Modifica

Connettere server autonomi tramite la scheda di rete di Azure

Azure Bastion
Rete virtuale di Azure
Gateway VPN di Azure
Windows Server
Macchine virtuali di Azure

Questa architettura di riferimento illustra come connettere un server autonomo locale alle reti virtuali di Microsoft Azure usando la scheda di rete di Azure distribuita tramite Windows Amministrazione Center (WAC). La scheda di rete di Azure crea una connessione virtuale protetta tramite Internet, che estende la rete locale in Azure.

Architettura

Usare VPN di Azure per connettere un server autonomo a una rete virtuale di Azure distribuendo una scheda di rete di Azure tramite Windows Amministrazione Center. È quindi possibile gestire le macchine virtuali di Azure dal server autonomo usando l'indirizzo IP privato delle macchine virtuali.

Distribuire una scheda di rete di Azure usando Windows Amministrazione Center per connettere un server autonomo tramite VPN di Azure alla rete virtuale di Azure di una rete aziendale, a una succursale o a un altro provider di servizi cloud. È quindi possibile usare il server autonomo per gestire le macchine virtuali di Azure tramite gli indirizzi IP privati, da qualsiasi posizione.

Scaricare un file di Visio di queste architetture.

Workflow

L'architettura è costituita da:

  • Rete locale. Questo componente è la rete locale privata (LAN) di un'organizzazione.
  • Succursale. Questo componente è una LAN privata in una succursale remota che si connette tramite una rete WAN (Corporate Wide Area Network).
  • Altro provider di servizi cloud. Questo componente è una rete virtuale privata offerta da un provider di servizi cloud. Si connette tramite una rete privata virtuale (VPN).
  • Windows Server con Windows Amministrazione Center installato. Server usato per distribuire la scheda di rete di Azure.
  • Windows Server (autonomo). Server in cui è installata la scheda di rete di Azure. Questo server può trovarsi in una rete di succursali o in una rete del provider di servizi cloud diversa.
  • Rete virtuale di Azure (VNet): I server virtuali e altri servizi e componenti per l'Gateway VPN di Azure che si trovano nella stessa rete virtuale all'interno di Azure.
  • Azure Gateway VPN. Il servizio Gateway VPN che consente di connettere la rete virtuale alla rete locale o ai server autonomi tramite un'appliance VPN o schede di rete di Azure. Per maggiori informazioni, consultare Connettere una rete locale a una rete virtuale di Microsoft Azure. Esistono diversi piani tariffari o unità di mantenimento delle scorte (SKU), disponibili per i gateway VPN. Ogni SKU supporta requisiti diversi in base ai tipi di carichi di lavoro, velocità effettiva, funzionalità e contratti di servizio. Il gateway VPN include i componenti seguenti:
    • Gateway di rete virtuale (attivo). Questa risorsa di Azure fornisce un'appliance VPN virtuale per la rete virtuale ed è responsabile del routing del traffico tra la rete locale e la rete virtuale.
    • Gateway di rete virtuale (passivo). Questa risorsa di Azure fornisce un'appliance VPN virtuale per la rete virtuale ed è l'istanza di standby del Gateway VPN di Azure attivo. Per altre informazioni, vedere Informazioni sulla ridondanza del gateway VPN di Azure.
    • Subnet del gateway: Il gateway di rete virtuale si trova nella propria subnet, che è soggetto a vari requisiti, descritti in dettaglio nella sezione Consigli seguente.
    • Connessione. La connessione ha proprietà che specificano il tipo di connessione. Queste proprietà includono la sicurezza del protocollo Internet (IPsec) e la chiave condivisa con l'appliance VPN locale per crittografare il traffico.
  • Applicazione cloud. Questo componente è l'applicazione ospitata in Azure. Può includere molti livelli con più subnet che si connettono tramite i servizi di bilanciamento del carico di Azure. Per altre informazioni sull'infrastruttura dell'applicazione, vedere Esecuzione di carichi di lavoro della macchina virtuale Windows ed Esecuzione di carichi di lavoro della macchina virtuale di Linux.
  • Servizio di bilanciamento del carico interno. Il traffico di rete dal gateway VPN viene instradato all'applicazione cloud tramite un servizio di bilanciamento del carico interno, che si trova nella subnet di produzione dell'applicazione.
  • Azure Bastion. Azure Bastion consente di accedere alle macchine virtuali nella rete virtuale di Azure senza esporre le macchine virtuali direttamente a Internet. Usa Secure Shell (SSH) o Remote Desktop Protocol (RDP). Se si perde la connettività VPN, è comunque possibile usare Azure Bastion per gestire le macchine virtuali nella rete virtuale di Azure. Tuttavia, la gestione dei server locali tramite Azure Bastion non è supportata.

