Pianificare le reti virtuali

  • Articolo

Creare una rete virtuale per sperimentare è abbastanza semplice, ma è probabile che nel corso del tempo si distribuiscano più reti virtuali per supportare le esigenze di produzione dell'organizzazione. Con una pianificazione è possibile distribuire reti virtuali e connettere le risorse necessarie in modo più efficace. Le informazioni contenute in questo articolo sono particolarmente utili se si ha già familiarità con le reti virtuali e si ha esperienza con il loro utilizzo. Se non si ha familiarità con le reti virtuali, è consigliabile leggere Panoramica sulle reti virtuali.

Denominazione

Tutte le risorse di Azure hanno un nome. Il nome deve essere univoco all'interno di un ambito, che può variare per ogni tipo di risorsa. Ad esempio, il nome di una rete virtuale deve essere univoco all'interno di un gruppo di risorse, ma può essere duplicato all'interno di una sottoscrizione o di un'area di Azure. Definire una convenzione di denominazione che è possibile usare in modo coerente quando si denominano le risorse risulta utile quando si gestiscono diverse risorse di rete nel corso del tempo. Per alcuni suggerimenti, vedere Naming conventions (Convenzioni di denominazione).

Regioni

Tutte le risorse di Azure vengono create in un'area e in una sottoscrizione di Azure. Una risorsa può essere creata solo in una rete virtuale presente nella stessa area e nella stessa sottoscrizione della risorsa. È tuttavia possibile connettere reti virtuali esistenti in sottoscrizioni e aree diverse. Per altre informazioni, vedere Problemi di connettività. Quando si decidono le aree in cui distribuire le risorse, prendere in considerazione dove si trovano fisicamente i consumer delle risorse:

  • I consumer delle risorse in genere richiedono la latenza di rete più bassa per le loro risorse. Per determinare le latenze relative tra una posizione specificata e le aree di Azure, vedere Visualizzare le latenze relative.
  • Sono presenti requisiti di residenza, sovranità , conformità  o resilienza dei dati? In tal caso, è fondamentale scegliere l'area adeguata ai requisiti. Per altre informazioni, vedere Aree geografiche di Azure.
  • È richiesta la resilienza tra le zone di disponibilità di Azure nella stessa area di Azure per le risorse distribuite? È possibile distribuire le risorse, ad esempio le macchine virtuali (VM) in zone di disponibilità diversa nella stessa rete virtuale. Tuttavia, non tutte le aree di Azure supportano le zone di disponibilità. Per altre informazioni sulle zone di disponibilità e sulle aree che le supportano, vedere Zone di disponibilità.

Sottoscrizioni

È possibile distribuire le reti virtuali in base alle esigenze all'interno di ogni sottoscrizione, fino ad arrivare al limite. Alcune organizzazioni hanno diverse sottoscrizioni per reparti diversi, ad esempio. Per altre informazioni e considerazioni riguardanti le sottoscrizioni, vedere Governance sottoscrizione.

Segmentazione

È possibile creare più reti virtuali per ogni sottoscrizione e per ogni area. È possibile creare più subnet all'interno di ogni rete virtuale. Le considerazioni che seguono consentono di determinare il numero di reti virtuali e le subnet necessarie:

Reti virtuali

Una rete virtuale è una parte virtuale, isolata della rete pubblica di Azure. Ogni rete virtuale è dedicata alla sottoscrizione. Aspetti da considerare quando si decide se creare una rete virtuale o più reti virtuali in una sottoscrizione:

