Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo fornisce approcci di connettività consigliati per l'uso dei servizi PaaS di Azure.
Considerazioni sulla progettazione
I servizi PaaS di Azure sono, nella configurazione predefinita, a cui si accede in genere tramite endpoint disponibili pubblicamente tramite Microsoft Global Network. Alcuni clienti possono avere requisiti per ridurre l'utilizzo degli endpoint pubblici, pertanto la piattaforma Azure offre funzionalità facoltative per la protezione di questi endpoint o anche renderli completamente privati.
Alcuni servizi PaaS consentono restrizioni di accesso pubblico in base all'identità gestita assegnata dal sistema dell'istanza di risorse , ad esempio Archiviazione di Azure
Molti servizi PaaS consentono restrizioni di accesso pubblico basate su Servizi di Azure attendibili , ad esempio Registro Azure Container
L'inserimento della rete virtuale offre distribuzioni private dedicate per i servizi supportati. Il traffico del piano di gestione passa comunque attraverso indirizzi IP pubblici.
Alcuni servizi PaaS sono compatibili con il collegamento privato di Azure che consente l'accesso privato tramite un indirizzo IP all'interno di un cliente. Per altre informazioni, vedere Vantaggi principali del collegamento privato.
Gli endpoint servizio di rete virtuale forniscono l'accesso a livello di servizio dalle subnet selezionate ai servizi PaaS selezionati. Archiviazione di Azure offre criteri degli endpoint di servizio che consentono di limitare ulteriormente l'uso degli endpoint di servizio a un account di archiviazione specifico. È anche possibile usare appliance virtuali di rete (NVA) per eseguire l'ispezione e il filtro FQDN di livello 7 in combinazione con gli endpoint di servizio, ma questo approccio include considerazioni aggiuntive sulle prestazioni e sul ridimensionamento.
Qual è la differenza tra endpoint di servizio ed endpoint privati? offre una spiegazione delle differenze tra gli endpoint di collegamento privato e gli endpoint servizio di rete virtuale.
Consigli per la progettazione
Per i servizi PaaS di Azure che supportano l'inserimento di reti virtuali, se è necessario accedere alle risorse all'interno della rete privata (reti virtuali o locali tramite un gateway di rete virtuale), è consigliabile abilitare la funzionalità di inserimento della rete virtuale. Si consideri anche che questi servizi inseriti in una rete virtuale eseguano comunque operazioni del piano di gestione usando indirizzi IP pubblici specifici del servizio. La connettività deve essere garantita affinché il servizio funzioni correttamente. Usare le route definite dall'utente (UDR) e i gruppi di sicurezza di rete (NSG) per proteggere questa comunicazione all'interno della rete virtuale. È possibile usare i tag del servizio nei UDR per ridurre il numero di rotte necessarie e per sostituire le rotte predefinite, se usate.
Quando la protezione dell'esfiltrazione dei dati e l'uso solo degli indirizzi IP privati sono requisiti rigorosi, prendere in considerazione l'uso del collegamento privato di Azure , se disponibile.
Prendere in considerazione l'uso degli endpoint servizio di rete virtuale per proteggere l'accesso ai servizi PaaS di Azure dall'interno della rete virtuale in scenari in cui l'esfiltrazione dei dati è meno preoccupante, il collegamento privato non è disponibile o si ha un requisito per l'inserimento di dati di grandi dimensioni che richiede l'ottimizzazione dei costi. Gli endpoint di servizio di Azure non comportano costi, a differenza del collegamento privato di Azure, che include un componente di costo basato su gb di dati di rete.
Se l'accesso ai servizi PaaS di Azure è necessario dall'ambiente locale, usare le opzioni seguenti:
- Usare l'endpoint pubblico predefinito del servizio PaaS tramite Internet e la rete globale Microsoft se non è necessario alcun accesso privato e la larghezza di banda Internet locale è sufficiente.
- Usare una connessione ibrida privata (ExpressRoute con peering privato o VPN da sito a sito) con inserimento di rete virtuale o collegamento privato di Azure.
Non abilitare per impostazione predefinita gli endpoint del servizio di rete virtuale in tutte le subnet. Seguire l'approccio precedentemente considerato in base al caso, a seconda della disponibilità delle funzionalità del servizio PaaS e dei propri requisiti di prestazioni e sicurezza.
Se possibile, evitare l'uso del tunneling forzato (indirizzando il traffico diretto verso Internet da una rete virtuale di Azure pubblicizzando una route predefinita su una connessione ibrida privata), in quanto ciò può aumentare la complessità della gestione delle operazioni nel piano di controllo con alcuni servizi PaaS di Azure, ad esempio Application Gateway V2.