Pianificare le reti virtualiPlan virtual networks

Creare una rete virtuale a scopi sperimentali è abbastanza semplice, ma è probabile che si distribuiscano più reti virtuali nel corso del tempo per supportare le esigenze di produzione dell'organizzazione.Creating a virtual network to experiment with is easy enough, but chances are, you will deploy multiple virtual networks over time to support the production needs of your organization. Con una pianificazione è possibile distribuire reti virtuali e connettere le risorse necessarie in modo più efficace.With some planning, you will be able to deploy virtual networks and connect the resources you need more effectively. Le informazioni contenute in questo articolo sono particolarmente utili se si ha già familiarità con le reti virtuali e si ha esperienza con il loro utilizzo.The information in this article is most helpful if you're already familiar with virtual networks and have some experience working with them. Se non si ha familiarità con le reti virtuali, è consigliabile leggere Panoramica sulle reti virtuali.If you are not familiar with virtual networks, it's recommended that you read Virtual network overview.

DenominazioneNaming

Tutte le risorse di Azure hanno un nome.All Azure resources have a name. Il nome deve essere univoco all'interno di un ambito, che può variare per ogni tipo di risorsa.The name must be unique within a scope, that may vary for each resource type. Ad esempio, il nome di una rete virtuale deve essere univoco all'interno di un gruppo di risorse, ma può essere duplicato all'interno di una sottoscrizione o area di Azure.For example, the name of a virtual network must be unique within a resource group, but can be duplicated within a subscription or Azure region. Definire una convenzione di denominazione che è possibile usare in modo coerente quando si denominano le risorse risulta utile quando si gestiscono diverse risorse di rete nel corso del tempo.Defining a naming convention that you can use consistently when naming resources is helpful when managing several network resources over time. Per alcuni suggerimenti, vedere Naming conventions (Convenzioni di denominazione).For suggestions, see Naming conventions.

RegioniRegions

Tutte le risorse di Azure vengono create in un'area e in una sottoscrizione di Azure.All Azure resources are created in an Azure region and subscription. Una risorsa può essere creata solo in una rete virtuale presente nella stessa area e nella stessa sottoscrizione della risorsa.A resource can only be created in a virtual network that exists in the same region and subscription as the resource. È tuttavia possibile connettere reti virtuali esistenti in diverse sottoscrizioni e aree.You can however, connect virtual networks that exist in different subscriptions and regions. Per altre informazioni, vedere Problemi di connettività.For more information, see connectivity. Quando si decidono le aree in cui distribuire le risorse, prendere in considerazione dove si trovano fisicamente i consumer delle risorse:When deciding which region(s) to deploy resources in, consider where consumers of the resources are physically located:

  • I consumer delle risorse in genere richiedono la latenza di rete più bassa per le loro risorse.Consumers of resources typically want the lowest network latency to their resources. Per determinare le latenze relative tra una posizione specificata e le aree di Azure, vedere Visualizzare le latenze relative.To determine relative latencies between a specified location and Azure regions, see View relative latencies.
  • Verificare se si dispone di requisiti di residenza, sovranità, conformità o la resilienza dei dati.Do you have data residency, sovereignty, compliance, or resiliency requirements? In tal caso, è fondamentale scegliere l'area che consenta di allineare i requisiti.If so, choosing the region that aligns to the requirements is critical. Per altre informazioni, vedere Aree geografiche di Azure.For more information, see Azure geographies.
  • Verificare se è necessaria la resilienza tra le aree di disponibilità di Azure nella stessa regione di Azure per le risorse che distribuire.Do you require resiliency across Azure Availability Zones within the same Azure region for the resources you deploy? È possibile distribuire le risorse, ad esempio le macchine virtuali (VM) in zone di disponibilità diversa nella stessa rete virtuale.You can deploy resources, such as virtual machines (VM) to different availability zones within the same virtual network. Tuttavia, non tutte le aree di Azure supportano le zone di disponibilità.Not all Azure regions support availability zones however. Per altre informazioni sulle zone di disponibilità e sulle aree che le supportano, vedere Zone disponibilità.To learn more about availability zones and the regions that support them, see Availability zones.

