Tutoriel : Créer et gérer une passerelle VPN à l’aide du portail Azure
Ce tutoriel vous aide à créer et à gérer une passerelle de réseau virtuel (passerelle VPN) à l’aide du Portail Azure. La passerelle VPN fait partie de l’architecture de connexion qui vous permet d’accéder en toute sécurité aux ressources au sein d’un réseau virtuel en utilisant la passerelle VPN.
- Le côté gauche du diagramme illustre le réseau virtuel et la passerelle VPN que vous créez en suivant la procédure décrite dans cet article.
- Vous pouvez ajouter ultérieurement plusieurs types de connexions, comme indiqué sur le côté droit du diagramme. Vous pouvez par exemple créer des connexions de site à site et de point à site. Pour afficher les différentes architectures de conception que vous pouvez créer, consultez Conception de la passerelle VPN.
Dans ce tutoriel, vous allez apprendre à :
- Créer un réseau virtuel.
- Créez une passerelle VPN redondante interzone en mode actif-actif.
- Afficher l’adresse IP publique de la passerelle.
- Redimensionner une passerelle VPN (redimensionner la référence SKU).
- Réinitialiser une passerelle VPN.
- Si vous souhaitez en savoir plus sur les paramètres de configuration utilisés dans ce tutoriel, consultez À propos des paramètres de configuration de la passerelle VPN.
- Pour plus d’informations sur la passerelle VPN Azure, consultez Qu’est-ce que la passerelle VPN Azure.
- Si vous souhaitez créer une passerelle à l’aide de la référence SKU de base (au lieu de VpnGw2AZ), consultez Créer une passerelle VPN de référence SKU de base.
- Pour plus d’informations sur les passerelles en mode actif-actif, consultez À propos du mode actif-actif.
- Pour plus d’informations sur les passerelles redondantes interzone, consultez l’article À propos des passerelles redondantes pour les Zones de disponibilité.
Remarque
Les étapes décrites dans cet article utilisent la référence SKU de passerelle VpnGw2AZ, qui prend en charge les zones de disponibilité Azure. Si les zones de disponibilité ne sont pas prises en charge dans votre région, utilisez plutôt une référence SKU non AZ. Pour plus d’informations sur les références SKU, consultez À propos des références SKU de passerelle.
Prérequis
Vous devez avoir un compte Azure avec un abonnement actif. Si vous n’en avez pas, créez-en une gratuitement.
Créez un réseau virtuel
Créez un réseau virtuel à l’aide des exemples de valeurs suivants :
- Groupe de ressources : TestRG1
- Nom : VNet1
- Région : (USA) USA Est (ou région de votre choix)
- Espace d’adressage IPv4 : 10.1.0.0/16
- Nom du sous-réseau : utilisez le nom par défaut ou spécifiez un nom. Exemple : FrontEnd
- Espace d’adressage du sous-réseau : 10.1.0.0/24
Connectez-vous au portail Azure.
Dans recherche de ressources, de service et de documents (G+/) en haut de la page du portail, entrez réseau virtuel. Sélectionnez réseau virtuel dans les résultats de recherche Place de marché pour ouvrir la page réseau virtuel.
Dans la page réseau virtuel, sélectionnez Créer pour ouvrir la page Créer un réseau virtuel.
Sous l’onglet De base, configurez les paramètres de réseau virtuel pour détails du projet et les détails de l’instance. Une coche verte s’affiche lorsque les valeurs que vous entrez sont validées. Vous pouvez ajuster les valeurs affichées dans l’exemple en fonction des paramètres dont vous avez besoin.
- Abonnement: vérifiez que l’abonnement listé est approprié. Vous pouvez modifier les abonnements à l’aide de la zone de liste déroulante.
- Groupe de ressources : sélectionnez un groupe de ressources existant ou sélectionnez Créer nouveau pour en créer un. Pour plus d’informations sur les groupes de ressources, consultez Vue d’ensemble d’Azure Resource Manager.
- Name : entrez le nom du réseau virtuel.
- Région: sélectionnez l’emplacement de votre réseau virtuel. L’emplacement détermine l’emplacement où les ressources que vous déployez sur ce réseau virtuel seront actives.
Sélectionnez suivant ou sécurité pour accéder à l’onglet Sécurité. Pour cet exercice, conservez les valeurs par défaut pour tous les services de cette page.
Sélectionnez adresses IP pour accéder à l’onglet Adresses IP. Sous l’onglet adresses IP, configurez les paramètres.
