Che cos'è Rete virtuale di Azure?What is Azure Virtual Network?

Rete virtuale di Azure (VNet) è il blocco predefinito fondamentale per la rete privata in Azure.Azure Virtual Network (VNet) is the fundamental building block for your private network in Azure. VNet consente a diversi tipi di risorse di Azure, ad esempio Macchine virtuali di Azure, di comunicare in modo sicuro tra di esse, con Internet e con le reti locali.VNet enables many types of Azure resources, such as Azure Virtual Machines (VM), to securely communicate with each other, the internet, and on-premises networks. Simile alle reti tradizionali che si eseguono nei data center, VNet offre anche i vantaggi dell'infrastruttura di Azure, tra cui scalabilità, disponibilità e isolamento.VNet is similar to a traditional network that you'd operate in your own data center, but brings with it additional benefits of Azure's infrastructure such as scale, availability, and isolation.

Concetti di VNetVNet concepts

  • Spazio indirizzi: quando si crea una rete virtuale, è necessario specificare uno spazio indirizzi IP privato personalizzato con indirizzi pubblici e privati (RFC 1918).Address space: When creating a VNet, you must specify a custom private IP address space using public and private (RFC 1918) addresses. Azure assegna alle risorse di una rete virtuale un indirizzo IP privato dello spazio indirizzi specificato.Azure assigns resources in a virtual network a private IP address from the address space that you assign. Se, ad esempio, si distribuisce una macchina virtuale in una rete virtuale con spazio indirizzi 10.0.0.0/16, alla macchina virtuale verrà assegnato un indirizzo IP privato come 10.0.0.4.For example, if you deploy a VM in a VNet with address space, 10.0.0.0/16, the VM will be assigned a private IP like 10.0.0.4.
  • Subnet: le subnet consentono di segmentare la rete virtuale in una o più reti secondarie e di allocare una parte dello spazio indirizzi della rete virtuale a ogni subnet.Subnets: Subnets enable you to segment the virtual network into one or more sub-networks and allocate a portion of the virtual network's address space to each subnet. È quindi possibile distribuire le risorse di Azure in una subnet specifica.You can then deploy Azure resources in a specific subnet. Proprio come le reti tradizionali, le subnet consentono di segmentare lo spazio indirizzi della rete virtuale in segmenti appropriati per la rete interna dell'organizzazione.Just like in a traditional network, subnets allow you to segment your VNet address space into segments that are appropriate for the organization's internal network. In questo modo, anche l'allocazione degli indirizzi risulta più efficiente.This also improves address allocation efficiency. È possibile proteggere le risorse all'interno delle subnet con i gruppi di sicurezza di rete.You can secure resources within subnets using Network Security Groups. Per altre informazioni, vedere Gruppi di sicurezza.For more information, see Security groups.
  • Aree di Azure: l'ambito di una rete virtuale è una singola area/località; tuttavia, è possibile connettere più reti virtuali da diverse aree di Azure usando il peering di rete virtuale.Regions: VNet is scoped to a single region/location; however, multiple virtual networks from different regions can be connected together using Virtual Network Peering.
  • Sottoscrizione: l'ambito di una rete virtuale è una sottoscrizione.Subscription: VNet is scoped to a subscription. È possibile implementare più reti virtuali in ogni sottoscrizione e area di Azure.You can implement multiple virtual networks within each Azure subscription and Azure region.

Procedure consigliateBest practices

Durante la creazione della rete in Azure, è importante tenere presente i principi di progettazione universale seguenti:As you build your network in Azure, it is important to keep in mind the following universal design principles:

  • Verificare che gli spazi indirizzi non si sovrappongano.Ensure non-overlapping address spaces. Assicurarsi che lo spazio indirizzi della rete virtuale (blocco CIDR) non si sovrapponga con altri intervalli di rete dell'organizzazione.Make sure your VNet address space (CIDR block) does not overlap with your organization's other network ranges.
  • È importante che le subnet non coprano l'intero spazio indirizzi della rete virtuale,Your subnets should not cover the entire address space of the VNet. in modo da poter riservare una parte dello spazio indirizzi per esigenze future.Plan ahead and reserve some address space for the future.
  • È preferibile avere poche reti virtuali di grandi dimensioni piuttosto che tante reti virtuali di piccole dimensioni.It is recommended you have fewer large VNets than multiple small VNets. In questo modo, si eviterà infatti un sovraccarico di gestione.This will prevent management overhead.
  • Proteggere la rete virtuale usando gruppi di sicurezza di rete.Secure your VNet using Network Security Groups (NSGs).