SottoscrizioniSubscriptions

È possibile distribuire le reti virtuali in base alle esigenze all'interno di ogni sottoscrizione, fino ad arrivare al limite.You can deploy as many virtual networks as required within each subscription, up to the limit. Alcune organizzazioni hanno diverse sottoscrizioni per reparti diversi, ad esempio.Some organizations have different subscriptions for different departments, for example. Per altre informazioni e considerazioni riguardanti le sottoscrizioni, vedere Governance sottoscrizione.For more information and considerations around subscriptions, see Subscription governance.

SegmentazioneSegmentation

È possibile creare più reti virtuali per ogni sottoscrizione e per ogni area.You can create multiple virtual networks per subscription and per region. È possibile creare più subnet all'interno di ogni rete virtuale.You can create multiple subnets within each virtual network. Le considerazioni che seguono consentono di determinare il numero di reti virtuali e le subnet desiderate:The considerations that follow help you determine how many virtual networks and subnets you require:

Reti virtualiVirtual networks

Una rete virtuale è una parte virtuale, isolata della rete pubblica di Azure.A virtual network is a virtual, isolated portion of the Azure public network. Ogni rete virtuale è dedicata alla sottoscrizione.Each virtual network is dedicated to your subscription. Aspetti da considerare quando si decide di creare una rete virtuale, o più reti virtuali in una sottoscrizione:Things to consider when deciding whether to create one virtual network, or multiple virtual networks in a subscription:

  • Valutare l'esistenza di eventuali requisiti di sicurezza dell'organizzazione per isolare il traffico in reti virtuali separate?Do any organizational security requirements exist for isolating traffic into separate virtual networks? È possibile scegliere di connettere reti virtuali oppure no.You can choose to connect virtual networks or not. Se si connettono le reti virtuali, è possibile implementare un'appliance virtuale di rete, ad esempio un firewall, per controllare il flusso del traffico tra le reti virtuali.If you connect virtual networks, you can implement a network virtual appliance, such as a firewall, to control the flow of traffic between the virtual networks. Per altre informazioni, vedere sicurezza e connettività.For more information, see security and connectivity.
  • Verificare se tutti i requisiti aziendali sono presenti per isolare le reti virtuali in sottoscrizioni o aree separate.Do any organizational requirements exist for isolating virtual networks into separate subscriptions or regions?
  • Un'interfaccia di rete consente a una macchina virtuale di comunicare con altre risorse.A network interface enables a VM to communicate with other resources. Ogni interfaccia di rete ha uno o più indirizzi IP privati associati.Each network interface has one or more private IP addresses assigned to it. Verificare il numero di interfacce di rete e indirizzi IP privati necessari in una rete virtuale.How many network interfaces and private IP addresses do you require in a virtual network? Sono previsti dei limiti al numero di interfacce di rete e indirizzi IP privati che è possibile avere all'interno di una rete virtuale.There are limits to the number of network interfaces and private IP addresses that you can have within a virtual network.
  • La rete virtuale deve essere connessa a un'altra rete virtuale o alla rete locale?Do you want to connect the virtual network to another virtual network or on-premises network? È possibile scegliere di connettere alcune reti virtuali tra loro o alle reti locali, ma non ad altre.You may choose to connect some virtual networks to each other or on-premises networks, but not others. Per altre informazioni, vedere Problemi di connettività.For more information, see connectivity. Ogni rete virtuale che si connette a un'altra rete virtuale o a una rete locale, deve includere uno spazio di indirizzo univoco.Each virtual network that you connect to another virtual network, or on-premises network, must have a unique address space. Ogni rete virtuale ha uno o più intervalli di indirizzi pubblici o privati assegnati al proprio spazio degli indirizzi.Each virtual network has one or more public or private address ranges assigned to its address space. Viene specificato un intervallo di indirizzi in un formato routing di dominio classless internet (CIDR), ad esempio 10.0.0.0/16.An address range is specified in classless internet domain routing (CIDR) format, such as 10.0.0.0/16. Altre informazioni sugli intervalli di indirizzi per le reti virtuali.Learn more about address ranges for virtual networks.
  • Si dispone di tutti i requisiti aziendali di amministrazione per le risorse in reti virtuali diverse?Do you have any organizational administration requirements for resources in different virtual networks? Se è così, è possibile separare le risorse nella rete virtuale distinta per semplificare l'assegnazione dell'autorizzazione ad utenti singoli nell'organizzazione o a per assegnare diversi criteri a diverse virtuale reti.If so, you might separate resources into separate virtual network to simplify permission assignment to individuals in your organization or to assign different policies to different virtual networks.
  • Quando si distribuiscono alcune risorse del servizio di Azure in una rete virtuale, essere creano la propria rete virtuale.When you deploy some Azure service resources into a virtual network, they create their own virtual network. Per determinare se un servizio di Azure crea una propria rete virtuale, vedere le informazioni per ogni servizio di Azure che può essere distribuito in una rete virtuale.To determine whether an Azure service creates its own virtual network, see information for each Azure service that can be deployed into a virtual network.

