Condividi tramite

Topologia di rete di Azure tradizionale

  • Articolo

Importante

Provare l'esperienza di topologia (anteprima), che offre una visualizzazione delle risorse di Azure per semplificare la gestione dell'inventario e il monitoraggio della rete su larga scala. Usare la funzionalità di topologia in anteprima per visualizzare le risorse e le relative dipendenze tra sottoscrizioni, aree e località. Per altre informazioni su come passare all'esperienza, vedere Monitoraggio di Azure.

Questo articolo descrive le considerazioni chiave sulla progettazione e le raccomandazioni per le topologie di rete in Microsoft Azure. Il diagramma seguente illustra una topologia di rete di Azure tradizionale:

Diagramma che illustra una topologia di rete di Azure tradizionale.

Considerazioni relative alla progettazione

  • Varie topologie di rete possono connettere più reti virtuali della zona di destinazione. Esempi di topologie di rete includono topologie hub-spoke, mesh completa e topologie ibride. È anche possibile avere più reti virtuali connesse tramite più circuiti o connessioni di Azure ExpressRoute.

  • Le reti virtuali non possono attraversare i limiti della sottoscrizione. Tuttavia, è possibile usare il peering di rete virtuale, un circuito ExpressRoute o i gateway VPN per ottenere la connettività tra reti virtuali tra sottoscrizioni diverse.

  • Il peering di reti virtuali è il metodo preferito per connettere le reti virtuali in Azure. È possibile usare il peering di rete virtuale per connettere reti virtuali nella stessa area, in aree di Azure diverse e in diversi tenant di Microsoft Entra.

  • Il peering di reti virtuali e il peering di reti virtuali globale non sono transitivi. Per abilitare una rete di transito, sono necessarie route definite dall'utente e appliance virtuali di rete.To enable a transit network, you need user-defined routes (UDR) and network virtual appliances (NVAs). Per altre informazioni, vedere Topologia di rete hub-spoke in Azure.

  • È possibile condividere un piano di protezione DDoS di Azure in tutte le reti virtuali in un singolo tenant di Microsoft Entra per proteggere le risorse con indirizzi IP pubblici. Per altre informazioni, vedere Protezione DDoS.

    • I piani di protezione DDoS coprono solo le risorse con indirizzi IP pubblici.

    • Il costo di un piano di protezione DDoS include 100 indirizzi IP pubblici tra reti virtuali protette associate al piano di protezione DDoS. Maggiore è la protezione per un numero maggiore di risorse. Per altre informazioni, vedere Prezzi di Protezione DDoS o domande frequenti.

    • Esaminare le risorse supportate dei piani di protezione DDoS.

  • È possibile usare i circuiti ExpressRoute per stabilire la connettività tra reti virtuali all'interno della stessa area geopolitica o usare il componente aggiuntivo Premium per la connettività tra aree geopolitiche. Tieni in considerazione i seguenti punti:

    • Il traffico da rete a rete potrebbe riscontrare una maggiore latenza, perché il traffico deve raggiungere i router Microsoft Enterprise Edge (M edizione Standard E).

    • Lo SKU del gateway ExpressRoute vincola la larghezza di banda.

    • Distribuire e gestire le route definite dall'utente se è necessario esaminare o registrare le route definite dall'utente per il traffico tra reti virtuali.

  • I gateway VPN con Border Gateway Protocol (BGP) sono transitivi all'interno di Azure e nelle reti locali, ma non forniscono l'accesso transitivo alle reti connesse tramite ExpressRoute per impostazione predefinita. Se è necessario l'accesso transitivo alle reti connesse tramite ExpressRoute, prendere in considerazione il server di route di Azure.

  • Quando si connettono più circuiti ExpressRoute alla stessa rete virtuale, usare pesi di connessione e tecniche BGP per garantire un percorso ottimale per il traffico tra reti locali e Azure. Per altre informazioni, vedere Ottimizzare il routing in ExpressRoute.

Se si usano metriche BGP per influenzare il routing di ExpressRoute, è necessario modificare la configurazione all'esterno della piattaforma Azure. L'organizzazione o il provider di connettività deve configurare i router locali di conseguenza.

  • I circuiti ExpressRoute con componenti aggiuntivi Premium offrono una connettività globale.

  • ExpressRoute ha determinati limiti, incluso un numero massimo di connessioni ExpressRoute per ogni gateway ExpressRoute. Il peering privato di ExpressRoute ha un limite massimo per il numero di route che può identificare da Azure a locale. Per altre informazioni, vedere Limiti di ExpressRoute.

  • La velocità effettiva aggregata massima di un gateway VPN è di 10 gigabit al secondo. Un gateway VPN supporta fino a 100 tunnel da sito a sito o da rete a rete.

