Questa architettura hub-spoke offre una soluzione alternativa alla topologia di rete hub-spoke di riferimento in Azure e implementa una rete ibrida sicura.
L'hub è una rete virtuale in Azure che funge da punto centrale di connettività alla rete locale. Gli spoke sono reti virtuali che eseguono il peering con l'hub e possono essere usate per isolare i carichi di lavoro. Flussi di traffico tra il data center locale (o più data center) e l'hub attraverso una connessione di gateway VPN o ExpressRoute. Il principale differenziatore di questo approccio è l'uso di Azure rete WAN virtuale (VWAN) per sostituire hub come servizio gestito.
Questa architettura include i vantaggi della topologia di rete hub-spoke standard e introduce nuovi vantaggi:
Meno costi operativi sostituendo hub esistenti con un servizio VWAN completamente gestito.
Risparmio dei costi usando un servizio gestito e rimuovendo la necessità di un'appliance virtuale di rete.
Maggiore sicurezza introducendo hub protetti gestiti centralmente con Firewall di Azure e VWAN per ridurre al minimo i rischi di sicurezza correlati alla configurazione errata.
Separazione dei compiti tra IT centrale (SecOPs, InfraOps) e carichi di lavoro (DevOps).
Potenziali casi d'uso
Gli usi tipici per questa architettura includono casi in cui:
La connettività tra i carichi di lavoro richiede il controllo centrale e l'accesso ai servizi condivisi.
Un’azienda richiede il controllo centrale sugli aspetti di sicurezza, ad esempio un firewall, e la gestione separata per i carichi di lavoro in ogni spoke.
Architettura
Scaricare un file di Visio di questa architettura.
L'architettura è costituita da:
Rete locale. Una rete locale privata (LAN) in esecuzione all'interno di un'organizzazione.
Dispositivo VPN. Un dispositivo o un servizio che offre connettività esterna alla rete locale.
Gateway di rete virtuale VPN o gateway ExpressRoute. Il gateway di rete virtuale consente alla rete virtuale di connettersi al dispositivo VPN o al circuito ExpressRoute usato per la connettività con la rete locale.
Hub della rete WAN virtuale. Il rete WAN virtuale viene usato come hub nella topologia hub-spoke. L'hub è il punto centrale di connettività alla rete locale e un luogo in cui ospitare i servizi che possono essere utilizzati dai diversi carichi di lavoro ospitati nelle reti virtuali spoke.
Hub virtuale protetto. Un hub rete WAN virtuale con i criteri di sicurezza e routing associati configurati da Firewall di Azure Manager. Un hub virtuale protetto include un routing predefinito, quindi non è necessario configurare le route definite dall'utente.
Subnet del gateway: i gateway di rete virtuale vengono mantenuti nella stessa subnet.
Reti virtuali spoke. Una o più reti virtuali usate come spoke nella topologia hub-spoke. Gli spoke possono essere usati per isolare i carichi di lavoro nelle proprie reti virtuali e vengono gestiti separatamente da altri spoke. Ogni carico di lavoro può includere più livelli, con più subnet connesse tramite i bilanciamenti del carico di Azure.
Peering di reti virtuali. È possibile connettere due reti virtuali usando una connessione peering reti virtuali. Le connessioni di peering sono connessioni nontransitive e a bassa latenza tra reti virtuali. Dopo il peering, le reti virtuali scambiano il traffico usando il backbone di Azure, senza la necessità di un router. In una topologia di rete hub-spoke si usa il peering di reti virtuali per connettere l'hub a ogni spoke. Azure rete WAN virtuale abilita la transitività tra hub, che non è possibile usare esclusivamente il peering.
Componenti
- Rete virtuale di Azure
- Rete WAN virtuale di Azure
- Gateway VPN di Azure
- Azure ExpressRoute
- Firewall di Azure
Alternative
Un'architettura hub-spoke può essere ottenuta in due modi: un'infrastruttura hub gestita dal cliente o un'infrastruttura hub gestita da Microsoft. In entrambi i casi, gli spoke sono connessi all'hub usando il peering di rete virtuale.
Vantaggi
Scaricare un file di Visio di questa architettura.
Questo diagramma illustra alcuni dei vantaggi offerti da questa architettura:
- Hub a maglia completa tra reti virtuali di Azure
- Connettività da ramo ad Azure
- Connettività da ramo a ramo
- Uso misto di VPN ed Express Route
- Uso misto da VPN utente a sito
- Configurare la connettività tra reti virtuali
Consigli
Le raccomandazioni seguenti si applicano alla maggior parte degli scenari. Seguirle, a meno che non si disponga di un requisito specifico che li sostituisce.
Gruppi di risorse
L'hub e ogni spoke possono essere implementati in gruppi di risorse diversi e, ancora meglio, in sottoscrizioni diverse. Quando si esegue il peering di reti virtuali in sottoscrizioni diverse, entrambe le sottoscrizioni possono essere associate allo stesso tenant o a un tenant Microsoft Entra diverso. Ciò consente una gestione decentralizzata di ogni carico di lavoro, condividendo i servizi gestiti nell'hub.
Rete WAN virtuale
Creare un rete WAN virtuale Standard se si ha un requisito per uno dei seguenti elementi:
Scalabilità per velocità effettiva più elevate
Connettività privata (richiede un circuito Premium nella posizione copertura globale)
Interconnessione VPN ExpressRoute
Monitoraggio integrato con Monitoraggio di Azure (metriche e Integrità risorse)
Le rete WAN virtuale standard sono connesse per impostazione predefinita in una mesh completa. Standard rete WAN virtuale supporta la connettività any-to-any (VPN da sito a sito, rete virtuale, ExpressRoute, endpoint da punto a sito) in un singolo hub e tra hub. La rete WAN virtuale basic supporta solo la connettività VPN da sito a sito, la connettività da ramo a ramo e la connettività da ramo a rete virtuale in un singolo hub.
Hub della rete WAN virtuale
Un hub virtuale è una rete virtuale gestita da Microsoft. L'hub contiene vari endpoint di servizio per abilitare la connettività. L'hub è l'elemento centrale della rete in un'area. Possono essere presenti più hub per ogni area di Azure. Per altre informazioni, vedere rete WAN virtuale domande frequenti.
Quando si crea un hub usando il portale di Azure, viene creata una rete virtuale dell'hub virtuale e un gateway VPN dell'hub virtuale. Un hub rete WAN virtuale richiede un intervallo di indirizzi minimo di /24. Questo spazio di indirizzi IP verrà usato per riservare una subnet per il gateway e altri componenti.
Hub virtuale protetto
Un hub virtuale può essere creato come hub virtuale protetto o convertito in un hub virtuale sicuro in qualsiasi momento dopo la creazione. Per altre informazioni, vedere Proteggere l'hub virtuale usando Firewall di Azure Manager.
GatewaySubnet
Per altre informazioni sulla configurazione del gateway, vedere le architetture di riferimento seguenti, a seconda del tipo di connessione:
Per una maggiore disponibilità, è possibile usare ExpressRoute più una VPN per il failover. Vedere Connettere una rete locale ad Azure tramite ExpressRoute con failover VPN.
Non è possibile usare una topologia hub-spoke senza un gateway, anche se non è necessaria la connettività con la rete locale.
Peering di rete virtuale
Il peering di rete virtuale è una relazione non transitiva tra due reti virtuali. Tuttavia, Azure rete WAN virtuale consente agli spoke di connettersi tra loro senza disporre di un peering dedicato tra di essi.
Tuttavia, se si hanno diversi spoke che devono connettersi tra loro, si esauriranno le possibili connessioni di peering molto rapidamente a causa della limitazione del numero di peering di rete virtuale per rete virtuale. Per altre informazioni, vedere Limiti di rete. In questo scenario, La rete WAN virtuale di Azure risolverà questo problema con la relativa funzionalità predefinita. Per altre informazioni, vedere Architettura della rete di transito globale e rete WAN virtuale.
È anche possibile configurare gli spoke per usare il gateway hub per comunicare con le reti remote. Per consentire il flusso del traffico gateway dallo spoke all'hub e connettersi a reti remote, è necessario:
Configurare la connessione di peering nell'hub per consentire il transito del gateway.
Configurare la connessione di peering in ogni spoke per l'uso di gateway remoti.
Configurare tutte le connessioni di peering per consentire il traffico inoltrato.
Per altre informazioni, vedere Scegliere tra il peering di rete virtuale e i gateway VPN.
Estensioni dell'hub
Per supportare servizi condivisi a livello di rete, ad esempio risorse DNS, appliance virtuali di rete personalizzate, Azure Bastion e altri, implementare ogni servizio seguendo il modello di estensione dell'hub virtuale. Seguendo questo modello, è possibile creare e gestire estensioni a responsabilità singola per esporre singolarmente questi servizi condivisi business critical che altrimenti non è possibile distribuire direttamente in un hub virtuale.
