alle appliance virtuali (pool back-end di bilanciamento del carico).The internal load balancer distributes the internal traffic to the virtual appliances (load balancer back-end pool).

Il firewall di Azure è un servizio di sicurezza di rete gestito che protegge le risorse della rete virtuale di Azure.Azure Firewall is a managed network security service that protects your Azure Virtual Network resources. Si tratta di un firewall gestito con stato con disponibilità elevata e scalabilità cloud.It's a stateful managed firewall with high availability and cloud scalability. È possibile creare, applicare e registrare criteri di connettività di applicazione e di rete in modo centralizzato tra le sottoscrizioni e le reti virtuali.You can centrally create, enforce, and log application and network connectivity policies across subscriptions and virtual networks. Firewall di Azure usa un indirizzo IP pubblico statico per le risorse della rete virtualeAzure Firewall uses a static public IP address for your virtual network resources. consentendo ai firewall esterni di identificare il traffico proveniente dalla rete virtuale.It allows outside firewalls to identify traffic that originates from your virtual network. Il servizio è completamente integrato con Monitoraggio di Azure per la registrazione e l'analisi.The service is fully integrated with Azure Monitor for logging and analytics.

Se si usa la topologia WAN virtuale di Azure, gestione firewall di Azure è un servizio di gestione della sicurezza che fornisce criteri di sicurezza centralizzati e la gestione delle route per i perimetri di sicurezza basati sul cloud.If you use the Azure Virtual WAN topology, the Azure Firewall Manager is a security management service that provides central security policy and route management for cloud-based security perimeters. Funziona con l'hub WAN virtuale di Azure, una risorsa gestita da Microsoft che consente di creare facilmente architetture Hub e spoke.It works with Azure Virtual WAN hub, a Microsoft-managed resource that lets you easily create hub and spoke architectures. Quando i criteri di sicurezza e routing sono associati a un hub di questo tipo, viene definito hub virtuale protetto.When security and routing policies are associated with such a hub, it's referred to as a secured virtual hub.

Appliance virtuali di rete.Network virtual appliances. Nell'hub la rete perimetrale con accesso a Internet in genere viene gestita tramite un'istanza di Firewall di Azure oppure una farm di firewall o web application firewall (WAF).In the hub, the perimeter network with access to the internet is normally managed through an Azure Firewall instance or a farm of firewalls or web application firewall (WAF).

Diverse linee di business usano comunemente molte applicazioni Web, che tendono a soffrire di diverse vulnerabilità e potenziali exploit.Different lines of business commonly use many web applications, which tend to suffer from various vulnerabilities and potential exploits. I web application firewall sono uno speciale tipo di prodotto usato per rilevare gli attacchi contro le applicazioni Web (HTTP/HTTPS) in modo più approfondito di quanto farebbe un firewall generico.Web application firewalls are a special type of product used to detect attacks against web applications, HTTP/HTTPS, in more depth than a generic firewall. Rispetto alla tradizionale tecnologia firewall, i Web application firewall hanno un set di funzionalità specifiche per proteggere i server Web interni dalle minacce.Compared with tradition firewall technology, WAFs have a set of specific features to protect internal web servers from threats.

Sia Firewall di Azure che un firewall delle appliance virtuali di rete usano un piano di amministrazione comune, con un set di regole di sicurezza per proteggere i carichi di lavoro ospitati negli spoke e controllare l'accesso alle reti locali.An Azure Firewall or NVA firewall both use a common administration plane, with a set of security rules to protect the workloads hosted in the spokes, and control access to on-premises networks. Firewall di Azure ha incorporata la scalabilità, mentre i firewall delle appliance virtuali di rete possono essere ridimensionati manualmente dietro un servizio di bilanciamento del carico.The Azure Firewall has scalability built in, whereas NVA firewalls can be manually scaled behind a load balancer. In genere, una farm di firewall ha un software meno specializzato rispetto a un WAF, ma ha un ambito dell'applicazione più ampio per filtrare ed esaminare ogni tipo di traffico in uscita o in ingresso.Generally, a firewall farm has less specialized software compared with a WAF, but has a broader application scope to filter and inspect any type of traffic in egress and ingress. Se si usa un approccio di appliance virtuale di Azure, questi possono essere trovati e distribuiti da Azure Marketplace.If an NVA approach is used, they can be found and deployed from Azure Marketplace.

È consigliabile usare un set di istanze di Firewall di Azure (o di appliance virtuali di rete) per il traffico che ha origine in InternetWe recommend that you use one set of Azure Firewall instances, or NVAs, for traffic originating on the internet. e un altro per il traffico che ha origine in locale.Use another for traffic originating on-premises. L'uso di un solo set di firewall per entrambi i tipi di traffico è un rischio per la sicurezza, perché non viene creato un perimetro di sicurezza tra i due set di traffico.Using only one set of firewalls for both is a security risk as it provides no security perimeter between the two sets of network traffic. L'uso di livelli di firewall separati riduce la complessità del controllo delle regole di sicurezza e indica chiaramente la corrispondenza tra le regole e le richieste di rete in ingresso.Using separate firewall layers reduces the complexity of checking security rules and makes it clear which rules correspond to which incoming network request.

