Embed Size (px)
Citation preview
Cosa devono sapere gli architetti IT della
rete per i servizi cloud e le piattaforme
Microsoft
Rete cloud
Microsoft per
Enterprise Architects1 2 3 4 51 2 3 4 5Questo è il 1° di 6 argomenti
Trasformazione della tua rete per la connettività cloudLa migrazione cloud cambia il volume e la natura dei flussi del traffico all'interno e all'esterno di una
rete aziendale. Influisce, inoltre, sugli approcci finalizzati alla mitigazione dei rischi per la sicurezza.
Gli investimenti relativi all'infrastruttura di rete iniziano con la connettività.
Ulteriori investimenti dipendono dalla categoria di servizio cloud.
La maggior parte degli investimenti sull'infrastruttura di rete veniva spesa per garantire una connettività disponibile, affidabile ed efficiente
ai datacenter locali. Per molte organizzazioni, la connessione Internet
non aveva un ruolo critico per le operazioni interne all'azienda. I limiti
di rete fungevano da difesa principale dalle violazioni della sicurezza.
Con i carichi di lavoro IT e di produttività nuovi e migrati nel cloud,
gli investimenti infrastrutturali sono passati dai datacenter locali
alla connessione Internet, diventata fondamentale per le operazioni aziendali interne. La connettività federata ha una nuova strategia
di sicurezza che fornisce la protezione delle identità e dei dati nel
traffico di rete e nei punti di connessione dei servizi cloud Microsoft.
Aree di investimento nella rete per il successo nel cloud
Le organizzazioni aziendali traggono vantaggio dall'adozione di un approccio metodico per ottimizzare la velocità effettiva della rete sulla Intranet e su Internet. Potrai sfruttare a tuo vantaggio anche una connessione ExpressRoute.
Ottimizza la connettività
Intranet per la tua rete
perimetrale
Nel corso degli anni, molte organizzazioni
hanno ottimizzato la connettività e le
prestazioni della rete Intranet per le
applicazioni in esecuzione sui datacenter
locali. Con i carichi di lavoro IT e di
produttività in esecuzione nel cloud
Microsoft, sono necessari ulteriori
investimenti per garantire una disponibilità
della connessione elevata e che le
prestazioni del traffico tra gli utenti della
rete perimetrale e della rete Intranet siano
ottimali.
Anche se è possibile usare la connessione
Internet corrente dalla rete perimetrale, il
traffico tra i servizi cloud Microsoft deve
condividere i cavi con il resto del traffico
della rete Intranet su Internet. Inoltre, il
traffico verso i servizi cloud Microsoft è
soggetto alla congestione del traffico
Internet.
Per un contratto di servizio elevato e le
prestazioni ottimali, usa ExpressRoute, una
connessione WAN dedicata tra la tua rete
e Azure, Office 365, Dynamics 365 o tutti e
tre.
ExpressRoute è in grado di sfruttare il
provider di rete esistente per una
connessione dedicata. Le risorse collegate
mediante ExpressRoute vengono
visualizzate come se fossero sulla rete
WAN, anche nel caso di organizzazioni
geograficamente distribuite.
I servizi SaaS Microsoft includono Office 365,
Microsoft Intune e Microsoft Dynamics 365.
Un'adozione soddisfacente dei servizi SaaS da
parte degli utenti dipende da una connettività
a Internet efficiente e ad elevata disponibilità
o direttamente ai servizi cloud di Microsoft.
L'architettura di rete si basa su una connettività
ridondante e affidabile e su un'ampia larghezza
di banda. Gli investimenti attuali includono
l'ottimizzazione e il monitoraggio delle
prestazioni.
SaaSSoftware come servizio
Oltre agli investimenti per i servizi SaaS
Microsoft, le applicazioni PaaS
geograficamente distribuite o multisito
potrebbero richiedere la definizione
dell'architettura di un gateway applicazione
Azure o di Gestione traffico di Azure per
distribuire il traffico client. Gli investimenti
attuali includono il monitoraggio della
distribuzione del traffico e delle prestazioni
e il testing di failover.
PaaS di AzurePiattaforma come servizio
Oltre agli investimenti per i servizi SaaS
e PaaS Microsoft, l'esecuzione di carichi di
lavoro IT in IaaS richiede la progettazione
e configurazione delle reti virtuali Azure che
ospitano macchine virtuali, la connessione
sicura alle applicazioni in esecuzione su tali
macchine, il routing, l' impostazione di indirizzi
IP, il sistema DNS e il bilanciamento del
carico. Gli investimenti attuali includono
il monitoraggio della sicurezza e delle
prestazioni e la risoluzione dei problemi.
IaaS di AzureInfrastruttura come servizio
L'ambito degli investimenti relativi alla rete dipende dalla categoria del
servizio cloud. Investire sul cloud Microsoft ottimizza gli investimenti dei
team che si occupano della rete. Ad esempio, gli investimenti per
i servizi SaaS si applicano a tutte le categorie.
Definizione dell'architettura della connessione Internet
ridondante e affidabile con ampia larghezza di banda
Monitoraggio e ottimizzazione della velocità effettiva
della rete Internet per le prestazioni
Risoluzione dei problemi alla connessione Internet
e alla velocità effettiva
Progettazione di Gestione traffico di Azure per il
bilanciamento del carico del traffico su diversi endpoint
Definizione dell'architettura di una connessione efficiente
ridondante e affidabile alle reti virtuali di Azure
Progettazione di una connessione sicura alle macchine
virtuali di Azure
Progettazione e implementazione del routing tra
percorsi locali e reti virtuali
Definizione dell'architettura e implementazione del bilanciamento del
carico per i carichi di lavoro IT interni e con connessione a Internet
Risoluzione dei problemi alla connettività delle macchine virtuali
e alla velocità effettiva
Area di investimento SaaS PaaS IaaS
Per un contratto di servizio
elevato per i servizi cloud
Microsoft, usa ExpressRoute
Ottimizza la velocità effettiva
nella tua rete perimetrale
Dato che la maggior parte del tuo traffico
giornaliero di produttività passa per il
cloud, dovresti esaminare l'insieme di
sistemi nella tua rete perimetrale per
verificare che siano regolari, forniscano
una disponibilità elevata e abbiano una
capacità sufficiente per supportare i
carichi massimi.
Settembre 2016
Prima del cloud Dopo il cloud
© 2016 Microsoft Corporation. Tutti i diritti riservati. Per inviare commenti e suggerimenti su questa documentazione, scrivere all 'indirizzo [email protected].© 2016 Microsoft Corporation. Tutti i diritti riservati. Per inviare commenti e suggerimenti su questa documentazione, scrivere all 'indirizzo [email protected].
6
ExpressRoute per Office 365ExpressRoute per Office 365
ExpressRoute per AzureExpressRoute per Azure
Firewall interno: barriera tra la tua rete attendibile
e una non attendibile. Consente di monitorare e filtrare
(in base ad apposite regole) il traffico.
Carico di lavoro esterno: siti Web o altri carichi di lavoro
resi disponibili agli utenti esterni su Internet
Server proxy: le richieste dei servizi per i contenuti Web
per conto degli utenti della rete Intranet. Un proxy
inverso consente richieste in entrata non sollecitate.
Firewall esterno: consente il traffico in uscita e il traffico
in entrata specificato. È in grado di eseguire la
conversione degli indirizzi.
Connessione WAN all'ISP: una connessione basata sul
gestore telefonico a un ISP, che sfrutta Internet per la
connessione e il routing.
Cosa devono sapere gli architetti IT della
rete per i servizi cloud e le piattaforme
Microsoft
1 2 3 4 51 2 3 4 5Questo è il 2° di 6 argomenti
Elementi comuni della connettività del cloud di MicrosoftL'integrazione della rete con il cloud di Microsoft consente di accedere facilmente a
una vasta gamma di servizi.
