Questo articolo descrive come eseguire la transizione di una topologia di rete hub-spoke IPv4 a IPv6. Presenta la topologia di rete hub-spoke come punto di partenza e descrive i passaggi che è possibile eseguire per implementare il supporto IPv6.
In una rete hub-and-spoke, la rete virtuale hub è un punto centrale di connettività per le reti virtuali spoke. Le reti virtuali spoke si connettono all'hub e possono fornire l'isolamento per le risorse dell'applicazione. Per ulteriori informazioni, vedere Transizione a IPv6.
Architettura
Scaricare un file di Visio di questa architettura.
Workflow
Rete Internet pubblica e cross-premise: gli utenti o i servizi possono accedere alle risorse di Azure tramite La rete Internet pubblica. La rete cross-premise include macchine virtuali locali che si connettono in modo sicuro alla rete di Azure tramite un gateway VPN.
Azure Rete virtuale Manager: questo componente è il livello di gestione che supervisiona l'intera infrastruttura di rete in Azure. Gestisce il routing, i criteri e l'integrità complessiva della rete virtuale.
Rete virtuale hub: l'hub è il punto centrale della topologia di rete. La configurazione di rete supporta sia IPv4 che IPv6 (dual stack).
- Azure Bastion fornisce una connettività Remote Desktop Protocol/Secure Shell (RDP/SSH) sicura e fluida dal portale di Azure alle macchine virtuali direttamente tramite Transport Layer Security (TLS).
- Firewall di Azure controlla e filtra il traffico tra l'hub e la rete Internet pubblica.
- ExpressRoute connette la rete cross-premise all'hub.
- Gateway VPN connette anche la rete cross-premise all'hub e fornisce ridondanza.
- I servizi nella rete virtuale hub inviano log e metriche (diagnostica) a Monitoraggio di Azure per il monitoraggio.
Reti virtuali spoke: all'hub sono connessi quattro spoke. Ogni spoke è una rete dual stack, che supporta sia IPv4 che IPv6.
- Le route definite dall'utente IPv6 definiscono route personalizzate per il traffico IPv6 dallo spoke.
- Le reti virtuali spoke sono connesse tramite connessioni di peering o gruppi connessi. Le connessioni peering e i gruppi connessi sono connessioni non transitive e a bassa latenza tra reti virtuali. Le reti virtuali con peering o connesse possono scambiare traffico tramite il backbone di Azure.
- Tutto il traffico in uscita dalle reti virtuali spoke passa attraverso l'hub, usando una configurazione in Firewall di Azure chiamata tunneling forzato.
- All'interno di ogni spoke sono presenti tre subnet designate come subnet di risorse, ognuna delle quali ospita una macchina virtuale.
- Ogni macchina virtuale si connette a un servizio di bilanciamento del carico interno configurato per supportare gli intervalli di indirizzi IPv4 e IPv6. Il servizio di bilanciamento del carico distribuisce il traffico di rete in ingresso tra le macchine virtuali.
Componenti
- Rete virtuale di Azure rappresenta il blocco costitutivo delle reti private in Azure. La rete virtuale consente a numerose risorse di Azure, come le macchine virtuali di Azure, di comunicare in modo sicuro tra loro, con le reti tra sedi diverse e con Internet.
- Per la comunicazione tra macchine virtuali è necessaria un'interfaccia di rete virtuale. È possibile configurare macchine virtuali e altre risorse per avere più interfacce di rete, che consentono di creare configurazioni dual stack (IPv4 e IPv6).
- Un indirizzo IP pubblico viene usato per la connettività IPv4 e IPv6 in ingresso alle risorse di Azure.
- Rete virtuale Manager viene usato per creare e gestire gruppi di rete e le relative connessioni.
- Firewall di Azure è un servizio di sicurezza di rete basato sul cloud. Protegge le risorse della rete virtuale di Azure. Un'istanza del firewall gestita Firewall di Azure si trova nella propria subnet.
- È possibile usare Azure Gateway VPN o Azure ExpressRoute per creare un gateway di rete virtuale per connettere una rete virtuale a un dispositivo VPN (Virtual Private Network) o a un circuito ExpressRoute. Il gateway fornisce connettività di rete cross-premise.
- Azure Load Balancer viene usato per abilitare più computer con lo stesso scopo di condividere il traffico. In questa architettura, i servizi di bilanciamento del carico distribuiscono il traffico tra più subnet che supportano IPv6.
- Una tabella di route in Azure è un set di route definite dall'utente che forniscono definizioni di percorso personalizzate per il traffico di rete.
- Azure Macchine virtuali è una soluzione di elaborazione IaaS (Infrastructure as a Service) che supporta IPv6.
- Azure Bastion è un'offerta PaaS (Platform as a Service) completamente gestita che Microsoft fornisce e gestisce. Fornisce un protocollo desktop remoto sicuro e facile e l'accesso SSH alle macchine virtuali senza esposizione di indirizzi IP pubblici.
- Il monitoraggio è una soluzione di monitoraggio completa per la raccolta, l'analisi e la risposta ai dati di monitoraggio provenienti da ambienti cloud e on-premise. Si può usare Monitoraggio per consentire di aumentare la disponibilità e le prestazioni di applicazioni e servizi.
Eseguire la transizione di una rete virtuale hub a IPv6
Per eseguire la transizione di una rete virtuale hub per supportare IPv6, è necessario aggiornare l'infrastruttura di rete in modo da supportare gli intervalli di indirizzi IPv6, in modo che la parte centrale e di controllo della rete possa gestire il traffico IPv6. Questo approccio garantisce che l'hub centrale possa instradare e gestire in modo efficiente il traffico tra vari segmenti di rete (spoke) usando IPv6. Per implementare IPv6 nella rete virtuale hub, seguire questa procedura:
Aggiungere lo spazio degli indirizzi IPv6 alla rete virtuale dell'hub e alle subnet dell'hub
È necessario aggiungere prima gli intervalli di indirizzi IPv6 alla rete virtuale hub e quindi alle relative subnet. Usare il blocco di indirizzi /56 per la rete virtuale e il blocco di indirizzi /64 per ogni subnet. La tabella seguente mostra un esempio di configurazione.
Intervallo di indirizzi della rete virtuale dell'hub | Intervallo di indirizzi subnet dell'hub |
---|---|
Rete virtuale hub: 2001:db8:1234:0000::/56 |
Subnet di Azure Bastion: 2001:db8:1234:0000::/64 Subnet di Firewall di Azure: 2001:db8:1234:0001::/64 Sottorete del gateway VPN: 2001:db8:1234:0002::/64 Subnet ExpressRoute: 2001:db8:1234:0003::/64 |
Questi indirizzi IPv6 sono esempi. È consigliabile sostituire 2001:db8:1234::
con il blocco di indirizzi IPv6 dell'organizzazione. Pianificare e documentare attentamente le allocazioni di indirizzi IPv6 per evitare sovrapposizioni e garantire un uso efficiente dello spazio indirizzi. Per aggiungere lo spazio indirizzi IPv6 alla rete virtuale hub, è possibile usare il portale di Azure, PowerShell ol'interfaccia della riga di comando di Azure.
Configurare route definite dall'utente (UDR) per ogni subnet dell'hub
Le route definite dall'utente sono route configurate manualmente per eseguire l'override delle route di sistema predefinite di Azure. In Azure, le route definite dall'utente sono essenziali per controllare il flusso del traffico di rete in una rete virtuale. È possibile usare le route definite dall'utente per indirizzare il traffico da una subnet a appliance, gateway o destinazioni specifiche all'interno di Azure o alle reti locali. Quando si aggiunge il supporto IPv6 alla rete virtuale hub, è necessario:
- Aggiungere route IPv6. Se è presente una tabella di route stabilita, aggiungere nuove route che specificano i prefissi degli indirizzi IPv6.
- Modificare le route esistenti. Se sono già presenti route per IPv4, potrebbe essere necessario modificarle per assicurarsi che si applichino anche al traffico IPv6 o creare route IPv6 separate specifiche.
- Associare la tabella di route a subnet Dopo aver definito le route, associare la tabella di route alle subnet pertinenti all'interno della rete virtuale. Questa associazione determina quali subnet usano le route definite.
