Créer un appairage de réseaux virtuels : Azure Resource Manager, abonnements et locataires Microsoft Entra différents
Article
Dans ce didacticiel, vous apprendrez à créer un peering de réseaux virtuels entre des réseaux virtuels créés via Resource Manager. Les réseaux virtuels existent dans différents abonnements qui peuvent appartenir à différents locataires Microsoft Entra. Effectuer le peering de deux réseaux virtuels permet aux ressources de différents réseaux virtuels de communiquer entre elles avec la même bande passante et latence, comme si les ressources se trouvaient sur le même réseau virtuel. En savoir plus sur le peering de réseaux virtuels.
Selon si les réseaux virtuels se trouvent dans le même, ou dans des abonnements différents, les étapes de création d’un appairage de réseaux virtuels sont différentes. Les étapes pour homologuer les réseaux créés avec le modèle de déploiement classique sont différentes. Pour plus d'informations sur les modèles de déploiement, consultez Modèle de déploiement Azure.
Découvrez comment créer un peering de réseaux virtuels dans d’autres scénarios en sélectionnant le scénario souhaité dans le tableau suivant :
Vous ne pouvez pas créer de peering de réseaux virtuels entre deux réseaux virtuels déployés via le modèle de déploiement classique. Si vous avez besoin de connecter des réseaux virtuels tous deux créés par le biais du modèle de déploiement classique, vous pouvez utiliser une passerelle VPN Azure.
Ce didacticiel permet d’homologuer des réseaux virtuels situés dans la même région. Vous pouvez également homologuer des réseaux virtuels dans différentes régions prise en charge. Familiarisez-vous avec les exigences et contraintes du Peering avant d’effectuer le Peering de réseaux virtuels.
Un compte Azure avec des autorisations dans les deux abonnements ou un compte dans chaque abonnement avec les autorisations appropriées pour créer un appairage de réseaux virtuels. Pour obtenir une liste d’autorisations, consultez Autorisations de peering de réseau virtuel.
Pour séparer la responsabilité de la gestion du réseau appartenant à chaque locataire, ajoutez l’utilisateur de chaque locataire en tant qu’invité dans le locataire opposé et attribuez-lui le rôle Contributeur de réseau au réseau virtuel. Cette procédure s’applique si les réseaux virtuels se trouvent dans des abonnements et des locataires Active Directory différents.
Pour établir un peering de réseau quand vous n’avez pas l’intention de séparer l’obligation de gérer le réseau appartenant à chaque locataire, ajoutez l’utilisateur du locataire A en tant qu’invité dans le locataire opposé. Ensuite, attribuez-lui le rôle Contributeur de réseau pour lancer et connecter le peering de réseau à partir de chaque abonnement. Avec ces autorisations, l’utilisateur est en mesure d’établir le peering de réseau à partir de chaque abonnement.
Un compte Azure avec des autorisations dans les deux abonnements ou un compte dans chaque abonnement avec les autorisations appropriées pour créer un appairage de réseaux virtuels. Pour obtenir une liste d’autorisations, consultez Autorisations de peering de réseau virtuel.
Pour séparer la responsabilité de la gestion du réseau appartenant à chaque locataire, ajoutez l’utilisateur de chaque locataire en tant qu’invité dans le locataire opposé et attribuez-lui le rôle Contributeur de réseau au réseau virtuel. Cette procédure s’applique si les réseaux virtuels se trouvent dans des abonnements et des locataires Active Directory différents.
Pour établir un peering de réseau quand vous n’avez pas l’intention de séparer l’obligation de gérer le réseau appartenant à chaque locataire, ajoutez l’utilisateur du locataire A en tant qu’invité dans le locataire opposé. Ensuite, attribuez-lui le rôle Contributeur de réseau pour lancer et connecter le peering de réseau à partir de chaque abonnement. Avec ces autorisations, l’utilisateur est en mesure d’établir le peering de réseau à partir de chaque abonnement.
Chaque utilisateur doit accepter l’invitation d’utilisateur invité du locataire Microsoft Entra opposé.
Azure PowerShell installé localement ou Azure Cloud Shell.
Connectez-vous à Azure PowerShell et sélectionnez l’abonnement avec lequel vous voulez utiliser cette fonctionnalité. Pour plus d’informations, consultez Se connecter avec Azure PowerShell.
Vérifiez que la version du module Az.Network est 4.3.0 ou ultérieure. Pour vérifier le module installé, utilisez la commande Get-InstalledModule -Name "Az.Network". Si le module nécessite une mise à jour, utilisez la commande Update-Module -Name Az.Network, si nécessaire.
Si vous choisissez d’installer et d’utiliser PowerShell en local, vous devez exécuter le module Azure PowerShell version 5.4.1 ou ultérieure pour les besoins de cet article. Exécutez Get-Module -ListAvailable Az pour rechercher la version installée. Si vous devez effectuer une mise à niveau, consultez Installer le module Azure PowerShell. Si vous exécutez PowerShell en local, vous devez également exécuter Connect-AzAccount pour créer une connexion avec Azure.
Un compte Azure avec des autorisations dans les deux abonnements ou un compte dans chaque abonnement avec les autorisations appropriées pour créer un appairage de réseaux virtuels. Pour obtenir une liste d’autorisations, consultez Autorisations de peering de réseau virtuel.
Pour séparer la responsabilité de la gestion du réseau appartenant à chaque locataire, ajoutez l’utilisateur de chaque locataire en tant qu’invité dans le locataire opposé et attribuez-lui le rôle Contributeur de réseau au réseau virtuel. Cette procédure s’applique si les réseaux virtuels se trouvent dans des abonnements et des locataires Active Directory différents.
Pour établir un peering de réseau quand vous n’avez pas l’intention de séparer l’obligation de gérer le réseau appartenant à chaque locataire, ajoutez l’utilisateur du locataire A en tant qu’invité dans le locataire opposé. Ensuite, attribuez-lui le rôle Contributeur de réseau pour lancer et connecter le peering de réseau à partir de chaque abonnement. Avec ces autorisations, l’utilisateur est en mesure d’établir le peering de réseau à partir de chaque abonnement.
Si vous préférez exécuter les commandes de référence de l’interface de ligne de commande localement, installez l’interface Azure CLI. Si vous exécutez sur Windows ou macOS, envisagez d’exécuter Azure CLI dans un conteneur Docker. Pour plus d’informations, consultez Guide pratique pour exécuter Azure CLI dans un conteneur Docker.
Si vous utilisez une installation locale, connectez-vous à Azure CLI à l’aide de la commande az login. Pour finir le processus d’authentification, suivez les étapes affichées dans votre terminal. Pour connaître les autres options de connexion, consultez Se connecter avec Azure CLI.
Lorsque vous y êtes invité, installez l’extension Azure CLI lors de la première utilisation. Pour plus d’informations sur les extensions, consultez Utiliser des extensions avec Azure CLI.
Exécutez az version pour rechercher la version et les bibliothèques dépendantes installées. Pour effectuer une mise à niveau vers la dernière version, exécutez az upgrade.
Cet article pratique nécessite la version 2.31.0 ou ultérieure d’Azure CLI. Si vous utilisez Azure Cloud Shell, la version la plus récente est déjà installée.
Dans les étapes suivantes, vous allez apprendre à appairer des réseaux virtuels dans différents abonnements et locataires Microsoft Entra.
Vous pouvez utiliser le même compte qui dispose d’autorisations dans les deux abonnements ou vous pouvez utiliser des comptes distincts pour chaque abonnement pour configurer l’appairage. Un compte disposant d’autorisations dans les deux abonnements peut effectuer toutes les étapes sans se déconnecter, se connecter au portail et attribuer des autorisations.
