Condividi tramite


Routing del traffico di rete virtuale

Questo articolo illustra come Azure instrada il traffico tra Azure, in locale e tra le risorse Internet. Azure crea automaticamente una tabella di route per ogni subnet all'interno di una rete virtuale di Azure e aggiunge le route predefinite di sistema alla tabella. Per altre informazioni sulle reti virtuali e sulle subnet, vedere la panoramica della rete virtuale. È possibile eseguire l'override di alcune route di sistema di Azure con route personalizzate e aggiungere altre route personalizzate alle tabelle di route. Azure instrada il traffico in uscita da una subnet in base alle route della tabella di route di una subnet.

Route di sistema

Azure crea automaticamente route di sistema e assegna le route a ogni subnet in una rete virtuale. Non è possibile creare route di sistema e non è possibile rimuovere le route di sistema, ma è possibile eseguire l'override di alcune route di sistema con route personalizzate. Azure crea route di sistema predefinite per ogni subnet e aggiunge altre route predefinite facoltative a subnet specifiche o a ogni subnet, quando si usano funzionalità di Azure specifiche.

Predefiniti

Ogni route contiene un prefisso degli indirizzi e il tipo di hop successivo. Quando il traffico che lascia una subnet viene inviato a un indirizzo IP all'interno del prefisso dell'indirizzo di una route, la route che contiene il prefisso è la route usata da Azure. Altre informazioni su come Azure seleziona una route quando più route contengono gli stessi prefissi o prefissi sovrapposti. Quando si crea una rete virtuale, Azure crea automaticamente le route di sistema predefinite seguenti per ogni subnet della rete virtuale:

Source (Sorgente) Prefissi degli indirizzi Tipo hop successivo
Predefinito Univoco per la rete virtuale Rete virtuale
Predefinito 0.0.0.0/0 Internet
Predefinita 10.0.0.0/8 None
Predefinita 172.16.0.0/12 None
Predefinita 192.168.0.0/16 None
Predefinita 100.64.0.0/10 None

I tipi di hop successivi elencati nella tabella precedente rappresentano il modo in cui Azure instrada il traffico destinato al prefisso degli indirizzi elencato. Ecco le spiegazioni per i tipi di hop successivo:

  • Rete virtuale: instrada il traffico tra gli intervalli di indirizzi all'interno dello spazio di indirizzi di una rete virtuale. Azure crea una route con un prefisso degli indirizzi che corrisponde a ogni intervallo di indirizzi definito nello spazio di indirizzi di una rete virtuale. Se per lo spazio di indirizzi della rete virtuale sono stati definiti più intervalli di indirizzi, Azure crea una route per ogni intervallo di indirizzi. Per impostazione predefinita, Azure instrada il traffico tra subnet. Non è necessario definire tabelle di route o gateway per consentire ad Azure di instradare il traffico tra subnet. Azure non crea route predefinite per gli intervalli di indirizzi della subnet. Ogni intervallo di indirizzi della subnet si trova all'interno di un intervallo di indirizzi dello spazio di indirizzi di una rete virtuale.

  • Internet: instrada il traffico specificato dal prefisso dell'indirizzo a Internet. La route di sistema predefinita specifica il prefisso degli indirizzi 0.0.0.0/0. Se non si esegue l'override delle route predefinite di Azure, Azure instrada il traffico per qualsiasi indirizzo non specificato da un intervallo di indirizzi all'interno di una rete virtuale a Internet. Esiste un'eccezione a questo routing. Se l'indirizzo di destinazione è per un servizio di Azure, Azure instrada il traffico direttamente al servizio tramite la rete backbone di Azure invece di instradare il traffico a Internet. Il traffico tra i servizi di Azure non attraversa Internet. Non importa in quale area di Azure esiste la rete virtuale o in quale area di Azure viene distribuita un'istanza del servizio di Azure. È possibile eseguire l'override della route di sistema predefinita di Azure per il prefisso di indirizzo 0.0.0.0/0 con una route personalizzata.

  • Nessuno: il traffico indirizzato al tipo di hop successivo Nessuno viene eliminato anziché indirizzato all'esterno della subnet. Azure crea automaticamente route predefinite per i prefissi degli indirizzi seguenti:

    • 10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16: riservato per l'uso privato in RFC 1918.
    • 100.64.0.0/10: riservato in RFC 6598.

    Se si assegnano gli intervalli di indirizzi precedenti nello spazio degli indirizzi di una rete virtuale, Azure modifica automaticamente il tipo di hop successivo della route da Nessuno a Rete virtuale. Se si assegna un intervallo di indirizzi allo spazio degli indirizzi di una rete virtuale che include (ma non è uguale a) uno dei quattro prefissi degli indirizzi riservati, Azure rimuove la route per il prefisso e aggiunge una route per il prefisso degli indirizzi aggiunto, con Rete virtuale come tipo di hop successivo.

