Domande frequenti sulla rete virtuale di AzureAzure Virtual Network frequently asked questions (FAQ)

Nozioni di base sulla rete virtualeVirtual Network basics

Che cos'è una rete virtuale di Azure?What is an Azure Virtual Network (VNet)?

Una rete virtuale (VNet) di Azure è una rappresentazione della rete personalizzata nel cloud.An Azure Virtual Network (VNet) is a representation of your own network in the cloud. È un isolamento logico del cloud di Azure dedicato alla sottoscrizione.It is a logical isolation of the Azure cloud dedicated to your subscription. È possibile usare le reti virtuali per eseguire il provisioning e gestire reti virtuali private (VPN) in Azure e facoltativamente collegare le reti virtuali con altre reti virtuali in Azure o con l'infrastruttura IT locale per creare soluzioni ibride o cross-premise.You can use VNets to provision and manage virtual private networks (VPNs) in Azure and, optionally, link the VNets with other VNets in Azure, or with your on-premises IT infrastructure to create hybrid or cross-premises solutions. Ogni VNet creato ha un proprio blocco CIDR e può essere collegato ad altre reti virtuali e reti locali, purché i blocchi CIDR non si sovrappongano.Each VNet you create has its own CIDR block and can be linked to other VNets and on-premises networks as long as the CIDR blocks do not overlap. È anche possibile controllare le impostazioni del server DNS per le reti virtuali e la segmentazione della rete virtuale in subnet.You also have control of DNS server settings for VNets, and segmentation of the VNet into subnets.

Usare le reti virtuali per:Use VNets to:

  • Creare una VNet privata dedicata solo cloud.Create a dedicated private cloud-only VNet. Per una soluzione personalizzata, non è sempre necessaria una configurazione cross-premise.Sometimes you don't require a cross-premises configuration for your solution. Quando si crea una rete virtuale, i servizi e le macchine virtuali all'interno della rete virtuale possono comunicare direttamente e in modo sicuro tra loro nel cloud.When you create a VNet, your services and VMs within your VNet can communicate directly and securely with each other in the cloud. È ancora possibile configurare connessioni di endpoint per le VM e i servizi che richiedono la comunicazione Internet come parte della soluzione.You can still configure endpoint connections for the VMs and services that require Internet communication, as part of your solution.

  • Estendi in modo sicuro il data center.Securely extend your data center. Con le reti virtuali è possibile creare reti virtuali private da sito a sito (S2S) tradizionali per la scalabilità sicura della capacità del data center.With VNets, you can build traditional site-to-site (S2S) VPNs to securely scale your datacenter capacity. Le reti virtuali private S2S usano IPSEC per fornire una connessione sicura tra il gateway VPN della rete virtuale privata aziendale e Azure.S2S VPNs use IPSEC to provide a secure connection between your corporate VPN gateway and Azure.

  • Abilitare scenari cloud ibridi.Enable hybrid cloud scenarios. Le reti virtuali offrono la flessibilità per supportare una gamma di scenari cloud ibridi.VNets give you the flexibility to support a range of hybrid cloud scenarios. È possibile connettere applicazioni basate sul cloud in modo sicuro a qualsiasi tipo di sistema locale, come mainframe e sistemi Unix.You can securely connect cloud-based applications to any type of on-premises system such as mainframes and Unix systems.

Come iniziare?How do I get started?

Per iniziare, vedere l'articolo Documentazione sulla rete virtuale,Visit the Virtual network documentation to get started. che contiene una panoramica e informazioni sulla distribuzione per tutte le funzionalità di rete virtuale.This content provides overview and deployment information for all of the VNet features.

È possibile usare reti virtuali senza connettività cross-premise?Can I use VNets without cross-premises connectivity?

Sì.Yes. È possibile usare una rete virtuale senza connetterla all'ambiente locale.You can use a VNet without connecting it to your premises. Ad esempio, è possibile eseguire controller di dominio Active Directory di Windows Server e farm di SharePoint esclusivamente in una rete virtuale di Azure.For example, you could run Microsoft Windows Server Active Directory domain controllers and SharePoint farms solely in an Azure VNet.

È possibile eseguire l'ottimizzazione WAN tra reti virtuali o tra una rete virtuale e il data center locale?Can I perform WAN optimization between VNets or a VNet and my on-premises data center?

Sì.Yes. È possibile distribuire appliance virtuali di rete per l'ottimizzazione WAN di diversi fornitori tramite Azure Marketplace.You can deploy a WAN optimization network virtual appliance from several vendors through the Azure Marketplace.

ConfigurazioneConfiguration

Quali strumenti si usano per creare una rete virtuale?What tools do I use to create a VNet?

Per creare o configurare una rete virtuale, è possibile usare gli strumenti seguenti:You can use the following tools to create or configure a VNet:

Quali intervalli di indirizzi è possibile usare nelle reti virtuali?What address ranges can I use in my VNets?

Qualsiasi intervallo di indirizzi IP definito in RFC 1918.Any IP address range defined in RFC 1918. Ad esempio, 10.0.0.0/16.For example, 10.0.0.0/16. Non è possibile aggiungere gli intervalli di indirizzi seguenti:You cannot add the following address ranges:

  • 224.0.0.0/4 (multicast)224.0.0.0/4 (Multicast)
  • 255.255.255.255/32 (broadcast)255.255.255.255/32 (Broadcast)
  • 127.0.0.0/8 (loopback)127.0.0.0/8 (Loopback)
  • 169.254.0.0/16 (locale rispetto al collegamento)169.254.0.0/16 (Link-local)
  • 168.63.129.16/32 (DNS interno)168.63.129.16/32 (Internal DNS)

È possibile avere indirizzi IP pubblici nelle reti virtuali?Can I have public IP addresses in my VNets?

Sì.Yes. Per altre informazioni sugli intervalli di indirizzi IP pubblici, vedere Create a virtual network (Creare una rete virtuale).For more information about public IP address ranges, see Create a virtual network. Gli indirizzi IP pubblici non sono accessibili direttamente da Internet.Public IP addresses are not directly accessible from the internet.

Esiste un limite al numero di subnet nella rete virtuale?Is there a limit to the number of subnets in my VNet?

Sì.Yes. Vedere Limiti di Azure per informazioni dettagliate.See Azure limits for details. Gli spazi degli indirizzi della subnet non possono sovrapporsi.Subnet address spaces cannot overlap one another.

Esistono restrizioni sull'uso di indirizzi IP all'interno di tali subnet?Are there any restrictions on using IP addresses within these subnets?

Sì.Yes. Azure riserva 5 indirizzi IP all'interno di ogni subnet.Azure reserves 5 IP addresses within each subnet. Sono x. x.x. x. 0-x. x.x. x. 3 e l'ultimo indirizzo della subnet.These are x.x.x.0-x.x.x.3 and the last address of the subnet. x. x.x. x. 1-x.x. x. 3 è riservato in ogni subnet per i servizi di Azure.x.x.x.1-x.x.x.3 is reserved in each subnet for Azure services.

  • x.x. x. 0: Indirizzo di retex.x.x.0: Network address
  • x. x. 1: Riservato da Azure per il gateway predefinitox.x.x.1: Reserved by Azure for the default gateway
  • x. x.x. x. 2, x.x. x. 3: Riservato da Azure per il mapping degli indirizzi IP DNS di Azure allo spazio VNetx.x.x.2, x.x.x.3: Reserved by Azure to map the Azure DNS IPs to the VNet space
  • x. x. 255: Indirizzo broadcast di retex.x.x.255: Network broadcast address

Quanto piccole o grandi possono essere le reti virtuali e le subnet?How small and how large can VNets and subnets be?

La subnet più piccola supportata è /29 e la più grande è /8 (in base alle definizioni di subnet CIDR).The smallest supported subnet is /29, and the largest is /8 (using CIDR subnet definitions).

È possibile trasferire le reti VLAN in Azure usando reti virtuali?Can I bring my VLANs to Azure using VNets?

No.No. Le reti virtuali sono sovrapposizioni di livello 3.VNets are Layer-3 overlays. Azure non supporta alcuna semantica di livello 2.Azure does not support any Layer-2 semantics.

È possibile specificare criteri di routing personalizzati nelle reti virtuali e nelle subnet?Can I specify custom routing policies on my VNets and subnets?

Sì.Yes. È possibile creare una tabella di route e associarla a una subnet.You can create a route table and associate it to a subnet. Per altre informazioni sul routing in Azure, vedere Panoramica sul routing.For more information about routing in Azure, see Routing overview.

