Qu’est-ce que la passerelle VPN Azure ?
Passerelle VPN Azure est un service qui peut être utilisé pour envoyer du trafic chiffré entre un réseau virtuel Azure et des emplacements locaux sur l’Internet public. Vous pouvez également utiliser une passerelle VPN pour envoyer du trafic chiffré entre les réseaux virtuels Azure sur le réseau Microsoft. Le service Passerelle VPN utilise un type spécifique de passerelle réseau virtuelle Azure appelée passerelle VPN. Vous pouvez créer plusieurs connexions à la même passerelle VPN. Lorsque vous créez plusieurs connexions, tous les tunnels VPN partagent la bande passante de passerelle disponible.
Pourquoi utiliser Passerelle VPN ?
Voici quelques-uns des scénarios clés liés au service Passerelle VPN :
Envoyer du trafic chiffré entre un réseau virtuel Azure et des emplacements locaux sur l’Internet public. Pour ce faire, vous pouvez utiliser les types de connexions suivants :
Connexion de site à site : connexion de tunnel VPN IPsec/IKE de site à site entre la passerelle VPN et un périphérique VPN local.
Connexion point à site : VPN via OpenVPN, IKEv2 ou SSTP. Ce type de connexion vous permet de vous connecter à votre réseau virtuel à partir d’un emplacement distant, par exemple à partir d’une conférence ou à partir de votre domicile.
Envoyer du trafic chiffré entre des réseaux virtuels. Pour ce faire, vous pouvez utiliser les types de connexions suivants :
Connexion de réseau virtuel à réseau virtuel : connexion de tunnel VPN IPsec/IKE entre la passerelle VPN et une autre passerelle VPN Azure, qui utilise un type de connexion de réseau virtuel à réseau virtuel. Ce type de connexion est spécifiquement conçu pour les connexions de réseau virtuel à réseau virtuel.
Connexion de site à site : connexion de tunnel VPN IPsec/IKE entre la passerelle VPN et une autre passerelle VPN Azure. Ce type de connexion, quand il est utilisé dans l’architecture d’une connexion de réseau virtuel à réseau virtuel, utilise le type de connexion Site à site (IPsec), qui permet les connexions intersites à la passerelle en plus des connexions entre les passerelles VPN.
Configurer un VPN site à site en tant que chemin de basculement sécurisé pour ExpressRoute. Pour ce faire, vous pouvez utiliser :
- ExpressRoute + passerelle VPN : combinaison de connexions ExpressRoute + passerelle VPN (connexions coexistantes).
Utiliser des VPN site à site pour vous connecter aux sites qui ne sont pas connectés via ExpressRoute. Vous pouvez le faire avec :
- ExpressRoute + passerelle VPN : combinaison de connexions ExpressRoute + passerelle VPN (connexions coexistantes).
Planification et conception
Étant donné que vous pouvez créer plusieurs configurations de connexion à l’aide de la passerelle VPN, vous devez déterminer laquelle correspond le mieux à vos besoins. Les connexions point à site, les connexions de site à site et les connexions ExpressRoute/de site à site coexistantes ont toutes des instructions et des exigences de configuration des ressources distinctes.
Consultez l’article Topologie et conception des passerelles VPN pour plus d’informations sur les topologies de conception, et obtenir des liens vers les instructions de configuration. Les sections suivantes de l’article mettent en évidence certaines des topologies de conception les plus souvent utilisées.
- Connexions VPN de site à site
- Connexions VPN de point à site
- Connexions VPN de réseau virtuel à réseau virtuel
Tableau de planification
Le tableau suivant peut vous aider à déterminer la meilleure option de connectivité pour votre solution.