SubnetSubnets

Una rete virtuale può essere segmentata in una o più subnet fino a raggiungere i limiti.A virtual network can be segmented into one or more subnets up to the limits. Aspetti da considerare quando si decide di creare una subnet, o più reti virtuali in una sottoscrizione:Things to consider when deciding whether to create one subnet, or multiple virtual networks in a subscription:

  • Ogni subnet deve disporre di un intervallo di indirizzi univoci, specificato nel formato CIDR all'interno dello spazio di indirizzi della rete virtuale.Each subnet must have a unique address range, specified in CIDR format, within the address space of the virtual network. L'intervallo di indirizzi non può sovrapporsi ad altre subnet all'interno della rete virtuale.The address range cannot overlap with other subnets in the virtual network.
  • Se si prevede di distribuire alcune risorse del servizio di Azure in una rete virtuale, potrebbero richiedere, o creare, le proprie subnet, in tal caso ci deve essere abbastanza spazio non allocato per consentire loro di farlo.If you plan to deploy some Azure service resources into a virtual network, they may require, or create, their own subnet, so there must be enough unallocated space for them to do so. Per determinare se un servizio di Azure crea una propria subnet, vedere le informazioni per ogni servizio di Azure che può essere distribuito in una rete virtuale.To determine whether an Azure service creates its own subnet, see information for each Azure service that can be deployed into a virtual network. Ad esempio, se si connette una rete virtuale a una rete locale tramite un Gateway VPN di Azure, la rete virtuale deve avere una subnet dedicata per il gateway.For example, if you connect a virtual network to an on-premises network using an Azure VPN Gateway, the virtual network must have a dedicated subnet for the gateway. Altre informazioni sulle subnet del gateway.Learn more about gateway subnets.
  • Per impostazione predefinita, Azure indirizza il traffico di rete tra tutte le subnet in una rete virtuale.Azure routes network traffic between all subnets in a virtual network, by default. È possibile eseguire l'override di routing per evitare il routing di Azure tra le subnet, oppure per instradare il traffico tra subnet attraverso un' appliance virtuale di rete, ad esempio.You can override Azure's default routing to prevent Azure routing between subnets, or to route traffic between subnets through a network virtual appliance, for example. Se è necessario che il traffico tra le risorse nella stessa rete virtuale fluisca attraverso un'appliance virtuale di rete (vulnerabilità), distribuire le risorse in subnet diverse.If you require that traffic between resources in the same virtual network flow through a network virtual appliance (NVA), deploy the resources to different subnets. Altre informazioni in sicurezza.Learn more in security.
  • È possibile limitare l'accesso alle risorse di Azure, come ad esempio un account di archiviazione di Azure o un database SQL di Azure, per le subnet specifiche con un endpoint di servizio di rete virtuale.You can limit access to Azure resources such as an Azure storage account or Azure SQL database, to specific subnets with a virtual network service endpoint. Inoltre, è possibile negare l'accesso alle risorse da internet.Further, you can deny access to the resources from the internet. È possibile creare più subnet e abilitare un endpoint del servizio per alcune subnet, ma non altro.You may create multiple subnets, and enable a service endpoint for some subnets, but not others. Altre informazioni sugli endpoint del servizio e sulle risorse di Azure per cui è possibile abilitarli.Learn more about service endpoints, and the Azure resources you can enable them for.
  • È possibile associare zero o un gruppo di sicurezza di rete ad ogni subnet in una rete virtuale.You can associate zero or one network security group to each subnet in a virtual network. È possibile associare lo stesso gruppo di protezione o un altro per ogni subnet di rete.You can associate the same, or a different, network security group to each subnet. Ogni gruppo di sicurezza di rete contiene regole che consentono o negano il traffico da e verso le origini e le destinazioni.Each network security group contains rules, which allow or deny traffic to and from sources and destinations. Vedere altre informazioni sui gruppi di sicurezza di rete.Learn more about network security groups.