Les ressources et exemples de compte suivants sont utilisés dans les étapes de cet article :
Compte d’utilisateur
Resource group
Abonnement
Réseau virtuel
user-1
test-rg
subscription-1
vnet-1
user-2
test-rg-2
subscription-2
vnet-2
Créer un réseau virtuel - vnet-1
Remarque
Si vous utilisez un seul compte pour effectuer les étapes, vous pouvez ignorer les étapes de déconnexion du portail et d’attribution d’autres autorisations utilisateur aux réseaux virtuels.
Si vous utilisez un compte pour les deux abonnements, connectez-vous à ce compte et remplacez le contexte de l’abonnement par subscription-1 avec Set-AzContext.
Set-AzContext -Subscription subscription-1
Créer un groupe de ressources - test-rg
Un groupe de ressources Azure est un conteneur logique dans lequel les ressources Azure sont déployées et gérées.
Azure déploie des ressources dans un sous-réseau au sein d’un réseau virtuel. C’est pourquoi vous devez créer un sous-réseau. Créez une configuration de sous-réseau nommée subnet-1 avec Add-AzVirtualNetworkSubnetConfig :
Vous pouvez écrire la configuration du sous-réseau dans le réseau virtuel à l’aide de la commande Set-AzVirtualNetwork. Cette commande crée le sous-réseau :
$virtualNetwork | Set-AzVirtualNetwork
Se connecter à subscription-1
Utilisez az sign-in pour vous connecter à subscription-1.
az login
Si vous utilisez un compte pour les deux abonnements, connectez-vous à ce compte et remplacez le contexte de l’abonnement par subscription-1 avec az account set.
az account set --subscription "subscription-1"
Créer un groupe de ressources - test-rg
Un groupe de ressources Azure est un conteneur logique dans lequel les ressources Azure sont déployées et gérées.
Créez un groupe de ressources avec la commande az group create :
az group create \
--name test-rg \
--location eastus2
Créer un réseau virtuel
Créez un réseau virtuel et un sous-réseau en utilisant la commande az network vnet create. Cet exemple crée un réseau virtuel subnet-1 nommé vnet-1 à l’emplacement USA Ouest 3.
Un compte d’utilisateur dans l’autre abonnement que vous souhaitez appairer doit être ajouté au réseau que vous avez créé précédemment. Si vous utilisez un seul compte pour les deux abonnements, vous pouvez ignorer cette section.
Utilisez Get-AzADUser pour obtenir l’ID d’objet pour user-2.
user-2 est utilisé dans cet exemple pour le compte d’utilisateur. Remplacez cette valeur par le nom complet de l’utilisateur de subscription-2 auquel vous souhaitez attribuer des autorisations à vnet-1. Vous pouvez ignorer cette étape si vous utilisez le même compte pour les deux abonnements.
Utilisez az ad user list pour obtenir l’ID d’objet pour user-2.
user-2 est utilisé dans cet exemple pour le compte d’utilisateur. Remplacez cette valeur par le nom complet de l’utilisateur de subscription-2 auquel vous souhaitez attribuer des autorisations à vnet-1. Vous pouvez ignorer cette étape si vous utilisez le même compte pour les deux abonnements.
Dans la zone de recherche située en haut du portail, entrez Réseau virtuel. Sélectionnez Réseaux virtuels dans les résultats de la recherche.
Sélectionnez vnet-1.
Dans Paramètres, sélectionnez Propriétés.
Copiez les informations dans le champ ID de ressource et enregistrez-les pour les étapes suivantes. L’ID de la ressource ressemble à celui de l’exemple qui suit : /subscriptions/<Subscription Id>/resourceGroups/test-rg/providers/Microsoft.Network/virtualNetworks/vnet-1.
Déconnectez-vous du portail en tant que user-1.
L’ID de ressource de vnet-1 est requis pour configurer la connexion d’appairage de vnet-2 à vnet-1. Utilisez Get-AzVirtualNetwork pour obtenir l’ID de ressource pour vnet-1.
L’ID de ressource de vnet-1 est requis pour configurer la connexion d’appairage de vnet-2 à vnet-1. Utilisez az network vnet show pour obtenir l’ID de ressource pour vnet-1.
vnetidA=$(az network vnet show \
--name vnet-1 \
--resource-group test-rg \
--query id \
--output tsv)
echo $vnetidA
Créer un réseau virtuel - vnet-2
Dans cette section, vous vous connectez en tant que user-2 et créez un réseau virtuel pour la connexion d’appairage à vnet-1.
