Préparer la connexion d’Azure Communications Gateway à votre propre réseau virtuel (préversion)
Cet article décrit les étapes requises pour connecter une passerelle de communication Azure à votre propre réseau virtuel à l’aide de l’injection de réseau virtuel pour Azure Communications Gateway (préversion). Cette procédure est nécessaire pour déployer Azure Communications Gateway dans un sous-réseau que vous contrôlez et utilisez lors de la connexion de votre réseau local avec le Peering privé ExpressRoute ou via une passerelle VPN Azure. Azure Communications Gateway a deux régions de service avec leur propre connectivité, ce qui signifie que vous devez fournir des réseaux virtuels et des sous-réseaux dans chacune de ces régions.
Le diagramme suivant présente une vue d’ensemble d’Azure Communications Gateway déployée avec l’injection de réseau virtuel. Les interfaces réseau sur La passerelle de communication Azure face à votre réseau sont déployées dans votre sous-réseau, tandis que les interfaces réseau accessibles aux services de communication back-end restent gérées par Microsoft.
Prérequis
- Obtenez l’activation de votre abonnement Azure pour Azure Communications Gateway.
- Informez votre équipe d’intégration que vous avez l’intention d’utiliser vos propres réseaux virtuels.
- Créez un réseau virtuel Azure dans chacune des régions Azure à utiliser comme régions de service Azure Communications Gateway. Découvrez comment créer un réseau virtuel.
- Créez un sous-réseau dans chacun des réseaux virtuels Azure pour l’utilisation exclusive d’Azure Communications Gateway. Ces sous-réseaux doivent chacun avoir au moins 16 adresses IP (une plage /28 IPv4 ou plus). Aucun autre élément ne doit utiliser ce sous-réseau. Découvrez comment créer un sous-réseau.
- Veillez à ce que votre compte Azure ait le rôle Contributeur de réseau ou un parent de ce rôle sur les réseaux virtuels.
- Déployez votre solution de connectivité choisie (par exemple ExpressRoute) dans votre abonnement Azure et vérifiez qu’elle est opérationnelle.
Conseil
Les déploiements lab n’ont qu’une seule région de service. Vous devez donc configurer une seule région pendant cette procédure.
Déléguer les sous-réseaux de réseau virtuel
Pour utiliser votre réseau virtuel avec Azure Communications Gateway, vous devez déléguer les sous-réseaux à Azure Communications Gateway. La délégation de sous-réseau donne des autorisations explicites à Azure Communications Gateway pour créer des ressources spécifiques au service, telles que les interfaces réseau (CARTES réseau), dans les sous-réseaux.
Procédez comme suit pour déléguer vos sous-réseaux à utiliser avec votre passerelle de communication Azure :
Accédez à vos réseaux virtuels et sélectionnez le réseau virtuel à utiliser dans la première région de service pour Azure Communications Gateway.
Sélectionner Sous-réseaux.
Sélectionnez un sous-réseau que vous souhaitez déléguer à Azure Communications Gateway.
Important
Le sous-réseau que vous utilisez doit être dédié à Azure Communications Gateway.
Dans déléguer le sous-réseau à un service, sélectionnez Microsoft.AzureCommunicationsGateway/networkSettings, puis sélectionnez Enregistrer.
Vérifiez que Microsoft.AzureCommunicationsGateway/networkSettings apparaît dans la déléguée à colonne pour votre sous-réseau.
Répétez les étapes ci-dessus pour le réseau virtuel et le sous-réseau dans l’autre région de service Azure Communications Gateway.
Configurer des groupes de sécurité réseau
Lorsque vous connectez votre passerelle de communication Azure à des réseaux virtuels, vous devez configurer un groupe de sécurité réseau (NSG) pour autoriser le trafic de votre réseau à atteindre la passerelle de communication Azure. Un groupe de sécurité réseau contient les règles de contrôle d’accès qui autorisent ou refusent le trafic en fonction de la direction du trafic, du protocole, de l’adresse et du port source ainsi que de l’adresse et du port de destination.
Les règles d'un groupe de sécurité réseau peuvent être modifiées à tout moment et les modifications sont appliquées à toutes les instances associées. L’efficacité des modifications du groupe de sécurité réseau peut prendre jusqu’à 10 minutes.
Important
Si vous ne configurez pas de groupe de sécurité réseau, votre trafic ne pourra pas accéder aux interfaces réseau Azure Communication Gateway.
La configuration du groupe de sécurité réseau se compose de deux étapes, à effectuer dans chaque région de service :
- Créez un groupe de sécurité réseau qui autorise le trafic souhaité.
- Associez le groupe de sécurité réseau aux sous-réseaux de réseau virtuel.
Vous pouvez utiliser un groupe de sécurité réseau pour contrôler le trafic vers une ou plusieurs machines virtuelles, instances de rôles, cartes réseau (NIC) ou vers des sous-réseaux dans votre réseau virtuel. Un groupe de sécurité réseau contient les règles de contrôle d’accès qui autorisent ou refusent le trafic en fonction de la direction du trafic, du protocole, de l’adresse et du port source ainsi que de l’adresse et du port de destination. Les règles d'un groupe de sécurité réseau peuvent être modifiées à tout moment et les modifications sont appliquées à toutes les instances associées.
Pour plus d’informations sur les groupes de sécurité réseau, consultez la page Présentation d’un groupe de sécurité réseau.
Créer le groupe de sécurité réseau approprié
Collaborez avec votre équipe d’intégration pour déterminer la configuration de groupe de sécurité réseau appropriée pour vos réseaux virtuels. Cette configuration dépend de votre choix de connectivité (par exemple ExpressRoute) et de votre topologie de réseau virtuel.
Votre configuration de groupe de sécurité réseau doit autoriser le trafic vers les plages de ports nécessaires utilisées par azure Communications Gateway.
Conseil
Vous pouvez utiliser recommandations pour les groupes de sécurité réseau pour vous assurer que votre configuration correspond aux meilleures pratiques de sécurité.
Associer le sous-réseau au groupe de sécurité réseau
- Accédez à votre groupe de sécurité réseau, puis sélectionnez Sous-réseaux.
- Sélectionnez + Associer dans la barre de menus supérieure.
- Pour Réseau virtuel, sélectionnez votre réseau virtuel.
- Pour sous-réseau, sélectionnez votre sous-réseau de réseau virtuel.
- Sélectionnez OK pour associer le sous-réseau de réseau virtuel au groupe de sécurité réseau.
- Répétez ces étapes pour l’autre région de service.