Topologia della rete hub-spoke IPv6

Firewall di Azure

Rete virtuale di Azure

Rete WAN virtuale di Azure

Gateway VPN di Azure

Questo articolo descrive come eseguire la transizione di una topologia di rete hub-spoke IPv4 a IPv6. Presenta la topologia di rete hub-spoke come punto di partenza e descrive i passaggi che è possibile eseguire per implementare il supporto IPv6.

In una rete hub-and-spoke, la rete virtuale hub è un punto centrale di connettività per le reti virtuali spoke. Le reti virtuali spoke si connettono all'hub e possono fornire l'isolamento per le risorse dell'applicazione. Per ulteriori informazioni, vedere Transizione a IPv6.

Architettura

Scaricare un file di Visio di questa architettura.

Flusso di lavoro

Rete Internet pubblica e cross-premise: gli utenti o i servizi possono accedere alle risorse di Azure tramite La rete Internet pubblica. La rete cross-premise include macchine virtuali locali che si connettono in modo sicuro alla rete di Azure tramite un gateway VPN.
Azure Rete virtuale Manager: questo componente è il livello di gestione che supervisiona l'intera infrastruttura di rete in Azure. Gestisce il routing, i criteri e l'integrità complessiva della rete virtuale.
Rete virtuale hub: l'hub è il punto centrale della topologia di rete. La configurazione di rete supporta sia IPv4 che IPv6 (dual stack).
- Azure Bastion fornisce una connettività Remote Desktop Protocol/Secure Shell (RDP/SSH) sicura e fluida dal portale di Azure alle macchine virtuali direttamente tramite Transport Layer Security (TLS).
- Firewall di Azure controlla e filtra il traffico tra l'hub e la rete Internet pubblica.
- ExpressRoute connette la rete cross-premise all'hub.
- Gateway VPN connette anche la rete cross-premise all'hub e fornisce ridondanza.
- I servizi nella rete virtuale hub inviano log e metriche (diagnostica) a Monitoraggio di Azure per il monitoraggio.
Reti virtuali spoke: all'hub sono connessi quattro spoke. Ogni spoke è una rete dual stack, che supporta sia IPv4 che IPv6.
- Le route definite dall'utente IPv6 definiscono route personalizzate per il traffico IPv6 dallo spoke.
- Le reti virtuali spoke sono connesse tramite connessioni di peering o gruppi connessi. Le connessioni peering e i gruppi connessi sono connessioni non transitive e a bassa latenza tra reti virtuali. Le reti virtuali con peering o connesse possono scambiare traffico tramite il backbone di Azure.
- Tutto il traffico in uscita dalle reti virtuali spoke passa attraverso l'hub, usando una configurazione in Firewall di Azure chiamata tunneling forzato.
- All'interno di ogni spoke sono presenti tre subnet designate come subnet di risorse, ognuna delle quali ospita una macchina virtuale.
- Ogni macchina virtuale si connette a un servizio di bilanciamento del carico interno configurato per supportare gli intervalli di indirizzi IPv4 e IPv6. Il servizio di bilanciamento del carico distribuisce il traffico di rete in ingresso tra le macchine virtuali.