Si vous utilisez un compte pour les deux abonnements, connectez-vous à ce compte et remplacez le contexte de l’abonnement par subscription-2 avec Set-AzContext.
Set-AzContext -Subscription subscription-2
Créer un groupe de ressources - test-rg-2
Un groupe de ressources Azure est un conteneur logique dans lequel les ressources Azure sont déployées et gérées.
Azure déploie des ressources dans un sous-réseau au sein d’un réseau virtuel. C’est pourquoi vous devez créer un sous-réseau. Créez une configuration de sous-réseau nommée subnet-1 avec Add-AzVirtualNetworkSubnetConfig :
Vous pouvez écrire la configuration du sous-réseau dans le réseau virtuel à l’aide de la commande Set-AzVirtualNetwork. Cette commande crée le sous-réseau :
$virtualNetwork | Set-AzVirtualNetwork
Se connecter à subscription-2
Utilisez az sign-in pour vous connecter à subscription-1.
az login
Si vous utilisez un compte pour les deux abonnements, connectez-vous à ce compte et remplacez le contexte de l’abonnement par subscription-2 avec az account set.
az account set --subscription "subscription-2"
Créer un groupe de ressources - test-rg-2
Un groupe de ressources Azure est un conteneur logique dans lequel les ressources Azure sont déployées et gérées.
Créez un groupe de ressources avec la commande az group create :
az group create \
--name test-rg-2 \
--location eastus2
Créer un réseau virtuel
Créez un réseau virtuel et un sous-réseau en utilisant la commande az network vnet create. Cet exemple crée un réseau virtuel subnet-1 nommé vnet-2 à l’emplacement USA Ouest 3.
Un compte d’utilisateur dans l’autre abonnement que vous souhaitez appairer doit être ajouté au réseau que vous avez créé précédemment. Si vous utilisez un seul compte pour les deux abonnements, vous pouvez ignorer cette section.
Utilisez Get-AzADUser pour obtenir l’ID d’objet pour user-1.
user-1 est utilisé dans cet exemple pour le compte d’utilisateur. Remplacez cette valeur par le nom complet de l’utilisateur de subscription-1 auquel vous souhaitez attribuer des autorisations à vnet-2. Vous pouvez ignorer cette étape si vous utilisez le même compte pour les deux abonnements.
Utilisez az ad user list pour obtenir l’ID d’objet pour user-1.
user-1 est utilisé dans cet exemple pour le compte d’utilisateur. Remplacez cette valeur par le nom complet de l’utilisateur de subscription-1 auquel vous souhaitez attribuer des autorisations à vnet-2. Vous pouvez ignorer cette étape si vous utilisez le même compte pour les deux abonnements.
Notez l’ID d’objet de user-1 dans le champ id. Dans cet exemple, c'est bbbbbbbb-1111-2222-3333-cccccccccccc.
vnetid=$(az network vnet show \
--name vnet-2 \
--resource-group test-rg-2 \
--query id \
--output tsv)
az role assignment create \
--assignee bbbbbbbb-1111-2222-3333-cccccccccccc \
--role "Network Contributor" \
--scope $vnetid
Obtenir l’ID de la ressource de vnet-2
L’ID de la ressource de vnet-2 est requis pour configurer la connexion d’appairage de vnet-1 à vnet-2. Utilisez les étapes suivantes pour obtenir l’ID de la ressource de vnet-2.
Dans la zone de recherche située en haut du portail, entrez Réseau virtuel. Sélectionnez Réseaux virtuels dans les résultats de la recherche.
Sélectionnez vnet-2.
Dans Paramètres, sélectionnez Propriétés.