  • Sono presenti requisiti di sicurezza aziendali per isolare il traffico in reti virtuali separate? È possibile scegliere di connettere o meno le reti virtuali. Se si connettono le reti virtuali, è possibile implementare un'appliance virtuale di rete, ad esempio un firewall, per controllare il flusso del traffico tra le reti virtuali. Per altre informazioni, vedere sicurezza e connettività.
  • Sono presenti requisiti aziendali per isolare le reti virtuali in sottoscrizioni o aree separate?
  • Un'interfaccia di rete consente a una macchina virtuale di comunicare con altre risorse. Ogni interfaccia di rete ha uno o più indirizzi IP privati associati. Quante interfacce di rete e indirizzi IP privati sono necessari in una rete virtuale? Sono previsti dei limiti al numero di interfacce di rete e indirizzi IP privati che è possibile avere all'interno di una rete virtuale.
  • La rete virtuale deve essere connessa a un'altra rete virtuale o alla rete locale? È possibile scegliere di connettere alcune reti virtuali tra loro o alle reti locali, ma non ad altre. Per altre informazioni, vedere Problemi di connettività. Ogni rete virtuale che si connette a un'altra rete virtuale o a una rete locale, deve includere uno spazio di indirizzo univoco. Ogni rete virtuale ha uno o più intervalli di indirizzi pubblici o privati assegnati al proprio spazio degli indirizzi. Viene specificato un intervallo di indirizzi in un formato routing di dominio classless internet (CIDR), ad esempio 10.0.0.0/16. Altre informazioni sugli intervalli di indirizzi per le reti virtuali.
  • Si dispone di tutti i requisiti aziendali di amministrazione per le risorse in reti virtuali diverse? Se è così, è possibile separare le risorse in una rete virtuale distinta per semplificare l'assegnazione dell'autorizzazione a utenti singoli nell'organizzazione o per assegnare diversi criteri a diverse reti virtuali.
  • Quando si distribuiscono alcune risorse del servizio di Azure in una rete virtuale, essere creano la propria rete virtuale. Per determinare se un servizio di Azure crea una propria rete virtuale, vedere le informazioni per ogni servizio di Azure che può essere distribuito in una rete virtuale.

Subnet

Una rete virtuale può essere segmentata in una o più subnet fino a raggiungere i limiti. Aspetti da considerare quando si decide se creare una subnet o più reti virtuali in una sottoscrizione:

  • Ogni subnet deve disporre di un intervallo di indirizzi univoci, specificato nel formato CIDR all'interno dello spazio di indirizzi della rete virtuale. L'intervallo di indirizzi non può sovrapporsi ad altre subnet all'interno della rete virtuale.
  • Se si prevede di distribuire alcune risorse del servizio di Azure in una rete virtuale, potrebbero richiedere, o creare, le proprie subnet, in tal caso ci deve essere abbastanza spazio non allocato per consentire loro di farlo. Per determinare se un servizio di Azure crea una propria subnet, vedere le informazioni per ogni servizio di Azure che può essere distribuito in una rete virtuale. Ad esempio, se si connette una rete virtuale a una rete locale tramite un Gateway VPN di Azure, la rete virtuale deve avere una subnet dedicata per il gateway. Altre informazioni sulle subnet del gateway.
  • Per impostazione predefinita, Azure indirizza il traffico di rete tra tutte le subnet in una rete virtuale. È possibile eseguire l'override di routing per evitare il routing di Azure tra le subnet, oppure per instradare il traffico tra subnet attraverso un' appliance virtuale di rete, ad esempio. Se è necessario che il traffico tra le risorse nella stessa rete virtuale fluisca attraverso un'appliance virtuale di rete (vulnerabilità), distribuire le risorse in subnet diverse. Altre informazioni in sicurezza.
  • È possibile limitare l'accesso alle risorse di Azure, ad esempio un account di archiviazione di Azure o un database SQL di Azure, a subnet specifiche con un endpoint servizio di rete virtuale. Inoltre, è possibile negare l'accesso alle risorse da internet. È possibile creare più subnet e abilitare un endpoint del servizio per alcune subnet, ma non altro. Altre informazioni sugli endpoint del servizio e sulle risorse di Azure per cui è possibile abilitarli.
  • È possibile associare zero o un gruppo di sicurezza di rete ad ogni subnet in una rete virtuale. È possibile associare lo stesso gruppo di protezione o un altro per ogni subnet di rete. Ogni gruppo di sicurezza di rete contiene regole che consentono o negano il traffico da e verso le origini e le destinazioni. Vedere altre informazioni sui gruppi di sicurezza di rete.