Opzioni per la connettività del cloud Microsoft
Settembre 2016
Procedura per predisporre la rete per i servizi cloud Microsoft
Analizza i tuoi computer client e ottimizza l'hardware di rete, i software driver, le impostazioni del protocollo e i browser Internet.
1Analizza la tua rete locale per individuare la latenza del traffico e il routing ottimale per il dispositivo periferico Internet.
2Analizza la capacità e le prestazioni del tuo dispositivo periferico Internet e ottimizzalo per ottenere livelli di traffico superiori.
3 Analizza la latenza tra il dispositivo periferico Internet (ad esempio il firewall esterno) e le posizioni regionali del servizio cloud Microsoft al quale desideri connetterti.
1 Analizza la capacità e l'utilizzo della connessione Internet corrente e, se necessario, aggiungi ulteriore capacità. In alternativa, aggiungi una connessione ExpressRoute.
2
Prestazioni della rete Intranet
Le prestazioni relative alle risorse Internet
verranno compromesse se la tua rete
Intranet, compresi i computer client, non
è ottimale.
Dispositivi periferici
I dispositivi periferici della rete sono punti
in uscita e possono includere NAT
(Network Address Translator), server
proxy (compresi proxy inversi), firewall,
dispositivi di rilevamento intrusione o una
loro combinazione.
Connessione Internet
La connessione WAN all'ISP e la
connessione Internet devono avere una
capacità sufficiente per gestire i carichi
massimi.
Puoi anche utilizzare una connessione
ExpressRoute.
DNS Internet
Usa i record A, AAAA, CNAME, MX, PTR
e altri per individuare il cloud Microsoft
o i tuoi servizi ospitati nel cloud. Ad
esempio, potresti utilizzare un record
CNAME per la tua app ospitata in PaaS
di Azure.
Aree di rete comuni a tutti i servizi cloud Microsoft
Rete locale Internet
UtentiUtenti
ExpressRouteExpressRoute
Microsoft AzureMicrosoft AzureMicrosoft Azure
Office 365Office 365
Microsoft IntuneMicrosoft Intune
Dynamics 365Dynamics 365
RETE PERIMETRALE
Carico di lavoro esterno
Carico di lavoro esterno
Carico di lavoro esterno
Firewall esternoServer proxyServer proxy
ISP
Rete locale Internet
Componenti di una rete perimetrale tipica
Firewall internoFirewall interno
Pipe
Internet
Pipe
Internet
Pipe
Internet
Rete cloud Microsoft
per Enterprise
Architects
Usa la pipe Internet esistente o una connessione ExpressRoute a Office 365,
Azure e Dynamics 365.
6
© 2016 Microsoft Corporation. Tutti i diritti riservati. Per inviare commenti e suggerimenti su questa documentazione, scrivere all 'indirizzo [email protected].© 2016 Microsoft Corporation. Tutti i diritti riservati. Per inviare commenti e suggerimenti su questa documentazione, scrivere all 'indirizzo [email protected].
Cosa devono sapere gli architetti IT della
rete per i servizi cloud e le piattaforme
Microsoft
Questo è il 3° di 6 argomenti
ExpressRoute per la connettività del cloud MicrosoftExpressRoute fornisce una connessione di rete a elevata velocità effettiva, dedicata e
privata per il cloud Microsoft.
ExpressRoute per il cloud Microsoft
Rete cloud Microsoft
per Enterprise
Architects
Vantaggi di ExpressRoute per Azure
Senza ExpressRoute
Con ExpressRoute
Connessioni a elevata velocità
effettiva
Con l'ampio supporto per le connessioni
ExpressRoute mediante i provider
Exchange e i provider del servizio di rete,
puoi ottenere un collegamento di
massimo 10 Gbps al cloud Microsoft.
Costi ridotti per alcune
configurazioni
Anche se le connessioni ExpressRoute
implicano un costo aggiuntivo, in alcuni casi
una singola connessione ExpressRoute può
richiedere un costo inferiore di quello che
sarebbe necessario per incrementare la
capacità Internet in più posizioni
dell'organizzazione per fornire una velocità
effettiva adeguata ai servizi cloud Microsoft.
Prestazioni prevedibili
Grazie a un percorso dedicato per la
periferia del cloud Microsoft, le tue
prestazioni non sono soggette a guasti e
picchi nel traffico Internet dell'ISP. Puoi
ritenere responsabili i tuoi provider per
un contratto di servizio relativo a latenza
e velocità effettiva nel cloud Microsoft.
Privacy dei dati per il traffico
Il traffico inviato tramite la connessione
ExpressRoute dedicata non è soggetto
al monitoraggio di Internet o
all'acquisizione dei pacchetti e all'analisi
da parte di utenti malintenzionati. È
sicuro come l'utilizzo dei collegamenti
WAN basati su MLS (Multiprotocol
Label Switching).
Con una connessione Internet, l'unica parte del
percorso del traffico per il cloud Microsoft che
puoi controllare (e che ha una relazione con il
provider di servizi) è il collegamento tra la periferia
della tua rete locale e l'ISP (mostrato in verde).
Il percorso tra l'ISP e la periferia del cloud
Microsoft è un sistema di recapito di tipo massimo
sforzo soggetto a guasti, congestione del traffico
e monitoraggio da parte di utenti malintenzionati
(mostrato in giallo).
Gli utenti su Internet, come quelli mobili o remoti,
inviano il proprio traffico per il cloud Microsoft
tramite Internet.
Con una connessione ExpressRoute, ora puoi
tenere sotto controllo, collaborando con il tuo
provider di servizi, l'intero percorso per il traffico
dalla tua periferia alla periferia del cloud Microsoft.
Questa connessione può offrire prestazioni
prevedibili e un contratto di servizio con uptime
pari al 99,9%.
Ora puoi fare affidamento a una latenza e velocità
effettiva prevedibili in base alla connessione del
tuo provider di servizi a Office 365, Azure
e Dynamics 365. Attualmente, le connessioni
ExpressRoute per a Microsoft Intune non sono
supportate.
Il traffico inviato tramite la connessione
ExpressRoute non è più soggetto a interruzioni,
congestione e monitoraggio del traffico Internet.
Gli utenti su Internet, come quelli mobili o remoti,
continuano a inviare il proprio traffico al cloud
Microsoft tramite Internet. Un'eccezione
è rappresentata dal traffico per un'applicazione
line-of-business Intranet ospitata su IaaS di Azure,
che viene inviato nella connessione ExpressRoute
tramite una connessione con accesso remoto a una
rete locale.
ExpressRoute per Office 365ExpressRoute per Office 365 ExpressRoute per AzureExpressRoute per Azure
1 2 3 4 51 2 3 4 5 6
Rete locale Internet
UtentiUtenti
Microsoft AzureMicrosoft Azure
Office 365
Microsoft Intune
Dynamics 365
Cloud Microsoft
UtentiUtenti
Rete locale Internet
UtentiUtenti
Microsoft AzureMicrosoft AzureOffice 365
Microsoft Intune
Dynamics 365
Cloud Microsoft
Periferia
Periferia
UtentiUtenti
ExpressRouteExpressRoute
ISP
Per ulteriori informazioni, consulta le seguenti risorse aggiuntive:
Anche con una connessione ExpressRoute, parte del traffico continua a essere inviata tramite Internet,
come le query DNS, il rilevamento dell'elenco di revoche di certificati e le richieste CDN per la
distribuzione di contenuti.
Continua nella pagina successiva
Una connessione ExpressRoute non garantisce prestazioni più elevate in tutte le configurazioni.
È possibile che le prestazioni su una connessione ExpressRoute con una larghezza di banda ridotta
siano inferiori a quelle di una connessione Internet con una larghezza di banda superiore che si trova
a pochi hop di distanza da un datacenter Microsoft regionale.
Per i suggerimenti più recenti sull'utilizzo di
ExpressRoute con Office 365, consulta ExpressRoute
per Office 365.
