Fiabilité et connectivité réseau
La connectivité réseau comprend trois modèles Azure pour la connectivité réseau privée :
- Injection dans le réseau VNet
- Points de terminaison de service de réseau virtuel
- Liaison privée
L’injection de réseau virtuel s’applique aux services déployés spécifiquement pour vous, tels que :
- nœuds Azure Kubernetes Service (AKS)
- Instance managée SQL
- Machines Virtuelles
Ces ressources se connectent directement à votre réseau virtuel.
les points de terminaison de service Réseau virtuel (VNet) fournissent une connectivité sécurisée et directe aux services Azure. Ces points de terminaison de service utilisent un itinéraire optimisé sur le réseau Azure. Les points de terminaison de service permettent aux adresses IP privées du réseau virtuel d’atteindre le point de terminaison d’un service Azure sans qu’une adresse IP publique soit nécessaire sur le réseau virtuel.
Private Link fournit un accès dédié à l’aide d’adresses IP privées à des instances PaaS Azure ou à des services personnalisés derrière un Azure Load Balancer Standard.
Considérations en matière de conception
La connectivité réseau inclut les considérations de conception suivantes liées à une charge de travail fiable :
Utilisez une liaison privée, si disponible, pour des services PaaS Azure partagés. Une liaison privée est généralement disponible pour plusieurs services et est en préversion publique pour bon nombre d’entre eux.
Accédez aux services PaaS Azure à partir d’un site local via le peering privé ExpressRoute .
Utilisez une injection de réseau virtuel pour des services Azure dédiés ou une liaison privée Azure pour les services Azure partagés disponibles. Pour accéder aux services PaaS Azure à partir d’un emplacement local quand une injection de réseau virtuel ou une liaison privée ne sont pas disponibles, utilisez ExpressRoute avec un appairage Microsoft. Cette méthode évite un transit sur l’Internet public.
Utilisez des points de terminaison de service de réseau virtuel pour sécuriser l’accès aux services PaaS Azure à partir de votre réseau virtuel. Utilisez des points de terminaison de service de réseau virtuel uniquement lorsque Private Link n’est pas disponible et qu’il n’y a aucun problème lié au déplacement non autorisé des données.
Les points de terminaison de service n’autorisent pas l’accès à un service PaaS à partir de réseaux locaux. Les points de terminaison privés le font.
Pour répondre aux préoccupations relatives au déplacement non autorisé de données avec des points de terminaison de service, utilisez le filtrage des Appliance virtuelles réseau (NVA). Vous pouvez également utiliser des stratégies de point de terminaison de service de réseau virtuel pour Stockage Azure.
Les services de sécurité réseau natifs suivants sont des services entièrement managés. Les clients n’encourent pas les coûts opérationnels et de gestion associés aux déploiements d’infrastructure, qui peuvent devenir complexes à grande échelle :
- Pare-feu Azure
- Application Gateway
- Azure Front Door
Les services PaaS sont généralement accessibles via des points de terminaison publics. La plateforme Azure fournit des fonctionnalités permettant de sécuriser ces points de terminaison ou de les rendre entièrement privés.
Vous pouvez également utiliser des appliances réseau virtuelles (NVA) tierces si le client les préfère pour les situations où les services natifs ne répondent pas à des exigences spécifiques.
Liste de contrôle
Avez-vous configuré la connectivité réseau avec la fiabilité à l’esprit ?
- N’implémentez pas de tunneling forcé pour permettre la communication d’Azure avec des ressources Azure.
- À moins d’utiliser le filtrage des Appliance virtuelles réseau (NVA), n’utilisez pas de points de terminaison de service de réseau virtuel en cas de problème de déplacement non autorisé des données.
- N’activez pas les points de terminaison de service de réseau virtuel par défaut sur tous les sous-réseaux.