Sicurezza

È possibile filtrare il traffico di rete da e verso le risorse in una rete virtuale tramite i gruppi di sicurezza di rete e i dispositivi di rete virtuale. È possibile controllare come Azure instrada il traffico proveniente da subnet. È inoltre possibile limitare gli utenti dell'organizzazione che possono usare le risorse nelle reti virtuali.

Filtro del traffico

  • È possibile filtrare il traffico di rete tra le risorse in una rete virtuale tramite un gruppo di sicurezza di rete, una NVA che consente di filtrare il traffico di rete o entrambi. Per distribuire una NVA, ad esempio un firewall, per filtrare il traffico di rete, vedere Azure Marketplace. Quando si usa una vulnerabilità, è anche possibile creare route personalizzate per instradare il traffico dalla subnet alla NVA. Altre informazioni su routing del traffico.
  • Un gruppo di sicurezza di rete contiene diverse regole di sicurezza predefinite che consentono o negano il traffico verso o dalle risorse. Un gruppo di sicurezza di rete può essere associato a un'interfaccia di rete, alla subnet in cui si trova l'interfaccia di rete, o ad entrambe. Per semplificare la gestione delle regole di sicurezza, è consigliabile associare un gruppo di sicurezza di rete a subnet singole, anziché le interfacce di rete singole all'interno della subnet, laddove possibile.
  • Se diverse macchine virtuali all'interno di una subnet hanno bisogno che ad esse si applichino regole di sicurezza diverse, è possibile associare l'interfaccia di rete nella macchina virtuale a uno o più gruppi di sicurezza dell'applicazione. Una regola di sicurezza può specificare un gruppo di sicurezza delle applicazioni nella propria, nella destinazione, o in entrambe. Tale regola quindi si applica solo alle interfacce di rete che sono membri del gruppo di sicurezza dell'applicazione. Altre informazioni sui gruppi di sicurezza di rete e sui gruppi di sicurezza dell'applicazione.
  • Quando un gruppo di sicurezza di rete è associato a livello di subnet, si applica a tutte le schede di interfaccia di rete nella subnet, non solo al traffico proveniente dall'esterno della subnet. Ciò significa che anche il traffico tra le macchine virtuali contenute nella subnet può essere interessato.
  • Azure crea diverse regole di sicurezza predefinite all'interno di ogni gruppo di sicurezza di rete. Una regola predefinita consente a tutto il traffico di fluire tra tutte le risorse in una rete virtuale. Per eseguire l'override di questo comportamento, usare i gruppi di sicurezza di rete, il routing personalizzato per instradare il traffico a una NVA, o entrambi. È consigliabile acquisire familiarità con tutte le regole di sicurezza predefinite di Azure e comprendere come vengono applicate le regole del gruppo di sicurezza di rete a una risorsa.

È possibile visualizzare le progettazioni di esempio per l'implementazione di una rete perimetrale (nota anche come rete perimetrale) tra Azure e Internet usando un'appliance virtuale di rete.

instradamento del traffico

Azure crea diverse route predefinite per il traffico in uscita da una subnet. È possibile eseguire l'override del routing predefinito di Azure creando una tabella di routing e associandola a una subnet. Dei motivi comuni per eseguire l'override del routing predefinito di Azure sono:

  • Perché si vuole che il traffico tra subnet passi attraverso una NVA. Altre informazioni su come configurare le tabelle di route per forzare il traffico attraverso una NVA.
  • Poiché si desidera forzare tutto il traffico associato a internet tramite un NVA, o in locale, tramite un gateway VPN di Azure. Forzare il traffico associato a internet in locale per l'ispezione e la registrazione è spesso definito come tunneling forzato. Altre informazioni su come configurare il tunneling forzato.

Se è necessario implementare il routing personalizzato, è consigliabile avere familiarità con routing in Azure.

