Décrire les réseaux privés virtuels Azure
Un réseau privé (VPN) utilise le tunnel chiffré d’un autre réseau. Les VPN sont généralement déployés pour connecter plusieurs réseaux privés de confiance via un réseau non fiable (en général l’Internet public). Le trafic est chiffré lors de son déplacement sur le réseau non fiable pour empêcher les écoutes clandestines ou autres attaques. Les VPN peuvent permettre à des réseaux de partager de manière sûre et sécurisée des informations sensibles.
Passerelles VPN
Une passerelle VPN est un type de passerelle de réseau virtuel. Les instances Passerelle VPN Azure sont déployées dans un sous-réseau dédié du réseau virtuel et permettent la connectivité suivante :
- Connecter des centres de données locaux à des réseaux virtuels via une connexion de site à site
- Connecter des appareils individuels à des réseaux virtuels via une connexion de point à site
- Connecter des réseaux virtuels à d’autres réseaux virtuels via une connexion de réseau à réseau
Toutes les données transférées sont cryptées dans un tunnel privé quand elles transitent par Internet. Vous pouvez ne pouvez déployer qu'une seule passerelle VPN dans chaque réseau virtuel. Cependant, vous pouvez utiliser une même passerelle pour vous connecter à plusieurs emplacements, notamment à d’autres réseaux virtuels ou à des centres de données locaux.
Lors de la configuration d’une passerelle VPN, vous devez spécifier le type de VPN (basé sur une stratégie ou sur un itinéraire). La principale distinction entre ces deux types est leur façon de déterminer le trafic nécessitant un chiffrement. Dans Azure, une clé prépartagée est utilisée comme méthode d’authentification, quel que soit le type de VPN.
- Les passerelles VPN basées basé sur des règles spécifient de manière statique l’adresse IP des paquets qui doivent être chiffrés via chaque tunnel. Ce type d’appareil évalue chaque paquet de données par rapport à ces ensembles d'adresses IP pour choisir le tunnel à partir duquel le paquet sera envoyé.
- Dans les passerelles basées sur une route, les tunnels IPSec sont modélisés sous forme d’interface réseau ou d’interface de tunnel virtuel. Le routage IP (avec des itinéraires statiques ou des protocoles de routage dynamique) détermine quelle interface de tunnel utiliser pour envoyer chaque paquet. Les VPN basés sur une route sont la méthode de connexion par défaut pour les périphériques sur site. Ils sont plus résilients en cas de changement de topologie, tels que la création de nouveaux sous-réseaux.
Utilisez une passerelle VPN basée sur une route si vous avez besoin des types de connectivité suivants :
- Connexion entre réseaux virtuels
- Connexions point à site
- Connexions multisites
- Coexistence avec une passerelle Azure ExpressRoute
Scénarios de haute disponibilité
Si vous configurez un VPN pour sécuriser vos informations, vous souhaitez également vous assurer que sa configuration est hautement disponible et tolérante aux pannes. Il existe plusieurs façons d’optimiser la résilience de votre passerelle VPN.
Actif/passif
Par défaut, les passerelles VPN sont déployées comme deux instances dans une configuration de type actif/passif, même si vous ne voyez qu’une ressource de passerelle VPN dans Azure. Quand une maintenance planifiée ou une interruption non planifiée affecte l’instance active, l’instance de secours prend automatiquement en charge les connexions sans intervention de l’utilisateur. Les connexions sont interrompues pendant ce basculement, mais elles sont généralement restaurées en quelques secondes en cas de maintenance planifiée et en 90 secondes en cas d’interruptions non planifiées.
Actif/actif
Avec la prise en charge du protocole de routage BGP, vous pouvez également déployer des passerelles VPN en configuration active/active. Dans cette configuration, vous attribuez une adresse IP publique unique à chaque instance. Ensuite, vous créez des tunnels distincts à partir de l’appareil local pour chaque adresse IP. Vous pouvez améliorer la disponibilité en déployant un autre appareil VPN sur site
Basculement ExpressRoute
Il existe une autre possibilité de haute disponibilité, qui consiste à configurer une passerelle VPN en tant que chemin de basculement sécurisé pour les connexions ExpressRoute. Les circuits ExpressRoute sont résilients par nature. Cependant, ils ne sont pas immunisés contre les problèmes physiques qui touchent les câbles assurant la connectivité ni contre les pannes qui affectent tout l’emplacement ExpressRoute. Dans les scénarios de haute disponibilité, lorsqu’il existe un risque associé à une défaillance d’un circuit ExpressRoute, vous pouvez également provisionner une passerelle VPN qui utilise Internet comme autre mode de connectivité. De cette façon, vous pouvez faire en sorte de toujours maintenir une connexion aux réseaux virtuels.
Passerelles redondantes interzones
Dans les régions qui prennent en charge les zones de disponibilité, les passerelles VPN et ExpressRoute peuvent être déployées dans une configuration redondante interzone. Cette configuration offre aux passerelles de réseau virtuel résilience, scalabilité ainsi qu’une plus grande disponibilité. Le fait de déployer des passerelles dans les zones de disponibilité Azure permet de séparer les passerelles physiquement et logiquement au sein d’une région, tout en empêchant la connectivité réseau locale à Azure d’échouer au niveau des zones. Ces passerelles ont besoin de différentes références SKU et utilisent des adresses IP publiques Standard au lieu d’adresses IP publiques De base.