Descrivere le reti virtuali di Azure
Le subnet virtuali e le reti virtuali di Azure consentono alle risorse di Azure, come macchine virtuali, app Web e database, di comunicare tra loro, con gli utenti in Internet e con i computer client locali. È possibile paragonare una rete di Azure a un'estensione della rete locale, con risorse che collegano altre risorse di Azure.
Le reti virtuali di Azure forniscono le funzionalità di rete essenziali seguenti:
- Isolamento e segmentazione
- Comunicazioni Internet
- Comunicazione tra risorse di Azure
- Comunicazione con le risorse locali
- Indirizzare il traffico di rete
- Filtri per il traffico di rete
- Connettere reti virtuali
La rete virtuale di Azure supporta endpoint sia pubblici che privati per consentire la comunicazione tra risorse esterne o interne con altre risorse interne.
- Gli endpoint pubblici hanno un indirizzo IP pubblico e sono accessibili da qualsiasi parte del mondo.
- Gli endpoint privati si trovano in una rete virtuale e hanno un indirizzo IP privato all'interno dello spazio indirizzi di tale rete virtuale.
Isolamento e segmentazione
La rete virtuale di Azure consente di creare più reti virtuali isolate. Quando si configura una rete virtuale, si definisce uno spazio indirizzi IP privato usando intervalli di indirizzi IP pubblici o privati. L'intervallo IP esiste solo all'interno della rete virtuale e non è instradabile in Internet. È possibile dividere tale spazio indirizzi IP in subnet e allocare una parte dello spazio indirizzi definito a ogni subnet denominata.
Per la risoluzione dei nomi è possibile usare il servizio di risoluzione dei nomi integrato in Azure. È anche possibile configurare la rete virtuale per l'uso di un server DNS interno o esterno.
Comunicazioni Internet
È possibile abilitare le connessioni in ingresso da Internet assegnando un indirizzo IP pubblico a una risorsa di Azure o usando un servizio di bilanciamento del carico pubblico.
Comunicazione tra risorse di Azure
È consigliabile consentire alle risorse di Azure di comunicare tra loro in modo sicuro. È possibile ottenere questo risultato in due modi:
- Le reti virtuali possono connettere non solo le VM ma anche altre risorse di Azure, come l'ambiente del servizio app per Power Apps, il servizio Azure Kubernetes e i set di scalabilità di macchine virtuali di Azure.
- Gli endpoint di servizio consentono la connessione ad altri tipi di risorse di Azure, come account di archiviazione e database SQL di Azure. Questo approccio consente di collegare più risorse di Azure alle reti virtuali, per migliorare la sicurezza e garantire un routing ottimale tra le risorse.
Comunicazione con le risorse locali
Le reti virtuali di Azure consentono di collegare risorse nell'ambiente locale e nella sottoscrizione di Azure. È possibile creare una rete che si estende sia negli ambienti locali che nell'ambiente cloud. Per ottenere tale connettività sono disponibili tre meccanismi:
- Le connessioni di rete privata virtuale da punto a sito vengono stabilite tra un computer esterno all'organizzazione e la rete aziendale. In questo caso, il computer client avvia una connessione VPN crittografata per connettersi alla rete virtuale di Azure.
- Le reti private virtuali da sito a sito collegano il gateway o il dispositivo VPN locale al gateway VPN di Azure in una rete virtuale. I dispositivi in Azure possono di fatto risultare come se si trovassero nella rete locale. La connessione è crittografata e viene effettuata tramite Internet.
- Azure ExpressRoute fornisce connettività privata dedicata ad Azure, non basata su Internet. ExpressRoute è utile per gli ambienti che richiedono maggiore larghezza di banda e livelli di sicurezza ancora più elevati.
Indirizzare il traffico di rete
Per impostazione predefinita, Azure indirizza il traffico tra subnet su qualsiasi rete virtuale connessa, sulle reti locali e su Internet. È anche possibile controllare il routing ed eseguire l'override di queste impostazioni, come indicato di seguito:
- Una tabella di route consente di definire regole per l'indirizzamento del traffico. È possibile creare tabelle di route personalizzate che controllano il modo in cui i pacchetti vengono indirizzati tra subnet.
- Border Gateway Protocol (BGP) interagisce con i gateway VPN di Azure, Server di route Azure o Azure ExpressRoute per propagare le route BGP locali nelle reti virtuali di Azure.
Filtri per il traffico di rete
Le reti virtuali di Azure consentono di filtrare il traffico tra le subnet mediante gli approcci seguenti:
- I gruppi di sicurezza di rete sono risorse di Azure che possono contenere più regole di sicurezza in ingresso e in uscita. È possibile definire queste regole per consentire o bloccare il traffico in base a fattori come l'indirizzo IP di origine e di destinazione, la porta e il protocollo.
- Le appliance virtuali di rete sono macchine virtuali specializzate paragonabili a un'appliance di rete con protezione avanzata. Un'appliance virtuale di rete svolge una funzione di rete specifica, ad esempio l'esecuzione di un firewall o l'ottimizzazione di una rete WAN (Wide Area Network).
Connettere reti virtuali
È possibile collegare le reti virtuali tramite il peering di reti virtuali. Il peering consente a due reti virtuali di connettersi direttamente tra loro. Il traffico di rete tra reti con peering è privato e si sposta nella rete backbone Microsoft, senza entrare mai nella rete Internet pubblica. Il peering consente alle risorse in ogni rete virtuale di comunicare tra loro. Queste reti virtuali possono trovarsi in aree separate, e ciò consente la creazione di una rete interconnessa globale tramite Azure.
Le route definite dall'utente consentono di controllare le tabelle di routing tra subnet all'interno di una rete virtuale o tra reti virtuali. Ciò offre un maggiore controllo sul flusso del traffico di rete.