Étendre un réseau local à l’aide d’ExpressRoute

Azure ExpressRoute
Réseau virtuel Azure
Machines virtuelles Azure

Cette architecture de référence montre comment connecter un réseau local à des réseaux virtuels dans Azure, avec Azure ExpressRoute. Les connexions ExpressRoute utilisent une connexion privée et dédiée via un fournisseur de connectivité tiers. La connexion privée étend votre réseau local à Azure.

Architecture

0

Téléchargez un fichier Visio de cette architecture.

Workflow

L’architecture est constituée des composants suivants.

  • Réseau d’entreprise local. Un réseau local privé qui s’exécute au sein d’une organisation.

  • Circuit ExpressRoute. Un circuit de couche 2 ou 3 fourni par le fournisseur de connectivité et qui relie le réseau local à Azure via les routeurs de périphérie. Le circuit utilise l’infrastructure matérielle gérée par le fournisseur de connectivité.

  • Routeurs de périphérie locaux. Les routeurs qui connectent le réseau local au circuit géré par le fournisseur. Selon l’approvisionnement de votre connexion, vous devrez peut-être fournir les adresses IP publiques utilisées par les routeurs.

  • Routeurs Microsoft Edge. Avec deux routeurs, vous disposez d’une configuration hautement disponible en mode actif-actif. Ces routeurs permettent à un fournisseur de connectivité de connecter ses circuits directement à son centre de données. Selon l’approvisionnement de votre connexion, vous devrez peut-être fournir les adresses IP publiques utilisées par les routeurs.

  • Réseaux virtuels (VNet) Azure Chaque réseau virtuel se trouve dans une région Azure unique et peut héberger plusieurs niveaux d’application. Les niveaux d’application peuvent être segmentés à l’aide de sous-réseaux dans chaque réseau virtuel.

  • Services publics Azure. Les services Azure qui peuvent être utilisés dans une application hybride. Ces services sont également disponibles par Internet, mais en y accédant via un circuit ExpressRoute, vous profitez d’une latence faible et de performances plus prévisibles, étant donné que le trafic ne passe pas par Internet.

  • Services Microsoft 365. Les applications et services Microsoft 365 publics fournis par Microsoft. Les connexions sont effectuées à l'aide du Peering Microsoft, avec des adresses qui appartiennent soit à votre organisation, soit à votre fournisseur de connectivité. Vous pouvez également vous connecter directement à Microsoft CRM Online via le peering Microsoft.

  • Fournisseurs de connectivité (non affiché). Les sociétés qui fournissent une connexion à l’aide d’une connectivité de couche 2 ou 3 entre votre centre de données et un centre de données Azure.

Composants

  • Azure ExpressRoute. ExpressRoute vous permet d’étendre vos réseaux locaux dans le cloud Microsoft via une connexion privée avec l’aide d’un fournisseur de connectivité. Avec ExpressRoute, vous pouvez établir des connexions aux services de cloud computing Microsoft, comme Microsoft Azure et Microsoft 365.

  • Réseau virtuel Azure : Le réseau virtuel Azure (VNet) est le bloc de construction fondamental pour votre réseau privé dans Azure. Le réseau virtuel permet à de nombreux types de ressources Azure, telles que les machines virtuelles (VM) Azure, de communiquer de manière sécurisée entre elles, avec Internet et avec les réseaux locaux.

Recommandations

Les recommandations suivantes s’appliquent à la plupart des scénarios. Suivez ces recommandations, sauf si vous avez un besoin spécifique qui vous oblige à les ignorer.

Fournisseurs de connectivité

Sélectionnez un fournisseur de connectivité ExpressRoute adapté selon votre localisation. Pour obtenir une liste des fournisseurs de connectivité disponibles pour votre localisation, utilisez la commande Azure PowerShell suivante :

Get-AzExpressRouteServiceProvider

Les fournisseurs de connectivité ExpressRoute connectent votre centre de données à Microsoft, comme suit :

