Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Per connettersi a servizi cloud Microsoft tramite ExpressRoute, è necessario configurare e gestire NAT. Alcuni provider di connettività offrono la configurazione e la gestione di NAT come servizio gestito. Contattare il provider di connettività per informarsi se viene offerto un servizio di questo tipo. Se questo servizio non è offerto, è necessario soddisfare i requisiti descritti in questo articolo.
Per una panoramica dei diversi domini di routing, vedere la pagina Circuiti e domini di routing ExpressRoute . Per soddisfare i requisiti di indirizzi IP pubblici per il peering pubblico di Azure e Microsoft, consigliamo di configurare NAT tra la vostra rete e Microsoft. Questa sezione fornisce una descrizione dettagliata dell'infrastruttura NAT che è necessario configurare.
Requisiti NAT per il peering Microsoft
Il percorso di peering di Microsoft consente di connettersi ai servizi cloud Microsoft. L'elenco dei servizi include i servizi di Microsoft 365, ad esempio Exchange Online, SharePoint Online e Microsoft Teams. Microsoft prevede di supportare la connettività bidirezionale nel peering Microsoft. Il traffico destinato ai servizi cloud Microsoft deve essere SNATizzato verso indirizzi IPv4 pubblici validi prima di entrare nella rete Microsoft. Il traffico destinato alla propria rete dai servizi cloud Microsoft deve essere inviato tramite SNAT al perimetro Internet per evitare il routing asimmetrico. La figura seguente fornisce una panoramica di alto livello su come configurare il NAT per il peering Microsoft.
Traffico proveniente dalla propria rete e destinato a Microsoft
È necessario assicurarsi che il traffico acceda al percorso di peering Microsoft con un indirizzo IPv4 pubblico valido. Microsoft deve essere in grado di convalidare il proprietario del pool di indirizzi IPv4 NAT confrontandolo con il registro regionale di routing Internet (RIR) o con un registro di routing Internet (IRR). Verrà eseguito un controllo in base al numero AS usato per il peering e agli indirizzi IP usati per l'infrastruttura NAT. Per informazioni sui registri di routing, fare riferimento alla pagina relativa ai requisiti di routing di ExpressRoute .
Gli indirizzi IP usati per la configurazione del peering Microsoft e altri circuiti ExpressRoute non devono essere annunciati a Microsoft tramite la sessione BGP. Non vi sono restrizioni sulla lunghezza del prefisso IP NAT pubblicizzato tramite questo peering.
Importante
Il pool IP NAT annunciato da Microsoft non deve essere annunciato su Internet. altrimenti verrebbe interrotta la connettività con altri servizi Microsoft. Sconsigliamo l'uso di un indirizzo IP pubblico dall'intervallo assegnato al collegamento primario o secondario. È invece consigliabile usare un intervallo diverso di indirizzi IP pubblici assegnati all'utente e registrati in un Registro Internet regionale (RIR) o in un Internet Routing Registry (IRR). A seconda del volume di chiamata, questo intervallo può essere piccolo come un singolo indirizzo IP (rappresentato da '/32' per IPv4 o '/128' per IPv6).
Traffico proveniente da Microsoft e destinato alla propria rete
- Per alcuni scenari è necessario che Microsoft avvii la connettività agli endpoint di servizio ospitati nella propria rete. Un esempio tipico di scenario è rappresentato dalla connettività a server ADFS ospitati nella propria rete da Microsoft 365. In questi casi, è necessario inviare prefissi appropriati dalla propria rete al peering Microsoft.
- È necessario inviare il traffico Microsoft tramite SNAT al perimetro Internet per consentire agli endpoint di servizio della rete di impedire il routing asimmetrico. Le richieste e le risposte con un indirizzo P di destinazione corrispondente a una route ricevuta da ExpressRoute passano sempre attraverso ExpressRoute. Il routing asimmetrico si verifica se la richiesta viene ricevuta tramite Internet con la risposta inviata tramite ExpressRoute. L'invio tramite SNAT del traffico Microsoft in ingresso al perimetro Internet forza il traffico di risposta di nuovo verso il perimetro Internet, risolvendo il problema.
Pool IP NAT e annunci di route
È necessario assicurarsi che il traffico acceda al percorso di peering Azure Microsoft con un indirizzo IPv4 pubblico valido. Microsoft deve essere in grado di convalidare la proprietà del pool di indirizzi IPv4 NAT nei confronti di un registro di routing Internet regionale (RIR) o di un registro di routing Internet (IRR). Verrà eseguito un controllo in base al numero AS con cui si effettua il peering e agli indirizzi IP utilizzati per il NAT. Per informazioni sui registri di routing, fare riferimento alla pagina relativa ai requisiti di routing di ExpressRoute .
Non esistono restrizioni per la lunghezza del prefisso IP NAT pubblicizzato attraverso questo peering. È necessario monitorare il pool di NAT e assicurarsi che le sessioni NAT non siano prive di risorse.
Importante
Il pool IP NAT annunciato a Microsoft non deve essere annunciato verso Internet. altrimenti verrebbe interrotta la connettività con altri servizi Microsoft. Si sconsiglia di utilizzare un indirizzo IP pubblico dall'intervallo assegnato al collegamento primario o secondario. È invece consigliabile usare un intervallo diverso di indirizzi IP pubblici assegnati all'utente e registrati in un Registro Internet regionale (RIR) o in un Internet Routing Registry (IRR). A seconda del volume di chiamata, questo intervallo può essere piccolo come un singolo indirizzo IP (rappresentato da '/32' per IPv4 o '/128' per IPv6).
Passaggi successivi
Per informazioni sul flusso di lavoro, vedere Flussi di lavoro e stati di provisioning di un circuito ExpressRoute.
Configurare la connessione ExpressRoute.