Condividi tramite


Pianificare le reti virtuali

La creazione di una rete virtuale con cui sperimentare è abbastanza semplice, ma è probabile che si distribuisca più reti virtuali nel tempo per supportare le esigenze di produzione dell'organizzazione. Con una pianificazione, è possibile distribuire reti virtuali e connettere le risorse necessarie in modo più efficace. Le informazioni contenute in questo articolo sono particolarmente utili se si ha già familiarità con le reti virtuali e si ha esperienza con il loro utilizzo. Se non si ha familiarità con le reti virtuali, è consigliabile leggere Panoramica della rete virtuale.

Denominazione

Tutte le risorse di Azure hanno un nome. Il nome deve essere univoco all'interno di un ambito, che può variare per ogni tipo di risorsa. Ad esempio, il nome di una rete virtuale deve essere univoco all'interno di un gruppo di risorse, ma è possibile usare un nome duplicato all'interno di una sottoscrizione o di un'area di Azure. La definizione di una convenzione di denominazione che è possibile usare in modo coerente quando si assegnano nomi alle risorse è utile quando si gestiscono più risorse di rete nel tempo. Per alcuni suggerimenti, vedere Naming conventions (Convenzioni di denominazione).

Aree

Tutte le risorse di Azure vengono create in un'area e in una sottoscrizione di Azure. È possibile creare una risorsa solo in una rete virtuale presente nella stessa area e nella stessa sottoscrizione della risorsa. È tuttavia possibile connettere reti virtuali presenti in sottoscrizioni e aree diverse. Per altre informazioni, vedere Connettività. Quando si decide quali aree in cui distribuire le risorse, prendere in considerazione la posizione fisica dei consumer delle risorse:

  • La latenza di rete è bassa? I consumer delle risorse in genere richiedono la latenza di rete più bassa per le loro risorse. Per determinare le latenze relative tra una posizione specificata e le aree di Azure, vedere Visualizzare le latenze relative.
  • Sono presenti requisiti di residenza, sovranità , conformità  o resilienza dei dati? In tal caso, è fondamentale scegliere l'area adeguata ai requisiti. Per altre informazioni, vedere Aree geografiche di Azure.
  • È necessaria resilienza tra le zone di disponibilità di Azure all'interno della stessa area di Azure per le risorse distribuite? È possibile distribuire risorse, ad esempio macchine virtuali, in zone di disponibilità diverse all'interno della stessa rete virtuale. Non tutte le aree di Azure supportano le zone di disponibilità. Per altre informazioni sulle zone di disponibilità e sulle aree che le supportano, vedere Zone di disponibilità.

Sottoscrizioni

È possibile distribuire le reti virtuali in base alle esigenze all'interno di ogni sottoscrizione, fino ad arrivare al limite. Alcune organizzazioni hanno diverse sottoscrizioni per reparti diversi, ad esempio. Per altre informazioni e considerazioni riguardanti le sottoscrizioni, vedere Governance sottoscrizione.

Segmentazione

È possibile creare più reti virtuali per ogni sottoscrizione e per ogni area. È possibile creare più subnet all'interno di ogni rete virtuale. Le considerazioni seguenti consentono di determinare il numero di reti virtuali e subnet necessarie.

Reti virtuali

Una rete virtuale è una parte virtuale, isolata della rete pubblica di Azure. Ogni rete virtuale è dedicata alla sottoscrizione. Quando si decide se creare una rete virtuale o più reti virtuali in una sottoscrizione, prendere in considerazione i punti seguenti:

  • Sono presenti requisiti di sicurezza aziendali per isolare il traffico in reti virtuali separate? È possibile scegliere di connettere o meno le reti virtuali. Se si connettono le reti virtuali, è possibile implementare un'appliance virtuale di rete, ad esempio un firewall, per controllare il flusso del traffico tra le reti virtuali. Per altre informazioni, vedere Sicurezza e connettività.
  • Sono presenti requisiti aziendali per isolare le reti virtuali in sottoscrizioni o aree separate?
  • Sono previsti requisiti dell'interfaccia di rete? Un'interfaccia di rete consente a una macchina virtuale di comunicare con altre risorse. Ogni interfaccia di rete ha uno o più indirizzi IP privati associati. Quante interfacce di rete e indirizzi IP privati sono necessari in una rete virtuale? Sono previsti dei limiti al numero di interfacce di rete e indirizzi IP privati che è possibile avere all'interno di una rete virtuale.
  • La rete virtuale deve essere connessa a un'altra rete virtuale o alla rete locale? È possibile decidere di connettere alcune reti virtuali tra loro o reti locali, ma non ad altre. Per altre informazioni, vedere Connettività. Ogni rete virtuale con cui ci si connette a un'altra rete virtuale o a una rete locale deve avere uno spazio indirizzi univoco. Ogni rete virtuale ha uno o più intervalli di indirizzi pubblici o privati assegnati al proprio spazio degli indirizzi. Viene specificato un intervallo di indirizzi in un formato routing di dominio classless internet (CIDR), ad esempio 10.0.0.0/16. Altre informazioni sugli intervalli di indirizzi per le reti virtuali.
  • Si dispone di tutti i requisiti aziendali di amministrazione per le risorse in reti virtuali diverse? In tal caso, è possibile separare le risorse in reti virtuali separate per semplificare l'assegnazione delle autorizzazioni a singoli utenti dell'organizzazione o per assegnare criteri diversi a reti virtuali diverse.
  • Sono previsti requisiti per le risorse che possono creare la propria rete virtuale? Quando si distribuiscono alcune risorse del servizio di Azure in una rete virtuale, essere creano la propria rete virtuale. Per determinare se un servizio di Azure crea una propria rete virtuale, vedere le informazioni per ogni servizio di Azure che è possibile distribuire in una rete virtuale.

Subnet

È possibile segmentare una rete virtuale in una o più subnet fino ai limiti. Quando si decide se creare una subnet o più reti virtuali in una sottoscrizione, prendere in considerazione i punti seguenti:

  • Avere un intervallo di indirizzi univoco per ogni subnet, specificato in formato CIDR, all'interno dello spazio indirizzi della rete virtuale. L'intervallo di indirizzi non può sovrapporsi ad altre subnet all'interno della rete virtuale.
  • Tenere presente che se si prevede di distribuire alcune risorse del servizio di Azure in una rete virtuale, potrebbero richiedere o creare una subnet personalizzata. Lo spazio non allocato deve essere sufficiente per farlo. Per determinare se un servizio di Azure crea la propria subnet, vedere le informazioni per ogni servizio di Azure che è possibile distribuire in una rete virtuale. Ad esempio, se si connette una rete virtuale a una rete locale usando un gateway VPN di Azure, la rete virtuale deve avere una subnet dedicata per il gateway. Altre informazioni sulle subnet del gateway.
  • Eseguire l'override del routing predefinito per il traffico di rete tra tutte le subnet in una rete virtuale. Si vuole impedire il routing di Azure tra subnet o indirizzare il traffico tra subnet attraverso un'appliance virtuale di rete, ad esempio. Se è necessario che il traffico tra le risorse nella stessa rete virtuale passi attraverso un'appliance virtuale di rete, distribuire le risorse in subnet diverse. Per altre informazioni, vedere Sicurezza.
  • Limitare l'accesso alle risorse di Azure, ad esempio un account Archiviazione di Azure o database SQL di Azure, a subnet specifiche con un endpoint servizio di rete virtuale. Inoltre, è possibile negare l'accesso alle risorse da internet. È possibile creare più subnet e abilitare un endpoint di servizio per alcune subnet, ma non per altre. Altre informazioni sugli endpoint di servizio e sulle risorse di Azure per cui è possibile abilitarle.
  • Associare zero o un gruppo di sicurezza di rete a ogni subnet in una rete virtuale. È possibile associare lo stesso gruppo di protezione o un altro per ogni subnet di rete. Ogni gruppo di sicurezza di rete contiene regole che consentono o negano il traffico da e verso le origini e le destinazioni. Vedere altre informazioni sui gruppi di sicurezza di rete.

