ExpressRoute per Cloud Solution Provider (CSP)

Microsoft fornisce servizi su vasta scala per consentire a rivenditori e distributori tradizionali (CSP) di effettuare rapidamente il provisioning di nuovi servizi e soluzioni per i clienti senza dover investire nello sviluppo di questi nuovi servizi. Per offrire al Cloud Solution Provider (CSP) la possibilità di gestire direttamente questi nuovi servizi, Microsoft fornisce programmi e API che consentono al CSP di gestire le risorse di Microsoft Azure per conto dei clienti. Una di queste risorse è ExpressRoute. ExpressRoute consente al CSP di connettere le risorse esistenti dei clienti ai servizi di Azure. ExpressRoute è un collegamento di comunicazione privata ad alta velocità ai servizi in Azure.

ExpressRoute è costituito da una coppia di circuiti per la disponibilità elevata collegati a una o più sottoscrizioni di un singolo cliente e non possono essere condivisi da più clienti. Ogni circuito deve terminare in router diverso per mantenere la disponibilità elevata.

Nota

Esistono limiti alla larghezza di banda e al numero di connessioni possibili in ogni circuito ExpressRoute. Se le esigenze di un singolo cliente superano questi limiti, saranno necessari più circuiti ExpressRoute per l'implementazione della rete ibrida.

Microsoft Azure fornisce un numero crescente di servizi che è possibile offrire ai clienti. ExpressRoute consente all'utente e ai clienti di sfruttare questi servizi offrendo accesso a bassa latenza ad alta velocità all'ambiente Microsoft Azure.

Gestione di Microsoft Azure

Microsoft fornisce ai provider di servizi cloud le API per gestire le sottoscrizioni dei clienti di Azure consentendo l'integrazione a livello di codice con i propri sistemi di gestione dei servizi. Le funzionalità di gestione supportate sono disponibili qui.

Gestione di risorse di Microsoft Azure

Il contratto che si ha con il cliente determina come verrà gestita la sottoscrizione. Il CSP può gestire direttamente la creazione e la manutenzione delle risorse oppure il cliente può mantenere il controllo della sottoscrizione di Microsoft Azure e creare le risorse di Azure necessarie. Se il cliente gestisce la creazione di risorse nella sottoscrizione di Microsoft Azure, usa uno dei due modelli: modello "Connessione-Through" o "Direct-To". Questi modelli vengono descritti in dettaglio nelle sezioni seguenti.

Modello di connessione indiretta

In questo modello il CSP crea una connessione diretta tra il data center e la sottoscrizione di Azure del cliente. La connessione diretta viene stabilita usando ExpressRoute, che connette la rete ad Azure. Il cliente quindi si connette alla rete. Questo scenario prevede che il cliente passi attraverso la rete CSP per accedere ai servizi di Azure.

Se il cliente ha altre sottoscrizioni di Azure non gestite dall'utente, userà la connessione Internet pubblica o la propria connessione privata per connettersi a tali servizi di cui è stato effettuato il provisioning nella sottoscrizione non CSP.

Per CSP che gestisce i servizi di Azure, si presuppone che il CSP abbia un archivio delle identità dei clienti stabilito in precedenza, che verrebbe quindi replicato in MICROSOFT Entra ID per la gestione della sottoscrizione CSP tramite Amministrazione istrate-On-Behalf-Of (AOBO). I fattori chiave per questo scenario includono laddove un determinato partner o provider di servizi ha una relazione stabilita con il cliente, il cliente sta utilizzando servizi provider attualmente o il partner ha il desiderio di fornire una combinazione di soluzioni ospitate dal provider e ospitate in Azure per offrire flessibilità e affrontare le sfide dei clienti che non possono essere soddisfatte da solo da CSP. Questo modello è illustrato nella figura seguente.

Modello di connessione diretta

In questo modello il provider di servizi crea una connessione diretta tra il data center del cliente e la sottoscrizione di Azure di cui viene effettuato il provisioning dal CSP usando ExpressRoute nella rete del cliente (cliente).

Nota

Per ExpressRoute il cliente dovrà creare e gestire il circuito ExpressRoute.

Questo scenario di connettività richiede che il cliente si connetta direttamente tramite una rete del cliente per accedere alla sottoscrizione di Azure gestita da CSP, usando una connessione di rete diretta creata, di proprietà e gestita interamente o in parte dal cliente. Per questi clienti, si presuppone che il provider non abbia attualmente un archivio delle identità del cliente stabilito e che il provider assisterebbe il cliente nella replica dell'archivio di identificazione corrente in Microsoft Entra ID per la gestione della sottoscrizione tramite AOBO. I fattori chiave di questo scenario includono dove un determinato partner o provider di servizi ha stabilito una relazione con il cliente, dove il cliente utilizza attualmente i servizi del provider o dove il partner vuole fornire servizi basati esclusivamente su soluzioni ospitate da Azure senza la necessità di un data center o di un'infrastruttura del provider esistente.