Route predefinite facoltative

Azure aggiunge altre route di sistema predefinite per diverse funzionalità di Azure, ma solo se si abilitano queste funzionalità. A seconda della funzionalità, Azure aggiunge route predefinite facoltative a subnet specifiche all'interno della rete virtuale o a tutte le subnet all'interno di una rete virtuale. La tabella seguente elenca le altre route di sistema e i tipi di hop successivi che Azure potrebbe aggiungere quando si abilitano funzionalità diverse.

Source (Sorgente) Prefissi degli indirizzi Tipo hop successivo Subnet all'interno della rete virtuale a cui viene aggiunta la route
Default Univoco per la rete virtuale, ad esempio 10.1.0.0/16 Peering di reti virtuali Tutte le date
Gateway di rete virtuale Prefissi annunciati dall'ambiente locale tramite BGP (Border Gateway Protocol) o configurati nel gateway di rete locale Gateway di rete virtuale Tutte le date
Default Multipla VirtualNetworkServiceEndpoint Solo la subnet per la quale è abilitato un endpoint di servizio
  • Peering di rete virtuale: quando si crea un peering di rete virtuale tra due reti virtuali, il sistema aggiunge una route per ogni intervallo di indirizzi all'interno dello spazio degli indirizzi di ogni rete virtuale coinvolta nel peering. Vedere altre informazioni sul peering di rete virtuale.

  • Gateway di rete virtuale: vengono aggiunte una o più route con Gateway di rete virtuale elencato come tipo di hop successivo quando si aggiunge un gateway di rete virtuale a una rete virtuale. L'origine è anche gateway di rete virtuale perché il gateway aggiunge le route alla subnet. Se il gateway di rete locale scambia route BGP con un gateway di rete virtuale, il sistema aggiunge una route per ogni route. Queste route vengono propagate dal gateway di rete locale. È consigliabile riepilogare le route locali all'intervallo di indirizzi più grande possibile, in modo da propagare il minor numero di route a un gateway di rete virtuale di Azure. Il numero di route che possono essere propagate a un gateway di rete virtuale di Azure è limitato. Per altre informazioni, consultare limiti di Azure.

  • VirtualNetworkServiceEndpoint: gli indirizzi IP pubblici per determinati servizi vengono aggiunti alla tabella di route da Azure quando si abilita un endpoint di servizio al servizio. Gli endpoint di servizio sono abilitati per le singole subnet all'interno di una rete virtuale, quindi la route viene aggiunta solo alla tabella di route di una subnet per cui è abilitato un endpoint di servizio. Gli indirizzi IP pubblici dei servizi di Azure cambiano periodicamente. Azure gestisce automaticamente gli indirizzi nella tabella di route quando gli indirizzi cambiano. Altre informazioni sugli endpoint servizio di rete virtuale e sui servizi per i quali è possibile creare endpoint di servizio.

    Nota

    Il peering di rete virtuale e VirtualNetworkServiceEndpoint i tipi di hop successivo vengono aggiunti solo alle tabelle di route delle subnet all'interno delle reti virtuali create tramite il modello di distribuzione azure Resource Manager. I tipi di hop successivi non vengono aggiunti alle tabelle di route associate a subnet di reti virtuali create tramite il modello di distribuzione classica. Vedere altre informazioni sui modelli di distribuzione di Azure.

Route personalizzate

È possibile creare route personalizzate creando route definite dall'utente o scambiando route BGP tra il gateway di rete locale e un gateway di rete virtuale di Azure.

personalizzato

Per personalizzare le route del traffico, non è consigliabile modificare le route predefinite. È necessario creare route personalizzate o definite dall'utente (statiche) che eseguono l'override delle route di sistema predefinite di Azure. In Azure si crea una tabella di route e quindi si associa la tabella di route a zero o più subnet di rete virtuale. A ogni subnet può essere associata una o nessuna tabella di route. Per informazioni sul numero massimo di route che è possibile aggiungere a una tabella di route e sul numero massimo di tabelle UDR che è possibile creare per ogni sottoscrizione di Azure, vedere Limiti di Azure.

Per impostazione predefinita, una tabella di route può contenere fino a 400 route definite dall'utente. Con la configurazione del routing di Azure Rete virtuale Manager, questo numero può espandersi fino a 1.000 route definite dall'utente per tabella di route. Questo limite aumentato supporta configurazioni di routing più avanzate. Un esempio è indirizzare il traffico dai data center locali attraverso un firewall a ogni rete virtuale spoke in una topologia hub-spoke quando si dispone di un numero maggiore di reti virtuali spoke.

Quando crei una tabella di route e la associ a una subnet, le route della tabella vengono combinate con le route predefinite della subnet. Se sono presenti assegnazioni di route in conflitto, le route definite dall'utente sostituiscono le route predefinite.

