Planifier des réseaux virtuels

Créer un réseau virtuel pour expérimenter est assez simple, mais vous êtes susceptible de déployer plusieurs réseaux virtuels au fil du temps pour répondre aux besoins de production de votre organisation. Avec un peu de planification, vous pouvez déployer des réseaux virtuels et connecter les ressources dont vous avez besoin plus efficacement. Les informations contenues dans cet article sont particulièrement utiles si vous êtes déjà familiarisé avec les réseaux virtuels et que vous disposez d’expérience dans leur utilisation. Si vous n’êtes pas familier avec les réseaux virtuels, nous vous recommandons de lire Présentation du réseau virtuel.

Dénomination

Toutes les ressources Azure ont un nom. Le nom doit être unique dans une portée, qui peut varier pour chaque type de ressource. Par exemple, le nom d’un réseau virtuel doit être unique au sein d’un groupe de ressources, mais vous pouvez utiliser un nom en double au sein d’un abonnement ou d’une région Azure. Définir une convention d’affectation de noms que vous pouvez utiliser de manière cohérente lorsque vous nommez des ressources est utile lorsque vous gérez plusieurs ressources réseau au fil du temps. Pour des suggestions, consultez Conventions d’affectation de noms.

Régions

Toutes les ressources Azure sont créées dans une région Azure et un abonnement. Vous ne pouvez créer une ressource que dans un réseau virtuel qui existe dans la même région et le même abonnement que la ressource. Cependant, vous pouvez connecter des réseaux virtuels qui existent dans différents abonnements et régions. Pour plus d’informations, consultez Connectivité. Lorsque vous décidez dans quelles régions déployer des ressources, tenez compte de l’emplacement physique des consommateurs de ces ressources :

• Avez-vous une faible latence réseau ? Les consommateurs de ressources souhaitent généralement la latence du réseau la plus faible possibles sur leurs ressources. Pour déterminer les latences relatives entre un emplacement spécifié et des régions Azure, consultez View relative latencies (Afficher les latences relatives).
• Avez-vous des exigences en matière de résidence, souveraineté, conformité ou résilience des données ? Dans c’est le cas, il est essentiel de choisir la région qui correspond à la configuration requise. Pour plus d’informations, consultez Azure geographies (Zones géographiques Azure).
• Avez-vous besoin de résilience entre les zones de disponibilité Azure au sein de la même région Azure pour les ressources que vous déployez ? Vous pouvez déployer des ressources, telles que des machines virtuelles, dans différentes zones de disponibilité au sein du même réseau virtuel. Les régions Azure ne prennent pas toutes en charge les zones de disponibilité. Pour en savoir plus sur les zones de la disponibilité et les régions qui les prennent en charge, consultez Zones de disponibilité.

Abonnements

Vous pouvez déployer autant de réseaux virtuels que nécessaire dans chaque abonnement, jusqu’à la limite. Par exemple, certaines organisations disposent d’abonnements distincts pour différents services. Pour plus d’informations et des remarques relatives aux abonnements, consultez Subscription governance (Gouvernance de l’abonnement).

Segmentation

Vous pouvez créer plusieurs réseaux virtuels par abonnement et par région. Vous pouvez créer plusieurs sous-réseaux au sein de chaque réseau virtuel. Les considérations suivantes vous aident à déterminer le nombre de réseaux virtuels et de sous-réseaux dont vous avez besoin.

Réseaux virtuels

Un réseau virtuel est une partie virtuelle isolée du réseau public Azure. Chaque réseau virtuel est dédié à votre abonnement. Lorsque vous décidez de créer un ou plusieurs réseaux virtuels dans un abonnement, tenez compte des points suivants :

• Avez-vous des exigences de sécurité d’organisation pour isoler le trafic dans des réseaux virtuels distincts ? Vous pouvez choisir de connecter des réseaux virtuels ou non. Si vous connectez des réseaux virtuels, vous pouvez implémenter une appliance virtuelle réseau, comme un pare-feu, pour contrôler le flux de trafic entre les réseaux virtuels. Pour plus d’informations, voir Sécurité et Connectivité.
• Avez-vous des exigences d’organisation pour isoler les réseaux virtuels dans des abonnements ou régions distincts ?
• Avez-vous des exigences en matière d’interface réseau ? Une interface réseau permet à un machine virtuelle de communiquer avec d’autres ressources. Une ou plusieurs adresses IP privées sont affectées à chaque interface réseau. De combien d’interfaces réseau et d’adresses IP privées avez-vous besoin dans un réseau virtuel ? Des limites s’appliquent quant au nombre d’interfaces réseau et d’adresses IP privées que vous pouvez avoir dans un réseau virtuel.
• Voulez-vous connecter le réseau virtuel à un autre réseau virtuel ou au réseau local ? Vous pouvez décider de connecter certains réseaux virtuels entre eux ou à des réseaux locaux, mais pas à d’autres. Pour plus d’informations, consultez Connectivité. Chaque réseau virtuel que vous connectez à un autre réseau virtuel ou à un réseau local doit disposer d’un espace d’adressage unique. Chaque réseau virtuel comprend une ou plusieurs plages d’adresses publiques ou privées affectées à son espace d’adresses. Une plage d’adresses est spécifiée dans un format de routage de domaine Interne sans classe (CIDR), par exemple, 10.0.0.0/16. En savoir plus sur plages d’adresses pour les réseaux virtuels.
• Avez-vous des exigences d’administration d’organisation pour les ressources dans différents réseaux virtuels ? Si tel est le cas, vous pouvez séparer les ressources dans des réseaux virtuels distincts pour simplifier l’attribution des autorisations aux individus de votre organisation ou pour attribuer des politiques différentes à différents réseaux virtuels.
• Avez-vous des besoins en ressources capables de créer leur propre réseau virtuel ? Lorsque vous déployez des ressources de service Azure dans un réseau virtuel, elles créent leur propre réseau virtuel. Pour déterminer si un service Azure crée son propre réseau virtuel, consultez les informations relatives à chaque service Azure que vous pouvez déployer dans un réseau virtuel.

Sous-réseaux

Vous pouvez segmenter un réseau virtuel en un ou plusieurs sous-réseaux jusqu’aux limites. Lorsque vous décidez de créer un sous-réseau ou plusieurs réseaux virtuels dans un abonnement, tenez compte des points suivants :

• Ayez une plage d’adresses unique pour chaque sous-réseau, spécifiée au format CIDR, dans l’espace d’adressage du réseau virtuel. La plage d’adresses ne peut pas présenter de chevauchements avec d’autres sous-réseaux du réseau virtuel.
• Sachez que si vous prévoyez de déployer certaines ressources de service Azure dans un réseau virtuel, elles peuvent nécessiter ou créer leur propre sous-réseau. Il doit y avoir suffisamment d’espace non alloué pour qu’elles puissent le faire. Pour déterminer si un service Azure crée son propre sous-réseau, consultez les informations relatives à chaque service Azure que vous pouvez déployer dans un réseau virtuel. Par exemple, si vous connectez un réseau virtuel à un réseau local à l’aide d’une passerelle VPN Azure, le réseau virtuel doit disposer d’un sous-réseau dédié pour la passerelle. En savoir plus sur les sous-réseaux de passerelle.
• Remplacez le routage par défaut pour le trafic réseau entre tous les sous-réseaux d'un réseau virtuel. Vous souhaitez empêcher le routage Azure entre les sous-réseaux ou acheminer le trafic entre les sous-réseaux via une appliance virtuelle réseau, par exemple. Si vous souhaitez que le trafic entre les ressources d'un même réseau virtuel transite par une appliance virtuelle réseau, déployez les ressources sur différents sous-réseaux. En savoir plus sur la Sécurité.
• Limitez l’accès aux ressources Azure, telles qu’un compte de stockage Azure ou une base de données Azure SQL, à des sous-réseaux spécifiques avec un point de terminaison de service de réseau virtuel. Vous pouvez également refuser l’accès aux ressources à partir d’Internet. Vous pouvez créer plusieurs sous-réseaux et activer un point de terminaison de service pour certains sous-réseaux, mais pas pour d’autres. En savoir plus sur les points de terminaison de service et les ressources Azure pour lesquelles vous pouvez les activer.
• Associez zéro ou un groupe de sécurité réseau à chaque sous-réseau d’un réseau virtuel. Vous pouvez associer le même groupe de sécurité réseau, ou un autre, à chaque sous-réseau. Chaque groupe de sécurité réseau contient des règles, qui autorisent ou refusent le trafic vers et depuis des sources et des destinations. En savoir plus sur les groupes de sécurité réseau.

