Architettura di rete di transito globale e rete WAN virtualeGlobal transit network architecture and Virtual WAN

Le aziende moderne richiedono una connettività onnipresente tra le applicazioni, i dati e gli utenti Hyper-distribuiti nel cloud e in locale.Modern enterprises require ubiquitous connectivity between hyper-distributed applications, data, and users across the cloud and on-premises. L'architettura di rete di transito globale è stata adottata dalle aziende per consolidare, connettere e controllare il footprint aziendale moderno e globale incentrato sul cloud.Global transit network architecture is being adopted by enterprises to consolidate, connect, and control the cloud-centric modern, global enterprise IT footprint.

L'architettura di rete di transito globale è basata su un modello di connettività hub-spoke classico in cui la rete ospitata nel cloud ' hub ' consente la connettività transitiva tra gli endpoint che possono essere distribuiti tra tipi diversi di "spoke".The global transit network architecture is based on a classic hub-and-spoke connectivity model where the cloud hosted network 'hub' enables transitive connectivity between endpoints that may be distributed across different types of 'spokes'.

In questo modello, un spoke può essere:In this model, a spoke can be:

  • Rete virtuale (reti virtuali)Virtual network (VNets)
  • Sito del ramo fisicoPhysical branch site
  • Utente remotoRemote user
  • InternetInternet

Hub e spoke

Figura 1: rete Hub di transito globale e spokeFigure 1: Global transit hub-and-spoke network

Nella figura 1 viene illustrata la visualizzazione logica della rete di transito globale in cui utenti distribuiti geograficamente, siti fisici e reti virtuali vengono interconnessi tramite un hub di rete ospitato nel cloud.Figure 1 shows the logical view of the global transit network where geographically distributed users, physical sites, and VNets are interconnected via a networking hub hosted in the cloud. Questa architettura consente la connettività di transito a un hop logico tra gli endpoint di rete.This architecture enables logical one-hop transit connectivity between the networking endpoints.

Rete di transito globale con rete WAN virtualeGlobal transit network with Virtual WAN

WAN virtuale di Azure è un servizio di rete cloud gestito da Microsoft.Azure Virtual WAN is a Microsoft-managed cloud networking service. Tutti i componenti di rete di cui questo servizio è composto sono ospitati e gestiti da Microsoft.All the networking components that this service is composed of are hosted and managed by Microsoft. Per altre informazioni sulla rete WAN virtuale, vedere l'articolo Panoramica della rete WAN virtuale .For more information about Virtual WAN, see the Virtual WAN Overview article.

La rete WAN virtuale di Azure consente un'architettura di rete di transito globale abilitando connettività universale e any-to-any tra set distribuiti a livello globale di carichi di lavoro cloud in reti virtuali, siti di filiali, applicazioni SaaS e PaaS e utenti.Azure Virtual WAN allows a global transit network architecture by enabling ubiquitous, any-to-any connectivity between globally distributed sets of cloud workloads in VNets, branch sites, SaaS and PaaS applications, and users.

Rete WAN virtuale di Azure

Figura 2: rete di transito globale e rete WAN virtualeFigure 2: Global transit network and Virtual WAN

Nell'architettura WAN virtuale di Azure viene eseguito il provisioning di hub WAN virtuali in aree di Azure, in cui è possibile scegliere di connettere i rami, reti virtuali e gli utenti remoti.In the Azure Virtual WAN architecture, virtual WAN hubs are provisioned in Azure regions, to which you can choose to connect your branches, VNets, and remote users. I siti di rami fisici sono connessi all'hub da ExpressRoute Premium o standard o VPN da sito a sito, reti virtuali sono connessi all'hub da connessioni VNet e gli utenti remoti possono connettersi direttamente all'hub usando la VPN utente (VPN da punto a sito).The physical branch sites are connected to the hub by Premium or Standard ExpressRoute or site-to site-VPNs, VNets are connected to the hub by VNet connections, and remote users can directly connect to the hub using User VPN (point-to-site VPNs). La rete WAN virtuale supporta anche la connessione VNet tra aree in cui un VNet in un'area può essere connesso a un hub WAN virtuale in un'area diversa.Virtual WAN also supports cross-region VNet connection where a VNet in one region can be connected to a virtual WAN hub in a different region.