Componenti

Rete virtuale di Azure è il livello di rete di base di Azure che consente la comunicazione sicura tra risorse di Azure, Internet e reti locali. In questa architettura costituisce la topologia hub-spoke, che supporta configurazioni dual stack (IPv4 e IPv6) per la connettività centralizzata e isolata.
Un'interfaccia di rete virtuale è un'interfaccia logica che connette le risorse di Azure a una rete virtuale. In questa architettura, consente alle macchine virtuali di comunicare tramite IPv4 e IPv6. È possibile configurare macchine virtuali e altre risorse per avere più interfacce di rete, che consentono di creare configurazioni dual stack (IPv4 e IPv6).
Un indirizzo IP pubblico fornisce connettività in ingresso alle risorse di Azure tramite Internet. In questa architettura supporta sia l'accesso IPv4 che IPv6 ai servizi ospitati nella rete virtuale.
Virtual Network Manager è un servizio di gestione centralizzato per organizzare e configurare reti virtuali e la relativa connettività. In questa architettura gestisce i gruppi di rete e le connessioni tra l'hub e le reti spoke.
Firewall di Azure è un servizio di sicurezza di rete che protegge le risorse di Azure controllando e filtrando il traffico. In questa architettura applica il controllo del traffico tra l'hub e la rete Internet pubblica e supporta il tunneling forzato per il traffico in uscita dagli spoke. Protegge le risorse della rete virtuale. Un'istanza del firewall gestita di Firewall di Azure si trova nella propria subnet.
Il gateway VPN di Azure e Azure ExpressRoute sono servizi che offrono connettività cross-premise sicura tra le reti di Azure e locali. Possono creare gateway di rete virtuale che connettono reti virtuali di Azure a dispositivi VPN (Virtual Private Network) o circuiti ExpressRoute, che abilitano la comunicazione crittografata o privata. In questa architettura è possibile usare entrambi i servizi per connettere la rete hub a reti esterne e supportare il routing IPv6.
Azure Load Balancer è un servizio di bilanciamento del carico di livello 4 che distribuisce il traffico di rete in ingresso tra più risorse back-end per garantire disponibilità elevata e scalabilità. In questa architettura bilancia il traffico IPv6 tra le macchine virtuali distribuite nelle subnet spoke.
Una tabella di route è un set di route definite dall'utente che forniscono un controllo personalizzato sul flusso del traffico all'interno e tra reti virtuali di Azure. In questa architettura, le route definite dall'utente indirizzano il traffico IPv6 tra subnet hub-spoke per applicare il flusso di traffico e i criteri di sicurezza.
Macchine virtuali di Azure è una soluzione IaaS (Infrastructure as a Service) che offre risorse di calcolo flessibili e scalabili. In questa architettura le macchine virtuali vengono distribuite in subnet spoke configurate usando interfacce di rete dual stack, che consentono il supporto per carichi di lavoro IPv4 e IPv6.
Azure Bastion è una piattaforma gestita distribuita come servizio (PaaS) che fornisce accesso RDP sicuro e SSH alle macchine virtuali senza esporli alla rete Internet pubblica. In questa architettura abilita l'accesso remoto protetto da TLS alle macchine virtuali nella rete hub.
Monitoraggio di Azure è una piattaforma osservabile che raccoglie, analizza e agisce sui dati di telemetria di Azure e ambienti ibridi. In questa architettura raccoglie diagnostica e metriche dai servizi hub per supportare il monitoraggio delle prestazioni e la visibilità operativa.

Eseguire la transizione di una rete virtuale hub a IPv6

Per eseguire la transizione di una rete virtuale hub per supportare IPv6, è necessario aggiornare l'infrastruttura di rete in modo da supportare gli intervalli di indirizzi IPv6, in modo che la parte centrale e di controllo della rete possa gestire il traffico IPv6. Questo approccio garantisce che l'hub centrale possa instradare e gestire in modo efficiente il traffico tra vari segmenti di rete (spoke) usando IPv6. Per implementare IPv6 nella rete virtuale hub, seguire questa procedura:

Aggiungere lo spazio degli indirizzi IPv6 alla rete virtuale dell'hub e alle subnet dell'hub

È necessario aggiungere prima gli intervalli di indirizzi IPv6 alla rete virtuale hub e quindi alle relative subnet. Usare il blocco di indirizzi /56 per la rete virtuale e il blocco di indirizzi /64 per ogni subnet. La tabella seguente mostra un esempio di configurazione.

Intervallo di indirizzi della rete virtuale dell'hub	Intervallo di indirizzi subnet dell'hub
Rete virtuale hub: `2001:db8:1234:0000::/56`	Subnet di Azure Bastion: `2001:db8:1234:0000::/64` Subnet di Firewall di Azure: `2001:db8:1234:0001::/64` Sottorete del gateway VPN: `2001:db8:1234:0002::/64` Subnet ExpressRoute: `2001:db8:1234:0003::/64`

Questi indirizzi IPv6 sono esempi. È consigliabile sostituire 2001:db8:1234:: con il blocco di indirizzi IPv6 dell'organizzazione. Pianificare e documentare attentamente le allocazioni di indirizzi IPv6 per evitare sovrapposizioni e garantire un uso efficiente dello spazio indirizzi. Per aggiungere lo spazio indirizzi IPv6 alla rete virtuale hub, è possibile usare il portale di Azure, PowerShell ol'interfaccia della riga di comando di Azure.

Configurare route definite dall'utente (UDR) per ogni subnet dell'hub

Le route definite dall'utente sono route configurate manualmente per eseguire l'override delle route di sistema predefinite di Azure. In Azure, le route definite dall'utente sono essenziali per controllare il flusso del traffico di rete in una rete virtuale. È possibile usare le route definite dall'utente per indirizzare il traffico da una subnet a appliance, gateway o destinazioni specifiche all'interno di Azure o alle reti locali. Quando si aggiunge il supporto IPv6 alla rete virtuale hub, è necessario:

Aggiungere route IPv6. Se è presente una tabella di route stabilita, aggiungere nuove route che specificano i prefissi degli indirizzi IPv6.
Modificare le route esistenti. Se sono già presenti route per IPv4, potrebbe essere necessario modificarle per assicurarsi che si applichino anche al traffico IPv6 o creare route IPv6 separate specifiche.
Associare la tabella di route a subnet Dopo aver definito le route, associare la tabella di route alle subnet pertinenti all'interno della rete virtuale. Questa associazione determina quali subnet usano le route definite.

Non è necessario aggiungere una route per ogni risorsa, ma è necessaria una route per ogni subnet. Ogni subnet può avere più risorse e tutte seguono le regole definite nella tabella di route associata alla subnet. Per altre informazioni, vedere User-defined routes overview (Panoramica delle route definite dall'utente).

Per l'architettura di esempio, la rete virtuale hub ha quattro subnet: Azure Bastion, Firewall di Azure, Gateway VPN ed ExpressRoute. La tabella seguente mostra esempi di route definite dall'utente per ogni subnet.

Subnet hub	Descrizione	Intervallo di indirizzi IPv6	Nome route	Destinazione	Hop successivo
Azure Bastion	Indirizzare al firewall	`2001:db8:1234:0000::/64`	Route Internet	`::/0`	`2001:db8:1234:0001::/64` (Firewall di Azure)
Firewall di Azure	Route predefinita	`2001:db8:1234:0001::/64`	Route Internet	`::/0`	Gateway Internet
Gateway VPN	Route locale	`2001:db8:1234:0002::/64`	Route locale	`2001:db8:abcd::/56`	Gateway VPN
ExpressRoute	Route locale	`2001:db8:1234:0003::/64`	Route locale	`2001:db8:efgh::/56`	ExpressRoute

Quando si configurano le route definite dall'utente, è necessario allinearle ai criteri di rete dell'organizzazione e all'architettura della distribuzione di Azure.

Modificare il circuito ExpressRoute (se applicabile)

Per fornire al circuito ExpressRoute il supporto IPv6, è necessario:

Abilitare il peering privato IPv6. Abilitare il peering privato IPv6 per il circuito ExpressRoute. Questa configurazione abilita il traffico IPv6 tra la rete locale e la rete virtuale hub.
Allocare lo spazio indirizzi IPv6. Specificare le subnet IPv6 per i collegamenti ExpressRoute primario e secondario.
Aggiornare le tabelle di routing: Assicurarsi di indirizzare il traffico IPv6 in modo appropriato attraverso il circuito ExpressRoute.

Queste configurazioni estendono la connettività IPv6 ai servizi di Azure tramite un circuito ExpressRoute, in modo da poter instradare simultaneamente funzionalità dual stack. Per modificare ExpressRoute, è possibile usare il portale di Azure, PowerShell ol'interfaccia della riga di comando di Azure.

Eseguire la transizione delle reti virtuali spoke a IPv6

Le reti virtuali spoke sono connesse all'hub centrale. Quando si forniscono le reti virtuali spoke con supporto IPv6, ogni rete spoke può comunicare tramite il protocollo IPv6 più avanzato ed estende l'uniformità tra la rete. Per fornire alle reti virtuali spoke il supporto IPv6, seguire questa procedura:

Aggiungere lo spazio indirizzi IPv6 alle reti virtuali spoke e alle subnet spoke

Analogamente alla rete virtuale hub, è necessario aggiungere intervalli di indirizzi IPv6 a ogni rete virtuale spoke e quindi alle relative subnet. Usare il blocco di indirizzi /56 per le reti virtuali e il blocco di indirizzi /64 per ogni subnet. La tabella seguente fornisce un esempio di intervalli di indirizzi IPv6 per le reti virtuali spoke e le relative subnet.

