Remarque
L’accès à cette page requiert une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page requiert une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure VPN Gateway service peut être utilisé pour envoyer du trafic chiffré entre un réseau virtuel Azure et des emplacements locaux via l’Internet public. Vous pouvez également utiliser VPN Gateway pour envoyer le trafic chiffré entre des réseaux virtuels Azure sur le réseau Microsoft. VPN Gateway utilise un type spécifique de passerelle de réseau virtuel Azure appelée VPN gateway. Vous pouvez créer plusieurs connexions à la même passerelle VPN. Lorsque vous créez plusieurs connexions, tous les tunnels VPN partagent la bande passante de passerelle disponible.
Remarque
Azure VPN Gateway est l’un des services qui composent la catégorie Connectivité hybride dans Azure. Les autres services de cette catégorie incluent ExpressRoute et Virtual WAN. Chaque service a ses propres fonctionnalités et cas d’usage uniques. Pour plus d’informations sur cette catégorie de service, consultez Connectivité hybride.
Pourquoi utiliser VPN Gateway ?
Voici quelques-uns des principaux scénarios de VPN Gateway :
Envoyez le trafic chiffré entre un réseau virtuel Azure et des emplacements locaux via l’Internet public à l’aide de l’un des types de connexions suivants :
Connexion de site à site : Connexion de tunnel VPN IPsec/IKE intersite entre la passerelle VPN et un périphérique VPN local.
Connexion point à site : VPN sur OpenVPN, IKEv2 ou SSTP. Ce type de connexion vous permet de vous connecter à votre réseau virtuel à partir d’un emplacement distant, par exemple à partir d’une conférence ou à partir de votre domicile.
Envoyez le trafic chiffré entre Azure réseaux virtuels à l’aide des types de connexions suivants :
VNet-to-VNet : Une connexion vpn IPsec/IKE entre la passerelle VPN et une autre passerelle VPN Azure qui utilise un type de connexion VNet-à-VNet. Ce type de connexion est spécifiquement conçu pour les connexions de réseau virtuel à réseau virtuel.
Connexion de site à site : un tunnel VPN IPsec/IKE entre la passerelle VPN et une autre passerelle VPN Azure. Ce type de connexion, lorsqu’elle est utilisée dans l’architecture de réseau virtuel à réseau virtuel, utilise le type de connexion site à site (IPsec), qui permet des connexions intersite à la passerelle en plus des connexions entre les passerelles VPN.
Configurez un VPN de site à site comme chemin de basculement sécurisé pour ExpressRoute à l’aide de :
- ExpressRoute + VPN Gateway : Combinaison de connexions ExpressRoute + VPN Gateway (connexions coexistantes).
Utilisez des VPN de site à site pour vous connecter à des sites qui ne sont pas connectés via ExpressRoute à l’aide de :
- ExpressRoute + VPN Gateway : Combinaison de connexions ExpressRoute + VPN Gateway (connexions coexistantes).
Planification et conception
Étant donné que vous pouvez créer plusieurs configurations de connexion à l’aide de VPN Gateway, vous devez déterminer la configuration la mieux adaptée à vos besoins. Les connexions point à site, les connexions de site à site et les connexions ExpressRoute/de site à site coexistantes ont toutes des instructions et des exigences de configuration des ressources distinctes.
Consultez l’article VPN Gateway topologie et conception pour obtenir des topologies de conception et des liens vers des instructions de configuration. Les sections suivantes de l’article mettent en évidence certaines des topologies de conception les plus souvent utilisées.
Tableau de planification
Le tableau suivant peut vous aider à déterminer la meilleure option de connectivité pour votre solution.
