Architettura della connettività per un'istanza gestita di Database SQL di AzureConnectivity architecture for a managed instance in Azure SQL Database

Questo articolo illustra le comunicazioni in un'istanza gestita di Database SQL di Azure.This article explains communication in an Azure SQL Database managed instance. Vengono inoltre descritte architettura della connettività e modo in cui i componenti di indirizzano il traffico all'istanza gestita.It also describes connectivity architecture and how the components direct traffic to the managed instance.

L'istanza gestita di Database SQL viene inserito all'interno di rete virtuale di Azure e la subnet dedicata nelle istanze gestite.The SQL Database managed instance is placed inside the Azure virtual network and the subnet that's dedicated to managed instances. Questa distribuzione include:This deployment provides:

  • Un indirizzo IP privato protetto.A secure private IP address.
  • La possibilità di connettere una rete locale a un'istanza gestita.The ability to connect an on-premises network to a managed instance.
  • La possibilità di connettersi a un'istanza gestita a un server collegato o un altro archivio dati in-premise.The ability to connect a managed instance to a linked server or another on-premises data store.
  • La possibilità di connettersi a un'istanza gestita per le risorse di Azure.The ability to connect a managed instance to Azure resources.

Panoramica delle comunicazioniCommunication overview

Il diagramma seguente mostra le entità che si connettono a un'istanza gestita.The following diagram shows entities that connect to a managed instance. Indica anche le risorse necessarie per comunicare con l'istanza gestita.It also shows the resources that need to communicate with the managed instance. Il processo di comunicazione nella parte inferiore del diagramma rappresenta le applicazioni dei clienti e gli strumenti che si connettono all'istanza gestita come origini dati.The communication process at the bottom of the diagram represents customer applications and tools that connect to the managed instance as data sources.

Entità nell'architettura della connettività

Un'istanza gestita è una piattaforma come un'offerta di servizio (PaaS).A managed instance is a platform as a service (PaaS) offering. Microsoft Usa automatizzati agents (gestione, distribuzione e manutenzione) per gestire questo servizio basato su flussi di dati di telemetria.Microsoft uses automated agents (management, deployment, and maintenance) to manage this service based on telemetry data streams. Poiché Microsoft è responsabile della gestione, i clienti non possono accedere le macchine virtuali del cluster di istanza gestita tramite Remote Desktop Protocol (RDP).Because Microsoft is responsible for management, customers can't access the managed instance virtual cluster machines through Remote Desktop Protocol (RDP).

Alcune operazioni avviate da applicazioni o gli utenti finali potrebbero richiedere di SQL Server gestito le istanze per interagire con la piattaforma.Some SQL Server operations started by end users or applications might require managed instances to interact with the platform. Un caso è la creazione di un database in istanza gestita.One case is the creation of a managed instance database. Questa risorsa viene esposta tramite il portale di Azure, PowerShell, CLI di Azure e l'API REST.This resource is exposed through the Azure portal, PowerShell, Azure CLI, and the REST API.

Le istanze gestite dipendono da servizi di Azure come archiviazione di Azure per i backup, hub eventi di Azure per i dati di telemetria, Azure Active Directory per l'autenticazione, Azure Key Vault per Transparent Data Encryption (TDE) e un paio di servizi della piattaforma Azure che forniscono funzionalità di sicurezza e al supporto.Managed instances depend on Azure services such as Azure Storage for backups, Azure Event Hubs for telemetry, Azure Active Directory for authentication, Azure Key Vault for Transparent Data Encryption (TDE) and a couple of Azure platform services that provide security and supportability features. Le istanze gestite stabilisce le connessioni a tali servizi.The managed instances makes connections to these services.

Tutte le comunicazioni vengono crittografate e firmati mediante certificati.All communications are encrypted and signed using certificates. Per verificare l'attendibilità delle parti, gestite in comunicazione istanze verificare costantemente questi certificati tramite gli elenchi di revoche di certificati.To check the trustworthiness of communicating parties, managed instances constantly verify these certificates through certificate revocation lists. Se i certificati vengono revocati, l'istanza gestita chiude le connessioni per proteggere i dati.If the certificates are revoked, the managed instance closes the connections to protect the data.

Architettura generale della connettivitàHigh-level connectivity architecture

A livello generale, un'istanza gestita è un set di componenti del servizio.At a high level, a managed instance is a set of service components. Questi componenti sono ospitati in un set dedicato di macchine virtuali isolate eseguite all'interno di subnet della rete virtuale del cliente.These components are hosted on a dedicated set of isolated virtual machines that run inside the customer's virtual network subnet. Queste macchine formano un cluster virtuale.These machines form a virtual cluster.

Un cluster virtuale può ospitare più istanze gestite.A virtual cluster can host multiple managed instances. Se necessario, il cluster viene automaticamente espande o comprime quando il cliente modifica il numero di istanze sottoposte a provisioning nella subnet.If needed, the cluster automatically expands or contracts when the customer changes the number of provisioned instances in the subnet.

Le applicazioni dei clienti possono connettersi a istanze gestite e possono eseguire una query e aggiornare i database all'interno della rete virtuale, rete virtuale con peering, o una rete connessa tramite VPN o ExpressRoute di Azure.Customer applications can connect to managed instances and can query and update databases inside the virtual network, peered virtual network, or network connected by VPN or Azure ExpressRoute. Questa rete deve utilizzare un endpoint e un indirizzo IP privato.This network must use an endpoint and a private IP address.

Diagramma dell'architettura della connettività

Servizi di distribuzione e gestione di Microsoft vengono eseguiti all'esterno della rete virtuale.Microsoft management and deployment services run outside the virtual network. Un'istanza gestita e servizi Microsoft di connettersi tramite gli endpoint che dispongono di indirizzi IP pubblici.A managed instance and Microsoft services connect over the endpoints that have public IP addresses. Quando un'istanza gestita consente di creare una connessione in uscita, estremità ricevente rende Network Address Translation (NAT) l'aspetto di connessione proviene da questo indirizzo IP pubblico.When a managed instance creates an outbound connection, on receiving end Network Address Translation (NAT) makes the connection look like it’s coming from this public IP address.

Gestione traffico scorre attraverso la rete virtuale del cliente.Management traffic flows through the customer's virtual network. Ciò significa che gli elementi dell'infrastruttura della rete virtuale possono danneggiare il traffico di gestione, rendendo l'istanza di esito negativo e non saranno più disponibili.That means that elements of the virtual network's infrastructure can harm management traffic by making the instance fail and become unavailable.

Importante

Per migliorare l'esperienza dei clienti e disponibilità dei servizi, Microsoft applicherà i criteri preventivo rete sugli elementi dell'infrastruttura di rete virtuale di Azure.To improve customer experience and service availability, Microsoft applies a network intent policy on Azure virtual network infrastructure elements. I criteri possono influire sul funzionamento di istanza gestita.The policy can affect how the managed instance works. Questo meccanismo platform comunica in modo trasparente i requisiti di rete per gli utenti.This platform mechanism transparently communicates networking requirements to users. L'obiettivo principale del criterio è per evitare errori di configurazione di rete e per assicurare il funzionamento normale istanza gestita.The policy's main goal is to prevent network misconfiguration and to ensure normal managed instance operations. Quando si elimina un'istanza gestita, viene rimosso anche il criterio preventivi di rete.When you delete a managed instance, the network intent policy is also removed.

Architettura della connettività del cluster virtualeVirtual cluster connectivity architecture

Diamo un esame approfondito nell'architettura di connettività per le istanze gestite.Let’s take a deeper dive into connectivity architecture for managed instances. Il diagramma seguente illustra il layout concettuale del cluster virtuale.The following diagram shows the conceptual layout of the virtual cluster.

Architettura della connettività del cluster virtuale

I client si connettono a un'istanza gestita usando un nome host che ha il formato <mi_name>.<dns_zone>.database.windows.net.Clients connect to a managed instance by using a host name that has the form <mi_name>.<dns_zone>.database.windows.net. Questo nome host si risolve un indirizzo IP privato anche se è registrato in una zona di dominio pubblico Name System (DNS) ed è risolvibile pubblicamente.This host name resolves to a private IP address although it's registered in a public Domain Name System (DNS) zone and is publicly resolvable. Il zone-id viene generato automaticamente quando si crea il cluster.The zone-id is automatically generated when you create the cluster. Se un cluster appena creato ospita un'istanza gestita secondaria, condivide il relativo ID della zona con il cluster primario.If a newly created cluster hosts a secondary managed instance, it shares its zone ID with the primary cluster. Per altre informazioni, vedere usare i gruppi di failover automatico per consentire il failover trasparente e coordinato di più database.For more information, see Use auto failover groups to enable transparent and coordinated failover of multiple databases.

