Connecter Azure Stack Hub à Azure à l’aide d’un VPN

  • Article

Cet article explique comment créer un VPN de site à site pour connecter un réseau virtuel dans Azure Stack Hub à un réseau virtuel dans Azure.

Avant de commencer

Avant de commencer la configuration de la connexion, vérifiez que vous disposez des éléments suivants :

  • Un déploiement de systèmes intégrés Azure Stack Hub (plusieurs nœuds) directement connecté à Internet. Votre plage d’adresses IP publiques externe doit être directement accessible à partir de l’Internet public.
  • Un abonnement Azure valide. Si vous n’avez pas d’abonnement Azure, vous pouvez créer un compte Azure gratuit ici.

Diagramme de connexions VPN

La figure ci-après illustre à quoi la configuration d’une connexion devra ressembler lorsque vous aurez terminé :

Configuration d’une connexion VPN de site à site

Exemples de valeurs de configuration réseau

Le tableau d’exemples de configuration réseau montre les valeurs utilisées pour les exemples de cet article. Pour mieux comprendre cet article, vous pouvez utiliser les valeurs suivantes ou vous y référer :

Valeur Azure Stack Hub Azure
Nom du réseau virtuel Azs-VNet AzureVNet
Espace d’adressage du réseau virtuel 10.1.0.0/16 10.100.0.0/16
Nom du sous-réseau FrontEnd FrontEnd
Plage d’adresses de sous-réseau 10.1.0.0/24 10.100.0.0/24
Sous-réseau de passerelle 10.1.1.0/24 10.100.1.0/24

Créer les ressources réseau dans Azure

Tout d’abord, créez les ressources réseau pour Azure. Les instructions ci-après vous indiquent comment créer les ressources à partir du portail Azure.

Créer le réseau virtuel et le sous-réseau de machine virtuelle

  1. Connectez-vous au portail Azure avec votre compte Azure.
  2. Dans le portail utilisateur, sélectionnez + Créer une ressource.
  3. Accédez à la Place de marché, puis sélectionnez Mise en réseau.
  4. Sélectionnez Réseau virtuel.
  5. À l’aide des informations données dans la table de configuration réseau, renseignez les champs Nom, Espace d’adressage, Nom de sous-réseau et Plage d’adresses de sous-réseau de manière appropriée pour Azure.
  6. Pour le champ Groupe de ressources, créez un groupe de ressources ou, si vous en avez déjà un, sélectionnez Utiliser l’existant.
  7. Sélectionnez l’emplacement de votre réseau virtuel. Si vous utilisez les exemples de valeurs, sélectionnez USA Est ou utilisez un autre emplacement.
  8. Sélectionnez Épingler au tableau de bord.
  9. Sélectionnez Create (Créer).

Créer le sous-réseau de passerelle

  1. Ouvrez la ressource de réseau virtuel que vous avez créée (AzureVNet) à partir du tableau de bord.

  2. Dans la section Paramètres, sélectionnez Sous-réseaux.

  3. Sélectionnez Sous-réseau de passerelle pour ajouter un sous-réseau de passerelle au réseau virtuel.

  4. Par défaut, le nom du sous-réseau est défini sur GatewaySubnet.

    Important

    Les sous-réseaux de passerelle sont des éléments spéciaux et doivent porter ce nom pour fonctionner correctement.

  5. Dans le champ Plage d’adresses, vérifiez que l’adresse est 10.100.1.0/24.

  6. Sélectionnez OK pour créer le sous-réseau de passerelle.

Créer la passerelle de réseau virtuel

  1. Dans le Portail Azure, sélectionnez + Créer une ressource.
  2. Accédez à la Place de marché, puis sélectionnez Mise en réseau.
  3. Dans la liste des ressources réseau, sélectionnez Passerelle de réseau virtuel.
  4. Dans le champ Nom, tapez Azure-GW.
  5. Pour choisir un réseau virtuel, sélectionnez Réseau virtuel. Sélectionnez ensuite AzureVnet dans la liste.
  6. Sélectionnez Adresse IP publique. Quand la section Choisir une adresse IP publique s’affiche, sélectionnez Créer.
  7. Dans le champ Nom, tapez Azure-GW-PiP, puis sélectionnez OK.
  8. Vérifiez que l’abonnement et l’emplacement sont corrects. Vous pouvez épingler la ressource au tableau de bord. Sélectionnez Create (Créer).