Espace d’adressage IPv4 : Un espace d’adressage est créé automatiquement par défaut. Vous pouvez sélectionner l’espace d’adressage et le définir selon vos propres valeurs. Vous pouvez également ajouter un autre espace d’adressage et supprimer la valeur par défaut créée automatiquement. Par exemple, vous pouvez spécifier l’adresse de départ comme 10.1.0.0 et spécifier la taille de l’espace d’adressage comme /16. Sélectionnez ensuite Ajouter pour ajouter cet espace d’adressage.
+ Ajouter un sous-réseau : si vous utilisez l’espace d’adressage par défaut, un sous-réseau par défaut est créé automatiquement. Si vous modifiez l’espace d’adressage, ajoutez un nouveau sous-réseau dans cet espace d’adressage. Sélectionnez + Ajouter un sous-réseau pour ouvrir la fenêtre Ajouter un sous-réseau. Configurez les paramètres suivants, puis sélectionnez Ajouter en bas de la page pour ajouter les valeurs.
- Nom du sous-réseau : vous pouvez utiliser la valeur par défaut ou spécifier le nom. Exemple : FrontEnd.
- Plage d’adresses de sous-réseau : plage d’adresses de ce sous-réseau. Les exemples sont 10.1.0.0 et /24.
Passez en revue la page Adresses IP, puis supprimez les espaces d’adressage ou les sous-réseaux dont vous n’avez pas besoin.
Sélectionnez Vérifier + créer pour vérifier les paramètres de réseau virtuel.
Une fois les paramètres validés, sélectionnez Créer pour créer le réseau virtuel.
Après avoir créé votre réseau virtuel, vous pouvez éventuellement configurer Azure DDoS Protection. La protection est simple à activer sur n’importe quel réseau virtuel, nouveau ou existant, et ne nécessite aucun changement au niveau de l’application ou des ressources. Pour plus d’informations sur la protection Azure DDoS, consultez Qu’est-ce qu’Azure DDoS Protection.
Créer un sous-réseau de passerelle
Les ressources de la passerelle de réseau virtuel sont déployées sur un sous-réseau spécifique nommé GatewaySubnet. Le sous-réseau de passerelle fait partie de la plage d’adresses IP du réseau virtuel que vous spécifiez quand vous configurez votre réseau virtuel.
Si vous n’avez pas de sous-réseau nommé GatewaySubnet, vous ne pourrez pas créer votre passerelle VPN. Nous vous recommandons de créer un sous-réseau de passerelle qui utilise /27 (ou supérieur). Par exemple, /27 ou /26. Pour plus d’informations, consultez Paramètres de passerelle VPN – Sous-réseau de passerelle.
- Dans la page de votre réseau virtuel, dans le volet gauche, sélectionnez Sous-réseaux pour ouvrir la page Sous-réseaux.
- En haut de la page, sélectionnez + Sous-réseau de passerelle pour ouvrir le volet Ajouter un sous-réseau.
- Le nom est automatiquement entré en tant que GatewaySubnet. Ajustez la valeur de la plage d’adresses IP, si nécessaire. Par exemple, 10.1.255.0/27.
- N’ajustez pas les autres valeurs de la page. Sélectionnez Enregistrer en bas de la page pour enregistrer le sous-réseau.
Important
Les groupes de sécurité réseau (NSG) sur le sous-réseau de passerelle ne sont pas pris en charge. Associer un groupe de sécurité réseau à ce sous-réseau peut empêcher votre passerelle de réseau virtuel (passerelles VPN et ExpressRoute) de fonctionner comme prévu. Pour plus d’informations sur les groupes de sécurité réseau, consultez Présentation du groupe de sécurité réseau
Créer une passerelle VPN
Dans cette section, vous créez la passerelle de réseau virtuel (passerelle VPN) pour votre réseau virtuel. La création d’une passerelle nécessite généralement au moins 45 minutes, selon la référence SKU de passerelle sélectionnée.
Créez une passerelle avec les valeurs suivantes :
- Name : VNet1GW
- Type de passerelle : VPN
- Référence SKU : VpnGw2AZ
- Génération : Génération 2
- Réseau virtuel : VNet1
- Plage d’adresses de sous-réseau de la passerelle : 10.1.255.0/27
- Adresse IP publique : Création
- Adresse IP publique : VNet1GWpip1
- Référence SKU d’adresse IP publique : standard
- Attribution : statique
- Deuxième adresse IP publique : VNet1GWpip2
Dans rechercher des ressources, des services et des documents (G+/), entrez passerelle de réseau virtuel. Recherchez passerelle de réseau virtuel dans les résultats de recherche place de marché et sélectionnez-la pour ouvrir la page Créer une passerelle de réseau virtuel.