Per i suggerimenti più recenti sull'utilizzo di
ExpressRoute con Office 365, consulta ExpressRoute
per Office 365.
ISP
Periferia
Periferia
Relazioni di peering ExpressRoute nei servizi cloud Microsoft
Modelli di connettività ExpressRoute
Ethernet punto a punto Connessione any-to-any (IP VPN)
La tua
posizione
Microsoft
La tua
posizione 1
Microsoft
La tua
posizione 2
La tua
posizione 3
WAN
Se il datacenter è in
una posizione locale,
puoi usare un
collegamento
Ethernet punto
a punto per
connetterti al cloud
Microsoft.
Se stai già usando un
provider IP VPN (MPLS)
per connetterti ai siti
dell'organizzazione, una
connessione
ExpressRoute al cloud
Microsoft agisce come
un'altra posizione sulla
tua rete WAN privata.
Esempio di distribuzione di un'applicazione e del flusso del traffico con ExpressRoute
Rete locale
UtentiUtenti
ExpressRoute
SaaS di Microsoft
IaaS di Azure
Peer Microsoft
Peer pubblico
Peer privato
Office 365
Una singola connessione ExpressRoute supporta fino a tre relazioni di peer con Border Gateway Protocol (BGP) differenti per diverse
parti del cloud Microsoft. BPG utilizza le relazioni di peer per stabilire relazioni di trust e per lo scambio di informazioni di routing.
Viene stabilito tra un router nella tua rete
perimetrale e gli indirizzi pubblici dei
servizi Office 365 e Dynamics 365.
Supporta la comunicazione bidirezionale.
Peer Microsoft
Viene stabilito tra un router nella tua rete
perimetrale e gli indirizzi pubblici dei
servizi Office 365 e Dynamics 365.
Supporta la comunicazione bidirezionale.
Peer Microsoft
Peer pubblico
Viene stabilito tra un router nella tua rete
perimetrale e gli indirizzi IP pubblici dei
servizi Azure.
Supporta la comunicazione unidirezionale
solo da sistemi locali. La relazione di peer
non supporta le comunicazioni avviate dai
servizi PaaS di Azure.
Peer pubblico
Viene stabilito tra un router nella tua rete
perimetrale e gli indirizzi IP pubblici dei
servizi Azure.
Supporta la comunicazione unidirezionale
solo da sistemi locali. La relazione di peer
non supporta le comunicazioni avviate dai
servizi PaaS di Azure.
Peer privato
Viene stabilito tra un router della periferia
della tua rete aziendale e gli indirizzi IP
privati assegnati alle reti virtuali di Azure.
Supporta la comunicazione bidirezionale.
È un'estensione della rete aziendale nel
cloud Microsoft, completa di routing e
indirizzi coerenti internamente.
Peer privato
Viene stabilito tra un router della periferia
della tua rete aziendale e gli indirizzi IP
privati assegnati alle reti virtuali di Azure.
Supporta la comunicazione bidirezionale.
È un'estensione della rete aziendale nel
cloud Microsoft, completa di routing e
indirizzi coerenti internamente.
Percorso condiviso in una struttura
con scambio cloud
Il tuo
percorso
condiviso
Microsoft Se il tuo datacenter ha
un percorso condiviso
in una struttura con
scambio cloud, puoi
ordinare una Cross
Connection virtuale con
il cloud Microsoft tramite
lo scambio Ethernet del
provider di condivisione
del percorso.
PaaS di Azure
Tipi di applicazione:
Analisi
IoT
Supporti e rete CDN
Integrazione ibrida
Dynamics CRM
Rete virtuale
Macchine virtualiMacchine virtualiGatewayGatewayGateway
Il modo in cui il traffico passa tra le connessioni ExpressRoute e all'interno del cloud Microsoft dipende dai route negli hop del percorso
tra l'origine, la destinazione e il comportamento dell'applicazione. Di seguito viene riportato un esempio di un'applicazione eseguita su
una macchina virtuale di Azure che accede a una farm di SharePoint locale mediante una connessione VPN da sito a sito.
Rete locale
Pipe
Internet
Pipe
Internet
Pipe
Internet
IaaS di Azure
Rete virtuale
GatewayGatewayGateway
VPN da sito a sitoFarm di
SharePoint
Farm di
SharePoint
Con le relazioni di peer privato e Microsoft:
Dal gateway di Azure, sono disponibili percorsi
localinella connessione ExpressRoute.
Dalla sottoscrizione di Office 365, sono disponibili
indirizzi IP pubblici di dispositivi periferici (come server
proxy) nella connessione ExpressRoute.
Dalla periferia della rete locale, sono disponibili gli
indirizzi IP privati della rete virtuale di Azure e gli
indirizzi IP pubblici di Office 365 nella connessione
ExpressRoute.
Quando l'applicazione accede agli URL di SharePoint
Online, ne segue il traffico sulla connessione
ExpressRoute fino a un server proxy nella periferia.
Quando il server proxy individua l'indirizzo IP di
SharePoint Online, ne segue il traffico inverso sulla
connessione ExpressRoute. Il traffico di risposta sfrutta il
percorso inverso. Ciò che si ottiene è l'hairpinning, una
conseguenza del routing e del comportamento
dell'applicazione.
L'organizzazione ha migrato la propria farm di SharePoint locale
a SharePoint Online in Office 365 e ha distribuito una connessione
ExpressRoute.
Server applicazioniServer applicazioni
Flusso del traffico
SaaS di Microsoft
Office 365
Rete locale IaaS di Azure
Rete virtuale
Server applicazioniServer applicazioni
Periferia ExpressRoute
GatewayGatewayGateway
L'applicazione individua l'indirizzo IP della farm di
SharePoint utilizzando il DNS locale e tutto il traffico
sfrutta la connessione VPN da sito a sito.
Flusso del traffico
Continua nella pagina successiva
Calcolo
Web e dispositivi mobili
Dati
Settembre 2016
Utilità di ottimizzazione
WAN
Puoi distribuire le utilità di ottimizzazione
WAN su entrambi i lati di una
connessione di peer privato per una rete
virtuale di Azure cross-premise. All'interno
della rete virtuale di Azure, usa
un'applicazione di rete con utilità di
ottimizzazione WAN disponibile
nell'Azure Marketplace e un routing
definito dall'utente per instradare il
traffico mediante l'applicazione.
Qualità del servizio
Usa i valori DSCP (Differentiated Services
Code Point) nell'intestazione IPv4 del
traffico per contrassegnarlo per
messaggi vocali, video/interattivi o
recapiti di tipo massimo sforzo. Questo è
particolarmente importante per la
relazione di peer Microsoft e il traffico di
Skype for Business Online.
La sicurezza dalla tua
parte
Per fornire una sicurezza avanzata al
traffico inviato e ricevuto mediante la
connessione ExpressRoute (come
l'ispezione del traffico o il rilevamento di
intrusioni/malware), posiziona le tue
applicazioni di sicurezza nel percorso del
traffico all'interno della rete perimetrale
o nella periferia della rete Intranet.
Traffico Internet per le macchine
virtuali
Per evitare che le macchine virtuali di
Azure avviino il traffico direttamente con
i percorsi Internet, segnala la route
predefinita a Microsoft. Il traffico su
Internet viene instradato mediante la
connessione ExpressRoute e i server
proxy locali. Il traffico tra le macchine
virtuali di Azure e i servizi PaaS di Azure
o Office 365 viene instradato attraverso
la connessione ExpressRoute.
ExpressRoute e la rete del cloud Microsoft
Opzioni di ExpressRoute
Con ExpressRoute Con ExpressRoute Premium
Il modo in cui il traffico passa dalla rete dell'organizzazione a un datacenter
Microsoft è una combinazione degli elementi seguenti:
Le tue posizioni.
Le posizioni di peering del cloud Microsoft (le posizioni fisiche per
connettersi a Microsoft).
Le posizioni dei datacenter Microsoft.
