Remarque
L’accès à cette page requiert une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page requiert une autorisation. Vous pouvez essayer de modifier des répertoires.
La topologie hub-and-spoke est un modèle d’architecture réseau courant dans Azure. Dans cette configuration, le hub est un réseau virtuel qui sert de point central de connectivité à votre réseau local. Les spokes sont des réseaux virtuels appairés avec le hub, qui peuvent être utilisés pour isoler les charges de travail. Le hub peut sécuriser et router le trafic entre les spokes à l’aide de différentes méthodes.
Par exemple, vous pouvez utiliser le Serveur de routes Azure avec le routage dynamique et des appliances virtuelles réseau (NVA) pour router le trafic entre les spokes. Une méthode plus simple implique l’utilisation du Pare-feu Azure et de routes statiques.
Cet article illustre comment utiliser le Pare-feu Azure avec des routes statiques définies par l’utilisateur (UDR) pour router une topologie multi hub-and-spoke. Le diagramme suivant illustre la topologie :
Architecture de base de référence
Le Pare-feu Azure sécurise et inspecte le trafic, mais il route également le trafic entre les réseaux virtuels. Il crée automatiquement des routes système vers les spokes locaux, le hub, et les préfixes locaux appris par sa passerelle de réseau virtuel locale. Le fait de placer une appliance virtuelle réseau sur le hub et d’interroger les routes effectives montrerait une table de routage semblable à celle du Pare-feu Azure.
Dans cette architecture de routage statique, le chemin d’accès le plus court vers un autre hub est obtenu à l’aide de l’appairage de réseaux virtuels global entre les hubs. Chaque hub a connaissance des autres hubs, et chaque pare-feu local contient la table de routage de chaque hub directement connecté. Toutefois, les hubs locaux ne connaissent que leurs spokes locaux. Ces hubs peuvent se trouver dans des régions identiques ou différentes.
Routage sur le sous-réseau du pare-feu
Chaque pare-feu local doit savoir comment atteindre les spokes distants. Vous devez donc créer des routes définies par l’utilisateur dans les sous-réseaux du pare-feu. Commencez par créer une route par défaut, puis ajoutez des routes plus spécifiques aux autres spokes. Les captures d’écran suivantes montrent la table de routage des deux réseaux virtuels hub :
Remarque
Le préfixe d’adresse dans la table de routage virtuel du hub doit englober les espaces d’adressage des deux réseaux virtuels spoke.
Table de routage pour Hub-01
Table de routage pour Hub-02
Routage sur les sous-réseaux spoke
Cette topologie permet au trafic de passer d’un hub à un autre, et d’atteindre le tronçon suivant directement connecté via le peering mondial.
Comme indiqué dans le diagramme, il est préférable de placer une route définie par l’utilisateur dans les sous-réseaux spoke avec une route 0/0 (passerelle par défaut) pointant vers le pare-feu local comme tronçon suivant. Cela garantit un point de sortie unique à travers le pare-feu, et réduit le risque de routage asymétrique si des préfixes plus spécifiques à partir de votre environnement local amènent le trafic à contourner le pare-feu. Pour plus d’informations, consultez Ne pas laisser vos routes Azure vous mordre.
Voici un exemple de table de routage pour les sous-réseaux spoke connectés à Hub-01 :
Étapes suivantes
- Découvrez comment déployer et configurer un Pare-feu Azure.