Esaminare le comunicazioni sicure usando reti virtuali

Completato

La Rete virtuale di Azure è un servizio che fornisce l'elemento costitutivo fondamentale per la tua rete privata in Azure. Un'istanza del servizio (una rete virtuale) consente a molti tipi di risorse di Azure di comunicare in modo sicuro tra loro, Internet e reti locali. Queste risorse di Azure includono macchine virtuali (VM).

Una rete virtuale è simile a una rete tradizionale che si potrebbe usare nel proprio data center. Ma offre vantaggi aggiuntivi dell'infrastruttura di Azure, ad esempio scalabilità, disponibilità e isolamento.

Gli scenari principali che è possibile eseguire con una rete virtuale includono:

• Comunicazione delle risorse di Azure con Internet.
• Comunicazione tra le risorse di Azure.
• Comunicazione con le risorse locali.
• Filtro del traffico di rete.
• Routing del traffico di rete.
• Integrazione con i servizi di Azure.

Comunicare con Internet

Per impostazione predefinita, tutte le risorse in una rete virtuale possono comunicare in uscita con Internet. È anche possibile usare un indirizzo IP pubblico, un gateway NAT o un servizio di bilanciamento del carico pubblico per gestire le connessioni in uscita. È possibile comunicare in ingresso con una risorsa assegnando un indirizzo IP pubblico o un servizio di bilanciamento del carico pubblico.

Quando si usa solo un servizio di bilanciamento del carico standard interno, la connettività in uscita non è disponibile fino a quando non si definisce il modo in cui si vuole che le connessioni in uscita funzionino con un indirizzo IP pubblico a livello di istanza o con un servizio di bilanciamento del carico pubblico.

Comunicare tra le risorse di Azure

Le risorse di Azure comunicano in modo sicuro tra loro in uno dei modi seguenti:

• Rete virtuale: è possibile distribuire macchine virtuali e altri tipi di risorse di Azure in una rete virtuale. Esempi di risorse includono ambienti del servizio app, servizio Azure Kubernetes e set di scalabilità di macchine virtuali di Azure.

• Endpoint di rete virtuale: puoi estendere lo spazio degli indirizzi privati della tua rete virtuale e l'identità della tua rete virtuale alle risorse del servizio di Azure tramite una connessione diretta. Tra gli esempi di risorse sono inclusi gli account di archiviazione di Azure e il database SQL di Azure. Gli endpoint di servizio consentono di proteggere le risorse critiche del servizio di Azure solo in una rete virtuale.

• Peering di rete virtuale: è possibile connettere le reti virtuali tra loro usando il peering virtuale. Le risorse in entrambe le reti virtuali possono quindi comunicare tra loro. Le reti virtuali connesse possono trovarsi nelle stesse aree di Azure o diverse.

Comunicare con le risorse locali

È possibile connettere computer e reti locali a una rete virtuale usando una delle opzioni seguenti:

• Rete privata virtuale da punto a sito (VPN): stabilita tra una rete virtuale e un singolo computer nella rete. Ogni computer che vuole stabilire la connettività con una rete virtuale deve configurare la connessione. Questo tipo di connessione è utile se si sta appena iniziando a usare Azure o per gli sviluppatori, perché richiede poche o nessuna modifica a una rete esistente. La comunicazione tra il computer e una rete virtuale viene inviata tramite un tunnel crittografato su Internet.

• VPN da sito a sito: stabilita tra il dispositivo VPN locale e un gateway VPN di Azure distribuito in una rete virtuale. Questo tipo di connessione consente a qualsiasi risorsa locale autorizzata ad accedere a una rete virtuale. La comunicazione tra il dispositivo VPN locale e un gateway VPN di Azure viene inviata tramite un tunnel crittografato su Internet.

• Azure ExpressRoute: stabilito tra la rete e Azure tramite un partner ExpressRoute. Questa connessione è privata. Il traffico non passa da Internet.

Filtrare il traffico di rete

È possibile filtrare il traffico di rete tra subnet usando una o entrambe le opzioni seguenti:

• Gruppi di sicurezza di rete: i gruppi di sicurezza di rete e i gruppi di sicurezza delle applicazioni possono contenere più regole di sicurezza in ingresso e in uscita. Queste regole consentono di filtrare il traffico da e verso le risorse in base all'indirizzo IP di origine e di destinazione, alla porta e al protocollo.

• Appliance virtuali di rete: un'appliance virtuale di rete è una macchina virtuale che esegue una funzione di rete, ad esempio un firewall o un'ottimizzazione WAN. Per visualizzare un elenco di appliance virtuali di rete disponibili che è possibile distribuire in una rete virtuale, passare ad Azure Marketplace.

Instradare il traffico di rete

Azure instrada il traffico tra subnet, reti virtuali connesse, reti locali e Internet, per impostazione predefinita. È possibile implementare una o entrambe le opzioni seguenti per eseguire l'override delle route predefinite create da Azure:

• Tabelle di route: è possibile creare tabelle di route personalizzate che controllano dove viene instradato il traffico per ogni subnet.

• Route BGP (Border Gateway Protocol): se si connette la rete virtuale alla rete locale usando un gateway VPN di Azure o una connessione ExpressRoute, è possibile propagare le route BGP locali alle reti virtuali.

Integrazione con i servizi di Azure

L'integrazione dei servizi di Azure con una rete virtuale di Azure consente l'accesso privato al servizio da macchine virtuali o risorse di calcolo nella rete virtuale. Per questa integrazione è possibile usare le opzioni seguenti:

• Distribuire istanze dedicate del servizio in una rete virtuale. I servizi possono quindi essere accessibili privatamente all'interno della rete virtuale e dalle reti locali.

• Usare collegamento privato di Azure per accedere privatamente a un'istanza specifica del servizio dalla rete virtuale e dalle reti locali.

• Accedere al servizio tramite endpoint pubblici estendendo una rete virtuale al servizio tramite endpoint di servizio. Gli endpoint di servizio consentono di proteggere le risorse del servizio nella rete virtuale.

Connettersi privatamente a un registro contenitori di Azure usando il collegamento privato di Azure

È possibile limitare l'accesso a un registro assegnando indirizzi IP privati della rete virtuale agli endpoint del Registro di sistema e usando collegamento privato di Azure. Il traffico di rete tra i client nella rete virtuale e gli endpoint privati del Registro di sistema attraversa la rete virtuale e un collegamento privato nella rete backbone Microsoft, eliminando l'esposizione dalla rete Internet pubblica. Il collegamento privato abilita anche l'accesso al Registro di sistema privato dall'ambiente locale tramite Azure ExpressRoute, il peering privato o un gateway VPN.

È possibile configurare le impostazioni DNS per gli endpoint privati del Registro di sistema, in modo che le impostazioni si risolvono nell'indirizzo IP privato allocato del Registro di sistema. Con la configurazione DNS, i client e i servizi all'interno della rete possono continuare ad accedere al registro con il nome di dominio completo di questo, ad esempio myregistry.azurecr.io.

Annotazioni

La configurazione dell'endpoint privato è disponibile nel livello di servizio registro contenitori Premium .

Configurare l'endpoint privato

1. Nel portale passare al registro contenitori.

2. In Impostazioni selezionare Rete.

3. Nella scheda Accesso privato selezionare + Crea connessione endpoint privato.

   

4. Nella scheda Informazioni di base della pagina Crea un endpoint privato immettere o selezionare le informazioni seguenti:

   • Sottoscrizione: selezionare la sottoscrizione.
   • Gruppo di risorse: immettere il nome di un gruppo esistente o crearne uno nuovo.
   • Nome: immettere un nome.
   • Area geografica: selezionare un'area geografica.

5. Selezionare Avanti: Risorsa.

6. Nella scheda Risorsa della pagina Crea un endpoint privato immettere o selezionare le informazioni seguenti:

   • Metodo di connessione: per questo esempio selezionare Connetti a una risorsa di Azure nella directory.
   • Sottoscrizione: selezionare la sottoscrizione.
   • Tipo di risorsa: selezionare Microsoft.ContainerRegistry/registries.
   • Risorsa: selezionare il nome del Registro di sistema.
   • Sottorisorsa di destinazione: selezionare il Registro di sistema.

7. Selezionare Avanti: Configurazione.

8. Nella scheda Configurazione della pagina Crea un endpoint privato immettere o selezionare le informazioni:

   • Rete virtuale: selezionare la rete virtuale per l'endpoint privato.
   • Subnet: selezionare la subnet per l'endpoint privato.
   • Integrazione con la zona DNS privata: selezionare Sì.
   • Zona DNS privato: selezionare (nuovo) privatelink.azurecr.io