Una società di produzione globale ha fornito l'architettura illustrata in questo articolo. I reparti responsabili della tecnologia operativa e dell'IT della società sono strettamente integrati e necessitano quindi di una singola rete interna. Gli ambienti presentano tuttavia requisiti significativamente diversi per sicurezza e prestazioni. A causa della natura sensibile delle operazioni dell'azienda, tutto il traffico deve essere protetto da firewall da un'appliance virtuale di rete (NVA) che il cliente ospita sulle proprie macchine virtuali e deve essere in atto una soluzione IDPS (Intrusion Detection and Protection System). Il reparto IT ha requisiti di sicurezza meno rigorosi per la rete ma tale reparto vuole un'ottimizzazione per le prestazioni, in modo da offrire agli utenti un accesso a bassa latenza alle applicazioni IT.
I decision maker della società si sono affidati a Rete WAN virtuale di Azure per soddisfare le esigenze globali per una singola rete con requisiti variabili per sicurezza e prestazioni. Hanno inoltre ottenuto una soluzione facile da gestire, distribuire e dimensionare. Questo approccio consente una crescita senza problemi in caso di aggiunta di aree, grazie a una rete altamente ottimizzata per queste esigenze specifiche.
Potenziali casi d'uso
Di seguito sono riportati alcuni casi d'uso tipici per questa architettura:
- Organizzazione globale che necessita di una soluzione di file centralizzata per le attività aziendali critiche.
- Carichi di lavoro di file a prestazioni elevate che necessitano di file localizzati memorizzati nella cache.
- Forza lavoro da remoto flessibile per utenti in ufficio e fuori sede.
- Requisito di usare appliance virtuali di rete self-hosted.
Architettura
Scaricare un file Visio di questa architettura.
Di seguito è riportato un riepilogo dell'architettura:
- Gli utenti accedono alle rete virtuali da una filiale.
- Azure ExpressRoute estende le reti locali nel cloud Microsoft tramite una connessione privata con l'aiuto di un provider di connettività.
- Un hub di Rete WAN virtuale instrada il traffico in modo appropriato per la sicurezza o le prestazioni. L'hub contiene vari endpoint di servizio per abilitare la connettività.
- Le route definite dall'utente forzano il traffico verso le appliance virtuali di rete quando necessario.
- Ogni appliance virtuale di rete esamina il traffico che entra in una rete virtuale.
- Il peering di reti virtuali fornisce l'indagine da rete virtuale a rete virtuale nell'ambiente ottimizzato per le prestazioni.
La società ha più aree e continua a distribuire aree nel modello. La società distribuisce un ambiente ottimizzato per la sicurezza o per le prestazioni solo quando necessario. Gli ambienti instradano il traffico seguente tramite l'appliance virtuale di rete:
Percorsi del traffico
| Destinazioni | |||||||
|---|---|---|---|---|---|---|---|
| Rete virtuale 1 | VNet2 | Rete virtuale 3 | Rete virtuale 4 | Ramo | Internet | ||
| Origine ottimizzata per la sicurezza | Rete virtuale 1 | Tra reti virtuali | Appliance virtuale di rete 1-Rete virtuale 2 | Appliance virtuale di rete 1-Hub-Rete virtuale 3 | Appliance virtuale di rete 1-Hub-Rete virtuale 4 | Appliance virtuale di rete 1-Hub-filiale | Appliance virtuale di rete 1-Internet |
| Origine ottimizzata per le prestazioni | Rete virtuale 3 | Hub-Appliance virtuale di rete 1-Rete virtuale 1 | Hub-Appliance virtuale di rete 1-Rete virtuale 2 | Tra reti virtuali | Appliance virtuale di rete 2-Rete virtuale 4 | Hub-filiale | Appliance virtuale di rete 2-Internet |
| Origine filiale | Ramo | Hub-Appliance virtuale di rete 1-Rete virtuale 1 | Hub-Appliance virtuale di rete 1-Rete virtuale 2 | Hub-Rete virtuale 3 | Hub-Rete virtuale 4 | Non applicabile | Non applicabile |
Come illustrato nel diagramma precedente, un'architettura con appliance virtuale di rete e routing impone a tutti i percorsi di traffico nell'ambiente ottimizzato per la sicurezza di usare l'appliance virtuale di rete tra le reti virtuali e l'hub in un'architettura a livelli comune.
