Connecter des serveurs autonomes à l’aide d’une carte réseau Azure

Cette architecture de référence montre comment connecter un serveur autonome local à des réseaux virtuels Microsoft Azure à l’aide de la carte réseau Azure que vous déployez via Windows Admin Center (WAC). Une carte réseau Azure crée une connexion virtuelle sécurisée sur Internet, qui étend votre réseau local à Azure.

Architecture

Téléchargez un fichier Visio de ces architectures.

Workflow

L’architecture se compose de ce qui suit :

• Réseau local. Ce composant est le réseau local privé (LAN) d’une organisation.
• Filiale. Ce composant est un réseau local privé dans une filiale distante, qui se connecte via un réseau étendu (WAN) d’entreprise.
• Autre fournisseur de cloud. Ce composant est un réseau virtuel privé proposé par un fournisseur de cloud. Il se connecte via un réseau privé virtuel (VPN).
• Windows Server avec Windows Admin Center installé. Serveur que vous utilisez pour déployer la carte réseau Azure.
• Windows Server (autonome) . Serveur sur lequel la carte réseau Azure est installée. Ce serveur peut se trouver sur un réseau de filiales ou dans le réseau d’un autre fournisseur de cloud.
• Réseau virtuel Azure. Serveurs virtuels, ainsi que d’autres services et composants pour la passerelle VPN Azure, qui résident dans le même réseau virtuel à l’intérieur d’Azure.
• Passerelle VPN Azure. Service de passerelle VPN qui vous permet de connecter le réseau virtuel au réseau local ou à des serveurs autonomes via une appliance VPN ou des cartes réseau Azure. Pour plus d'informations, consultez Connecter un réseau local à réseau virtuel Microsoft Azure. Plusieurs niveaux tarifaires, ou références (SKU), sont disponibles pour les passerelles VPN. Chaque SKU prend en charge différentes exigences en fonction des types de charges de travail, du débit, des fonctionnalités et des contrats de niveau de service (SLA). La passerelle VPN inclut les composants suivants :
  • Passerelle de réseau virtuel (active) . Cette ressource Azure fournit une appliance VPN virtuelle pour le réseau virtuel, et est responsable du routage du trafic entre le réseau local et le réseau virtuel.
  • Passerelle de réseau virtuel (passive) . Cette ressource Azure fournit une appliance VPN virtuelle pour le réseau virtuel. Il s’agit de l’instance de secours de la passerelle VPN Azure active. Pour plus d’informations, consultez À propos de la redondance de passerelle VPN Azure.
  • Sous-réseau de passerelle. La passerelle de réseau virtuel est conservée dans son propre sous-réseau, qui est soumis à diverses exigences décrites dans la section Recommandations ci-après.
  • Connexion. La connexion a des propriétés qui spécifient son type. Ces propriétés sont la sécurité du protocole Internet (IPSec) et la clé partagée avec l’appliance VPN locale pour chiffrer le trafic.
• Application cloud. Ce composant est l’application hébergée dans Azure. Il peut inclure de nombreux niveaux avec plusieurs sous-réseaux qui se connectent via des équilibreurs de charge Azure. Pour plus d'informations sur l'infrastructure d'application, consultez Exécution de charges de travail de machine virtuelle Windows et Exécution de charges de travail de machine virtuelle Linux.
• Équilibreur de charge interne. Le trafic réseau de la passerelle VPN est acheminé vers l’application cloud via un équilibreur de charge interne qui se trouve dans le sous-réseau de production de l’application.
• Azure Bastion. Azure Bastion vous permet de vous connecter à des machines virtuelles du réseau virtuel Azure sans exposer celles-ci directement à Internet. Le protocole utilisé est Secure Shell (SSH) ou (Remote Desktop Protocol) (RDP). Si vous perdez la connectivité VPN, vous pouvez toujours utiliser Azure Bastion pour gérer vos machines virtuelles dans le réseau virtuel Azure. Toutefois, la gestion des serveurs locaux via Azure Bastion n’est pas prise en charge.