Sicurezza

È possibile filtrare il traffico di rete da e verso le risorse in una rete virtuale tramite i gruppi di sicurezza di rete e i dispositivi di rete virtuale. È possibile controllare come Azure instrada il traffico proveniente da subnet. È inoltre possibile limitare gli utenti dell'organizzazione che possono usare le risorse nelle reti virtuali.

Filtro del traffico

  • Per filtrare il traffico di rete tra le risorse in una rete virtuale, usare un gruppo di sicurezza di rete, un'appliance virtuale di rete che filtra il traffico di rete o entrambi. Per distribuire un'appliance virtuale di rete, ad esempio un firewall, per filtrare il traffico di rete, vedere Azure Marketplace. Quando si usa un'appliance virtuale di rete, si creano anche route personalizzate per instradare il traffico dalle subnet all'appliance virtuale di rete. Altre informazioni su routing del traffico.
  • Un gruppo di sicurezza di rete contiene diverse regole di sicurezza predefinite che consentono o negano il traffico verso o dalle risorse. È possibile associare un gruppo di sicurezza di rete a un'interfaccia di rete, alla subnet in cui si trova l'interfaccia di rete o a entrambi. Per semplificare la gestione delle regole di sicurezza, è consigliabile associare un gruppo di sicurezza di rete a singole subnet anziché a singole interfacce di rete all'interno della subnet, quando possibile.
  • Se diverse macchine virtuali all'interno di una subnet hanno bisogno che ad esse si applichino regole di sicurezza diverse, è possibile associare l'interfaccia di rete nella macchina virtuale a uno o più gruppi di sicurezza dell'applicazione. Una regola di sicurezza può specificare un gruppo di sicurezza delle applicazioni nella propria, nella destinazione, o in entrambe. Tale regola si applica quindi solo alle interfacce di rete che sono membri del gruppo di sicurezza delle applicazioni. Altre informazioni sui gruppi di sicurezza di rete e sui gruppi di sicurezza dell'applicazione.
  • Quando un gruppo di sicurezza di rete è associato a livello di subnet, si applica a tutti i controller dell'interfaccia di rete nella subnet, non solo al traffico proveniente dall'esterno della subnet. Anche il traffico tra le macchine virtuali contenute nella subnet potrebbe essere interessato.
  • Azure crea diverse regole di sicurezza predefinite all'interno di ogni gruppo di sicurezza di rete. Una regola predefinita consente a tutto il traffico di fluire tra tutte le risorse in una rete virtuale. Per eseguire l'override di questo comportamento, usare i gruppi di sicurezza di rete, il routing personalizzato per instradare il traffico a una NVA, o entrambi. È consigliabile acquisire familiarità con tutte le regole di sicurezza predefinite di Azure e comprendere come vengono applicate le regole del gruppo di sicurezza di rete a una risorsa.

È possibile visualizzare le progettazioni di esempio per l'implementazione di una rete perimetrale (nota anche come rete perimetrale) tra Azure e Internet usando un'appliance virtuale di rete.

instradamento del traffico

Azure crea diverse route predefinite per il traffico in uscita da una subnet. È possibile eseguire l'override del routing predefinito di Azure creando una tabella di route e associandola a una subnet. I motivi comuni per eseguire l'override del routing predefinito di Azure sono:

  • Si vuole che il traffico tra subnet passi attraverso un'appliance virtuale di rete. Altre informazioni su come configurare le tabelle di route per forzare il traffico attraverso un'appliance virtuale di rete.
  • Si vuole forzare tutto il traffico associato a Internet tramite un'appliance virtuale di rete o in locale tramite un gateway VPN di Azure. Forzare il traffico associato a internet in locale per l'ispezione e la registrazione è spesso definito come tunneling forzato. Altre informazioni su come configurare il tunneling forzato.

