Configurazioni di connettività in Gestione rete virtuale di Azure

2025-07-25

Gestione rete virtuale di Azure semplifica la gestione della connettività, della sicurezza, del routing e altro nell'ambiente di rete di Azure. Le configurazioni di connettività, incluse le topologie mesh e hub-spoke, consentono di ottimizzare le prestazioni e la connettività di rete a livello di organizzazione. Questo articolo illustra funzionalità come gruppi connessi su larga scala e connettività mesh globale, insieme ai casi d'uso e alle impostazioni per ogni topologia.

Configurazione di connettività

Con le configurazioni di connettività, è possibile creare e gestire topologie di rete diverse in base alle esigenze di rete. Sono disponibili due topologie tra cui scegliere: mesh e hub-spoke. La connettività tra le reti virtuali è definita dalle impostazioni della configurazione della connettività. Si definiscono le reti virtuali per le quali si vuole stabilire la connettività tramite gruppi di rete. La configurazione della connettività usa quindi i gruppi di rete per stabilire la connettività come descritto dalla topologia desiderata tra le reti virtuali nei gruppi di rete.

Se l'eliminazione di peering esistenti è abilitata per la configurazione della connettività, tutti i peering che non corrispondono al contenuto di questa configurazione di connettività possono essere rimossi, anche se questi peering sono stati creati manualmente dopo la distribuzione di questa configurazione. Se si rimuove una rete virtuale da un gruppo di rete usato nella configurazione, l'istanza di Gestione rete virtuale di Azure rimuove solo la connettività creata.

Quando si distribuisce una configurazione di connettività, Azure Virtual Network Manager stabilisce la connettività bidirezionale tramite peering di rete virtuale (per topologie hub-and-spoke) o tramite gruppi connessi (per topologie mesh) tra reti virtuali. Questa connettività viene stabilita in base alle impostazioni definite e ai gruppi di rete inclusi nella configurazione della connettività.

Topologia mesh

Una topologia mesh definisce la connettività tra ogni rete virtuale nel gruppo di rete. Tutte le reti virtuali membro sono connesse e possono passare il traffico bidirezionalmente tra loro.

Un caso d'uso comune di una topologia mesh consiste nel consentire alle reti virtuali spoke in una topologia hub-spoke di comunicare direttamente tra loro senza instradare il traffico attraverso la rete virtuale hub. Questo approccio riduce la latenza che potrebbe altrimenti derivare dal routing del traffico attraverso un router nell'hub. Inoltre, è possibile mantenere la sicurezza e la supervisione sulle connessioni dirette tra reti virtuali spoke implementando le regole di amministrazione della sicurezza in Gestione rete virtuale di Azure o regole del gruppo di sicurezza di rete. Il traffico può anche essere monitorato e registrato usando i log dei flussi di rete virtuale.

Per impostazione predefinita, la topologia mesh definita nella configurazione della connettività è una mesh a livello di area, ovvero solo le reti virtuali nella stessa area possono comunicare tra loro. È possibile abilitare un'opzione mesh globale nella configurazione della connettività per stabilire la connettività tra reti virtuali in tutte le aree di Azure.

Note

Gli spazi degli indirizzi della rete virtuale possono sovrapporsi in una configurazione mesh, a differenza dei peering di rete virtuale, ma il traffico tra le subnet con spazi indirizzi sovrapposti viene eliminato perché il routing non è deterministico.

Screenshot di un diagramma di topologia mesh che mostra le reti virtuali connesse in una mesh bidirezionale.

Dietro le quinte: gruppo connesso

Quando si crea una topologia mesh o si abilita la connettività diretta in una topologia hub-spoke, viene creato un nuovo costrutto di connettività esclusivo per Gestione rete virtuale di Azure. Questo costrutto è denominato gruppo connesso. Le reti virtuali in un gruppo connesso possono comunicare tra loro esattamente come le reti virtuali connesse manualmente. Quando si osservano le route valide per un'interfaccia di rete, verrà visualizzato un tipo di hop successivo ConnectedGroup. Le reti virtuali connesse in un gruppo connesso non hanno una configurazione di peering elencata in Peering per la rete virtuale. Questo gruppo connesso è ciò che consente a Gestione rete virtuale di Azure di supportare una scalabilità più elevata della connettività di rete virtuale rispetto ai peering di rete virtuale tradizionali.

Note

Una rete virtuale può far parte di un massimo di due gruppi connessi, ovvero può far parte di un massimo di due topologie mesh.

Abilitare la connettività su larga scala nei gruppi connessi di Azure Virtual Network Manager

La funzionalità di connettività a scalabilità elevata di Azure Virtual Network Manager nella funzionalità del gruppo connesso consente di estendere la capacità di rete. Per questa funzionalità, registrare la funzionalità preliminare "AllowHighScaleConnectedGroup" (è possibile trovarla con il nome visualizzato "Abilita gruppo connesso a scalabilità elevata". Questa funzionalità consente a un gruppo connesso nelle aree supportate di contenere fino a 5.000 reti virtuali.