Componenti

  • Rete virtuale. Rete virtuale di Azure (VNet) è il blocco predefinito fondamentale per la rete privata in Azure. VNet consente a diversi tipi di risorse di Azure, ad esempio Macchine virtuali di Azure, di comunicare in modo sicuro tra di esse, con Internet e con le reti locali.

  • Azure Bastion. Azure Bastion è un servizio completamente gestito che fornisce accesso RDP (Remote Desktop Protocol) e SSH (Secure Shell Protocol) più sicuro e semplice alle macchine virtuali senza esposizione tramite indirizzi IP pubblici.

  • Gateway VPN Gateway VPN invia traffico crittografato tra una rete virtuale di Azure e una posizione locale tramite Internet pubblico. È anche possibile usare Gateway VPN per inviare traffico crittografato tra reti virtuali di Azure tramite la rete Microsoft. Un gateway VPN è un tipo specifico di gateway di rete virtuale.

  • Windows Amministrazione Center. Windows Admin Center è un'app distribuita in locale e basata su browser che consente di gestire server, cluster e infrastruttura iperconvergente Windows, nonché PC Windows 10. È un prodotto gratuito e pronto per essere usato nell'ambiente di produzione.

Consigli

Le raccomandazioni seguenti sono valide per la maggior parte degli scenari. Seguire queste indicazioni, a meno che non si disponga di un requisito specifico che le escluda.

Connessione un server autonomo

Per connettere un server autonomo tramite wac, è necessario aggiungere il server all'elenco dei server gestiti nell'installazione wac del server dedicato. Dopo aver aggiunto il server a tale elenco, è possibile selezionare il server per cui si vuole installare la scheda di rete di Azure e quindi selezionare Rete dagli strumenti seguiti dall'opzione "+ Aggiungi scheda di rete di Azure (anteprima)" nel riquadro Rete .

Suggerimento

Se non viene visualizzata l'opzione "+ Aggiungi scheda di rete di Azure (anteprima)" nella finestra del browser, potrebbe essere necessario ingrandire la finestra oppure osservare un pulsante Azione con un cursore a discesa. Selezionare il cursore a discesa per accedere all'opzione e aggiungere la scheda di rete di Azure.

Quando si seleziona l'opzione + Aggiungi scheda di rete di Azure (anteprima), viene visualizzato il pannello Aggiungi configurazione scheda di rete di Azure in una finestra del browser. Sono disponibili diverse opzioni che è possibile configurare all'interno di questo pannello.

Nota

Se in precedenza non è stata eseguita l'autenticazione dal wac nel tenant di Azure che si vuole usare, verrà visualizzata una finestra di dialogo di autenticazione. Specificare le informazioni di autenticazione del tenant per continuare. Le credenziali utente usate per l'autenticazione devono disporre di autorizzazioni sufficienti per creare le risorse di Azure che verranno configurate durante i passaggi successivi.

Sono necessarie le informazioni seguenti:

Campo valore Informazioni aggiuntive
Abbonamento selezionare un valore dall'elenco a discesa Questo campo elenca solo le sottoscrizioni assegnate al tenant.
Location selezionare un valore dall'elenco a discesa Selezionare un'area di Azure per la distribuzione.
Rete virtuale Selezionare dall'elenco a discesa o usare il collegamento ipertestuale fornito per creare un nuovo Rete virtuale in portale di Azure A seconda della selezione, il contenuto del campo varia. Se il Rete virtuale esiste, si osserverà un collegamento ipertestuale che è possibile seguire per esaminare il Rete virtuale nella portale di Azure. Se la rete virtuale selezionata contiene già un gateway di rete virtuale, verrà fornito un collegamento ipertestuale a tale risorsa di Azure.
Gateway Subnet Prefisso subnet, ad esempio 10.0.1.0/24 A seconda del Rete virtuale selezionato, questo campo varia. Se la rete virtuale selezionata non contiene alcuna subnet denominata GatewaySubnet, il campo verrà precompilato con un prefisso di subnet che include l'intervallo di indirizzi e la subnet mask. Se la rete virtuale selezionata contiene già un gateway di rete virtuale, verrà fornito un collegamento ipertestuale a tale risorsa di Azure.
Gateway SKU selezionare un valore dall'elenco a discesa Per altre informazioni, vedere SKU del gateway.
Spazio indirizzi client Prefisso subnet, ad esempio 192.168.1.0/24 Il campo verrà precompilato con un prefisso della subnet che include l'intervallo di indirizzi e la subnet mask. Si tratta della rete che verrà usata tra il server a cui si aggiungono la scheda di rete di Azure e l'Gateway VPN di Azure. Deve avere un intervallo di indirizzi che non si sovrappone ad alcuno degli intervalli di indirizzi usati in locale o in uno dei Rete virtuale di Azure connessi.
Certificato di autenticazione Selezionare una delle opzioni L'opzione "Certificato radice autofirmato e certificato client generato automaticamente" è pre-selezionata e funziona meglio nella maggior parte degli scenari. Quando si seleziona l'opzione "Usa certificato radice e client", è necessario specificare due file: un certificato radice (.cer) e un certificato client (pfx) e quindi la password per il certificato client.

