Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Azure Virtual Network Manager simplifie la gestion de la connectivité, de la sécurité, du routage et bien plus encore dans votre environnement réseau Azure. Les configurations de connectivité, notamment les topologies maillage et hub-and-spoke, vous aident à optimiser les performances et la connectivité réseau à l’échelle de votre organisation. Cet article traite des fonctionnalités telles que les groupes connectés à grande échelle et la connectivité de maillage global, ainsi que les cas d’utilisation et les paramètres de chaque topologie.
Configuration de la connectivité
Avec les configurations de connectivité, vous pouvez créer et gérer différentes topologies réseau en fonction des besoins de votre réseau. Vous pouvez choisir parmi deux topologies : maillage et hub-and-spoke. Les paramètres de votre configuration de connectivité définissent la connectivité entre vos réseaux virtuels. Vous définissez les réseaux virtuels pour lesquels vous souhaitez établir la connectivité via des groupes de réseaux. Votre configuration de connectivité utilise ensuite les groupes réseau pour établir la connectivité, comme décrit par votre topologie souhaitée parmi les réseaux virtuels dans les groupes de réseaux.
Si vous activez la suppression des peerings existants pour votre configuration de connectivité, Azure Virtual Network Manager supprime tous les peerings qui ne correspondent pas au contenu de cette configuration de connectivité, même si vous avez créé manuellement ces peerings après le déploiement de cette configuration. Si vous supprimez un réseau virtuel d’un groupe réseau utilisé dans la configuration, votre instance Azure Virtual Network Manager supprime uniquement la connectivité qu’elle a créée.
Lorsque vous déployez une configuration de connectivité, Azure Virtual Network Manager établit une connectivité bidirectionnelle via des peerings de réseaux virtuels (pour les topologies hub-and-spoke) ou via des groupes connectés (pour les topologies de maillage) entre les réseaux virtuels. Cette connectivité est établie en fonction des paramètres que vous définissez et des groupes réseau inclus dans votre configuration de connectivité.
Topologie de maillage
Une topologie de maillage définit la connectivité entre chaque réseau virtuel du groupe réseau. Tous les réseaux virtuels membres sont connectés et peuvent passer le trafic bidirectionnel entre eux.
Un cas d’usage courant d’une topologie de maillage consiste à autoriser les réseaux virtuels spoke dans une topologie hub-and-spoke à communiquer directement entre eux sans acheminer le trafic via le réseau virtuel hub. Cette approche réduit la latence pouvant autrement résulter du routage du trafic par un routeur dans le hub. En outre, vous pouvez maintenir la sécurité et la supervision des connexions directes entre les réseaux virtuels spoke en implémentant des règles d’administration de sécurité dans Azure Virtual Network Manager ou des règles de groupe de sécurité réseau. Le trafic peut également être surveillé et enregistré à l’aide des journaux de flux de réseau virtuel.
Par défaut, la topologie de maillage définie dans votre configuration de connectivité est un maillage régional, ce qui signifie que seuls les réseaux virtuels de la même région peuvent communiquer entre eux. Vous pouvez activer une option de maillage global dans votre configuration de connectivité pour établir la connectivité entre les réseaux virtuels dans toutes les régions Azure.
Remarque
Les espaces d’adressage de réseau virtuel peuvent se chevaucher dans une configuration de maillage, contrairement aux peerings de réseaux virtuels, mais le trafic entre les sous-réseaux avec des espaces d’adressage qui se chevauchent est supprimé, car le routage n’est pas déterministe.
Dans les coulisses : groupe connecté
Lorsque vous créez une topologie de maillage ou activez la connectivité directe dans une topologie hub-and-spoke, vous créez une construction de connectivité exclusive à Azure Virtual Network Manager. Cette construction est appelée groupe connecté. Les réseaux virtuels d’un groupe connecté peuvent communiquer entre eux, tout comme les réseaux virtuels connectés manuellement. Lorsque vous observez les itinéraires efficaces pour une interface réseau, vous voyez un type de tronçon suivant ConnectedGroup. Le réseau virtuel connecté ensemble dans un groupe connecté n’a pas de configuration d’appairage indiquée sous Appairages. Ce groupe connecté permet à Azure Virtual Network Manager de prendre en charge une plus grande échelle de connectivité de réseau virtuel que les peerings de réseaux virtuels traditionnels.
Remarque
Un réseau virtuel peut faire partie d’un maximum de deux groupes connectés, ce qui signifie qu’il peut faire partie jusqu’à deux topologies de maillage.