SicurezzaSecurity

È possibile filtrare il traffico di rete da e verso le risorse in una rete virtuale tramite i gruppi di sicurezza di rete e i dispositivi di rete virtuale.You can filter network traffic to and from resources in a virtual network using network security groups and network virtual appliances. È possibile controllare come Azure instrada il traffico proveniente da subnet.You can control how Azure routes traffic from subnets. È inoltre possibile limitare gli utenti dell'organizzazione che possono usare le risorse nelle reti virtuali.You can also limit who in your organization can work with resources in virtual networks.

Filtro del trafficoTraffic filtering

  • È possibile filtrare il traffico di rete tra le risorse in una rete virtuale tramite un gruppo di sicurezza di rete, una NVA che consente di filtrare il traffico di rete o entrambi.You can filter network traffic between resources in a virtual network using a network security group, an NVA that filters network traffic, or both. Per distribuire una NVA, ad esempio un firewall, per filtrare il traffico di rete, vedere Azure Marketplace.To deploy an NVA, such as a firewall, to filter network traffic, see the Azure Marketplace. Quando si usa una vulnerabilità, è anche possibile creare route personalizzate per instradare il traffico dalla subnet alla NVA.When using an NVA, you also create custom routes to route traffic from subnets to the NVA. Altre informazioni su routing del traffico.Learn more about traffic routing.
  • Un gruppo di sicurezza di rete contiene diverse regole di sicurezza predefinite che consentono o negano il traffico verso o dalle risorse.A network security group contains several default security rules that allow or deny traffic to or from resources. Un gruppo di sicurezza di rete può essere associato a un'interfaccia di rete, alla subnet in cui si trova l'interfaccia di rete, o ad entrambe.A network security group can be associated to a network interface, the subnet the network interface is in, or both. Per semplificare la gestione delle regole di sicurezza, è consigliabile associare un gruppo di sicurezza di rete a subnet singole, anziché le interfacce di rete singole all'interno della subnet, laddove possibile.To simplify management of security rules, it's recommended that you associate a network security group to individual subnets, rather than individual network interfaces within the subnet, whenever possible.
  • Se diverse macchine virtuali all'interno di una subnet hanno bisogno che ad esse si applichino regole di sicurezza diverse, è possibile associare l'interfaccia di rete nella macchina virtuale a uno o più gruppi di sicurezza dell'applicazione.If different VMs within a subnet need different security rules applied to them, you can associate the network interface in the VM to one or more application security groups. Una regola di sicurezza può specificare un gruppo di sicurezza delle applicazioni nella propria, nella destinazione, o in entrambe.A security rule can specify an application security group in its source, destination, or both. Tale regola quindi si applica solo alle interfacce di rete che sono membri del gruppo di sicurezza dell'applicazione.That rule then only applies to the network interfaces that are members of the application security group. Altre informazioni sui gruppi di sicurezza di rete e sui gruppi di sicurezza dell'applicazione.Learn more about network security groups and application security groups.
  • Azure crea diverse regole di sicurezza predefinite all'interno di ogni gruppo di sicurezza di rete.Azure creates several default security rules within each network security group. Una regola predefinita consente a tutto il traffico di fluire tra tutte le risorse in una rete virtuale.One default rule allows all traffic to flow between all resources in a virtual network. Per eseguire l'override di questo comportamento, usare i gruppi di sicurezza di rete, il routing personalizzato per instradare il traffico a una NVA, o entrambi.To override this behavior, use network security groups, custom routing to route traffic to an NVA, or both. È consigliabile acquisire familiarità con tutte le regole di sicurezza predefinite di Azure e comprendere come vengono applicate le regole del gruppo di sicurezza di rete a una risorsa.It's recommended that you familiarize yourself with all of Azure's default security rules and understand how network security group rules are applied to a resource.