I datacenter Microsoft e le posizioni di peering del cloud sono tutti connessi
sulla rete del cloud Microsoft.
Creando una connessione ExpressRoute per una posizione di peering del
cloud Microsoft, sei connesso alla rete cloud di Microsoft e a tutti i percorsi
dei datacenter Microsoft dello stesso continente. Il traffico tra la posizione di
peering sul cloud e il datacenter di destinazione Microsoft viene trasportato
sulla rete cloud di Microsoft.
Ciò può implicare un recapito non ottimale nei datacenter Microsoft locali
per il modello di connettività any-to-any.
Per le organizzazioni distribuite a livello globale in più continenti, puoi
usare la connessione ExpressRoute Premium.
Con ExpressRoute Premium, puoi raggiungere qualsiasi datacenter
Microsoft in qualsiasi continente da qualsiasi posizione di peering
Microsoft. Il traffico tra i continenti viene trasportato sulla rete cloud
Microsoft.
Con più connessioni ExpressRoute Premium, puoi avere:
Prestazioni migliori nei datacenter Microsoft locali a livello continentale.
Maggiore disponibilità nel cloud Microsoft globale quando una
connessione ExpressRoute locale diventa non disponibile.
ExpressRoute Premium è necessario per le connessioni ExpressRoute
basate su Office 365. Tuttavia, non sono previsti costi aggiuntivi per le
aziende con almeno 500 utenti con licenza.
Per un recapito ottimale,
usa più connessioni
ExpressRoute alle posizioni
di peering del cloud
Microsoft regionale.
Ciò può fornire:
Prestazioni migliori
nelle posizioni dei
datacenter Microsoft
locali a livello regionale.
Maggiore disponibilità nel
cloud Microsoft quando
una connessione
ExpressRoute locale
diventa non disponibile.
Rete cloud Microsoft
Posizione di peering
Posizione 1 Posizione 2
Datacenter
Ulteriori
informazioni
ExpressRoute per Azure
https://azure.microsoft.com/services/
expressroute/
https://azure.microsoft.com/services/
expressroute/
ExpressRoute per Office 365
http://aka.ms/expressrouteoffice365http://aka.ms/expressrouteoffice365
In questo esempio, il
traffico proveniente
dalla sede sulla costa
orientale deve
attraversare il paese
fino alla posizione di
peering del cloud
Microsoft sulla costa
occidentale, per poi
tornare nel datacenter
di Azure degli Stati
Uniti orientali.
Rete cloud Microsoft
Posizione di peering
Posizione 1
Posizione 2
Datacenter
Posizione di peering
WAN
Esempio di connessioni ExpressRoute Premium per
un'azienda globale che usa Office 365
Rete cloud
Microsoft
Rete cloud
Microsoft
Rete cloud
Microsoft
Rete cloud
Microsoft
Rete cloud
Microsoft
Con una parte della rete cloud Microsoft in ogni continente, un'azienda
globale crea connessioni ExpressRoute Premium dalle proprie sedi centrali
regionali alle posizioni di peering Microsoft locali.
Per una sede regionale, adatta il traffico di Office 365 a:
Flussi dei datacenter di Office 365 continentali nella rete cloud Microsoft
all'interno del continente.
Flussi dei datacenter di Office 365 in un altro continente nella rete cloud
Microsoft intercontinentale.
ExpressRoute per Office 365 e altre opzioni di connessione di reteExpressRoute per Office 365 e altre opzioni di connessione di reteQuesta opzione è particolarmente adatta alle organizzazioni che si trovano
nello stesso continente. Tuttavia, il traffico per i datacenter Microsoft al di
fuori del continente in cui risiede l'organizzazione sfrutta la connessione
Internet.
Per il traffico intercontinentale mediante la rete cloud Microsoft, devi usare le
connessioni ExpressRoute Premium.
Pianificazione della rete e ottimizzazione delle prestazioni per Office 365Pianificazione della rete e ottimizzazione delle prestazioni per Office 365
Corso di Microsoft Virtual Academy sulla gestione delle prestazioni di
Office 365
Corso di Microsoft Virtual Academy sulla gestione delle prestazioni di
Office 365
© 2016 Microsoft Corporation. Tutti i diritti riservati. Per inviare commenti e suggerimenti su questa documentazione, scrivere all 'indirizzo [email protected].© 2016 Microsoft Corporation. Tutti i diritti riservati. Per inviare commenti e suggerimenti su questa documentazione, scrivere all 'indirizzo [email protected].
Internet
Cosa devono sapere gli architetti IT della
rete per i servizi cloud e le piattaforme
Microsoft
Rete cloud Microsoft
per Enterprise
Architects1 2 5Questo è il 4° di 6 argomenti
Progettazione della rete per SaaS di Microsoft
(Office 365, Microsoft Intune e Dynamics 365)L'ottimizzazione della rete per i servizi SaaS di Microsoft richiede un'analisi approfondita della
connessione Internet, dei dispositivi client e delle operazioni IT tipiche.
Considerazioni sulla connessione Internet
Settembre 2016
Procedura per predisporre la rete per i servizi SaaS Microsoft
Migrazioni singole
Evitano l'utilizzo massimo della rete e le applicazioni di patch al computer
Dovrebbero essere ben definite e pilotate, valutano l'integrità della rete e
risolvono i problemi prima di effettuare la migrazione
Eseguono relazioni finali per migrazioni future
Sincronizzazioni costanti
Assicurati di disporre di un sistema di monitoraggio della larghezza di banda di
rete, risolvi o ignora gli errori rilevati
Usa i risultati ottenuti dal monitoraggio della larghezza di banda per
determinare la necessità di apportare modifiche alla rete (scalabilità, nuovi
circuiti o aggiunta di dispositivi)
Considerazioni sulle operazioni IT
Rete locale
UtentiUtenti
ExpressRouteExpressRoute
Office 365Office 365
Consigli sui server proxy
Configura i client Web con WPAD, PAC
o GPO
Non usare l'intercettazione SSL
Usa un file PAC per escludere il proxy
per i nomi DNS dei servizi SaaS di
Microsoft
Consenti il traffico per la verifica CRL/
OCSP
Colli di bottiglia dei server
proxy Connessioni permanenti insufficienti
(Outlook)
Capacità insufficiente
Valutazione fuori rete
Richiesta di autenticazione
Nessun supporto per il traffico UDP
(Skype for Business)
Consigli su posizione
e prossimità Non instradare il traffico Internet
tramite la rete WAN privata
Usa il flusso del traffico Internet e DNS
regionali per utenti fuori area
Usa ExpressRoute e il peering
Microsoft per la larghezza di banda
elevata con Office 365 e Dynamics 365
Porte in uscita per Office 365TCP 80 (per i controlli CRL/OCSP)
TCP 443
UDP 3478
TCP 5223
TCP 50000-59999
UDP 50000-59999
URL e intervalli di indirizzi IP di Office 365URL e intervalli di indirizzi IP di Office 365
Considerazioni sull'utilizzo del client
Microsoft IntuneMicrosoft Intune
Dynamics 365Dynamics 365
Set di servizi
Azure Active Directory
Office 365
App client Office
SharePoint Online
Exchange Online
Skype for Business
Microsoft Intune
Dynamics 365
Computer client
Determinano:
La quantità massima in qualsiasi
intervallo di tempo (momento del
giorno, stagionale, picchi e cali di
utilizzo)
Larghezza di banda totale per i picchi
Latenza al dispositivo in uscita Internet
Paese di origine e paese del datacenter
con posizione condivisa
Per ogni tipo di client (PC, smartphone,
tablet), verifica:
Sistema operativo
Browser Internet
Stack TCP/IP
Hardware di rete
Driver del sistema operativo per
l'hardware di rete
Aggiornamenti e patch installati
Ottimizza la produttività della
connessione Intranet (cablata, wireless
o VPN).
