ExpressRoute per Cloud Solution Provider (CSP)ExpressRoute for Cloud Solution Providers (CSP)

Microsoft fornisce servizi su vasta scala per consentire a rivenditori e distributori tradizionali (CSP) di effettuare rapidamente il provisioning di nuovi servizi e soluzioni per i clienti senza dover investire nello sviluppo di questi nuovi servizi.Microsoft provides hyper-scale services for traditional resellers and distributors (CSP) to be able to rapidly provision new services and solutions for your customers without the need to invest in developing these new services. Per offrire al Cloud Solution Provider (CSP) la possibilità di gestire direttamente questi nuovi servizi, Microsoft fornisce programmi e API che consentono al CSP di gestire le risorse di Microsoft Azure per conto dei clienti.To allow the Cloud Solution Provider (CSP) the ability to directly manage these new services, Microsoft provides programs and APIs that allow the CSP to manage Microsoft Azure resources on behalf of your customers. Una di queste risorse è ExpressRoute.One of those resources is ExpressRoute. ExpressRoute consente al CSP di connettere le risorse esistenti dei clienti ai servizi di Azure.ExpressRoute allows the CSP to connect existing customer resources to Azure services. ExpressRoute è un collegamento delle comunicazioni privato a velocità elevata ai servizi in Azure.ExpressRoute is a high speed private communications link to services in Azure.

ExpressRoute è costituito da una coppia di circuiti per la disponibilità elevata collegati a una o più sottoscrizioni di un singolo cliente e che non possono essere condivisi da più clienti.ExpressRoute is comprised of a pair of circuits for high availability that are attached to a single customer's subscription(s) and cannot be shared by multiple customers. Ogni circuito deve terminare in router diverso per mantenere la disponibilità elevata.Each circuit should be terminated in a different router to maintain the high availability.

Nota

Poiché in ExpressRoute esistono limiti di larghezza di banda e di connessione, le implementazioni di grandi dimensioni/complesse richiederanno più circuiti di ExpressRoute per un singolo cliente.There are bandwidth and connection caps on ExpressRoute which means that large/complex implementations will require multiple ExpressRoute circuits for a single customer.

Microsoft Azure fornisce un numero crescente di servizi che è possibile offrire ai clienti.Microsoft Azure provides a growing number of services that you can offer to your customers. ExpressRoute consente di sfruttare al meglio questi servizi grazie a un accesso a bassa latenza e a velocità elevata all'ambiente di Microsoft Azure.ExpressRoute helps you and your customers take advantage of these services by providing high speed low latency access to the Microsoft Azure environment.

Gestione di Microsoft AzureMicrosoft Azure management

Microsoft fornisce ai CSP le API per gestire le sottoscrizioni dei clienti di Azure consentendo l'integrazione programmatica con i sistemi di gestione dei servizi.Microsoft provides CSPs with APIs to manage the Azure customer subscriptions by allowing programmatic integration with your own service management systems. Le funzionalità di gestione supportate sono disponibili qui.Supported management capabilities can be found here.

Gestione di risorse di Microsoft AzureMicrosoft Azure resource management

La modalità di gestione della sottoscrizione dipende dal contratto stipulato con il cliente.The contract you have with your customer will determine how the subscription will be managed. Il CSP può gestire direttamente la creazione e la manutenzione delle risorse oppure il cliente può mantenere il controllo della sottoscrizione di Microsoft Azure e creare le risorse di Azure necessarie.The CSP can directly manage the creation and maintenance of resources or the customer can maintain control of the Microsoft Azure subscription and create the Azure resources as they need. Se il cliente gestisce la creazione delle risorse nella propria sottoscrizione di Microsoft Azure, potrà scegliere tra i modelli di connessione indiretta e connessione diretta.If your customer manages the creation of resources in their Microsoft Azure subscription they will use one of two models: “Connect-Through” model, or “Direct-To” model. Questi modelli vengono descritti in dettaglio nelle sezioni seguenti.These models are described in detail in the following sections.

Modello di connessione indirettaConnect-through model

testo alternativo

In questo modello il CSP crea una connessione diretta tra il data center e la sottoscrizione di Azure del cliente.In the connect-through model, the CSP creates a direct connection between your datacenter and your customer’s Azure subscription. La connessione diretta viene stabilita usando ExpressRoute, che connette la rete ad Azure.The direct connection is made using ExpressRoute, connecting your network with Azure. Il cliente quindi si connette alla rete.Then your customer connects to your network. Questo scenario prevede che il cliente passi attraverso la rete CSP per accedere ai servizi di Azure.This scenario requires that the customer passes through the CSP network to access Azure services.

