Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
È consigliabile usare un dispositivo firewall per proteggere l'hub di Azure Stack. I firewall possono aiutare a difendersi da elementi come attacchi DDOS (Distributed Denial of Service), rilevamento delle intrusioni e ispezione del contenuto. Tuttavia, possono anche diventare un collo di bottiglia della larghezza di banda per i servizi di archiviazione Azure, ad esempio BLOB, tabelle e code.
Se viene usata una modalità di distribuzione disconnessa, è necessario pubblicare l'endpoint AD FS. Per ulteriori informazioni, vedere l'articolo sull'identità di integrazione del datacenter .
Gli endpoint di Azure Resource Manager (amministratore), del portale di amministrazione e di Key Vault (amministratore) non richiedono necessariamente la pubblicazione esterna. Ad esempio, come provider di servizi, è possibile limitare la superficie di attacco solo amministrando l'hub di Azure Stack dall'interno della rete e non da Internet.
Per le organizzazioni aziendali, la rete esterna può essere la rete aziendale esistente. In questo scenario è necessario pubblicare gli endpoint per gestire l'hub di Azure Stack dalla rete aziendale.
Traduzione degli Indirizzi di Rete
Network Address Translation (NAT) è il metodo consigliato per consentire alla macchina virtuale di distribuzione (DVM) di accedere alle risorse esterne e a Internet durante la distribuzione, nonché alle macchine virtuali ERCS (Emergency Recovery Console) o all'endpoint con privilegi (PEP) durante la registrazione e la risoluzione dei problemi.
NAT può anche essere un'alternativa agli indirizzi IP pubblici nella rete esterna o indirizzi VIP pubblici. Tuttavia, non è consigliabile farlo perché limita l'esperienza utente del tenant e aumenta la complessità. Un'opzione sarebbe una NAT uno a uno che richiede ancora un indirizzo IP pubblico per ogni indirizzo IP utente nel pool. Un'altra opzione è un NAT molti-a-uno che richiede una regola NAT per utente VIP per tutte le porte che potrebbe utilizzare.
Alcuni degli aspetti negativi dell'uso di NAT per indirizzo VIP pubblico sono:
- NAT comporta un sovraccarico durante la gestione delle regole del firewall perché gli utenti controllano i propri endpoint e le proprie regole di pubblicazione nello stack SDN (Software-Defined Networking). Gli utenti devono contattare l'operatore hub di Azure Stack per pubblicare i propri INDIRIZZI VIP e aggiornare l'elenco delle porte.
- Mentre l'utilizzo nat limita l'esperienza utente, fornisce il controllo completo all'operatore sulla pubblicazione delle richieste.
- Per gli scenari cloud ibridi con Azure, tenere presente che Azure non supporta la configurazione di un tunnel VPN a un endpoint tramite NAT.
Intercettazione SSL
È attualmente consigliabile disabilitare qualsiasi intercettazione SSL (ad esempio l'offload di decrittografia) in tutto il traffico dell'hub di Azure Stack. Se è supportato negli aggiornamenti futuri, verranno fornite indicazioni su come abilitare l'intercettazione SSL per l'hub di Azure Stack.
Scenario del firewall perimetrale
In una distribuzione perimetrale, l'hub di Azure Stack viene distribuito direttamente dietro il router perimetrale o il firewall. In questi scenari, è supportato che il firewall si posizioni al di sopra del confine di rete (Scenario 1) dove supporta sia configurazioni firewall attivo-attivo che attivo-passivo, o funzioni come dispositivo di confine (Scenario 2) dove supporta solo la configurazione firewall attivo-attivo, basandosi su multi-percorso a costo uguale (ECMP) con BGP o routing statico per il failover.
Gli indirizzi IP instradabili pubblici vengono specificati per il pool VIP pubblico dalla rete esterna al momento della distribuzione. In uno scenario perimetrale non è consigliabile usare indirizzi IP instradabili pubblici in qualsiasi altra rete a scopo di sicurezza. Questo scenario consente a un utente di sperimentare l'esperienza cloud completamente controllata come in un cloud pubblico come Azure.
Scenario del firewall di rete intranet aziendale o perimetrale
In una distribuzione intranet aziendale o perimetrale, l'hub di Azure Stack viene distribuito in un firewall con più zone o tra il firewall perimetrale e il firewall di rete aziendale interno. Il traffico viene quindi distribuito tra la rete sicura, perimetrale (o rete perimetrale) e le zone non sicure, come descritto di seguito:
- 'area sicura: si tratta della rete interna che usa indirizzi IP interni o aziendali instradabili. La rete sicura può essere divisa, avere accesso in uscita a Internet tramite NAT sul firewall ed è in genere accessibile da qualsiasi posizione all'interno del data center tramite la rete interna. Tutte le reti del Azure Stack Hub dovrebbero trovarsi nella zona sicura, ad eccezione del pool di VIP pubblici della rete esterna.
- zona perimetrale. La rete perimetrale è la posizione in cui vengono in genere distribuite app esterne o con connessione Internet come i server Web. In genere viene monitorato da un firewall per evitare attacchi come DDoS e intrusioni (hacking) pur consentendo il traffico in ingresso specificato da Internet. Solo il pool VIP pubblico della rete esterna dell'hub di Azure Stack deve risiedere nella zona della rete perimetrale.
- zona non protetta. Questa è la rete esterna, Internet. Non è consigliabile distribuire l'hub di Azure Stack nella zona non protetta.
Ulteriori informazioni
Altre informazioni sulle porte e i protocolli usati dagli endpoint dell'hub di Azure Stack.
Passaggi successivi
requisiti dell'infrastruttura a chiave pubblica dell'hub di Azure Stack