Créer une connexion de site à site à Azure Virtual WAN en utilisant PowerShell
Cet article vous montre comment utiliser Virtual WAN pour vous connecter à vos ressources dans Azure sur une connexion VPN IPsec/IKE (IKEv1 et IKEv2) via PowerShell. Ce type de connexion requiert un périphérique VPN local disposant d’une adresse IP publique exposée en externe. Pour plus d’informations sur Azure Virtual WAN, consultez l’article Vue d’ensemble d’Azure Virtual WAN. Vous pouvez également créer cette configuration à l’aide des instructions du Portail Azure.
Prérequis
Assurez-vous de disposer d’un abonnement Azure. Si vous ne disposez pas déjà d’un abonnement Azure, vous pouvez activer vos avantages abonnés MSDN ou créer un compte gratuit.
Déterminez la plage d’adresses IP que vous souhaitez utiliser pour l’espace d’adressage privé de votre hub virtuel. Cette information est utilisée lors de la configuration de votre hub virtuel. Un hub virtuel est un réseau virtuel qui est créé et utilisé par Virtual WAN. Il s’agit du cœur de votre réseau Virtual WAN au sein d’une région donnée. La plage d’espace d’adressage doit respecter certaines règles.
- La plage d’adresses que vous spécifiez pour le hub ne peut pas chevaucher les réseaux virtuels existants auxquels vous vous connectez.
- La plage d’adresses ne peut pas chevaucher les plages d’adresses locales auxquelles vous vous connectez.
- Si vous ne maîtrisez pas les plages d’adresses IP situées dans votre configuration de réseau local, contactez une personne en mesure de vous aider.
Azure PowerShell
Cet article utilise des cmdlets PowerShell. Pour exécuter les cmdlets, vous pouvez utiliser Azure Cloud Shell. Cloud Shell est un interpréteur de commandes interactif et gratuit, que vous pouvez utiliser pour suivre les étapes mentionnées dans cet article. Il contient des outils Azure courants préinstallés et configurés pour être utilisés avec votre compte.
Pour ouvrir Cloud Shell, il vous suffit de sélectionner Ouvrir Cloud Shell dans le coin supérieur droit d’un bloc de code. Vous pouvez également ouvrir Cloud Shell dans un onglet distinct du navigateur en accédant à https://shell.azure.com/powershell. Sélectionnez Copier pour copier les blocs de code, collez ceux-ci dans Cloud Shell, puis sélectionnez Entrée pour les exécuter.
Vous pouvez également installer et exécuter des cmdlets Azure PowerShell en local sur votre ordinateur. Les cmdlets PowerShell sont fréquemment mises à jour. Si vous n'avez pas installé la dernière version, les valeurs spécifiées dans les instructions peuvent échouer. Pour rechercher les versions d’Azure PowerShell installées sur votre ordinateur, utilisez la cmdlet Get-Module -ListAvailable Az. Pour installer ou mettre à jour les cmdlets, consultez Installer le module Azure PowerShell.
Se connecter
Si vous utilisez Azure Cloud Shell, vous êtes automatiquement invité à vous connecter à votre compte après avoir ouvert Cloud Shell. Vous n’avez pas besoin d’exécuter Connect-AzAccount. Une fois connecté, vous pouvez toujours changer d’abonnement si nécessaire à l’aide de Get-AzSubscription et Select-AzSubscription.
Si vous exécutez PowerShell en local, ouvrez la console PowerShell avec des privilèges élevés et connectez-vous à votre compte Azure. La cmdlet Connect-AzAccount vous invite à entrer des informations d’identification. Une fois que vous êtes identifié, vos paramètres de compte sont téléchargés afin de les mettre à disposition d’Azure PowerShell. Vous pouvez changer d’abonnement à l’aide de Get-AzSubscription et Select-AzSubscription -SubscriptionName "Name of subscription".
Créer un WAN virtuel
Avant de pouvoir créer un WAN virtuel, vous devez créer un groupe de ressources pour héberger le WAN virtuel ou utiliser un groupe de ressources existant. Utilisez l’un des exemples suivants.
Cet exemple crée le groupe de ressources testRG dans la localisation USA Est. Si vous préférez utiliser un groupe de ressources existant, vous pouvez modifier la commande $resourceGroup = Get-AzResourceGroup -ResourceGroupName "NameofResourceGroup", puis effectuer les étapes de cet exercice avec vos propres valeurs.
Créez un groupe de ressources.
New-AzResourceGroup -Location "East US" -Name "TestRG"Créez le WAN virtuel à l’aide de la cmdlet New-AzVirtualWan.
$virtualWan = New-AzVirtualWan -ResourceGroupName TestRG -Name TestVWAN1 -Location "East US"
Créer le hub et configurer les paramètres du hub
Un hub est un réseau virtuel qui peut contenir des passerelles pour offrir des fonctionnalités de site à site, ExpressRoute ou de point à site. Créez un hub virtuel avec New-AzVirtualHub. Cet exemple crée un hub virtuel par défaut nommé Hub1 avec le préfixe d’adresse spécifié et une localisation pour le hub.
$virtualHub = New-AzVirtualHub -VirtualWan $virtualWan -ResourceGroupName "TestRG" -Name "Hub1" -AddressPrefix "10.1.0.0/16" -Location "westus"
Créer une passerelle VPN de site à site
Dans cette section, vous créez une passerelle VPN site à site dans la même localisation que le hub virtuel référencé. Lorsque vous créez la passerelle VPN, vous spécifiez les unités d’échelle souhaitées. La création d'une passerelle dure environ 30 minutes.
Si vous avez fermé Azure Cloud Shell ou si votre connexion a expiré, vous devrez peut-être redéclarer la variable pour $virtualHub.
$virtualHub = Get-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1"Créez une passerelle VPN à l’aide de la cmdlet New-AzVpnGateway.
New-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1" -VirtualHubId $virtualHub.Id -VpnGatewayScaleUnit 2Dès que votre passerelle est créée, vous pouvez la voir en utilisant l’exemple suivant.
Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"
Créer un site et les connexions
Dans cette section, vous créez des sites qui correspondent à vos localisations physiques et les connexions. Ces sites contiennent vos points de terminaison de périphérique VPN locaux, vous pouvez créer jusqu’à 1000 sites par hub virtuel dans un WAN virtuel. Si vous avez plusieurs hubs, vous pouvez créer 1000 sites pour chacun de ces hubs.
Définissez la variable pour la passerelle VPN et pour l’espace d’adressage IP qui se trouve sur votre site local. Le trafic destiné à cet espace d’adressage est acheminé vers votre site local. Cette option est requise lorsque le protocole BGP n’est pas activé pour le site.
$vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1" $vpnSiteAddressSpaces = New-Object string[] 2 $vpnSiteAddressSpaces[0] = "192.168.2.0/24" $vpnSiteAddressSpaces[1] = "192.168.3.0/24"Créez des liaisons pour ajouter des informations sur les liaisons physiques au niveau de la succursale, y compris les métadonnées relatives à la vitesse de liaison, le nom du fournisseur de liaison et ajoutez l’adresse IP publique de l’appareil local.
$vpnSiteLink1 = New-AzVpnSiteLink -Name "TestSite1Link1" -IpAddress "15.25.35.45" -LinkProviderName "SomeTelecomProvider" -LinkSpeedInMbps "10" $vpnSiteLink2 = New-AzVpnSiteLink -Name "TestSite1Link2" -IpAddress "15.25.35.55" -LinkProviderName "SomeTelecomProvider2" -LinkSpeedInMbps "100"Créez le site VPN, en référençant les variables du site VPN que vous venez de créer.
Si vous avez fermé Azure Cloud Shell ou si votre connexion a expiré, redéclarez la variable WAN virtuelle :
$virtualWan = Get-AzVirtualWAN -ResourceGroupName "TestRG" -Name "TestVWAN1"Créez le site VPN à l’aide de la cmdlet New-AzVpnSite.
$vpnSite = New-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1" -Location "westus" -VirtualWan $virtualWan -AddressSpace $vpnSiteAddressSpaces -DeviceModel "SomeDevice" -DeviceVendor "SomeDeviceVendor" -VpnSiteLink @($vpnSiteLink1, $vpnSiteLink2)Créez la connexion de lien de site. La connexion se compose de deux tunnels actifs-actifs d’une branche/site vers la passerelle évolutive.
$vpnSiteLinkConnection1 = New-AzVpnSiteLinkConnection -Name "TestLinkConnection1" -VpnSiteLink $vpnSite.VpnSiteLinks[0] -ConnectionBandwidth 100 $vpnSiteLinkConnection2 = New-AzVpnSiteLinkConnection -Name "testLinkConnection2" -VpnSiteLink $vpnSite.VpnSiteLinks[1] -ConnectionBandwidth 10
Connecter le site VPN à un hub
Connectez votre site VPN à la passerelle VPN site à site du hub à l’aide de la cmdlet New-AzVpnConnection.
