Créer une passerelle VPN à l’aide de CLI
Cet article vous aide à créer une passerelle VPN Azure à l’aide d’Azure CLI. Une passerelle VPN permet de créer une connexion VPN à un réseau local. Vous pouvez également vous en servir pour connecter des réseaux virtuels. Pour plus d’informations sur certains des paramètres de cet article, consultez Créer une passerelle VPN – portail.
- Le côté gauche du diagramme illustre le réseau virtuel et la passerelle VPN que vous créez en suivant la procédure décrite dans cet article.
- Vous pouvez ajouter ultérieurement plusieurs types de connexions, comme indiqué sur le côté droit du diagramme. Vous pouvez par exemple créer des connexions de site à site et de point à site. Pour afficher les différentes architectures de conception que vous pouvez créer, consultez Conception de la passerelle VPN.
Les étapes de cet article permettent de créer un réseau virtuel, un sous-réseau, un sous-réseau de passerelle et une passerelle VPN en mode actif-actif basée sur les routes et redondante interzone (passerelle de réseau virtuel) avec la référence SKU VpnGw2AZ de génération 2. Les étapes de cet article permettent de créer un réseau virtuel, un sous-réseau, un sous-réseau de passerelle et une passerelle VPN en mode actif-actif basée sur les routes et redondante interzone (passerelle de réseau virtuel) avec la référence SKU VpnGw2AZ de génération 2. Une fois la passerelle créée, vous pouvez configurer des connexions.
- Si vous souhaitez créer une passerelle VPN à l’aide de la référence SKU de base à la place, consultez Créer une passerelle VPN de référence SKU de base.
- Nous vous recommandons de créer une passerelle VPN en mode actif-actif lorsque cela est possible. Les passerelles VPN en mode actif-actif offrent une meilleure disponibilité et de meilleures performances que les passerelles VPN en mode standard. Pour plus d’informations sur les passerelles en mode actif-actif, consultez À propos des passerelles en mode actif-actif.
- Pour plus d’informations sur les zones de disponibilité et les passerelles redondantes interzones, consultez Qu’est-ce qu’une zone de disponibilité ?
Remarque
Les étapes décrites dans cet article utilisent la référence SKU de passerelle VpnGw2AZ, qui prend en charge les zones de disponibilité Azure. Si les zones de disponibilité ne sont pas prises en charge dans votre région, utilisez plutôt une référence SKU non-AZ. Pour plus d’informations sur les références SKU, consultez À propos des références SKU de passerelle.
Avant de commencer
Ces étapes nécessitent un abonnement Azure. Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.
Prérequis
Utilisez l’environnement Bash dans Azure Cloud Shell. Pour plus d’informations, consultez Démarrage rapide pour Bash dans Azure Cloud Shell.
Si vous préférez exécuter les commandes de référence de l’interface de ligne de commande localement, installez l’interface Azure CLI. Si vous exécutez sur Windows ou macOS, envisagez d’exécuter Azure CLI dans un conteneur Docker. Pour plus d’informations, consultez Guide pratique pour exécuter Azure CLI dans un conteneur Docker.
Si vous utilisez une installation locale, connectez-vous à Azure CLI à l’aide de la commande az login. Pour finir le processus d’authentification, suivez les étapes affichées dans votre terminal. Pour connaître les autres options de connexion, consultez Se connecter avec Azure CLI.
Lorsque vous y êtes invité, installez l’extension Azure CLI lors de la première utilisation. Pour plus d’informations sur les extensions, consultez Utiliser des extensions avec Azure CLI.
Exécutez az version pour rechercher la version et les bibliothèques dépendantes installées. Pour effectuer une mise à niveau vers la dernière version, exécutez az upgrade.
- Cet article nécessite la version 2.0.4 ou ultérieure de l’interface Azure CLI. Si vous utilisez Azure Cloud Shell, la version la plus récente est déjà installée.
Créer un groupe de ressources
Créez un groupe de ressources avec la commande az group create. Un groupe de ressources est un conteneur logique dans lequel les ressources Azure sont déployées et gérées.
az group create --name TestRG1 --location eastus
Créez un réseau virtuel
Si vous n’avez pas de réseau virtuel, créez-en un à l’aide de la commande az network vnet create. Lorsque vous créez un réseau virtuel, vérifiez que les espaces d’adressage que vous spécifiez ne chevauchent pas les espaces d’adressage de votre réseau local. Si une plage d’adresses en double existe des deux côtés de la connexion VPN, le trafic n’est pas acheminé comme vous l’aviez peut-être prévu. De plus, si vous souhaitez connecter ce réseau à un autre réseau virtuel, l’espace d’adressage ne peut pas chevaucher celui de l’autre réseau virtuel. Veillez à planifier votre configuration réseau en conséquence.