Connettività

È possibile connettere una rete virtuale ad altre reti virtuali tramite il peering di rete virtuale, o alla rete locale, tramite un gateway VPN di Azure.

Peering

Quando si usa peering della rete virtuale, le reti virtuali possono trovarsi nella stessa, o in diverse, aree di Azure supportate. Le reti virtuali possono trovarsi nella stessa sottoscrizione di Azure o in diverse sottoscrizioni (anche sottoscrizioni appartenenti a tenant Microsoft Entra diversi). Prima di creare un peering, è consigliabile acquisire familiarità con i requisiti e i vincoli del peering. La larghezza di banda tra le risorse nelle reti virtuali con peering nella stessa area rimane uguale a quella tra le risorse nella stessa rete virtuale.

gateway VPN

È possibile usare un Gateway VPN di Azure per connettere una rete virtuale alla rete locale tramite un VPN site-to-site, o tramite una connessione dedicata con Azure ExpressRoute.

È possibile combinare il peering e un gateway VPN per creare reti hub e spoke, in cui le reti virtuali spoke si connettono a una rete virtuale hub e l'hub si connette a una rete locale, ad esempio.

Risoluzione dei nomi

Le risorse in una rete virtuale non possono risolvere i nomi delle risorse nella rete virtuale con peering tramite il DNS predefinito di Azure. Per risolvere i nomi nelle reti virtuali con peering, distribuire un server DNS personalizzato oppure usare domini privati di DNS di Azure. La risoluzione dei nomi tra le reti locali e le risorse in una rete virtuale richiede anche di distribuire il proprio server DNS.

Autorizzazioni

Azure usa il controllo degli accessi in base al ruolo di Azure alle risorse. Le autorizzazioni vengono assegnate a un ambito nella gerarchia seguente: gruppo di gestione, sottoscrizione, gruppo di risorse e singola risorsa. Per altre informazioni sulla gerarchia, vedere organizzare le risorse. Per lavorare con reti virtuali di Azure e con tutte le funzionalità correlate, come ad esempio il peering, i gruppi di sicurezza di rete, gli endpoint del servizio e le tabelle di route, è possibile assegnare i membri dell'organizzazione ai ruoli incorporati Proprietario, Collaboratore, o Collaboratore di rete e assegnare il ruolo all'ambito appropriato. Se si desidera assegnare autorizzazioni specifiche per un subset delle funzionalità di rete virtuale, creare un ruolo personalizzato e assegnare le autorizzazioni specifiche necessarie per le reti virtuali, le subnet e gli endpoint del servizio, le interfacce di rete, il peering, i gruppi di sicurezza di rete e delle applicazioni, o le tabelle route al ruolo.

Criteri

Criteri di Azure consente di creare, assegnare e gestire le definizioni dei criteri. Le definizioni dei criteri applicano regole diverse alle risorse, in modo che le risorse rimangano conformi ai contratti di servizio e agli standard dell'organizzazione. Criteri di Azure esegue una valutazione delle risorse, alla ricerca delle risorse che non sono conformi alle definizioni di criteri specificate. Ad esempio, è possibile definire e applicare un criterio che consente la creazione di reti virtuali solo in un gruppo di risorse o in un'area specifici. Un altro criterio potrebbe richiedere che a tutte le subnet sia associato un gruppo di sicurezza di rete. I criteri vengono quindi valutati durante la creazione e l'aggiornamento delle risorse.

I criteri vengono applicati alla gerarchia seguente: gruppo di gestione, sottoscrizione e gruppo di risorse. Altre informazioni sulle Criteri di Azure o sulla distribuzione di alcune definizioni di Criteri di Azure di rete virtuale.

Passaggi successivi

Informazioni su tutte le attività, le impostazioni e le opzioni per una rete virtuale, una subnet e il servizio endpoint, un'interfaccia di rete, il peering, il gruppo di sicurezza di rete e dell'applicazione o la tabella di route.