Data center virtuale di Microsoft AzureMicrosoft Azure Virtual Data Center

Microsoft Azure: maggiore velocità, risparmi sui costi e possibilità di integrare app e dati in localeMicrosoft Azure: Move faster, Save money, Integrate on-premises apps and data

PanoramicaOverview

La migrazione delle applicazioni locali ad Azure, anche senza modifiche significative (un approccio definito "lift-and-shift"), offre alle organizzazioni i vantaggi di un'infrastruttura protetta e conveniente.Migrating on-premises applications to Azure, even without any significant changes (an approach known as “lift and shift”), provides organizations the benefits of a secured and cost-efficient infrastructure. Per trarre il meglio dall'agilità del cloud computing, le aziende devono tuttavia sviluppare la propria architettura per poter sfruttare le funzionalità di Azure.However, to make the most of the agility possible with cloud computing, enterprises should evolve their architectures to take advantage of Azure capabilities. Microsoft Azure offre servizi e infrastruttura su scala elevata, capacità e affidabilità di livello aziendale e molte opzioni per la connettività ibrida.Microsoft Azure delivers hyper-scale services and infrastructure, enterprise-grade capabilities and reliability, and many choices for hybrid connectivity. I clienti possono scegliere di accedere a questi servizi cloud tramite Internet o con Azure ExpressRoute, che offre connettività di rete privata.Customers can choose to access these cloud services either via the Internet or with Azure ExpressRoute, which provides private network connectivity. La piattaforma Microsoft Azure consente ai clienti di estendere con facilità la propria infrastruttura nel cloud e di sviluppare architetture a più livelli.The Microsoft Azure platform allows customers to seamlessly extend their infrastructure into the cloud and build multi-tier architectures. I partner Microsoft mettono inoltre a disposizione funzionalità avanzate offrendo servizi di sicurezza e appliance virtuali ottimizzati per Azure.Additionally, Microsoft partners provide enhanced capabilities by offering security services and virtual appliances that are optimized to run in Azure.

Questo articolo offre una panoramica di modelli e progettazioni che consentono di risolvere le problematiche di sicurezza, prestazioni e scalabilità a livello di architettura che devono essere affrontate da molti clienti che stanno considerando il passaggio al cloud in massa.This article provides an overview of patterns and designs that can be used to solve the architectural scale, performance, and security concerns many customers face when thinking about moving en masse to the cloud. Viene anche illustrato come adattare ruoli IT aziendali diversi alla gestione e alla governance del sistema, con particolare attenzione ai requisiti di sicurezza e all'ottimizzazione dei costi.An overview of how to fit different organizational IT roles into the management and governance of the system is also discussed, with emphasis to security requirements and cost optimization.

Che cos'è un data center virtuale?What is a Virtual Data Center?

Le prime soluzioni cloud erano progettate per ospitare singole applicazioni relativamente isolate in ambito pubblico.In the early days, cloud solutions were designed to host single, relatively isolated, applications, in the public spectrum. Questo approccio è andato bene per alcuni anni,This approach worked well for a few years. ma, man mano che i vantaggi delle soluzioni cloud si facevano evidenti e sempre più carichi di lavoro su vasta scala venivano ospitati nel cloud, diventava indispensabile risolvere i problemi di sicurezza, affidabilità, prestazioni e costi derivanti dalle distribuzioni in una o più aree, per tutto il ciclo di vita del servizio cloud.However, as the benefits of cloud solutions became apparent and multiple large-scale workloads were hosted on the cloud, addressing security, reliability, performance, and cost concerns of deployments in one or more regions became vital throughout the life cycle of the cloud service.

Il diagramma distribuzione cloud seguente illustra alcuni esempi di lacune nella sicurezza (casella rossa) e di opportunità di ottimizzazione delle appliance virtuali di rete nei carichi di lavoro (casella gialla).The following cloud deployment diagram illustrates some examples of security gaps (red box) and room for optimization network virtual appliances across workloads (yellow box).

00

Il data center virtuale è nato da questa necessità di ridimensionamento per poter supportare carichi di lavoro aziendali e dall'esigenza di gestire i problemi derivanti dal supporto di applicazioni su larga scala nel cloud pubblico.The Virtual Data Center (vDC) was born from this necessity for scaling to support enterprise workloads, and the need to deal with the problems introduced when supporting large-scale applications in the public cloud.

Un data center virtuale non comprende solo i carichi di lavoro delle applicazioni nel cloud, ma anche la rete, la sicurezza, la gestione e l'infrastruttura (ad esempio, DNS e servizi directory).A vDC is not just the application workloads in the cloud, but also the network, security, management, and infrastructure (for example, DNS and Directory Services). In genere offre anche una connessione privata a una rete o data center locale.It usually also provides a private connection back to an on-premises network or data center. Poiché sempre più carichi di lavoro passano ad Azure, è importante considerare l'infrastruttura di supporto e gli oggetti in cui questi carichi di lavoro vengono inseriti.As more and more workloads move to Azure, it is important to think about the supporting infrastructure and objects that these workloads are placed in. Un'attenta valutazione di come le risorse sono strutturate può evitare il proliferare di centinaia di "isole di carichi di lavoro" che devono essere gestite separatamente, ognuna con i propri flussi di dati, modelli di sicurezza e problematiche di conformità.Thinking carefully about how resources are structured can avoid the proliferation of hundreds of "workload islands" that must be managed separately with independent data flow, security models, and compliance challenges.

Un data center virtuale è fondamentalmente una raccolta di entità separate, ma correlate, con funzioni, funzionalità e infrastruttura di supporto comuni.A Virtual Data Center is essentially a collection of separate but related entities with common supporting functions, features, and infrastructure. Visualizzando i carichi di lavoro come data center virtuale integrato, è possibile ridurre i costi grazie alle economie di scala, ottimizzare la sicurezza tramite componenti e flussi di dati centralizzati e semplificare operazioni, gestione e controlli della conformità.By viewing your workloads as an integrated vDC, you can realize reduced cost due to economies of scale, optimized security through component and data flow centralization, along with easier operations, management, and compliance audits.

Nota

È importante comprendere che il data center virtuale NON è un prodotto di Azure separato, ma la combinazione di diverse funzionalità e caratteristiche che permette di soddisfare requisiti specifici.It's important to understand that the vDC is NOT a discrete Azure product, but the combination of various features and capabilities to meet your exact requirements. Il data center virtuale è un modo di concepire i carichi di lavoro e l'utilizzo di Azure per ottimizzare le risorse e le funzionalità del cloud.vDC is a way of thinking about your workloads and Azure usage to maximize your resources and abilities in the cloud. Il data center virtuale è quindi un approccio modulare alla creazione di servizi IT in Azure, nel rispetto dei ruoli e delle responsabilità aziendali.The virtual DC is therefore a modular approach on how to build up IT services in the Azure, respecting organizational roles and responsibilities.

Il data center virtuale consente alle aziende di spostare carichi di lavoro e applicazioni in Azure per gli scenari seguenti:The vDC can help enterprises get workloads and applications into Azure for the following scenarios:

  • Hosting di più carichi di lavoro correlatiHosting multiple related workloads
  • Migrazione dei carichi di lavoro da un ambiente locale ad AzureMigrating workloads from an on-premises environment to Azure
  • Implementazione di requisiti di sicurezza e accesso condivisi o centralizzati nei carichi di lavoroImplementing shared or centralized security and access requirements across workloads
  • Combinazione di DevOps e IT centralizzato in modo appropriato per un'organizzazione di grandi dimensioniMixing DevOps and Centralized IT appropriately for a large enterprise

La chiave per usufruire dei vantaggi del data center virtuale è una topologia centralizzata (hub-spoke) con una combinazione di funzionalità di Azure: rete virtuale di Azure, gruppi di sicurezza di rete, peering reti virtuali, route definite dall'utente e gestione delle identità di Azure con controllo degli accessi in base al ruolo.The key to unlock the advantages of vDC, is a centralized topology (hub and spokes) with a mix of Azure features: Azure VNet, NSGs, VNet Peering, User-Defined Routes (UDR), and Azure Identity with Role Base Access Control (RBAC).

A chi serve un data center virtuale?Who Needs a Virtual Data Center?

I clienti di Azure che hanno la necessità di spostare un certo numero di carichi di lavoro in Azure possono trarre vantaggio dall'uso di risorse comuni.Any Azure customer that needs to move more than a couple of workloads into Azure can benefit from thinking about using common resources. A seconda della grandezza, anche le singole applicazioni possono trarre vantaggio dall'uso dei modelli e dei componenti usati per creare un data center virtuale.Depending on the magnitude, even single applications can benefit from using the patterns and components used to build a vDC.

Se l'organizzazione ha un team/reparto centralizzato per IT, rete, sicurezza e/o conformità, un data center virtuale facilita l'applicazione di elementi normativi, la separazione dei compiti e l'uniformità dei componenti comuni sottostanti offrendo contemporaneamente ai team delle applicazioni la libertà e il controllo necessari per i propri requisiti.If your organization has a centralized IT, Network, Security, and/or Compliance team/department, a vDC can help enforce policy points, segregation of duty, and ensure uniformity of the underlying common components while giving application teams as much freedom and control as is appropriate for your requirements.

Le organizzazioni che stanno considerando la modalità DevOps, possono utilizzare i concetti relativi al data center virtuale per fornire gruppi autorizzati di risorse di Azure e assicurarsi di avere il controllo totale all'interno di un gruppo (sottoscrizione o gruppo di risorse in una sottoscrizione comune), ma i limiti di rete e di sicurezza rimangono conformi a quanto stabilito da un criterio centralizzato in una rete virtuale dell'hub e in un gruppo di risorse.Organizations that are looking to DevOps can utilize the vDC concepts to provide authorized pockets of Azure resources and ensure they have total control within that group (either subscription or resource group in a common subscription), but the network and security boundaries stay compliant as defined by a centralized policy in a hub VNet and Resource Group.