È possibile specificare i tipi di hop successivi seguenti quando si crea una route definita dall'utente:

  • Appliance virtuale: un'appliance virtuale è una macchina virtuale che generalmente esegue un'applicazione di rete, ad esempio un firewall. Per informazioni su varie appliance virtuali di rete preconfigurate che è possibile distribuire in una rete virtuale, vedere Azure Marketplace. Quando si crea una route con il tipo hop dell'appliance virtuale, si specifica anche un indirizzo IP hop successivo. L'indirizzo IP può essere:

    • L'indirizzo IP privato di un'interfaccia di rete collegata a una macchina virtuale. Per un'interfaccia di rete collegata a una macchina virtuale che inoltra il traffico di rete a un indirizzo diverso dal proprio è necessario abilitare l'opzione di inoltro IP di Azure. L'impostazione disabilita il controllo dell'origine e della destinazione per un'interfaccia di rete da parte di Azure. Vedere altre informazioni su come abilitare l'inoltro IP per un'interfaccia di rete. Abilitare l'inoltro IP è un'impostazione di Azure.

      Potrebbe essere necessario abilitare l'inoltro IP all'interno del sistema operativo della macchina virtuale per consentire all'appliance di inoltrare il traffico tra indirizzi IP privati assegnati alle interfacce di rete di Azure. Se l'appliance deve instradare il traffico a un indirizzo IP pubblico, deve eseguire il proxy del traffico o eseguire nat (Network Address Translation) dall'indirizzo IP privato dell'origine al proprio indirizzo IP privato. Azure esegue quindi NAT a un indirizzo IP pubblico prima di inviare il traffico a Internet. Per determinare le impostazioni necessarie nella macchina virtuale, vedere la documentazione del sistema operativo o dell'applicazione di rete. Per informazioni sulle connessioni in uscita, vedere Informazioni sulle connessioni in uscita in Azure.

      Nota

      Distribuire un'appliance virtuale in una subnet diversa dalle risorse instradate attraverso l'appliance stessa. La distribuzione dell'appliance virtuale nella stessa subnet e quindi l'applicazione di una tabella di route alla subnet che instrada il traffico attraverso l'appliance virtuale può comportare cicli di routing in cui il traffico non esce mai dalla subnet.

      Un indirizzo IP privato dell'hop successivo deve avere connettività diretta senza dover instradare attraverso un gateway Azure ExpressRoute o tramite Azure rete WAN virtuale. L'impostazione dell'hop successivo su un indirizzo IP senza connettività diretta comporta una configurazione definita dall'utente non valida.

    • L'indirizzo IP privato di un servizio di bilanciamento del carico interno di Azure. Un servizio di bilanciamento del carico viene spesso usato come parte di una strategia di disponibilità elevata per le appliance virtuali di rete.

    Puoi definire una route con 0.0.0.0/0 come prefisso dell'indirizzo e un tipo di hop successivo dell'appliance virtuale. Questa configurazione consente all'appliance di controllare il traffico e determinare se inoltrare o eliminare il traffico. Se si intende creare una route definita dall'utente contenente il prefisso dell'indirizzo 0.0.0.0/0, leggere prima il prefisso dell'indirizzo 0.0.0.0/0.

  • Gateway di rete virtuale: specificare quando si vuole che il traffico destinato a prefissi degli indirizzi specifici venga indirizzato a un gateway di rete virtuale. Il gateway di rete virtuale deve essere creato con il tipo VPN. Non è possibile specificare un gateway di rete virtuale creato come tipo ExpressRoute in una route definita dall'utente perché con ExpressRoute è necessario usare BGP per le route personalizzate. Non è possibile specificare gateway di rete virtuale se si dispone di connessioni coesistenti di rete privata virtuale (VPN) ed ExpressRoute. È possibile definire una route che indirizzi il traffico destinato al prefisso degli indirizzi 0.0.0.0/0 a un gateway di rete virtuale basato su route.

    Nell'ambiente locale può essere presente un dispositivo che ispeziona il traffico e determina se inoltrarlo o eliminarlo. Se si intende creare una route definita dall'utente per il prefisso dell'indirizzo 0.0.0.0/0, leggere prima il prefisso dell'indirizzo 0.0.0.0/0. Anziché configurare una route definita dall'utente per il prefisso di indirizzo 0.0.0.0/0, è possibile annunciare una route con il prefisso 0.0.0.0/0 tramite BGP se il BGP per un gateway di rete virtuale VPN è abilitato.

  • Nessuno: specificare quando si vuole eliminare il traffico verso un prefisso degli indirizzi, invece di inoltrarlo a una destinazione. Azure potrebbe visualizzare Nessuno per alcune delle route di sistema facoltative se non è configurata una funzionalità. Ad esempio, se si noterà che l'indirizzo IP dell'hop successivo mostra Nessuno e Il tipo hop successivo mostra il gateway di rete virtuale o l'appliance virtuale, potrebbe essere dovuto al fatto che il dispositivo non è in esecuzione o non è completamente configurato. Azure crea route predefinite di sistema per i prefissi degli indirizzi riservati con tipo hop successivo Nessuno.

  • Rete virtuale: specificare l’opzione Rete virtuale quando si intende eseguire l'override del routing predefinito in una rete virtuale. Per un esempio del motivo per cui è possibile creare una route con il tipo di hop di rete virtuale, vedere Esempio di routing.

  • Internet: specificare l'opzione Internet quando si desidera instradare in modo esplicito il traffico destinato a un prefisso di indirizzo a Internet. In alternativa, usarlo se si vuole che il traffico destinato ai servizi di Azure con indirizzi IP pubblici venga mantenuto all'interno della rete backbone di Azure.

