Configurer Application Gateway avec une adresse IPv6 publique front-end en utilisant le Portail Azure
Azure Application Gateway prend en charge les connexions front-end double pile (IPv4 et IPv6) à partir de clients. Pour utiliser la connectivité front-end IPv6, vous devez créer une passerelle Application Gateway. Actuellement, vous ne pouvez pas mettre à niveau les passerelles Application Gateway existantes uniquement IPv4 vers des passerelles Application Gateway à double pile (IPv4 et IPv6). En outre, les adresses IPv6 front-end ne sont pas prises en charge.
Dans cet article, vous utilisez le portail Azure pour créer une passerelle Azure Application Gateway IPv6 et la tester pour vous assurer qu’elle fonctionne correctement. Vous attribuez des écouteurs aux ports, créez des règles et ajoutez des ressources à un pool de back-ends. Par souci de simplicité, une configuration simple est utilisée avec deux adresses IP frontales publiques (IPv4 et IPv6), un écouteur de base pour héberger un site unique sur la passerelle d’application, une règle de routage des requêtes de base et deux machines virtuelles dans le pool principal.
Pour prendre en charge la connectivité IPv6, vous devez créer un réseau virtuel double pile. Ce réseau virtuel double pile a des sous-réseaux pour IPv4 et IPv6. Les réseaux virtuels Azure offrent déjà une fonctionnalité double pile.
Pour plus d’informations sur les composants d’une passerelle applicative, consultez Composants de passerelle applicative.
Vue d’ensemble
Le portail Azure est utilisé pour créer une passerelle Azure Application Gateway IPv6. Le test est effectué pour vérifier qu’il fonctionne correctement.
Vous allez apprendre à effectuer les actions suivantes :
- Configurer un réseau à double pile
- Créer une passerelle d’application avec front-end IPv6
- Créer une machine virtuelle et installer IIS pour test
Vous pouvez également suivre ce guide de démarrage rapide en utilisant Azure PowerShell.
Régions et disponibilité
Application Gateway IPv6 est disponible pour toutes les régions de cloud public où la référence SKU Application Gateway v2 est prise en charge. Elle est également disponible dans Microsoft Azure géré par 21Vianet et Azure Government
Limites
- Seule la référence SKU v2 prend en charge un front-end avec des adresses IPv4 et IPv6
- Actuellement, les back-ends IPv6 ne sont pas pris en charge
- La liaison privée IPv6 n’est actuellement pas prise en charge
- Application Gateway uniquement IPv6 n’est actuellement pas pris en charge. Application Gateway doit être double pile (IPv6 et IPv4)
- Application Gateway Ingress Controller (AGIC) ne prend pas en charge la configuration IPv6
- Les passerelles applicatives IPv4 existantes ne peuvent pas être mises à niveau vers des passerelles applicatives à double pile
- Les règles personnalisées du pare-feu d’applications web avec une condition de correspondance IPv6 ne sont actuellement pas prises en charge
Prérequis
Un compte Azure avec un abonnement actif est requis. Si vous n’avez pas de compte, vous pouvez en créez un gratuitement.
Connectez-vous au portail Azure avec votre compte Azure.
Créer une passerelle Application Gateway
Créez la passerelle d’application à l’aide des onglets de la page Créer une passerelle d’application .
- Dans le menu du portail Azure ou dans la page Accueil, sélectionnez Créer une ressource.
- Sous Catégories, sélectionnez Mise en réseau, puis Application Gateway dans la liste des services Azure populaires.
Onglet Informations de base
Sous l’onglet de base, entrez les valeurs suivantes pour les paramètres de passerelle d’application :
Abonnement : sélectionnez votre abonnement. Par exemple, _mysubscription.
Groupe de ressources: sélectionnez un groupe de ressources. S’il n’en existe pas, sélectionnez Créer un nouveau pour le créer. Par exemple, myresourcegroupAG.
Nom Application Gateway: entrez un nom pour la passerelle applicative. Par exemple, myappgw.
Type d’adresse IP : sélectionnez double pile (IPv4 et IPv6).
Configurer le réseau virtuel: Pour qu’Azure communique entre les ressources que vous créez, un réseau virtuel double pile est nécessaire. Vous pouvez créer un réseau virtuel double pile ou choisir un réseau double pile existant. Dans cet exemple, vous créez un réseau virtuel double pile en même temps que vous créez la passerelle Application Gateway.
