Topologia di rete WAN virtuale
Esplorare le considerazioni chiave sulla progettazione e le raccomandazioni per le reti di aree virtuali (rete WAN virtuale) in Microsoft Azure.
Figura 1: Topologia di rete WAN virtuale. Scaricare un file Visio di questa architettura.
considerazioni sulla progettazione della rete rete WAN virtuale
La rete WAN virtuale di Azure è una soluzione gestita da Microsoft che fornisce connettività di transito end-to-end, globale e dinamica per impostazione predefinita. Gli hub WAN virtuali eliminano la necessità di configurare manualmente la connettività di rete. Ad esempio, non è necessario gestire route definite dall'utente o appliance virtuali di rete per abilitare la connettività di transito globale.
Azure rete WAN virtuale semplifica la connettività di rete end-to-end in Azure e in Azure dall'ambiente locale creando un'architettura di rete hub-spoke. L'architettura è facilmente scalabile per supportare più aree di Azure e posizioni locali (connettività any-to-any), come illustrato nella figura seguente:
Figura 2: Rete di transito globale con la rete WAN virtuale.
Azure rete WAN virtuale connettività transitiva any-to-any supporta i percorsi seguenti (all'interno della stessa area e tra aree):
- Da rete virtuale a rete virtuale
- Da rete virtuale a succursale
- Da succursale a rete virtuale
- Tra succursali
Gli hub rete WAN virtuale di Azure sono limitati alla distribuzione delle risorse gestite da Microsoft. Le uniche risorse che è possibile distribuire all'interno degli hub WAN sono:
- Gateway di rete virtuale (VPN da punto a sito, VPN da sito a sito e Azure ExpressRoute)
- Firewall di Azure tramite Gestione firewall
- Tabelle di route
- Alcune appliance virtuali di rete (NVA) per funzionalità SD-WAN specifiche del fornitore
rete WAN virtuale è associato da Limiti delle sottoscrizioni di Azure per rete WAN virtuale.
La connettività transitiva da rete a rete (all'interno di un'area e tra aree tramite hub-hub) è disponibile a livello generale (GA).
La funzione di routing gestita da Microsoft che fa parte di ogni hub virtuale consente la connettività di transito tra reti virtuali in rete WAN virtuale Standard. Ogni hub supporta una velocità effettiva aggregata fino a 50 Gbps per il traffico da rete virtuale a rete virtuale.
Un singolo hub rete WAN virtuale di Azure supporta un numero massimo specifico di carichi di lavoro di macchine virtuali in tutte le reti virtuali collegate direttamente. Per altre informazioni, vedere Limiti rete WAN virtuale di Azure.
È possibile distribuire più hub rete WAN virtuale di Azure nella stessa area per aumentare il numero di istanze oltre i limiti dell'hub singolo.
La rete WAN virtuale si integra con vari provider SD-WAN.
Molti provider di servizi gestiti offrono servizi gestiti per la rete WAN virtuale.
Gateway VPN utente (da punto a sito) in rete WAN virtuale aumentare fino a una velocità effettiva aggregata di 20 Gbps e 100.000 connessioni client per ogni hub virtuale. Per altre informazioni, vedere Limiti rete WAN virtuale di Azure.
I gateway VPN da sito a sito in rete WAN virtuale aumentano fino a una velocità effettiva aggregata di 20 Gbps.
È possibile connettere i circuiti ExpressRoute a un hub rete WAN virtuale usando uno SKU Locale, Standard o Premium.
Per le distribuzioni nella stessa città, prendere in considerazione ExpressRoute Metro.
I circuiti ExpressRoute Standard o Premium, in località supportate da Copertura globale di Azure ExpressRoute, possono connettersi a un gateway ExpressRoute rete WAN virtuale. E dispongono di tutte le funzionalità di transito rete WAN virtuale (transito da VPN a VPN, VPN e ExpressRoute). I circuiti ExpressRoute Standard o Premium che si trovano in posizioni non supportate da Copertura globale possono connettersi alle risorse di Azure, ma non possono usare rete WAN virtuale funzionalità di transito.
Firewall di Azure Manager supporta la distribuzione di Firewall di Azure nell'hub rete WAN virtuale, noto come hub virtuale protetto. Per altre informazioni, vedere la panoramica di Firewall di Azure Manager per gli hub virtuali protetti e i vincoli più recenti.
rete WAN virtuale traffico da hub a hub che passa attraverso Firewall di Azure sia negli hub di origine che negli hub di destinazione (hub virtuali protetti) è supportato quando si abilitano le finalità e i criteri di routing. Per altre informazioni, vedere Casi d'uso per rete WAN virtuale i criteri di routing e la finalità di routing dell'hub.
L'esperienza del portale rete WAN virtuale richiede che tutte le risorse rete WAN virtuale vengono distribuite insieme nello stesso gruppo di risorse.
È possibile condividere un piano di protezione DDoS di Azure in tutte le reti virtuali in un singolo tenant di Microsoft Entra per proteggere le risorse con indirizzi IP pubblici. Per altre informazioni, vedere Protezione DDoS di Azure.
rete WAN virtuale hub virtuali sicuri non supportano i piani di protezione standard DDoS di Azure. Per altre informazioni, vedere Problemi noti di Gestione firewall di Azure e Confronto tra rete virtuale hub e hub virtuale protetto.
I piani di Protezione DDoS di Azure coprono solo le risorse con indirizzi IP pubblici.
- Un piano di protezione DDoS di Azure include 100 indirizzi IP pubblici. Questi indirizzi IP pubblici si estendono su tutte le reti virtuali protette associate al piano di protezione DDoS. Tutti gli altri indirizzi IP pubblici, oltre i 100 inclusi nel piano, vengono addebitati separatamente. Per altre informazioni sui prezzi di Protezione DDoS di Azure, vedere la pagina dei prezzi o le domande frequenti.
Esaminare le risorse supportate dei piani di protezione DDoS di Azure.
rete WAN virtuale raccomandazioni per la progettazione di rete
La rete WAN virtuale è consigliata per le nuove distribuzioni di rete globali o di grandi dimensioni in Azure, in cui è necessaria la connettività di transito globale tra le aree di Azure e le posizioni locali. In questo modo, non è necessario configurare manualmente il routing transitivo per la rete di Azure.
La figura seguente illustra un esempio di distribuzione aziendale globale con data center distribuiti in Europa e negli Stati Uniti. La distribuzione contiene molte succursali all'interno di entrambe le aree. L'ambiente è connesso a livello globale tramite la rete WAN virtuale di Azure e Copertura globale di ExpressRoute.
Figura 3: Topologia di rete di esempio.
Usare un hub rete WAN virtuale per area di Azure per connettere più zone di destinazione tra aree di Azure tramite un comune rete WAN virtuale di Azure globale.
Distribuire tutte le risorse rete WAN virtuale in un singolo gruppo di risorse nella sottoscrizione di connettività, incluso quando si esegue la distribuzione in più aree.
Usare le funzionalità di routing dell'hub virtuale per segmentare ulteriormente il traffico tra reti virtuali e succursali.
Connettere gli hub della rete WAN virtuale ai data center locali usando ExpressRoute.
Distribuire i servizi condivisi necessari, come i server DNS, in una rete virtuale spoke dedicata. Le risorse condivise distribuite dal cliente non possono essere distribuite all'interno dell'hub rete WAN virtuale stesso.
Connettere succursali e posizioni remote all'hub della rete WAN virtuale più vicino tramite una VPN da sito a sito oppure abilitare la connettività della succursale alla rete WAN virtuale tramite una soluzione partner SD-WAN.
Connettere gli utenti all'hub della rete WAN virtuale tramite una VPN da punto a sito.
Seguire il principio secondo il quale "il traffico in Azure rimane in Azure" in modo che la comunicazione tra le risorse in Azure avvenga tramite la rete backbone Microsoft, anche quando le risorse si trovano in aree diverse.
Per la protezione e il filtro in uscita da Internet, è consigliabile distribuire Firewall di Azure nell'hub virtuale.
Sicurezza fornita dai firewall dell'appliance virtuale di rete. I clienti possono anche distribuire appliance virtuali di rete in un hub della rete WAN virtuale che esegue sia la connettività SD-WAN che le funzionalità del firewall di nuova generazione. I clienti possono connettere i dispositivi locali all'appliance virtuale di rete nell'hub e usare la stessa appliance per controllare tutto il traffico verticale alto-basso, orizzontale destra-sinistra e Internet.
Quando si distribuiscono tecnologie di rete e appliance virtuali di rete partner, seguire le indicazioni del fornitore partner per assicurarsi che non siano presenti configurazioni in conflitto con le reti di Azure.
Per scenari brownfield in cui si esegue la migrazione da una topologia di rete hub-spoke non basata sulla rete WAN virtuale, vedere Eseguire la migrazione alla rete WAN virtuale di Azure.
Creare le risorse rete WAN virtuale di Azure e Firewall di Azure all'interno della sottoscrizione di connettività.
Usare rete WAN virtuale criteri di routing e routing dell'hub per supportare il traffico che passa tra hub protetti.
Non creare più di 500 connessioni di rete virtuale per ogni hub virtuale della rete WAN virtuale.
- Se sono necessarie più di 500 connessioni di rete virtuale per ogni hub virtuale rete WAN virtuale, è possibile distribuire un altro hub virtuale rete WAN virtuale. Distribuirlo nella stessa area come parte dello stesso gruppo di risorse e rete WAN virtuale.
Pianificare con attenzione la distribuzione e assicurarsi che l'architettura di rete rientri nei limiti della rete WAN virtuale di Azure.
Usare le informazioni dettagliate in Monitoraggio di Azure per la rete WAN virtuale (anteprima) per monitorare la topologia end-to-end della rete WAN virtuale e lo stato e le metriche chiave.
Distribuire un singolo piano di protezione di Protezione DDoS Standard nella sottoscrizione di connettività.
- Tutte le reti virtuali della piattaforma e della zona di destinazione devono usare questo piano.