Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Cet article explique comment créer, modifier ou supprimer un peering de réseaux virtuels Azure. L'appariement des réseaux virtuels connecte des réseaux virtuels entre les régions en utilisant le réseau principal Azure. Pour en savoir plus, consultez la vue d’ensemble du peering de réseaux virtuels ou le didacticiel sur le peering de réseaux virtuels.
Prerequisites
Si vous n’avez pas de compte Azure avec un abonnement actif, créez-en un gratuitement. Effectuez une des tâches suivantes avant de commencer les étapes décrites dans la suite de cet article :
Connectez-vous au portail Azure avec un compte Azure qui possède les autorisations nécessaires pour utiliser l’appairage.
Créer un peering de réseaux virtuels
Avant de créer un peering, familiarisez-vous avec les exigences et contraintes ainsi qu’avec les autorisations nécessaires.
Dans la zone de recherche située en haut du portail Azure, entrez Réseau virtuel. Sélectionnez Réseaux virtuels dans les résultats de la recherche.
Dans Réseaux virtuels, sélectionnez le réseau pour lequel vous souhaitez créer un appairage.
Sous Peerings, sélectionnez Paramètres.
Sélectionnez Ajouter.
Entrez ou sélectionnez des valeurs pour les paramètres suivants, puis sélectionnez Ajouter.
Settings Description Résumé du réseau virtuel distant Nom du lien de peering Nom du Peering du réseau virtuel local. Le nom doit être unique au sein du réseau virtuel. Modèle de déploiement de réseau virtuel Sélectionnez le modèle de déploiement utilisé pour déployer le réseau virtuel avec lequel vous souhaitez effectuer le peering. Je connais mon ID de ressource Si vous avez accès en lecture au réseau virtuel avec lequel vous souhaitez effectuer le peering, laissez cette case décochée. Si vous n’avez pas accès en lecture au réseau virtuel ou à l’abonnement avec lequel vous voulez effectuer l’appairage, sélectionnez cette case à cocher. ID de ressource Ce champ apparaît quand vous cochez la case Je connais mon ID de ressource. L’ID de ressource que vous entrez doit être celui d’un réseau virtuel existant dans la même région Azure que ce réseau virtuel ou dans une autre région Azure prise en charge.
L’ID de ressource complet est semblable à/subscriptions/<Id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/virtualNetworks/<virtual-network-name>.
Vous pouvez obtenir l’ID de ressource d’un réseau virtuel en affichant les propriétés de celui-ci. Pour savoir comment afficher les propriétés d’un réseau virtuel, consultez Gérer des réseaux virtuels. Des autorisations utilisateur doivent être attribuées si l’abonnement est associé à un autre tenant Microsoft Entra que l’abonnement avec le réseau virtuel que vous utilisez pour effectuez le Peering. Ajoutez un utilisateur de chaque locataire en tant qu’utilisateur invité dans le locataire opposé.Subscription Sélectionnez l’abonnement du réseau virtuel avec lequel vous souhaitez effectuer le peering. Un ou plusieurs abonnements sont répertoriés, en fonction du nombre d’abonnements auxquels votre compte a accès. Réseau virtuel Sélectionnez le réseau virtuel distant. Paramètres d’appairage de réseaux virtuels distants Autoriser le réseau virtuel appairé à accéder à « vnet-1 » Cette option est sélectionnée par défaut.
- Sélectionnez cette option pour autoriser le trafic du réseau virtuel partenaire vers « vnet-1 ». Ce paramètre active la communication entre le « hub » et le « spoke » dans la topologie réseau hub-and-spoke et permet à une machine virtuelle dans le réseau virtuel appairé de communiquer avec une machine virtuelle dans « vnet-1 ». L’étiquette de service VirtualNetwork pour les groupes de sécurité réseau inclut le réseau virtuel et le réseau virtuel appairé lorsque ce paramètre est sélectionné. Pour en savoir plus sur les étiquettes de service, consultez Étiquettes de service Azure.Autoriser « le réseau virtuel appairé » à recevoir le trafic transféré depuis « vnet-1 » Cette option n’est pas sélectionnée par défaut.
– L’activation de cette option permet au réseau virtuel appairé de recevoir le trafic des réseaux virtuels appairés vers « vnet-1 ». Par exemple, si vnet-2 a une appliance virtuelle réseau qui reçoit du trafic extérieur à vnet-2 et qui le transfère vers vnet-1, vous pouvez sélectionner ce paramètre pour autoriser ce trafic à atteindre vnet-1 à partir de vnet-2. Si l’activation de cette fonctionnalité autorise le transfert du trafic via le peering, elle n’a pas pour effet de créer des itinéraires définis par l’utilisateur ou des appliances virtuelles. Les itinéraires définis par l’utilisateur et les appliances virtuelles sont créés séparément.Autoriser la passerelle ou le serveur de routes du réseau virtuel appairé à transférer le trafic vers « vnet-1 » Cette option n’est sélectionnée par défaut.
: l’activation de ce paramètre permet à « vnet-1 » de recevoir le trafic de la passerelle ou du serveur de routes des réseaux virtuels appairés. Pour que cette option soit activée, le réseau virtuel appairé doit contenir une passerelle ou un serveur de routes.Permettre au réseau virtuel appairé d’utiliser la passerelle distante ou le serveur de routes de « vnet-1 » Cette option n’est pas sélectionnée par défaut.
- Cette option ne peut être activée que si « vnet-1 » a une passerelle distante ou un serveur de routage et « vnet-1 » active « Autoriser la passerelle dans « vnet-1 » à transférer le trafic vers le réseau virtuel appairé. Cette option ne peut être activée que dans l’un des peerings des réseaux virtuels appairés.
Vous pouvez également sélectionner cette option, si vous souhaitez que ce réseau virtuel utilise le serveur de routage distant pour échanger des itinéraires, consultez Azure Route Server.
REMARQUE :Vous ne pouvez pas utiliser de passerelles distantes si vous avez déjà configuré une passerelle dans votre réseau virtuel. Pour en savoir plus sur l’utilisation d’une passerelle pour le transit, consultez Configurer une passerelle VPN pour le transit dans un peering de réseaux virtuels.Résumé du réseau virtuel local Nom du lien de peering Nom du Peering du réseau virtuel distant. Le nom doit être unique au sein du réseau virtuel. Paramètres d’appairage de réseaux virtuels locaux Autoriser « vnet-1 » à accéder au réseau virtuel appairé Cette option est sélectionnée par défaut.
: sélectionnez cette option pour autoriser le trafic de « vnet-1 » vers le réseau virtuel appairé. Ce paramètre permet la communication entre le « hub » et le « spoke » dans la topologie réseau hub-and-spoke et permet à une machine virtuelle dans « vnet-1 » de communiquer avec une machine virtuelle dans le réseau virtuel appairé.Autoriser « vnet-1 » à recevoir le trafic transféré du réseau virtuel appairé Cette option n’est pas sélectionnée par défaut.
- L’activation de cette option permet à « vnet-1 » de recevoir le trafic des réseaux virtuels connectés au réseau virtuel associé. Par exemple, si vnet-2 a une appliance virtuelle réseau qui reçoit le trafic de l’extérieur de vnet-2 qui est transféré à vnet-1, vous pouvez sélectionner ce paramètre pour autoriser ce trafic à atteindre vnet-1 depuis vnet-2. Si l’activation de cette fonctionnalité autorise le transfert du trafic via le peering, elle n’a pas pour effet de créer des itinéraires définis par l’utilisateur ou des appliances virtuelles. Les itinéraires définis par l’utilisateur et les appliances virtuelles sont créés séparément.Autoriser la passerelle ou le serveur de routes dans « vnet-1 » à transférer le trafic vers le réseau virtuel appairé Cette option n’est sélectionnée par défaut.
