Pianificare e progettare reti virtuali di AzurePlan and design Azure Virtual Networks

Creare una rete virtuale a scopi sperimentali è abbastanza semplice, ma è probabile che si distribuiscano più reti virtuali nel corso del tempo per supportare le esigenze di produzione dell'organizzazione.Creating a VNet to experiment with is easy enough, but chances are, you will deploy multiple VNets over time to support the production needs of your organization. Con una pianificazione e una progettazione adeguate è possibile distribuire reti virtuali e connettere le risorse necessarie in modo più efficace.With some planning and design, you will be able to deploy VNets and connect the resources you need more effectively. Se non si ha familiarità con le reti virtuali, è consigliabile acquisire informazioni sulle reti virtuali e su come distribuirne una prima di procedere.If you are not familiar with VNets, it's recommended that you learn about VNets and how to deploy one before proceeding.

PianificazionePlan

Per ottenere buoni risultati, è fondamentale una conoscenza approfondita delle sottoscrizioni, delle aree e delle risorse di rete di Azure.A thorough understanding of Azure subscriptions, regions, and network resources is critical for success. È possibile usare l'elenco di considerazioni di seguito come punto di partenza.You can use the list of considerations below as a starting point. Dopo aver compreso queste considerazioni, è possibile definire i requisiti per la progettazione della rete.Once you understand those considerations, you can define the requirements for your network design.

ConsiderazioniConsiderations

Prima di rispondere alle domande di pianificazione seguenti, tenere in considerazione quanto segue:Before answering the planning questions below, consider the following:

  • Tutti gli oggetti creati in Azure sono composti da una o più risorse.Everything you create in Azure is composed of one or more resources. Una macchina virtuale (VM) è una risorsa, la scheda di interfaccia di rete (NIC) usata da una VM è una risorsa, l'indirizzo IP pubblico usato da una scheda di interfaccia di rete è una risorsa, la rete virtuale a cui è collegata la scheda di interfaccia di rete è una risorsa.A virtual machine (VM) is a resource, the network adapter interface (NIC) used by a VM is a resource, the public IP address used by a NIC is a resource, the VNet the NIC is connected to is a resource.
  • Le risorse vengono create all'interno di un' area e una sottoscrizione di Azure.You create resources within an Azure region and subscription. Le risorse possono essere connesse solo a una rete virtuale presente nella stessa area e nella stessa sottoscrizione della risorsa.Resources can only be connected to a virtual network that exists in the same region and subscription the resource is in.
  • È possibile connettere tra di esse le reti virtuali tramite:You can connect virtual networks to each other by using:
    • Reti virtuali con peering: le reti virtuali devono trovarsi nella stessa area di Azure.Virtual network peering: The virtual networks must exist in the same Azure region. La larghezza di banda tra le risorse delle reti virtuali con peering rimane uguale a quella tra le risorse connesse alla stessa rete virtuale.Bandwidth between resources in peered virtual networks is the same as if the resources were connected to the same virtual network.
    • Gateway VPN di Azure: le reti virtuali possono trovarsi nella stessa area di Azure o in aree diverse.An Azure VPN Gateway: The virtual networks can exist in the same, or different Azure regions. La larghezza di banda tra le risorse delle reti virtuali connesse tramite gateway VPN è limitata dalla larghezza di banda del gateway VPN.Bandwidth between resources in virtual networks connected through a VPN Gateway is limited by the bandwidth of the VPN Gateway.
  • È anche possibile collegare le reti virtuali alla rete locale usando una delle opzioni di connettività disponibili in Azure.You can connect VNets to your on-premises network by using one of the connectivity options available in Azure.
  • È possibile raggruppare risorse diverse in gruppi di risorse, rendendo più semplice la gestione delle risorse come unità.Different resources can be grouped together in resource groups, making it easier to manage the resource as a unit. Un gruppo di risorse può contenere risorse provenienti da più aree, purché le risorse appartengano alla stessa sottoscrizione.A resource group can contain resources from multiple regions, as long as the resources belong to the same subscription.

Definire i requisitiDefine requirements

Usare le domande seguenti come punto di partenza per la progettazione della rete di Azure.Use the questions below as a starting point for your Azure network design.

  1. Quali località di Azure verranno usate per ospitare le reti virtuali?What Azure locations will you use to host VNets?
  2. È necessario che tali località di Azure siano in comunicazione tra loro?Do you need to provide communication between these Azure locations?
  3. È necessario che le reti virtuali di Azure e i data center locali siano in comunicazione tra loro?Do you need to provide communication between your Azure VNet(s) and your on-premises datacenter(s)?
  4. Quante VM IaaS (Infrastructure as a Service), ruoli dei servizi cloud e app Web sono necessari per la soluzione?How many Infrastructure as a Service (IaaS) VMs, cloud services roles, and web apps do you need for your solution?
  5. È necessario isolare il traffico in base a gruppi di VM (ad esempio server Web front-end e server database back-end)?Do you need to isolate traffic based on groups of VMs (i.e. front end web servers and back end database servers)?
  6. È necessario controllare il flusso del traffico tramite appliance virtuali?Do you need to control traffic flow using virtual appliances?
  7. Gli utenti necessitano di diversi set di autorizzazioni per risorse diverse di Azure?Do users need different sets of permissions to different Azure resources?

Comprendere le proprietà della rete virtuale e della subnetUnderstand VNet and subnet properties

Le risorse della rete virtuale e della subnet consentono di definire un limite di sicurezza per i carichi di lavoro in esecuzione in Azure.VNet and subnets resources help define a security boundary for workloads running in Azure. Una rete virtuale è caratterizzata da una raccolta di spazi di indirizzi, definiti come blocchi CIDR.A VNet is characterized by a collection of address spaces, defined as CIDR blocks.

Nota

Gli amministratori di rete hanno familiarità con la notazione CIDR.Network administrators are familiar with CIDR notation. Se non si ha familiarità con CIDR, è possibile ottenere maggiori informazioni.If you are not familiar with CIDR, learn more about it.

Le reti virtuali contengono le proprietà seguenti.VNets contain the following properties.

ProprietàProperty DescrizioneDescription VincoliConstraints
nomename Nome della rete virtualeVNet name Stringa di massimo 80 caratteri.String of up to 80 characters. Può contenere lettere, numeri, caratteri di sottolineatura, punti o trattini.May contain letters, numbers, underscore, periods, or hyphens. Deve iniziare con una lettera o un numero.Must start with a letter or number. Deve terminare con una lettera, un numero o un carattere di sottolineatura.Must end with a letter, number, or underscore. Può contenere lettere maiuscole o minuscole.Can contains upper or lower case letters.
locationlocation Località di Azure (nota anche come area).Azure location (also referred to as region). Deve essere una delle località di Azure valide.Must be one of the valid Azure locations.
addressSpaceaddressSpace Raccolta di prefissi di indirizzi che costituiscono la rete virtuale nella notazione CIDR.Collection of address prefixes that make up the VNet in CIDR notation. Deve essere una matrice di blocchi di indirizzi CIDR validi, inclusi intervalli di indirizzi IP pubblici.Must be an array of valid CIDR address blocks, including public IP address ranges.
subnetsubnets Raccolta di subnet che costituiscono la rete virtualeCollection of subnets that make up the VNet Vedere la tabella delle proprietà della subnet di seguito.see the subnet properties table below.
dhcpOptionsdhcpOptions Oggetto che contiene un'unica proprietà obbligatoria denominata dnsServers.Object that contains a single required property named dnsServers.
dnsServersdnsServers Matrice di server DNS usati dalla rete virtuale.Array of DNS servers used by the VNet. Se non si specifica alcun server, viene usata la risoluzione dei nomi interna di Azure.If no server is specified, Azure internal name resolution is used. Deve essere una matrice di massimo 10 server DNS, in base all'indirizzo IP.Must be an array of up to 10 DNS servers, by IP address.

Una subnet è una risorsa figlio di una rete virtuale e consente di definire i segmenti degli spazi di indirizzi all'interno di un blocco CIDR, usando i prefissi degli indirizzi IP.A subnet is a child resource of a VNet, and helps define segments of address spaces within a CIDR block, using IP address prefixes. Le NIC possono essere aggiunte alle subnet e connesse alle macchine virtuali, fornendo connettività per diversi carichi di lavoro.NICs can be added to subnets, and connected to VMs, providing connectivity for various workloads.

Le subnet contengono le proprietà seguenti.Subnets contain the following properties.

