Remarque
L’accès à cette page requiert une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page requiert une autorisation. Vous pouvez essayer de modifier des répertoires.
Le peering de réseaux virtuels vous permet de connecter en toute transparence des réseaux virtuels dans un environnement Azure Stack Hub. Les réseaux virtuels apparaissent comme un seul réseau à des fins de connectivité. Le trafic entre les machines virtuelles utilise l’infrastructure SDN sous-jacente. Comme le trafic entre les machines virtuelles du même réseau, le trafic est routé uniquement via le réseau privé Azure Stack Hub.
Azure Stack Hub ne prend pas en charge le peering global, car le concept de « régions » ne s’applique pas.
Les avantages de l’utilisation du peering de réseaux virtuels sont les suivants :
- Connexion à faible latence et à bande passante élevée entre les ressources dans différents réseaux virtuels au sein du même tampon Azure Stack Hub.
- Capacité des ressources d’un réseau virtuel à communiquer avec des ressources dans un autre réseau virtuel au sein du même tampon Azure Stack Hub.
- Possibilité de transférer des données entre des réseaux virtuels entre différents abonnements au sein du même locataire Microsoft Entra.
- Aucun temps d’arrêt sur les ressources d’un réseau virtuel lors de la création du peering ou après la création du peering.
Le trafic réseau entre les réseaux virtuels homologués est privé. Le trafic entre les réseaux virtuels est conservé dans la couche d’infrastructure. Aucun internet public, passerelles ou chiffrement n’est requis dans la communication entre les réseaux virtuels.
Connectivité
Pour les réseaux virtuels appairés, les ressources de l’un peuvent se connecter directement à celles du réseau virtuel appairé.
La latence du réseau entre des machines virtuelles de réseaux virtuels homologués dans la même région est la même que celle d’un seul réseau virtuel. Le débit du réseau repose sur la bande passante autorisée pour la machine virtuelle proportionnellement à sa taille. Aucune restriction de bande passante supplémentaire n’est appliquée au sein du peering.
Le trafic entre les machines virtuelles dans des réseaux virtuels appairés est acheminé directement via la couche SDN, et non via une passerelle ou via l’Internet public.
Vous pouvez appliquer des groupes de sécurité réseau dans l’un ou l’autre des réseaux virtuels pour bloquer l’accès à d’autres réseaux virtuels ou sous-réseaux. Lors de la configuration du peering de réseaux virtuels, ouvrez ou fermez les règles de groupe de sécurité réseau entre les réseaux virtuels. Si vous ouvrez totalement la connectivité entre les réseaux virtuels appairés, vous pouvez appliquer des groupes de sécurité réseau pour bloquer ou refuser certains accès. La connectivité complète est l'option par défaut. Pour en savoir plus sur les groupes de sécurité réseau, voir Groupes de sécurité.
Chaînage de services
Le chaînage de services vous permet de diriger le trafic d’un réseau virtuel vers une appliance virtuelle ou une passerelle dans un réseau appairé via des itinéraires définis par l’utilisateur.
Pour activer le chaînage de services, configurez des itinéraires définis par l’utilisateur qui pointent vers des machines virtuelles dans des réseaux virtuels appairés comme adresse IP de tronçon suivant .
Vous pouvez déployer des réseaux hub-and-spoke , où le réseau virtuel hub héberge des composants d’infrastructure tels qu’une appliance virtuelle réseau ou une passerelle VPN. Tous les réseaux virtuels spoke peuvent ensuite être homologués avec le réseau virtuel hub. Le trafic transite par des appliances virtuelles réseau ou des passerelles VPN sur le réseau virtuel hub.
L’appairage de réseaux virtuels permet de définir le tronçon suivant dans un itinéraire défini par l’utilisateur sur l’adresse IP d’une machine virtuelle du réseau virtuel appairé. Pour en savoir plus sur les itinéraires définis par l’utilisateur, consultez la vue d’ensemble des itinéraires définis par l’utilisateur. Pour savoir comment créer une topologie de réseau hub-and-spoke, consultez la topologie de réseau hub-spoke dans Azure.
Passerelles et connectivité locale
Chaque réseau virtuel, y compris un réseau virtuel appairé, peut avoir sa propre passerelle. Un réseau virtuel peut utiliser sa passerelle pour se connecter à un réseau local. Consultez la documentation sur la passerelle de réseau virtuel Azure stack Hub.
Vous pouvez également configurer la passerelle du réseau virtuel appairé en tant que point de transit vers un réseau local. Dans ce cas, le réseau virtuel qui utilise une passerelle distante ne peut pas avoir sa propre passerelle. Un réseau virtuel n’a qu’une seule passerelle. La passerelle est une passerelle locale ou distante dans le réseau virtuel appairé, comme illustré dans la figure suivante :
Notez qu’un objet Connection doit être créé dans la passerelle VPN avant d’activer les options UseRemoteGateways dans le peering.
Important
Azure Stack Hub configure les itinéraires système en fonction des sous-réseaux de réseaux virtuels appairés, et non du préfixe d’adresse de réseau virtuel. Cela diffère de l’implémentation Azure. Si vous souhaitez remplacer les itinéraires par défaut du système, tels que le scénario décrit dans Scénario : Acheminer le trafic via une appliance virtuelle réseau (NVA) ou une topologie de réseau hub-spoke dans Azure, dans laquelle vous souhaitez router le trafic vers une appliance virtuelle ou une appliance de pare-feu, vous devez créer une entrée d’itinéraire pour chaque sous-réseau au sein du réseau virtuel.
Configuration du peering de réseaux virtuels
Autoriser l’accès au réseau virtuel : L’activation de la communication entre les réseaux virtuels permet aux ressources connectées à l’un ou l’autre de communiquer entre elles avec la même bande passante et la même latence que si elles étaient connectées au même réseau virtuel. Toutes les communications entre les ressources des deux réseaux virtuels sont routées via la couche SDN interne.
Une raison de ne pas activer l’accès réseau peut être un scénario dans lequel vous avez appairé un réseau virtuel avec un autre réseau virtuel, mais souhaitez parfois désactiver le flux de trafic entre les deux réseaux virtuels. Vous pouvez trouver que l’activation/désactivation est plus pratique que la suppression et la recréation de peerings. Lorsque ce paramètre est désactivé, le trafic ne circule pas entre les réseaux virtuels appairés.
Autoriser le trafic transféré : Cochez cette case pour autoriser le trafic transféré par une appliance virtuelle réseau dans un réseau virtuel (qui ne provient pas du réseau virtuel) à circuler vers ce réseau virtuel via un peering. Par exemple, considérez trois réseaux virtuels nommés Spoke1, Spoke2 et Hub. Un peering existe entre chaque réseau virtuel spoke et le réseau virtuel Hub, mais les peerings n’existent pas entre les réseaux virtuels spoke. Une appliance virtuelle réseau est déployée dans le réseau virtuel hub, et les itinéraires définis par l’utilisateur sont appliqués à chaque réseau virtuel spoke qui route le trafic entre les sous-réseaux via l’appliance virtuelle réseau. Si cette case à cocher n’est pas cochée pour le peering entre chaque réseau virtuel spoke et le réseau virtuel hub, le trafic ne circule pas entre les réseaux virtuels spoke, car le hub ne transfère pas le trafic entre les réseaux virtuels. Lors de l’activation de cette fonctionnalité, le trafic transféré via le peering ne crée pas d’itinéraires définis par l’utilisateur ou d’appliances virtuelles réseau. Les itinéraires définis par l’utilisateur et les appliances virtuelles sont créés séparément. Découvrez les itinéraires définis par l’utilisateur. Vous n’avez pas besoin de vérifier ce paramètre si le trafic est transféré entre les réseaux virtuels via une passerelle VPN.
Autoriser le transit de passerelle : Cochez cette case si vous disposez d’une passerelle de réseau virtuel attachée à ce réseau virtuel et souhaitez autoriser le trafic du réseau virtuel appairé à passer par la passerelle. Par exemple, ce réseau virtuel peut être attaché à un réseau local via une passerelle de réseau virtuel. La case à cocher permet au trafic du réseau virtuel appairé de passer par la passerelle attachée à ce réseau virtuel vers le réseau local. Si vous cochez cette case, le réseau virtuel appairé ne peut pas avoir une passerelle configurée. Le réseau virtuel appairé doit avoir la case Utiliser les passerelles distantes activée lors de la configuration du peering à partir de l’autre réseau virtuel sur ce réseau virtuel. Si vous laissez cette case désactivée (valeur par défaut), le trafic du réseau virtuel appairé circule toujours vers ce réseau virtuel, mais ne peut pas transiter par une passerelle de réseau virtuel attachée à ce réseau virtuel.
Utilisez des passerelles distantes : Cochez cette case pour autoriser le trafic de ce réseau virtuel à circuler via une passerelle de réseau virtuel attachée au réseau virtuel avec lequel vous appairez. Par exemple, le réseau virtuel avec lequel vous appairez dispose d’une passerelle VPN attachée qui permet de communiquer avec un réseau local. La case à cocher permet au trafic de ce réseau virtuel de circuler via la passerelle VPN attachée au réseau virtuel appairé. Si vous cochez cette case, le réseau virtuel appairé doit avoir une passerelle de réseau virtuel attachée à celle-ci et la case Autoriser le transit de passerelle doit être cochée. Si vous laissez cette case désactivée (valeur par défaut), le trafic du réseau virtuel appairé peut toujours circuler vers ce réseau virtuel, mais ne peut pas passer par une passerelle de réseau virtuel attachée à ce réseau virtuel.