Prestazioni della rete Intranet
Usa gli strumenti per misurare i
tempi di round trip (RTT) nei
dispositivi con connessione
Internet (PsPing, Ping, Tracert,
TraceTCP, Network Monitor)
Esegui l'analisi dei percorsi in
uscita tramite i protocolli di flusso
Esegui l'analisi dei dispositivi
intermedi (età, integrità, etc.)
Supporto di NAT con Office 365Supporto di NAT con Office 365 Strumento PsPingStrumento PsPing
Ulteriori
informazioni
http://aka.ms/tune
Pianificazione della rete e
ottimizzazione delle prestazioni
per Office 365
http://aka.ms/tune
Pianificazione della rete e
ottimizzazione delle prestazioni
per Office 365
Corso di Microsoft Virtual Academy
sulla gestione delle prestazioni di
Office 365
http://aka.ms/o365perf
Corso di Microsoft Virtual Academy
sulla gestione delle prestazioni di
Office 365
http://aka.ms/o365perf
ExpressRoute per Office 365
http://aka.ms/expressrouteoffice365
ExpressRoute per Office 365
http://aka.ms/expressrouteoffice365
Pipe
Internet
Pipe
Internet
Pipe
Internet
Consulta la Procedura per predisporre la rete per i servizi cloud Microsoft nel 2° argomento di questo modello.
1Ottimizza l'uscita Internet per i servizi SaaS di Microsoft seguendo i consigli sui server proxy.
2Ottimizza la produttività di Internet seguendo i consigli su posizione e prossimità.
3Ottimizza le prestazioni dei computer client e della rete Intranet in cui si trovano applicando quanto espresso nelle considerazioni sull'utilizzo del client.
4In base alle esigenze, ottimizza le prestazioni delle migrazioni e della sincronizzazione dei dati applicando quanto espresso nelle considerazioni sulle operazioni IT.
5
Ad esempio, il trasferimento dati di massa per applicazioni basate sul cloud o
risorse di archiviazione.
Ad esempio, informazioni sulla directory, impostazioni o file.
643
ExpressRoute per Office 365ExpressRoute per Office 365
© 2016 Microsoft Corporation. Tutti i diritti riservati. Per inviare commenti e suggerimenti su questa documentazione, scrivere all 'indirizzo [email protected].© 2016 Microsoft Corporation. Tutti i diritti riservati. Per inviare commenti e suggerimenti su questa documentazione, scrivere all 'indirizzo [email protected].
Cosa devono sapere gli architetti IT della
rete per i servizi cloud e le piattaforme
Microsoft
Rete cloud Microsoft
per Enterprise
Architects1 2 3Questo è il 5° di 6 argomenti
Larghezza di banda Internet per le applicazioni PaaS aziendali
Settembre 2016
Operazioni di pianificazione per ospitare applicazioni PaaS aziendali in Azure
Azure Traffic Manager
Gateway applicazione Azure
Progettazione della rete per PaaS di AzureL'ottimizzazione della rete per le app PaaS di Azure necessita di una larghezza di banda
Internet adeguata e può richiedere la distribuzione del traffico di rete in più siti o app.
Le applicazioni aziendali ospitate in PaaS di Azure richiedono la larghezza di banda Internet per utenti Intranet.
Servizi di bilanciamento del carico e routing a livello di applicazione che
consentono di creare un componente Web front-end scalabile e con
disponibilità elevata in Azure per app Web, servizi cloud e macchine virtuali.
Attualmente, il gateway applicazione supporta la consegna di applicazioni di
livello 7 per quanto segue:
Bilanciamento del carico HTTP
Affinità basata sui cookie
Offload SSL
Gateway applicazioneGateway applicazione
App WebApp Web
Macchina virtualeMacchina virtuale
Servizio cloudServizio cloud
Distribuzione del traffico a endpoint diversi, che possono includere servizi
cloud o app Web di Azure situati in diversi datacenter o endpoint esterni.
Microsoft Azure
Traffic ManagerTraffic Manager
Microsoft Azure
App WebApp WebStati Uniti
orientali
Europa
occidentale
Asia
orientale
App WebApp Web
App WebApp Web
App WebStati Uniti
orientali
Europa
occidentale
Asia
orientale
App Web
App Web
Opzione 1 Usa la pipe esistente, ottimizzata
per il traffico Internet con la capacità di
gestire i carichi massimi. Consulta pagina 4
di questo modello per la connessione
Internet, l'utilizzo del client e considerazioni
sulle operazioni IT.
Opzione 2 Se è necessaria un'elevata
larghezza di banda o una latenza ridotta, usa
una connessione ExpressRoute ad Azure.
Rete locale
UtentiUtentiExpressRouteExpressRoute
Pipe
Internet
Pipe
Internet
Pipe
Internet
PaaS di Azure
Gatewayap
plicazione
Gatewayap
plicazione
1
2
Esempio di tre app Web
geograficamente distribuite
UtentiUtentiUtenti
UtentiUtentiUtenti
1. La query DNS di un utente per l'URL di un sito Web viene indirizzata
a Gestione traffico di Azure, che restituisce il nome di un'app Web
regionale, in base al metodo di routing delle prestazioni.
2. L'utente avvia il traffico con l'app Web regionale.
Per la distribuzione del traffico a diversi endpoint in diversi datacenter, determina se hai bisogno di Gestione traffico di Azure.
5Per la distribuzione del traffico a diversi endpoint in diversi datacenter, determina se hai bisogno di Gestione traffico di Azure.
5Per i carichi di lavoro basati sul Web, determina se hai bisogno di Gateway applicazione di Azure.
4Per i carichi di lavoro basati sul Web, determina se hai bisogno di Gateway applicazione di Azure.
4Determina se hai bisogno di una connessione ExpressRoute per Azure.
3Determina se hai bisogno di una connessione ExpressRoute per Azure.
3Ottimizza la larghezza di banda Internet seguendo i passaggi 2 – della Procedura per predisporre la rete per i servizi SaaS Microsoft nel ° argomento di questo modello.
2Ottimizza la larghezza di banda Internet seguendo i passaggi 2 – della Procedura per predisporre la rete per i servizi SaaS Microsoft nel ° argomento di questo modello.
2Consulta la Procedura per predisporre la rete per i servizi cloud Microsoft nel 2° argomento di questo modello.
1Consulta la Procedura per predisporre la rete per i servizi cloud Microsoft nel 2° argomento di questo modello.
1
Metodi di routing di gestione del traffico
Failover Le applicazioni si trovano in uno o vari datacenter di Azure
e vuoi usare un endpoint primario per tutto il traffico, ma fornisci dei
backup qualora l'endpoint primario o quelli di backup non siano
disponibili.
Round robin Vuoi distribuire il carico in un insieme di endpoint nello
stesso datacenter o in diversi datacenter.
Prestazioni Disponi di endpoint in diverse posizioni geografiche e vuoi che
i client richiedenti utilizzino l'endpoint "più vicino" in termini di latenza più
bassa.
Failover Le applicazioni si trovano in uno o vari datacenter di Azure
e vuoi usare un endpoint primario per tutto il traffico, ma fornisci dei
backup qualora l'endpoint primario o quelli di backup non siano
disponibili.
Round robin Vuoi distribuire il carico in un insieme di endpoint nello
stesso datacenter o in diversi datacenter.
Prestazioni Disponi di endpoint in diverse posizioni geografiche e vuoi che
i client richiedenti utilizzino l'endpoint "più vicino" in termini di latenza più
bassa.Traffic ManagerTraffic Manager
64 5
Tipi di applicazione:
Calcolo
Web e dispositivi
mobili
Dati
Analisi
IoT
Supporti e rete
CDN
Integrazione ibrida
© 2016 Microsoft Corporation. Tutti i diritti riservati. Per inviare commenti e suggerimenti su questa documentazione, scrivere all 'indirizzo [email protected].© 2016 Microsoft Corporation. Tutti i diritti riservati. Per inviare commenti e suggerimenti su questa documentazione, scrivere all 'indirizzo [email protected].
Cosa devono sapere gli architetti IT della
rete per i servizi cloud e le piattaforme
Microsoft
Rete cloud Microsoft
per Enterprise
Architects1 2 3 4Questo è il 6° di 6 argomenti
Operazioni di pianificazione per qualsiasi rete virtuale di Azure
Progettazione della rete per IaaS di AzureL'ottimizzazione della rete per i carichi di lavoro IT ospitati in IaaS di Azure richiede una certa familiarità con
le reti virtuali di Azure, gli spazi di indirizzi, il routing, il sistema DNS e il bilanciamento del carico.
Passaggio 1: predisponi la rete Intranet per i servizi cloud Microsoft.
Passaggio 2: ottimizza la larghezza di banda Internet.
Passaggio 3: determina il tipo di rete virtuale (solo cloud o cross-premise).
Rete virtuale
Macchine virtualiMacchine virtuali
Una rete virtuale senza
connessione a una rete locale.
Solo cloud
Una rete virtuale con una connessione S2S VPN o ExpressRoute a una rete locale
mediante il gateway Azure.
Cross-premise
Rete locale
UtentiUtentiExpressRouteExpressRoute
Rete virtuale
Macchine virtualiMacchine virtuali
S2S VPN
GatewayGatewayGateway
Consulta le informazioni aggiuntive in Operazioni di pianificazione per una rete virtuale di Azure
cross-premise in questo argomento.
Consulta la Procedura per predisporre la rete per i servizi cloud Microsoft nel 2° argomento
di questo modello.
Consulta i passaggi 2 – della Procedura per predisporre la rete per i servizi SaaS Microsoft
nel ° argomento di questo modello.
Operazioni di pianificazione per ospitare un carico di lavoro IT in una rete virtuale di Azure
Determina lo spazio di indirizzi della rete locale per il gateway di Azure.
Per ExpressRoute, pianifica la nuova connessione con il provider.
Aggiungi route per rendere raggiungibile lo spazio di indirizzi della rete virtuale.
Pianificazione per le reti virtuali cross-premise
Configura i server DNS locali per la replica DNS con i server DNS ospitati in Azure.
5 643Determina l'utilizzo del tunneling forzato e delle route definite dall'utente.
Determina il router o dispositivo VPN locale.
Determina la connessione locale alla rete virtuale (S2S VPN o ExpressRoute).
21 7
Determina le subnet all'interno della rete virtuale e gli spazi di indirizzi assegnati a ognuna di esse.
Determina lo spazio di indirizzi della rete virtuale.
Determina il tipo di rete virtuale (solo cloud o cross-premise).
Ottimizza la larghezza di banda Internet.
2Predisponi la rete Intranet per i servizi cloud Microsoft.
1
Pianificazione per qualsiasi rete virtuale
Determina la configurazione del bilanciamento del carico (Internet o interno).
Determina l'uso delle applicazioni virtuali e delle route definite dall'utente.
5
7
43Determina la configurazione del server DNS e gli indirizzi dei server DNS da assegnare alle macchine virtuali della rete virtuale.
6
8 Determina la modalità di connessione di computer da Internet alle macchine virtuali.
Per più reti virtuali, determina la topologia di connessione da rete virtuale a rete virtuale.
9 10
Continua nella pagina successiva
65
Passaggio 4: determina lo spazio di indirizzi della rete virtuale.
Le macchine virtuali sono assegnate a una configurazione di indirizzi dallo
spazio di indirizzi della subnet da parte di DHCP:
Indirizzo/subnet mask
Gateway predefinito
Indirizzi IP dei server DNS
Puoi anche ordinare un indirizzo IP statico.
Le macchine virtuali possono anche essere assegnate a un indirizzo IP
pubblico, singolarmente o dal servizio cloud contenitore (solo per computer
di distribuzione classici).
Indirizzamento per le reti virtuali Indirizzamento per le macchine virtuali
Tipo di rete virtuale Spazio degli indirizzi delle reti virtuali
Solo cloud
Solo cloud
interconnesso
Cross-premise
Cross-premise
interconnesso
Spazio di indirizzi privato arbitrario
Privato arbitrario, ma non in sovrapposizione ad
altre reti virtuali connesse
Privato, ma non in sovrapposizione alle reti
virtuali locali
Privato, ma non in sovrapposizione ad altre reti
virtuali locali e connesse
Tipo di rete virtuale Spazio degli indirizzi delle reti virtuali
Solo cloud
Solo cloud
interconnesso
Cross-premise
Cross-premise
interconnesso
Spazio di indirizzi privato arbitrario
Privato arbitrario, ma non in sovrapposizione ad
altre reti virtuali connesse
Privato, ma non in sovrapposizione alle reti
virtuali locali
Privato, ma non in sovrapposizione ad altre reti
virtuali locali e connesse
Passaggio 5: determina le subnet all'interno della rete virtuale e gli spazi di indirizzi assegnati a ognuna di esse.
Subnet del gateway Azure
Necessaria ad Azure per ospitare le due macchine
virtuali del tuo gateway di Azure. Specifica uno
spazio di indirizzi con una lunghezza del prefisso
di almeno 29 bit (esempio: 192.168.15.248/29).
Si consiglia una lunghezza del prefisso di 28 bit o
meno specialmente se si intende usare
ExpressRoute.
Rete virtuale
Subnet
Macchine
virtuali
Macchine
virtuali
Subnet
Macchine
virtuali
Macchine
virtuali
Subnet
Macchine
virtuali
Macchine
virtuali
Subnet gateway
GatewayGatewayGateway
Subnet che ospitano macchine virtuali
Posiziona le macchine virtuali di Azure nelle subnet in base alle tipiche linee
guida in locale, come un livello o ruolo comune di un'applicazione o per
l'isolamento della subnet.
Azure usa i primi 3 indirizzi in ogni subnet. Pertanto, il numero dei possibili
indirizzi in una subnet di Azure è 2n – , dove n indica il numero bit dell'host.
Limiti di reteLimiti di rete
Macchine virtuali Bit dell'host Dimensioni subnet
1-3
4-11
12-27
28-59
60-123
3
4
5
6
7
/29
/28
/27
/26
/25
1-3
4-11
12-27
28-59
60-123
3
4
5
6
7
/29
/28
/27
/26
/25
Macchine virtuali Bit dell'host Dimensioni subnet
1-3
4-11
12-27
28-59
60-123
3
4
5
6
7
/29
/28
/27
/26
/25
Passaggio 6: determina la configurazione del server DNS e gli indirizzi dei server DNS da assegnare
alle macchine virtuali della rete virtuale.
Azure assegna alle macchine virtuali gli indirizzi dei server DNS da parte di
DHCP. I server DNS possono essere:
Forniti da Azure: con registrazione del nome locale e risoluzione del nome
Internet
Forniti da te: con registrazione del nome Intranet o locale e risoluzione del
nome Intranet o Internet
Risoluzione dei nomi per macchine virtuali e istanze del ruoloRisoluzione dei nomi per macchine virtuali e istanze del ruolo
Tipo di rete virtuale Server DNS
Solo cloud
Cross-premise
Fornito da Azure per la risoluzione dei nomi
locali e Internet
Macchina virtuale di Azure per la risoluzione dei
nomi locali e Internet (inoltro DNS)
Locale per le risoluzione dei nomi locali
e Intranet
Macchina virtuale di Azure per la risoluzione dei
nomi locali e Intranet (replica e inoltro DNS)
Continua nella pagina successiva
Pianificare e progettare le reti virtuali di AzurePianificare e progettare le reti virtuali di Azure
Procedure consigliate per determinare lo spazio
di indirizzi della subnet del gateway di Azure:
1. Decidi la dimensione della subnet del
gateway.
2. Nei bit variabili nello spazio di indirizzi della
rete virtuale, imposta i bit utilizzati per la
subnet del gateway su 0 e i bit rimanenti su 1.
3. Converti in decimali e indica come spazio di
indirizzi con la lunghezza del prefisso
impostata sulla dimensione della subnet del
gateway.
Con questo metodo, lo spazio di indirizzi per la
subnet del gateway è sempre all'estremità più
lontana dello spazio di indirizzi della rete
virtuale.
Esempio di definizione del prefisso dell'indirizzo per la subnet del gateway
Lo spazio di indirizzi della rete virtuale è 10.119.0.0/16. Inizialmente l'organizzazione userà una
connessione VPN da sito a sito, ma probabilmente passerà a ExpressRoute.
1. Decidi la dimensione della subnet del
gateway./28
2. Imposta i bit nella porzione variabile dello
spazio di indirizzi della rete virtuale: 0 per i
bit della subnet del gateway (G), altrimenti 1 (V).
10.119. bbbbbbbb . Bbbbbbbb
10.119. VVVVVVVV . VVVVGGGG
10.119. 11111111 . 11110000
3. Converti il risultato ottenuto nel passaggio 2
in decimali e indica uno spazio di indirizzi.10.119.255.240/28
Passaggio Risultati
Passaggio 7: determina la configurazione del bilanciamento del carico (Internet o interno).
Azure Load BalancerAzure Load Balancer
Rete virtuale
Macchina
virtuale
Macchina
virtuale
Set con carico
bilanciato
Macchina
virtuale
Macchina
virtuale
Regola NAT
in ingresso
o endpoint
Bilanciamen
to del carico
Bilanciamen
to del carico
Macchina
virtuale
Macchina
virtuale
Macchina
virtuale
Macchina
virtuale
Distribuisci in ordine
casuale il traffico in
ingresso non richiesto
da altre macchine
virtuali di Azure o da
computer Intranet (non
mostrati) ai membri di
un set con carico
bilanciato.
Bilanciamento del
carico interno
Rete virtuale
Macchina
virtuale
Macchina
virtuale
Set con carico
bilanciato
Macchina
virtuale
Macchina
virtuale
Regola NAT
in ingresso
o endpoint
Bilanciamen
to del carico
Bilanciamen
to del carico
Bilanciamen
to del carico
Distribuisci in ordine
casuale il traffico in
ingresso non richiesto
da Internet ai membri di
un set con carico
bilanciato.
Bilanciamento del
carico Internet
Passaggio 8: determina l'uso delle applicazioni virtuali e delle route definite dall'utente.
Rete virtualeRete locale
GatewayGatewayGateway
Routing definito dall'utente
Potrebbe essere necessario aggiungere una o più
route definite dall'utente a una subnet per
inoltrare il traffico alle applicazioni virtuali nella
rete virtuale di Azure.
Inoltro IP e route definite dall'utenteInoltro IP e route definite dall'utente
Dispositivo VPNDispositivo VPNDispositivo VPN
Subnet
Dispositivo
virtuale
Dispositivo
virtuale
Subnet
Macchine
virtuali
Macchine
virtualiExpressRoute
S2S VPN
ExpressRoute
S2S VPNRoute definita
dall'utente
Step 9: determina la modalità di connessione di computer da Internet alle macchine virtuali.
Include l'accesso dalla rete aziendale mediante il server proxy o un altro dispositivo di connessione.
Rete virtuale
Macchina virtualeMacchina virtuale
Servizio cloudServizio cloud
Macchina virtualeMacchina virtuale
Gruppo di sicurezza di
rete
Gruppo di sicurezza di
rete
Macchina virtualeMacchina virtuale
Set con carico bilanciato
Endpoint
Regole NAT
in ingresso
1
2
3
Altre opzioni di sicurezza:
Il desktop remoto e le connessioni SSH sono autenticati e crittografati
Le sessioni remote di PowerShell sono autenticate e ecrittografate
Puoi usare la modalità di trasporto IPsec per la crittografia end-to-end
La protezione DDoS di Azure blocca gli attacchi interni ed esterni
Bilanciamen
to del carico
Bilanciamen
to del carico
Metodi per filtrare o ispezionare il traffico in ingresso non richiesto
1. Endpoints e ACL configurati sui servizi cloud Classico
2. Gruppi di sicurezza di rete Gestione risorse e classico
3. Bilanciamento del carico con accesso a Internet
con regole NAT in ingressoGestione risorse
4. Applicazioni di sicurezza di rete disponibili
nell'Azure Marketplace (non mostrato)Gestione risorse e classico
Metodo Modello di distribuzione
1. Endpoints e ACL configurati sui servizi cloud Classico
2. Gruppi di sicurezza di rete Gestione risorse e classico
3. Bilanciamento del carico con accesso a Internet
con regole NAT in ingressoGestione risorse
4. Applicazioni di sicurezza di rete disponibili
nell'Azure Marketplace (non mostrato)Gestione risorse e classico
Metodo Modello di distribuzione
Passaggio 10: per più reti virtuali, determina la topologia di connessione da rete virtuale a rete virtuale.
Le reti virtuali di Azure possono essere connesse tra loro mediante topologie simili a quelle
utilizzate per la connessione dei siti di un'organizzazione.
Collegamento in cascata
Rete virtualeRete virtuale
Hub-spoke
Rete virtualeRete virtuale Rete virtualeRete virtuale Rete virtualeRete virtuale Rete virtualeRete virtuale
Rete virtualeRete virtuale Rete virtualeRete virtuale
Rete virtualeRete virtuale Rete virtualeRete virtuale Rete virtualeRete virtuale Rete virtualeRete virtuale
A maglia completa
Rete virtualeRete virtuale Rete virtualeRete virtuale
Rete virtualeRete virtuale Rete virtualeRete virtuale
Sicurezza cloud Microsoft per Enterprise
Architects
Sicurezza cloud Microsoft per Enterprise
Architects
Sicurezza cloud Microsoft per Enterprise
Architects
Continua nella pagina successiva
Operazioni di pianificazione per una rete virtuale di Azure cross-premise
Passaggio 1: determina la connessione cross-premise alla rete virtuale (S2S VPN o ExpressRoute).
VPN da sito a sito (S2S)
ExpressRoute
VPN da punto a punto
(P2S)
VPN da rete virtuale a
rete virtuale
Connette da 1 a 10 siti (comprese altre reti virtuali) a una singola rete virtuale di Azure.
Un collegamento sicuro e privato ad Azure tramite un IXP (Internet Exchange Provider) o un NSP (Network
Service Provider).
Connette un singolo computer a una rete virtuale di Azure.
Connette una rete virtuale di Azure a un'altra rete virtuale di Azure.
VPN da sito a sito (S2S)
ExpressRoute
VPN da punto a punto
(P2S)
VPN da rete virtuale a
rete virtuale
Connette da 1 a 10 siti (comprese altre reti virtuali) a una singola rete virtuale di Azure.
Un collegamento sicuro e privato ad Azure tramite un IXP (Internet Exchange Provider) o un NSP (Network
Service Provider).
Connette un singolo computer a una rete virtuale di Azure.
Connette una rete virtuale di Azure a un'altra rete virtuale di Azure.
Limiti di reteLimiti di rete Dispositivi VPN per connessioni di rete virtuali da sito a sitoDispositivi VPN per connessioni di rete virtuali da sito a sito
Rete virtuale
Macchine virtualiMacchine virtualiGatewayGatewayGateway
Rete locale
Rete virtualeRete virtuale
AmministratoreAmministratoreS2S o S2S o
P2S
Da rete virtuale a rete virtuale
Connessione alle macchine virtuali nella rete virtuale:
Amministrazione delle macchine virtuali della rete
virtuale dalla rete locale o da Internet
Accesso al carico IT dalla rete locale
Estensione della rete mediante reti virtuali di Azure
aggiuntive
Protezione per le connessioni:
La connessione P2S usa il protocollo SSTP (Secure
Socket Tunneling Protocol)
Le connessioni S2S e da rete virtuale a rete virtuale
usano la modalità tunnel IPsec con AES2 6
ExpressRoute è una connessione WAN privata Sicurezza cloud Microsoft per Enterprise ArchitectsSicurezza cloud Microsoft per Enterprise ArchitectsSicurezza cloud Microsoft per Enterprise Architects
Passaggio 2: determina il router o dispositivo VPN locale.
