Rete per i set di scalabilità di macchine virtuali di Azure

Quando si distribuisce un set di scalabilità di macchine virtuali Azure tramite il portale, alcune proprietà di rete sono predefinite, ad esempio un Azure Load Balancer con regole NAT in ingresso. Questo articolo descrive come usare alcune delle funzionalità più avanzate della rete che è possibile configurare con i set di scalabilità.

È possibile configurare tutte le funzionalità descritte in questo articolo usando Azure Resource Manager modelli. Azure CLI ed esempi di PowerShell sono inclusi anche per le funzionalità selezionate.

Rete accelerata

Azure Accelerated Networking migliora le prestazioni di rete abilitando il single root I/O virtualization (SR-IOV) su una macchina virtuale. Per altre informazioni sull'uso della rete accelerata, vedere Rete accelerata per Windows o Linux macchine virtuali. Per usare la rete accelerata con i set di scalabilità, impostare enableAcceleratedNetworking su true nelle impostazioni networkInterfaceConfigurations del set di scalabilità, Ad esempio:

"networkProfile": {
    "networkInterfaceConfigurations": [
    {
      "name": "niconfig1",
      "properties": {
        "primary": true,
        "enableAcceleratedNetworking" : true,
        "ipConfigurations": [
          ...
        ]
      }
    }
   ]
}

Azure Virtual Machine Scale Sets con Azure Load Balancer

Vedere Azure Load Balancer e Virtual Machine Scale Sets per altre informazioni su come configurare il Standard Load Balancer con Virtual Machine Scale Sets in base allo scenario in uso.

Aggiungere un set di scalabilità di macchine virtuali a un gateway applicazione

Per aggiungere un set di scalabilità al pool back-end di un gateway applicazione, fare riferimento al pool back-end gateway applicazione nel profilo di rete del set di scalabilità. Questa operazione può essere eseguita durante la creazione del set di scalabilità (vedere il modello di Resource Manager seguente) o in un set di scalabilità esistente.

Aggiunta di set di scalabilità di macchine virtuali di orchestrazione uniforme a un gateway applicazione

Quando si aggiunge Uniform Virtual Machine Scale Sets al pool back-end di un gateway applicazione, il processo è diverso per i set di scalabilità nuovi o esistenti:

• Per i nuovi set di scalabilità, fare riferimento all'ID del pool back-end del gateway applicazione nel profilo di rete del modello di scalabilità, in una o più configurazioni IP dell'interfaccia di rete. Quando viene distribuita, le istanze aggiunte al set di scalabilità verranno inserite nel pool back-end del gateway applicazione.
• Per i set di scalabilità esistenti, aggiungere prima di tutto l'ID del pool back-end del gateway applicazione nel profilo di rete del modello di scalabilità, quindi applicare il modello alle istanze esistenti tramite un aggiornamento. Se i criteri di aggiornamento del set di scalabilità sono o , le istanze verranno aggiornate automaticamente. Se così fosse, è necessario aggiornare manualmente le istanze.

    $appGW = Get-AzApplicationGateway -Name <appGWName> -ResourceGroup <AppGWResourceGroupName>
    $backendPool = Get-AzApplicationGatewayBackendAddressPool -Name <backendAddressPoolName> -ApplicationGateway $appGW
    $vmss = Get-AzVMSS -Name <VMSSName> -ResourceGroup <VMSSResourceGroupName>

    $backendPoolMembership = New-Object System.Collections.Generic.List[Microsoft.Azure.Management.Compute.Models.SubResource]

    # add existing backend pool membership to new pool membership of first NIC and ip config
    If ($vmss.VirtualMachineProfile.NetworkProfile.NetworkInterfaceConfigurations[0].IpConfigurations[0].ApplicationGatewayBackendAddressPools) {
        $backendPoolMembership.AddRange($vmss.VirtualMachineProfile.NetworkProfile.NetworkInterfaceConfigurations[0].IpConfigurations[0].ApplicationGatewayBackendAddressPools)
    }

