Eccellenza operativa e Azure Rete virtuale
Un blocco predefinito fondamentale per la rete privata, Azure Rete virtuale consente alle risorse di Azure di comunicare in modo sicuro tra loro, Internet e reti locali.
Le funzionalità principali di Azure Rete virtuale includono:
- Comunicazione con le risorse di Azure
- Comunicazione con Internet
- Comunicazione con le risorse locali
- Filtro del traffico di rete
Per altre informazioni, vedere Informazioni su Azure Rete virtuale?
Per comprendere come Azure Rete virtuale supporta l'eccellenza operativa, fare riferimento agli argomenti seguenti:
- Monitoraggio di Azure Rete virtuale
- Informazioni di riferimento sul monitoraggio dei dati di Azure Rete virtuale
- Concetti e procedure consigliate per Rete virtuale di Azure
Considerazioni relative alla progettazione
La Rete virtuale (VNet) include le considerazioni di progettazione seguenti per l'eccellenza operativa:
- La sovrapposizione degli spazi di indirizzi IP tra le aree locali e di Azure crea problemi di forte conflitto.
- Anche se uno spazio indirizzi Rete virtuale può essere aggiunto dopo la creazione, questo processo richiede un'interruzione se il Rete virtuale è già connesso a un altro Rete virtuale tramite peering. È necessaria un'interruzione perché il peering Rete virtuale viene eliminato e ricreato.
- Alcuni servizi di Azure richiedono subnet dedicate, ad esempio:
- Firewall di Azure
- Azure Bastion
- Gateway di rete virtuale
- Le subnet possono essere delegate a determinati servizi per creare istanze del servizio all'interno della subnet.
- Azure riserva cinque indirizzi IP all'interno di ogni subnet, che devono essere considerati durante il dimensionamento di Rete virtuale e subnet incluse.
Elenco di controllo
Azure Rete virtuale è stato configurato tenendo presente l'eccellenza operativa?
- Usare i piani di protezione Standard DDoS di Azure per proteggere tutti gli endpoint pubblici ospitati nei Rete virtuale dei clienti.
- I clienti aziendali devono pianificare l'indirizzamento IP in Azure per assicurarsi che non vi sia spazio di indirizzi IP sovrapposto tra le località locali e le aree di Azure.
- Usare gli indirizzi IP dell'allocazione degli indirizzi per Internet privati (richiesta di commento (RFC) 1918).
- Per gli ambienti con disponibilità limitata di indirizzi IP privati (RFC 1918), è consigliabile usare IPv6.
- Non creare Rete virtuale di dimensioni inutilmente grandi (ad esempio:
/16) per assicurarsi che non ci siano inutili sprechi di spazio indirizzi IP. - Non creare Rete virtuale senza pianificare in anticipo lo spazio indirizzi necessario.
- Non usare indirizzi IP pubblici per Rete virtuale, soprattutto se gli indirizzi IP pubblici non appartengono al cliente.
- Usare gli endpoint servizio di rete virtuale per proteggere l'accesso ai servizi PaaS (Platform as a Service) di Azure dall'interno di una rete virtuale del cliente.
- Per risolvere i problemi di esfiltrazione dei dati con gli endpoint di servizio, usare il filtro dell'appliance virtuale di rete e i criteri degli endpoint servizio di rete virtuale per Archiviazione di Azure.
- Non implementare il tunneling forzato per abilitare la comunicazione da Azure alle risorse di Azure.
- Accedere ai servizi PaaS di Azure dall'ambiente locale tramite il peering privato ExpressRoute.
- Per accedere ai servizi PaaS di Azure dalle reti locali quando l'inserimento o la collegamento privato della rete virtuale non sono disponibili, usare ExpressRoute con peering Microsoft quando non sono presenti problemi di esfiltrazione dei dati.
- Non replicare la rete perimetrale locale (nota anche come rete perimetrale, zona demilitarizzata e subnet schermata) in Azure.
- Assicurarsi che la comunicazione tra i servizi PaaS di Azure inseriti in un Rete virtuale sia bloccata all'interno del Rete virtuale usando route definite dall'utente e gruppi di sicurezza di rete.
- Non usare endpoint servizio di rete virtuale in caso di problemi di esfiltrazione dei dati, a meno che non venga usato il filtro dell'appliance virtuale di rete.
- Non abilitare gli endpoint servizio di rete virtuale per impostazione predefinita in tutte le subnet.
Raccomandazioni per la configurazione
Quando si configura un'istanza di Azure Rete virtuale, prendere in considerazione le raccomandazioni seguenti per l'eccellenza operativa:
| Suggerimento | Descrizione |
|---|---|
| Non creare Rete virtuale senza pianificare in anticipo lo spazio indirizzi necessario. | L'aggiunta di spazio indirizzi causerà un'interruzione quando un Rete virtuale è connesso tramite Rete virtuale peering. |
| Usare gli endpoint servizio di rete virtuale per proteggere l'accesso ai servizi PaaS (Platform as a Service) di Azure dall'interno di una rete virtuale del cliente. | Solo quando collegamento privato non è disponibile e quando non sono presenti problemi di esfiltrazione dei dati. |
| Accedere ai servizi PaaS di Azure dall'ambiente locale tramite il peering privato ExpressRoute. | Usare l'inserimento di reti virtuali per i servizi di Azure dedicati o collegamento privato di Azure per i servizi condivisi disponibili di Azure. |
| Per accedere ai servizi PaaS di Azure dalle reti locali quando l'inserimento o la collegamento privato della rete virtuale non sono disponibili, usare ExpressRoute con peering Microsoft quando non sono presenti problemi di esfiltrazione dei dati. | Evita il transito su Internet pubblico. |
| Non replicare la rete perimetrale locale (nota anche come rete perimetrale, zona demilitarizzata e subnet schermata) in Azure. | I clienti possono ottenere funzionalità di sicurezza simili in Azure come in locale, ma l'implementazione e l'architettura dovranno essere adattate al cloud. |
| Assicurarsi che la comunicazione tra i servizi PaaS di Azure inseriti in un Rete virtuale sia bloccata all'interno del Rete virtuale usando route definite dall'utente e gruppi di sicurezza di rete. | I servizi PaaS di Azure inseriti in un Rete virtuale continuano a eseguire operazioni del piano di gestione usando indirizzi IP pubblici. |