Vous ne pouvez pas utiliser de passerelles distantes si vous disposez déjà d’une passerelle configurée dans votre réseau virtuel.
Autorisations
Assurez-vous que lors de la création de peerings avec des réseaux virtuels dans différents abonnements au sein des mêmes locataires Microsoft Entra, les comptes ont au moins le rôle Contributeur réseau attribué.
Important
Azure Stack Hub ne prend pas en charge le peering de réseaux virtuels entre les réseaux virtuels sur différents abonnements et sur différents locataires Microsoft Entra. Il prend en charge le peering de réseaux virtuels entre les réseaux virtuels sur différents abonnements tant que ces abonnements appartiennent au même locataire Microsoft Entra. Cela diffère de l’implémentation Azure.
Forum aux questions (FAQ) sur le peering de réseaux virtuels
Qu’est-ce que le peering de réseaux virtuels ?
L’appairage de réseaux virtuels permet de connecter des réseaux virtuels. Une connexion de peering de réseaux virtuels entre réseaux virtuels vous permet de router le trafic entre eux en privé via des adresses IPv4. Les machines virtuelles dans les réseaux virtuels appairés peuvent communiquer entre elles comme si elles se trouvent dans le même réseau. Les connexions de peering de réseaux virtuels peuvent également être créées sur plusieurs abonnements au sein du même locataire Microsoft Entra.
Azure Stack Hub prend-il en charge le peering de réseaux virtuels globaux ?
Azure Stack Hub ne prend pas en charge le peering global, car le concept de « régions » ne s’applique pas.
Sur quelle mise à jour Azure Stack Hub le peering de réseaux virtuels sera-t-il disponible ?
Le peering de réseaux virtuels est disponible dans Azure Stack Hub à compter de la mise à jour 2008.
Puis-je appairer mon réseau virtuel dans Azure Stack Hub à un réseau virtuel dans Azure ?
Non, le peering entre Azure et Azure Stack Hub n’est pas pris en charge pour l’instant.
Puis-je appairer mon réseau virtuel dans Azure Stack Hub1 à un réseau virtuel dans Azure Stack Hub2 ?
Non, le peering ne peut être créé qu’entre des réseaux virtuels dans un système Azure Stack Hub. Pour plus d’informations sur la connexion de deux réseaux virtuels à partir de différents tampons, consultez Établir une connexion de réseau virtuel à réseau virtuel dans Azure Stack Hub.
Puis-je activer le peering si mes réseaux virtuels appartiennent à des abonnements au sein de différents locataires Microsoft Entra ?
Non. Il n’est pas possible d’établir un peering de réseaux virtuels si vos abonnements appartiennent à différents locataires Microsoft Entra. Il s’agit d’une limitation spécifique pour Azure Stack Hub.
Puis-je appairer mon réseau virtuel avec un réseau virtuel dans un autre abonnement ?
Oui. Vous pouvez homologuer des réseaux virtuels entre différents abonnements s’ils appartiennent au même locataire Microsoft Entra.
Des restrictions de bande passante s’appliquent-elles aux connexions de peering ?
Non. Le peering de réseaux virtuels n’impose aucune restriction de bande passante. La bande passante est limitée uniquement par la machine virtuelle ou la ressource de calcul.
Ma connexion de peering de réseau virtuel est dans un état initié , pourquoi ne puis-je pas me connecter ?
Si votre connexion de peering est dans un état Initié , cela signifie que vous n’avez créé qu’un seul lien. Un lien bidirectionnel doit être créé pour établir une connexion réussie. Par exemple, pour appairer le réseau virtuel A au réseau virtuel B, un lien doit être créé à partir du réseau virtuel A vers le réseau virtuel B, et du réseau virtuel B au réseau virtuel A. La création des deux liens modifie l’état de connexion.
Ma connexion de peering de réseau virtuel est dans un état déconnecté , pourquoi ne puis-je pas créer une connexion de peering ?
Si votre connexion de peering de réseau virtuel est dans un état déconnecté , cela signifie que l’un des liens créés a été supprimé. Pour rétablir une connexion de peering, supprimez le lien et recréez-le.
Le trafic de l’appairage de réseaux virtuels est-il chiffré ?
Non. Le trafic entre les ressources des réseaux virtuels appairés est privé et isolé. Il reste complètement dans la couche SDN du système Azure Stack Hub.
Si j’appaire un réseau virtuel A au réseau virtuel B et que j’appaire le réseau virtuel B au réseau virtuel C, cela signifie-t-il que le réseau virtuel A et le réseau virtuel C sont appairés ?
Non. Le peering transitif n’est pas pris en charge. Vous devez homologuer le réseau virtuel A et le réseau virtuel C.