Che cos'è Rete virtuale di Azure?
Azure Rete virtuale è un servizio che fornisce il blocco predefinito fondamentale per la rete privata in Azure. Un'istanza del servizio (una rete virtuale) consente a molti tipi di risorse di Azure di comunicare in modo sicuro tra loro, Internet e reti locali. Queste risorse di Azure includono macchine virtuali (VM).
Una rete virtuale è simile a una rete tradizionale gestita nel proprio data center. Ma offre vantaggi aggiuntivi dell'infrastruttura di Azure, ad esempio scalabilità, disponibilità e isolamento.
Perché usare una rete virtuale di Azure?
Gli scenari principali che è possibile realizzare in una rete virtuale includono:
Comunicazione delle risorse di Azure con Internet.
Comunicazione tra risorse di Azure.
Comunicazione con risorse locali.
Filtro del traffico di rete.
Routing del traffico di rete.
Integrazione con i servizi di Azure
Comunicare con Internet
Per impostazione predefinita, tutte le risorse in una rete virtuale possono comunicare in uscita con Internet. È anche possibile usare un indirizzo IP pubblico, un gateway NAT o un servizio di bilanciamento del carico pubblico per gestire le connessioni in uscita. È possibile comunicare in ingresso con una risorsa assegnando un indirizzo IP pubblico o un servizio di bilanciamento del carico pubblico.
Quando si usa solo un servizio di bilanciamento del carico standard interno, la connettività in uscita non è disponibile fino a quando non si definisce come si desidera che le connessioni in uscita funzionino con un indirizzo IP pubblico a livello di istanza o con un servizio di bilanciamento del carico pubblico.
Comunicare tra risorse di Azure
Le risorse di Azure comunicano in modo sicuro tra di esse in uno dei modi seguenti:
Rete virtuale: è possibile distribuire macchine virtuali e altri tipi di risorse di Azure in una rete virtuale. Esempi di risorse includono ambienti servizio app, servizio Azure Kubernetes (servizio Azure Kubernetes) e Azure set di scalabilità di macchine virtuali. Per visualizzare un elenco completo delle risorse di Azure che è possibile distribuire in una rete virtuale, vedere Distribuire servizi di Azure dedicati in reti virtuali.
Endpoint servizio di rete virtuale: è possibile estendere lo spazio indirizzi privato della rete virtuale e l'identità della rete virtuale alle risorse del servizio di Azure tramite una connessione diretta. Esempi di risorse includono account di archiviazione di Azure e Azure SQL database. Gli endpoint servizio consentono di associare le risorse critiche dei servizi di Azure solo a una rete virtuale. Per altre informazioni, vedere Endpoint servizio di rete virtuale.
Peering di rete virtuale: è possibile connettere le reti virtuali tra loro usando il peering virtuale. Le risorse in una rete virtuale possono quindi comunicare tra loro. Le reti virtuali che ci si connettono possono trovarsi nella stessa area di Azure o in aree diverse. Per altre informazioni, vedere Peering di rete virtuale.
Comunicare con le risorse locali
È possibile connettere i computer e le reti locali a una rete virtuale usando una delle opzioni seguenti:
Rete privata virtuale (VPN) da punto a sito: viene stabilita tra una rete virtuale e un singolo computer nella rete. Per ogni computer per cui si vuole stabilire la connettività con una rete virtuale è necessario configurare la connessione. Questo tipo di connessione è utile se si sta appena iniziando a usare Azure o per gli sviluppatori, perché richiede poche o nessuna modifica a una rete esistente. La comunicazione tra il computer e una rete virtuale viene inviata attraverso un tunnel crittografato tramite Internet. Per altre informazioni, vedere Informazioni sulla VPN da punto a sito.
VPN da sito a sito: stabilita tra il dispositivo VPN locale e un gateway VPN di Azure distribuito in una rete virtuale. Questo tipo di connessione consente a qualsiasi risorsa locale autorizzata dall'utente di accedere a una rete virtuale. La comunicazione tra il dispositivo VPN locale e un gateway VPN di Azure viene inviata attraverso un tunnel crittografato tramite Internet. Per altre informazioni, vedere VPN da sito a sito.
Azure ExpressRoute: viene stabilita tra la rete e Azure tramite un partner ExpressRoute. La connessione è privata. Il traffico non passa da Internet. Per altre informazioni, vedere Che cos'è Azure ExpressRoute?.
Filtri per il traffico di rete
È possibile filtrare il traffico di rete tra subnet usando una o entrambe le opzioni seguenti:
Gruppi di sicurezza di rete: i gruppi di sicurezza di rete e i gruppi di sicurezza delle applicazioni possono contenere più regole di sicurezza in ingresso e in uscita. Queste regole consentono di filtrare il traffico da e verso le risorse in base all'indirizzo IP di origine e di destinazione, alla porta e al protocollo. Per altre informazioni, vedere Gruppi di sicurezza di rete e Gruppi di sicurezza delle applicazioni.
Appliance virtuali di rete: un'appliance virtuale di rete è una macchina virtuale che esegue una funzione di rete, ad esempio un firewall o un'ottimizzazione WAN. Per visualizzare un elenco delle appliance virtuali di rete disponibili che è possibile distribuire in una rete virtuale, passare a Azure Marketplace.
Routing del traffico di rete
Azure instrada il traffico tra subnet, reti virtuali connesse, reti locali e Internet, per impostazione predefinita. È possibile implementare una o entrambe le opzioni seguenti per eseguire l'override delle route predefinite create da Azure:
Tabelle di route: è possibile creare tabelle di route personalizzate che controllano dove viene instradato il traffico per ogni subnet.
Route BGP (Border Gateway Protocol): se si connette la rete virtuale alla rete locale usando un gateway VPN di Azure o una connessione ExpressRoute , è possibile propagare le route BGP locali alle reti virtuali.
Eseguire l'integrazione con i servizi di Azure
L'integrazione dei servizi di Azure con una rete virtuale di Azure consente l'accesso privato al servizio da macchine virtuali o risorse di calcolo nella rete virtuale. Per questa integrazione è possibile usare le opzioni seguenti:
Distribuire istanze dedicate del servizio in una rete virtuale. I servizi sono accessibili privatamente all'interno della rete virtuale e da reti locali.
Usare collegamento privato di Azure per accedere privatamente a un'istanza specifica del servizio dalla rete virtuale e dalle reti locali.
Accedere al servizio tramite endpoint pubblici estendendo una rete virtuale al servizio tramite endpoint di servizio. Gli endpoint di servizio consentono di proteggere le risorse del servizio nella rete virtuale.
Limiti
Esistono limiti al numero di risorse di Azure che è possibile distribuire. La maggior parte dei limiti relativi alla rete di Azure sono impostati ai rispettivi valori massimi. Tuttavia, è possibile aumentare determinati limiti di rete. Per altre informazioni, vedere Limiti di rete.
Reti virtuali e zone di disponibilità
Le reti virtuali e le subnet si estendono su tutte le zone di disponibilità in un'area. Non è necessario dividerli in base alle zone di disponibilità per supportare le risorse di zona. Ad esempio, se si configura una macchina virtuale a livello di zona, non è necessario prendere in considerazione la rete virtuale quando si seleziona la zona di disponibilità per la macchina virtuale. Lo stesso vale per altre risorse di zona.
Prezzi
Non sono previsti costi per l'uso di Azure Rete virtuale. È gratuito. Gli addebiti standard si applicano alle risorse, ad esempio macchine virtuali e altri prodotti. Per altre informazioni, vedere prezzi di Rete virtuale e il calcolatore prezzi di Azure.
Passaggi successivi
Informazioni sui concetti e sulle procedure consigliate di Azure Rete virtuale.
Per iniziare a usare una rete virtuale, crearne una, distribuirne alcune e comunicare tra le macchine virtuali. Per informazioni su come, vedere l'argomento di avvio rapido Usare il portale di Azure per creare una rete virtuale.
Seguire un modulo di training sulla progettazione e l'implementazione dell'infrastruttura di rete di Azure di base, incluse le reti virtuali: Introduzione alle reti virtuali di Azure.