Rete per Azure set di scalabilità di macchine virtuali
Quando si distribuisce un set di scalabilità di macchine virtuali di Azure tramite il portale, alcune proprietà di rete sono predefinite, ad esempio un'istanza di Azure Load Balancer con regole NAT in ingresso. Questo articolo descrive come usare alcune delle funzionalità più avanzate della rete che è possibile configurare con i set di scalabilità.
È possibile configurare tutte le funzionalità illustrate in questo articolo usando i modelli di Azure Resource Manager. Sono inclusi anche esempi dell'interfaccia della riga di comando di Azure e di PowerShell per le funzionalità selezionate.
Nota
Non è possibile spostare un set di scalabilità di macchine virtuali da una rete virtuale a un'altra rete virtuale. È necessario ricreare il set di scalabilità nella rete virtuale di destinazione.
Rete accelerata
La rete accelerata di Azure migliora le prestazioni di rete abilitando Single-Root I/O Virtualization (SR-IOV) per le macchine virtuali. Per altre informazioni sull'uso della rete accelerata, vedere Rete accelerata per macchine virtuali Windows o Linux. Per usare la rete accelerata con i set di scalabilità, impostare enableAcceleratedNetworking su true nelle impostazioni networkInterfaceConfigurations del set di scalabilità, Ad esempio:
"networkProfile": {
"networkInterfaceConfigurations": [
{
"name": "niconfig1",
"properties": {
"primary": true,
"enableAcceleratedNetworking" : true,
"ipConfigurations": [
...
]
}
}
]
}
Azure set di scalabilità di macchine virtuali con Azure Load Balancer
Per altre informazioni su come configurare il Load Balancer Standard con set di scalabilità di macchine virtuali in base allo scenario, vedere Azure Load Balancer e set di scalabilità di macchine virtuali.
Aggiungere un set di scalabilità di macchine virtuali a un gateway applicazione
Per aggiungere un set di scalabilità al pool back-end di un gateway applicazione, fare riferimento al pool back-end gateway applicazione nel profilo di rete del set di scalabilità. Questa operazione può essere eseguita durante la creazione del set di scalabilità (vedere il modello di Resource Manager seguente) o in un set di scalabilità esistente.
Aggiunta di set di scalabilità di macchine virtuali di orchestrazione uniforme a un gateway applicazione
Quando si aggiunge Uniform set di scalabilità di macchine virtuali al pool back-end di un gateway applicazione, il processo sarà diverso per i set di scalabilità nuovi o esistenti:
- Per i nuovi set di scalabilità, fare riferimento all'ID del pool back-end del gateway applicazione nel profilo di rete del modello di scalabilità, in una o più configurazioni IP dell'interfaccia di rete. Quando viene distribuita, le istanze aggiunte al set di scalabilità verranno inserite nel pool back-end del gateway applicazione.
- Per i set di scalabilità esistenti, aggiungere prima di tutto l'ID del pool back-end del gateway applicazione nel profilo di rete del modello di scalabilità, quindi applicare il modello alle istanze esistenti tramite un aggiornamento. Se i criteri di aggiornamento del set di scalabilità sono
Automatic
oRolling
, le istanze verranno aggiornate automaticamente. Se èManual
, è necessario aggiornare manualmente le istanze.
- Creare un pool di gateway applicazione e back-end nella stessa area del set di scalabilità, se non ne è già disponibile uno
- Passare al set di scalabilità di macchine virtuali nel portale
- In Impostazioni aprire il riquadro Rete
- Nel riquadro Rete selezionare la scheda Bilanciamento del carico e fare clic su Aggiungi bilanciamento del carico
- Selezionare gateway applicazione dall'elenco a discesa Opzioni di bilanciamento del carico e scegliere un gateway applicazione esistente
- Selezionare il pool back-end di destinazione e fare clic su Salva
- Se il criterio di aggiornamento del set di scalabilità è "Manuale", passare al riquadro Impostazioni>istanze per selezionare e aggiornare ognuna delle istanze
Aggiunta di set di scalabilità di macchine virtuali di orchestrazione flessibile a un gateway applicazione
Quando si aggiunge un set di scalabilità flessibile a un gateway applicazione, il processo equivale all'aggiunta di macchine virtuali autonome a un pool back-end di un gateway applicazione. Si aggiorna la configurazione IP dell'interfaccia di rete della macchina virtuale come parte del pool back-end. Questa operazione può essere eseguita tramite la configurazione dell'gateway applicazione o configurando la configurazione dell'interfaccia di rete della macchina virtuale.
Nota
Si noti che il gateway applicazione deve trovarsi nella stessa rete virtuale del set di scalabilità, ma in una subnet diversa.
Impostazioni DNS configurabili
Per impostazione predefinita, ai set di scalabilità vengono applicate le impostazioni DNS specifiche della rete virtuale e della subnet in cui sono state create. È tuttavia possibile configurare direttamente le impostazioni DNS per un set di scalabilità.
Creazione di un set di scalabilità con server DNS configurabili
Per creare un set di scalabilità con una configurazione DNS personalizzata usando l'interfaccia della riga di comando di Azure, aggiungere l'argomento --dns-servers al comando vmss create, facendo seguire l'argomento dagli indirizzi IP dei server separati da spazi. Ad esempio:
--dns-servers 10.0.0.6 10.0.0.5
Per configurare server DNS personalizzati in un modello di Azure, aggiungere una proprietà dnsSettings alla sezione networkInterfaceConfigurations del set di scalabilità, Ad esempio:
"dnsSettings":{
"dnsServers":["10.0.0.6", "10.0.0.5"]
}
Creazione di un set di scalabilità con nomi di dominio di macchine virtuali configurabili
Per creare un set di scalabilità con un nome DNS personalizzato per le macchine virtuali usando l'interfaccia della riga di comando, aggiungere l'argomento --vm-domain-name al comando di creazione del set di scalabilità di macchine virtuali, seguito da una stringa che rappresenta il nome di dominio.
Per impostare il nome di dominio in un modello di Azure, aggiungere una proprietà dnsSettings alla sezione networkInterfaceConfigurations del set di scalabilità, Ad esempio:
"networkProfile": {
"networkInterfaceConfigurations": [
{
"name": "nic1",
"properties": {
"primary": true,
"ipConfigurations": [
{
"name": "ip1",
"properties": {
"subnet": {
"id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/virtualNetworks/', variables('vnetName'), '/subnets/subnet1')]"
},
"publicIPAddressconfiguration": {
"name": "publicip",
"properties": {
"idleTimeoutInMinutes": 10,
"dnsSettings": {
"domainNameLabel": "[parameters('vmssDnsName')]"
}
}
}
}
}
]
}
}
L'output, per un singolo nome DNS di macchina virtuale, avrà il formato seguente:
<vm><vmindex>.<specifiedVmssDomainNameLabel>
IPv4 pubblico per macchina virtuale
Per le macchine virtuali di un set di scalabilità di Azure in genere non sono necessari indirizzi IP pubblici specifici. Per la maggior parte degli scenari, è più economico e sicuro associare un indirizzo IP pubblico a un servizio di bilanciamento del carico o a una singola macchina virtuale (nota anche come jumpbox), che instrada quindi le connessioni in ingresso alle macchine virtuali del set di scalabilità in base alle esigenze, ad esempio tramite regole NAT in ingresso.
Alcuni scenari tuttavia richiedono che le macchine virtuali del set di scalabilità abbiano i propri indirizzi IP pubblici, ad esempio i giochi, in cui una console deve stabilire una connessione diretta a una macchina virtuale cloud, che esegue l'elaborazione fisica del gioco. Un altro esempio è quello in cui le macchine virtuali devono stabilire connessioni esterne reciproche tra aree in un database distribuito.
Creazione di un set di scalabilità con un IP pubblico per ogni macchina virtuale
Per creare un set di scalabilità che assegni un indirizzo IP pubblico a ogni macchina virtuale con l'interfaccia della riga di comando di Azure, aggiungere il parametro --public-ip-per-vm al comando vmss create.