Les instances Application Gateway sont créées dans des sous-réseaux séparés. Un sous-réseau à double pile et un seul IPv4 sont créés dans cet exemple : les sous-réseaux IPv4 et IPv6 (approvisionnés en tant que sous-réseau à double pile) sont affectés à la passerelle applicative. Le sous-réseau IPv4 concerne les serveurs principaux.
Remarque
Les stratégies de points de terminaison de service de réseau virtuel ne sont pas prises en charge dans un sous-réseau Application Gateway. Sous Configurer le réseau virtuel, créez un réseau virtuel en sélectionnant Créer un nouveau. Dans le panneau Créer un réseau virtuel, entrez les valeurs suivantes pour créer le réseau virtuel et deux sous-réseaux :
- Nom: entrez un nom pour le réseau virtuel. Par exemple, myVNet.
- Nom de sous-réseau (sous-réseau Application Gateway) : la grille sous-réseaux affiche un sous-réseau nommé par défaut. Remplacez le nom de ce sous-réseau par myAGSubnet.
- Plage d’adresses : les plages d’adresses IPv4 par défaut pour le réseau virtuel et le sous-réseau sont respectivement 10.0.0.0/16 et 10.0.0.0/24. Les plages d’adresses IPv6 par défaut pour le réseau virtuel et le sous-réseau sont ace:cab:deca::/48 et ace:cab:deca::/64, respectivement. Si vous voyez des valeurs par défaut différentes, vous pouvez avoir un sous-réseau existant qui chevauche ces plages.
Remarque
Le sous-réseau de passerelle d’application peut contenir uniquement des passerelles d’application. Aucune autre ressource n’est autorisée.
Sélectionnez OK pour fermer la fenêtre Créer un réseau virtuel et enregistrer les nouveaux paramètres de réseau virtuel et de sous-réseau.
Sélectionnez Suivant : Serveurs frontaux.
Onglet Front-ends
Sous l’onglet Front-ends, vérifiez que Type d’adresse IP de front-end est défini sur Publique.
Important
Pour la référence SKU Application Gateway v2, il doit y avoir une configuration d’une adresse IP front-end publique. Les configurations IP frontales IPv6 privées (mode ILB uniquement) ne sont actuellement pas prises en charge par la passerelle d’application IPv6.
Sélectionnez Ajouter nouvelle pour l’adresse IP publique, entrez un nom pour l’adresse IP publique, puis sélectionnez OK. Par exemple, myAGPublicIPAddress.
Remarque
La passerelle d’application IPv6 prend en charge jusqu’à 4 adresses IP frontales : deux adresses IPv4 (publique et privée) et deux adresses IPv6 (publique et privée)
Sélectionnez Suivant : Back-ends.
Onglet Back-ends
Le pool de back-ends est utilisé pour router les demandes vers les serveurs back-end qui les traitent. Les pools back-ends peuvent être composés de cartes d’interface réseau, de groupes de machines virtuelles identiques, d’adresses IP publiques, d’adresses IP internes, de noms de domaine complets (FQDN) et de back-ends multilocataires tels qu’Azure App Service. Dans cet exemple, vous créez un pool principal vide avec votre passerelle Application Gateway, puis ajoutez des cibles back-end au pool principal.
Sous l’onglet Backends, sélectionnez Ajouter un pool de back-ends.
Dans le volet Ajouter un pool principal , entrez les valeurs suivantes pour créer un pool principal vide :
- Nom: entrez un nom pour le pool principal. Par exemple, MyBackEndPool.
- Ajouter un pool backend sans cible : Sélectionnez Oui pour créer un pool de back-ends sans cible. Les cibles back-end sont ajoutées après la création de la passerelle Application Gateway.
Sélectionnez Ajouter pour enregistrer la configuration du pool back-end et revenir à l’onglet Back-ends.
Sous l’onglet Back-ends, sélectionnez Suivant : Configuration.
Onglet Configuration
Sous l’onglet Configuration, le pool frontal et principal sont connectés à une règle d’acheminement.
Sous Règles de routage, sélectionnez Ajouter une règle de routage.
Dans le volet Ajouter une règle d’acheminement, entrez les valeurs suivantes :
- Nom de la règle : Entrez un nom pour la règle. Par exemple, myRoutingRule.
- Priorité: entrez une valeur comprise entre 1 et 20000, où 1 représente la priorité la plus élevée et 20000 représente le plus bas. Par exemple, entrez une priorité de 100.