| De point à site | De site à site | |
|---|---|---|
| Services pris en charge par Azure | Cloud Services et Virtual Machines | Cloud Services et Virtual Machines |
| Bandes passantes classiques | Basé sur la référence SKU de passerelle | En règle générale < 10 Gbit/s agrégé |
| Protocoles pris en charge | SSTP (Secure Sockets Tunneling Protocol), OpenVPN et IPsec | IPsec |
| Routage | RouteBased (dynamique) | Nous prenons en charge le routage basé sur des stratégies (statique) et basé sur un itinéraire (VPN de routage dynamique) |
| Résilience de connexion | actif / passif | actif/passif ou actif/actif |
| Cas d’utilisation classique | Sécuriser l’accès aux réseaux virtuels Azure pour les utilisateurs distants | Scénarios de développement, de test et de labo avec des charges de travail de production à petite ou moyenne échelle pour les services cloud et les machines virtuelles |
| CONTRAT SLA | CONTRAT SLA | CONTRAT SLA |
| Tarification | Tarification | Tarification |
| Documentation technique | Passerelle VPN | Passerelle VPN |
| FAQ | FAQ sur la passerelle VPN | FAQ sur la passerelle VPN |
Zones de disponibilité
Des passerelles VPN peuvent être déployées dans des zones de disponibilité Azure. Cela apporte de la résilience, de l’extensibilité et une plus grande disponibilité aux passerelles de réseau virtuel. Le déploiement de passerelles dans les zones de disponibilité Azure sépare les passerelles physiquement et logiquement au sein d’une région, tout en empêchant la connectivité réseau locale à Azure d’échouer au niveau des zones. Cf. À propos des passerelles de réseau virtuel redondantes interzones dans les Zones de disponibilité Azure.
Configuration d’une passerelle VPN
Une connexion par passerelle VPN s’appuie sur plusieurs ressources qui sont configurées avec des paramètres spécifiques. Dans certains cas, les ressources doivent être configurées selon un certain ordre. Les paramètres que vous avez choisis pour chaque ressource sont essentiels à la création d’une connexion réussie.
Pour plus d’informations sur les ressources et les paramètres individuels de la passerelle VPN, consultez À propos des paramètres de passerelle VPN et À propos des références SKU de passerelle. Ces articles contiennent des informations qui vous aideront à comprendre les types de passerelles, les références SKU de passerelles, les types de VPN, les types de connexion, les sous-réseaux de passerelles, les passerelles de réseau local et divers autres paramètres de ressources qui pourraient être pris en compte.
Pour obtenir des diagrammes de conception ainsi que des liens vers les articles consacrés à la configuration, consultez l’article Topologie et conception des passerelles VPN.
Références SKU de passerelle
Lorsque vous créez une passerelle de réseau virtuel, vous spécifiez la référence SKU de passerelle que vous voulez utiliser. Sélectionnez la référence SKU qui répond à vos besoins en fonction des types de charges de travail, des débits, des fonctionnalités et des contrats de niveau de service. Pour plus d’informations sur les références SKU de passerelle, y compris les fonctionnalités prises en charge, les tableaux de performances, les étapes de configuration et les charges de travail de production et de test, consultez À propos des références SKU de passerelle.
| VPN Passerelle Génération |
Référence (SKU) | S2S/VNet-to-VNet Tunnels |
P2S Connexions SSTP |
P2S Connexions IKEv2/OpenVPN |
Agrégat Évaluation du débit |
BGP | Redondant interzone | Nombre de machines virtuelles prises en charge dans le réseau virtuel |
|---|---|---|---|---|---|---|---|---|
| Génération1 | De base | Bande passante 10 | Bande passante 128 | Non pris en charge | 100 Mbits/s | Non pris en charge | Non | 200 |
| Génération1 | VpnGw1 | Bande passante 30 | Bande passante 128 | Bande passante 250 | 650 Mbits/s | Pris en charge | Non | 450 |
| Génération1 | VpnGw2 | Bande passante 30 | Bande passante 128 | Bande passante 500 | 1 Gbit/s | Pris en charge | Non | 1300 |
| Génération1 | VpnGw3 | Bande passante 30 | Bande passante 128 | Bande passante 1 000 | 1,25 Gbits/s | Pris en charge | Non | 4000 |
| Génération1 | VpnGw1AZ | Bande passante 30 | Bande passante 128 | Bande passante 250 | 650 Mbits/s | Pris en charge | Oui | 1000 |
| Génération1 | VpnGw2AZ | Bande passante 30 | Bande passante 128 | Bande passante 500 | 1 Gbit/s | Pris en charge | Oui | 2000 |
| Génération1 | VpnGw3AZ | Bande passante 30 | Bande passante 128 | Bande passante 1 000 | 1,25 Gbits/s | Pris en charge | Oui | 5 000 |
| Génération2 | VpnGw2 | Bande passante 30 | Bande passante 128 | Bande passante 500 | 1,25 Gbits/s | Pris en charge | Non | 685 |
| Génération2 | VpnGw3 | Bande passante 30 | Bande passante 128 | Bande passante 1 000 | 2,5 Gbits/s | Prise en charge | Non | 2240 |
| Génération2 | VpnGw4 | Bande passante 100* | Bande passante 128 | Bande passante 5 000 | 5 Gbit/s | Prise en charge | Non | 5300 |
| Génération2 | VpnGw5 | Bande passante 100* | Bande passante 128 | Bande passante 10000 | 10 Gbits/s | Prise en charge | Non | 6700 |
| Génération2 | VpnGw2AZ | Bande passante 30 | Bande passante 128 | Bande passante 500 | 1,25 Gbits/s | Pris en charge | Oui | 2000 |
| Génération2 | VpnGw3AZ | Bande passante 30 | Bande passante 128 | Bande passante 1 000 | 2,5 Gbits/s | Prise en charge | Oui | 3300 |
| Génération2 | VpnGw4AZ | Bande passante 100* | Bande passante 128 | Bande passante 5 000 | 5 Gbit/s | Prise en charge | Oui | 4400 |
| Génération2 | VpnGw5AZ | Bande passante 100* | Bande passante 128 | Bande passante 10000 | 10 Gbits/s | Prise en charge | Oui | 9000 |
(*) Si vous avez besoin de plus de 100 tunnels VPN site à site, utilisez Virtual WAN au lieu d’une passerelle VPN.
Tarification
Vous payez deux choses : les coûts horaires de calcul de la passerelle de réseau virtuel, et les coûts de transfert des données sortantes à partir de la passerelle de réseau virtuel. Pour des informations sur les prix, consultez la page Tarification . Pour connaître les tarifs des références SKU existantes de la passerelle, consultez la page des tarifs ExpressRoute et accédez à la section Passerelles de réseau virtuel.
Coûts de calcul de la passerelle de réseau virtuel
Chaque passerelle de réseau virtuel a un coût horaire de calcul. Le prix est basé sur la référence SKU de passerelle que vous spécifiez lorsque vous créez une passerelle de réseau virtuel. Le coût est celui de la passerelle elle-même. Il s’ajoute au coût du transfert des données qui transitent par la passerelle. Le coût d’une configuration actif-actif est identique à celui d’une configuration actif-passif. Pour plus d’informations sur les références de passerelle pour la passerelle VPN, consultez Références (SKU) de passerelle.
Coût de transfert des données
Les coûts de transfert de données sont calculés en fonction du trafic sortant à partir de la passerelle de réseau virtuel source.
- Si vous envoyez le trafic vers votre appareil VPN local, il est facturé avec le taux de transfert des données sortantes sur Internet.
- Si vous envoyez le trafic entre des réseaux virtuels se trouvant dans différentes régions, le tarif est basé sur la région.
- Si vous envoyez le trafic seulement entre des réseaux virtuels qui se trouvent dans la même région, il n’y a aucun coût de données. Le trafic entre les réseaux virtuels dans la même région est gratuit.
Nouveautés
La passerelle VPN Azure est régulièrement mise à jour. Pour suivre les dernières annonces, consultez l’article relatif aux nouveautés. L’article met en évidence les points d’intérêt suivants :
- Dernières mises en production
- Préversions en cours avec des limitations connues (le cas échéant)
- Problèmes connus
- Fonctionnalités dépréciées (le cas échéant)
Vous pouvez également vous abonner au flux RSS, et voir les dernières mises à jour des fonctionnalités du service Passerelle VPN dans la page Mises à jour Azure.
FAQ
Pour les questions fréquemment posées sur la passerelle VPN, consultez le Forum aux questions sur la passerelle VPN.