Partager via

Peering de réseau virtuel

  • Article

L’appairage de réseaux virtuels vous permet de connecter de manière transparente deux ou plusieurs réseaux virtuels dans Azure. Les réseaux virtuels apparaissent comme un seul réseau à des fins de connectivité. Le trafic entre les machines virtuelles des réseaux virtuels appairés utilise l’infrastructure principale de Microsoft. À l’instar du trafic entre les machines virtuelles du même réseau, le trafic est routé seulement via le réseau privé de Microsoft.

Par défaut, un réseau virtuel peut être appairé à un maximum de 500 autres réseaux virtuels. En utilisant la configuration de la connectivité pour Azure Virtual Network Manager, vous pouvez augmenter cette limite pour appairer jusqu’à 1 000 réseaux virtuels à un même réseau virtuel. Avec cette taille plus importante, vous pouvez par exemple créer une topologie Hub-and-spoke avec 1 000 réseaux virtuels Spoke. Vous pouvez aussi créer un maillage de 1 000 réseaux virtuels Spoke où tous les réseaux virtuels Spoke sont directement interconnectés.

Azure prend en charge les types de Peering suivants :

  • Appairage de réseaux virtuels : connecte des réseaux virtuels au sein d’une même région Azure.
  • Appairage de réseaux virtuels global : connecter des réseaux virtuels entre différentes régions Azure.

Voici quelques-uns des avantages du peering de réseaux virtuels, qu’il soit local ou global :

  • Connexion à latence faible et haut débit entre les ressources de différents réseaux virtuels.
  • Possibilité pour les ressources d’un réseau virtuel de communiquer avec celles d’un autre réseau virtuel.
  • Possibilité de transférer des données entre des réseaux virtuels dans des abonnements Azure, des locataires Microsoft Entra, des modèles de déploiement et des régions Azure.
  • La possibilité d’appairer des réseaux virtuels créés via Azure Resource Manager.
  • Possibilité d’appairer un réseau virtuel créé via Resource Manager à un réseau créé par le biais du modèle de déploiement classique. Pour en savoir plus sur les modèles de déploiement Azure, consultez l’article Déploiement Azure Resource Manager et déploiement classique : comprendre les modèles de déploiement et l’état de vos ressources.
  • Pas de temps d’arrêt affectant les ressources dans un réseau virtuel lors de la création de l’appairage ou une fois l’appairage créé.

Le trafic réseau entre les réseaux virtuels homologués est privé. Le trafic entre les réseaux virtuels reste sur le réseau principal de Microsoft. La communication entre les réseaux virtuels ne requiert pas l’Internet public, des passerelles ou un chiffrement.

Connectivité

Pour les réseaux virtuels appairés, les ressources de l’un peuvent se connecter directement à celles du réseau virtuel appairé.

La latence du réseau entre des machines virtuelles de réseaux virtuels homologués dans la même région est la même que celle d’un seul réseau virtuel. Le débit du réseau repose sur la bande passante autorisée pour la machine virtuelle proportionnellement à sa taille. Aucune restriction de bande passante supplémentaire n’est appliquée au sein du peering.

Le trafic entre les machines virtuelles dans des réseaux virtuels homologués est acheminé directement via l’infrastructure principale de Microsoft ou Internet public.

Vous pouvez appliquer des groupes de sécurité réseau dans l’un ou l’autre des réseaux virtuels pour bloquer l’accès à d’autres réseaux virtuels ou sous-réseaux. Quand vous configurez le peering des réseaux virtuels, vous pouvez ouvrir ou fermer les règles de groupe de sécurité réseau entre les réseaux virtuels. Si vous ouvrez totalement la connectivité entre les réseaux virtuels appairés, vous pouvez appliquer des groupes de sécurité réseau pour bloquer ou refuser certains accès. La connectivité entièrement ouverte est l’option par défaut. Pour en savoir plus sur les groupes de sécurité réseau, voir Groupes de sécurité.