Non è possibile specificare il peering di rete virtuale o VirtualNetworkServiceEndpoint come tipo hop successivo nelle route definite dall'utente. Azure crea route con peering di rete virtuale o VirtualNetworkServiceEndpoint tipi di hop successivo solo quando si configura un peering di rete virtuale o un endpoint di servizio.

Tag di servizio per le route definite dall'utente

È ora possibile specificare un tag di servizio come prefisso dell'indirizzo per una route definita dall'utente anziché un intervallo IP esplicito. Un tag del servizio rappresenta un gruppo di prefissi di indirizzi IP di un determinato servizio di Azure. I prefissi di indirizzo inclusi nel tag di servizio sono gestiti da Microsoft, che aggiorna automaticamente il tag in caso di modifica degli indirizzi. Questo supporto riduce al minimo la complessità degli aggiornamenti frequenti alle route definite dall'utente e riduce il numero di route che è necessario creare. Attualmente è possibile creare 25 o meno route con tag di servizio in ogni tabella di route. Con questa versione, è supportato anche l'uso dei tag di servizio negli scenari di routing per i contenitori.

Corrispondenza esatta

Il sistema assegna la preferenza alla route con il prefisso esplicito quando è presente una corrispondenza esatta del prefisso tra una route con un prefisso IP esplicito e una route con un tag di servizio. Quando più route con tag di servizio hanno prefissi IP corrispondenti, le route vengono valutate nell'ordine seguente:

  1. Tag regionali (ad esempio, Storage.EastUS o AppService.AustraliaCentral)

  2. Tag di primo livello (ad esempio, Storage o AppService)

  3. AzureCloud tag regionali (ad esempio, AzureCloud.canadacentral o AzureCloud.eastasia)

  4. Tag AzureCloud

Per usare questa funzionalità, specificare un nome di tag del servizio per il parametro del prefisso dell'indirizzo nei comandi della tabella di route. In PowerShell, ad esempio, è possibile creare una nuova route per indirizzare il traffico inviato a un prefisso IP Archiviazione di Azure a un'appliance virtuale usando questo comando:

$param = @{
    Name = 'StorageRoute'
    AddressPrefix = 'Storage'
    NextHopType = 'VirtualAppliance'
    NextHopIpAddress = '10.0.100.4'
}
New-AzRouteConfig @param

Lo stesso comando per l'interfaccia della riga di comando di Azure è:

az network route-table route create \
    --resource-group MyResourceGroup \
    --route-table-name MyRouteTable \
    --name StorageRoute \
    --address-prefix Storage \
    --next-hop-type VirtualAppliance \
    --next-hop-ip-address 10.0.100.4

Tipi di hop successivi tra gli strumenti di Azure

Il nome visualizzato e a cui viene fatto riferimento per i tipi di hop successivo è diverso tra gli strumenti da riga di comando e portale di Azure e i modelli di distribuzione classica e Resource Manager. Nella tabella seguente sono elencati i nomi usati per fare riferimento a ogni tipo di hop successivo con i diversi strumenti e modelli di distribuzione.

Tipo hop successivo Interfaccia della riga di comando di Azure e PowerShell (Resource Manager) Interfaccia della riga di comando classica di Azure e PowerShell (classica)
Gateway di rete virtuale VirtualNetworkGateway VPNGateway
Rete virtuale VNetLocal VNETLocal (non disponibile nell'interfaccia della riga di comando classica in modalità modello di distribuzione classica)
Internet Internet Internet (non disponibile nell'interfaccia della riga di comando classica in modalità modello di distribuzione classica)
Appliance virtuale VirtualAppliance VirtualAppliance
None None Null (non disponibile nell'interfaccia della riga di comando classica in modalità modello di distribuzione classica)
Peering di rete virtuale Peering di rete virtuale Non applicabile
Endpoint servizio di rete virtuale VirtualNetworkServiceEndpoint Non applicabile

Border gateway protocol

Un gateway di rete locale può scambiare route con un gateway di rete virtuale di Azure usando BGP. L'uso di BGP con un gateway di rete virtuale di Azure dipende dal tipo selezionato al momento della creazione del gateway stesso:

  • ExpressRoute: è necessario usare BGP per annunciare le route locali al router perimetrale Microsoft. Non è possibile creare route definite dall'utente per forzare il traffico verso il gateway di rete virtuale ExpressRoute se si distribuisce un gateway di rete virtuale distribuito come tipo ExpressRoute. È possibile usare le route definite dall'utente per forzare il traffico dalla route rapida verso, ad esempio un'appliance virtuale di rete.
  • VPN: facoltativamente, è possibile usare BGP. Per altre informazioni, vedere BGP con connessioni VPN da sito a sito.

Quando si scambiano route con Azure usando BGP, viene aggiunta una route separata alla tabella di route di tutte le subnet in una rete virtuale per ogni prefisso annunciato. La route viene aggiunta con Gateway di rete virtuale come origine e tipo di hop successivo.