Azure Load Balancer offre un servizio di livello 4 (TCP/UDP) a disponibilità elevata, che consente di distribuire il traffico in ingresso tra le istanze del servizio definite in un set con carico bilanciato.Azure Load Balancer offers a high availability Layer 4 (TCP/UDP) service, which can distribute incoming traffic among service instances defined in a load-balanced set. Il traffico inviato al servizio di bilanciamento del carico dagli endpoint front-end (endpoint IP pubblici o endpoint IP privati) può essere ridistribuito con o senza conversione degli indirizzi in un set di pool di indirizzi IP back-end, ad esempio appliance virtuali di rete o macchine virtuali.Traffic sent to the load balancer from front-end endpoints (public IP endpoints or private IP endpoints) can be redistributed with or without address translation to a set of back-end IP address pool (such as network virtual appliances or virtual machines).

Azure Load Balancer possibile verificare anche l'integrità delle varie istanze del server e quando un'istanza non riesce a rispondere a un probe, il servizio di bilanciamento del carico interrompe l'invio del traffico all'istanza non integra.Azure Load Balancer can probe the health of the various server instances as well, and when an instance fails to respond to a probe, the load balancer stops sending traffic to the unhealthy instance. In un data center virtuale viene distribuito un servizio di bilanciamento del carico esterno nell'hub e negli spoke.In a virtual datacenter, an external load balancer is deployed to the hub and the spokes. Nell'hub il servizio di bilanciamento del carico viene usato per eseguire in modo efficiente il routing del traffico tra le istanze del firewall e nei spoke, i bilanciamenti del carico vengono usati per gestire il traffico delle applicazioni.In the hub, the load balancer is used to efficiently route traffic across firewall instances, and in the spokes, load balancers are used to manage application traffic.

Il servizio Frontdoor di Azure (AFD) è un servizio Microsoft a scalabilità e disponibilità elevata di piattaforma di accelerazione dell'applicazione Web, bilanciamento del carico HTTP globale, protezione dell'applicazione e rete per la distribuzione di contenuti.Azure Front Door (AFD) is Microsoft's highly available and scalable Web Application Acceleration Platform, Global HTTP Load Balancer, Application Protection, and Content Delivery Network. In esecuzione in più di 100 posizioni alla periferia della rete globale di Microsoft, AFD consente di creare, usare e scalare in orizzontale l'applicazione Web dinamica e il contenuto statico.Running in more than 100 locations at the edge of Microsoft's Global Network, AFD enables you to build, operate, and scale out your dynamic web application and static content. Il servizio Frontdoor di Azure assicura all'applicazione prestazioni per l'utente finale di livello superiore, automazione della manutenzione regionale unificata, automazione della continuità aziendale e ripristino di emergenza, informazioni client/utente unificate, memorizzazione nella cache e informazioni dettagliate sul servizio.AFD provides your application with world-class end-user performance, unified regional/stamp maintenance automation, BCDR automation, unified client/user information, caching, and service insights. La piattaforma offre:The platform offers: - Contratti di servizio (SLA) a livello di prestazioni, affidabilità e supporto.Performance, reliability, and support service-level agreements (SLAs). - Certificazioni di conformità.Compliance certifications. - Procedure di sicurezza controllabili sviluppate, gestite e supportate in modo nativo da Azure.Auditable security practices that are developed, operated, and natively supported by Azure. Il front-end di Azure fornisce anche un web application firewall (WAF), che protegge le applicazioni Web da vulnerabilità e exploit comuni.Azure Front Door also provides a web application firewall (WAF), which protects web applications from common vulnerabilities and exploits.

Applicazione Azure gateway è un'appliance virtuale dedicata che offre un controller di distribuzione delle applicazioni gestite.Azure Application Gateway is a dedicated virtual appliance providing a managed application delivery controller. Offre diverse funzionalità di bilanciamento del carico di livello 7 per l'applicazione.It offers various Layer 7 load-balancing capabilities for your application. Consente di ottimizzare le prestazioni di Web farm eseguendo l'offload della terminazione SSL a elevato utilizzo di CPU al gateway applicazione.It allows you to optimize web farm performance by offloading CPU-intensive SSL termination to the application gateway. Fornisce anche altre funzionalità di routing di livello 7, ad esempio la distribuzione Round Robin del traffico in ingresso, l'affinità di sessione basata su cookie, il routing basato su percorso URL e la possibilità di ospitare più siti Web dietro un unico gateway applicazione.It also provides other Layer 7 routing capabilities, such as round-robin distribution of incoming traffic, cookie-based session affinity, URL-path-based routing, and the ability to host multiple websites behind a single application gateway. Nello SKU WAF del gateway applicazione è incluso anche un Web application firewall (WAF).A web application firewall (WAF) is also provided as part of the application gateway WAF SKU. Questo SKU offre alle applicazioni Web la protezione da exploit e vulnerabilità Web comuni.This SKU provides protection to web applications from common web vulnerabilities and exploits. Il gateway applicazione può essere configurato come gateway con connessione Internet, come gateway solo interno o come una combinazione di queste due opzioni.Application Gateway can be configured as internet facing gateway, internal only gateway, or a combination of both.