Considerazioni sull'implementazione di un data center virtualeConsiderations on Implementing a Virtual Data Center

Quando si progetta un data center virtuale, è opportuno considerare alcuni punti fondamentali:When designing a vDC, there are several pivotal issues to consider:

  • Identità e servizi directoryIdentity and Directory Services
  • Infrastruttura di sicurezzaSecurity infrastructure
  • Connettività al cloudConnectivity to the cloud
  • Connettività all'interno del cloudConnectivity within the cloud
Identità e servizi directoryIdentity and Directory Service

L'identità e i servizi directory sono aspetti chiave di tutti i data center, sia locali che nel cloud.Identity and Directory services are a key aspect of all data centers, both on-premises and in the cloud. L'identità è correlata a tutti gli aspetti dell'accesso e dell'autorizzazione per i servizi nel data center virtuale.Identity is related to all aspects of access and authorization to services within the vDC. Per fare in modo che solo utenti e processi autorizzati accedano all'account e alle risorse di Azure, Azure usa diversi tipi di credenziali per l'autenticazione,To help ensure that only authorized users and processes access your Azure Account and resources, Azure uses several types of credentials for authentication. tra cui password (per accedere all'account Azure), chiavi crittografiche, firme digitali e certificati.These include passwords (to access the Azure account), cryptographic keys, digital signatures, and certificates. Azure Multi-Factor Authentication (MFA) è un ulteriore livello di sicurezza per l'accesso ai servizi di Azure.Azure Multi-Factor Authentication (MFA) is an additional layer of security for accessing Azure services. Azure MFA offre funzionalità avanzate di autenticazione con una serie di semplici opzioni di verifica, tra cui telefonata, SMS o notifica tramite app per dispositivi mobili, e consente a ogni utente di scegliere il metodo che preferisce.Azure MFA provides strong authentication with a range of easy verification options—phone call, text message, or mobile app notification—and allow customers to choose the method they prefer.

Le organizzazioni di grandi dimensioni hanno la necessità di definire un processo di gestione delle identità che descriva la gestione delle singole identità, l'autenticazione, l'autorizzazione, i ruoli e i privilegi all'interno o attraverso il data center virtuale.Any large enterprise needs to define an identity management process that describes the management of individual identities, their authentication, authorization, roles, and privileges within or across the vDC. Gli obiettivi di questo processo saranno da un lato l'aumento della sicurezza e della produttività e dall'altro la riduzione dei costi, dei tempi di inattività e delle attività manuali ripetitive.The goals of this process should be to increase security and productivity while decreasing cost, downtime, and repetitive manual tasks.

Le aziende/organizzazioni possono richiedere una combinazione complessa di servizi per le diverse line-of-business (LOB) e i dipendenti spesso hanno ruoli diversi a seconda del progetto in cui sono coinvolti.Enterprise/organizations can require a demanding mix of services for different Line-of-Businesses (LOBs), and employees often have different roles when involved with different projects. Un data center virtuale richiede una buona cooperazione tra i diversi team, ognuno con definizioni dei ruoli specifiche, in modo che i sistemi vengano eseguiti con una governance efficiente.A vDC requires good cooperation between different teams, each with specific role definitions, to get systems running with good governance. L'insieme di responsabilità, accesso e diritti può essere notevolmente complesso.The matrix of responsibilities, access, and rights can be extremely complex. La gestione delle identità nel data center virtuale viene implementata tramite Azure Active Directory (AAD) e il controllo degli accessi in base al ruolo.Identity management in vDC is implemented through Azure Active Directory (AAD) and Role-Based Access Control (RBAC).

Un servizio directory è un'infrastruttura di informazioni condivisa per individuare, gestire, amministrare e organizzare quotidianamente elementi e risorse di rete.A Directory Service is a shared information infrastructure for locating, managing, administering, and organizing everyday items and network resources. Queste risorse possono includere volumi, cartelle, file, stampanti, utenti, gruppi, dispositivi e altri oggetti.These resources can include volumes, folders, files, printers, users, groups, devices, and other objects. Ogni risorsa presente nella rete è considerata un oggetto dal server di directory.Each resource on the network is considered an object by the directory server. Le informazioni su una risorsa vengono archiviate come raccolta di attributi associati a tale risorsa o oggetto.Information about a resource is stored as a collection of attributes associated with that resource or object.

Tutti i servizi aziendali online di Microsoft si basano su Azure Active Directory (AAD) per le esigenze di gestione delle identità e degli accessi.All Microsoft online business services rely on Azure Active Directory (AAD) for sign-in and other identity needs. Azure Active Directory è una soluzione cloud completa di gestione di identità e accessi ad alta disponibilità che riunisce servizi di directory di base, governance delle identità avanzata e gestione dell'accesso alle applicazioni.Azure Active Directory is a comprehensive, highly available identity and access management cloud solution that combines core directory services, advanced identity governance, and application access management. AAD può essere integrato con Active Directory locale per abilitare Single Sign-On per tutte le applicazioni basate sul cloud e ospitate in locale.AAD can be integrated with on-premises Active Directory to enable single sign-on for all cloud-based and locally hosted (on-premises) applications. Gli attributi utente di Active Directory locale possono essere automaticamente sincronizzati con AAD.The user attributes of on-premises Active Directory can be automatically synchronized to AAD.

Non è necessario un singolo amministratore globale per assegnare tutte le autorizzazioni in un data center virtuale.A single global administrator is not required to assign all permissions in a vDC. Ogni specifico reparto (o gruppo di utenti o servizi nel servizio directory) può invece avere le autorizzazioni necessarie per gestire le proprie risorse nel data center virtuale.Instead each specific department (or group of users or services in the Directory Service) can have the permissions required to manage their own resources within a vDC. La struttura delle autorizzazioni deve essere ben bilanciata.Structuring permissions requires balancing. Troppe autorizzazioni possono ostacolare le prestazioni, mentre autorizzazioni non sufficienti o approssimative possono aumentare i rischi per la sicurezza.Too many permissions can impede performance efficiency, and too few or loose permissions can increase security risks. Il controllo degli accessi in base al ruolo di Azure aiuta a risolvere questo problema offrendo la gestione specifica degli accessi per le risorse del data center virtuale.Azure Role-Based Access Control (RBAC) helps to address this problem, by offering fine-grained access management for vDC resources.

Infrastruttura di sicurezzaSecurity Infrastructure

L'infrastruttura di sicurezza, nel contesto di un data center virtuale, è correlata principalmente alla separazione del traffico nel segmento di rete virtuale specifico del data center virtuale e al controllo dei flussi in ingresso e in uscita nel data center virtuale.Security infrastructure, in the context of a vDC, is mainly related to the segregation of traffic in the vDC's specific virtual network segment, and how to control ingress and egress flows throughout the vDC. Azure si basa sull'architettura multi-tenant che impedisce il traffico non autorizzato e accidentale tra le distribuzioni, usando l'isolamento della rete virtuale, gli elenchi di controllo di accesso (ACL), i servizi di bilanciamento del carico e i filtri IP, oltre ai criteri del flusso di traffico.Azure is based on multi-tenant architecture that prevents unauthorized and unintentional traffic between deployments, using Virtual Network (VNet) isolation, access control lists (ACLs), load balancers, and IP filters, along with traffic flow policies. Network Address Translation (NAT) separa il traffico di rete interno dal traffico esterno.Network address translation (NAT) separates internal network traffic from external traffic.

L'infrastruttura di Azure alloca le risorse di infrastruttura ai carichi di lavoro dei tenant e gestisce le comunicazioni verso e dalle macchine virtuali (VM).The Azure fabric allocates infrastructure resources to tenant workloads and manages communications to and from virtual machines (VMs). L'hypervisor di Azure impone la separazione di memoria e processi tra le VM e instrada in modo sicuro il traffico di rete ai tenant del sistema operativo guest.The Azure hypervisor enforces memory and process separation between VMs and securely routes network traffic to guest OS tenants.

Connettività al cloudConnectivity to the cloud

Il data center virtuale richiede connettività con le reti esterne per offrire i servizi a clienti, partner e/o utenti interni,The vDC needs connectivity with external networks to offer services to customers, partners and/or internal users. quindi in genere è necessaria la connettività non solo a Internet, ma anche alle reti e ai data center locali.This usually means connectivity not only to the Internet, but also to on-premises networks and data centers.

I clienti possono creare criteri di sicurezza, per controllare quali specifici servizi ospitati del data center virtuale, e in che modo, siano accessibili a/da Internet, usando le appliance virtuali di rete (con filtri e ispezione del traffico), i criteri di routing personalizzati e i filtri di rete (routing definito dall'utente e gruppi di sicurezza di rete).Customers can build their security policies to control what and how specific vDC hosted services are accessible to/from the Internet using Network Virtual Appliances (with filtering and traffic inspection), and custom routing policies and network filtering (User Defined Routing and Network Security Groups).

Le organizzazioni spesso hanno la necessità di connettere i data center virtuali a data center o altre risorse locali.Enterprises often need to connect vDCs to on-premises data centers or other resources. La connettività tra Azure e le reti locali è quindi un aspetto fondamentale della progettazione di un'architettura efficace.The connectivity between Azure and on-premises networks is therefore a crucial aspect when designing an effective architecture. Le organizzazioni possono creare un'interconnessione tra il data center virtuale e le risorse locali in Azure in due modi diversi: transito sulla rete Internet e/o connessioni dirette private.Enterprises have two different ways to create an interconnection between vDC and on-premises in Azure: transit over the Internet and/or by private direct connections.

Una VPN da sito a sito di Azure è un servizio di interconnessione tramite Internet tra le reti locali e il data center virtuale, stabilito tramite connessioni crittografate sicure (tunnel IPsec/IKE).An Azure Site-to-Site VPN is an interconnection service over the Internet between on-premises networks and the vDC, established through secure encrypted connections (IPsec/IKE tunnels). La connessione da sito a sito di Azure è flessibile, veloce da creare e non richiede ulteriore approvvigionamento, perché tutte le connessioni vengono stabilite tramite Internet.Azure Site-to-Site connection is flexible, quick to create, and does not require any further procurement, as all connections connect over the internet.

ExpressRoute è un servizio di connettività di Azure che consente di creare connessioni private tra il data center virtuale e le reti locali.ExpressRoute is an Azure connectivity service that lets you create private connections between vDC and the on-premises networks. Le connessioni ExpressRoute non sfruttano la rete Internet pubblica e offrono un livello di sicurezza superiore, maggiore affidabilità e velocità più elevate (fino a 10 Gbps), oltre a una latenza coerente.ExpressRoute connections do not go over the public Internet, and offer higher security, reliability, and higher speeds (up to 10 Gbps) along with consistent latency. ExpressRoute è molto utile per i data center virtuali perché i clienti di ExpressRoute possono sfruttare i vantaggi offerti dalle regole di conformità associate alle connessioni private.ExpressRoute is very useful for vDCs, as ExpressRoute customers can get the benefits of compliance rules associated with private connections.