Comunicare con InternetCommunicate with the internet

Per impostazione predefinita, tutte le risorse in una rete virtuale possono comunicare verso l'esterno su Internet.All resources in a VNet can communicate outbound to the internet, by default. Per la comunicazione in ingresso con una risorsa, è possibile assegnarle un indirizzo IP pubblico o un servizio di bilanciamento del carico pubblico.You can communicate inbound to a resource by assigning a public IP address or a public Load Balancer. Si può usare un indirizzo IP pubblico o un servizio di bilanciamento del carico pubblico anche per gestire le connessioni in uscita.You can also use public IP or public Load Balancer to manage your outbound connections. Per altre informazioni sulle connessioni in uscita in Azure, vedere Connessioni in uscita in Azure, Indirizzi IP pubblici e Informazioni su Azure Load Balancer.To learn more about outbound connections in Azure, see Outbound connections, Public IP addresses, and Load Balancer.

Nota

Quando si usa solo un'istanza di Load Balancer Standard interna, la connettività in uscita non è disponibile finché non si definisce la modalità di funzionamento desiderata per le connessioni in uscita con un IP pubblico a livello di istanza o un servizio di bilanciamento del carico pubblico.When using only an internal Standard Load Balancer, outbound connectivity is not available until you define how you want outbound connections to work with an instance-level public IP or a public Load Balancer.

Comunicare tra risorse di AzureCommunicate between Azure resources

Le risorse di Azure comunicano in modo sicuro tra di esse in uno dei modi seguenti:Azure resources communicate securely with each other in one of the following ways:

  • Tramite una rete virtuale: è possibile distribuire macchine virtuali e diversi altri tipi di risorse di Azure in una rete virtuale, ad esempio ambienti del servizio app di Azure, servizio Azure Kubernetes e set di scalabilità di macchine virtuali di Azure.Through a virtual network: You can deploy VMs, and several other types of Azure resources to a virtual network, such as Azure App Service Environments, the Azure Kubernetes Service (AKS), and Azure Virtual Machine Scale Sets. Per visualizzare un elenco completo delle risorse di Azure che è possibile distribuire in una rete virtuale, vedere Integrazione del servizio di rete virtuale.To view a complete list of Azure resources that you can deploy into a virtual network, see Virtual network service integration.
  • Tramite un endpoint servizio di rete virtuale: estendere lo spazio di indirizzi privato della rete virtuale e l'identità della rete virtuale alle risorse dei servizi di Azure, ad esempio gli account di archiviazione di Azure e i database SQL di Azure, tramite una connessione diretta.Through a virtual network service endpoint: Extend your virtual network private address space and the identity of your virtual network to Azure service resources, such as Azure Storage accounts and Azure SQL databases, over a direct connection. Gli endpoint servizio consentono di associare le risorse critiche dei servizi di Azure solo a una rete virtuale.Service endpoints allow you to secure your critical Azure service resources to only a virtual network. Per altre informazioni, vedere Panoramica degli endpoint servizio di rete virtuale.To learn more, see Virtual network service endpoints overview.
  • Tramite il peering di reti virtuali: È possibile connettere le reti virtuali tra di esse, per poter consentire alle risorse in qualsiasi rete virtuale di comunicare con le altre usando il peering di rete virtuale.Through VNet Peering: You can connect virtual networks to each other, enabling resources in either virtual network to communicate with each other, using virtual network peering. Le reti virtuali connesse possono essere in aree di Azure uguali o diversi.The virtual networks you connect can be in the same, or different, Azure regions. Per altre informazioni, vedere Peering di rete virtuale.To learn more, see Virtual network peering.

Comunicare con le risorse localiCommunicate with on-premises resources

È possibile connettere i computer e le reti locali a una rete virtuale usando qualsiasi combinazione delle opzioni seguenti:You can connect your on-premises computers and networks to a virtual network using any combination of the following options:

  • Rete privata virtuale (VPN) da punto a sito: viene stabilita tra una rete virtuale e un singolo computer nella rete.Point-to-site virtual private network (VPN): Established between a virtual network and a single computer in your network. Per ogni computer per cui si vuole stabilire la connettività con una rete virtuale è necessario configurare la connessione.Each computer that wants to establish connectivity with a virtual network must configure its connection. Questo tipo di connessione è ideale se si sta appena iniziando a usare Azure o per gli sviluppatori, perché richiede modifiche minime o nessuna modifica alla rete esistente.This connection type is great if you're just getting started with Azure, or for developers, because it requires little or no changes to your existing network. La comunicazione tra il computer e una rete virtuale viene inviata attraverso un tunnel crittografato tramite Internet.The communication between your computer and a virtual network is sent through an encrypted tunnel over the internet. Per altre informazioni, vedere VPN da punto a sito.To learn more, see Point-to-site VPN.
  • VPN da sito a sito: viene stabilita tra il dispositivo VPN locale e un gateway VPN di Azure distribuito in una rete virtuale.Site-to-site VPN: Established between your on-premises VPN device and an Azure VPN Gateway that is deployed in a virtual network. Questo tipo di connessione consente a qualsiasi risorsa locale autorizzata dall'utente di accedere a una rete virtuale.This connection type enables any on-premises resource that you authorize to access a virtual network. La comunicazione tra il dispositivo VPN locale e un gateway VPN di Azure viene inviata attraverso un tunnel crittografato tramite Internet.The communication between your on-premises VPN device and an Azure VPN gateway is sent through an encrypted tunnel over the internet. Per altre informazioni, vedere VPN da sito a sito.To learn more, see Site-to-site VPN.
  • Azure ExpressRoute: viene stabilita una connessione tra la rete e Azure tramite un partner ExpressRoute.Azure ExpressRoute: Established between your network and Azure, through an ExpressRoute partner. La connessione è privata.This connection is private. Il traffico non passa da Internet.Traffic does not go over the internet. Per altre informazioni, vedere ExpressRoute.To learn more, see ExpressRoute.

Filtrare il traffico di reteFilter network traffic

È possibile filtrare il traffico di rete tra subnet usando una o entrambe le opzioni seguenti.You can filter network traffic between subnets using either or both of the following options:

  • Gruppi di sicurezza: gruppi di sicurezza di rete e gruppi di sicurezza delle applicazioni possono contenere più regole di sicurezza in ingresso e in uscita che consentono di filtrare il traffico verso e dalle risorse per protocollo, porta e indirizzo IP di origine e di destinazione.Security groups: Network security groups and application security groups can contain multiple inbound and outbound security rules that enable you to filter traffic to and from resources by source and destination IP address, port, and protocol. Per altre informazioni, consultare Gruppi di sicurezza di rete e Gruppi di sicurezza delle applicazioni.To learn more, see Network security groups or Application security groups.
  • Appliance virtuali di rete: un'appliance virtuale di rete è una macchina virtuale che esegue una funzione di rete, ad esempio un firewall, un'ottimizzazione WAN o un'altra funzione di rete.Network virtual appliances: A network virtual appliance is a VM that performs a network function, such as a firewall, WAN optimization, or other network function. Per visualizzare un elenco delle appliance virtuali di rete disponibili che è possibile distribuire in una rete virtuale di Azure, vedere Azure Marketplace.To view a list of available network virtual appliances that you can deploy in a virtual network, see Azure Marketplace.

Indirizzare il traffico di reteRoute network traffic

Azure instrada il traffico tra subnet, reti virtuali connesse, reti locali e Internet, per impostazione predefinita.Azure routes traffic between subnets, connected virtual networks, on-premises networks, and the Internet, by default. Per sostituire le route predefinite create da Azure, è possibile implementare una o entrambe le opzioni seguenti.You can implement either or both of the following options to override the default routes Azure creates:

  • Tabelle di route: è possibile creare tabelle di route personalizzate con route che controllano dove viene instradato il traffico per ogni subnet.Route tables: You can create custom route tables with routes that control where traffic is routed to for each subnet. Altre informazioni sulle tabelle di route.Learn more about route tables.
  • Route Border Gateway Protocol (BGP): se si connette la rete virtuale alla rete locale con un gateway VPN di Azure o una connessione ExpressRoute, è possibile propagare le route BGP locali alle reti virtuali.Border gateway protocol (BGP) routes: If you connect your virtual network to your on-premises network using an Azure VPN Gateway or ExpressRoute connection, you can propagate your on-premises BGP routes to your virtual networks. Altre informazioni sull'uso di BGP con Gateway VPN di Azure ed ExpressRoute.Learn more about using BGP with Azure VPN Gateway and ExpressRoute.

Limiti della rete virtuale di AzureAzure VNet limits

Esistono alcuni limiti in merito al numero di risorse di Azure che è possibile distribuire.There are certain limits around the number of Azure resources you can deploy. La maggior parte dei limiti relativi alla rete di Azure sono impostati ai rispettivi valori massimi.Most Azure networking limits are at the maximum values. È possibile tuttavia aumentare alcuni limiti di rete, come specificato nella pagina relativi ai limiti della rete virtuale.However, you can increase certain networking limits as specified on the VNet limits page.

PrezziPricing

Non sono previsti addebiti per l'uso della rete virtuale di Azure: è un servizio gratuito.There is no charge for using Azure VNet, it is free of cost. Sono invece previsti addebiti standard per le risorse, quali macchine virtuali e altri prodotti.Standard charges are applicable for resources, such as Virtual Machines (VMs) and other products. Per altre informazioni, vedere Prezzi di Rete virtuale e il calcolatore prezzi di Azure.To learn more, see VNet pricing and the Azure pricing calculator.

Passaggi successiviNext steps

Per iniziare a usare una rete virtuale, crearne una, distribuirvi alcune macchine virtuali e comunicare tra le macchine virtuali.To get started using a virtual network, create one, deploy a few VMs to it, and communicate between the VMs. Per informazioni sulla procedura, vedere la guida introduttiva Creare una rete virtuale.To learn how, see the Create a virtual network quickstart.