Intégration d’un réseau local sur Azure
Votre entreprise prévoit de migrer la plupart de ses ressources locales vers Azure. Toutefois, un petit centre de données doit rester au niveau local pour l’intégration au réseau Azure. Le modèle architectural doit prendre en compte l’utilisation de la connectivité au réseau Azure pour plusieurs bureaux satellites. Vous souhaitez utiliser une architecture réseau hybride qui accorde l’accès à vos ressources locales et cloud.
Pour gérer la migration, vous créez un plan d’intégration réseau pour Azure comprenant une sélection des meilleures options de réseau hybride disponibles dans Azure. Les options doivent répondre aux exigences de l’organisation en matière de connectivité hybride.
Dans cette unité, vous allez explorer la connectivité locale sur la plateforme Azure. Vous obtiendrez également une vue d’ensemble du réseau virtuel Azure et découvrirez comment utiliser une passerelle VPN Azure pour sécuriser le trafic à destination d’un réseau local.
À propos de Réseau virtuel Azure
Le service Réseau virtuel Azure regroupe un ensemble spécifique d’outils et de ressources à l’aide desquels vous pouvez créer une architecture réseau basée sur le cloud pour votre organisation. Les réseaux virtuels Azure fournissent un canal de communication virtuel sécurisé pour toutes les ressources Azure autorisées au sein de votre abonnement.
Avec un réseau virtuel Azure, vous pouvez :
- Connecter des machines virtuelles à Internet.
- Fournir des communications sécurisées entre les ressources Azure hébergées dans différents centres de centres et régions.
- Isoler et gérer des ressources Azure.
- Établir une connexion à des ordinateurs locaux.
- Gérer le trafic réseau.
Par défaut, toutes les ressources Azure au sein d’un réseau virtuel ont une connectivité sortante à Internet. Les communications entrantes externes doivent passer par un point de terminaison public. Toutes les ressources internes utilisent un point de terminaison privé pour accéder au réseau virtuel.
Un réseau virtuel se compose de nombreux éléments. Citons notamment les interfaces réseau, les équilibreurs de charge, les sous-réseaux, les groupes de sécurité réseau et les adresses IP publiques. Ces éléments fonctionnent ensemble et permettent une communication réseau sécurisée et fiable entre vos ressources Azure, Internet et les réseaux locaux.
Routage du trafic sur un réseau virtuel Azure
Le trafic sortant d’un sous-réseau est routé en fonction de l’adresse IP de destination. Une table de routage définit comment le trafic est routé et ce qui se passe ensuite. Une adresse IP de destination peut exister pour plusieurs définitions de préfixe de table de routage (par exemple : 10.0.0.0/16 et 10.0.0.0/24). Le routeur utilise un algorithme sophistiqué pour trouver la correspondance de préfixe la plus longue. Le trafic à destination d’une adresse 10.0.0.6 est résolu en préfixe 10.0.0.0/24 et routé en conséquence.
Il existe deux tables de routage principales : système et personnalisées.
Tables de routage système
Azure crée automatiquement un ensemble de tables de routage par défaut pour le réseau virtuel et chaque masque de sous-réseau dans le réseau virtuel. Ces routes système sont fixes et ne peuvent être ni modifiées ni supprimées. Vous pouvez toutefois remplacer les paramètres par défaut à l’aide d’une table de routage personnalisée.
Une table de routage par défaut standard peut se présenter comme suit :
Source | Préfixes d’adresse | Type de tronçon suivant |
---|---|---|
Default | Propre au réseau virtuel | Réseau virtuel |
Default | 0.0.0.0/0 | Internet |
Default | 10.0.0.0/8 | None |
Par défaut | 172.16.0.0/12 | Aucun |
Default | 192.168.0.0/16 | None |
Default | 100.64.0.0/10 | Aucun |
Une table de routage se compose d’une source, d’un préfixe d’adresse et d’un type de tronçon suivant. Tout le trafic qui quitte le sous-réseau utilise la table de routage pour savoir où il doit aller ensuite. En fait, le trafic recherche le tronçon suivant dans son parcours.
