Prospettiva del Framework Well-Architected di Azure sulla rete virtuale di Azure
La rete virtuale di Azure è un blocco predefinito fondamentale per stabilire una rete privata in Azure. È possibile usarlo per abilitare la comunicazione tra le risorse di Azure e fornire la connettività Internet. La rete virtuale si integra anche con i sistemi locali. Include funzionalità di filtro predefinite per garantire che solo il traffico previsto, consentito e sicuro raggiunga i componenti entro i limiti di rete.
Questo articolo presuppone che come architetto si abbia familiarità con i costrutti di rete in Azure. Le linee guida sono incentrate sulle raccomandazioni sull'architettura mappate ai principi dei pilastri di Well-Architected Framework.
Importante
Come usare questa guida
Ogni sezione include un elenco di controllo di progettazione che presenta aree di interesse per l'architettura insieme alle strategie di progettazione localizzate nell'ambito della tecnologia.
Sono incluse anche raccomandazioni per le funzionalità tecnologiche che possono aiutare a materializzare tali strategie. I consigli non rappresentano un elenco completo di tutte le configurazioni disponibili per la rete virtuale e le relative dipendenze. Vengono invece elencate le raccomandazioni principali mappate alle prospettive di progettazione. Usare le raccomandazioni per creare un modello di verifica o per ottimizzare gli ambienti esistenti.
Architettura di base che illustra le raccomandazioni principali: Topologia di rete Hub-spoke in Azure.
ambito della tecnologia
Questa revisione è incentrata sulle decisioni correlate per le risorse di Azure seguenti:
- Rete virtuale e relative subnet
- Schede di interfaccia di rete
- Endpoint privati
- Gruppi di sicurezza di rete (NSG)
- Indirizzi IP e allocazioni di indirizzi IP
- Tabelle di route
- Gestori di rete
Esistono altri servizi associati alla rete virtuale, ad esempio i servizi di bilanciamento del carico. Tali servizi sono trattati nelle rispettive guide.
Affidabilità
Lo scopo del pilastro Affidabilità è fornire funzionalità continue attraverso la costruzione di una resilienza sufficiente e la capacità di recuperare rapidamente dai guasti.
principi di progettazione dell'affidabilità forniscono una strategia di progettazione di alto livello applicata per singoli componenti, flussi di sistema e sistema nel suo complesso.
Elenco di controllo per la progettazione
Avvia la tua strategia di progettazione basandoti sull'elenco di controllo della revisione del design per l'affidabilità. Determinare la rilevanza per i requisiti aziendali tenendo presenti le funzionalità della rete virtuale e le relative dipendenze. Estendere la strategia per includere altri approcci in base alle esigenze.
Impostare gli obiettivi di affidabilità. La rete virtuale e la maggior parte dei relativi sottoservizi non hanno garanzie del contratto di servizio (SLA) supportate da Microsoft. Tuttavia, servizi specifici come bilanciatori di carico, schede di rete e indirizzi IP pubblici hanno SLA. È necessario avere una buona conoscenza della copertura fornita intorno al percentile pubblicato da Azure. Tenere presente che l'organizzazione centrale dei servizi IT è in genere proprietaria della rete virtuale e dei servizi centrali. Assicurarsi che i calcoli degli obiettivi includano questa dipendenza.
Attenuare i punti di errore. Eseguire l'analisi della modalità di errore e identificare singoli punti di errore nelle connessioni di rete.
