Bilanciamento del carico in più aree con Gestione traffico, Firewall di Azure e gateway applicazione

Firewall di Azure
Gateway applicazione di Azure
Azure Bastion
Azure Load Balancer
Gestione traffico di Azure

Questa architettura è per applicazioni globali e con connessione Internet che usano protocolli HTTP(S) e non HTTP(S). Offre un bilanciamento del carico globale basato su DNS, due forme di bilanciamento del carico a livello di area e peering di rete virtuale globale per creare un'architettura a disponibilità elevata che può resistere a un'interruzione a livello di area. L'ispezione del traffico viene fornita da Azure Web application firewall (WAF) e Firewall di Azure.

Note sull'architettura

L'architettura in questo documento è facilmente estendibile a una progettazione di rete virtuale hub-spoke, in cui il Firewall di Azure si trova nella rete hub e l'gateway applicazione nella rete hub o in un spoke. Se la gateway applicazione viene distribuita nell'hub, si vogliono comunque più gateway applicazione, ognuno per un determinato set di applicazioni, per evitare conflitti di controllo degli accessi in base al ruolo e impedire di raggiungere i limiti di gateway applicazione (vedere limiti gateway applicazione).

In un rete WAN virtuale i gateway applicazione dell'ambiente non possono essere distribuiti nell'hub, quindi verranno installati nelle reti virtuali spoke.

L'architettura proposta opta per l'ispezione doppia del contenuto Web tramite un Web application firewall (basato su gateway applicazione) davanti a Firewall di Azure. Esistono altre opzioni, come documentato in Firewall e gateway applicazione per le reti virtuali, ma questa opzione è la più flessibile e completa: espone l'indirizzo IP del client nell'intestazione X-Forwarded-For HTTP per l'applicazione finale, fornisce la crittografia end-to-end e impedisce ai client di ignorare il WAF per accedere all'applicazione.

Se solo le applicazioni Web sono esposte (nessuna applicazione NON HTTP) e l'ispezione doppia da WAF e Firewall di Azure di questo traffico Web non è necessaria, Frontdoor di Azure sarà una soluzione di bilanciamento del carico globale migliore rispetto a Gestione traffico. Frontdoor è un servizio di bilanciamento del carico di livello 7 per il contenuto HTTP(S) che fornisce anche memorizzazione nella cache, accelerazione del traffico, terminazione SSL/TLS, gestione dei certificati, probe di integrità e altre funzionalità. Tuttavia, gateway applicazione offre una migliore integrazione con Firewall di Azure per un approccio di protezione a livelli.

Flussi di traffico HTTP in ingresso

Diagramma che mostra il bilanciamento del carico in più aree con Firewall di Azure, gateway applicazione e Gestione traffico per il traffico Web.

Scaricare un file di Visio di questa architettura.

  1. Gestione traffico di Azure usa il routing basato su DNS per bilanciare il carico del traffico in ingresso tra le due aree. Gestione traffico risolve le query DNS per l'applicazione agli indirizzi IP pubblici degli endpoint gateway applicazione di Azure. Gli endpoint pubblici dei gateway applicazione fungono da endpoint back-end del traffico di Gestione traffico per il traffico HTTP(S). Gestione traffico risolve le query DNS in base a una scelta di vari metodi di routing. Il browser si connette direttamente all'endpoint; Gestione traffico non visualizza il traffico HTTP(S).

  2. I gateway applicazione distribuiti tra le zone di disponibilità ricevono il traffico HTTP(S) dal browser e i Web Application Firewalls Premium controllano il traffico per rilevare gli attacchi Web. I gateway applicazione invieranno il traffico al back-end, il servizio di bilanciamento del carico interno per le macchine virtuali front-end. Per questo flusso specifico, il servizio di bilanciamento del carico interno davanti ai server Web non è strettamente necessario poiché il gateway applicazione potrebbe eseguire questo bilanciamento del carico stesso. Tuttavia, è incluso per coerenza con il flusso per applicazioni non HTTP(S).

  3. Il traffico tra il gateway applicazione e il servizio di bilanciamento del carico interno front-end verrà intercettato da Firewall di Azure Premium tramite route definite dall'utente applicate nella subnet gateway applicazione. Il Firewall di Azure Premium applicherà l'ispezione TLS al traffico per una maggiore sicurezza. Il Firewall di Azure è anche ridondante per la zona. Se il Firewall di Azure rileva una minaccia nel traffico, i pacchetti verranno eliminare. In caso contrario, al termine dell'ispezione dell'Firewall di Azure il traffico verrà inoltrato al servizio di bilanciamento del carico interno del livello Web di destinazione.

  4. Il livello Web è il primo livello dell'applicazione a tre livelli, contiene l'interfaccia utente e analizza anche le interazioni utente. Il servizio di bilanciamento del carico a livello Web viene distribuito in tutte e tre le zone di disponibilità e distribuirà il traffico a ognuna delle tre macchine virtuali a livello Web.

  5. Le macchine virtuali a livello Web vengono distribuite in tutte e tre le zone di disponibilità e comunicano con il livello business tramite un servizio di bilanciamento del carico interno dedicato.

  6. Il livello business elabora le interazioni utente e determina i passaggi successivi e si trova tra i livelli Web e dati. Il servizio di bilanciamento del carico interno a livello aziendale distribuisce il traffico alle macchine virtuali a livello aziendale tra le tre zone di disponibilità. Il servizio di bilanciamento del carico a livello aziendale è con ridondanza della zona, ad esempio il servizio di bilanciamento del carico a livello Web.

  7. Le macchine virtuali a livello aziendale vengono distribuite tra zone di disponibilità e instradano il traffico al listener del gruppo di disponibilità dei database.

  8. Il livello dati archivia i dati dell'applicazione, in genere in un database, un archivio oggetti o una condivisione file. Questa architettura include SQL Server nelle macchine virtuali distribuite in tre zone di disponibilità. Si trovano in un gruppo di disponibilità e usano un nome di rete distribuito (DNN) per instradare il traffico al listener del gruppo di disponibilità per il bilanciamento del carico.

Flussi di traffico non HTTP in ingresso

Diagramma che mostra il bilanciamento del carico in più aree con Firewall di Azure, gateway applicazione e Gestione traffico per il traffico non Web.

Scaricare un file di Visio di questa architettura.

  1. Gestione traffico di Azure usa il routing basato su DNS per bilanciare il carico del traffico in ingresso tra le due aree. Gestione traffico risolve le query DNS per l'applicazione agli indirizzi IP pubblici degli endpoint di Azure. Gli endpoint pubblici del Firewall applicazione fungono da endpoint back-end di Gestione traffico per il traffico non HTTP.The public endpoints of the Application Firewall serve as the back-end endpoints of Traffic Manager for not-HTTP(S). Gestione traffico risolve le query DNS in base a una scelta di vari metodi di routing. Il browser si connette direttamente all'endpoint; Gestione traffico non visualizza il traffico HTTP(S).

  2. Il Firewall di Azure Premium è ridondante dalla zona e controlla il traffico in ingresso per la sicurezza. Se il Firewall di Azure rileva una minaccia nel traffico, i pacchetti verranno eliminare. In caso contrario, al termine dell'ispezione, il Firewall di Azure inoltra il traffico al servizio di bilanciamento del carico interno a livello Web che esegue la traduzione dell'indirizzo di rete di destinazione (DNAT) nei pacchetti in ingresso.

  3. Il livello Web è il primo livello dell'applicazione a tre livelli, contiene l'interfaccia utente e analizza anche le interazioni utente. Il servizio di bilanciamento del carico a livello Web viene distribuito in tutte e tre le zone di disponibilità e distribuirà il traffico a ognuna delle tre macchine virtuali a livello Web.

  4. Le macchine virtuali a livello Web vengono distribuite in tutte e tre le zone di disponibilità e comunicano con il livello business tramite un servizio di bilanciamento del carico interno dedicato.

  5. Il livello business elabora le interazioni utente e determina i passaggi successivi e si trova tra i livelli Web e dati. Il servizio di bilanciamento del carico interno a livello aziendale distribuisce il traffico alle macchine virtuali a livello aziendale tra le tre zone di disponibilità. Il servizio di bilanciamento del carico a livello aziendale è con ridondanza della zona, ad esempio il servizio di bilanciamento del carico a livello Web.

  6. Le macchine virtuali a livello aziendale vengono distribuite tra zone di disponibilità e instradano il traffico al listener del gruppo di disponibilità dei database.

  7. Il livello dati archivia i dati dell'applicazione, in genere in un database, un archivio oggetti o una condivisione file. Questa architettura include SQL Server nelle macchine virtuali distribuite in tre zone di disponibilità. Si trovano in un gruppo di disponibilità e usano un nome di rete distribuito (DNN) per instradare il traffico al listener del gruppo di disponibilità per il bilanciamento del carico.

Flussi di traffico in uscita (tutti i protocolli)

I flussi di traffico in uscita per gli aggiornamenti delle patch delle macchine virtuali o altre connettività a Internet passeranno dalle macchine virtuali del carico di lavoro alle Firewall di Azure tramite route User-Defined. La Firewall di Azure applica regole di connettività usando categorie Web e regole di rete e applicazione per impedire ai carichi di lavoro di accedere a scenari di esfiltrazione di contenuti o dati inappropriati.

Componenti

  • Firewall di Azure è un firewall di nuova generazione gestito da Microsoft basato sul cloud che fornisce un'ispezione approfondita dei pacchetti per i flussi di traffico nord/sud/est/ovest. Può essere distribuito in zone di disponibilità e offre la scalabilità automatica automatica per gestire le modifiche alla domanda di applicazioni.
  • gateway applicazione di Azure è un servizio di bilanciamento del carico di livello 7 con funzionalità di Web application firewall (WAF) facoltative. Lo SKU v2 di gateway applicazione supporta la ridondanza della zona di disponibilità ed è consigliabile per la maggior parte degli scenari. Il gateway applicazione include la scalabilità automatica orizzontale configurabile in modo che possa reagire automaticamente alle modifiche alla domanda di applicazione.
  • Gestione traffico di Azure è un servizio di bilanciamento del carico del traffico globale basato su DNS che distribuisce il traffico ai servizi in aree di Azure globali, fornendo disponibilità elevata e velocità di risposta. Per altre informazioni, vedere la sezione Configurazione di Gestione traffico.
  • Azure Load Balancer è un servizio di bilanciamento del carico di livello 4. Un servizio di bilanciamento del carico con ridondanza della zona continuerà a distribuire il traffico con un errore della zona di disponibilità nelle zone rimanenti.
  • Protezione DDoS di Azure ha funzionalità avanzate per proteggere da attacchi DDoS (Distributed Denial of Service).
  • DNS di Azure è un servizio di hosting per domini DNS che esegue la risoluzione dei nomi usando l'infrastruttura di Microsoft Azure. Ospitando i domini in Azure, è possibile gestire i record DNS usando le stesse credenziali, API, strumenti e fatturazione come per gli altri servizi Azure.
  • Le zone di DNS privato di Azure sono una funzionalità di DNS di Azure. Le zone private DNS di Azure forniscono la risoluzione dei nomi all'interno di una rete virtuale e tra reti virtuali. I record contenuti in una zona DNS privata non sono risolvibili da Internet. La risoluzione DNS rispetto a una zona DNS privata funziona solo da reti virtuali collegate.
  • Azure Macchine virtuali sono risorse di calcolo scalabili su richiesta che offrono la flessibilità di virtualizzazione, ma eliminano le richieste di manutenzione dell'hardware fisico. Le scelte per il sistema operativo includono Windows e Linux. Alcuni componenti delle applicazioni possono essere sostituiti con risorse di Azure come servizio della piattaforma (ad esempio il database e il livello front-end), ma l'architettura non cambierebbe significativamente se si usa collegamento privato e servizio app integrazione della rete virtuale per portare tali servizi PaaS nella rete virtuale.
  • Azure set di scalabilità di macchine virtuali è automatizzato e con scalabilità di macchine virtuali con carico bilanciato che semplifica la gestione delle applicazioni e aumenta la disponibilità.
  • SQL Server nelle macchine virtuali consente di usare versioni complete di SQL Server nel cloud senza dover gestire alcun hardware locale.
  • Rete virtuale di Azure è una rete privata sicura nel cloud. Connette le macchine virtuali a un'altra, a Internet e alle reti cross-premise.
  • Route definite dall'utente è un meccanismo per eseguire l'override del routing predefinito nelle reti virtuali. In questo scenario vengono usati per forzare i flussi di traffico in ingresso e in uscita per attraversare il Firewall di Azure.

Dettagli della soluzione

Gestione traffico - Gestione traffico è stata configurata per usare il routing delle prestazioni. Instrada il traffico all'endpoint con latenza più bassa per l'utente. Gestione traffico modifica automaticamente l'algoritmo di bilanciamento del carico come modifica della latenza degli endpoint. Gestione traffico fornisce il failover automatico se è presente un'interruzione a livello di area. Usa il routing delle priorità e i controlli di integrità regolari per determinare dove instradare il traffico.

zone di disponibilità: l'architettura usa tre zone di disponibilità. Le zone creano un'architettura a disponibilità elevata per i gateway applicazione, i servizi di bilanciamento del carico interno e le macchine virtuali in ogni area. In caso di interruzione della zona, le zone di disponibilità rimanenti in tale area assumerebbero il carico, che non attiverebbe un failover a livello di area.

gateway applicazione: anche se Gestione traffico offre il bilanciamento del carico a livello di area basato su DNS, gateway applicazione offre molte delle stesse funzionalità di Frontdoor di Azure, ma a livello di area, ad esempio:

  • WAF (Web application firewall)
  • Terminazione TLS (Transport Layer Security)
  • Routing basato sul percorso
  • Affinità di sessione basata su cookie

Firewall di Azure : Firewall di Azure Premium offre sicurezza di rete per applicazioni generice (traffico Web e non Web), esaminando tre tipi di flussi in questa architettura:

  • I flussi HTTP(S) in ingresso dal gateway applicazione sono protetti con Firewall di Azure ispezione TLS Premium.
  • I flussi non HTTP in ingresso da Internet pubblico vengono controllati con il resto delle funzionalità Firewall di Azure Premium.
  • I flussi in uscita da Azure Macchine virtuali vengono controllati da Firewall di Azure per impedire l'esfiltrazione dei dati e l'accesso a siti e applicazioni non consentiti.

Peering di rete virtuale - Si chiama peering tra aree "peering reti virtuali globali". Il peering di rete virtuale globale offre la replica dei dati a bassa latenza e larghezza di banda elevata tra aree. È possibile trasferire dati tra sottoscrizioni di Azure, tenant di Azure Active Directory e modelli di distribuzione con questo peering globale. Nei peering di rete virtuale dell'ambiente hub-spoke esisterebbero tra reti hub-spoke.

Consigli

Le raccomandazioni seguenti rispettano i pilastri di Azure Well-Architected Framework (WAF). I pilastri di WAF guidano i principi che consentono di garantire la qualità dei carichi di lavoro cloud. Per altre informazioni, vedere Microsoft Azure Well-Architected Framework.

Affidabilità

Regioni- Usare almeno due aree di Azure per la disponibilità elevata. È possibile distribuire l'applicazione in più aree di Azure in configurazioni attive/passive o attive/attive. Più aree consentono anche di evitare tempi di inattività dell'applicazione in caso di errore di un sottosistema dell'applicazione.

  • Gestione traffico eseguirà automaticamente il failover nell'area secondaria se l'area primaria ha esito negativo.
  • La scelta delle aree migliori per le proprie esigenze deve essere basata su considerazioni tecniche, normative e supporto per la zona di disponibilità.

Coppie di aree - Usare coppie di aree per ottenere la massima resilienza. Assicurarsi che entrambe le coppie di aree supportino tutti i servizi di Azure necessari all'applicazione (vedere i servizi in base all'area). Ecco due vantaggi delle coppie di aree:

  • Gli aggiornamenti pianificati di Azure vengono implementati nelle aree abbinate una alla volta per ridurre al minimo il tempo di inattività e il rischio di interruzione dell'applicazione.
  • I dati continuano a risiedere nella stessa area geografica della coppia (ad eccezione del Brasile meridionale) per scopi fiscali e legali.

Zone di disponibilità - Usare più zone di disponibilità per supportare i livelli di applicazione, gateway applicazione, Firewall di Azure, Azure Load Balancer e applicazioni.

Scalabilità automatica e istanze del gateway applicazione - Configurare il gateway applicazione con almeno due istanze per evitare tempi di inattività e la scalabilità automatica per garantire l'adattamento dinamico alle esigenze di capacità dell'applicazione.

Per altre informazioni, vedere:

Routing globale

Metodo di routing globale - Usare il metodo di routing del traffico più adatto alle esigenze dei clienti. Gestione traffico supporta più metodi di routing del traffico per instradare in modo deterministico il traffico ai vari endpoint di servizio.

Configurazione annidata - Usare Gestione traffico in una configurazione annidata se è necessario un controllo più granulare per scegliere un failover preferito all'interno di un'area.

Per altre informazioni, vedere:

Visualizzazione del traffico globale

Usare La visualizzazione traffico in Gestione traffico per visualizzare i modelli di traffico e le metriche di latenza. Visualizzazione traffico consente di pianificare l'espansione del footprint in nuove aree di Azure.

Per informazioni dettagliate, vedere Visualizzazione traffico di Gestione traffico .

Gateway applicazione

Usare gateway applicazione SKU v2 per la resilienza automatica predefinita.

  • gateway applicazione SKU v2 garantisce automaticamente che le nuove istanze vengano create tra domini di errore e domini di aggiornamento. Se si sceglie la ridondanza della zona, le istanze più recenti generano anche tra le zone di disponibilità per garantire la tolleranza di errore.

  • gateway applicazione SKU v1 supporta scenari a disponibilità elevata quando sono state distribuite due o più istanze. Azure distribuisce queste istanze tra domini di aggiornamento e di errore per garantire che le istanze non vengano eseguite contemporaneamente. Lo SKU versione 1 supporta la scalabilità tramite l'aggiunta di più istanze dello stesso gateway per ripartire il carico.

Il gateway applicazione deve considerare attendibile il certificato della CA di Firewall di Azure.

Firewall di Azure

Il livello Premium di Firewall di Azure è necessario in questa progettazione per fornire l'ispezione TLS. Firewall di Azure intercetterà le sessioni TLS tra gateway applicazione e le macchine virtuali a livello Web che generano i propri certificati, oltre a controllare i flussi di traffico in uscita dalle reti virtuali alla rete Internet pubblica. Per altre informazioni su questa progettazione, vedere Rete Zero trust per le applicazioni Web con Firewall di Azure e gateway applicazione.

Raccomandazioni relative ai probe di integrità

Ecco alcuni consigli per i probe di integrità in Gestione traffico, gateway applicazione e Load Balancer.

Gestione traffico

Integrità endpoint - Creare un endpoint che segnala l'integrità complessiva dell'applicazione. Gestione traffico usa un probe HTTP(S) per monitorare la disponibilità di ogni area. Il probe verifica una risposta HTTP 200 per un percorso URL specificato. Usare l'endpoint creato per il probe di integrità. In caso contrario, il probe potrebbe segnalare un endpoint integro quando le parti critiche dell'applicazione hanno esito negativo.

Per altre informazioni, vedere Modello di monitoraggio degli endpoint di integrità.

Ritardo del failover - Gestione traffico ha un ritardo di failover. I fattori seguenti determinano la durata del ritardo:

  • Intervalli di probe: frequenza con cui il probe controlla l'integrità dell'endpoint.
  • Numero di errori tollerati: numero di errori che il probe tollera prima di contrassegnare l'endpoint non integro.
  • Timeout probe: tempo prima che Gestione traffico consideri l'endpoint non integro.
  • Durata (TTL): i server DNS devono aggiornare i record DNS memorizzati nella cache per l'indirizzo IP. Il tempo necessario dipende dal TTL DNS. Il valore TTL predefinito è di 300 secondi (5 minuti), ma è possibile configurare questo valore durante la creazione del profilo di Gestione traffico.

Per altre informazioni, vedere Monitoraggio di Gestione traffico.

gateway applicazione e Load Balancer

Acquisire familiarità con i criteri del probe di integrità dei gateway applicazione e del servizio di bilanciamento del carico per assicurarsi di comprendere l'integrità delle macchine virtuali. Ecco una breve panoramica:

  • gateway applicazione usa sempre un probe HTTP.

  • Load Balancer può valutare HTTP o TCP. Usare un probe HTTP se una macchina virtuale esegue un server HTTP. Usare TCP per tutto il resto.

  • I probe HTTP inviano una richiesta HTTP GET a un percorso specificato ed è in ascolto di una risposta HTTP 200. Questo percorso può essere il percorso radice ("/") o un endpoint di monitoraggio dell'integrità che implementa la logica personalizzata per controllare l'integrità dell'applicazione.

  • L'endpoint deve consentire richieste HTTP anonime. Se un probe non riesce a raggiungere un'istanza entro il periodo di timeout, il gateway applicazione o Load Balancer interrompe l'invio del traffico a tale macchina virtuale. Il probe continua a controllare e restituirà la macchina virtuale al pool back-end se la macchina virtuale diventa nuovamente disponibile.

Per altre informazioni, vedere:

Eccellenza operativa

Gruppi di risorse - Usare i gruppi di risorse per gestire le risorse di Azure per durata, proprietario e altre caratteristiche.

Peering di rete virtuale - Usare il peering di rete virtuale per connettere facilmente due o più reti virtuali in Azure. Le reti virtuali vengono visualizzate come una sola per facilitare la connettività. Il traffico tra macchine virtuali nelle reti virtuali con peering usa l'infrastruttura backbone Microsoft. Assicurarsi che lo spazio indirizzi delle reti virtuali non si sovrapponga.

Rete virtuale e subnet : Creare una subnet separata per ogni livello della subnet. È necessario distribuire macchine virtuali e risorse, ad esempio gateway applicazione e Load Balancer, in una rete virtuale con subnet.

Sicurezza

Web application firewall: la funzionalità WAF di gateway applicazione di Azure rileverà e impedirà attacchi a livello HTTP, ad esempio SQL injection (SQLi) o css (Cross-Site Scripting).

Firewall di nuova generazione: Firewall di Azure Premium offre un ulteriore livello di difesa controllando il contenuto per attacchi non Web, ad esempio i file dannosi caricati tramite HTTP(S) o qualsiasi altro protocollo.

Crittografia end-to-end - Il traffico viene crittografato in ogni momento durante l'attraversamento della rete di Azure. Sia gateway applicazione che Firewall di Azure crittografare il traffico prima di inviarlo al sistema back-end corrispondente.

Distributed Denial of Service (DDoS) - Usare Protezione di rete DDoS di Azure per una protezione DDoS maggiore rispetto alla protezione di base fornita da Azure. Per altre informazioni, vedere Considerazioni sulla sicurezza.

Gruppi di sicurezza di rete (NSG) - Usare gruppi di sicurezza di rete per limitare il traffico di rete all'interno della rete virtuale. Nell'architettura a tre livelli, ad esempio, il livello dati accetta il traffico solo dal livello business, non dal front-end Web. Solo il livello business può comunicare direttamente con il livello di database. Per applicare questa regola, il livello di database deve bloccare tutto il traffico in ingresso, ad eccezione della subnet di livello business.

  1. Consentire il traffico in ingresso dalla subnet di livello business.
  2. Consentire il traffico in ingresso dalla subnet a livello di database stesso. Questa regola consente la comunicazione tra le macchine virtuali del database. La replica del database e il failover richiedono questa regola.
  3. Negare tutto il traffico in ingresso dalla rete virtuale, usando il VirtualNetwork tag nella regola) per sovrascrivere l'istruzione permit inclusa nelle regole del gruppo di sicurezza di rete predefinite.

Creare la regola 3 con priorità inferiore (numero superiore) rispetto alle prime regole.

È possibile usare i tag di servizio per definire i controlli di accesso di rete in Gruppi di sicurezza di rete o Firewall di Azure.

Per altre informazioni, vedere Configurazione dell'infrastruttura del gateway applicazione.

Ottimizzazione dei costi

Per altre informazioni, vedere:

Efficienza delle prestazioni

Set di scalabilità di macchine virtuali - Usare set di scalabilità di macchine virtuali per automatizzare la scalabilità delle macchine virtuali. I set di scalabilità di macchine virtuali sono disponibili in tutte le dimensioni delle macchine virtuali Windows e Linux. Vengono addebitati solo i costi per le macchine virtuali distribuite e le risorse dell'infrastruttura sottostanti usate. Non sono previsti addebiti incrementali. I vantaggi di set di scalabilità di macchine virtuali sono:

  • Creare e gestire più macchine virtuali facilmente
  • Disponibilità elevata e resilienza dell'applicazione
  • Scalabilità automatica quando la domanda di risorse cambia

Per altre informazioni, vedere set di scalabilità di macchine virtuali.

Passaggi successivi

Per altre architetture di riferimento che usano le stesse tecnologie, vedere: