Nouveautés d’Azure Virtual WAN
Azure Virtual WAN est mis à jour régulièrement. Restez à jour avec les dernières annonces. Cet article vous fournit des informations sur :
- Dernières mises en production
- Préversions en cours avec des limitations connues (le cas échéant)
- Problèmes connus
- Fonctionnalités dépréciées (le cas échéant)
Vous pouvez également rechercher les dernières mises à jour d’Azure Virtual WAN et vous abonner au flux RSS ici.
Dernières mises en production
Routage
Type | Domaine | Nom | Description | Date de l’ajout | Limites |
---|---|---|---|---|---|
Métrique | Routage | Nouvelles métriques de hub virtuel | Il y a maintenant deux nouvelles métriques de hub Virtual WAN qui montrent l’utilisation des machines virtuelles spoke et la capacité du hub virtuel : Unités d’infrastructure de routage et Utilisation des machines virtuelles spoke. | Août 2024 | La métrique Utilisation de machine virtuelle spoke représente un nombre approximatif de machines virtuelles spoke déployées comme pourcentage du nombre total de machines virtuelles spoke que les unités d’infrastructure de routage du hub peut prendre en charge. |
Fonctionnalité | Routage | Intention de routage | L’intention de routage est le mécanisme par lequel vous pouvez configurer Virtual WAN pour envoyer du trafic privé ou Internet via une solution de sécurité déployée dans le hub. | Mai 2023 | L'intention de routage est en disponibilité générale dans le cloud public Azure. Consultez la documentation pour d’autres limitations. |
Fonctionnalité | Routage | Préférence de routage de hub virtuel | La préférence de routage du hub vous donne davantage de contrôle sur votre infrastructure en vous permettant de sélectionner la façon dont le trafic est routé quand un routeur de hub virtuel apprend plusieurs routes via les connexions VPN S2S, ER et SD-WAN NVA. | Octobre 2022 | |
Fonctionnalité | Routage | Contourner l’adresse IP du tronçon suivant pour les charges de travail d’un VNet hub-and-spoke connecté au hub Virtual WAN (disponibilité générale) | Le contournement de l’adresse IP du tronçon suivant pour les charges de travail d’un VNet hub-and-spoke connecté au hub Virtual WAN vous permet de déployer d’autres ressources dans le VNet avec votre appliance virtuelle réseau (NVA), et d’y accéder, sans aucune configuration supplémentaire. | Octobre 2022 | |
Référence SKU/Fonctionnalité/Validation | Routage | Point de terminaison BGP (disponibilité générale) | À présent, le routeur de hub virtuel offre la possibilité d’appairer et d’échanger des informations de routage directement via le protocole de routage Border Gateway Protocol (BGP). | Juin 2022 | |
Fonctionnalité | Routage | 0.0.0.0/0 via une NVA dans le réseau virtuel spoke | Possibilité d’envoyer du trafic Internet à une NVA dans le réseau virtuel spoke pour la sortie. | Mars 2021 | 0.0.0.0/0 ne se propage pas à travers les hubs. Impossible de spécifier plusieurs préfixes publics avec différentes adresses IP de tronçon suivant. |
Appliances virtuelles et solutions tierces intégrées
Type | Domaine | Nom | Description | Date de l’ajout | Limites |
---|---|---|---|---|---|
Fonctionnalité | Appliances virtuelles réseau (NVA)/Solutions tierces intégrées dans des hubs Virtual WAN | Préversion publique d’Internet entrant/DNAT pour les appliances virtuelles réseau de pare-feu de nouvelle génération | Le NAT de destination pour les appliances virtuelles réseau dans le hub Virtual WAN vous permet de publier des applications pour les utilisateurs sur Internet sans exposer directement l'adresse IP publique de l'application ou du serveur. Les consommateurs accèdent aux applications via une adresse IP publique attribuée à une appliance virtuelle de réseau de pare-feu. | Février 2024 | Pris en charge pour le pare-feu Fortinet de nouvelle génération, Check Point CloudGuard. Consultez la documentation DNAT pour obtenir la liste complète des limitations et des considérations. |
Fonctionnalité | Software as a service | Cloud NGFW Palo Alto Networks | Disponibilité générale de Palo Alto Networks Cloud NGFW, la première offre de sécurité logicielle en tant que service déployable dans le hub Virtual WAN. | Juillet 2023 | Palo Alto Networks Cloud NGFW est désormais déployable dans tous les hubs WAN virtuels (nouveaux et anciens). Voir Limitations de Palo Alto Networks Cloud NGFW pour une liste complète des limitations et de la disponibilité régionale. Mêmes limitations que l’intention de routage. |
Fonctionnalité | Appliances virtuelles réseau (NVA)/Solutions tierces intégrées dans des hubs Virtual WAN | Fortinet NGFW | Disponibilité générale des appliances virtuelles réseau Fortinet NGFW et SD-WAN/NGFW à double rôle. | Mai 2023 | Mêmes limitations que l’intention de routage. Ne prend pas en charge le scénario entrant Internet. |
Fonctionnalité | Appliances virtuelles réseau (NVA)/Solutions tierces intégrées dans des hubs Virtual WAN | Sécurité réseau du Check Point CloudGuard pour Azure Virtual WAN | Disponibilité générale de l’appliance virtuelle réseau Check Point CloudGuard déployable depuis la Place de marché Azure au sein du hub Virtual WAN dans toutes les régions Azure. | Mai 2023 | Mêmes limitations que l’intention de routage. Ne prend pas en charge le scénario entrant Internet. |
Fonctionnalité | Appliances virtuelles réseau (NVA)/Solutions tierces intégrées dans des hubs Virtual WAN | Versa SD-WAN | Préversion de Versa SD-WAN. | Novembre 2021 | |
Fonctionnalité | Appliances virtuelles réseau (NVA)/Solutions tierces intégrées dans des hubs Virtual WAN | Cisco Viptela, Barracuda et VMware (Velocloud) SD-WAN | Disponibilité générale des solutions SD-WAN dans Virtual WAN. | Juin/juillet 2021 |
ExpressRoute
Type | Domaine | Nom | Description | Date de l’ajout | Limites |
---|---|---|---|---|---|
Fonctionnalité | ExpressRoute | Les métriques ExpressRoute peuvent être exportées en tant que journaux de diagnostic | Avril 2023 | ||
Fonctionnalité | ExpressRoute | La page du circuit ExpressRoute affiche désormais la connexion vWAN | Août 2022 |
De site à site
Type | Domaine | Nom | Description | Date de l’ajout | Limites |
---|---|---|---|---|---|
Fonctionnalité | Connectivité de branche/VPN site à site | BGP Multi-APIPA | Possibilité de spécifier plusieurs adresses IP BGP personnalisées pour les instances de passerelle VPN dans vWAN. | Juin 2022 | Actuellement disponible uniquement via le portail (pas encore disponible dans PowerShell). |
Fonctionnalité | Connectivité de branche/VPN site à site | Sélecteurs de trafic personnalisés | Possibilité de spécifier les paires de sélecteurs de trafic que la passerelle VPN site à site négocie | Mai 2022 | Azure négocie les sélecteurs de trafic pour toutes les paires de préfixes distant et local. Vous ne pouvez pas spécifier de paires individuelles de sélecteurs de trafic à négocier. |
Fonctionnalité | Connectivité de branche/VPN site à site | Choix de mode de connexion site à site | Possibilité de configurer si la passerelle client ou vWAN doit établir la connexion de site à site lors de la création d’une nouvelle connexion S2S. | Février 2022 | |
Fonctionnalité | Connectivité de branche/VPN site à site | Capture de paquet | Possibilité pour le client d’effectuer des captures de paquets sur une passerelle VPN site à site. | Novembre 2021 | |
Fonctionnalité | Connectivité de branche/VPN site à site Connectivité d’utilisateur distant/VPN point à site |
Routage de patate chaude et de patate froide pour le trafic VPN | Possibilité de spécifier une préférence POP Microsoft ou ISP pour le trafic de sortie VPN Azure. Pour plus d’informations, consultez Préférence de routage dans Azure. | Juin 2021 | Ce paramètre ne peut être spécifié qu’au moment de la création de la passerelle, et ne peut pas être modifié après coup. |
Fonctionnalité | Connectivité de branche/VPN site à site | NAT | Possibilité de chevauchement NAT d’adresses entre les branches VPN site à site, et entre branches VPN site à site et Azure. | Mars 2021 | Le processus NAT n’est pas pris en charge avec des connexions VPN basées sur des stratégies. |
VPN utilisateur (point à site)
Type | Domaine | Nom | Description | Date de l’ajout | Limites |
---|---|---|---|---|---|
Fonctionnalité | Connectivité d’utilisateur distant/VPN point à site | Groupes d’utilisateurs et des pools d’adresses IP pour des VPN utilisateur P2S | Possibilité de configurer des VPN utilisateur P2S pour attribuer aux utilisateurs des adresses IP de pools d’adresses spécifiques en fonction de leur identité ou de leurs informations d’authentification. | Mai 2023 | |
Fonctionnalité | Connectivité d’utilisateur distant/VPN point à site | Inclusion/exclusion de profil global | Possibilité de marquer une passerelle point à site comme « exclue », ce qui signifie que les utilisateurs qui se connectent au profil global ne seront pas équilibrés en charge sur cette passerelle. | Février 2022 | |
Fonctionnalité | Connectivité d’utilisateur distant/VPN point à site | Tunneling forcé pour VPN P2S | Possibilité de forcer tout le trafic vers Azure Virtual WAN pour la sortie. | Octobre 2021 | Disponible uniquement pour Azure VPN Client version 2:1900:39.0 ou ultérieure. |
Fonctionnalité | Connectivité d’utilisateur distant/VPN point à site | Client VPN macOS Azure | Disponibilité générale d’Azure VPN Client pour macOS. | Août 2021 | |
Fonctionnalité | Connectivité de branche/VPN site à site Connectivité d’utilisateur distant/VPN point à site |
Routage de patate chaude et de patate froide pour le trafic VPN | Possibilité de spécifier une préférence POP Microsoft ou ISP pour le trafic de sortie VPN Azure. Pour plus d’informations, consultez Préférence de routage dans Azure. | Juin 2021 | Ce paramètre ne peut être spécifié qu’au moment de la création de la passerelle, et ne peut pas être modifié après coup. |
Fonctionnalité | Connectivité d’utilisateur distant/VPN point à site | Serveur RADIUS distant | Possibilité pour une passerelle VPN P2S de transférer le trafic d’authentification vers un serveur RADIUS dans un réseau virtuel connecté à un autre hub, ou un serveur RADIUS hébergé localement. | Avril 2021 | |
Fonctionnalité | Connectivité d’utilisateur distant/VPN point à site | Serveur RADIUS double | Possibilité de spécifier des serveurs RADIUS principaux et de sauvegarde pour le trafic d’authentification du service. | Mars 2021 | |
Fonctionnalité | Connectivité d’utilisateur distant/VPN point à site | Stratégies IPsec personnalisées | Possibilité de spécifier des paramètres de connexion/chiffrement pour des connexions point à site IKEv2. | Mars 2021 | Prise en charge uniquement pour des connexions basées sur IKEv2. Consultez la liste des paramètres disponibles. |
Référence SKU | Connectivité d’utilisateur distant/VPN point à site | Prise en charge de jusqu’à 100 000 utilisateurs connectés à un seul hub | Augmentation à 100 000 du nombre maximal d’utilisateurs simultanés connectés à une seule passerelle. | Mars 2021 | |
Fonctionnalité | Connectivité d’utilisateur distant/VPN point à site | Méthodes d’authentifications multiples | Possibilité pour une seule passerelle d’utiliser plusieurs mécanismes d’authentification. | Juin 2023 | Pris en charge pour les passerelles exécutant toutes les combinaisons de protocoles. Remarquez que l’authentification Azure AD nécessite toujours l’utilisation d’OpenVPN |
Préversion
Les fonctionnalités suivantes sont actuellement en préversion publique contrôlée. Si, après avoir consulté les articles répertoriés, vous avez des questions ou avez besoin d’un support, contactez l’alias de contact (le cas échéant) correspondant à la fonctionnalité.
Type de préversion | Fonctionnalité | Description | Alias de contact | Limites |
---|---|---|---|---|
Préversion managée | Cartes d’itinéraire | Cette fonctionnalité vous permet d’effectuer une agrégation d’itinéraires, le filtrage des itinéraires et de modifier les attributs BGP de vos itinéraires dans Virtual WAN. | preview-route-maps@microsoft.com | Les limitations connues s’affichent ici : À propos des mappages de routes. |
Préversion managée | Aruba EdgeConnect SD-WAN | Déploiement de NVA Aruba EdgeConnect SD-WAN dans le hub Virtual WAN | preview-vwan-aruba@microsoft.com |
Problèmes connus
# | Problème | Description | Date du premier rapport | Limitation des risques |
---|---|---|---|---|
1 | Connectivité ExpressRoute avec Azure Storage et la route 0.0.0.0/0 | Si vous avez configuré une route 0.0.0.0/0 de manière statique dans une table de routage de hub virtuel ou dynamiquement via une appliance virtuelle réseau pour l’inspection du trafic, ce dernier contourne l’inspection lorsqu’il est destiné à un service de Stockage Azure se trouve dans la même région que la passerelle ExpressRoute dans le hub virtuel. | Pour contourner ce problème, vous pouvez utiliser Private Link pour accéder à Stockage Azure ou placer le service Stockage Azure dans une autre région que le hub virtuel. | |
2 | Les itinéraires par défaut (0/0) ne propagent pas entre hubs | Les routes 0/0 ne se propagent pas entre deux hubs WAN virtuels. | Juin 2020 | Aucune. Remarque : Bien que l’équipe Virtual WAN ait résolu le problème, où les itinéraires statiques définis dans la section de routage statique de la page de peering de réseau virtuel se propagent aux tables de routage répertoriées dans « propager aux tables de routage » ou aux étiquettes répertoriées dans « propager aux tables de routage » sur la page de connexion au réseau virtuel, les itinéraires par défaut (0/0) ne propagent pas entre hubs. |
3 | Deux circuits ExpressRoute dans le même emplacement de peering connectés à plusieurs hubs | Si vous avez deux circuits ExpressRoute dans le même emplacement de peering et que ces deux circuits sont connectés à plusieurs hubs virtuels dans le même Virtual WAN, la connectivité à vos ressources Azure peut être affectée. | Juillet 2023 | Vérifiez que chaque hub virtuel a au moins 1 réseau virtuel connecté à celui-ci. Cela garantit la connectivité à vos ressources Azure. L’équipe Virtual WAN travaille également sur un correctif pour ce problème. |
4 | Prise en charge d’ExpressRoute ECMP | Aujourd’hui, ExpressRoute ECMP n’est pas activé par défaut pour les déploiements de hub virtuel. Lorsque plusieurs circuits ExpressRoute sont connectés à un hub Virtual WAN, ECMP permet au trafic depuis des réseaux virtuels spoke vers des réseaux locaux via ExpressRoute d’être distribué sur tous les circuits ExpressRoute qui publient les mêmes itinéraires locaux. | Pour activer ECMP pour votre hub Virtual WAN, contactez virtual-wan-ecmp@microsoft.com après le 1er janvier 2025. | |
5 | Les préfixes d’adresses du hub Virtual WAN ne sont pas publiés sur d’autres hubs Virtual WAN dans le même Virtual WAN. | Vous ne pouvez pas tirer parti des fonctionnalités de routage par maillage complet de hub à hub du Virtual WAN pour fournir une connectivité entre un logiciel d’orchestration NVA déployé dans un réseau virtuel (VNET) ou local connecté à un hub du Virtual WAN et une solution NVA ou SaaS intégrée déployée dans un autre hub du Virtual WAN. | Si votre orchestrateur NVA ou SaaS est déployé en interne, connectez ce site en interne à tous les hubs Virtual WAN dans lesquels sont déployés des solutions NVA ou SaaS. Si votre orchestrateur se trouve dans un réseau virtuel Azure, gérez les solutions NVA ou SaaS à l’aide d’une adresse IP publique. La prise en charge des orchestrateurs de réseau virtuel Azure est prévue dans la feuille de route. | |
6 | Configuration de l’intention de routage entre les NVA de connectivité et de pare-feu dans le même concentrateur WAN virtuel | La stratégie de routage privée de l’intention de routage Virtual WAN ne prend pas en charge le routage entre une appliance virtuelle réseau SD-WAN et une appliance virtuelle réseau (ou une solution SaaS) de pare-feu déployée dans le même hub virtuel. | Déployez Déployer les NVA intégrés de connectivité et de pare-feu dans deux hubs différents dans la même région Azure. Vous pouvez également déployer la connectivité NVA sur un réseau virtuel en étoile connecté à votre hub WAN virtuel et exploiter Peering BGP. | |
7 | Le protocole BGP entre le routeur du hub Virtual WAN et les appliances virtuelles réseau déployées dans le hub Virtual WAN ne se présente pas si l’ASN utilisé pour le peering BGP est mis à jour après le déploiement. | Le routeur Virtual Hub s’attend à ce que le NVA dans le hub utilise l’ASN qui a été configuré sur le routeur lorsque le NVA a été déployé pour la première fois.nfiguré sur le routeur lors du déploiement de l’appliance virtuelle réseau. La mise à jour de l’ASN associé à la NVA sur la ressource NVA n’enregistre pas correctement le nouvel ASN avec le routeur du concentrateur virtuel, de sorte que le routeur rejette les sessions BGP de la NVA si le système d’exploitation de la NVA est configuré pour utiliser le nouvel ASN. | Supprimez et recréez le NVA dans le concentrateur du réseau étendu virtuel avec l’ASN correct. | |
8 | L’annonce de la route par défaut (0.0.0.0/0) à partir du site (VPN, ExpressRoute, point d’extrémité BGP) ou configurée statiquement sur une connexion de réseau virtuel n’est pas prise en charge pour les cas d’utilisation du tunnelage forcé. | La route 0.0.0.0/0 annoncée depuis les locaux (ou configurée statiquement sur une connexion de réseau virtuel) n’est pas appliquée au pare-feu Azure ou à d’autres solutions de sécurité déployées dans le concentrateur du réseau étendu virtuel. Les paquets inspectés par la solution de sécurité dans le concentrateur sont acheminés directement vers l’internet, en contournant l’itinéraire appris sur place. | Publier l’itinéraire par défaut à partir des locaux uniquement dans les scénarios de concentrateurs non sécurisés. | |
9 | Les opérations de mise à jour de l’intention de routage échouent dans les déploiements où la ressource de tronçon suivant de la stratégie de routage privée est une appliance virtuelle réseau ou une solution SaaS. | Dans les déploiements où la stratégie de routage privé est configurée avec une appliance virtuelle réseau de tronçon suivant ou des solutions SaaS avec des préfixes privés supplémentaires, la modification de l’intention de routage échoue. L’ajout ou la suppression de stratégies de routage privé ou Internet sont des exemples d’opérations qui échouent. Ce problème connu n’affecte pas les déploiements sans préfixes privés supplémentaires configurés. | Supprimez tous les préfixes privés supplémentaires, mettez à jour l’intention de routage, puis reconfigurez les préfixes privés supplémentaires. | |
10 | Le trafic DNAT n’est pas transféré à l’appliance virtuelle réseau après l’association d’une adresse IP supplémentaire. | Après l’association d’une ou plusieurs adresses IP supplémentaires à une appliance virtuelle réseau qui dispose déjà de règles de sécurité entrantes actives, le trafic DNAT n’est pas transféré correctement à l’appliance virtuelle réseau en raison d’un défaut de code. | Novembre 2024 | Utilisez le logiciel d’orchestration/gestion des partenaires pour modifier, créer ou supprimer des règles de sécurité entrantes configurées afin de restaurer la connectivité. |
11 | Scalabilité de la configuration des règles de sécurité entrantes | La configuration des règles de sécurité entrantes peut échouer lorsqu’un grand nombre de règles (environ 100) sont configurées. | Novembre 2024 | Aucune, contactez le Support Azure pour plus d’informations. |
Étapes suivantes
Pour plus d’informations sur Azure Virtual WAN, consultez Présentation d’Azure Virtual WAN et le forum aux questions - FAQ.