Per creare un set di scalabilità usando un modello di Azure, verificare che la versione API della risorsa Microsoft.Compute/virtualMachineScaleSets sia almeno 2017-03-30 e aggiungere una proprietà JSON publicIpAddressConfiguration alla sezione ipConfigurations del set di scalabilità, Ad esempio:
"publicIpAddressConfiguration": {
"name": "pub1",
"sku": {
"name": "Standard"
},
"properties": {
"idleTimeoutInMinutes": 15
}
}
Si noti che quando set di scalabilità di macchine virtuali con indirizzi IP pubblici per ogni istanza vengono creati con un servizio di bilanciamento del carico davanti, gli INDIRIZZI IP dell'istanza sono determinati dallo SKU del servizio di bilanciamento del carico (ovvero Basic o Standard). Se il set di scalabilità di macchine virtuali viene creato senza un servizio di bilanciamento del carico, lo SKU degli INDIRIZZI IP dell'istanza può essere impostato direttamente usando la sezione SKU del modello, come illustrato in precedenza.
Modello di esempio che usa un servizio di bilanciamento del carico Basic: vmss-public-ip-linux
In alternativa, è possibile usare un prefisso IP pubblico (un blocco contiguo di INDIRIZZI IP pubblici con SKU Standard) per generare indirizzi IP a livello di istanza in un set di scalabilità di macchine virtuali. Le proprietà di zona del prefisso verranno passate agli indirizzi IP dell'istanza, anche se non verranno visualizzate nell'output.
Modello di esempio che usa un prefisso IP pubblico: vmms-with-public-ip-prefix
Query degli indirizzi IP pubblici delle macchine virtuali in un set di scalabilità
Per elencare gli indirizzi IP pubblici assegnati alle macchine virtuali del set di scalabilità usando l'interfaccia della riga di comando di Azure, eseguire il comando az vmss list-instance-public-ips.
Per ottenere un elenco degli indirizzi IP pubblici del set di scalabilità con PowerShell, usare il comando Get-AzPublicIpAddress. Ad esempio:
Get-AzPublicIpAddress -ResourceGroupName myrg -VirtualMachineScaleSetName myvmss
È anche possibile eseguire una query sugli indirizzi IP pubblici facendo direttamente riferimento all'ID risorsa della configurazione degli indirizzi IP pubblici, Ad esempio:
Get-AzPublicIpAddress -ResourceGroupName myrg -Name myvmsspip
È anche possibile visualizzare gli indirizzi IP pubblici assegnati alle macchine virtuali del set di scalabilità eseguendo una query di Azure Resource Explorer o dell'API REST di Azure con versione 2017-03-30 o successiva.
Per eseguire una query di Azure Resource Explorer:
- Aprire Azure Resource Explorer in un Web browser.
- Per espandere Sottoscrizioni sul lato sinistro, fare clic su +. Se in Sottoscrizioni è elencato un solo elemento, potrebbe essere già espanso.
- Espandere la sottoscrizione.
- Espandere il gruppo di risorse.
- Espandere i provider.
- Espandere Microsoft.Compute.
- Espandere virtualMachineScaleSets.
- Espandere il set di scalabilità.
- Fare clic su publicipaddresses.
Per eseguire una query nell'API REST di Azure:
GET https://management.azure.com/subscriptions/{your sub ID}/resourceGroups/{RG name}/providers/Microsoft.Compute/virtualMachineScaleSets/{scale set name}/publicipaddresses?api-version=2017-03-30
Esempio di output da Azure Resource Explorer e dall'API REST di Azure:
{
"value": [
{
"name": "pub1",
"id": "/subscriptions/your-subscription-id/resourceGroups/your-rg/providers/Microsoft.Compute/virtualMachineScaleSets/pipvmss/virtualMachines/0/networkInterfaces/pipvmssnic/ipConfigurations/yourvmssipconfig/publicIPAddresses/pub1",
"etag": "W/\"a64060d5-4dea-4379-a11d-b23cd49a3c8d\"",
"properties": {
"provisioningState": "Succeeded",
"resourceGuid": "ee8cb20f-af8e-4cd6-892f-441ae2bf701f",
"ipAddress": "13.84.190.11",
"publicIPAddressVersion": "IPv4",
"publicIPAllocationMethod": "Dynamic",
"idleTimeoutInMinutes": 15,
"ipConfiguration": {
"id": "/subscriptions/your-subscription-id/resourceGroups/your-rg/providers/Microsoft.Compute/virtualMachineScaleSets/yourvmss/virtualMachines/0/networkInterfaces/yourvmssnic/ipConfigurations/yourvmssipconfig"
}
}
},
{
"name": "pub1",
"id": "/subscriptions/your-subscription-id/resourceGroups/your-rg/providers/Microsoft.Compute/virtualMachineScaleSets/yourvmss/virtualMachines/3/networkInterfaces/yourvmssnic/ipConfigurations/yourvmssipconfig/publicIPAddresses/pub1",
"etag": "W/\"5f6ff30c-a24c-4818-883c-61ebd5f9eee8\"",
"properties": {
"provisioningState": "Succeeded",
"resourceGuid": "036ce266-403f-41bd-8578-d446d7397c2f",
"ipAddress": "13.84.159.176",
"publicIPAddressVersion": "IPv4",
"publicIPAllocationMethod": "Dynamic",
"idleTimeoutInMinutes": 15,
"ipConfiguration": {
"id": "/subscriptions/your-subscription-id/resourceGroups/your-rg/providers/Microsoft.Compute/virtualMachineScaleSets/yourvmss/virtualMachines/3/networkInterfaces/yourvmssnic/ipConfigurations/yourvmssipconfig"
}
}
}
Più indirizzi IP per ogni scheda di interfaccia di rete
Ogni scheda di interfaccia di rete collegata a una macchina virtuale in un set di scalabilità può avere una o più configurazioni IP associate. A ogni configurazione viene assegnato un indirizzo IP privato. Ogni configurazione può anche avere una risorsa di indirizzo IP pubblico associata. Per sapere quanti indirizzi IP possono essere assegnati a una scheda di interfaccia di rete e quanti indirizzi IP pubblici è possibile usare in una sottoscrizione di Azure, vedere Limiti di Azure.
Più schede di interfaccia di rete per ogni macchina virtuale
È possibile avere fino a 8 schede di interfaccia di rete per ogni macchina virtuale, a seconda delle dimensioni del computer. Il numero massimo di schede di interfaccia di rete per computer è disponibile nell'articolo sulle dimensioni per le VM. Tutte le schede di interfaccia di rete connesse a un'istanza di macchina virtuale devono connettersi alla stessa rete virtuale. Le schede di interfaccia di rete possono connettersi a subnet diverse, ma tutte le subnet devono far parte della stessa rete virtuale.
L'esempio seguente è un profilo di rete del set di scalabilità che mostra più voci di schede di interfaccia di rete e più IP pubblici per ogni macchina virtuale:
"networkProfile": {
"networkInterfaceConfigurations": [
{
"name": "nic1",
"properties": {
"primary": true,
"ipConfigurations": [
{
"name": "ip1",
"properties": {
"subnet": {
"id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/virtualNetworks/', variables('vnetName'), '/subnets/subnet1')]"
},
"publicipaddressconfiguration": {
"name": "pub1",
"properties": {
"idleTimeoutInMinutes": 15
}
},
"loadBalancerInboundNatPools": [
{
"id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/loadBalancers/', variables('lbName'), '/inboundNatPools/natPool1')]"
}
],
"loadBalancerBackendAddressPools": [
{
"id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/loadBalancers/', variables('lbName'), '/backendAddressPools/addressPool1')]"
}
]
}
}
]
}
},
{
"name": "nic2",
"properties": {
"primary": false,
"ipConfigurations": [
{
"name": "ip1",
"properties": {
"subnet": {
"id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/virtualNetworks/', variables('vnetName'), '/subnets/subnet1')]"
},
"publicipaddressconfiguration": {
"name": "pub1",
"properties": {
"idleTimeoutInMinutes": 15
}
},
"loadBalancerInboundNatPools": [
{
"id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/loadBalancers/', variables('lbName'), '/inboundNatPools/natPool1')]"
}
],
"loadBalancerBackendAddressPools": [
{
"id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/loadBalancers/', variables('lbName'), '/backendAddressPools/addressPool1')]"
}
]
}
}
]
}
}
]
}
Gruppi di sicurezza di rete e gruppi di sicurezza delle applicazioni per set di scalabilità
I gruppi di sicurezza di rete permettono di filtrare il traffico da e verso risorse di Azure in una rete virtuale di Azure usando le regole di sicurezza. I gruppi di sicurezza delle applicazioni consentono di gestire la sicurezza di rete delle risorse di Azure e raggrupparle come estensione della struttura dell'applicazione.
I gruppi di sicurezza di rete possono essere applicati direttamente a un set di scalabilità, aggiungendo un riferimento alla sezione della configurazione dell'interfaccia di rete delle proprietà delle macchine virtuali del set di scalabilità.
I gruppi di sicurezza delle applicazioni possono essere specificati anche direttamente in un set di scalabilità, aggiungendo un riferimento alla sezione delle configurazioni IP dell'interfaccia di rete delle proprietà delle macchine virtuali del set di scalabilità.
Ad esempio:
"networkProfile": {
"networkInterfaceConfigurations": [
{
"name": "nic1",
"properties": {
"primary": true,
"ipConfigurations": [
{
"name": "ip1",
"properties": {
"subnet": {
"id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/virtualNetworks/', variables('vnetName'), '/subnets/subnet1')]"
},
"applicationSecurityGroups": [
{
"id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/applicationSecurityGroups/', variables('asgName'))]"
}
],
"loadBalancerInboundNatPools": [
{
"id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/loadBalancers/', variables('lbName'), '/inboundNatPools/natPool1')]"
}
],
"loadBalancerBackendAddressPools": [
{
"id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/loadBalancers/', variables('lbName'), '/backendAddressPools/addressPool1')]"
}
]
}
}
],
"networkSecurityGroup": {
"id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/networkSecurityGroups/', variables('nsgName'))]"
}
}
}
]
}
Per verificare che il gruppo di sicurezza di rete sia associato al set di scalabilità, usare il comando az vmss show
. L'esempio seguente usa --query
per filtrare i risultati e mostra solo la relativa sezione dell'output.
az vmss show \
-g myResourceGroup \
-n myScaleSet \
--query virtualMachineProfile.networkProfile.networkInterfaceConfigurations[].networkSecurityGroup
[
{
"id": "/subscriptions/.../resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/nsgName",
"resourceGroup": "myResourceGroup"
}
]
Per verificare che il gruppo di sicurezza dell'applicazione sia associato al set di scalabilità, usare il comando az vmss show
. L'esempio seguente usa --query
per filtrare i risultati e mostra solo la relativa sezione dell'output.
az vmss show \
-g myResourceGroup \
-n myScaleSet \
--query virtualMachineProfile.networkProfile.networkInterfaceConfigurations[].ipConfigurations[].applicationSecurityGroups
[
[
{
"id": "/subscriptions/.../resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationSecurityGroups/asgName",
"resourceGroup": "myResourceGroup"
}
]
]
Apportare aggiornamenti di rete a istanze specifiche
È possibile apportare aggiornamenti di rete a istanze specifiche del set di scalabilità di macchine virtuali.
È possibile PUT
usare l'istanza di per aggiornare la configurazione di rete. Questa operazione può essere usata per eseguire operazioni come aggiungere o rimuovere schede di interfaccia di rete o rimuovere un'istanza da un pool back-end.
PUT https://management.azure.com/subscriptions/.../resourceGroups/vmssnic/providers/Microsoft.Compute/virtualMachineScaleSets/vmssnic/virtualMachines/1/?api-version=2019-07-01
Nell'esempio seguente viene illustrato come aggiungere una seconda configurazione IP alla scheda di interfaccia di rete.
GET
dettagli per un'istanza specifica del set di scalabilità di macchine virtuali.GET https://management.azure.com/subscriptions/.../resourceGroups/vmssnic/providers/Microsoft.Compute/virtualMachineScaleSets/vmssnic/virtualMachines/1/?api-version=2019-07-01
Di seguito è stato semplificato per visualizzare solo i parametri di rete per questo esempio.