Dopo aver completato tutti i campi necessari, il pulsante Crea diventa attivo e selezionarlo per avviare la distribuzione della scheda di rete di Azure nel server selezionato.

Il processo di distribuzione include due parti principali, la prima delle quali è la distribuzione e la selezione del Gateway VPN di Azure. Se è prima necessario distribuire Azure Gateway VPN, attendere da 25 a 45 minuti per il completamento della distribuzione. Alcune configurazioni possono richiedere molto tempo per la distribuzione. Il WAC fornirà informazioni sullo stato di avanzamento della distribuzione. La seconda parte è l'installazione effettiva della scheda di rete di Azure, che può richiedere 10 minuti. Il WAC informerà anche lo stato di avanzamento dell'installazione.

Una volta avviata la distribuzione, è possibile modificare lo stato attivo del wac selezionando altri strumenti o server. Il processo di distribuzione continua in background.

Se si seleziona l'opzione Radice autofirmata e Certificato client autofirmato, Azure crea automaticamente i due certificati necessari e li archivia nell'archivio certificati del server selezionato. È possibile usare lo strumento Certificati nel WAC per trovarli e quindi individuare un certificato radice nel contenitore Computer locale/Radice. Il nome del certificato inizia con Windows Amministrazione Center-Created-vpngw e contiene la stringa P2SRoot. La parte finale della stringa include un timestamp codificato con la data di creazione del certificato. Questo certificato verrà archiviato anche nel contenitore Computer/CA locale. Il secondo certificato viene archiviato nel contenitore Computer locale/Personale. Il nome di questo certificato inizia con Windows Amministrazione Center-Created-vpngw e contiene la stringa P2SClient. La parte finale della stringa include un timestamp codificato con la data di creazione del certificato.

Al termine della distribuzione, lo strumento Reti del server selezionato viene aggiornato con la nuova scheda di rete di Azure, che viene avviata automaticamente al termine della distribuzione e indica uno stato attivo. È possibile selezionare l'adattatore per attivare l'elenco a discesa Altro , che è possibile selezionare per disconnettere o eliminare l'adattatore. Nel server effettivo, la scheda di rete di Azure viene installata come connessione VPN. Il nome dell'adattatore inizia con Windows Amministrazione CenterVPN, seguito da un numero casuale a tre cifre.

Quando la scheda di rete di Azure è installata e connessa, è possibile usare questa nuova connessione di rete per connettersi direttamente alle reti virtuali di Azure e ai relativi sistemi. Questo tipo di connessione viene in genere usato per stabilire una sessione desktop remoto tramite l'indirizzo IP interno di una macchina virtuale di Azure, anziché usare l'indirizzo IP pubblico della macchina virtuale.

Uso di un server WAC dedicato

Per un'amministrazione centralizzata, è consigliabile usare un'installazione dedicata di Windows Amministrazione Server, da cui è possibile aggiungere altri server. Questo approccio significa che nessun server amministrato richiede software aggiuntivo. Per altre informazioni, vedere Windows Amministrazione Center.

Preparare una rete virtuale dedicata

L'interfaccia di installazione della scheda di rete di Azure potrebbe non soddisfare le esigenze della convenzione di denominazione o del piano tariffario. Per evitare questo conflitto, è possibile creare le risorse di Azure necessarie prima di distribuire l'adapter. Durante la distribuzione, selezionare le risorse già esistenti anziché crearle tramite l'interfaccia di installazione.

Nota

Assicurarsi di selezionare lo SKU di Gateway VPN corretto, perché non tutti supportano la connessione VPN fornita con la scheda di rete di Azure. La finestra di dialogo di installazione offre VpnGw1, VpnGw2 e VpnGw3. Attualmente, l'adattatore non supporta le versioni con ridondanza della zona del Gateway VPN.

