Condividi tramite


Informazioni sulle appliance virtuali di rete in un hub della rete WAN virtuale

I clienti possono distribuire appliance virtuali di rete direttamente in un hub della rete WAN virtuale in una soluzione gestita congiuntamente dai fornitori di appliance virtuali di rete di Microsoft Azure e di terze parti. Non tutte le appliance virtuali di rete in Azure Marketplace possono essere distribuite in un hub della rete WAN virtuale. Per un elenco completo dei partner disponibili, vedere la sezione Partner di questo articolo.

Vantaggi chiave

Quando un'appliance virtuale di rete viene distribuita in un hub della rete WAN virtuale, può fungere da gateway di terze parti con varie funzionalità. Può fungere da gateway SD-WAN, firewall o una combinazione di entrambi.

La distribuzione di appliance virtuali di rete in un hub della rete WAN virtuale offre i vantaggi seguenti:

  • Selezione predefinita e pre-testata delle opzioni di infrastruttura (Unità dell'infrastruttura dell'appliance virtuale di rete): Microsoft e il partner interagiscono per convalidare i limiti di velocità effettiva e larghezza di banda prima di rendere disponibile la soluzione ai clienti.
  • Disponibilità e resilienza predefinite: le distribuzioni dell'appliance virtuale di rete della rete WAN virtuale sono sensibili alla zona di disponibilità e vengono configurate automaticamente con disponibilità elevata.
  • Provisioning e avvio senza problemi: un'applicazione gestita è prequalificata per il provisioning e l'avvio per la piattaforma della rete WAN virtuale. Questa applicazione gestita è disponibile tramite il collegamento di Azure Marketplace.
  • Routing semplificato: sfruttare i sistemi di routing intelligenti della rete WAN virtuale. Le soluzioni di appliance virtuale di rete eseguono il peering con il router dell'hub della rete WAN virtuale e partecipano al processo decisionale di routing della rete WAN virtuale in modo analogo ai gateway Microsoft.
  • Supporto integrato: i partner hanno un contratto di supporto speciale con la rete WAN virtuale di Microsoft Azure per diagnosticare e risolvere rapidamente eventuali problemi dei clienti.
  • Gestione del ciclo di vita offerta facoltativa offerta dalla piattaforma: gli aggiornamenti e le patch vengono gestiti direttamente dall'utente o come parte del servizio rete WAN virtuale di Azure. Per le procedure consigliate relative alla gestione del ciclo di vita del software per le appliance virtuali di rete nella rete WAN virtuale, contattare il provider di appliance virtuali di rete o consultare la documentazione del provider di riferimento.
  • Integrazione con le funzionalità della piattaforma: connettività di transito con gateway Microsoft e reti virtuali, Encrypted ExpressRoute (sovrimpressione SD-WAN in esecuzione su un circuito ExpressRoute) e tabelle di route dell'hub virtuale interagiscono senza problemi.

Importante

Per garantire il supporto migliore per questa soluzione integrata, assicurarsi di disporre di livelli simili di diritti di supporto sia con Microsoft che con il provider di appliance virtuali di rete.

Partner

Le tabelle seguenti descrivono le appliance virtuali di rete idonee per la distribuzione nell'hub della rete WAN virtuale e i casi d'uso pertinenti (connettività e/o firewall). La colonna Identificatore fornitore dell'appliance virtuale di rete WAN virtuale corrisponde al fornitore dell'appliance virtuale di rete visualizzato nel portale di Azure quando si distribuisce una nuova appliance virtuale di rete o si visualizzano le appliance virtuali di rete esistenti distribuite nell'hub virtuale.

Le appliance virtuali di rete per la connettività SD-WAN seguenti possono essere distribuite nell'hub della rete WAN virtuale.

Partner Identificatore del fornitore dell'appliance virtuale di rete WAN virtuale Guida alla configurazione/procedura/distribuzione Modello di supporto dedicato
Barracuda Networks barracudasdwanrelease Barracuda SecureEdge per la distribuzione della rete WAN virtuale
Cisco SD-WAN ciscosdwan L'integrazione della soluzione Cisco SD-WAN con la rete WAN virtuale di Azure migliora Cloud OnRamp per le distribuzioni multi-cloud e consente di configurare Cisco Catalyst 8000V Edge Software (Cisco Catalyst 8000V) come appliance virtuale di rete negli hub della rete WAN virtuale di Azure. Visualizzare Cisco SD-WAN Cloud OnRamp, Guida alla configurazione di Cisco IOS XE Release 17.x
VMware SD-WAN vmwaresdwaninvwan VMware SD-WAN nella guida alla distribuzione dell'hub della rete WAN virtuale. L'applicazione gestita per la distribuzione è disponibile in questo collegamento di Azure Marketplace.
Versa Networks versanetworks Se si è un cliente di Versa Networks esistente, accedere all'account Versa e aprire la guida alla distribuzione usando il collegamento Guida alla distribuzione Versa. Se si è un nuovo cliente Versa, iscriversi usando il collegamento di iscrizione all'anteprima di Versa.
Aruba EdgeConnect arubaedgeconnectenterprise Guida alla distribuzione di Aruba EdgeConnect SD-WAN. Attualmente in anteprima: collegamento ad Azure Marketplace No

L'appliance virtuale di rete di sicurezza seguente può essere distribuita nell'hub della rete WAN virtuale. Questa appliance virtuale può essere usata per controllare tutto il traffico verticale alto-basso, orizzontale destra-sinistra e a Internet.

Partner Fornitore dell'appliance virtuale di rete WAN virtuale Guida alla configurazione/procedura/distribuzione Modello di supporto dedicato
Check Point CloudGuard Network Security per la rete WAN virtuale di Azure checkpoint Guida alla distribuzione di Check Point Network Security per la rete WAN virtuale No
Fortinet Next-Generation Firewall (NGFW) fortinet-ngfw Guida alla distribuzione di Fortinet NGFW. Fortinet NGFW supporta fino a 80 unità di scala e non è consigliato per la terminazione del tunnel SD-WAN. Per la terminazione del tunnel SD-WAN Fortigate, vedere la documentazione di Fortinet SD-WAN ed NGFW. No
(Anteprima) Cisco Secure Firewall Threat Defense per la rete WAN virtuale di Azure cisco-tdv-vwan-nva Guida alla distribuzione di Cisco Secure Firewall Threat Defense per la rete WAN virtuale di Azure No

Nell'hub della rete WAN virtuale possono essere distribuite appliance virtuali di rete SD-WAN a doppio ruolo (firewall di nuova generazione). Queste appliance virtuali possono essere usate per controllare tutto il traffico verticale alto-basso, orizzontale destra-sinistra e Internet.

Partner Fornitore dell'appliance virtuale di rete WAN virtuale Guida alla configurazione/procedura/distribuzione Modello di supporto dedicato
Fortinet Next-Generation Firewall (NGFW) fortinet-sdwan-and-ngfw Guida alla distribuzione di appliance virtuali di rete Fortinet SD-WAN ed NGFW. Le appliance virtuali di rete Fortinet SD-WAN ed NGFW supportano fino a 20 unità di scala e supportano sia la terminazione del tunnel SD-WAN che le funzionalità del firewall di nuova generazione. No

Casi d'uso di base

Connettività Any-To-Any

I clienti possono distribuire un'appliance virtuale di rete in ogni area di Azure in cui hanno un footprint. I siti branch sono connessi ad Azure tramite tunnel SD-WAN che terminano sull'appliance virtuale di rete più vicina distribuita in un hub della rete WAN virtuale di Azure.

I siti branch possono quindi accedere ai carichi di lavoro in Azure distribuiti in reti virtuali nella stessa area o in altre aree tramite il backbone globale Microsoft. I siti connessi SD-WAN possono anche comunicare con altri branch connessi ad Azure tramite ExpressRoute, connessione da sito a sito o connettività utente remoto.

Architettura di transito globale.

Sicurezza offerta da Firewall di Azure assieme all'appliance virtuale di rete di connettività

I clienti possono distribuire un firewall di Azure assieme alle appliance virtuali di rete basate sulla connettività. Il routing della rete WAN virtuale può essere configurato per inviare tutto il traffico a Firewall di Azure per l'ispezione. È anche possibile configurare la rete WAN virtuale per inviare tutto il traffico associato a Internet a Firewall di Azure per l'ispezione.

Architettura di transito globale con Firewall di Azure.

Sicurezza offerta dai firewall dell'appliance virtuale di rete

I clienti possono anche distribuire appliance virtuali di rete in un hub della rete WAN virtuale che esegue sia la connettività SD-WAN che le funzionalità del firewall di nuova generazione. I clienti possono connettere i dispositivi locali all'appliance virtuale di rete nell'hub e usare la stessa appliance per controllare tutto il traffico verticale alto-basso, orizzontale destra-sinistra e Internet. Il routing per abilitare questi scenari può essere configurato tramite finalità di routing e criteri di routing.

I partner che supportano questi flussi di traffico sono elencati come Appliance virtuali di rete con connettività e sicurezza SD-WAN a doppio ruolo (firewall di nuova generazione) nella sezione Partner.

Architettura di transito globale con appliance virtuali di rete di terze parti.

Come funziona?

Le appliance virtuali di rete disponibili per essere distribuite direttamente nell'hub della rete WAN virtuale di Azure sono progettate appositamente per essere usate in un hub della rete WAN virtuale. L'offerta dell'appliance virtuale di rete viene pubblicata in Azure Marketplace come applicazione gestita e i clienti possono distribuire l'offerta direttamente da Azure Marketplace.

Panoramica processo

L'offerta dell'appliance virtuale di rete di ogni partner avrà un'esperienza e funzionalità leggermente diverse in base ai requisiti di distribuzione.

Applicazione gestita

Tutte le offerte di appliance virtuali di rete disponibili per la distribuzione in un hub della rete WAN virtuale avranno un'applicazione gestita disponibile in Azure Marketplace. Le applicazioni gestite consentono ai partner di eseguire le operazioni seguenti:

  • Creare un'esperienza di distribuzione personalizzata per l'appliance virtuale di rete.
  • Offrire un modello di Resource Manager specializzato che consente di creare l'appliance virtuale di rete direttamente in un hub della rete WAN virtuale.
  • Fatturare i costi di licenza software direttamente o tramite Azure Marketplace.
  • Esporre proprietà personalizzate e contatori delle risorse.

I partner dell'appliance virtuale di rete possono creare risorse diverse a seconda della distribuzione dell'appliance, delle licenze di configurazione e delle esigenze di gestione. Quando un cliente crea un'appliance virtuale di rete in un hub della rete WAN virtuale, come tutte le applicazioni gestite, nella sottoscrizione verranno creati due gruppi di risorse.

  • Gruppo di risorse del cliente: contiene un segnaposto dell'applicazione per l'applicazione gestita. I partner possono usarlo per esporre le proprietà dei clienti scelte qui.
  • Gruppo di risorse gestite: i clienti non possono configurare o modificare direttamente le risorse in questo gruppo, perché questo è controllato dal server di pubblicazione dell'applicazione gestita. Questo gruppo di risorse contiene la risorsa NetworkVirtualAppliances.

Gruppi di risorse dell'applicazione gestita

Autorizzazioni del gruppo di risorse gestite

Per impostazione predefinita, tutti i gruppi di risorse gestite hanno un'assegnazione Deny-all Microsoft Entra. Le assegnazioni Deny-all impediscono ai clienti di chiamare operazioni di scrittura su qualsiasi risorsa nel gruppo di risorse gestite, incluse le risorse dell'appliance virtuale di rete.

Tuttavia, i partner potrebbero creare eccezioni per azioni specifiche che i clienti possono eseguire sulle risorse distribuite nei gruppi di risorse gestite.

Le autorizzazioni per le risorse nei gruppi di risorse gestite esistenti non vengono aggiornate dinamicamente perché le nuove azioni consentite vengono aggiunte dai partner e richiedono un aggiornamento manuale.

Per aggiornare le autorizzazioni per i gruppi di risorse gestite, i clienti possono sfruttare l'API REST delle autorizzazioni di aggiornamento.

Nota

Per applicare correttamente le nuove autorizzazioni, è necessario chiamare l'API delle autorizzazioni di aggiornamento con un parametro di query aggiuntivo targetVersion. Il valore di targetVersion è specifico del provider. Fare riferimento alla documentazione del provider per il numero di versione più recente.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Solutions/applications/{applicationName}/refreshPermissions?api-version=2019-07-01&targetVersion={targetVersion}

Unità di infrastruttura dell'appliance virtuale di rete

Quando si crea un'appliance virtuale di rete in un hub della rete WAN virtuale, è necessario scegliere il numero di unità di infrastruttura dell'appliance virtuale di rete con cui si vuole distribuirlo. Un'unità di infrastruttura dell'appliance virtuale di rete è un'unità di capacità di larghezza di banda aggregata per un'appliance virtuale di rete in un hub della rete WAN virtuale. Un'unità di infrastruttura dell'appliance virtuale di rete è simile a un'unità di scala VPN in termini di capacità e dimensionamento.

  • Le unità di infrastruttura dell'appliance virtuale di rete sono linee guida per la velocità effettiva di rete aggregata sulla cui infrastruttura di macchine virtuali possono essere distribuite appliance virtuali di rete. 1 Unità infrastruttura dell'appliance virtuale di rete corrisponde a 500 Mbps di velocità effettiva aggregata. Questo valore di 500 Mbps non prende in considerazione le differenze tra il software eseguito nelle appliance virtuali di rete. A seconda delle funzionalità attivate nell'appliance virtuale di rete o nell'implementazione software specifica del partner, le funzioni di rete, ad esempio la crittografia/decrittografia, l'incapsulamento/decapsulamento o l'ispezione approfondita dei pacchetti potrebbero essere più intensi. Ciò significa che è possibile che venga visualizzata una velocità effettiva inferiore rispetto all'unità dell'infrastruttura dell'appliance virtuale di rete. Per un mapping delle unità di infrastruttura dell'appliance virtuale di rete WAN virtuale alle velocità effettiva previste, contattare il fornitore.
  • Azure supporta le distribuzioni che vanno da 2 a 80 unità di infrastruttura dell'appliance virtuale di rete per una determinata distribuzione dell'hub virtuale di rete virtuale, ma i partner possono scegliere quali unità di scala supportano. Di conseguenza, potrebbe non essere possibile distribuire tutte le possibili configurazioni di unità di scala.

Le appliance virtuali di rete nella rete WAN virtuale vengono distribuite per garantire che sia sempre possibile ottenere almeno i numeri di velocità effettiva specifici del fornitore per una determinata unità di scala scelta. A tale scopo, le appliance virtuali di rete nella rete WAN virtuale vengono sottoposte a provisioning eccessivo con capacità aggiuntiva sotto forma di più istanze in modo "n+1". Ciò significa che in qualsiasi momento è possibile che la velocità effettiva aggregata tra le istanze sia maggiore dei numeri di velocità effettiva specifici del fornitore. In questo modo, se un'istanza non è integra, le istanze "n" rimanenti possono fornire il traffico dei clienti e la velocità effettiva specifica del fornitore per tale unità di scala.

