Configurer le transit par passerelle VPN pour le peering de réseaux virtuels
Cet article explique comment configurer le transit par passerelle pour le peering de réseaux virtuels.Cet article explique comment configurer le transit par passerelle pour le peering de réseaux virtuels. Le peering de réseaux virtuels connecte en toute transparence deux réseaux virtuels Azure de manière à les fusionner en un seul réseau virtuel à des fins de connectivité. Le transit par passerelle est une propriété de peering qui permet à un réseau virtuel d'utiliser la passerelle VPN du réseau virtuel appairé pour la mise en œuvre d'une connectivité intersite ou de réseau virtuel à réseau virtuel. Le diagramme suivant illustre le fonctionnement du transit par passerelle avec le peering de réseaux virtuels.
Dans le diagramme, le transit par passerelle permet aux réseaux virtuels homologués d’utiliser la passerelle VPN du réseau virtuel Hub-RM. La connectivité disponible sur la passerelle VPN, notamment les connexions S2S, P2S et de réseau virtuel à réseau virtuel, s’applique aux trois réseaux virtuels. L'option de transit est disponible pour le peering entre des modèles de déploiement identiques ou différents. Si vous configurez le transit entre des modèles de déploiement différents, le réseau virtuel hub et la passerelle de réseau virtuel doivent se trouver dans le modèle de déploiement Resource Manager et non dans le modèle de déploiement classique.
Dans l’architecture réseau hub-and-spoke, le transit par passerelle permet aux réseaux virtuels spoke d’exploiter la passerelle VPN du hub, évitant ainsi d’avoir à déployer des passerelles VPN dans chaque réseau virtuel spoke. Les itinéraires vers les réseaux locaux ou les réseaux virtuels connectés à la passerelle sont propagés aux tables de routage pour les réseaux virtuels homologués à l’aide du transit par passerelle. Vous pouvez désactiver la propagation automatique des itinéraires à partir de la passerelle VPN. Créez une table de routage avec l’option Désactiver la propagation des itinéraires BGP et associez la table de routage aux sous-réseaux afin d’empêcher la distribution des itinéraires à ces derniers. Pour plus d’informations, consultez Virtual network routing table (Table de routage de réseau virtuel).
Cet article présente deux scénarios :
- Modèle de déploiement identique : les deux réseaux virtuels sont créés dans le modèle de déploiement Resource Manager.
- Modèles de déploiement différents : le réseau virtuel spoke est créé dans le modèle de déploiement classique tandis que le réseau virtuel hub et la passerelle se trouvent dans le modèle de déploiement Resource Manager.
Notes
Si vous apportez un changement à la topologie de votre réseau et que vous avez des clients VPN Windows, vous devez retélécharger et réinstaller le package client VPN pour les clients Windows afin d’appliquer ce changement au client.
Prérequis
Avant de commencer, vérifiez que vous disposez des réseaux virtuels et des autorisations ci-dessous :
Réseaux virtuels
| Réseau virtuel | Modèle de déploiement | Passerelle de réseau virtuel |
|---|---|---|
| Hub-RM | Resource Manager | Oui |
| Spoke-RM | Resource Manager | No |
| Spoke-Classic | Classique | No |
Autorisations
Les comptes que vous utilisez pour créer un peering de réseaux virtuels doivent être dotés des autorisations ou des rôles nécessaires. Dans l'exemple ci-dessous, si vous avez effectué un peering entre les deux réseaux virtuels nommés Hub-RM et Spoke-Classic, votre compte doit disposer des autorisations ou des rôles suivants pour chaque réseau virtuel :
| Réseau virtuel | Modèle de déploiement | Role | Autorisations |
|---|---|---|---|
| Hub-RM | Gestionnaire de ressources | Contributeur de réseau | Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write |
| Classique | Contributeur de réseau classique | N/A | |
| Spoke-Classic | Gestionnaire de ressources | Contributeur de réseau | Microsoft.Network/virtualNetworks/peer |
| Classique | Contributeur de réseau classique | Microsoft.ClassicNetwork/virtualNetworks/peer |
Apprenez-en davantage sur les rôles intégrés et l’affectation d’autorisations spécifiques aux rôles personnalisés (Gestionnaire des ressources uniquement).
Modèle de déploiement identique
Dans ce scénario, les réseaux virtuels se trouvent tous les deux dans le modèle de déploiement Resource Manager. Procédez comme suit pour créer ou mettre à jour les peerings de réseaux virtuels de manière à activer le transit par passerelle.
Pour ajouter un peering et activer le transit
Sur le portail Azure, créez ou mettez à jour le peering de réseaux virtuels à partir du réseau virtuel Hub-RM. Accédez au réseau virtuel Hub-RM. Sélectionnez Peerings, puis +Ajouter pour ouvrir Ajouter un peering.
Sur la page Ajouter un peering, configurez les valeurs de Ce réseau virtuel.
Nom du lien de peering : nommez le lien. Exemple : HubRMToSpokeRM
Trafic vers le réseau virtuel distant : Autoriser
Trafic transféré à partir du réseau virtuel distant : Autoriser
Passerelle de réseau virtuel : Utiliser la passerelle de ce réseau virtuel
Sur la même page, configurez les valeurs du réseau virtuel distant.
Nom du lien de peering : nommez le lien. Exemple : SpokeRMtoHubRM
Modèle de déploiement : Resource Manager
Réseau virtuel : Spoke-RM
Trafic vers le réseau virtuel distant : Autoriser
Trafic transféré à partir du réseau virtuel distant : Autoriser
Passerelle de réseau virtuel : Utiliser la passerelle du réseau virtuel distant
Sélectionnez Ajouter pour créer le peering.
Vérifiez que l'état du peering est défini sur Connecté pour les deux réseaux virtuels.
Pour modifier un peering existant en vue d'un transit
Si le peering a déjà été créé, vous pouvez le modifier pour le transit.
Accédez au réseau virtuel. Sélectionnez Peerings et choisissez le peering que vous souhaitez modifier.
Mettez à jour le peering de réseaux virtuels.
Trafic vers le réseau virtuel distant : Autoriser
Trafic transféré vers le réseau virtuel ; Autoriser
Passerelle de réseau virtuel : Utiliser la passerelle du réseau virtuel distant
Enregistrez les paramètres de peering.
Exemple de code PowerShell
Vous pouvez également utiliser PowerShell pour créer ou mettre à jour le peering avec l’exemple ci-dessous. Remplacez les variables par le nom de vos réseaux virtuels et de vos groupes de ressources.
$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name SpokeRMtoHubRM `
-VirtualNetwork $spokermvnet `
-RemoteVirtualNetworkId $hubrmvnet.Id `
-UseRemoteGateways
Add-AzVirtualNetworkPeering `
-Name HubRMToSpokeRM `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId $spokermvnet.Id `
-AllowGatewayTransit
Modèles de déploiement différents
Dans cette configuration, le réseau virtuel spoke Spoke-Classic se trouve dans le modèle de déploiement classique tandis que le réseau virtuel hub Hub-RM se trouve dans le modèle de déploiement Resource Manager. Lors de la configuration du transit entre les modèles de déploiement, la passerelle de réseau virtuel doit être configurée pour le réseau virtuel Resource Manager, et non pour le réseau virtuel classique.
Pour cette configuration, il vous suffit de configurer le réseau virtuel Hub-RM. Vous n'avez rien à configurer sur le réseau virtuel Spoke-Classic.
Sur le portail Azure, accédez au réseau virtuel Hub-RM, sélectionnez Peerings, puis sélectionnez +Ajouter.
Sur la page Ajouter un peering, configurez les valeurs suivantes :
Nom du lien de peering : nommez le lien. Exemple : HubRMToClassic
Trafic vers le réseau virtuel distant : Autoriser
Trafic transféré à partir du réseau virtuel distant : Autoriser
Passerelle de réseau virtuel : Utiliser la passerelle de ce réseau virtuel
Réseau virtuel distant : Classique
Vérifiez que l'abonnement est correct, puis sélectionnez le réseau virtuel dans la liste déroulante.
Sélectionnez Ajouter pour ajouter le peering.
Vérifiez que l'état de peering est défini sur Connecté pour le réseau virtuel Hub-RM.
Pour cette configuration, vous n’avez rien à configurer sur le réseau virtuel Spoke-Classic. Une fois que l'état indique Connecté, le réseau virtuel spoke peut utiliser la connectivité via la passerelle VPN du réseau virtuel hub.
Exemple de code PowerShell
Vous pouvez également utiliser PowerShell pour créer ou mettre à jour le peering avec l’exemple ci-dessous. Remplacez les variables par les valeurs de votre réseau virtuel et de votre groupe de ressources, et « subscription ID » par votre ID d’abonnement. Vous devez uniquement créer le peering de réseaux virtuels sur le réseau virtuel hub.
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name HubRMToClassic `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId "/subscriptions/<subscription Id>/resourceGroups/Default-Networking/providers/Microsoft.ClassicNetwork/virtualNetworks/Spoke-Classic" `
-AllowGatewayTransit
Étapes suivantes
- Prenez connaissance des comportements et contraintes importants du peering de réseaux virtuels et les paramètres de peering de réseaux virtuels avant d’en créer un pour une utilisation en production.
- Découvrez comment créer une topologie de réseau de type hub et spoke avec le peering de réseaux virtuels et le transit par passerelle.
- Créez un peering de réseaux virtuels avec le même modèle de déploiement.
- Créez un peering de réseaux virtuels avec des modèles de déploiement différents.