Configurazione della connettività in Azure Rete virtuale Manager
Questo articolo illustra i diversi tipi di configurazioni che è possibile creare e distribuire con Azure Rete virtuale Manager. Sono attualmente disponibili due tipi di configurazioni: Connettività e Amministratori della sicurezza.
Configurazione della connettività
Le configurazioni di connettività consentono di creare topologie di rete diverse in base alle esigenze di rete. Sono disponibili due topologie tra cui scegliere, una rete mesh e un hub e spoke. La connettività tra reti virtuali viene definita all'interno delle impostazioni di configurazione.
Topologia di rete mesh
Una rete mesh è una topologia in cui tutte le reti virtuali del gruppo di rete sono connesse tra loro. Tutte le reti virtuali sono connesse e possono passare il traffico bidirezionalmente tra loro.
Un caso d'uso comune di una topologia di rete mesh consiste nel consentire ad alcune reti virtuali spoke in una topologia hub-spoke di comunicare direttamente tra loro senza che il traffico attraversi la rete virtuale hub. Questo approccio riduce la latenza che potrebbe altrimenti derivare dal routing del traffico attraverso un router nell'hub. Inoltre, è possibile mantenere la sicurezza e la supervisione sulle connessioni dirette tra reti spoke implementando regole dei gruppi di sicurezza di rete o regole amministrative di sicurezza in Azure Rete virtuale Manager. Il traffico può anche essere monitorato e registrato usando i log dei flussi di rete virtuale.
Per impostazione predefinita, la mesh è una mesh a livello di area, pertanto solo le reti virtuali nella stessa area possono comunicare tra loro. La mesh globale può essere abilitata per stabilire la connettività delle reti virtuali in tutte le aree di Azure. Una rete virtuale può far parte di un massimo di due gruppi connessi. Gli spazi degli indirizzi della rete virtuale possono sovrapporsi a una configurazione mesh, a differenza dei peering di rete virtuale. Tuttavia, il traffico verso le subnet sovrapposte specifiche viene eliminato, poiché il routing non è deterministico.
Gruppo connesso
Quando si crea una topologia mesh o la connettività diretta nella topologia hub-spoke, viene creato un nuovo costrutto di connettività denominato Gruppo connesso. Le reti virtuali in un gruppo connesso possono comunicare tra loro esattamente come se fosse necessario connettere manualmente le reti virtuali. Quando si esaminano le route valide per un'interfaccia di rete, verrà visualizzato un tipo di hop successivo ConnectedGroup. Le reti virtuali connesse in un gruppo connesso non hanno una configurazione di peering elencata in Peering per la rete virtuale.
Nota
- Se si hanno subnet in conflitto in due o più reti virtuali, le risorse in tali subnet non saranno in grado di comunicare tra loro anche se fanno parte della stessa rete mesh.
- Una rete virtuale può far parte di un massimo di due configurazioni mesh.
Topologia hub-spoke
Un hub-spoke è una topologia di rete in cui è selezionata una rete virtuale come rete virtuale hub. Questa rete virtuale viene con peering bidirezionale con ogni rete virtuale spoke nella configurazione. Questa topologia è utile per quando si vuole isolare una rete virtuale, ma si vuole comunque che la connettività alle risorse comuni nella rete virtuale hub.
In questa configurazione sono disponibili impostazioni che è possibile abilitare, ad esempio la connettività diretta tra reti virtuali spoke. Per impostazione predefinita, questa connettività è solo per le reti virtuali nella stessa area. Per consentire la connettività tra aree di Azure diverse, è necessario abilitare La mesh globale. È anche possibile abilitare il transito del gateway per consentire alle reti virtuali spoke di usare il gateway VPN o ExpressRoute distribuito nell'hub.
Connettività diretta
L'abilitazione della connettività diretta crea una sovrimpressione di un gruppo connesso sopra la topologia hub-spoke, che contiene reti virtuali spoke di un determinato gruppo. La connettività diretta consente a una rete virtuale spoke di comunicare direttamente con altre reti virtuali nel proprio gruppo spoke, ma non con le reti virtuali in altri spoke.
Ad esempio, si creano due gruppi di rete. È possibile abilitare la connettività diretta per il gruppo di rete Produzione , ma non per il gruppo di rete Test . Questa configurazione consente solo alle reti virtuali nel gruppo di rete Produzione di comunicare tra loro, ma non con quelle nel gruppo di rete Test .
Quando si esaminano le route valide in una macchina virtuale, la route tra l'hub e le reti virtuali spoke avrà il tipo di hop successivo VNetPeering o GlobalVNetPeering. Le route tra reti virtuali spoke verranno visualizzate con il tipo di hop successivo ConnectedGroup. Con l'esempio precedente, solo il gruppo di rete Production avrà un ConnectedGroup perché ha la connettività diretta abilitata.
Individuazione della topologia del gruppo di rete con visualizzazione Topologia
Per facilitare la comprensione della topologia del gruppo di rete, Azure Rete virtuale Manager offre una visualizzazione topologia che mostra la connettività tra i gruppi di rete e le relative reti virtuali membro. È possibile visualizzare la topologia del gruppo di rete durante la creazione della configurazione della connettività seguendo questa procedura:
- Passare alla pagina Configurazioni e creare una configurazione di connettività.
- Nella scheda Topologia selezionare il tipo di topologia desiderato, aggiungere uno o più gruppi di rete alla topologia e configurare altre impostazioni di connettività desiderate.
- Selezionare la scheda Anteprima topologia per testare la visualizzazione topologia ed esaminare la connettività corrente della configurazione.
- Completare la creazione della configurazione della connettività.
Nota
La visualizzazione topologia è disponibile solo durante la creazione della configurazione della connettività nel portale di Azure. Dopo aver creato la configurazione, non è più possibile visualizzare la topologia.
Utilizzare casi
L'abilitazione della connettività diretta tra reti virtuali spoke può essere utile quando si vuole avere un'appliance virtuale di rete o un servizio comune nella rete virtuale hub, ma non è necessario che l'hub sia sempre accessibile. È tuttavia necessario che le reti virtuali spoke nel gruppo di rete comunichino tra loro. Rispetto alle reti hub-spoke tradizionali, questa topologia migliora le prestazioni rimuovendo l'hop aggiuntivo tramite la rete virtuale hub.
Mesh globale
Come mesh, questi gruppi connessi spoke possono essere configurati come internazionali o globali. La mesh globale è necessaria quando si vuole che le reti virtuali spoke comunichino tra loro tra aree. Questa connettività è limitata alla rete virtuale nello stesso gruppo di rete. Per abilitare la connettività per le reti virtuali tra aree, è necessario abilitare la connettività mesh tra aree per il gruppo di rete. Le connessioni create tra reti virtuali spoke si trovano in un gruppo connesso.
Usare l'hub come gateway
Un'altra opzione che è possibile abilitare in una configurazione hub-spoke consiste nell'usare l'hub come gateway. Questa impostazione consente a tutte le reti virtuali nel gruppo di rete di usare il gateway VPN o ExpressRoute nella rete virtuale hub di passare il traffico. Vedere Gateway e connettività locale.
Quando si distribuisce una topologia hub-spoke dalla portale di Azure, l'opzione Usa hub come gateway è abilitata per impostazione predefinita per le reti virtuali spoke nel gruppo di rete. Azure Rete virtuale Manager tenta di creare una connessione peering di rete virtuale tra l'hub e la rete virtuale spoke nel gruppo di risorse. Se il gateway non esiste nella rete virtuale hub, la creazione del peering dalla rete virtuale spoke all'hub ha esito negativo. La connessione di peering dall'hub allo spoke verrà comunque creata senza una connessione stabilita.
Passaggi successivi
- Distribuire un'istanza di Azure Rete virtuale Manager usando Terraform.
- Informazioni sulle distribuzioni di configurazione in Azure Rete virtuale Manager.
- Informazioni su come bloccare il traffico di rete con una configurazione di amministratore della sicurezza.