Le reti virtuali supportano la distribuzione multicast o broadcast?Do VNets support multicast or broadcast?

No.No. La distribuzione multicast o broadcast non è supportata.Multicast and broadcast are not supported.

Quali protocolli è possibile usare all'interno delle reti virtuali?What protocols can I use within VNets?

All'interno delle reti virtuali è possibile usare i protocolli TCP, UDP e ICMP TCP/IP.You can use TCP, UDP, and ICMP TCP/IP protocols within VNets. Unicast è supportato all'interno delle reti virtuali, fatta eccezione per Dynamic Host Configuration Protocol (DHCP) tramite Unicast (porta di origine UDP/68/porta di destinazione UDP/67).Unicast is supported within VNets, with the exception of Dynamic Host Configuration Protocol (DHCP) via Unicast (source port UDP/68 / destination port UDP/67). I pacchetti incapsulati IP in IP, multicast e broadcast e i pacchetti Generic Routing Encapsulation (GRE) sono bloccati all'interno delle reti virtuali.Multicast, broadcast, IP-in-IP encapsulated packets, and Generic Routing Encapsulation (GRE) packets are blocked within VNets.

È possibile eseguire il ping dei router predefiniti all'interno di una rete virtuale?Can I ping my default routers within a VNet?

No.No.

È possibile usare tracert per diagnosticare la connettività?Can I use tracert to diagnose connectivity?

No.No.

È possibile aggiungere subnet dopo la creazione della rete virtuale?Can I add subnets after the VNet is created?

Sì.Yes. Le subnet possono essere aggiunte alle reti virtuali in qualsiasi momento purché l'intervallo di indirizzi della subnet non faccia parte di un'altra subnet e vi sia sufficiente spazio disponibile nell'intervallo di indirizzi della rete virtuale.Subnets can be added to VNets at any time as long as the subnet address range is not part of another subnet and there is available space left in the virtual network's address range.

È possibile modificare le dimensioni della subnet dopo averla creata?Can I modify the size of my subnet after I create it?

Sì.Yes. È possibile aggiungere, rimuovere, espandere o compattare una subnet se non sono presenti macchine virtuali o servizi distribuiti al suo interno.You can add, remove, expand, or shrink a subnet if there are no VMs or services deployed within it.

È possibile modificare le subnet dopo averle create?Can I modify subnets after I created them?

Sì.Yes. È possibile aggiungere, rimuovere e modificare i blocchi CIDR utilizzati da una rete virtuale.You can add, remove, and modify the CIDR blocks used by a VNet.

Se si eseguono i servizi in una rete virtuale, è possibile connettersi a Internet?If I am running my services in a VNet, can I connect to the internet?

Sì.Yes. Tutti i servizi distribuiti all'interno di una rete virtuale possono effettuare la connessione in uscita a Internet.All services deployed within a VNet can connect outbound to the internet. Per altre informazioni sulle connessioni Internet in uscita in Azure, vedere Connessioni in uscita.To learn more about outbound internet connections in Azure, see Outbound connections. Se si vuole effettuare la connessione in ingresso a una risorsa distribuita tramite Resource Manager, la risorsa deve avere un indirizzo IP pubblico assegnato.If you want to connect inbound to a resource deployed through Resource Manager, the resource must have a public IP address assigned to it. Per altre informazioni sugli indirizzi IP pubblici, vedere Indirizzi IP pubblici.To learn more about public IP addresses, see Public IP addresses. A ciascun servizio cloud di Azure distribuito in Azure viene assegnato un indirizzo VIP indirizzabile pubblicamente.Every Azure Cloud Service deployed in Azure has a publicly addressable VIP assigned to it. Per abilitare tali servizi in modo che accettino le connessioni da Internet, è necessario definire gli endpoint di input per i ruoli PaaS e gli endpoint per le macchine virtuali.You define input endpoints for PaaS roles and endpoints for virtual machines to enable these services to accept connections from the internet.

Le reti virtuali supportano IPv6?Do VNets support IPv6?

No.No. Al momento non è possibile usare IPv6 con le reti virtuali.You cannot use IPv6 with VNets at this time. È tuttavia possibile assegnare indirizzi IPv6 ai servizi di bilanciamento del carico di Azure per effettuare il bilanciamento del carico delle macchine virtuali.You can however, assign IPv6 addresses to Azure load balancers to load balance virtual machines. Per dettagli, vedere Panoramica di IPv6 per Azure Load Balancer.For details, see Overview of IPv6 for Azure Load Balancer.

Una rete virtuale può estendersi a più aree?Can a VNet span regions?

No.No. Una rete virtuale è limitata a una singola area.A VNet is limited to a single region. Tuttavia, una rete virtuale si estende su zone di disponibilità.A virtual network does, however, span availability zones. Per altre informazioni sulle zone di disponibilità, vedere Panoramica delle zone di disponibilità.To learn more about availability zones, see Availability zones overview. È possibile connettere reti virtuali in diverse aree con il peering di rete virtuale.You can connect virtual networks in different regions with virtual network peering. Per informazioni dettagliate, vedere Panoramica del peering di rete virtuale.For details, see Virtual network peering overview

È possibile connettere una rete virtuale a un'altra rete virtuale in Azure?Can I connect a VNet to another VNet in Azure?

Sì.Yes. È possibile connettere una rete virtuale a un'altra usando:You can connect one VNet to another VNet using either:

Risoluzione del nome (DNS)Name Resolution (DNS)

Quali sono le opzioni DNS per le reti virtuali?What are my DNS options for VNets?

Usare la tabella delle decisioni nella pagina Risoluzione dei nomi per le VM e le istanze del ruolo come guida per tutte le opzioni DNS disponibili.Use the decision table on the Name Resolution for VMs and Role Instances page to guide you through all the DNS options available.

È possibile specificare i server DNS per una rete virtuale?Can I specify DNS servers for a VNet?

Sì.Yes. È possibile specificare gli indirizzi IP del server DNS nelle impostazioni della rete virtuale.You can specify DNS server IP addresses in the VNet settings. L'impostazione viene applicata come server DNS predefiniti per tutte le macchine virtuali nella rete virtuale.The setting is applied as the default DNS server(s) for all VMs in the VNet.

Quanti server DNS è possibile specificare?How many DNS servers can I specify?

Fare riferimento a Limiti di Azure.Reference Azure limits.

È possibile modificare i server DNS dopo aver creato la rete?Can I modify my DNS servers after I have created the network?

Sì.Yes. È possibile modificare l'elenco dei server DNS per la rete virtuale in qualsiasi momento.You can change the DNS server list for your VNet at any time. Se si modifica l'elenco dei server DNS, sarà necessario riavviare tutte le macchine virtuali nella rete virtuale affinché possano selezionare il nuovo server DNS.If you change your DNS server list, you will need to restart each of the VMs in your VNet in order for them to pick up the new DNS server.

Qual è il DNS fornito da Azure e funziona con le reti virtuali?What is Azure-provided DNS and does it work with VNets?

Il DNS fornito da Azure è un servizio DNS multi-tenant offerto da Microsoft.Azure-provided DNS is a multi-tenant DNS service offered by Microsoft. Azure registra tutte le macchine virtuali e le istanze del ruolo del servizio cloud in questo servizio.Azure registers all of your VMs and cloud service role instances in this service. Questo servizio fornisce la risoluzione dei nomi dal nome host per le macchine virtuali e le istanze del ruolo contenute all'interno dello stesso servizio cloud e da FQDN per le macchine virtuali e le istanze del ruolo nella stessa rete virtuale.This service provides name resolution by hostname for VMs and role instances contained within the same cloud service, and by FQDN for VMs and role instances in the same VNet. Per altre informazioni sul servizio DNS, vedere Risoluzione dei nomi per le macchine virtuali e le istanze del ruolo di Servizi cloud.To learn more about DNS, see Name Resolution for VMs and Cloud Services role instances.

Esiste una limitazione ai primi 100 servizi cloud nella rete virtuale per la risoluzione dei nomi cross-tenant tramite il DNS fornito da Azure.There is a limitation to the first 100 cloud services in a VNet for cross-tenant name resolution using Azure-provided DNS. Se si utilizza il proprio server DNS, questa limitazione non viene applicata.If you are using your own DNS server, this limitation does not apply.

È possibile ignorare le impostazioni DNS in base alla macchina virtuale o al servizio cloud?Can I override my DNS settings on a per-VM or cloud service basis?