Gli esempi seguenti mostrano singoli punti di errore nelle connessioni di rete:
Fallimento Mitigazione Errore di indirizzo IP pubblico in una singola zona di disponibilità. Distribuire le risorse degli indirizzi IP tra zone o usare un indirizzo IP secondario con un servizio di bilanciamento del carico. Guasto del dispositivo virtuale di rete in una singola zona. Distribuire un'appliance virtuale di rete secondaria in un'altra zona e usare un servizio di bilanciamento del carico per indirizzare il traffico all'appliance virtuale di rete. Latenza nei carichi di lavoro distribuiti tra aree o zone, che riduce la velocità effettiva e causa timeout. Collocare le risorse in una regione o in una zona. Riprogettare l'architettura per utilizzare modelli di affidabilità, come le istanze di distribuzione con il bilanciamento del carico, in modo che ciascuna istanza possa gestire il carico e collaborare con le risorse vicine. Errore del carico di lavoro in una singola area con un sito di failover a freddo. Preconfigurare le impostazioni di rete nell'area di failover. Questo approccio garantisce che nessun indirizzo IP si sovrapponga. Errore di un'applicazione in una singola area geografica in una rete virtuale che comunica con un database tramite Azure Private Link usando un sito di failover passivo. Replicare le connessioni nell'area secondaria e nelle reti virtuali peer per la comunicazione. Sovraprovisionare gli spazi di indirizzi IP. Per garantire una scalabilità affidabile, una strategia comune consiste nell'effettuare il overprovisioning della capacità per evitare l'esaurimento degli indirizzi IP. Tuttavia, questo approccio ha un compromesso tra affidabilità ed efficienza operativa. Le subnet devono usare solo una parte dello spazio indirizzi della rete virtuale. L'obiettivo deve essere avere solo spazio di indirizzi aggiuntivo sufficiente nella rete virtuale e nelle subnet per bilanciare l'affidabilità con l'efficienza operativa.
Tenere presenti i limiti di rete. Azure impone limiti al numero di risorse che è possibile distribuire. Anche se la maggior parte dei limiti di rete di Azure è impostata su valori massimi, è possibile aumentare alcuni limiti. Per altre informazioni, vedere limiti di rete di Azure Resource Manager.
Creare diagrammi di rete incentrati sui flussi utente. Questi diagrammi consentono di visualizzare la segmentazione di rete, identificare potenziali punti di errore e individuare transizioni chiave come i punti di ingresso e uscita internet. Sono anche strumenti importanti per i controlli e la risposta agli eventi imprevisti.
Evidenziare i flussi di traffico ad alta priorità tra l'utente e le risorse del carico di lavoro. Ad esempio, se si assegna la priorità ad Azure ExpressRoute per i flussi di rete aziendali o le richieste utente sicure in una progettazione di rete perimetrale, è possibile ottenere informazioni dettagliate sulla pianificazione della capacità per firewall e altri servizi.
Aggiungi ridondanza. Prendere in considerazione la distribuzione di gateway NAT e reti virtuali in più aree, se necessario. Assicurarsi che gli indirizzi IP pubblici e altri servizi consapevoli della zona abbiano la ridondanza della zona abilitata e rendere le risorse condivise come i firewall ridondanti a livello di regione.
Per ulteriori informazioni, vedere continuità aziendale della rete virtuale.
Evitare complessità. Prestare particolare attenzione a reti virtuali, subnet, indirizzi IP, route, gruppi di sicurezza delle applicazioni e tag. Le configurazioni semplici riducono la probabilità di errori e configurazioni errate. Gli errori e le configurazioni errate contribuiscono ai problemi di affidabilità e aggiungono ai costi operativi e di manutenzione. Alcuni esempi di semplificazione includono:
- Usare DNS privato quando possibile e ridurre al minimo il numero di zone DNS.
- Semplificare le configurazioni di routing. Prendere in considerazione il routing di tutto il traffico attraverso il firewall, se viene usato nell'architettura.
Testare la resilienza della rete. Usare Azure Chaos Studio per simulare interruzioni della connettività di rete. Questo approccio garantisce che i carichi di lavoro rimangano ridondanti e consentano di valutare l'effetto di potenziali errori.
Monitorare il traffico di rete per gli effetti di affidabilità. Il monitoraggio del flusso di traffico è un'operazione fondamentale per l'affidabilità. Ad esempio, si vuole identificare i comunicatori ad alto volume nella rete per determinare se possono causare interruzioni. Azure offre funzionalità di registrazione dei flussi. Per altre informazioni, vedere Operational Excellence.