È possibile stabilire una rete WAN virtuale creando un singolo hub WAN virtuale nell'area con il maggior numero di spoke (Branch, reti virtuali, utenti) e quindi connettendo i spoke che si trovano in altre aree all'hub.You can establish a virtual WAN by creating a single virtual WAN hub in the region that has the largest number of spokes (branches, VNets, users), and then connecting the spokes that are in other regions to the hub. Si tratta di un'opzione ideale quando un footprint aziendale è prevalentemente in un'area con alcuni spoke remoti.This is a good option when an enterprise footprint is mostly in one region with a few remote spokes.

Connettività da Hub a hubHub-to-hub connectivity

Un footprint cloud aziendale può estendersi su più aree cloud ed è ottimale (latenza) per accedere al cloud da un'area più vicina al sito fisico e agli utenti.An Enterprise cloud footprint can span multiple cloud regions and it is optimal (latency-wise) to access the cloud from a region closest to their physical site and users. Uno dei principi chiave dell'architettura di rete di transito globale è quello di abilitare la connettività tra aree tra tutti gli endpoint di rete cloud e locali.One of the key principles of global transit network architecture is to enable cross-region connectivity between all cloud and on-premises network endpoints. Ciò significa che il traffico da un ramo connesso al cloud in un'area può raggiungere un altro ramo o una VNet in un'area diversa tramite la connettività da Hub a hub abilitata dalla rete globale di Azure.This means that traffic from a branch that is connected to the cloud in one region can reach another branch or a VNet in a different region using hub-to-hub connectivity enabled by Azure Global Network.

tra aree

Figura 3: connettività WAN virtuale tra areeFigure 3: Virtual WAN cross-region connectivity

Quando più hub sono abilitati in una singola rete WAN virtuale, gli hub vengono automaticamente interconnessi tramite collegamenti da Hub a hub, abilitando così la connettività globale tra i rami e reti virtuali distribuiti in più aree.When multiple hubs are enabled in a single virtual WAN, the hubs are automatically interconnected via hub-to-hub links, thus enabling global connectivity between branches and Vnets that are distributed across multiple regions.

Inoltre, gli hub che fanno parte della stessa rete WAN virtuale possono essere associati a criteri di accesso e di sicurezza a livello di area diversi.Additionally, hubs that are all part of the same virtual WAN, can be associated with different regional access and security policies. Per ulteriori informazioni, vedere sicurezza e controllo dei criteri più avanti in questo articolo.For more information, see Security and policy control later in this article.

Connettività any-to-anyAny-to-any connectivity

L'architettura di rete di transito globale consente la connettività any-to-any tramite hub WAN virtuali.Global transit network architecture enables any-to-any connectivity via virtual WAN hubs. Questa architettura Elimina o riduce la necessità di una connettività di rete completa o mesh parziale tra i spoke, più complessi da compilare e gestire.This architecture eliminates or reduces the need for full mesh or partial mesh connectivity between spokes, that are more complex to build and maintain. Inoltre, il controllo di routing nelle reti hub e spoke e rete mesh è più semplice da configurare e gestire.In addition, routing control in hub-and-spoke vs. mesh networks is easier to configure and maintain.

La connettività any-to-any (nel contesto di un'architettura globale) consente a un'azienda con utenti, rami, Data Center, reti virtuali e applicazioni distribuite a livello globale di connettersi tra loro attraverso gli hub di transito.Any-to-any connectivity (in the context of a global architecture) allows an enterprise with globally distributed users, branches, datacenters, VNets, and applications to connect to each other through the “transit” hub(s). La rete WAN virtuale di Azure funge da sistema di transito globale.Azure Virtual WAN acts as the global transit system.

Any per qualsiasi

Figura 4: percorsi di traffico della rete WAN virtualeFigure 4: Virtual WAN traffic paths

La rete WAN virtuale di Azure supporta i seguenti percorsi di connettività di transito globali.Azure Virtual WAN supports the following global transit connectivity paths. Le lettere tra parentesi vengono mappate alla figura 4.The letters in parentheses map to Figure 4.

