Che cos'è una rete virtuale di Azure

  • 3 minuti

La Rete virtuale di Azure è un servizio che fornisce l'elemento costitutivo fondamentale per la tua rete privata in Azure. Un'istanza del servizio (una rete virtuale) consente a molti tipi di risorse di Azure di comunicare in modo sicuro tra loro, Internet e reti locali. Queste risorse di Azure includono macchine virtuali (VM).

Una rete virtuale è simile a una rete tradizionale che si potrebbe usare nel proprio data center. Ma offre vantaggi aggiuntivi dell'infrastruttura di Azure, ad esempio scalabilità, disponibilità e isolamento.

Diagramma che mostra un esempio di rete virtuale di Azure.

Perché usare una rete virtuale di Azure?

Gli scenari principali che è possibile eseguire con una rete virtuale includono:

  • Comunicazione delle risorse di Azure con Internet.
  • Comunicazione tra le risorse di Azure.
  • Comunicazione con le risorse locali.
  • Filtro del traffico di rete.
  • Routing del traffico di rete.
  • Integrazione con i servizi di Azure.

Comunicare con Internet

Per impostazione predefinita, tutte le risorse in una rete virtuale possono comunicare in uscita con Internet. È anche possibile usare un indirizzo IP pubblico , gateway NATo di bilanciamento del carico pubblico per gestire le connessioni in uscita . È possibile comunicare in ingresso con una risorsa assegnando un indirizzo IP pubblico o un servizio di bilanciamento del carico pubblico.

Quando si usa solo un servizio di bilanciamento del carico standard interno , la connettività in uscita non è disponibile fino a quando non si definisce il modo in cui si desidera che le connessioni in uscita funzionino con un indirizzo IP pubblico a livello di istanza o con un servizio di bilanciamento del carico pubblico.

Comunicare tra le risorse di Azure

Le risorse di Azure comunicano in modo sicuro tra loro in uno dei modi seguenti:

  • Rete virtuale: è possibile distribuire macchine virtuali e altri tipi di risorse di Azure in una rete virtuale. Esempi di risorse includono ambienti del servizio app, servizio Azure Kubernetes e set di scalabilità di macchine virtuali di Azure. Per visualizzare un elenco completo delle risorse di Azure che è possibile distribuire in una rete virtuale, vedere Distribuire servizi di Azure dedicati in reti virtuali.
  • Endpoint di rete virtuale: puoi estendere lo spazio degli indirizzi privati della tua rete virtuale e l'identità della tua rete virtuale alle risorse del servizio di Azure tramite una connessione diretta. Tra gli esempi di risorse sono inclusi gli account di archiviazione di Azure e il database SQL di Azure. Gli endpoint di servizio consentono di proteggere le risorse critiche del servizio di Azure solo in una rete virtuale. Per altre informazioni, vedere endpoint del servizio di rete virtuale.
  • Peering di rete virtuale: è possibile connettere le reti virtuali tra loro usando il peering virtuale. Le risorse in entrambe le reti virtuali possono quindi comunicare tra loro. Le reti virtuali connesse possono trovarsi nelle stesse aree di Azure o diverse. Per ulteriori informazioni, vedere interconnessione di rete virtuale.

Comunicare con le risorse locali

È possibile connettere computer e reti locali a una rete virtuale usando una delle opzioni seguenti:

  • Rete privata virtuale da punto a sito (VPN): stabilita tra una rete virtuale e un singolo computer nella rete. Ogni computer che vuole stabilire la connettività con una rete virtuale deve configurare la connessione. Questo tipo di connessione è utile se si sta appena iniziando a usare Azure o per gli sviluppatori, perché richiede poche o nessuna modifica a una rete esistente. La comunicazione tra il computer e una rete virtuale viene inviata tramite un tunnel crittografato su Internet. Per altre informazioni, vedere Informazioni sulla VPN da punto a sito.
  • VPN da sito a sito: stabilita tra il dispositivo VPN locale e un gateway VPN di Azure distribuito in una rete virtuale. Questo tipo di connessione consente a qualsiasi risorsa locale autorizzata ad accedere a una rete virtuale. La comunicazione tra il dispositivo VPN locale e un gateway VPN di Azure viene inviata tramite un tunnel crittografato su Internet. Per altre informazioni, vedere VPN da sito a sito.
  • Azure ExpressRoute: stabilito tra la rete e Azure tramite un partner ExpressRoute. Questa connessione è privata. Il traffico non passa da Internet. Per altre informazioni, vedere Che cos'è Azure ExpressRoute?.

Filtrare il traffico di rete

È possibile filtrare il traffico di rete tra subnet usando una o entrambe le opzioni seguenti:

  • Gruppi di sicurezza di rete: i gruppi di sicurezza di rete e i gruppi di sicurezza delle applicazioni possono contenere più regole di sicurezza in ingresso e in uscita. Queste regole consentono di filtrare il traffico da e verso le risorse in base all'indirizzo IP di origine e di destinazione, alla porta e al protocollo. Per altre informazioni, vedere Gruppi di sicurezza di rete e gruppi di sicurezza delle applicazioni.
  • Appliance virtuali di rete: un'appliance virtuale di rete è una macchina virtuale che esegue una funzione di rete, ad esempio un firewall o un'ottimizzazione WAN. Per visualizzare un elenco delle appliance virtuali di rete disponibili che è possibile distribuire in una rete virtuale, passare a Azure Marketplace.

Instradare il traffico di rete

Azure instrada il traffico tra subnet, reti virtuali connesse, reti locali e Internet, per impostazione predefinita. È possibile implementare una o entrambe le opzioni seguenti per eseguire l'override delle route predefinite create da Azure:

  • Tabelle di route: è possibile creare tabelle di route personalizzate che controllano dove viene instradato il traffico per ogni subnet.
  • Route BGP (Border Gateway Protocol): se si connette la rete virtuale alla rete locale usando un gateway VPN di Azure o una connessione ExpressRoute, è possibile propagare le route BGP locali alle reti virtuali.

Integrazione con i servizi di Azure

L'integrazione dei servizi di Azure con una rete virtuale di Azure consente l'accesso privato al servizio da macchine virtuali o risorse di calcolo nella rete virtuale. Per questa integrazione è possibile usare le opzioni seguenti:

  • Collocare istanze dedicate del servizio in una rete virtuale. I servizi possono quindi essere accessibili privatamente all'interno della rete virtuale e dalle reti locali.
  • Usare collegamento privato di Azure per accedere privatamente a un'istanza specifica del servizio dalla rete virtuale e dalle reti locali.
  • Accedere al servizio tramite endpoint pubblici, estendendo una rete virtuale al servizio attraverso endpoint di servizio. Gli endpoint di servizio consentono di proteggere le risorse del servizio nella rete virtuale.

Limiti

Esistono limiti al numero di risorse di Azure che è possibile distribuire. La maggior parte dei limiti di rete di Azure è ai valori massimi. Tuttavia, è possibile aumentare determinati limiti di rete. Per altre informazioni, vedere Limiti di rete .

Reti virtuali e zone di disponibilità

Le reti virtuali e le subnet si estendono su tutte le zone di disponibilità in un'area. Non è necessario dividerli per zone di disponibilità per supportare le risorse di zona. Ad esempio, se si configura una macchina virtuale a livello di zona, non è necessario prendere in considerazione la rete virtuale quando si seleziona la zona di disponibilità per la macchina virtuale. Lo stesso vale per altre risorse di zona.

Prezzi

Non è previsto alcun addebito per l'uso della rete virtuale di Azure. È gratuito. Gli addebiti standard si applicano alle risorse, ad esempio macchine virtuali e altri prodotti. Per altre informazioni, vedere prezzi della rete virtuale e il calcolatore dei prezzi di Azure .