Consigli
| Raccomandazione | Beneficio |
|---|---|
| Ridimensionare le reti virtuali e le subnet in base alla strategia di scalabilità. Scegliere un numero minore di reti virtuali di dimensioni maggiori per garantire la ridondanza come strategia di mitigazione dei guasti. Assicurarsi che non vi sia spazio indirizzi sovrapposto con altre reti virtuali con cui è necessario comunicare e pianificare in anticipo lo spazio indirizzi. Per altre informazioni, vedere Creare, modificare o eliminare una rete virtuale. |
Con il provisioning eccessivo, è possibile assicurarsi che la rete venga ridimensionata in modo efficiente senza riscontrare limitazioni dello spazio degli indirizzi. Pianificare in anticipo lo spazio degli indirizzi per evitare conflitti e garantire un'architettura di rete uniforme e scalabile. |
| Usare SKU IP Standard per un supporto migliore dell'affidabilità tramite le zone di disponibilità. Per impostazione predefinita, gli indirizzi IP pubblici vengono distribuiti in più zone, a meno che non siano limitate a una sola zona. | Questo SKU consente di garantire che la comunicazione all'interno di un indirizzo IP pubblico rimanga operativa durante gli errori di zona. |
Sicurezza
Lo scopo del pilastro Sicurezza è fornire garanzie di riservatezza, integrità e disponibilità al carico di lavoro.
I principi di progettazione sicurezza forniscono una strategia di progettazione di alto livello per raggiungere tali obiettivi applicando approcci alla progettazione tecnica della rete virtuale.
Elenco di controllo per la progettazione
Avviare la strategia di progettazione in base all'elenco di controllo di revisione della progettazione per la sicurezza e identificare vulnerabilità e controlli per migliorare il comportamento di sicurezza. Estendere la strategia per includere altri approcci in base alle esigenze.
Stabilire una baseline di sicurezza. Esaminare la baseline di sicurezza per la rete virtuale e incorporare le misure applicabili nella baseline.
Mantenere aggiornato il perimetro di rete. Le impostazioni di sicurezza, come i gruppi di sicurezza di rete, i gruppi di sicurezza delle applicazioni e gli intervalli di indirizzi IP, devono essere aggiornate regolarmente. Le regole obsolete potrebbero non essere allineate con l'architettura di rete corrente o i modelli di traffico. Questo gap di sicurezza può lasciare la rete esposta a potenziali attacchi riducendo le restrizioni sul traffico in ingresso e in uscita.
Usare la segmentazione per migliorare la sicurezza. Usare gruppi di sicurezza di rete come firewall L4 a livello di subnet. Instradare tutto il traffico esterno attraverso un'appliance virtuale di rete, ad esempio un firewall, usando route definite dall'utente per il monitoraggio e la gestione. Usare nomi di dominio completi (FQDN) per filtrare l'accesso a Internet.
Connettività sicura della piattaforma come servizio con endpoint privati, bloccando le connessioni in uscita.
Applicare il principio dei privilegi minimi. Configurare il controllo degli accessi in base al ruolo con una mentalità di accesso negato per i ruoli correlati alla rete. Assicurarsi che gli utenti siano in grado di modificare le impostazioni solo in base alle esigenze della funzione del processo.
Limitare gli indirizzi IP pubblici. Usare indirizzi IP pubblici condivisi da servizi come Frontdoor di Azure per migliorare la sicurezza e i controlli delle richieste iniziali. La gestione di un indirizzo IP pubblico dedicato richiede di supervisionare la sicurezza, inclusa la gestione delle porte e la convalida delle richieste. Quando possibile, usare la connettività privata.