Intervallo di indirizzi di rete virtuale spoke	Intervallo di indirizzi di sottorete Spoke
Rete virtuale spoke 1: `2001:db8:1234:0100::/56`	Sottorete 1: `2001:db8:1234:0100::/64` Sottorete 2: `2001:db8:1234:0101::/64` Sottorete 3: `2001:db8:1234:0102::/64`
Rete virtuale spoke 2: `2001:db8:1234:0200::/56`	Sottorete 1: `2001:db8:1234:0200::/64` Sottorete 2: `2001:db8:1234:0201::/64` Sottorete 3: `2001:db8:1234:0202::/64`
Rete virtuale spoke 3: `2001:db8:1234:0300::/56`	Sottorete 1: `2001:db8:1234:0300::/64` Sottorete 2: `2001:db8:1234:0301::/64` Sottorete 3: `2001:db8:1234:0302::/64`
Rete virtuale spoke 4: `2001:db8:1234:0400::/56`	Sottorete 1: `2001:db8:1234:0400::/64` Sottorete 2: `2001:db8:1234:0401::/64` Sottorete 3: `2001:db8:1234:0402::/64`

Per la configurazione, modificare gli indirizzi IPv6 in base alle esigenze e all'allocazione dell'organizzazione.

Modificare le risorse della rete virtuale spoke

Ogni rete virtuale spoke contiene più macchine virtuali e un servizio di bilanciamento del carico interno. Il servizio di bilanciamento del carico interno consente di instradare il traffico IPv4 e IPv6 alle macchine virtuali. È necessario modificare le macchine virtuali e i servizi di bilanciamento del carico interni in modo che supportino IPv6.

Per ogni macchina virtuale, è necessario creare un'interfaccia di rete IPv6 e associarla alla macchina virtuale per aggiungere il supporto IPv6. Per altre informazioni, vedere Aggiungere una configurazione IPv6 a una macchina virtuale.

Se non è presente un servizio di bilanciamento del carico interno in ogni rete virtuale spoke, è necessario creare un servizio di bilanciamento del carico interno a doppio stack. Per altre informazioni, vedere Creare un sistema di bilanciamento del carico interno dual-stack. Se è presente un servizio di bilanciamento del carico interno, è possibile usare PowerShell o l'interfaccia della riga di comando di Azure per aggiungere il supporto IPv6.

Configurare route definite dall'utente (UDR) per ogni subnet spoke

Per configurare le route definite dall'utente, le reti virtuali spoke usano la stessa configurazione delle reti virtuali hub Quando si aggiunge il supporto IPv6 a una rete virtuale spoke, è necessario:

Aggiungere route IPv6. Se è presente una tabella di route stabilita, aggiungere nuove route che specificano i prefissi degli indirizzi IPv6.
Modificare le route esistenti. Se sono già presenti route per IPv4, potrebbe essere necessario modificarle per assicurarsi che si applichino anche al traffico IPv6 o creare route IPv6 separate specifiche.
Associare la tabella di route a subnet Dopo aver definito le route, associare la tabella di route alle subnet pertinenti all'interno della rete virtuale. Questa associazione determina quali subnet usano le route definite.

La tabella seguente mostra esempi di route definite dall'utente per ogni subnet in una rete virtuale spoke.

Subnet spoke	Descrizione	Intervallo di indirizzi IPv6	Nome route	Destinazione	Hop successivo
Sottorete 1	Indirizzare al firewall	`2001:db8:1234:0100::/64`	Route Internet	`::/0`	`2001:db8:1234:0001::/64` (Firewall di Azure)
Subnet 2	Indirizzare al gateway VPN	`2001:db8:1234:0101::/64`	Route dell'VPN	`2001:db8:abcd::/64`	`2001:db8:1234:0002::/64` (Gateway VPN)
Subnet 3	Indirizzare a ExpressRoute	`2001:db8:1234:0102::/64`	Percorso ExpressRoute	`2001:db8:5678::/64`	`2001:db8:1234:0003::/64` (ExpressRoute)

Quando si configurano le route definite dall'utente, è necessario allinearle ai criteri di rete dell'organizzazione e all'architettura della distribuzione di Azure.

Collaboratori

Microsoft gestisce questo articolo. I collaboratori seguenti hanno originariamente scritto l'articolo.

Autore principale:

Werner Rall - Italia | Ingegnere Senior Cloud Solutions Architect

Altri contributori:

Babilonia Sherri | Senior Technical Program Manager
Alba Bedard | Responsabile del programma tecnico principale
Brandon Stephenson | Ingegnere Senior del Cliente

Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.

Passaggi successivi

Commenti e suggerimenti

Questa pagina è stata utile?