Che cos'è una Rete virtuale di Azure

Completato

Rete virtuale di Azure è un servizio che fornisce il blocco predefinito fondamentale per la rete privata in Azure. Un'istanza del servizio (una rete virtuale) consente a molti tipi di risorse di Azure di comunicare in modo sicuro tra loro, Internet e reti locali. Queste risorse di Azure includono macchine virtuali (VM).

Una rete virtuale è simile a una rete tradizionale gestita nel proprio data center. Offre tuttavia vantaggi aggiuntivi dell'infrastruttura di Azure, ad esempio scalabilità, disponibilità e isolamento.

Diagramma che mostra un esempio di rete virtuale di Azure.

Perché usare una rete virtuale di Azure?

Gli scenari principali che è possibile realizzare in una rete virtuale includono:

  • Comunicazione delle risorse di Azure con Internet.
  • Comunicazione tra risorse di Azure.
  • Comunicazione con risorse locali.
  • Filtro del traffico di rete.
  • Routing del traffico di rete.
  • Integrazione con i servizi di Azure.

Comunicare con Internet

Per impostazione predefinita, tutte le risorse in una rete virtuale possono comunicare verso l'esterno con Internet. È anche possibile usare un indirizzo IP pubblico, gateway NAT o bilanciamento del carico pubblico per gestire le connessioni in uscita. Per la comunicazione in ingresso con una risorsa, è possibile assegnarle un indirizzo IP pubblico o un servizio di bilanciamento del carico pubblico.

Quando si usa solo un'istanza di Load Balancer Standard interna, la connettività in uscita non è disponibile finché non si definisce la modalità di funzionamento desiderata per le connessioni in uscita con un indirizzo IP pubblico a livello di istanza o un servizio di bilanciamento del carico pubblico.

Comunicazione tra risorse di Azure

Le risorse di Azure comunicano in modo sicuro tra di esse in uno dei modi seguenti:

  • Rete virtuale: È possibile distribuire macchine virtuali e altri tipi di risorse di Azure in una rete virtuale. Esempi di risorse includono ambienti del servizio app, servizio Azure Kubernetes e set di scalabilità di macchine virtuali di Azure. Per visualizzare un elenco completo delle risorse di Azure che è possibile distribuire in una rete virtuale, vedere Distribuire servizi di Azure dedicati in reti virtuali.
  • Endpoint servizio di rete virtuale: È possibile estendere lo spazio indirizzi privato della rete virtuale e l'identità della rete virtuale alle risorse del servizio di Azure tramite una connessione diretta. Tra gli esempi di risorse sono inclusi gli account di archiviazione di Azure e il database SQL di Azure. Gli endpoint servizio consentono di associare le risorse critiche dei servizi di Azure solo a una rete virtuale. Per altre informazioni, vedere Endpoint servizio di rete virtuale.
  • Peering di rete virtuale: È possibile connettere le reti virtuali tra loro usando il peering virtuale. Le risorse in entrambe le reti virtuali possono quindi comunicare tra loro. Le reti virtuali connesse possono trovarsi nelle stesse aree di Azure o diverse. Per altre informazioni, vedere Peering di rete virtuale.

Comunicazione con le risorse locali

È possibile connettere i computer e le reti locali a una rete virtuale usando una qualsiasi delle opzioni seguenti:

  • Rete privata virtuale (VPN) da punto a sito: viene stabilita tra una rete virtuale e un singolo computer nella rete. Per ogni computer per cui si vuole stabilire la connettività con una rete virtuale è necessario configurare la connessione. Questo tipo di connessione è utile se si sta appena iniziando a usare Azure o per gli sviluppatori, perché richiede poche o nessuna modifica a una rete esistente. La comunicazione tra il computer e una rete virtuale viene inviata attraverso un tunnel crittografato tramite Internet. Per altre informazioni, vedere Informazioni sulla VPN da punto a sito.
  • VPN da sito a sito: Viene stabilita tra il dispositivo VPN locale e un gateway VPN di Azure distribuito in una rete virtuale. Questo tipo di connessione consente a qualsiasi risorsa locale autorizzata dall'utente di accedere a una rete virtuale. La comunicazione tra il dispositivo VPN locale e un gateway VPN di Azure viene inviata attraverso un tunnel crittografato tramite Internet. Per altre informazioni, vedere VPN da sito a sito.
  • Azure ExpressRoute: viene stabilita tra la rete e Azure tramite un partner ExpressRoute. La connessione è privata. Il traffico non passa da Internet. Per altre informazioni, vedere Che cos'è Azure ExpressRoute?.