Composants

• Réseau virtuel. Le réseau virtuel Azure (VNet) est le bloc de construction fondamental pour votre réseau privé dans Azure. Le réseau virtuel permet à de nombreux types de ressources Azure, telles que les machines virtuelles (VM) Azure, de communiquer de manière sécurisée entre elles, avec Internet et avec les réseaux locaux.

• Azure Bastion. Azure Bastion est un service complètement managé qui offre un accès RDP (Remote Desktop Protocol) et SSH (Secure Shell Protocol) plus sécurisé et transparent aux machines virtuelles sans aucune exposition via des adresses IP publiques.

• Passerelle VPN. La passerelle VPN envoie du trafic chiffré entre un réseau virtuel Azure et un emplacement local via l’Internet public. Vous pouvez également utiliser une passerelle VPN pour envoyer du trafic chiffré entre les réseaux virtuels Azure sur le réseau Microsoft. Une passerelle VPN est un type spécifique de passerelle de réseau virtuel.

• Windows Admin Center. Windows Admin Center est une application basée sur navigateur et déployée localement qui permet de gérer les serveurs Windows, les clusters, l’infrastructure hyperconvergée ainsi que les PC Windows 10. Il s’agit d’un produit gratuit qui est prêt à être utilisé en production.

Recommandations

Les recommandations suivantes s’appliquent à la plupart des scénarios. Suivez ces recommandations, sauf si vous avez un besoin spécifique qui vous oblige à les ignorer.

Se connecter à un serveur autonome

Pour vous connecter à un serveur autonome via le WAC, vous devez ajouter le serveur à la liste des serveurs gérés dans l’installation WAC du serveur dédié. Après avoir ajouté le serveur à cette liste, vous pouvez sélectionner le serveur sur lequel vous voulez installer la carte réseau Azure, sélectionner Réseau dans les outils, puis choisir l’option « + Ajouter une carte réseau Azure (préversion) » dans le volet Réseau.

Lorsque vous sélectionnez l’option + Ajouter une carte réseau Azure (préversion) , le panneau de configuration Ajouter une carte réseau Azure s’ouvre dans une fenêtre de navigateur. Vous pouvez configurer plusieurs options dans ce panneau.

Les informations suivantes sont requises :

Une fois que vous avez renseigné tous les champs nécessaires, le bouton Créer devient actif, et vous devez le sélectionner pour commencer le déploiement de votre carte réseau Azure sur le serveur sélectionné.

Le processus de déploiement comporte deux parties majeures, dont la première est le déploiement et la sélection de la passerelle VPN Azure. Si vous devez commencer par déployer votre passerelle VPN Azure, laissez passer 25 à 45 minutes pour que le déploiement se termine (le déploiement de certaines configurations peut prendre beaucoup de temps). Le WAC fournit des informations sur la progression du déploiement. La deuxième partie a trait à l’installation réelle de la carte réseau Azure, qui peut prendre 10 minutes. Le WAC vous avertit également de la progression de l’installation.

Une fois le déploiement démarré, vous pouvez modifier le focus du WAC en sélectionnant d’autres outils ou serveurs. Le processus de déploiement se poursuit en arrière-plan.

Si vous sélectionnez l’option Certificat client et racine auto-signés générés automatiquement, Azure crée automatiquement les deux certificats requis pour vous et les stocke dans le magasin de certificats du serveur sélectionné. Vous pouvez utiliser l’outil Certificats dans WAC pour les trouver, puis rechercher un certificat racine dans l’Ordinateur local ou le Conteneur racine. Le nom du certificat commence par Windows Admin Center-Created-vpngw et contient la chaîne P2SRoot. La fin de la chaîne comprend un horodatage encodé avec la date de création du certificat. Ce certificat sera également stocké dans l’Ordinateur local ou le conteneur de l’Autorité de certification. Le deuxième certificat est stocké dans l’Ordinateur local ou Mon conteneur. Le nom de ce certificat commence par Windows Admin Center-Created-vpngw et contient la chaîne P2SClient. La fin de la chaîne comprend un horodatage encodé avec la date de création du certificat.