  • Colocalisation avec un échange de cloud. Si vous êtes colocalisé avec une installation dans le cadre d'un échange de cloud, vous pouvez commander des interconnexions virtuelles vers Azure via l'échange Ethernet du fournisseur de colocalisation. Les fournisseurs de colocalisation peuvent offrir des interconnexions de couche 2 ou des interconnexions de couche 3 gérées entre votre infrastructure dans l’installation de colocalisation et Azure.
  • Connexions Ethernet point à point. Vous pouvez connecter vos centres de données/bureaux locaux à Azure via des liaisons Ethernet point à point. Les fournisseurs Ethernet point à point peuvent offrir des connexions de couche 2 ou des connexions de couche 3 gérées entre votre site et Azure.
  • Réseaux universels (IPVPN) . Vous pouvez intégrer votre réseau étendu (WAN) avec Azure. Les fournisseurs d’IPVPN (en général un VPN MPLS) offrent une connectivité universelle entre vos succursales et vos centres de données. Azure peut être interconnecté à votre réseau étendu afin qu’il apparaisse comme n’importe quelle autre succursale. Les fournisseurs de réseaux étendus offrent généralement une connectivité de couche 3 gérée.

Pour plus d'informations sur les fournisseurs de connectivité, consultez l'article Présentation d'ExpressRoute.

Circuit ExpressRoute

Vérifiez que votre organisation répond à la configuration requise d'ExpressRoute pour se connecter à Azure.

Si ce n’est pas déjà fait, ajoutez un sous-réseau nommé GatewaySubnet à votre réseau virtuel Azure et créez une passerelle de réseau virtuel ExpressRoute à l’aide du service de passerelle VPN Azure. Pour plus d'informations sur ce processus, consultez Flux de travail ExpressRoute pour l'approvisionnement du circuit et états du circuit.

Créez un circuit ExpressRoute comme suit :

  1. Exécutez la commande PowerShell suivante :

    New-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>> -Location <<location>> -SkuTier <<sku-tier>> -SkuFamily <<sku-family>> -ServiceProviderName <<service-provider-name>> -PeeringLocation <<peering-location>> -BandwidthInMbps <<bandwidth-in-mbps>>
    
  2. Envoyez le ServiceKey du nouveau circuit au fournisseur de services.

  3. Attendez que le fournisseur approvisionne le circuit. Pour vérifier l’état d’approvisionnement d’un circuit, exécutez la commande PowerShell suivante :

    Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
    

    Le champ Provisioning state de la section Service Provider du résultat passera de NotProvisioned à Provisioned une fois le circuit prêt.

    Notes

    Si vous utilisez une connexion de couche 3, le fournisseur doit configurer et gérer le routage à votre place. Vous fournissez les informations nécessaires pour permettre au fournisseur d’implémenter les itinéraires appropriés.

  4. Si vous utilisez une connexion de couche 2 :

    1. Réservez deux sous-réseaux /30 constitués d’adresses IP publiques valides pour chaque type de peering que vous souhaitez implémenter. Ces sous-réseaux /30 seront utilisés pour fournir des adresses IP aux routeurs utilisés pour le circuit. Si vous implémentez un peering privé ou Microsoft, vous aurez besoin de 4 sous-réseaux /30 avec des adresses IP publiques valides.

    2. Configurez l’acheminement pour le circuit ExpressRoute. Exécutez les commandes PowerShell suivantes pour chaque type de peering à configurer (privé et Microsoft). Pour plus d'informations, consultez Créer et modifier l'acheminement d'un circuit ExpressRoute.

      Set-AzExpressRouteCircuitPeeringConfig -Name <<peering-name>> -ExpressRouteCircuit <<circuit-name>> -PeeringType <<peering-type>> -PeerASN <<peer-asn>> -PrimaryPeerAddressPrefix <<primary-peer-address-prefix>> -SecondaryPeerAddressPrefix <<secondary-peer-address-prefix>> -VlanId <<vlan-id>>
      
      Set-AzExpressRouteCircuit -ExpressRouteCircuit <<circuit-name>>
      
    3. Réservez un autre pool d'adresses IP publiques valides à utiliser pour la traduction d'adresse réseau (NAT) dans le cadre du peering Microsoft. Il est recommandé d’avoir un pool différent pour chaque peering. Indiquez le pool à votre fournisseur de connectivité, afin qu’il puisse configurer des annonces (BGP) pour ces plages.

  5. Exécutez les commandes PowerShell suivantes pour lier votre ou vos réseaux virtuels privés au circuit ExpressRoute. Pour plus d'informations, consultez Lier un réseau virtuel à un circuit ExpressRoute.

    $circuit = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
    $gw = Get-AzVirtualNetworkGateway -Name <<gateway-name>> -ResourceGroupName <<resource-group>>
    New-AzVirtualNetworkGatewayConnection -Name <<connection-name>> -ResourceGroupName <<resource-group>> -Location <<location> -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute
    

Vous pouvez connecter plusieurs réseaux virtuels situés dans des régions différentes à un même circuit ExpressRoute, tant que tous les réseaux virtuels et le circuit ExpressRoute sont situés dans la même région géopolitique.

