Condividi tramite


Panoramica dei servizi di rete di Azure

I servizi di rete in Azure offrono diverse funzionalità di rete che possono essere usate insieme o separatamente. Selezionare ognuno degli scenari di rete seguenti per altre informazioni:

  • Rete di base: i servizi di base di rete di Azure forniscono connettività di base per le risorse in Azure - Rete virtuale (rete virtuale), collegamento privato, DNS di Azure, Azure Bastion, Server di route, gateway NAT e Gestione traffico.
  • Bilanciamento del carico e distribuzione di contenuti: i servizidi bilanciamento del carico e distribuzione di contenuti di Azure consentono la gestione, la distribuzione e l'ottimizzazione delle applicazioni e dei carichi di lavoro: bilanciamento del carico, gateway applicazione e Frontdoor di Azure.
  • Connettività ibrida: i servizi di connettività ibrida di Azure proteggono le comunicazioni da e verso le risorse in Azure: Gateway VPN, ExpressRoute, rete WAN virtuale e servizio di peering.
  • Sicurezza di rete: i servizi di sicurezza di rete di Azure proteggono le applicazioni Web e i servizi IaaS da attacchi DDoS e da attori malintenzionati: Gestione firewall, Firewall, Web Application Firewall e Protezione DDoS.
  • Gestione e monitoraggio della rete: i servizi di gestione e monitoraggio della rete di Azure forniscono strumenti per gestire e monitorare le risorse di rete: Network Watcher, Monitoraggio di Azure e Azure Rete virtuale Manager.

Nozioni di base sulla rete

Questa sezione descrive i servizi che forniscono i blocchi predefiniti per la progettazione e la progettazione di un ambiente di rete in Azure - Rete virtuale (VNet), collegamento privato, DNS di Azure, Azure Bastion, Server di route, gateway NAT e Gestione traffico.

Rete virtuale

Rete virtuale di Azure (VNet) è il blocco predefinito fondamentale per la rete privata in Azure. È possibile usare le reti virtuali per:

  • Comunicazione tra le risorse di Azure: è possibile distribuire macchine virtuali e diversi altri tipi di risorse di Azure in una rete virtuale, ad esempio ambienti del servizio app di Azure, il servizio Azure Kubernetes e i set di scalabilità di macchine virtuali di Azure. Per visualizzare un elenco completo delle risorse di Azure che è possibile distribuire in una rete virtuale, vedere Integrazione del servizio di rete virtuale.
  • Comunicazione di risorse tra loro: è possibile connettere le reti virtuali tra loro, consentendo alle risorse in entrambe le reti virtuali di comunicare tra loro, usando il peering di rete virtuale o la gestione rete virtuale di Azure. Le reti virtuali connesse possono essere in aree di Azure uguali o diversi. Per altre informazioni vedere Peering di reti virtuali e Gestione rete virtuale di Azure.
  • Comunicare con Internet: per impostazione predefinita tutte le risorse in una rete virtuale possono comunicare in uscita verso Internet. Per la comunicazione in ingresso con una risorsa, è possibile assegnarle un indirizzo IP pubblico o un servizio di bilanciamento del carico pubblico. Per gestire le comunicazioni in uscita, è anche possibile usare indirizzi IP pubblici o un servizio di bilanciamento del carico.
  • Comunicare con le reti locali: è possibile connettere i computer e le reti locali a una rete virtuale usando gateway VPN o ExpressRoute.
  • Crittografare il traffico tra le risorse: è possibile usare la crittografia della rete virtuale per crittografare il traffico tra le risorse in una rete virtuale.

Gruppi di sicurezza di rete

È possibile filtrare il traffico di rete da e verso le risorse di Azure in una rete virtuale di Azure con un gruppo di sicurezza di rete. Per altre informazioni, vedere Gruppi di sicurezza di rete.

Endpoint di servizio

Gli endpoint del servizio di rete virtuale (VNet) estendono lo spazio indirizzi privato della rete virtuale e l'identità della rete virtuale ai servizi di Azure tramite una connessione diretta. Gli endpoint consentono di associare le risorse critiche dei servizi di Azure solo alle proprie reti virtuali. Il traffico che transita dalla rete virtuale al servizio di Azure rimane sempre nella rete backbone di Microsoft Azure.

Diagramma degli endpoint servizio di rete virtuale.

Collegamento privato di Azure consente di accedere ai servizi PaaS di Azure, ad esempio Archiviazione di Azure e Database SQL, nonché ai servizi di proprietà di clienti/partner ospitati in Azure tramite un endpoint privato nella rete virtuale. Il traffico tra la rete virtuale e il servizio attraversa la rete backbone di Microsoft. L'esposizione del servizio sulla rete Internet pubblica non è più necessaria. È possibile creare un servizio Collegamento privato personale nella rete virtuale e distribuirlo ai clienti.

