Déplacer un peering public vers le peering Microsoft
Cet article vous permet de déplacer la configuration d’un peering public vers le peering Microsoft sans temps d’arrêt. ExpressRoute prend en charge l’utilisation du peering Microsoft avec les filtres de routes dans les services PaaS Azure, tels que le stockage Azure et Azure SQL Database. Vous avez maintenant besoin d’un seul domaine de routage pour accéder aux services SaaS et PaaS Microsoft. Vous pouvez utiliser les filtres de routes afin de publier sélectivement les préfixes de service PaaS pour les régions Azure que vous souhaitez utiliser.
Important
Le peering public pour ExpressRoute va être mis hors service le 31 mars 2024. Pour plus d’informations, consultez l’avis de mise hors service.
Le peering public Azure possède une adresse IP NAT associée à chaque session BGP. Le peering Microsoft vous permet de configurer vos propres répartitions NAT, ainsi que d'utiliser des filtres de routage pour des publications de préfixe sélectif. Le peering public est un service unidirectionnel avec lequel la connectivité est toujours initiée de votre réseau étendu aux services Microsoft Azure. Ces derniers ne sont pas en mesure d’initier des connexions à votre réseau via ce domaine de routage.
Comparaison de peerings
Aspect | Peering public | Peering Microsoft |
---|---|---|
Nombre d’adresses IP NAT | 1 (non évolutif) | Par mise à l’échelle*** |
Direction de l’initiation de l’appel | Unidirectionnel : local vers Microsoft | Bidirectionnel |
Publication de préfixes | Non sélectionnable | Publication de préfixes Microsoft contrôlés par des filtres de routage |
Support | Aucun nouveau déploiement de peering public. Le peering public sera mis hors service le 31 mars 2024. | entièrement prise en charge |
BYOIP : vous pouvez mettre à l’échelle le nombre d’adresses IP NAT affectées en fonction de votre volume d’appels. Pour obtenir des adresses IP NAT, collaborez avec votre fournisseur de services.
Une fois le peering public activé, vous êtes en mesure de vous connecter à tous les services Azure. Nous ne vous permettons pas de sélectionner les services pour lesquels nous publions les itinéraires. Pour sa part, le peering Microsoft est une connectivité bidirectionnelle où la connexion peut être lancée à partir du service Microsoft Azure avec votre réseau étendu. Pour plus d’informations sur les domaines de routage et le peering, consultez Circuits ExpressRoute et domaines de routage.
Avant de commencer
Pour vous connecter au peering Microsoft, vous devez configurer et gérer un processus NAT. Votre fournisseur de connectivité peut-configurer et gérer le processus NAT en tant que service géré. Si vous envisagez d’accéder aux services SaaS et PaaS Azure avec le peering Microsoft, vous devez dimensionner le pool d’adresses IP NAT correctement. Pour plus d’informations sur le processus NAT pour ExpressRoute, consultez Configuration NAT requise pour le peering Microsoft. Quand vous vous connectez à Microsoft via Azure ExpressRoute (peering Microsoft), vous disposez de plusieurs connexions à Microsoft. L’une d’elles est votre connexion Internet existante, et l’autre est celle établie via ExpressRoute. Il se peut qu’une partie du trafic circulant vers Microsoft passe par Internet mais revienne via ExpressRoute, et inversement.
Avertissement
Le pool IP NAT proposé à Microsoft ne doit pas être publié sur Internet. Cela interromprait la connectivité avec d'autres services Microsoft.
Reportez-vous à Routage asymétrique avec chemins d’accès réseau multiples pour bien comprendre le routage asymétrique avant de configurer le peering Microsoft.
- Si vous utilisez le peering public et disposez actuellement de règles de réseau IP pour les adresses IP publiques qui sont utilisées pour accéder au Stockage Azure ou à Azure SQL Database, vérifiez que le pool d’adresses IP NAT configuré avec l’appairage Microsoft se trouve bien dans la liste des adresses IP publiques du compte de stockage Azure ou du compte Azure SQL.
- Le peering public hérité utilise la traduction d’adresses réseau (SNAT) source pour une adresse IP publique inscrite par Microsoft, ce qui n’est pas le cas du peering Microsoft.
- Pour passer au peering Microsoft sans temps d’arrêt, suivez les étapes fournies dans cet article, dans l’ordre indiqué.
1. Créer un peering Microsoft
Si le peering Microsoft n’a pas été créé, utilisez un des articles suivants pour le créer. Si votre fournisseur de connectivité propose des services gérés de couche 3, vous pouvez lui demander d’activer le peering Microsoft pour votre circuit.