Abilitare endpoint privati su larga scala nei gruppi connessi di Azure Virtual Network Manager

Importante

La funzionalità gruppo connesso a scalabilità elevata di Azure Virtual Network Manager è disponibile in anteprima. È disponibile nelle aree seguenti durante l'anteprima:

Stati Uniti orientali 2 EUAP
Stati Uniti centrali (EUAP)
Centro Occidentale degli Stati Uniti
Asia orientale
Regno Unito meridionale
Stati Uniti orientali

Questa versione di anteprima viene fornita senza contratto di servizio, pertanto se ne sconsiglia l’uso per i carichi di lavoro in ambienti di produzione. Alcune funzionalità potrebbero non essere supportate o potrebbero presentare funzionalità limitate. Per altre informazioni, vedere le Condizioni supplementari per l'uso delle anteprime di Microsoft Azure.

La funzionalità endpoint privato su larga scala di Azure Virtual Network Manager nella funzionalità del gruppo connesso consente di estendere la capacità di rete. Usare la procedura seguente per abilitare questa funzionalità per supportare fino a 20.000 endpoint privati nel gruppo connesso.

Preparare ogni rete virtuale nel gruppo connesso

Per indicazioni dettagliate sull'aumento di questi limiti, vedere Aumentare i limiti della rete virtuale degli endpoint privati . L'abilitazione o la disabilitazione di questa funzionalità avvia una reimpostazione della connessione una tantum. È consigliabile eseguire queste modifiche durante una finestra di manutenzione.
Registrare il flag di funzionalità di Microsoft.Network/EnableMaxPrivateEndpointsVia64kPath per ogni sottoscrizione contenente un'istanza di Azure Virtual Network Manager e le reti virtuali nel gruppo connesso.

Importante

Questa registrazione è essenziale per sbloccare la capacità estesa dell'endpoint privato. Per altre informazioni, vedere Come abilitare la documentazione sulle funzionalità di anteprima di Azure.
In ogni rete virtuale all'interno del gruppo connesso configurare i criteri di rete degli endpoint privati su Enabled o RouteTableEnabled. Questa impostazione garantisce che le reti virtuali siano pronte per supportare le funzionalità degli endpoint privati su larga scala. Per indicazioni dettagliate, vedere Aumentare i limiti della rete virtuale dell'endpoint privato.

Configurare la topologia mesh per endpoint privati su larga scala

In questo passaggio si configurano le impostazioni della topologia mesh della configurazione della connettività per il gruppo connesso per abilitare endpoint privati su larga scala. Questo passaggio comporta la selezione delle opzioni appropriate nel portale di Azure e la verifica della configurazione.

Nella configurazione della connettività mesh individuare e selezionare la casella di controllo Abilita endpoint privati su larga scala. Questa opzione attiva la funzionalità a scalabilità elevata per il gruppo connesso.
Verificare che ogni rete virtuale nell'intera mesh (gruppo connesso) sia configurata con endpoint privati ad alta capacità. Il portale di Azure convalida le impostazioni nell'intero gruppo. Se una rete virtuale senza la configurazione a scalabilità elevata viene aggiunta in un secondo momento, non può comunicare con endpoint privati in altre reti virtuali.
Dopo aver verificato che tutte le reti virtuali siano configurate correttamente, distribuire la configurazione della connettività. Questo passaggio finalizza la configurazione del gruppo connesso su larga scala.

Topologia hub-spoke

Una topologia hub-spoke definisce la connettività tra una rete virtuale hub selezionata e reti virtuali spoke che sono membri di uno o più gruppi di rete spoke selezionati. La rete virtuale hub viene sottoposto a peering bidirezionale con i membri della rete virtuale di ogni gruppo di rete spoke nella configurazione. Questa topologia è utile per isolare una rete virtuale ma mantenere comunque la connettività alle risorse comuni nella rete virtuale hub.

Screenshot di un diagramma di topologia hub-spoke che mostra una rete virtuale hub connessa a più reti virtuali spoke.

In questa configurazione sono disponibili impostazioni che è possibile abilitare, ad esempio la connettività diretta tra reti virtuali spoke che appartengono allo stesso gruppo di rete spoke. Per impostazione predefinita, questa connettività viene stabilita solo per le reti virtuali nella stessa area. Per consentire la connettività tra aree di Azure diverse, è necessario abilitare l'impostazione della mesh globale per il gruppo di rete spoke. È anche possibile abilitare il transito del gateway per consentire alle reti virtuali spoke di usare la VPN o il gateway ExpressRoute distribuito nella rete virtuale hub.

Abilitare la connettività diretta

L'abilitazione della connettività diretta per un gruppo di rete spoke crea una mesh (e quindi un gruppo connesso) tra le reti virtuali del gruppo di rete spoke sopra la topologia hub-spoke. La connettività diretta consente a una rete virtuale di comunicare direttamente con altre reti virtuali all'interno del gruppo di rete spoke, ma non abilita la connettività con le reti virtuali in altri gruppi di rete spoke.

Ad esempio, si creano due gruppi di rete e li si include come gruppi di rete spoke nella configurazione della connettività hub-spoke. È possibile abilitare la connettività diretta per il gruppo di rete Produzione, ma non per il gruppo di rete Test. Questa configurazione connette la rete virtuale hub con tutte le reti virtuali nei gruppi di rete Produzione e Test , ma consente solo alle reti virtuali nel gruppo di rete Produzione di comunicare tra loro. Le reti virtuali del gruppo di rete di produzione non hanno connettività con le reti virtuali del gruppo di rete di test e le reti virtuali del gruppo di rete di test non dispongono di connettività tra loro (a meno che non sia abilitata anche la connettività diretta per il gruppo di rete Test).

Screenshot di una topologia hub-spoke con due gruppi di rete.

Quando si esaminano le route valide in una macchina virtuale, la route tra l'hub e le reti virtuali spoke avrà il tipo di hop successivo VNetPeering o GlobalVNetPeering. Le route tra reti virtuali spoke verranno visualizzate con il tipo di hop successivo ConnectedGroup. Con l'esempio produzione e test , solo il gruppo di rete Production avrà un ConnectedGroup perché ha la connettività diretta abilitata.

La connettività diretta tra reti virtuali spoke può essere utile quando si vuole avere un'appliance virtuale di rete (NVA) o un servizio comune nella rete virtuale hub, ma l'hub non deve essere sempre accessibile per consentire alle reti virtuali spoke attendibili di comunicare tra loro. Rispetto alle reti hub-spoke tradizionali, questa topologia migliora le prestazioni rimuovendo l'hop aggiuntivo tramite la rete virtuale hub.

Mesh globale

Come per la topologia mesh, un gruppo di rete spoke con connettività diretta abilitata è configurato come a livello di area per impostazione predefinita. È possibile abilitare la mesh globale quando si desidera che le reti virtuali del gruppo di rete spoke comunichino tra loro tra aree. Questa connettività è limitata alle reti virtuali nello stesso gruppo di rete. Per abilitare questa connettività mesh globale per le reti virtuali tra aree, è necessario abilitare la connettività mesh tra aree per il gruppo di rete. Le connessioni create tra reti virtuali spoke si trovano in un gruppo connesso.

Usare l'hub come gateway

Un'altra opzione che è possibile abilitare in una configurazione hub-spoke consiste nell'usare l'hub come gateway. Questa impostazione consente a tutte le reti virtuali nel gruppo di rete spoke di usare il gateway VPN o ExpressRoute nella rete virtuale hub per passare il traffico. Vedere Gateway e connettività locale.

Quando si distribuisce una topologia hub-spoke dal portale di Azure, l'opzione Usa hub come gateway è abilitata per impostazione predefinita per le reti virtuali spoke nel gruppo di rete. Gestione rete virtuale di Azure tenta di creare una connessione di peering di rete virtuale tra la rete virtuale hub e le reti virtuali nei gruppi di rete spoke. Se questa opzione è abilitata ma non esiste un gateway nella rete virtuale hub, la creazione del peering dalla rete virtuale spoke all'hub ha esito negativo. La connessione di peering dall'hub allo spoke verrà comunque creata senza una connessione stabilita.

Individuare la topologia del gruppo di rete con la visualizzazione Topologia

Per facilitare la comprensione della topologia del gruppo di rete, Gestione rete virtuale di Azure offre una visualizzazione topologia che visualizza la connettività tra i gruppi di rete e le relative reti virtuali membro. È possibile visualizzare la topologia della configurazione della connettività durante la creazione della configurazione della connettività seguendo questa procedura:

Passare alla pagina Configurazioni e creare una configurazione di connettività.
Nella scheda Topologia selezionare il tipo di topologia desiderato, aggiungere uno o più gruppi di rete alla topologia e configurare altre impostazioni di connettività desiderate.
Selezionare la scheda Visualizza topologia per esaminare visivamente la connettività corrente della configurazione.
Completare la creazione della configurazione della connettività.

È possibile esaminare la topologia corrente di una configurazione di connettività selezionando Visualizza topologia in Impostazioni nella pagina dei dettagli della configurazione. La visualizzazione mostra la connettività tra le reti virtuali che fanno parte di questa configurazione di connettività.

Screenshot della finestra di visualizzazione che mostra la topologia della configurazione della connettività.

Passaggi successivi

Informazioni su come creare una configurazione di connettività mesh.
Informazioni su come creare una configurazione di connettività hub-spoke.
Creare una topologia hub-spoke protetta in questa esercitazione.
Informazioni su come distribuire una topologia hub-spoke con Firewall di Azure.
Comprendere le distribuzioni di configurazione per gestire in modo efficace le impostazioni di rete.
Bloccare il traffico di rete indesiderato usando le configurazioni di amministratore della sicurezza.
Distribuire Azure Virtual Network Manager usando Terraform per configurare rapidamente l'ambiente.