Partage via

Phase de conception 2 : connectivité avec les réseaux virtuels Azure

  • Article

Les clouds privés Azure VMware Solution se connectent aux réseaux virtuels Azure via les circuits ExpressRoute Azure managé. Pour plus d’informations, consultez Circuits Azure ExpressRoute et clouds privés Azure VMware Solution. Dans les réseaux Azure hub-spoke (y compris les réseaux créés avec Azure Virtual WAN), la connexion d’un circuit managé d’un cloud privé à une passerelle ExpressRoute dans le réseau hub (ou hub Virtual WAN) fournit une connectivité de couche 3 avec le cloud privé. Toutefois, l’application de stratégies de sécurité pour autoriser ou refuser sélectivement les connexions entre les ressources est souvent requise. Cette exigence peut exister entre :

  • Les réseaux virtuels Azure et les machines virtuelles s’exécutant dans le cloud privé Azure VMware Solution.
  • Les réseaux virtuels Azure et les points de terminaison de gestion du cloud privé Azure VMware Solution.

Bien que les réseaux virtuels Azure et vSphere/NSX-T fournissent des constructions natives pour la segmentation du réseau, les solutions de pare-feu déployées en tant qu’appliances virtuelles réseau (NVA) dans les réseaux virtuels Azure sont souvent l’option préférée dans les environnements à l’échelle de l’entreprise. Cet article se concentre sur une configuration de réseau virtuel qui vous permet de router le trafic entre les clouds privés et les réseaux virtuels Azure à l’aide de tronçons suivants personnalisés, tels que des appliances virtuelles réseau de pare-feu.

Le choix que vous effectuez dans cette phase de conception dépend de l’option que vous avez sélectionnée dans la phase de conception 1 pour la connectivité locale. En fait, le circuit ExpressRoute managé qui connecte un cloud privé à un réseau virtuel Azure peut également jouer un rôle dans la connectivité avec des sites locaux. C’est le cas si vous choisissez le transit via un peering privé ExpressRoute pendant la phase de conception 1. Cet organigramme montre le processus pour choisir une option de connectivité avec des réseaux virtuels Azure :

Flowchart that shows the design decision making process for connectivity to Azure virtual networks.

Pour plus d’informations sur la connectivité avec les réseaux virtuels Azure, consultez l’une des sections suivantes. Choisissez la section qui correspond à l’option de connectivité hybride que vous avez sélectionnée pendant la phase de conception 1.

Le transit via un peering privé ExpressRoute est utilisé pour le trafic local

Lorsque vous utilisez le transit via un peering privé ExpressRoute pour la connectivité avec des sites locaux, le trafic est routé par le biais d’appliances virtuelles réseau (généralement le Pare-feu Azure ou des solutions de pare-feu tiers) dans le réseau hub. Le trafic provenant de sites locaux entre dans le réseau virtuel Azure via la passerelle ExpressRoute (connectée au circuit appartenant au client) et est routé vers l’appliance virtuelle réseau du pare-feu. Après inspection, le trafic est transféré (s’il n’est pas supprimé par le pare-feu) vers le cloud privé via le circuit ExpressRoute managé.

Dans la direction opposée, le trafic du cloud privé entre dans le réseau virtuel hub ou le réseau virtuel auxiliaire, selon l’option d’implémentation choisie lors de la phase de conception 1 (réseau virtuel unique ou réseau virtuel auxiliaire). Il est ensuite routé via la passerelle ExpressRoute connectée au circuit managé et à l’appliance virtuelle réseau de pare-feu. Après inspection, le trafic est transféré (s’il n’est pas supprimé par le pare-feu) vers la destination locale via le circuit ExpressRoute appartenant au client.

Les options de réseau virtuel unique et de réseau virtuel auxiliaire incluent la configuration du routage qui entraîne le transfert de tout le trafic à partir d’un cloud privé vers les appliances virtuelles réseau de pare-feu dans le réseau hub, quelle que soit sa destination (réseau virtuel Azure ou sites locaux). Les règles de pare-feu permettant d’autoriser ou de supprimer les connexions entre les machines virtuelles s’exécutant dans le cloud privé et les ressources Azure doivent être ajoutées à la stratégie de pare-feu.

ExpressRoute Global Reach est utilisé pour le trafic local

Lorsque vous utilisez ExpressRoute Global Reach pour la connectivité avec des sites locaux, la connexion de passerelle ExpressRoute entre le réseau hub et le cloud privé transporte uniquement le trafic destiné aux ressources Azure. Pour router ce trafic via un appareil de pare-feu, vous devez implémenter la configuration suivante :

  • Dans les réseaux hub-spoke traditionnels, vous devez ajouter des itinéraires définis par l’utilisateur (UDR) au sous-réseau de passerelle du réseau virtuel hub pour toutes les destinations (préfixes IP) sur Azure qui doivent être accessibles via les appliances virtuelles réseau. L’adresse IP du tronçon suivant pour les UDR est l’adresse IP virtuelle du pare-feu (l’adresse IP privée du pare-feu lorsque vous utilisez le Pare-feu Azure).
  • Dans les réseaux hub-spoke basés sur Virtual WAN avec des appliances virtuelles réseau intégrées au hub (Pare-feu Azure ou solutions de sécurité tierces), vous devez ajouter des itinéraires statiques personnalisés à la table de routage par défaut du hub Virtual WAN. Un UDR est requis pour chaque préfixe IP qui doit être atteint via les appliances virtuelles réseau depuis Azure VMware Solution. Le tronçon suivant pour ces UDR doit être l’adresse IP virtuelle du pare-feu ou de l’appliance virtuelle réseau. Vous pouvez également activer et configurer intention et stratégies de routage Virtual WAN sur des hubs Virtual WAN sécurisés.

Les VPN IPSec sont utilisés pour le trafic local

Lorsque vous utilisez les VPN IPSec pour la connectivité avec des sites locaux, vous devez configurer un routage supplémentaire pour router les connexions entre un cloud privé et des ressources dans des réseaux virtuels Azure via des appliances virtuelles de pare-feu :

  • Dans les réseaux hub-spoke traditionnels, vous devez ajouter des UDR au sous-réseau de passerelle du réseau hub pour toutes les destinations (préfixes IP) sur Azure qui doivent être accessibles via les appliances virtuelles réseau. L’adresse IP du tronçon suivant pour les UDR est l’adresse IP virtuelle du pare-feu (l’adresse IP privée du pare-feu lorsque vous utilisez le Pare-feu Azure).
  • Dans les réseaux hub-spoke basés sur Virtual WAN avec des appliances virtuelles réseau intégrées au hub (Pare-feu Azure ou solutions de sécurité tierces), vous devez ajouter des itinéraires statiques personnalisés à la table de routage par défaut du hub Virtual WAN pour chaque ensemble de destinations (préfixes IP) qui doivent être atteintes via les appliances virtuelles réseau d’Azure VMware Solution. Pour chaque UDR, le tronçon suivant doit être l’adresse IP virtuelle du pare-feu ou de l’appliance virtuelle réseau. Vous pouvez également activer et configurer intention et stratégies de routage Virtual WAN sur des hubs Virtual WAN sécurisés.

Étapes suivantes

Découvrez la connectivité Internet entrante.

Connectivité Internet entrante