Redimensionner l’espace d’adressage des réseaux virtuels Azure appairés

Vous pouvez redimensionner l’espace d’adressage des réseaux virtuels Azure qui sont appairés sans que cela n’entraîne de temps d’arrêt sur l’espace d’adressage actuellement appairé. Cette fonctionnalité est utile quand vous devez redimensionner l’espace d’adressage du réseau virtuel après avoir mis à l’échelle vos charges de travail. Une fois l’espace d’adressage redimensionné, les pairs doivent se synchroniser avec les modifications du nouvel espace d’adressage. Le redimensionnement fonctionne pour les espaces d’adressage IPv4 et IPv6.

Vous pouvez redimensionner les adresses comme suit :

  • Modifier le préfixe de la plage d’adresses d’une plage d’adresses existante (par exemple, changer 10.1.0.0/16 en 10.1.0.0/18)
  • Ajouter des plages d’adresses à un réseau virtuel
  • Supprimer des plages d’adresses d’un réseau virtuel

Le redimensionnement de l’espace d’adressage est pris en charge entre des locataires.

Vous pouvez synchroniser des homologues de réseau virtuel via le portail Azure ou avec Azure PowerShell. Nous vous recommandons d’effectuer la synchronisation après chaque nouvelle opération de redimensionnement de l’espace d’adressage au lieu de le faire après plusieurs opérations de redimensionnement consécutives. Pour savoir comment mettre à jour l’espace d’adressage d’un réseau virtuel appairé, consultez Mettre à jour l’espace d’adressage d’un réseau virtuel appairé.

Important

Cette fonctionnalité ne prend pas en charge les scénarios où le réseau virtuel à mettre à jour est appairé avec un réseau virtuel classique.

Chaînage de services

Le chaînage de services vous permet de diriger le trafic d’un réseau virtuel vers une appliance virtuelle ou une passerelle d’un réseau appairé via des routes définies par l’utilisateur.

Pour activer le chaînage de services, configurez des routes définies par l’utilisateur qui pointent vers des machines virtuelles de réseaux virtuels appairés en tant qu’adresse IP du tronçon suivant. Les routes définies par l’utilisateur peuvent également pointer vers des passerelles de réseau virtuel pour activer le chaînage de services.

Vous pouvez déployer des réseaux Hub-and-spoke où le réseau virtuel hub héberge des composants d’infrastructure tels qu’une appliance virtuelle réseau ou une passerelle VPN. Tous les réseaux virtuels spoke peuvent ensuite être homologués avec le réseau virtuel hub. Le trafic transite par des appliances virtuelles réseau ou des passerelles VPN sur le réseau virtuel hub.

L’appairage de réseaux virtuels permet au tronçon suivant dans une route définie par l’utilisateur d’être l’adresse IP d’une machine virtuelle du réseau virtuel appairé ou une passerelle VPN. Vous ne pouvez pas router entre des réseaux virtuels avec une route définie par l’utilisateur qui spécifie une passerelle Azure ExpressRoute comme type de tronçon suivant. Pour en savoir plus sur les routes définies par l’utilisateur, consultez Vue d’ensemble des routes définies par l’utilisateur. Pour découvrir comment créer une topologie de réseau Hub-and-spoke, consultez Implémenter une topologie de réseau Hub-and-spoke dans Azure.

Passerelles et connectivité locale

Chaque réseau virtuel, y compris un réseau virtuel appairé, peut avoir sa propre passerelle. Un réseau virtuel peut utiliser sa passerelle pour se connecter à un réseau local. Vous pouvez également configurer des connexions de réseau virtuel à réseau virtuel à l’aide de passerelles, même pour les réseaux virtuels appairés.

Lorsque vous configurez les deux options d’interconnexion de réseaux virtuels, le trafic entre les réseaux virtuels transite via la configuration de Peering. Le trafic utilise le réseau principal Azure.

Vous pouvez également configurer la passerelle du réseau virtuel appairé en tant que point de transit vers un réseau local. Dans ce cas, le réseau virtuel qui utilise une passerelle distante ne peut pas avoir sa propre passerelle. Un réseau virtuel ne peut avoir qu’une seule passerelle. La passerelle peut être une passerelle locale ou distante dans le réseau virtuel appairé, comme illustré dans le diagramme suivant.