{ ... "properties": { ... "networkProfileConfiguration": { "networkInterfaceConfigurations": [ { "name": "vmssnic-vnet-nic01", "properties": { "primary": true, "enableAcceleratedNetworking": false, "networkSecurityGroup": { "id": "/subscriptions/123a1a12-a123-1ab1-12a1-12a1a1234ab1/resourceGroups/vmssnic/providers/Microsoft.Network/networkSecurityGroups/basicNsgvmssnic-vnet-nic01" }, "dnsSettings": { "dnsServers": [] }, "enableIPForwarding": false, "ipConfigurations": [ { "name": "vmssnic-vnet-nic01-defaultIpConfiguration", "properties": { "publicIPAddressConfiguration": { "name": "publicIp-vmssnic-vnet-nic01", "properties": { "idleTimeoutInMinutes": 15, "ipTags": [], "publicIPAddressVersion": "IPv4" } }, "primary": true, "subnet": { "id": "/subscriptions/123a1a12-a123-1ab1-12a1-12a1a1234ab1/resourceGroups/vmssnic/providers/Microsoft.Network/virtualNetworks/vmssnic-vnet/subnets/default" }, "privateIPAddressVersion": "IPv4" } } ] } } ] }, ... } }
PUT
nell'istanza di , aggiornando per aggiungere la configurazione IP aggiuntiva. Questa operazione è simile per l'aggiunta di ulteriori .networkInterfaceConfiguration
PUT https://management.azure.com/subscriptions/.../resourceGroups/vmssnic/providers/Microsoft.Compute/virtualMachineScaleSets/vmssnic/virtualMachines/1/?api-version=2019-07-01
Di seguito è stato semplificato per visualizzare solo i parametri di rete per questo esempio.
{ ... "properties": { ... "networkProfileConfiguration": { "networkInterfaceConfigurations": [ { "name": "vmssnic-vnet-nic01", "properties": { "primary": true, "enableAcceleratedNetworking": false, "networkSecurityGroup": { "id": "/subscriptions/123a1a12-a123-1ab1-12a1-12a1a1234ab1/resourceGroups/vmssnic/providers/Microsoft.Network/networkSecurityGroups/basicNsgvmssnic-vnet-nic01" }, "dnsSettings": { "dnsServers": [] }, "enableIPForwarding": false, "ipConfigurations": [ { "name": "vmssnic-vnet-nic01-defaultIpConfiguration", "properties": { "publicIPAddressConfiguration": { "name": "publicIp-vmssnic-vnet-nic01", "properties": { "idleTimeoutInMinutes": 15, "ipTags": [], "publicIPAddressVersion": "IPv4" } }, "primary": true, "subnet": { "id": "/subscriptions/123a1a12-a123-1ab1-12a1-12a1a1234ab1/resourceGroups/vmssnic/providers/Microsoft.Network/virtualNetworks/vmssnic-vnet/subnets/default" }, "privateIPAddressVersion": "IPv4" } }, { "name": "my-second-config", "properties": { "subnet": { "id": "/subscriptions/123a1a12-a123-1ab1-12a1-12a1a1234ab1/resourceGroups/vmssnic/providers/Microsoft.Network/virtualNetworks/vmssnic-vnet/subnets/default" }, "privateIPAddressVersion": "IPv4" } } ] } } ] }, ... } }
Connettività in uscita di rete esplicita per i set di scalabilità flessibili
Per migliorare la sicurezza di rete predefinita, set di scalabilità di macchine virtuali con orchestrazione flessibile richiederà che le istanze create in modo implicito tramite il profilo di scalabilità automatica abbiano la connettività in uscita definita in modo esplicito tramite uno dei metodi seguenti:
- Per la maggior parte degli scenari, è consigliabile collegare il gateway NAT alla subnet.
- Per gli scenari con requisiti di sicurezza elevati o quando si usa Firewall di Azure o appliance virtuale di rete (NVA), è possibile specificare una route personalizzata definita dall'utente come hop successivo tramite il firewall.
- Le istanze si trovano nel pool back-end di uno SKU Standard di Azure Load Balancer.
- Collegare un indirizzo IP pubblico all'interfaccia di rete dell'istanza.
Con macchine virtuali a istanza singola e set di scalabilità di macchine virtuali con orchestrazione uniforme, la connettività in uscita viene fornita automaticamente.
Gli scenari comuni che richiedono la connettività in uscita esplicita includono:
- L'attivazione di macchine virtuali Windows richiederà di avere definito la connettività in uscita dall'istanza della macchina virtuale all'attivazione di Windows Servizio di gestione delle chiavi (KMS). Per altre informazioni, vedere Risolvere i problemi di attivazione delle macchine virtuali Windows.
- Accesso agli account di archiviazione o a Key Vault. È anche possibile stabilire la connettività ai servizi di Azure tramite collegamento privato.
Per altre informazioni sulla definizione di connessioni in uscita sicure, vedere Accesso in uscita predefinito in Azure .
Passaggi successivi
Per altre informazioni sulle reti virtuali di Azure, vedere la panoramica delle reti virtuali di Azure.