  • Se un'appliance virtuale di rete fa parte dell'architettura, prendere in considerazione Route Server per semplificare il routing dinamico tra l'appliance virtuale di rete e la rete virtuale. Usare il server di route per scambiare informazioni di routing direttamente tramite BGP tra qualsiasi appliance virtuale di rete che supporta BGP e la rete SDN (Software Defined Network) di Azure nella rete virtuale di Azure. Non è necessario configurare o gestire manualmente le tabelle di route con questo approccio.

Suggerimenti per la progettazione

  • Considerare una progettazione di rete basata sulla topologia di rete hub-spoke tradizionale per gli scenari seguenti:

    • Un'architettura di rete distribuita all'interno di una singola area di Azure.

    • Un'architettura di rete che si estende su più aree di Azure, senza la necessità di connettività transitiva tra le reti virtuali per le zone di destinazione tra aree.

    • Architettura di rete che si estende su più aree di Azure e peering di reti virtuali globali in grado di connettere reti virtuali tra aree di Azure.

    • Non è necessaria la connettività transitiva tra connessioni VPN ed ExpressRoute.

    • Il metodo di connettività ibrida principale è ExpressRoute e il numero di connessioni VPN è inferiore a 100 per gateway VPN.

    • Esiste una dipendenza dalle appliance virtuali di rete centralizzate e dal routing granulare.

  • Per le distribuzioni a livello di area, usare principalmente la topologia hub-spoke con un hub a livello di area per ogni area di Azure spoke. Usare le reti virtuali della zona di destinazione dell'applicazione che usano il peering di rete virtuale per connettersi a una rete virtuale dell'hub centrale a livello di area per gli scenari seguenti:

    • Connettività cross-premise tramite ExpressRoute abilitata in due posizioni di peering diverse. Per altre informazioni, vedere Progettare e progettare ExpressRoute per la resilienza.

    • VPN per la connettività dei rami.

    • Connettività spoke-to-spoke tramite appliance virtuali di rete e route definite dall'utente.

    • Protezione internet in uscita tramite Firewall di Azure o un'altra appliance virtuale di rete non Microsoft.

  • Il diagramma seguente illustra la topologia hub-spoke. Usare questa configurazione per garantire il controllo del traffico appropriato e soddisfare la maggior parte dei requisiti per la segmentazione e l'ispezione.

    Diagramma che illustra una topologia di rete hub e spoke.

  • Usare la topologia con più reti virtuali connesse tramite più circuiti ExpressRoute in posizioni di peering diverse se:

    • È necessario un livello elevato di isolamento. Per altre informazioni, vedere Progettare e progettare ExpressRoute per la resilienza.

    • È necessaria una larghezza di banda ExpressRoute dedicata per business unit specifiche.

    • Si raggiunge il numero massimo di connessioni per ogni gateway ExpressRoute. Per determinare il numero massimo, vedere Limiti di ExpressRoute.

  • Il diagramma seguente illustra questa topologia.

    Diagramma che illustra più reti virtuali connesse a più circuiti ExpressRoute.

  • Distribuire Firewall di Azure o appliance virtuali di rete partner nella rete virtuale dell'hub centrale per la protezione e il filtro del traffico est/ovest o sud/nord.

  • Distribuire un singolo piano standard protezione DDoS nella sottoscrizione di connettività. Usare questo piano per tutte le reti virtuali della zona di destinazione e della piattaforma.

  • Usare la rete esistente, il cambio di etichette multiprotocol (MPLS) e SD-WAN per connettere le sedi di succursali alla sede centrale aziendale. Se non si usa Il server di route, non è disponibile il supporto per il transito in Azure tra connessioni ExpressRoute e gateway VPN.

  • Distribuire Firewall di Azure o appliance virtuali di rete partner per la protezione e il filtraggio del traffico est/ovest o sud/nord nella rete virtuale hub centrale.

  • Quando si distribuiscono tecnologie di rete partner o appliance virtuali di rete, seguire le indicazioni del fornitore del partner per assicurarsi che:

    • Il fornitore supporti la distribuzione.

    • Le linee guida supportano la disponibilità elevata e le prestazioni massime.

    • Non siano presenti configurazioni in conflitto con la rete di Azure.

  • Non distribuire appliance virtuali di rete in ingresso di livello 7, ad esempio il gateway applicazione di Azure, come servizio condiviso nella rete virtuale hub centrale. Distribuirle invece insieme all'applicazione nelle rispettive zone di destinazione.

  • Distribuire un singolo piano di protezione standard DDoS nella sottoscrizione di connettività.

    • Tutte le reti virtuali della zona di destinazione e della piattaforma devono usare questo piano.

  • Usare la rete esistente, la rete MPLS (Multiprotocol Label Switching) e la rete SD-WAN per connettere le succursali alla sede centrale dell'azienda. Se non si usa Il server di route, non è disponibile alcun supporto per il transito in Azure tra i gateway ExpressRoute e VPN.

  • Se è necessaria la transitività tra ExpressRoute e i gateway VPN in uno scenario hub-spoke, usare Il server di route. Per altre informazioni, vedere Supporto del server di route per ExpressRoute e VPN di Azure.

    Diagramma che illustra la transitività tra gateway ER e VPN con il server di route.

  • Quando si dispone di reti hub-spoke in più aree di Azure ed è necessario connettere alcune zone di destinazione tra aree, usare il peering di rete virtuale globale. È possibile connettere direttamente le reti virtuali della zona di destinazione che devono instradare il traffico tra loro. A seconda dello SKU della macchina virtuale di comunicazione, il peering di rete virtuale globale può offrire una velocità effettiva di rete elevata. Il traffico che passa tra reti virtuali della zona di destinazione con peering diretto ignora le appliance virtuali di rete all'interno delle reti virtuali hub. Le limitazioni del peering di rete virtuale globale si applicano al traffico.

  • Quando si hanno reti hub-spoke in più aree di Azure ed è necessario connettere la maggior parte delle zone di destinazione tra aree, usare appliance virtuali di rete dell'hub per connettere le reti virtuali hub in ogni area e instradare il traffico tra aree. È anche possibile usare questo approccio se non è possibile usare il peering diretto per ignorare le appliance virtuali di rete dell'hub a causa di incompatibilità con i requisiti di sicurezza. Il peering di reti virtuali globale o i circuiti ExpressRoute consentono di connettere le reti virtuali hub nei modi seguenti:

    • Il peering di reti virtuali globale offre una connessione a bassa latenza e velocità effettiva elevata, ma genera tariffe per il traffico.

    • Se si esegue il routing tramite ExpressRoute, è possibile aumentare la latenza a causa della puntina M edizione Standard E. Lo SKU del gateway ExpressRoute selezionato limita la velocità effettiva.

Il diagramma seguente mostra le opzioni per la connettività da hub a hub:

Diagramma che illustra le opzioni per la connettività da hub a hub.

  • Quando è necessario connettere due aree di Azure, usare il peering di rete virtuale globale per connettere le reti virtuali hub in ogni area.

  • Usare un'architettura di rete di transito globale gestita basata su Azure rete WAN virtuale se l'organizzazione:

    • Richiede architetture di rete hub-spoke in più di due aree di Azure.

    • Richiede la connettività di transito globale tra le reti virtuali delle zone di destinazione tra aree di Azure.

    • Vuole ridurre al minimo il sovraccarico di gestione della rete.

  • Quando è necessario connettersi a più di due aree di Azure, è consigliabile che le reti virtuali hub in ogni area si connettano agli stessi circuiti ExpressRoute. Il peering di rete virtuale globale richiede di gestire un numero elevato di relazioni di peering e un set complesso di route definite dall'utente tra più reti virtuali. Il diagramma seguente illustra come connettere reti hub-spoke in tre aree:

    Diagramma che illustra ExpressRoute che fornisce connettività da hub a hub tra più aree.

  • Quando si usano circuiti ExpressRoute per la connettività tra aree, gli spoke in aree diverse comunicano direttamente e ignorano il firewall perché imparano attraverso route BGP agli spoke dell'hub remoto. Se sono necessarie appliance virtuali di rete del firewall nelle reti virtuali hub per controllare il traffico tra spoke, è necessario implementare una di queste opzioni:

    • Creare voci di route più specifiche nelle route definite dall'utente degli spoke per il firewall nella rete virtuale hub locale per reindirizzare il traffico tra gli hub.

    • Per semplificare la configurazione delle route, disabilitare la propagazione BGP nelle tabelle di route degli spoke.

  • Quando l'organizzazione richiede architetture di rete hub-spoke in più di due aree di Azure e connettività di transito globale tra reti virtuali di zone di destinazione tra aree di Azure e si vuole ridurre al minimo il sovraccarico di gestione della rete, è consigliabile un'architettura di rete di transito globale gestita basata su rete WAN virtuale.

  • Distribuire le risorse di rete hub di ogni area in gruppi di risorse separati e ordinarle in ogni area distribuita.

  • Usare Azure Rete virtuale Manager per gestire la connettività e la configurazione della sicurezza delle reti virtuali a livello globale tra sottoscrizioni.

  • Usare informazioni dettagliate sulla rete di Monitoraggio di Azure per monitorare lo stato end-to-end delle reti in Azure.

  • Quando si connettono reti virtuali spoke alla rete virtuale dell'hub centrale, è necessario considerare i due limiti seguenti:

    • Numero massimo di connessioni di peering di rete virtuale per rete virtuale.

    • Numero massimo di prefissi annunciati da ExpressRoute con peering privato da Azure a locale.

    • Assicurarsi che il numero di reti virtuali spoke connesse alla rete virtuale hub non superi questi limiti.

Passaggio successivo

rete WAN virtuale topologia di rete