Indirizzi IP pubblici.Public IPs. Con alcune funzionalità di Azure, è possibile associare gli endpoint di servizio a un indirizzo IP pubblico in modo che la risorsa sia accessibile da Internet.With some Azure features, you can associate service endpoints to a public IP address so that your resource is accessible from the internet. Questo endpoint USA NAT per instradare il traffico all'indirizzo e alla porta interni nella rete virtuale in Azure.This endpoint uses NAT to route traffic to the internal address and port on the virtual network in Azure. È questa la modalità primaria che consente al traffico esterno di passare attraverso la rete virtuale.This path is the primary way for external traffic to pass into the virtual network. Gli indirizzi IP pubblici possono essere configurati per determinare il traffico autorizzato a passare e come/dove viene convertito nella rete virtuale.You can configure public IP addresses to determine which traffic is passed in and how and where it's translated onto the virtual network.

Protezione DDoS di Azure standard offre funzionalità di mitigazione aggiuntive per il livello di servizio Basic , ottimizzate in modo specifico per le risorse di rete virtuale di Azure.Azure DDoS Protection Standard provides additional mitigation capabilities over the Basic service tier that are tuned specifically to Azure Virtual Network resources. Protezione DDoS Standard è semplice da abilitare e non richiede alcuna modifica alle applicazioni.DDoS Protection Standard is simple to enable and requires no application changes. I criteri di protezione sono ottimizzati tramite il monitoraggio del traffico dedicato e algoritmi di Machine Learning.Protection policies are tuned through dedicated traffic monitoring and machine learning algorithms. I criteri vengono applicati agli indirizzi IP pubblici associati alle risorse distribuite nelle reti virtuali,Policies are applied to public IP addresses associated to resources deployed in virtual networks. Alcuni esempi sono Azure Load Balancer, applicazione Azure gateway e le istanze di Azure Service Fabric.Examples include Azure Load Balancer, Azure Application Gateway, and Azure Service Fabric instances. I log generati dal sistema quasi in tempo reale sono disponibili tramite le viste di monitoraggio di Azure durante un attacco e la cronologia.Near real-time, system-generated logs are available through Azure Monitor views during an attack and for history. È possibile aggiungere protezione al livello dell'applicazione tramite il web application firewall del gateway applicazione di Azure.Application layer protection can be added through the Azure Application Gateway web application firewall. La protezione viene fornita per gli indirizzi IP pubblici di Azure IPv4 e IPv6.Protection is provided for IPv4 and IPv6 Azure public IP addresses.

La topologia hub e spoke usa il peering di rete virtuale e le route definite dall'utente per instradare il traffico correttamente.The hub and spoke topology uses virtual network peering and user-defined routes to route traffic properly.

88

Nel diagramma la route definita dall'utente garantisce che il traffico venga trasmesso dal spoke al firewall prima del passaggio all'ambiente locale tramite il gateway ExpressRoute (se il criterio del firewall lo consente).In the diagram, the user-defined route ensures that traffic flows from the spoke to the firewall before passing to on-premises through the ExpressRoute gateway (if the firewall policy allows that flow).

Tipo di componente: monitoraggioComponent type: Monitoring

I componenti di monitoraggio forniscono visibilità e avvisi da tutti gli altri tipi di componenti.Monitoring components provide visibility and alerting from all the other component types. Tutti i team devono avere accesso al monitoraggio per i componenti e i servizi a cui hanno accesso.All teams should have access to monitoring for the components and services they have access to. Se è presente un help desk centralizzato o team operativi, questi dovranno avere accesso integrato ai dati forniti da tali componenti.If you have a centralized help desk or operations teams, they require integrated access to the data provided by these components.

Azure offre tipi diversi di servizi di registrazione e monitoraggio per tenere traccia del comportamento delle risorse ospitate di Azure.Azure offers different types of logging and monitoring services to track the behavior of Azure-hosted resources. La governance e il controllo dei carichi di lavoro in Azure si basano non solo sulla raccolta dei dati dei log, ma anche sulla possibilità di attivare azioni in base a specifici eventi segnalati.Governance and control of workloads in Azure is based not just on collecting log data but also on the ability to trigger actions based on specific reported events.

Monitoraggio di Azure.Azure Monitor. Azure include più servizi che singolarmente eseguono un'attività o un ruolo specifico nell'area di monitoraggio.Azure includes multiple services that individually perform a specific role or task in the monitoring space. Insieme, questi servizi offrono una soluzione completa per la raccolta, l'analisi e l'uso di log generati dal sistema dalle applicazioni e dalle risorse di Azure che li supportano.Together, these services deliver a comprehensive solution for collecting, analyzing, and acting on system-generated logs from your applications and the Azure resources that support them. Possono anche essere usati per monitorare le risorse locali critiche in modo da fornire un ambiente di monitoraggio ibrido.They can also work to monitor critical on-premises resources in order to provide a hybrid monitoring environment. Comprendere gli strumenti e i dati disponibili è il primo passaggio per lo sviluppo di una strategia di monitoraggio completa per le applicazioni.Understanding the tools and data that are available is the first step in developing a complete monitoring strategy for your applications.

In monitoraggio di Azure sono disponibili due tipi fondamentali di log:There are two fundamental types of logs in Azure Monitor:

  • Le metriche sono valori numerici che descrivono alcuni aspetti di un sistema in un particolare momento.Metrics are numerical values that describe some aspect of a system at a particular point in time. Sono elementi leggeri in grado di supportare scenari praticamente in tempo reale.They are lightweight and capable of supporting near real-time scenarios. Per molte risorse di Azure, i dati raccolti da Monitoraggio di Azure sono visualizzati a destra nella pagina Panoramica nel portale di Azure.For many Azure resources, you'll see data collected by Azure Monitor right in their Overview page in the Azure portal. Come esempio, è possibile esaminare una macchina virtuale e visualizzare diversi grafici che visualizzano le metriche delle prestazioni.As an example, look at any virtual machine and you'll see several charts displaying performance metrics. Selezionare uno dei grafici per aprire i dati in Esplora metriche nel portale di Azure, che consente di rappresentare in modo grafico i valori di più metriche nel tempo.Select any of the graphs to open the data in metrics explorer in the Azure portal, which allows you to chart the values of multiple metrics over time. È possibile visualizzare i grafici in modo interattivo o aggiungerli a un dashboard per visualizzarli con altre visualizzazioni.You can view the charts interactively or pin them to a dashboard to view them with other visualizations.

  • I log contengono diversi tipi di dati organizzati in record con diversi set di proprietà per ogni tipo.Logs contain different kinds of data organized into records with different sets of properties for each type. Gli eventi e le tracce vengono archiviati come log insieme ai dati sulle prestazioni, che possono essere combinati per l'analisi.Events and traces are stored as logs along with performance data, which can all be combined for analysis. I dati di log raccolti da Monitoraggio di Azure possono essere analizzati con query per recuperare, consolidare e analizzare rapidamente i dati raccolti.Log data collected by Azure Monitor can be analyzed with queries to quickly retrieve, consolidate, and analyze collected data. I log vengono archiviati e sottoposti a query da log Analytics.Logs are stored and queried from Log Analytics. È possibile creare e testare query usando Log Analytics nel portale di Azure e quindi analizzare direttamente i dati usando questi strumenti oppure salvare le query per usarle con visualizzazioni o regole degli avvisi.You can create and test queries using Log Analytics in the Azure portal and then either directly analyze the data using these tools or save queries for use with visualizations or alert rules.

99

Monitoraggio di Azure può raccogliere dati da molte origini diverse.Azure Monitor can collect data from a variety of sources. È possibile considerare i dati di monitoraggio per le applicazioni in livelli compresi tra l'applicazione, qualsiasi sistema operativo e i servizi su cui si basa, fino alla piattaforma Azure.You can think of monitoring data for your applications in tiers ranging from your application, any operating system, and the services it relies on, down to the Azure platform itself. Monitoraggio di Azure raccoglie i dati da ciascuno dei livelli seguenti:Azure Monitor collects data from each of the following tiers:

  • Dati di monitoraggio dell'applicazione: Dati relativi alle prestazioni e alla funzionalità del codice scritto, indipendentemente dalla relativa piattaforma.Application monitoring data: Data about the performance and functionality of the code you have written, regardless of its platform.
  • Dati di monitoraggio del sistema operativo guest: Dati sul sistema operativo in cui è in esecuzione l'applicazione.Guest OS monitoring data: Data about the operating system on which your application is running. Questo sistema operativo può essere eseguito in Azure, in un altro cloud o in locale.This OS could be running in Azure, another cloud, or on-premises.
  • Dati di monitoraggio delle risorse di Azure: Dati relativi al funzionamento di una risorsa di Azure.Azure resource monitoring data: Data about the operation of an Azure resource.
  • Dati di monitoraggio della sottoscrizione di Azure: Dati relativi al funzionamento e alla gestione di una sottoscrizione di Azure, nonché ai dati sull'integrità e sul funzionamento di Azure.Azure subscription monitoring data: Data about the operation and management of an Azure subscription, as well as data about the health and operation of Azure itself.
  • Dati di monitoraggio del tenant di Azure: Dati relativi al funzionamento dei servizi di Azure a livello di tenant, ad esempio Azure Active Directory.Azure tenant monitoring data: Data about the operation of tenant-level Azure services, such as Azure Active Directory.
  • Origini personalizzate: È anche possibile includere i log inviati da origini locali.Custom sources: Logs sent from on-premises sources can be included as well. Gli esempi includono gli eventi del server locale o l'output del dispositivo di rete syslog.Examples include on-premises server events or network device syslog output.

I dati di monitoraggio sono utili solo se possono aumentare la visibilità del funzionamento dell'ambiente di elaborazione.Monitoring data is only useful if it can increase your visibility into the operation of your computing environment. Monitoraggio di Azure include diverse funzionalità e vari strumenti che offrono preziose informazioni dettagliate sulle applicazioni e su altre risorse da cui dipendono.Azure Monitor includes several features and tools that provide valuable insights into your applications and other resources that they depend on. Le soluzioni di monitoraggio e le funzionalità quali Application Insights e Monitoraggio di Azure per contenitori offrono informazioni approfondite su diversi aspetti dell'applicazione e su specifici servizi di Azure.Monitoring solutions and features such as Application Insights and Azure Monitor for containers provide deep insights into different aspects of your application and specific Azure services.

