Che cos'è la rete WAN virtuale di Azure?
La rete WAN virtuale di Azure è un servizio che raggruppa numerose funzionalità di rete, sicurezza e routing per offrire una singola interfaccia operativa. Alcune delle funzionalità principali includono:
- Connettività delle succursale (tramite automazione da dispositivi partner della rete WAN virtuale, ad esempio SD-WAN o CPE VPN).
- Connettività VPN da sito a sito.
- Connettività VPN utente remoto (da punto a sito).
- Connettività privata (ExpressRoute).
- Connettività intracloud (connettività transitiva per le reti virtuali).
- Connettività tra VPN ed ExpressRoute.
- Routing, Firewall di Azure e crittografia per la connettività privata.
Non è necessario che tutti questi casi d'uso inizino a usare rete WAN virtuale. È possibile iniziare con un solo caso d'uso e quindi regolare la rete man mano che si evolve.
L'architettura della rete WAN virtuale è di tipo hub-spoke, con scalabilità e prestazioni predefinite per rami (dispositivi VPN/SD-WAN), utenti (client VPN di Azure/OpenVPN/IKEv2), circuiti ExpressRoute e reti virtuali. Abilita un'architettura di rete di transito globale, in cui la rete ospitata nel cloud "hub" consente la connettività transitiva tra endpoint che potrebbero essere distribuiti tra diversi tipi di "spoke".
Le aree di Azure fungono da hub a cui è possibile scegliere di connettersi. Tutti gli hub sono connessi in una mesh completa in una rete WAN virtuale standard, per cui è possibile usare il backbone Microsoft per la connettività tra qualsiasi spoke.
Gli utenti possono configurare manualmente la connettività degli spoke con dispositivi SD-WAN/VPN nella rete WAN virtuale di Azure oppure usare le soluzioni CPE dei partner di rete WAN virtuale (SD-WAN/VPN) per configurare la connettività con Azure. Diversi partner supportano l'automazione della connettività, ovvero la possibilità di esportare le informazioni sui dispositivi in Azure, scaricare la configurazione di Azure e stabilire la connettività con la rete WAN virtuale di Azure. Per maggiori informazioni, vedere l'articolo Partner e località della rete WAN virtuale.
La rete WAN virtuale offre i vantaggi seguenti:
- Soluzioni di connettività integrate nell'hub e spoke: automatizzare la configurazione da sito a sito e la connettività tra i siti locali e un hub di Azure.
- Installazione e configurazione automatizzate dello spoke: connettere reti virtuali e carichi di lavoro all'hub di Azure senza problemi.
- Risoluzione dei problemi intuitiva: è possibile visualizzare il flusso end-to-end in Azure e quindi usare queste informazioni per eseguire le azioni necessarie.
Architettura
Per informazioni sull'architettura WAN virtuale e su come eseguire la migrazione a una rete WAN virtuale, vedere gli articoli seguenti:
Aree e località disponibili
Per le aree e le località disponibili, vedere rete WAN virtuale partner, aree geografiche e località.
Risorse della rete WAN virtuale
Per configurare una rete WAN virtuale completa, si creano le risorse seguenti:
rete WAN virtuale: La risorsa WAN virtuale rappresenta una sovrimpressione virtuale della rete di Azure ed è una raccolta di più risorse. Sono inclusi collegamenti a tutti gli hub virtuali che si desidera avere all'interno della rete WAN virtuale. Le reti WAN virtuali sono isolate l'una dall'altra e non possono contenere un hub comune. Gli hub virtuali in reti WAN virtuali diverse non comunicano tra loro.
Hub: un hub virtuale è una rete virtuale gestita da Microsoft. L'hub contiene vari endpoint di servizio per abilitare la connettività. Dalla rete locale (vpnsite) è possibile connettersi a un gateway VPN all'interno dell'hub virtuale, connettere circuiti ExpressRoute a un hub virtuale o anche connettere utenti di dispositivi mobili a un gateway da punto a sito nell'hub virtuale. L'hub è l'elemento centrale della rete in un'area. È possibile creare più hub virtuali nella stessa area.
Un gateway dell'hub non equivale a un gateway di rete virtuale, usato per ExpressRoute e Gateway VPN. Quando si usa una rete WAN virtuale, ad esempio, non si crea una connessione da sito a sito dal sito locale direttamente alla rete virtuale, ma al contrario una connessione da sito a sito all'hub. Il traffico passa sempre attraverso il gateway dell'hub. Questo significa che le reti virtuali non hanno bisogno di un gateway di rete virtuale proprio. La rete WAN virtuale consente alle reti virtuali di sfruttare i vantaggi di una facile scalabilità tramite l'hub virtuale e il gateway di hub virtuale.
