Partage via

Comment créer une appliance virtuelle réseau dans un hub Azure Virtual WAN

  • Article

Cet article vous présente comment déployer une Appliance virtuelle réseau (NVA) intégrée dans un hub Azure Virtual WAN.

Background

Les NVA déployées dans le hub Virtual WAN sont généralement divisées en trois catégories :

  • Appliances de connectivité : utilisées pour terminer des connexions VPN et SD-WAN à partir d’un environnement local. Les appliances de connectivité utilisent BGP (Border Gateway Protocol) pour échanger des routes avec le hub Virtual WAN.
  • Appliances de pare-feu de nouvelle génération (NGFW) : utilisées avec l’Intention de routage pour fournir une inspection de type bump-in-the-wire pour le trafic traversant le hub Virtual WAN.
  • Appliances de pare-feu et de connectivité à double rôle : un appareil unique qui connecte des appareils locaux à Azure et inspecte le trafic traversant le hub Virtual WAN avec l’Intention de routage.

Pour obtenir la liste des NVA pouvant être déployées dans le hub Virtual WAN et ses fonctionnalités respectives, consultez Partenaires NVA Virtual WAN.

Mécanismes de déploiement

Vous pouvez déployer des appliances virtuelles réseau via quelques workflows différents. Divers partenaires d’appliance virtuelle réseau prennent en charge différents mécanismes de déploiement. Chaque partenaire NVA intégrée Virtual WAN prend en charge le workflow Application managée de la Place de marché Azure. Pour découvrir plus d’informations sur d’autres méthodes de déploiement, référez-vous à la documentation de votre fournisseur NVA.

  • Applications managées de la Place de marché Azure : tous les partenaires NVA Virtual WAN utilisent Applications managées Azure pour déployer des NVA intégrées dans le hub Virtual WAN. Applications managées Azure vous offre un moyen simple pour déployer des NVA dans le hub Virtual WAN via une expérience du Portail Azure créée par le fournisseur NVA. L’expérience du Portail Azure collecte les paramètres de configuration et de déploiement critiques nécessaires pour déployer et amorcer ls NVA. Pour découvrir plus d’informations sur Applications managées Azure, consultez la documentation sur les applications managées. Référez-vous à la documentation de votre fournisseur sur le workflow complet de déploiement via les applications managées Azure.
  • Déploiements d’orchestrateur NVA : certains partenaires NVA vous permettent de déployer des NVA directement dans le Hub à partir d’un logiciel de gestion ou d’une orchestration NVA. Les déploiements NVA à partir d’un logiciel d’orchestration NVA nécessitent généralement la fourniture par vos soins d’un principal de service Azure au logiciel d’orchestration NVA. Le logiciel d’orchestration NVA utilise le principal de service Azure afin d’interagir avec les API Azure pour déployer et gérer des NVA dans le hub. Ce workflow est spécifique à l’implémentation du fournisseur NVA. Consultez la documentation de votre fournisseur pour obtenir plus d’informations.
  • Autres mécanismes de déploiement : des partenaires NVA peuvent également proposer d’autres mécanismes pour déployer des NVA dans le hub tels que les modèles ARM et Terraform. Consultez la documentation de votre fournisseur pour découvrir plus d’informations sur les autres mécanismes de déploiement pris en charge.

Prérequis

Le tutoriel suivant suppose que vous avez déployé une ressource Virtual WAN avec au moins un hub Virtual WAN. Le tutoriel présume également que vous déployez des NVA via les applications managées de la Place de marché Azure.

Autorisations requises

Pour déployer une appliance virtuelle réseau dans une ressource Virtual WAN Hub, l’utilisateur ou le principal de service créant et gérant le NVA doit avoir au moins les autorisations suivantes :

  • Microsoft.Network/virtualHubs/read sur le hub Virtual WAN dans lequel la NVA est déployée.
  • Microsoft.Network/networkVirtualAppliances/write sur le groupe de ressources où la NVA est déployée.
  • Microsoft.Network/publicIpAddresses/join sur les ressources d’adresses IP publiques déployées avec l’appliance virtuelle réseau pour les cas d’utilisation d’Internet entrant.

Vous devez octroyer ces autorisations à l’application managée de la Place de marché Azure pour veiller au succès des déploiements. D’autres autorisations peuvent être nécessaires en fonction de l’implémentation du workflow de déploiement développée par votre partenaire NVA.

Attribution d’autorisations à une application managée Azure

Les appliances virtuelles réseau déployées via les applications mangées de la Place de marché Azure sont déployées dans un groupe de ressources spécial de votre tenant Azure appelé groupe de ressources managé. Lorsque vous créez une application managée dans votre abonnement, un groupe de ressources managé correspondant et distinct est créé dans votre abonnement. Toutes les ressources Azure créées par l’application managée (notamment l’appliance virtuelle réseau) sont déployées dans le groupe de ressources managé.

Place de marché Azure possède un principal de service interne qui effectue le déploiement de ressources dans le groupe de ressources managé. Ce principal interne dispose des autorisations pour créer des ressources dans le groupe de ressources managé, mais il n’est pas autorisé à lire, mettre à jour ou créer des ressources Azure en dehors du groupe de ressources managé.

Pour veiller à ce que le déploiement de votre NVA soit effectué avec le niveau d’autorisation suffisant, octroyez des autorisations supplémentaires au principal de service de déploiement de la Place de marché Azure en déployant votre application managée avec une identité managée affectée par l’utilisateur qui a les autorisations sur le hub Virtual WAN et l’adresse IP publique que vous souhaitez utiliser avec votre appliance virtuelle réseau. Cette identité managée affectée par l’utilisateur est utilisée uniquement pour le déploiement initial de ressources dans le groupe de ressources managé et ce, uniquement dans le cadre de ce déploiement d’application managée.

Remarque

Seules des identités système affectées par l’utilisateur peuvent être attribuées à Applications managées Azure pour déployer des appliances virtuelles réseau dans le Virtual WAN Hub. Les identités affectées par le système ne sont pas prises en charge.

  1. Créez une identité affectée par l’utilisateur. Si vous souhaitez découvrir les étapes pour créer des identités affectées par l’utilisateur, consultez la documentation sur les identités managées. Vous pouvez également utiliser une identité affectée par l’utilisateur existante.
  2. Attribuez des autorisations à votre identité affectée par l’utilisateur pour avoir au moins les autorisations décrites dans la section Autorisations requises, ainsi que toutes les autorisations exigées par votre fournisseur NVA. Vous pouvez également octroyer un rôle Azure intégré, tel que Contributeur de réseau qui contient un sur-ensemble des autorisations nécessaires, à l’identité affectée par l’utilisateur.

Sinon, vous pouvez également créer un rôle personnalisé avec l’exemple de définition suivant et attribuer le rôle personnalisé à votre identité managée affectée par l’utilisateur.

{  
"Name": "Virtual WAN NVA Operator", 
  "IsCustom": true,
  "Description": "Can perform deploy and manage NVAs in the Virtual WAN hub.",
  "Actions": [
    "Microsoft.Network/virtualHubs/read",
    "Microsoft.Network/publicIPAddresses/join",
    "Microsoft.Network/networkVirtualAppliances/*",
    "Microsoft.Network/networkVirtualAppliances/inboundSecurityRules/*"    
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
    "/subscriptions/{subscription where Virtual Hub and NVA is deployed}",
    "/subscriptions/{subscription where Public IP used for NVA is deployed}",
  ]
}

Déployer le NVA

La section suivante présente les étapes nécessaires pour déployer une appliance virtuelle réseau dans le hub Virtual WAN en utilisant une application managée de la Place de marché Azure.

  1. Accédez à votre hub Virtual WAN et sélectionnez Appliance virtuelle réseau sous Fournisseurs tiers.

Capture d’écran montrant comment naviguer vers le menu de NVA sous un hub Virtual WAN.

  1. Sélectionnez Créer une appliance virtuelle réseau.

Capture d’écran montrant comment créer une NVA.

  1. Choisissez le fournisseur NVA. Dans cet exemple « fortinet-ngfw » est sélectionné, puis choisissez Créer. À ce stade, vous être redirigé vers l’application managée de la Place de marché Azure du partenaire NVA.

Capture d’écran montrant comment sélectionner un fournisseur NVA.

  1. Suivez l’expérience de création d’application mangée pour déployer votre NVA et consultez la documentation de votre fournisseur. Vérifiez que l’identité système affectée par l’utilisateur créée à la section précédente est sélectionnée dans le cadre du workflow de création d’application managée.

Erreurs de déploiement courantes

Erreurs d’autorisation

Remarque

Le message d’erreur associé à LinkedAuthorizationFailed affiche uniquement une autorisation manquante. Par conséquent, vous pouvez voir une autre autorisation manquante après avoir mis à jour les autorisations affectées à votre principal de service, à votre identité managée ou à votre utilisateur.

  • Si vous voyez un message d’erreur avec le code d’erreur LinkedAuthorizationFailed, les autorisations appropriées n’ont pas été attribuées à l’identité affectée par l’utilisateur fournie dans le cadre du déploiement d’application managée. Les autorisations exactes manquantes sont décrites dans le message d’erreur. Dans l’exemple suivant, revérifiez que l’identité managée affectée par l’utilisateur dispose des autorisations READ (LECTURE) sur le hub Virtual WAN dans lequel vous tentez de déployer la NVA.
The client with object id '<>' does not have authorization to perform action 'Microsoft.Network/virtualHubs/read' over scope '/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>' or the scope is invalid. If access was recently granted, please refresh your credentials

Étapes suivantes