Le soluzioni di monitoraggio in Monitoraggio di Azure sono set di logica compressi che forniscono informazioni su una determinata applicazione o servizio.Monitoring solutions in Azure Monitor are packaged sets of logic that provide insights for a particular application or service. Includono logica per la raccolta di dati di monitoraggio per l'applicazione o il servizio, query per analizzare i dati, e visualizzazioni per esaminarli.They include logic for collecting monitoring data for the application or service, queries to analyze that data, and views for visualization. Sono disponibili soluzioni di monitoraggio di Microsoft e di alcuni partner, che permettono il monitoraggio di vari servizi di Azure e altre applicazioni.Monitoring solutions are available from Microsoft and partners to provide monitoring for various Azure services and other applications.

Con tutti questi dati avanzati raccolti, è importante intraprendere azioni proattive sugli eventi che si verificano nell'ambiente in cui le query manuali non saranno sufficienti.With all of this rich data collected, it's important to take proactive action on events happening in your environment where manual queries alone won't suffice. Gli avvisi di Monitoraggio di Azure inviano notifiche proattive sulle condizioni critiche e tentano di eseguire azioni correttive.Alerts in Azure Monitor proactively notify you of critical conditions and potentially attempt to take corrective action. Le regole di avviso basate sulle metriche forniscono avvisi quasi in tempo reale in base ai valori numerici, mentre le regole basate sui log consentono la logica complessa tra i dati provenienti da più origini.Alert rules based on metrics provide near real-time alerting based on numeric values, while rules based on logs allow for complex logic across data from multiple sources. Le regole di avviso in Monitoraggio di Azure utilizzano i gruppi di azioni che contengono set univoci di destinatari e azioni che possono essere condivise tra più regole.Alert rules in Azure Monitor use action groups, which contain unique sets of recipients and actions that can be shared across multiple rules. In base ai requisiti, i gruppi di azioni possono eseguire azioni come l'uso di Webhook che fanno sì che gli avvisi avviino azioni esterne o si integrino con gli strumenti ITSM.Based on your requirements, action groups can perform such actions as using webhooks that cause alerts to start external actions or to integrate with your ITSM tools.

Monitoraggio di Azure consente anche la creazione di dashboard personalizzati.Azure Monitor also allows the creation of custom dashboards. I dashboard di Azure consentono di combinare tipi diversi di dati, tra cui metriche e log, in un unico riquadro del portale di Azure.Azure dashboards allow you to combine different kinds of data, including both metrics and logs, into a single pane in the Azure portal. È possibile condividere il dashboard con altri utenti di Azure.You can optionally share the dashboard with other Azure users. È possibile aggiungere gli elementi di Monitoraggio di Azure a un dashboard di Azure oltre all'output di un grafico di metrica o query di log.Elements throughout Azure Monitor can be added to an Azure dashboard in addition to the output of any log query or metrics chart. È ad esempio possibile creare un dashboard che combina i riquadri che visualizzano un grafico delle metriche, una tabella di log attività, un diagramma utilizzo da Application Insights e l'output di una query di log.For example, you could create a dashboard that combines tiles that show a graph of metrics, a table of activity logs, a usage chart from Application Insights, and the output of a log query.

Infine, i dati di monitoraggio di Azure sono un'origine nativa per Power BI.Finally, Azure Monitor data is a native source for Power BI. Power BI è un servizio di analisi aziendale che fornisce visualizzazioni interattive per un'ampia gamma di origini dati e un metodo efficace per rendere i dati disponibili ad altri utenti all'interno e all'esterno dell'organizzazione.Power BI is a business analytics service that provides interactive visualizations across a variety of data sources and is an effective means of making data available to others within and outside your organization. È possibile configurare per Power BI per importare automaticamente i dati di log da Monitoraggio di Azure per sfruttare i vantaggi di queste visualizzazioni aggiuntive.You can configure Power BI to automatically import log data from Azure Monitor to take advantage of these additional visualizations.

Azure Network Watcher offre strumenti per monitorare, diagnosticare e visualizzare le metriche e abilitare o disabilitare i log per le risorse in una rete virtuale in Azure.Azure Network Watcher provides tools to monitor, diagnose, and view metrics and enable or disable logs for resources in a virtual network in Azure. È un servizio con più sfaccettature che consente le funzionalità seguenti e altro ancora:It's a multifaceted service that allows the following functionalities and more:

  • Monitorare la comunicazione tra una macchina virtuale e un endpointMonitor communication between a virtual machine and an endpoint.
  • Visualizzare le risorse in una rete virtuale e le relative relazioniView resources in a virtual network and their relationships.
  • Diagnosticare i problemi di filtro del traffico di rete da o verso una macchina virtualeDiagnose network traffic filtering problems to or from a VM.
  • Diagnosticare i problemi di routing di rete da una macchina virtualeDiagnose network routing problems from a VM.
  • Diagnosticare i problemi delle connessioni in uscita da una macchina virtualeDiagnose outbound connections from a VM.
  • Acquisire i pacchetti da e verso una macchina virtualeCapture packets to and from a VM.
  • Diagnosticare i problemi con un gateway di rete virtuale e le connessioni.Diagnose problems with an virtual network gateway and connections.
  • Determinare le latenze relative tra aree di Azure e provider di servizi InternetDetermine relative latencies between Azure regions and internet service providers.
  • Visualizzare le regole di sicurezza per un'interfaccia di reteView security rules for a network interface.
  • Visualizzare le metriche di reteView network metrics.
  • Analizzare il traffico da o verso un gruppo di sicurezza di reteAnalyze traffic to or from a network security group.
  • Visualizzare i log di diagnostica per le risorse di reteView diagnostic logs for network resources.