Non è necessario aggiungere una route per ogni risorsa, ma è necessaria una route per ogni subnet. Ogni subnet può avere più risorse e tutte seguono le regole definite nella tabella di route associata alla subnet. Per altre informazioni, vedere User-defined routes overview (Panoramica delle route definite dall'utente).
Per l'architettura di esempio, la rete virtuale hub ha quattro subnet: Azure Bastion, Firewall di Azure, Gateway VPN ed ExpressRoute. La tabella seguente mostra esempi di route definite dall'utente per ogni subnet.
Subnet hub | Descrizione | Intervallo di indirizzi IPv6 | Nome route | Destinazione | Hop successivo |
---|---|---|---|---|---|
Azure Bastion | Indirizzare al firewall | 2001:db8:1234:0000::/64 |
Route Internet | ::/0 |
2001:db8:1234:0001::/64 (Firewall di Azure) |
Firewall di Azure | Route predefinita | 2001:db8:1234:0001::/64 |
Route Internet | ::/0 |
Gateway Internet |
Gateway VPN | Route locale | 2001:db8:1234:0002::/64 |
Route locale | 2001:db8:abcd::/56 |
Gateway VPN |
ExpressRoute | Route locale | 2001:db8:1234:0003::/64 |
Route locale | 2001:db8:efgh::/56 |
ExpressRoute |
Quando si configurano le route definite dall'utente, è necessario allinearle ai criteri di rete dell'organizzazione e all'architettura della distribuzione di Azure.
Modificare il circuito ExpressRoute (se applicabile)
Per fornire al circuito ExpressRoute il supporto IPv6, è necessario:
- Abilitare il peering privato IPv6. Abilitare il peering privato IPv6 per il circuito ExpressRoute. Questa configurazione abilita il traffico IPv6 tra la rete locale e la rete virtuale hub.
- Allocare lo spazio indirizzi IPv6. Specificare le subnet IPv6 per i collegamenti ExpressRoute primario e secondario.
- Aggiornare le tabelle di routing: Assicurarsi di indirizzare il traffico IPv6 in modo appropriato attraverso il circuito ExpressRoute.
Queste configurazioni estendono la connettività IPv6 ai servizi di Azure tramite un circuito ExpressRoute, in modo da poter instradare simultaneamente funzionalità dual stack. Per modificare ExpressRoute, è possibile usare il portale di Azure, PowerShell ol'interfaccia della riga di comando di Azure.
Eseguire la transizione delle reti virtuali spoke a IPv6
Le reti virtuali spoke sono connesse all'hub centrale. Quando si forniscono le reti virtuali spoke con supporto IPv6, ogni rete spoke può comunicare tramite il protocollo IPv6 più avanzato ed estende l'uniformità tra la rete. Per fornire alle reti virtuali spoke il supporto IPv6, seguire questa procedura:
Aggiungere lo spazio indirizzi IPv6 alle reti virtuali spoke e alle subnet spoke
Analogamente alla rete virtuale hub, è necessario aggiungere intervalli di indirizzi IPv6 a ogni rete virtuale spoke e quindi alle relative subnet. Usare il blocco di indirizzi /56 per le reti virtuali e il blocco di indirizzi /64 per ogni subnet. La tabella seguente fornisce un esempio di intervalli di indirizzi IPv6 per le reti virtuali spoke e le relative subnet.
Intervallo di indirizzi di rete virtuale spoke | Intervallo di indirizzi di sottorete Spoke |
---|---|
Rete virtuale spoke 1: 2001:db8:1234:0100::/56 |
Subnet 1: 2001:db8:1234:0100::/64 Subnet 2: 2001:db8:1234:0101::/64 Subnet 3: 2001:db8:1234:0102::/64 |
Rete virtuale spoke 2: 2001:db8:1234:0200::/56 |
Subnet 1: 2001:db8:1234:0200::/64 Subnet 2: 2001:db8:1234:0201::/64 Subnet 3: 2001:db8:1234:0202::/64 |
Rete virtuale spoke 3: 2001:db8:1234:0300::/56 |
Subnet 1: 2001:db8:1234:0300::/64 Subnet 2: 2001:db8:1234:0301::/64 Subnet 3: 2001:db8:1234:0302::/64 |
Rete virtuale spoke 4: 2001:db8:1234:0400::/56 |
Subnet 1: 2001:db8:1234:0400::/64 Subnet 2: 2001:db8:1234:0401::/64 Subnet 3: 2001:db8:1234:0402::/64 |
Per la configurazione, modificare gli indirizzi IPv6 in base alle esigenze e all'allocazione dell'organizzazione.
