Créer, modifier ou supprimer un peering de réseau virtuel
Découvrez comment créer, modifier ou supprimer un peering de réseau virtuel. L’appairage de réseaux virtuels vous permet de connecter des réseaux virtuels situés dans la même région ou dans des régions différentes (on parle alors également d’appairage de réseaux virtuels global) à l’aide du réseau principal Azure. Une fois appairés, les réseaux virtuels continuent d’être gérés comme des ressources distinctes. Si vous découvrez le peering de réseaux virtuels, vous trouverez plus d’informations à ce sujet dans l’article Vue d’ensemble du peering de réseaux virtuels ou en suivant le tutoriel d’appairage de réseaux virtuels.
Prérequis
Si vous n’avez pas de compte Azure avec un abonnement actif, créez-en un gratuitement. Effectuez une des tâches suivantes avant de commencer les étapes décrites dans la suite de cet article :
Connectez-vous au portail Azure avec un compte Azure qui possède les autorisations nécessaires pour utiliser l’appairage.
Créer un peering
Avant de créer un peering, familiarisez-vous avec les exigences et contraintes ainsi qu’avec les autorisations nécessaires.
Dans la zone de recherche située en haut du portail Azure, entrez Réseau virtuel. Sélectionnez Réseaux virtuels dans les résultats de la recherche.
Dans Réseaux virtuels, sélectionnez le réseau pour lequel vous souhaitez créer un appairage.
Sous Peerings, sélectionnez Paramètres.
Sélectionnez Ajouter.
Entrez ou sélectionnez des valeurs pour les paramètres suivants, puis sélectionnez Ajouter.
Paramètres Description Résumé du réseau virtuel distant Nom du lien de peering Nom du Peering du réseau virtuel local. Le nom doit être unique au sein du réseau virtuel. Modèle de déploiement de réseau virtuel Sélectionnez le modèle de déploiement utilisé pour déployer le réseau virtuel avec lequel vous souhaitez effectuer le peering. Je connais mon ID de ressource Si vous avez accès en lecture au réseau virtuel avec lequel vous souhaitez effectuer le peering, laissez cette case décochée. Si vous n’avez pas accès en lecture au réseau virtuel ou à l’abonnement avec lequel vous voulez effectuer l’appairage, activez cette case à cocher. ID de ressource Ce champ apparaît quand vous cochez la case Je connais mon ID de ressource. L’ID de ressource que vous entrez doit être celui d’un réseau virtuel existant dans la même région Azure que ce réseau virtuel ou dans une autre région Azure prise en charge.
L’ID de ressource complet est semblable à/subscriptions/<Id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/virtualNetworks/<virtual-network-name>
.
Vous pouvez obtenir l’ID de ressource d’un réseau virtuel en affichant les propriétés de celui-ci. Pour savoir comment afficher les propriétés d’un réseau virtuel, consultez Gérer des réseaux virtuels. Des autorisations utilisateur doivent être attribuées si l’abonnement est associé à un autre tenant Microsoft Entra que l’abonnement avec le réseau virtuel que vous utilisez pour effectuez le Peering. Ajoutez un utilisateur de chaque locataire en tant qu’utilisateur invité dans le locataire opposé.Abonnement Sélectionnez l’abonnement du réseau virtuel avec lequel vous souhaitez effectuer le peering. Un ou plusieurs abonnements sont répertoriés, selon le nombre d’abonnements auxquels votre compte a accès en lecture. Réseau virtuel Sélectionnez le réseau virtuel distant. Paramètres d’appairage de réseaux virtuels distants Autoriser le réseau virtuel appairé à accéder à « vnet-1 » Cette option est sélectionnée par défaut.
: sélectionnez cette option pour autoriser le trafic du réseau virtuel appairé vers « vnet-1 ». Ce paramètre active la communication entre le « hub » et le « spoke » dans la topologie réseau hub-and-spoke et permet à une machine virtuelle dans le réseau virtuel appairé de communiquer avec une machine virtuelle dans « vnet-1 ». L’étiquette de service VirtualNetwork pour les groupes de sécurité réseau inclut le réseau virtuel et le réseau virtuel appairé lorsque ce paramètre est sélectionné. Pour en savoir plus sur les étiquettes de service, consultez Étiquettes de service Azure.Autoriser le réseau virtuel appairé à recevoir le trafic transféré de « vnet-1 » Cette option n’est pas sélectionnée par défaut.