Se il cliente ha altre sottoscrizioni di Azure non gestite dall'utente, userà Internet pubblico o la connessione privata per connettersi a tali servizi di cui viene effettuato il provisioning con la sottoscrizione non CSP.If your customer has other Azure subscriptions not managed by the you, they would use the public Internet or their own private connection to connect to those services provisioned under the non CSP subscription.

Si presuppone che il CSP che gestisce i servizi di Azure abbia un archivio identità dei clienti stabilito in precedenza che verrà quindi replicato in Azure Active Directory per la gestione della sottoscrizione CSP con Administrate-On-Behalf-Of (AOBO).For CSP managing Azure services, it is assumed that the CSP has a previously established customer identity store which would then be replicated into Azure Active Directory for management of their CSP subscription through Administrate-On-Behalf-Of (AOBO). I fattori chiave di questo scenario includono dove un determinato partner o provider di servizi ha stabilito una relazione con il cliente, dove il cliente utilizza attualmente i servizi del provider o dove il partner vuole fornire una combinazione di soluzioni ospitate dal provider e ospitate da Azure per garantire flessibilità e rispondere alle richieste dei clienti che non possono essere soddisfatte dal solo CSP.Key drivers for this scenario include where a given partner or service provider has an established relationship with the customer, the customer is consuming provider services currently or the partner has a desire to provide a combination of provider-hosted and Azure-hosted solutions to provide flexibility and address customer challenges which cannot be satisfied by CSP alone. Questo modello è illustrato nella figuraseguente.This model is illustrated in Figure, below.

testo alternativo

Modello di connessione direttaConnect-to model

testo alternativo

In questo modello il provider di servizi crea una connessione diretta tra il data center del cliente e la sottoscrizione di Azure di cui viene effettuato il provisioning dal CSP usando ExpressRoute nella rete del cliente (cliente).In the Connect-To model, the service provider creates a direct connection between their customer’s datacenter and the CSP provisioned Azure subscription using ExpressRoute over the customer’s (customer) network.

Nota

Per ExpressRoute il cliente dovrà creare e gestire il circuito ExpressRoute.For ExpressRoute the customer would need to create and maintain the ExpressRoute circuit.

In questo scenario di connettività il cliente deve connettersi direttamente tramite una rete cliente per accedere alla sottoscrizione di Azure gestita dal CSP, usando una connessione di rete diretta che il cliente crea, di cui è proprietario e che gestisce interamente o in parte.This connectivity scenario requires that the customer connects directly through a customer network to access CSP-managed Azure subscription, using a direct network connection that is created, owned and managed either wholly or in part by the customer. Per questi clienti si presuppone che il provider non abbia attualmente un archivio di identità dei clienti e che il provider presterà assistenza al cliente nella replica dell'archivio di identità corrente in Azure Active Directory per la gestione della sottoscrizione con AOBO.For these customers it is assumed that the provider does not currently have a customer identity store established, and the provider would assist the customer in replicating their current identify store into Azure Active Directory for management of their subscription through AOBO. I fattori chiave di questo scenario includono dove un determinato partner o provider di servizi ha stabilito una relazione con il cliente, dove il cliente utilizza attualmente i servizi del provider o dove il partner vuole fornire servizi basati esclusivamente su soluzioni ospitate da Azure senza la necessità di un data center o di un'infrastruttura del provider esistente.Key drivers for this scenario include where a given partner or service provider has an established relationship with the customer, the customer is consuming provider services currently, or the partner has a desire to provide services that are based solely on Azure-hosted solutions without the need for an existing provider datacenter or infrastructure.

testo alternativo

La scelta tra queste due opzioni si basa sulle esigenze del cliente e sulla propria esigenza corrente di fornire servizi di Azure.The choice between these two option are based on your customer’s needs and your current need to provide Azure services. Informazioni dettagliate su questi modelli e sul controllo degli accessi in base al ruolo associato, sulla rete e sugli schemi progettuali delle identità sono disponibili nel collegamenti seguenti:The details of these models and the associated role-based access control, networking, and identity design patterns are covered in details in the following links:

  • Controllo degli accessi in base al ruolo : il controllo degli accessi in base al ruolo si basa su Azure Active Directory.Role Based Access Control (RBAC) – RBAC is based on Azure Active Directory. Per altre informazioni sul controllo degli accessi in base al ruolo di Azure, vedere qui.For more information on Azure RBAC see here.
  • Rete : include diversi argomenti sulla rete in Microsoft Azure.Networking – Covers the various topics of networking in Microsoft Azure.
  • Azure Active Directory (Azure AD): Azure AD consente la gestione delle identità per Microsoft Azure e applicazioni SaaS di terze parti.Azure Active Directory (Azure AD) – Azure AD provides the identity management for Microsoft Azure and 3rd party SaaS applications. Per altre informazioni su Azure AD, vedere qui.For more information about Azure AD see here.

Velocità di reteNetwork speeds

ExpressRoute supporta le velocità di rete comprese tra 50 MB/s e 10 GB/s.ExpressRoute supports network speeds from 50 Mb/s to 10Gb/s. Ciò consente ai clienti di acquistare la quantità di larghezza di banda di rete necessaria per un ambiente univoco.This allows customers to purchase the amount of network bandwidth needed for their unique environment.

Nota

La larghezza di banda di rete può essere aumentata in base alle esigenze senza dover interrompere le comunicazioni, invece per ridurre la velocità di rete, è necessario rimuovere il circuito e ricrearlo a una velocità di rete più bassa.Network bandwidth can be increased as needed without disrupting communications, but to reduce the network speed requires tearing down the circuit and recreating it at the lower network speed.

ExpressRoute supporta la connessione di più reti virtuali a un solo circuito ExpressRoute per un miglior utilizzo delle connessioni con velocità più elevata.ExpressRoute supports the connection of multiple vNets to a single ExpressRoute circuit for better utilization of the higher-speed connections. Un solo circuito ExpressRoute può essere condiviso tra più sottoscrizioni di Azure di proprietà dello stesso cliente.A single ExpressRoute circuit can be shared among multiple Azure subscriptions owned by the same customer.

Configurazione di ExpressRouteConfiguring ExpressRoute

ExpressRoute può essere configurato per supportare tre tipi di traffico (domini di routing) su un solo circuito ExpressRoute.ExpressRoute can be configured to support three types of traffic (routing domains) over a single ExpressRoute circuit. Questo traffico viene separato nel peer Microsoft, nel peer pubblico di Azure e nel peer privato.This traffic is segregated into Microsoft peering, Azure public peering and private peering. È possibile scegliere uno o tutti i tipi di traffico da inviare tramite un solo circuito di ExpressRoute o usare più circuiti ExpressRoute a seconda delle dimensioni del circuito ExpressRoute e dell'isolamento richiesto dal cliente.You can choose one or all types of traffic to be sent over a single ExpressRoute circuit or use multiple ExpressRoute circuits depending on the size of the ExpressRoute circuit and isolation required by your customer. Il comportamento di sicurezza del cliente potrebbe non consentire al traffico pubblico e al traffico privato di passare per lo stesso circuito.The security posture of your customer may not allow public traffic and private traffic to traverse over the same circuit.

Modello di connessione indirettaConnect-through model

In una configurazione di connessione indiretta l'utente sarà responsabile di tutti i fondamenti della rete per connettere le risorse dei data center dei clienti alle sottoscrizioni ospitate in Azure.In a connect-through configuration the you will be responsible for all of the networking underpinnings to connect your customers datacenter resources to the subscriptions hosted in Azure. Ogni cliente che vuole usare le funzionalità di Azure dovrà avere la propria connessione ExpressRoute, che verrà gestita dall'utente.Each of your customer's that want to use Azure capabilities will need their own ExpressRoute connection, which will be managed by the You. L'utente userà gli stessi metodi che userebbe il cliente per ottenere il circuito ExpressRoute.The you will use the same methods the customer would use to procure the ExpressRoute circuit. L'utente seguirà la stessa procedura indicata nell'articolo Flussi di lavoro ExpressRoute per provisioning di un circuito e stati di circuito .The you will follow the same steps outlined in the article ExpressRoute workflows for circuit provisioning and circuit states. L'utente configurerà quindi le route BGP (Border Gateway Protocol) per controllare il traffico che scorre tra la rete locale e la rete virtuale di Azure.The you will then configure the Border Gateway Protocol (BGP) routes to control the traffic flowing between the on-premises network and Azure vNet.

Modello di connessione direttaConnect-to model

In una configurazione di connessione diretta il cliente ha già una connessione esistente ad Azure o avvierà una connessione al provider di servizi Internet collegando ExpressRoute dal proprio data center direttamente ad Azure, invece che dal data center dell'utente.In a connect-to configuration, your customer already has an existing connection to Azure or will initiate a connection to the internet service provider linking ExpressRoute from your customer’s own datacenter directly to Azure, instead of your datacenter. Per iniziare il processo di provisioning, il cliente seguirà la procedura descritta sopra in Modello di connessione indiretta.To begin the provisioning process, your customer will follow the steps as described in the Connect-Through model, above. Una volta stabilito il circuito, il cliente dovrà configurare i router locali per poter accedere sia alla rete dell'utente che alle reti virtuali di Azure.Once the circuit has been established your customer will need to configure the on-premises routers to be able to access both your network and Azure vNets.