L'ambiente ottimizzato per le prestazioni ha uno schema di routing più personalizzato. Questo schema fornisce un firewall e l'analisi del traffico quando necessario. Non fornisce alcun firewall se non è necessario. Il traffico da rete virtuale a rete virtuale nello spazio ottimizzato per le prestazioni viene forzato attraverso l'appliance virtuale di rete 2, ma il traffico dalla filiale alla rete virtuale può attraversare direttamente l'hub. Analogamente, non è necessario che gli elementi diretti all'ambiente sicuro passino alla rete virtuale 2 dell'appliance virtuale di rete perché viene ispezionata nel perimetro dell'ambiente sicuro dall'appliance virtuale di rete nella rete virtuale 1 dell'appliance virtuale di rete. Si ottiene quindi un accesso a velocità elevata alla filiale. L'architettura fornisce comunque l'indagine da rete virtuale a rete virtuale nell'ambiente ottimizzato per le prestazioni. Ciò non è necessario per tutti i clienti ma è possibile ottenere questo risultato tramite i peering visibili nell'architettura.
Associazioni e propagazioni dell'hub di Rete WAN virtuale
Configurare route per l'hub di Rete WAN virtuale come indicato di seguito:
| Nome | Associato a | Propagazione a |
|---|---|---|
| Rete virtuale 1 dell'appliance virtuale di rete | defaultRouteTable | defaultRouteTable |
| Rete virtuale 2 dell'appliance virtuale di rete | PerfOptimizedRouteTable | defaultRouteTable |
| Rete virtuale 3 | PerfOptimizedRouteTable | defaultRouteTable |
| Rete virtuale 4 | PerfOptimizedRouteTable | defaultRouteTable |
Requisiti di routing
Una route personalizzata nella tabella di route predefinita nell'hub di Rete WAN virtuale per instradare tutto il traffico per la rete virtuale 1 e la rete virtuale 2 a secOptConnection.
Nome route Tipo destinazione Prefisso di destinazione Hop successivo Indirizzo IP hop successivo Route ottimizzata per la sicurezza CIDR 10.1.0.0/16 secOptConnection <Indirizzo IP della rete virtuale 1> Una route statica in secOptConnection che inoltra il traffico per la rete virtuale 1 e la rete virtuale 2 all'indirizzo IP dell'appliance virtuale di rete 1.
Nome Prefisso indirizzo Tipo hop successivo Indirizzo IP hop successivo rt-to-secOptimized 10.1.0.0/16 Appliance virtuale <Indirizzo IP della rete virtuale 1> Una tabella di route personalizzata nell'hub di Rete WAN virtuale denominata perfOptimizedRouteTable. Questa tabella viene usata per assicurare che le reti virtuali ottimizzate per le prestazioni non possano comunicare tra loro sull'hub e che sia necessario usare il peering alla rete virtuale 2 dell'appliance virtuale di rete.
Una route definita dall'utente associata a tutte le subnet nella rete virtuale 1 e nella rete virtuale 2 per instradare tutto il traffico all'appliance virtuale di rete 1.
Nome Prefisso indirizzo Tipo hop successivo Indirizzo IP hop successivo rt-all 0.0.0.0/0 Appliance virtuale <Indirizzo IP della rete virtuale 1> Una route definita dall'utente associata a tutte le subnet nella rete virtuale 3 e nella rete virtuale 4 per instradare il traffico da rete virtuale a rete virtuale e il traffico Internet all'appliance virtuale di rete.
Nome Prefisso indirizzo Tipo hop successivo Indirizzo IP hop successivo rt-to-internet 0.0.0.0/0 Appliance virtuale <IP dell'indirizzo dell'appliance virtuale di rete 2> vnet-to-vnet 10.2.0.0/16 Appliance virtuale <Indirizzo IP della rete virtuale 2>
Nota
È possibile sostituire gli indirizzi IP dell'appliance virtuale di rete con indirizzi IP del servizio di bilanciamento del carico nel routing se si sta distribuendo un'architettura a disponibilità elevata con più appliance virtuali di rete dietro il servizio di bilanciamento del carico.
Componenti
- Rete WAN virtuale di Azure. Rete WAN virtuale è un servizio che raggruppa numerose funzionalità di rete, sicurezza e routing per offrire una singola interfaccia operativa. In questo caso semplifica e dimensiona il routing alle reti virtuali e alle filiali collegate.
- Azure ExpressRoute. ExpressRoute estende le reti locali sul cloud Microsoft tramite una connessione privata.
- Rete virtuale di Azure. Una rete virtuale è il blocco costitutivo fondamentale per una rete privata in Azure. Rete virtuale consente a diversi tipi di risorse di Azure, ad esempio macchine virtuali di Azure, di comunicare in modo più sicuro reciprocamente, con Internet e con le reti locali.
- Hub della rete WAN virtuale. Un hub virtuale è una rete virtuale gestita da Microsoft. L'hub contiene vari endpoint di servizio per abilitare la connettività.
- Connessioni di rete virtuale e hub. La risorsa di connessione di rete virtuale e hub connette senza problemi l'hub alle reti virtuali.
- Route statiche. Le route statiche offrono un meccanismo per indirizzare il traffico attraverso un IP hop successivo.