Un tronçon suivant définit ce qui arrive ensuite au flux de trafic en fonction du préfixe. Il existe trois types de tronçons suivants :
- Réseau virtuel : le trafic est routé en fonction de l’adresse IP au sein du réseau virtuel.
- Internet : le trafic est routé à Internet.
- Aucun : le trafic est supprimé.
Tables de routage personnalisées
En plus des tables de routage définies par le système, vous pouvez créer des tables de routage personnalisées. Ces tables de routage définies par l’utilisateur remplacent la table système par défaut. Le nombre d’éléments de routage que vous pouvez avoir dans une table personnalisée est limité.
Le tableau suivant présente quelques-unes des nombreuses limitations qui s’appliquent aux réseaux virtuels :
Ressource | Valeur par défaut ou nombre maximal |
---|---|
Réseaux virtuels | 1 000 |
Nombre de sous-réseaux par réseau virtuel | 3 000 |
Peerings VNet par réseau virtuel | 500 |
Adresses IP privées par réseau virtuel | 65 536 |
Tout comme la table de routage système, les tables de routage personnalisées ont un type de tronçon suivant. Mais les tables de routage personnalisées offrent quelques options supplémentaires :
- Appliance virtuelle : il s’agit généralement d’une machine virtuelle qui exécute une application réseau spécifique, par exemple un pare-feu.
- Passerelle de réseau virtuel : utilisez cette option quand vous souhaitez envoyer du trafic vers une passerelle de réseau virtuel. Le type d’une passerelle de réseau virtuel doit être VPN. Le type ne peut pas être Azure ExpressRoute, qui nécessite la définition d’un processus de routage BGP (Border Gateway Protocol).
- Aucun : cette option supprime le trafic au lieu de le transférer.
- Réseau virtuel : cette option vous permet de remplacer un routage système par défaut.
- Internet : cette option vous permet de spécifier le transfert du trafic vers Internet pour n’importe quel préfixe.
Connecter des réseaux virtuels Azure
Vous pouvez connecter vos réseaux virtuels de plusieurs manières. Vous pouvez soit utiliser une passerelle VPN Azure ou ExpressRoute, soit utiliser directement la méthode d’appairage.
Passerelle VPN Azure
Pour intégrer votre réseau local à Azure, vous devez établir un pont entre les deux. La passerelle VPN est un service Azure qui fournit cette fonctionnalité. Une passerelle VPN peut envoyer un trafic chiffré entre les deux réseaux. Les passerelles VPN prennent en charge plusieurs connexions, ce qui leur permet de router des tunnels VPN utilisant n’importe quelle bande passante disponible. Une seule passerelle peut être affectée à un réseau virtuel. Les passerelles VPN peuvent également être utilisées pour les connexions entre des réseaux virtuels dans Azure.
Lorsque vous implémentez une passerelle VPN, vous devez déployer deux machines virtuelles ou plus sur le sous-réseau créé lorsque vous avez configuré le réseau virtuel. Dans ce cas, le sous-réseau est également appelé sous-réseau de passerelle. Une configuration par défaut est affectée à chaque machine virtuelle pour les services de routage et de passerelle, spécifique à la passerelle provisionnée. Vous ne pouvez pas configurer ces machines virtuelles directement.
Quand vous créez une passerelle, plusieurs topologies sont disponibles. Ces topologies, également appelées types de passerelle, déterminent ce les éléments configurés et le type de connexion attendu.
Site à site
Vous utilisez une connexion site à site pour les configurations « entre locaux » et « réseau hybride ». Avec cette topologie de connexion, l’appareil VPN local doit avoir avec une adresse IP accessible publiquement et ne pas se trouver derrière une traduction d'adresses réseau (NAT). La connexion utilise une chaîne ASCII secrète pouvant contenir jusqu’à 128 caractères pour l’authentification entre la passerelle et l’appareil VPN.
Multisite
Une connexion multisite est similaire à une connexion site à site, avec toutefois une légère différence. Une configuration multisite prend en charge plusieurs connexions VPN à vos appareils VPN locaux. Cette topologie de connexion nécessite un VPN RouteBased appelé « passerelle dynamique ». Dans une configuration multisite, il est important de noter que toute la bande passante disponible est partagée pour router l’ensemble des connexions.
Point à site
Une connexion point à site est adaptée à un appareil client individuel distant qui se connecte à votre réseau. Vous devez authentifier l’appareil client en utilisant Microsoft Entra ID ou l’authentification par certificat Azure. Ce modèle est adapté aux scénarios de travail à domicile.
Réseau à réseau
Une connexion réseau à réseau vous permet de créer des connexions entre plusieurs réseaux virtuels Azure. Contrairement aux autres topologies de connexion, celle-ci ne demande ni adresse IP publique ni appareil VPN. Vous pouvez également utiliser une connexion réseau à réseau dans une configuration multisite combinant des connexions entre locaux et une connectivité entre réseaux virtuels.
ExpressRoute
ExpressRoute crée une connexion directe entre votre réseau local et le réseau virtuel Azure qui n’utilise pas Internet. Vous pouvez utiliser ExpressRoute pour étendre votre réseau local à l’espace de réseau virtuel Azure de façon fluide. De nombreux fournisseurs de connectivité autres que Microsoft proposent le service ExpressRoute. Il existe trois types de connexions ExpressRoute :
- Colocation CloudExchange
- Connexions Ethernet point à point
- Connexion universelle (IPVPN)
Appairage
L’appairage de réseaux virtuels peut s’étendre à plusieurs abonnements et régions Azure. Une fois les réseaux virtuels appairés, les ressources de ces réseaux communiquent entre elles comme si elles se trouvaient sur le même réseau. Le trafic est routé entre les ressources en utilisant uniquement des adresses IP privées. Un réseau virtuel appairé route le trafic par le biais du réseau Azure et garde la connexion privée dans le cadre du réseau principal Azure. Le réseau principal fournit des connexions réseau à faible latence et à bande passante élevée.
Architecture de référence de la passerelle VPN site à site
Bien que de nombreuses architectures de référence soient disponibles quand vous concevez un réseau hybride, la configuration site à site est une architecture répandue. L’architecture de référence simplifiée présentée dans le diagramme suivant vous montre comment connecter un réseau local à la plateforme Azure. La connexion Internet utilise un tunnel VPN IPsec.
L’architecture comprend plusieurs composants :
- Le réseau local représente votre annuaire Active Directory local et toutes les données ou ressources.
- La passerelle est chargée d’envoyer le trafic chiffré à une adresse IP virtuelle quand elle utilise une connexion publique.
- Le réseau virtuel Azure contient toutes vos applications cloud et tous les composants de passerelle VPN Azure.
- Une passerelle VPN Azure fournit le lien chiffré entre le réseau virtuel Azure et votre réseau local. Une passerelle VPN Azure se compose de ces éléments.
- Passerelle de réseau virtuel
- Passerelle de réseau local
- Connexion
- Sous-réseau de passerelle
- Les applications cloud sont celles que vous avez mises à disposition par le biais d’Azure.
- Un équilibreur de charge interne, situé dans le front-end, route le trafic cloud à la ressource ou à l’application cloud appropriée.
L’utilisation de cette architecture offre plusieurs avantages, notamment :
- Les opérations de configuration et de maintenance sont simplifiées.
- L’utilisation d’une passerelle VPN garantit le chiffrement de l’ensemble des données et du trafic entre la passerelle locale et la passerelle Azure.
- L’architecture peut être mise à l’échelle et étendue pour répondre aux besoins en réseau de votre organisation.
Cette architecture ne convient toutefois pas à toutes les situations, car elle utilise une connexion Internet existante comme liaison entre les deux points de passerelle. Les contraintes de bande passante peuvent entraîner des problèmes de latence qui résultent de la réutilisation de l’infrastructure existante.