Screenshot della panoramica dell'endpoint privato.

DNS Azure

DNS di Azure offre l'hosting e la risoluzione DNS tramite l'infrastruttura di Microsoft Azure. DNS di Azure è costituito da tre servizi:

  • DNS pubblico di Azure è un servizio di hosting per i domini DNS. L'hosting dei domini in Azure consente di gestire i record DNS usando gli stessi strumenti, credenziali, API e fatturazione usati per altri servizi Azure.
  • DNS privato di Azure è un servizio DNS per le reti virtuali. DNS privato di Azure gestisce e risolve i nomi di dominio nella rete virtuale senza la necessità di configurare una soluzione DNS personalizzata.
  • Resolver privato di DNS di Azure è un servizio che consente di eseguire query sulle zone di DNS privato di Azure da un ambiente locale e viceversa senza distribuire server DNS basati su macchine virtuali.

Con DNS di Azure è possibile ospitare e risolvere domini pubblici, gestire la risoluzione DNS nelle reti virtuali e abilitare la risoluzione dei nomi tra risorse locali e di Azure.

Azure Bastion

Azure Bastion è un servizio che è possibile distribuire in una rete virtuale per consentire la connessione a una macchina virtuale usando il browser e il portale di Azure. È anche possibile connettersi usando il client SSH o RDP nativo già installato nel computer locale. Azure Bastion è un nuovo servizio PaaS completamente gestito dalla piattaforma distribuita all'interno della rete virtuale. Offre connettività RDP/SSH sicura e ininterrotta con le macchine virtuali dal portale di Azure tramite TLS. Quando ci si connette tramite Azure Bastion, per le macchine virtuali non è necessario un indirizzo IP pubblico, un agente o un software client speciale. Sono disponibili diversi SKU/livelli per Azure Bastion. Il livello selezionato influisce sulle funzionalità disponibili. Per altre informazioni, vedere Informazioni sulle impostazioni di configurazione di Bastion.

Diagramma che mostra l'architettura di Azure Bastion.

Server di route di Azure

Il server di route di Azure semplifica il routing dinamico tra l'appliance virtuale di rete (NVA) e la rete virtuale. Consente di scambiare informazioni di routing direttamente tramite il protocollo di routing Border Gateway Protocol (BGP) tra qualsiasi appliance virtuale di rete che supporta il protocollo di routing BGP e la rete definita dal software (SDN) di Azure nella rete virtuale di Azure senza la necessità di configurare o gestire manualmente le tabelle di route.

Diagramma che mostra Server di route di Azure configurato in una rete virtuale.

Gateway NAT

Il gateway NAT semplifica la connettività Internet solo in uscita per le reti virtuali. Quando viene configurato in una subnet, per tutta la connettività in uscita vengono usati gli indirizzi IP pubblici statici specificati. La connettività in uscita è possibile senza bilanciamento del carico o indirizzi IP pubblici collegati direttamente alle macchine virtuali. Per altre informazioni, vedere Che cos'è il gateway NAT di Azure?

Diagramma del gateway NAT di rete virtuale.

Gestione traffico

Gestione traffico di Azure è un servizio di bilanciamento del carico basato su DNS che consente di distribuire il traffico in modo ottimale ai servizi nelle aree globali di Azure, offrendo al tempo stesso disponibilità e velocità di risposta elevate. Gestione traffico offre una gamma di metodi di routing per la distribuzione del traffico, ad esempio priorità, ponderazione, prestazioni, area geografica, multi-valore o subnet.

Il diagramma seguente illustra il routing basato su priorità degli endpoint con Gestione traffico:

Diagramma del metodo di routing del traffico

Per altre informazioni su Gestione traffico vedere Che cos'è Gestione traffico di Azure?.

Bilanciamento del carico e distribuzione di contenuti

Questa sezione descrive i servizi di rete in Azure che consentono di distribuire applicazioni e carichi di lavoro - Load Balancer, gateway applicazione e servizio Frontdoor di Azure.

Load Balancer

Azure Load Balancer offre prestazioni elevate e bilanciamento del carico di livello 4 a bassa latenza per tutti i protocolli UDP e TCP. Gestisce le connessioni in ingresso e in uscita. È possibile configurare endpoint con carico bilanciato pubblici e interni e definire regole per il mapping delle connessioni in ingresso a destinazioni del pool back-end, usando opzioni di probe dell'integrità TCP e HTTP per gestire la disponibilità del servizio.

Azure Load Balancer è disponibile negli SKU standard, a livello di area e gateway.

La figura seguente mostra un'applicazione multilivello con connessione Internet che usa servizi di bilanciamento del carico sia interni che esterni:

Screenshot dell'esempio di Azure Load Balancer.