  • Branch-to-VNet (a)Branch-to-VNet (a)
  • Ramo a ramo (b)Branch-to-branch (b)
    • ExpressRoute Copertura globale e WAN virtualeExpressRoute Global Reach and Virtual WAN
  • Utente remoto-VNet (c)Remote User-to-VNet (c)
  • Remote User-to-Branch (d)Remote User-to-branch (d)
  • Da VNet a VNet (e)VNet-to-VNet (e)
  • Da ramo a hub-hub a ramo (f)Branch-to-hub-hub-to-Branch (f)
  • Da ramo a hub-hub a VNet (g)Branch-to-hub-hub-to-VNet (g)
  • Da VNet a hub-hub a VNet (h)VNet-to-hub-hub-to-VNet (h)

Da ramo a VNet (a) e da ramo a VNet tra aree (g)Branch-to-VNet (a) and Branch-to-VNet Cross-region (g)

Branch-to-VNet è il percorso primario supportato dalla rete WAN virtuale di Azure.Branch-to-VNet is the primary path supported by Azure Virtual WAN. Questo percorso consente di connettere i rami ai carichi di lavoro aziendali di Azure IAAS distribuiti in Azure reti virtuali.This path allows you to connect branches to Azure IAAS enterprise workloads that are deployed in Azure VNets. È possibile connettere i rami alla rete WAN virtuale tramite ExpressRoute o VPN da sito a sito.Branches can be connected to the virtual WAN via ExpressRoute or site-to-site VPN. Il traffico viene transitato verso reti virtuali connesse agli hub WAN virtuali tramite connessioni VNet.The traffic transits to VNets that are connected to the virtual WAN hubs via VNet Connections. Il transito del gateway esplicito non è necessario per la rete WAN virtuale perché la rete WAN virtuale Abilita automaticamente il transito al sito di succursale.Explicit gateway transit is not required for Virtual WAN because Virtual WAN automatically enables gateway transit to branch site. Vedere l'articolo sui partner WAN virtuali per informazioni su come connettere un CPE SD-WAN alla rete WAN virtuale.See Virtual WAN Partners article on how to connect an SD-WAN CPE to Virtual WAN.

ExpressRoute Copertura globale e WAN virtualeExpressRoute Global Reach and Virtual WAN

ExpressRoute è un modo privato e resiliente per connettere le reti locali al Microsoft Cloud.ExpressRoute is a private and resilient way to connect your on-premises networks to the Microsoft Cloud. La rete WAN virtuale supporta le connessioni del circuito Express route.Virtual WAN supports Express Route circuit connections. Per connettere un sito di succursale a una rete WAN virtuale con Express route è necessario 1) il circuito Premium o il circuito standard 2) deve trovarsi in una posizione Copertura globale abilitata.Connecting a branch site to Virtual WAN with Express Route requires 1) Premium or Standard Circuit 2) Circuit to be in a Global Reach enabled location.

ExpressRoute Copertura globale è una funzionalità del componente aggiuntivo per ExpressRoute.ExpressRoute Global Reach is an add-on feature for ExpressRoute. Con Copertura globale è possibile collegare circuiti ExpressRoute insieme per creare una rete privata tra le reti locali.With Global Reach, you can link ExpressRoute circuits together to make a private network between your on-premises networks. I rami connessi alla rete WAN virtuale di Azure con ExpressRoute richiedono che il ExpressRoute Copertura globale per comunicare tra loro.Branches that are connected to Azure Virtual WAN using ExpressRoute require the ExpressRoute Global Reach to communicate with each other.

In questo modello ogni ramo connesso all'hub WAN virtuale usando ExpressRoute può connettersi a reti virtuali usando il percorso da ramo a VNet.In this model, each branch that is connected to the virtual WAN hub using ExpressRoute can connect to VNets using the branch-to-VNet path. Il traffico da ramo a ramo non transiterà nell'hub perché ExpressRoute Copertura globale Abilita un percorso più ottimale sulla rete WAN di Azure.Branch-to-branch traffic won't transit the hub because ExpressRoute Global Reach enables a more optimal path over Azure WAN.

Da ramo a ramo (b) e da ramo a ramo tra aree (f)Branch-to-branch (b) and Branch-to-Branch cross-region (f)

I rami possono essere connessi a un hub WAN virtuale di Azure usando circuiti ExpressRoute e/o connessioni VPN da sito a sito.Branches can be connected to an Azure virtual WAN hub using ExpressRoute circuits and/or site-to-site VPN connections. È possibile connettere i rami all'hub WAN virtuale che si trova nell'area più vicina al ramo.You can connect the branches to the virtual WAN hub that is in the region closest to the branch.

Questa opzione consente alle aziende di sfruttare la backbone di Azure per connettere i rami.This option lets enterprises leverage the Azure backbone to connect branches. Tuttavia, anche se questa funzionalità è disponibile, è necessario valutare i vantaggi della connessione dei rami sulla rete WAN virtuale di Azure rispetto all'uso di una rete WAN privata.However, even though this capability is available, you should weigh the benefits of connecting branches over Azure Virtual WAN vs. using a private WAN.

