Types d’adresses IP et méthodes d’allocation (classique) dans Azure
Vous pouvez affecter des adresses IP aux ressources Azure pour communiquer avec d’autres ressources Azure, votre réseau local et Internet. Il existe deux types d’adresses IP que vous pouvez utiliser dans Azure : public et privé.
Les adresses IP publiques sont utilisées pour la communication avec Internet, y compris les services publics Azure.
Les adresses IP privées sont utilisées pour la communication au sein d’un réseau virtuel Azure, d’un service cloud et de votre réseau local lorsque vous utilisez une passerelle VPN ou un circuit ExpressRoute pour étendre votre réseau à Azure.
Important
Azure a deux modèles de déploiement différents pour créer et utiliser des ressources : Resource Manager et classique. Cet article traite du modèle de déploiement classique. Microsoft recommande que la plupart des nouveaux déploiements utilisent Resource Manager. Découvrez les adresses IP dans Resource Manager en lisant l’article adresses IP .
Adresses IP publiques
Les adresses IP publiques permettent aux ressources Azure de communiquer avec Internet et les services publics Azure tels qu’Azure Cache pour Redis, Azure Event Hubs, les bases de données SQL et le stockage Azure.
Une adresse IP publique est associée aux types de ressources suivants :
- Services de cloud
- Machines virtuelles IaaS
- Instances de rôle PaaS
- Passerelles VPN
- Passerelles d’application
Mode de répartition
Lorsqu’une adresse IP publique doit être affectée à une ressource Azure, elle est allouée dynamiquement à partir d’un pool d’adresses IP publiques disponibles à l’emplacement où la ressource est créée. Cette adresse IP est libérée lorsque la ressource est arrêtée. Avec le service cloud, cela se produit lorsque toutes les instances de rôle sont arrêtées, ce qui peut être évité à l’aide d’une adresse IP statique (réservée) (voir Services cloud).
Remarque
La liste des plages d’adresses IP à partir desquelles les adresses IP publiques sont allouées aux ressources Azure est publiée dans les plages d’adresses IP du centre de données Azure.
Résolution du nom d’hôte DNS
Lorsque vous créez un service cloud ou une machine virtuelle IaaS, vous devez fournir un nom DNS de service cloud unique sur toutes les ressources dans Azure. Cela crée un mappage dans les serveurs DNS gérés par Azure pour dnsname.cloudapp.net à l’adresse IP publique de la ressource. Par exemple, lorsque vous créez un service cloud avec un nom DNS de service cloud de contoso, le nom de domaine complet (FQDN) contoso.cloudapp.net sera résolu en adresse IP publique (VIP) du service cloud. Vous pouvez utiliser ce nom de domaine complet pour créer un enregistrement CNAME de domaine personnalisé pointant vers l’adresse IP publique dans Azure.
Services de cloud
Un service cloud a toujours une adresse IP publique appelée adresse IP virtuelle ( VIP). Vous pouvez créer des points de terminaison dans un service cloud pour associer différents ports dans le VIP aux ports internes des machines virtuelles et des instances de rôle au sein du service cloud.
Un service cloud peut contenir plusieurs machines virtuelles IaaS ou instances de rôle PaaS, tous exposés via la même adresse IP virtuelle du service cloud. Vous pouvez également affecter plusieurs adresses IP virtuelles à un service cloud, ce qui permet des scénarios multi-VIP comme un environnement multilocataire avec des sites web basés sur SSL.
Vous pouvez vous assurer que l’adresse IP publique d’un service cloud reste la même, même lorsque toutes les instances de rôle sont arrêtées, à l’aide d’une adresse IP publique statique , appelée adresse IP réservée. Vous pouvez créer une ressource IP statique (réservée) dans un emplacement spécifique et l’affecter à n’importe quel service cloud dans cet emplacement. Vous ne pouvez pas spécifier l’adresse IP réelle de l’adresse IP réservée, elle est allouée à partir du pool d’adresses IP disponibles à l’emplacement où elle est créée. Cette adresse IP n’est pas publiée tant que vous ne l’avez pas explicitement supprimée.
Les adresses IP publiques statiques (réservées) sont couramment utilisées dans les scénarios où un service cloud :
- nécessite la configuration des règles de pare-feu par les utilisateurs finaux.
- dépend de la résolution de noms DNS externe, et une adresse IP dynamique nécessiterait la mise à jour des enregistrements A.
- consomme des services web externes qui utilisent le modèle de sécurité basé sur IP.
- utilise des certificats SSL liés à une adresse IP.
Remarque
Lorsque vous créez une machine virtuelle classique, un service cloud de conteneur est créé par Azure, qui a une adresse IP virtuelle (VIP). Une fois la création effectuée via le portail, un point de terminaison RDP ou SSH par défaut est configuré par le portail afin de pouvoir vous connecter à la machine virtuelle via l’adresse IP virtuelle du service cloud. Cette adresse IP VIP de service de cloud peut être réservée, ce qui offre effectivement une adresse IP réservée pour se connecter à la machine virtuelle. Vous pouvez ouvrir des ports supplémentaires en configurant davantage de points de terminaison.
Machines virtuelles IaaS et instances de rôle PaaS
Vous pouvez affecter une adresse IP publique directement à une machine virtuelle IaaS ou à une instance de rôle PaaS au sein d’un service cloud. Il s’agit d’une adresse IP publique au niveau de l’instance (ILPIP). Cette adresse IP publique ne peut être dynamique que.
Remarque
Cela diffère de l’adresse IP virtuelle du service cloud, qui est un conteneur pour les machines virtuelles IaaS ou les instances de rôle PaaS, car un service cloud peut contenir plusieurs machines virtuelles IaaS, ou instances de rôle PaaS, toutes exposées via la même adresse IP virtuelle du service cloud.
Passerelles VPN
Une passerelle VPN peut être utilisée pour connecter un réseau virtuel Azure à d’autres réseaux virtuels Azure ou réseaux locaux. Une passerelle VPN est affectée dynamiquement à une adresse IP publique, qui permet la communication avec le réseau distant.
Passerelles d’application
Une passerelle d'application Azure peut être utilisée pour l’équilibrage de charge de la couche 7 pour router le trafic réseau en fonction du HTTP. L’Application Gateway reçoit une adresse IP publique dynamiquement, qui sert de VIP équilibrée de charge.
En un clin d’œil
Le tableau ci-dessous montre chaque type de ressource avec les méthodes d’allocation possibles (dynamique/statique) et la possibilité d’affecter plusieurs adresses IP publiques.
| Ressource | Dynamique | statique | Plusieurs adresses IP |
|---|---|---|---|
| service en nuage | Oui | Oui | Oui |
| Machine virtuelle IaaS ou instance de rôle PaaS | Oui | Non | Non |
| passerelle VPN | Oui | Non | Non |
| passerelle d’application | Oui | Non | Non |
Adresses IP privées
Les adresses IP privées permettent aux ressources Azure de communiquer avec d’autres ressources dans un service cloud ou un réseau virtuel(VNet) ou sur un réseau local (via une passerelle VPN ou un circuit ExpressRoute), sans utiliser d’adresse IP accessible par Internet.
Dans le modèle de déploiement Azure Classic, une adresse IP privée peut être affectée aux ressources Azure suivantes :
- Machines virtuelles IaaS et instances de rôle PaaS
- Équilibreur de charge interne
- passerelle d’application
Machines virtuelles IaaS et instances de rôle PaaS
Les machines virtuelles créées avec le modèle de déploiement classique sont toujours placées dans un service cloud, comme pour les instances de rôle PaaS. Le comportement des adresses IP privées est donc similaire pour ces ressources.
Il est important de noter qu’un service cloud peut être déployé de deux façons :
- En tant que service cloud autonome , où il ne se trouve pas dans un réseau virtuel.
- Dans le cadre d’un réseau virtuel.
Mode de répartition
Dans le cas d’un service cloud autonome , les ressources obtiennent une adresse IP privée allouée dynamiquement à partir de la plage d’adresses IP privées du centre de données Azure. Il peut être utilisé uniquement pour la communication avec d’autres machines virtuelles au sein du même service cloud. Cette adresse IP peut changer lorsque la ressource est arrêtée et démarrée.
Dans le cas d’un service cloud déployé dans un réseau virtuel, les ressources obtiennent des adresses IP privées allouées à partir de la plage d’adresses du ou des sous-réseaux associés (comme spécifié dans sa configuration réseau). Cette ou ces adresses IP privées peuvent être utilisées pour la communication entre toutes les machines virtuelles au sein du réseau virtuel.
En outre, en cas de services cloud au sein d’un réseau virtuel, une adresse IP privée est allouée dynamiquement (à l’aide de DHCP) par défaut. Elle peut changer lorsque la ressource est arrêtée et démarrée. Pour vous assurer que l’adresse IP reste la même, vous devez définir la méthode d’allocation sur statique et fournir une adresse IP valide dans la plage d’adresses correspondante.
Les adresses IP privées statiques sont couramment utilisées pour :
- Machines virtuelles qui agissent en tant que contrôleurs de domaine ou serveurs DNS.
- Machines virtuelles qui nécessitent des règles de pare-feu à l’aide d’adresses IP.
- Machines virtuelles exécutant des services accessibles par d’autres applications via une adresse IP.
Résolution du nom d’hôte DNS interne
Toutes les machines virtuelles Azure et les instances de rôle PaaS sont configurées avec des serveurs DNS gérés par Azure par défaut, sauf si vous configurez explicitement des serveurs DNS personnalisés. Ces serveurs DNS fournissent une résolution de noms interne pour les machines virtuelles et les instances de rôle qui résident dans le même réseau virtuel ou le même service cloud.
Lorsque vous créez une machine virtuelle, un mappage du nom d’hôte à son adresse IP privée est ajouté aux serveurs DNS gérés par Azure. Avec la machine virtuelle à plusieurs cartes réseau, le nom d’hôte est mappé à l’adresse IP privée de la carte réseau principale. Toutefois, ces informations de mappage sont limitées aux ressources au sein du même service cloud ou réseau virtuel.
Dans le cas d’un service cloud autonome , vous serez en mesure de résoudre les noms d’hôte de toutes les machines virtuelles/instances de rôle au sein du même service cloud uniquement. Dans le cas d’un service cloud au sein d’un réseau virtuel, vous pourrez résoudre les noms d’hôte de toutes les machines virtuelles/instances de rôle au sein du réseau virtuel.
Équilibreurs de charge internes (ILB) et Application Gateway
Vous pouvez affecter une adresse IP privée à la configuration frontale d’un équilibreur de charge interne Azure (ILB) ou d’une passerelle Azure Application Gateway. Cette adresse IP privée sert de point de terminaison interne, accessible uniquement aux ressources au sein de son réseau virtuel (VNet) et aux réseaux distants connectés au réseau virtuel. Vous pouvez affecter une adresse IP privée dynamique ou statique à la configuration frontale. Vous pouvez également affecter plusieurs adresses IP privées pour activer des scénarios multi-vip.
En un clin d’œil
Le tableau ci-dessous présente chaque type de ressource avec les méthodes d’allocation possibles (dynamique/statique) et la possibilité d’affecter plusieurs adresses IP privées.
| Ressource | Dynamique | statique | Plusieurs adresses IP |
|---|---|---|---|
| Machine virtuelle (dans un service cloud autonome ou un réseau virtuel ) | Oui | Oui | Oui |
| Instance de rôle PaaS (dans un service cloud autonome ou un réseau virtuel ) | Oui | Non | Non |
| Front-end de l’équilibreur de charge interne | Oui | Oui | Oui |
| Frontal de la passerelle d'application | Oui | Oui | Oui |
Limites
Le tableau ci-dessous présente les limites imposées à l’adressage IP dans Azure par abonnement. Vous pouvez contacter le support technique pour augmenter les limites par défaut jusqu’aux limites maximales en fonction des besoins de votre entreprise.
| Limite par défaut | Limite maximale | |
|---|---|---|
| Adresses IP publiques (dynamiques) | 5 | contacter le support technique |
| Adresses IP publiques réservées | 20 | contacter le support technique |
| VIP publique par déploiement (service cloud) | 5 | contacter le support technique |
| Adresse IP virtuelle privée (ILB) par déploiement (service cloud) | 1 | 1 |
Veillez à lire l’ensemble complet des limites de mise en réseau dans Azure.
Tarification
Dans la plupart des cas, les adresses IP publiques sont gratuites. Il existe un coût nominal pour utiliser des adresses IP publiques supplémentaires et/ou statiques. Veillez à comprendre la structure tarifaire des adresses IP publiques.
Différences entre resource Manager et déploiements classiques
Vous trouverez ci-dessous une comparaison des fonctionnalités d’adressage IP dans Resource Manager et le modèle de déploiement classique.
| Ressource | Classique | Gestionnaire de ressources | |
|---|---|---|---|
| Adresse IP publique | VM | Appelé un ILPIP (uniquement dynamique) | Appelé adresse IP publique (dynamique ou statique) |
| Affecté à une machine virtuelle IaaS ou à une instance de rôle PaaS | Associé au NIC de la machine virtuelle | ||
| Équilibreur de charge accessible sur Internet | Appelé VIP (dynamique) ou adresse IP réservée (statique) | Appelé adresse IP publique (dynamique ou statique) | |
| Affecté à un service cloud | Associé à la configuration frontale de l’équilibreur de charge | ||
| Adresse IP privée | VM | Appelé DIP | Appelée adresse IP privée |
| Affecté à une machine virtuelle IaaS ou à une instance de rôle PaaS | Affecté à la NIC de la machine virtuelle | ||
| Équilibreur de charge interne (ILB) | Affecté à l'ILB (dynamique ou statique) | Affecté à la configuration frontend de l'ILB (dynamique ou statique) |
Étapes suivantes
- Déployez une machine virtuelle avec une adresse IP privée statique à l’aide du portail Azure.