Configuration du peering pour un déploiement ExpressRoute
Un circuit ExpressRoute a deux options de peering associées : privé Azure et Microsoft. Chaque peering est configuré de manière identique sur une paire de routeurs (en configuration actif-actif ou de partage de la charge) pour la haute disponibilité. Les services Azure sont classés en Public Azure et Privé Azure pour représenter les schémas d’adressage IP.
Créer une configuration de peering
- Vous pouvez configurer une homologation privée et une homologation Microsoft pour un circuit ExpressRoute. Les peerings peuvent être configurés dans l’ordre de votre choix. Toutefois, vous devez veiller à finaliser une par une la configuration de chaque peering.
- Vous devez disposer d’un circuit ExpressRoute actif. Pour configurer des processus de Peering, le circuit ExpressRoute doit être dans un état approvisionné et activé.
- Si vous envisagez d’utiliser une clé partagée ou un hachage MD5, veillez à utiliser la clé des deux côtés du tunnel. La limite maximale est de 25 caractères alphanumériques. Les caractères spéciaux ne sont pas pris en charge.
Choisir entre le peering privé uniquement, le peering Microsoft uniquement, ou les deux
Le tableau ci-dessous compare les deux peerings. Le peering public est déprécié pour les nouveaux peerings.
| Caractéristiques | Peering privé | Peering Microsoft |
|---|---|---|
| Bande passante Nombre de préfixes pris en charge par peering | 4 000 par défaut, 10 000 avec ExpressRoute Premium | 200 |
| Plages d’adresses IP prises en charge | Toute adresse IP valide au sein de votre réseau étendu. | Adresses IP publiques détenues par vous ou par votre fournisseur de connectivité. |
| Exigences en matière de numéros AS | Numéros AS publics et privés Vous devez être propriétaire du numéro AS public si vous choisissez d’en utiliser un. | Numéros AS publics et privés Cependant, vous devez prouver la propriété des adresses IP publiques. |
| Protocoles IP pris en charge | IPv4, IPv6 (version préliminaire) | IPv4, IPv6 |
| Adresses IP de l’interface de routage | RFC1918 et adresses IP publiques | Adresses IP publiques enregistrées auprès de vous dans les registres de routage. |
| Prise en charge du hachage MD5 | Oui | Oui |
Vous pouvez activer un ou plusieurs domaines de routage dans le cadre de votre circuit ExpressRoute. Vous pouvez choisir de placer tous les domaines de routage sur le même VPN si vous souhaitez les combiner dans un domaine de routage unique. Nous vous recommandons de connecter le peering privé directement à votre réseau principal, et les peerings public et Microsoft à votre zone DMZ.
Chaque peering requiert des sessions BGP distinctes (une paire pour chaque type de peering). Les paires de session BGP fournissent un lien hautement disponible. Si vous vous connectez via des fournisseurs de connectivité de couche 2, il vous incombe de configurer et de gérer le routage.
Important
La prise en charge du protocole IPv6 pour le peering privé est actuellement en préversion publique. Si vous souhaitez connecter votre réseau virtuel à un circuit ExpressRoute avec un Peering privé IPv6 configuré, assurez-vous que votre réseau virtuel est à double pile et suivez les instructions relatives à IPv6 pour Azure VNet.
Configurer le peering privé Azure
Les services de calcul Azure, à savoir les machines virtuelles et les services cloud déployés au sein d’un réseau virtuel peuvent être connectés via le domaine de Peering privé. Le domaine de peering privé est considéré comme une extension de confiance de votre réseau de base dans Microsoft Azure. Vous pouvez configurer une connectivité bidirectionnelle entre votre réseau de base et les réseaux virtuels Azure. Ce peering vous permet de vous connecter aux machines virtuelles et services cloud directement sur leurs adresses IP privées.
Vous pouvez connecter plusieurs réseaux virtuels au domaine de peering privé. Vous pouvez consulter la page Limites, quotas et contraintes applicables à l’abonnement et au service Azure pour obtenir des informations actualisées sur les limites.
Configurer le peering Microsoft
La connectivité aux services en ligne Microsoft (Microsoft 365 et les services PaaS Azure) s’effectue via un Peering Microsoft. Vous pouvez activer la connectivité bidirectionnelle entre votre réseau étendu et les services cloud Microsoft via le domaine de routage de peering Microsoft. Vous devez vous connecter aux services cloud Microsoft uniquement via des adresses IP publiques détenues par vous ou votre fournisseur de connectivité. Vous devez également respecter toutes les règles définies.
Configurer des filtres de routage pour le peering Microsoft
Les filtres de routage permettent d’utiliser un sous-ensemble de services pris en charge via le peering Microsoft.
Les services Microsoft 365, comme Exchange Online, SharePoint Online et Skype Entreprise sont accessibles par le biais de l'appairage Microsoft. Quand l'homologation Microsoft est configurée dans un circuit ExpressRoute, tous les préfixes liés à ces services sont publiés via les sessions BGP établies. Une valeur de communauté BGP est attachée à chaque préfixe pour identifier le service qui est proposé par le biais du préfixe.
La connectivité à tous les services Azure et Microsoft 365 entraîne la publication de nombreux préfixes par le biais du protocole BGP. Le grand nombre de préfixes augmente considérablement la taille des tables de routage gérées par les routeurs au sein de votre réseau. Si vous envisagez d’utiliser uniquement un sous-ensemble des services offerts par le biais du peering Microsoft, vous pouvez réduire la taille de vos tables de routage de deux manières. Vous pouvez :
- Filtrer les préfixes indésirables en appliquant des filtres de routage sur les communautés BGP. Le filtrage du routage est une pratique de mise en réseau standard courante.
- Définir des filtres de routage et les appliquer à votre circuit ExpressRoute. Un filtre de routage est une ressource qui vous permet de sélectionner la liste des services que vous envisagez d’utiliser via le peering Microsoft. Les routeurs ExpressRoute envoient uniquement la liste des préfixes qui appartiennent aux services identifiés dans le filtre de routage.
À propos des filtres de routage
Quand l’homologation Microsoft est configurée sur votre circuit ExpressRoute, les routeurs Microsoft Edge établissent une paire de sessions BGP avec vos routeurs de périphérie via votre fournisseur de connectivité. Aucun routage n'est publié sur votre réseau. Pour activer les annonces de routage sur votre réseau, vous devez associer un filtre de routage.
Un filtre de routage vous permet d'identifier les services que vous souhaitez utiliser via le peering Microsoft de votre circuit ExpressRoute. Il s'agit essentiellement de la liste autorisée de toutes les valeurs de communauté BGP. Une fois qu'une ressource de filtre de routage est définie et associée à un circuit ExpressRoute, tous les préfixes qui mappent aux valeurs de communauté BGP sont publiés sur votre réseau.
Pour associer des filtres de routage à des services Microsoft 365, vous devez être autorisé à utiliser les services Microsoft 365 par le biais d'ExpressRoute. Si vous n'êtes pas autorisé à utiliser les services Microsoft 365 par le biais d'ExpressRoute, l'association des filtres de routage échoue.