Affidabilità e Rete virtuale di Azure
Un blocco predefinito fondamentale per la rete privata, Azure Rete virtuale consente alle risorse di Azure di comunicare in modo sicuro tra loro, internet e reti locali.
Le funzionalità principali di Azure Rete virtuale includono:
- Comunicazione con le risorse di Azure
- Comunicazione con Internet
- Comunicazione con risorse locali
- Filtro del traffico di rete
Per altre informazioni, vedere Informazioni sulle Rete virtuale di Azure?
Per informazioni su come Azure Rete virtuale supporta un carico di lavoro affidabile, fare riferimento agli argomenti seguenti:
- Esercitazione: Spostare macchine virtuali tra aree
- Avvio rapido: Creare una rete virtuale usando il portale di Azure
- Rete virtuale - Continuità aziendale
Considerazioni relative alla progettazione
La Rete virtuale (rete virtuale) include le considerazioni di progettazione seguenti per un carico di lavoro di Azure affidabile:
- La sovrapposizione degli spazi di indirizzi IP tra le aree locali e di Azure crea problemi di forte conflitto.
- Sebbene sia possibile aggiungere uno spazio indirizzi Rete virtuale dopo la creazione, questo processo richiede un'interruzione se la Rete virtuale è già connessa a un'altra Rete virtuale tramite peering. Un'interruzione è necessaria perché il peering Rete virtuale viene eliminato e ricreato.
- Il ridimensionamento delle reti virtuali con peering è disponibile in anteprima pubblica (20 agosto 2021).
- Alcuni servizi di Azure richiedono subnet dedicate, ad esempio:
- Firewall di Azure
- Azure Bastion
- Gateway di rete virtuale
- Le subnet possono essere delegate a determinati servizi per creare istanze di tale servizio all'interno della subnet.
- Azure riserva cinque indirizzi IP all'interno di ogni subnet, che devono essere fattorizzati durante il ridimensionamento delle reti virtuali e le subnet incluse.
Elenco di controllo
Azure Rete virtuale è stato configurato con affidabilità?
- Usare i piani di protezione standard DDoS di Azure per proteggere tutti gli endpoint pubblici ospitati all'interno delle reti virtuali del cliente.
- I clienti aziendali devono pianificare l'indirizzamento IP in Azure per assicurarsi che non ci sia spazio di indirizzi IP sovrapposti tra posizioni locali e aree di Azure.
- Usare gli indirizzi IP dall'allocazione degli indirizzi per Internet privati (Richiesta di commento (RFC) 1918.
- Per gli ambienti con indirizzi IP privati limitati (RFC 1918), prendere in considerazione l'uso di IPv6.
- Non creare reti virtuali di grandi dimensioni (ad esempio:
/16
) per assicurarsi che non siano necessari rifiuti di spazio indirizzi IP. - Non creare reti virtuali senza pianificare in anticipo lo spazio indirizzi richiesto.
- Non usare indirizzi IP pubblici per reti virtuali, soprattutto se gli indirizzi IP pubblici non appartengono al cliente.
- Usare endpoint servizio rete virtuale per proteggere l'accesso ai servizi PaaS (Azure Platform as a Service) da una rete virtuale del cliente.
- Per risolvere i problemi di esfiltrazione dei dati con gli endpoint di servizio, usare il filtro dell'appliance virtuale di rete e i criteri endpoint servizio rete virtuale per Archiviazione di Azure.
- Non implementare il tunneling forzato per abilitare la comunicazione da Azure alle risorse di Azure.
- Accedere ai servizi PaaS di Azure da locale tramite peering privato ExpressRoute.
- Per accedere ai servizi PaaS di Azure dalle reti locali quando non sono disponibili l'inserimento della rete virtuale o la collegamento privato, usare ExpressRoute con peering Microsoft quando non sono presenti problemi di esfiltrazione dei dati.
- Non replicare la rete perimetrale locale (nota anche come DMZ, zona demilitarizzata e subnet schermata) concetti e architetture in Azure.
- Assicurarsi che la comunicazione tra i servizi PaaS di Azure inseriti in un Rete virtuale sia bloccata all'interno del Rete virtuale usando route definite dall'utente e gruppi di sicurezza di rete.
- Non usare endpoint servizio rete virtuale quando sono presenti problemi di esfiltrazione dei dati, a meno che non venga usato il filtro NVA.
- Non abilitare gli endpoint servizio rete virtuale per impostazione predefinita in tutte le subnet.
Raccomandazioni per la configurazione
Prendere in considerazione i consigli seguenti per ottimizzare l'affidabilità durante la configurazione di un Rete virtuale di Azure:
Recommendation | Descrizione |
---|---|
Non creare reti virtuali senza pianificare in anticipo lo spazio indirizzi richiesto. | L'aggiunta dello spazio degli indirizzi causerà un'interruzione dopo la connessione di un Rete virtuale tramite il peering Rete virtuale. |
Usare endpoint servizio rete virtuale per proteggere l'accesso ai servizi PaaS (Azure Platform as a Service) da una rete virtuale del cliente. | Solo quando collegamento privato non è disponibile e quando non sono presenti problemi di esfiltrazione dei dati. |
Accedere ai servizi PaaS di Azure da locale tramite peering privato ExpressRoute. | Usare l'inserimento di reti virtuali per i servizi di Azure dedicati o collegamento privato di Azure per i servizi di Azure condivisi disponibili. |
Per accedere ai servizi PaaS di Azure dalle reti locali quando non sono disponibili l'inserimento della rete virtuale o la collegamento privato, usare ExpressRoute con peering Microsoft quando non sono presenti problemi di esfiltrazione dei dati. | Evita il transito su Internet pubblico. |
Non replicare la rete perimetrale locale (nota anche come DMZ, zona demilitarizzata e subnet schermata) concetti e architetture in Azure. | I clienti possono ottenere funzionalità di sicurezza simili in Azure come locali, ma l'implementazione e l'architettura dovranno essere adattate al cloud. |
Assicurarsi che la comunicazione tra i servizi PaaS di Azure inseriti in un Rete virtuale sia bloccata all'interno del Rete virtuale usando route definite dall'utente e gruppi di sicurezza di rete. | I servizi PaaS di Azure inseriti in un Rete virtuale ancora eseguono operazioni del piano di gestione usando indirizzi IP pubblici. |