Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Cet article fournit une vue d’ensemble de la gestion des UDR, explique son importance, décrit son fonctionnement et des scénarios de routage courants que vous pouvez simplifier et automatiser à l’aide de la gestion des UDR.
Qu’est-ce que la gestion des UDR ?
Azure Virtual Network Manager vous permet de décrire le comportement de routage souhaité et d’orchestrer des itinéraires définis par l’utilisateur (UDR) pour créer et maintenir le comportement de routage souhaité. Les itinéraires définis par l’utilisateur répondent au besoin d’automatisation et de simplification dans la gestion des comportements de routage. Actuellement, vous devez créer manuellement des itinéraires définis par l’utilisateur (UDR) ou utiliser des scripts personnalisés. Toutefois, ces méthodes sont sujettes à des erreurs et sont trop complexes. Vous pouvez utiliser le hub géré par Azure dans Virtual WAN. Cette option présente certaines limites (telles que l’incapacité de personnaliser le hub ou le manque de prise en charge IPV6) qui ne sont pas pertinentes pour votre organisation. Avec la gestion des UDR dans votre gestionnaire de réseau virtuel, vous disposez d’un hub centralisé pour gérer et maintenir les comportements de routage.
Comment fonctionne la gestion des UDR ?
Dans le gestionnaire de réseau virtuel, vous allez créer une configuration de routage. Dans la configuration, vous créez des regroupements de règles afin de décrire les UDR nécessaires pour un groupe réseau (groupe réseau cible). Dans le regroupement de règles, les règles de routage sont utilisées pour décrire le comportement de routage souhaité pour les sous-réseaux ou les réseaux virtuels dans le groupe de réseau cible. Une fois la configuration créée, vous devez déployer la configuration pour qu’elle s’applique à vos ressources. Lors du déploiement, par défaut, tous les itinéraires sont stockés dans une table de routage située à l’intérieur d’un groupe de ressources géré par le gestionnaire de réseau virtuel. Vous pouvez également choisir d’utiliser et de mettre à jour des tables de routage existantes pour les sous-réseaux ciblés. Azure Virtual Network Manager crée de nouvelles tables de routage uniquement si nécessaire. L’option permettant d’utiliser et de mettre à jour les tables de routage existantes est actuellement une fonctionnalité en préversion qui nécessite l’API version 2025-01-01 et ultérieure.
Les configurations de routage créent des UDR pour vous en fonction de ce que spécifient les règles de routage. Par exemple, vous pouvez spécifier que le groupe de réseaux spoke, composé de deux réseaux virtuels, accède à l’adresse du service DNS via un pare-feu. Votre gestionnaire de réseau crée des UDR pour que ce comportement de routage soit appliqué.
Configuration de routage
Les configurations de routage sont les blocs de construction de la gestion des UDR. Elles servent à décrire le comportement de routage souhaité pour un groupe réseau. Une configuration de routage comporte les paramètres suivants :
| Attribut | Description |
|---|---|
| Nom | Nom de la configuration de routage. |
| Description | Description de la configuration du routage. |
Paramètres de collecte d’itinéraires
Une collection d’itinéraires comporte les paramètres suivants :
| Attribut | Description |
|---|---|
| Nom | Nom de la collection d’itinéraires. |
| Activer la propagation de routage BGP | Paramètres BGP pour la collection d’itinéraires. |
| Groupe réseau cible | Groupe réseau cible pour la collection d’itinéraires. |
| Règles d’itinéraire | Règles d’itinéraire qui décrivent le comportement de routage souhaité pour le groupe réseau cible. |
Paramètres de règle d’itinéraire
Chaque règle d’itinéraire se compose des paramètres suivants :
| Attribut | Description |
|---|---|
| Nom | Nom de la règle d’itinéraire. |
| Type de destination | |
| Adresse IP | L’adresse IP de la destination. |
| Plages d’adresses IP/CIDR de destination | Adresse IP ou plage CIDR de la destination. |
| Étiquette de service | Étiquette de service de la destination. |
| Type de tronçon suivant | |
| Passerelle de réseau virtuel | Passerelle de réseau virtuel comme tronçon suivant. |
| Réseau virtuel | Réseau virtuel comme tronçon suivant. |
| Internet | Internet comme tronçon suivant. |
| Appliance virtuelle | L'appareil virtuel comme prochain saut. |
| Adresse du tronçon suivant | Adresse IP du tronçon suivant. |
Pour chaque type de prochain saut, reportez-vous aux itinéraires définis par l’utilisateur.