È possibile disabilitare ExpressRoute e Azure Gateway VPN propagazione della route in una subnet usando una proprietà in una tabella di route. Quando si disabilita la propagazione dei percorsi, il sistema non aggiunge il percorso alla tabella di routing di tutte le subnet con la propagazione del percorso del gateway di rete virtuale disabilitato. Questo processo si applica sia alle route statiche che alle route BGP. La connettività con le connessioni VPN viene ottenuta usando route personalizzate con un tipo hop successivo del gateway di rete virtuale. Per altre informazioni, vedere Disabilitare la propagazione della route del gateway di rete virtuale.

Nota

La propagazione della route non deve essere disabilitata in GatewaySubnet. Il gateway non funzionerà se questa impostazione è disabilitata.

Modalità di selezione di una route da parte di Azure

Quando il traffico in uscita viene inviato da una subnet, Azure seleziona una route in base all'indirizzo IP di destinazione usando l'algoritmo di corrispondenza del prefisso più lungo. Ad esempio, una tabella di route ha due route. Una route specifica il prefisso di indirizzo 10.0.0.0/24 e l'altra route specifica il prefisso di indirizzo 10.0.0.0/16.

Azure indirizza il traffico destinato alla versione 10.0.0.5 al tipo di hop successivo specificato nella route con il prefisso di indirizzo 10.0.0.0/24. Questo processo si verifica perché 10.0.0.0/24 è un prefisso più lungo di 10.0.0.0/16, anche se 10.0.0.5 rientra in entrambi i prefissi di indirizzo.

Azure indirizza il traffico destinato a 10.0.1.5 al tipo di hop successivo specificato nella route con il prefisso di indirizzo 10.0.0.0/16. Questo processo si verifica perché 10.0.1.5 non è incluso nel prefisso di indirizzo 10.0.0.0/24, che rende la route con il prefisso di indirizzo 10.0.0.0/16 con il prefisso di corrispondenza più lungo.

Se più route contengono lo stesso prefisso di indirizzo, Azure seleziona il tipo di route in base alla priorità seguente:

  1. Route definita dall'utente

  2. Route BGP

  3. Route di sistema

Nota

Le route di sistema per il traffico correlato alla rete virtuale, ai peering di rete virtuale o agli endpoint servizio di rete virtuale sono route preferite. Sono preferiti, anche se le route BGP sono più specifiche. Le route con un endpoint servizio di rete virtuale come tipo hop successivo non possono essere sottoposte a override, anche quando si usa una tabella di route.

Una tabella di route contiene ad esempio le route seguenti:

Source (Sorgente) Prefissi degli indirizzi Tipo hop successivo
Predefinito 0.0.0.0/0 Internet
User 0.0.0.0/0 Gateway di rete virtuale

Quando il traffico è destinato a un indirizzo IP all'esterno dei prefissi di indirizzi di qualsiasi altra route nella tabella di route, Azure seleziona la route con l'origine Utente . Azure fa questa scelta perché le route definite dall'utente sono una priorità più alta rispetto alle route predefinite del sistema.

Per una tabella di routing completa con spiegazioni delle route nella tabella, vedere Esempio di routing.

Prefisso degli indirizzi 0.0.0.0/0

Una route con il prefisso di indirizzo 0.0.0.0/0 fornisce istruzioni ad Azure. Azure usa queste istruzioni per instradare il traffico destinato a un indirizzo IP che non è incluso nel prefisso degli indirizzi di qualsiasi altra route presente nella tabella di route della subnet. Quando si crea una subnet, Azure crea una route predefinita per il prefisso degli indirizzi 0.0.0.0/0, con tipo di hop successivo Internet. Se non si esegue l'override di questa route, Azure instrada tutto il traffico destinato agli indirizzi IP non inclusi nel prefisso dell'indirizzo di qualsiasi altra route verso Internet.

L'eccezione è che il traffico verso gli indirizzi IP pubblici dei servizi di Azure rimane nella rete backbone di Azure e non viene instradato a Internet. Quando si esegue l'override di questa route con una route personalizzata, viene indirizzato il traffico destinato agli indirizzi che non rientrano nei prefissi di qualsiasi altra route nella tabella di route. La destinazione dipende dal fatto che si specifichi un'appliance virtuale di rete o un gateway di rete virtuale nella route personalizzata.

Quando si esegue l'override del prefisso degli indirizzi 0.0.0.0/0, il traffico in uscita dalla subnet passa attraverso il gateway di rete virtuale o l'appliance virtuale. Le modifiche seguenti si verificano anche con il routing predefinito di Azure:

  • Azure invia tutto il traffico al tipo di hop successivo specificato nella route, incluso il traffico destinato agli indirizzi IP pubblici dei servizi di Azure.

    Quando il tipo di hop successivo per la route con il prefisso di indirizzo 0.0.0.0/0 è Internet, il traffico dalla subnet destinata agli indirizzi IP pubblici dei servizi di Azure non lascia mai la rete backbone di Azure, indipendentemente dall'area di Azure in cui è presente la rete virtuale o la risorsa del servizio di Azure.