Questo indirizzo IP privato a cui appartiene al servizio di bilanciamento del carico interno dell'istanza gestita.This private IP address belongs to the managed instance's internal load balancer. Il servizio di bilanciamento del carico indirizza il traffico al gateway dell'istanza gestita.The load balancer directs traffic to the managed instance's gateway. Poiché più istanze gestite possono essere eseguiti all'interno dello stesso cluster, nome host dell'istanza gestita il gateway Usa per reindirizzare il traffico al servizio del motore SQL corretto.Because multiple managed instances can run inside the same cluster, the gateway uses the managed instance's host name to redirect traffic to the correct SQL engine service.

Servizi di distribuzione e gestione di connettersi a un'istanza gestita usando un endpoint di gestione che esegue il mapping a un riferimento esterno bilanciamento del carico.Management and deployment services connect to a managed instance by using a management endpoint that maps to an external load balancer. Il traffico viene indirizzato ai nodi solo se viene ricevuto su un set predefinito di porte che utilizzano solo i componenti di gestione dell'istanza gestita.Traffic is routed to the nodes only if it's received on a predefined set of ports that only the managed instance's management components use. Un firewall incorporato nei nodi è configurare per consentire il traffico solo da intervalli di indirizzi IP di Microsoft.A built-in firewall on the nodes is set up to allow traffic only from Microsoft IP ranges. I certificati si escludono a vicenda autenticano tutte le comunicazioni tra i componenti di gestione e il piano di gestione.Certificates mutually authenticate all communication between management components and the management plane.

Endpoint di gestioneManagement endpoint

Microsoft gestisce l'istanza gestita usando un endpoint di gestione.Microsoft manages the managed instance by using a management endpoint. Questo endpoint si trova all'interno del cluster virtuale dell'istanza.This endpoint is inside the instance's virtual cluster. L'endpoint di gestione è protetto da un firewall a livello di rete predefinito.The management endpoint is protected by a built-in firewall on the network level. A livello di applicazione, è protetto dalla verifica reciproca dei certificati.On the application level, it's protected by mutual certificate verification. Per trovare l'indirizzo IP dell'endpoint, vedere determinare l'indirizzo IP dell'endpoint di gestione.To find the endpoint's IP address, see Determine the management endpoint's IP address.

Quando avviare le connessioni all'interno dell'istanza gestita (come con i backup e i log di controllo), il traffico viene visualizzata per l'avvio dall'indirizzo IP pubblico dell'endpoint di gestione.When connections start inside the managed instance (as with backups and audit logs), traffic appears to start from the management endpoint's public IP address. È possibile limitare l'accesso a servizi pubblici da un'istanza gestita impostando le regole del firewall per consentire solo indirizzo IP dell'istanza gestita.You can limit access to public services from a managed instance by setting firewall rules to allow only the managed instance's IP address. Per altre informazioni, vedere firewall incorporato dell'istanza gestita di verificare.For more information, see Verify the managed instance's built-in firewall.

Nota

Il traffico che passa a servizi di Azure che si trovano all'interno di aree dell'istanza gestita è ottimizzato e per questo motivo non fornisca a gestito indirizzo IP pubblico dell'istanza Gestione endpoint.Traffic that goes to Azure services that are inside the managed instance's region is optimized and for that reason not NATed to managed instance management endpoint public IP address. Per questo motivo se è necessario usare le regole del firewall basato su IP, più comunemente per l'archiviazione del servizio deve essere in un'area diversa dall'istanza gestita.For that reason if you need to use IP based firewall rules, most commonly for storage, service needs to be in a different region from managed instance.

Requisiti di reteNetwork requirements

Distribuire un'istanza gestita in una subnet dedicata all'interno della rete virtuale.Deploy a managed instance in a dedicated subnet inside the virtual network. La subnet deve avere le seguenti caratteristiche:The subnet must have these characteristics:

  • Subnet dedicata: Subnet dell'istanza gestita non può contenere qualsiasi altro servizio cloud che è associato, e non può essere una subnet del gateway.Dedicated subnet: The managed instance's subnet can't contain any other cloud service that's associated with it, and it can't be a gateway subnet. La subnet non può contenere qualsiasi risorsa, ma l'istanza gestita e versioni successive non è possibile aggiungere altri tipi di risorse nella subnet.The subnet can't contain any resource but the managed instance, and you can't later add other types of resources in the subnet.
  • Gruppo di sicurezza di rete: È necessario definire un gruppo di sicurezza che è associati con la rete virtuale regole di sicurezza in ingresso e regole di sicurezza in uscita prima di qualsiasi altra regola.Network security group (NSG): An NSG that's associated with the virtual network must define inbound security rules and outbound security rules before any other rules. È possibile usare un NSG per controllare l'accesso all'endpoint di dati dell'istanza gestita filtrando il traffico sulla porta 1433 e le porte 11000-11999 quando l'istanza gestita è configurata per reindirizzare le connessioni.You can use an NSG to control access to the managed instance's data endpoint by filtering traffic on port 1433 and ports 11000-11999 when managed instance is configured for redirect connections.
  • Tabella di route definita (UDR) utente: Una tabella di route definita dall'utente che ha associato con la rete virtuale deve includere specifiche voci.User defined route (UDR) table: A UDR table that's associated with the virtual network must include specific entries.
  • Nessun endpoint di servizio: Nessun endpoint di servizio deve essere associato a subnet dell'istanza gestita.No service endpoints: No service endpoint should be associated with the managed instance's subnet. Assicurarsi che l'opzione endpoint di servizio viene disabilitato quando si crea la rete virtuale.Make sure that the service endpoints option is disabled when you create the virtual network.
  • Indirizzi IP sufficienti: Subnet dell'istanza gestita deve avere almeno 16 indirizzi IP.Sufficient IP addresses: The managed instance subnet must have at least 16 IP addresses. Il valore minimo consigliato è 32 indirizzi IP.The recommended minimum is 32 IP addresses. Per altre informazioni, vedere determinare le dimensioni della subnet per le istanze gestite.For more information, see Determine the size of the subnet for managed instances. È possibile distribuire le istanze gestite nel della rete esistente dopo la configurazione per soddisfare requisiti di rete per le istanze gestite.You can deploy managed instances in the existing network after you configure it to satisfy the networking requirements for managed instances. In caso contrario, creare un nuova rete e subnet.Otherwise, create a new network and subnet.

Importante

Se la subnet di destinazione non dispone di queste caratteristiche, è possibile distribuire una nuova istanza gestita.You can't deploy a new managed instance if the destination subnet lacks these characteristics. Quando si crea un'istanza gestita, viene applicato un criterio di finalità di rete nella subnet per impedire modifiche non conformi alla configurazione di rete.When you create a managed instance, a network intent policy is applied on the subnet to prevent noncompliant changes to networking setup. Dopo l'ultima istanza viene rimossa dalla subnet, viene rimosso anche il criterio preventivi di rete.After the last instance is removed from the subnet, the network intent policy is also removed.

Regole di sicurezza in ingresso obbligatorieMandatory inbound security rules

NOMEName PortPort ProtocolProtocol SourceSource DestinationDestination AzioneAction
managementmanagement 9000, 9003, 1438, 1440, 14529000, 9003, 1438, 1440, 1452 TCPTCP QualsiasiAny MI SUBNETMI SUBNET CONSENTIAllow
mi_subnetmi_subnet QualsiasiAny QualsiasiAny MI SUBNETMI SUBNET MI SUBNETMI SUBNET CONSENTIAllow
health_probehealth_probe QualsiasiAny QualsiasiAny AzureLoadBalancerAzureLoadBalancer MI SUBNETMI SUBNET CONSENTIAllow

Regole di sicurezza in uscita obbligatorieMandatory outbound security rules

NOMEName PortPort ProtocolProtocol SourceSource DestinationDestination AzioneAction
managementmanagement 80, 443, 1200080, 443, 12000 TCPTCP MI SUBNETMI SUBNET AzureCloudAzureCloud CONSENTIAllow
mi_subnetmi_subnet QualsiasiAny QualsiasiAny MI SUBNETMI SUBNET MI SUBNETMI SUBNET CONSENTIAllow

Importante

Assicurarsi che ci sia solo una regola in ingresso per le porte 9000, 9003, 1438, 1440, 1452 e una regola in uscita per le porte 80, 443, 12000.Ensure there is only one inbound rule for ports 9000, 9003, 1438, 1440, 1452 and one outbound rule for ports 80, 443, 12000. Gestito tramite Azure Resource Manager, le distribuzioni avrà esito negativo se le regole in ingresso e in uscita vengono configurate separatamente per ogni porta di provisioning dell'istanza.Managed Instance provisioning through Azure Resource Manager deployments will fail if inbound and outbound rules are configured separately for each port. Se queste porte sono regole distinte, la distribuzione avrà esito negativo con codice di errore VnetSubnetConflictWithIntendedPolicyIf these ports are in separate rules, the deployment will fail with error code VnetSubnetConflictWithIntendedPolicy

* SUBNET MI fa riferimento all'intervallo di indirizzi IP per la subnet in 10.x.x.x/y il form.* MI SUBNET refers to the IP address range for the subnet in the form 10.x.x.x/y. È possibile trovare queste informazioni nel portale di Azure, nelle proprietà di subnet.You can find this information in the Azure portal, in subnet properties.