È possibile visualizzare le progettazioni di esempio per l'implementazione di una rete Perimetrale tra Azure e internet tramite una NVA oppure dei gruppi di sicurezza di rete.You can view sample designs for implementing a DMZ between Azure and the internet using an NVA or network security groups.

instradamento del trafficoTraffic routing

Azure crea diverse route predefinite per il traffico in uscita da una subnet.Azure creates several default routes for outbound traffic from a subnet. È possibile eseguire l'override del routing predefinito di Azure creando una tabella di routing e associandola a una subnet.You can override Azure's default routing by creating a route table and associating it to a subnet. Dei motivi comuni per eseguire l'override del routing predefinito di Azure sono:Common reasons for overriding Azure's default routing are:

  • Perché si vuole che il traffico tra subnet passi attraverso una NVA.Because you want traffic between subnets to flow through an NVA. Altre informazioni su come configurare le tabelle di route per forzare il traffico attraverso una NVA.To learn more about how to configure route tables to force traffic through an NVA.
  • Poiché si desidera forzare tutto il traffico associato a internet tramite un NVA, o in locale, tramite un gateway VPN di Azure.Because you want to force all internet-bound traffic through an NVA, or on-premises, through an Azure VPN gateway. Forzare il traffico associato a internet in locale per l'ispezione e la registrazione è spesso definito come tunneling forzato.Forcing internet traffic on-premises for inspection and logging is often referred to as forced tunneling. Altre informazioni su come configurare il tunneling forzato.Learn more about how to configure forced tunneling.

Se è necessario implementare il routing personalizzato, è consigliabile avere familiarità con routing in Azure.If you need to implement custom routing, it's recommended that you familiarize yourself with routing in Azure.

ConnettivitàConnectivity

È possibile connettere una rete virtuale ad altre reti virtuali tramite il peering di rete virtuale, o alla rete locale, tramite un gateway VPN di Azure.You can connect a virtual network to other virtual networks using virtual network peering, or to your on-premises network, using an Azure VPN gateway.

PeeringPeering

Quando si usa peering della rete virtuale, le reti virtuali possono trovarsi nella stessa, o in diverse, aree di Azure supportate.When using virtual network peering, the virtual networks can be in the same, or different, supported Azure regions. Le reti virtuali possono essere nella stessa sottoscrizione di Azure o in una sottoscrizione diversa, fintanto che entrambe le sottoscrizioni sono associate allo stesso tenant di Azure Active Directory.The virtual networks can be in the same, or different Azure subscriptions, as long as both subscriptions are assigned to the same Azure Active Directory tenant. Prima di creare un peering, è consigliabile acquisire familiarità con i requisiti e i vincoli del peering.Before creating a peering, it's recommended that you familiarize yourself with all of the peering requirements and constraints. La larghezza di banda tra le risorse nelle reti virtuali con peering nella stessa area rimane uguale a quella tra le risorse nella stessa rete virtuale.Bandwidth between resources in virtual networks peered in the same region is the same as if the resources were in the same virtual network.

gateway VPNVPN gateway

È possibile usare un Gateway VPN di Azure per connettere una rete virtuale alla rete locale tramite un VPN site-to-site, o tramite una connessione dedicata con Azure ExpressRoute.You can use an Azure VPN Gateway to connect a virtual network to your on-premises network using a site-to-site VPN, or using a dedicated connection with Azure ExpressRoute.

È possibile combinare il peering e un gateway VPN per creare reti hub e spoke, in cui le reti virtuali spoke si connettono a una rete virtuale hub e l'hub si connette a una rete locale, ad esempio.You can combine peering and a VPN gateway to create hub and spoke networks, where spoke virtual networks connect to a hub virtual network, and the hub connects to an on-premises network, for example.