: l’activation de ce paramètre permet au réseau virtuel appairé de recevoir le trafic de la passerelle ou du serveur de routes de « vnet-1 ». Pour que cette option soit activée, « vnet-1 » doit contenir une passerelle ou un serveur de routes.Permettre à « vnet-1 » d’utiliser la passerelle distante ou le serveur de routes des réseaux virtuels appairés Cette option n’est pas sélectionnée par défaut.
- Cette option ne peut être activée que si le réseau virtuel appairé dispose d’une passerelle distante ou d’un serveur de routage et que le réseau virtuel appairé active « Autoriser la passerelle dans le réseau virtuel appairé à transférer le trafic vers « vnet-1 ». Cette option ne peut être activée que dans l’un des peerings « vnet-1 ».
Note
Si vous utilisez une passerelle de réseau virtuel pour envoyer le trafic local de manière transitive vers un réseau virtuel appairé, la plage d’adresses IP du réseau virtuel appairé doit concerner le trafic « intéressant » pour le périphérique VPN local. Vous devrez peut-être ajouter toutes les adresses CIDR du réseau virtuel Azure à la configuration du tunnel VPN IPsec site-2-Site sur l’appareil VPN local. Les adresses CIDR comprennent des ressources telles que les pools d'adresses IP Hub, Spokes et Point-2-Site. Dans le cas contraire, vos ressources locales ne peuvent pas communiquer avec les ressources du réseau virtuel appairé. Le trafic intéressant est communiqué par le biais d’associations de sécurité de phase 2. L’association de sécurité crée un tunnel VPN dédié pour chaque sous-réseau spécifié. Le niveau de passerelle VPN sur site et Azure doit prendre en charge le même nombre de tunnels VPN Site-à-Site et de sous-réseaux de réseau virtuel Azure. Dans le cas contraire, vos ressources locales ne peuvent pas communiquer avec les ressources du réseau virtuel appairé. Consultez la documentation de votre VPN local pour obtenir des instructions sur la création d’associations de sécurité de phase 2 pour chaque sous-réseau de réseau virtuel Azure spécifié.
- Sélectionnez le bouton Actualiser au bout de quelques secondes pour que l’état de l’appairage passe de Mise à jour à Connecté.
Pour obtenir des instructions pas à pas sur l’implémentation du peering entre des réseaux virtuels dans différents abonnements et modèles de déploiement, consultez la section Étapes suivantes.
Afficher ou modifier les paramètres de peering
Avant de modifier un peering, familiarisez-vous avec les exigences et contraintes ainsi qu’avec les autorisations nécessaires.
Dans la zone de recherche située en haut du portail Azure, entrez Réseau virtuel. Sélectionnez Réseaux virtuels dans les résultats de la recherche.
Sélectionnez le réseau virtuel dont vous souhaitez afficher ou modifier les paramètres d’appairage dans Réseaux virtuels.
Sélectionnez Appairages dans Paramètres, puis sélectionnez l’appairage dont vous souhaitez afficher ou modifier les paramètres.
Modifiez le paramètre approprié. Lisez les options de chaque paramètre de l’étape 4 de création d’un peering. Sélectionnez ensuite Enregistrer pour terminer les modifications de configuration.
Supprimer un peering
Avant de supprimer un appairage, familiarisez-vous avec les exigences et contraintes ainsi qu’avec les autorisations nécessaires.
Quand vous supprimez un appairage entre deux réseaux virtuels, le trafic ne peut plus circuler entre ces réseaux virtuels. Si vous souhaitez que les réseaux virtuels communiquent occasionnellement, au lieu de supprimer un appairage, désélectionnez le paramètre Autoriser le trafic vers le réseau virtuel distant pour bloquer le trafic vers le réseau virtuel distant. Il se peut que vous trouviez plus facile de désactiver et d’activer l’accès réseau que de supprimer et recréer des appairages.
