Présentation du réseau virtuel Azure

  • Article

Le Réseau virtuel Azure est le composant fondamental de votre réseau privé dans Azure. Le réseau virtuel permet à de nombreux types de ressources Azure, telles que les machines virtuelles (VM) Azure, de communiquer de manière sécurisée entre elles, avec Internet et avec les réseaux locaux. Un réseau virtuel est similaire à un réseau traditionnel que vous utiliseriez dans votre propre centre de données. Cependant, le réseau virtuel Microsoft Azure apporte les avantages de l’infrastructure Azure tels que la mise à l’échelle, la disponibilité et l’isolation.

Pourquoi utiliser un réseau virtuel Azure ?

Le réseau virtuel Azure permet aux ressources Azure de communiquer de manière sécurisée entre elles, avec Internet et sur des réseaux locaux.

Les principaux scénarios que vous pouvez exécuter avec un réseau virtuel incluent :

  • La communication de ressources Azure avec Internet

  • La communication entre des ressources Azure

  • La communication avec des ressources locales

  • Filtrage du trafic réseau

  • Routage du trafic réseau

  • Intégration aux services Azure.

Communiquer avec Internet

Toutes les ressources d’un réseau virtuel peuvent communiquer en sortie vers Internet, par défaut. Vous pouvez effectuer des communications entrantes vers une ressource en lui assignant une adresse IP publique ou un équilibreur de charge public. Vous pouvez également utiliser des adresses IP publiques, une passerelle NAT ou un équilibreur de charge public pour gérer vos connexions sortantes. Pour en savoir plus sur les connexions sortantes dans Azure, consultez Connexions sortantes, Adresses IP publiques et passerelle NAT et Équilibreur de charge.

Notes

Lorsque vous utilisez un Standard Load Balancer (équilibreur de charge standard) interne, une connectivité sortante n’est pas disponible jusqu’à ce que vous définissiez le fonctionnement des connexions sortantes pour travailler avec une adresse IP publique au niveau de l’instance ou un équilibreur de charge public.

Communiquer entre les ressources Azure

Les ressources Azure communiquent en toute sécurité entre elles de l’une des manières suivantes :

  • Via un réseau virtuel : vous pouvez déployer des machines virtuelles et d’autres types de ressources Azure sur un réseau virtuel. Parmi les exemples de ressources, on peut citer les environnements Azure App Service Environment, Azure Kubernetes Service (AKS) et les Virtual Machine Scale Sets Azure. Pour obtenir la liste complète des ressources Azure que vous pouvez déployer sur un réseau virtuel, consultez Intégration des services de réseau virtuel.

  • Via un point de terminaison de service de réseau virtuel : étendez votre espace d’adressage privé de réseau virtuel et l’identité de votre réseau virtuel aux services Azure. Les comptes de stockage Azure et Azure SQL Database, via une connexion directe, sont des exemples de ressources. Les points de terminaison de service vous permettent de sécuriser vos ressources critiques du service Azure pour un réseau virtuel uniquement. Pour plus d’informations, consultez Présentation des points de terminaison de service de réseau virtuel.

  • Avec l’appairage VNet : vous pouvez connecter des réseaux virtuels entre eux, ce qui permet aux ressources de ces réseaux virtuels de communiquer entre elles à l’aide d’un appairage de réseaux virtuels. Les réseaux virtuels que vous connectez peuvent être situés dans des régions Azure identiques ou différentes. Pour en savoir plus, consultez Peering de réseaux virtuels.

Communiquer avec les ressources locales

Vous pouvez connecter vos ordinateurs et réseaux locaux à un réseau virtuel à l’aide de n’importe quelle option suivante :

  • Réseau privé virtuel (VPN) de point à site : connexion établie entre un réseau virtuel et un ordinateur unique de votre réseau. Chaque ordinateur qui doit établir une connexion avec un réseau virtuel doit configurer ses connexions. Ce type de connexion est utile si vous n’êtes pas familiarisé avec Azure, ou pour les développeurs car elle nécessite peu voire pas de modifications de votre réseau existant. La communication entre votre ordinateur et un réseau virtuel passe par un tunnel chiffré via Internet. Pour plus d’informations, consultez VPN de point à site.

  • VPN de site à site : connexion établie entre votre appareil VPN local et une passerelle VPN Azure déployée dans un réseau virtuel. Ce type de connexion permet à n’importe quelle ressource locale de votre choix d’accéder à un réseau virtuel. La communication entre votre appareil VPN local et une passerelle VPN Azure passe par un tunnel chiffré via Internet. Pour plus d’informations, consultez VPN de site à site.

  • Azure ExpressRoute : connexion établie entre votre réseau et Azure via un partenaire ExpressRoute. Cette connexion est privée. Toutefois, le trafic ne transite pas par Internet. Pour plus d’informations, consultez ExpressRoute.

Filtrer le trafic

Vous pouvez filtrer le trafic réseau entre les sous-réseaux à l’aide d’une des deux options suivantes :

  • Groupes de sécurité réseau : les groupes de sécurité réseau et les groupes de sécurité d’application peuvent contenir plusieurs règles de sécurité entrantes et sortantes. Ces règles vous permettent de filtrer le trafic échangé avec les ressources par adresse IP source ou de destination, port ou protocole. Pour en savoir plus, consultez Groupes de sécurité réseau et Groupes de sécurité d’application.

  • Appliances virtuelles réseau : une appliance virtuelle réseau est une machine virtuelle exécutant une fonction réseau, telle qu’un pare-feu, l’optimisation du WAN ou une autre fonction réseau. Pour afficher la liste des appliances virtuelles réseau disponibles que vous pouvez déployer dans un réseau virtuel, consultez Place de marché Microsoft Azure.

Router le trafic

Les itinéraires Azure se chargent de l’acheminement entre les sous-réseaux, les réseaux virtuels connectés, les réseaux locaux et Internet, par défaut. Vous pouvez implémenter une ou les deux options suivantes pour remplacer les itinéraires par défaut créés par Azure :

  • Tables de routage : vous pouvez créer des tables de routage personnalisées avec des itinéraires qui contrôlent où le trafic est acheminé pour chaque sous-réseau. Découvrez-en plus sur les tables de routage.

  • Itinéraires BGP : si vous connectez votre réseau virtuel à votre réseau local via une connexion ExpressRoute ou la passerelle VPN Azure, vous pouvez propager vos itinéraires BGP locaux à vos réseaux virtuels. En savoir plus sur l’utilisation du protocole BGP avec la passerelle VPN Azure et ExpressRoute.

Intégration d’un réseau virtuel pour les services Azure

L’intégration des services Azure à un réseau virtuel Azure permet un accès privé au service à partir de machines virtuelles ou de ressources de calcul dans le réseau virtuel. Vous pouvez intégrer des services Azure dans votre réseau virtuel, grâce aux options suivantes :

  • Déploiement d’instances dédiées du service dans un réseau virtuel. Les services sont alors accessibles de manière privée dans le réseau virtuel, et à partir des réseaux locaux.

  • Utilisation de Liaison privée pour accéder en privé à une instance spécifique du service à partir de votre réseau virtuel et de réseaux locaux.

  • Vous pouvez également accéder au service à l’aide de points de terminaison publics en étendant un réseau virtuel au service par le biais de points de terminaison de service. Les points de terminaison de service permettent de sécuriser les ressources de service au sein du réseau virtuel.

Limites du réseau virtuel Azure

Le nombre de ressources Azure que vous pouvez déployer est limité. La plupart des limites de mise en réseau Azure sont des valeurs maximales. Toutefois, vous pouvez augmenter certaines limites de mise en réseau comme spécifié dans la page consacrée aux limites de réseau virtuel.

Réseaux virtuels et zones de disponibilité

Les réseaux virtuels et les sous-réseaux couvrent toutes les zones de disponibilité d’une région. Vous n’avez pas besoin de les diviser par zones de disponibilité pour prendre en charge les ressources zonales. Par exemple, si vous configurez une machine virtuelle zonale, vous n’avez pas besoin de prendre en compte le réseau virtuel quand vous sélectionnez la zone de disponibilité pour la machine virtuelle. Il en va de même pour les autres ressources zonales.

Tarifs

L’utilisation du réseau virtuel Microsoft Azure est gratuite. Des frais standards s’appliquent aux ressources telles que les machines virtuelles et d’autres produits. Pour plus d’informations, voir la tarification des réseaux virtuels et la calculatrice de prix Azure.

Étapes suivantes