Che cos'è la rete WAN virtuale di Azure?

  • 8 minuti

La rete WAN virtuale di Azure è un framework unificato per la rete, la sicurezza e il routing.

Si sta studiando il modo in cui Contoso potrebbe eseguire la migrazione da una tipica rete hub-spoke. La rete WAN virtuale di Azure e gli hub della rete WAN virtuale, usati tra le aree di Azure, sembrano essere una soluzione promettente.

È possibile connettere gli hub della rete WAN virtuale alle succursali, alle reti virtuali e agli utenti remoti. Gli hub offrono scalabilità e prestazioni migliorate rispetto alla rete Contoso attuale.

Che cos'è una topologia hub-spoke?

Questa topologia di rete, definita come topologia a stella o hub-spoke, viene spesso usata come servizio WAN da sito a sito classico.

Contoso sta considerando l'uso di Azure per estendere geograficamente la propria WAN. La rete di Azure si estende in tutto il mondo con molti data center interconnessi tramite la rete backbone globale ad alta velocità di Azure.

Inizialmente, quando i servizi vengono spostati in Azure, viene creata una rete virtuale che si connette alle macchine virtuali. Un Gateway VPN di Azure è connesso alle reti locali.

Quando si crea una rete WAN virtuale tramite il portale di Azure, un hub virtuale, una rete virtuale e i gateway (facoltativi) vengono creati come componenti.

L'hub virtuale funziona come punto focale per la connettività a una rete locale e ad altre reti virtuali. Gli spoke sono reti virtuali che eseguono il peering con l'hub.

Il peering di reti virtuali a livello di area e globale è supportato. Il peering di reti virtuali è l'interconnessione tra le reti virtuali. Per facilitare la connettività, le reti virtuali vengono visualizzate come una sola. Le reti hub-spoke sono connesse tramite gateway VPN o ExpressRoute.

Questo peering consente la connessione di molti percorsi. Man mano che vengono aggiunti altri percorsi e altre WAN, aumenta la complessità della rete. Tenere traccia di tutte le connessioni di rete, degli hub virtuali gestiti dal cliente e dei processi di peering può diventare difficile.

La rete WAN virtuale di Azure risolve questo problema offrendo una sola interfaccia per la gestione di tutti questi punti. Vengono aggiunti anche gli hub della rete WAN virtuale definiti dagli utenti e con prestazioni elevate.

Rete WAN virtuale di Azure

La rete WAN virtuale di Azure è un'architettura hub-spoke. Si tratta di un servizio di rete basato su Azure e gestito da Microsoft.

Microsoft ospita e gestisce tutti i componenti che costituiscono il servizio. È facile da distribuire e usare e offre i servizi seguenti:

  • Consente la connettività Any-To-Any ai carichi di lavoro distribuiti a livello globale nelle reti virtuali
  • Connessione:
    • Gli utenti che lavorano da casa e che usano i dispositivi mobili tramite la VPN da punto a sito
    • Le succursali con la VPN da sito a sito
    • I principali campus e data center tramite ExpressRoute per le connessioni private

Gli hub della rete WAN virtuale abilitati nelle aree di Azure funzionano come hub di rete. Questi hub sono connessi con un'integrazione mesh completa. L'integrazione supporta l'accesso con connettività Any-To-Any ai carichi di lavoro distribuiti a livello globale.

Per iniziare a usare una rete WAN virtuale:

  • Creare una sola rete WAN virtuale in un'area di Azure che attualmente supporta molti spoke.
  • Connettere gli spoke dell'area all'hub, quindi connettere le altre aree all'hub. Gli hub diventano i punti di connessione per la connettività a livello di area.

Hub della rete WAN virtuale di Azure

L'hub dell'hardware classico consente a tutti i dispositivi di rete a esso collegati di comunicare direttamente tra loro. Un hub della rete WAN virtuale è un hub definito da software sofisticato.

È possibile distribuire un hub di rete WAN virtuale di Azure in qualsiasi area di Azure. Ogni hub può essere connesso per usare i servizi di connessione di Azure standard.

Ad esempio, una succursale in un'area di Azure nel Regno Unito può connettersi a un'area negli Stati Uniti. La connessione avviene tramite la connettività da hub a hub attraverso la rete globale di Azure.

In una sola rete WAN virtuale che si estende su più aree con più hub distribuiti, gli hub si interconnettono automaticamente tramite collegamenti da hub a hub. Queste interconnessioni consentono la connettività globale per le succursali e le reti virtuali.

L'immagine seguente illustra una distribuzione della rete WAN virtuale di Azure con due hub virtuali in aree di Azure diverse e il flusso del traffico di rete.

Diagram showing how Azure Virtual WAN provides any-to-any connectivity, custom routing, and security.

Hub virtuale protetto

Per convertire l'hub virtuale in un hub virtuale sicuro, usare Gestione firewall di Azure.

Le regole del firewall, create da Gestione firewall, consentono la creazione di criteri di sicurezza e routing per il traffico di rete. È possibile filtrare il flusso di dati di Internet, gli indirizzi IP privati o i servizi della piattaforma Azure.

Nota

Le route definite dall'utente non sono necessarie per instradare il traffico attraverso il firewall.

L'hub virtuale sicuro supporta il provisioning di due provider di sicurezza:

  • Firewall di Azure per il traffico privato
  • Provider di sicurezza di terze parti integrati con Gestione firewall

Gli hub virtuali o gli hub virtuali sicuri sono i punti di connessione a livello di area di una rete WAN virtuale. Questi hub supportano più endpoint di servizio. Gli endpoint consentono la connettività tra reti e servizi. Sono il nucleo della rete per ogni area.