Explorer le réseau virtuel Azure
Vous disposez d’un centre de données local que vous souhaitez conserver, mais vous souhaitez utiliser Azure pour décharger les pics de trafic à l’aide de machines virtuelles hébergées dans Azure. Vous souhaitez conserver votre schéma d’adressage IP et vos appliances réseau existants, tout en assurant des transferts de données sécurisés.
Présentation de la mise en réseau virtuelle Azure
Les réseaux virtuels Azure permettent aux ressources Azure, comme les machines virtuelles, les applications Web et les bases de données, de communiquer entre elles, avec des utilisateurs sur internet et avec des ordinateurs clients locaux. Vous pouvez considérer un réseau Azure comme un ensemble de ressources établissant un lien avec d’autres ressources Azure.
Les réseaux virtuels Azure fournissent des fonctionnalités de mise en réseau fondamentales :
- L’isolement et la segmentation
- Les communications Internet
- Communication entre les ressources Azure
- Communication avec les ressources sur site
- Router le trafic
- Filtrer le trafic
- Connecter des réseaux virtuels
Isolement et segmentation
Azure vous permet de créer plusieurs réseaux virtuels isolés. Lorsque vous configurez un réseau virtuel, vous définissez un espace d’adressage IP privé, à l’aide de plages d’adresses IP publiques ou privées. Vous pouvez ensuite segmenter cet espace d’adressage IP en sous-réseaux et allouer une partie de l’espace d’adressage défini à chaque sous-réseau nommé.
Pour la résolution de noms, vous pouvez utiliser le service de résolution de noms intégré à Azure, ou bien vous pouvez configurer le réseau virtuel afin qu’il utilise un serveur DNS (Domain Name System) interne ou externe.
Communications Internet
Une machine virtuelle Azure peut se connecter à Internet par défaut. Vous pouvez activer les connexions entrantes en provenance d’Internet en définissant une adresse IP publique ou un équilibreur de charge public. Pour la gestion des machines virtuelles, vous pouvez vous connecter via Azure CLI, le protocole RDP (Remote Desktop Protocol) ou le protocole SSH (Secure Shell).
Communiquer entre des ressources Azure
Vous voudrez permettre aux ressources Azure de communiquer entre elles en toute sécurité. Il existe pour cela deux méthodes :
Réseaux virtuels
Les réseaux virtuels peuvent non seulement connecter des machines virtuelles, mais également d’autres ressources Azure, comme l’environnement App Service, Azure Kubernetes Service et les groupes de machines virtuelles identiques Azure.
Points de terminaison de service
Vous pouvez utiliser des points de terminaison de service pour établir une connexion à d’autres types de ressources Azure, comme des comptes de stockage et des bases de données Azure SQL. Cette approche vous permet de lier plusieurs ressources Azure à des réseaux virtuels, améliorant ainsi la sécurité et fournissant un routage optimal entre les ressources.
La communication avec des ressources locales
Les réseaux virtuels Azure vous permettent de lier des ressources ensemble dans votre environnement local et au sein de votre abonnement Azure, permettant ainsi la création d’un réseau s’étendant sur vos environnements locaux et cloud. Il existe trois mécanismes vous permettant d’assurer cette connectivité :
Réseaux privés virtuels de point à site
Cette approche ressemble à une connexion VPN utilisée par un ordinateur situé à l’extérieur de votre organisation pour entrer dans votre réseau, sauf qu’elle fonctionne dans la direction opposée. Dans ce cas, l’ordinateur client initie une connexion VPN chiffrée vers Azure, connectant cet ordinateur au réseau virtuel Azure.
Réseaux privés virtuels de site à site Un VPN de site à site lie votre appareil ou passerelle VPN local à la passerelle VPN Azure sur un réseau virtuel. En pratique, les appareils dans Azure peuvent apparaître comme étant sur le réseau local. La connexion est chiffrée et fonctionne sur Internet.
Azure ExpressRoute
Pour les environnements où vous avez besoin d’une bande passante plus grande et de niveaux de sécurité encore plus élevés, Azure ExpressRoute est la meilleure approche. Azure ExpressRoute offre une connectivité privée dédiée vers Azure qui ne passe pas par Internet.
Router le trafic
Par défaut, les itinéraires Azure se chargent de l’acheminement entre les sous-réseaux, les réseaux virtuels connectés, les réseaux locaux et Internet. Toutefois, vous pouvez contrôler le routage et substituer ces paramètres comme suit :
Tables de routage
Une table de routage vous permet de définir des règles concernant la direction du trafic. Vous pouvez créer des tables de routage personnalisées qui contrôlent la façon dont les paquets sont routés entre les sous-réseaux.
Border Gateway Protocol
Le protocole BGP (Border Gateway Protocol) fonctionne avec des passerelles VPN Azure ou ExpressRoute pour propager des itinéraires BGP locaux sur des réseaux virtuels Azure.
Filtrer le trafic réseau
Les réseaux virtuels Azure vous permettent de filtrer le trafic entre des sous-réseaux à l’aide des approches suivantes :
Groupes de sécurité réseau
Un groupe de sécurité réseau est une ressource Azure pouvant contenir plusieurs règles de sécurité d’entrée et de sortie. Vous pouvez définir ces règles pour autoriser ou bloquer le trafic, à partir de facteurs tels que l’adresse IP source et de destination, le port et le protocole.
Appliances virtuelles réseau
Une appliance virtuelle réseau est une machine virtuelle spécialisée qui peut être comparée à une appliance réseau renforcée. Une appliance virtuelle réseau effectue une fonction particulière au sein du réseau, comme l’exécution d’un pare-feu ou une optimisation WAN.
Connecter des réseaux virtuels
Vous pouvez lier des réseaux virtuels ensembles grâce au peering de réseau virtuel. Le peering permet de faire communiquer les ressources de chaque réseau virtuel entre-elles. Ces réseaux virtuels peuvent être situés dans des régions distinctes, ce qui vous permet de créer un réseau mondial interconnecté via Azure.
Paramètres d’un réseau virtuel Azure
Vous pouvez créer et configurer des réseaux virtuels Azure à partir du portail Azure, d’Azure PowerShell sur votre ordinateur local ou à l’aide d’Azure Cloud Shell.
Créer un réseau virtuel
Quand vous créez un réseau virtuel Azure, vous configurez de nombreux paramètres de base. Vous pouvez également configurer des paramètres avancés, comme plusieurs sous-réseaux, la protection contre le déni de service distribué (DDoS) et les points de terminaison de service.
Vous allez configurer les paramètres suivants pour un réseau virtuel de base :
Nom de réseau
Le nom réseau doit être unique au sein de votre abonnement, mais pas nécessairement globalement unique. Choisissez un nom descriptif facile à mémoriser et à identifier parmi les autres réseaux virtuels.
Espace d’adressage
Quand vous configurez un réseau virtuel, vous définissez l’espace d’adressage interne au format CIDR (Classless Inter-Domain Routing). Cet espace d’adressage doit être unique au sein de votre abonnement et de tous les autres réseaux auxquels vous vous connectez.
Supposons que vous choisissez l’espace d’adressage 10.0.0.0/24 pour votre premier réseau virtuel. Les adresses définies dans cet espace d’adressage sont comprises entre 10.0.0.1 et 10.0.0.254. Vous créez ensuite un deuxième réseau virtuel et choisissez un espace d’adressage de 10.0.0.0/8. L’adresse dans cet espace d’adressage est comprise entre 10.0.0.1 et 10.255.255.254. Certaines adresses se chevauchent et ne peuvent pas être utilisées pour les deux réseaux virtuels.
Toutefois, vous pouvez utiliser 10.0.0.0/16, avec les adresses comprises entre 10.0.0.1 et 10.0.255.254, et 10.1.0.0/16, avec les adresses comprises entre 10.1.0.1 et 10.1.255.254. Vous pouvez affecter ces espaces d’adressage à vos réseaux virtuels, car ils ne présentent aucun chevauchement d’adresses.
Notes
Vous pouvez ajouter des espaces d’adressage après avoir créé le réseau virtuel.
Abonnement
S’applique uniquement si vous avez plusieurs abonnements entre lesquels choisir.
Groupe de ressources
Comme toutes les autres ressources Azure, un réseau virtuel doit exister dans un groupe de ressources. Vous pouvez sélectionner un groupe de ressources existant ou en créer un.
Emplacement
Sélectionnez l’emplacement où vous souhaitez placer le réseau virtuel.
Sous-réseau
Au sein de chaque plage d’adresses de réseau virtuel, vous pouvez créer un ou plusieurs sous-réseaux qui partitionnent l’espace d’adressage du réseau virtuel. Le routage entre des sous-réseaux dépendra alors des itinéraires de trafic par défaut, ou bien vous pouvez définir des itinéraires personnalisés. Vous pouvez également définir un sous-réseau englobant toute la plage d’adresses du réseau virtuel.
Notes
Les noms de sous-réseaux doivent commencer par une lettre ou un chiffre, se terminer par une lettre, un chiffre ou un trait de soulignement. Ils ne peuvent contenir que des lettres, des chiffres, des traits de soulignement, des points ou des traits d’union.
Protection contre le déni de service distribué (DDoS)
Vous pouvez sélectionner une protection DDoS De base ou Standard. La protection DDoS Standard est un service premium. Azure DDoS Protection fournit des informations supplémentaires sur DDoS Protection.
Points de terminaison de service
Ici, vous activez des points de terminaison de service et vous sélectionnez les points de terminaison de service Azure que vous souhaitez activer à partir de la liste. Les options incluent Azure Cosmos DB, Azure Service Bus, Key Vault et d’autres.
Une fois ces paramètres configurés, sélectionnez Créer.
Définir d’autres paramètres
Une fois le réseau virtuel créé, vous pouvez définir d’autres paramètres. Il s’agit notamment des paramètres suivants :
Groupe de sécurité réseau
Les groupes de sécurité réseau possèdent des règles de sécurité qui vous permettent de filtrer le type de trafic réseau qui peut circuler vers et depuis les interfaces réseau et les sous-réseaux de réseau virtuel. Vous créez le groupe de sécurité réseau séparément, et vous l’associez ensuite au réseau virtuel.
Table de routage
Azure crée automatiquement une table de routage pour chaque sous-réseau au sein d’un réseau virtuel Azure et y ajoute les routes par défaut du système. Toutefois, vous pouvez ajouter des tables de routage personnalisées pour modifier le trafic entre des réseaux virtuels.
Vous pouvez également modifier les points de terminaison de service.
Configurer des réseaux virtuels
Après avoir créé un réseau virtuel, vous pouvez modifier d’autres paramètres à partir du volet Réseaux virtuels dans le portail Azure. Sinon, vous pouvez utiliser des commandes PowerShell ou des commandes dans Cloud Shell pour effectuer des modifications.
Vous pouvez ensuite vérifier et modifier des paramètres dans d’autres sous-volets. Il s’agit notamment des paramètres suivants :
Espaces d’adressage : vous pouvez ajouter d’autres espaces d’adressage à la définition initiale.
Appareils connectés : utilisez le réseau virtuel pour connecter des machines.
Sous-réseaux : ajoutez des sous-réseaux supplémentaires.
Peerings : liez des réseaux virtuels dans des arrangements de peering.
Vous pouvez également superviser et résoudre les problèmes relatifs aux réseaux virtuels, ou bien créer un script d’automation pour générer le réseau virtuel actuel.
Les réseaux virtuels sont des mécanismes puissants et hautement configurables pour connecter des entités dans Azure. Vous pouvez connecter des ressources Azure entre elles ou à des ressources locales. Vous pouvez isoler, filtrer et router le trafic réseau. Azure vous permet de renforcer la sécurité aux emplacements où vous l’estimez nécessaire.