Se è necessario implementare il routing personalizzato, è consigliabile acquisire familiarità con il routing in Azure.

Connettività

È possibile connettere una rete virtuale ad altre reti virtuali usando il peering di rete virtuale o la rete locale usando un gateway VPN di Azure.

Peering

Quando si usa il peering di rete virtuale, è possibile avere reti virtuali nelle stesse o diverse aree di Azure supportate. È possibile avere reti virtuali nella stessa sottoscrizione di Azure o in sottoscrizioni diverse (anche sottoscrizioni appartenenti a tenant Microsoft Entra diversi).

Prima di creare un peering, è consigliabile acquisire familiarità con tutti i requisiti e i vincoli di peering. La larghezza di banda tra le risorse nelle reti virtuali con peering nella stessa area rimane uguale a quella tra le risorse nella stessa rete virtuale.

gateway VPN

È possibile usare un gateway VPN di Azure per connettere una rete virtuale alla rete locale usando una VPN da sito a sito o una connessione dedicata con Azure ExpressRoute.

È possibile combinare il peering e un gateway VPN per creare reti hub-spoke, in cui le reti virtuali spoke si connettono a una rete virtuale hub e l'hub si connette a una rete locale, ad esempio.

Risoluzione dei nomi

Le risorse in una rete virtuale non possono risolvere i nomi delle risorse in una rete virtuale con peering usando il dns (Domain Name System) predefinito di Azure. Per risolvere i nomi in una rete virtuale con peering, distribuire il proprio server DNS o usare domini privati DNS di Azure. La risoluzione dei nomi tra le reti locali e le risorse in una rete virtuale richiede anche di distribuire il proprio server DNS.

Autorizzazioni

Azure usa il controllo degli accessi in base al ruolo di Azure. Le autorizzazioni vengono assegnate a un ambito nella gerarchia di gruppi di gestione, sottoscrizione, gruppo di risorse e singola risorsa. Per altre informazioni sulla gerarchia, vedere organizzare le risorse.

Per usare le reti virtuali di Azure e tutte le relative funzionalità, ad esempio peering, gruppi di sicurezza di rete, endpoint di servizio e tabelle di route, assegnare membri dell'organizzazione ai ruoli predefiniti Proprietario, Collaboratore o Collaboratore rete. Assegnare quindi il ruolo all'ambito appropriato. Se si vogliono assegnare autorizzazioni specifiche per un subset di funzionalità di rete virtuale, creare un ruolo personalizzato e assegnare le autorizzazioni specifiche necessarie per:

Criteri

Con Criteri di Azure è possibile creare, assegnare e gestire definizioni di criteri. Le definizioni dei criteri applicano regole diverse alle risorse, in modo che le risorse rimangano conformi ai contratti di servizio e agli standard dell'organizzazione. Criteri di Azure esegue una valutazione delle risorse. Analizza le risorse che non sono conformi alle definizioni dei criteri disponibili.

Ad esempio, è possibile definire e applicare un criterio che consente la creazione di reti virtuali solo in un gruppo di risorse o in un'area specifici. Un altro criterio potrebbe richiedere che a tutte le subnet sia associato un gruppo di sicurezza di rete. I criteri vengono quindi valutati quando si creano e si aggiornano le risorse.

I criteri vengono applicati alla gerarchia seguente: gruppo di gestione, sottoscrizione e gruppo di risorse. Altre informazioni sulle Criteri di Azure o sulla distribuzione di alcune definizioni di Criteri di Azure di rete virtuale.

Informazioni su tutte le attività, le impostazioni e le opzioni per un: