Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Attualmente, gli utenti sono limitati alla distribuzione di soli 1.000 endpoint privati all'interno della rete virtuale. È comune per gli utenti aggirare questa limitazione implementando un modello Hub e Spoke o una rete Mesh. In questo modo è possibile distribuire endpoint privati aggiuntivi tra reti virtuali con peering per superare temporaneamente il limite per ogni rete virtuale. Tuttavia, il ridimensionamento in questo modo pone gli utenti a rischio di una limitazione applicata automaticamente. Ogni volta che il numero di endpoint privati nelle reti virtuali con peering supera 4.000, è possibile che si rilevi un degrado della qualità della connessione.
Per gli utenti che cercano di superare questi limiti correnti, è consigliabile eseguire l'aggiornamento a endpoint privati su larga scala. Questa funzionalità aumenta i limiti standard a 5.000 endpoint privati in una singola rete virtuale e 20.000 endpoint privati tra reti con peering. Questo articolo illustra in dettaglio come acconsentire esplicitamente a questa funzionalità e fornire considerazioni aggiuntive prima dell'abilitazione.
Annotazioni
Questa funzionalità è attualmente disponibile in anteprima pubblica e disponibile nelle aree selezionate. È consigliabile esaminare tutte le considerazioni prima di abilitarla per la sottoscrizione.
Prerequisiti
- Un account Azure attivo con una sottoscrizione. Creare un account gratuito.
- Registrare il flag di funzionalità Microsoft.Network/EnableMaxPrivateEndpointsVia64kPath nella sottoscrizione corrente, come descritto in Abilitare le funzionalità di anteprima di Azure.
- Comprensione della topologia di rete Hub and Spoke e/o Mesh network.
- Una rete virtuale con endpoint privato configurato, vedere Creare un endpoint privato.
- Criteri di rete degli endpoint privati impostati su Abilitato o RouteTableEnabled per tutte le subnet degli endpoint privati, vedere Gestire i criteri di rete per gli endpoint privati.
Verificare se è necessario eseguire l'aggiornamento
Se sono necessari più di 1.000 endpoint privati in una singola rete virtuale o si verifica un errore di limite massimo di endpoint privati, è consigliabile eseguire l'aggiornamento a endpoint privati su larga scala.
Per i clienti che usano una topologia Hub e Spoke o Mesh, determinare il numero di endpoint privati connessi alla rete virtuale centrale contenente le macchine virtuali client. Usare la query ARG fornita per facilitare questo processo.
Resources
| where subscriptionId == "\<yourSubscriptionIDHere>"
| where type =~ 'Microsoft.Network/virtualnetworks'
| project id, remoteVNetIds = properties.virtualNetworkPeerings
| mv-expand remoteVNetIds
| project id, remoteVNetId = tostring(remoteVNetIds.properties.remoteVirtualNetwork.id)
| where isnotempty(remoteVNetId)
| join kind=leftouter (
Resources
| where type =~ 'Microsoft.Network/privateEndpoints'
| project id, subnetId = tostring(properties.subnet.id)
| extend VNetId = split(subnetId ,'/subnets/')[0]
| project id, VNetId = tostring(VNetId)
| summarize Count = count() by VNetId)
on $left.remoteVNetId == $right.VNetId
| extend Count = iff(isempty(Count), 0, Count)
| summarize TotalRemotePE = sum(Count) by ['id']
| join kind=leftouter (
Resources
| where type =~ 'Microsoft.Network/privateEndpoints'
| project id, subnetId = tostring(properties.subnet.id)
| extend VNetId = split(subnetId ,'/subnets/')[0]
| project id, VNetId = tostring(VNetId)
| summarize Count = count() by VNetId)
on $left.id == $right.VNetId
| extend TotalPE = iff(isempty(Count), 0, Count) + TotalRemotePE
| project VNetId = id, TotalPE
| order by TotalPE desc
| order by ['VNetId'] asc
Abilitare endpoint privati su ampia scala
Per abilitare questa funzionalità, configurare le politiche di rete virtuale dell'endpoint privato. È consigliabile abilitare questa proprietà per tutte le reti virtuali da includere in questa funzionalità e per tutte le reti virtuali di calcolo connesse in scenari di peering.
Avvertimento
L'aggiornamento o il downgrade di questa funzionalità attiva un aggiornamento della piattaforma e comporta una reimpostazione della connessione una tantum. È consigliabile eseguire questa azione durante una finestra di manutenzione.
$vnetName = "myVirtualNetwork"
$resourceGroupName = "myResourceGroup"
$vnet = Get-AzVirtualNetwork -ResourceGroupName $resourceGroupName -Name $vnetName
$vnet.PrivateEndpointVNetPolicies = "Basic"
$vnet | Set-AzVirtualNetwork
Convalidare la configurazione
Per convalidare la configurazione, verificare che tutte le proprietà necessarie siano impostate correttamente. A tale scopo, controllare quanto segue:
Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali.
Selezionare myVNET.
Nelle impostazioni di myVNet selezionare Subnet.
Selezionare la subnet.
Nel riquadro Modifica subnet , in Criteri di rete per endpoint privati, verificare che sia selezionata l'opzione Tabella di route.
Nella pagina di panoramica della rete virtuale selezionare Visualizzazione JSON nell'angolo in alto a destra.
Nel riquadro Resource JSON, selezionare la versione più recente dell'API.
Verificare che la proprietà di rete virtuale privateEndpointVNetPolicies sia impostata su Basic.
Verificare che sia possibile distribuire più di 1.000 endpoint privati nella rispettiva rete virtuale.
Considerazioni aggiuntive
L'aggiornamento o il downgrade di questa funzionalità attiva un aggiornamento della piattaforma e comporta una reimpostazione una tantum di tutte le connessioni endpoint private a esecuzione prolungata. È consigliabile configurare endpoint privati su larga scala durante una finestra di manutenzione.
Per effettuare il downgrade da questa funzionalità, ridurre il numero totale di endpoint privati nella rete virtuale fino al limite prima dell'abilitazione della funzionalità.
Il monitoraggio dei byte in/out non sarà più disponibile su tutti gli endpoint privati ad alta scala.
Il traffico dell'endpoint privato locale viene ora fatturato come aggregazione nella rete virtuale del gateway. In precedenza, veniva mostrato per la risorsa endpoint privato nel centro di costo della fatturazione. Questa modifica non influisce sulla fattura totale.
Limitazioni
| Limite | Descrizione |
|---|---|
| La sottoscrizione deve essere abilitata prima di abilitare endpoint privati su larga scala. | L'abilitazione dei criteri di rete virtuale per endpoint privati prima del flag di funzionalità per consentire l'elenco di sottoscrizioni richiede una riconfigurazione. |
| L'accesso alle subnet bare metal da una rete virtuale con peering abilitata per HSPE non è supportato | Le connessioni destinate alle subnet baremetal di Azure non funzioneranno |
| Funzionalità attualmente disponibile in tutte le aree pubbliche | Le aree Mooncake e Azure Gov non sono attualmente supportate |
Passaggi successivi
In questo articolo si è appreso come abilitare endpoint privati ad alta scalabilità e le considerazioni associate. Per altre informazioni sul collegamento privato di Azure, vedere gli articoli seguenti: