Excellence opérationnelle et Réseau virtuel Azure
Un bloc de construction fondamental pour votre réseau privé, Azure Réseau virtuel permet aux ressources Azure de communiquer en toute sécurité entre elles, internet et réseaux locaux.
Les principales fonctionnalités d’Azure Réseau virtuel sont les suivantes :
- Communication avec les ressources Azure
- Communication avec Internet
- Communication avec des ressources locales
- Filtrage du trafic réseau
Pour plus d’informations, consultez Qu’est-ce qu’Azure Réseau virtuel ?
Pour comprendre comment Azure Réseau virtuel prend en charge l’excellence opérationnelle, consultez les rubriques suivantes :
- Surveillance d’Azure Réseau virtuel
- Informations de référence sur la supervision des données Azure Réseau virtuel
- Concepts et meilleures pratiques relatifs au Réseau virtuel Azure
Considérations sur la conception
Le Réseau virtuel (VNet) inclut les considérations de conception suivantes pour l’excellence opérationnelle :
- Le chevauchement d’espaces d’adressage IP dans des emplacements locaux et régions Azure occasionne des problèmes majeurs en termes de contention.
- Bien qu’un espace d’adressage Réseau virtuel puisse être ajouté après la création, ce processus nécessite une panne si le Réseau virtuel est déjà connecté à un autre Réseau virtuel via le peering. Une panne est nécessaire, car le peering Réseau virtuel est supprimé et recréé.
- Certains services Azure nécessitent des sous-réseaux dédiés, tels que :
- Pare-feu Azure
- Azure Bastion
- Passerelle de réseau virtuel
- Des sous-réseaux peuvent être délégués à certains services pour créer des instances de ce service à l’intérieur du sous-réseau.
- Azure réserve cinq adresses IP au sein de chaque sous-réseau, ce qui doit être pris en compte lors du dimensionnement des Réseau virtuel s et des sous-réseaux inclus.
Liste de contrôle
Avez-vous configuré Azure Réseau virtuel avec l’excellence opérationnelle à l’esprit ?
- Utilisez les plans de protection Standard Azure DDoS pour protéger tous les points de terminaison publics hébergés dans les Réseau virtuel client.
- Les clients d’entreprise doivent planifier l’adressage IP dans Azure pour s’assurer qu’il n’y a pas d’espace d’adressage IP qui se chevauche entre les emplacements locaux et les régions Azure.
- Utilisez des adresses IP à partir de l’allocation d’adresses pour les internet privés (Demande de commentaire (RFC) 1918).
- Pour les environnements au sein desquels la disponibilité des adresses IP privées est limitée (RFC 1918), envisagez d’utiliser le protocole IPv6.
- Ne créez pas inutilement de grandes Réseau virtuel (par exemple :
/16) pour vous assurer qu’il n’y a pas de gaspillage inutile d’espace d’adressage IP. - Ne créez pas de Réseau virtuel sans planifier l’espace d’adressage requis à l’avance.
- N’utilisez pas d’adresses IP publiques pour les Réseau virtuel, en particulier si les adresses IP publiques n’appartiennent pas au client.
- Utilisez des points de terminaison de service de réseau virtuel pour sécuriser l’accès aux services PaaS (Platform as a Service) Azure à partir d’un réseau virtuel client.
- Pour résoudre les problèmes d’exfiltration des données avec les points de terminaison de service, utilisez le filtrage de l’appliance virtuelle réseau (NVA) et les stratégies de point de terminaison de service de réseau virtuel pour Stockage Azure.
- N’implémentez pas de tunneling forcé pour permettre la communication d’Azure avec des ressources Azure.
- Accédez aux services PaaS Azure à partir d’un site local via le peering privé ExpressRoute.
- Pour accéder aux services PaaS Azure à partir de réseaux locaux lorsque l’injection de réseau virtuel ou Private Link n’est pas disponible, utilisez ExpressRoute avec Le Peering Microsoft lorsqu’il n’existe aucun problème d’exfiltration de données.
- Ne répliquez pas les concepts et architectures du réseau de périmètre local (également appelé DMZ, zone démilitarisée et sous-réseau filtré) dans Azure.
- Vérifiez que la communication entre les services PaaS Azure qui ont été injectés dans un Réseau virtuel est verrouillée dans le Réseau virtuel à l’aide d’itinéraires définis par l’utilisateur (UDR) et de groupes de sécurité réseau (NSG).
- N’utilisez pas de points de terminaison de service de réseau virtuel lorsqu’il existe des problèmes d’exfiltration de données, sauf si le filtrage de l’appliance virtuelle réseau est utilisé.
- N’activez pas les points de terminaison de service de réseau virtuel par défaut sur tous les sous-réseaux.
Recommandations relatives à la configuration
Tenez compte des recommandations suivantes pour l’excellence opérationnelle lors de la configuration d’un Réseau virtuel Azure :
| Recommandation | Description |
|---|---|
| Ne créez pas de Réseau virtuel sans planifier l’espace d’adressage requis à l’avance. | L’ajout d’espace d’adressage entraîne une panne une fois qu’un Réseau virtuel est connecté via Réseau virtuel peering. |
| Utilisez des points de terminaison de service de réseau virtuel pour sécuriser l’accès aux services PaaS (Platform as a Service) Azure à partir d’un réseau virtuel client. | Uniquement quand Private Link n’est pas disponible et qu’il n’y a pas de problèmes d’exfiltration de données. |
| Accédez aux services PaaS Azure à partir d’un site local via le peering privé ExpressRoute. | Utilisez l’injection de réseau virtuel pour les services Azure dédiés ou Azure Private Link pour les services Azure partagés disponibles. |
| Pour accéder aux services PaaS Azure à partir de réseaux locaux lorsque l’injection de réseau virtuel ou Private Link n’est pas disponible, utilisez ExpressRoute avec Le Peering Microsoft lorsqu’il n’existe aucun problème d’exfiltration de données. | Évite les transports en commun sur l’Internet public. |
| Ne répliquez pas les concepts et architectures du réseau de périmètre local (également appelé DMZ, zone démilitarisée et sous-réseau filtré) dans Azure. | Les clients peuvent obtenir des fonctionnalités de sécurité similaires dans Azure en local, mais l’implémentation et l’architecture devront être adaptées au cloud. |
| Vérifiez que la communication entre les services PaaS Azure qui ont été injectés dans un Réseau virtuel est verrouillée dans le Réseau virtuel à l’aide d’itinéraires définis par l’utilisateur (UDR) et de groupes de sécurité réseau (NSG). | Les services PaaS Azure qui ont été injectés dans un Réseau virtuel effectuent toujours des opérations de plan de gestion à l’aide d’adresses IP publiques. |