Considerazioni

Queste considerazioni implementano i pilastri di Azure Well-Architected Framework, che è un set di set di principi guida che possono essere usati per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Framework ben progettato di Microsoft Azure.

Scalabilità

  • GATEWAY VPN SKU:
    • Lo SKU Gateway VPN selezionato determina il numero di connessioni che può richiedere in parallelo e la larghezza di banda disponibile per tutte queste connessioni. Il numero di connessioni simultanee varia da 250 a 1.000 quando si usa l'opzione IKEv2/OpenVPN da punto a sito. IKE fa riferimento a IPsec Key Exchange. È consigliabile iniziare con VpnGw1 e aumentare il numero di istanze in un secondo momento se sono necessarie altre connessioni. Se è necessario cambiare la generazione di Gateway VPN, è necessario installare un nuovo gateway e distribuire una nuova scheda di rete di Azure per connettersi.
  • Connessione più server autonomi:
    • È possibile usare wac per distribuire la scheda di rete di Azure in tutti i server necessari. È anche possibile aggiungere molte schede di rete di Azure a un singolo server per connettersi a reti virtuali di Azure diverse. Una volta completata la distribuzione iniziale del Gateway VPN, è possibile configurare server aggiuntivi per l'uso dello stesso gateway selezionando il gateway esistente nell'interfaccia di installazione.
    • I server autonomi possono trovarsi nella stessa rete, in una rete di succursali o in una rete diversa basata sul cloud. È possibile usare la connessione di rete stabilita, ad esempio la rete WAN aziendale o una VPN dedicata a un provider di servizi cloud diverso, se le porte di rete necessarie sono disponibili tramite queste connessioni. Per altre informazioni, vedere la sezione "Considerazioni sulla sicurezza" in questo articolo.
  • Connessione da sito a sito di Azure:
    • La scheda di rete di Azure è una singola installazione in un singolo server. Se si desidera connettere più server, è possibile affrontare un impegno amministrativo significativo. Tuttavia, è possibile evitare questo sforzo connettendo i sistemi locali usando il metodo S2S (Azure Site-2-Site Connection), che connette una rete locale esistente a una rete virtuale di Azure e alle relative subnet. Il core di questa connessione è un Gateway VPN di Azure tramite il quale è possibile connettere un gateway VPN locale locale con l'Gateway VPN di Azure remoto. Questa connessione sicura consente ai due segmenti di rete di comunicare in modo trasparente tra loro.

Disponibilità

  • La scheda di rete di Azure supporta solo una configurazione attiva-passiva del Gateway VPN di Azure. Durante la configurazione dell'adattatore, è possibile puntare a un gateway VPN di Azure attivo-attivo esistente. L'installazione riconfigurerà il gateway alla configurazione attiva-passiva. È possibile riconfigurare un gateway manuale allo stato attivo-attivo, ma la scheda di rete di Azure non si connetterà a questo gateway.

    Avviso

    La configurazione di una scheda di rete di Azure con un'istanza di Azure Gateway VPN esistente con una configurazione attiva-attiva riconfigurerà il gateway in modalità attivo-passivo. Ciò influirà su tutte le connessioni VPN esistenti a questo gateway. Se si passa dalla configurazione attiva-attiva alla configurazione active-standby, si verificherà un calo di uno dei due tunnel VPN IPsec per ogni connessione. Non procedere senza valutare i requisiti generali di connessione e consultare gli amministratori di rete.

Gestione

  • account Amministrazione istrativo:

    • WaC è lo strumento di base usato per distribuire la scheda di rete di Azure e configurare la gestione degli account. Per altre informazioni sulle opzioni disponibili, vedere Opzioni di accesso utente con Windows Amministrazione Center. È possibile configurare un singolo account per ogni connessione al server.

      Nota

      La finestra di dialogo in cui si configura l'account amministrativo per ogni server convaliderà le credenziali quando si seleziona Continua. Per aprire la finestra di dialogo, nel WAC selezionare la riga con il nome del server applicabile e quindi selezionare Gestisci come. Non selezionare il collegamento ipertestuale che rappresenta il server, perché si connetterà immediatamente a tale server.

    • È inoltre necessario configurare un account utente per la connessione di Azure aprendo la finestra di dialogo Impostazioni nella sezione WAC e modificando l'account. È anche possibile cambiare utenti o disconnettersi dalla sessione di un utente nella finestra di dialogo Impostazioni.