    Quando si crea una route definita dall'utente o BGP con un gateway di rete virtuale o un tipo hop successivo dell'appliance virtuale, tutto il traffico viene inviato al tipo di hop successivo specificato nella route. Ciò include il traffico inviato agli indirizzi IP pubblici dei servizi di Azure per i quali non sono stati abilitati gli endpoint di servizio.

    Quando si abilita un endpoint di servizio per un servizio, Azure crea una route con prefissi di indirizzo per il servizio. Il traffico verso il servizio non viene instradato al tipo di hop successivo in una route con il prefisso di indirizzo 0.0.0.0/0. I prefissi di indirizzo per il servizio sono più lunghi di 0.0.0.0/0.

  • Non è più possibile accedere direttamente alle risorse nella subnet da Internet. È possibile accedere alle risorse nella subnet da Internet indirettamente. Il dispositivo specificato dal tipo di hop successivo per una route con il prefisso di indirizzo 0.0.0.0/0 deve elaborare il traffico in ingresso. Dopo aver attraversato il dispositivo, il traffico raggiunge la risorsa nella rete virtuale. Se la route contiene i valori seguenti per il tipo di hop successivo:

    • Appliance virtuale: l'appliance deve:

      • Essere accessibili da Internet.
      • Assegnare un indirizzo IP pubblico.
      • Non è associata una regola del gruppo di sicurezza di rete che impedisce la comunicazione con il dispositivo.
      • Non negare la comunicazione.
      • Essere in grado di convertire e inoltrare l'indirizzo di rete o di inoltrare il traffico alla risorsa di destinazione nella subnet e restituire il traffico a Internet.
    • Gateway di rete virtuale: se il gateway è un gateway di rete virtuale ExpressRoute, un dispositivo connesso a Internet locale può convertire e inoltrare l'indirizzo di rete oppure inoltrare il traffico alla risorsa di destinazione nella subnet tramite peering privato ExpressRoute.

Se la rete virtuale è connessa a un gateway VPN di Azure, non associare una tabella di route alla subnet del gateway che include una route con una destinazione 0.0.0.0/0. Ciò potrebbe impedire il corretto funzionamento del gateway. Per altre informazioni, vedere Perché alcune porte sono aperte nel gateway VPN?

Per informazioni dettagliate sull'implementazione quando si usano gateway di rete virtuale tra Internet e Azure, vedere Rete perimetrale tra Azure e il data center locale.

Esempio di routing

Per illustrare i concetti di questo articolo, le sezioni seguenti descrivono:

  • Uno scenario con i requisiti.
  • Route personalizzate necessarie per soddisfare i requisiti.
  • Tabella di route esistente per una subnet che include le route predefinite e personalizzate necessarie per soddisfare i requisiti.

Nota

Questo esempio non è progettato per essere un'implementazione consigliata o consigliata. Viene fornito solo per illustrare i concetti in questo articolo.

Requisiti

  1. Implementare due reti virtuali nella stessa area di Azure e consentire alle risorse di comunicare tra le reti virtuali.

  2. Abilitare una rete locale per comunicare in modo sicuro con entrambe le reti virtuali tramite un tunnel VPN tramite Internet. In alternativa, è possibile usare una connessione ExpressRoute, ma questo esempio usa una connessione VPN.

  3. Per una sola subnet in una sola rete virtuale:

    • Instradare tutto il traffico in uscita dalla subnet tramite un'appliance virtuale di rete per l'ispezione e la registrazione. Escludere il traffico verso Archiviazione di Azure e all'interno della subnet da questo routing.
    • Non esaminare il traffico tra indirizzi IP privati all'interno della subnet. Consentire il flusso del traffico direttamente tra tutte le risorse.
    • Eliminare tutto il traffico in uscita destinato all'altra rete virtuale.
    • Abilitare il traffico in uscita per Archiviazione di Azure di passare direttamente all'archiviazione, senza forzarlo attraverso un'appliance virtuale di rete.
  4. Consentire tutto il traffico tra tutte le altre subnet e reti virtuali.

Implementazione

Il diagramma seguente illustra un'implementazione tramite il modello di distribuzione di Resource Manager che soddisfa i requisiti precedenti.

Diagramma che mostra un'implementazione di rete.

Le frecce indicano il flusso del traffico.

Tabelle di route

Di seguito sono riportate le tabelle di route per l'esempio di routing precedente.