Gateway applicazione

Il gateway applicazione di Azure è un servizio di bilanciamento del carico del traffico Web che consente di gestire il traffico verso le applicazioni Web. Si tratta di un controller per la distribuzione di applicazioni (ADC) come servizi che offre varie funzionalità di bilanciamento del carico di livello 7 per le applicazioni.

Il diagramma seguente mostra il routing basato sul percorso URL con il gateway applicazione.

Immagine dell'esempio del gateway applicazione.

Frontdoor di Azure

Frontdoor di Azure consente di definire, gestire e monitorare il routing globale per il traffico Web rendendo le prestazioni ottimali e il failover globale immediato per una disponibilità elevata. Con Frontdoor è possibile trasformare il consumer globale (multi-area) e le applicazioni aziendali in applicazioni moderne, solide, personalizzate e dalle alte prestazioni, in API, con contenuti che raggiungono un audience globale grazie ad Azure.

Diagramma del servizio Frontdoor di Azure con Web Application Firewall.

Connettività ibrida

Questa sezione descrive i servizi di connettività di rete che forniscono una comunicazione sicura tra la rete locale e Il gateway VPN, ExpressRoute, la rete WAN virtuale e il servizio di peering.

Gateway VPN

Gateway VPN consente di creare connessioni tra più sedi locali crittografate alla rete virtuale da posizioni locali o di creare connessioni crittografate tra reti virtuali. Sono disponibili configurazioni diverse per le connessioni gateway VPN. Alcune delle funzionalità principali includono:

  • Connettività VPN da sito a sito
  • Connettività VPN da punto a sito
  • Connettività VPN da rete virtuale a rete virtuale

Il diagramma seguente mostra più connessioni VPN da sito a sito alla stessa rete virtuale. Per visualizzare altri diagrammi di connessione vedere Gateway VPN - Progettazione.

Diagramma che mostra più connessioni gateway VPN di Azure da sito a sito.

ExpressRoute

ExpressRoute consente di estendere le reti locali nel cloud Microsoft tramite una connessione privata facilitata da un provider di connettività. La connessione è privata. Il traffico non passa da Internet. Con ExpressRoute è possibile stabilire connessioni ai servizi cloud Microsoft, come Microsoft Azure, Microsoft 365 e Dynamics 365.

Screenshot di Azure ExpressRoute.

Rete WAN virtuale

Rete WAN virtuale di Azure è un servizio di rete che riunisce molte funzionalità di rete, di sicurezza e di routing per fornire una singola interfaccia operativa. La connettività con le reti virtuali di Azure viene stabilita tramite connessioni di rete virtuali. Alcune delle funzionalità principali includono:

  • Connettività tra rami (tramite l'automazione da dispositivi partner della rete WAN virtuale, ad esempio SD-WAN o CPE VPN)
  • Connettività VPN da sito a sito
  • Connettività VPN utente remoto (da punto a sito)
  • Connettività privata (ExpressRoute)
  • Connettività intracloud (connettività transitiva per le reti virtuali)
  • Connettività tra VPN ed ExpressRoute
  • Routing, firewall di Azure e crittografia per la connettività privata

Diagramma della rete WAN virtuale.

Servizio di peering

Servizio di peering di Azure migliora la connettività dei clienti ai servizi cloud Microsoft, ad esempio Microsoft 365, Dynamics 365, servizi SaaS (Software as a Service), Azure o qualsiasi servizio Microsoft accessibile tramite Internet pubblico.

Sicurezza della rete

Questa sezione descrive i servizi di rete in Azure che proteggono e monitorano le risorse di rete: Gestione firewall, Firewall, Web Application Firewall e Protezione DDoS.

Gestione firewall

Gestione firewall di Azure è un servizio di gestione della sicurezza che fornisce criteri di sicurezza e gestione del routing centralizzati per i perimetri di sicurezza basati sul cloud. Gestione firewall può fornire la gestione della sicurezza per due diversi tipi di architettura di rete: hub virtuale sicuro e rete virtuale hub. Con Gestione firewall di Azure è possibile distribuire più istanze di Firewall di Azure tra aree e sottoscrizioni di Azure, implementare piani di protezione DDoS, gestire i criteri del web application firewall e integrarsi con la sicurezza distribuita come servizio per i partner per una maggiore sicurezza.

Diagramma di più firewall di Azure in una rete virtuale sicura e una rete virtuale hub.

Firewall di Azure

Firewall di Azure è un servizio di sicurezza di rete gestito basato sul cloud che consente di proteggere le risorse della rete virtuale di Azure. Con Firewall di Azure è possibile creare, applicare e registrare criteri di connettività di applicazione e di rete in modo centralizzato tra le sottoscrizioni e le reti virtuali. Firewall di Azure usa un indirizzo IP pubblico statico per le risorse della rete virtuale consentendo ai firewall esterni di identificare il traffico proveniente dalla rete virtuale.

