Partager via

Connexion d’Azure à des clouds publics

  • Article

De nombreuses entreprises suivent une stratégie multicloud en raison d’objectifs commerciaux et techniques. Il s’agit notamment du coût, de la flexibilité, de la disponibilité des fonctionnalités, de la redondance, de la souveraineté des données, etc. Cette stratégie les aide à utiliser au mieux les deux clouds.

Cette approche pose également des difficultés pour l’entreprise en termes d’architecture du réseau et des applications. Voici quelques-uns de ces défis : la latence et le débit des données. Pour relever ces défis, vous cherchez à vous connecter directement à plusieurs clouds. Certains fournisseurs de services fournissent une solution permettant de connecter plusieurs fournisseurs de cloud pour leurs clients. Dans d’autres cas, le client peut déployer son propre routeur pour connecter plusieurs clouds publics.

Connectivité via ExpressRoute

ExpressRoute vous permet d’étendre leurs réseaux locaux au cloud de Microsoft via une connexion privée facilitée par un fournisseur de connectivité. ExpressRoute vous permet d’établir des connexions aux services de cloud Microsoft.

Il existe trois façons de se connecter via ExpressRoute.

  1. Fournisseur Layer3
  2. Fournisseur Layer2
  3. Connexion directe

Fournisseur de couche 3

Les fournisseurs de couche 3 sont communément appelés fournisseurs VPN IP ou VPN MPLS. Vous tirez parti de ces fournisseurs pour la connectivité multipoint entre leurs centres de données, les branches et le cloud. vous vous connectez au fournisseur L3 via Border Gateway Protocol (BGP) ou via une route statique par défaut. Le fournisseur de services publie des itinéraires entre les sites clients, les centres de données et le cloud public.

Lorsque vous vous connectez via un fournisseur Layer3, Microsoft publie des routes VNET client auprès du fournisseur de services via le protocole BGP. Le fournisseur peut avoir deux implémentations différentes.

Diagramme qui affiche un fournisseur Layer3.

Le fournisseur peut insérer chaque fournisseur de cloud dans un VRF distinct si le trafic provenant de tous les fournisseurs de cloud accède au routeur du client. Si le client exécute le protocole BGP avec le fournisseur de services, ces routes sont publiées à nouveau sur d’autres fournisseurs de cloud par défaut.

Si le fournisseur de services insère tous les fournisseurs de cloud dans le même VRF, les routes sont publiées sur d’autres fournisseurs de services cloud directement à partir du fournisseur de services. Cette configuration suppose une opération BGP standard dans laquelle les routes eBGP sont publiées sur d’autres voisins eBGP par défaut.

Chaque cloud public présente une limite de préfixe différente. Par conséquent, le fournisseur de services d’itinéraires doit être prudent lors la distribution des itinéraires.

Fournisseur de couche 2 et connexion Direct

Bien que la connectivité physique dans les deux modèles soit différente, au niveau Layer3, le protocole BGP est établi directement entre MSEE et le routeur du client. Pour ExpressRoute Direct, vous vous connectez directement au MSEE. Dans la couche 2, le fournisseur de services étend le VLAN de votre local au cloud dans lequel vous exécutez BGP sur le réseau layer2 pour connecter leurs contrôleurs de domaine au cloud.

Diagramme montrant un fournisseur Layer2 et une connexion Directe.

Dans les deux cas, le client a des connexions point à point vers chacun des clouds publics. Le client établit une connexion BGP distincte à chaque cloud public. Les routes reçues par un fournisseur de cloud sont publiées sur d’autres fournisseurs de cloud par défaut. Dans la mesure où chaque fournisseur de cloud présente une limite de préfixe différente, le client doit prendre en compte ces limites lors de la publication des itinéraires. Le client peut utiliser les boutons BGP habituels avec Microsoft tout en publiant des itinéraires à partir d’autres clouds publics.

Connexion directe avec ExpressRoute

Vous pouvez choisir de connecter directement ExpressRoute à l’offre de connectivité directe du fournisseur de cloud. Deux fournisseurs de cloud sont connectés dos à dos et le protocole BGP est établi directement entre leurs routeurs. Ce type de connexion est disponible avec Oracle aujourd’hui.

VPN de site à site

Vous pouvez utiliser l’Internet pour connecter leurs instances dans Azure à d’autres clouds publics. Presque tous les fournisseurs de cloud offrent des fonctionnalités de VPN de site à site. Toutefois, il peut y avoir des incompatibilités en raison de l’absence de certaines variantes. Par exemple, certains fournisseurs de cloud prennent uniquement en charge le protocole IKEv1 afin qu’il y ait un point de terminaison d’arrêt VPN requis dans ce cloud. Pour les fournisseurs de cloud prenant en charge IKEv2, un tunnel direct peut être établi entre les passerelles VPN sur les deux fournisseurs de cloud.

Le réseau VPN site à site n’est pas considéré comme étant une solution à débit élevé et à faible latence. Toutefois, il peut être utilisé comme sauvegarde pour la connectivité physique.

Étapes suivantes

Pour toute question complémentaire sur ExpressRoute et la connectivité des réseaux virtuels, consultez l’article FAQ sur ExpressRoute.

Consultez Configurer une connexion directe entre Azure et Oracle Cloud pour la connectivité entre Azure et Oracle