ProprietàProperty DescrizioneDescription VincoliConstraints
nomename Nome della subnetSubnet name Stringa di massimo 80 caratteri.String of up to 80 characters. Può contenere lettere, numeri, caratteri di sottolineatura, punti o trattini.May contain letters, numbers, underscore, periods, or hyphens. Deve iniziare con una lettera o un numero.Must start with a letter or number. Deve terminare con una lettera, un numero o un carattere di sottolineatura.Must end with a letter, number, or underscore. Può contenere lettere maiuscole o minuscole.Can contains upper or lower case letters.
locationlocation Località di Azure (nota anche come area).Azure location (also referred to as region). Deve essere una delle località di Azure valide.Must be one of the valid Azure locations.
addressPrefixaddressPrefix Singolo prefisso di indirizzo che costituisce la subnet nella notazione CIDRSingle address prefix that make up the subnet in CIDR notation Deve essere un singolo blocco CIDR che fa parte di uno degli spazi degli indirizzi della rete virtuale.Must be a single CIDR block that is part of one of the VNet's address spaces.
networkSecurityGroupnetworkSecurityGroup NSG applicato alla subnetNSG applied to the subnet
routeTablerouteTable Tabella di route applicata alla subnetRoute table applied to the subnet
ipConfigurationsipConfigurations Raccolta di oggetti di configurazione IP usati dalle schede di interfaccia di rete connesse alla subnetCollection of IP configuration objects used by NICs connected to the subnet

Risoluzione dei nomiName resolution

Per impostazione predefinita, la rete virtuale usa la risoluzione dei nomi offerta da Azure per risolvere i nomi all'interno della rete virtuale e sulla rete Internet pubblica.By default, your VNet uses Azure-provided name resolution to resolve names inside the VNet, and on the public Internet. Tuttavia, se si connettono le reti virtuali ai data center locali, è necessario indicare il proprio server DNS per la risoluzione dei nomi tra le reti.However, if you connect your VNets to your on-premises data centers, you need to provide your own DNS server to resolve names between your networks.

LimitiLimits

Esaminare i limiti di rete nell'articolo Limiti di Azure per garantire che il modello non entri in conflitto con uno dei limiti.Review the networking limits in the Azure limits article to ensure that your design doesn't conflict with any of the limits. Alcun limiti possono essere aumentati aprendo un ticket di supporto.Some limits can be increased by opening a support ticket.

Controllo degli accessi in base al ruoloRole-Based Access Control (RBAC)

È possibile usare il controllo degli accessi in base al ruolo di Azure per controllare il livello di accesso di utenti diversi a risorse diverse in Azure.You can use Azure RBAC to control the level of access different users may have to different resources in Azure. In questo modo è possibile isolare il lavoro svolto dal proprio team in base alle esigenze.That way you can segregate the work done by your team based on their needs.

Per quanto riguarda le reti virtuali, gli utenti con ruolo di collaboratore di rete hanno pieno controllo sulle risorse della rete virtuale di Gestione risorse di Azure.As far as virtual networks are concerned, users in the Network Contributor role have full control over Azure Resource Manager virtual network resources. Allo stesso modo, gli utenti con ruolo di collaboratore di rete classico hanno pieno controllo sulle risorse della rete virtuale classica.Similarly, users in the Classic Network Contributor role have full control over classic virtual network resources.

Nota

È anche possibile creare ruoli personalizzati per separare le esigenze amministrative.You can also create your own roles to separate your administrative needs.

ProgettazioneDesign

Dopo avere risposto alle domande della sezione Pianificazione , esaminare le informazioni seguenti prima di definire le reti virtuali.Once you know the answers to the questions in the Plan section, review the following before defining your VNets.

Numero di sottoscrizioni e reti virtualiNumber of subscriptions and VNets

È consigliabile creare più reti virtuali negli scenari seguenti:You should consider creating multiple VNets in the following scenarios:

  • VM da collocare nelle diverse località di Azure.VMs that need to be placed in different Azure locations. Le reti virtuali in Azure fanno riferimento a un'area geografica eVNets in Azure are regional. non possono estendersi a più località.They cannot span locations. Per questo motivo, è necessaria almeno una rete virtuale per ogni località di Azure in cui si vogliono ospitare VM.Therefore you need at least one VNet for each Azure location you want to host VMs in.
  • Carichi di lavoro che devono essere completamente isolati l'uno dall'altro.Workloads that need to be completely isolated from one another. È possibile creare reti virtuali separate, che usano anche gli stessi spazi degli indirizzi IP, per isolare carichi di lavoro diversi l'uno dall'altro.You can create separate VNets, that even use the same IP address spaces, to isolate different workloads from one another.

Tenere presente che i limiti sopra indicati si riferiscono a singole aree e sottoscrizioni.Keep in mind that the limits you see above are per region, per subscription. Questo significa che è possibile usare più sottoscrizioni per aumentare il limite di risorse gestibili in Azure.That means you can use multiple subscriptions to increase the limit of resources you can maintain in Azure. È possibile usare una VPN site-to-site o un circuito ExpressRoute per connettere reti virtuali in sottoscrizioni diverse.You can use a site-to-site VPN, or an ExpressRoute circuit, to connect VNets in different subscriptions.

Modelli di progettazione per sottoscrizioni e reti virtualiSubscription and VNet design patterns

La tabella seguente illustra alcuni modelli di progettazione comuni per l'uso di sottoscrizioni e reti virtuali.The table below shows some common design patterns for using subscriptions and VNets.

ScenarioScenario DiagrammaDiagram VantaggiPros SvantaggiCons
Singola sottoscrizione, due reti virtuali per appSingle subscription, two VNets per app Singola sottoscrizione Solo una sottoscrizione da gestire.Only one subscription to manage. Numero massimo di reti virtuali per area di Azure.Maximum number of VNets per Azure region. Oltre questo limite, sono necessarie ulteriori sottoscrizioni.You need more subscriptions after that. Per informazioni dettagliate, leggere l'articolo Limiti di Azure.Review the Azure limits article for details.
Una sottoscrizione per app, due reti virtuali per appOne subscription per app, two VNets per app Singola sottoscrizione Usa solo due reti virtuali per sottoscrizione.Uses only two VNets per subscription. Più difficile da gestire quando sono presenti molte app.Harder to manage when there are too many apps.
Una sottoscrizione per business unit, due reti virtuali per app.One subscription per business unit, two VNets per app. Singola sottoscrizione Equilibrio tra numero di sottoscrizioni e reti virtuali.Balance between number of subscriptions and VNets. Numero massimo di reti virtuali per business unit (sottoscrizione).Maximum number of VNets per business unit (subscription). Per informazioni dettagliate, leggere l'articolo Limiti di Azure.Review the Azure limits article for details.
Una sottoscrizione per business unit, due reti virtuali per gruppo di app.One subscription per business unit, two VNets per group of apps. Singola sottoscrizione Equilibrio tra numero di sottoscrizioni e reti virtuali.Balance between number of subscriptions and VNets. Le app devono essere isolate usando subnet e gruppi di sicurezza di rete.Apps must be isolated by using subnets and NSGs.

Numero di subnetNumber of subnets

È consigliabile creare più subnet in una rete virtuale negli scenari seguenti:You should consider multiple subnets in a VNet in the following scenarios:

  • Numero insufficiente di indirizzi IP privati per tutte le schede di interfaccia di rete in una subnet.Not enough private IP addresses for all NICs in a subnet. Se lo spazio degli indirizzi della subnet non contiene indirizzi IP sufficienti per il numero di schede di interfaccia di rete nella subnet, è necessario creare più subnet.If your subnet address space does not contain enough IP addresses for the number of NICs in the subnet, you need to create multiple subnets. Tenere presente che Azure riserva 5 indirizzi IP privati da ogni subnet che non possono essere usati: il primo e l'ultimo indirizzo dello spazio degli indirizzi (per l'indirizzo subnet e multicast) e 3 indirizzi da usare internamente (a scopi DHCP e DNS).Keep in mind that Azure reserves 5 private IP addresses from each subnet that cannot be used: the first and last addresses of the address space (for the subnet address, and multicast) and 3 addresses to be used internally (for DHCP and DNS purposes).
  • Sicurezza.Security. È possibile usare subnet per separare gruppi di VM l'uno dall'altro per i carichi di lavoro con una struttura a più livelli e applicare diversi gruppi di sicurezza di rete per queste subnet.You can use subnets to separate groups of VMs from one another for workloads that have a multi-layer structure, and apply different network security groups (NSGs) for those subnets.
  • Connettività ibrida.Hybrid connectivity. È possibile usare gateway VPN e circuiti ExpressRoute per connettere le reti virtuali tra loro e ai data center locali.You can use VPN gateways and ExpressRoute circuits to connect your VNets to one another, and to your on-premises data center(s). I gateway VPN e i circuiti ExpressRoute richiedono una propria subnet da creare.VPN gateways and ExpressRoute circuits require a subnet of their own to be created.
  • Appliance virtuali.Virtual appliances. È possibile usare un'appliance virtuale, ad esempio un firewall, un acceleratore WAN o un gateway VPN in una rete virtuale di Azure.You can use a virtual appliance, such as a firewall, WAN accelerator, or VPN gateway in an Azure VNet. In questo caso, è necessario instradare il traffico a tali appliance e isolarle nella rispettiva subnet.When you do so, you need to route traffic to those appliances and isolate them in their own subnet.

Modelli di progettazione di subnet e gruppi di sicurezza di reteSubnet and NSG design patterns

La tabella seguente illustra alcuni modelli di progettazione comuni per l'uso di subnet.The table below shows some common design patterns for using subnets.

ScenarioScenario DiagrammaDiagram VantaggiPros SvantaggiCons
Singola subnet, gruppi di sicurezza di rete per livello dell'applicazione, per applicazioneSingle subnet, NSGs per application layer, per app Singola subnet Solo una subnet da gestire.Only one subnet to manage. Sono necessari più gruppi di sicurezza di rete per isolare le applicazioni.Multiple NSGs necessary to isolate each application.
Una subnet per app, gruppi di sicurezza di rete per livello dell'applicazioneOne subnet per app, NSGs per application layer Subnet per app Meno gruppi di sicurezza di rete da gestire.Fewer NSGs to manage. Più subnet da gestire.Multiple subnets to manage.
Una subnet per livello dell'applicazione, gruppi di sicurezza di rete per app.One subnet per application layer, NSGs per app. Subnet per livello Equilibrio tra numero di subnet e gruppi di sicurezza di rete.Balance between number of subnets and NSGs. Numero massimo di NSG per sottoscrizione.Maximum number of NSGs per subscription. Per informazioni dettagliate, leggere l'articolo Limiti di Azure.Review the Azure limits article for details.
Una subnet per livello dell'applicazione, per app, gruppi di sicurezza di rete per subnetOne subnet per application layer, per app, NSGs per subnet Subnet per livello per app Probabile numero inferiore di gruppi di sicurezza di rete.Possibly smaller number of NSGs. Più subnet da gestire.Multiple subnets to manage.

Progettazione di esempioSample design

Per illustrare l'applicazione delle informazioni in questo articolo, si consideri lo scenario seguente.To illustrate the application of the information in this article, consider the following scenario.

Si lavora per un'azienda con 2 data center in America del Nord e due data center in Europa.You work for a company that has 2 data centers in North America, and two data centers Europe. Vengono identificate 6 diverse applicazioni rivolte ai clienti gestite da 2 diverse business unit di cui si vuole eseguire la migrazione ad Azure come progetto pilota.You identified 6 different customer facing applications maintained by 2 different business units that you want to migrate to Azure as a pilot. L'architettura di base per le applicazioni è la seguente:The basic architecture for the applications are as follows:

  • App1, App2, App3 e App4 sono applicazioni Web ospitate su server Linux con Ubuntu in esecuzione.App1, App2, App3, and App4 are web applications hosted on Linux servers running Ubuntu. Ogni applicazione si connette a un server applicazioni separato che ospita servizi RESTful nei server Linux.Each application connects to a separate application server that hosts RESTful services on Linux servers. I servizi RESTful si connettono a un database MySQL back-end.The RESTful services connect to a back end MySQL database.
  • App5 e App6 sono applicazioni Web ospitate in Windows Server con Windows Server 2012 R2 in esecuzione.App5 and App6 are web applications hosted on Windows servers running Windows Server 2012 R2. Ogni applicazione si connette a un database di SQL Server back-end.Each application connects to a back end SQL Server database.
  • Tutte le app sono attualmente ospitate in uno dei data center dell'azienda in America del Nord.All apps are currently hosted in one of the company's data centers in North America.
  • I data center locali usano lo spazio degli indirizzi 10.0.0.0/8.The on-premises data centers use the 10.0.0.0/8 address space.

È necessario progettare una soluzione di rete virtuale che soddisfi i requisiti seguenti:You need to design a virtual network solution that meets the following requirements:

  • Ogni business unit non deve dipendere dal consumo di risorse di altre business unit.Each business unit should not be affected by resource consumption of other business units.
  • È consigliabile ridurre al minimo la quantità di reti virtuali e subnet per semplificare la gestione.You should minimize the amount of VNets and subnets to make management easier.
  • Ogni business unit deve avere una singola rete virtuale di test/sviluppo usata per tutte le applicazioni.Each business unit should have a single test/development VNet used for all applications.
  • Ogni applicazione è ospitata in 2 diversi data center di Azure per continente (America del Nord ed Europa).Each application is hosted in 2 different Azure data centers per continent (North America and Europe).
  • Le applicazioni sono completamente isolate l'una dall'altra.Each application is completely isolated from each other.
  • Ogni applicazione è accessibile da parte dei clienti via Internet, tramite HTTP.Each application can be accessed by customers over the Internet using HTTP.
  • Ogni applicazione è accessibile da parte degli utenti connessi ai data center locali tramite un tunnel crittografato.Each application can be accessed by users connected to the on-premises data centers by using an encrypted tunnel.
  • È consigliabile che la connessione ai data center locali usi dispositivi VPN esistenti.Connection to on-premises data centers should use existing VPN devices.
  • Il team responsabile della rete aziendale deve avere controllo completo sulla configurazione della rete virtuale.The company's networking group should have full control over the VNet configuration.
  • Gli sviluppatori in ogni business unit devono essere in grado solo di distribuire le VM a subnet esistenti.Developers in each business unit should only be able to deploy VMs to existing subnets.
  • Verrà eseguita la migrazione di tutte le applicazioni in Azure, così come sono (sollevamento e spostamento).All applications will be migrated as they are to Azure (lift-and-shift).
  • I database in ogni località devono essere replicati ad altre località di Azure una volta al giorno.The databases in each location should replicate to other Azure locations once a day.
  • Ogni applicazione deve usare 5 server Web front-end, 2 server applicazioni (se necessario) e 2 server database.Each application should use 5 front end web servers, 2 application servers (when necessary), and 2 database servers.

PianificazionePlan

È consigliabile iniziare la progettazione della pianificazione rispondendo alla domanda nella sezione Definire i requisiti , come illustrato di seguito.You should start your design planning by answering the question in the Define requirements section as shown below.

  1. Quali località di Azure verranno usate per ospitare le reti virtuali?What Azure locations will you use to host VNets?

    2 località in America del Nord e 2 località in Europa.2 locations in North America, and 2 locations in Europe. È consigliabile scegliere le località in base alla posizione fisica dei data center locali esistenti.You should pick those based on the physical location of your existing on-premises data centers. In questo modo la connessione dalle località fisiche ad Azure avrà una latenza maggiore.That way your connection from your physical locations to Azure will have a better latency.

  2. È necessario che tali località di Azure siano in comunicazione tra loro?Do you need to provide communication between these Azure locations?

    Sì.Yes. Questo perché i database devono essere replicati in tutte le località.Since the databases must be replicated to all locations.

  3. È necessario che le reti virtuali di Azure e i data center locali siano in comunicazione tra loro?Do you need to provide communication between your Azure VNet(s) and your on-premises data center(s)?

    Sì.Yes. Questo perché gli utenti connessi ai data center locali devono essere in grado di accedere alle applicazioni tramite un tunnel crittografato.Since users connected to the on-premises data centers must be able to access the applications through an encrypted tunnel.

  4. Quante VM IaaS sono necessarie per la soluzione?How many IaaS VMs do you need for your solution?

    200 VM IaaS.200 IaaS VMs. App1, App2, App3 e App4 richiedono 5 server Web, 2 server applicazioni e 2 server database per ognuna.App1, App2, App3, and App4 require 5 web servers each, 2 applications servers each, and 2 database servers each. Questo equivale a un totale di 9 VM IaaS per applicazione o 36 VM IaaS.That's a total of 9 IaaS VMs per application, or 36 IaaS VMs. App5 e App6 richiedono 5 server Web e 2 server database.App5 and App6 require 5 web servers and 2 database servers each. Questo equivale a un totale di 7 VM IaaS per applicazione o 14 VM IaaS.That's a total of 7 IaaS VMs per application, or 14 IaaS VMs. Per questo motivo, sono necessarie 50 VM IaaS per tutte le applicazioni in ogni area di Azure.Therefore, you need 50 IaaS VMs for all applications in each Azure region. Poiché è necessario usare 4 aree, occorrono 200 VM IaaS.Since we need to use 4 regions, there will be 200 IaaS VMs.

    È anche necessario mettere a disposizione alcuni server DNS in ogni rete virtuale o nei data center locali per risolvere il nome tra le VM IaaS di Azure e la rete locale.You will also need to provide DNS servers in each VNet, or in your on-premises data centers to resolve name between your Azure IaaS VMs and your on-premises network.

  5. È necessario isolare il traffico in base a gruppi di VM (ad esempio server Web front-end e server database back-end)?Do you need to isolate traffic based on groups of VMs (i.e. front end web servers and back end database servers)?

    Sì.Yes. Le applicazioni devono essere completamente isolate l'una dall'altra e anche ogni livello dell'applicazione deve essere isolato.Each application should be completely isolated from each other, and each application layer should also be isolated.

  6. È necessario controllare il flusso del traffico tramite appliance virtuali?Do you need to control traffic flow using virtual appliances?

    No.No. È possibile usare appliance virtuali per un maggiore controllo del flusso del traffico, tra cui una registrazione più dettagliata del piano dati.Virtual appliances can be used to provide more control over traffic flow, including more detailed data plane logging.

  7. Gli utenti necessitano di diversi set di autorizzazioni per risorse diverse di Azure?Do users need different sets of permissions to different Azure resources?

    Sì.Yes. Il team responsabile della rete deve avere controllo completo sulle impostazioni della rete virtuale, mentre gli sviluppatori devono solo essere in grado di distribuire le proprie VM a subnet preesistenti.The networking team needs full control on the virtual networking settings, while developers should only be able to deploy their VMs to pre-existing subnets.

ProgettazioneDesign

È consigliabile seguire la progettazione specificando sottoscrizioni, reti virtuali, subnet e gruppi di sicurezza di rete.You should follow the design specifying subscriptions, VNets, subnets, and NSGs. I gruppi di sicurezza di rete verranno discussi qui, ma è consigliabile acquisire altre informazioni sui gruppi di sicurezza di rete prima di completare la progettazione.We will discuss NSGs here, but you should learn more about NSGs before finishing your design.

Numero di sottoscrizioni e reti virtualiNumber of subscriptions and VNets

I requisiti seguenti sono correlati a sottoscrizioni e reti virtuali:The following requirements are related to subscriptions and VNets:

  • Ogni business unit non deve dipendere dal consumo di risorse di altre business unit.Each business unit should not be affected by resource consumption of other business units.
  • È consigliabile ridurre al minimo la quantità di reti virtuali e subnet.You should minimize the amount of VNets and subnets.
  • Ogni business unit deve avere una singola rete virtuale di test/sviluppo usata per tutte le applicazioni.Each business unit should have a single test/development VNet used for all applications.
  • Ogni applicazione è ospitata in 2 diversi data center di Azure per continente (America del Nord ed Europa).Each application is hosted in 2 different Azure data centers per continent (North America and Europe).

In base a tali requisiti, è necessaria una sottoscrizione per ogni business unit.Based on those requirements, you need a subscription for each business unit. In questo modo, il consumo di risorse di una business unit non influirà sui limiti per le altre business unit.That way, consumption of resources from a business unit will not count towards limits for other business units. E poiché si vuole ridurre al minimo il numero di reti virtuali, è consigliabile usare il modello che prevede una sottoscrizione per business unit e due reti virtuali per gruppo di app , come illustrato di seguito.And since you want to minimize the number of VNets, you should consider using the one subscription per business unit, two VNets per group of apps pattern as seen below.

Singola sottoscrizione

È anche necessario specificare lo spazio degli indirizzi per ogni rete virtuale.You also need to specify the address space for each VNet. Poiché è necessaria la connettività tra i data center locali e le aree di Azure, lo spazio degli indirizzi usato per le reti virtuali di Azure non può essere in conflitto con la rete locale e lo spazio degli indirizzi usato da ogni rete virtuale non deve essere in conflitto con altre reti virtuali esistenti.Since you need connectivity between the on-premises data centers and the Azure regions, the address space used for Azure VNets cannot clash with the on-premises network, and the address space used by each VNet should not clash with other existing VNets. È possibile usare gli spazi degli indirizzi nella tabella seguente per soddisfare questi requisiti.You could use the address spaces in the table below to satisfy these requirements.

SottoscrizioneSubscription Rete virtualeVNet Area di AzureAzure region Spazio degli indirizziAddress space
BU1BU1 ProdBU1US1ProdBU1US1 Stati Uniti occidentaliWest US 172.16.0.0/16172.16.0.0/16
BU1BU1 ProdBU1US2ProdBU1US2 Stati Uniti orientaliEast US 172.17.0.0/16172.17.0.0/16
BU1BU1 ProdBU1EU1ProdBU1EU1 Europa settentrionaleNorth Europe 172.18.0.0/16172.18.0.0/16
BU1BU1 ProdBU1EU2ProdBU1EU2 Europa occidentaleWest Europe 172.19.0.0/16172.19.0.0/16
BU1BU1 TestDevBU1TestDevBU1 Stati Uniti occidentaliWest US 172.20.0.0/16172.20.0.0/16
BU2BU2 TestDevBU2TestDevBU2 Stati Uniti occidentaliWest US 172.21.0.0/16172.21.0.0/16
BU2BU2 ProdBU2US1ProdBU2US1 Stati Uniti occidentaliWest US 172.22.0.0/16172.22.0.0/16
BU2BU2 ProdBU2US2ProdBU2US2 Stati Uniti orientaliEast US 172.23.0.0/16172.23.0.0/16
BU2BU2 ProdBU2EU1ProdBU2EU1 Europa settentrionaleNorth Europe 172.24.0.0/16172.24.0.0/16
BU2BU2 ProdBU2EU2ProdBU2EU2 Europa occidentaleWest Europe 172.25.0.0/16172.25.0.0/16

Numero di subnet e gruppi di sicurezza di reteNumber of subnets and NSGs

I requisiti seguenti sono correlati a subnet e gruppi di sicurezza di rete:The following requirements are related to subnets and NSGs:

  • È consigliabile ridurre al minimo la quantità di reti virtuali e subnet.You should minimize the amount of VNets and subnets.
  • Le applicazioni sono completamente isolate l'una dall'altra.Each application is completely isolated from each other.
  • Ogni applicazione è accessibile da parte dei clienti via Internet, tramite HTTP.Each application can be accessed by customers over the Internet using HTTP.
  • Ogni applicazione è accessibile da parte degli utenti connessi ai data center locali tramite un tunnel crittografato.Each application can be accessed by users connected to the on-premises data centers by using an encrypted tunnel.
  • È consigliabile che la connessione ai data center locali usi dispositivi VPN esistenti.Connection to on-premises data centers should use existing VPN devices.
  • I database in ogni località devono essere replicati ad altre località di Azure una volta al giorno.The databases in each location should replicate to other Azure locations once a day.

In base a tali requisiti, è possibile usare una subnet per ogni livello dell'applicazione e usare gruppi di sicurezza di rete per filtrare il traffico per ogni applicazione.Based on those requirements, you could use one subnet per application layer, and use NSGs to filter traffic per application. In questo modo, sono sufficienti 3 subnet in ogni rete virtuale (front-end, livello dell'applicazione e livello dati) e un gruppo di sicurezza di rete per applicazione per ogni subnet.That way, you only have 3 subnets in each VNet (front end, application layer, and data layer) and one NSG per application per subnet. In questo caso, è consigliabile usare il modello di progettazione che prevede una subnet per livello dell'applicazione, gruppi di sicurezza di rete per app .In this case, you should consider using the one subnet per application layer, NSGs per app design pattern. La figura seguente illustra come usare il modello di progettazione che rappresenta la rete virtuale ProdBU1US1 .The figure below shows the use of the design pattern representing the ProdBU1US1 VNet.

Una subnet per livello, un gruppo di sicurezza di rete per applicazione per livello

Tuttavia, è anche necessario creare una subnet aggiuntiva per la connettività VPN tra le reti virtuali e i data center locali.However, you also need to create an extra subnet for the VPN connectivity between the VNets, and your on-premises data centers. È anche necessario specificare lo spazio degli indirizzi per ogni subnet.And you need to specify the address space for each subnet. La figura seguente illustra una soluzione di esempio per la rete virtuale ProdBU1US1 .The figure below shows a sample solution for ProdBU1US1 VNet. È necessario replicare questo scenario per ogni rete virtuale.You would replicate this scenario for each VNet. Ogni colore rappresenta un'applicazione diversa.Each color represents a different application.

Rete virtuale di esempio

Controllo dell’accessoAccess Control

I requisiti seguenti sono correlati al controllo dell'accesso:The following requirements are related to access control:

  • Il team responsabile della rete aziendale deve avere controllo completo sulla configurazione della rete virtuale.The company's networking group should have full control over the VNet configuration.
  • Gli sviluppatori in ogni business unit devono essere in grado solo di distribuire le VM a subnet esistenti.Developers in each business unit should only be able to deploy VMs to existing subnets.

In base a tali requisiti, è possibile aggiungere utenti del team responsabile della rete al ruolo incorporato di collaboratore di rete in ogni sottoscrizione e creare un ruolo personalizzato per gli sviluppatori di applicazioni in ogni sottoscrizione, assegnando loro le autorizzazioni per aggiungere VM a subnet esistenti.Based on those requirements, you could add users from the networking team to the built-in Network Contributor role in each subscription; and create a custom role for the application developers in each subscription giving them rights to add VMs to existing subnets.

Passaggi successiviNext steps