- L’activation de cette option permet au réseau virtuel appairé de recevoir le trafic des réseaux virtuels appairés vers « vnet-1 ». Par exemple, si vnet-2 a une appliance virtuelle réseau qui reçoit du trafic extérieur à vnet-2 et qui le transfère vers vnet-1, vous pouvez sélectionner ce paramètre pour autoriser ce trafic à atteindre vnet-1 à partir de vnet-2. Si l’activation de cette fonctionnalité autorise le transfert du trafic via le peering, elle n’a pas pour effet de créer des itinéraires définis par l’utilisateur ou des appliances virtuelles. Les itinéraires définis par l’utilisateur et les appliances virtuelles sont créés séparément.Autoriser la passerelle ou le serveur de routes du réseau virtuel appairé à transférer le trafic vers « vnet-1 » Cette option n’est sélectionnée par défaut.
: l’activation de ce paramètre permet à « vnet-1 » de recevoir le trafic de la passerelle ou du serveur de routes des réseaux virtuels appairés. Pour que cette option soit activée, le réseau virtuel appairé doit contenir une passerelle ou un serveur de routes.Permettre au réseau virtuel appairé d’utiliser la passerelle distante ou le serveur de routes de « vnet-1 » Cette option n’est pas sélectionnée par défaut.
- Cette option ne peut être activée que si « vnet-1 » dispose d’une passerelle distante ou d’un serveur de routes et que « vnet-1 » active l’option « Autoriser la passerelle dans "vnet-1" à transférer le trafic vers le réseau virtuel appairé ». Cette option ne peut être activée que dans un seul des appairages des réseaux virtuels appairés.
Vous pouvez également sélectionner cette option si vous souhaitez que ce réseau virtuel utilise le Serveur de routes distant pour échanger des itinéraires, pour cela consultez Serveur de routes Azure.
NOTE : Vous ne pouvez pas utiliser de passerelles distantes si vous avez déjà configuré une passerelle dans votre réseau virtuel. Pour en savoir plus sur l’utilisation d’une passerelle pour le transit, consultez Configurer une passerelle VPN pour le transit dans un peering de réseaux virtuels.Résumé du réseau virtuel local Nom du lien de peering Nom du Peering du réseau virtuel distant. Le nom doit être unique au sein du réseau virtuel. Paramètres d’appairage de réseaux virtuels locaux Autoriser « vnet-1 » à accéder au réseau virtuel appairé Cette option est sélectionnée par défaut.
: sélectionnez cette option pour autoriser le trafic de « vnet-1 » vers le réseau virtuel appairé. Ce paramètre permet la communication entre le « hub » et le « spoke » dans la topologie réseau hub-and-spoke et permet à une machine virtuelle dans « vnet-1 » de communiquer avec une machine virtuelle dans le réseau virtuel appairé.Autoriser « vnet-1 » à recevoir le trafic transféré du réseau virtuel appairé Cette option n’est pas sélectionnée par défaut.
- L’activation de cette option permet à « vnet-1 » de recevoir le trafic des réseaux virtuels appairés vers le réseau virtuel appairé. Par exemple, si vnet-2 a une appliance virtuelle réseau qui reçoit le trafic de l’extérieur de vnet-2 qui est transféré à vnet-1, vous pouvez sélectionner ce paramètre pour autoriser ce trafic à atteindre vnet-1 depuis vnet-2. Si l’activation de cette fonctionnalité autorise le transfert du trafic via le peering, elle n’a pas pour effet de créer des itinéraires définis par l’utilisateur ou des appliances virtuelles. Les itinéraires définis par l’utilisateur et les appliances virtuelles sont créés séparément.Autoriser la passerelle ou le serveur de routes dans « vnet-1 » à transférer le trafic vers le réseau virtuel appairé Cette option n’est sélectionnée par défaut.
: l’activation de ce paramètre permet au réseau virtuel appairé de recevoir le trafic de la passerelle ou du serveur de routes de « vnet-1 ». Pour que cette option soit activée, « vnet-1 » doit contenir une passerelle ou un serveur de routes.Permettre à « vnet-1 » d’utiliser la passerelle distante ou le serveur de routes des réseaux virtuels appairés Cette option n’est pas sélectionnée par défaut.