Copiez les informations dans le champ ID de ressource et enregistrez-les pour les étapes suivantes. L’ID de la ressource ressemble à celui de l’exemple qui suit : /subscriptions/<Subscription Id>/resourceGroups/test-rg-2/providers/Microsoft.Network/virtualNetworks/vnet-2.
Déconnectez-vous du portail en tant que user-2.
L’ID de la ressource de vnet-2 est requis pour configurer la connexion d’appairage de vnet-1 à vnet-2. Utilisez Get-AzVirtualNetwork pour obtenir l’ID de la ressource pour vnet-2.
L’ID de la ressource de vnet-2 est requis pour configurer la connexion d’appairage de vnet-1 à vnet-2. Utilisez az network vnet show pour obtenir l’ID de la ressource pour vnet-2.
vnetidB=$(az network vnet show \
--name vnet-2 \
--resource-group test-rg-2 \
--query id \
--output tsv)
echo $vnetidB
Créer une connexion d’appairage - vnet-1 à vnet-2
Vous avez besoin de l’ID de la ressource pour vnet-2 des étapes précédentes pour configurer la connexion d’appairage.
Si vous utilisez un compte pour les deux abonnements, connectez-vous à ce compte et remplacez le contexte de l’abonnement par subscription-1 avec Set-AzContext.
Set-AzContext -Subscription subscription-1
Se connecter à subscription-2
Authentifiez-vous auprès de subscription-2 afin que l’appairage puisse être configuré.
Utilisez az sign-in pour vous connecter à subscription-1.
az login
Si vous utilisez un compte pour les deux abonnements, connectez-vous à ce compte et remplacez le contexte de l’abonnement par subscription-1 avec az account set.
az account set --subscription "subscription-1"
Se connecter à subscription-2
Authentifiez-vous auprès de subscription-2 afin que l’appairage puisse être configuré.
Utilisez az sign-in pour vous connecter à subscription-2.
az login
Passer sur subscription-1 (facultatif)
Il peut être nécessaire de revenir à subscription-1 pour poursuivre les actions dans subscription-1.
az network vnet peering list \
--resource-group test-rg \
--vnet-name vnet-1 \
--output table
La connexion de peering s’affiche dans Peerings dans un état Initié. Pour terminer la pair, une connexion correspondante doit être configurée dans vnet-2.
Créer une connexion d’appairage - vnet-2 à vnet-1
Vous avez besoin des ID de la ressource pour vnet-1 des étapes précédentes pour configurer la connexion d’appairage.
Si vous utilisez un compte pour les deux abonnements, connectez-vous à ce compte et remplacez le contexte de l’abonnement par subscription-2 avec Set-AzContext.
Set-AzContext -Subscription subscription-2
Se connecter à subscription-1
Authentifiez-vous auprès de subscription-1 afin que l’appairage puisse être configuré.
Utilisez az sign-in pour vous connecter à subscription-2.
az login
Si vous utilisez un compte pour les deux abonnements, connectez-vous à ce compte et remplacez le contexte de l’abonnement par subscription-2 avec az account set.
az account set --subscription "subscription-2"
Se connecter à subscription-1
Authentifiez-vous auprès de subscription-1 afin que l’appairage puisse être configuré.
Utilisez az sign-in pour vous connecter à subscription-1.
az login
Passer sur subscription-2 (facultatif)
Il peut être nécessaire de revenir à subscription-2 pour poursuivre les actions dans subscription-2.
az network vnet peering list \
--resource-group test-rg-2 \
--vnet-name vnet-2 \
--output table
Le peering est établi avec succès une fois que vous voyez Connecté dans la colonne État de peering pour les deux réseaux virtuels du peering. Les ressources Azure que vous créez dans un réseau virtuel sont désormais en mesure de communiquer entre elles via leurs adresses IP. Si vous utilisez la résolution de noms Azure par défaut pour les réseaux virtuels, les ressources des réseaux virtuels ne peuvent pas résoudre les noms sur les réseaux virtuels. Si vous souhaitez résoudre des noms sur les réseaux virtuels d’un Peering, vous devez créer votre propre serveur DNS (Domain Name System) ou utiliser Azure DNS.