Rete virtuale
Macchine virtualiMacchine virtuali
Rete locale
ExpressRoute
S2S VPN
GatewayGatewayGatewayDispositivo VPNDispositivo VPN
Informazioni sui gateway VPNInformazioni sui gateway VPN
Passaggio 3: aggiungi route per rendere raggiungibile lo spazio di indirizzi della rete virtuale.
Routing alle reti virtuali da un ambiente locale
1. Route per lo spazio di indirizzi della rete virtuale
che punta al dispositivo VPN
2. Route per lo spazio di indirizzi della rete virtuale
sul dispositivo VPN
Rete virtualeRete locale
GatewayGatewayGatewayS2S o ExpressRoute S2S o ExpressRoute Dispositivo VPNDispositivo VPN
1
Spazio degli indirizzi delle reti virtuali
1
Spazio degli indirizzi delle reti virtuali
2
Spazio degli indirizzi delle reti virtuali
2
Spazio degli indirizzi delle reti virtuali
Passaggio 4: per ExpressRoute, pianifica la nuova connessione con il provider.
Rete locale
ExpressRoute
Microsoft Azure
RouterRouterRouter
Puoi creare una connessione ExpressRoute con
peering privato tra la rete locale e il cloud
Microsoft in tre modi diversi:
Percorso condiviso in una struttura con scambio
cloud
Connessioni Ethernet da punto a punto
Reti any-to-any (VPN IP)
ExpressRouteExpressRoute
Continua nella pagina successiva
Il router o dispositivo VPN locale:
Funge da peer IPsec, terminando la
connessione S2S VPN dal gateway di Azure.
Funge da peer BPG e punto di terminazione
per la connessione ExpressRoute con peer
privato.
Vedi il 3° argomento, ExpressRoute.
Settembre 2016
Passaggio 5: determina lo spazio di indirizzi della rete locale per il gateway di Azure.
Esempio di definizione dei prefissi per la rete locale intorno all'"hole" dello spazio
di indirizzi creato dalla rete virtuale
Un'organizzazione usa porzioni dello spazio di indirizzi privato (10.0.0.0/8, 172.16.0.0/12
e 192.168.0.0/16) nella propria rete locale. È stata scelta l'opzione 2 e 10.100.100.0/2 come
spazio di indirizzi della rete virtuale.
Routing in locale o ad altre reti virtuali da
reti virtuali
Azure inoltra il traffico mediante un gateway che
corrisponde allo spazio di indirizzi della rete locale
ad esso assegnato.
Definizione dello spazio di indirizzi della rete
locale:
Opzione 1: l'elenco dei prefissi per lo spazio
indirizzi corrente necessario o in uso
(potrebbero essere necessari degli
aggiornamenti quando si aggiungono subnet).
Opzione 2: l'intero spazio di indirizzi locale (gli
aggiornamenti sono necessari solo quando si
aggiunge un nuovo spazio di indirizzi).
Poiché il gateway di Azure non consente route
riepilogate, devi definire lo spazio di indirizzi della
rete locale per l'opzione 2 affinché non includa lo
spazio di indirizzi della rete virtuale.
Rete virtualeRete locale
GatewayGatewayGatewayS2S o ExpressRoute S2S o ExpressRoute Dispositivo VPNDispositivo VPN
Spazio di indirizzi della rete locale
1. Elenca i prefissi che non sono lo spazio radice
per lo spazio di indirizzi della rete virtuale.172.16.0.0/12 e 192.168.0.0/16
2. Elenca i prefissi non sovrapposti per tutti gli
ottetti variabili tranne l'ultimo utilizzato nello
spazio di indirizzi della rete virtuale.
10.0.0.0/16, 10.1.0.0/16 10.99.0.0/16, 10.101.0.0/16 10.254.0.0/16, 10.255.0.0/16 (255 prefissi, ignorando 10.100.0.0/16)
3. Elenca i prefissi non sovrapposti all'interno
dell'ultimo ottetto dello spazio di indirizzi
della rete virtuale.
10.100.0.0/2 , 10.100.1.0/2 10.100.99.0/2 , 10.100.101.0/2 10.100.254.0/24, 10.100.0.255.0/24 (255 prefissi, ignorando 10.100.100.0/24)
1. Elenca i prefissi che non sono lo spazio radice
per lo spazio di indirizzi della rete virtuale.172.16.0.0/12 e 192.168.0.0/16
2. Elenca i prefissi non sovrapposti per tutti gli
ottetti variabili tranne l'ultimo utilizzato nello
spazio di indirizzi della rete virtuale.
10.0.0.0/16, 10.1.0.0/16 10.99.0.0/16, 10.101.0.0/16 10.254.0.0/16, 10.255.0.0/16 (255 prefissi, ignorando 10.100.0.0/16)
3. Elenca i prefissi non sovrapposti all'interno
dell'ultimo ottetto dello spazio di indirizzi
della rete virtuale.
10.100.0.0/2 , 10.100.1.0/2 10.100.99.0/2 , 10.100.101.0/2 10.100.254.0/24, 10.100.0.255.0/24 (255 prefissi, ignorando 10.100.100.0/24)
Passaggio Prefissi
Spazio di indirizzi della rete virtuale
Spazio radice
Spazio di indirizzi della rete virtuale
Spazio radice
Passaggio 6: configura i server DNS locali per la replica con i server DNS ospitati in Azure.
Passaggio 7: determina l'utilizzo del tunneling forzato.
Rete virtualeRete localeLa route del sistema predefinito punta a Internet.
Per garantire che tutto il traffico proveniente dalle
macchine virtuali sfrutti la connessione cross-
premise, aggiungi una route predefinita creata
dall'utente che punti al gateway di Azure.
Ciò viene definito tunneling forzato.
Inoltro IP e route definite dall'utenteInoltro IP e route definite dall'utente
Dispositivo VPNDispositivo VPNDispositivo VPN
Subnet
Macchine
virtuali
Macchine
virtualiExpressRoute
S2S VPN o
ExpressRoute
S2S VPN o
GatewayGatewayGateway
Route definita dall'utente
Rete virtualeRete locale
Dispositivo VPNDispositivo VPNDispositivo VPN
Subnet
ExpressRoute
S2S VPN o
ExpressRoute
S2S VPN o
GatewayGatewayGateway
Subnet
Macchine
virtuali
Macchine
virtuali
Server DNSServer DNSServer DNSServer DNS
Inoltro e replica DNS
Per assicurarti che i computer locali possano
risolvere i nomi dei server basati su Azure e
che i server basati su Azure possano risolvere
i nomi dei computer locali, configura:
I server DNS nella rete virtuale per
l'inoltro ai server DNS locali.
La replica DNS delle zone
appropriate tra i server DNS in
locale e nella rete virtuale di Azure
Ulteriori risorse IT
per il cloud
Microsoft aka.ms/cloudarchoptionsaka.ms/cloudarchoptions
Opzioni di
piattaforme e servizi
aka.ms/cloudarchsecurityaka.ms/cloudarchsecurity
Sicurezza
aka.ms/cloudarchidentityaka.ms/cloudarchidentity
Identità
aka.ms/cloudarchhybridaka.ms/cloudarchhybrid
Modalità ibrida
© 2016 Microsoft Corporation. Tutti i diritti riservati. Per inviare commenti e suggerimenti su questa documentazione, scrivere all 'indirizzo [email protected].© 2016 Microsoft Corporation. Tutti i diritti riservati. Per inviare commenti e suggerimenti su questa documentazione, scrivere all 'indirizzo [email protected].