- Cette option ne peut être activée que si le réseau virtuel appairé dispose d’une passerelle distante ou d’un serveur de routes et que le réseau virtuel appairé active l’option « Autoriser la passerelle dans le réseau virtuel appairé à transférer le trafic vers "vnet-1" ». Cette option ne peut être activée que dans l’un des appairages de « vnet-1 ».Remarque
Si vous utilisez une passerelle de réseau virtuel pour envoyer le trafic local de manière transitive vers un réseau virtuel appairé, la plage d’adresses IP du réseau virtuel appairé doit concerner le trafic « intéressant » pour le périphérique VPN local. Vous devrez peut-être ajouter toutes les adresses CIDR du réseau virtuel Azure à la configuration du tunnel VPN IPSec de site à site sur le périphérique VPN local. Les adresses CIDR incluent des ressources telles que des pools d’adresses IP de point à site, Hub et Spokes. Dans le cas contraire, vos ressources locales ne seront pas en mesure de communiquer avec les ressources du réseau virtuel homologué. Le trafic intéressant est communiqué par le biais d’associations de sécurité de phase 2. L’association de sécurité crée un tunnel VPN dédié pour chaque sous-réseau spécifié. Les niveaux de passerelle VPN locale et Azure doivent prendre en charge le même nombre de tunnels VPN de site à site et de sous-réseaux de réseau virtuel Azure. Dans le cas contraire, vos ressources locales ne seront pas en mesure de communiquer avec les ressources du réseau virtuel homologué. Consultez la documentation de votre VPN local afin d’obtenir des instructions sur la création d’associations de sécurité de phase 2 pour chaque sous-réseau de réseau virtuel Azure spécifié.
Sélectionnez le bouton Actualiser au bout de quelques secondes pour que l’état de l’appairage passe de Mise à jour à Connecté.
Pour obtenir des instructions pas à pas sur l’implémentation du peering entre des réseaux virtuels dans différents abonnements et modèles de déploiement, consultez la section Étapes suivantes.
Afficher ou modifier les paramètres de peering
Avant de modifier un peering, familiarisez-vous avec les exigences et contraintes ainsi qu’avec les autorisations nécessaires.
Dans la zone de recherche située en haut du portail Azure, entrez Réseau virtuel. Sélectionnez Réseaux virtuels dans les résultats de la recherche.
Sélectionnez le réseau virtuel dont vous souhaitez afficher ou modifier les paramètres d’appairage dans Réseaux virtuels.
Sélectionnez Appairages dans Paramètres, puis sélectionnez l’appairage dont vous souhaitez afficher ou modifier les paramètres.
Modifiez le paramètre approprié. Lisez les options de chaque paramètre de l’étape 4 de création d’un peering. Sélectionnez ensuite Enregistrer pour terminer les modifications de configuration.
Supprimer un peering
Avant de supprimer un appairage, familiarisez-vous avec les exigences et contraintes ainsi qu’avec les autorisations nécessaires.
Quand vous supprimez un appairage entre deux réseaux virtuels, le trafic ne peut plus circuler entre ces réseaux virtuels. Si vous souhaitez que les réseaux virtuels communiquent occasionnellement, au lieu de supprimer un appairage, désélectionnez le paramètre Autoriser le trafic vers le réseau virtuel distant pour bloquer le trafic vers le réseau virtuel distant. Il se peut que vous trouviez plus facile de désactiver et activer l’accès réseau que de supprimer et recréer des peerings.
Dans la zone de recherche située en haut du portail Azure, entrez Réseau virtuel. Sélectionnez Réseaux virtuels dans les résultats de la recherche.
Sélectionnez le réseau virtuel dont vous souhaitez afficher ou modifier les paramètres d’appairage dans Réseaux virtuels.
Sous Peerings, sélectionnez Paramètres.
Sélectionnez la zone en regard du peering à supprimer, puis sélectionnez Supprimer.
Dans Supprimer les peerings, entrez supprimer dans la zone de confirmation, puis sélectionnez Supprimer.
Remarque
Quand vous supprimez d’un réseau virtuel un appairage de réseaux virtuels, l’appairage du réseau virtuel distant est également supprimé.
