Explorer Azure ExpressRoute
Dans la mesure où votre société traite des données hautement sensibles et stocke de grandes quantités d’informations dans Azure, la sécurité et la fiabilité des connexions sur l’Internet public suscitent certaines préoccupations. La société ne souhaite pas migrer toutes ses données vers Azure sans la garantie préalable de hauts niveaux de connectivité, de sécurité et de fiabilité.
Ici, nous irons au-delà des connexions passant par Internet, et nous traiterons des lignes dédiées directes dans les centres de données Azure.
Azure ExpressRoute
Microsoft Azure ExpressRoute permet aux organisations d’étendre leurs réseaux locaux à Microsoft Cloud via une connexion privée implémentée par un fournisseur de connectivité. Ceci signifie que la connectivité aux centres de données Azure ne passe pas par Internet, mais par une liaison dédiée. ExpressRoute facilite également les connexions efficaces avec d’autres services cloud Microsoft, par exemple Microsoft 365 et Dynamics 365.
Quelques-uns des avantages offerts par ExpressRoute :
Débits plus importants, entre 50 Mbits/s et 10 Gbits/s avec une mise à l’échelle dynamique de la bande passante
Latence plus faible
Plus grande fiabilité grâce au peering intégré
Sécurité élevée
ExpressRoute offre plus d’avantages, notamment :
Connectivité à tous les services Azure pris en charge
Connectivité globale à toutes les régions (nécessite le module complémentaire premium)
Routage dynamique via le protocole BGP (Border Gateway Protocol)
Contrats de niveau de service (SLA) pour la disponibilité de la connexion
QoS (Qualité de Service) pour Skype Entreprise
En outre, il existe un module complémentaire premium pour ExpressRoute offrant des avantages tels qu’une augmentation des limites du nombre d’itinéraires, la connectivité de service global et un plus grand nombre de liens de réseau virtuel par circuit.
Modèles de connectivité ExpressRoute
Les connexions à ExpressRoute peuvent s’effectuer via les mécanismes suivants :
Un réseau VPN IP universel
Une interconnexion virtuelle via un échange Ethernet
Connexion ethernet point à point
Les capacités et fonctionnalités de ExpressRoute sont identiques pour tous les modèles de connectivité ci-dessus.
Qu’est-ce que la connectivité de couche 3 ?
Microsoft utilise un protocole de routage dynamique standard (BGP) pour échanger des routages entre votre réseau local, vos instances dans Azure et les adresses publiques Microsoft. Nous établissons plusieurs sessions BGP avec votre réseau pour tester différents profils de trafic.
Réseaux universels (IPVPN)
Les fournisseurs IPVPN fournissent généralement une connectivité entre les succursales et votre centre de données d’entreprise via des connexions de couche 3 gérées. Grâce à ExpressRoute, les centres de données Azure apparaissent comme d’autres succursales.
Une interconnexion virtuelle via un échange Ethernet
Si votre organisation est colocalisée avec un équipement d’échange cloud, vous demandez des interconnexions vers Microsoft Cloud, par l’intermédiaire de l’échange Ethernet de votre fournisseur. Ces interconnexions vers Microsoft Cloud peuvent fonctionner par l’intermédiaire de connexions gérées de couche 2 ou 3, comme dans le modèle OSI de mise en réseau.
Connexion ethernet point à point
Des liaisons Ethernet point à point peuvent fournir des connexions gérées de couche 2 ou 3 entre vos centres de données ou bureaux locaux et Microsoft Cloud.
Fonctionnement d’ExpressRoute
Azure ExpressRoute utilise une combinaison des circuits et des domaines de routage ExpressRoute pour fournir une connectivité à large bande passante vers Microsoft Cloud.
Que sont les circuits ExpressRoute
Un circuit ExpressRoute est la connexion logique entre votre infrastructure locale et Microsoft Cloud. Un fournisseur de connectivité implémente cette connexion, bien que certaines organisations utilisent plusieurs fournisseurs de connectivité pour des raisons de redondance. Chaque circuit dispose d’une bande passante fixe de 50, 100, 200 ou 500 Mbits/s, ou de 1 ou 10 Gbits/s, et chacun d’eux mappe à un fournisseur de connectivité et à un emplacement de peering. De plus, des limites et des quotas par défaut s’appliquent à chaque circuit ExpressRoute.
Un circuit ExpressRoute n’est pas l’équivalent d’une connexion réseau ou d’un périphérique réseau. Chaque circuit est défini par un GUID, appelé service ou clé de service. Cette clé de service fournit le lien de connectivité entre Microsoft, votre fournisseur de connectivité et votre organisation. Il ne s’agit pas d’un secret de chiffrement. Chaque clé de service a un mappage un-à-un à un circuit Azure ExpressRoute.
Chaque circuit peut avoir jusqu’à deux peerings, qui sont une paire de sessions BGP configurées pour la redondance. Il s'agit de :
- Privé Azure
- Microsoft
Domaines de routage
Les circuits ExpressRoute sont ensuite mappés à des domaines de routage, chaque circuit ExpressRoute ayant plusieurs domaines de routage. Ces domaines sont les mêmes que les deux peerings listés précédemment. Dans une configuration actif-actif, chaque paire de routeurs aurait chaque domaine de routage configuré de manière identique, offrant ainsi une haute disponibilité. Les noms de peering privé Azure représentent les schémas d’adressage IP.
Peering privé Azure
Le peering privé Azure se connecte à des services de calcul Azure comme les machines virtuelles et les services cloud déployés avec un réseau virtuel. Du point de vue de la sécurité, le domaine de peering privé est une simple extension de votre réseau local dans Azure. Vous activez ensuite une connectivité bidirectionnelle entre ce réseau et des réseaux virtuels Azure, rendant les adresses IP des machines virtuelles Azure visibles au sein de votre réseau interne.
Vous ne pouvez connecter qu’un seul réseau virtuel au domaine de peering privé.
Peering Microsoft
Le peering Microsoft prend en charge les connexions à des offres SaaS basées sur le cloud, comme Microsoft 365 et Dynamics 365. Cette option de peering fournit une connectivité bidirectionnelle entre le réseau étendu de votre entreprise et des services cloud de Microsoft.
Intégrité ExpressRoute
Comme pour la plupart des fonctionnalités de Microsoft Azure, vous pouvez monitorer le bon fonctionnement des connexions ExpressRoute. La surveillance inclut la couverture des domaines suivants :
- Disponibilité
- Connectivité à des réseaux virtuels
- Utilisation de la bande passante
L’outil clé pour cette activité de monitoring est Network Performance Monitor, en particulier pour ExpressRoute.
Azure ExpressRoute est utilisé pour créer des connexions privées entre les centres de données Azure et une infrastructure locale ou dans un environnement de colocalisation. Les connexions ExpressRoute ne sont pas établies via l’internet public et elles offrent une plus grande fiabilité, des débits plus importants et des latences moindres par rapport aux connexions Internet classiques.