Une fois le déploiement terminé, l’outil Réseaux du serveur sélectionné est mis à jour avec la nouvelle carte réseau Azure qui démarre automatiquement une fois que le déploiement se termine et indique un état actif. Vous pouvez sélectionner la carte pour activer la liste déroulante Autres dans laquelle vous pouvez choisir de déconnecter ou de supprimer la carte. Sur le serveur réel, la carte réseau Azure est installée en tant que connexion VPN. Le nom de la carte commence par Windows Admin CenterVPN- , suivi d’un nombre aléatoire de trois chiffres.

Lorsque la carte réseau Azure est installée et connectée, vous pouvez utiliser cette nouvelle connexion réseau pour vous connecter directement aux réseaux virtuels Azure et à leurs systèmes. Ce type de connexion est généralement utilisé pour établir une session Bureau à distance via une adresse IP interne de machine virtuelle Azure, au lieu d’utiliser l’adresse IP publique de la machine virtuelle.

Utilisation d’un serveur WAC dédié

Pour une administration centralisée, nous vous recommandons d’utiliser une installation de serveur d’administration Windows dédié, à partir de laquelle vous pouvez ajouter d’autres serveurs. Cette approche signifie qu’aucun serveur administré ne requiert de logiciel supplémentaire. Pour plus d’informations, consultez Windows Admin Center.

Préparer un réseau virtuel dédié

L’interface d’installation de la carte réseau Azure peut ne pas répondre à vos besoins en ce qui concerne la convention d’affectation de noms ou le niveau tarifaire. Pour éviter ce conflit, vous pouvez créer les ressources Azure requises avant de déployer la carte. Pendant le déploiement, vous sélectionnez les ressources existantes au lieu de les créer à l’aide de l’interface d’installation.

Considérations

Ces considérations implémentent les piliers d’Azure Well-Architected Framework qui est un ensemble de principes directeurs qui permettent d’améliorer la qualité d’une charge de travail. Pour plus d’informations, consultez Microsoft Azure Well-Architected Framework.

Extensibilité

• SKU de la passerelle VPN :
  • La Référence (SKU) de passerelle VPN que vous sélectionnez détermine le nombre de connexions qu’elle peut prendre en parallèle, ainsi que la bande passante disponible pour toutes ces connexions. Le nombre de connexions simultanées varie entre 250 et 1 000 lorsque vous sélectionnez l’option P2S IKEv2/OpenVPN. IKE fait référence à l’échange de clés IPsec. Il est recommandé de commencer par VpnGw1 et de monter en puissance parallèle ultérieurement si vous avez besoin de davantage de connexions. Si vous devez changer la génération de passerelle VPN, vous devez installer une nouvelle passerelle et déployer une nouvelle carte réseau Azure pour vous y connecter.
• Connecter plusieurs serveurs autonomes :
  • Vous pouvez utiliser le WAC pour déployer la carte réseau Azure sur autant de serveurs que vous le souhaitez. Vous pouvez également ajouter de nombreuses cartes réseau Azure à un seul serveur pour vous connecter à différents réseaux virtuels Azure. Une fois le déploiement initial de la passerelle VPN terminé, vous pouvez configurer d’autres serveurs pour qu’ils utilisent la même passerelle en sélectionnant la passerelle existante dans l’interface d’installation.
  • Les serveurs autonomes peuvent se trouver sur le même réseau, sur un réseau de filiale ou sur un réseau basé sur un autre cloud. Vous pouvez utiliser la connexion réseau que vous avez établie, par exemple, votre WAN d’entreprise ou un VPN dédié, à un autre fournisseur de cloud, si les ports réseau requis sont disponibles via ces connexions. Pour plus d’informations, consultez à la section « Considérations relatives à la sécurité » de cet article.
• Connexion de site à site :
  • La carte réseau Azure est une installation sur un serveur unique. Si vous souhaitez connecter plusieurs serveurs, cela pourrait nécessiter un effort administratif conséquent. Toutefois, vous pouvez éviter cet effort en connectant vos systèmes locaux à l’aide de la méthode connexion Azure site à site (S2S), qui connecte un réseau local existant à un réseau virtuel Azure et à ses sous-réseaux. Le cœur de cette connexion est une passerelle VPN Azure via laquelle vous pouvez connecter une passerelle VPN locale avec la passerelle VPN Azure distante. Cette connexion sécurisée permet aux deux segments de réseau de communiquer en toute transparence.