Tipo di componente: carichi di lavoroComponent type: Workloads

Nei componenti di tipo carico di lavoro si trovano le applicazioni e i servizi effettivi.Workload components are where your actual applications and services reside. È il punto in cui i team di sviluppo di applicazioni passano la maggior parte del tempo.It's where your application development teams spend most of their time.

Le possibilità dei carichi di lavoro sono infinite.The workload possibilities are endless. I seguenti sono solo alcuni dei possibili tipi di carichi di lavoro:The following are just a few of the possible workload types:

Applicazioni interne: Le applicazioni line-of-business sono fondamentali per le operazioni aziendali.Internal applications: Line-of-business applications are critical to enterprise operations. Queste applicazioni presentano alcune caratteristiche comuni:These applications have some common characteristics:

  • Interattivo: I dati vengono immessi e vengono restituiti i risultati o i report.Interactive: Data is entered, and results or reports are returned.
  • Basato sui dati: Dati con utilizzo intensivo con accesso frequente a database o ad altre risorse di archiviazione.Data-driven: Data intensive with frequent access to databases or other storage.
  • Integrazione: Offrire l'integrazione con altri sistemi all'interno o all'esterno dell'organizzazione.Integrated: Offer integration with other systems within or outside the organization.

Siti Web rivolte ai clienti (con connessione a Internet o internamente): La maggior parte delle applicazioni Internet sono siti Web.Customer-facing web sites (internet-facing or internally facing): Most internet applications are web sites. Azure può eseguire un sito Web tramite una macchina virtuale IaaS o un sito di app Web di Azure (PaaS).Azure can run a web site via either an IaaS virtual machine or an Azure Web Apps site (PaaS). App Web di Azure si integra con le reti virtuali per distribuire app Web in un'area di rete spoke.Azure Web Apps integrates with virtual networks to deploy web apps in a spoke network zone. I siti Web con connessione interna non devono esporre un endpoint Internet pubblico perché le risorse sono accessibili tramite indirizzi instradabili non Internet privati dalla rete virtuale privata.Internally facing web sites don't need to expose a public internet endpoint because the resources are accessible via private non-internet routable addresses from the private virtual network.

Analisi di Big Data: Quando i dati devono essere ridimensionati in volumi più grandi, i database relazionali potrebbero non funzionare correttamente con il carico estremo o la natura non strutturata dei dati.Big data analytics: When data needs to scale up to larger volumes, relational databases may not perform well under the extreme load or unstructured nature of the data. Azure HDInsight è un servizio di analisi open source gestito, a spettro completo nel cloud per le aziende.Azure HDInsight is a managed, full-spectrum, open-source analytics service in the cloud for enterprises. È possibile usare framework open source, ad esempio Hadoop, Apache Spark, Apache Hive, LLAP, Apache Kafka, Apache Storm e R. HDInsight supporta la distribuzione in una rete virtuale basata sulla posizione, può essere distribuito in un cluster in una spoke del data center virtuale.You can use open-source frameworks such as Hadoop, Apache Spark, Apache Hive, LLAP, Apache Kafka, Apache Storm, and R. HDInsight supports deploying into a location-based virtual network, can be deployed to a cluster in a spoke of the virtual datacenter.

Eventi e messaggistica: Hub eventi di Azure è una piattaforma di streaming Big Data e un servizio di inserimento di eventi.Events and Messaging: Azure Event Hubs is a big data streaming platform and event ingestion service. È in grado di ricevere ed elaborare milioni di eventi al secondo.It can receive and process millions of events per second. Offre una bassa latenza e un periodo di conservazione configurabile, consentendo di inserire enormi quantità di dati in Azure e di leggerli da più applicazioni.It provides low latency and configurable time retention, enabling you to ingest massive amounts of data into Azure and read it from multiple applications. Un singolo flusso può supportare le pipeline in tempo reale e basate su batch.A single stream can support both real-time and batch-based pipelines.

Un servizio di messaggistica cloud altamente affidabile tra applicazioni e servizi può essere implementato tramite il bus di servizio di AzureYou can implement a highly reliable cloud messaging service between applications and services through Azure Service Bus. Offre la messaggistica negoziata asincrona tra client e server, la messaggistica di primo in uscita (FIFO) strutturata e le funzionalità di pubblicazione e sottoscrizione.It offers asynchronous brokered messaging between client and server, structured first-in-first-out (FIFO) messaging, and publishes and subscribe capabilities.