Le scelte tra queste due opzioni si basano sulle esigenze del cliente e sulla necessità corrente di fornire servizi di Azure. Informazioni dettagliate su questi modelli e sul controllo degli accessi in base al ruolo associato, sulla rete e sugli schemi progettuali delle identità sono disponibili nel collegamenti seguenti:

• Controllo degli accessi in base al ruolo di Azure: il controllo degli accessi in base al ruolo di Azure si basa sull'ID Microsoft Entra. Per altre informazioni sul controllo degli accessi in base al ruolo di Azure, vedere qui.
• Rete: illustra i vari articoli di rete in Microsoft Azure.
• Microsoft Entra ID : Microsoft Entra ID fornisce la gestione delle identità per le applicazioni SaaS di Microsoft Azure e di terze parti. Per altre informazioni sull'ID Microsoft Entra, vedere qui.

Velocità di rete

ExpressRoute supporta velocità di rete da 50 MB/s a 10 Gb/s. Ciò consente ai clienti di acquistare la quantità di larghezza di banda di rete necessaria per un ambiente univoco.

Nota

La larghezza di banda di rete può essere aumentata in base alle esigenze senza dover interrompere le comunicazioni, invece per ridurre la velocità di rete, è necessario rimuovere il circuito e ricrearlo a una velocità di rete più bassa.

ExpressRoute supporta la connessione di più reti virtuali a un singolo circuito ExpressRoute per un migliore utilizzo delle connessioni ad alta velocità. Un solo circuito ExpressRoute può essere condiviso tra più sottoscrizioni di Azure di proprietà dello stesso cliente.

Configurazione di ExpressRoute

ExpressRoute può essere configurato per supportare tre tipi di traffico (domini di routing) su un solo circuito ExpressRoute. Questo traffico è separato in peering privato, peering Microsoft e peering pubblico (deprecato). È possibile scegliere uno o tutti i tipi di traffico da inviare tramite un solo circuito di ExpressRoute o usare più circuiti ExpressRoute a seconda delle dimensioni del circuito ExpressRoute e dell'isolamento richiesto dal cliente. Il comportamento di sicurezza del cliente potrebbe non consentire al traffico pubblico e al traffico privato di passare per lo stesso circuito.

Modello di connessione indiretta

In una configurazione con connessione, si è responsabili di tutte le funzionalità di rete alla base per connettere le risorse del data center del cliente alle sottoscrizioni ospitate in Azure. Ogni cliente che vuole usare le funzionalità di Azure necessita della propria connessione ExpressRoute, che verrà gestita dall'utente. Si usano gli stessi metodi usati dal cliente per procurarsi il circuito ExpressRoute. Seguire gli stessi passaggi descritti nell'articolo Flussi di lavoro di ExpressRoute per il provisioning del circuito e gli stati del circuito. Si configureranno quindi le route BGP (Border Gateway Protocol) per controllare il flusso del traffico tra la rete locale e la rete virtuale di Azure.

Modello di connessione diretta

In una configurazione di connessione, il cliente ha già una connessione esistente ad Azure o avvierà una connessione al provider di servizi Internet che collega ExpressRoute dal proprio data center direttamente ad Azure, anziché al data center. Per avviare il processo di provisioning, il cliente segue i passaggi descritti nel modello Connessione-Through precedente. Dopo aver stabilito il circuito, il cliente deve configurare i router locali per poter accedere sia alla rete che alle reti virtuali di Azure.

È possibile fornire assistenza nella configurazione della connessione e delle route per consentire alle risorse nei data center dell'utente di comunicare con le risorse del cliente nel data center dell'utente o con le risorse ospitate in Azure.

I domini di routing di ExpressRoute

ExpressRoute offre due domini di routing per i nuovi circuiti: peering privato e peering Microsoft. Ognuno dei domini di routing è configurato con router identici nella configurazione attiva-attiva per la disponibilità elevata. Per altre informazioni sui domini di routing di ExpressRoute, vedere qui.

È possibile definire filtri di route personalizzati per consentire solo le route desiderate o necessarie. Per altre informazioni o per, vedere l'articolo Creare e modificare il routing per un circuito ExpressRoute usando PowerShell per altri dettagli sui filtri di routing.

Nota

Per il peering Microsoft, la connettività deve essere tramite un indirizzo IP pubblico di proprietà del cliente o CSP e deve rispettare tutte le regole definite. Per altre informazioni, vedere la pagina Prerequisiti per ExpressRoute .

Definizione dei percorsi di trasferimento

ExpressRoute si connette alle reti di Azure tramite il gateway di rete virtuale di Azure. I gateway di rete forniscono il routing per le reti virtuali di Azure.

La creazione di Rete virtuale di Azure crea anche una tabella di routing predefinita per la rete virtuale per indirizzare il traffico da e verso le subnet della rete virtuale. Se la tabella di route predefinita non è sufficiente per la soluzione, è possibile creare route personalizzate per instradare il traffico in uscita a appliance personalizzate o bloccare le route a subnet o reti esterne specifiche.

Routing predefinito

La tabella di route predefinita include le route seguenti:

• Routing in una subnet
• Da subnet a subnet nella rete virtuale
• A Internet
• Da rete virtuale a rete virtuale con un gateway VPN
• Da rete virtuale a rete locale con un gateway VPN o ExpressRoute

Routing definito dall'utente

Le route definite dall'utente consentono di controllare il traffico in uscita dalla subnet assegnata ad altre subnet nella rete virtuale o su uno degli altri gateway predefiniti (ExpressRoute, Internet o VPN). La tabella di routing di sistema predefinita può essere sostituita con una tabella di routing definita dall'utente che sostituisce la tabella di routing predefinita con route personalizzate. Con il routing definito dall'utente, i clienti possono creare route specifiche alle appliance, ad esempio firewall o appliance per il rilevamento di intrusioni, o bloccare l'accesso a subnet specifiche dalla subnet che ospita la route definita dall'utente. Per una panoramica delle route definite dall'utente, vedere qui.

Sicurezza

A seconda del modello in uso, Connessione-To o Connessione-Through, il cliente definisce i criteri di sicurezza nella rete virtuale o fornisce i requisiti dei criteri di sicurezza per il provider di servizi di configurazione per definire le reti virtuali. Possono essere definiti i criteri di sicurezza seguenti:

1. Isolamento dei clienti: la piattaforma Azure fornisce l'isolamento dei clienti archiviando l'ID cliente e le informazioni sulla rete virtuale in un database sicuro, che viene usato per incapsulare il traffico di ogni cliente in un tunnel GRE.
2. Le regole del gruppo di sicurezza di rete (NSG) consentono di definire il traffico consentito in ingresso e in uscita dalle subnet all'interno delle reti virtuali in Azure. Per impostazione predefinita, il gruppo di sicurezza di rete contiene regole di blocco per bloccare il traffico da Internet alla rete virtuale e Consenti regole per il traffico all'interno di una rete virtuale. Per altre informazioni sui gruppi di sicurezza di rete, vedere qui.
3. Forza il tunneling: si tratta di un'opzione per reindirizzare il traffico associato a Internet originato in Azure da reindirizzare tramite la connessione ExpressRoute al data center locale. Per altre informazioni sul tunneling forzato, vedere qui.
4. Crittografia: anche se i circuiti ExpressRoute sono dedicati a un cliente specifico, è possibile che il provider di rete possa essere violato, consentendo a un intruso di esaminare il traffico dei pacchetti. Per risolvere il problema, un cliente o un CSP può crittografare il traffico sulla connessione definendo criteri della modalità tunnel IPSec per tutto il traffico che scorre tra le risorse locali e le risorse di Azure. Vedere la modalità tunnel IPSec facoltativa per il cliente 1 sopra nella Figura 5: Sicurezza di ExpressRoute. La seconda opzione consiste nell'usare un'appliance firewall in ogni endpoint del circuito ExpressRoute. Ciò richiede l'installazione di altre macchine virtuali/appliance firewall di terze parti in entrambe le estremità per crittografare il traffico tramite il circuito ExpressRoute.

Passaggi successivi

Il servizio Cloud Solution Provider offre un modo per aumentare il valore ai clienti senza la necessità di acquisti costosi di infrastruttura e capacità, mantenendo al tempo stesso la propria posizione come provider di esternalizzazione principale. È possibile eseguire facilmente l'integrazione con Microsoft Azure tramite l'API CSP, che consente di integrare la gestione di Microsoft Azure nei framework di gestione esistenti.

Per altre informazioni, fare clic sui collegamenti seguenti:

Azure nel programma Cloud Solution Provider.
Prepararsi alle transazioni come Cloud Solution Provider.
Risorse Microsoft Cloud Solution Provider.