Affidabilità e connettività di rete
La connettività di rete include tre modelli di Azure per la connettività di rete privata:
- Aggiunta di una rete virtuale
- Endpoint di servizio di rete virtuale
- Collegamento privato
L'inserimento della rete virtuale si applica ai servizi distribuiti in modo specifico per l'utente, ad esempio:
- nodi servizio Azure Kubernetes (AKS)
- Istanza gestita di SQL
- Macchine virtuali
Queste risorse si connettono direttamente alla rete virtuale.
gli endpoint di servizio Rete virtuale (rete virtuale) offrono connettività sicura e diretta ai servizi di Azure. Questi endpoint di servizio usano una route ottimizzata sulla rete di Azure. Gli endpoint di servizio consentono agli indirizzi IP privati della rete virtuale di raggiungere l'endpoint di un servizio di Azure senza bisogno di un indirizzo IP pubblico nella rete virtuale.
collegamento privato fornisce l'accesso dedicato usando indirizzi IP privati alle istanze PaaS di Azure o ai servizi personalizzati dietro un Azure Load Balancer Standard.
Considerazioni relative alla progettazione
La connettività di rete include le considerazioni di progettazione seguenti correlate a un carico di lavoro affidabile:
Usare il collegamento privato, se disponibile, per i servizi PaaS di Azure condivisi. collegamento privato è disponibile a livello generale per diversi servizi ed è disponibile in anteprima pubblica per numerosi servizi.
Accedere ai servizi PaaS di Azure da locale tramite peering privato ExpressRoute .
Usare l'inserimento di reti virtuali per i servizi di Azure dedicati o collegamento privato di Azure per i servizi condivisi di Azure disponibili. Per accedere ai servizi PaaS di Azure da locale quando l'inserimento di reti virtuali o collegamento privato non è disponibile, usare ExpressRoute con peering Microsoft. Questo metodo evita il transito su Internet pubblico.
Usare gli endpoint del servizio di rete virtuale per proteggere l'accesso ai servizi PaaS di Azure dall'interno della rete virtuale. Usare gli endpoint del servizio di rete virtuale solo quando collegamento privato non è disponibile e non sono presenti problemi con lo spostamento non autorizzato dei dati.
Gli endpoint di servizio non consentono l'accesso a un servizio PaaS dalle reti locali. Gli endpoint privati fanno.
Per risolvere i problemi relativi allo spostamento non autorizzato dei dati con gli endpoint di servizio, usare il filtro dell'appliance virtuale di rete. È anche possibile usare i criteri dell'endpoint del servizio di rete virtuale per Archiviazione di Azure.
I servizi di sicurezza di rete nativi seguenti sono servizi completamente gestiti. I clienti non comportano costi operativi e di gestione associati alle distribuzioni dell'infrastruttura, che possono diventare complesse su larga scala:
- Firewall di Azure
- Gateway applicazione
- Frontdoor di Azure
I servizi PaaS sono in genere accessibili tramite endpoint pubblici. La piattaforma Azure offre funzionalità per proteggere questi endpoint o renderli completamente privati.
È anche possibile usare appliance virtuali di rete di terze parti se il cliente preferisce le situazioni in cui i servizi nativi non soddisfano requisiti specifici.
Elenco di controllo
La connettività di rete è stata configurata con affidabilità?
- Non implementare il tunneling forzato per abilitare la comunicazione da Azure alle risorse di Azure.
- A meno che non si usi il filtro dell'appliance virtuale di rete( NVA), non usare gli endpoint del servizio di rete virtuale quando si verificano problemi relativi al movimento non autorizzato dei dati.
- Non abilitare gli endpoint servizio di rete virtuale per impostazione predefinita in tutte le subnet.