Sì.Yes. È possibile impostare i server DNS in base alla macchina virtuale o al servizio cloud per ignorare le impostazioni di rete predefinite.You can set DNS servers per VM or cloud service to override the default network settings. Tuttavia, è consigliabile usare quanto più possibile DNS a livello di rete.However, it's recommended that you use network-wide DNS as much as possible.

È possibile trasferire il suffisso DNS personalizzato?Can I bring my own DNS suffix?

No.No. Non è possibile specificare un suffisso DNS personalizzato per le reti virtuali.You cannot specify a custom DNS suffix for your VNets.

Connessione di macchine virtualiConnecting virtual machines

È possibile distribuire le macchine virtuali su una rete virtuale?Can I deploy VMs to a VNet?

Sì.Yes. Tutte le scheda di interfaccia di rete collegate a una macchina virtuale distribuita con il modello di distribuzione Resource Manager devono essere connesse a una rete virtuale.All network interfaces (NIC) attached to a VM deployed through the Resource Manager deployment model must be connected to a VNet. Facoltativamente, è possibile connettere le macchine virtuali distribuite con il modello di distribuzione classica a una rete virtuale.VMs deployed through the classic deployment model can optionally be connected to a VNet.

Quali tipi di indirizzi IP è possibile assegnare alle macchine virtuali?What are the different types of IP addresses I can assign to VMs?

  • Privato: assegnato a ogni scheda di interfaccia di rete all'interno di ogni macchina virtuale.Private: Assigned to each NIC within each VM. L'indirizzo viene assegnato con il metodo statico o dinamico.The address is assigned using either the static or dynamic method. Gli indirizzi IP privati vengono assegnati dall'intervallo specificato nelle impostazioni della subnet della rete virtuale.Private IP addresses are assigned from the range that you specified in the subnet settings of your VNet. Alle risorse distribuite con il modello di distribuzione classica vengono assegnati indirizzi IP privati, anche se non sono connesse a una rete virtuale.Resources deployed through the classic deployment model are assigned private IP addresses, even if they're not connected to a VNet. Il comportamento del metodo di allocazione è diverso a seconda del fatto che una risorsa sia stata distribuita con il modello di distribuzione Resource Manager o classica:The behavior of the allocation method is different depending on whether a resource was deployed with the Resource Manager or classic deployment model:

    • Resource Manager: un indirizzo IP privato assegnato con il metodo dinamico o statico rimane assegnato a una macchina virtuale (Resource Manager) fino a quando la risorsa non viene eliminata.Resource Manager: A private IP address assigned with the dynamic or static method remains assigned to a virtual machine (Resource Manager) until the resource is deleted. La differenza consiste nel fatto che quando si usa il metodo statico si seleziona l'indirizzo da assegnare, mentre quando si usa quello dinamico sceglie Azure.The difference is that you select the address to assign when using static, and Azure chooses when using dynamic.
    • Classica: un indirizzo IP privato assegnato con il metodo dinamico può cambiare quando una macchina virtuale (classica) viene riavviata dopo essere stata arrestata (deallocata).Classic: A private IP address assigned with the dynamic method may change when a virtual machine (classic) VM is restarted after having been in the stopped (deallocated) state. Se è necessario assicurarsi che l'indirizzo IP privato per una risorsa distribuita tramite il modello di distribuzione classica non cambi mai, assegnare un indirizzo IP privato con il metodo statico.If you need to ensure that the private IP address for a resource deployed through the classic deployment model never changes, assign a private IP address with the static method.
  • Pubblico: assegnato facoltativamente alle schede di interfaccia di rete collegate alle macchine virtuali distribuite con il modello di distribuzione Azure Resource Manager.Public: Optionally assigned to NICs attached to VMs deployed through the Azure Resource Manager deployment model. L'indirizzo può essere assegnato con il metodo di allocazione statica o dinamica.The address can be assigned with the static or dynamic allocation method. Tutte le macchine virtuali e le istanze del ruolo dei servizi cloud distribuite con il modello di distribuzione classica esistono all'interno di un servizio cloud, a cui viene assegnato un indirizzo IP virtuale (VIP) pubblico dinamico.All VMs and Cloud Services role instances deployed through the classic deployment model exist within a cloud service, which is assigned a dynamic, public virtual IP (VIP) address. Facoltativamente, è possibile assegnare un indirizzo IP pubblico statico, detto indirizzo IP riservato, come indirizzo VIP.A public static IP address, called a Reserved IP address, can optionally be assigned as a VIP. Gli indirizzi IP pubblici possono essere assegnati a singole macchine virtuali o istanze del ruolo dei servizi cloud distribuite con il modello di distribuzione classica.You can assign public IP addresses to individual VMs or Cloud Services role instances deployed through the classic deployment model. Questi sono detti indirizzi IP pubblici a livello di istanza (ILPIP) e possono essere assegnati in modo dinamico.These addresses are called Instance level public IP (ILPIP addresses and can be assigned dynamically.

È possibile riservare un indirizzo IP privato per una macchina virtuale che verrà creata in un secondo momento?Can I reserve a private IP address for a VM that I will create at a later time?

No.No. Non è possibile riservare un indirizzo IP privato.You cannot reserve a private IP address. Se un indirizzo IP privato è disponibile, viene assegnato a una macchina virtuale o a un'istanza del ruolo dal server DHCP,If a private IP address is available, it is assigned to a VM or role instance by the DHCP server. indipendentemente dal fatto che la macchina virtuale sia o meno quella a cui si vuole assegnare l'indirizzo IP privato.The VM may or may not be the one that you want the private IP address assigned to. È possibile tuttavia cambiare l'indirizzo IP privato di una macchina virtuale già creata con qualsiasi indirizzo IP privato disponibile.You can, however, change the private IP address of an already created VM, to any available private IP address.

Gli indirizzi IP privati vengono modificati per le macchine virtuali in una rete virtuale?Do private IP addresses change for VMs in a VNet?

Dipende.It depends. Se la macchina virtuale è stata distribuita tramite Resource Manager, non vengono modificati, indipendentemente dal fatto che l'indirizzo IP sia stato assegnato con il metodo di allocazione statica o dinamica.If the VM was deployed through Resource Manager, no, regardless of whether the IP address was assigned with the static or dynamic allocation method. Se la macchina virtuale è stata distribuita tramite il modello di distribuzione classica, gli indirizzi IP possono essere modificati quando una macchina virtuale viene avviata dopo essere stata arrestata (deallocata).If the VM was deployed through the classic deployment model, dynamic IP addresses can change when a VM is started after having been in the stopped (deallocated) state. L'indirizzo viene rilasciato da una macchina virtuale distribuita tramite uno dei modelli di distribuzione quando la macchina virtuale viene eliminata.The address is released from a VM deployed through either deployment model when the VM is deleted.

È possibile assegnare manualmente indirizzi IP alle schede di interfaccia di rete all'interno del sistema operativo di una macchina virtuale?Can I manually assign IP addresses to NICs within the VM operating system?

Sì, ma non è consigliabile a meno che non sia necessario, ad esempio quando si assegnano più indirizzi IP a una macchina virtuale.Yes, but it's not recommended unless necessary, such as when assigning multiple IP addresses to a virtual machine. Per informazioni dettagliate, vedere Aggiunta di più indirizzi IP a una macchina virtuale.For details, see Adding multiple IP addresses to a virtual machine. Se l'indirizzo IP assegnato a una scheda di interfaccia di rete di Azure collegata a una macchina virtuale viene modificato e l'indirizzo IP all'interno del sistema operativo della macchina virtuale è differente, si perde la connessione alla macchina virtuale.If the IP address assigned to an Azure NIC attached to a VM changes, and the IP address within the VM operating system is different, you lose connectivity to the VM.

Se si arresta il funzionamento di uno slot di distribuzione del servizio cloud o di una macchina virtuale dall'interno del sistema operativo, cosa accade agli indirizzi IP?If I stop a Cloud Service deployment slot or shutdown a VM from within the operating system, what happens to my IP addresses?

Niente.Nothing. Gli indirizzi IP, pubblici, privati o indirizzi VIP pubblici, rimangano assegnati alla relativa macchina virtuale o allo slot di distribuzione del servizio cloud.The IP addresses (public VIP, public, and private) remain assigned to the cloud service deployment slot or VM.

È possibile spostare le macchine virtuali da una subnet a un'altra in una rete virtuale senza ripetere la distribuzione?Can I move VMs from one subnet to another subnet in a VNet without redeploying?

Sì.Yes. Per altre informazioni, vedere l'articolo Come spostare una macchina virtuale o un'istanza del ruolo in un'altra subnet.You can find more information in the How to move a VM or role instance to a different subnet article.