| Point à site | De site à site | |
|---|---|---|
| Services Azure pris en charge | Services cloud et Virtual Machines | Services cloud et Virtual Machines |
| Bande passantes classiques | Basé sur la référence SKU de passerelle | < En général, 10 Gbits/s d’agrégation |
| Protocoles pris en charge | SSTP (Secure Sockets Tunneling Protocol), OpenVPN et IPsec | IPsec |
| Routage | RouteBased (dynamique) | Nous prenons en charge le routage basé sur des stratégies (statique) et basé sur un itinéraire (VPN de routage dynamique) |
| Résilience des connexions | actif/passif ou actif/actif | actif/passif ou actif/actif |
| Cas d’utilisation classique | Sécuriser l’accès aux réseaux virtuels Azure pour les utilisateurs distants | Scénarios de développement, de test et de labo avec des charges de travail de production à petite ou moyenne échelle pour les services cloud et les machines virtuelles |
| SLA | SLA | SLA |
| Tarification | Tarification | Tarification |
| Documentation technique | VPN Gateway | VPN Gateway |
| FORUM AUX QUESTIONS | FAQ VPN Gateway | FAQ VPN Gateway |
Zones de Disponibilité (Availability Zones)
Les passerelles VPN peuvent être déployées dans Azure Availability Zones. Les déploiements de zones de disponibilité apportent une résilience, une scalabilité et une plus grande disponibilité aux passerelles de réseau virtuel. Le déploiement de passerelles dans Azure Availability Zones sépare physiquement et logiquement les passerelles au sein d’une région, tout en protégeant votre connectivité réseau locale aux Azure des défaillances au niveau de la zone. Cf. À propos des passerelles de réseau virtuel redondantes interzones dans les Zones de disponibilité Azure.
Configuration de VPN Gateway
Une connexion par passerelle VPN s’appuie sur plusieurs ressources qui sont configurées avec des paramètres spécifiques. Dans certains cas, les ressources doivent être configurées selon un certain ordre. Les paramètres que vous avez choisis pour chaque ressource sont essentiels à la création d’une connexion réussie.
Pour plus d’informations sur les ressources et les paramètres individuels pour VPN Gateway, consultez About VPN Gateway paramètres et About gateway SKU.
Pour obtenir des diagrammes de conception et des liens vers des articles de configuration, consultez l’article VPN Gateway topologie et conception.
SKU de passerelle
Lorsque vous créez une passerelle de réseau virtuel, vous spécifiez la référence SKU de passerelle que vous voulez utiliser. Sélectionnez la référence SKU qui répond à vos besoins en fonction des types de charges de travail, des débits, des fonctionnalités et des contrats de niveau de service. Pour plus d’informations sur les SKU de passerelle, notamment les fonctionnalités prises en charge, les tableaux de performance, les étapes de configuration et les charges de travail en production et de test de développement, consultez À propos des SKU de passerelle.
|
VPN Passerelle Génération |
Référence (SKU) |
S2S/VNet-à-VNet Tunnels |
P2S Connexions SSTP |
P2S Connexions IKEv2/OpenVPN |
Agrégat Évaluation du débit |
BGP | Zone-redundant | Nombre de VM pris en charge dans le réseau virtuel |
|---|---|---|---|---|---|---|---|---|
| Génération1 | Basic | Bande passante 10 | Bande passante 128 | Non pris en charge | 100 Mbits/s | Non pris en charge | Non | 200 |
| Génération1 | VpnGw1 | Bande passante 30 | Bande passante 128 | Bande passante 250 | 650 Mbits/s | Pris en charge | Non | 450 |
| Génération1 | VpnGw2 | Bande passante 30 | Bande passante 128 | Bande passante 500 | 1 Gbit/s | Pris en charge | Non | 1 300 |
| Génération1 | VpnGw3 | Bande passante 30 | Bande passante 128 | Bande passante 1 000 | 1,25 Gbits/s | Pris en charge | Non | 4000 |
| Génération1 | VpnGw1AZ | Bande passante 30 | Bande passante 128 | Bande passante 250 | 650 Mbits/s | Pris en charge | Oui | 1 000 |
| Génération1 | VpnGw2AZ | Bande passante 30 | Bande passante 128 | Bande passante 500 | 1 Gbit/s | Pris en charge | Oui | 2000 |