Sécurité

Vous pouvez filtrer le trafic réseau à destination et en provenance des ressources dans un réseau virtuel à l’aide de groupes de sécurité réseau et d’appliances virtuelles réseau. Vous pouvez contrôler la façon selon laquelle Azure achemine le trafic à partir des sous-réseaux. Vous pouvez également limiter qui dans votre organisation peut utiliser des ressources dans des réseaux virtuels.

Filtrage du trafic

• Pour filtrer le trafic réseau entre les ressources d’un réseau virtuel, utilisez un groupe de sécurité réseau, une appliance virtuelle réseau qui filtre le trafic réseau ou les deux. Pour déployer une appliance virtuelle réseau, telle qu'un pare-feu, afin de filtrer le trafic réseau, consultez Azure Marketplace. Lorsque vous utilisez une appliance virtuelle réseau, vous créez également des itinéraires personnalisés pour acheminer le trafic des sous-réseaux vers l’appliance virtuelle réseau. En savoir plus sur le routage du trafic.
• Un groupe de sécurité réseau contient plusieurs règles de sécurité par défaut qui autorisent ou refusent le trafic vers ou depuis des ressources. Vous pouvez associer un groupe de sécurité réseau à une interface réseau, au sous-réseau dans lequel se trouve l’interface réseau ou aux deux. Pour simplifier la gestion des règles de sécurité, nous vous recommandons d’associer un groupe de sécurité réseau à des sous-réseaux individuels plutôt qu’à des interfaces réseau individuelles au sein du sous-réseau, dans la mesure du possible.
• Si différentes machines virtuelles au sein d’un sous-réseau ont besoin de règles de sécurité différentes, vous pouvez associer l’interface réseau de la machine virtuelle à un ou plusieurs groupes de sécurité d’application. Une règle de sécurité peut spécifier un groupe de sécurité d’application dans sa source, sa destination, ou les deux. Cette règle s’applique alors uniquement aux interfaces réseau qui sont membres du groupe de sécurité de l’application. En savoir plus sur les groupes de sécurité réseau et les groupes de sécurité d’application.
• Lorsqu’un groupe de sécurité réseau est associé au niveau du sous-réseau, il s’applique à tous les contrôleurs d’interface réseau du sous-réseau, et pas seulement au trafic provenant de l’extérieur du sous-réseau. Le trafic entre les machines virtuelles contenues dans le sous-réseau peut également être affecté.
• Azure crée plusieurs règles de sécurité par défaut dans chaque groupe de sécurité réseau. Une règle par défaut autorise l’ensemble du trafic entre toutes les ressources dans un réseau virtuel. Pour remplacer ce comportement, utilisez des groupes de sécurité réseau, un routage personnaliser pour acheminer le trafic vers une NVA, ou les deux. Nous vous recommandons de vous familiariser avec toutes les règles de sécurité par défaut d’Azure et de comprendre comment les règles du groupe de sécurité réseau sont appliquées à une ressource.

Vous pouvez afficher des exemples de conception pour l’implémentation d’un réseau de périmètre (également appelé sous-réseau filtré) entre Azure et Internet à l’aide d’une appliance virtuelle réseau.

Routage du trafic

Azure crée plusieurs itinéraires par défaut pour le trafic sortant à partir d’un sous-réseau. Vous pouvez remplacer le routage par défaut d’Azure en créant une table de routage et en l’associant à un sous-réseau. Les raisons courantes pour lesquelles le routage par défaut d’Azure est remplacé sont les suivantes :

• Vous souhaitez que le trafic entre les sous-réseaux circule via une appliance virtuelle réseau. En savoir plus sur la configuration des tables de routage pour forcer le trafic via une appliance virtuelle réseau.
• Vous souhaitez forcer tout le trafic lié à Internet via une appliance virtuelle réseau ou sur site via une passerelle VPN Azure. Le fait de forcer le trafic Internet en local pour inspection et la journalisation sont souvent appelés le tunneling forcé. En savoir plus sur la configuration du tunneling forcé.