Risoluzione dei nomiName resolution

Le risorse in una rete virtuale non possono risolvere i nomi delle risorse nella rete virtuale con peering tramite il DNS predefinito di Azure.Resources in one virtual network cannot resolve the names of resources in a peered virtual network using Azure's built-in DNS. Per risolvere i nomi nelle reti virtuali con peering, distribuire un server DNS personalizzato oppure usare domini privati di DNS di Azure.To resolve names in a peered virtual network, deploy your own DNS server, or use Azure DNS private domains. La risoluzione dei nomi tra le reti locali e le risorse in una rete virtuale richiede anche di distribuire il proprio server DNS.Resolving names between resources in a virtual network and on-premises networks also requires you to deploy your own DNS server.

AutorizzazioniPermissions

Azure usa il Controllo degli accessi basato sui ruoli (RBAC) per le risorse.Azure utilizes role based access control (RBAC) to resources. Le autorizzazioni vengono assegnate a un ambito nella gerarchia seguente: sottoscrizione, gruppo di gestione, gruppo di risorse e singole risorse.Permissions are assigned to a scope in the following hierarchy: Subscription, management group, resource group, and individual resource. Per altre informazioni sulla gerarchia, vedere organizzare le risorse.To learn more about the hierarchy, see Organize your resources. Per lavorare con reti virtuali di Azure e con tutte le funzionalità correlate, come ad esempio il peering, i gruppi di sicurezza di rete, gli endpoint del servizio e le tabelle di route, è possibile assegnare i membri dell'organizzazione ai ruoli incorporati Proprietario, Collaboratore, o Collaboratore di rete e assegnare il ruolo all'ambito appropriato.To work with Azure virtual networks and all of their related capabilities such as peering, network security groups, service endpoints, and route tables, you can assign members of your organization to the built-in Owner, Contributor, or Network contributor roles, and then assign the role to the appropriate scope. Se si desidera assegnare autorizzazioni specifiche per un subset delle funzionalità di rete virtuale, creare un ruolo personalizzato e assegnare le autorizzazioni specifiche necessarie per le reti virtuali, le subnet e gli endpoint del servizio, le interfacce di rete, il peering, i gruppi di sicurezza di rete e delle applicazioni, o le tabelle route al ruolo.If you want to assign specific permissions for a subset of virtual network capabilities, create a custom role and assign the specific permissions required for virtual networks, subnets and service endpoints, network interfaces, peering, network and application security groups, or route tables to the role.

CriterioPolicy

Criteri di Azure consente di creare, assegnare e gestire le definizioni dei criteri.Azure Policy enables you to create, assign, and manage policy definitions. Le definizioni dei criteri applicano regole diverse alle risorse, in modo che le risorse rimangano conformi ai contratti di servizio e agli standard dell'organizzazione.Policy definitions enforce different rules over your resources, so the resources stay compliant with your organizational standards and service level agreements. Criteri di Azure esegue una valutazione delle risorse, alla ricerca delle risorse che non sono conformi alle definizioni di criteri specificate.Azure Policy runs an evaluation of your resources, scanning for resources that are not compliant with the policy definitions you have. Ad esempio, è possibile definire e applicare un criterio che consente la creazione di reti virtuali solo in un gruppo di risorse o in un'area specifici.For example, you can define and apply a policy that allows creation of virtual networks in only a specific resource group or region. Un altro criterio potrebbe richiedere che a tutte le subnet sia associato un gruppo di sicurezza di rete.Another policy can require that every subnet has a network security group associated to it. I criteri vengono quindi valutati durante la creazione e l'aggiornamento delle risorse.The policies are then evaluated when creating and updating resources.

I criteri vengono applicati alla gerarchia seguente: sottoscrizione, gruppo di risorse e gruppo di gestione.Policies are applied to the following hierarchy: Subscription, management group, and resource group. Per altre informazioni su Criterio di Azure o distribuire alcuni esempi di reti virtuali modello di criteri.Learn more about Azure policy or deploy some virtual network policy template samples.

Passaggi successiviNext steps

Informazioni su tutte le attività, le impostazioni e le opzioni per una rete virtuale, una subnet e il servizio endpoint, un'interfaccia di rete, il peering, il gruppo di sicurezza di rete e dell'applicazione o la tabella di route.Learn about all tasks, settings, and options for a virtual network, subnet and service endpoint, network interface, peering, network and application security group, or route table.