Dépannage

Si un circuit ExpressRoute qui fonctionnait ne parvient plus à se connecter, en l’absence de toute modification de configuration en local ou sur votre réseau privé virtuel, vous devrez peut-être contacter le fournisseur de connectivité et travailler avec lui pour résoudre le problème. Pour vérifier que le circuit ExpressRoute a été approvisionné, utilisez les commandes PowerShell suivantes :

Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

Le résultat de cette commande montre plusieurs propriétés de votre circuit, y compris ProvisioningState, CircuitProvisioningState et ServiceProviderProvisioningState comme vous pouvez le voir ci-dessous.

ProvisioningState                : Succeeded
Sku                              : {
                                     "Name": "Standard_MeteredData",
                                     "Tier": "Standard",
                                     "Family": "MeteredData"
                                   }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : NotProvisioned

Si ProvisioningState n’est pas défini sur Succeeded une fois que vous avez tenté de créer un nouveau circuit, supprimez le circuit en utilisant la commande ci-dessous et essayez de le créer à nouveau.

Remove-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

Si votre fournisseur avait déjà approvisionné le circuit et que ProvisioningState est défini sur Failed, ou que CircuitProvisioningState n’est pas Enabled, contactez votre fournisseur pour obtenir de l’aide.

Considérations

Ces considérations implémentent les piliers d’Azure Well-Architected Framework qui est un ensemble de principes directeurs qui permettent d’améliorer la qualité d’une charge de travail. Pour plus d’informations, consultez Microsoft Azure Well-Architected Framework.

Extensibilité

Les circuits ExpressRoute fournissent un chemin à bande passante élevée entre les réseaux. En règle générale, plus la bande passante est élevée, plus c’est cher.

ExpressRoute propose deux plans tarifaires à ses clients : un plan de données limité et un plan de données illimitées. Les frais varient en fonction de la bande passante du circuit. La bande passante disponible varie d’un fournisseur à l’autre. Utilisez l’applet de commande Get-AzExpressRouteServiceProvider pour voir les fournisseurs disponibles dans votre région et les bandes passantes qu’ils proposent.

Un même circuit ExpressRoute peut prendre en charge un certain nombre de peerings et de liens de réseau virtuel. Pour plus d’informations, consultez l’article sur les limites d’ExpressRoute.

Le module complémentaire ExpressRoute Premium propose certaines fonctionnalités payantes supplémentaires :

  • Augmentation des limites d'itinéraire pour le peering privé.
  • Augmentation du nombre de liens de réseau virtuel par circuit ExpressRoute.
  • Connectivité globale des services.

Pour plus de détails, consultez Tarification d'ExpressRoute.

La conception des circuits ExpressRoute vous permet d’augmenter temporairement jusqu’à deux fois la limite de la bande passante obtenue sur le réseau sans frais supplémentaires, grâce à des liens redondants. Toutefois, tous les fournisseurs de connectivité ne prennent pas en charge cette fonction. Avant toute chose, vérifiez donc que votre fournisseur de connectivité propose cette fonctionnalité.

Bien que certains fournisseurs vous permettent de modifier votre bande passante, assurez-vous de choisir une bande passante initiale qui dépasse vos besoins et vous donne la possibilité d’évoluer. Si vous avez besoin d’augmenter la bande passante à l’avenir, vous avez deux choix :

  • Augmentez la bande passante. Si possible, évitez cette option, car tous les fournisseurs ne vous permettent pas d’augmenter la bande passante de façon dynamique. Si vous avez vraiment besoin d'augmenter votre bande passante, contactez votre fournisseur pour vérifier qu'il prend en charge la modification des propriétés de bande passante ExpressRoute via les commandes PowerShell. Si c’est le cas, exécutez les commandes ci-dessous.

    $ckt = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
    $ckt.ServiceProviderProperties.BandwidthInMbps = <<bandwidth-in-mbps>>
    Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
    

    Vous pouvez augmenter votre bande passante sans perte de connectivité. La rétrogradation de la bande passante entraîne une interruption de connectivité, car vous devez supprimer le circuit et le recréer avec la nouvelle configuration.

  • Changez de plan de tarification et/ou passez à la version Premium. Pour ce faire, exécutez les commandes suivantes : La propriété Sku.Tier peut avoir la valeur Standard ou Premium ; la propriété Sku.Name peut avoir la valeur MeteredData ou UnlimitedData.

    $ckt = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
    
    $ckt.Sku.Tier = "Premium"
    $ckt.Sku.Family = "MeteredData"
    $ckt.Sku.Name = "Premium_MeteredData"
    
    Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
    

    Important

    Assurez-vous que la propriété Sku.Name correspond aux propriétés Sku.Tier et Sku.Family. Si vous modifiez la famille et la couche, mais pas le nom, votre connexion sera désactivée.

    Vous pouvez mettre à niveau la référence SKU sans interruption, mais vous ne pouvez pas passer du plan de tarification illimité au plan limité. Lorsque vous rétrogradez la référence SKU, votre consommation de bande passante doit rester dans la limite par défaut de la référence SKU standard.

Disponibilité

ExpressRoute ne prend pas en charge les protocoles de redondance de routeur tels que le protocole HSRP (Hot Standby Router Protocol) et le protocole VRRP (Virtual Router Redundancy Protocol) pour garantir la haute disponibilité. Il utilise une paire de sessions BGP redondantes pour chaque peering. Pour faciliter les connexions hautement disponibles à votre réseau, Azure vous fournit deux ports redondants sur deux routeurs (compris avec Microsoft Edge) dans une configuration actif-actif.

Par défaut, les sessions BGP utilisent un délai d’inactivité de 60 secondes. Si une session expire trois fois (180 secondes au total), le routeur est marqué comme non disponible et tout le trafic est redirigé vers le routeur restant. Ce délai d’attente de 180 secondes peut être trop long pour certaines applications critiques. Dans ce cas, vous pouvez modifier vos paramètres de délai d’attente BGP sur le routeur local et choisir une valeur inférieure. ExpressRoute prend également en charge la détection de transfert bidirectionnel (BFD, Bidirectional Forwarding Detection) sur le peering privé. En activant BFD via ExpressRoute, vous pouvez accélérer la détection des défaillances des liaisons entre les appareils MSEE (Microsoft Enterprise Edge) et les routeurs sur lesquels vous terminez le circuit ExpressRoute (PE). Vous pouvez établir une terminaison d’ExpressRoute sur des appareils de routage de périphérie du client ou des appareils de routage de périphérie de partenaire (si vous avez utilisé le service de connexion de couche 3 managé).

Vous pouvez configurer la haute disponibilité pour votre connexion Azure de différentes façons, selon votre type de fournisseur et le nombre de circuits ExpressRoute et de connexions de passerelle de réseau virtuel que vous souhaitez configurer. Voici un résumé des options disponibles :

  • Si vous utilisez une connexion de couche 2, déployez des routeurs redondants sur votre réseau local dans une configuration actif-actif. Connectez le circuit principal à un routeur et le circuit secondaire à l’autre. Vous bénéficierez ainsi d’une connexion hautement disponible aux deux extrémités de la connexion. Cela peut s’avérer nécessaire si vous avez besoin du contrat de niveau de service d’ExpressRoute. Pour plus de détails, consultez SLA pour Azure ExpressRoute.

    Le diagramme suivant illustre une configuration avec des routeurs redondants locaux connectés au circuit principal et au circuit secondaire. Chaque circuit gère le trafic pour un peering privé (chaque peering est conçu comme une paire d'espaces d'adressage /30, comme décrit dans la section précédente).

    1

  • Si vous utilisez une connexion de couche 3, vérifiez qu’elle fournit des sessions BGP redondantes qui gèrent la disponibilité à votre place.

  • Connectez le réseau virtuel à plusieurs circuits ExpressRoute fournis par différents fournisseurs de services. Cette stratégie vous fournit des fonctionnalités de récupération d’urgence et de haute disponibilité supplémentaires.

  • Configurez un réseau VPN de site à site comme un chemin d’accès de basculement pour ExpressRoute. Pour en savoir plus sur cette option, consultez Connecter un réseau local à Azure à l'aide d'ExpressRoute avec basculement VPN. Cette option ne s’applique qu’au peering privé. Pour les services Azure et Microsoft 365, Internet est le seul chemin de basculement disponible.

Sécurité

La sécurité fournit des garanties contre les attaques délibérées, et contre l’utilisation abusive de vos données et systèmes importants. Pour plus d’informations, consultez Vue d’ensemble du pilier Sécurité.

Vous pouvez configurer les options de sécurité pour votre connexion Azure de différentes façons selon vos besoins en matière de conformité et vos préoccupations en matière de sécurité.

ExpressRoute fonctionne en couche 3. Les menaces liées à la couche Application peuvent être évitées à l’aide d’une appliance de sécurité réseau qui limite le trafic aux ressources légitimes.

Pour optimiser la sécurité, ajoutez des appliances de sécurité réseau entre le réseau local et les routeurs de périphérie du fournisseur. Ainsi, vous pourrez limiter l’afflux de trafic non autorisé à partir du réseau virtuel :

2

Pour des raisons de conformité ou en cas d'audit, il peut être nécessaire d'interdire l'accès direct à Internet à partir des composants qui s'exécutent sur le réseau virtuel et d'implémenter le tunneling forcé. Dans ce cas, le trafic Internet doit être redirigé via un proxy exécuté en local, où il peut être audité. Le proxy peut être configuré pour bloquer les flux de trafic sortant non autorisés et filtrer le trafic entrant potentiellement malveillant.

3

Pour optimiser la sécurité, n’utilisez pas d’adresse IP publique pour vos machines virtuelles. Par contre, vous pouvez utiliser des groupes de sécurité réseau pour vous assurer que ces machines virtuelles ne sont pas accessibles publiquement. Les machines virtuelles doivent être disponibles uniquement via l’adresse IP interne. Vous pouvez rendre ces adresses accessibles via le réseau ExpressRoute et ainsi permettre au personnel DevOps local d’en effectuer la configuration ou la maintenance.

Si vous devez exposer sur un réseau externe des points de terminaison de gestion pour les machines virtuelles, utilisez des groupes de sécurité réseau ou des listes de contrôle d'accès pour restreindre la visibilité de ces ports à une liste d’autorisation d'adresses IP ou de réseaux.

Notes

Les machines virtuelles Azure déployées via le portail Azure peuvent inclure une adresse IP publique qui fournit un accès en connexion. Toutefois, il est préférable de ne pas autoriser cette pratique.

Analyse du réseau

Utilisez Network Watcher pour surveiller et dépanner les composants réseau. Des outils comme Traffic Analytics désigneront les systèmes qui, au sein de vos réseaux virtuels, génèrent le plus de trafic pour vous permettre de repérer visuellement les goulots d'étranglement avant qu'ils deviennent problématiques. Network Performance Manager peut surveiller les informations relatives aux circuits Microsoft ExpressRoute.

Vous pouvez également utiliser le kit de connectivité Azure (AzureCT) pour contrôler la connectivité entre votre centre de données local et Azure.

Pour plus d'informations, consultez la section DevOps de Microsoft Azure Well-Architected Framework. Pour plus d'informations sur la surveillance, consultez Surveillance pour DevOps.

Optimisation des coûts

L’optimisation des coûts consiste à examiner les moyens de réduire les dépenses inutiles et d’améliorer l’efficacité opérationnelle. Pour plus d’informations, consultez Vue d’ensemble du pilier d’optimisation des coûts.

Utiliser la calculatrice de prix Azure pour estimer les coûts.

Les sections suivantes expliquent les frais de service utilisés dans cette architecture.

Azure ExpressRoute

Dans cette architecture, un circuit ExpressRoute est utilisé pour relier le réseau local à Azure via les routeurs de périphérie.

Deux plans principaux sont disponibles. Avec le plan Données limitées, tous les transferts de données entrants sont gratuits. Tous les transferts de données sortants sont facturés sur la base d'un tarif prédéterminé.

Vous pouvez également opter pour le plan Données illimitées avec lequel tous les transferts de données entrants et sortants sont gratuits. Un tarif mensuel fixe basé sur des ports doubles haute disponibilité est appliqué aux utilisateurs.

Calculez votre utilisation et choisissez votre plan de facturation en conséquence. Le plan Données illimitées est recommandé si vous dépassez 68 % d'utilisation.

Pour plus d'informations, consultez Tarification d'Azure ExpressRoute.

Réseau virtuel Azure

Toutes les couches Application sont hébergées sur un seul et même réseau virtuel, et sont segmentées à l'aide de sous-réseaux.

Le service Réseau virtuel Azure est gratuit. Chaque abonnement est autorisé à créer jusqu’à 50 réseaux virtuels dans toutes les régions. Au sein du réseau virtuel, tout le trafic est gratuit. La communication entre deux machines virtuelles dans le même réseau virtuel est donc gratuite.

Étapes suivantes

Documentation du produit :

Modules Microsoft Learn :