È possibile configurare un indirizzo MAC statico per la macchina virtuale?Can I configure a static MAC address for my VM?

No.No. Un indirizzo MAC non può essere configurato in modo statico.A MAC address cannot be statically configured.

L'indirizzo MAC rimarrà invariato per la macchina virtuale dopo averla creata?Will the MAC address remain the same for my VM once it's created?

Sì, l'indirizzo MAC rimane invariato sia che la macchina virtuale venga distribuita con il modello di distribuzione classica o Resource Manager, finché non viene eliminata.Yes, the MAC address remains the same for a VM deployed through both the Resource Manager and classic deployment models until it's deleted. In precedenza se la macchina virtuale veniva arrestata, ovvero deallocata, l'indirizzo MAC veniva rilasciato. Ora viene mantenuto anche quando la macchina virtuale è in stato deallocato.Previously, the MAC address was released if the VM was stopped (deallocated), but now the MAC address is retained even when the VM is in the deallocated state. L'indirizzo MAC rimarrà assegnato all'interfaccia di rete finché l'interfaccia non viene eliminata oppure non viene modificato l'indirizzo IP privato assegnato alla configurazione IP primaria dell'interfaccia di rete primaria.The MAC address remains assigned to the network interface until the network interface is deleted or the private IP address assigned to the primary IP configuration of the primary network interface is changed.

È possibile eseguire la connessione a Internet da una macchina virtuale in una rete virtuale?Can I connect to the internet from a VM in a VNet?

Sì.Yes. Tutte le macchine virtuali e le istanze del ruolo dei servizi cloud distribuite all'interno di una rete virtuale possono connettersi a Internet.All VMs and Cloud Services role instances deployed within a VNet can connect to the Internet.

Servizi di Azure che si connettono a reti virtualiAzure services that connect to VNets

È possibile usare le app Web del servizio app di Azure con una rete virtuale?Can I use Azure App Service Web Apps with a VNet?

Sì.Yes. È possibile distribuire app Web all'interno di una VNet usando un ambiente del servizio app (ambiente del servizio app), connettere il back-end delle app al reti virtuali con l'integrazione VNet e bloccare il traffico in ingresso all'app con gli endpoint di servizio.You can deploy Web Apps inside a VNet using an ASE (App Service Environment), connect the backend of your apps to your VNets with VNet Integration, and lock down inbound traffic to your app with service endpoints. Per altre informazioni, vedere i seguenti articoli:For more information, see the following articles:

È possibile distribuire i servizi cloud con ruolo di lavoro e Web (PaaS) in una rete virtuale?Can I deploy Cloud Services with web and worker roles (PaaS) in a VNet?

Sì.Yes. Facoltativamente, è possibile distribuire istanze del ruolo dei servizi cloud all'interno di reti virtuali.You can (optionally) deploy Cloud Services role instances within VNets. A tale scopo, specificare il nome della rete virtuale e i mapping dei ruoli e delle subnet nella sezione di configurazione della rete della configurazione del servizio.To do so, you specify the VNet name and the role/subnet mappings in the network configuration section of your service configuration. Non è necessario aggiornare i file binari.You do not need to update any of your binaries.

È possibile connettere un set di scalabilità di macchine virtuali a una VNet?Can I connect a virtual machine scale set to a VNet?

Sì.Yes. È necessario connettere un set di scalabilità di macchine virtuali a un VNet.You must connect a virtual machine scale set to a VNet.

È disponibile un elenco completo dei servizi di Azure da cui è possibile distribuire le risorse in una rete virtuale?Is there a complete list of Azure services that can I deploy resources from into a VNet?

Sì. Per informazioni dettagliate, vedere Integrazione della rete virtuale per i servizi di Azure.Yes, For details, see Virtual network integration for Azure services.

A quali risorse PaaS di Azure è possibile limitare l'accesso da una rete virtuale?Which Azure PaaS resources can I restrict access to from a VNet?

Per le risorse distribuite tramite alcuni servizi PaaS di Azure (come Archiviazione di Azure e il database SQL di Azure), è possibile limitare l'accesso alla rete solo alle risorse in una rete virtuale tramite l'uso di endpoint servizio di rete virtuale.Resources deployed through some Azure PaaS services (such as Azure Storage and Azure SQL Database), can restrict network access to only resources in a VNet through the use of virtual network service endpoints. Per informazioni dettagliate, vedere Panoramica degli endpoint servizio di rete virtuale.For details, see Virtual network service endpoints overview.

È possibile spostare i servizi all’interno e all’esterno delle reti virtuali?Can I move my services in and out of VNets?

No.No. Non è possibile spostare i servizi all'interno e all'esterno delle reti virtuali.You cannot move services in and out of VNets. Per spostare una risorsa in un'altra rete virtuale, è necessario eliminarla e ridistribuirla.To move a resource to another VNet, you have to delete and redeploy the resource.

SecuritySecurity

Che cos'è il modello di sicurezza per le reti virtuali?What is the security model for VNets?

Le reti virtuali sono isolate l'una dall'altra e gli altri servizi sono ospitati nell'infrastruttura di Azure.VNets are isolated from one another, and other services hosted in the Azure infrastructure. Una rete virtuale è un limite di attendibilità.A VNet is a trust boundary.

È possibile limitare il flusso del traffico in ingresso o in uscita alle risorse connesse alla rete virtuale?Can I restrict inbound or outbound traffic flow to VNet-connected resources?

Sì.Yes. È possibile applicare gruppi di sicurezza di rete a singole subnet all'interno di una rete virtuale e/o a schede di interfaccia di rete collegate a una rete virtuale.You can apply Network Security Groups to individual subnets within a VNet, NICs attached to a VNet, or both.

È possibile implementare un firewall tra le risorse connesse alla rete virtuale?Can I implement a firewall between VNet-connected resources?

Sì.Yes. È possibile distribuire appliance virtuali di rete di diversi fornitori tramite Azure Marketplace.You can deploy a firewall network virtual appliance from several vendors through the Azure Marketplace.

Sono disponibili informazioni sulla protezione di reti virtuali?Is there information available about securing VNets?

Sì.Yes. Per informazioni dettagliate, vedere Panoramica della sicurezza di rete di Azure.For details, see Azure Network Security Overview.

API, schemi e strumentiAPIs, schemas, and tools

È possibile gestire le reti virtuali dal codice?Can I manage VNets from code?

Sì.Yes. È possibile usare le API REST per reti virtuali nei modelli di distribuzione Azure Resource Manager e classica .You can use REST APIs for VNets in the Azure Resource Manager and classic deployment models.

È disponibile il supporto degli strumenti per le reti virtuali?Is there tooling support for VNets?

Sì.Yes. Altre informazioni:Learn more about using:

Peering di rete virtualeVNet peering

Che cos'è il peering di reti virtuali?What is VNet peering?

Il peering di reti virtuali consente di connettere le reti virtuali.VNet peering (or virtual network peering) enables you to connect virtual networks. Usando una connessione di peering di reti virtuali è possibile instradare il traffico tra le reti in modo privato tramite indirizzi IPv4.A VNet peering connection between virtual networks enables you to route traffic between them privately through IPv4 addresses. Le macchine virtuali nelle reti virtuali con peering possono comunicare tra loro come se si trovassero nella stessa rete.Virtual machines in the peered VNets can communicate with each other as if they are within the same network. Queste reti virtuali possono trovarsi in aree geografiche uguali o diverse. In questo secondo caso, si parla di peering di reti virtuali globale.These virtual networks can be in the same region or in different regions (also known as Global VNet Peering). Le connessioni di peering di reti virtuali possono essere create anche tra sottoscrizioni di Azure.VNet peering connections can also be created across Azure subscriptions.

È possibile creare una connessione di peering per una rete virtuale in un'area diversa?Can I create a peering connection to a VNet in a different region?

Sì.Yes. Il peering di reti virtuali globale consente di eseguire il peering di reti virtuali in aree diverse.Global VNet peering enables you to peer VNets in different regions. Il peering VNet globale è disponibile in tutte le aree pubbliche di Azure, nelle aree del cloud Cina e nelle aree del cloud per enti pubblici.Global VNet peering is available in all Azure public regions, China cloud regions, and Government cloud regions. Non è possibile eseguire il peering a livello globale dalle aree pubbliche di Azure alle aree del cloud nazionale.You cannot globally peer from Azure public regions to national cloud regions.