Diagramma della panoramica del firewall.

Web application firewall

Web application firewall di Azure (WAF) offre protezione alle applicazioni Web da exploit Web comuni e vulnerabilità, ad esempio l'inserimento SQL e lo scripting intersito. WAF di Azure offre una protezione predefinita dalle 10 principali vulnerabilità OWASP tramite regole gestite. Inoltre, i clienti possono anche configurare regole personalizzate, ovvero regole gestite dal cliente per fornire una protezione aggiuntiva in base all'intervallo IP di origine e richiedere attributi, ad esempio intestazioni, cookie, campi dati modulo o parametri di stringa di query.

I clienti possono scegliere di distribuire Azure WAF con il gateway applicazione, che fornisce protezione a livello di area alle entità nello spazio indirizzi pubblico e privato. I clienti possono anche scegliere di distribuire Azure WAF con Frontdoor che fornisce protezione sulla rete perimetrale agli endpoint pubblici.

Screenshot di Web Application Firewall.

Protezione DDoS

Protezione DDoS di Azure garantisce contromisure contro le minacce DDoS più sofisticate. Il servizio offre funzionalità avanzate di mitigazione DDoS per le applicazioni e le risorse distribuite nelle reti virtuali. Inoltre, i clienti che usano Protezione DDoS di Azure hanno accesso al supporto di Risposta rapida DDoS per coinvolgere gli esperti DDoS durante un attacco attivo.

La protezione DDoS di Azure è costituita da due livelli:

  • Protezione della rete DDoS, insieme alle procedure consigliate per la progettazione delle applicazioni fornisce funzionalità avanzate di mitigazione DDoS per difendersi dagli attacchi DDoS. Viene ottimizzata automaticamente per proteggere le specifiche risorse di Azure in una rete virtuale.
  • Protezione dell’IP DDoS è un modello IP con pagamento in base ala protezione fornita. Protezione IP DDoS contiene le stesse funzionalità di progettazione di base di Protezione della rete DDoS, ma differisce nei servizi a valore aggiunto seguenti: supporto di risposta rapida DDoS, protezione dei costi e sconti su WAF.

Diagramma dell'architettura di riferimento per un'applicazione Web PaaS protetta da DDoS.

Sicurezza di rete dei contenitori

La sicurezza di rete dei contenitori fa parte di Advanced Container Networking Services (ACNS). Offre un controllo avanzato sulla sicurezza di rete del servizio Azure Kubernetes. Con funzionalità come il filtro FQDN (Fully Qualified Domain Name), i cluster che usano Azure CNI Powered by Cilium possono implementare criteri di rete basati su FQDN per ottenere un'architettura di sicurezza Zero Trust nel servizio Azure Kubernetes.

Gestione e monitoraggio della rete

Questa sezione descrive i servizi di gestione e monitoraggio della rete in Azure - Network Watcher, Monitoraggio di Azure e Azure Rete virtuale Manager.

Azure Network Watcher

Azure Network Watcher fornisce gli strumenti per il monitoraggio, la diagnostica, la visualizzazione delle metriche e l'abilitazione o la disabilitazione dei log per le risorse in una rete virtuale di Azure.

Diagramma che mostra le funzionalità di Azure Network Watcher.

Monitoraggio di Azure

Monitoraggio di Azure ottimizza la disponibilità e le prestazioni delle applicazioni in uso offrendo una soluzione completa per raccogliere e analizzare la telemetria e intervenire di conseguenza dal cloud e dagli ambienti locali. È utile per ottenere informazioni sulle prestazioni delle applicazioni e identificare in modo proattivo i problemi delle applicazioni e delle risorse da cui dipendono.

Gestione rete virtuale di Azure

Gestione rete virtuale di Azure è un servizio di gestione che consente di raggruppare, configurare, distribuire e gestire reti virtuali a livello globale tra sottoscrizioni. Con Gestione rete virtuale è possibile definire gruppi di rete per identificare e segmentare logicamente le reti virtuali. Successivamente è possibile determinare la connettività e le configurazioni di sicurezzadesiderate e applicarle contemporaneamente in tutte le reti virtuali selezionate nei gruppi di rete.

Diagramma delle risorse distribuite per una topologia di rete virtuale mesh con Gestione rete virtuale di Azure.

Osservabilità della rete dei contenitori

L'osservabilità della rete dei contenitori fa parte di Advanced Container Networking Services (ACNS). ACNS usa il piano di controllo di Hubble per offrire visibilità completa sulle reti e sulle prestazioni del servizio Azure Kubernetes. Offre informazioni dettagliate in tempo reale su metriche a livello di nodo, a livello di pod, TCP e DNS, garantendo un monitoraggio approfondito dell'infrastruttura di rete.

Diagramma dell'osservabilità della rete dei contenitori.

Passaggi successivi