Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La pianificazione dell'architettura di rete è un elemento fondamentale della progettazione di qualsiasi infrastruttura di applicazioni. Questo articolo consente di progettare un'architettura di rete efficace per i carichi di lavoro, in modo da sfruttare al meglio le avanzate funzionalità di Azure NetApp Files.
I volumi di Azure NetApp Files sono progettati per essere contenuti in una subnet per scopi specifici denominata subnet delegata, appartenente alla rete virtuale di Azure. È quindi possibile accedere ai volumi direttamente dall'interno di Azure tramite peering di rete virtuale o in locale tramite un gateway di Rete Virtuale (ExpressRoute o Gateway VPN). La subnet è dedicata ad Azure NetApp Files e non è connessa a Internet.
L'opzione per impostare le funzionalità di rete Standard nei nuovi volumi e per modificare le funzionalità di rete per i volumi esistenti è supportata in tutte le aree abilitate per Azure NetApp Files.
Funzionalità di rete configurabili
È possibile creare nuovi volumi o modificare i volumi esistenti per usare le funzionalità di rete Standard o Basic. Per altre informazioni, vedere Configurare le funzionalità di rete.
Standard
La selezione di questa impostazione abilita limiti IP più elevati e funzionalità di rete virtuale standard, ad esempio gruppi di sicurezza di rete e route definite dall'utente su subnet delegate e criteri di connettività aggiuntivi, come indicato in questo articolo.Basic
Se si seleziona questa impostazione, vengono attivati modelli di connettività selettivi e scalabilità IP limitata, come indicato nella sezione Considerazioni. Tutti i vincoli si applicano in questa impostazione.
Considerazioni
È necessario prendere in considerazione alcuni aspetti quando si pianifica la rete Azure per NetApp Files.
Vincoli
Importante
Gli aumenti del limite di route per le funzionalità di rete di base non verranno più approvati dopo il 30 maggio 2025. Per evitare problemi di limiti delle route, è necessario modificare i volumi in modo da usare le funzionalità di rete Standard.
La tabella seguente descrive cosa è supportato per ogni configurazione delle funzionalità di rete:
| Funzionalità | Funzionalità di rete Standard | Funzionalità di rete di base |
|---|---|---|
| Numero di indirizzi IP in una rete virtuale (incluse le reti virtuali con peering immediato) che accedono ai volumi di un'istanza di Azure NetApp Files che ospita la rete virtuale | Stessi limiti standard delle macchine virtuali | 1000 |
| Subnet delegate di Azure NetApp Files per rete virtuale | 1 | 1 |
| Gruppi di sicurezza di rete nelle subnet delegate di Azure NetApp Files | Sì | NO |
| Supporto del gruppo di sicurezza di rete per endpoint privati | Sì | NO |
| Route definite dall'utente nelle subnet delegate di Azure NetApp Files | Sì | NO |
| Connettività agli endpoint privati | Sì | NO |
| Connettività agli endpoint di servizio | Sì | NO |
| Criteri di Azure (ad esempio, criteri di denominazione personalizzati) nell'interfaccia di Azure NetApp Files | NO | NO |
| Servizi di bilanciamento del carico per il traffico di Azure NetApp Files | NO | NO |
| Rete virtuale dual stack (IPv4 e IPv6) | No (viene fornito solo il supporto per IPv4) |
No (viene fornito solo il supporto per IPv4) |
| Traffico instradato tramite NVA dal rete con peering | Sì | NO |
Topologie di rete supportate
La tabella seguente descrive le topologie di rete supportate da ogni configurazione delle funzionalità di rete di Azure NetApp Files.
| Topologie | Funzionalità di rete Standard | Funzionalità di rete di base |
|---|---|---|
| Connettività a un volume in una rete virtuale locale | Sì | Sì |
| Connettività a un volume in una rete virtuale con peering (stessa area) | Sì | Sì |
| Connettività a un volume in una rete virtuale con peering (in aree diverse o con peering globale) | Sì* | NO |
| Connettività a un volume sul gateway ExpressRoute | Sì | Sì |
| ExpressRoute (ER) FastPath | Sì | NO |
| Connettività da locale a un volume in una rete virtuale spoke tramite gateway ExpressRoute e peering di rete virtuale con transito tramite gateway | Sì | Sì |
| Connettività da locale a un volume in una rete virtuale spoke tramite gateway VPN | Sì | Sì |
| Connettività da locale a un volume in una rete virtuale spoke tramite gateway VPN e peering di rete virtuale con transito tramite gateway | Sì | Sì |
| Connettività su gateway VPN attivi/passivi | Sì | Sì |
| Connettività su gateway VPN attivi/attivi | Sì | NO |
| Connettività su gateway con ridondanza della zona attiva/attiva | Sì | NO |
| Connettività su gateway con ridondanza della zona attiva/passiva | Sì | Sì |
| Connettività tramite rete WAN virtuale (VWAN) | Sì | NO |
*Questa opzione comporta l'addebito di una tariffa per il traffico in ingresso e in uscita che usa una connessione di peering di reti virtuali. Per altre informazioni, vedere Prezzi di Rete virtuale. Per altre informazioni generali, vedere Peering di rete virtuale.
Rete virtuale per volumi di Azure NetApp Files
In questa sezione vengono illustrati i concetti che possono semplificare la pianificazione di una rete virtuale.
Reti virtuali di Azure
Prima di eseguire il provisioning di un volume di Azure NetApp Files, è necessario creare una rete virtuale di Azure o usarne una già esistente nella stessa sottoscrizione. La rete virtuale definisce il limite di rete del volume. Per altre informazioni sulla creazione di reti virtuali, vedere la documentazione sulle reti virtuali di Azure.
Subnet
Le subnet segmentano la rete virtuale in spazi di indirizzi separati usabili dalle risorse di Azure contenute. I volumi di Azure NetApp Files sono contenuti in una subnet per scopi specifici denominata subnet delegata.
La delega della subnet offre al servizio Azure NetApp Files autorizzazioni esplicite per creare le risorse specifiche del servizio nella subnet. Usa inoltre un identificatore univoco per la distribuzione del servizio. In questo caso, viene creata un'interfaccia di rete per abilitare la connettività ad Azure NetApp Files.
Se si usa una nuova rete virtuale, è possibile creare una subnet e delegarla ad Azure NetApp Files seguendo le istruzioni riportate in Delegare una subnet ad Azure NetApp Files. È possibile delegare anche una subnet vuota esistente che non sia stata delegata ad altri servizi.
Se è stato eseguito il peering della rete virtuale con un'altra rete virtuale, non è possibile espanderne lo spazio di indirizzi VNet. È questo il motivo per cui la nuova subnet delegata deve essere creata nello spazio di indirizzi della rete virtuale. Se è necessario estendere lo spazio di indirizzi, prima di eseguire questa operazione è necessario eliminare il peering della rete virtuale.
Note
È consigliabile che le dimensioni della subnet delegata siano almeno /25 per i carichi di lavoro SAP e /26 per altri scenari del carico di lavoro.
Route definite dall'utente e gruppi di sicurezza di rete
Se la subnet ha una combinazione di volumi con le funzionalità di rete Standard e Basic, le route definite dall'utente e i gruppi di sicurezza di rete applicati alle subnet delegate verranno applicate solo ai volumi con le funzionalità di rete Standard.
Note
L'associazione dei Network Security Groups al livello delle interfacce di rete non è supportata per le interfacce di rete di Azure NetApp Files.
Configurazione di route definite dall'utente nelle subnet della macchina virtuale di origine con il prefisso dell'indirizzo della subnet delegata e l'hop successivo in quanto l'appliance virtuale di rete non è supportata per i volumi con le funzionalità di rete Basic. Un'impostazione di questo tipo genererà problemi di connettività.
Note
Per accedere a un volume di Azure NetApp Files da una rete locale tramite un gateway di rete virtuale (ExpressRoute o VPN) e un firewall, configurare la tabella di route assegnata al gateway di rete virtuale per includere l'/32indirizzo IPv4 del volume di Azure NetApp Files elencato e puntare al firewall come all'hop successivo. L'uso di uno spazio indirizzi aggregato che include l'indirizzo IP del volume di Azure NetApp Files non inoltra il traffico di Azure NetApp Files al firewall.
Note
Se si vuole configurare una tabella di route (route UDR) per controllare il routing dei pacchetti tramite un'appliance virtuale di rete o un firewall destinato a un volume standard di Azure NetApp Files da un'origine nella stessa rete virtuale o una rete virtuale con peering, il prefisso UDR deve essere più specifico o uguale alle dimensioni della subnet delegata del volume di Azure NetApp Files. Se il prefisso UDR è meno specifico della dimensione della subnet delegata, non è efficace.
Ad esempio, se la subnet delegata è x.x.x.x/24, è necessario configurare l'UDR su x.x.x.x/24 (uguale) o x.x.x.x/32 (più specifica). Se si configura la route UDR come x.x.x.x/16, i comportamenti non definiti, ad esempio il routing asimmetrico, possono causare un network drop nel firewall.
Ambienti nativi di Azure
Il diagramma seguente illustra un ambiente nativo di Azure:
Rete virtuale locale
In uno scenario di base, si crea o ci si connette a un volume di Azure NetApp Files da una macchina virtuale della stessa rete virtuale. Nella rete virtuale 2 del diagramma, il volume 1 viene creato in una subnet delegata e può essere montato sulla macchina virtuale 1 della subnet predefinita.
Peering reti virtuali
Se hai altre reti virtuali nella stessa area che richiedono accesso reciproco alle risorse, le reti virtuali possono essere connesse usando il peering di VNet per abilitare una connettività sicura tramite l'infrastruttura di Azure.
Si considerino la rete virtuale 2 e la rete virtuale 3 del diagramma precedente. Se la macchina virtuale 1 deve connettersi alla macchina virtuale 2 o al volume 2 oppure se la macchina virtuale 2 deve connettersi alla macchina virtuale 1 o al volume 1, è necessario abilitare il peering di reti virtuali tra la rete virtuale 2 e la rete virtuale 3.
Si consideri inoltre uno scenario in cui è stato eseguito il peering della rete virtuale 1 con la rete virtuale 2 e della rete virtuale 2 con la rete virtuale 3 della stessa area. Le risorse della rete virtuale 1 possono connettersi alle risorse della rete virtuale 2 ma non alle risorse della rete virtuale 3, a meno che non sia stato eseguito il peering della rete virtuale 1 alla rete virtuale 3.
Nel diagramma precedente, la macchina virtuale 3 può connettersi al volume 1, ma la macchina virtuale 4 non può connettersi al volume 2. Questo perché non è stato eseguito il peering tra le reti virtuali spoke e il routing di transito non è supportato tramite il peering di reti virtuali.
Peering reti virtuali globale o tra aree
Il diagramma seguente illustra un ambiente nativo di Azure con peering di reti virtuali tra aree.
Con le funzionalità della rete Standard, le macchine virtuali possono connettersi ai volumi in un'altra regione tramite il peering di rete virtuale globale o tra aree. Il diagramma precedente aggiunge una seconda area alla configurazione nella sezione peering di reti virtuali locali. Per la rete virtuale 4 in questo diagramma, un volume di Azure NetApp Files viene creato in una subnet delegata e può essere montato nella macchina virtuale 5 nella subnet dell'applicazione.
Nel diagramma, la macchina virtuale 2 nell'area 1 può connettersi al volume 3 nell'area 2. La macchina virtuale 5 nell'area 2 può connettersi al volume 2 nell'area 1 tramite il peering delle reti virtuali tra l'area 1 e l'area 2.
Ambienti ibridi
Il diagramma seguente illustra un ambiente ibrido:
In uno scenario ibrido, le applicazioni dei data center locali devono accedere alle risorse in Azure. Questa esigenza si verifica, ad esempio, quando si vuole estendere il data center ad Azure, si vogliono usare i servizi nativi di Azure o per il ripristino di emergenza. Per informazioni su come connettere più risorse locali a risorse di Azure tramite una rete VPN da sito a sito o un circuito ExpressRoute, vedere le opzioni di pianificazione di Gateway VPN.
In una topologia di rete hub-spoke, l'hub è una rete virtuale in Azure che svolge la funzione di punto centrale di connettività alla rete locale. Gli spoke sono reti virtuali di cui viene eseguito il peering con l'hub e possono essere usati per isolare i carichi di lavoro.
A seconda della configurazione, è possibile connettere le risorse locali alle risorse disponibili nell'hub o negli spoke.
Nella topologia sopra illustrata, la rete locale è connessa a una rete virtuale hub in Azure e, nella stessa area, sono presenti due reti virtuali spoke di cui è stato eseguito il peering con la rete virtuale hub. In questo scenario, le opzioni di connettività supportate per i volumi di Azure NetApp Files sono le seguenti:
- Le risorse locali "macchina virtuale 1" e "macchina virtuale 2" possono connettersi al volume 1 dell'hub tramite una VPN da sito a sito o un circuito ExpressRoute.
- Le risorse locali "macchina virtuale 1" e "macchina virtuale 2" possono connettersi al volume 2 o al volume 3 tramite una VPN da sito a sito e il peering di reti virtuali a livello di area.
- La macchina virtuale 3 nella rete virtuale hub può connettersi al volume 2 nella rete virtuale spoke 1 e al volume 3 nella rete virtuale spoke 2.
- La macchina virtuale 4 della rete virtuale spoke 1 e la macchina virtuale 5 della rete virtuale spoke 2 possono connettersi al volume 1 nella rete virtuale hub.
- La macchina virtuale 4 nella rete virtuale spoke 1 non può connettersi al volume 3 nella rete virtuale spoke 2. Analogamente, la macchina virtuale 5 nella rete virtuale spoke 2 non può connettersi al volume 2 nella rete virtuale spoke 1. Questo perché non è stato eseguito il peering tra le reti virtuali spoke e il routing di transito non è supportato tramite il peering di reti virtuali.
- Nell'architettura precedente, se fosse presente un gateway anche nella rete virtuale spoke, verrebbe persa la connettività al volume di Azure NetApp Files dal sistema locale che si connette tramite il gateway dell'hub. Per impostazione predefinita, infatti, viene assegnata la preferenza al gateway della rete virtuale spoke e, quindi, solo i computer che si connettono tramite quel gateway possono connettersi al volume di Azure NetApp Files.
Passaggi successivi
- Delegare una subnet ad Azure NetApp Files
- Configurare le funzionalità di rete per un volume Azure NetApp Files
- Peering di rete virtuale
- Configurare la rete WAN virtuale per Azure NetApp Files
- Archiviazione di Azure NetApp Files con accesso sporadico
- Gestire l'archiviazione di Azure NetApp Files con accesso sporadico