Network security groups
I NSG possono essere associati a una subnet o ad una interfaccia di rete NIC
Un NSG può essere associato più volte
Una subnet può avere un solo NSG
Una NIC può avere zero o un NSG
Le Inbound rules di un NSG associato ad una subnet hanno la precednza rispetto a un NSG associato alla NIC della VM
Per le rules in outbound invece è il contrario la rule sulla NIC ha la precedenza rispetto alla rule della subnet
Se disponi di diversi gruppi di sicurezza di rete e non sei sicuro di quali regole di sicurezza vengono applicate, puoi usare il collegamento Effective security rules nel portale di Azure. Puoi utilizzare il collegamento per verificare quali regole di sicurezza vengono applicate alle tue vm, subnets e interfacce di rete.
Azure Virtual Network peering
Per collegare due vnet tra di loro si usa il virtual network peering
Ci sono due tipi di Azure Virtual Network peering
Regional e Global
Regional virtual network peering connette due vnet della stessa region
Il regional peering puo essere creato tra vnet che si trovano nella stessa public region
Global virtual network peering connette due vnet situate in region diverse
Il global peering si può fare tra vnet situate in qualsiasi region
Il traffico tra vnet in peering è privato e transita sulla backbone privata di Azure
Si può usare il peering per trasferire risorse tra Azure subscriptions, e tra Azure regions
Si consideri uno scenario in cui tre reti virtuali nella stessa area sono connesse tramite peering di rete virtuale. La rete virtuale A e la rete virtuale B hanno ciascuna il peering con una rete virtuale hub. La rete virtuale dell’hub contiene diverse risorse, tra cui una subnet del gateway e un gateway VPN di Azure. Il gateway VPN è configurato per consentire il transito del gateway VPN. La rete virtuale B accede alle risorse nell’hub, inclusa la subnet del gateway, utilizzando un gateway VPN remoto.
Una rete virtuale può avere un solo VPN Gateway
il Gateway transit è supportato sia nel regional che nel global peering
Quando si consente il VPN Gateway transit , la rete virtuale può comunicare con risorse esterne al peering. Nella nostra illustrazione di esempio, il gateway della subnet all’interno della rete virtuale dell’hub può completare attività quali:
Utilizzare una VPN da sito a sito per connettersi a una rete locale.
Usare una connessione vnet – vnet
Utilizzare una VPN da punto a sito per connettersi a un client.
Indirizzi ip riservati in una vnet
Per ogni subnet, Azure riserva cinque indirizzi IP.
I primi quattro indirizzi e l’ultimo indirizzo sono riservati.
Esaminiamo gli indirizzi riservati in un intervallo di indirizzi IP pari a 192.168.1.0/24.
192.168.1.0 Questo valore identifica l’indirizzo di rete virtuale.
192.168.1.1 Azure configura questo indirizzo come gateway predefinito.
192.168.1.2 e 192.168.1.3 Azure mappa questi indirizzi IP al servizio DNS di Azure
192.168.1.255 Questo valore fornisce l’indirizzo broadcast della rete virtuale.
Routing tra subnet
Per impostazione predefinita, Azure instrada il traffico di rete tra tutte le subnet in una rete virtuale. È possibile eseguire l’override del routing predefinito di Azure per impedire il routing di Azure tra subnet. È inoltre possibile ignorare l’impostazione predefinita per instradare il traffico tra sottoreti tramite un’appliance virtuale di rete. Se è necessario che il traffico tra le risorse nella stessa rete virtuale passi attraverso un’appliance virtuale di rete, è necessario distribuire le risorse in sottoreti diverse.