Connessione di rete virtuale hub: la risorsa di connessione alla rete virtuale hub viene usata per connettere facilmente l'hub alla rete virtuale. Una rete virtuale può essere connessa a un solo hub virtuale.
Connessione da hub a hub: gli hub sono tutti connessi tra loro in una rete WAN virtuale. Ciò implica che un ramo, un utente o una rete virtuale connessa a un hub locale può comunicare con un altro ramo o rete virtuale usando l'architettura a mesh completa degli hub connessi. È anche possibile connettere reti virtuali all'interno di un hub che transita attraverso l'hub virtuale, oltre a reti virtuali tra hub, usando il framework connesso da hub a hub.
Tabella della route dell'hub: è possibile creare una route dell'hub virtuale e applicare la route alla tabella della route dell'hub virtuale. È possibile applicare più route alla tabella di route dell'hub virtuale.
Altre risorse della rete WAN virtuale
- Sito: questa risorsa viene usata solo per le connessioni da sito a sito. La risorsa sito è vpnsite. Rappresenta il dispositivo VPN locale e le relative impostazioni. Se si collabora con un partner di rete WAN virtuale, si avrà a disposizione una soluzione predefinita per esportare automaticamente queste informazioni in Azure.
Tipi di rete WAN virtuale
Esistono due tipi di RETI WAN virtuali: Basic e Standard. La tabella seguente mostra le configurazioni disponibili per ogni tipo.
Tipo di rete WAN virtuale | Tipo di hub | Configurazioni disponibili |
---|---|---|
Di base | Di base | Solo VPN da sito a sito |
Standard | Standard | ExpressRoute VPN utente (P2S) VPN (da sito a sito) Transito tra hub e da VNet a VNet attraverso l'hub virtuale Firewall di Azure Appliance virtuale di rete in una rete WAN virtuale |
Nota
È possibile eseguire l'aggiornamento da Basic a Standard, ma non è possibile tornare da Standard a Basic.
Per i passaggi necessari per l'aggiornamento di una rete WAN virtuale, vedere Aggiornare una rete WAN virtuale dal livello di base a quello standard.
Connettività
Connessioni VPN da sito a sito
È possibile connettersi alle risorse in Azure tramite una connessione IPsec/IKE (IKEv2) da sito a sito. Per altre informazioni, vedere Creare una connessione da sito a sito con la rete WAN virtuale.
Per questo tipo di connessione è necessario un dispositivo VPN o un dispositivo di un partner di rete WAN virtuale. I partner di reti WAN virtuali forniscono l'automazione per la connettività, ovvero la possibilità di esportare le informazioni sui dispositivi in Azure, scaricare la configurazione di Azure e stabilire la connettività con l'hub di rete WAN virtuale di Azure. Per un elenco dei partner e delle località disponibili, vedere l'articolo rete WAN virtuale partner, aree geografiche e località. Se il provider di dispositivi VPN/SD-WAN non è elencato nel collegamento indicato, usare le istruzioni dettagliate nell'articolo Creare una connessione da sito a sito usando rete WAN virtuale per configurare la connessione.
Connessioni di VPN utente da punto a sito
È possibile connettersi alle risorse in Azure tramite una connessione IPsec/IKE (IKEv2) o OpenVPN. Questo tipo di connessione richiede la configurazione di un client VPN nel computer client. Per altre informazioni, vedere Creare una connessione da punto a sito.
Connessioni ExpressRoute
ExpressRoute consente di connettere la rete locale ad Azure tramite una connessione privata. Per creare la connessione, vedere Creare una connessione ExpressRoute tramite la rete WAN virtuale.
Crittografia del traffico ExpressRoute
Azure rete WAN virtuale offre la possibilità di crittografare il traffico ExpressRoute. La tecnica fornisce un transito crittografato tra le reti locali e le reti virtuali di Azure su ExpressRoute, senza passare attraverso la rete Internet pubblica o usare indirizzi IP pubblici. Per altre informazioni, vedere IPSec su ExpressRoute per la rete WAN virtuale.
Connessioni da hub a rete virtuale
È possibile connettere una rete virtuale di Azure a un hub virtuale. Per altre informazioni, vedere Connettere la rete virtuale a un hub.
Connettività di transito
Connettività di transito tra reti virtuali
La rete WAN virtuale consente la connettività di transito tra reti virtuali. Le reti virtuali si connettono a un hub virtuale tramite una connessione di rete virtuale. La connettività di transito tra le reti virtuali nella rete WAN virtuale Standard è abilitata a causa della presenza di un router in ogni hub virtuale. Viene creata un'istanza di questo router quando l'hub virtuale viene creato per la prima volta.