Se la quantità totale di traffico che passa attraverso un'appliance virtuale di rete in un determinato momento supera i numeri di velocità effettiva specifici del fornitore per l'unità di scala scelta, gli eventi che potrebbero causare l'indisponibilità di un'istanza dell'appliance virtuale di rete, incluse le attività di manutenzione di routine o gli aggiornamenti software della piattaforma Azure, possono causare interruzioni del servizio o della connettività. Per ridurre al minimo le interruzioni del servizio, è consigliabile scegliere l'unità di scala in base al profilo di traffico di picco e ai numeri di velocità effettiva specifici del fornitore per una particolare unità di scala anziché basarsi sui numeri di velocità effettiva del caso migliore osservati durante i test.

Processo di configurazione dell'appliance virtuale di rete

I partner hanno lavorato per offrire un'esperienza che configura automaticamente l'appliance virtuale di rete come parte del processo di distribuzione. Dopo aver effettuato il provisioning dell'appliance virtuale di rete nell'hub virtuale, occorre eseguire qualsiasi configurazione aggiuntiva necessaria per l'appliance virtuale di rete tramite il portale dei partner dell'appliance virtuale di rete o l'applicazione di gestione. L'accesso diretto all'appliance virtuale di rete non è disponibile.

Risorse del sito e di connessione con appliance virtuali di rete

A differenza delle configurazioni del gateway VPN da sito a sito della rete WAN virtuale, non è necessario creare risorse Sito, risorse Connessione da sito a sito o risorse Connessione da punto a sito per connettere i siti branch all'appliance virtuale di rete in un hub della rete WAN virtuale.

È comunque necessario creare connessioni da hub a rete virtuale per connettere l'hub della rete WAN virtuale alle reti virtuali di Azure, nonché connettere ExpressRoute, VPN da sito a sito o connessioni VPN utente remoto.

Aree geografiche supportate

L'appliance virtuale di rete nell'hub virtuale è disponibile nelle aree seguenti:

Area geopolitica Aree di Azure
America del Nord Canada centrale, Canada orientale, Stati Uniti centrali, Stati Uniti orientali, Stati Uniti orientali 2, Stati Uniti centro-meridionali, Stati Uniti centro-settentrionali, Stati Uniti centro-occidentali, Stati Uniti occidentali 2
America del Sud Regione sud del Brasile, sud-est del Brasile
Europa Francia centrale, Francia meridionale, Germania settentrionale, Germania centro-occidentale, Europa settentrionale, Norvegia orientale, Norvegia occidentale, Svizzera settentrionale, Svizzera occidentale, Regno Unito meridionale, Regno Unito occidentale, Europa occidentale, Svezia centrale, Italia settentrionale
Medio Oriente Emirati Arabi Uniti settentrionali, Qatar centrale, Israele centrale
Asia Asia orientale, Giappone orientale, Giappone occidentale, Corea centrale, Corea meridionale, Asia sud-orientale
Australia Australia sud-orientale, Australia orientale, Australia centrale, Australia centrale 2
Africa Sudafrica settentrionale
India India meridionale, India occidentale, India centrale

Domande frequenti sulle appliance virtuali di rete

In qualità di partner per le appliance virtuali di rete, si desidera includere la propria appliance virtuale di rete nell'hub. È possibile partecipare a questo programma partner?

Purtroppo non è possibile accogliere nuove offerte di partnership al momento. Sarà possibile ripresentare la richiesta in futuro.

È possibile distribuire un'appliance virtuale di rete da Azure Marketplace nell'hub della rete WAN virtuale?

Solo i partner elencati nella sezione Partner possono essere distribuiti nell'hub della rete WAN virtuale.

Qual è il costo dell'appliance virtuale di rete?

È necessario acquistare una licenza per l'appliance virtuale di rete dal fornitore dell'appliance virtuale di rete. Bring Your Own License (BYOL) è l'unico modello di licenza attualmente supportato. Inoltre, Microsoft applica addebiti per le unità di infrastruttura dell'appliance virtuale di rete e tutte le altre risorse usate. Per altre informazioni, vedere Concetti relativi ai prezzi.

È possibile distribuire un'appliance virtuale di rete in un hub Basic?

No, per distribuire un'appliance virtuale di rete è necessario usare un hub Standard.

È possibile distribuire un'appliance virtuale di rete in un hub protetto?

Sì. Le appliance virtuali di rete partner possono essere distribuite in un hub con Firewall di Azure.

È possibile connettere qualsiasi dispositivo nella succursale all'appliance virtuale di rete nell'hub?

No. Barracuda CloudGen WAN è compatibile solo con i dispositivi perimetrali Barracuda. Per altre informazioni sui requisiti della rete WAN CloudGen, vedere la pagina CloudGen WAN di Barracuda. Per Cisco sono disponibili diversi dispositivi SD-WAN compatibili. Vedere la documentazione di Cisco Cloud OnRamp for Multi-Cloud per i dispositivi compatibili. Contattare il provider per eventuali domande.

Quali scenari di routing sono supportati con appliance virtuali di rete nell'hub?

Tutti gli scenari di routing supportati dalla rete WAN virtuale sono supportati con appliance virtuali di rete nell'hub.

Quali regioni sono supportate?

Per le aree supportate, vedere le aree supportate dall'appliance virtuale di rete.

Ricerca per categorie: eliminare l'appliance virtuale di rete nell'hub

Se la risorsa appliance virtuale di rete è stata distribuita tramite un'applicazione gestita, eliminare quest'ultima. L'eliminazione dell'applicazione gestita elimina automaticamente il gruppo di risorse gestito e la risorsa appliance virtuale di rete associata.

Non è possibile eliminare un'appliance virtuale di rete che rappresenta la risorsa hop successivo per un criterio di routing. Per eliminare l'appliance virtuale di rete, eliminare prima di tutto i criteri di routing.

Se la risorsa appliance virtuale di rete è stata distribuita tramite software di orchestrazione partner, fare riferimento alla documentazione del partner per eliminarla.

In alternativa, per eliminare l'appliance virtuale di rete è possibile eseguire il comando di PowerShell seguente.

  1. Trovare il gruppo di risorse di Azure dell'appliance virtuale di rete da eliminare. Il gruppo di risorse di Azure è in genere diverso rispetto al gruppo di risorse in cui viene distribuito l'hub della rete WAN virtuale. Verificare che la proprietà Hub virtuale della risorsa appliance virtuale di rete corrisponda all'appliance virtuale di rete da eliminare. Nell'esempio seguente si presuppone che tutte le appliance virtuali di rete nella sottoscrizione abbiano nomi distinti. Se sono presenti più appliance virtuali di rete con lo stesso nome, assicurarsi di raccogliere le informazioni associate all'appliance virtuale di rete da eliminare.

    $nva = Get-AzNetworkVirtualAppliance -Name <NVA name>
    $nva.VirtualHub
    
  2. Eliminare l'appliance virtuale di rete.

    Remove-AzNetworkVirtualAppliance -Name $nva.Name -ResourceGroupName $nva.ResourceGroupName
    

La stessa serie di passaggi può essere eseguita dall'interfaccia della riga di comando di Azure.

  1. Trovare il gruppo di risorse di Azure dell'appliance virtuale di rete da eliminare. Il gruppo di risorse di Azure è in genere diverso rispetto al gruppo di risorse in cui viene distribuito l'hub della rete WAN virtuale. Verificare che la proprietà Hub virtuale della risorsa appliance virtuale di rete corrisponda all'appliance virtuale di rete da eliminare.
     az network virtual-appliance list
    
  2. Eliminare l'appliance virtuale di rete
     az network virtual-appliance delete --subscription <subscription name> --resource-group <resource group name> --name <NVA name>
    

Passaggi successivi

Per altre informazioni sulla rete WAN virtuale, vedere l'articolo Panoramica della rete WAN virtuale.