Consigli
| Raccomandazione | Beneficio |
|---|---|
| Usare la crittografia di rete virtuale. | Applicando il traffico crittografato, è possibile proteggere i dati in transito tra macchine virtuali di Azure e set di scalabilità di macchine virtuali di Azure all'interno della stessa rete virtuale. Crittografa anche il traffico tra reti virtuali con peering a livello di area e globale. |
|
Abilitare la verifica della rete virtuale in Gestione rete virtuale di Azure. Usare questa funzionalità nell'ambiente di preproduzione per testare la connettività tra le risorse. Questa funzionalità non è consigliata nell'ambiente di produzione. |
Assicurarsi che le risorse di Azure all'interno della rete siano raggiungibili e non bloccate dai criteri. |
| Abilitare la Protezione DDoS di Azure per la rete virtuale. In alternativa, è possibile proteggere singoli indirizzi IP pubblici tramite protezione IP DDoS di Azure. Esaminare le funzionalità di sicurezza fornite in Protezione IP DDoS e Protezione di rete DDoS e sceglierne una adatta alle proprie esigenze. Ad esempio, il livello protezione di rete DDoS fornisce supporto dal team di risposta rapida quando si verificano attacchi. Il livello protezione IP DDoS non fornisce questo supporto. |
È possibile proteggersi dagli attacchi Denial of Service distribuiti. |
| Proteggere i segmenti di rete all'interno di una rete virtuale utilizzando gruppi di sicurezza di rete. Quando possibile, usare i gruppi di sicurezza di Azure per definire le regole. |
Il traffico che entra e esce dalla rete può essere filtrato in base agli intervalli di indirizzi IP e porte. Gli ASG semplificano la gestione astraendo gli intervalli di indirizzi IP sottostanti. |
| Per accedere ai servizi di Azure utilizzando un indirizzo IP privato all'interno della rete virtuale, utilizzare gli endpoint privati . Un altro modo per implementare la rete privata consiste nell'usare gli endpoint di servizio . Questi endpoint instradano il traffico a un servizio tramite il backbone di rete di Azure. Se disponibile per il servizio, scegliere endpoint privati rispetto agli endpoint di servizio. |
Gli endpoint privati eliminano la necessità di indirizzi IP pubblici, riducendo così la superficie di attacco. |
Ottimizzazione costi
L'ottimizzazione dei costi è incentrata su rilevare modelli di spesa, assegnare priorità agli investimenti in aree critiche e ottimizzare in altre per soddisfare il budget dell'organizzazione rispettando i requisiti aziendali.
I principi di progettazione Ottimizzazione costi forniscono una strategia di progettazione di alto livello per raggiungere tali obiettivi e fare compromessi in base alle esigenze nella progettazione tecnica correlata all'ambiente di rete.
Elenco di controllo per la progettazione
Avvia la tua strategia di design sulla base della checklist della revisione del design per l'ottimizzazione dei costi per gli investimenti. Ottimizzare la progettazione in modo che il carico di lavoro sia allineato al budget allocato per il carico di lavoro. La progettazione deve usare le funzionalità di Azure appropriate, monitorare gli investimenti e trovare opportunità per ottimizzare nel tempo.
Ottimizzare i trasferimenti di dati con volumi elevati tra endpoint. Usare il peering di rete virtuale per spostare in modo efficiente i dati tra reti virtuali. Anche se il peering presenta costi in ingresso e in uscita, questo approccio può essere conveniente perché riduce il consumo della larghezza di banda e i problemi di prestazioni di rete. Evitare il routing tramite un hub per ridurre al minimo le inefficienze e i costi.
Per ottimizzare il trasferimento dei dati tra aree, è importante considerare sia la frequenza che il metodo di trasferimento. Ad esempio, quando si gestiscono i backup, il percorso in cui si salvano i backup può influire in modo significativo sui costi. L'archiviazione dei dati di backup in un'area diversa comporta una larghezza di banda. Per ridurre questi costi, assicurarsi che i dati vengano compressi prima di trasferirli tra aree. È possibile ottimizzare ulteriormente i costi e l'efficienza modificando la frequenza dei trasferimenti di dati.
Includere componenti di rete nel modello di costo. Tenere conto dei costi nascosti quando si crea o si modifica il budget. Ad esempio, nelle architetture con più aree, comporta costi aggiuntivi per trasferire i dati tra aree.
I report sui costi di Azure potrebbero non includere le spese associate a appliance virtuali di rete non Microsoft, con costi di licenza separati. Possono anche avere modelli di fatturazione diversi per le opzioni a prezzo fisso e basato sul consumo. Assicurarsi di includere questi fattori nelle considerazioni relative al budget.
Alcune risorse di rete possono essere costose, ad esempio Firewall di Azure ed ExpressRoute. È possibile effettuare il provisioning di queste risorse nei modelli hub centralizzati e allocare addebiti ai team per i costi sostenuti. Includere tale addebito nel modello di costo.
Non pagare per le funzionalità inutilizzate. Esaminare regolarmente i costi dei componenti e rimuovere le funzionalità legacy o le configurazioni predefinite. Limitare il numero di indirizzi IP pubblici per risparmiare sui costi. Questo approccio migliora anche la sicurezza riducendo la superficie di attacco.