1010

Questi esempi riconoscono a malapena la superficie dei tipi di carichi di lavoro che è possibile creare in Azure, — da un'app Web e SQL di base alla più recente, big data, Machine Learning, intelligenza artificiale e molto altro ancora.These examples barely scratch the surface of the types of workloads you can create in Azure—everything from a basic Web and SQL app to the latest in IoT, big data, machine learning, AI, and so much more.

Disponibilità elevata: più data center virtualiHighly availability: multiple virtual datacenters

Fino a questo punto, questo articolo è incentrato sulla progettazione di un singolo data center virtuale, che descrive i componenti di base e le architetture che contribuiscono alla resilienza.So far, this article has focused on the design of a single VDC, describing the basic components and architectures that contribute to resiliency. Funzionalità di Azure come Azure Load Balancer, appliance virtuali, zone di disponibilità, set di disponibilità, set di scalabilità e altre funzionalità che consentono di includere livelli di SLA solidi nei servizi di produzione.Azure features such as Azure load balancer, NVAs, availability zones, availability sets, scale sets, and other capabilities that help you include solid SLA levels into your production services.

Tuttavia, poiché un data center virtuale viene in genere implementato all'interno di una singola area, potrebbe essere vulnerabile a interruzioni che interessano l'intera area.However, because a virtual datacenter is typically implemented within a single region, it might be vulnerable to outages that affect the entire region. I clienti che richiedono una disponibilità elevata devono proteggere i servizi tramite distribuzioni dello stesso progetto in due o più implementazioni di data center virtuale distribuite in aree diverse.Customers that require high availability must protect the services through deployments of the same project in two or more VDC implementations deployed to different regions.

Oltre ai problemi relativi ai contratti di contratto, diversi scenari comuni traggono vantaggio dall'esecuzione di più data center virtuali:In addition to SLA concerns, several common scenarios benefit from running multiple virtual datacenters:

  • Presenza a livello di area o globale degli utenti finali o dei partner.Regional or global presence of your end users or partners.
  • Requisiti per il ripristino di emergenza.Disaster recovery requirements.
  • Meccanismo per deviare il traffico tra i Data Center per il carico o le prestazioni.A mechanism to divert traffic between datacenters for load or performance.

Presenza a livello di area/globaleRegional/global presence

I Data Center di Azure sono disponibili in molte aree in tutto il mondo.Azure datacenters exist in many regions worldwide. Quando si selezionano più data center di Azure, prendere in considerazione due fattori correlati: distanze geografiche e latenza.When selecting multiple Azure datacenters, consider two related factors: geographical distances and latency. Per ottimizzare l'esperienza utente, valutare la distanza tra ogni data center virtuale e la distanza tra ogni data center virtuale e gli utenti finali.To optimize user experience, evaluate the distance between each virtual datacenter as well as the distance from each virtual datacenter to the end users.

Un'area di Azure che ospita il data center virtuale deve essere conforme ai requisiti normativi di qualsiasi giurisdizione legale in cui opera l'organizzazione.An Azure region that hosts your virtual datacenter must conform with regulatory requirements of any legal jurisdiction under which your organization operates.

Ripristino di emergenzaDisaster recovery

La progettazione di un piano di ripristino di emergenza dipende dai tipi di carichi di lavoro e dalla possibilità di sincronizzare lo stato dei carichi di lavoro tra diverse implementazioni di data center virtuale.The design of a disaster recovery plan depends on the types of workloads and the ability to synchronize state of those workloads between different VDC implementations. Idealmente, la maggior parte dei clienti desiderano un meccanismo di failover rapido e questo requisito potrebbe richiedere la sincronizzazione dei dati delle applicazioni tra le distribuzioni in esecuzione in più implementazioni di VDC.Ideally, most customers desire a fast fail-over mechanism, and this requirement may need application data synchronization between deployments running in multiple VDC implementations. Tuttavia, quando si progettano piani di ripristino di emergenza, è importante tenere presente che la maggior parte delle applicazioni è sensibile alla latenza che può essere causata da questa sincronizzazione dei dati.However, when designing disaster recovery plans, it's important to consider that most applications are sensitive to the latency that can be caused by this data synchronization.

Per il monitoraggio della sincronizzazione e dell'heartbeat in implementazioni di data center virtuale diverse, è necessario che i data center comunichino tramite la rete.Synchronization and heartbeat monitoring of applications in different VDC implementations requires them to communicate over the network. È possibile connettere più implementazioni di data center virtuale in aree diverse tramite:Multiple VDC implementations in different regions can be connected through:

  • Comunicazione da Hub a hub incorporata negli hub WAN virtuali di Azure tra le aree della stessa rete WAN virtuale.Hub-to-hub communication built into Azure Virtual WAN hubs across regions in the same Virtual WAN.
  • Peering di rete virtuale per connettere hub tra le aree.Virtual network peering to connect hubs across regions.
  • Peering privato di ExpressRoute, quando gli hub in ogni implementazione di data center virtuale sono connessi allo stesso circuito ExpressRoute.ExpressRoute private peering, when the hubs in each VDC implementation are connected to the same ExpressRoute circuit.
  • Più circuiti ExpressRoute connessi tramite la backbone aziendale e le implementazioni di più VDC connesse ai circuiti ExpressRoute.Multiple ExpressRoute circuits connected via your corporate backbone, and your multiple VDC implementations connected to the ExpressRoute circuits.
  • Connessioni VPN da sito a sito tra la zona Hub delle implementazioni di data center virtuale in ogni area di Azure.Site-to-site VPN connections between the hub zone of your VDC implementations in each Azure region.