Importante

Anche se le regole di sicurezza in ingresso necessario consentano il traffico dagli qualsiasi sulle porte di origine 9000, 9003, 1438, 1440 e 1452, queste porte sono protette da un firewall incorporato.Although required inbound security rules allow traffic from any source on ports 9000, 9003, 1438, 1440, and 1452, these ports are protected by a built-in firewall. Per altre informazioni, vedere determinare l'indirizzo dell'endpoint di gestione.For more information, see Determine the management endpoint address.

Nota

Se si usa la replica transazionale in un'istanza gestita e se si usa qualsiasi database di istanza come server di pubblicazione o un server di distribuzione, aprire la porta 445 (TCP in uscita) nelle regole di sicurezza della subnet.If you use transactional replication in a managed instance, and if you use any instance database as a publisher or a distributor, open port 445 (TCP outbound) in the subnet's security rules. Questa porta verrà concesso l'accesso alla condivisione file di Azure.This port will allow access to the Azure file share.

route definite dall'utenteUser defined routes

NameName Prefisso indirizzoAddress prefix Hop successivoNext Hop
subnet_to_vnetlocalsubnet_to_vnetlocal MI SUBNETMI SUBNET Rete virtualeVirtual network
mi-13-64-11-nexthop-internetmi-13-64-11-nexthop-internet 13.64.0.0/1113.64.0.0/11 InternetInternet
mi-13-96-13-nexthop-internetmi-13-96-13-nexthop-internet 13.96.0.0/1313.96.0.0/13 InternetInternet
mi-13-104-14-nexthop-internetmi-13-104-14-nexthop-internet 13.104.0.0/1413.104.0.0/14 InternetInternet
mi-20-8-nexthop-internetmi-20-8-nexthop-internet 20.0.0.0/820.0.0.0/8 InternetInternet
mi-23-96-13-nexthop-internetmi-23-96-13-nexthop-internet 23.96.0.0/1323.96.0.0/13 InternetInternet
mi-40-64-10-nexthop-internetmi-40-64-10-nexthop-internet 40.64.0.0/1040.64.0.0/10 InternetInternet
mi-42-159-16-nexthop-internetmi-42-159-16-nexthop-internet 42.159.0.0/1642.159.0.0/16 InternetInternet
mi-51-8-nexthop-internetmi-51-8-nexthop-internet 51.0.0.0/851.0.0.0/8 InternetInternet
mi-52-8-nexthop-internetmi-52-8-nexthop-internet 52.0.0.0/852.0.0.0/8 InternetInternet
mi-64-4-18-nexthop-internetmi-64-4-18-nexthop-internet 64.4.0.0/1864.4.0.0/18 InternetInternet
mi-65-52-14-nexthop-internetmi-65-52-14-nexthop-internet 65.52.0.0/1465.52.0.0/14 InternetInternet
mi-66-119-144-20-nexthop-internetmi-66-119-144-20-nexthop-internet 66.119.144.0/2066.119.144.0/20 InternetInternet
mi-70-37-17-nexthop-internetmi-70-37-17-nexthop-internet 70.37.0.0/1770.37.0.0/17 InternetInternet
mi-70-37-128-18-nexthop-internetmi-70-37-128-18-nexthop-internet 70.37.128.0/1870.37.128.0/18 InternetInternet
mi-91-190-216-21-nexthop-internetmi-91-190-216-21-nexthop-internet 91.190.216.0/2191.190.216.0/21 InternetInternet
mi-94-245-64-18-nexthop-internetmi-94-245-64-18-nexthop-internet 94.245.64.0/1894.245.64.0/18 InternetInternet
mi-103-9-8-22-nexthop-internetmi-103-9-8-22-nexthop-internet 103.9.8.0/22103.9.8.0/22 InternetInternet
mi-103-25-156-22-nexthop-internetmi-103-25-156-22-nexthop-internet 103.25.156.0/22103.25.156.0/22 InternetInternet
mi-103-36-96-22-nexthop-internetmi-103-36-96-22-nexthop-internet 103.36.96.0/22103.36.96.0/22 InternetInternet
mi-103-255-140-22-nexthop-internetmi-103-255-140-22-nexthop-internet 103.255.140.0/22103.255.140.0/22 InternetInternet