    # add new backend pool to pool membership
    $backendPoolMembership.Add($backendPool.id)

    # set VMSS model to use to backend pool membership 
    $vmss.VirtualMachineProfile.NetworkProfile.NetworkInterfaceConfigurations[0].IpConfigurations[0].ApplicationGatewayBackendAddressPools = $backendPoolMembership

    # update the VMSS model
    $vmss | Update-AzVMSS

    # update VMSS instances, if necessary
    If ($vmss.UpgradePolicy.Mode -eq 'Manual') {
        $vmss | Get-AzVmssVM | Foreach-Object { $_ | Update-AzVMSSInstance -InstanceId $_.instanceId}
    }

appGWName=<appGwName>
appGWResourceGroup=<appGWRGName> 
backendPoolName=<backendPoolName>
backendPoolId=$(az network application-gateway address-pool show --gateway-name $appGWName -g $appGWResourceGroup -n $backendPoolName --query id -otsv)

vmssName=<vmssName>
vmssResourceGroup=<vmssRGName>

# add app gw backend pool to first nic's first ip config
az vmss update -n $vmssName -g $vmssResourceGroup --add "virtualMachineProfile.NetworkProfile.NetworkInterfaceConfigurations[0].ipConfigurations[0].applicationGatewayBackendAddressPools" "id=$backendPoolId"

# update instances
az vmss update-instances --instance-ids * --name $vmssName --resource-group $vmssResourceGroup

"ipConfigurations": [{
  "name": "{config-name}",
  "properties": {
  "subnet": {
    "id": "{subnet-id}"
  },
  "ApplicationGatewayBackendAddressPools": [{
    "id": "/subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/Microsoft.Network/applicationGateways/{gateway-name}/backendAddressPools/{pool-name}"
  }]
}]

Aggiunta di set di scalabilità di macchine virtuali di orchestrazione flessibile a un gateway applicazione

Quando si aggiunge un set di scalabilità flessibile a un gateway applicazione, il processo equivale all'aggiunta di macchine virtuali autonome a un pool back-end di un gateway applicazione. Si aggiorna la configurazione IP dell'interfaccia di rete della macchina virtuale come parte del pool back-end. Questa operazione può essere eseguita tramite la configurazione dell'gateway applicazione o configurando la configurazione dell'interfaccia di rete della macchina virtuale.

Impostazioni DNS configurabili

Per impostazione predefinita, i set di scalabilità accettano le impostazioni DNS specifiche della rete virtuale e della subnet in cui sono stati creati. Tuttavia, è possibile configurare direttamente le impostazioni DNS per un set di scalabilità.

Creazione di un set di scalabilità con server DNS configurabili

Per creare un set di scalabilità con una configurazione DNS personalizzata usando la Azure CLI, aggiungere il comando -dns-servers all'argomento vmss create, seguito da indirizzi IP del server separati da spazi. Ad esempio:

--dns-servers 10.0.0.6 10.0.0.5

Per configurare server DNS personalizzati in un modello di Azure, aggiungere una proprietà dnsSettings alla sezione networkInterfaceConfigurations del set di scalabilità, Ad esempio:

"dnsSettings":{
    "dnsServers":["10.0.0.6", "10.0.0.5"]
}

Creazione di un set di scalabilità con nomi di dominio di macchine virtuali configurabili

Per creare un set di scalabilità con un nome DNS personalizzato per le macchine virtuali tramite la CLI, aggiungere l'argomento --vm-domain-name al comando di creazione del set di scalabilità della macchina virtuale, seguito da una stringa che rappresenta il nome di dominio.

Per impostare il nome di dominio in un modello di Azure, aggiungere una proprietà dnsSettings nella sezione networkInterfaceConfigurations dell'insieme di scalabilità. Ad esempio:

"networkProfile": {
  "networkInterfaceConfigurations": [
    {
    "name": "nic1",
    "properties": {
      "primary": true,
      "ipConfigurations": [
      {
        "name": "ip1",
        "properties": {
          "subnet": {
            "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/virtualNetworks/', variables('vnetName'), '/subnets/subnet1')]"
          },
          "publicIPAddressconfiguration": {
            "name": "publicip",
            "properties": {
            "idleTimeoutInMinutes": 10,
              "dnsSettings": {
                "domainNameLabel": "[parameters('vmssDnsName')]"
              }
            }
          }
        }
      }
    ]
    }
}

L'output, per un nome DNS di una singola macchina virtuale sarà nel formato seguente:

<vm><vmindex>.<specifiedVmssDomainNameLabel>

IPv4 pubblico per macchina virtuale

In generale, le macchine virtuali nei set di scalabilità di Azure non richiedono indirizzi IP pubblici propri. Per la maggior parte degli scenari, risulta più economico e sicuro associare un indirizzo IP pubblico a un servizio di bilanciamento del carico o a una singola macchina virtuale (jumpbox), che quindi instrada le connessioni in ingresso alle macchine virtuali del set di scalabilità in base alle esigenze (ad esempio, tramite regole NAT in ingresso).

Alcuni scenari tuttavia richiedono che le macchine virtuali del set di scalabilità abbiano i propri indirizzi IP pubblici, ad esempio i giochi, in cui una console deve stabilire una connessione diretta a una macchina virtuale cloud, che esegue l'elaborazione fisica del gioco. Un altro esempio è quello in cui le macchine virtuali devono stabilire connessioni esterne reciproche tra aree in un database distribuito.

Creazione di un set di scalabilità con un IP pubblico per ogni macchina virtuale

Per creare un set di scalabilità che assegni un indirizzo IP pubblico a ogni macchina virtuale con l'interfaccia della riga di comando di Azure, aggiungere il parametro --public-ip-per-vm al comando vmss create.

Per creare un set di scalabilità usando un modello di Azure, assicurarsi che la versione API della risorsa Microsoft.Compute/virtualMachineScaleSets sia almeno 2017-03-30 e aggiungere una proprietà publicIpAddressConfiguration JSON alla sezione ipConfigurations del set di scalabilità. Ad esempio:

"publicIpAddressConfiguration": {
    "name": "pub1",
    "sku": {
      "name": "Standard"
    },
    "properties": {
      "idleTimeoutInMinutes": 15
    }
}

Si noti che quando set di scalabilità di macchine virtuali con indirizzi IP pubblici per istanza vengono creati con un servizio di bilanciamento del carico front-end, gli indirizzi IP dell'istanza sono determinati dallo SKU del servizio Load Balancer (ovvero Basic o Standard). Se il set di scalabilità di macchine virtuali viene creato senza un servizio di bilanciamento del carico, lo SKU degli INDIRIZZI IP dell'istanza può essere impostato direttamente usando la sezione SKU del modello, come illustrato in precedenza.

Modello di esempio che usa un Load Balancer Basic: vmss-public-ip-linux

In alternativa, è possibile usare un prefisso IP pubblico (un blocco contiguo di INDIRIZZI IP pubblici con SKU Standard) per generare indirizzi IP a livello di istanza in un set di scalabilità di macchine virtuali. Le proprietà della zona di disponibilità del prefisso verranno passate agli indirizzi IP dell'istanza, anche se non verranno visualizzate nell'output.

Modello di esempio che usa un prefisso IP pubblico: vmss-with-public-ip-prefix

Query degli indirizzi IP pubblici delle macchine virtuali in un set di scalabilità

Per elencare gli indirizzi IP pubblici assegnati alle macchine virtuali del set di scalabilità usando l'interfaccia della riga di comando di Azure, eseguire il comando az vmss list-instance-public-ips.

Per ottenere un elenco degli indirizzi IP pubblici del set di scalabilità con PowerShell, usare il comando Get-AzPublicIpAddress. Ad esempio:

Get-AzPublicIpAddress -ResourceGroupName myrg -VirtualMachineScaleSetName myvmss

È anche possibile eseguire una query sugli indirizzi IP pubblici facendo direttamente riferimento all'ID risorsa della configurazione degli indirizzi IP pubblici, Ad esempio:

Get-AzPublicIpAddress -ResourceGroupName myrg -Name myvmsspip

È anche possibile visualizzare gli indirizzi IP pubblici assegnati alle macchine virtuali del set di scalabilità eseguendo una query su Esplora risorse Azure o l'API REST Azure con versione 2017-03-30 o versione successiva.