Un router hub può avere quattro stati di routing: provisioning, provisioning, non riuscito o nessuno. Lo stato del routing è indicato nella pagina Hub virtuale del portale di Azure.
- Uno stato Nessuno indica che l'hub virtuale non ha effettuato il provisioning del router. Può succedere se la rete WAN virtuale è di tipo Basic o se l'hub virtuale è stato distribuito prima che il servizio fosse reso disponibile.
- Lo stato Errore indica un errore durante la creazione dell'istanza. Per creare un'istanza del router o reimpostarlo, è possibile usare l'opzione Reimposta router nella pagina di panoramica dell'hub virtuale nel portale di Azure.
Ogni router di hub virtuale supporta una velocità effettiva aggregata fino a 50 Gbps.
Connessione ivity tra le connessioni di rete virtuale presuppone, per impostazione predefinita, un totale massimo di 2000 carichi di lavoro di macchine virtuali in tutte le reti virtuali connesse a un singolo hub virtuale. Le unità di infrastruttura hub possono essere modificate per supportare macchine virtuali aggiuntive. Per altre informazioni sulle unità di infrastruttura hub, vedere Impostazioni dell'hub.
Connettività di transito tra VPN ed ExpressRoute
La rete WAN virtuale consente la connettività di transito tra VPN ed ExpressRoute. Questo significa che i siti connessi alla VPN o gli utenti remoti possono comunicare con i siti connessi a ExpressRoute. Si presuppone inoltre implicitamente che il flag Da ramo a ramo sia abilitato e che il protocollo BGP sia supportato nelle connessioni VPN ed ExpressRoute. Questo flag si trova nelle impostazioni della rete WAN virtuale di Azure nel portale di Azure. La gestione delle route viene interamente fornita dal router dell'hub virtuale, che consente anche la connettività di transito tra le reti virtuali.
Routing personalizzato
La rete WAN virtuale migliora il routing avanzato, Possibilità di configurare tabelle di route personalizzate, ottimizzare il routing di rete virtuale con associazione e propagazione delle route, raggruppare logicamente le tabelle di route con etichette e semplificare numerosi scenari di routing di appliance virtuali di rete o servizi condivisi.
Peering reti virtuali globale
Il peering reti virtuali globale fornisce un meccanismo che consente di connettere due reti virtuali in aree diverse. Nella rete WAN virtuale le connessioni di rete virtuale connettono le reti virtuali agli hub virtuali. L'utente non deve configurare esplicitamente il peering reti virtuali globali. Per le reti virtuali connesse a un hub virtuale nella stessa area vengono addebitati i costi del peering reti virtuali. Per le reti virtuali connesse a un hub virtuale in un'area diversa vengono addebitati i costi del peering reti virtuali globale.
Tabelle di route
Le tabelle di route includono ora funzionalità per l'associazione e la propagazione. Una tabella di route preesistente è una tabella di route che non dispone di queste funzionalità. Se si dispone di route preesistenti nel routing dell'hub e si vogliono usare le nuove funzionalità, considerare le opzioni seguenti:
Standard rete WAN virtuale Clienti con route preesistenti nell'hub virtuale: se sono presenti route preesistenti nella sezione Routing per l'hub nella portale di Azure, è necessario prima eliminarle e quindi tentare di creare nuove tabelle di route (disponibili nella sezione Tabelle di route per l'hub in portale di Azure). È consigliabile eseguire il passaggio di eliminazione per tutti gli hub in una rete WAN virtuale.
Basic rete WAN virtuale Clienti con route preesistenti nell'hub virtuale: se sono presenti route preesistenti nella sezione Routing per l'hub nella portale di Azure, è necessario prima eliminarle, quindi aggiornare il rete WAN virtuale Basic a Standard rete WAN virtuale. Vedere Aggiornare una rete WAN virtuale da Basic a Standard. È consigliabile eseguire il passaggio di eliminazione per tutti gli hub in una rete WAN virtuale.
Domande frequenti
Per le domande frequenti, vedere le domande frequenti sulle rete WAN virtuale.
Anteprime e novità
- Per informazioni sulle versioni recenti, sulle anteprime in corso, sulle limitazioni di anteprima, sui problemi noti e sulle funzionalità deprecate, vedere Novità?
- Sottoscrivere il feed RSS e visualizzare gli aggiornamenti delle funzionalità di rete WAN virtuale più recenti nella pagina azure Aggiornamenti - rete WAN virtuale.