L’exemple suivant permet de créer un réseau virtuel nommé « VNet1 » et un sous-réseau nommé « FrontEnd ». Le sous-réseau FrontEnd n’est pas utilisé dans cet exercice. Vous pouvez remplacer le nom de votre propre sous-réseau.
az network vnet create \
-n VNet1 \
-g TestRG1 \
-l eastus \
--address-prefix 10.1.0.0/16 \
--subnet-name FrontEnd \
--subnet-prefix 10.1.0.0/24
Ajouter un sous-réseau de passerelle
Les ressources de la passerelle de réseau virtuel sont déployées sur un sous-réseau spécifique nommé GatewaySubnet. Le sous-réseau de passerelle fait partie de la plage d’adresses IP du réseau virtuel que vous spécifiez quand vous configurez votre réseau virtuel.
Si vous n’avez pas de sous-réseau nommé GatewaySubnet, vous ne pourrez pas créer votre passerelle VPN. Nous vous recommandons de créer un sous-réseau de passerelle qui utilise /27 (ou supérieur). Par exemple, /27 ou /26. Pour plus d’informations, consultez Paramètres de passerelle VPN – Sous-réseau de passerelle.
Important
Les groupes de sécurité réseau (NSG) sur le sous-réseau de passerelle ne sont pas pris en charge. Associer un groupe de sécurité réseau à ce sous-réseau peut empêcher votre passerelle de réseau virtuel (passerelles VPN et ExpressRoute) de fonctionner comme prévu. Pour plus d’informations sur les groupes de sécurité réseau, consultez Présentation du groupe de sécurité réseau
Utilisez l’exemple suivant pour ajouter un sous-réseau de passerelle :
az network vnet subnet create \
--vnet-name VNet1 \
-n GatewaySubnet \
-g TestRG1 \
--address-prefix 10.1.255.0/27
Demander des adresses IP publiques
Une passerelle VPN doit avoir une adresse IP publique. Lorsque vous créez une connexion à une passerelle VPN, il s’agit de l’adresse IP que vous spécifiez. Pour les passerelles en mode actif-actif, chaque instance de passerelle a sa propre ressource d’adresse IP publique. Vous commencez par demander la ressource d’adresse IP, puis vous y faites référence lors de la création de votre passerelle de réseau virtuel. De plus, pour toute référence SKU de passerelle se terminant par AZ, vous devez également spécifier le paramètre Zone. Cet exemple spécifie une configuration redondante interzone, car celle-ci spécifie les trois zones régionales.
L’adresse IP est affectée à la ressource lors de la création de la passerelle VPN. L’adresse IP publique change uniquement lorsque la passerelle est supprimée, puis recréée. Elle n’est pas modifiée lors du redimensionnement, de la réinitialisation ou des autres opérations de maintenance/mise à niveau internes de votre passerelle VPN.
Utilisez la commande az network public-ip create pour demander une adresse IP publique :
az network public-ip create --name VNet1GWpip1 --resource-group TestRG1 --allocation-method Static --sku Standard --version IPv4 --zone 1 2 3
Pour créer une passerelle active-active (recommandé), demandez une deuxième adresse IP publique :
az network public-ip create --name VNet1GWpip2 --resource-group TestRG1 --allocation-method Static --sku Standard --version IPv4 --zone 1 2 3
Créer la passerelle VPN
La création d’une passerelle nécessite généralement au moins 45 minutes, selon la référence SKU de passerelle sélectionnée. Une fois la passerelle créée, vous pouvez établir une connexion entre votre réseau virtuel et votre emplacement local. Ou établir une connexion entre votre réseau virtuel et un autre réseau virtuel.
Créez la passerelle VPN à l’aide de la commande az network vnet-gateway create. Si vous exécutez cette commande à l’aide du paramètre --no-wait, vous ne voyez aucun commentaire ni sortie. Le paramètre --no-wait permet à la passerelle d’être créée à l’arrière-plan. Cela ne signifie pas que la passerelle VPN est immédiatement créée. Si vous souhaitez créer une passerelle à l’aide d’une autre référence SKU, consultez À propos des références SKU de passerelle pour déterminer la référence SKU qui convient le mieux à vos besoins de configuration.
Passerelle en mode actif-actif
az network vnet-gateway create --name VNet1GW --public-ip-addresses VNet1GWpip1 VNet1GWpip2 --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw2AZ --vpn-gateway-generation Generation2 --no-wait
Passerelle en mode actif-en attente
az network vnet-gateway create --name VNet1GW --public-ip-addresses VNet1GWpip1 --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw2AZ --vpn-gateway-generation Generation2 --no-wait
La création de la passerelle VPN peut prendre 45 minutes, voire plus.
Afficher la passerelle VPN
az network vnet-gateway show \
-n VNet1GW \
-g TestRG1
Afficher les adresses IP de la passerelle
Chaque instance de passerelle VPN reçoit une ressource d’adresse IP publique. Pour afficher l’adresse IP associée à la ressource, utilisez la commande suivante. Répétez cette opération pour chaque instance de passerelle.
az network public-ip show -g TestRG1 -n VNet1GWpip1
Nettoyer les ressources
Lorsque vous n’avez plus besoin des ressources créées, utilisez la commande az group delete pour supprimer le groupe de ressources. Le groupe de ressources et toutes les ressources qu’il contient sont supprimés.
az group delete --name TestRG1 --yes
Étapes suivantes
Une fois la passerelle créée, vous pouvez configurer des connexions.