Per eseguire una query su Resource Explorer di Azure:

1. Aprire Esplora risorse di Azure in un browser web.
2. Per espandere Sottoscrizioni sul lato sinistro, fare clic vicino. Se in Sottoscrizioni è elencato un solo elemento, potrebbe essere già espanso.
3. Espandere la sottoscrizione.
4. Espandere il gruppo di risorse.
5. Espandere i provider.
6. Espandere Microsoft.Compute.
7. Espandere virtualMachineScaleSets.
8. Espandere il set di scalabilità.
9. Selezionare indirizzi IP pubblici.

Per eseguire una query sull'API REST Azure:

GET https://management.azure.com/subscriptions/{your sub ID}/resourceGroups/{RG name}/providers/Microsoft.Compute/virtualMachineScaleSets/{scale set name}/publicipaddresses?api-version=2017-03-30

Esempio di output da Azure Resource Explorer e API REST di Azure:

{
  "value": [
    {
      "name": "pub1",
      "id": "/subscriptions/your-subscription-id/resourceGroups/your-rg/providers/Microsoft.Compute/virtualMachineScaleSets/pipvmss/virtualMachines/0/networkInterfaces/pipvmssnic/ipConfigurations/yourvmssipconfig/publicIPAddresses/pub1",
      "etag": "W/\"a64060d5-4dea-4379-a11d-b23cd49a3c8d\"",
      "properties": {
        "provisioningState": "Succeeded",
        "resourceGuid": "ee8cb20f-af8e-4cd6-892f-441ae2bf701f",
        "ipAddress": "13.84.190.11",
        "publicIPAddressVersion": "IPv4",
        "publicIPAllocationMethod": "Dynamic",
        "idleTimeoutInMinutes": 15,
        "ipConfiguration": {
          "id": "/subscriptions/your-subscription-id/resourceGroups/your-rg/providers/Microsoft.Compute/virtualMachineScaleSets/yourvmss/virtualMachines/0/networkInterfaces/yourvmssnic/ipConfigurations/yourvmssipconfig"
        }
      }
    },
    {
      "name": "pub1",
      "id": "/subscriptions/your-subscription-id/resourceGroups/your-rg/providers/Microsoft.Compute/virtualMachineScaleSets/yourvmss/virtualMachines/3/networkInterfaces/yourvmssnic/ipConfigurations/yourvmssipconfig/publicIPAddresses/pub1",
      "etag": "W/\"5f6ff30c-a24c-4818-883c-61ebd5f9eee8\"",
      "properties": {
        "provisioningState": "Succeeded",
        "resourceGuid": "036ce266-403f-41bd-8578-d446d7397c2f",
        "ipAddress": "13.84.159.176",
        "publicIPAddressVersion": "IPv4",
        "publicIPAllocationMethod": "Dynamic",
        "idleTimeoutInMinutes": 15,
        "ipConfiguration": {
          "id": "/subscriptions/your-subscription-id/resourceGroups/your-rg/providers/Microsoft.Compute/virtualMachineScaleSets/yourvmss/virtualMachines/3/networkInterfaces/yourvmssnic/ipConfigurations/yourvmssipconfig"
        }
      }
    }

Più indirizzi IP per ogni scheda di interfaccia di rete

Ogni scheda di interfaccia di rete collegata a una macchina virtuale in un set di scalabilità può avere una o più configurazioni IP associate. A ogni configurazione viene assegnato un indirizzo IP privato. Ogni configurazione può anche avere una risorsa di indirizzo IP pubblico associata. Per comprendere il numero di indirizzi IP che è possibile assegnare a una scheda di interfaccia di rete e quanti indirizzi IP pubblici è possibile usare in una sottoscrizione Azure, vedere limiti Azure.

Più schede di interfaccia di rete per ogni macchina virtuale

È possibile avere fino a 8 schede di interfaccia di rete per ogni macchina virtuale, a seconda delle dimensioni del computer. Il numero massimo di schede di interfaccia di rete per computer è disponibile nell'articolo sulle dimensioni per le VM. Tutte le schede di interfaccia di rete connesse a un'istanza di macchina virtuale devono connettersi alla stessa rete virtuale. Le schede di interfaccia di rete possono connettersi a subnet diverse, ma tutte le subnet devono far parte della stessa rete virtuale.

L'esempio seguente è un profilo di rete del set di scalabilità che mostra più voci di schede di interfaccia di rete e più IP pubblici per ogni macchina virtuale:

"networkProfile": {
    "networkInterfaceConfigurations": [
        {
        "name": "nic1",
        "properties": {
            "primary": true,
            "ipConfigurations": [
            {
                "name": "ip1",
                "properties": {
                "subnet": {
                    "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/virtualNetworks/', variables('vnetName'), '/subnets/subnet1')]"
                },
                "publicipaddressconfiguration": {
                    "name": "pub1",
                    "properties": {
                    "idleTimeoutInMinutes": 15
                    }
                },
                "loadBalancerInboundNatPools": [
                    {
                    "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/loadBalancers/', variables('lbName'), '/inboundNatPools/natPool1')]"
                    }
                ],
                "loadBalancerBackendAddressPools": [
                    {
                    "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/loadBalancers/', variables('lbName'), '/backendAddressPools/addressPool1')]"
                    }
                ]
                }
            }
            ]
        }
        },
        {
        "name": "nic2",
        "properties": {
            "primary": false,
            "ipConfigurations": [
            {
                "name": "ip1",
                "properties": {
                "subnet": {
                    "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/virtualNetworks/', variables('vnetName'), '/subnets/subnet1')]"
                },
                "publicipaddressconfiguration": {
                    "name": "pub1",
                    "properties": {
                    "idleTimeoutInMinutes": 15
                    }
                },
                "loadBalancerInboundNatPools": [
                    {
                    "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/loadBalancers/', variables('lbName'), '/inboundNatPools/natPool1')]"
                    }
                ],
                "loadBalancerBackendAddressPools": [
                    {
                    "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/loadBalancers/', variables('lbName'), '/backendAddressPools/addressPool1')]"
                    }
                ]
                }
            }
            ]
        }
        }
    ]
}

Gruppi di sicurezza di rete & gruppi di sicurezza delle applicazioni per set di scalabilità

Gruppi di sicurezza di rete consente di filtrare il traffico da e verso le risorse di Azure in una rete virtuale Azure usando le regole di sicurezza. Gruppi di sicurezza delle applicazioni consente di gestire la sicurezza di rete delle risorse Azure e raggrupparle come estensione della struttura dell'applicazione.

I gruppi di sicurezza di rete possono essere applicati direttamente a un set di scalabilità, aggiungendo un riferimento alla sezione della configurazione dell'interfaccia di rete delle proprietà delle macchine virtuali del set di scalabilità.

I gruppi di sicurezza delle applicazioni possono essere specificati anche direttamente in un set di scalabilità, aggiungendo un riferimento alla sezione delle configurazioni IP dell'interfaccia di rete delle proprietà delle macchine virtuali del set di scalabilità.

Ad esempio:

"networkProfile": {
    "networkInterfaceConfigurations": [
        {
            "name": "nic1",
            "properties": {
                "primary": true,
                "ipConfigurations": [
                    {
                        "name": "ip1",
                        "properties": {
                            "subnet": {
                                "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/virtualNetworks/', variables('vnetName'), '/subnets/subnet1')]"
                            },
                            "applicationSecurityGroups": [
                                {
                                    "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/applicationSecurityGroups/', variables('asgName'))]"
                                }
                            ],
                "loadBalancerInboundNatPools": [
                                {
                                    "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/loadBalancers/', variables('lbName'), '/inboundNatPools/natPool1')]"
                                }
                            ],
                            "loadBalancerBackendAddressPools": [
                                {
                                    "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/loadBalancers/', variables('lbName'), '/backendAddressPools/addressPool1')]"
                                }
                            ]
                        }
                    }
                ],
                "networkSecurityGroup": {
                    "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/networkSecurityGroups/', variables('nsgName'))]"
                }
            }
        }
    ]
}

Per verificare che il gruppo di sicurezza di rete sia associato al set di scalabilità, usare il comando . L'esempio seguente usa per filtrare i risultati e mostra solo la relativa sezione dell'output.

az vmss show \
    -g myResourceGroup \
    -n myScaleSet \
    --query virtualMachineProfile.networkProfile.networkInterfaceConfigurations[].networkSecurityGroup

[
  {
    "id": "/subscriptions/.../resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/nsgName",
    "resourceGroup": "myResourceGroup"
  }
]

Per verificare che il gruppo di sicurezza dell'applicazione sia associato al set di scalabilità, usare il comando . L'esempio seguente usa per filtrare i risultati e mostra solo la relativa sezione dell'output.

az vmss show \
    -g myResourceGroup \
    -n myScaleSet \
    --query virtualMachineProfile.networkProfile.networkInterfaceConfigurations[].ipConfigurations[].applicationSecurityGroups

[
  [
    {
      "id": "/subscriptions/.../resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationSecurityGroups/asgName",
      "resourceGroup": "myResourceGroup"
    }
  ]
]

Apportare aggiornamenti di rete a istanze specifiche

È possibile apportare aggiornamenti di rete a istanze specifiche del set di scalabilità di macchine virtuali.

È possibile usare l'istanza di per aggiornare la configurazione di rete. Questa operazione può essere usata per eseguire operazioni come aggiungere o rimuovere schede di interfaccia di rete o rimuovere un'istanza da un pool back-end.

PUT https://management.azure.com/subscriptions/.../resourceGroups/vmssnic/providers/Microsoft.Compute/virtualMachineScaleSets/vmssnic/virtualMachines/1/?api-version=2019-07-01

Nell'esempio seguente viene illustrato come aggiungere una seconda configurazione IP alla scheda di interfaccia di rete.

1. dettagli per un'istanza specifica del set di scalabilità di macchine virtuali.

   GET https://management.azure.com/subscriptions/.../resourceGroups/vmssnic/providers/Microsoft.Compute/virtualMachineScaleSets/vmssnic/virtualMachines/1/?api-version=2019-07-01
   

   Di seguito è stato semplificato per visualizzare solo i parametri di rete per questo esempio.

   {
     ...
     "properties": {
       ...
       "networkProfileConfiguration": {
         "networkInterfaceConfigurations": [
           {
             "name": "vmssnic-vnet-nic01",
             "properties": {
               "primary": true,
               "enableAcceleratedNetworking": false,
               "networkSecurityGroup": {
                 "id": "/subscriptions/123a1a12-a123-1ab1-12a1-12a1a1234ab1/resourceGroups/vmssnic/providers/Microsoft.Network/networkSecurityGroups/basicNsgvmssnic-vnet-nic01"
               },
               "dnsSettings": {
                 "dnsServers": []
               },
               "enableIPForwarding": false,
               "ipConfigurations": [
                 {
                   "name": "vmssnic-vnet-nic01-defaultIpConfiguration",
                   "properties": {
                     "publicIPAddressConfiguration": {
                       "name": "publicIp-vmssnic-vnet-nic01",
                       "properties": {
                         "idleTimeoutInMinutes": 15,
                         "ipTags": [],
                         "publicIPAddressVersion": "IPv4"
                       }
                     },
                     "primary": true,
                     "subnet": {
                       "id": "/subscriptions/123a1a12-a123-1ab1-12a1-12a1a1234ab1/resourceGroups/vmssnic/providers/Microsoft.Network/virtualNetworks/vmssnic-vnet/subnets/default"
                     },
                     "privateIPAddressVersion": "IPv4"
                   }
                 }
               ]
             }
           }
         ]
       },
       ...
     }
   }
   

2. nell'istanza di , aggiornando per aggiungere la configurazione IP aggiuntiva. Questa operazione è simile per l'aggiunta di ulteriori .

   PUT https://management.azure.com/subscriptions/.../resourceGroups/vmssnic/providers/Microsoft.Compute/virtualMachineScaleSets/vmssnic/virtualMachines/1/?api-version=2019-07-01
   

   Di seguito è stato semplificato per visualizzare solo i parametri di rete per questo esempio.

     {
     ...
     "properties": {
       ...
       "networkProfileConfiguration": {
         "networkInterfaceConfigurations": [
           {
             "name": "vmssnic-vnet-nic01",
             "properties": {
               "primary": true,
               "enableAcceleratedNetworking": false,
               "networkSecurityGroup": {
                 "id": "/subscriptions/123a1a12-a123-1ab1-12a1-12a1a1234ab1/resourceGroups/vmssnic/providers/Microsoft.Network/networkSecurityGroups/basicNsgvmssnic-vnet-nic01"
               },
               "dnsSettings": {
                 "dnsServers": []
               },
               "enableIPForwarding": false,
               "ipConfigurations": [
                 {
                   "name": "vmssnic-vnet-nic01-defaultIpConfiguration",
                   "properties": {
                     "publicIPAddressConfiguration": {
                       "name": "publicIp-vmssnic-vnet-nic01",
                       "properties": {
                         "idleTimeoutInMinutes": 15,
                         "ipTags": [],
                         "publicIPAddressVersion": "IPv4"
                       }
                     },
                     "primary": true,
                     "subnet": {
                       "id": "/subscriptions/123a1a12-a123-1ab1-12a1-12a1a1234ab1/resourceGroups/vmssnic/providers/Microsoft.Network/virtualNetworks/vmssnic-vnet/subnets/default"
                     },
                     "privateIPAddressVersion": "IPv4"
                   }
                 },
                 {
                   "name": "my-second-config",
                   "properties": {
                     "subnet": {
                       "id": "/subscriptions/123a1a12-a123-1ab1-12a1-12a1a1234ab1/resourceGroups/vmssnic/providers/Microsoft.Network/virtualNetworks/vmssnic-vnet/subnets/default"
                     },
                     "privateIPAddressVersion": "IPv4"
                   }
                 }
               ]
             }
           }
         ]
       },
       ...
     }
   }
   

Connettività in uscita di rete esplicita per i set di scalabilità flessibili

Per migliorare la sicurezza di rete predefinita, Virtual Machine Scale Sets con orchestrazione flessibile richiederà che le istanze create in modo implicito tramite il profilo di scalabilità automatica abbiano una connettività in uscita definita in modo esplicito tramite uno dei metodi seguenti:

• Per la maggior parte degli scenari, è consigliabile collegare il gateway NAT alla subnet.
• Per gli scenari con requisiti di sicurezza elevati o quando si usa Azure Firewall o appliance virtuale di rete (NVA), è possibile specificare una route personalizzata definita dall'utente come hop successivo tramite il firewall.
• Le istanze si trovano nel pool back-end di un Azure Load Balancer SKU Standard.
• Collegare un indirizzo IP pubblico all'interfaccia di rete dell'istanza.

Con macchine virtuali a istanza singola e Virtual Machine Scale Sets con orchestrazione uniforme, la connettività in uscita viene fornita automaticamente.

Gli scenari comuni che richiedono la connettività in uscita esplicita includono:

• L'attivazione di macchine virtuali Windows richiederà di avere definito la connettività in uscita dall'istanza della macchina virtuale all'attivazione di Windows Servizio di gestione delle chiavi (KMS). Per ulteriori informazioni, consultare Risoluzione dei problemi di attivazione delle macchine virtuali Windows.
• Accesso agli account di archiviazione o Key Vault. È anche possibile stabilire la connettività ai servizi di Azure tramite Private Link.

Per altre informazioni sulla definizione di connessioni in uscita sicure, vedere Accesso in uscita predefinita in Azure.

Passaggi successivi

Per altre informazioni sulle reti virtuali Azure, vedere panoramica delle reti virtuali Azure.