È possibile fornire assistenza nella configurazione della connessione e delle route per consentire alle risorse nei data center dell'utente di comunicare con le risorse del cliente nel data center dell'utente o con le risorse ospitate in Azure.You can assist with setting up the connection and configuring the routes to allow the resources in your datacenter(s) to communicate with the client resources in your datacenter, or with the resources hosted in Azure.

Domini di routing ExpressRouteExpressRoute routing domains

ExpressRoute offre tre domini di routing: peer pubblico, privato e Microsoft.ExpressRoute offers three routing domains: public, private, and Microsoft peering. Ogni dominio di routing è configurato con router identici in una configurazione di tipo attivo-attivo per offrire una disponibilità elevata.Each of the routing domains are configured with identical routers in active-active configuration for high availability. Per altri dettagli sui domini di routing ExpressRoute, vedere qui.For more details on ExpressRoute routing domains look here.

È possibile definire filtri di route personalizzati per consentire solo le route desiderate o necessarie.You can define custom routes filters to allow only the route(s) you want to allow or need. Per altre informazioni o per scoprire come apportare queste modifiche, vedere l'articolo Creare e modificare il routing per un circuito ExpressRoute usando PowerShell per altri dettagli sui filtri di routing.For more information or to see how to make these changes see article: Create and modify routing for an ExpressRoute circuit using PowerShell for more details about routing filters.

Nota

Per il peer Microsoft e pubblico, la connettività deve essere stabilita con un indirizzo IP pubblico di proprietà del cliente o del CSP e deve seguire tutte le regole definite.For Microsoft and Public Peering connectivity must be though a public IP address owned by the customer or CSP and must adhere to all defined rules. Per altre informazioni, vedere la pagina Prerequisiti per ExpressRoute .For more information, see the ExpressRoute Prerequisites page.

Routing.Routing

ExpressRoute si connette alle reti di Azure tramite il gateway di rete virtuale di Azure.ExpressRoute connects to the Azure networks through the Azure Virtual Network Gateway. I gateway di rete forniscono il routing per le reti virtuali di Azure.Network gateways provide routing for Azure virtual networks.

Con la creazione delle reti virtuali di Azure viene creata anche una tabella di routing predefinita che consente alla rete virtuale di indirizzare il traffico alle/dalle subnet della rete virtuale.Creating Azure Virtual Networks also creates a default routing table for the vNet to direct traffic to/from the subnets of the vNet. Se la tabella di route predefinita non è sufficiente per la soluzione, possono essere create route personalizzate per instradare il traffico in uscita ad appliance personalizzate o per bloccare le route a reti esterne o subnet specifiche.If the default route table is insufficient for the solution custom routes can be created to route outgoing traffic to custom appliances or to block routes to specific subnets or external networks.

Routing predefinitoDefault routing

La tabella di route predefinita include le route seguenti:The default route table includes the following routes:

  • Routing in una subnetRouting within a subnet
  • Da subnet a subnet nella rete virtualeSubnet-to-subnet within the virtual network
  • A InternetTo the Internet
  • Da rete virtuale a rete virtuale con un gateway VPNVirtual network-to-virtual network using VPN gateway
  • Da rete virtuale a rete locale con un gateway VPN o ExpressRouteVirtual network-to-on-premises network using a VPN or ExpressRoute gateway

testo alternativo

Routing definito dall'utenteUser-defined routing (UDR)

Le route definite dall'utente consentono di controllare il traffico in uscita dalla subnet assegnata ad altre subnet nella rete virtuale o su uno degli altri gateway predefiniti (ExpressRoute, Internet o VPN).User-defined routes allow the control of traffic outbound from the assigned subnet to other subnets in the virtual network or over one of the other predefined gateways (ExpressRoute; internet or VPN). La tabella di routing di sistema predefinita può essere sostituita con una tabella di routing definita dall'utente che sostituisce la tabella di routing predefinita con route personalizzate.The default system routing table can be replaced with a user-defined routing table that replaces the default routing table with custom routes. Con il routing definito dall'utente, i clienti possono creare route specifiche alle appliance, ad esempio firewall o appliance per il rilevamento di intrusioni, o bloccare l'accesso a subnet specifiche dalla subnet che ospita la route definita dall'utente.With user-defined routing, customers can create specific routes to appliances such as firewalls or intrusion detection appliances, or block access to specific subnets from the subnet hosting the user-defined route. Per una panoramica delle route definite dall'utente, vedere qui.For an overview of User Defined Routes look here.