Créer la ressource de passerelle de réseau local

  1. Dans le Portail Azure, sélectionnez + Créer une ressource.

  2. Accédez à la Place de marché, puis sélectionnez Mise en réseau.

  3. Dans la liste des ressources, sélectionnez Passerelle de réseau local.

  4. Dans le champ Nom, tapez Azs-GW.

  5. Dans le champ Adresse IP, tapez l’adresse IP publique de votre passerelle de réseau virtuel Azure Stack Hub, indiquée précédemment dans le tableau de configuration réseau.

  6. Dans le champ Espace d’adressage, à partir d’Azure Stack Hub, entrez l’espace d’adressage 10.1.0.0/24 et 10.1.1.0/24 pour AzureVNet.

  7. Vérifiez l’exactitude des valeurs des champs Abonnement, Groupe de ressources et Emplacement, puis sélectionnez Créer.

Créer la connexion

  1. Dans le portail utilisateur, sélectionnez + Créer une ressource.

  2. Accédez à la Place de marché, puis sélectionnez Mise en réseau.

  3. Dans la liste des ressources, sélectionnez Connexion.

  4. Dans la section de paramètres De base, pour le champ Type de connexion, choisissez Site à site (IPSec) .

  5. Renseignez les champs Abonnement, Groupe de ressources et Emplacement, puis sélectionnez OK.

  6. Dans la section Paramètres, sélectionnez Passerelle de réseau virtuel, puis Azure-GW.

  7. Sélectionnez Passerelle de réseau local, puis Azs-GW.

  8. Dans le champ Nom de la connexion, saisissez Azure-Azs.

  9. Dans le champ Clé partagée (PSK) , saisissez 12345, puis sélectionnez OK.

    Remarque

    Si vous utilisez une autre valeur pour la clé partagée, n’oubliez pas qu’elle doit correspondre à la valeur de la clé partagée que vous créez à l’autre extrémité de la connexion.

  10. Dans la section Résumé, vérifiez les paramètres, puis sélectionnez OK.

Créer une stratégie IPsec personnalisée

Une stratégie IPSec personnalisée est nécessaire pour mettre en correspondance Azure et Azure Stack Hub.

  1. Créez une stratégie personnalisée :

    $IPSecPolicy = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup ECP384  `
-IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256 -PfsGroup ECP384 -SALifeTimeSeconds 27000 `
-SADataSizeKilobytes 102400000

  2. Appliquez la stratégie à la connexion :

    $Connection = Get-AzVirtualNetworkGatewayConnection -Name myTunnel -ResourceGroupName myRG
Set-AzVirtualNetworkGatewayConnection -IpsecPolicies $IPSecPolicy -VirtualNetworkGatewayConnection $Connection

Créer une machine virtuelle

À présent, créez une machine virtuelle dans Azure, puis ajoutez-la au sous-réseau de machine virtuelle dans votre réseau virtuel.

  1. Dans le Portail Azure, sélectionnez + Créer une ressource.

  2. Accédez à la Place de marché, puis sélectionnez Compute.

  3. Dans la liste des images de machine virtuelle, sélectionnez l’image Windows Server 2016 Datacenter Eval.

  4. Dans la section De base, sous Nom, saisissez AzureVM.

  5. Entrez un nom d’utilisateur et un mot de passe valides. Vous utiliserez ce compte plus tard pour vous connecter à la machine virtuelle que vous créez actuellement.

  6. Renseignez les champs Abonnement, Groupe de ressources et Emplacement, puis sélectionnez OK.

  7. Dans la section Taille, sélectionnez une taille de machine virtuelle pour cette instance, puis choisissez Sélectionner.

  8. Dans la section Paramètres, vous pouvez utiliser les paramètres par défaut. Avant de sélectionner OK, vérifiez que :

    • Le réseau virtuel AzureVnet est sélectionné.
    • Le sous-réseau est défini sur 10.100.0.0/24.

    Sélectionnez OK.

  9. Dans la section Résumé, vérifiez les paramètres, puis sélectionnez OK.

Créer les ressources réseau dans Azure Stack Hub

Ensuite, créez les ressources réseau dans Azure Stack Hub.

Connectez-vous en tant qu’utilisateur

Un administrateur de service peut se connecter en tant qu’utilisateur pour tester les plans, les offres et les abonnements mis à la disposition des utilisateurs. Si vous ne l’avez pas encore fait, créez un compte d’utilisateur avant de vous connecter.