Disponibilité

• La carte réseau Azure prend uniquement en charge une configuration active-passive de la passerelle VPN Azure. Pendant la configuration de la carte, vous pouvez pointer vers une passerelle VPN Azure active-active existante. Le programme d’installation va reconfigurer la passerelle à l’état active/passive. Une reconfiguration manuelle de la passerelle à l’état active/active est possible, mais la carte réseau Azure ne se connecte pas à cette passerelle.

  Avertissement

  La configuration d’une carte réseau Azure sur une passerelle VPN Azure existante avec une configuration active-active a pour effet de reconfigurer la passerelle à l’état active/passive. Cela a une incidence sur toutes les connexions VPN existantes à cette passerelle. La modification de la configuration active/active en configuration active-passive entraîne la suppression de l’un des deux tunnels VPN IPsec pour chaque connexion. Ne poursuivez pas sans évaluer vos exigences globales en matière de connexion et consulter vos administrateurs réseau.

Simplicité de gestion

• Compte administratif :

  • WAC est l’outil principal à utiliser pour déployer la carte réseau Azure et configurer la gestion des comptes. Pour plus d’informations sur les options disponibles, consultez Options d’accès utilisateur avec Windows Admin Center. Vous pouvez configurer un compte individuel par connexion serveur.

    Notes

    La boîte de dialogue dans laquelle vous configurez le compte d’administration par serveur valide vos informations d’identification lorsque vous sélectionnez Continuer. Pour ouvrir la boîte de dialogue, dans WAC, sélectionnez la ligne contenant le nom du serveur applicable, puis sélectionnez Gérer en tant que. Ne sélectionnez pas le lien hypertexte représentant le serveur, car il vous connectera immédiatement à ce serveur.

  • En outre, vous devez configurer un compte d’utilisateur pour la connexion Azure en ouvrant la boîte de dialogue Paramètres dans WAC et en modifiant la section du compte. Vous pouvez également changer d’utilisateur ou déconnecter la session d’un utilisateur dans la boîte de dialogue Paramètres.

• Intégration du coffre Azure Recovery :
  • Lorsque vous installez la carte réseau Azure sur un serveur autonome, vous pouvez considérer ce serveur comme un port pour la continuité d’activité. Vous pouvez intégrer ce serveur dans vos procédures de sauvegarde et de récupération d’urgence à l’aide des services de coffre Azure Recovery que vous configurez en sélectionnant Sauvegarde Azure dans la section Outils de WAC. Le service Sauvegarde Azure permet de protéger votre serveur Windows contre les altérations, les attaques ou les sinistres en sauvegardant votre serveur directement sur Microsoft Azure.

Sécurité

La sécurité fournit des garanties contre les attaques délibérées, et contre l’utilisation abusive de vos données et systèmes importants. Pour plus d’informations, consultez Vue d’ensemble du pilier Sécurité.

• Ports réseau requis :

  • Si vous souhaitez utiliser WAC pour déployer la carte réseau Azure, vous devez ouvrir les ports réseau pour la communication à distance PowerShell.

  • La communication à distance PowerShell utilise Windows Remote Management (WinRM). Pour plus d’informations, consultez Éléments à prendre en compte en matière de sécurité de la communication à distance PowerShell et Paramètres par défaut de la communication à distance PowerShell.

  • Dans certains scénarios, vous devez utiliser des méthodes d’authentification supplémentaires. WAC peut utiliser PowerShell avec le protocole CredSSP (Credential Security Support Provider) pour se connecter à des serveurs distants. Pour plus d’informations, consultez Communication à distance PowerShell et CredSSP et Manière dont Windows Admin Center utilise CredSSP.

  • La communication à distance PowerShell (et WinRM) utilise les ports suivants :

    Protocol	Port
    HTTP	5985
    HTTPS	5986

  • La façon dont vous vous connectez au serveur sur lequel Windows Admin Center (WAC) est installé dépend du type d’installation de WAC. Le port par défaut varie. Il peut s’agir du port 6516 quand il est installé sur Windows 10 ou du port 443 quand il est installé sur Windows Server. Pour plus d’informations, consultez Installer Windows Admin Center.

• Intégration de Microsoft Defender pour le cloud :
  • Pour protéger le serveur sur lequel la carte réseau Azure est installée, vous pouvez intégrer le serveur à Microsoft Defender pour le cloud en sélectionnant Microsoft Defender pour le cloud dans la section Outils de WAC. Au cours de l’intégration, vous devez sélectionner un espace de travail Azure Log Analytics existant ou en créer un. Vous serez facturé séparément pour chaque serveur que vous intégrez à Microsoft Defender pour le cloud. Pour plus d’informations, consultez Tarifs de Microsoft Defender pour le cloud.

DevOps

• Azure Automation :
  • WAC vous donne accès au code PowerShell qui crée la carte réseau Azure. Vous pouvez l’examiner en sélectionnant l’outil Réseau, puis en sélectionnant l’icône Afficher les scripts PowerShell en haut de la page WAC. Le nom du script est Complete-P2SVPNConfiguration et il est implémenté en tant que fonction PowerShell. Le code est signé numériquement et prêt à être réutilisé. Vous pouvez l’intégrer dans Azure Automation en configurant davantage de services à l’intérieur du portail Azure.

Optimisation des coûts

L’optimisation des coûts consiste à examiner les moyens de réduire les dépenses inutiles et d’améliorer l’efficacité opérationnelle. Pour plus d’informations, consultez Vue d’ensemble du pilier d’optimisation des coûts.

• Calculatrice de prix Azure :
  • L’utilisation de la carte réseau Azure ne coûte rien, car il s’agit d’un composant que vous déployez sur un système local. La passerelle VPN Azure, dans le cadre de la solution, génère des coûts supplémentaires, tout comme l’utilisation d’autres services, tels que le coffre de récupération Azure ou Microsoft Defender pour le cloud. Pour plus d’informations sur les coûts réels, consultez Calculatrice de tarification Azure. Il est important de noter que les coûts réels varient en fonction de la région Azure et de votre contrat individuel. Pour plus d’informations sur la tarification, contactez un représentant commercial Microsoft.
• Coûts de sortie :
  • Des coûts supplémentaires sont associés aux transferts de données sortants entre réseaux virtuels. Ces coûts dépendent de la référence (SKU) de votre passerelle VPN et de la quantité réelle de données que vous utilisez. Pour plus d’informations, consultez la calculatrice de prix Azure. Il est important de noter que les coûts réels varient en fonction de la région Azure et de votre contrat individuel. Pour plus d’informations sur la tarification, contactez un représentant commercial Microsoft.

Contributeurs

Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.

Auteur principal :

• Frank Migacz | Expert en innovation des applications

Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.

Étapes suivantes

En savoir plus sur les technologies des composants :

• Top 10 networking features in Windows Server 2019: #3 Azure Network Adapter
• VPN de point à site
• Try Windows Admin Center on Microsoft Evaluation Center
• Qu’est-ce que le réseau virtuel Azure ?
• Qu’est-ce qu’Azure Bastion ?
• Qu’est-ce qu’une passerelle VPN ?
• Vue d’ensemble de Windows Admin Center

Ressources associées

Explorer les architectures connexes :

• Gérer les charges de travail Azure hybrides à l’aide de Windows Admin Center
• Topologie réseau hub-and-spoke dans Azure
• Étendre un réseau local à l’aide d’un VPN
• Concevoir une solution DNS hybride avec Azure