Si vous devez implémenter un routage personnalisé, nous vous recommandons de vous familiariser avec le routage dans Azure.

Connectivité

Vous pouvez connecter un réseau virtuel à d’autres réseaux virtuels à l’aide d’un appairage de réseaux virtuels ou à votre réseau local à l’aide d’une passerelle VPN Azure.

Peering

Lorsque vous utilisez un appairage de réseaux virtuels vous pouvez disposer de réseaux virtuels dans la même région Azure ou dans des régions Azure différentes prises en charge. Vous pouvez avoir des réseaux virtuels dans le même abonnement Azure ou dans des abonnements différents (même des abonnements appartenant à différents locataires Microsoft Entra).

Avant de créer un appairage, nous vous recommandons de vous familiariser avec toutes les exigences et contraintes de peering. La bande passante entre des ressources figurant dans des réseaux virtuels homologués dans la même région est la même que si ces ressources se trouvaient dans le même réseau virtuel.

passerelle VPN

Vous pouvez utiliser une passerelle VPN Azure pour connecter un réseau virtuel à votre réseau local à l’aide de la connexion de site à site ou d’une connexion dédiée avec Azure ExpressRoute.

Vous pouvez combiner un peering et une passerelle VPN pour créer des réseaux hub-and-spoke, où les réseaux virtuels en étoile se connectent à un réseau virtuel hub et le hub se connecte à un réseau local, par exemple.

Résolution de noms

Les ressources d’un réseau virtuel ne peuvent pas résoudre les noms des ressources d’un réseau virtuel appairé à l’aide du DNS intégré à Azure. Pour résoudre les noms dans un réseau virtuel appairé, déployez votre propre serveur DNS ou utilisez les domaines privés Azure DNS. La résolution des noms entre des ressources dans un réseau virtuel et des réseaux locaux requiert également que vous déployiez votre propre serveur DNS.

autorisations

Azure utilise le contrôle d’accès en fonction du rôle Azure. Les autorisations sont attribuées à une étendue dans la hiérarchie du groupe de gestion, de l’abonnement, du groupe de ressources et de la ressource individuelle. Pour en savoir plus sur la hiérarchie, consultez Organize your resources (Organiser vos ressources).

Pour travailler avec les réseaux virtuels Azure et toutes leurs fonctionnalités associées, telles que le peering, les groupes de sécurité réseau, les points de terminaison de service et les tables de routage, attribuez aux membres de votre organisation les rôles intégrés Propriétaire, Contributeur ou Contributeur réseau. Attribuez ensuite le rôle à la portée appropriée. Si vous souhaitez attribuer des autorisations spécifiques à un sous-ensemble de fonctionnalités de réseau virtuel, créez un rôle personnalisé et attribuez les autorisations spécifiques requises pour :

• Réseaux virtuels
• Sous-réseaux et points de terminaison de service
• Interfaces réseau
• Peering
• Groupes de sécurité réseau et applicatif
• Tables de routage

Stratégie

Avec Azure Policy, vous pouvez créer, attribuer et gérer des définitions de stratégie. Les définitions de stratégie appliquent différentes règles sur vos ressources, qui restent donc conformes aux normes et aux contrats de niveau de service de l’organisation. Azure Policy exécute une évaluation de vos ressources. Il recherche les ressources qui ne sont pas conformes aux définitions de stratégie dont vous disposez.

Par exemple, vous pouvez définir et appliquer une stratégie qui autorise la création de réseaux virtuels dans seulement une région ou un groupe de ressources spécifique. Une autre stratégie peut exiger qu’un groupe de sécurité réseau soit associé à chaque sous-réseau. Les stratégies sont ensuite évaluées lorsque vous créez et mettez à jour des ressources.

Les stratégies sont appliquées à la hiérarchie suivante : groupe d’administration, abonnement et groupe de ressources. Apprenez-en plus sur Azure Policy ou déployez des définitions Azure Policy de réseau virtuel.

Contenu connexe

Découvrez toutes les tâches, paramètres et options pour un :

• Réseau virtuel
• Point de terminaison de sous-réseau et de service
• Interface réseau
• Peering
• Groupe de sécurité réseau et applicatif
• Table de routage