Integrazione della rete locale in Azure
La propria azienda intende eseguire la migrazione della maggior parte delle risorse locali ad Azure. Tuttavia, un piccolo data center deve rimanere nell'ambiente locale per l’integrazione nella rete di Azure. Il modello di architettura deve considerare l'uso della connettività di rete di Azure per i diversi uffici satellite. Si vuole usare un'architettura di rete ibrida che concede l'accesso sia alle risorse locali che a quelle basate sul cloud.
Per gestire la migrazione, si crea un piano di integrazione di rete per Azure che include una selezione delle migliori opzioni di rete ibride disponibili in Azure. Le opzioni devono soddisfare i requisiti dell'organizzazione in termini di connettività ibrida.
In questa unità si analizza la connettività locale nella piattaforma Azure. Viene anche offerta una panoramica della rete virtuale di Azure e viene illustrato come usare il gateway VPN di Azure per proteggere il traffico verso una rete locale.
Informazioni sulla rete virtuale di Azure
Il servizio Rete virtuale di Azure usa un set specifico di strumenti e risorse per creare un'architettura di rete basata sul cloud per l'organizzazione. Le reti virtuali di Azure offrono un canale di comunicazione virtuale sicuro per tutte le risorse di Azure consentite dalla sottoscrizione.
Con una rete virtuale di Azure è possibile:
- Connettere le macchine virtuali a Internet.
- Offrire comunicazioni sicure tra le risorse di Azure ospitate in vari data center e aree geografiche.
- Isolare e gestire le risorse di Azure.
- Connettersi ai computer locali.
- Gestire il traffico di rete.
Per impostazione predefinita, tutte le risorse di Azure in una rete virtuale hanno la connettività in uscita a Internet. La comunicazione esterna in ingresso deve passare attraverso un endpoint pubblico. Tutte le risorse interne usano un endpoint privato per accedere alla rete virtuale.
Una rete virtuale è costituita da molti elementi. tra cui, a titolo esemplificativo, interfacce di rete, bilanciamenti del carico, subnet, gruppi di sicurezza di rete e indirizzi IP pubblici. Questi elementi interagiscono tra loro e consentono una comunicazione di rete sicura e affidabile tra le risorse di Azure, Internet e le reti locali.
Routing del traffico in una rete virtuale di Azure
Il traffico in uscita da una subnet viene instradato in base all'indirizzo IP di destinazione. Una tabella di routing definisce il modo in cui il traffico viene indirizzato e cosa accade successivamente. Un indirizzo IP di destinazione può esistere in più definizioni di prefisso della tabella di routing (ad esempio, 10.0.0.0/16 e 10.0.0.0/24). Il router usa un algoritmo sofisticato per trovare la corrispondenza del prefisso più lungo. Il traffico diretto a un indirizzo 10.0.0.6 si risolve nel prefisso 10.0.0.0/24 e viene instradato di conseguenza.
Sono disponibili due tabelle di routing principali: di sistema e personalizzata.
Tabelle di routing di sistema
Azure crea automaticamente un set di tabelle di routing predefinite per la rete virtuale e ogni subnet mask all'interno della rete virtuale. Queste route di sistema sono fisse e non possono essere modificate o eliminate. È tuttavia possibile eseguire l'override delle impostazioni predefinite usando una tabella di routing personalizzata.
Una tipica tabella di routing predefinita può essere simile alla seguente:
| Source (Sorgente) | Prefissi degli indirizzi | Tipo hop successivo |
|---|---|---|
| Predefinito | Univoco per la rete virtuale | Rete virtuale |
| Predefinito | 0.0.0.0/0 | Internet |
| Predefinita | 10.0.0.0/8 | None |
| Predefinita | 172.16.0.0/12 | None |
| Predefinita | 192.168.0.0/16 | None |
| Predefinita | 100.64.0.0/10 | None |
Una tabella di routing è costituita da un'origine, un prefisso di indirizzo e un tipo di hop successivo. Tutto il traffico che lascia la subnet usa la tabella di routing per individuare la destinazione successiva. Di fatto, il traffico cerca l'hop successivo nel suo percorso.
Un hop successivo definisce cosa accade dopo al flusso del traffico, in base al prefisso. Esistono tre tipi di hop successivo:
- Rete virtuale: il traffico viene instradato in base all'indirizzo IP all'interno della rete virtuale.
- Internet: il traffico viene instradato a Internet.
- Nessuno: il traffico non viene elaborato.
Tabelle di routing personalizzate
Oltre alle tabelle di routing definite dal sistema, è possibile creare tabelle di routing personalizzate. Queste tabelle di routing definite dall'utente sostituiscono la tabella di sistema predefinita. Esistono limitazioni al numero di elementi di routing che è possibile avere in una tabella personalizzata.
L’elenco tabelle seguente indica alcune delle numerose limitazioni che si applicano alle reti virtuali:
| Risorsa | Numero predefinito o massimo |
|---|---|
| Reti virtuali | 1.000 |
| Subnet per ogni rete virtuale | 3,000 |
| Peering di rete virtuale per ogni rete virtuale | 500 |
| Indirizzo IP privati per ogni rete virtuale | 65.536 |
Analogamente alla tabella di routing di sistema, anche le tabelle di routing personalizzate hanno un tipo di hop successivo. Le tabelle di routing personalizzate offrono però alcune opzioni in più:
- Appliance virtuale: questa opzione è in genere una macchina virtuale che esegue un'applicazione di rete specifica, ad esempio un firewall.
- Gateway di rete virtuale: usare questa opzione quando si vuole inviare il traffico a un gateway di rete virtuale. Il tipo di gateway di rete virtuale deve essere VPN. Il tipo non può essere Azure ExpressRoute, che richiede l'impostazione di un processo di routing BGP (Border Gateway Protocol).
- Nessuno: con questa opzione il traffico viene eliminato anziché inoltrato.
- Rete virtuale: questa opzione consente di eseguire l'override di un routing di sistema predefinito.
- Internet: questa opzione consente di specificare che qualsiasi prefisso deve inoltrare il traffico a Internet.
Connettere le reti virtuali di Azure
È possibile connettere le reti virtuali in diversi modi. Si può usare il gateway VPN di Azure o ExpressRoute oppure usare direttamente il metodo di peering.
Gateway VPN di Azure
Quando si predispone l'integrazione della rete locale con Azure, è necessario che ci sia un bridge tra i due ambienti. Il gateway VPN è un servizio di Azure che offre questa funzionalità. Un gateway VPN è in grado di inviare il traffico crittografato tra le due reti. I gateway VPN supportano più connessioni, che consentono loro di indirizzare i tunnel VPN che usano qualsiasi larghezza di banda disponibile. A una rete virtuale può essere assegnato un solo gateway. I gateway VPN possono essere usati anche per le connessioni tra reti virtuali in Azure.
Quando si implementa un gateway VPN, è necessario distribuire due o più macchine virtuali nella subnet creata durante la configurazione della rete virtuale. In questo caso, la subnet è nota anche come subnet gateway. A ogni macchina virtuale viene assegnata una configurazione predefinita per i servizi routing e gateway, esplicita per il gateway di cui è stato effettuato il provisioning. Non è possibile configurare direttamente queste macchine virtuali.
Quando si crea un gateway, sono disponibili diverse topologie. Queste topologie, note anche come tipi di gateway, determinano gli elementi configurati e il tipo di connessione previsto.
Da sito a sito
Si usa una connessione da sito a sito per le configurazioni tra più sedi locali e di rete ibrida. Questa topologia di connessione richiede un dispositivo VPN locale con un indirizzo IP accessibile pubblicamente e non protetto tramite NAT. La connessione usa una stringa ASCII segreta, composta da un massimo di 128 caratteri, per l'autenticazione tra il gateway e il dispositivo VPN.
Multisito
Una connessione multisito è simile a una connessione da sito a sito, ma con una leggera differenza. La configurazione multisito supporta più connessioni VPN ai dispositivi VPN locali. Questa topologia di connessione richiede una VPN RouteBased nota come gateway dinamico. È importante sottolineare che, con una configurazione multisito, tutte le connessioni vengono instradate attraverso e condividono tutta la larghezza di banda disponibile.
Da punto a sito
Una connessione da punto a sito è adatta a un dispositivo client singolo remoto che si connette alla rete. È necessario autenticare il dispositivo client tramite Microsoft Entra ID o usando l'autenticazione del certificato di Azure. Questo modello è adatto agli scenari di lavoro domestici.
Da rete a rete
Una connessione da rete a rete viene usata per creare connessioni tra più reti virtuali di Azure. Questa topologia di connessione, a differenza delle altre, non richiede un indirizzo IP pubblico o un dispositivo VPN. Può essere usata anche in una configurazione con connettività da rete a rete per stabilire connessioni cross-premise combinate con la connettività tra reti virtuali.
ExpressRoute
ExpressRoute crea una connessione diretta tra la rete locale e la rete virtuale di Azure che non usa Internet. Usare ExpressRoute per estendere facilmente la rete locale nello spazio della rete virtuale di Azure. Molti provider di connettività non Microsoft offrono il servizio ExpressRoute. Sono disponibili tre diversi tipi di connessione ExpressRoute:
- Condivisione del percorso di CloudExchange
- Connessione Ethernet da punto a punto
- Connessione Any-to-Any (IPVPN)
Peering
Le reti virtuali possono consentire il peering tra le sottoscrizioni e le aree di Azure. Una volta eseguito il peering delle reti virtuali, le risorse presenti in queste reti comunicano tra loro come se si trovassero nella stessa rete. Il traffico viene instradato tra le risorse usando solo indirizzi IP privati. Una rete virtuale con peering instrada il traffico attraverso la rete di Azure e mantiene la connessione privata come parte della rete backbone di Azure. La rete backbone offre connessioni di rete a bassa latenza e larghezza di banda elevata.
Architettura di riferimento del gateway VPN da sito a sito
Benché siano disponibili molte architetture di riferimento quando si progetta una rete ibrida, un'architettura molto diffusa è la configurazione da sito a sito. L'architettura di riferimento semplificata illustrata nel diagramma seguente indica come connettere una rete locale alla piattaforma Azure. La connessione Internet usa un tunnel VPN IPsec.
L'architettura include diversi componenti:
- La rete locale rappresenta l'istanza locale di Active Directory ed eventuali dati o risorse.
- Il gateway è responsabile dell'invio del traffico crittografato a un indirizzo IP virtuale quando usa una connessione pubblica.
- La rete virtuale di Azure include tutte le applicazioni cloud e tutti i componenti del gateway VPN di Azure.
- Un gateway VPN di Azure offre il collegamento crittografato tra la rete virtuale di Azure e la rete locale. Un gateway VPN di Azure è costituito da questi elementi.
- Gateway di rete virtuale
- Gateway di rete locale
- Connessione
- Subnet gateway
- Le applicazioni cloud sono quelle rese disponibili tramite Azure.
- Un servizio di bilanciamento del carico interno, situato nel front-end, indirizza il traffico cloud alla corretta applicazione o risorsa basata sul cloud.
L'uso di questa architettura offre diversi vantaggi, tra cui:
- Le attività di configurazione e manutenzione sono più semplici.
- L'uso di un gateway VPN contribuisce a garantire che tutti i dati e il traffico vengano crittografati tra il gateway locale e il gateway di Azure.
- L'architettura può essere ridimensionata e ampliata per soddisfare le esigenze di rete dell'organizzazione.
Questa architettura non è applicabile in tutte le situazioni perché usa una connessione Internet esistente come collegamento tra i due punti del gateway. I vincoli di larghezza di banda possono causare problemi di latenza derivanti dal riutilizzo dell'infrastruttura esistente.