Sélectionnez Supprimer pour confirmer la suppression dans Confirmation de la suppression.
Exigences et contraintes
Vous pouvez appairer des réseaux virtuels dans la même région ou dans différentes régions. L’appairage de réseaux virtuels dans des régions différentes est également appelé appairage de réseaux virtuels global.
Lors de la création d’un Peering mondial, les réseaux virtuels appairés peuvent se trouver dans n’importe quelle région de clouds publics Azure, dans des régions de clouds Azure Chine ou Azure Government. Vous ne pouvez pas appairer entre plusieurs clouds. Par exemple, un réseau virtuel dans le cloud public Azure ne peut pas être appairé avec un réseau virtuel du cloud Microsoft Azure géré par 21Vianet.
Lorsqu’un réseau virtuel fait partie d’un peering, il ne peut pas être déplacé. Si vous devez déplacer un réseau virtuel vers un autre groupe de ressources ou un autre abonnement, vous devez supprimer le peering, déplacer le réseau virtuel, puis recréer le peering.
Les ressources dans un réseau virtuel ne peuvent pas communiquer avec l’adresse IP front-end d’un équilibreur de charge de base (interne ou public) dans un réseau virtuel globalement appairé. La prise en charge d’un équilibreur de charge de base n’est proposée que dans la même région. La prise en charge d’un équilibreur de charge standard existe pour l’appairage de réseaux virtuels et l’appairage de réseaux virtuels global. Certains services qui utilisent un équilibreur de charge de base ne fonctionnent pas sur l’appairage de réseaux virtuels global. Pour plus d’informations, consultez les contraintes liées à l’appairage de réseaux virtuels global et aux équilibreurs de charge.
Vous pouvez utiliser des passerelles distantes ou autoriser un transit par passerelle dans des réseaux virtuels appairés à l’échelle mondiale et en local.
Les réseaux virtuels peuvent être dans des abonnements identiques ou différents. Lorsque vous associez des réseaux virtuels à différents abonnements, ces derniers peuvent être associés au même tenant Microsoft Entra ou à des tenants différents. Si vous n’avez pas encore de locataire AD, vous pouvez rapidement en créer un.
Les réseaux virtuels que vous appairez doivent avoir des espaces d’adressage IP qui ne se chevauchent pas.
Vous pouvez homologuer deux réseaux virtuels déployés via le Gestionnaire de ressources, ou homologuer un réseau virtuel déployé via le Gestionnaire de ressources avec un réseau virtuel déployé via le modèle de déploiement classique. Vous ne pouvez pas homologuer deux réseaux virtuels créés via le modèle de déploiement classique. Si vous n’êtes pas familiarisé avec les modèles de déploiement Azure, lisez l’article Comprendre les modèles de déploiement Azure. Vous pouvez utiliser une passerelle VPN pour connecter deux réseaux virtuels créés via le modèle de déploiement classique.
Lors de l’appairage de deux réseaux virtuels créés via le Gestionnaire de ressources, un appairage doit être configuré pour chaque réseau virtuel dans l’appairage. L’un des états suivants s’affiche pour le peering :
Démarré : Quand vous créez le premier appairage, son état est Démarré.
Connecté : Quand vous créez le deuxième appairage, l’état passe à Connecté pour les deux appairages. L’appairage n’est pas correctement établi tant que l’état d’appairage des deux appairages de réseaux virtuels est Connecté.
Lors du peering d’un réseau virtuel créé via le Gestionnaire de ressources avec un réseau virtuel créé via le modèle de déploiement classique, vous configurez un peering uniquement pour le réseau virtuel est déployé via le Gestionnaire de ressources. Vous ne pouvez pas configurer d’appairage pour un réseau virtuel (classique), ni entre deux réseaux virtuels déployés par le biais du modèle de déploiement classique. Lorsque vous créez le peering à partir du réseau virtuel (Gestionnaire des ressources) au réseau virtuel (classique), l’état de peering est Mis à jour, puis passe rapidement à Connecté.