Dans la zone de recherche située en haut du portail Azure, entrez Réseau virtuel. Sélectionnez Réseaux virtuels dans les résultats de la recherche.
Sélectionnez le réseau virtuel dont vous souhaitez afficher ou modifier les paramètres d’appairage dans Réseaux virtuels.
Sous Peerings, sélectionnez Paramètres.
Sélectionnez la zone en regard du peering à supprimer, puis sélectionnez Supprimer.
Dans Supprimer les peerings, entrez supprimer dans la zone de confirmation, puis sélectionnez Supprimer.
Note
Lorsque vous supprimez le peering entre un réseau virtuel et un autre, le peering du réseau virtuel distant est également supprimé.
Sélectionnez Supprimer pour confirmer la suppression dans Confirmation de la suppression.
Exigences et contraintes
Vous pouvez appairer des réseaux virtuels dans la même région ou dans des régions différentes. L’appairage de réseaux virtuels dans des régions différentes est également appelé appairage de réseaux virtuels global.
Si les 2 réseaux virtuels se trouvent dans des abonnements différents ou des groupes de ressources différents dans le même abonnement, notez que vous devez introduire l’URI de ressource complet du réseau virtuel distant lors de l’utilisation de PowerShell ou de l’interface CLI.
Lorsque vous créez un peering global, les réseaux virtuels connectés peuvent exister dans toute région du cloud public Azure, région cloud de Chine, ou région cloud gouvernemental. Toutefois, vous ne pouvez pas établir des connexions entre réseaux virtuels sur différents clouds. Par exemple, un réseau virtuel dans le cloud public Azure ne peut pas se connecter à un réseau virtuel dans Microsoft Azure géré par le cloud 21Vianet.
Vous ne pouvez pas déplacer un réseau virtuel lorsqu'il est associé à un peering. Pour déplacer un réseau virtuel vers un autre groupe de ressources ou un autre abonnement, commencez par supprimer le peering, puis déplacez le réseau virtuel, puis recréez le peering.
Les ressources dans un réseau virtuel ne peuvent pas communiquer avec l’adresse IP front-end d’un équilibreur de charge de base (interne ou public) dans un réseau virtuel globalement appairé. La prise en charge d’un équilibreur de charge de base n’est proposée que dans la même région. La prise en charge d’un équilibreur de charge standard existe pour l’appairage de réseaux virtuels et l’appairage de réseaux virtuels global. Certains services qui utilisent un équilibreur de charge de base ne fonctionnent pas sur l’appairage de réseaux virtuels mondiaux. Pour plus d’informations, consultez les contraintes liées à l’appairage de réseaux virtuels global et aux équilibreurs de charge.
Vous pouvez utiliser des passerelles distantes ou autoriser un transit par passerelle dans des réseaux virtuels appairés à l’échelle mondiale et en local.
Les réseaux virtuels peuvent être dans des abonnements identiques ou différents. Lorsque vous associez des réseaux virtuels à différents abonnements, ces derniers peuvent être associés au même tenant Microsoft Entra ou à des tenants différents. Si vous n’avez pas encore de locataire AD, vous pouvez rapidement en créer un.
Les réseaux virtuels que vous appairez doivent avoir des espaces d’adressage IP qui ne se chevauchent pas.
Lors de l’appairage de deux réseaux virtuels créés via le Gestionnaire de ressources, un appairage doit être configuré pour chaque réseau virtuel dans l’appairage. L’un des états suivants s’affiche pour le peering :
Démarré : Quand vous créez le premier appairage, son état est Démarré.
Connecté : Quand vous créez le deuxième appairage, l’état passe à Connecté pour les deux appairages. L’appairage n’est pas correctement établi tant que l’état d’appairage des deux appairages de réseaux virtuels est Connecté.