Nota

La disabilitazione della connettività ramo a ramo nella rete WAN virtuale virtuale può essere configurata in modo da disabilitare la connettività da ramo a ramo.Disabling Branch-to-Branch Connectivity in Virtual WAN - Virtual WAN can be configured to disable Branch-to-Branch connectivity. Questo configuation blocca la propagazione delle route tra VPN (S2S e P2S) e i siti connessi Express route.This configuation will block route propagation between VPN (S2S and P2S) and Express Route connected sites. Questa configurazione non influisce sulle propagazione e sulla connettività da ramo a VNET e da VNET a vnet.This configuration will not affect branch-to-Vnet and Vnet-to-Vnet route propogation and connectivity. Per configurare questa impostazione tramite il portale di Azure: in menu configurazione WAN virtuale scegliere impostazione: ramo-a-ramo-disabilitato.To configure this setting using Azure Portal: Under Virtual WAN Configuration menu, Choose Setting: Branch-to-Branch - Disabled.

Utente remoto-VNet (c)Remote User-to-VNet (c)

È possibile abilitare l'accesso remoto diretto e sicuro ad Azure tramite una connessione da punto a sito da un client utente remoto a una rete WAN virtuale.You can enable direct, secure remote access to Azure using point-to-site connection from a remote user client to a virtual WAN. Gli utenti remoti aziendali non devono più eseguire il tornamento al cloud usando una VPN aziendale.Enterprise remote users no longer have to hairpin to the cloud using a corporate VPN.

Remote User-to-Branch (d)Remote User-to-branch (d)

Il percorso remoto da utente a ramo consente agli utenti remoti che usano una connessione da punto a sito ad Azure di accedere ai carichi di lavoro e alle applicazioni locali passando attraverso il cloud.The Remote User-to-branch path lets remote users who are using a point-to-site connection to Azure access on-premises workloads and applications by transiting through the cloud. Questo percorso offre agli utenti remoti la flessibilità necessaria per accedere ai carichi di lavoro distribuiti in Azure e in locale.This path gives remote users the flexibility to access workloads that are both deployed in Azure and on-premises. Le aziende possono abilitare il servizio di accesso remoto sicuro basato sul cloud in una rete WAN virtuale di Azure.Enterprises can enable central cloud-based secure remote access service in Azure Virtual WAN.

VNet-to-VNet Transit (e) e da VNet a VNet tra aree (h)VNet-to-VNet transit (e) and VNet-to-VNet cross-region (h)

Il transito da VNet a VNet consente a reti virtuali di connettersi tra loro per collegare applicazioni multilivello implementate in più reti virtuali.The VNet-to-VNet transit enables VNets to connect to each other in order to interconnect multi-tier applications that are implemented across multiple VNets. Facoltativamente, è possibile connettere reti virtuali tra loro tramite il peering VNet e questo potrebbe essere adatto per alcuni scenari in cui il transito tramite l'hub VWAN non è necessario.Optionally, you can connect VNets to each other through VNet Peering and this may be suitable for some scenarios where transit via the VWAN hub is not necessary.

Imponi tunneling e route predefinite nella rete WAN virtuale di AzureForce Tunneling and Default Route in Azure Virtual WAN

È possibile abilitare il tunneling forzato configurando la route predefinita in una connessione VPN, ExpressRoute o rete virtuale in una rete WAN virtuale.Force Tunneling can be enabled by configuring the enable default route on a VPN, ExpressRoute, or Virtual Network connection in Virtual WAN.

Un hub virtuale propaga una route predefinita acquisita a una connessione di rete virtuale/VPN da sito a sito se Abilita il flag predefinito è' Enabled ' nella connessione.A virtual hub propagates a learned default route to a virtual network/site-to-site VPN/ExpressRoute connection if enable default flag is 'Enabled' on the connection.