Créer le réseau virtuel et un sous-réseau de machine virtuelle

  1. Utilisez un compte d’utilisateur pour vous connecter au portail utilisateur.

  2. Dans le portail utilisateur, sélectionnez + Créer une ressource.

    Créer un réseau virtuel

  3. Accédez à la Place de marché, puis sélectionnez Mise en réseau.

  4. Sélectionnez Réseau virtuel.

  5. Renseignez les champs Nom, Espace d’adressage, Nom de sous-réseau et Plage d’adresses de sous-réseau avec les valeurs qui figurent dans la table de configuration réseau.

  6. Le champ Abonnement affiche l’abonnement que vous avez créé précédemment.

  7. Pour le champ Groupe de ressources, créez un groupe de ressources ou, si vous en avez déjà un, sélectionnez Utiliser l’existant.

  8. Vérifiez l’emplacement par défaut.

  9. Sélectionnez Épingler au tableau de bord.

  10. Sélectionnez Create (Créer).

Créer le sous-réseau de passerelle

  1. Dans le tableau de bord, ouvrez la ressource de réseau virtuel Azs-VNet que vous avez créée.

  2. Dans la section Paramètres, sélectionnez Sous-réseaux.

  3. Pour ajouter un sous-réseau de passerelle au réseau virtuel, sélectionnez Sous-réseau de passerelle.

    Ajouter un sous-réseau de passerelle

  4. Par défaut, le nom du sous-réseau est GatewaySubnet. Pour que les sous-réseaux de passerelle fonctionnent correctement, ils doivent utiliser le nom GatewaySubnet.

  5. Dans Plage d’adresses, vérifiez que l’adresse est 10.1.1.0/24.

  6. Sélectionnez OK pour créer le sous-réseau de passerelle.

Créer la passerelle de réseau virtuel

  1. Dans le portail Azure Stack Hub, sélectionnez + Créer une ressource.

  2. Accédez à la Place de marché, puis sélectionnez Mise en réseau.

  3. Dans la liste des ressources réseau, sélectionnez Passerelle de réseau virtuel.

  4. Dans le champ Nom, saisissez Azs-GW.

  5. Sélectionnez l’élément Réseau virtuel pour choisir un réseau virtuel. Sélectionnez Azs-VNet dans la liste.

  6. Sélectionnez l’élément de menu Adresse IP publique. Quand la section Choisir une adresse IP publique s’affiche, sélectionnez Créer.

  7. Dans le champ Nom, saisissez Azs-GW-PiP, puis sélectionnez OK.

  8. L’élément Basé sur itinéraires est sélectionné par défaut dans le champ Type de VPN. Conservez le type de VPN Basé sur itinéraires.

  9. Vérifiez que l’abonnement et l’emplacement sont corrects. Vous pouvez épingler la ressource au tableau de bord. Sélectionnez Create (Créer).

Créer la passerelle de réseau local

Dans Azure Stack Hub, le concept de passerelle de réseau local diffère de celui dans un déploiement Azure.

En effet, dans un déploiement Azure, une passerelle de réseau local représente un appareil physique local (à l’emplacement de l’utilisateur) que vous vous connectez à une passerelle de réseau virtuel dans Azure. Cependant, dans Azure Stack Hub, les deux extrémités de la connexion sont des passerelles de réseau virtuel.

De façon plus générale, la ressource de passerelle de réseau local représente toujours la passerelle distante située à l’autre extrémité de la connexion.

Créer la ressource de passerelle de réseau local

  1. Connectez-vous au portail Azure Stack Hub.

  2. Dans le portail utilisateur, sélectionnez + Créer une ressource.

  3. Accédez à la Place de marché, puis sélectionnez Mise en réseau.

  4. Dans la liste des ressources, sélectionnez Passerelle de réseau local.

  5. Dans le champ Nom, tapez Azure-GW.

  6. Dans le champ Adresse IP, tapez l’adresse IP publique de la passerelle de réseau virtuel dans Azure Azure-GW-PiP. Cette adresse figure dans la table de configuration réseau, plus haut dans cet article.

  7. Dans le champ Espace d’adressage, tapez 10.100.0.0/24 et 10.100.1.0/24 comme espace d’adressage du réseau virtuel Azure que vous venez de créer.

  8. Vérifiez l’exactitude des valeurs des champs Abonnement, Groupe de ressources et Emplacement, puis sélectionnez Créer.