Subnet1

La tabella di route per Subnet1 nel diagramma precedente contiene le route seguenti:

ID Origine Provincia Prefissi degli indirizzi Tipo hop successivo Indirizzo IP hop successivo Nome UDR
1 Default Non valido 10.0.0.0/16 Rete virtuale
2 User Attive 10.0.0.0/16 Appliance virtuale 10.0.100.4 Within-VNet1
3 User Attive 10.0.0.0/24 Rete virtuale Within-Subnet1
4 Default Non valido 10.1.0.0/16 Peering di rete virtuale
5 Default Non valido 10.2.0.0/16 Peering di rete virtuale
6 User Attive 10.1.0.0/16 None ToVNet2-1-Drop
7 User Attive 10.2.0.0/16 None ToVNet2-2-Drop
8 Default Non valido 10.10.0.0/16 Gateway di rete virtuale [X.X.X.X]
9 User Attive 10.10.0.0/16 Appliance virtuale 10.0.100.4 To-On-Prem
10 Default Attive [X.X.X.X] VirtualNetworkServiceEndpoint
11 Default Non valido 0.0.0.0/0 Internet
12 User Attive 0.0.0.0/0 Appliance virtuale 10.0.100.4 Default-NVA

Ecco una spiegazione di ogni ID di route:

  • ID1: Azure ha aggiunto automaticamente questa route per tutte le subnet all'interno di Virtual-network-1 perché 10.0.0.0/16 è l'unico intervallo di indirizzi definito nello spazio indirizzi per la rete virtuale. Se non si crea la route definita dall'utente nell'ID 2 della route, il traffico inviato a un indirizzo compreso tra 10.0.0.1 e 10.0.255.254 viene instradato all'interno della rete virtuale. Questo processo si verifica perché il prefisso è più lungo di 0.0.0.0/0 e non rientra nei prefissi degli indirizzi di altre route.

    Azure ha modificato automaticamente lo stato da Attivo a Non valido, quando è stato aggiunto ID2, una route definita dall'utente. Ha lo stesso prefisso della route predefinita e le route definite dall'utente sostituiscono le route predefinite. Lo stato di questa route è ancora Attivo per Subnet2 perché la tabella di route in cui la route definita dall'utente, ID2, non è associata a Subnet2.

  • ID2: Azure ha aggiunto questa route quando è stata associata una route definita dall'utente per il prefisso degli indirizzi 10.0.0.0/16 alla subnet Subnet1 nella rete virtuale Virtual-network-1 . La route definita dall'utente specifica 10.0.100.4 come indirizzo IP dell'appliance virtuale perché l'indirizzo è l'indirizzo IP privato assegnato alla macchina virtuale dell'appliance virtuale. La tabella di route in cui questa route esiste non è associata a Subnet2, quindi la route non viene visualizzata nella tabella di route per Subnet2.

    Questa route sostituisce la route predefinita per il prefisso 10.0.0.0/16 (ID1), che instradava automaticamente il traffico indirizzato a 10.0.0.1 e 10.0.255.254 nella rete virtuale tramite il tipo di hop successivo Rete virtuale. Questa route esiste per soddisfare il requisito 3, ovvero forzare tutto il traffico in uscita attraverso un'appliance virtuale.

  • ID3: Azure ha aggiunto questa route quando è stata associata una route definita dall'utente per il prefisso degli indirizzi 10.0.0.0/24 alla subnet Subnet1 . Il traffico destinato agli indirizzi compresi tra 10.0.0.1 e 10.0.0.254 rimane all'interno della subnet. Il traffico non viene instradato all'appliance virtuale specificata nella regola precedente (ID2) perché ha un prefisso più lungo rispetto alla route ID2.

    Questa route non era associata a Subnet2, quindi non appare nella tabella di route per Subnet2. Questa route sostituisce la route ID2 per il traffico all'interno di Subnet1. Questa route esiste per soddisfare il requisito 3.

  • ID4: Azure ha aggiunto automaticamente le route negli ID 4 e 5 per tutte le subnet all'interno di Virtual-network-1 quando la rete virtuale è stata sottoposta a peering con Virtual-network-2. Virtual-network-2 ha due intervalli di indirizzi nello spazio indirizzi, 10.1.0.0/16 e 10.2.0.0/16, quindi Azure ha aggiunto una route per ogni intervallo. Se non si creano le route definite dall'utente negli ID di route 6 e 7, il traffico inviato a qualsiasi indirizzo compreso tra 10.1.0.1-10.1.255.254 e 10.2.0.1-10.2.255.254 viene instradato alla rete virtuale con peering. Questo processo si verifica perché il prefisso è più lungo di 0.0.0.0/0 e non rientra nei prefissi degli indirizzi di altre route.

    Quando sono state aggiunte le route negli ID 6 e 7, Azure ha modificato automaticamente lo stato da Attivo a Non valido. Questo processo si verifica perché hanno gli stessi prefissi delle route negli ID 4 e 5 e le route definite dall'utente eseguono l'override delle route predefinite. Lo stato delle route negli ID 4 e 5 è ancora Attivo per Subnet2 perché la tabella di route in cui le route definite dall'utente negli ID 6 e 7 non sono associate a Subnet2. È stato creato un peering di rete virtuale per soddisfare il requisito 1.

  • ID5: stessa spiegazione di ID4.

  • ID6: Azure ha aggiunto questa route e la route in ID7 quando le route definite dall'utente per i prefissi degli indirizzi 10.1.0.0/16 e 10.2.0.0/16 sono state associate alla subnet Subnet1 . Azure elimina il traffico destinato agli indirizzi compresi tra 10.1.0.1-10.1.255.254 e 10.2.0.1-10.2.255.254, anziché essere instradati alla rete virtuale con peering, perché le route definite dall'utente eseguono l'override delle route predefinite. Queste route non sono associate a Subnet2, quindi non appaiono nella tabella di route per Subnet2. Le route sostituiscono le route ID4 e ID5 per il traffico in uscita da Subnet1. Le route ID6 e ID7 esistono per soddisfare il requisito 3 per eliminare il traffico destinato all'altra rete virtuale.

