Identificare le funzionalità di routing di una rete virtuale di Azure
Per controllare il flusso del traffico all'interno della rete virtuale, è necessario conoscere lo scopo e i vantaggi delle route personalizzate. È anche necessario imparare a configurare le route per indirizzare il flusso di traffico attraverso un'appliance virtuale di rete.
Routing di Azure
Il traffico di rete in Azure viene instradato automaticamente tra subnet di Azure, reti virtuali e reti locali. Le route di sistema controllano questo routing. Vengono assegnati per impostazione predefinita a ogni subnet in una rete virtuale. Con queste route di sistema, qualsiasi macchina virtuale di Azure distribuita in una rete virtuale può comunicare con qualsiasi altra macchina nella rete. Queste macchine virtuali sono anche potenzialmente accessibili dall'ambiente locale tramite una rete ibrida o Internet.
Non è possibile creare o eliminare route di sistema, ma è possibile eseguire l'override delle route di sistema aggiungendo route personalizzate per controllare il flusso del traffico all'hop successivo.
Per ogni subnet sono presenti le route di sistema predefinite seguenti:
| Prefisso indirizzo | Tipo hop successivo |
|---|---|
| Univoco per la rete virtuale | Rete virtuale |
| 0.0.0.0/0 | Internet |
| 10.0.0.0/8 | None |
| 172.16.0.0/12 | None |
| 192.168.0.0/16 | None |
| 100.64.0.0/10 | None |
La colonna Tipo hop successivo mostra il percorso di rete seguito dal traffico inviato a ogni prefisso di indirizzo. Il percorso può essere uno dei tipi di hop seguenti:
- Rete virtuale: viene creata una route nel prefisso dell'indirizzo. Il prefisso rappresenta ogni intervallo di indirizzi creato a livello di rete virtuale. Se vengono specificati più intervalli di indirizzi, vengono create più route per ogni intervallo di indirizzi.
- Internet: la route di sistema predefinita 0.0.0.0/0 instrada qualsiasi intervallo di indirizzi a Internet, a meno che non si sostituisca la route predefinita di Azure con una route personalizzata.
- Nessuno: il traffico instradato a questo tipo di hop viene eliminato e non viene instradato all'esterno della subnet. Per impostazione predefinita, vengono creati i seguenti prefissi di indirizzi privati IP IPv4: 10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16. Viene anche aggiunto il prefisso 100.64.0.0/10 per uno spazio di indirizzi condiviso. Nessuno di questi intervalli di indirizzi è instradabile a livello globale.
Il diagramma seguente mostra una panoramica delle route di sistema e del modo in cui il traffico passa tra le subnet e Internet per impostazione predefinita. Dal diagramma è possibile notare che il traffico viene trasmesso liberamente tra le due subnet e Internet.
In Azure sono disponibili altre route di sistema. Azure crea queste route se vengono abilitate le funzionalità seguenti:
- Peering di rete virtuale
- Concatenamento dei servizi
- Gateway di rete virtuale
- Endpoint servizio di rete virtuale
Peering di rete virtuale e concatenamento dei servizi
Il peering di rete virtuale e il concatenamento dei servizi consentono l'interconnessione delle reti virtuali all'interno di Azure. Grazie a questa connessione, le macchine virtuali possono comunicare tra loro nella stessa area o in aree diverse. Questa comunicazione crea a sua volta ulteriori route all'interno della tabella di route predefinita. Il concatenamento dei servizi consente di sostituire queste route creando route definite dall'utente tra reti con peering.
Il diagramma seguente mostra due reti virtuali con peering configurato. Le route definite dall'utente sono configurate per instradare il traffico attraverso un'appliance virtuale di rete o un gateway VPN di Azure.
Gateway di rete virtuale
Usare un gateway di rete virtuale per inviare il traffico crittografato tra Azure e l'ambiente locale tramite Internet e per inviare il traffico crittografato tra reti di Azure. Un gateway di rete virtuale contiene le tabelle di routing e i servizi gateway.
Endpoint servizio di rete virtuale
Gli endpoint di rete virtuale estendono lo spazio indirizzi privato in Azure fornendo una connessione diretta alle risorse di Azure. Questa connessione limita il flusso del traffico e consente alle macchine virtuali di Azure di accedere all'account di archiviazione direttamente dallo spazio indirizzi privato, impedendo l'accesso da una macchina virtuale pubblica. Quando si abilitano gli endpoint di servizio, Azure crea le route nella tabella di route per indirizzare il traffico.