Per distribuire le connessioni ExpressRoute, è necessario un provider di servizi ExpressRoute.Deploying ExpressRoute connections involves engaging with an ExpressRoute service provider. I clienti che devono iniziare subito di solito usano prima una VPN da sito a sito per stabilire la connettività tra il data center virtuale e le risorse locali e quindi eseguono la migrazione alla connessione ExpressRoute.For customers that need to start quickly, it is common to initially use Site-to-Site VPN to establish connectivity between the vDC and on-premises resources, and then migrate to ExpressRoute connection.

Connettività all'interno del cloudConnectivity within the cloud

Le reti virtuali e il peering reti virtuali sono i servizi di connettività di rete di base in un data center virtuale.VNets and VNet Peering are the basic networking connectivity services inside a vDC. Una rete virtuale garantisce un limite naturale di isolamento per le risorse del data center virtuale e il peering reti virtuali consente la comunicazione tra reti virtuali diverse nella stessa area di Azure.A VNet guarantees a natural boundary of isolation for vDC resources, and VNet peering allows intercommunication between different VNets within the same Azure region. Il controllo del traffico in una rete virtuale e tra reti virtuali deve rispettare un set di regole di sicurezza specificate tramite elenchi di controllo di accesso (gruppo di sicurezza di rete), appliance virtuale di rete e tabelle di routing personalizzate (routing definito dall'utente).Traffic control inside a VNet and between VNets need to match a set of security rules specified through Access Control Lists (Network Security Group), Network Virtual Appliances, and custom routing tables (UDR).

Panoramica del data center virtualeVirtual Data Center Overview

TopologiaTopology

Il modello hub-spoke ha esteso il data center virtuale in una singola area di AzureHub and spokes model extended the Virtual Data Center within a single Azure region

11

L'hub è la zona centrale che controlla e ispeziona il traffico in ingresso e/o in uscita tra zone diverse: Internet, locale e gli spoke.The hub is the central zone that controls and inspects ingress and/or egress traffic between different zones: Internet, on-premises, and the spokes. La topologia hub-spoke consente al reparto IT di applicare in modo efficace i criteri di sicurezza in una posizione centrale, riducendo al contempo il rischio di configurazione non corretta ed esposizione.The hub and spoke topology gives the IT department an effective way to enforce security policies in a central location, while reducing the potential for misconfiguration and exposure.

L'hub contiene i componenti dei servizi comuni utilizzati dagli spoke.The hub contains the common service components consumed by the spokes. Ecco alcuni esempi tipici di servizi centrali comuni:Here are a few typical examples of common central services:

  • Infrastruttura di Windows Active Directory (con il servizio AD FS correlato) necessaria per l'autenticazione utente delle terze parti che accedono da reti non attendibili prima di ottenere l'accesso ai carichi di lavoro nello spokeThe Windows Active Directory infrastructure (with the related ADFS service) required for user authentication of third parties accessing from untrusted networks before getting access to the workloads in the spoke
  • Servizio DNS per risolvere la denominazione per il carico di lavoro negli spoke, per accedere alle risorse in locale e in InternetA DNS service to resolve naming for the workload in the spokes, to access resources on-premises and on the Internet
  • Infrastruttura PKI, per implementare Single Sign-On nei carichi di lavoroA PKI infrastructure, to implement single sign-on on workloads
  • Controllo dei flussi (TCP/UDP) tra gli spoke e InternetFlow control (TCP/UDP) between the spokes and Internet
  • Controllo dei flusso tra lo spoke e la zona localeFlow control between the spoke and on-premises
  • Se necessario, controllo dei flussi tra uno spoke e un altroIf desired, flow control between one spoke and another

Il data center virtuale riduce il costo complessivo usando l'infrastruttura condivisa dell'hub.The vDC reduces overall cost by using the shared hub infrastructure between multiple spokes.

Il ruolo di ogni spoke può essere quello di ospitare tipi diversi di carichi di lavoro.The role of each spoke can be to host different types of workloads. Gli spoke consentono anche un approccio modulare per le distribuzioni ripetibili (ad esempio, sviluppo e test, test di accettazione utente, pre-produzione e produzione) degli stessi carichi di lavoro.The spokes can also provide a modular approach for repeatable deployments (for example, dev and test, User Acceptance Testing, pre-production, and production) of the same workloads. Gli spoke possono anche essere usati per isolare e abilitare gruppi diversi all'interno dell'organizzazione (ad esempio, gruppi DevOps).The spokes can also be used to segregate and enable different groups within your organization (for example, DevOps groups). In uno spoke è possibile distribuire un carico di lavoro di base o carichi di lavoro complessi multilivello con il controllo del traffico tra i livelli.Inside a spoke, it is possible to deploy a basic workload or complex multi-tier workloads with traffic control between the tiers.

Limiti della sottoscrizione e hub multipliSubscription limits and multiple hubs

In Azure ogni componente, indipendentemente dal tipo, viene distribuito in una sottoscrizione di Azure.In Azure, every component, whatever the type, is deployed in an Azure Subscription. L'isolamento dei componenti di Azure in diverse sottoscrizioni di Azure può soddisfare i requisiti di diverse line-of-business, come la configurazione di livelli differenziati di accesso e autorizzazione.The isolation of Azure components in different Azure subscriptions can satisfy the requirements of different LOBs, such as setting up differentiated levels of access and authorization.

Un singolo data center virtuale è ridimensionabile fino a un numero elevato di spoke, anche se, con ogni sistema IT, esistono limiti per le piattaforme.A single vDC can scale up to large number of spokes, although, as with every IT system, there are platforms limits. La distribuzione dell'hub è associata a una specifica sottoscrizione di Azure, che ha restrizioni e limiti, ad esempio un numero massimo di peering reti virtuali. Per informazioni dettagliate, vedere Sottoscrizione di Azure e limiti, quote e vincoli dei servizi.The hub deployment is bound to a specific Azure subscription, which has restrictions and limits (for example, a max number of VNet peerings - see Azure subscription and service limits, quotas, and constraints for details). Nei casi in cui i limiti possono costituire un problema, è possibile aumentare ulteriormente le prestazioni per l'architettura estendendo il modello da un singolo hub-spoke a un cluster di hub e spoke.In cases where limits may be an issue, the architecture can scale up further by extending the model from a single hub-spokes to a cluster of hub and spokes. Più hub in una o più aree di Azure possono essere interconnessi usando Express Route o una VPN da sito a sito.Multiple hubs in one or more Azure regions can be interconnected using Express Route or site-to-site VPN.

22

L'introduzione di più hub aumenta il costo e l'impegno di gestione del sistema ed è giustificabile solo con la scalabilità (esempi: limiti del sistema o ridondanza) e la replica a livello di area (esempi: prestazioni dell'utente finale o ripristino di emergenza).The introduction of multiple hubs increases the cost and management effort of the system and would only be justified by scalability (examples: system limits or redundancy) and regional replication (examples: end-user performance or disaster recovery). Negli scenari in cui sono necessari più hub, tutti gli hub devono cercare di offrire lo stesso set di servizi per facilitare le operazioni.In scenarios requiring multiple hubs, all the hubs should strive to offer the same set of services for operational ease.

Interconnessione tra spokeInterconnection between spokes

In un singolo spoke è possibile implementare carichi di lavoro complessi multilivello.Inside a single spoke, it is possible to implement complex multi-tiers workloads. Le configurazioni multilivello possono essere implementate usando le subnet (una per ogni livello) nella stessa rete virtuale e filtrando i flussi con i gruppi di sicurezza di rete.Multi-tier configurations can be implemented using subnets (one for every tier) in the same VNet and filtering the flows using NSGs.

D'altra parte, un architetto potrebbe voler distribuire un carico di lavoro multilivello in più reti virtuali.On the other hand, an architect may want to deploy a multi-tier workload across multiple VNets. Usando il peering reti virtuali, gli spoke possono connettersi ad altri spoke nello stesso hub o in hub diversi.Using VNet peering, spokes can connect to other spokes in the same hub or different hubs. Un esempio tipico di questo scenario è quello in cui i server di elaborazione delle applicazioni sono in uno spoke (rete virtuale), mentre il database viene distribuito in un altro spoke (rete virtuale).A typical example of this scenario is the case where application processing servers are in one spoke (VNet), while the database is deployed in a different spoke (VNet). In questo caso, è facile interconnettere gli spoke con il peering reti virtuali ed evitare in tal modo il transito dall'hub.In this case, it is easy to interconnect the spokes with VNet peering and thereby avoid transiting through the hub. È consigliabile eseguire un'attenta revisione dell'architettura e della sicurezza per assicurarsi che il bypass dell'hub non comporti il bypass di importanti punti di sicurezza e di controllo che potrebbero esistere solo nell'hub.A careful architecture and security review should be performed to ensure that bypassing the hub doesn’t bypass important security or auditing points that may only exist in the hub.

33

Gli spoke possono anche essere interconnessi a uno spoke che funge da hub.Spokes can also be interconnected to a spoke that acts as a hub. Questo approccio crea una gerarchia a due livelli: lo spoke nel livello superiore (livello 0) diventa l'hub degli spoke inferiori (livello 1) nella gerarchia.This approach creates a two-level hierarchy: the spoke in the higher level (level 0) become the hub of lower spokes (level 1) of the hierarchy. Gli spoke del data center virtuale devono inoltrare il traffico all'hub centrale per raggiungere la rete locale o Internet.The spokes of vDC need to forward the traffic to the central hub to reach out either to the on-premises network or internet. Un'architettura con due livelli di hub crea un routing complesso che elimina i vantaggi di una relazione hub-spoke semplice.An architecture with two levels of hub introduces complex routing that removes the benefits of a simple hub-spoke relationship.

Anche se Azure consente topologie complesse, uno dei principi fondamentali del data center virtuale è il concetto di ripetibilità e semplicità.Although Azure allows complex topologies, one of the core principles of the vDC concept is repeatability and simplicity. Per ridurre al minimo l'impegno di gestione, la progettazione hub-spoke semplice è l'architettura di riferimento consigliata per il data center virtuale.To minimize management effort, the simple hub-spoke design is the recommended vDC reference architecture.

ComponentiComponents

Un data center virtuale è costituito da quattro tipi di componenti di base: infrastruttura, reti perimetrali, carichi di lavoro e monitoraggio.A Virtual Data Center is made up of four basic component types: Infrastructure, Perimeter Networks, Workloads, and Monitoring.