Questo flag è visibile quando l'utente modifica una connessione di rete virtuale, VPN o ExpressRoute.This flag is visible when the user edits a virtual network connection, a VPN connection, or an ExpressRoute connection. Per impostazione predefinita, questo flag è disabilitato quando un sito o un circuito ExpressRoute sono connessi a un hub.By default, this flag is disabled when a site or an ExpressRoute circuit is connected to a hub. Questa funzionalità è abilitata per impostazione predefinita quando si aggiunge una connessione di rete virtuale per connettere una rete virtuale a un hub virtuale.It is enabled by default when a virtual network connection is added to connect a VNet to a virtual hub. La route predefinita non ha origine nell'hub della rete WAN virtuale; la route predefinita viene propagata se è già stata appresa dall'hub della rete WAN virtuale a seguito della distribuzione di un firewall nell'hub o se per un altro sito connesso è abilitato il tunneling forzato.The default route does not originate in the Virtual WAN hub; the default route is propagated if it is already learned by the Virtual WAN hub as a result of deploying a firewall in the hub, or if another connected site has forced-tunneling enabled.

Sicurezza e controllo dei criteriSecurity and policy control

Gli hub WAN virtuali di Azure interconnettono tutti gli endpoint di rete attraverso la rete ibrida e potenzialmente visualizzano tutto il traffico di rete di transito.The Azure Virtual WAN hubs interconnect all the networking end points across the hybrid network and potentially see all transit network traffic. Gli hub WAN virtuali possono essere convertiti in hub virtuali protetti distribuendo il firewall di Azure all'interno degli hub VWAN per abilitare la sicurezza basata sul cloud, l'accesso e il controllo dei criteri.Virtual WAN hubs can be converted to Secured Virtual Hubs by deploying the Azure Firewall inside VWAN hubs to enable cloud-based security, access, and policy control. L'orchestrazione di firewall di Azure negli hub WAN virtuali può essere eseguita da gestione firewall di Azure.Orchestration of Azure Firewalls in virtual WAN hubs can be performed by Azure Firewall Manager.

Azure Firewall Manager offre le funzionalità per gestire e ridimensionare la sicurezza per le reti di transito globali.Azure Firewall Manager provides the capabilities to manage and scale security for global transit networks. Azure Firewall Manager offre la possibilità di gestire in modo centralizzato il routing, la gestione dei criteri globali, i servizi di sicurezza Internet avanzati tramite terze parti insieme al firewall di Azure.Azure Firewall Manager provides ability to centrally manage routing, global policy management, advanced Internet security services via third-party along with the Azure Firewall.

hub virtuale protetto con il firewall di Azure

Figura 5: hub virtuale protetto con il firewall di AzureFigure 5: Secured virtual hub with Azure Firewall

Nota

L'Interhub con firewall attualmente non è supportato.Inter-hub with firewall is currently not supported. Il traffico tra hub passerà direttamente al bypass del firewall di Azure in ogni hub.Traffic between hubs will move directly bypassing the Azure Firewall in each hub.

Il firewall di Azure per la rete WAN virtuale supporta i seguenti percorsi di connettività di transito protetti globali.Azure Firewall to the virtual WAN supports the following global secured transit connectivity paths. Le lettere tra parentesi vengono mappate alla figura 5.The letters in parentheses map to Figure 5.

  • Transito sicuro da VNet a VNet (e)VNet-to-VNet secure transit (e)
  • Servizio di sicurezza da VNet a Internet o di terze parti (i)VNet-to-Internet or third-party Security Service (i)
  • Da ramo a Internet o da un servizio di sicurezza di terze parti (j)Branch-to-Internet or third-party Security Service (j)

Transito protetto da VNet a VNet (e)VNet-to-VNet secured transit (e)

Il transito protetto da VNet a VNet consente a reti virtuali di connettersi tra loro tramite il firewall di Azure nell'hub WAN virtuale.The VNet-to-VNet secured transit enables VNets to connect to each other via the Azure Firewall in the virtual WAN hub.

Servizio di sicurezza da VNet a Internet o di terze parti (i)VNet-to-Internet or third-party Security Service (i)

VNet-to-Internet consente a reti virtuali di connettersi a Internet tramite il firewall di Azure nell'hub WAN virtuale.The VNet-to-Internet enables VNets to connect to the internet via the Azure Firewall in the virtual WAN hub. Il traffico verso Internet tramite i servizi di sicurezza di terze parti supportati non viene propagata attraverso il firewall di Azure.Traffic to internet via supported third-party security services does not flow through the Azure Firewall. È possibile configurare il percorso da VNET a Internet tramite il servizio di sicurezza di terze parti supportato tramite gestione firewall di Azure.You can configure Vnet-to-Internet path via supported third-party security service using Azure Firewall Manager.