Un peering est établi entre deux réseaux virtuels. Les appairages en eux-mêmes ne sont pas transitifs. Imaginons que vous créez des peerings entre :
VirtualNetwork1 et VirtualNetwork2
VirtualNetwork2 et VirtualNetwork3
Il n’existe aucune connectivité entre VirtualNetwork1 et VirtualNetwork3 par le biais de VirtualNetwork2. Si vous souhaitez que VirtualNetwork1 et VirtualNetwork3 communiquent directement, vous devez créer un appairage explicite entre VirtualNetwork1 et VirtualNetwork3 ou passer par une appliance virtuelle réseau dans le réseau Hub. Pour plus d’informations, consultez l’article Topologie réseau hub-and-spoke dans Azure.
Vous ne pouvez pas résoudre des noms dans des réseaux virtuels homologués en utilisant une résolution de noms Azure par défaut. Pour résoudre des noms dans d’autres réseaux virtuels, vous devez utiliser le service DNS privé Azure ou un serveur DNS personnalisé. Pour savoir comment configurer votre propre serveur DNS, consultez Résolution de noms à l’aide de votre propre serveur DNS.
Les ressources situées dans des réseaux virtuels appairés et dans la même région peuvent communiquer entre elles avec la même latence que si elles se trouvaient au sein du même réseau virtuel. Le débit réseau est basé sur la bande passante autorisée pour la machine virtuelle, proportionnelle à sa taille. Aucune restriction de bande passante supplémentaire n’est appliquée au sein du peering. Chaque taille de machine virtuelle a sa propre bande passante réseau maximale. Pour en savoir plus sur la bande passante réseau maximale des différentes tailles de machine virtuelle, consultez Tailles des machines virtuelles dans Azure.
Un réseau virtuel peut être homologué ainsi qu’être connecté à un autre réseau virtuel avec une passerelle de réseau virtuel Azure. Lorsque des réseaux virtuels sont connectés via un peering et une passerelle, le trafic entre les réseaux virtuels passe par le peering plutôt que par la passerelle.
Les clients VPN Point-à-Site doivent être re-téléchargés une fois que le peering de réseaux virtuels est correctement configuré afin de garantir que les nouveaux itinéraires sont téléchargés par le client.
Un coût nominal s’applique pour le trafic d’entrée et de sortie qui utilise un appairage de réseaux virtuels. Pour plus d’informations, consultez la page relative aux prix appliqués.
Les passerelles Application Gateway qui n’ont pas l’isolement réseau activé n’autorisent pas l’envoi du trafic entre les réseaux virtuels appairés quand Autoriser le trafic vers le réseau virtuel distant est désactivé.
Permissions
Les comptes que vous utilisez pour travailler avec le peering de réseaux virtuels doivent être affectés au rôle suivant :
Si votre compte n’est pas affecté au rôle précédent, il doit être affecté à un rôle personnalisé auquel les actions nécessaires sont attribuées à partir du tableau suivant :
| Action | Name |
|---|---|
| Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write | Obligatoire pour créer un peering à partir du réseau virtuel A vers le réseau virtuel B. |
| Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read | Action requise pour lire un peering de réseaux virtuels |
| Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete | Action requise pour supprimer un peering de réseaux virtuels |
Important
Vous devez disposer du contributeur réseau ou des rôles personnalisés de Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read et Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete affectés au réseau virtuel distant pour supprimer le peering de réseaux virtuels distants.
Étapes suivantes
Un appairage de réseaux virtuels peut être créé entre des réseaux virtuels qui existent dans des abonnements identiques ou différents. Suivez un didacticiel pour l’un des scénarios suivants :
Modèle de déploiement Azure Subscription Resource Manager Same Different Découvrez comment créer une topologie de réseau hub-and-spoke.
Créez un peering de réseaux virtuels avec les exemples de scripts PowerShell ou Azure CLI, ou à l’aide des modèles Azure Resource Manager
Créer et attribuer des définitions Azure Policy pour les réseaux virtuels