Cet article compare deux façons de connecter des réseaux virtuels dans Azure : l’appairage de réseaux virtuels et les passerelles VPN.
Un réseau virtuel est une partie virtuelle isolée du réseau public Azure. Par défaut, le trafic ne peut pas être acheminé entre deux réseaux virtuels. Toutefois, il est possible de connecter des réseaux virtuels, soit au sein d’une région unique, soit entre deux régions, afin que le trafic puisse être routé entre eux.
Types de connexions de réseau virtuel
Appairage de réseaux virtuels. L’appairage de réseaux virtuels connecte deux réseaux virtuels Azure. Une fois homologués, les réseaux virtuels apparaissent comme un seul réseau à toutes fins de connectivité. Le trafic entre les machines virtuelles dans les réseaux virtuels appairés est acheminé via l’infrastructure principale de Microsoft, par le biais d’adresses IP privées uniquement. Aucun Internet public n’est impliqué. Vous pouvez également appairer des réseaux virtuels dans des régions Azure (Peering mondial).
Passerelles VPN. Une passerelle VPN est un type spécifique de passerelle de réseau virtuel qui est utilisé pour envoyer du trafic entre un réseau virtuel Azure et un emplacement local via l’Internet public. Vous pouvez également utiliser une passerelle VPN pour acheminer le trafic entre des réseaux virtuels Azure. Chaque réseau virtuel peut posséder au maximum une passerelle VPN. Vous devez activer Azure DDOS Protection sur tout réseau virtuel de périmètre.
L’appairage de réseaux virtuels fournit une connexion à faible latence et à bande passante élevée. Il n’y a pas de passerelle dans le chemin d’accès, donc il n’y a pas de tronçons supplémentaires, garantissant ainsi des connexions à faible latence. C’est utile dans les scénarios tels que la réplication de données entre régions et le basculement de base de données. Étant donné que le trafic est privé et reste sur le segment principal de Microsoft, pensez également à l’appairage de réseaux virtuels si vous avez des stratégies de données strictes et que vous souhaitez éviter d’envoyer du trafic sur Internet.
Les passerelles VPN fournissent une connexion à bande passante limitée et sont utiles dans les scénarios où vous avez besoin d’un chiffrement mais où vous pouvez tolérer des restrictions de bande passante. Dans ces scénarios, les clients ne sont pas non plus aussi sensibles à la latence.
Transit par passerelle
L’appairage de réseaux virtuels et les passerelles VPN peuvent également coexister via le transit par passerelle
Le transit par passerelle vous permet d’utiliser la passerelle d’un réseau virtuel appairé pour vous connecter localement au lieu de créer une nouvelle passerelle pour la connectivité. À mesure que vous augmentez vos charges de travail dans Azure, vous devez mettre à l’échelle vos réseaux sur les régions et les réseaux virtuels pour suivre la croissance. Le transit par passerelle vous permet de partager une passerelle ExpressRoute ou VPN avec tous les réseaux virtuels appairés, et vous permet de gérer la connectivité au même endroit. Le partage permet d’économiser les coûts et de réduire les frais de gestion.
Avec le transit par passerelle activé sur l’appairage de réseaux virtuels, vous pouvez créer un réseau virtuel de transit qui contient votre passerelle VPN, votre appliance virtuelle réseau et d’autres services partagés. À mesure que votre organisation s’étend avec de nouvelles applications ou de nouvelles unités commerciales et que vous lancez de nouveaux réseaux virtuels, vous pouvez vous connecter à votre réseau virtuel de transit à l’aide du Peering. Cela empêche l’augmentation de la complexité de votre réseau et réduit la charge liée à la gestion de plusieurs passerelles et d’autres appliances.
Configuration de connexions
L’appairage de réseaux virtuels et les passerelles VPN prennent en charge les types de connexions suivants :
- Les réseaux virtuels dans des régions différentes.
- Réseaux virtuels dans différents locataires Microsoft Entra.
- Les réseaux virtuels de différents abonnements Azure.
- Les réseaux virtuels qui utilisent une combinaison de modèles de déploiement Azure (Resource Manager et classique).
Pour plus d’informations, consultez les articles suivants :
- Créer un peering de réseaux virtuels - Resource Manager - Abonnements différents
- Créer un peering de réseaux virtuels Azure - Modèles de déploiement différents, même abonnement
- Configurer une connexion de passerelle VPN de réseau virtuel à réseau virtuel à l’aide du portail Azure
- Connecter des réseaux virtuels utilisant des modèles de déploiement différents dans le portail
- FAQ sur la passerelle VPN
Comparaison de l’appairage de réseaux virtuels et de la passerelle VPN
| Élément | Peering de réseau virtuel | Passerelle VPN |
|---|---|---|
| limites | Jusqu’à 500 appairages de réseaux virtuels par réseau virtuel (voir Limites de mise en réseau). | Une passerelle VPN par réseau virtuel. Le nombre maximal de tunnels par passerelle dépend de la référence SKU de la passerelle. |
| Modèle de tarification | Entrée/sortie | Toutes les heures + sortie |
| Chiffrement | Le chiffrement au niveau du logiciel est recommandé. | Une stratégie IPsec/IKE personnalisée peut être appliquée à des connexions nouvelles ou existantes. Voir À propos des exigences de chiffrement et des passerelles VPN Azure. |
| Limitations de la bande passante | Aucune limitation de bande passante. | Varie en fonction de la référence SKU. Voir Références SKU de passerelle par tunnel, connexion et débit. |
| Privé ? | Oui. Acheminé via le segment principal Microsoft et privé. Aucun Internet public impliqué. | IP publique impliquée, mais routée sur le réseau principal Microsoft si le réseau mondial Microsoft est activé. |
| Relation transitive | Les connexions de Peering sont non transitives. La mise en réseau transitive peut être obtenue à l’aide d’appliances virtuelles réseau ou de passerelles dans le réseau virtuel Hub. Pour un exemple, voir Topologie de réseau hub-and-spoke. | Si les réseaux virtuels sont connectés via des passerelles VPN et que le protocole BGP est activé dans les connexions de réseau virtuel, la transitivité fonctionne. |
| Temps d’installation initial | Rapide | Environ 30 minutes |
| Scénarios classiques | La réplication de données, le basculement de base de données et d’autres scénarios nécessitant des sauvegardes fréquentes de données volumineuses. | Les scénarios spécifiques au chiffrement qui ne sont pas sensibles à la latence et qui n’ont pas besoin d’un débit élevé. |
Contributeurs
Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.
Auteur principal :
- Anavi Nahar | Responsable PDM principal