  • ID7: stessa spiegazione di ID6.

  • ID8: Azure ha aggiunto automaticamente questa route per tutte le subnet di Virtual-network-1 quando è stato creato un gateway di rete virtuale di tipo VPN nella rete virtuale. Azure ha aggiunto l'indirizzo IP pubblico del gateway di rete virtuale alla tabella di route. Il traffico inviato a qualsiasi indirizzo compreso tra 10.10.0.1 e 10.10.255.254 viene indirizzato al gateway di rete virtuale. Il prefisso è più lungo di 0.0.0.0/0 e non rientra nei prefissi degli indirizzi delle altre route. È stato creato un gateway di rete virtuale per soddisfare il requisito 2.

  • ID9: Azure ha aggiunto questa route quando è stata aggiunta una route definita dall'utente per il prefisso di indirizzo 10.10.0.0/16 alla tabella di route associata a Subnet1. Questa route sostituisce ID8. La route invia tutto il traffico destinato alla rete locale a un'appliance virtuale di rete per l'ispezione, anziché instradare il traffico direttamente in locale. Questa route è stata creata per soddisfare il requisito 3.

  • ID10: Azure ha aggiunto automaticamente questa route alla subnet quando è stato abilitato un endpoint di servizio per un servizio di Azure per la subnet. Azure indirizza il traffico proveniente dalla subnet a un indirizzo IP pubblico del servizio, tramite la rete dell'infrastruttura di Azure. Il prefisso è più lungo di 0.0.0.0/0 e non rientra nei prefissi degli indirizzi delle altre route. È stato creato un endpoint di servizio per soddisfare il requisito 3 per consentire al traffico destinato a Archiviazione di Azure di passare direttamente a Archiviazione di Azure.

  • ID11: Azure ha aggiunto automaticamente questa route alla tabella di route di tutte le subnet di Virtual-network-1 e Virtual-network-2. Il prefisso degli indirizzi 0.0.0.0/0 è il prefisso più breve. Tutto il traffico inviato agli indirizzi di un prefisso degli indirizzi più lungo si basa su altre route.

    Per impostazione predefinita, Azure instrada tutto il traffico destinato a indirizzi diversi dagli indirizzi specificati in una delle altre route verso Internet. Azure ha modificato automaticamente lo stato da Attivo a Non valido per la subnet Subnet1 quando è stata associata una route definita dall'utente per il prefisso di indirizzo 0.0.0.0/0 (ID12). Lo stato di questa route è ancora Attivo per tutte le altre subnet all'interno di entrambe le reti virtuali perché la route non è associata ad altre subnet all'interno di altre reti virtuali.

  • ID12: Azure ha aggiunto questa route quando è stata associata una route definita dall'utente per il prefisso degli indirizzi 0.0.0.0/0 alla subnet Subnet1 . La route definita dall'utente specifica 10.0.100.4 come indirizzo IP dell'appliance virtuale. Questa route non è associata a Subnet2, quindi non appare nella tabella di route per Subnet2. Tutto il traffico per gli indirizzi non inclusi nei prefissi degli indirizzi delle altre route viene inviato all'appliance virtuale.

    L'aggiunta di questa route ha modificato lo stato della route predefinita per il prefisso di indirizzo 0.0.0.0/0 (ID11) da Attivo a Non valido per Subnet1 perché una route definita dall'utente esegue l'override di una route predefinita. Questa route esiste per soddisfare il requisito 3.

Subnet2

La tabella di route per Subnet2 nel diagramma precedente contiene le route seguenti:

Origine Provincia Prefissi degli indirizzi Tipo hop successivo Indirizzo IP hop successivo
Default Attive 10.0.0.0/16 Rete virtuale
Default Attive 10.1.0.0/16 Peering di rete virtuale
Default Attive 10.2.0.0/16 Peering di rete virtuale
Default Attive 10.10.0.0/16 Gateway di rete virtuale [X.X.X.X]
Default Attive 0.0.0.0/0 Internet
Default Attive 10.0.0.0/8 None
Default Attive 100.64.0.0/10 None
Default Attive 192.168.0.0/16 None

La tabella di route per Subnet2 contiene tutte le route predefinite create da Azure, il peering di reti virtuali facoltativo e le route facoltative del gateway di rete virtuale. Azure ha aggiunto le route facoltative a tutte le subnet della virtuale di rete quando sono stati aggiunti il gateway e il peering alla rete virtuale.

Azure ha rimosso le route per 10.0.0.0/8, 192.168.0.0/16 e 100.64.0.0.0/10 dalla tabella di route Subnet1 quando la route definita dall'utente per il prefisso degli indirizzi 0.0.0.0/0 è stata aggiunta a Subnet1.