Activer des points de terminaison privés à grande échelle dans des groupes connectés Azure Virtual Network Manager
La fonctionnalité de point de terminaison privé à grande échelle d’Azure Virtual Network Manager dans la fonctionnalité de groupe connecté vous permet d’étendre votre capacité réseau. Utilisez les étapes suivantes pour activer cette fonctionnalité pour prendre en charge jusqu’à 20 000 points de terminaison privés sur le groupe connecté.
Préparer chaque réseau virtuel dans le groupe connecté
Passez en revue les Augmenter les limites de réseau virtuel du point de terminaison privé pour obtenir des conseils détaillés sur l’augmentation de ces limites. L’activation ou la désactivation de cette fonctionnalité lance une réinitialisation de connexion ponctuelle. Effectuez ces modifications pendant une fenêtre de maintenance.
Dans chaque réseau virtuel au sein de votre groupe connecté, configurez les stratégies de réseau de point de terminaison privé sur
EnabledouRouteTableEnabled. Ce paramètre garantit que vos réseaux virtuels sont prêts à prendre en charge les fonctionnalités de points de terminaison privés à grande échelle. Pour obtenir des instructions détaillées, consultez Augmenter les limites de réseau virtuel de point de terminaison privé.
Configurer la topologie de maillage pour les points de terminaison privés à grande échelle
Dans cette étape, vous configurez les paramètres de topologie de maillage de la configuration de connectivité pour votre groupe connecté afin d’activer les points de terminaison privés à grande échelle. Cette étape implique de sélectionner les options appropriées dans le portail Azure et de vérifier la configuration.
Dans votre configuration de connectivité de maillage, recherchez et cochez la case pour activer les points de terminaison privés à grande échelle. Cette option active la fonctionnalité à grande échelle pour votre groupe connecté.
Vérifiez que chaque réseau virtuel de votre maillage entier (groupe connecté) est configuré avec des points de terminaison privés à grande échelle. Le portail Azure valide les paramètres dans l’ensemble du groupe. Si vous ajoutez un réseau virtuel sans la configuration à grande échelle ultérieurement, il ne peut pas communiquer avec des points de terminaison privés dans d’autres réseaux virtuels.
Après avoir vérifié que tous les réseaux virtuels sont correctement configurés, déployez la configuration de la connectivité. Cette étape finalise la configuration de votre groupe connecté à grande échelle.
Activer la connectivité à grande échelle dans les groupes connectés Azure Virtual Network Manager
La fonctionnalité de connectivité à grande échelle d’Azure Virtual Network Manager dans la fonctionnalité de groupe connecté vous permet d’étendre votre capacité réseau. Pour utiliser cette fonctionnalité, inscrivez la fonctionnalité d’aperçu « AllowHighScaleConnectedGroup » (vous pouvez la trouver avec le nom complet « Activer le groupe connecté à grande échelle »). Cette fonctionnalité permet à un groupe connecté dans les régions prises en charge de contenir jusqu’à 5 000 réseaux virtuels.
Topologie hub-and-spoke
Une topologie hub-and-spoke définit la connectivité entre un réseau virtuel hub sélectionné et des réseaux virtuels spoke membres d’un ou plusieurs groupes de réseaux spoke sélectionnés. Ce réseau virtuel hub est appairé de manière bidirectionnelle à chaque membre de réseau virtuel du groupe de réseaux spoke dans la configuration. Cette topologie est utile pour isoler un réseau virtuel, tout en conservant la connectivité aux ressources courantes dans le réseau virtuel hub.
Dans cette configuration, vous pouvez activer des paramètres tels que la connectivité directe entre les réseaux virtuels spoke appartenant au même groupe de réseaux spoke. Par défaut, cette connectivité est établie uniquement pour les réseaux virtuels dans la même région. Pour autoriser la connectivité entre différentes régions Azure, vous devez activer le paramètre de maillage global pour le groupe de réseau spoke. Vous pouvez également activer le transit par passerelle pour autoriser les réseaux virtuels spoke à utiliser la passerelle VPN ou ExpressRoute déployée dans le réseau virtuel hub.
Activer la connectivité directe
Lorsque vous activez la connectivité directe pour un groupe de réseaux en étoile, vous créez un maillage et donc un groupe connecté à travers les réseaux virtuels de ce groupe de réseaux en étoile, en plus de votre topologie hub-and-spoke. La connectivité directe permet à un réseau virtuel de communiquer directement avec d’autres réseaux virtuels au sein de son groupe de réseaux spoke, mais elle n’active pas la connectivité avec les réseaux virtuels dans d’autres groupes de réseaux spoke.
Par exemple, vous créez deux groupes réseau et les incluez comme groupes de réseaux spoke dans la configuration de votre connectivité hub-and-spoke. Vous activez la connectivité directe pour le groupe réseau Production, mais pas pour le groupe réseau Test. Cette configuration connecte le réseau virtuel hub à tous les réseaux virtuels dans les groupes de réseaux de production et de test , mais permet uniquement aux réseaux virtuels du groupe de réseau de production de communiquer entre eux. Les réseaux virtuels du groupe de réseau de production n’ont pas de connectivité avec les réseaux virtuels du groupe de réseaux de test, et les réseaux virtuels du groupe de test n’ont pas de connectivité entre eux (sauf si vous activez également la connectivité directe pour le groupe de réseaux de test ).
Quand vous regardez les routes effectives sur Lorsque vous observez les itinéraires efficaces sur une machine virtuelle, l’itinéraire entre les réseaux virtuels hub et spoke présente le type de tronçon suivant : VNetPeering ou GlobalVNetPeering. Les itinéraires entre les réseaux virtuels en étoile s’affichent avec le type de tronçon suivant ConnectedGroup. Avec l’exemple Production et test , seul le groupe réseau de production a un Groupe connecté , car il a une connectivité directe activée.
La connectivité directe entre les réseaux virtuels spoke peut être utile lorsque vous souhaitez disposer d’une appliance virtuelle réseau (NVA) ou d’un service commun dans le réseau virtuel hub, mais que le hub n’a pas besoin d’être toujours accessible afin que les réseaux virtuels spoke approuvés communiquent entre eux. Par rapport aux réseaux hub-and-spoke traditionnels, cette topologie améliore les performances en supprimant le tronçon supplémentaire via le réseau virtuel hub.
Maillage global
Comme pour la topologie de maillage, un groupe de réseau spoke avec connectivité directe activée est configuré comme régional par défaut. Vous pouvez activer le maillage global lorsque vous souhaitez que les réseaux virtuels de votre groupe de réseaux spoke communiquent entre eux entre les différentes régions. Cette connectivité est limitée aux réseaux virtuels du même groupe de réseaux. Pour activer cette connectivité de maillage globale pour les réseaux virtuels entre les régions, vous devez activer la connectivité de maillage entre les régions pour le groupe réseau. Les connexions créées entre les réseaux virtuels spoke se trouvent dans un groupe connecté.
Utiliser le hub comme passerelle
Une autre option que vous pouvez activer dans une configuration hub-and-spoke consiste à utiliser le hub comme passerelle. Ce paramètre permet à tous les réseaux virtuels du groupe de réseau spoke d’utiliser la passerelle VPN ou ExpressRoute dans le réseau virtuel hub pour passer le trafic. Consultez Passerelles et connectivité locale.
Lorsque vous déployez une topologie hub-and-spoke à partir du portail Azure, l’option Utiliser le hub en tant que passerelle est activée par défaut pour les réseaux virtuels spoke dans le groupe réseau. Azure Virtual Network Manager tente de créer une connexion d’appairage de réseaux virtuels entre le réseau virtuel hub et les réseaux virtuels dans les groupes réseaux spoke. Si vous activez cette option, mais qu’une passerelle n’existe pas dans le réseau virtuel hub, la création du peering à partir du réseau virtuel spoke vers le hub échoue. La connexion de peering entre le hub et le spoke est toujours créée sans connexion établie.
Découvrir la topologie de groupe réseau avec vue Topologie
Pour vous aider à comprendre la topologie de votre groupe réseau, Azure Virtual Network Manager fournit une vue de topologie qui affiche la connectivité entre les groupes réseau et leurs réseaux virtuels membres. Vous pouvez afficher la topologie de votre configuration de connectivité lors de la création de votre configuration de connectivité en procédant comme suit :
Accédez à la page Configurations et créez une configuration de connectivité.
Sous l’onglet Topologie, sélectionnez votre type de topologie souhaité, ajoutez un ou plusieurs groupes réseau à la topologie et configurez d’autres paramètres de connectivité souhaités.
Sélectionnez l’onglet Afficher la topologie pour examiner visuellement la connectivité actuelle de votre configuration.
Terminez la création de votre configuration de connectivité.
Vous pouvez consulter la topologie actuelle d’une configuration de connectivité en sélectionnant Afficher la topologie sous Paramètres dans la page de détails de la configuration. La vue affiche la connectivité entre les réseaux virtuels qui font partie de cette configuration de connectivité.
Comment éviter les chevauchements d’adresses dans un maillage
Par défaut, Azure Virtual Network Manager autorise les adresses qui se chevauchent au sein d’un réseau de maillage. Si vous ajoutez deux réseaux virtuels avec le même espace d’adressage à un réseau de maillage, l’espace d’adressage qui se chevauche est supprimé du maillage, de sorte que la communication avec les ressources dans cet espace d’adressage ne fonctionne pas. Cette suppression se produit parce que lorsque le trafic est envoyé à cet espace d’adressage, Azure Virtual Network Manager ne peut pas déterminer quel réseau virtuel doit recevoir le trafic. Bien que ce comportement protège l’intégrité du maillage, il peut provoquer des pannes si vous ajoutez un nouveau réseau virtuel qui se chevauche à un maillage existant.
Azure Virtual Network Manager fournit un mécanisme permettant d’empêcher le chevauchement des espaces d’adressage IP au sein d’un maillage.
Utiliser la propriété ConnectedGroupAddressOverlap
La configuration de connectivité inclut une propriété : ConnectedGroupAddressOverlap
- Valeur par défaut : Autorisé
- Paramètre facultatif : non autorisé
Lorsque vous définissez cette propriété sur Disallowed, Azure Virtual Network Manager applique une politique stricte d'espaces d'adressage non-chevauchants à travers les réseaux virtuels connectés.
Que se passe-t-il quand vous activez Disallowed ?
Lorsque vous définissez la propriété Disallowedsur , Azure Virtual Network Manager valide les modifications d’adresse qui peuvent affecter la connectivité dans un maillage.
Ajout d’un réseau virtuel à un maillage
Azure Virtual Network Manager vérifie automatiquement que l’espace d’adressage du nouveau réseau virtuel ne chevauche pas les membres existants. S’il détecte un chevauchement, il n’ajoute pas le réseau virtuel au maillage.
Mise à jour de l’espace d’adressage ou ajout d’un peering
Azure Virtual Network Manager valide toute mise à jour qui peut affecter l’espace d’adressage global d’un maillage pour s’assurer qu’elle n’introduit pas de chevauchement. Parmi les exemples de modifications, citons la mise à jour de l’espace d’adressage d’un réseau virtuel en maillage, la création d’un peering vers un réseau virtuel membre d’un maillage ou la modification de l’espace d’adressage sur un réseau virtuel en peering.
Comment appliquer le peering à l’aide d’Azure Virtual Network Manager
Azure Virtual Network Manager vous permet d’appliquer des relations de peering au sein de votre topologie de réseau pour renforcer la gouvernance et la conformité. La mise en application garantit que vous ne pouvez pas supprimer ou modifier les peering en dehors d’Azure Virtual Network Manager. Cela s’applique à la fois aux nouveaux peerings et aux peerings existants au sein de la topologie hub-and-spoke.
Créer une configuration de connectivité hub-and-spoke avec une contrainte de peering
Pour contraindre le peering, vous devez activer l’option de contrainte du peering lors de la création d’une configuration de connectivité hub-and-spoke :
| Méthode | Instructions |
|---|---|
| portail Azure | Cochez la case Appliquer le peering lors de la configuration. |
| Azure CLI / Autres clients | Définissez la propriété peeringEnforcement dans connectivityCapabilities sur Enforced. |
Déployer la configuration de la connectivité
Après avoir créé et déployé cette configuration :
- Tous les peerings créés par Azure Virtual Network Manager ou les peerings client préexistants à l’intérieur de la topologie sont appliqués.
- Si un peering appartient à plusieurs topologies, toute configuration marquée comme appliquée applique ce peering.
Comment supprimer la contrainte sur le peering
Pour supprimer l'application des règles :
- Mettez à jour la configuration de connectivité vers
Unenforced. - Redéployez la configuration.
Étapes suivantes
- Découvrez comment créer une configuration de connectivité de maillage.
- Découvrez la création d’une configuration de connectivité hub-and-spoke.
- Créez une topologie hub-and-spoke sécurisée dans ce tutoriel.
- Découvrez comment déployer une topologie hub-and-spoke avec le Pare-feu Azure.
- Comprendre les déploiements de configuration pour gérer efficacement vos paramètres réseau.
- Bloquer le trafic réseau indésirable à l’aide de configurations d’administrateur de sécurité.
- Déployez Azure Virtual Network Manager à l’aide de Terraform pour configurer rapidement votre environnement.