Cette architecture hub-and-spoke offre une solution alternative à la topologie de réseau hub-and-spoke dans Azure et implémente un réseau hybride sécurisé.
Le hub est un réseau virtuel d'Azure qui centralise la connectivité à votre réseau local. Les spokes (ou branches d’étoile) sont des réseaux virtuels appairés avec le hub et, qui peuvent être utilisés pour isoler les charges de travail. Le trafic circule entre le ou les centres de données locaux et le hub via une connexion de passerelle ExpressRoute ou VPN. Le facteur de différenciation principal de cette approche se situe au niveau de l’utilisation d’Azure Virtual WAN (VWAN) pour remplacer les hubs en tant que service géré.
Cette architecture offre les avantages de la topologie de réseau hub-and-spoke classique et en ajoute d’autres :
Réduction des coûts d’exploitation moyennant le remplacement des hubs existants par un service VWAN complètement géré.
Réduction des coûts en utilisant un service géré et en supprimant la nécessité de l’appliance virtuelle réseau.
Amélioration de la sécurité grâce à l’introduction de hubs sécurisés gérés de manière centralisée avec le Pare-feu Azure et VWAN pour réduire les risques de sécurité liés aux erreurs de configuration.
Séparation des préoccupations entre le service informatique central (SecOps, InfraOps) et les charges de travail (DevOps).
Cas d’usage potentiels
Les utilisations courantes de cette architecture incluent notamment les cas suivants :
La connectivité entre les charges de travail requiert un contrôle centralisé et un accès aux services partagés.
Une entreprise requiert un contrôle centralisé des aspects de la sécurité, tel qu’un pare-feu et une gestion séparée des charges de travail dans chaque spoke.
Architecture
Téléchargez un fichier Visio de cette architecture.
L’architecture se compose de ce qui suit :
Réseau local. Réseau local (LAN) privé qui s’exécute au sein d’une organisation.
Périphérique VPN. Périphérique ou service qui assure la connectivité externe au réseau local.
Passerelle de réseau virtuel VPN ou passerelle ExpressRoute. La passerelle de réseau virtuel permet au réseau virtuel de se connecter au périphérique VPN, ou circuit ExpressRoute, utilisé pour la connectivité avec votre réseau local.
Hub Virtual WAN. Le hub Virtual WAN est utilisé comme hub dans la topologie hub-and-spoke. Le hub est le point central de la connectivité à votre réseau local et un emplacement pour héberger les services que peuvent utiliser les différentes charges de travail hébergées dans les réseaux virtuels spokes.
Hub virtuel sécurisé. Hub Virtual WAN avec stratégies de sécurité et de routage associées, configurées par Azure Firewall Manager. Un hub virtuel sécurisé est fourni avec un routage intégré. Il n’est donc pas nécessaire de configurer des itinéraires définis par l’utilisateur.
Sous-réseau de passerelle. Les passerelles de réseau virtuel sont conservées dans le même sous-réseau.
Réseaux virtuels spokes. Un ou plusieurs réseaux virtuels utilisés comme membres spokes dans la topologie hub-and-spoke. Les membres spokes peuvent servir à isoler les charges de travail dans leurs propres réseaux virtuels et elles sont alors gérées séparément des autres membres spokes. Chaque charge de travail peut inclure plusieurs niveaux, avec plusieurs sous-réseaux connectés à l’aide d’équilibreurs de charge Azure.
Appairage de réseaux virtuels. Deux réseaux virtuels peuvent être connectés à l’aide d’une connexion d’appairage de réseaux virtuels. Les connexions d’appairage sont des connexions non transitives et à faible latence entre des réseaux virtuels. Une fois appairés, les réseaux virtuels échangent le trafic à l’aide de la dorsale principale d’Azure, sans avoir besoin d’un routeur. Dans une topologie de réseau hub-and-spoke, vous utilisez le peering de réseaux virtuels pour connecter le hub à chaque membre spoke. Azure Virtual WAN active la transitivité au sein des hubs, ce que l’appairage seul ne permet pas.
Composants
Autres solutions
Une architecture hub-and-spoke peut être obtenue de deux manières : infrastructure hub gérée par le client ou infrastructure hub gérée par Microsoft. Dans ces deux cas, les spokes sont connectés au hub à l’aide de l’appairage de réseaux virtuels.
Avantages
Téléchargez un fichier Visio de cette architecture.