Ottimizzare gli endpoint privati. Determinare se è possibile riutilizzare un collegamento privato a una risorsa da altre reti virtuali. Quando si usa un endpoint privato in un peering di rete virtuale a livello di area, non vengono addebitate tariffe di peering per il traffico da e verso l'endpoint privato. Si paga solo per l'accesso al collegamento privato, non per il traffico tra reti virtuali. Per altre informazioni, vedere collegamento privato in una rete hub-spoke.
Allineare le funzioni di ispezione del traffico di rete ai requisiti di priorità e sicurezza del flusso. Per elevati requisiti di larghezza di banda, prendere in considerazione l'instradamento del traffico verso percorsi meno costosi. ExpressRoute è adatto per traffico di grandi dimensioni, ma può essere costoso. Si consiglia di prendere in considerazione alternative come gli endpoint pubblici per risparmiare sui costi. Tuttavia, c'è un compromesso sulla sicurezza. Usare il peering di rete per il traffico da rete a rete, per ignorare il firewall ed evitare ispezioni non necessarie.
Consentire solo il traffico necessario tra i componenti e bloccare il traffico imprevisto. Se il traffico è previsto e il flusso è allineato ai requisiti di sicurezza, è possibile omettere tali checkpoint. Ad esempio, valutare se è necessario instradare il traffico attraverso un firewall se la risorsa remota si trova all'interno del limite di attendibilità.
Valutare il numero di subnet e i gruppi di sicurezza di rete associati, anche all'interno di una rete virtuale. Maggiore è il numero di gruppi di sicurezza di rete, maggiore è il costo operativo per la gestione dei set di regole. Quando possibile, usare i gruppi di sicurezza di Azure per semplificare la gestione e ridurre i costi.
Ottimizzare i costi del codice. Quando si sviluppa l'applicazione, scegliere protocolli più efficienti e applicare la compressione dei dati per ottimizzare le prestazioni. Ad esempio, è possibile migliorare l'efficienza in un'app Web configurando i componenti per comprimere i dati. Queste ottimizzazioni influiscono anche sulle prestazioni.
Sfruttare i vantaggi delle risorse nella rete virtuale centralizzata. Usare risorse centralizzate per ridurre la duplicazione e il sovraccarico. Inoltre, l'offload delle responsabilità ai team esistenti può contribuire a ottimizzare ulteriormente i costi e consentire la delega di competenze per funzioni specifiche.
Consigli
| Raccomandazione | Beneficio |
|---|---|
|
Usare il peering di rete virtuale per rendere il flusso di rete più efficiente aggirando i controlli. Evitare un peering eccessivo. |
Trasferisce i dati direttamente tra reti virtuali con peering per ignorare il firewall, riducendo così il consumo della larghezza di banda e i problemi di prestazioni di rete. Evitare di inserire tutte le risorse in una singola rete virtuale. È possibile che si verifichi un costo di peering, ma non è pratico inserire tutte le risorse in una singola rete virtuale solo per risparmiare sui costi. Può ostacolare la crescita. La rete virtuale può raggiungere un punto in cui le nuove risorse non si adattano più. |
|
Ridurre al minimo le risorse degli indirizzi IP pubblici se non sono necessarie. Prima dell'eliminazione, assicurarsi che l'indirizzo IP non sia collegato a alcuna configurazione dell'indirizzo IP o all'interfaccia di rete della macchina virtuale. |
Gli indirizzi IP pubblici non necessari possono aumentare i costi a causa degli addebiti delle risorse e del sovraccarico operativo. |
Eccellenza operativa
L'eccellenza operativa si concentra principalmente sulle pratiche di sviluppo , l'osservabilità e la gestione del rilascio.
I principi di progettazione dell'eccellenza operativa forniscono una strategia di progettazione di alto livello per raggiungere tali obiettivi in linea con i requisiti operativi del flusso di lavoro.
Elenco di controllo per la progettazione
Avvia la tua strategia di progettazione basata sull'elenco di controllo di revisione della progettazione per l'Eccellenza Operativa, al fine di definire i processi relativi all'osservabilità, ai test e alla distribuzione nel tuo ambiente di rete.