  • Integrazione di Azure Recovery Vault:
    • Quando si installa la scheda di rete di Azure in un server autonomo, è quindi possibile prendere in considerazione tale porta server per la continuità aziendale. È possibile integrare tale server nelle procedure di backup e ripristino di emergenza usando i servizi azure Recovery Vault configurati selezionando Backup di Azure nella sezione Strumenti del WAC. Backup di Azure consente di proteggere il server Windows da danneggiamenti, attacchi o emergenze eseguendo il backup del server direttamente in Microsoft Azure.

Sicurezza

La sicurezza offre garanzie contro attacchi intenzionali e l'abuso di dati e sistemi preziosi. Per altre informazioni, vedere Panoramica del pilastro della sicurezza.

  • Porte di rete necessarie:

    • Le porte di rete per la comunicazione remota di PowerShell devono essere aperte se si vuole usare wac per distribuire la scheda di rete di Azure.

    • La comunicazione remota di PowerShell usa Gestione remota Windows (WinRM). Per altre informazioni, vedere Considerazioni sulla sicurezza remota di PowerShell e impostazioni predefinite per la comunicazione remota di PowerShell.

    • In alcuni scenari, è necessario usare metodi di autenticazione aggiuntivi. WAC può usare PowerShell con il protocollo CredSSP (Credential Security Support Provider) per connettersi ai server remoti. Per altre informazioni, vedere Comunicazione remota di PowerShell e CredSSP e come Windows Amministrazione Center usa CredSSP.

    • La comunicazione remota di PowerShell (e WinRM) usa le porte seguenti:

      Protocollo Port
      HTTP 5985
      HTTPS 5986

    • La modalità di connessione al server in cui è installato Windows Amministrazione Center (WAC) dipende dal tipo di installazione di WAC. La porta predefinita varia e può essere la porta 6516 quando è installata in Windows 10 o sulla porta 443 quando è installata in Windows Server. Per altre informazioni, vedere Installare Windows Amministrazione Center.

  • integrazione Microsoft Defender per il cloud:
    • Per proteggere il server in cui è installata la scheda di rete di Azure, è possibile integrare il server in Microsoft Defender per il cloud selezionando Microsoft Defender per il cloud nella sezione Strumenti in WAC. Durante l'integrazione, è necessario selezionare un'area di lavoro Log Analytics di Azure esistente o crearne una nuova. Verranno fatturati separatamente per ogni server integrato con Microsoft Defender per il cloud. Per altre informazioni, vedere Prezzi di Microsoft Defender for Cloud.

DevOps

  • Automazione di Azure:
    • WaC consente di accedere al codice di PowerShell che crea la scheda di rete di Azure ed è possibile esaminarlo selezionando lo strumento Rete e quindi selezionando l'icona Visualizza script di PowerShell nella parte superiore della pagina wac. Il nome dello script è Complete-P2SVPNConfiguratione viene implementato come funzione di PowerShell. Il codice è firmato digitalmente e pronto per essere riutilizzato. È possibile integrarlo in Automazione di Azure configurando più servizi all'interno del portale di Azure.

Ottimizzazione dei costi

L'ottimizzazione dei costi riguarda l'analisi dei modi per ridurre le spese non necessarie e migliorare l'efficienza operativa. Per altre informazioni, vedere Panoramica del pilastro di ottimizzazione dei costi.

  • Calcolatore prezzi di Azure:
    • L'uso della scheda di rete di Azure non costa effettivamente nulla, perché si tratta di un componente distribuito in un sistema locale. Il Gateway VPN di Azure, come parte della soluzione, genera costi aggiuntivi, così come l'uso di altri servizi, ad esempio Azure Recovery Vault o Microsoft Defender per il cloud. Per altre informazioni sui costi effettivi, vedere Calcolatore prezzi di Azure. È importante notare che i costi effettivi variano in base all'area di Azure e al contratto individuale. Per altre informazioni sui prezzi, contattare un rappresentante vendite Microsoft.
  • Costi in uscita:
    • Sono previsti costi aggiuntivi associati ai trasferimenti di dati tra reti virtuali in uscita. Questi costi dipendono dallo SKU del Gateway VPN e dalla quantità effettiva di dati in uso. Per altre informazioni, vedere Calcolatore prezzi di Azure. È importante notare che i costi effettivi variano in base all'area di Azure e al contratto individuale. Per ulteriori informazioni sui prezzi, contattare un rappresentante vendite Microsoft.

Collaboratori

Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.

Autore principale:

Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.

Passaggi successivi

Altre informazioni sulle tecnologie dei componenti:

Esplorare le architetture correlate: