Implémenter Azure ExpressRoute

  • 15 minutes

L’équipe de sécurité informatique de Contoso est préoccupée par l’implémentation d’une connexion VPN entre ses centres de données et le cloud Microsoft. En investiguant les options de la passerelle VPN, vous avez découvert qu’ExpressRoute est une solution potentielle. Avec ExpressRoute, les connexions ne passent pas par Internet, ce qui réduit les menaces de sécurité éventuelles pour les données en transit entre l’infrastructure d’entreprise de Contoso et les ressources Azure des centres de données Microsoft.

Présentation d’ExpressRoute

ExpressRoute permet de connecter votre organisation aux ressources Azure. Quand vous implémentez ExpressRoute, vous pouvez implémenter les options de connexion suivantes :

  • Connexion VPN de type « any-to-any ». Vous permet d’intégrer votre réseau WAN avec Azure. Azure s’intègre avec votre connexion WAN pour fournir une connexion transparente. Avec les connexions universelles, tous les fournisseurs WAN offrent une connectivité de couche 3.
  • Connexion Ethernet P2P. Fournit une connectivité de Couche 2 et de Couche 3 entre votre site local et Azure. Vous connectez vos centres de données ou vos bureaux à Azure à l’aide des liaisons P2P.
  • Colocation CloudExchange. Offre généralement des connexions de Couche 2 et de Couche 3 entre l’infrastructure de votre organisation, située dans une installation de colocation, par exemple chez un ISP (fournisseur de services Internet), et le cloud Microsoft.

Notes

La connectivité ExpressRoute ne se fait pas via Internet, ce qui signifie que les connexions ont une latence plus faible, qu’elles sont à haut débit et qu’elles sont plus sécurisées.

Le graphisme suivant affiche un scénario classique pour les connexions ExpressRoute doubles.

Un diagramme identifie les façons dont vous pouvez utiliser les connexions ExpressRoute. Dans le graphisme, le réseau d’un client est connecté au réseau de périphérie d’un partenaire. Deux connexions, une principale et une secondaire, sont établies avec le réseau de périphérie de Microsoft. Le trafic est routé via les deux circuits vers le peering Microsoft pour Office 365 et les services associés ainsi que vers d’autres VNet à l’aide du peering privé Azure.

ExpressRoute est l’une des trois solutions que vous pouvez utiliser pour connecter votre réseau local à Azure. Les deux autres connexions, S2S et P2S, sont décrites dans le tableau suivant.

Autre solution Description
VPN S2S Vous permet de connecter votre réseau local à Azure via un tunnel IPsec/IKE pour créer un réseau hybride. Pour activer une connexion S2S, vous configurez un périphérique VPN local avec une adresse IP publique. Vous connectez ensuite ce périphérique à un VNet Azure via une passerelle Azure VNet.
VPN P2S Vous permet d’établir une connexion sécurisée entre des ordinateurs individuels et des ressources situées dans un réseau local. Cette solution est utile pour les organisations qui souhaitent activer des connexions vers Azure à partir d’emplacements distants tels que les domiciles des utilisateurs. Les connexions P2S sont utiles si vous n’avez que quelques clients qui doivent se connecter à un VNet.

Azure ExpressRoute est plus probablement le service approprié dans les scénarios suivants :

  • Pour les organisations qui migrent des systèmes locaux d’entreprise vers Azure
  • Pour les réseaux sécurisés, où il est souhaitable d’éviter Internet
  • Pour les grands centres de données avec de nombreux utilisateurs et systèmes accédant à des systèmes et produits SaaS (software as a service)

Utilisez ExpressRoute dans les situations suivantes :

  • Pour implémenter une connectivité à faible latence aux services cloud
  • Pour accéder à des systèmes cloud de grande ampleur qui fonctionnent avec de grands volumes de données
  • Pour permettre la connexion aux services cloud Microsoft, tels qu’Office 365 et Microsoft Dynamics 365

Avantages d’ExpressRoute

ExpressRoute offre un certain nombre d’avantages par rapport à d’autres options de connectivité, comme indiqué dans le tableau suivant.

Fonctionnalité Avantage
Connectivité de couche 3 Il peut s’agir de connexions de type P2P, « any-to-any » ou d’interconnexions virtuelles par échange.
Redondance intégrée Chaque fournisseur de connectivité utilise des périphériques redondants pour garantir une haute disponibilité.
Connectivité aux services de cloud Microsoft Prend en charge les connexions à Office 365, à Dynamics 365 et aux services Azure tels que Machines virtuelles Azure, Azure Cosmos DB et Stockage Azure.
Connectivité locale avec ExpressRoute Global Reach Vous permet de connecter vos centres de données privés via plusieurs circuits ExpressRoute, et permet au trafic entre les centres de données de circuler via le réseau Microsoft.
Routage dynamique Permet un routage dynamique entre votre infrastructure locale et les services s’exécutant dans le cloud Microsoft. Utilise le protocole BGP (Border Gateway Protocol), qui échange les routes entre les réseaux locaux et les ressources s’exécutant dans Azure.

Fonctionnement

Pour implémenter ExpressRoute, vous devez collaborer avec un partenaire ExpressRoute. Le partenaire fournit une connexion autorisée et authentifiée appelée service de périphérie. Grâce à ce service de périphérie, vous pouvez connecter votre organisation au cloud Microsoft. Le partenaire que vous sélectionnez active la connexion au routeur de périphérie du cloud Microsoft, appelé point de terminaison ExpressRoute. Les connexions via le service de périphérie vers le point de terminaison ExpressRoute sont appelées circuits. Les circuits sont établis via une liaison privée, et non via Internet.

Prérequis

Pour permettre l’implémentation d’un circuit ExpressRoute, votre organisation doit remplir un certain nombre de prérequis, notamment :

  • Collaborer avec un partenaire de connectivité ExpressRoute ou un fournisseur d’échange cloud.

Notes

Ces organisations facilitent le provisionnement du circuit.

  • Inscrire votre abonnement Azure auprès de votre partenaire de connectivité ExpressRoute.
  • Demander un circuit ExpressRoute à l’aide d’un compte Azure actif.
  • Éventuellement, disposer d’un abonnement Office 365 actif pour la connectivité aux services Office 365.

Dans la mesure où ExpressRoute fonctionne par peering de votre infrastructure locale avec les réseaux Microsoft Cloud, les ressources de vos réseaux peuvent communiquer directement avec les ressources hébergées par Microsoft. Toutefois, pour permettre la prise en charge de ces peerings, vous devez :

  • Vérifier que vous avez configuré les sessions BGP nécessaires pour les domaines de routage.
  • Implémenter un service NAT (traduction d’adresses réseau) pour traduire les adresses IP privées utilisées localement en adresses IP publiques.
  • Réserver plusieurs blocs d’adresses IP dans votre réseau pour router le trafic vers le cloud Microsoft.

Conseil

Vous devez configurer ces blocs réservés sous forme d’un sous-réseau /29 ou de deux sous-réseaux /30 dans votre espace d’adressage IP.

Configurer ExpressRoute

Pour faciliter la connexion aux ressources Microsoft dans Azure à l’aide d’ExpressRoute, vous devez effectuer un certain nombre d’étapes générales qui permettront l’établissement d’une connexion ExpressRoute. Vous devez respecter les consignes suivantes :

  • Créer un circuit.
  • Créer une configuration de peering.
  • Connecter un VNet à un circuit ExpressRoute.

Créer un circuit

Pour créer un circuit, connectez-vous au portail Azure, puis utilisez la procédure suivante :

  1. Dans le portail Azure, sélectionnez Créer une ressource.

  2. Sélectionnez Réseau, puis ExpressRoute.

  3. Dans le panneau Créer un circuit ExpressRoute, sélectionnez l’Abonnement, le Groupe de ressources et la Région, puis entrez le nom de votre circuit.

  4. Sélectionnez Suivant : Configuration>.

  5. Sous l’onglet Configuration, configurez les informations suivantes :

    • Type de port. Sélectionnez Fournisseur.
    • Sélectionnez le Fournisseur.
    • Sélectionnez l’Emplacement du peering.
    • Choisissez la Bande passante.
    • Sélectionnez le SKU.

    Capture d’écran du panneau Créer un circuit ExpressRoute, onglet Configuration. Le type du port est Fournisseur. Le fournisseur est British Telecom. L’emplacement du peering est London (Londres). La bande passante est de 1 Gbits/s. La référence SKU Standard est sélectionné.

  6. Sélectionnez Examiner + créer, puis sélectionnez Créer.

Quelques minutes sont nécessaires pour effectuer le provisionnement du circuit. À la fin de l’opération, ouvrez la ressource créée. Dans la page Vue d’ensemble de votre circuit, notez que l’État du circuit est Activé mais que l’État du fournisseur est Non provisionné. Ces valeurs signifient que du côté de Microsoft, le circuit est prêt à accepter les connexions, mais que du côté du fournisseur, le circuit n’a pas encore été configuré.