mi-104-40-13-nexthop-internetmi-104-40-13-nexthop-internet 104.40.0.0/13104.40.0.0/13 InternetInternet
mi-104-146-15-nexthop-internetmi-104-146-15-nexthop-internet 104.146.0.0/15104.146.0.0/15 InternetInternet
mi-104-208-13-nexthop-internetmi-104-208-13-nexthop-internet 104.208.0.0/13104.208.0.0/13 InternetInternet
mi-111-221-16-20-nexthop-internetmi-111-221-16-20-nexthop-internet 111.221.16.0/20111.221.16.0/20 InternetInternet
mi-111-221-64-18-nexthop-internetmi-111-221-64-18-nexthop-internet 111.221.64.0/18111.221.64.0/18 InternetInternet
mi-129-75-16-nexthop-internetmi-129-75-16-nexthop-internet 129.75.0.0/16129.75.0.0/16 InternetInternet
mi-131-253-16-nexthop-internetmi-131-253-16-nexthop-internet 131.253.0.0/16131.253.0.0/16 InternetInternet
mi-132-245-16-nexthop-internetmi-132-245-16-nexthop-internet 132.245.0.0/16132.245.0.0/16 InternetInternet
mi-134-170-16-nexthop-internetmi-134-170-16-nexthop-internet 134.170.0.0/16134.170.0.0/16 InternetInternet
mi-134-177-16-nexthop-internetmi-134-177-16-nexthop-internet 134.177.0.0/16134.177.0.0/16 InternetInternet
mi-137-116-15-nexthop-internetmi-137-116-15-nexthop-internet 137.116.0.0/15137.116.0.0/15 InternetInternet
mi-137-135-16-nexthop-internetmi-137-135-16-nexthop-internet 137.135.0.0/16137.135.0.0/16 InternetInternet
mi-138-91-16-nexthop-internetmi-138-91-16-nexthop-internet 138.91.0.0/16138.91.0.0/16 InternetInternet
mi-138-196-16-nexthop-internetmi-138-196-16-nexthop-internet 138.196.0.0/16138.196.0.0/16 InternetInternet
mi-139-217-16-nexthop-internetmi-139-217-16-nexthop-internet 139.217.0.0/16139.217.0.0/16 InternetInternet
mi-139-219-16-nexthop-internetmi-139-219-16-nexthop-internet 139.219.0.0/16139.219.0.0/16 InternetInternet
mi-141-251-16-nexthop-internetmi-141-251-16-nexthop-internet 141.251.0.0/16141.251.0.0/16 InternetInternet
mi-146-147-16-nexthop-internetmi-146-147-16-nexthop-internet 146.147.0.0/16146.147.0.0/16 InternetInternet
mi-147-243-16-nexthop-internetmi-147-243-16-nexthop-internet 147.243.0.0/16147.243.0.0/16 InternetInternet
mi-150-171-16-nexthop-internetmi-150-171-16-nexthop-internet 150.171.0.0/16150.171.0.0/16 InternetInternet
mi-150-242-48-22-nexthop-internetmi-150-242-48-22-nexthop-internet 150.242.48.0/22150.242.48.0/22 InternetInternet
mi-157-54-15-nexthop-internetmi-157-54-15-nexthop-internet 157.54.0.0/15157.54.0.0/15 InternetInternet
mi-157-56-14-nexthop-internetmi-157-56-14-nexthop-internet 157.56.0.0/14157.56.0.0/14 InternetInternet
mi-157-60-16-nexthop-internetmi-157-60-16-nexthop-internet 157.60.0.0/16157.60.0.0/16 InternetInternet
mi-167-220-16-nexthop-internetmi-167-220-16-nexthop-internet 167.220.0.0/16167.220.0.0/16 InternetInternet
mi-168-61-16-nexthop-internetmi-168-61-16-nexthop-internet 168.61.0.0/16168.61.0.0/16 InternetInternet
mi-168-62-15-nexthop-internetmi-168-62-15-nexthop-internet 168.62.0.0/15168.62.0.0/15 InternetInternet
mi-191-232-13-nexthop-internetmi-191-232-13-nexthop-internet 191.232.0.0/13191.232.0.0/13 InternetInternet
mi-192-32-16-nexthop-internetmi-192-32-16-nexthop-internet 192.32.0.0/16192.32.0.0/16 InternetInternet
mi-192-48-225-24-nexthop-internetmi-192-48-225-24-nexthop-internet 192.48.225.0/24192.48.225.0/24 InternetInternet
mi-192-84-159-24-nexthop-internetmi-192-84-159-24-nexthop-internet 192.84.159.0/24192.84.159.0/24 InternetInternet
mi-192-84-160-23-nexthop-internetmi-192-84-160-23-nexthop-internet 192.84.160.0/23192.84.160.0/23 InternetInternet
mi-192-100-102-24-nexthop-internetmi-192-100-102-24-nexthop-internet 192.100.102.0/24192.100.102.0/24 InternetInternet
mi-192-100-103-24-nexthop-internetmi-192-100-103-24-nexthop-internet 192.100.103.0/24192.100.103.0/24 InternetInternet
mi-192-197-157-24-nexthop-internetmi-192-197-157-24-nexthop-internet 192.197.157.0/24192.197.157.0/24 InternetInternet
mi-193-149-64-19-nexthop-internetmi-193-149-64-19-nexthop-internet 193.149.64.0/19193.149.64.0/19 InternetInternet
mi-193-221-113-24-nexthop-internetmi-193-221-113-24-nexthop-internet 193.221.113.0/24193.221.113.0/24 InternetInternet
mi-194-69-96-19-nexthop-internetmi-194-69-96-19-nexthop-internet 194.69.96.0/19194.69.96.0/19 InternetInternet
mi-194-110-197-24-nexthop-internetmi-194-110-197-24-nexthop-internet 194.110.197.0/24194.110.197.0/24 InternetInternet
mi-198-105-232-22-nexthop-internetmi-198-105-232-22-nexthop-internet 198.105.232.0/22198.105.232.0/22 InternetInternet
mi-198-200-130-24-nexthop-internetmi-198-200-130-24-nexthop-internet 198.200.130.0/24198.200.130.0/24 InternetInternet
mi-198-206-164-24-nexthop-internetmi-198-206-164-24-nexthop-internet 198.206.164.0/24198.206.164.0/24 InternetInternet
mi-199-60-28-24-nexthop-internetmi-199-60-28-24-nexthop-internet 199.60.28.0/24199.60.28.0/24 InternetInternet
mi-199-74-210-24-nexthop-internetmi-199-74-210-24-nexthop-internet 199.74.210.0/24199.74.210.0/24 InternetInternet
mi-199-103-90-23-nexthop-internetmi-199-103-90-23-nexthop-internet 199.103.90.0/23199.103.90.0/23 InternetInternet
mi-199-103-122-24-nexthop-internetmi-199-103-122-24-nexthop-internet 199.103.122.0/24199.103.122.0/24 InternetInternet
mi-199-242-32-20-nexthop-internetmi-199-242-32-20-nexthop-internet 199.242.32.0/20199.242.32.0/20 InternetInternet
mi-199-242-48-21-nexthop-internetmi-199-242-48-21-nexthop-internet 199.242.48.0/21199.242.48.0/21 InternetInternet
mi-202-89-224-20-nexthop-internetmi-202-89-224-20-nexthop-internet 202.89.224.0/20202.89.224.0/20 InternetInternet
mi-204-13-120-21-nexthop-internetmi-204-13-120-21-nexthop-internet 204.13.120.0/21204.13.120.0/21 InternetInternet
mi-204-14-180-22-nexthop-internetmi-204-14-180-22-nexthop-internet 204.14.180.0/22204.14.180.0/22 InternetInternet
mi-204-79-135-24-nexthop-internetmi-204-79-135-24-nexthop-internet 204.79.135.0/24204.79.135.0/24 InternetInternet
mi-204-79-179-24-nexthop-internetmi-204-79-179-24-nexthop-internet 204.79.179.0/24204.79.179.0/24 InternetInternet
mi-204-79-181-24-nexthop-internetmi-204-79-181-24-nexthop-internet 204.79.181.0/24204.79.181.0/24 InternetInternet
mi-204-79-188-24-nexthop-internetmi-204-79-188-24-nexthop-internet 204.79.188.0/24204.79.188.0/24 InternetInternet
mi-204-79-195-24-nexthop-internetmi-204-79-195-24-nexthop-internet 204.79.195.0/24204.79.195.0/24 InternetInternet
mi-204-79-196-23-nexthop-internetmi-204-79-196-23-nexthop-internet 204.79.196.0/23204.79.196.0/23 InternetInternet
mi-204-79-252-24-nexthop-internetmi-204-79-252-24-nexthop-internet 204.79.252.0/24204.79.252.0/24 InternetInternet
mi-204-152-18-23-nexthop-internetmi-204-152-18-23-nexthop-internet 204.152.18.0/23204.152.18.0/23 InternetInternet
mi-204-152-140-23-nexthop-internetmi-204-152-140-23-nexthop-internet 204.152.140.0/23204.152.140.0/23 InternetInternet