Ogni tipo di componente è costituito da diverse funzionalità e risorse di Azure.Each component type consists of various Azure features and resources. Il data center virtuale è costituito da istanze di più tipi di componenti e di più varianti dello stesso tipo di componente.Your vDC is made up of instances of multiple components types and multiple variations of the same component type. È possibile, ad esempio, avere più istanze di carico di lavoro diverse separate in modo logico che rappresentano applicazioni diverse.For instance, you may have many different, logically separated, workload instances that represent different applications. Questi diversi tipi di componenti e istanze vengono usati per creare il data center virtuale.You use these different component types and instances to ultimately build the vDC.

44

L'architettura generale precedente di un data center virtuale illustra tipi di componenti diversi usati in zone diverse della topologia hub-spoke.The preceding high-level architecture of a vDC shows different component types used in different zones of the hub-spokes topology. Il diagramma illustra i componenti dell'infrastruttura in svariate parti dell'architettura.The diagram shows infrastructure components in various parts of the architecture.

È consigliabile (per un data center locale o un data center virtuale) che i diritti e i privilegi di accesso siano basati sui gruppi.As a good practice (for an on-premises DC or vDC) access rights and privileges should be group-based. Gestire gruppi, invece di singoli utenti, consente di assicurare la coerenza dei criteri di accesso tra i team e di ridurre al minimo gli errori di configurazione.Dealing with groups, instead of individual users helps maintaining access policies consistently across teams and aids in minimizing configuration errors. L'assegnazione e la rimozione di utenti nei gruppi appropriati consente di mantenere aggiornati i privilegi di un utente specifico.Assigning and removing users to and from appropriate groups helps keeping the privileges of a specific user up-to-date.

Ogni gruppo di ruoli deve avere un prefisso univoco nel nome per identificare più facilmente il gruppo associato a un determinato carico di lavoro.Each role group should have a unique prefix on their names making it easy to identify which group is associated with which workload. Un carico di lavoro che ospita un servizio di autenticazione, ad esempio, potrebbe avere gruppi denominati AuthServiceNetOps, AuthServiceSecOps, AuthServiceDevOps e AuthServiceInfraOps.For instance, a workload hosting an authentication service might have groups named AuthServiceNetOps, AuthServiceSecOps, AuthServiceDevOps, and AuthServiceInfraOps. Analogamente, i ruoli centralizzati o i ruoli non correlati a un servizio specifico potrebbero essere preceduti da "Corp", ad esempio CorpNetOps.Likewise for centralized roles, or roles not related to a specific service, could be prefaced with “Corp”, CorpNetOps for example.

Molte organizzazioni usano una variante dei gruppi seguenti per una suddivisione primaria dei ruoli:Many organizations use a variation of the following groups to provide a major breakdown of roles:

  • Il gruppo IT centrale (Corp) ha i diritti di proprietà per controllare i componenti dell'infrastruttura (ad esempio, rete e sicurezza) e quindi deve avere il ruolo Collaboratore nella sottoscrizione (e avere il controllo dell'hub) e i diritti di Collaboratore Rete negli spoke.The central IT group (Corp) has the ownership rights to control infrastructure (such as networking and security) components, and therefore needs to have the role of contributor on the subscription (and have control of the hub) and network contributor rights in the spokes. Le grandi imprese spesso suddividono queste responsabilità di gestione tra più team, ad esempio un gruppo per le operazioni di rete (CorpNetOps), dedicato esclusivamente alle rete, e un gruppo per le operazioni di sicurezza (CorpSecOps), responsabile del firewall e dei criteri di sicurezza.Large organization frequently split up these management responsibilities between multiple teams such as; a Network Operations (CorpNetOps) group (with exclusive focus on networking) and a Security Operations (CorpSecOps) group (responsible for firewall and security policy). In questo caso specifico è necessario creare due gruppi diversi per l'assegnazione di questi ruoli personalizzati.In this specific case, two different groups need to be created for assignment of these custom roles.
  • Il gruppo dedicato a sviluppo e test (AppDevOps) ha la responsabilità di distribuire i carichi di lavoro (app o servizi).The dev & test (AppDevOps) group has the responsibility to deploy workloads (Apps or Services). Questo gruppo ha il ruolo Collaboratore Macchina virtuale per le distribuzioni IaaS e/o uno o più ruoli del collaboratore PaaS. Vedere Ruoli predefiniti per il controllo degli accessi in base al ruolo di Azure.This group takes the role of Virtual Machine Contributor for IaaS deployments and/or one or more PaaS contributor’s roles (see Built-in roles for Azure Role-Based Access Control). Per il team sviluppo e test potrebbe essere necessario avere visibilità sui criteri di sicurezza (gruppi di sicurezza di rete) e sui criteri di routing (routing definito dall'utente) nell'hub o in uno spoke specifico.Optionally the dev & test team may need to have visibility on security policies (NSGs) and routing policies (UDR) inside the hub or a specific spoke. Oltre ai ruoli di collaboratore per i carichi di lavoro, questo gruppo avrà quindi anche bisogno del ruolo di lettore di rete.Therefore, in addition to the roles of contributor for workloads, this group would also need the role of Network Reader.
  • Il gruppo dedicato a operazioni e manutenzione (CorpInfraOps o AppInfraOps) ha la responsabilità di gestire i carichi di lavoro in produzione.The operation and maintenance group (CorpInfraOps or AppInfraOps) have the responsibility of managing workloads in production. Questo gruppo deve essere un collaboratore della sottoscrizione per i carichi di lavoro in qualsiasi sottoscrizione di produzione.This group needs to be a subscription contributor on workloads in any production subscriptions. Alcune organizzazioni potrebbero anche valutare la necessità di un gruppo aggiuntivo come team di supporto per l'escalation con il ruolo di collaboratore della sottoscrizione nella produzione e nella sottoscrizione dell'hub centrale, per risolvere potenziali problemi di configurazione nell'ambiente di produzione.Some organizations might also evaluate if they need an additional escalation support team group with the role of subscription contributor in production and in the central hub subscription, in order to fix potential configuration issues in the production environment.

Un data center virtuale è strutturato in modo che i gruppi creati per i gruppi IT centrali che gestiscono l'hub abbiano gruppi corrispondenti a livello di carico di lavoro.A vDC is structured so that groups created for the central IT groups managing the hub have corresponding groups at the workload level. Oltre a gestire le risorse dell'hub, i soli gruppi IT centrali potranno controllare l'accesso esterno e le autorizzazioni di primo livello per la sottoscrizione.In addition to managing hub resources only the central IT groups would be able to control external access and top-level permissions on the subscription. I gruppi di carico di lavoro potranno tuttavia controllare le risorse e le autorizzazioni della rete virtuale indipendentemente dall'IT centrale.However, workload groups would be able to control resources and permissions of their VNet independently on Central IT.

Il data center virtuale deve essere partizionato per ospitare in modo sicuro più progetti in line-of-business diverse.The vDC needs to be partitioned to securely host multiple projects across different Line-of-Businesses (LOBs). Tutti i progetti richiedono ambienti isolati diversi (sviluppo, test di accettazione utente, produzione).All projects require different isolated environments (Dev, UAT, production). Sottoscrizioni di Azure separate per ognuno di questi ambienti offrono un naturale isolamento.Separate Azure subscriptions for each of these environments provide natural isolation.

55

Il diagramma precedente illustra la relazione tra i progetti, gli utenti, i gruppi e gli ambienti di un'organizzazione in cui vengono distribuiti i componenti di Azure.The preceding diagram shows the relationship between an organization's projects, users, groups, and the environments where the Azure components are deployed.

Nell'ambito IT un ambiente (o livello) è in genere un sistema in cui vengono distribuite ed eseguite più applicazioni.Typically in IT, an environment (or tier) is a system in which multiple applications are deployed and executed. Le grandi imprese usano un ambiente di sviluppo (in cui le modifiche vengono apportate e testate per la prima volta) e un ambiente di produzione (usato dall'utente finale).Large enterprises use a development environment (where changes originally made and tested) and a production environment (what end-users use). Tali ambienti sono separati, spesso da diversi ambienti di staging, per consentire la distribuzione a fasi (rollout), il test e il ripristino dello stato precedente in caso di problemi.Those environments are separated, often with several staging environments in between them to allow phased deployment (rollout), testing, and rollback in case of problems. Le architetture di distribuzione variano in modo significativo, ma in genere il processo di base, che prevede l'avvio con lo sviluppo (DEV) e la fine con la produzione (PROD), è ancora seguito.Deployment architectures vary significantly, but usually the basic process of starting at development (DEV) and ending at production (PROD) is still followed.

Un'architettura comune per questi tipi di ambienti multilivello è costituita dagli ambienti DevOps (sviluppo e test), test di accettazione utente (staging) e produzione.A common architecture for these types of multi-tier environments consists of DevOps (development and testing), UAT (staging), and production environments. Le organizzazioni possono sfruttare uno o più tenant di Azure AD per definire l'accesso e i diritti per questi ambienti.Organizations can leverage single or multiple Azure AD tenants to define access and rights to these environments. Il diagramma precedente illustra un caso in cui vengono usati due diversi tenant di Azure AD: uno per DevOps e il test di accettazione utente e l'altro esclusivamente per la produzione.The previous diagram shows a case where two different Azure AD tenants are used: one for DevOps and UAT, and the other exclusively for production.

La presenza di tenant di Azure AD diversi impone la separazione tra gli ambienti.The presence of different Azure AD tenants enforces the separation between environments. Lo stesso gruppo di utenti (ad esempio, l'IT centrale) deve eseguire l'autenticazione con un URI diverso per accedere a un tenant di AD diverso e modificare i ruoli o le autorizzazioni degli ambienti DevOps o di produzione di un progetto.The same group of users (as an example, Central IT) needs to authenticate using a different URI to access a different AD tenant modify the roles or permissions of either the DevOps or production environments of a project. La presenza di un'autenticazione utente diversa per accedere ad ambienti diversi riduce le possibili interruzioni e gli altri problemi causati dagli errori umani.The presence of different user authentication to access different environments reduces possible outages and other issues caused by human errors.

Tipo di componente: infrastrutturaComponent Type: Infrastructure

Questo tipo di componente è quello in cui si trova la maggior parte dell'infrastruttura di supportoThis component type is where most of the supporting infrastructure resides. e a cui i team di IT centralizzato, sicurezza e/o conformità dedicano la maggior parte del tempo.It's also where your centralized IT, Security, and/or Compliance teams spend most of their time.

66

I componenti dell'infrastruttura forniscono un'interconnessione tra i diversi componenti di un data center virtuale e sono presenti sia nell'hub che negli spoke.Infrastructure components provide an interconnection between the different components of a vDC, and are present in both the hub and the spokes. La responsabilità della gestione e della manutenzione dei componenti dell'infrastruttura è in genere affidata al team dell'IT centrale e/o della sicurezza.The responsibility for managing and maintaining the infrastructure components is typically assigned to the central IT and/or security team.

Una delle attività principali del team dell'infrastruttura IT è di garantire la coerenza degli schemi degli indirizzi IP in tutta l'organizzazione.One of the primary tasks of the IT infrastructure team is to guarantee the consistency of IP address schemas across the enterprise. Lo spazio indirizzi IP privato assegnato al data center virtuale deve essere coerente e NON sovrapporsi agli indirizzi IP privati assegnati alle reti locali.The private IP address space assigned to the vDC needs to be consistent and NOT overlapping with private IP addresses assigned on your on-premises networks.

Anche se NAT nei router perimetrali locali o negli ambienti di Azure può evitare i conflitti di indirizzi IP, crea complicazioni nei componenti dell'infrastruttura.While NAT on the on-premises edge routers or in Azure environments can avoid IP address conflicts, it adds complications to your infrastructure components. La semplicità di gestione è uno degli obiettivi chiave del data center virtuale, quindi l'uso di NAT per gestire le problematiche IP non è consigliato.Simplicity of management is one of the key goals of vDC, so using NAT to handle IP concerns is not a recommended solution.

I componenti dell'infrastruttura contengono le funzionalità seguenti:Infrastructure components contain the following functionality:

  • Identità e servizi directory.Identity and directory services. L'accesso a ogni tipo di risorsa in Azure è controllato da un'identità archiviata in un servizio directory.Access to every resource type in Azure is controlled by an identity stored in a directory service. Il servizio directory archivia non solo l'elenco di utenti, ma anche i diritti di accesso alle risorse in una sottoscrizione di Azure specifica.The directory service stores not only the list of users, but also the access rights to resources in a specific Azure subscription. Questi servizi possono esistere solo nel cloud o essere sincronizzati con l'identità locale archiviata in Active Directory.These services can exist cloud-only, or they can be synchronized with on-premises identity stored in Active Directory.
  • Rete virtuale.Virtual Network. Le reti virtuali sono uno dei componenti principali di un data center virtuale e consentono di creare un limite di isolamento del traffico nella piattaforma Azure.Virtual Networks are one of main components of a vDC, and enable you to create a traffic isolation boundary on the Azure platform. Una rete virtuale è costituita da uno o più segmenti di rete virtuale, ognuno con un prefisso di rete IP specifico (una subnet).A Virtual Network is composed of a single or multiple virtual network segments, each with a specific IP network prefix (a subnet). La rete virtuale definisce un'area perimetrale interna in cui le macchine virtuali IaaS e i servizi PaaS possono stabilire comunicazioni private.The Virtual Network defines an internal perimeter area where IaaS virtual machines and PaaS services can establish private communications. Le VM (e i servizi PaaS) in una rete virtuale non possono comunicare direttamente con le VM (e i servizi PaaS) in una rete virtuale diversa, anche se entrambe le reti virtuali vengono create dallo stesso cliente e nella stessa sottoscrizione.VMs (and PaaS services) in one virtual network cannot communicate directly to VMs (and PaaS services) in a different virtual network, even if both virtual networks are created by the same customer, under the same subscription. L'isolamento è una proprietà essenziale che assicura che le macchine virtuali e le comunicazioni dei clienti rimangano private entro una rete virtuale.Isolation is a critical property that ensures customer VMs and communication remains private within a virtual network.
  • Routing definito dall'utente.UDR. Per impostazione predefinita, il traffico in una rete virtuale viene instradato in base alla tabella di routing di sistema.Traffic in a Virtual Network is routed by default based on the system routing table. Una route definita dall'utente è una tabella di routing personalizzata che gli amministratori di rete possono associare a una o più subnet per sovrascrivere il comportamento della tabella di routing di sistema e definire un percorso di comunicazione in una rete virtuale.A User Define Route is a custom routing table that network administrators can associate to one or more subnets to overwrite the behavior of the system routing table and define a communication path within a virtual network. La presenza di route definite dall'utente garantisce che il traffico in uscita dallo spoke transiti da VM personalizzate e/o appliance virtuali di rete e dai servizi di bilanciamento del carico presenti nell'hub e negli spoke.The presence of UDRs guarantees that egress traffic from the spoke transit through specific custom VMs and/or Network Virtual Appliances and load balancers present in the hub and in the spokes.
  • Gruppo di sicurezza di rete.NSG. Un gruppo di sicurezza di rete è un elenco di regole di sicurezza che funge da filtro del traffico in origini IP, destinazione IP, protocolli, porte di origine IP e porte di destinazione IP.A Network Security Group is a list of security rules that act as traffic filtering on IP Sources, IP Destination, Protocols, IP Source Ports, and IP Destination ports. Il gruppo di sicurezza di rete può essere applicato a una subnet, a una scheda di interfaccia di rete virtuale associata una VM di Azure o a entrambe.The NSG can be applied to a subnet, a Virtual NIC card associated with an Azure VM, or both. I gruppi di sicurezza di rete sono essenziali per implementare un controllo di flusso corretto nell'hub e negli spoke.The NSGs are essential to implement a correct flow control in the hub and in the spokes. Il livello di sicurezza offerto dal gruppo di sicurezza di rete dipende da quali porte si aprono e per quale scopo.The level of security afforded by the NSG is a function of which ports you open, and for what purpose. I clienti devono applicare filtri aggiuntivi per ogni VM con firewall basati su host, ad esempio IPtables o Windows Firewall.Customers should apply additional per-VM filters with host-based firewalls such as IPtables or the Windows Firewall.
  • DNS.DNS. La risoluzione dei nomi delle risorse nelle reti virtuali di un data center virtuale viene fornita tramite DNS.The name resolution of resources in the VNets of a vDC is provided through DNS. L'ambito della risoluzione dei nomi del servizio DNS predefinito è limitato alla rete virtuale.The scope of name resolution of the default DNS is limited to the VNet. Un servizio DNS personalizzato in genere deve essere distribuito nell'hub come parte dei servizi comuni, ma i consumer principali dei servizi DNS si trovano nello spoke.Usually, a custom DNS service needs to be deployed in the hub as part of common services, but the main consumers of DNS services reside in the spoke. Se necessario, i clienti possono creare una struttura DNS gerarchica con la delega delle zone DNS agli spoke.If necessary, customers can create a hierarchical DNS structure with delegation of DNS zones to the spokes.
  • **Sottoscrizione e gestione dei gruppi di risorse.**Subscription and Resource Group Management**. Una sottoscrizione definisce un limite naturale per creare più gruppi di risorse in Azure.A subscription defines a natural boundary to create multiple groups of resources in Azure. Le risorse in una sottoscrizione vengono assemblate in contenitori logici denominati gruppi di risorse.Resources in a subscription are assembled together in logical containers named Resource Groups. Il gruppo di risorse rappresenta un gruppo logico per organizzare le risorse di un data center virtuale.The Resource Group represents a logical group to organize the resources of a vDC.
  • Controllo degli accessi in base al ruolo.RBAC. Tramite il controllo degli accessi in base al ruolo, è possibile eseguire il mapping dei ruoli aziendali ai diritti di accesso a risorse di Azure specifiche e consentire agli utenti solo un determinato subset di azioni.Through RBAC, it is possible to map organizational role along with rights to access specific Azure resources, allowing you to restrict users to only a certain subset of actions. Con il controllo degli accessi in base al ruolo, è possibile concedere l'accesso assegnando i ruoli appropriati a utenti, gruppi e applicazioni nell'ambito pertinente.With RBAC, you can grant access by assigning the appropriate role to users, groups, and applications within the relevant scope. L'ambito di un'assegnazione di ruolo può essere una sottoscrizione di Azure, un gruppo di risorse o una singola risorsa.The scope of a role assignment can be an Azure subscription, a resource group, or a single resource. Il controllo degli accessi in base al ruolo consente l'ereditarietà delle autorizzazioni.RBAC allows inheritance of permissions. Un ruolo assegnato a un ambito padre concede anche l'accesso agli elementi figlio contenuti al suo interno.A role assigned at a parent scope also grants access to the children contained within it. Usando il controllo degli accessi in base al ruolo, è possibile separare i compiti e concedere agli utenti solo la quantità di accesso di cui hanno bisogno per svolgere il proprio lavoro.Using RBAC, you can segregate duties and grant only the amount of access to users that they need to perform their jobs. Ad esempio, usare il controllo degli accessi in base al ruolo per consentire a un dipendente di gestire le macchine virtuali in una sottoscrizione, mentre un altro utente può gestire i database SQL della stessa sottoscrizione.For example, use RBAC to let one employee manage virtual machines in a subscription, while another can manage SQL DBs within the same subscription.
  • Peering reti virtuali.VNet Peering. La funzionalità fondamentale usata per creare l'infrastruttura di un data center virtuale è il peering reti virtuali, un meccanismo che connette due reti virtuali nella stessa area tramite la rete del data center di Azure.The fundamental feature used to create the infrastructure of a vDC is VNet Peering, a mechanism that connects two virtual networks (VNets) in the same region through the network of the Azure data center.

Tipo di componente: reti perimetraliComponent Type: Perimeter Networks

I componenti di tipo rete perimetrale consentono di fornire la connettività di rete alle reti dei data center locali o fisici, oltre alla connettività a e da Internet.Perimeter network components (also known as a DMZ network) allow you to provide network connectivity with your on-premises or physical data center networks, along with any connectivity to and from the Internet. Sono anche i componenti a cui probabilmente i team responsabili della rete e della sicurezza dedicano più tempo.It's also where your network and security teams likely spend most of their time.

I pacchetti in ingresso devono attraversare le appliance di sicurezza nell'hub, ovvero firewall, IDS e IPS, prima di raggiungere i server back-end negli spoke.Incoming packets should flow through the security appliances in the hub, such as the firewall, IDS, and IPS, before reaching the back-end servers in the spokes. Anche i pacchetti diretti a Internet dai carichi di lavoro devono attraversare le appliance di sicurezza nella rete perimetrale per finalità di applicazione dei criteri, ispezione e controllo, prima di lasciare la rete.Internet-bound packets from the workloads should also flow through the security appliances in the perimeter network for policy enforcement, inspection, and auditing purposes, before leaving the network.

I componenti di tipo rete perimetrale offrono le funzionalità seguenti:Perimeter network components provide the following features:

I team dedicati all'IT centrale e alla sicurezza hanno in genere la responsabilità della definizione dei requisiti e delle operazioni delle reti perimetrali.Usually, the central IT and security teams have responsibility for requirement definition and operations of the perimeter networks.

77

Il diagramma precedente illustra l'imposizione di due perimetri con accesso a Internet e alla rete locale, entrambi residenti nell'hub.The preceding diagram shows the enforcement of two perimeters with access to the internet and an on-premises network, both resident in the hub. In un hub singolo la rete perimetrale verso Internet può aumentare le prestazioni per supportare un numero elevato di line-of-business, usando più farm di Web application firewall (WAF) e/o di firewall.In a single hub, the perimeter network to internet can scale up to support large numbers of LOBs, using multiple farms of Web Application Firewalls (WAFs) and/or firewalls.

Reti virtuali L'hub si basa in genere su una rete virtuale con più subnet per ospitare i diversi tipi di servizi che filtrano ed esaminano il traffico verso o da Internet tramite appliance virtuali di rete, WAF e gateway applicazione di Azure.Virtual Networks The hub is typically built on a VNet with multiple subnets to host the different type of services filtering and inspecting traffic to or from the internet via NVAs, WAFs, and Azure Application Gateways.

Routing definito dall'utente Usando il routing definito dall'utente, i clienti possono distribuire firewall, IDS/IPS e altre appliance virtuali e instradare il traffico di rete attraverso queste appliance di sicurezza per l'applicazione dei criteri relativi ai limiti di sicurezza, il controllo e l'ispezione.UDR Using UDR, customers can deploy firewalls, IDS/IPS, and other virtual appliances, and route network traffic through these security appliances for security boundary policy enforcement, auditing, and inspection. Le route definite dall'utente possono essere create sia nell'hub che negli spoke per garantire che il traffico transiti da specifiche VM personalizzate, appliance virtuali di rete e servizi di bilanciamento del carico usati dal data center virtuale.UDRs can be created in both the hub and the spokes to guarantee that traffic transits through the specific custom VMs, Network Virtual Appliances and load balancers used by the vDC. Per garantire che il traffico generato dalle VM residenti nello spoke passi alle appliance virtuali corrette, una route definita dall'utente deve essere configurata nelle subnet dello spoke impostando l'indirizzo IP front-end del servizio di bilanciamento del carico interno come hop successivo.To guarantee that traffic generated from VMs resident in the spoke transit to the correct virtual appliances, a UDR needs to be set in the subnets of the spoke by setting the front-end IP address of the internal load balancer as the next-hop. Il servizio di bilanciamento del carico interno distribuisce il traffico interno alle appliance virtuali (pool back-end di bilanciamento del carico).The internal load balancer distributes the internal traffic to the virtual appliances (load balancer back-end pool).

88

Appliance virtuali di rete Nell'hub la rete perimetrale con accesso a Internet in genere viene gestita tramite una farm di firewall e/o di Web application firewall (WAF).Network Virtual Appliances In the hub, the perimeter network with access to the internet is normally managed through a farm of firewalls and/or Web Application Firewalls (WAFs).

Line-of-business diverse usano in genere numerose applicazioni Web che tendono a essere soggette a svariate vulnerabilità e potenziali exploit.Different LOBs commonly use many web applications, and these applications tend to suffer from various vulnerabilities and potential exploits. I Web application firewall sono uno speciale tipo di prodotto usato per rilevare gli attacchi contro le applicazioni Web (HTTP/HTTPS) in modo più approfondito di quanto farebbe un firewall generico.Web Applications Firewalls are a special breed of product used to detect attacks against web applications (HTTP/HTTPS) in more depth than a generic firewall. Rispetto alla tradizionale tecnologia firewall, i Web application firewall hanno un set di funzionalità specifiche per proteggere i server Web interni dalle minacce.Compared with tradition firewall technology, WAFs have a set of specific features to protect internal web servers from threats.

Una farm di firewall è un gruppo di firewall che operano in tandem sotto una comune amministrazione, con un set di regole di sicurezza per proteggere i carichi di lavoro ospitati negli spoke e controllare l'accesso alle reti locali.A firewall farm is group of firewalls working in tandem under the same common administration, with a set of security rules to protect the workloads hosted in the spokes, and control access to on-premises networks. Una farm di firewall ha un software meno specializzato rispetto a un WAF, ma ha un ampio ambito dell'applicazione per filtrare ed esaminare ogni tipo di traffico in uscita o in ingresso.A firewall farm has less specialized software compared with a WAF, but has a broad application scope to filter and inspect any type of traffic in egress and ingress. Le farm di firewall in genere vengono implementate in Azure tramite appliance virtuali di rete, disponibili in Azure Marketplace.Firewall farms are normally implemented in Azure through Network Virtual Appliances (NVAs), which are available in the Azure marketplace.

È consigliabile usare un set di appliance virtuali di rete per il traffico che ha origine in Internet e un altro per il traffico che ha origine in locale.It is recommended to use one set of NVAs for traffic originating on the Internet, and another for traffic originating on-premises. L'uso di un solo set di appliance virtuali di rete per entrambi i tipi di traffico è un rischio per la sicurezza, perché non viene creato un perimetro di sicurezza tra i due set di traffico.Using only one set of NVAs for both is a security risk, as it provides no security perimeter between the two sets of network traffic. L'uso di appliance virtuali di rete separate riduce la complessità del controllo delle regole di sicurezza e indica chiaramente la corrispondenza tra le regole e le richieste di rete in ingresso.Using separate NVAs reduces the complexity of checking security rules, and makes it clear which rules correspond to which incoming network request.

La maggior parte delle grandi imprese gestisce più domini.Most large enterprises manage multiple domains. Il servizio DNS di Azure può essere usato per ospitare i record DNS per un particolare dominio.Azure DNS can be used to host the DNS records for a particular domain. Ad esempio, l'indirizzo IP virtuale (indirizzo VIP) del servizio di bilanciamento del carico esterno di Azure (o dei Web application firewall) può essere registrato nel record A di un record DNS di Azure.As example, the Virtual IP Address (VIP) of the Azure external load balancer (or the WAFs) can be registered in the A record of an Azure DNS record.

Azure Load Balancer Azure Load Balancer offre un servizio a disponibilità elevata di livello 4 (TCP, UDP), che consente di distribuire il traffico in ingresso tra le istanze del servizio definite in set con carico bilanciato.Azure Load Balancer Azure load balancer offers a high availability Layer 4 (TCP, UDP) service, which can distribute incoming traffic among service instances defined in a load-balanced set. Il traffico inviato al servizio di bilanciamento del carico dagli endpoint front-end (endpoint IP pubblici o endpoint IP privati) può essere ridistribuito con o senza conversione degli indirizzi in un set di pool di indirizzi IP back-end (ad esempio, appliance virtuali di rete o VM).Traffic sent to the load balancer from front-end endpoints (public IP endpoints or private IP endpoints) can be redistributed with or without address translation to a set of back-end IP address pool (examples being; Network Virtual Appliances or VMs).

Azure Load Balancer può anche esaminare l'integrità delle varie istanze del server e, quando un probe non riesce a rispondere al servizio di bilanciamento del carico, arresta l'invio del traffico all'istanza non integra.Azure Load Balancer can probe the health of the various server instances as well, and when a probe fails to respond the load balancer stops sending traffic to the unhealthy instance. In un data center virtuale è presente un servizio di bilanciamento del carico esterno nell'hub (ad esempio, per bilanciare il traffico alle appliance virtuali di rete) e negli spoke (per eseguire attività come il bilanciamento del traffico tra le diverse VM di un'applicazione multilivello).In a vDC, we have the presence of an external load balancer in the hub (for instance, balance the traffic to NVAs), and in the spokes (to perform tasks like balancing traffic between different VMs of a multitier application).

Gateway applicazione Il gateway applicazione di Microsoft Azure è un'appliance virtuale dedicata che offre un servizio di controller per la distribuzione di applicazioni con varie funzionalità di bilanciamento del carico di livello 7 per l'applicazione.Application Gateway Microsoft Azure Application Gateway is a dedicated virtual appliance providing application delivery controller (ADC) as a service, offering various layer 7 load balancing capabilities for your application. Consente di ottimizzare la produttività delle Web farm eseguendo l'offload al gateway applicazione della terminazione SSL con utilizzo elevato di CPU.It allows you to optimize web farm productivity by offloading CPU intensive SSL termination to the application gateway. Offre anche altre funzionalità di routing di livello 7, tra cui la distribuzione round robin del traffico in ingresso, l'affinità di sessione basata su cookie, il routing basato su percorso URL e la possibilità di ospitare più siti Web dietro un unico gateway applicazione.It also provides other layer 7 routing capabilities including round robin distribution of incoming traffic, cookie-based session affinity, URL path-based routing, and the ability to host multiple websites behind a single Application Gateway. Nello SKU WAF del gateway applicazione è incluso anche un Web application firewall (WAF).A web application firewall (WAF) is also provided as part of the application gateway WAF SKU. Questo SKU offre alle applicazioni Web la protezione da exploit e vulnerabilità Web comuni.This SKU provides protection to web applications from common web vulnerabilities and exploits. Il gateway applicazione può essere configurato come gateway con connessione Internet, come gateway solo interno o come una combinazione di queste due opzioni.Application Gateway can be configured as internet facing gateway, internal only gateway, or a combination of both.

IP pubblici Alcune funzionalità di Azure consentono di associare gli endpoint di servizio a un indirizzo IP pubblico che consente alla risorsa di essere accessibile da Internet.Public IPs Some Azure features enable you to associate service endpoints to a public IP address that allows to your resource to be accessed from the internet. Questo endpoint usa il processo NAT (Network Address Translation) per instradare il traffico fino all'indirizzo e alla porta interni nella rete virtuale di Azure.This endpoint uses Network Address Translation (NAT) to route traffic to the internal address and port on the Azure virtual network. È questa la modalità primaria che consente al traffico esterno di passare attraverso la rete virtuale.This path is the primary way for external traffic to pass into the virtual network. Gli indirizzi IP pubblici possono essere configurati per determinare il traffico autorizzato a passare e come/dove viene convertito nella rete virtuale.The Public IP addresses can be configured to determine which traffic is passed in, and how and where it's translated on to the virtual network.

Tipo di componente: monitoraggioComponent Type: Monitoring

I componenti di monitoraggio forniscono visibilità e avvisi da tutti gli altri tipi di componenti.Monitoring components provide visibility and alerting from all the other components types. Tutti i team devono avere accesso al monitoraggio per i componenti e i servizi a cui hanno accesso.All teams should have access to monitoring for the components and services they have access to. Se è presente un help desk centralizzato o team operativi, questi dovranno avere accesso integrato ai dati forniti da tali componenti.If you have a centralized help desk or operations teams, they would need to have integrated access to the data provided by these components.

Azure offre tipi diversi di servizi di registrazione e monitoraggio per tenere traccia del comportamento delle risorse ospitate di Azure.Azure offers different types of logging and monitoring services to track the behavior of Azure hosted resources. La governance e il controllo dei carichi di lavoro in Azure si basano non solo sulla raccolta dei dati dei log, ma anche sulla possibilità di attivare azioni in basa a specifici eventi segnalati.Governance and control of workloads in Azure is based not just on collecting log data, but also the ability to trigger actions based on specific reported events.

In Azure sono disponibili due tipi principali di lo:There are two major types of logs in Azure:

  • I log attività (chiamati anche "log operativi") offrono informazioni approfondite in merito alle operazioni eseguite sulle risorse nella sottoscrizione di Azure.Activity Logs (referred also as "Operational Log") provide insight into the operations that were performed on resources in the Azure subscription. Questi log segnalano gli eventi del piano di controllo per le sottoscrizioni.These logs report the control-plane events for your subscriptions. Ogni risorsa di Azure genera log di controllo.Every Azure resource produces audit logs.

  • I log di diagnostica di Azure vengono generati da una risorsa e forniscono dati avanzati e frequenti sul funzionamento di tale risorsa.Azure Diagnostic Logs are logs generated by a resource that provide rich, frequent data about the operation of that resource. Il contenuto di questi log varia in base al tipo di risorsa.The content of these logs varies by resource type.

99

In un data center virtuale è molto importante tenere traccia dei log dei gruppi di sicurezza di rete, in particolare di queste informazioni:In a vDC, it is extremely important to track the NSGs logs, particularly this information:

  • Registri eventi: forniscono informazioni su quali regole dei gruppi di sicurezza di rete sono applicate alle VM e ai ruoli delle istanze in base all'indirizzo MAC.Event logs: provides information on what NSG rules are applied to VMs and instance roles based on MAC address.
  • Log contatori: tengono traccia di quante volte ogni regola dei gruppi di sicurezza di rete è stata eseguita per rifiutare o consentire il traffico.Counter logs: tracks how many times each NSG rule was executed to deny or allow traffic.

Tutti i log possono essere archiviati negli account di archiviazione di Azure a scopo di controllo, analisi statica o backup.All logs can be stored in Azure Storage Accounts for audit, static analysis, or backup purposes. Quando i log vengono archiviati in un account di archiviazione di Azure, i clienti possono usare tipi diversi di framework per recuperare, preparare, analizzare e visualizzare questi dati per segnalare lo stato e l'integrità delle risorse cloud.When the logs are stored in an Azure storage account, customers can use different types of frameworks to retrieve, prep, analyze, and visualize this data to report the status and health of cloud resources.

Le grandi imprese devono avere già acquisito un framework standard per il monitoraggio dei sistemi locali e possono estendere tale framework per integrare i log generati dalle distribuzioni cloud.Large enterprises should already have acquired a standard framework for monitoring on-premises systems and can extend that framework to integrate logs generated by cloud deployments. Per le organizzazioni che vogliono tenere tutte le registrazioni nel cloud, Microsoft Operations Management Suite (OMS) è la scelta ideale.For organizations that wish to keep all the logging in the cloud, Microsoft Operations Management Suite (OMS) is a great choice. Poiché OMS viene implementato come servizio basato sul cloud, è possibile renderlo operativo rapidamente con un investimento minimo nei servizi di infrastruttura.Since OMS is implemented as a cloud-based service, you can have it up and running quickly with minimal investment in infrastructure services. OMS può anche essere integrato con i componenti di System Center, come System Center Operations Manager, per estendere al cloud gli investimenti per la gestione già esistenti.OMS can also integrate with System Center components such as System Center Operations Manager to extend your existing management investments into the cloud.

Log Analytics di OMS è un componente del framework OMS che consente di raccogliere, correlare, cercare e modificare i dati dei log e delle prestazioni generati da sistemi operativi, applicazioni e componenti cloud dell'infrastruttura.OMS Log analytics is a component of the OMS framework to help collect, correlate, search, and act on log and performance data generated by operating systems, applications, infrastructure cloud components. Fornisce ai clienti informazioni operative in tempo reale usando la ricerca integrata e i dashboard personalizzati per analizzare tutti i record in tutti i carichi di lavoro di un data center virtuale.It gives customers real-time operational insights using integrated search and custom dashboards to analyze all the records across all your workloads in a vDC.

Tipo di componente: carichi di lavoroComponent Type: Workloads

Nei componenti di tipo carico di lavoro si trovano le applicazioni e i servizi effettivi.Workload components are where your actual applications and services reside. Sono anche i componenti a cui i team di sviluppo di applicazioni dedicano più tempo.It's also where your application development teams spend most of their time.

Le possibilità dei carichi di lavoro sono davvero infinite.The workload possibilities are truly endless. I seguenti sono solo alcuni dei possibili tipi di carichi di lavoro:The following are just a few of the possible workload types:

Applicazioni line-of-business interneInternal LOB Applications

Le applicazioni line-of-business sono applicazioni informatiche cruciali per il normale funzionamento di un'azienda.Line-of-business applications are computer applications critical to the ongoing operation of an enterprise. Le applicazioni line-of-business presentano alcune caratteristiche comuni:LOB applications have some common characteristics:

  • Sono interattive.Interactive. Le applicazioni line-of-business sono interattive per natura: vengono immessi dati e vengono restituiti risultati/report.LOB applications are interactive by nature: data is entered, and result/reports are returned.
  • Sono basate sui dati.Data driven. Le applicazioni line-of-business sono a elevato utilizzo di dati con accesso frequente ai database o alle altre risorse di archiviazione.LOB applications are data intensive with frequent access to the databases or other storage.
  • Sono integrate.Integrated. Le applicazioni line-of-business consentono l'integrazione con gli altri sistemi interni o esterni all'organizzazione.LOB applications offer integration with other systems within or outside the organization.

Siti Web rivolti ai clienti (Internet o rete interna) La maggior parte delle applicazioni che interagiscono con Internet sono siti Web.Customer facing web sites (Internet or Internal facing) Most applications that interact with the Internet are web sites. Azure offre la possibilità di eseguire un sito Web in una VM IaaS o da un sito di app Web di Azure (PaaS).Azure offers the capability to run a web site on an IaaS VM or from an Azure Web Apps site (PaaS). Le app Web di Azure supportano l'integrazione con le reti virtuali che consentono la distribuzione delle app Web nello spoke di un data center virtuale.Azure Web Apps support integration with VNets that allow the deployment of the Web Apps in the spoke of a vDC. Con l'integrazione con le reti virtuali, non è necessario esporre un endpoint Internet per le applicazioni, ma è possibile usare invece l'indirizzo instradabile non Internet privato delle risorse dalla rete virtuale privata.With the VNET integration, you don't need to expose an Internet endpoint for your applications but can use the resources private non-internet routable address from your private VNet instead.

Big Data/analisi Quando è necessario aumentare di molto il volume dei dati, è possibile che le prestazioni dei database non aumentino correttamente.Big Data/Analytics When data needs to scale up to a very large volume, databases may not scale up properly. La tecnologia Hadoop offre un sistema per eseguire parallelamente le query distribuite in un numero elevato di nodi.Hadoop technology offers a system to run distributed queries in parallel on large number of nodes. I clienti hanno la possibilità di eseguire i carichi di lavoro dei dati nelle VM IaaS o in ambiente PaaS (HDInsight).Customers have the option to run data workloads in IaaS VMs or PaaS (HDInsight). HDInsight supporta la distribuzione in una rete virtuale basata sulla posizione, in un cluster in uno spoke del data center virtuale.HDInsight supports deploying into a location-based VNet, can be deployed to a cluster in a spoke of the vDC.

Eventi e messaggistica Hub eventi di Azure è un servizio di inserimento di dati di telemetria su vastissima scala che raccoglie, trasforma e archivia milioni di eventi.Events and Messaging Azure Event Hubs is a hyper-scale telemetry ingestion service that collects, transforms, and stores millions of events. In quanto piattaforma di streaming distribuita, offre bassa latenza e tempo di conservazione configurabile, permettendo di inserire quantità molto elevate di dati di telemetria in Azure e leggere tali dati da più applicazioni.As a distributed streaming platform, it offers low latency and configurable time retention, enabling you to ingest massive amounts of telemetry into Azure and read that data from multiple applications. Con Hub eventi, un solo flusso può supportare pipeline sia in tempo reale che basate su batch.With Event Hubs, a single stream can support both real-time and batch-based pipelines.

Un servizio di messaggistica cloud altamente affidabile tra applicazioni e servizi può essere implementato tramite il bus di servizio di Azure che offre la messaggistica negoziata asincrona tra il client e il server, insieme a funzionalità di messaggistica e pubblicazione/sottoscrizione FIFO (First-In-First-Out) strutturate.A highly reliable cloud messaging service between applications and services, can be implemented through Azure Service Bus that offers asynchronous brokered messaging between client and server, along with structured first-in-first-out (FIFO) messaging and publish/subscribe capabilities.

1010

Data center virtuali multipliMultiple vDC

In questo articolo si è finora parlato del data center virtuale singolo e sono stati descritti i componenti e l'architettura di base che contribuiscono a un data center virtuale resiliente.So far, this article has focused on a single vDC, describing the basic components and architecture that contribute to a resilient vDC. Le funzionalità di Azure, ad esempio il servizio di bilanciamento del carico di Azure, le appliance virtuali di rete, i set di disponibilità, i set di scalabilità e altri meccanismi, contribuiscono a un sistema che consente di creare livelli di contratto di servizio affidabili nei servizi di produzione.Azure features such as Azure load balancer, NVAs, availability sets, scale sets, along with other mechanisms contribute to a system that allow you to build solid SLA levels into your production services.

Un data center virtuale singolo viene tuttavia ospitato in una sola area ed è soggetto a gravi interruzioni che potrebbero interessare l'intera area.However, a single vDC is hosted within a single region, and is vulnerable to major outage that might affect that entire region. I clienti che vogliono ottenere contratti di servizio elevati devono proteggere i servizi distribuendo lo stesso progetto in due (o più) data center virtuali, inseriti in aree diverse.Customers that want to achieve high SLAs need to protect the services through deployments of the same project in two (or more) vDCs, placed in different regions.

A parte le preoccupazioni relative al contratto di servizio, sono diversi gli scenari comuni in cui la distribuzione di più data center virtuali è la scelta migliore:In addition to SLA concerns, there are several common scenarios where deploying multiple vDCs makes sense:

  • Presenza a livello di area/globaleRegional/Global presence
  • Ripristino di emergenzaDisaster Recovery
  • Meccanismo per deviare il traffico tra data centerMechanism to divert traffic between DC

Presenza a livello di area/globaleRegional/Global presence

I data center di Azure sono presenti in molte aree in tutto il mondo.Azure data centers are present in numerous regions worldwide. Quando selezionano più data center di Azure, i clienti devono considerare due fattori correlati: le distanze geografiche e la latenza.When selecting multiple Azure data centers, customers need to consider two related factors: geographical distances and latency. I clienti devono valutare la distanza geografica tra i data center virtuali e la distanza tra il data center virtuale e gli utenti finali, per offrire la miglior esperienza utente possibile.Customers need to evaluate the geographical distance between the vDCs and the distance between the vDC and the end users, to offer the best user experience.

L'area di Azure in cui sono ospitati i data center virtuali deve anche essere conforme ai requisiti normativi stabiliti dalla giurisdizione legale in cui opera l'organizzazione.The Azure Region where vDCs are hosted also need to conform with regulatory requirements established by any legal jurisdiction under which your organization operates.

Ripristino di emergenzaDisaster Recovery

L'implementazione di un piano di ripristino di emergenza è strettamente correlata al tipo di carico di lavoro interessato e alla possibilità di sincronizzare lo stato del carico di lavoro tra data center virtuali diversi.The implementation of a disaster recovery plan is strongly related to the type of workload concerned, and the ability to synchronize the workload state between different vDCs. Idealmente, la maggior parte dei clienti vuole sincronizzare i dati dell'applicazione tra le distribuzioni in esecuzione in due data center virtuali diversi per implementare un meccanismo di failover veloce.Ideally, most customers want to synchronize application data between deployments running in two different vDCs to implement a fast fail-over mechanism. La maggior parte delle applicazioni è sensibile alla latenza e può quindi causare potenziali timeout e ritardi nella sincronizzazione dei dati.Most applications are sensitive to latency, and that can cause potential timeout and delay in data synchronization.

Per il monitoraggio della sincronizzazione o dell'heartbeat in data center virtuali diversi, è necessario che i data center comunichino tra loro.Synchronization or heartbeat monitoring of applications in different vDCs requires communication between them. Due data center virtuali in aree diverse possono essere connessi tramite:Two vDCs in different regions can be connected through:

  • Peering privato di ExpressRoute quando gli hub dei data center virtuali sono connessi allo stesso circuito di ExpressRouteExpressRoute private peering when the vDC hubs are connected to the same ExpressRoute circuit
  • Più circuiti di ExpressRoute connessi tramite il backbone aziendale e la rete di data center virtuali connessi ai circuiti di ExpressRoutemultiple ExpressRoute circuits connected via your corporate backbone and your vDC mesh connected to the ExpressRoute circuits
  • Connessioni VPN da sito a sito tra gli hub dei data center virtuali in ogni area di AzureSite-to-Site VPN connections between your vDC hubs in each Azure Region

La connessione ExpressRoute è in genere il meccanismo preferito per la maggiore larghezza di banda e la latenza coerente durante il transito attraverso il backbone Microsoft.Usually the ExpressRoute connection is the preferred mechanism due higher bandwidth and consistent latency when transiting through the Microsoft backbone.

Non esiste un modo infallibile per convalidare un'applicazione distribuita tra due (o più) data center virtuali diversi che si trovano in aree diverse.There is no magic recipe to validate an application distributed between two (or more) different vDCs located in different regions. I clienti devono eseguire test di qualifica della rete per verificare la latenza e la larghezza di banda delle connessioni e determinare se sia appropriata la replica dei dati sincrona o asincrona e quale possa essere l'obiettivo del tempo di ripristino ottimale per i carichi di lavoro.Customers should run network qualification tests to verify the latency and bandwidth of the connections and target whether synchronous or asynchronous data replication is appropriate and what the optimal recovery time objective (RTO) can be for your workloads.

Meccanismo per deviare il traffico tra data centerMechanism to divert traffic between DC

Una tecnica efficace per deviare il traffico in ingresso in una data center a un altro si basa su DNS.One effective technique to divert the traffic incoming in one DC to another is based on DNS. Gestione traffico di Azure usa il meccanismo Domain Name System (DNS) per indirizzare il traffico dell'utente finale all'endpoint pubblico più appropriato in un data center virtuale specifico.Azure Traffic Manager uses the Domain Name System (DNS) mechanism to direct the end-user traffic to the most appropriate public endpoint in a specific vDC. Tramite i probe, Gestione traffico controlla regolarmente l'integrità del servizio degli endpoint pubblici in data center virtuali diversi e, in caso di errore in tali endpoint, esegue automaticamente il routing al data center virtuale secondario.Through probes, Traffic Manager periodically checks the service health of public endpoints in different vDCs and, in case of failure of those endpoints, it routes automatically to the secondary vDC.

Gestione traffico utilizza gli endpoint pubblici di Azure e può essere usato, ad esempio, per controllare/deviare il traffico alle VM di Azure e alle app Web nel data center virtuale appropriato.Traffic Manager works on Azure public endpoints and can be used, for example, to control/divert traffic to Azure VMs and Web Apps in the appropriate vDC. Gestione traffico è resiliente anche nel caso in cui si verifichino errori in un'intera area di Azure e può controllare la distribuzione del traffico degli utenti per gli endpoint di servizio in data center virtuali diversi in base a più criteri (ad esempio, errore di un servizio in un data center virtuale specifico o selezione del data center virtuale con la latenza di rete più bassa per il client).Traffic Manager is resilient even in the face of an entire Azure region failing and can control the distribution of user traffic for service endpoints in different vDCs based on several criteria (for instance, failure of a service in a specific vDC, or selecting the vDC with the lowest network latency for the client).

ConclusioneConclusion

Il data center virtuale è un approccio alla migrazione del data center nel cloud, che usa una combinazione di funzionalità e caratteristiche per creare un'architettura scalabile in Azure che ottimizzi l'uso delle risorse del cloud, riducendo i costi e semplificando la governance di sistema.The Virtual Data Center is an approach to data center migration into the cloud that uses a combination of features and capabilities to create a scalable architecture in Azure that maximizes cloud resource use, reducing costs, and simplifying system governance. Il concetto di data center virtuale si basa sulla topologia hub-spoke che prevede servizi condivisi comuni e applicazioni/carichi di lavoro specifici negli spoke.The vDC concept is based on a hub-spokes topology, providing common shared services in the hub and allowing specific applications/workloads in the spokes. Un data center virtuale corrisponde alla struttura dei ruoli aziendali, in cui reparti diversi (IT centrale, DevOps, operazioni e manutenzione) collaborano tra loro, ognuno con un elenco specifico di ruoli e compiti.A vDC matches the structure of company roles, where different departments (Central IT, DevOps, operation and maintenance) work together, each with a specific list of roles and duties. Un data center virtuale soddisfa i requisiti della migrazione "lift-and-shift", ma offre anche molti vantaggi per le distribuzioni cloud native.A vDC satisfies the requirements for a "Lift and Shift" migration, but also provides many advantages to native cloud deployments.

RiferimentiReferences

In questo documento sono state illustrate le funzionalità seguenti.The following features were discussed in this document. Per altre informazioni, fare clic sui collegamenti.Click the links to learn more.

Funzionalità di reteNetwork Features Bilanciamento del carico.Load Balancing ConnettivitàConnectivity
Reti virtuali di AzureAzure Virtual Networks
Gruppi di sicurezza di reteNetwork Security Groups
Log per i gruppi di sicurezza di reteNSG Logs
Routing definito dall'utenteUser Defined Routing
Network Virtual Appliances (Appliance virtuali di rete)Network Virtual Appliances
Indirizzi IP pubbliciPublic IP Addresses
Azure Load Balancer (L3) Azure Load Balancer (L3)
Gateway applicazione (L7) Application Gateway (L7)
Web application firewallWeb Application Firewall
Gestione traffico di AzureAzure Traffic Manager
Peering reti virtualiVNet Peering
Rete privata virtualeVirtual Private Network
ExpressRouteExpressRoute
IdentitàIdentity
MonitoraggioMonitoring
Procedure consigliateBest Practices
Azure Active DirectoryAzure Active Directory
Multi-Factor AuthenticationMulti-Factor Authentication
Controlli degli accessi in base ai ruoliRole Base Access Controls
Ruoli predefiniti AADDefault AAD Roles
Log attivitàActivity Logs
Log di diagnosticaDiagnostic Logs
Microsoft Operations Management SuiteMicrosoft Operations Management Suite
Procedure consigliate per le reti perimetraliPerimeter Networks Best Practices
Gestione sottoscrizioniSubscription Management
Gestione di gruppi di risorseResource Group Management
Limiti delle sottoscrizioni di AzureAzure Subscription Limits
Altri servizi di AzureOther Azure Services
App Web di AzureAzure Web Apps
HDInsights (Hadoop) HDInsights (Hadoop)
Hub eventiEvent Hubs
Bus di servizioService Bus

Passaggi successiviNext Steps

  • Esplorare il peering reti virtuali, la tecnologia fondamentale per le progettazioni di hub e spoke di un data center virtualeExplore VNet Peering, the underpinning technology for vDC hub and spoke designs
  • Implementare AAD per iniziare l'esplorazione del controllo degli accessi in base al ruoloImplement AAD to get started with RBAC exploration
  • Sviluppare un modello di gestione della sottoscrizione e delle risorse per rispettare la struttura, i requisiti e i criteri dell'organizzazione.Develop a Subscription and Resource management model and RBAC model to meet the structure, requirements, and polices of your organization. L'attività più importante è la pianificazione.The most important activity is planning. Da un punto di vista pratico, è consigliabile pianificare riorganizzazioni, fusioni, nuove linee di prodotti e così via.As much as practical, plan for reorganizations, mergers, new product lines, etc.