Ce diagramme illustre quelques-uns des avantages qu’offre cette architecture :
- Hub entièrement maillé au sein des réseaux virtuels Azure
- Connectivé de branche à Azure
- Connectivité de branche à branche
- Utilisation mixte du VPN et d’Express Route
- Utilisation mixte du VPN utilisateur sur le site
- Connectivité de réseau virtuel à réseau virtuel
Recommandations
Les recommandations suivantes s’appliquent à la plupart des scénarios. Suivez-les, sauf si vous avez un besoin spécifique qui vous oblige à les ignorer.
Groupes de ressources
Le hub et chaque spoke peuvent être implémentés dans des groupes de ressources distincts, voire mieux, dans des abonnements différents. Lorsque vous associez des réseaux virtuels à différents abonnements, ces derniers peuvent être associés au même locataire Microsoft Entra ou à des locataires différents. Cela permet de décentraliser la gestion de chaque charge de travail, tout en partageant les services gérés dans le réseau virtuel hub.
WAN virtuel
Créez un réseau étendu virtuel standard si vous avez besoin de l’un des éléments suivants :
Mise à l’échelle pour des débits plus élevés
Connectivité privée (requiert un circuit Premium dans l’emplacement Global Reach)
Interconnexion VPN ExpressRoute
Surveillance intégrée avec Azure Monitor (métriques et Resource Health)
Les réseaux étendus virtuels standard sont connectés par défaut à un maillage complet. Le WAN virtuel standard prend en charge la connectivité Any-To-Any (VPN site à site, réseau virtuel, ExpressRoute, points de terminaison point à site) dans un seul hub et entre hubs. Le WAN virtuel de base prend uniquement en charge la connectivité VPN site à site, la connectivité branche à branche et la connectivité branche à réseau virtuel dans un seul hub.
Hub Virtual WAN
Un hub virtuel est un réseau virtuel géré par Microsoft. Le hub contient différents points de terminaison de service pour activer la connectivité. Le hub est le cœur de votre réseau au sein d’une région spécifique. Il peut y avoir plusieurs hubs par région Azure. Pour plus d’informations, consultez Questions fréquentes (FAQ) sur Virtual WAN.
Lorsque vous créez un hub à l’aide du portail Azure, le système crée un réseau virtuel et une passerelle VPN pour le hub virtuel. Un hub Virtual WAN requiert une plage d’adresses minimale de /24. Cet espace d’adressage IP est utilisé afin de réserver un sous-réseau pour la passerelle ainsi que d’autres composants.
Hub virtuel sécurisé
Un hub virtuel peut être créé en tant que hub virtuel sécurisé ou converti en hub sécurisé à tout moment après avoir été créé. Pour plus d’informations, consultez Sécuriser votre hub virtuel à l’aide d’Azure Firewall Manager.
GatewaySubnet
Pour plus d’informations sur la configuration de la passerelle, consultez les architectures de référence suivantes, en fonction de votre type de connexion :
Pour plus de disponibilité, vous pouvez utiliser ExpressRoute et un VPN à des fins de basculement. Consultez Connecter un réseau local à Azure à l’aide d’ExpressRoute avec basculement VPN.
Une topologie hub-and-spoke ne peut être utilisée sans passerelle, même si vous n’avez pas besoin de connectivité avec votre réseau local.
Peering de réseau virtuel
L’appairage de réseaux virtuels est une relation non transitive entre deux réseaux virtuels. Cela étant, Azure Virtual WAN permet aux spokes de se connecter les uns aux autres sans appairage dédié.
Pour autant, cette situation vous prive très rapidement de connexions d’appairage en raison du nombre maximal d’appairages de réseaux virtuels par réseau virtuel. (Pour plus d’informations, consultez Limites de mise en réseau.) Dans ce scénario, Azure VWAN résout ce problème grâce à sa fonctionnalité prête à l’emploi. Pour plus d’informations, consultez Architecture du réseau de transit global et Virtual WAN.
Vous pouvez également configurer les membres spokes afin qu’ils utilisent la passerelle hub pour communiquer avec des réseaux distants. Pour que le trafic de la passerelle circule entre le membre spoke et le hub, puis se connecte à des réseaux distants, vous devez effectuer les opérations suivantes :
Configurer la connexion de peering dans le hub pour autoriser le transit par passerelle.
Configurer la connexion de peering dans chaque membre spoke pour utiliser des passerelles distantes.
Configurer toutes les connexions de peerings pour autoriser le trafic transféré.
Pour plus d'informations, consultez Choisir entre l'appairage de réseaux virtuels et les passerelles VPN. .
Extensions hub
Pour prendre en charge les services partagés à l’échelle du réseau comme les ressources DNS, les appliances virtuelles personnalisées, Azure Bastion et d’autres, implémentez chaque service en suivant le modèle d’extension de hub virtuel. En suivant ce modèle, vous pouvez créer et exploiter des extensions à responsabilité unique pour exposer individuellement ces services partagés stratégiques que vous ne pouvez pas déployer directement dans un hub virtuel.
Considérations
Opérations
Azure VWAN est un service géré fourni par Microsoft. D’un point de vue technologique, il n’est pas totalement différent d’une infrastructure de hub gérée par le client. Azure Virtual WAN simplifie l’architecture réseau dans son ensemble en proposant une topologie de réseau maillé dotée d’une connectivité réseau transitive entre spokes. La surveillance d’Azure VWAN peut se faire à l’aide d’Azure Monitor. La configuration de site à site et la connectivité entre les réseaux locaux et Azure peuvent être entièrement automatisées.
Fiabilité
Azure Virtual WAN gère le routage, ce qui permet d’optimiser la latence du réseau entre spokes et d’assurer la prévisibilité de la latence. Azure Virtual WAN fournit également une connectivité fiable entre différentes régions Azure pour les charges de travail couvrant plusieurs régions. Cette configuration permet une plus grande visibilité du flux de bout en bout dans Azure.
Performances
Azure Virtual WAN permet d’obtenir une plus faible latence entre les spokes et les régions. Azure Virtual WAN vous permet de mettre à l’échelle jusqu’à un débit agrégé 20 Gbits/s.
Extensibilité
Azure Virtual WAN offre une connectivité entièrement maillée entre spokes tout en conservant la possibilité de limiter le trafic en fonction des besoins. Cette architecture permet d’obtenir des performances de site à site à grande échelle. En outre, vous pouvez créer une architecture de réseau de transit global en activant une connectivité Any-To-Any entre les ensembles de charges de travail cloud répartis dans le monde entier.
Sécurité
Dans Azure VWAN, les hubs peuvent être convertis en hubs sécurisés à l’aide du Pare-feu Azure. Les itinéraires définis par l’utilisateur (UDR) peuvent être utilisés de manière similaire pour obtenir l’isolement réseau. Azure VWAN permet de chiffrer le trafic entre les réseaux locaux et les réseaux virtuels Azure sur ExpressRoute.
Azure DDoS Protection, combiné aux bonnes pratiques de conception d’application, offre des fonctionnalités d’atténuation des attaques DDoS améliorées pour une meilleure défense contre les attaques DDoS. Vous devez activer Azure DDOS Protection sur tout réseau virtuel de périmètre.
Connectivité entre spokes et services partagés
La connectivité entre spokes est déjà obtenue à l’aide d’Azure Virtual WAN. Toutefois, l’utilisation d’UDR pour le trafic des spokes permet d’isoler les réseaux virtuels. Tous les services partagés peuvent également être hébergés sur la même instance Virtual WAN en tant que spokes.
Appairage de réseaux virtuels - Connexion hub
L’appairage de réseaux virtuels est une relation non transitive entre deux réseaux virtuels. Lors de l’utilisation d’Azure Virtual WAN, l’appairage de réseaux virtuels est géré par Microsoft. Chaque connexion ajoutée à un hub configure également l’appairage de réseaux virtuels. Grâce à Virtual WAN, tous les spokes présentent une relation transitive.
Optimisation des coûts
Une infrastructure hub gérée par le client implique des coûts de gestion liés aux ressources Azure sous-jacentes. Pour obtenir une connectivité transitive dotée d’une latence prévisible, vous devez disposer d’une appliance virtuelle réseau ou du Pare-feu Azure déployés dans chaque hub. L’utilisation du Pare-feu Azure permet de réduire les coûts par rapport à un appliance virtuelle réseau. Les coûts du Pare-feu Azure sont les mêmes pour les deux options. Un coût supplémentaire s’applique pour Azure Virtual WAN, mais il s’avère moindre que de gérer seul sa propre infrastructure hub.
Pour plus d’informations, consultez Tarification de Virtual WAN.
Contributeurs
Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.
Auteur principal :
- Yunus Emre Alpozen | Architecte de programme inter-charges de travail
Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.
Étapes suivantes
En savoir plus :