mi-204-231-192-24-nexthop-internetmi-204-231-192-24-nexthop-internet 204.231.192.0/24204.231.192.0/24 InternetInternet
mi-204-231-194-23-nexthop-internetmi-204-231-194-23-nexthop-internet 204.231.194.0/23204.231.194.0/23 InternetInternet
mi-204-231-197-24-nexthop-internetmi-204-231-197-24-nexthop-internet 204.231.197.0/24204.231.197.0/24 InternetInternet
mi-204-231-198-23-nexthop-internetmi-204-231-198-23-nexthop-internet 204.231.198.0/23204.231.198.0/23 InternetInternet
mi-204-231-200-21-nexthop-internetmi-204-231-200-21-nexthop-internet 204.231.200.0/21204.231.200.0/21 InternetInternet
mi-204-231-208-20-nexthop-internetmi-204-231-208-20-nexthop-internet 204.231.208.0/20204.231.208.0/20 InternetInternet
mi-204-231-236-24-nexthop-internetmi-204-231-236-24-nexthop-internet 204.231.236.0/24204.231.236.0/24 InternetInternet
mi-205-174-224-20-nexthop-internetmi-205-174-224-20-nexthop-internet 205.174.224.0/20205.174.224.0/20 InternetInternet
mi-206-138-168-21-nexthop-internetmi-206-138-168-21-nexthop-internet 206.138.168.0/21206.138.168.0/21 InternetInternet
mi-206-191-224-19-nexthop-internetmi-206-191-224-19-nexthop-internet 206.191.224.0/19206.191.224.0/19 InternetInternet
mi-207-46-16-nexthop-internetmi-207-46-16-nexthop-internet 207.46.0.0/16207.46.0.0/16 InternetInternet
mi-207-68-128-18-nexthop-internetmi-207-68-128-18-nexthop-internet 207.68.128.0/18207.68.128.0/18 InternetInternet
mi-208-68-136-21-nexthop-internetmi-208-68-136-21-nexthop-internet 208.68.136.0/21208.68.136.0/21 InternetInternet
mi-208-76-44-22-nexthop-internetmi-208-76-44-22-nexthop-internet 208.76.44.0/22208.76.44.0/22 InternetInternet
mi-208-84-21-nexthop-internetmi-208-84-21-nexthop-internet 208.84.0.0/21208.84.0.0/21 InternetInternet
mi-209-240-192-19-nexthop-internetmi-209-240-192-19-nexthop-internet 209.240.192.0/19209.240.192.0/19 InternetInternet
mi-213-199-128-18-nexthop-internetmi-213-199-128-18-nexthop-internet 213.199.128.0/18213.199.128.0/18 InternetInternet
mi-216-32-180-22-nexthop-internetmi-216-32-180-22-nexthop-internet 216.32.180.0/22216.32.180.0/22 InternetInternet
mi-216-220-208-20-nexthop-internetmi-216-220-208-20-nexthop-internet 216.220.208.0/20216.220.208.0/20 InternetInternet

Inoltre, è possibile aggiungere voci alla tabella di route per instradare il traffico con gli intervalli IP privati in locale come destinazione tramite il gateway di rete virtuale o appliance di rete virtuale (NVA).In addition, you can add entries to the route table to route traffic that has on-premises private IP ranges as a destination through the virtual network gateway or virtual network appliance (NVA).

Se la rete virtuale include un DNS personalizzato, il server DNS personalizzato deve essere in grado di risolvere i nomi host in *. core.windows.net zona.If the virtual network includes a custom DNS, the custom DNS server must be able to resolve host names in *.core.windows.net zone. Usando le funzionalità aggiuntive, ad esempio autenticazione di Azure AD potrebbe richiedere la risoluzione di altri nomi di dominio completi.Using additional features like Azure AD Authentication might require resolving additional FQDNs. Per altre informazioni, vedere configurare un DNS personalizzato.For more information, see Set up a custom DNS.

Passaggi successiviNext steps