Considerazioni
Operazioni
La rete WAN virtuale di Azure è un servizio gestito fornito da Microsoft. Dal punto di vista tecnologico, non è completamente diverso da un'infrastruttura hub gestita dal cliente. Azure rete WAN virtuale semplifica l'architettura di rete complessiva offrendo una topologia di rete mesh con connettività di rete transitiva tra spoke. Il monitoraggio della rete WAN virtuale di Azure può essere ottenuto usando Monitoraggio di Azure. La configurazione da sito a sito e la connettività tra reti locali e Azure possono essere completamente automatizzate.
Affidabilità
Azure rete WAN virtuale gestisce il routing, che consente di ottimizzare la latenza di rete tra spoke e garantire la prevedibilità della latenza. Azure rete WAN virtuale offre anche connettività affidabile tra aree di Azure diverse per i carichi di lavoro che si estendono su più aree. Con questa configurazione, il flusso end-to-end all'interno di Azure diventa più visibile.
Prestazioni
Con l'aiuto di Azure rete WAN virtuale, è possibile ottenere una latenza inferiore tra spoke e aree diverse. Azure rete WAN virtuale consente di aumentare fino a 20 GB di velocità effettiva aggregata.
Scalabilità
Azure rete WAN virtuale offre una connettività mesh completa tra spoke mantenendo la possibilità di limitare il traffico in base alle esigenze. Con questa architettura è possibile ottenere prestazioni da sito a sito su larga scala. È anche possibile creare un'architettura di rete di transito globale abilitando la connettività any-to-any tra set di carichi di lavoro cloud distribuiti a livello globale.
Sicurezza
Gli hub nella rete WAN virtuale di Azure possono essere convertiti in HUB sicuri sfruttando Firewall di Azure. Le route definite dall'utente possono comunque essere sfruttate nello stesso modo per ottenere l'isolamento di rete. La rete WAN virtuale di Azure abilita la crittografia del traffico tra le reti locali e le reti virtuali di Azure tramite ExpressRoute.
Protezione DDoS di Azure, in combinazione con le procedure consigliate per la progettazione di applicazioni, offre funzionalità avanzate di mitigazione DDoS per difendersi meglio dagli attacchi DDoS. È consigliabile abilitare Protezione DDOS di Azure in qualsiasi rete virtuale perimetrale.
Connettività spoke e servizi condivisi
La connettività tra spoke è già stata ottenuta usando Azure rete WAN virtuale. Tuttavia, l'uso di route definite dall'utente nel traffico spoke è utile per isolare le reti virtuali. Qualsiasi servizio condiviso può anche essere ospitato nello stesso rete WAN virtuale di uno spoke.
Peering di rete virtuale - Connessione hub
Il peering di rete virtuale è una relazione non transitiva tra due reti virtuali. Durante l'uso di Azure rete WAN virtuale, il peering di rete virtuale viene gestito da Microsoft. Ogni connessione aggiunta a un hub configurerà anche il peering di rete virtuale. Con l'aiuto rete WAN virtuale, tutti gli spoke avranno una relazione transitiva.
Ottimizzazione dei costi
Usare la pagina dei prezzi di Azure rete WAN virtuale per comprendere e stimare la soluzione più conveniente per la topologia di rete. I prezzi di Azure rete WAN virtuale comportano diversi fattori chiave per i costi:
- Ore di distribuzione: addebiti per la distribuzione e l'uso di hub rete WAN virtuale.
- Unità di scala: tariffe in base alla capacità della larghezza di banda (Mbps/Gbps) per il ridimensionamento di gateway VPN (S2S, P2S) e ExpressRoute.
- Unità di connessione: costi per ogni connessione a VPN, ExpressRoute o utenti remoti.
- Unità elaborata dei dati: addebiti per GB per i dati elaborati tramite l'hub.
- Unità infrastruttura di routing: costi per le funzionalità di routing nell'hub.
- Firewall di Azure con l'hub virtuale protetto: consigliato e aggiunge un costo aggiuntivo per unità di distribuzione e dati elaborati.
- Trasferimento dei dati da hub a hub: costi per il trasferimento di dati tra hub soggetti a addebiti tra aree (intra/inter continentali) come descritto in dettaglio nei prezzi della larghezza di banda di Azure.
Per i prezzi allineati agli scenari di rete comuni, vedere Informazioni sui prezzi della rete WAN virtuale.
Collaboratori
Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.
Autore principale:
- Yunus Emre Alpozen | Progettista di programmi tra carichi di lavoro
Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.
Passaggi successivi
Altre informazioni:
Progettare una soluzione DNS (Domain Name System) ibrida con Azure
Proteggere e regolamentare i carichi di lavoro con segmentazione a livello di rete