Modèles de destination courants pour les adresses IP
Lors de la création de règles d’itinéraire, vous pouvez spécifier le type de destination et l’adresse. Lorsque vous spécifiez le type de destination en tant qu’adresse IP, vous pouvez spécifier les informations de l’adresse IP. Voici des modèles de destination courants :
| Destination du trafic | Description |
|---|---|
| Internet > Appliance virtuelle réseau | Pour le trafic destiné à Internet via une appliance virtuelle réseau, entrez 0.0.0.0/0 comme destination dans la règle. |
| trafic privé > Appliance virtuelle réseau | Pour le trafic destiné à l’espace privé via une appliance virtuelle réseau, entrez 192.168.0.0/16, 172.16.0.0/12, 40.0.0.0.0/24, 10.0.0.0/24 comme destination dans la règle. Ces destinations sont basées sur l’espace d’adressage IP privé RFC1918. |
| Réseau spoke > Appliance virtuelle réseau | Pour le trafic limité entre deux réseaux virtuels spoke qui se connectent via une appliance virtuelle réseau, entrez les CIDR des spokes comme destination dans la règle. |
Utiliser le pare-feu Azure comme tronçon suivant
Vous pouvez également choisir facilement un pare-feu Azure comme tronçon suivant en sélectionnant Importer l’adresse IP privée du pare-feu Azure lors de la création de votre règle d’acheminement. L’adresse IP du Pare-feu Azure est alors utilisée comme prochain saut.
Utiliser davantage de routes définies par l’utilisateur dans une seule table de routage
Dans la gestion UDR Azure Virtual Network Manager, les utilisateurs peuvent désormais créer jusqu’à 1 000 itinéraires définis par l’utilisateur dans une table de routage unique, par rapport à la limite traditionnelle de 400 itinéraires. Cette limite plus élevée permet des configurations de routage plus complexes, par exemple en dirigeant le trafic des centres de données locaux via un pare-feu vers chaque réseau virtuel représentant une branche dans une topologie de réseau en étoile. Cette capacité étendue est particulièrement utile pour gérer l’inspection et la sécurité du trafic dans les architectures réseau à grande échelle comportant de nombreuses branches.
Dans une topologie hub-and-spoke, il est courant que les utilisateurs exigent que le trafic réseau soit inspecté ou filtré par un pare-feu situé dans le réseau virtuel hub avant d’atteindre les réseaux virtuels spoke. Azure Virtual Network Manager prend en charge jusqu’à 1 000 réseaux virtuels spoke et vous permet de configurer la table de routage associée au sous-réseau de passerelle pour inclure jusqu’à 1 000 itinéraires définis par l’utilisateur. Pour configurer cela, procédez comme suit :
- Créez une instance Azure Virtual Network Manager.
- Créez un groupe réseau et incluez le sous-réseau de passerelle dans ce groupe réseau.
- Établissez une configuration de routage et créez une collection de règles, en définissant le groupe de réseaux cible comme celui créé à l’étape 2.
- Définissez une règle de routage en ajoutant les espaces d’adresses des réseaux virtuels spoke. Définissez le tronçon suivant sur « appliance virtuelle » et spécifiez l’adresse IP du pare-feu comme adresse du tronçon suivant.
- Déployez cette configuration de routage dans la région où se trouve le sous-réseau de passerelle.
Cette méthode permet à la table de routage du sous-réseau de passerelle de prendre en charge jusqu’à 1 000 itinéraires définis par l’utilisateur. Lorsque vous ajoutez un nouveau réseau virtuel spoke, incluez simplement ses espaces d’adressage dans la règle existante et redéployez la configuration de routage.