Filtri per il traffico di rete

È possibile filtrare il traffico di rete tra subnet usando una o entrambe le opzioni seguenti:

  • Gruppi di sicurezza di rete: i gruppi di sicurezza di rete e i gruppi di sicurezza delle applicazioni possono contenere più regole di sicurezza in ingresso e in uscita. Queste regole consentono di filtrare il traffico da e verso le risorse in base a indirizzo IP di origine e destinazione, porta e protocollo. Per altre informazioni, vedere Gruppi di sicurezza di rete e Gruppi di sicurezza delle applicazioni.
  • Appliance virtuali di rete: Un'appliance virtuale di rete è una macchina virtuale che esegue una funzione di rete, ad esempio un firewall o un'ottimizzazione WAN. Per visualizzare un elenco di appliance virtuali di rete disponibili che è possibile distribuire in una rete virtuale, passare ad Azure Marketplace.

Indirizzare il traffico di rete

Azure instrada il traffico tra subnet, reti virtuali connesse, reti locali e Internet, per impostazione predefinita. È possibile implementare una o entrambe le opzioni seguenti per eseguire l'override delle route predefinite create da Azure:

  • Tabelle di route: È possibile creare tabelle di route personalizzate che controllano dove viene instradato il traffico per ogni subnet.
  • Route BGP (Border Gateway Protocol): Se si connette la rete virtuale alla rete locale usando un gateway VPN di Azure o una connessione ExpressRoute, è possibile propagare le route BGP locali alle reti virtuali.

Eseguire l'integrazione con i servizi di Azure

L'integrazione dei servizi di Azure con una rete virtuale di Azure consente l'accesso privato al servizio da macchine virtuali o risorse di calcolo nella rete virtuale. Per questa integrazione è possibile usare le opzioni seguenti:

  • Distribuire istanze dedicate del servizio in una rete virtuale. I servizi sono accessibili privatamente all'interno della rete virtuale e da reti locali.
  • Usare collegamento privato di Azure per accedere privatamente a un'istanza specifica del servizio dalla rete virtuale e dalle reti locali.
  • Accedere al servizio tramite endpoint pubblici estendendo una rete virtuale al servizio tramite gli endpoint di servizio. Gli endpoint di servizio consentono di proteggere le risorse del servizio nella rete virtuale.

Limiti

Esistono limiti al numero di risorse di Azure che è possibile distribuire. La maggior parte dei limiti relativi alla rete di Azure sono impostati ai rispettivi valori massimi. Tuttavia, è possibile aumentare determinati limiti di rete. Per altre informazioni, vedere Limiti di rete.

Reti virtuali e zone di disponibilità

Le reti virtuali e le subnet si estendono su tutte le zone di disponibilità di un'area. Non è quindi necessario suddividerle in base alle zone di disponibilità per supportare le risorse di zona. Se, ad esempio, si configura una macchina virtuale di zona, non è necessario considerare la rete virtuale quando si seleziona la zona di disponibilità per la macchina virtuale. Lo stesso principio vale per le altre risorse di zona.

Prezzi

Non è previsto alcun addebito per l'uso della rete virtuale di Azure. È gratuito. Gli addebiti standard si applicano alle risorse, ad esempio macchine virtuali e altri prodotti. Per altre informazioni, vedere Prezzi della rete virtuale e calcolatore prezzi di Azure.