Sous l’onglet Général, renseignez les valeurs pour Détails du projet et Détails de l’instance.
Abonnement: sélectionnez l’abonnement que vous souhaitez utiliser dans la liste déroulante.
Groupe de ressources : cette valeur est renseignée automatiquement quand vous sélectionnez votre réseau virtuel sur cette page.
Nom : il s’agit du nom de l’objet passerelle que vous créez. Il s’agit d’un sous-réseau de passerelle différent du sous-réseau de passerelle sur lequel les ressources de passerelle seront déployées.
Région : Sélectionnez la région où vous voulez créer cette ressource. La région de la passerelle doit être la même que celle du réseau virtuel.
Type de passerelle : Sélectionnez VPN. Les passerelles VPN utilisent le type de passerelle de réseau virtuel VPN.
Référence SKU : dans la liste déroulante, sélectionnez une référence SKU de passerelle qui prend en charge les fonctionnalités que vous voulez utiliser.
- Nous vous recommandons de sélectionner quand c’est possible une référence SKU qui se termine par AZ. Les références SKU AZ prennent en charge les zones de disponibilité.
- La référence SKU de base n’est pas disponible dans le portail. Pour configurer une passerelle de référence SKU De base, vous devez utiliser PowerShell ou l’interface CLI.
Génération : sélectionnez Génération2 dans la liste déroulante.
Réseau virtuel: dans la liste déroulante, sélectionnez le réseau virtuel auquel vous souhaitez ajouter cette passerelle. Si vous ne voyez pas le réseau virtuel que vous souhaitez utiliser, assurez-vous que vous avez sélectionné l'abonnement et la région corrects dans les paramètres précédents.
Plage d’adresses de sous-réseau de passerelle ou sous-réseau: le sous-réseau de passerelle est requis pour créer une passerelle VPN.
Actuellement, ce champ peut afficher différentes options de paramètres, selon l’espace d’adressage du réseau virtuel et si vous avez déjà créé un sous-réseau nommé GatewaySubnet pour votre réseau virtuel.
Si vous n’avez pas de sous-réseau de passerelle et que vous ne voyez pas l’option de en créer une sur cette page, revenez à votre réseau virtuel et créez le sous-réseau de passerelle. Revenez ensuite à cette page et configurez la passerelle VPN.
Spécifiez les valeurs de adresse IP publique. Ces paramètres spécifient l’objet d’adresse IP publique qui seront associés à la passerelle VPN. Une adresse IP publique est affectée à chaque objet d’adresse IP publique lors de la création de la passerelle VPN. L’adresse IP publique attribué change uniquement lorsque la passerelle est supprimée, puis recréée. Les adresses IP ne sont pas modifiées lors du redimensionnement, de la réinitialisation ou des autres opérations de maintenance/mise à niveau internes de votre passerelle VPN.
Type d’adresse IP publique : si cette option s’affiche, sélectionnez Standard.
Adresse IP publique : Laissez l’option Créer sélectionnée.
nom d’adresse IP publique: dans la zone de texte, entrez un nom pour votre instance d’adresse IP publique.
Référence SKU d’adresse IP publique : le paramètre est sélectionné automatiquement en référence SKU Standard.
Attribution : l’attribution est généralement automatiquement sélectionnée et doit être statique.
Zone de disponibilité : ce paramètre est disponible pour les références SKU de passerelle AZ dans les régions qui prennent en charge les zones de disponibilité. Sélectionnez Redondant interzone, sauf si vous savez que vous voulez spécifier une zone.
Activer le mode actif/actif : nous vous recommandons de sélectionner Activé pour bénéficier des avantages d’une passerelle en mode actif/actif. Si vous prévoyez d’utiliser cette passerelle pour une connexion de site à site, tenez compte des éléments suivants :
- Vérifiez la conception du mode actif/actif que vous voulez utiliser. Les connexions avec votre appareil VPN local doivent être configurées spécifiquement pour bénéficier du mode actif/actif.