Modificare le risorse della rete virtuale spoke
Ogni rete virtuale spoke contiene più macchine virtuali e un servizio di bilanciamento del carico interno. Il servizio di bilanciamento del carico interno consente di instradare il traffico IPv4 e IPv6 alle macchine virtuali. È necessario modificare le macchine virtuali e i servizi di bilanciamento del carico interni in modo che supportino IPv6.
Per ogni macchina virtuale, è necessario creare un'interfaccia di rete IPv6 e associarla alla macchina virtuale per aggiungere il supporto IPv6. Per altre informazioni, vedere Aggiungere una configurazione IPv6 a una macchina virtuale.
Se non è presente un servizio di bilanciamento del carico interno in ogni rete virtuale spoke, è necessario creare un servizio di bilanciamento del carico interno a doppio stack. Per altre informazioni, vedere Creare un sistema di bilanciamento del carico interno dual-stack. Se è presente un servizio di bilanciamento del carico interno, è possibile usare PowerShell o l'interfaccia della riga di comando di Azure per aggiungere il supporto IPv6.
Configurare route definite dall'utente (UDR) per ogni subnet spoke
Per configurare le route definite dall'utente, le reti virtuali spoke usano la stessa configurazione delle reti virtuali hub Quando si aggiunge il supporto IPv6 a una rete virtuale spoke, è necessario:
Aggiungere route IPv6. Se è presente una tabella di route stabilita, aggiungere nuove route che specificano i prefissi degli indirizzi IPv6.
Modificare le route esistenti. Se sono già presenti route per IPv4, potrebbe essere necessario modificarle per assicurarsi che si applichino anche al traffico IPv6 o creare route IPv6 separate specifiche.
Associare la tabella di route a subnet Dopo aver definito le route, associare la tabella di route alle subnet pertinenti all'interno della rete virtuale. Questa associazione determina quali subnet usano le route definite.
La tabella seguente mostra esempi di route definite dall'utente per ogni subnet in una rete virtuale spoke.
Subnet spoke | Descrizione | Intervallo di indirizzi IPv6 | Nome route | Destinazione | Hop successivo |
---|---|---|---|---|---|
Subnet 1 | Indirizzare al firewall | 2001:db8:1234:0100::/64 |
Route Internet | ::/0 |
2001:db8:1234:0001::/64 (Firewall di Azure) |
Subnet 2 | Route to VPN Gateway | 2001:db8:1234:0101::/64 |
Route dell'VPN | 2001:db8:abcd::/64 |
2001:db8:1234:0002::/64 (VPN Gateway) |
Subnet 3 | Indirizzare a ExpressRoute | 2001:db8:1234:0102::/64 |
Percorso ExpressRoute | 2001:db8:5678::/64 |
2001:db8:1234:0003::/64 (ExpressRoute) |
Quando si configurano le route definite dall'utente, è necessario allinearle ai criteri di rete dell'organizzazione e all'architettura della distribuzione di Azure.
Collaboratori
Microsoft gestisce questo articolo. I collaboratori seguenti hanno originariamente scritto l'articolo.
Autore principale:
- Werner Rall | Senior Cloud Solutions Architect Engineer
Altri contributori:
- Babilonia Sherri | Senior Technical Program Manager
- Dawn Bedard | Principal Technical Program Manager
- Brandon Stephenson | Senior Customer Engineer
Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.
Passaggi successivi
- Creare una macchina virtuale con una rete IPv6 dual-stack
- Gestire gli intervalli di indirizzi IP
- Cloud Adoption Framework: Pianificare l'indirizzamento IP
- IPv6 per la rete virtuale di Azure
- Aggiungere il supporto IPv6 tramite ExpressRoute
- Supporto IPv6 di DNS di Azure
- IPv6 per il bilanciamento del carico di Azure
- Aggiungere il supporto IPv6 per il peering privato usando il portale di Azure