Diagramme montrant le transit de l’appairage de réseaux virtuels.

L’appairage de réseaux virtuels et l’appairage de réseaux virtuels mondiaux prennent en charge le transit par passerelle.

Le transit par passerelle entre des réseaux virtuels créés via des modèles de déploiement différents est pris en charge. La passerelle doit se trouver dans le réseau virtuel du modèle Azure Resource Manager. Pour en savoir plus sur l’utilisation d’une passerelle pour le transit, consultez Configure a VPN gateway for transit in a virtual network peering (Configurer une passerelle VPN pour le transit dans une homologation de réseaux virtuels).

Quand vous appairez des réseaux virtuels qui partagent une même connexion Azure ExpressRoute, le trafic entre ces réseaux passe par la relation d’appairage. Ce trafic utilise le réseau principal Azure. Vous pouvez toujours utiliser des passerelles locales dans chaque réseau virtuel pour vous connecter au circuit local. Dans le cas contraire, vous pouvez utiliser une passerelle partagée et configurer le transit pour la connectivité locale.

Dépanner

Pour confirmer que les réseaux virtuels sont appairés, vous pouvez vérifier les itinéraires effectifs. Vérifiez les itinéraires pour une interface réseau dans tout sous-réseau d’un réseau virtuel. S’il existe un appairage de réseaux virtuels, tous les sous-réseaux au sein du réseau virtuel ont des routes avec le type de tronçon suivant Appairage de réseaux virtuels pour chaque espace d’adressage de chaque réseau virtuel appairé. Pour plus d’informations, consultez Diagnostiquer un problème de routage sur une machine virtuelle.

Vous pouvez aussi résoudre les problèmes de connectivité à la machine virtuelle d’un réseau virtuel appairé en utilisant Azure Network Watcher. Une vérification de la connectivité vous permet de voir comment le trafic est acheminé à partir de l’interface réseau d’une machine virtuelle source vers l’interface réseau d’une machine virtuelle de destination. Pour plus d’informations, consultez Résoudre les problèmes des connexions avec Azure Network Watcher en utilisant le portail Azure.

Vous pouvez aussi consulter Résoudre les problèmes d’appairage de réseaux virtuels.

Contraintes pour les réseaux virtuels appairés

Les contraintes suivantes s’appliquent uniquement lorsque les réseaux virtuels sont appariés au niveau mondial :

Vous ne pouvez pas effectuer d’appairages de réseaux virtuels dans le cadre de l’opération de réseau virtuel PUT.

Pour plus d’informations, consultez Configuration requise et contraintes. Pour en savoir plus sur le nombre de Peerings pris en charge, consultez Limites de mise en réseau.

Autorisations

Pour en savoir plus sur les autorisations requises pour créer un appairage de réseaux virtuels, consultez Autorisations.

Tarification

Un coût nominal est facturé pour le trafic entrant et sortant qui utilise une connexion d’appairage de réseaux virtuels. Pour plus d'informations, consultez Tarification de réseau virtuel.

Le transit de passerelle est une propriété de l’appairage qui permet à un réseau virtuel d’utiliser un réseau privé virtuel ou une passerelle ExpressRoute dans un réseau virtuel appairé. Le transit par passerelle fonctionne à la fois pour la connectivité entre sites locaux et de réseau à réseau. Le trafic vers la passerelle (entrant ou sortant) dans le réseau virtuel appairé entraîne des frais d’appairage de réseaux virtuels sur le réseau virtuel spoke (ou réseau virtuel sans passerelle VPN). Pour plus d’informations, consultez Tarification de la passerelle VPN Azure pour connaître les coûts d’une passerelle VPN et d’une passerelle ExpressRoute.

Remarque

Une version précédente de ce document indiquait que les coûts des appairages de réseaux virtuels ne s’appliquaient pas au réseau virtuel Spoke (ou au réseau virtuel sans passerelle) avec un transit par passerelle. Le document reflète désormais la tarification exacte, conformément à la page de tarification.

Contenu connexe