Scénarios de routage courants avec la gestion UDR
Voici les scénarios de routage courants que vous pouvez simplifier et automatiser à l’aide de la gestion des UDR.
| Scénarios de routage | Description |
|---|---|
| Réseau spoke -> Appliance virtuelle réseau -> Réseau spoke | Utilisez ce scénario pour le trafic limité entre deux réseaux virtuels spoke qui se connectent via une appliance virtuelle réseau. |
| Réseau Spoke -> Appliance virtuelle de réseau -> Point de terminaison ou service dans le réseau Hub | Utilisez ce scénario pour le trafic réseau spoke pour un point de terminaison de service dans un réseau hub qui se connecte via une appliance virtuelle réseau. |
| Sous-réseau -> Appliance virtuelle réseau -> Sous-réseau même dans le même réseau virtuel | |
| Réseau spoke -> Appliance virtuelle réseau -> Réseau local/Internet | Utilisez ce scénario lorsque vous disposez d’un trafic Internet sortant via une appliance virtuelle réseau ou un emplacement local, tel que des scénarios de réseau hybride. |
| Réseau croisé Hub-and-spoke via des appliances virtuelles réseau dans chaque hub | |
| Réseau Hub-and-spoke avec un réseau spoke vers un réseau local qui doit passer par l’appliance virtuelle réseau | |
| Passerelle -> Appliance virtuelle réseau -> Réseau spoke |
Utiliser le mode d’utilisation pour la gestion des UDR AVNM
Aperçu
Le mode UtiliserExisting permet à Azure Virtual Network Manager (AVNM) d’ajouter des itinéraires à une table de routage existante au lieu de en créer un.
Ce mode offre un meilleur contrôle, garantit la conformité aux stratégies organisationnelles et réduit la complexité opérationnelle lorsque les clients doivent conserver des conventions d’affectation de noms de ressources, des balises ou des structures de groupe de ressources existantes.
Comparaison:
- ManagedOnly (par défaut) : AVNM crée ou réutilise toujours sa propre table de routage managée.
- UseExisting : AVNM utilise la table de routage associée au sous-réseau existant, en ajoutant les itinéraires requis tout en préservant les propriétés de celle-ci.
Étape par étape : Activer le mode UseExisting
1. Activer via le portail ou l’API
- Ouvrez le portail AVNM ou utilisez l’API.
- Sélectionnez votre configuration de routage.
- Attribuez à la propriété
routeTableUsageModela valeurUseExisting.- Si une table de routage existe déjà sur le sous-réseau, AVNM ajoute les itinéraires requis.
- Si aucune table de routage n’est présente, AVNM en crée automatiquement une.
2. Basculement de modes
- Vous pouvez basculer entre
ManagedOnlyetUseExistingà tout moment. - Lorsque vous passez de ManagedOnly à UseExisting, notez que les tables de routage existantes sont gérées par AVNM, de sorte que les mises à jour manuelles et la réassociation peuvent être nécessaires pour aligner les configurations.
- Lorsque vous passez de UseExisting à ManagedOnly, supprimez les itinéraires créés par AVNM des tables de routage client. La réassociation n’est pas nécessaire , car AVNM gère automatiquement les nouvelles tables de routage.
Comportement
| Aspect | Descriptif |
|---|---|
| Préservation | Les propriétés existantes de la table de routage, telles que le nom, les balises et le groupe de ressources, sont conservées. |
| Modifications manuelles | AVNM ne suit pas les modifications manuelles. Toutes les modifications manuelles peuvent entraîner une dérive de configuration. |
| Conformité | AVNM respecte Azure Policy, les autorisations RBAC et les verrous de ressources. Vérifiez que les autorisations autorisent les mises à jour. |
| Tables partagées | Si plusieurs sous-réseaux partagent une table de routage unique, tous héritent des itinéraires AVNM, vérifiez avant d’activer. |
| Associations de sous-réseaux | AVNM ne supprime pas automatiquement les associations de sous-réseaux des tables de routage client existantes. Si un sous-réseau est supprimé du groupe réseau, son association reste intacte, ce qui signifie que le sous-réseau est toujours lié à la même table de routage. |
Partage et comportement de nettoyage des tables de routage
Lorsque plusieurs sous-réseaux de différents groupes réseau partagent la même table de routage, des itinéraires inattendus peuvent apparaître, car AVNM ne suit pas le sous-réseau qui ajoute des itinéraires spécifiques. Les clients doivent supprimer ou dissocier manuellement les sous-réseaux si des itinéraires non souhaités se produisent.
Si un sous-réseau active des propriétés telles que DisableBgpRoutePropagation, ces paramètres s’appliquent à l’ensemble de la table partagée. Les itinéraires restent dans la table jusqu’à ce que tous les sous-réseaux contributeurs ne soient pas gérés.
Lorsqu’un sous-réseau est supprimé d’un groupe réseau, AVNM cesse de le gérer, mais ne modifie pas l’association de table existante. AVNM supprime ses itinéraires uniquement lorsqu’aucun sous-réseau managé restant ne dépend d’eux. Les tables de routage créées par le client ne sont jamais supprimées, même lorsqu’elles sont laissées vides après le nettoyage.
Ajout d’autres réseaux virtuels
Lorsque vous ajoutez d’autres réseaux virtuels à un groupe de réseaux, la configuration de routage est automatiquement appliquée au nouveau réseau virtuel. Votre gestionnaire de réseau détecte automatiquement le nouveau réseau virtuel et lui applique la configuration de routage. Lorsque vous supprimez un réseau virtuel du groupe de réseaux, la configuration de routage appliquée est aussi automatiquement supprimée.
Les sous-réseaux nouvellement créés ou supprimés ont leur table de routage mise à jour avec une cohérence éventuelle. Le temps de traitement peut varier en fonction du volume de création et de suppression de sous-réseaux.
Impact de la gestion des UDR sur les routes et les tables de routage
Voici les impacts de la gestion des UDR avec Azure Virtual Network Manager sur les routes et les tables de routage :
- La gestion des UDR permet aux utilisateurs de créer jusqu’à 1 000 UDR par table de routage.
Les éléments suivants s’appliquent lorsque les utilisateurs choisissent d’utiliser des tables de routage gérées par AVNM.
- En cas de règles d’acheminement en conflit (règles avec la même destination mais des sauts suivants différents), seule l’une des règles en conflit sera appliquée, tandis que les autres seront ignorées. L’une des règles en conflit peut être sélectionnée de manière aléatoire. Notez que les règles en conflit au sein d’une même collection de règles ou entre plusieurs collections de règles ciblant le même réseau ou sous-réseau virtuel ne sont pas prises en charge.
- Lorsque vous créez une règle d’acheminement avec la même destination qu’un itinéraire existant dans la table de routage, la règle d’acheminement est ignorée.
- Lorsqu’une table de routage avec des UDR existants est présente, Azure Virtual Network Manager crée une table de routage managée qui inclut les itinéraires existants et les nouveaux itinéraires en fonction de la configuration de routage déployée.
- Les autres UDR ajoutés à une table de routage managée ne sont pas affectés et ne sont pas supprimés lorsque la configuration du routage est supprimée. Seuls les itinéraires créés par Azure Virtual Network Manager sont supprimés.
- Si un UDR managé Azure Virtual Network Manager est modifié manuellement dans la table de routage, cet itinéraire est supprimé lorsque la configuration est retirée de la région.
- Azure Virtual Network Manager n’interfère pas avec vos UDR existants. Il ajoute simplement les nouveaux UDR aux UDR actuels, ce qui garantit que votre routage continue de fonctionner comme il le fait maintenant. En outre, les UDR pour des services Azure spécifiques fonctionnent toujours avec les UDR de votre gestionnaire de réseau sans rencontrer de nouvelles limitations.
- Azure Virtual Network Manager nécessite un groupe de ressources managé pour stocker la table de routage. Si Azure Policy applique des balises ou des propriétés spécifiques sur des groupes de ressources, ces stratégies doivent être désactivées ou ajustées pour le groupe de ressources managé afin d’éviter les problèmes de déploiement. En outre, si vous devez supprimer ce groupe de ressources managé, assurez-vous que la suppression se produit avant de lancer de nouveaux déploiements pour les ressources dans le même abonnement.
Les éléments suivants s’appliquent lorsque les utilisateurs choisissent d’utiliser des tables de routage existantes.
- Lorsqu’une table de routage commune est attachée aux sous-réseaux dans différents groupes réseau/collections, les règles de toutes les collections sont ajoutées à la table de routage.
- Si un sous-réseau est supprimé d’un groupe réseau, ses règles ne sont pas supprimées de la table de routage, sauf si tous les sous-réseaux associés sont supprimés.