SicurezzaSecurity

A seconda del modello in uso, connessione diretta o connessione indiretta, il cliente definisce i criteri di sicurezza nella rete virtuale o fornisce i requisiti dei criteri di sicurezza al CSP per definirli per le reti virtuali.Depending on which model is in use, Connect-To or Connect-Through, your customer defines the security policies in their vNet or provides the security policy requirements to the CSP to define to their vNets. Possono essere definiti i criteri di sicurezza seguenti:The following security criteria can be defined:

  1. Isolamento del cliente : la piattaforma Azure fornisce l'isolamento del cliente archiviando l'ID cliente e le informazioni sulla rete virtuale in un database sicuro, che viene usato per incapsulare il traffico di ogni cliente in un tunnel GRE.Customer Isolation — The Azure platform provides customer isolation by storing Customer ID and vNet info in a secure database, which is used to encapsulate each customer’s traffic in a GRE tunnel.
  2. Gruppo di sicurezza di rete (NSG) : sono disponibili regole per definire il traffico consentito in entrata e in uscita dalle subnet all'interno delle reti virtuali in Azure.Network Security Group (NSG) rules are for defining allowed traffic into and out of the subnets within vNets in Azure. Per impostazione predefinita, il gruppo NSG contiene regole di blocco per bloccare il traffico da Internet alla rete virtuale e regole di consenso per il traffico all'interno di una rete virtuale.By default, the NSG contain Block rules to block traffic from the Internet to the vNet and Allow rules for traffic within a vNet. Per altre informazioni sui gruppi di sicurezza di rete, vedere qui.For more information about Network Security Groups look here.
  3. Imponi tunneling : opzione per reindirizzare tramite la connessione ExpressRoute il traffico associato a Internet che ha origine in Azure al data center locale.Force tunneling —This is an option to redirect internet bound traffic originating in Azure to be redirected over the ExpressRoute connection to the on premises datacenter. Per altre informazioni su Imponi tunneling, vedere qui.For more information about Forced tunneling look here.
  4. Crittografia: anche se i circuiti ExpressRoute sono dedicati a un cliente specifico, esiste la possibilità che il provider di rete possa essere violato, consentendo a un intruso di esaminare il traffico dei pacchetti.Encryption — Even though the ExpressRoute circuits are dedicated to a specific customer, there is the possibility that the network provider could be breached, allowing an intruder to examine packet traffic. Per risolvere il problema, un cliente o un CSP può crittografare il traffico sulla connessione definendo criteri della modalità tunnel IPSec per tutto il traffico che scorre tra le risorse locali e le risorse di Azure. Vedere la modalità tunnel IPSec facoltativa per il cliente 1 sopra nella Figura 5: Sicurezza di ExpressRoute.To address this potential, a customer or CSP can encrypt traffic over the connection by defining IPSec tunnel-mode policies for all traffic flowing between the on premises resources and Azure resources (refer to the optional Tunnel mode IPSec for Customer 1 in Figure 5: ExpressRoute Security, above). La seconda opzione consiste nell'usare un'appliance firewall in ogni endpoint del circuito ExpressRoute.The second option would be to use a firewall appliance at each the end point of the ExpressRoute circuit. A questo scopo è necessario installare VM/appliance firewall di terze parti aggiuntive in entrambe le estremità per crittografare il traffico sul circuito ExpressRoute.This will require additional 3rd party firewall VMs/Appliances to be installed on both ends to encrypt the traffic over the ExpressRoute circuit.

testo alternativo

Passaggi successiviNext steps

Il servizio Cloud Solution Provider consente di acquisire un valore maggiore per i clienti senza dover acquistare costose infrastrutture e funzionalità e continuando a essere il provider di outsourcing primario.The Cloud Solution Provider service provides you a way to increase your value to your customers without the need for expensive infrastructure and capability purchases, while maintaining your position as the primary outsourcing provider. È possibile eseguire facilmente l'integrazione con Microsoft Azure tramite l'API CSP, che consente di integrare la gestione di Microsoft Azure nei framework di gestione esistenti.Seamless integration with Microsoft Azure can be accomplished through the CSP API, allowing you to integrate management of Microsoft Azure within your existing management frameworks.

Per altre informazioni, fare clic sui collegamenti seguenti:Additional Information can be found at the following links:

Azure nel programma Cloud Solution Provider.Azure in Cloud Solution Provider program.
Prepararsi alle transazioni come Cloud Solution Provider.Get ready to transact as a Cloud Solution Provider.
Risorse Microsoft Cloud Solution Provider.Microsoft Cloud Solution Provider resources.