Planifier et implémenter des routes définies par l’utilisateur (UDR)
Vous pouvez créer des routes personnalisées ou définies par l’utilisateur (statiques) dans Azure pour remplacer des routes système par défaut d’Azure ou pour ajouter d’autres routes à la table de routage d’un sous-réseau. Dans Azure, vous créez une table de routage, puis associez cette dernière à zéro ou plusieurs sous-réseaux du réseau virtuel. Chaque sous-réseau peut avoir zéro ou une table de routage associée. Pour en savoir plus sur le nombre maximal d’itinéraires que vous pouvez ajouter à une table de routage et le nombre maximal de tables de routage que vous pouvez créer par abonnement Azure, consultez limites Azure. Quand vous créez une table de routage et que vous l’associez à un sous-réseau, les routes de la table sont combinées aux routes par défaut du sous-réseau. En cas de conflit d’affectations d’itinéraires, les itinéraires définis par l’utilisateur remplacent itinéraires par défaut.
Vous pouvez spécifier les types suivants de tronçon suivants lors de la création d’un itinéraire défini par l’utilisateur :
Appliance virtuelle : une appliance virtuelle réseau est une machine virtuelle qui exécute une application réseau telle qu’un pare-feu. Pour en savoir plus sur les diverses appliances virtuelles réseau préconfigurées que vous pouvez déployer dans un réseau virtuel, consultez la Place de marché Azure. Lorsque vous créez un itinéraire avec le appliance virtuelle type de tronçon, vous également spécifiez les adresses IP de tronçon suivant. L’adresse IP peut être :
- L’adresse IP privée d’une interface réseau attachée à une machine virtuelle. L’optionActiver le transfert IP doit être activée pour toute interface réseau attachée à une machine virtuelle qui transfère le trafic réseau vers une adresse autre que celle qui lui appartient. Le paramètre désactive la vérification de la source et de destination pour une interface réseau par Azure. En savoir plus sur la façon d’activer le transfert IP pour une interface réseau. Bien que le paramètre Activer le transfert IP soit un paramètre Azure, il se peut qu’il soit également nécessaire d’activer le transfert IP au sein du système d’exploitation de la machine virtuelle pour que l’appliance transfère le trafic entre les adresses IP privées et les interfaces réseau Azure. Si l’appliance doit acheminer le trafic vers une adresse IP publique, elle doit acheminer le trafic via proxy ou effectuer une traduction d’adresses réseau (NAT) de l’adresse IP privée de la source vers sa propre adresse IP privée. Azure effectue ensuite une opération NAT vers une adresse IP publique avant d’envoyer le trafic vers Internet. Pour déterminer les paramètres requis pour la machine virtuelle, consultez la documentation de votre système d’exploitation ou application réseau. Pour comprendre les connexions sortantes dans Azure, consultez Comprendre les connexions sortantes dans Azure.
- L’adresse IP privée d’un équilibreur de charge interne Azure. Un équilibreur de charge est souvent utilisé dans le cadre d’une stratégie de haute disponibilité pour les appliances virtuelles du réseau.
- L’adresse IP privée d’une interface réseau attachée à une machine virtuelle. L’optionActiver le transfert IP doit être activée pour toute interface réseau attachée à une machine virtuelle qui transfère le trafic réseau vers une adresse autre que celle qui lui appartient. Le paramètre désactive la vérification de la source et de destination pour une interface réseau par Azure. En savoir plus sur la façon d’activer le transfert IP pour une interface réseau. Bien que le paramètre Activer le transfert IP soit un paramètre Azure, il se peut qu’il soit également nécessaire d’activer le transfert IP au sein du système d’exploitation de la machine virtuelle pour que l’appliance transfère le trafic entre les adresses IP privées et les interfaces réseau Azure. Si l’appliance doit acheminer le trafic vers une adresse IP publique, elle doit acheminer le trafic via proxy ou effectuer une traduction d’adresses réseau (NAT) de l’adresse IP privée de la source vers sa propre adresse IP privée. Azure effectue ensuite une opération NAT vers une adresse IP publique avant d’envoyer le trafic vers Internet. Pour déterminer les paramètres requis pour la machine virtuelle, consultez la documentation de votre système d’exploitation ou application réseau. Pour comprendre les connexions sortantes dans Azure, consultez Comprendre les connexions sortantes dans Azure.
Vous pouvez définir un itinéraire avec 0.0.0.0/0 comme préfixe d’adresse et un type de tronçon suivant d’appliance virtuelle. Cette configuration permet à l’appliance d’inspecter le trafic et de déterminer s’il faut transférer ou supprimer le trafic. Si vous envisagez de créer un itinéraire défini par l’utilisateur contenant le préfixe d’adresse 0.0.0.0/0, lisez d’abord la rubrique préfixe d’adresse 0.0.0.0/0.
- Passerelle de réseau virtuel : indiquez quand vous souhaitez que le trafic destiné à des préfixes d’adresse spécifiques soit routé vers une passerelle de réseau virtuel. La passerelle de réseau virtuel doit être créée avec le type VPN. Vous ne pouvez pas spécifier une passerelle de réseau virtuel créée en tant que type ExpressRoute sur une route définie par l’utilisateur, car ExpressRoute exige d’utiliser BGP pour les routes personnalisées. Vous ne pouvez pas spécifier de passerelles de réseau virtuel si vous avez des connexions VPN et ExpressRoute coexistantes. Vous pouvez définir un itinéraire qui dirige le trafic destiné au préfixe d’adresse 0.0.0.0/0 vers une passerelle de réseau virtuel basée sur un itinéraire. Dans votre environnement local, vous pouvez avoir un dispositif qui inspecte le trafic et détermine s’il faut le transférer ou le supprimer. Si vous envisagez de créer un itinéraire défini par l’utilisateur pour le préfixe d’adresse 0.0.0.0/0, lisez d’abord la rubrique préfixe d’adresse 0.0.0.0/0. Au lieu de configurer un itinéraire défini par l’utilisateur pour le préfixe d’adresse 0.0.0.0/0, vous pouvez publier un itinéraire avec le préfixe 0.0.0.0/0 via BGP, si vous avez activé BGP pour une passerelle de réseau virtuel VPN.
- Aucun : indiquez quand vous souhaitez supprimer le trafic vers un préfixe d’adresse, plutôt que de le transférer vers une destination. Si vous n’avez pas encore entièrement configuré une fonctionnalité, Azure peut définir l’option Aucun pour certains des itinéraires système facultatifs. Par exemple, si vous voyez que l’option Aucun est indiquée comme Adresse IP de tronçon suivant avec un Type de tronçon suivant défini sur Passerelle de réseau virtuel ou Équipement virtuel, c’est que l’appareil n’est pas en cours d’exécution ou n’est pas entièrement configuré. Azure crée des itinéraires système par défaut pour les préfixes d’adresse réservés avec Aucun en tant que type de tronçon suivant.
- Réseau virtuel : Spécifiez l’option de réseau virtuel quand vous souhaitez remplacer le routage par défaut au sein d’un réseau virtuel.
- Internet : Spécifiez l’option Internet quand vous souhaitez explicitement router le trafic destiné à un préfixe d’adresse à Internet, ou si vous souhaitez que le trafic destiné à des services Azure avec des adresses IP publiques reste dans le réseau principal Azure. Pour obtenir un exemple de raison pour laquelle vous pouvez créer un itinéraire avec le type de tronçon de réseau virtuel, consultez Exemple de routage.
Vous ne pouvez pas spécifier le type de tronçon suivant Appairage de réseaux virtuels ou VirtualNetworkServiceEndpoint dans les itinéraires définis par l’utilisateur. Les itinéraires avec les types de tronçon suivants Appairage de réseaux virtuels ou VirtualNetworkServiceEndpoint sont créés uniquement par Azure, lorsque vous configurez un appairage de réseaux virtuels ou un point de terminaison de service.
Étiquettes de service pour les itinéraires définis par l’utilisateur
Vous pouvez désormais spécifier une étiquette de service comme préfixe d’adresse d’un itinéraire défini par l’utilisateur au lieu d’une plage d’adresses IP explicite. Une balise de service représente un groupe de préfixes d’adresses IP d’un service Azure donné. Microsoft gère les préfixes d’adresse englobés par la balise de service et met à jour automatiquement la balise de service quand les adresses changent. Ce qui permet de réduire la complexité des mises à jour fréquentes des routes définies par l’utilisateur et de réduire le nombre de routes que vous avez besoin de créer. Vous pouvez actuellement créer jusqu’à 25 itinéraires avec des étiquettes de service dans chaque table de routage. Avec cette version, l’utilisation des étiquettes de service dans les scénarios de routage pour les conteneurs est également prise en charge.
Correspondance exacte
Le système privilégie l’itinéraire avec le préfixe explicite lorsqu’il existe une correspondance de préfixe exacte entre un itinéraire avec un préfixe IP explicite et un itinéraire avec une étiquette de service. Lorsque plusieurs itinéraires avec des étiquettes de service ont des préfixes d’adresse IP qui correspondent, les itinéraires sont évalués dans l’ordre suivant :
- Étiquettes régionales (par exemple, Storage.EastUS, AppService.AustraliaCentral)
- Étiquettes de niveau supérieur (par exemple, Stockage, AppService)
- Étiquettes régionales AzureCloud (par exemple, AzureCloud.canadacentral, AzureCloud.eastasia)
- L’étiquette AzureCloud
Pour utiliser cette fonctionnalité, spécifiez un nom d’étiquette de service pour le paramètre de préfixe d’adresse dans les commandes de table de routage. Par exemple, dans PowerShell, vous pouvez créer un nouvel itinéraire pour diriger le trafic envoyé vers un préfixe IP Stockage Azure vers une appliance virtuelle à l’aide de :
Azure PowerShell
$param = @{ Name = 'StorageRoute' AddressPrefix = 'Storage' NextHopType = 'VirtualAppliance' NextHopIpAddress = '10.0.100.4' } New-AzRouteConfig @param
La même commande pour l’interface CLI est la suivante :
Azure CLI
az network route-table route create \ --resource-group MyResourceGroup \ --route-table-name MyRouteTable \ --name StorageRoute \ --address-prefix Storage \ --next-hop-type VirtualAppliance \ --next-hop-ip-address 10.0.100.4