| Génération1 | VpnGw3AZ | Bande passante 30 | Bande passante 128 | Bande passante 1 000 | 1,25 Gbits/s | Pris en charge | Oui | 5 000 |
| Génération2 | VpnGw2 | Bande passante 30 | Bande passante 128 | Bande passante 500 | 1,25 Gbits/s | Pris en charge | Non | 685 |
| Génération2 | VpnGw3 | Bande passante 30 | Bande passante 128 | Bande passante 1 000 | 2,5 Gbits/s | Pris en charge | Non | 2240 |
| Génération2 | VpnGw4 | Bande passante 100* | Bande passante 128 | Bande passante 5 000 | 5 Gbit/s | Pris en charge | Non | 5300 |
| Génération2 | VpnGw5 | Bande passante 100* | Bande passante 128 | Bande passante 10 000 | 10 Gbits/s | Pris en charge | Non | 6700 |
| Génération2 | VpnGw2AZ | Bande passante 30 | Bande passante 128 | Bande passante 500 | 1,25 Gbits/s | Pris en charge | Oui | 2000 |
| Génération2 | VpnGw3AZ | Bande passante 30 | Bande passante 128 | Bande passante 1 000 | 2,5 Gbits/s | Pris en charge | Oui | 3300 |
| Génération2 | VpnGw4AZ | Bande passante 100* | Bande passante 128 | Bande passante 5 000 | 5 Gbit/s | Pris en charge | Oui | 4400 |
| Génération2 | VpnGw5AZ | Bande passante 100* | Bande passante 128 | Bande passante 10 000 | 10 Gbits/s | Pris en charge | Oui | 9 000 |
Remarque
« Nombre de machines virtuelles prises en charge dans le Virtual Network » fait référence au nombre de ressources qui communiquent via la passerelle. Cela inclut les éléments suivants :
- Machines virtuelles dans les réseaux virtuels de hub et de spoke appairés
- Points de terminaison privés
- Appliances virtuelles réseau (comme Application Gateway, Azure Firewall)
- Instances principales des services PaaS déployés dans des réseaux virtuels (tels que SQL Managed Instance, App Service Environment)
(*) Si vous avez besoin de plus de 100 tunnels VPN S2S, utilisez Virtual WAN au lieu de VPN Gateway.
Tarification
Vous payez deux choses : les coûts horaires de calcul de la passerelle de réseau virtuel, et les coûts de transfert des données sortantes à partir de la passerelle de réseau virtuel. Vous trouverez les informations de tarification sur la page Tarification . Pour connaître les tarifs des références SKU existantes de la passerelle, consultez la page des tarifs ExpressRoute et accédez à la section Passerelles de réseau virtuel.
Coûts de calcul de la passerelle de réseau virtuel
Chaque passerelle de réseau virtuel a un coût horaire de calcul. Le prix est basé sur la référence SKU de passerelle que vous spécifiez lorsque vous créez une passerelle de réseau virtuel. Le coût est celui de la passerelle elle-même. Il s’ajoute au coût du transfert des données qui transitent par la passerelle. Le coût d’une configuration actif-actif est identique à celui d’une configuration actif-passif. Pour plus d'informations sur les SKU de passerelle pour VPN Gateway, consultez Gateway SKUs.
Coût de transfert des données
Les coûts de transfert de données sont calculés en fonction du trafic sortant à partir de la passerelle de réseau virtuel source.
- Si vous envoyez du trafic à votre appareil VPN local, les frais sont facturés par débit de transfert de données de sortie Internet.
- Si vous envoyez le trafic entre des réseaux virtuels se trouvant dans différentes régions, le tarif est basé sur la région.
- Si vous envoyez le trafic seulement entre des réseaux virtuels qui se trouvent dans la même région, il n’y a aucun coût de données. Le trafic entre les réseaux virtuels dans la même région est gratuit.
Nouveautés de VPN Gateway ?
Azure VPN Gateway est régulièrement mis à jour. Pour rester à jour avec les dernières annonces, consultez l’article Nouveautés ? L’article met en évidence les points d’intérêt suivants :
- Dernières mises en production
- Préversions en cours avec des limitations connues (le cas échéant)
- Problèmes connus
- Fonctionnalités dépréciées (le cas échéant)
Vous pouvez également vous abonner au flux RSS et afficher les dernières mises à jour de fonctionnalités de VPN Gateway sur la page Azure Mises à jour.
FORUM AUX QUESTIONS
Pour des questions fréquentes sur la passerelle VPN, voir la FAQ de la passerelle VPN.