Capture d’écran de la page ContosoExpressRoute dans le portail Azure. L’état du circuit est Activé, mais l’état du fournisseur est Non approvisionné.

Créer une configuration de peering

L’étape suivante consiste à configurer les peerings. Vous pouvez consulter les peerings du circuit sous l’onglet Vue d’ensemble. Vous pouvez créer un peering privé Azure, un peering public Azure et un peering Microsoft. Dans ce cas, vous devrez créer un peering privé Azure et un peering Microsoft.

Configurer le peering privé Azure

Vous utilisez un peering privé pour connecter votre réseau à vos VNet s’exécutant dans Azure. Pour configurer un peering privé, vous devez fournir les informations suivantes :

  • ASN du pair. Numéro ASN (numéro de système autonome) pour votre côté du peering.
  • Sous-réseau principal. Il s’agit d’une plage d’adresses du sous-réseau /30 principal que vous créez dans votre réseau.
  • Sous-réseau secondaire. Il s’agit de la plage d’adresses de votre sous-réseau /30 secondaire.
  • ID du réseau local virtuel. Il s’agit du réseau VLAN (réseau local virtuel) sur lequel vous souhaitez activer le peering.
  • Clé partagée. Il s’agit d’une clé facultative utilisée pour encoder les messages qui passent par le circuit.

Pour modifier le peering privé Azure, dans le panneau Circuit ExpressRoute, dans la page Peerings, sélectionnez Privé Azure, puis configurez les valeurs nécessaires.

Configurer le peering Microsoft

Vous utilisez le peering Microsoft pour vous connecter à Office 365 et ses services connexes. Pour configurer le peering Microsoft, vous devez fournir les mêmes détails que pour un peering privé, mais vous devez également fournir les informations suivantes :

  • Préfixes publics publiés. Liste des préfixes d’adresses que vous allez utiliser au cours de votre session BGP.
  • ASN client. Valeur facultative.
  • Nom du registre de routage. Identifie le registre dans lequel vous inscrivez votre ASN client et les préfixes publics.

Notes

Vous pouvez uniquement configurer le peering quand l’état du Fournisseur a la valeur Provisionné.

Pour modifier le peering Microsoft, dans le panneau Circuit ExpressRoute, dans la page Peerings, sélectionnez Microsoft, puis configurez les valeurs nécessaires.

Capture d’écran du panneau pour le peering Microsoft.. Aucune valeur ne peut être configurée, car le circuit n’est pas approvisionné. Toutefois, les valeurs configurables sont celles qui ont déjà été décrites.

Connecter un VNet au circuit

Une fois que vous avez provisionné l’état du fournisseur et configuré les peerings, vous pouvez connecter un VNet au circuit. Pour ce faire, procédez comme suit :

  1. Dans le portail Azure, sélectionnez Créer une ressource.

  2. Recherchez et sélectionnez Passerelle de réseau virtuel.

  3. Dans le panneau Passerelle de réseau virtuel, sélectionnez Créer.

  4. Dans le panneau Créer une passerelle de réseau virtuel, créez la passerelle en spécifiant les propriétés appropriées : Abonnement, Nom et Région.

  5. Pour Type de passerelle, sélectionnez ExpressRoute.

    Capture d’écran du panneau Créer une passerelle de réseau virtuel. L’administrateur a configuré les valeurs décrites dans le texte précédent.

  6. Sélectionnez le SKU, puis sélectionnez le réseau virtuel auquel vous souhaitez vous connecter.

  7. Configurez la Plage d’adresses de sous-réseau de la passerelle et les paramètres de l’Adresse IP publique.

  8. Sélectionnez Examiner + créer, puis sélectionnez Créer.

Pour finir, connectez un peering à une passerelle VNet de la façon suivante :

  1. Dans la page Circuit ExpressRoute de votre circuit, sélectionnez Connexions.
  2. Dans la page Connexions, sélectionnez Ajouter.
  3. Dans la page Ajouter une connexion, affectez un nom à votre connexion, puis sélectionnez votre passerelle VNet.

À la fin de l’opération, votre réseau local est connecté via la passerelle VNet à votre VNet dans Azure. La connexion est établie à travers la connexion ExpressRoute.

Notes

Vous pouvez uniquement effectuer cette étape finale quand l’état du Fournisseur a la valeur Provisionné.

Documentation supplémentaire

Pour plus d’informations, consultez les documents suivants :