Avant d’exécuter la commande, vous devrez peut-être redéclarer les variables suivantes :
$virtualWan = Get-AzVirtualWAN -ResourceGroupName "TestRG" -Name "TestVWAN1" $vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1" $vpnSite = Get-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1"Connectez le site VPN au hub.
New-AzVpnConnection -ResourceGroupName $vpnGateway.ResourceGroupName -ParentResourceName $vpnGateway.Name -Name "testConnection" -VpnSite $vpnSite -VpnSiteLinkConnection @($vpnSiteLinkConnection1, $vpnSiteLinkConnection2)
Connecter un réseau virtuel à votre hub
L’étape suivante consiste à connecter le hub au réseau virtuel. Si vous avez créé un groupe de ressources pour cet exercice, vous ne disposez généralement pas encore d’un réseau virtuel (VNet) dans votre groupe de ressources. Les étapes ci-dessous vous aident à créer un réseau virtuel si vous n’en avez pas déjà un. Dans cette section, vous créez une connexion entre le hub et votre réseau virtuel.
Créez un réseau virtuel
Vous pouvez utiliser les exemples de valeurs suivants pour créer un réseau virtuel. Veillez à remplacer les valeurs dans les exemples par celles que vous avez utilisées pour votre environnement. Pour plus d’informations, consultez Démarrage rapide : utiliser Azure PowerShell pour créer un réseau virtuel.
Créer un réseau virtuel.
$vnet = @{ Name = 'VNet1' ResourceGroupName = 'TestRG' Location = 'eastus' AddressPrefix = '10.21.0.0/16' } $virtualNetwork = New-AzVirtualNetwork @vnetSpécifiez les paramètres de sous-réseau.
$subnet = @{ Name = 'Subnet-1' VirtualNetwork = $virtualNetwork AddressPrefix = '10.21.0.0/24' } $subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnetDéfinissez le réseau virtuel.
$virtualNetwork | Set-AzVirtualNetwork
Connecter un réseau virtuel à un hub
Une fois que vous disposez d’un réseau virtuel, suivez les étapes décrites dans cet article pour connecter votre réseau virtuel au hub VWAN : Connecter un réseau virtuel à un hub Virtual WAN.
Configurer le périphérique VPN
Pour configurer votre appareil VPN local, suivez les étapes décrites dans l’article Site à site : portail Azure.
Nettoyer les ressources
Quand vous n’avez plus besoin des ressources que vous avez créées, supprimez-les. Certaines des ressources Virtual WAN doivent être supprimées dans un certain ordre en raison des dépendances. La suppression peut prendre environ 30 minutes.
Supprimez toutes les entités de passerelle dans l’ordre suivant :
Déclarez les variables.
$resourceGroup = Get-AzResourceGroup -ResourceGroupName "TestRG" $virtualWan = Get-AzVirtualWan -ResourceGroupName "TestRG" -Name "TestVWAN1" $virtualHub = Get-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1" $vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"Supprimez la connexion de la passerelle VPN aux sites VPN.
Remove-AzVpnConnection -ResourceGroupName $vpnGateway.ResourceGroupName -ParentResourceName $vpnGateway.Name -Name "testConnection"Supprimez la passerelle VPN. La suppression d’une passerelle VPN entraîne également la suppression de toutes les connexions VPN ExpressRoute qui lui sont associées.
Remove-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"Par conséquent, vous pouvez effectuer l’une des deux opérations suivantes :
- Vous pouvez supprimer l’ensemble du groupe de ressources pour supprimer toutes les ressources restantes qu’il contient, y compris les hubs, les sites et le WAN virtuel.
- Vous pouvez choisir de supprimer chacune des ressources du groupe de ressources.
Pour supprimer un groupe de ressources entier, utilisez :
Remove-AzResourceGroup -Name "TestRG"Pour supprimer chaque ressource du groupe de ressources :
Supprimez le site VPN.
Remove-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1"Supprimez le hub virtuel.
Remove-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1"Supprimez le WAN virtuel.
Remove-AzVirtualWan -Name "TestVWAN1" -ResourceGroupName "TestRG"
Étapes suivantes
Ensuite, pour plus d’informations sur Virtual WAN, consultez la page FAQ sur Virtual WAN.