In genere, gli hub WAN virtuali, il peering di rete virtuale o le connessioni ExpressRoute sono preferiti per la connettività di rete, a causa della larghezza di banda più elevata e dei livelli di latenza coerenti quando passano attraverso la backbone Microsoft.Typically, Virtual WAN hubs, virtual network peering, or ExpressRoute connections are preferred for network connectivity, due to the higher bandwidth and consistent latency levels when passing through the Microsoft backbone.

Eseguire test di qualificazione di rete per verificare la latenza e la larghezza di banda di queste connessioni e decidere se la replica dei dati sincrona o asincrona è appropriata in base al risultato.Run network qualification tests to verify the latency and bandwidth of these connections, and decide whether synchronous or asynchronous data replication is appropriate based on the result. È anche importante valutare attentamente questi risultati in relazione all'obiettivo del tempo di ripristino (RTO, Recovery Time Objective) ottimale.It's also important to weigh these results in view of the optimal recovery time objective (RTO).

Ripristino di emergenza: deviare il traffico da un'area a un'altraDisaster recovery: diverting traffic from one region to another

Sia Gestione traffico di Azure che la porta anteriore di Azure verificano periodicamente l'integrità dei servizi degli endpoint in ascolto in diverse implementazioni di data center e, se tali endpoint hanno esito negativo, indirizzano automaticamente al data center virtuale più vicino successivo.Both Azure Traffic Manager and Azure Front Door periodically check the service health of listening endpoints in different VDC implementations and, if those endpoints fail, route automatically to the next closest VDC. Gestione traffico USA le misurazioni utente in tempo reale e il DNS per indirizzare gli utenti al più vicino (o più prossimo durante l'errore).Traffic Manager uses real-time user measurements and DNS to route users to the closest (or next closest during failure). Il front-end di Azure è un proxy inverso oltre 100 siti perimetrali Microsoft, usando anycast per indirizzare gli utenti all'endpoint di ascolto più vicino.Azure Front Door is a reverse proxy at over 100 Microsoft backbone edge sites, using anycast to route users to the closest listening endpoint.

RiepilogoSummary

Un approccio virtuale del Data Center alla migrazione del Data Center crea un'architettura scalabile che ottimizza l'utilizzo delle risorse di Azure, riduce i costi e semplifica la governance del sistema.A virtual datacenter approach to datacenter migration creates a scalable architecture that optimizes Azure resource use, lowers costs, and simplifies system governance. Il data center virtuale è tipicamente basato sulle topologie di rete Hub e spoke (usando il peering di rete virtuale o gli hub WAN virtuali).The virtual datacenter is typical based on hub and spoke network topologies (using either virtual network peering or Virtual WAN hubs). I servizi condivisi comuni forniti nell'hub e le applicazioni e i carichi di lavoro specifici vengono distribuiti negli spoke.Common shared services provided in the hub, and specific applications and workloads are deployed in the spokes. Il data center virtuale corrisponde anche alla struttura dei ruoli aziendali, in cui diversi reparti, ad esempio l'IT centrale, DevOps, e le operazioni e la manutenzione interagiscono tra loro durante l'esecuzione dei ruoli specifici.The virtual datacenter also matches the structure of company roles, where different departments such as Central IT, DevOps, and Operations and Maintenance all work together while performing their specific roles. Il data center virtuale supporta la migrazione di carichi di lavoro locali esistenti in Azure, ma offre anche molti vantaggi per le distribuzioni native del cloud.The virtual datacenter supports migrating existing on-premises workloads to Azure, but also provides many advantages to cloud-native deployments.

RiferimentiReferences

Altre informazioni sulle funzionalità di Azure illustrate in questo documento.Learn more about the Azure capabilities discussed in this document.

Passaggi successiviNext steps

  • Scopri di più sul peering di rete virtuale, la tecnologia principale delle topologie Hub e spoke.Learn more about virtual network peering, the core technology of hub and spoke topologies.
  • Implementare Azure Active Directory per usare il controllo degli accessi in base al ruolo.Implement Azure Active Directory to use role-based access control.
  • Sviluppare un modello di gestione delle sottoscrizioni e delle risorse usando il controllo degli accessi in base al ruolo che soddisfa la struttura, i requisiti e i criteri dell'organizzazione.Develop a subscription and resource management model using role-based access control that fits the structure, requirements, and policies of your organization. L'attività più importante è la pianificazione.The most important activity is planning. Analizza il modo in cui le riorganizzazioni, le fusioni, le nuove linee di prodotti e altre considerazioni influiranno sui modelli iniziali per garantire la scalabilità per soddisfare le esigenze e la crescita future.Analyze how reorganizations, mergers, new product lines, and other considerations will affect your initial models to ensure you can scale to meet future needs and growth.