Apprendi i nuovi costrutti di rete di Azure. Quando si esegue l'onboarding in Azure, i team di rete spesso presuppongono che le conoscenze esistenti siano sufficienti. Azure presenta tuttavia molti aspetti diversi. Assicurarsi che il team comprenda i concetti fondamentali di rete di Azure, le complessità DNS, il routing e le funzionalità di sicurezza. Creare una tassonomia dei servizi di rete in modo che il team possa condividere conoscenze e avere una conoscenza comune.
formalizzare la progettazione della rete e cercare semplicità. Documentare la progettazione e le modifiche, inclusi i dettagli di configurazione, ad esempio tabelle di route, gruppi di sicurezza di rete e regole del firewall. Includere i criteri di governance applicati, ad esempio il blocco delle porte. La documentazione chiara rende efficace la collaborazione con altri team e stakeholder.
Le reti semplificate sono più facili da monitorare, risolvere i problemi e gestire. Ad esempio, se si dispone di una topologia hub-spoke, ridurre al minimo i peering diretti tra spoke per ridurre il carico operativo e rafforzare la sicurezza. Documentare sempre la progettazione e fornire giustificazioni per ogni decisione di progettazione.
Ridurre la complessità usando alias anziché intervalli di indirizzi IP diretti. Questo metodo riduce il carico operativo.
Usare modelli di progettazione che ottimizzano il traffico di rete. Per ottimizzare l'uso e la configurazione della rete, implementare modelli di progettazione noti che riducono al minimo o ottimizzano il traffico di rete. Convalidare la configurazione di rete durante le compilazioni usando gli scanner di sicurezza per assicurarsi che tutto sia configurato correttamente.
Effettua distribuzioni di rete coerenti. Usare l'infrastruttura come codice (IaC) per tutti i componenti, inclusi i peering di rete e gli endpoint privati. Comprendere che è probabile che i componenti di rete di base cambino meno frequentemente rispetto ad altri componenti. Implementare un approccio di distribuzione a più livelli per lo stack in modo che sia possibile distribuire ogni livello in modo indipendente. Evitare di combinare IaC con lo scripting per evitare la complessità.
Monitorare lo stack di rete. Monitorare continuamente i modelli di traffico per identificare anomalie e problemi, ad esempio le interruzioni della connessione, prima di causare errori a catena. Quando possibile, impostare gli avvisi per ricevere notifiche su queste interruzioni.
Analogamente ad altri componenti di questa architettura, acquisire tutte le metriche e i log pertinenti da vari componenti di rete, ad esempio la rete virtuale, le subnet, i gruppi di sicurezza di rete, i firewall e i servizi di bilanciamento del carico. Aggregarli, visualizzarli e analizzarli nei dashboard. Creare avvisi per eventi importanti.
Includere la rete nella strategia di mitigazione degli errori. Le reti virtuali e le subnet vengono distribuite inizialmente e in genere rimangono invariate, il che rende difficile il rollback. Tuttavia, è possibile ottimizzare il ripristino seguendo alcune strategie:
Infrastruttura di rete duplicata in anticipo, in particolare per le configurazioni ibride. Assicurarsi che le route separate in aree diverse siano pronte per comunicare tra loro in anticipo. Replicare e mantenere gruppi di sicurezza di rete coerenti e regole di Firewall di Azure su entrambi i siti primari e di ripristino di emergenza. Questo processo può richiedere molto tempo e richiede l'approvazione, ma in anticipo consente di evitare problemi ed errori. È importante testare lo stack di rete nel sito di ripristino di emergenza.
Evitare intervalli di indirizzi IP sovrapposti tra le reti di produzione e di disaster recovery. Mantenendo intervalli di indirizzi IP distinti, è possibile semplificare la gestione della rete e accelerare la transizione durante un evento di failover.
Considerare i compromessi tra costi e affidabilità. Per altre informazioni, vedere compromessi.
Delegare le operazioni di rete ai team centrali. Centralizzare la gestione e la governance dell'infrastruttura di rete, quando possibile. Ad esempio, in una topologia hub-spoke, i servizi come Firewall di Azure ed ExpressRoute, il DNS destinato all'uso condiviso viene inserito nella rete hub. Tale stack di rete dovrebbe essere gestito centralmente, liberando il team di lavoro dal carico.
Delegare la gestione della rete virtuale al team centrale, anche nella rete spoke. Ridurre al minimo le operazioni di rete a ciò che è pertinente al carico di lavoro, come la gestione dei Network Security Groups (gruppi di sicurezza di rete).
