Topologie réseau hub-and-spoke dans Azure

Network Watcher
Pare-feu
Réseau virtuel
Bastion
Passerelle VPN

Cette architecture de référence déploie une topologie hub-and-spoke dans Azure. Le réseau virtuel hub joue le rôle de point central de la connectivité à de nombreux réseau virtuels spoke. Le hub peut également être utilisé comme point de connectivité à vos réseaux locaux. Les réseaux virtuels spoke sont appairés avec le hub et peuvent être utilisés pour isoler les charges de travail.

Architecture

Topologie hub-and-spoke dans Azure

Téléchargez un fichier Visio de cette architecture.

Workflow

L’architecture repose sur les aspects suivants :

  • Réseau virtuel hub : le réseau virtuel hub est le point central de connectivité à votre réseau local. C’est l’endroit où vous hébergez les services qui peuvent être consommés par les différentes charges de travail hébergées dans les réseaux virtuels spoke.

  • Réseaux virtuels spoke : Les réseaux virtuels spoke permettent d’isoler les charges de travail dans leurs propres réseaux virtuels, qui sont alors gérés séparément des autres spokes. Chaque charge de travail peut inclure plusieurs niveaux, avec plusieurs sous-réseaux connectés à l’aide d’équilibreurs de charge Azure.

  • Peering de réseaux virtuels : Deux réseaux virtuels peuvent être connectés à l’aide d’une connexion de peering. Les connexions de peering sont des connexions non transitives et à faible latence entre des réseaux virtuels. Une fois appairés, les réseaux virtuels échangent le trafic à l’aide de la dorsale principale d’Azure, sans avoir besoin d’un routeur.

  • Hôte Bastion : Azure Bastion vous permet de vous connecter de façon sécurisée à une machine virtuelle à l’aide de votre navigateur et du portail Azure. Un hôte Azure Bastion est déployé au sein d’un réseau virtuel Azure et peut accéder aux machines virtuelles présentes dans ce réseau virtuel (VNet), ou à celles situées dans les réseaux virtuels appairés.

  • Pare-feu Azure : Pare-feu Azure est un service géré de pare-feu en tant que service. L'instance de pare-feu est placée dans son propre sous-réseau.

  • Passerelle de réseau virtuel VPN ou passerelle ExpressRoute. La passerelle de réseau virtuel permet au réseau virtuel de se connecter au périphérique VPN, ou circuit ExpressRoute, utilisé pour la connectivité avec votre réseau local. Pour plus d'informations, consultez Connecter un réseau local à réseau virtuel Microsoft Azure.

  • Périphérique VPN. Périphérique ou service qui assure la connectivité externe au réseau local. Le périphérique VPN peut être un périphérique matériel ou une solution logicielle telle que le service RRAS (Routing and Remote Access Service) dans Windows Server 2012. Pour plus d’informations, voir À propos des appareils VPN pour les connexions de la passerelle VPN de site à site.

Composants

  • Réseau virtuel Azure : Le réseau virtuel Azure (VNet) est le bloc de construction fondamental pour votre réseau privé dans Azure. Le réseau virtuel permet à de nombreux types de ressources Azure, telles que les machines virtuelles (VM) Azure, de communiquer de manière sécurisée entre elles, avec Internet et avec les réseaux locaux.

  • Azure Bastion. Azure Bastion est un service complètement managé qui offre un accès RDP (Remote Desktop Protocol) et SSH (Secure Shell Protocol) plus sécurisé et fluide aux machines virtuelles, sans aucune exposition via des adresses IP publiques.

  • Pare-feu Azure. Pare-feu Azure est un service de sécurité réseau informatique géré qui protège vos ressources Réseau virtuel Azure. Le service de pare-feu avec état dispose d’une haute disponibilité intégrée et d’une scalabilité cloud illimitée pour vous aider à créer, appliquer et journaliser des stratégies de connectivité réseau et d’application entre des abonnements et des réseaux virtuels.

  • Passerelle VPN. La passerelle VPN envoie du trafic chiffré entre un réseau virtuel Azure et un emplacement local via le réseau Internet public. Vous pouvez également utiliser une passerelle VPN pour envoyer du trafic chiffré entre les réseaux virtuels Azure sur le réseau Microsoft. Une passerelle VPN est un type spécifique de passerelle de réseau virtuel.

  • Azure Monitor. Collectez, analysez et exploitez les données de télémétrie issues de vos environnements Azure et locaux. Azure Monitor vous aide à optimiser les performances et la disponibilité de vos applications et vous aide à identifier de manière proactive les problèmes en quelques secondes.

Détails du scénario

Les avantages liés à l’utilisation d’une configuration hub-and-spoke incluent une réduction des coûts, un dépassement des limites d’abonnement et un isolement des charges de travail.

Cas d’usage potentiels

Utilisations courantes de cette architecture :

  • Charges de travail déployées sur des environnements différents, tels que les environnements de développement, de test et de production, qui requièrent des services partagés tels que DNS, IDS, NTP ou AD DS. Les services partagés sont placés dans le réseau virtuel hub, tandis que chaque environnement est déployé sur un membre spoke pour garantir l’isolation.
  • Des charges de travail n’exigeant pas de connectivité entre elles mais nécessitant un accès aux services partagés.
  • Entreprises nécessitant un contrôle centralisé des aspects de la sécurité, tel qu’un pare-feu dans le hub en tant que zone DMZ et une gestion séparée des charges de travail dans chaque membre spoke.

Recommandations

Les recommandations suivantes s’appliquent à la plupart des scénarios. Suivez ces recommandations, sauf si vous avez un besoin spécifique qui vous oblige à les ignorer.

Groupes de ressources

L’exemple de solution inclus dans ce document utilise un seul groupe de ressources Azure. En pratique, le hub et chaque spoke peuvent être implémentés dans des groupes de ressources distincts, voire dans des abonnements différents. Quand vous appairez des réseaux virtuels de différents abonnements, les deux abonnements peuvent être associés au même locataire Azure Active Directory ou à un locataire différent. Cette flexibilité permet de décentraliser la gestion de chaque charge de travail tout en partageant les services managés dans le hub. Consultez Créer un appairage de réseaux virtuels - Gestionnaire des ressources, abonnements et locataires Azure Active Directory différents.

Réseau virtuel et GatewaySubnet

Créez un sous-réseau nommé GatewaySubnet, avec une plage d’adresses de /27. La passerelle de réseau virtuel requiert ce sous-réseau. En attribuant 32 adresses à ce sous-réseau, vous devriez éviter les limitations de taille de passerelle.

Pour plus d’informations sur la configuration de la passerelle, consultez les architectures de référence suivantes, en fonction de votre type de connexion :

Pour accroître la disponibilité, vous pouvez utiliser ExpressRoute et un VPN pour le basculement. Consultez Connecter un réseau local à Azure à l’aide d’ExpressRoute avec basculement VPN.

Une topologie hub-and-spoke peut également être utilisée sans passerelle, si vous n’avez pas besoin de connectivité avec votre réseau local.

Peering de réseau virtuel

Le peering de réseaux virtuels est une relation non transitive entre deux réseaux virtuels. Si des membres spokes doivent se connecter les uns aux autres, envisagez d’ajouter une connexion de peering distincte entre ces membres spokes.

Supposez que vous avez plusieurs réseaux spoke qui doivent se connecter les uns aux autres. Cette situation vous privera très rapidement de connexions de peering, car le nombre maximal de peerings de réseaux virtuels par réseau virtuel est limité. Pour plus d’informations, consultez Limites de mise en réseau. Dans ce scénario, envisagez d’utiliser des routes définies par l’utilisateur afin que le trafic destiné à un spoke soit envoyé au Pare-feu Azure ou à une appliance virtuelle réseau faisant office de routeur sur le hub. Ce changement permettra aux réseaux spoke de se connecter les uns aux autres.

Vous pouvez également configurer les membres spokes afin qu’ils utilisent la passerelle hub pour communiquer avec des réseaux distants. Pour que le trafic de la passerelle circule entre le spoke et le hub, puis se connecte à des réseaux distants, vous devez effectuer les opérations suivantes :

  • Configurer la connexion de peering dans le hub pour autoriser le transit par passerelle.
  • Configurer la connexion de peering dans chaque membre spoke pour utiliser des passerelles distantes.
  • Configurer toutes les connexions de peerings pour autoriser le trafic transféré.

Pour plus d’informations, consultez Créer des peerings de réseaux virtuels.

Connectivité entre membres spokes

Si vous avez besoin d’une connectivité entre spokes, déployez un Pare-feu Azure ou une autre appliance virtuelle réseau. Créez ensuite des routes pour transférer le trafic du spoke vers l’appliance virtuelle réseau ou le pare-feu, qui peut ensuite le router vers le deuxième spoke. Dans ce scénario, vous devez configurer les connexions de peering pour autoriser le trafic transféré.

Routage entre spokes à l’aide du Pare-feu Azure

Téléchargez un fichier Visio de cette architecture.

Vous pouvez également utiliser une passerelle VPN pour router le trafic entre les spokes, même si cela aura un impact en termes de latence et de débit. Pour connaître les détails de configuration, consultez Configurer le transit par passerelle VPN pour le peering de réseaux virtuels.

Prenez en compte les services qui sont partagés dans le hub, afin que ce dernier puisse prendre en charge un plus grand nombre de spokes. Par exemple, si votre hub fournit des services de pare-feu, tenez compte des limites de bande passante de votre solution de pare-feu quand vous ajoutez plusieurs membres spokes. Vous pourriez souhaiter transférer certains de ces services partagés vers un second niveau de hubs.

Considérations

Ces considérations implémentent les piliers d’Azure Well-Architected Framework qui est un ensemble de principes directeurs qui permettent d’améliorer la qualité d’une charge de travail. Pour plus d’informations, consultez Microsoft Azure Well-Architected Framework.

Gestion

Utilisez Azure Virtual Network Manager (AVNM) pour créer des topologies de réseau virtuel hub-and-spoke (et intégrer les topologies existantes) pour la gestion centralisée des contrôles de connectivité et de sécurité.

AVNM garantit que vos topologies réseau hub-and-spoke sont préparées à une croissance future à grande échelle sur plusieurs abonnements, groupes d’administration et régions. Regardez les exemples de scénarios suivants :

  • Démocratisation de la gestion des réseaux virtuels spoke aux groupes d’une organisation, telles que les unités métier ou les équipes d’application, ce qui entraîne un grand nombre d’exigences en matière de connectivité de réseau virtuel à réseau virtuel et de règles de sécurité réseau.
  • Normalisation des architectures hub and spoke de plusieurs réplicas dans plusieurs régions Azure pour garantir une empreinte globale pour les applications.

La détectabilité des réseaux virtuels souhaités à gérer via AVNM peut être définie à l’aide de la fonctionnalité Scope . Cette fonctionnalité permet une flexibilité sur un nombre souhaité d’instances de ressources AVNM, ce qui permet la démocratisation supplémentaire de la gestion pour les groupes de réseaux virtuels.

Les réseaux virtuels dans n’importe quel abonnement, groupe d’administration ou région, sous le même locataire Azure AD, peuvent être regroupés en groupes de réseaux pour garantir l’uniformité sur les règles de connectivité et de réseau attendues. Les réseaux virtuels peuvent être intégrés automatiquement ou manuellement au groupe de réseaux via des appartenances dynamiques ou statiques.

Les réseaux virtuels spoke du même groupe de réseaux peuvent être connectés entre eux en activant le peering de réseaux virtuels via la fonctionnalité de connectivité directe d’AVNM. Pour étendre les possibilités de connectivité directe entre les spokes de différentes régions, utilisez la fonctionnalité de maillage global, qui facilite la création de peerings de réseaux virtuels globaux. Consultez l’exemple de diagramme ci-dessous :

Diagramme illustrant la connectivité directe entre spokes.

En outre, pour garantir un ensemble de règles de sécurité de base, les réseaux virtuels au sein du même groupe de réseaux peuvent être associés à des règles d’administration de la sécurité. Les règles d’administration de la sécurité sont évaluées avant celles du NSG (groupe de sécurité réseau) et ont la même nature que ces dernières, avec la prise en charge de la hiérarchisation, des balises de service et des protocoles L3-L4.

Enfin, pour faciliter un déploiement contrôlé des groupes de réseaux, de la connectivité et des changements de règles de sécurité, la fonctionnalité de déploiements d’AVNM vous permet de libérer en toute sécurité les changements de rupture de ces configurations dans les environnements hub-and-spoke.

Pour plus d’informations sur la prise en main, consultez Créer une topologie hub and spoke avec Azure Virtual Network Manager.

Considérations opérationnelles

Tenez compte des informations suivantes lors du déploiement et de la gestion des réseaux hub-and-spoke.

Analyse du réseau

Utilisez Azure Network Watcher pour superviser et dépanner les composants réseau. Des outils comme Traffic Analytics montrent les systèmes de vos réseaux virtuels qui génèrent le plus de trafic. Vous pouvez ensuite identifier visuellement les goulots d’étranglement avant qu’ils ne dégénèrent en problèmes. L’outil Network Performance Manager permet de surveiller les informations relatives aux circuits Microsoft ExpressRoute. Les diagnostics VPN sont un autre outil pour vous aider à résoudre des problèmes de connexions VPN site à site reliant vos applications à des utilisateurs locaux.

Pour plus d’informations, consultez Azure Network Watcher.

Optimisation des coûts

L’optimisation des coûts consiste à examiner les moyens de réduire les dépenses inutiles et d’améliorer l’efficacité opérationnelle. Pour plus d’informations, consultez Vue d’ensemble du pilier d’optimisation des coûts.

Tenez compte des éléments financiers suivants lors du déploiement et de la gestion des réseaux hub-and-spoke.

Pare-feu Azure

Un Pare-feu Azure est déployé dans le réseau hub dans cette architecture. Lorsqu’il est utilisé en tant que solution partagée et consommé par plusieurs charges de travail, un Pare-feu Azure peut économiser jusqu’à 30-50 % par rapport à d’autres appliances virtuelles réseau. Pour plus d’informations, consultez Pare-feu Azure et appliances virtuelles réseau.

Peering de réseau virtuel

Vous pouvez utiliser l’appairage de réseaux virtuels pour acheminer le trafic entre les réseaux virtuels à l’aide d’adresses IP privées. Voici quelques éléments à prendre en compte :

  • Le trafic d’entrée et de sortie est facturé aux deux extrémités des réseaux appairés.
  • Les différentes zones présentent des taux de transfert différents.

Par exemple, le transfert de données à partir d’un réseau virtuel de la zone 1 vers un réseau virtuel de la zone 2 implique un taux de transfert sortant pour la zone 1 et un taux d’entrée pour la zone 2. Pour plus d'informations, consultez Tarification de réseau virtuel.

Déployer ce scénario

Ce déploiement comprend un réseau virtuel hub et deux spokes appairés. Un Pare-feu Azure et un hôte Azure Bastion sont également déployés. Le déploiement peut éventuellement inclure des machines virtuelles dans le premier réseau spoke et une passerelle VPN.

Utilisez la commande suivante pour créer un groupe de ressources pour le déploiement. Cliquez sur le bouton Essayer pour utiliser un interpréteur de commandes incorporé.

az group create --name hub-spoke --location eastus

Exécutez la commande suivante pour déployer la configuration du réseau hub-and-spoke, les peerings VNet entre le hub et le spoke, et un hôte bastion. Quand vous y êtes invité, entrez un nom d’utilisateur et un mot de passe. Ces valeurs peuvent être utilisées pour accéder à la machine virtuelle située dans le réseau spoke.

az deployment group create --resource-group hub-spoke \
    --template-uri https://raw.githubusercontent.com/mspnp/samples/main/solutions/azure-hub-spoke/azuredeploy.json

Pour obtenir des informations détaillées et d'autres options de déploiement, consultez les modèles ARM (Azure Resource Manager) utilisés pour déployer cette solution.

Étapes suivantes

En savoir plus sur les technologies des composants :

Découvrez les architectures associées suivantes :