Un peering est établi entre deux réseaux virtuels. Les appairages en eux-mêmes ne sont pas transitifs. Imaginons que vous créez des peerings entre :
VirtualNetwork1 et VirtualNetwork2
VirtualNetwork2 et VirtualNetwork3
Il n’existe aucune connectivité entre VirtualNetwork1 et VirtualNetwork3 par le biais de VirtualNetwork2. Si vous souhaitez que VirtualNetwork1 et VirtualNetwork3 communiquent directement, vous devez créer un appairage explicite entre VirtualNetwork1 et VirtualNetwork3 ou passer par une appliance virtuelle réseau dans le réseau Hub. Pour plus d’informations, consultez l’article Topologie réseau hub-and-spoke dans Azure.
Vous ne pouvez pas résoudre des noms dans des réseaux virtuels homologués en utilisant une résolution de noms Azure par défaut. Pour résoudre des noms dans d’autres réseaux virtuels, vous devez utiliser le service DNS privé Azure ou un serveur DNS personnalisé. Pour savoir comment configurer votre propre serveur DNS, consultez Résolution de noms à l’aide de votre propre serveur DNS.
Les ressources situées dans des réseaux virtuels appairés et dans la même région peuvent communiquer entre elles avec la même latence que si elles se trouvaient au sein du même réseau virtuel. Le débit du réseau repose sur la bande passante autorisée pour la machine virtuelle proportionnellement à sa taille. Aucune restriction de bande passante supplémentaire n’est appliquée au sein du peering. Chaque taille de machine virtuelle a sa propre bande passante réseau maximale. Pour en savoir plus sur la bande passante réseau maximale des différentes tailles de machine virtuelle, consultez Tailles des machines virtuelles dans Azure.
Un réseau virtuel peut être homologué ainsi qu’être connecté à un autre réseau virtuel avec une passerelle de réseau virtuel Azure. Lorsque des réseaux virtuels sont connectés via un peering et une passerelle, le trafic entre les réseaux virtuels passe par le peering plutôt que par la passerelle.
Les clients VPN point à site doivent être retéléchargés une fois que le peering de réseaux virtuels a été configuré avec succès pour garantir le téléchargement des nouvelles routes sur le client.
Un coût nominal s’applique pour le trafic d’entrée et de sortie qui utilise un appairage de réseaux virtuels. Pour plus d’informations, consultez la page relative aux prix appliqués.
Les passerelles Application Gateway qui n’ont pas l’isolation réseau activée n’autorisent pas l’envoi du trafic entre les réseaux virtuels appairés quand Autoriser le trafic vers le réseau virtuel distant est désactivé.
Autorisations
Les comptes pouvant être utilisés avec le peering de réseaux virtuels doivent avoir les rôles suivants :
Contributeur de réseaux : pour un réseau virtuel déployé via Resource Manager.
Contributeur de réseau classique : pour un réseau virtuel déployé par le biais du modèle de déploiement classique.
Si votre compte n’a pas l’un des rôles ci-dessus, il doit avoir un rôle personnalisé auquel sont affectées les actions nécessaires listées dans le tableau suivant :
Action | Nom |
---|---|
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write | Action requise pour créer un peering entre un réseau virtuel A et un réseau virtuel B. Le réseau virtuel A doit être un réseau virtuel (Resource Manager) |
Microsoft.Network/virtualNetworks/peer/action | Action requise pour créer un peering entre un réseau virtuel B (Resource Manager) et un réseau virtuel A |
Microsoft.ClassicNetwork/virtualNetworks/peer/action | Action requise pour créer un peering entre un réseau virtuel B (classique) et un réseau virtuel A |
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read | Action requise pour lire un peering de réseaux virtuels |
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete | Action requise pour supprimer un peering de réseaux virtuels |
Étapes suivantes
Un appairage de réseaux virtuels peut être configuré entre des réseaux virtuels créés par le biais de modèles de déploiement identiques ou différents qui existent dans des abonnements identiques ou différents. Suivez un didacticiel pour l’un des scénarios suivants :
Modèle de déploiement Azure Abonnement Les deux modèles Resource Manager Identique Différent Un modèle Resource Manager, un modèle classique Identique Différent Découvrez comment créer une topologie de réseau hub-and-spoke.
Créez un peering de réseaux virtuels avec les exemples de scripts PowerShell ou Azure CLI, ou à l’aide des modèles Azure Resource Manager
Créer et attribuer des définitions Azure Policy pour les réseaux virtuels