Une règle de routage requiert un écouteur. Sous l’onglet Écouteur, entrez les valeurs suivantes :
nom de l’écouteur: entrez un nom pour l’écouteur. Par exemple, myListener.
IP frontale : sélectionnez IPv6 public.
Acceptez les valeurs par défaut pour les autres paramètres sous l’ongletécouteur, puis sélectionnez l’onglet cibles principales.
Sous l’onglet Cibles principales, sélectionnez votre pool principal pour le cible du serveur principal. Par exemple, MyBackEndPool.
Pour le paramètre principal, sélectionnez Ajouter une nouvelle. Le paramètre de back-end détermine le comportement de la règle d’acheminement. Dans le volet Ajouter un paramètre de back-end, entrez un nom pour les paramètres back-end. Par exemple, myBackendSetting.
Acceptez les valeurs par défaut pour d’autres paramètres, puis sélectionnez Ajouter.
Dans le volet Ajouter une règle d’acheminement, sélectionnez Ajouter pour enregistrer la règle de routage et revenir à l’onglet Configuration.
Sélectionnez Suivant : Balises, sélectionnez Suivant : Vérifier + créer, puis sélectionnez Créer. Le déploiement de la passerelle d’application prend quelques minutes.
Attribuer un nom DNS à l’adresse IPv6 front-end
Un nom DNS facilite les tests pour la passerelle d’application IPv6. Vous pouvez attribuer un nom DNS public à l’aide de votre propre domaine et bureau d’enregistrement, ou vous pouvez créer un nom dans azure.com. Pour attribuer un nom dans azure.com :
Dans la page d’accueil du portail Azure, recherchez adresses IP publiques.
Sélectionnez MyAGPublicIPv6Address.
Sous Paramètres, sélectionnez Configuration.
Sous étiquette de nom DNS (facultatif), entrez un nom. Par exemple, myipv6appgw.
Sélectionnez Enregistrer.
Copiez le nom de domaine complet dans un éditeur de texte pour y accéder ultérieurement. Dans l’exemple suivant, le nom de domaine complet est myipv6appgw.westcentralus.cloudapp.azure.com.
Ajoutez un sous-réseau de back-end
Un sous-réseau IPv4 principal est requis pour les cibles back-end. Le sous-réseau principal est IPv4 uniquement.
Dans la page d’accueil du portail, recherchez réseaux virtuels et sélectionnez le réseau virtuel MyVNet.
En regard de espace d’adressage, sélectionnez 10.0.0.0/16.
Sous Paramètres, sélectionnez Sous-réseaux.
Sélectionnez + sous-réseau pour ajouter un nouveau sous-réseau.
Sous Nom, entrez MyBackendSubnet.
L’espace d’adressage par défaut est 10.0.1.0/24. Sélectionnez Enregistrer pour accepter ceci et tous les autres paramètres par défaut.
Ajouter des cibles de back-end
Ensuite, une cible back-end est ajoutée pour tester la passerelle d’application :
- Une machine virtuelle est créée: myVM et utilisée comme cible principale. Vous pouvez également utiliser des machines virtuelles existantes si elles sont disponibles.
- IIS est installé sur la machine virtuelle pour vérifier que la passerelle d’application a été créée avec succès.
- Le serveur principal (machine virtuelle) est ajouté au pool principal.
Remarque
Une seule machine virtuelle est déployée ici en tant que cible principale, car nous testons uniquement la connectivité. Vous pouvez ajouter plusieurs machines virtuelles si vous souhaitez également tester l’équilibrage de charge.
Création d'une machine virtuelle
Application Gateway peut router le trafic vers n’importe quel type de machine virtuelle utilisée dans le pool principal. Une machine virtuelle Windows Server 2019 Datacenter est utilisée dans cet exemple.
- Dans le menu du portail Azure ou dans la page Accueil, sélectionnez Créer une ressource.
- Sélectionnez Windows Server 2019 Datacenter dans la liste Populaire. La page Créer une machine virtuelle s’affiche.
- Entrez les valeurs suivantes sous l’onglet Informations de base :
- Groupe de ressources: sélectionnez myResourceGroupAG.
- Nom de la machine virtuelle : entrez myVM.
- Région : sélectionnez la région dans laquelle vous avez créé la passerelle d’application.
- Nom d’utilisateur : Entrez un nom d’utilisateur administrateur.
- Mot de passe : entrez un mot de passe.
- Ports d’entrée publics : Aucun.
- Acceptez les autres valeurs par défaut, puis sélectionnez Suivant : Disques.
- Acceptez les valeurs par défaut sous l’onglet Disques, puis sélectionnez Suivant : Mise en réseau.
- En regard de réseau virtuel, vérifiez que myVNet est sélectionné.
- En regard de sous-réseau, vérifiez que myBackendSubnet est sélectionné.
- En regard de IP publique, sélectionnez Aucun.
- Sélectionnez Suivant : Gestion, Suivant : Surveillance, puis à côté de Diagnostics de démarrage, sélectionnez Désactiver.
- Sélectionnez Revoir + créer.
- Sous l’onglet Vérifier + créer, passez en revue les paramètres, corrigez les éventuelles erreurs de validation et sélectionnez Créer.
- Attendez la fin de la création de la machine virtuelle avant de continuer.
Installer IIS pour les tests
Dans cet exemple, vous allez installer IIS sur les machines virtuelles pour vérifier si Azure a bien créé la passerelle d’application.
Ouvrez Azure PowerShell.
Sélectionnez Cloud Shell dans la barre de navigation supérieure du portail Azure, puis sélectionnez PowerShell dans la liste déroulante.
Exécutez la commande suivante pour installer IIS sur la machine virtuelle. Modifiez le paramètre Emplacement si nécessaire :
Set-AzVMExtension ` -ResourceGroupName myResourceGroupAG ` -ExtensionName IIS ` -VMName myVM ` -Publisher Microsoft.Compute ` -ExtensionType CustomScriptExtension ` -TypeHandlerVersion 1.4 ` -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' ` -Location WestCentralUS
Voir l’exemple suivant :
Ajouter des serveurs principaux pour le pool principal
Dans le menu du portail Azure, sélectionnez passerelles d’application ou recherchez et sélectionnez *Application Gateways. Sélectionnez ensuite myAppGateway.
Sous Paramètres, sélectionnez pools principaux, puis myBackendPool.
Sous Cibles de back-end, Type de cible, sélectionnez Machine virtuelle dans la liste déroulante.
Sous cible, sélectionnez l’interface réseau myVM dans la liste déroulante.
Sélectionnez Enregistrer.
Attendez que le déploiement se termine avant de passer à l’étape suivante. Le déploiement prend quelques minutes.
Tester la passerelle d’application
IIS n’est pas nécessaire pour créer la passerelle Application Gateway. Il est installé ici pour vérifier que vous êtes en mesure de vous connecter à l’interface IPv6 de la passerelle Application Gateway.
Auparavant, nous avons affecté le nom DNS myipv6appgw.westcentralus.cloudapp.azure.com à l’adresse IPv6 publique de la passerelle d’application. Pour tester cette connexion :
Collez le nom DNS dans la barre d’adresses de votre navigateur pour vous y connecter.
Vérifiez la réponse. Une réponse valide de myVM vérifie que la passerelle d’application a été correctement créée et peut se connecter avec le serveur principal.
Important
Si la connexion au nom DNS ou à l’adresse IPv6 échoue, cela peut être dû au fait que vous ne pouvez pas parcourir les adresses IPv6 à partir de votre appareil. Pour vérifier s’il s’agit de votre problème, testez également l’adresse IPv4 de la passerelle d’application. Si l’adresse IPv4 se connecte correctement, il est probable que vous n’ayez pas d’adresse IPv6 publique affectée à votre appareil. Si tel est le cas, vous pouvez essayer de tester la connexion avec une machine virtuelle à double pile.
Nettoyer les ressources
Quand vous n’avez plus besoin des ressources que vous avez créées avec la passerelle d’application, supprimez le groupe de ressources. Quand vous supprimez le groupe de ressources, vous supprimez aussi la passerelle d’application et toutes les ressources associées.
Pour supprimer le groupe de ressources :
- Dans le menu du portail Azure, sélectionnez Groupes de ressources ou recherchez et sélectionnez Groupes de ressources.
- Dans la page Groupes de ressources, recherchez myResourceGroupAG dans la liste, puis sélectionnez ce groupe de ressources.
- Dans la page Groupe de ressources, sélectionnez Supprimer le groupe de ressources.
- Entrez myResourceGroupAG sous TAPER LE NOM DU GROUPE DE RESSOURCES, puis sélectionnez Supprimer.