Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft fornisce servizi su vasta scala per consentire a rivenditori e distributori tradizionali (CSP) di effettuare rapidamente il provisioning di nuovi servizi e soluzioni per i clienti senza dover investire nello sviluppo di questi nuovi servizi. Per offrire al Cloud Solution Provider (CSP) la possibilità di gestire direttamente questi nuovi servizi, Microsoft fornisce programmi e API che consentono al CSP di gestire le risorse di Microsoft Azure per conto dei clienti. Una di queste risorse è ExpressRoute. ExpressRoute consente al CSP di connettere le risorse esistenti dei clienti ai servizi di Azure. ExpressRoute è un collegamento di comunicazioni private ad alta velocità ai servizi in Azure.
ExpressRoute è costituito da una coppia di circuiti per la disponibilità elevata collegati a una o più sottoscrizioni di un singolo cliente e non può essere condiviso da più clienti. Ogni circuito deve terminare in router diverso per mantenere la disponibilità elevata.
Nota
Esistono limiti alla larghezza di banda e al numero di connessioni possibili in ogni circuito ExpressRoute. Se le esigenze di un singolo cliente superano questi limiti, saranno necessari più circuiti ExpressRoute per l'implementazione della rete ibrida. Per altre informazioni, vedere Limiti di ExpressRoute.
Microsoft Azure fornisce un numero crescente di servizi che è possibile offrire ai clienti. ExpressRoute consente all'utente e ai suoi clienti di sfruttare questi servizi fornendo accesso a bassa latenza e a velocità elevata all'ambiente di Microsoft Azure.
Gestione di Microsoft Azure
Microsoft fornisce ai CSP le API per gestire le sottoscrizioni dei clienti di Azure consentendo l'integrazione programmatica con i propri sistemi di gestione dei servizi. Le funzionalità di gestione supportate sono disponibili qui.
Gestione di risorse di Microsoft Azure
La modalità di gestione della sottoscrizione dipende dal contratto stipulato con il cliente. Il CSP può gestire direttamente la creazione e la manutenzione delle risorse oppure il cliente può mantenere il controllo della sottoscrizione di Microsoft Azure e creare le risorse di Azure necessarie. Se il cliente gestisce la creazione delle risorse nella propria sottoscrizione di Microsoft Azure, può scegliere tra due modelli: modello "Connect-Through" o modello "Direct-To". Questi modelli vengono descritti in dettaglio nelle sezioni seguenti.
Modello di connessione indiretta
In questo modello il CSP crea una connessione diretta tra il data center e la sottoscrizione di Azure del cliente. La connessione diretta viene stabilita usando ExpressRoute, che connette la rete ad Azure. Il cliente quindi si connette alla rete. Questo scenario prevede che il cliente passi attraverso la rete CSP per accedere ai servizi di Azure.
Se il cliente ha altre sottoscrizioni di Azure non gestite dall'utente, userà Internet pubblico o la propria connessione privata per connettersi a tali servizi di cui viene effettuato il provisioning con la sottoscrizione non CSP.
Si presuppone che il CSP che gestisce i servizi di Azure abbia un archivio identità dei clienti stabilito in precedenza che verrà quindi replicato in Microsoft Entra ID per la gestione della sottoscrizione CSP con Administrate-On-Behalf-Of (AOBO). I fattori chiave per questo scenario includono dove un determinato partner o provider di servizi ha stabilito una relazione con il cliente, dove il cliente utilizza attualmente i servizi del provider o dove il partner desidera fornire una combinazione di soluzioni ospitate dal provider e ospitate da Azure per garantire flessibilità e gestire le problematiche dei clienti che non possono essere risolte dal solo CSP. Questo modello è illustrato nella figura seguente.
Modello di connessione diretta
In questo modello il provider di servizi crea una connessione diretta tra il data center del cliente e la sottoscrizione di Azure di cui viene effettuato il provisioning dal CSP usando ExpressRoute nella rete del cliente (cliente).
Nota
Per ExpressRoute il cliente dovrà creare e gestire il circuito ExpressRoute.
In questo scenario di connettività il cliente deve connettersi direttamente tramite una rete del cliente per accedere alla sottoscrizione di Azure gestita dal CSP, usando una connessione di rete diretta che è creata, è di proprietà ed è gestita interamente o in parte dal cliente. Per questi clienti si presuppone che il provider non abbia attualmente un archivio di identità dei clienti e che il provider presta assistenza al cliente nella replica dell'archivio di identità corrente in Microsoft Entra ID per la gestione della sottoscrizione con AOBO. I fattori chiave di questo scenario includono dove un determinato partner o provider di servizi ha stabilito una relazione con il cliente, dove il cliente utilizza attualmente i servizi del provider o dove il partner vuole fornire servizi basati esclusivamente su soluzioni ospitate da Azure senza la necessità di un data center o di un'infrastruttura del provider esistente.
La scelta tra queste due opzioni si basa sulle esigenze del cliente e sulla propria attuale esigenza di fornire servizi di Azure. Informazioni dettagliate su questi modelli e sul controllo degli accessi in base al ruolo associato, sulla rete e sugli schemi progettuali delle identità sono disponibili nel collegamenti seguenti:
- Controllo degli accessi in base al ruolo di Azure (RBAC di Azure): Azure RBAC si basa su Microsoft Entra ID. Per altre informazioni sul controllo degli accessi in base al ruolo (RBAC) di Azure, vedere qui.
- Rete : include vari articoli sulla rete in Microsoft Azure.
- Microsoft Entra ID: Microsoft Entra fornisce la gestione delle identità per Microsoft Azure e applicazioni SaaS di terzi. Per altre informazioni su Microsoft Entra ID, vedere qui.
Velocità di rete
ExpressRoute supporta velocità di rete comprese tra 50 MB/s e 10 GB/s. Ciò consente ai clienti di acquistare la quantità di larghezza di banda di rete necessaria per un ambiente univoco.
Nota
La larghezza di banda di rete può essere aumentata in base alle esigenze senza dover interrompere le comunicazioni, invece per ridurre la velocità di rete, è necessario rimuovere il circuito e ricrearlo a una velocità di rete più bassa. Per altre informazioni, vedere Modificare un circuito ExpressRoute
ExpressRoute supporta la connessione di più reti virtuali a un singolo circuito ExpressRoute per un migliore utilizzo delle connessioni con velocità più elevata. Un solo circuito ExpressRoute può essere condiviso tra più sottoscrizioni di Azure di proprietà dello stesso cliente.
Configurazione di ExpressRoute
ExpressRoute può essere configurato per supportare tre tipi di traffico (domini di routing) su un solo circuito ExpressRoute. Questo traffico viene segretato nel peering privato e nel peering di Microsoft. È possibile scegliere uno o tutti i tipi di traffico da inviare tramite un solo circuito di ExpressRoute o usare più circuiti ExpressRoute a seconda delle dimensioni del circuito ExpressRoute e dell'isolamento richiesto dal cliente. Il comportamento di sicurezza del cliente potrebbe non consentire al traffico pubblico e al traffico privato di passare per lo stesso circuito.
Modello di connessione indiretta
In una configurazione Connect-Through, l'utente sarà responsabile di tutti gli elementi fondamentali della rete per connettere le risorse dei data center dei clienti alle sottoscrizioni ospitate in Azure. Ogni cliente che desidera usare le funzionalità di Azure deve avere una propria connessione ExpressRoute, che verrà gestita dall'utente. L'utente userà gli stessi metodi che userebbe il cliente per approvvigionare il circuito ExpressRoute. L'utente segue gli stessi passaggi indicati nell'articolo Flussi di lavoro di ExpressRoute per il provisioning del circuito e gli stati del circuito. L'utente configurerà quindi le route BGP (Border Gateway Protocol) per controllare il traffico che scorre tra la rete locale e la rete virtuale di Azure.
Modello di connessione diretta
In una configurazione Connect-To, il cliente ha già una connessione esistente ad Azure o avvierà una connessione al provider di servizi Internet collegando ExpressRoute dal proprio data center direttamente ad Azure, invece che dal data center dell'utente. Per iniziare il processo di provisioning, il cliente segue i passaggi descritti precedentemente nel modello Connect-Through. Una volta stabilito il circuito, il cliente deve configurare i router locali per poter accedere sia alla rete dell'utente che alle reti virtuali di Azure.
È possibile fornire assistenza nella configurazione della connessione e delle route per consentire alle risorse nei data center dell'utente di comunicare con le risorse del cliente nel data center dell'utente o con le risorse ospitate in Azure.
I domini di routing di ExpressRoute
ExpressRoute offre due domini di routing per i nuovi circuiti: peering privato e peering Microsoft. Ogni dominio di routing è configurato con router identici in una configurazione "active-active" per una disponibilità elevata. Per altri dettagli sui domini di routing ExpressRoute, vedere qui.
È possibile definire filtri di route personalizzati per consentire solo le route desiderate o necessarie. Per altre informazioni o per scoprire come apportare queste modifiche, vedere l'articolo Creare e modificare il routing per un circuito ExpressRoute usando PowerShell per altri dettagli sui filtri di routing.
Nota
Per il peering Microsoft, la connettività deve avvenire tramite un indirizzo IP pubblico di proprietà del cliente o del CSP, e deve seguire tutte le regole definite. Per altre informazioni, vedere la pagina Prerequisiti per ExpressRoute .
Routing
ExpressRoute si connette alle reti di Azure tramite il gateway di rete virtuale di Azure. I gateway di rete forniscono il routing per le reti virtuali di Azure.
Con la creazione delle reti virtuali di Azure viene creata anche una tabella di routing predefinita che consente alla rete virtuale di indirizzare il traffico alle/dalle subnet della rete virtuale. Se la tabella di routing predefinita non è sufficiente per la soluzione, è possibile creare route personalizzate per instradare il traffico in uscita ad appliance personalizzate o per bloccare le route a reti esterne o subnet specifiche.
Routing predefinito
La tabella di route predefinita include le route seguenti:
- Routing in una subnet
- Da subnet a subnet nella rete virtuale
- A Internet
- Da rete virtuale a rete virtuale con un gateway VPN
- Da rete virtuale a rete locale con un gateway VPN o ExpressRoute
Routing definito dall'utente
Le route definite dall'utente consentono di controllare il traffico in uscita dalla subnet assegnata ad altre subnet nella rete virtuale o su uno degli altri gateway predefiniti (ExpressRoute, Internet o VPN). La tabella di routing di sistema predefinita può essere sostituita con una tabella di routing definita dall'utente che sostituisce la tabella di routing predefinita con route personalizzate. Con il routing definito dall'utente, i clienti possono creare route specifiche alle appliance, ad esempio firewall o appliance per il rilevamento di intrusioni, o bloccare l'accesso a subnet specifiche dalla subnet che ospita la route definita dall'utente. Per una panoramica delle route definite dall'utente, vedere qui.
Sicurezza
A seconda del modello in uso, Connect-To o Connect-Through, il cliente definisce i criteri di sicurezza nella rete virtuale o fornisce i requisiti dei criteri di sicurezza al CSP per definirli per le reti virtuali. Possono essere definiti i criteri di sicurezza seguenti:
- Isolamento del cliente: la piattaforma Azure fornisce l'isolamento del cliente archiviando l'ID cliente e le informazioni sulla rete virtuale in un database sicuro, che viene usato per incapsulare il traffico di ogni cliente in un tunnel GRE.
- Gruppo di sicurezza di rete (NSG): sono disponibili regole per definire il traffico consentito in entrata e in uscita dalle subnet all'interno delle reti virtuali in Azure. Per impostazione predefinita, il gruppo NSG contiene regole di blocco per bloccare il traffico da Internet alla rete virtuale e regole di consenso per il traffico all'interno di una rete virtuale. Per altre informazioni sui gruppi di sicurezza di rete, vedere qui.
- Forza tunneling: opzione per reindirizzare tramite la connessione ExpressRoute il traffico associato a Internet che ha origine in Azure al data center locale. Per altre informazioni sul tunneling forzato, vedere qui.
- Crittografia: anche se i circuiti ExpressRoute sono dedicati a un cliente specifico, esiste la possibilità che il provider di rete possa essere violato, consentendo a un intruso di esaminare il traffico dei pacchetti. Per risolvere questo potenziale, un cliente o un provider di servizi di configurazione può crittografare il traffico tramite la connessione definendo i criteri in modalità tunnel IPsec per tutto il traffico che passa tra le risorse locali e le risorse di Azure (fare riferimento alla modalità tunnel facoltativa IPsec per il cliente 1 nella figura 5: Sicurezza expressRoute, sopra). La seconda opzione consiste nell'usare un'appliance firewall in ogni endpoint del circuito ExpressRoute. Ciò richiede l'installazione di altre VM/appliance firewall di terzi in entrambe le estremità, per crittografare il traffico sul circuito ExpressRoute.
Passaggi successivi
Il servizio Cloud Solution Provider consente di aumentare il valore per i clienti senza dover acquistare costose infrastrutture e funzionalità, mantenendo la propria posizione di provider di esternalizzazione primario. È possibile eseguire facilmente l'integrazione con Microsoft Azure tramite l'API CSP, che consente di integrare la gestione di Microsoft Azure nei framework di gestione esistenti.
Per altre informazioni, fare clic sui collegamenti seguenti:
Azure nel programma Cloud Solution Provider.
Prepararsi alle transazioni come Cloud Solution Provider.
Risorse Microsoft Cloud Solution Provider.