Se le due reti virtuali si trovano in aree geografiche diverse (peering VNet globale), non è possibile connettersi a risorse che usano Load Balancer di base.If the two virtual networks are in different regions (Global VNet Peering), you cannot connect to resources that use Basic Load Balancer. È possibile connettersi a risorse che usano Load Balancer Standard.You can connect to resources that use Standard Load Balancer. Le risorse seguenti usano i bilanciamenti del carico di base, che significa che non è possibile comunicare con essi attraverso il peering VNet globale:The following resources use Basic Load Balancers which means you cannot communicate to them across Global VNet Peering:

  • Macchine virtuali dietro i bilanciamenti del carico BasicVMs behind Basic Load Balancers
  • Set di scalabilità di macchine virtuali con bilanciamento del carico di baseVirtual machine scale sets with Basic Load Balancers
  • Cache RedisRedis Cache
  • SKU del gateway applicazione (V1)Application Gateway (v1) SKU
  • Service FabricService Fabric
  • MI SQLSQL MI
  • Gestione APIAPI Management
  • Servizio Dominio di Active Directory (aggiunge)Active Directory Domain Service (ADDS)
  • App per la logicaLogic Apps
  • HDInsightHDInsight
  • Azure BatchAzure Batch
  • Servizio Azure KubernetesAKS
  • Ambiente del servizio appApp Service Environment

È possibile connettersi a queste risorse tramite ExpressRoute o da VNet a VNet tramite gateway VNet.You can connect to these resources via ExpressRoute or VNet-to-VNet through VNet Gateways.

È possibile abilitare il peering reti virtuali se le reti virtuali appartengono a sottoscrizioni all'interno di diversi tenant di Azure Active Directory?Can I enable VNet Peering if my virtual networks belong to subscriptions within different Azure Active Directory tenants?

Sì.Yes. È possibile stabilire il peering reti virtuali (sia locale che globale) se le sottoscrizioni appartengono a tenant di Azure Active Directory diversi.It is possible to establish VNet Peering (whether local or global) if your subscriptions belong to different Azure Active Directory tenants. Questa operazione può essere eseguita tramite PowerShell o l'interfaccia della riga di comando.You can do this via PowerShell or CLI. L'uso del portale non è ancora supportato.Portal is not yet supported.

La connessione al peering rete virtuale è nello stato Avviato, per quale motivo non è possibile connettersi?My VNet peering connection is in Initiated state, why can't I connect?

Se la connessione di peering è in uno stato avviato , significa che è stato creato un solo collegamento.If your peering connection is in an Initiated state, this means you have created only one link. È necessario creare un collegamento bidirezionale per stabilire una connessione.A bidirectional link must be created in order to establish a successful connection. Ad esempio, per eseguire il peering di rete virtuale A a rete virtuale B, un collegamento deve essere creato da rete virtuale A a rete virtuale B e da rete virtuale B a rete virtuale A.For example, to peer VNet A to VNet B, a link must be created from VNetA to VNetB and from VNetB to VNetA. La creazione di entrambi i collegamenti comporterà la modifica dello stato su Connected.Creating both links will change the state to Connected.

La connessione di peering di reti virtuali è in stato Disconnesso. Per quale motivo non è possibile connettersi?My VNet peering connection is in Disconnected state, why can't I create a peering connection?

Se la connessione di peering di VNet è in uno stato disconnesso , significa che uno dei collegamenti creati è stato eliminato.If your VNet peering connection is in a Disconnected state, it means one of the links created was deleted. Per ristabilire una connessione peering, sarà necessario eliminare il collegamento e ricrearlo.In order to re-establish a peering connection, you will need to delete the link and recreate it.

È possibile eseguire il peering di rete virtuale con una rete virtuale in una sottoscrizione diversa?Can I peer my VNet with a VNet in a different subscription?

Sì.Yes. È possibile eseguire il peering di reti virtuali tra sottoscrizioni e aree.You can peer VNets across subscriptions and across regions.

È possibile eseguire il peering di due reti virtuali con gli intervalli di indirizzi sovrapposti o corrispondenti?Can I peer two VNets with matching or overlapping address ranges?

No.No. Gli spazi indirizzi non devono sovrapporsi per consentire il peering reti virtuali.Address spaces must not overlap to enable VNet Peering.

Non sono previsti addebiti per la creazione di una connessione peering di reti virtuali.There is no charge for creating a VNet peering connection. Viene addebitato il trasferimento dei dati tra connessioni peering.Data transfer across peering connections is charged. Vedere qui.See here.

Il traffico peering di rete virtuale è crittografato?Is VNet peering traffic encrypted?

No.No. Il traffico tra le risorse in reti virtuali con peering è privato e isolato.Traffic between resources in peered VNets is private and isolated. Il messaggio rimane completamente nel Backbone di Microsoft.It remains completely on the Microsoft Backbone.

Perché la connessione peering è in uno stato disconnesso ?Why is my peering connection in a Disconnected state?

Le connessioni peering di rete virtuale passano allo stato Disconnesso quando viene eliminato un collegamento di peering della rete virtuale.VNet peering connections go into Disconnected state when one VNet peering link is deleted. È necessario eliminare entrambi i collegamenti per ristabilire una connessione peering.You must delete both links in order to reestablish a successful peering connection.

Se si esegue il peering di rete virtuale A a rete virtuale B e il peering di rete virtuale B a rete virtuale C, significa che è stato eseguito il peering delle reti virtuali A e C?If I peer VNetA to VNetB and I peer VNetB to VNetC, does that mean VNetA and VNetC are peered?

No.No. Il peering transitivo non è supportato.Transitive peering is not supported. Si dovrà eseguire il peering delle reti virtuali A e C affinché questo si verifichi.You must peer VNetA and VNetC for this to take place.

Sono presenti limitazioni relative alla larghezza di banda per le connessioni peering?Are there any bandwidth limitations for peering connections?

No.No. La rete virtuale di peering, sia locale che globale, non impone restrizioni relative alla larghezza di banda.VNet peering, whether local or global, does not impose any bandwidth restrictions. La larghezza di banda è limitata solo dalla macchina virtuale o dalla risorsa di calcolo.Bandwidth is only limited by the VM or the compute resource.

Come è possibile risolvere I problemi relativi al peering di VNet?How can I troubleshoot VNet Peering issues?

Ecco una guida per la risoluzione dei problemi che è possibile provare.Here is a troubleshooter guide you can try.

TAP di rete virtualeVirtual network TAP

Quali aree di Azure sono disponibili per la TAP di rete virtuale?Which Azure regions are available for virtual network TAP?

L'anteprima di TAP per la rete virtuale è disponibile in tutte le aree di Azure.Virtual network TAP preview is available in all Azure regions. Le interfacce di rete monitorate, la risorsa punto di accesso terminale di rete virtuale e l'agente di raccolta o la soluzione di analisi devono essere distribuiti nella stessa area.The monitored network interfaces, the virtual network TAP resource, and the collector or analytics solution must be deployed in the same region.

La TAP di rete virtuale supporta qualsiasi funzionalità di filtraggio dei pacchetti con mirroring?Does Virtual Network TAP support any filtering capabilities on the mirrored packets?

Le funzionalità di filtro non sono supportate con l'anteprima TAP di rete virtuale.Filtering capabilities are not supported with the virtual network TAP preview. Quando si aggiunge una configurazione TAP a un'interfaccia di rete, una deep copy di tutto il traffico in ingresso e in uscita sull'interfaccia di rete viene inviata in streaming alla destinazione TAP.When a TAP configuration is added to a network interface a deep copy of all the ingress and egress traffic on the network interface is streamed to the TAP destination.

È possibile aggiungere più configurazioni TAP a un'interfaccia di rete monitorata?Can multiple TAP configurations be added to a monitored network interface?

Un'interfaccia di rete monitorata può avere solo una configurazione TAP.A monitored network interface can have only one TAP configuration. Verificare con la soluzione dei singoli partner la possibilità di trasmettere più copie del traffico tap agli strumenti di analisi di propria scelta.Check with the individual partner solution for the capability to stream multiple copies of the TAP traffic to the analytics tools of your choice.

Può la stessa risorsa TAP di rete virtuale aggregare il traffico dalle interfacce di rete monitorate in più di una rete virtuale?Can the same virtual network TAP resource aggregate traffic from monitored network interfaces in more than one virtual network?

Sì.Yes. La stessa risorsa TAP di rete virtuale può essere utilizzata per aggregare il traffico con mirroring da interfacce di rete monitorate in reti virtuali con peering nella stessa sottoscrizione o in una sottoscrizione diversa.The same virtual network TAP resource can be used to aggregate mirrored traffic from monitored network interfaces in peered virtual networks in the same subscription or a different subscription. La risorsa TAP di rete virtuale e il bilanciamento del carico di destinazione o l'interfaccia di rete di destinazione devono essere nella stessa sottoscrizione.The virtual network TAP resource and the destination load balancer or destination network interface must be in the same subscription. Tutte le sottoscrizioni devono trovarsi nello stesso tenant di Azure Active Directory.All subscriptions must be under the same Azure Active Directory tenant.