- Certains appareils VPN ne prennent pas en charge le mode actif/actif. En cas de doute, contactez le fournisseur de votre appareil VPN. Si vous utilisez un appareil VPN qui ne prend pas en charge le mode actif/actif, vous pouvez sélectionner Désactivé pour ce paramètre.
Deuxième adresse IP publique : sélectionnez Créer nouvelle. Cette option est disponible seulement si vous avez sélectionné Activé pour le paramètre Activer le mode actif/actif.
nom d’adresse IP publique: dans la zone de texte, entrez un nom pour votre instance d’adresse IP publique.
Référence SKU d’adresse IP publique : le paramètre est sélectionné automatiquement en référence SKU Standard.
Zone de disponibilité : sélectionnez redondant interzone, sauf si vous savez que vous souhaitez spécifier une zone.
Configurer BGP : sélectionnez Désactivé, sauf si votre configuration nécessite précisément ce paramètre. Si vous avez besoin de ce paramètre, la valeur par défaut ASN est 65515, même si vous pouvez la changer.
Activer l’accès au coffre de clés : sélectionnez Désactivé, sauf si votre configuration nécessite spécifiquement ce paramètre.
Sélectionnez Vérifier + créer pour exécuter la validation.
Une fois la validation réussie, sélectionnez Créer pour déployer la passerelle VPN.
La création et le déploiement complets d’une passerelle peuvent prendre 45 minutes ou plus. Vous pouvez voir l’état du déploiement dans la page vue d’ensemble pour votre passerelle. Une fois la passerelle créée, observez le réseau virtuel dans le portail pour connaître l’adresse IP affectée à la passerelle. Cette dernière apparaît sous la forme d’un appareil connecté.
Examiner l’adresse IP publique
Pour afficher les adresses IP publiques associées à votre passerelle de réseau virtuel, accédez à votre passerelle dans le portail.
- Dans la page du portail de votre passerelle de réseau virtuel, sous Paramètres, ouvrez la page Propriétés.
- Pour obtenir plus d’informations sur l’objet adresse IP, cliquez sur le lien de l’adresse IP associée.
Redimensionner une référence SKU de passerelle
Il existe des règles spécifiques sur le redimensionnement et la modification d’une référence SKU de passerelle. Dans cette section, vous redimensionnez la référence SKU. Pour plus d’informations, consultez Redimensionner ou modifier les références SKU de passerelles.
Étapes élémentaires :
- Accédez à la page Configuration pour votre passerelle de réseau virtuel.
- Sur le côté droit de la page, sélectionnez la flèche déroulante pour afficher la liste des références SKU disponibles. Notez que la liste contient uniquement les références SKU que vous pouvez utiliser pour redimensionner votre référence SKU actuelle. Si vous ne voyez pas la référence SKU que vous souhaitez utiliser, au lieu de redimensionner, vous devez passer à une nouvelle référence SKU.
- Sélectionnez la référence SKU dans la liste déroulante et enregistrez vos modifications.
Réinitialiser une passerelle
Les réinitialisations de passerelle se comportent différemment, selon la configuration de votre passerelle. Pour plus d’informations, consultez Réinitialiser une passerelle VPN ou une connexion.
Étapes élémentaires :
- Dans le portail, accédez à la passerelle de réseau virtuel que vous souhaitez réinitialiser.
- Dans la page Passerelle de réseau virtuel, dans le volet gauche, faites défiler l’écran et recherchez Aide –> Réinitialiser.
- Dans la page Réinitialiser, sélectionnez Réinitialiser. Une fois la commande émise, l’instance active actuelle de la passerelle VPN Azure est redémarrée immédiatement. La réinitialisation de la passerelle provoque un défaut de connectivité VPN et peut limiter l’analyse de la cause racine du problème par la suite.
Nettoyer les ressources
Si vous n’envisagez pas de continuer à utiliser cette application ni de passer au tutoriel suivant, supprimez ces ressources.
- Entrez le nom de votre groupe de ressources dans la zone Rechercher en haut du portail et sélectionnez-le dans les résultats de la recherche.
- Sélectionnez Supprimer le groupe de ressources.
- Entrez votre groupe de ressources dans TAPER LE NOM DU GROUPE DE RESSOURCES, puis sélectionnez Supprimer.
Étapes suivantes
Après avoir créé une passerelle VPN, vous pouvez configurer d’autres paramètres et connexions de passerelle. Les articles suivants vous aident à créer quelques-unes des configurations les plus courantes :