Si la couche 3 est gérée par vous-même, les informations suivantes sont requises avant de continuer :
Un sous-réseau /30 pour le lien principal. Il doit s’agir d’un préfixe IPv4 public valide vous appartenant et enregistré dans un registre RIR / IRR. À partir de ce sous-réseau, vous allez attribuer la première adresse IP utilisable à votre routeur. Microsoft utilise la deuxième adresse IP utilisable pour son routeur.
Un sous-réseau /30 pour le lien secondaire. Il doit s’agir d’un préfixe IPv4 public valide vous appartenant et enregistré dans un registre RIR / IRR. À partir de ce sous-réseau, vous allez attribuer la première adresse IP utilisable à votre routeur. Microsoft utilise la deuxième adresse IP utilisable pour son routeur.
Un ID VLAN valide pour établir ce peering. Assurez-vous qu'aucun autre peering sur le circuit n'utilise le même ID VLAN. Vous devez utiliser le même ID VLAN pour le lien principal et pour le lien secondaire.
Un numéro AS pour le peering. Vous pouvez utiliser des numéros à 2 et 4 octets.
Préfixes publiés : Vous devez fournir la liste de tous les préfixes que vous prévoyez de publier sur la session BGP. Seuls les préfixes d'adresses IP publiques sont acceptés. Si vous prévoyez d'envoyer un jeu de préfixes, vous pouvez envoyer une liste séparée par des virgules. Ces préfixes doivent être enregistrés en votre nom dans un registre RIR / IRR.
Nom du registre de routage : Vous pouvez spécifier les registres RIR/IRR sur lesquels le numéro AS et les préfixes sont inscrits.
Facultatif – ASN client : si vous publiez des préfixes qui ne sont pas inscrits au numéro AS du Peering, vous pouvez spécifier le numéro AS auquel ils sont inscrits.
Facultatif : hachage MD5 si vous choisissez d’en utiliser un.
Vous trouverez des instructions détaillées pour activer le peering Microsoft dans les articles suivants :
- Créer le peering Microsoft à l’aide du portail Azure
- Créer le peering Microsoft à l’aide d’Azure PowerShell
- Créer le peering Microsoft à l’aide de l’interface de ligne de commande Azure
2. Vérifier que le peering Microsoft est activé
Vérifiez que le peering Microsoft est activé et que les préfixes publics publiés sont dans l’état configuré.
3. Configurer un filtre de routes et le joindre au circuit
Par défaut, le peering Microsoft ne publie pas de préfixes tant qu’un filtre de routes n’est pas joint au circuit. Quand vous créez une règle de filtre de routes, vous pouvez spécifier la liste des communautés de service pour les régions Azure que vous souhaitez utiliser pour les services PaaS Azure. Avec cette fonctionnalité, vous pouvez ainsi filtrer les routes en toute souplesse, comme l’illustre la capture d’écran suivante :
Remarque
Le peering public publie tous les préfixes de régions Azure par défaut. Alors que, dans le peering Microsoft, vous pouvez sélectionner les régions dans le filtre d’itinéraire associé au peering Microsoft pour limiter le nombre d’itinéraires publiés sur votre réseau local. Pour obtenir le même comportement de routage que le peering public, sélectionnez toutes les régions Azure et les préfixes de service.
Configurez les filtres de routes à l’aide des articles suivants :
- Configurer des filtres de routes pour le peering Microsoft à l’aide du portail Azure
- Configurer des filtres de routes pour le peering Microsoft à l’aide d’Azure PowerShell
- Configurer des filtres de routes pour le peering Microsoft à l’aide de l’interface de ligne de commande Azure
4. Supprimer le peering public
Après avoir vérifié que le peering Microsoft est configuré et que les préfixes que vous souhaitez utiliser sont correctement publiés sur le peering Microsoft, vous pouvez supprimer le peering public. Pour supprimer le peering public, vous pouvez utiliser Azure PowerShell ou Azure CLI. Pour plus d’informations, consultez les articles suivants :
- Supprimer un peering public Azure à l’aide d’Azure PowerShell
- Supprimer un peering public Azure à l’aide de l’interface de ligne de commande
5. Afficher les peerings
Vous pouvez afficher une liste de tous les circuits et peerings ExpressRoute dans le portail Azure. Pour plus d’informations, consultez Afficher les détails de peering Microsoft.
Étapes suivantes
Pour plus d'informations sur ExpressRoute, consultez la FAQ sur ExpressRoute.