Ci sono considerazioni sulle prestazioni del traffico di produzione se abilito una configurazione TAP di rete virtuale su un'interfaccia di rete?Are there any performance considerations on production traffic if I enable a virtual network TAP configuration on a network interface?

Il tocco della rete virtuale è in anteprima.Virtual network TAP is in preview. Durante l'anteprima, non esiste alcun contratto di servizio.During preview, there is no service level agreement. La funzionalità non deve essere utilizzata per i carichi di lavoro di produzione.The capability should not be used for production workloads. Quando un'interfaccia di rete della macchina virtuale è abilitata con una configurazione TAP, le stesse risorse nell'host di Azure allocato alla macchina virtuale per l'invio del traffico di produzione vengono usate per eseguire la funzione di mirroring e inviare i pacchetti con mirroring.When a virtual machine network interface is enabled with a TAP configuration, the same resources on the Azure host allocated to the virtual machine to send the production traffic is used to perform the mirroring function and send the mirrored packets. Selezionare la dimensione corretta della macchina virtuale Linux o Windows per assicurarsi che siano disponibili risorse sufficienti affinché la macchina virtuale possa inviare il traffico di produzione e il traffico con mirroring.Select the correct Linux or Windows virtual machine size to ensure that sufficient resources are available for the virtual machine to send the production traffic and the mirrored traffic.

Il networking accelerato per Linux o Windows è supportato con la TAP di rete virtuale?Is accelerated networking for Linux or Windows supported with virtual network TAP?

Sarà possibile aggiungere una configurazione TAP a un'interfaccia di rete collegata a una macchina virtuale con networking accelerato abilitato.You will be able to add a TAP configuration on a network interface attached to a virtual machine that is enabled with accelerated networking. Ma le prestazioni e la latenza sulla macchina virtuale saranno influenzate dall'aggiunta della configurazione TAP, dato che l'offload per il mirroring del traffico non è attualmente supportato dal networking accelerato di Azure.But the performance and latency on the virtual machine will be affected by adding TAP configuration since the offload for mirroring traffic is currently not supported by Azure accelerated networking.

Endpoint servizio di rete virtualeVirtual network service endpoints

Qual è la sequenza corretta di operazioni per la configurazione di endpoint di servizio in un servizio di Azure?What is the right sequence of operations to set up service endpoints to an Azure service?

Esistono due passaggi per proteggere una risorsa del servizio di Azure tramite gli endpoint del servizio:There are two steps to secure an Azure service resource through service endpoints:

  1. Attivare gli endpoint di servizio per il servizio di Azure.Turn on service endpoints for the Azure service.
  2. Configurare elenchi di controllo di accesso di rete virtuale nel servizio di Azure.Set up VNet ACLs on the Azure service.

Il primo passaggio è un'operazione sul lato rete e il secondo passaggio è un'operazione sul lato risorsa del servizio.The first step is a network side operation and the second step is a service resource side operation. Entrambi i passaggi possono essere eseguiti dallo stesso amministratore o da amministratori diversi in base alle autorizzazioni di Controllo degli accessi in base al ruolo concesse al ruolo amministratore.Both steps can be performed either by the same administrator or different administrators based on the RBAC permissions granted to the administrator role. È consigliabile attivare gli endpoint di servizio per la rete virtuale prima di configurare gli elenchi di controllo di accesso di rete virtuale sul lato servizio di Azure.We recommend that you first turn on service endpoints for your virtual network prior to setting up VNet ACLs on Azure service side. Di conseguenza, i passaggi devono essere eseguiti nella sequenza elencata in precedenza per configurare gli endpoint del servizio VNet.Hence, the steps must be performed in the sequence listed above to set up VNet service endpoints.

Nota

Entrambe le operazioni descritte in precedenza devono essere completate prima di poter limitare l'accesso al servizio di Azure alla rete virtuale e alla subnet consentite.Both the operations described above must be completed before you can limit the Azure service access to the allowed VNet and subnet. Se si attivano esclusivamente gli endpoint di servizio per il servizio di Azure sul lato rete, non è possibile limitare l'accesso.Only turning on service endpoints for the Azure service on the network side does not provide you the limited access. È inoltre necessario configurare elenchi di controllo di accesso di rete virtuale sul lato servizio di Azure.In addition, you must also set up VNet ACLs on the Azure service side.

Alcuni servizi, ad esempio SQL e CosmosDB, consentono eccezioni alla sequenza precedente tramite il flag IgnoreMissingVnetServiceEndpoint .Certain services (such as SQL and CosmosDB) allow exceptions to the above sequence through the IgnoreMissingVnetServiceEndpoint flag. Quando il flag è impostato su true, gli ACL VNet possono essere impostati sul lato servizio di Azure prima di configurare gli endpoint del servizio sul lato rete.Once the flag is set to True, VNet ACLs can be set on the Azure service side prior to setting up the service endpoints on the network side. I servizi di Azure forniscono questo flag per aiutare i clienti nei casi in cui sono configurati firewall IP specifici nei servizi di Azure e l'attivazione degli endpoint di servizio sul lato rete può causare una perdita di connettività perché l'indirizzo IP di origine cambia passando da indirizzo IPv4 pubblico a indirizzo privato.Azure services provide this flag to help customers in cases where the specific IP firewalls are configured on Azure services and turning on the service endpoints on the network side can lead to a connectivity drop since the source IP changes from a public IPv4 address to a private address. La configurazione di elenchi di controllo di accesso di rete virtuale sul lato servizio di Azure prima dell'impostazione degli endpoint di servizio sul lato rete può aiutare a evitare la perdita di connettività.Setting up VNet ACLs on the Azure service side before setting service endpoints on the network side can help avoid a connectivity drop.

Tutti i servizi di Azure si trovano nella rete virtuale di Azure fornita dal cliente?Do all Azure services reside in the Azure virtual network provided by the customer? Come funzionano gli endpoint di servizio di rete virtuale con i servizi di Azure?How does VNet service endpoint work with Azure services?

No, non tutti i servizi di Azure si trovano nella rete virtuale del cliente.No, not all Azure services reside in the customer's virtual network. La maggior parte dei servizi dati di Azure, ad esempio archiviazione di Azure, SQL di Azure e Azure Cosmos DB, è costituita da servizi multi-tenant a cui è possibile accedere tramite indirizzi IP pubblici.The majority of Azure data services such as Azure Storage, Azure SQL, and Azure Cosmos DB, are multi-tenant services that can be accessed over public IP addresses. Per altre informazioni sull'integrazione della rete virtuale per i servizi di Azure, vedere qui.You can learn more about virtual network integration for Azure services here.

Quando si usa la funzionalità di endpoint di servizio di rete virtuale (attivando l'endpoint di servizio di rete virtuale sul lato rete e configurando elenchi di controllo di accesso di rete virtuale appropriati sul lato servizio di Azure), l'accesso a un servizio di Azure è consentito solo da una rete virtuale e una subnet consentite.When you use the VNet service endpoints feature (turning on VNet service endpoint on the network side and setting up appropriate VNet ACLs on the Azure service side), access to an Azure service is restricted from an allowed VNet and subnet.

In che modo gli endpoint di servizio di rete virtuale forniscono la sicurezza?How does VNet service endpoint provide security?

La funzionalità dell'endpoint del servizio VNet (che attiva l'endpoint del servizio VNet sul lato rete e la configurazione degli ACL VNet appropriati sul lato servizio di Azure) limita l'accesso al servizio di Azure ai VNet e alla subnet consentiti, garantendo in tal modo una sicurezza a livello di rete e isolamento del traffico del servizio di Azure.The VNet service endpoint feature (turning on VNet service endpoint on the network side and setting up appropriate VNet ACLs on the Azure service side) limits the Azure service access to the allowed VNet and subnet, thus providing a network level security and isolation of the Azure service traffic. Tutto il traffico che usa gli endpoint di servizio di rete virtuale transita attraverso il backbone Microsoft, fornendo così un altro livello di isolamento dalla rete Internet pubblica.All traffic using VNet service endpoints flows over Microsoft backbone, thus providing another layer of isolation from the public internet. Inoltre, i clienti possono scegliere di rimuovere completamente l'accesso a Internet pubblico dalle risorse dei servizi di Azure e di consentire il traffico solo dalla propria rete virtuale tramite una combinazione di firewall IP ed elenchi di controllo di accesso di rete virtuale, proteggendo così le risorse dei servizi di Azure dall'accesso non autorizzato.Moreover, customers can choose to fully remove public Internet access to the Azure service resources and allow traffic only from their virtual network through a combination of IP firewall and VNet ACLs, thus protecting the Azure service resources from unauthorized access.

Che cosa viene protetto dall'endpoint di servizio di rete virtuale, le risorse di rete virtuale o il servizio di Azure?What does the VNet service endpoint protect - VNet resources or Azure service?

Gli endpoint di servizio di rete virtuale consentono di proteggere le risorse dei servizi di Azure.VNet service endpoints help protect Azure service resources. Le risorse di rete virtuale vengono protette tramite gruppi di sicurezza di rete (NSG, Network Security Group).VNet resources are protected through Network Security Groups (NSGs).

Sono previsti costi per l'uso di endpoint di servizio di rete virtuale?Is there any cost for using VNet service endpoints?

No, non sono previsti costi aggiuntivi per l'uso di endpoint di servizio di rete virtuale.No, there is no additional cost for using VNet service endpoints.

È possibile attivare gli endpoint di servizio di rete virtuale e configurare elenchi di controllo di accesso di rete virtuale se la rete virtuale e le risorse dei servizi di Azure fanno parte di sottoscrizioni diverse?Can I turn on VNet service endpoints and set up VNet ACLs if the virtual network and the Azure service resources belong to different subscriptions?

Sì, è possibile.Yes, it is possible. Le reti virtuali e le risorse dei servizi di Azure possono trovarsi nella stessa sottoscrizione o in sottoscrizioni diverse.Virtual networks and Azure service resources can be either in the same or different subscriptions. L'unico requisito è che sia la rete virtuale che le risorse dei servizi di Azure si trovino nello stesso tenant di Active Directory (AD).The only requirement is that both the virtual network and Azure service resources must be under the same Active Directory (AD) tenant.

È possibile attivare gli endpoint di servizio di rete virtuale e configurare elenchi di controllo di accesso di rete virtuale se la rete virtuale e le risorse dei servizi di Azure fanno parte di tenant di AD diversi?Can I turn on VNet service endpoints and set up VNet ACLs if the virtual network and the Azure service resources belong to different AD tenants?

No, gli endpoint di servizio di rete virtuale e gli elenchi di controllo di accesso di rete virtuale non sono supportati tra tenant di AD diversi.No, VNet service endpoints and VNet ACLs are not supported across AD tenants.

Un indirizzo IP di un dispositivo locale connesso tramite il gateway di rete virtuale di Azure (VPN) o il gateway ExpressRoute può accedere al servizio Azure PaaS tramite gli endpoint del servizio VNet?Can an on-premises device’s IP address that is connected through Azure Virtual Network gateway (VPN) or ExpressRoute gateway access Azure PaaS Service over VNet service endpoints?

per impostazione predefinita, le risorse del servizio associate alle reti virtuali non sono raggiungibili da reti locali.By default, Azure service resources secured to virtual networks are not reachable from on-premises networks. Se si vuole consentire il traffico dall'ambiente locale, è necessario autorizzare anche gli indirizzi IP pubblici (generalmente NAT) dall'ambiente locale o da ExpressRoute.If you want to allow traffic from on-premises, you must also allow public (typically, NAT) IP addresses from your on-premises or ExpressRoute. Questi indirizzi IP possono essere aggiunti tramite la configurazione del firewall IP per le risorse dei servizi di Azure.These IP addresses can be added through the IP firewall configuration for the Azure service resources.

È possibile usare la funzionalità endpoint del servizio VNet per proteggere il servizio di Azure in più subnet all'interno di una rete virtuale o in più reti virtuali?Can I use VNet Service Endpoint feature to secure Azure service to multiple subnets within a virtual network or across multiple virtual networks?

Per proteggere i servizi di Azure in più subnet all'interno di una rete virtuale o in più reti virtuali, abilitare gli endpoint di servizio sul lato rete in ognuna delle subnet in modo indipendente e quindi proteggere le risorse dei servizi di Azure in tutte le subnet impostando Elenchi ACL VNet appropriati sul lato servizio di Azure.To secure Azure services to multiple subnets within a virtual network or across multiple virtual networks, enable service endpoints on the network side on each of the subnets independently and then secure Azure service resources to all of the subnets by setting up appropriate VNet ACLs on the Azure service side.

In che modo è possibile filtrare il traffico in uscita da una rete virtuale verso i servizi di Azure continuando a usare gli endpoint di servizio?How can I filter outbound traffic from a virtual network to Azure services and still use service endpoints?

Se si vuole verificare o filtrare il traffico destinato a un servizio di Azure da una rete virtuale, è possibile distribuire un'appliance virtuale di rete nella rete virtuale.If you want to inspect or filter the traffic destined to an Azure service from a virtual network, you can deploy a network virtual appliance within the virtual network. È quindi possibile applicare gli endpoint di servizio alla subnet in cui è distribuita l'appliance virtuale di rete e proteggere le risorse del servizio di Azure solo in questa subnet tramite elenchi di controllo di accesso di rete virtuale.You can then apply service endpoints to the subnet where the network virtual appliance is deployed and secure Azure service resources only to this subnet through VNet ACLs. Questo scenario può essere utile anche se si vuole limitare l'accesso al servizio di Azure dalla rete virtuale solo a risorse di Azure specifiche, usando il filtro dell'appliance virtuale di rete.This scenario might also be helpful if you wish to restrict Azure service access from your virtual network only to specific Azure resources using network virtual appliance filtering. Per altre informazioni, vedere il traffico in uscita con le appliance virtuali di rete.For more information, see egress with network virtual appliances.

Cosa accade quando si accede a un account del servizio di Azure con un elenco di controllo di accesso (ACL) di rete virtuale abilitato dall'esterno del VNet?What happens when you access an Azure service account that has a virtual network access control list (ACL) enabled from outside the VNet?

Viene restituito l'errore HTTP 403 o HTTP 404.The HTTP 403 or HTTP 404 error is returned.

Le subnet di una rete virtuale create in aree diverse possono accedere a un account del servizio di Azure in un'altra area?Are subnets of a virtual network created in different regions allowed to access an Azure service account in another region?

Sì, per la maggior parte dei servizi di Azure, le reti virtuali create in aree diverse possono accedere ai servizi di Azure in un'altra area tramite gli endpoint di servizio di rete virtuale.Yes, for most of the Azure services, virtual networks created in different regions can access Azure services in another region through the VNet service endpoints. Se, ad esempio un account di Azure Cosmos DB si trova nell'area Stati Uniti occidentali o Stati Uniti orientali e le reti virtuali si trovano in più aree, la rete virtuale può accedere ad Azure Cosmos DB.For example, if an Azure Cosmos DB account is in West US or East US and virtual networks are in multiple regions, the virtual network can access Azure Cosmos DB. I servizi Archiviazione e SQL rappresentano eccezioni e per natura sono legati all'area, quindi sia la rete virtuale che il servizio di Azure devono trovarsi nella stessa area.Storage and SQL are exceptions and are regional in nature and both the virtual network and the Azure service need to be in the same region.

Un servizio di Azure può avere sia un ACL VNet che un firewall IP?Can an Azure service have both a VNet ACL and an IP firewall?

Sì, un ACL VNet e un firewall IP possono coesistere.Yes, a VNet ACL and an IP firewall can co-exist. Queste due funzionalità si completano reciprocamente per garantire isolamento e sicurezza.Both features complement each other to ensure isolation and security.

Cosa accade se si elimina una rete virtuale o una subnet con un endpoint di servizio attivato per il servizio di Azure?What happens if you delete a virtual network or subnet that has service endpoint turned on for Azure service?

L'eliminazione delle reti virtuali e quella delle subnet sono operazioni indipendenti e sono supportate anche quando gli endpoint di servizio sono attivati per i servizi di Azure.Deletion of VNets and subnets are independent operations and are supported even when service endpoints are turned on for Azure services. Nei casi in cui per i servizi di Azure sono configurati ACL VNet, per le reti virtuali e le subnet, le informazioni relative all'ACL VNet associate al servizio di Azure vengono disabilitate quando viene eliminato un VNet o una subnet con l'endpoint del servizio VNet attivato.In cases where the Azure services have VNet ACLs set up, for those VNets and subnets, the VNet ACL information associated with that Azure service is disabled when a VNet or subnet that has VNet service endpoint turned on is deleted.

Cosa accade se viene eliminato un account del servizio di Azure con un endpoint del servizio VNet?What happens if an Azure service account that has a VNet Service endpoint enabled is deleted?

L'eliminazione di un account del servizio di Azure è un'operazione indipendente ed è supportata anche quando l'endpoint del servizio è abilitato sul lato rete e gli ACL VNet sono configurati sul lato servizio di Azure.The deletion of an Azure service account is an independent operation and is supported even when the service endpoint is enabled on the network side and VNet ACLs are set up on Azure service side.

Cosa accade all'indirizzo IP di origine di una risorsa, come una macchina virtuale in una subnet, in cui viene abilitato un endpoint di servizio di rete virtuale?What happens to the source IP address of a resource (like a VM in a subnet) that has VNet service endpoint enabled?

Quando gli endpoint servizio di rete virtuale vengono abilitati, gli indirizzi IP di origine delle risorse nella subnet della rete virtuale passano dall'usare indirizzi IPV4 pubblici a indirizzi privati della rete virtuale di Azure per il traffico verso il servizio di Azure.When virtual network service endpoints are enabled, the source IP addresses of the resources in your virtual network's subnet switches from using public IPV4 addresses to the Azure virtual network's private IP addresses for traffic to Azure service. Si noti che questo può causare un errore nei servizi di Azure che possono essere impostati su un indirizzo IPV4 pubblico precedente nei servizi di Azure.Note that this can cause specific IP firewalls that are set to public IPV4 address earlier on the Azure services to fail.

La route dell'endpoint di servizio ha sempre la precedenza?Does the service endpoint route always take precedence?

Gli endpoint di servizio aggiungono una route di sistema che ha la precedenza sulle route BGP e fornisce un routing ottimale per il traffico dell'endpoint del servizio.Service endpoints add a system route which takes precedence over BGP routes and provides optimum routing for the service endpoint traffic. Gli endpoint di servizio instradano sempre il traffico del servizio direttamente dalla rete virtuale al servizio nella rete backbone di Microsoft Azure.Service endpoints always take service traffic directly from your virtual network to the service on the Microsoft Azure backbone network. Per ulteriori informazioni su come Azure seleziona una route, vedere routing del traffico di rete virtuale di Azure.For more information about how Azure selects a route, see Azure Virtual network traffic routing.

Come funziona un gruppo di sicurezza di rete in una subnet con gli endpoint di servizio?How does NSG on a subnet work with service endpoints?

Per raggiungere il servizio di Azure, i gruppi di sicurezza di rete devono consentire la connettività in uscita.To reach the Azure service, NSGs need to allow outbound connectivity. Se i gruppi di sicurezza di rete sono aperti a tutto il traffico Internet in uscita, il traffico dell'endpoint di servizio dovrebbe funzionare.If your NSGs are opened to all Internet outbound traffic, then the service endpoint traffic should work. È anche possibile limitare il traffico in uscita solo agli IP del servizio che usano i tag del servizio.You can also limit the outbound traffic to service IPs only using the Service tags.

Quali autorizzazioni sono necessarie per configurare gli endpoint di servizio?What permissions do I need to set up service endpoints?

Gli endpoint di servizio possono essere configurati in una rete virtuale in modo indipendente, da un utente con accesso in scrittura alla rete virtuale.Service endpoints can be configured on a virtual network independently by a user with write access to the virtual network. Per proteggere le risorse dei servizi di Azure in una VNet, l'utente deve disporre dell'autorizzazione Microsoft. Network/virtualNetworks/Subnets/joinViaServiceEndpoint/Action per le subnet da aggiungere.To secure Azure service resources to a VNet, the user must have permission Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action for the subnets being added. Questa autorizzazione è inclusa nel ruolo di amministratore del servizio predefinito e può essere modificata creando ruoli personalizzati.This permission is included in the built-in service administrator role by default and can be modified by creating custom roles. Leggere altre informazioni sui ruoli predefiniti e sull'assegnazione di autorizzazioni specifiche ai ruoli personalizzati.Learn more about built-in roles and assigning specific permissions to custom roles.

È possibile filtrare il traffico di rete virtuale verso i servizi di Azure consentendo l'accesso solo a risorse specifiche dei servizi di Azure tramite gli endpoint di servizio di rete virtuale?Can I filter virtual network traffic to Azure services, allowing only specific azure service resources, over VNet service endpoints?

I criteri degli endpoint di servizio di rete virtuale permettono di filtrare il traffico di rete virtuale verso i servizi di Azure, consentendo l'accesso solo a risorse specifiche dei servizi di Azure tramite gli endpoint di servizio.Virtual network (VNet) service endpoint policies allow you to filter virtual network traffic to Azure services, allowing only specific Azure service resources over the service endpoints. I criteri degli endpoint forniscono un controllo di accesso granulare per il traffico di rete virtuale verso i servizi di Azure.Endpoint policies provide granular access control from the virtual network traffic to the Azure services. È possibile ottenere altre informazioni sui criteri degli endpoint di servizio qui.You can learn more about the service endpoint policies here.

Azure Active Directory (Azure AD) supportano gli endpoint del servizio VNet?Does Azure Active Directory (Azure AD) support VNet service endpoints?

Azure Active Directory (Azure AD) non supporta gli endpoint di servizio in modo nativo.Azure Active Directory (Azure AD) doesn't support service endpoints natively. Per un elenco completo dei servizi di Azure che supportano gli endpoint di servizio VNet, vedere qui.Complete list of Azure Services supporting VNet service endpoints can be seen here. Si noti che il tag "Microsoft. AzureActiveDirectory" elencato in servizi che supportano gli endpoint di servizio viene usato per supportare gli endpoint di servizio per ADLS generazione 1.Note that the "Microsoft.AzureActiveDirectory" tag listed under services supporting service endpoints is used for supporting service endpoints to ADLS Gen 1. Per ADLS gen 1, l'integrazione della rete virtuale per Azure Data Lake Storage Gen1 usa la sicurezza degli endpoint di servizio della rete virtuale tra la rete virtuale e la Azure Active Directory (Azure AD) per generare attestazioni di sicurezza aggiuntive nel token di accesso.For ADLS Gen 1, virtual network integration for Azure Data Lake Storage Gen1 makes use of the virtual network service endpoint security between your virtual network and Azure Active Directory (Azure AD) to generate additional security claims in the access token. Queste attestazioni vengono quindi usate per autenticare la rete virtuale nell'account Data Lake Storage Gen1 e consentire l'accesso.These claims are then used to authenticate your virtual network to your Data Lake Storage Gen1 account and allow access. Altre informazioni sull'integrazione di [Azure Data Lake Store generazione 1 VNet] (.. /Data-Lake-Store/Data-Lake-Store-Network-Security.MD? TOC =% 2fazure% 2fvirtual-rete% 2ftoc. JSONLearn more about [Azure Data Lake Store Gen 1 VNet Integration](../data-lake-store/data-lake-store-network-security.md?toc=%2fazure%2fvirtual-network%2ftoc.json

Ci sono limiti per il numero di endpoint di servizio di rete virtuale che è possibile configurare dalla rete virtuale?Are there any limits on how many VNet service endpoints I can set up from my VNet?

Non ci sono limiti per il numero totale di endpoint di servizio di rete virtuale in una rete virtuale.There is no limit on the total number of VNet service endpoints in a virtual network. Per una risorsa del servizio di Azure, ad esempio un account di archiviazione di Azure, i servizi possono applicare limiti al numero di subnet usate per la protezione della risorsa.For an Azure service resource (such as an Azure Storage account), services may enforce limits on the number of subnets used for securing the resource. La tabella seguente illustra alcuni limiti di esempio:The following table shows some example limits:

Servizio di AzureAzure service Limiti per le regole della rete virtualeLimits on VNet rules
Archiviazione di AzureAzure Storage 100100
Azure SQLAzure SQL 128128
Azure SQL Data WarehouseAzure SQL Data Warehouse 128128
Azure KeyVaultAzure KeyVault 127127
Azure Cosmos DBAzure Cosmos DB 6464
Hub eventi di AzureAzure Event Hub 128128
Bus di servizio di AzureAzure Service Bus 128128
Azure Data Lake Store V1Azure Data Lake Store V1 100100

Nota

I limiti sono soggetti a modifiche a discrezione del servizio di Azure.The limits are subjected to changes at the discretion of the Azure service. Per i dettagli, fare riferimento alla documentazione del servizio interessato.Refer to the respective service documentation for services details.