Tenere informati i team centrali delle modifiche necessarie nel carico di lavoro che potrebbero influire sulla configurazione delle risorse condivise. Gli alias astraggono gli indirizzi IP sottostanti, semplificando le operazioni.
Dimensiona correttamente la tua rete virtuale e le sottoreti. Scegliere un numero inferiore di reti virtuali di dimensioni maggiori per ridurre il sovraccarico di gestione ed evitare di aumentare le dimensioni delle subnet. La gestione delle subnet e dei gruppi di sicurezza di rete può comportare un carico operativo. Per gli ambienti con disponibilità limitata di indirizzi IP privati (RFC 1918), è consigliabile usare IPv6.
| Raccomandazione | Beneficio |
|---|---|
| Distribuire Virtual Network Manager. | Anziché configurare singolarmente ogni rete virtuale, Virtual Network Manager gestisce centralmente la connettività in base alle regole. Questo approccio semplifica le operazioni di rete. |
| Usare gli strumenti di monitoraggio delle reti. Usare regolarmente log dei flussi di rete virtuale e l'analisi del traffico per identificare i cambiamenti nella domanda e nei modelli. Usare la funzionalità di monitoraggio delle connessioni per analizzare e identificare problemi come le interruzioni di connessione prima che influiscano sulle applicazioni. |
Puoi comprendere il flusso dei dati attraverso la tua rete, individuare i colli di bottiglia e riconoscere tentativi di accesso insoliti o non autorizzati. |
| Quando si definiscono le route, usare i tag di servizio anziché indirizzi IP specifici. Analogamente, usare i gruppi di sicurezza di rete quando si definiscono le regole di traffico per i gruppi di sicurezza di rete. |
Questo approccio garantisce l'affidabilità perché gli indirizzi IP possono cambiare, ma la configurazione non è necessaria. Consente inoltre di superare i limiti relativi al numero di route o regole che è possibile impostare usando nomi più generici. |
Efficienza delle prestazioni
L'efficienza delle prestazioni riguarda mantenere l'esperienza utente anche quando si verifica un aumento del carico gestendo la capacità. La strategia include il ridimensionamento delle risorse, l'identificazione e l'ottimizzazione dei potenziali colli di bottiglia e l'ottimizzazione delle prestazioni massime.
I principi di progettazione efficienza delle prestazioni forniscono una strategia di progettazione di alto livello per raggiungere tali obiettivi di capacità rispetto all'utilizzo previsto.
Elenco di controllo per la progettazione
Avvia la strategia di design in base all'elenco di controllo del design per l'efficienza delle prestazioni per stabilire un punto di riferimento utilizzando gli indicatori chiave di prestazione.
Definire gli obiettivi di prestazioni. Per definire gli obiettivi di prestazioni, fare affidamento sul monitoraggio delle metriche, in particolare per latenza e larghezza di banda. Usare i dati di monitoraggio della connessione, ad esempio la latenza e il numero di hop, per impostare destinazioni e soglie per prestazioni accettabili. Application Insights offre una visualizzazione dettagliata del tempo trascorso dalle richieste di carico di lavoro nella rete, che consente di perfezionare questi obiettivi.
Ottimizza i tuoi subnet. Quando si allocano le subnet, è importante bilanciare le dimensioni e la scalabilità. Si vuole che le subnet siano sufficientemente grandi per supportare la crescita prevista senza carico operativo.
Per gestire efficacemente la capacità, una strategia comune consiste nell'effettuare il overprovisioning della capacità a causa dell'incertezza, ma l'obiettivo deve essere quello di ottimizzare nel tempo. Analizzare continuamente i dati in modo che la rete possa gestire il carico, ma non si pagano risorse inutilizzate aggiuntive.
Eseguire test delle prestazioni. Usare una combinazione di dati sintetici e di produzione per testare la latenza e la larghezza di banda. Questo approccio consente di valutare il modo in cui questi fattori potrebbero influire sulle prestazioni del carico di lavoro. Ad esempio, può rilevare le risorse che causano problemi di prossimità rumorosi e consumano più larghezza di banda del previsto. Identifica inoltre il traffico che effettua più passaggi e causa una latenza elevata.
È consigliabile eseguire test in produzione o acquisire e riprodurre i dati di produzione come dati di test. Questo approccio garantisce che i test riflettano l'utilizzo effettivo, che consente di impostare obiettivi di prestazioni realistici.
Monitorare il traffico tra regioni. È importante considerare che le risorse del carico di lavoro potrebbero trovarsi in aree diverse. La comunicazione tra aree può aggiungere una latenza significativa. Il traffico tra zone di disponibilità nella stessa area ha bassa latenza, ma potrebbe non essere abbastanza veloce per alcuni carichi di lavoro specializzati.
Consigli
| Raccomandazione | Beneficio |
|---|---|
|
Abilitare il monitoraggio della connessione di Azure Network Watcher. Usare il monitoraggio della connessione durante il test, che può generare traffico sintetico. |
È possibile raccogliere metriche che indicano perdita e latenza tra reti. Inoltre, è possibile tracciare l'intero percorso del traffico, il che è importante per rilevare colli di bottiglia nella rete. |
| Mantenere lo spazio degli indirizzi della rete virtuale sufficientemente grande da supportare il ridimensionamento. | Si è in grado di supportare la crescita proiettata senza carico operativo. |
Compromessi
Potrebbe essere necessario fare compromessi di progettazione se si usano gli approcci negli elenchi di controllo dei pilastri. Negli esempi seguenti vengono evidenziati i vantaggi e gli svantaggi.
stack di rete ridondante
Quando si sceglie di implementare uno stack di rete ridondante, inclusi i gruppi di sicurezza di rete, le route e altre configurazioni, è previsto un costo aggiuntivo per l'infrastruttura e test approfonditi.
Questo investimento iniziale migliora l'affidabilità. È possibile assicurarsi che tutto funzioni come previsto e velocizzare il ripristino durante le interruzioni.
Collegamento di rete virtuale
Il peering di rete virtuale diretto migliora le prestazioni riducendo la latenza perché evita la necessità di instradare il traffico attraverso un hub in cui un firewall decrittografa, controlla e crittografa nuovamente il payload.
Tale miglioramento delle prestazioni è a costo di una riduzione della sicurezza. Senza le ispezioni del firewall fornite dal routing dell'hub, il carico di lavoro è più vulnerabile alle potenziali minacce.
sottoreti di grandi dimensioni
Le subnet di grandi dimensioni offrono ampio spazio di indirizzi, che consente ai carichi di lavoro di espandersi senza problemi. Uno spazio di indirizzi di grandi dimensioni può proteggere da picchi imprevisti nella domanda. Tuttavia, potrebbe causare un uso inefficiente degli indirizzi IP. Nel corso del tempo, questa inefficienza può causare un esaurimento degli indirizzi IP man mano che il carico di lavoro si evolve. Inoltre, questa strategia prevede costi operativi più elevati. Dal punto di vista dell'eccellenza operativa, è consigliabile mantenere le subnet il più piccolo possibile.
Criteri di Azure
Azure offre un set completo di criteri predefiniti correlati alla rete virtuale e alle relative dipendenze. Definire e assegnare criteri per garantire che le risorse siano conformi agli standard dell'organizzazione. Creare un dashboard di conformità dei criteri di Azure per identificare le risorse non conformi ed eseguire azioni correttive.
Un set di criteri di Azure può controllare alcune delle raccomandazioni precedenti. Ad esempio, è possibile impostare criteri che:
- Proteggere la rete virtuale da attacchi volumetrici e protocolli.
- Negare la creazione di interfacce di rete con indirizzi IP pubblici.
- Distribuire Network Watcher per le reti virtuali.
- Abilitare l'analisi del traffico e i log dei flussi per monitorare i modelli di traffico.
Per una governance completa, esamina le definizioni integrate dei criteri di Azure, contrassegnate come e, e altri criteri che potrebbero influire sulla sicurezza del livello di rete.
Raccomandazioni di Azure Advisor
azure Advisor è un consulente cloud personalizzato che consente di seguire le procedure consigliate per ottimizzare le distribuzioni di Azure. Ecco alcune raccomandazioni che consentono di migliorare l'affidabilità, la sicurezza, l'efficacia dei costi, le prestazioni e l'eccellenza operativa della rete virtuale.
Passaggi successivi
Gli articoli seguenti illustrano le raccomandazioni descritte in questo articolo.