- Tabella di route dell'hub. è possibile creare una route dell'hub virtuale e applicare la route alla tabella della route dell'hub virtuale.
- Peering di reti virtuali. L'uso del peering di reti virtuali consente di connettere senza problemi due o più reti virtuali in Azure.
- Route definite dall'utente. Le route definite dall'utente sono route statiche che eseguono l'override delle route di sistema predefinite di Azure o aggiungono altre route a una tabella di route della subnet. Vengono usate qui per forzare il traffico verso le appliance virtuali di rete quando necessario.
- Appliance virtuali di rete. Le appliance virtuali di rete sono appliance virtuali di rete offerte dal marketplace. In questo caso la società ha distribuito l'appliance virtuale di rete di Palo Alto, ma è possibile usare qualsiasi firewall di appliance virtuale di rete.
Alternative
Se le appliance virtuali di rete self-hosting non sono un requisito, esiste una soluzione più semplice in cui l'appliance virtuale di rete è ospitata in un hub protetto della rete VWAN di Azure e l'ispezione interna del traffico viene modificata per ogni connessione di rete virtuale. Tuttavia, questa soluzione non consente di distinguere tra il traffico da vnet a vnet e da vnet a cross-premise.
Per distribuire un ambiente di appliance virtuale di rete a sicurezza elevata, è possibile seguire questo modello: Instradare il traffico tramite un'appliance virtuale di rete.
Per distribuire un modello di appliance virtuale di rete personalizzato che supporta il routing del traffico verso un firewall dedicato per Internet e il route del traffico delle filiali su un'appliance virtuale di rete, vedere Instradare il traffico tramite appliance virtuali di rete mediante impostazioni personalizzate.
L'alternativa precedente distribuisce un ambiente a sicurezza elevata dietro un'appliance virtuale di rete e offre alcune funzionalità per distribuire un ambiente personalizzato. Presenta tuttavia due differenze rispetto al caso d'uso illustrato in questo articolo. Mostra prima di tutto i due modelli in isolamento invece che in combinazione. Non supporta in secondo luogo il traffico da rete virtuale a rete virtuale nell'ambiente personalizzato, ovvero quello che qui è definito un ambiente ottimizzato per le prestazioni.
Considerazioni
In questa distribuzione le route che attraversano l'hub di Rete WAN virtuale verso un ambiente ottimizzato per le prestazioni non attraversano l'appliance virtuale di rete in tale ambiente. Ciò costituisce un potenziale problema per il traffico tra aree, illustrato di seguito:
Il traffico tra le aree tra ambienti ottimizzati per le prestazioni non attraversa l'appliance virtuale di rete. Si tratta di una limitazione del routing diretto del traffico dell'hub alle reti virtuali.
Disponibilità
Rete WAN virtuale è un servizio di rete a disponibilità elevata. È possibile configurare più connettività o percorsi dalla filiale per ottenere più percorsi verso il servizio Rete WAN virtuale. Non sono tuttavia necessari elementi aggiuntivi nel servizio Rete WAN virtuale.
È consigliabile configurare appliance virtuali di rete in un'architettura a disponibilità elevata analoga a quella illustrata qui: Distribuire appliance virtuali di rete a disponibilità elevata.
Prestazioni
Questa soluzione ottimizza le prestazioni della rete, se necessario. È possibile modificare il routing in base ai requisiti specifici, in modo da consentire al traffico verso la filiale di attraversare l'appliance virtuale di rete e al traffico tra le reti virtuali di muoversi liberamente o di usare un singolo firewall per l'uscita da Internet.
Scalabilità
Questa architettura è scalabile tra le aree. Tenere in considerazione i requisiti quando si configurano le etichette di routing per il raggruppamento di route e l'inoltro del traffico delle filiali tra gli hub virtuali.
Sicurezza
Grazie alle appliance virtuali di rete, è possibile usare funzionalità quali IDPS con Rete WAN virtuale.
Resilienza
Per informazioni sulla resilienza, vedere Disponibilità in precedenza in questo articolo.
Ottimizzazione dei costi
I prezzi per questa architettura dipendono in gran parte dalle appliance virtuali di rete distribuite. Per una connessione di ExpressRoute da 2 Gbps e un hub di Rete WAN virtuale che elabora 10 TB al mese, vedere questa stima dei prezzi.
Collaboratori
Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.
Autore principale:
- John Poetzinger | Senior Cloud Solution Architect
Passaggi successivi
- Che cos'è la rete WAN virtuale di Azure?
- Che cos'è Azure ExpressRoute?
- Come configurare il routing dell'hub virtuale - Rete WAN virtuale di Azure
- Firewall e gateway applicazione per le reti virtuali
- Rete WAN virtuale e supporto del lavoro da remoto