Route personalizzate
Le route di sistema possono rendere più semplice la preparazione e l'attivazione dell'ambiente. Tuttavia, esistono molti scenari in cui è opportuno controllare con maggiore precisione il flusso del traffico all'interno della rete. Ad esempio, potrebbe essere necessario instradare il traffico attraverso un'appliance virtuale di rete o un firewall. Questo controllo è possibile con le route personalizzate.
Sono disponibili due opzioni per l'implementazione delle route personalizzate: creare una route definita dall'utente oppure usare il protocollo BGP (Border Gateway Protocol) per scambiare le route tra Azure e le reti locali.
Route definite dall'utente
Si usa una route definita dall'utente per eseguire l'override delle route di sistema predefinite in modo che il traffico possa essere instradato attraverso firewall o appliance virtuali di rete.
Si potrebbe ad esempio avere una rete con due subnet e si vuole aggiungere una macchina virtuale nella rete perimetrale da usare come firewall. È possibile creare una route definita dall'utente in modo che il traffico passi attraverso il firewall e non venga trasmesso direttamente tra le subnet.
Quando si creano route definite dall'utente, è possibile specificare questi tipi di hop successivo:
- Appliance virtuale: un'appliance virtuale è in genere un dispositivo firewall usato per analizzare o filtrare il traffico in ingresso nella rete o in uscita da essa. È possibile specificare l'indirizzo IP privato di una scheda di interfaccia di rete (NIC) collegata a una macchina virtuale per consentire l'abilitazione dell'inoltro IP. oppure è possibile fornire l'indirizzo IP privato di un servizio di bilanciamento del carico interno.
- Gateway di rete virtuale: usare per indicare quando si vuole instradare le route per un indirizzo specifico a un gateway di rete virtuale. Il gateway di rete virtuale viene specificato come VPN per il tipo di hop successivo.
- Rete virtuale: usare per sostituire la route di sistema predefinita all'interno di una rete virtuale.
- Internet: usare per instradare il traffico a un prefisso di indirizzo specificato instradato a Internet.
- Nessuno: usare per escludere il traffico inviato a un prefisso di indirizzo specificato.
Con le route definite dall'utente non è possibile specificare il tipo di hop successivo VirtualNetworkServiceEndpoint, che indica il peering di rete virtuale.
Tag di servizio per le route definite dall'utente
È possibile specificare un tag di servizio (anziché un intervallo IP esplicito) come prefisso dell'indirizzo per una route definita dall'utente. Un tag del servizio rappresenta un gruppo di prefissi di indirizzi IP di un determinato servizio di Azure. Microsoft gestisce i prefissi degli indirizzi inclusi nel tag del servizio e aggiorna automaticamente il tag del servizio man mano che cambiano gli indirizzi, riducendo così la complessità degli aggiornamenti frequenti alle route definite dall'utente e riducendo il numero di route da creare.
Protocollo BGP (Border Gateway Protocol)
Un gateway di rete nella rete locale può scambiare le route con un gateway di rete virtuale in Azure usando il protocollo BGP. BGP è il protocollo di routing standard comunemente usato per scambiare informazioni di routing tra due o più reti. BGP viene usato per trasferire dati e informazioni tra sistemi autonomi su Internet, ad esempio gateway host diversi.
In genere si usa BGP per annunciare le route locali verso Azure quando si è connessi a un data center di Azure tramite Azure ExpressRoute. È anche possibile configurare il protocollo BGP se ci si connette a una rete virtuale di Azure usando una connessione VPN da sito a sito.
Il diagramma seguente illustra una topologia con percorsi che consentono il passaggio dei dati tra il gateway VPN di Azure e le reti locali:
Il protocollo BGP offre stabilità della rete, perché i router possono modificare rapidamente le connessioni per l'invio dei pacchetti nel caso in cui un percorso di connessione non sia disponibile.
Selezione delle route e priorità
Se in una tabella di route sono disponibili più route, Azure usa quella con la corrispondenza del prefisso più lungo. Ad esempio, un messaggio viene inviato all'indirizzo IP 10.0.0.2, ma sono disponibili due route con i prefissi 10.0.0.0/16 e 10.0.0.0/24. Azure seleziona la route con il prefisso 10.0.0.0/24 perché è più specifico.
Più è lungo il prefisso di route, più sarà breve l'elenco di indirizzi IP disponibili tramite tale prefisso. Quando si usano prefissi più lunghi, l'algoritmo di routing può selezionare più rapidamente l'indirizzo previsto.
Non è possibile configurare più route definite dall'utente con lo stesso prefisso di indirizzo.
Se più route condividono lo stesso prefisso di indirizzo, Azure seleziona la route in base al tipo, secondo l'ordine di priorità seguente:
- Route definite dall'utente
- Route BGP
- Route di sistema