Da ramo a Internet o da un servizio di sicurezza di terze parti (j)Branch-to-Internet or third-party Security Service (j)

Il ramo a Internet consente ai Branch di connettersi a Internet tramite il firewall di Azure nell'hub WAN virtuale.The Branch-to-Internet enables branches to connect to the internet via the Azure Firewall in the virtual WAN hub. Il traffico verso Internet tramite i servizi di sicurezza di terze parti supportati non viene propagata attraverso il firewall di Azure.Traffic to internet via supported third-party security services does not flow through the Azure Firewall. È possibile configurare il percorso da ramo a Internet tramite il servizio di sicurezza di terze parti supportato tramite gestione firewall di Azure.You can configure Branch-to-Internet path via supported third-party security service using Azure Firewall Manager.

Ricerca per categorie abilitare la route predefinita (0.0.0.0/0) in un hub virtuale protettoHow do I enable default route (0.0.0.0/0) in a Secured Virtual Hub

Il firewall di Azure distribuito in un hub WAN virtuale (hub virtuale protetto) può essere configurato come router predefinito per Internet o provider di sicurezza attendibile per tutti i rami (connessi tramite VPN o Express Route), spoke reti virtuali e utenti (connessi tramite VPN P2S).Azure Firewall deployed in a Virtual WAN hub (Secure Virtual Hub) can be configured as default router to the Internet or Trusted Security Provider for all branches (connected by VPN or Express Route), spoke Vnets and Users (connected via P2S VPN). Questa configurazione deve essere eseguita usando gestione firewall di Azure.This configuration must be done using Azure Firewall Manager. Vedere indirizzare il traffico all'hub per configurare tutto il traffico dai rami (inclusi gli utenti) e da reti virtuali a Internet tramite il firewall di Azure.See Route Traffic to your hub to configure all traffic from branches (including Users) as well as Vnets to Internet via the Azure Firewall.

Si tratta di una configurazione in due passaggi:This is a two step configuration:

  1. Configurare il routing del traffico Internet usando il menu di impostazione route dell'hub virtuale protetto.Configure Internet traffic routing using Secure Virtual Hub Route Setting menu. Configurare reti virtuali e Branch che possono inviare traffico a Internet tramite il firewall.Configure Vnets and Branches that can send traffic to the internet via the Firewall.

  2. Configurare le connessioni (VNET e Branch) in grado di instradare il traffico a Internet (0.0.0.0/0) tramite il FW di Azure nell'hub o nel provider di sicurezza attendibile.Configure which Connections (Vnet and Branch) can route traffic to the internet (0.0.0.0/0) via the Azure FW in the hub or Trusted Security Provider. Questo passaggio garantisce che la route predefinita venga propagata a branch selezionati e reti virtuali collegati all'hub WAN virtuale tramite le connessioni.This step ensures that the default route is propagated to selected branches and Vnets that are attached to the Virtual WAN hub via the Connections.

Forzare il tunneling del traffico al firewall locale in un hub virtuale protettoForce Tunneling Traffic to On-Premises Firewall in a Secured Virtual Hub

Se è già stata appresa una route predefinita (tramite BGP) dall'hub virtuale da uno dei rami (siti VPN o ER), questa route predefinita viene sostituita dalla route predefinita appresa dall'impostazione di gestione firewall di Azure.If there is already a default route learned (via BGP) by the Virtual Hub from one of the Branches (VPN or ER sites), this default route is overridden by the default route learned from Azure Firewall Manager setting. In questo caso, tutto il traffico che entra nell'hub da reti virtuali e rami destinati a Internet viene indirizzato al firewall di Azure o a un provider di sicurezza attendibile.In this case, all traffic that is entering the hub from Vnets and branches destined to internet, will be routed to the Azure Firewall or Trusted Security Provider.

Nota

Attualmente non è possibile selezionare un firewall locale o un firewall di Azure (e un provider di sicurezza attendibile) per il traffico associato a Internet originato da reti virtuali, rami o utenti.Currently there is no option to select on-premises Firewall or Azure Firewall (and Trusted Security Provider) for internet bound traffic originating from Vnets, Branches or Users. La route predefinita appresa dall'impostazione gestione firewall di Azure è sempre preferita rispetto alla route predefinita appresa da uno dei rami.The default route learned from the Azure Firewall Manager setting is always preferred over the default route learned from one of the branches.

Passaggi successiviNext steps

Creare una connessione usando la rete WAN virtuale e distribuire il firewall di Azure negli hub VWAN.Create a connection using Virtual WAN and Deploy Azure Firewall in VWAN hub(s).