Créer la connexion

  1. Dans le portail utilisateur, sélectionnez + Créer une ressource.

  2. Accédez à la Place de marché, puis sélectionnez Mise en réseau.

  3. Dans la liste des ressources, sélectionnez Connexion.

  4. Dans la section des paramètres De base, pour le champ Type de connexion, sélectionnez Site à site (IPSec) .

  5. Renseignez les champs Abonnement, Groupe de ressources et Emplacement, puis sélectionnez OK.

  6. Dans la section Paramètres, sélectionnez Passerelle de réseau virtuel, puis Azs-GW.

  7. Sélectionnez Passerelle de réseau local, puis Azure-GW.

  8. Dans le champ Nom de la connexion, entrez Azs-Azure.

  9. Sous Clé partagée (PSK) , entrez 12345, puis sélectionnez OK.

  10. Dans la section Résumé, sélectionnez OK.

Créer une machine virtuelle

Pour vérifier la connexion VPN, créez deux machines virtuelles, une dans Azure et l’autre dans Azure Stack Hub. Après avoir créé ces machines virtuelles, vous pouvez les utiliser pour envoyer et recevoir des données via le tunnel VPN.

  1. Dans le Portail Azure, sélectionnez + Créer une ressource.

  2. Accédez à la Place de marché, puis sélectionnez Compute.

  3. Dans la liste des images de machine virtuelle, sélectionnez l’image Windows Server 2016 Datacenter Eval.

  4. Dans la section De base, sous Nom, saisissez Azs-VM.

  5. Entrez un nom d’utilisateur et un mot de passe valides. Vous utiliserez ce compte plus tard pour vous connecter à la machine virtuelle que vous créez actuellement.

  6. Renseignez les champs Abonnement, Groupe de ressources et Emplacement, puis sélectionnez OK.

  7. Dans la section Taille, sélectionnez une taille de machine virtuelle pour cette instance, puis choisissez Sélectionner.

  8. Dans la section Paramètres, acceptez les valeurs par défaut. Assurez-vous que le réseau virtuel Azs-VNet est sélectionné. Vérifiez que le sous-réseau est défini sur 10.1.0.0/24. Sélectionnez ensuite OK.

  9. Dans la section Résumé, vérifiez les paramètres, puis sélectionnez OK.

Tester la connexion

Maintenant que la connexion de site à site est établie, vous devez vérifier que les données transitent dans les deux directions. Le moyen le plus simple de tester la connexion est d’effectuer un test ping :

  • Connectez-vous à la machine virtuelle que vous avez créée dans Azure Stack Hub et effectuez un test ping sur la machine virtuelle dans Azure.
  • Connectez-vous à la machine virtuelle que vous avez créée dans Azure et effectuez un test ping sur la machine virtuelle dans Azure Stack Hub.

Remarque

Pour vérifier que le trafic envoyé passe par la connexion de site à site, effectuez le test ping sur l’adresse IP directe (DIP) de la machine virtuelle du sous-réseau distant, et non sur l’adresse IP virtuelle.

Se connecter à la machine virtuelle utilisateur dans Azure Stack Hub

  1. Connectez-vous au portail Azure Stack Hub.

  2. Sélectionnez Machines virtuelles dans la barre de navigation de gauche.

  3. Dans la liste des machines virtuelles, recherchez la machine virtuelle AZs-VM que vous avez créée précédemment et sélectionnez-la.

  4. Dans la section de la machine virtuelle, sélectionnez Se connecter, puis ouvrez le fichier Azs-VM.rdp.

    Bouton Se connecter

  5. Connectez-vous avec le compte que vous avez configuré pendant la création de la machine virtuelle.

  6. Ouvrez une invite Windows PowerShell avec des privilèges élevés.

  7. Entrez ipconfig/all.

  8. Dans la sortie, recherchez la valeur Adresse IPv4, puis enregistrez l’adresse pour l’utiliser plus tard. Il s’agit de l’adresse sur laquelle vous allez effectuer un test Ping à partir d’Azure. Dans l’exemple d’environnement, l’adresse est 10.1.0.4, mais peut être différente dans votre environnement. Elle doit faire partie du sous-réseau 10.1.0.0/24 que vous avez créé précédemment.

  9. Pour créer une règle de pare-feu qui autorise la machine virtuelle à répondre aux tests ping, exécutez la commande PowerShell suivante :

    New-NetFirewallRule `
 -DisplayName "Allow ICMPv4-In" `
 -Protocol ICMPv4

Se connecter à la machine virtuelle locataire dans Azure

  1. Connectez-vous au portail Azure.

  2. Sélectionnez Machines virtuelles dans la barre de navigation de gauche.

  3. Dans la liste des machines virtuelles, recherchez la machine virtuelle Azure-VM que vous avez créée précédemment et sélectionnez-la.

  4. Dans la section de la machine virtuelle, sélectionnez Se connecter.

  5. Connectez-vous avec le compte que vous avez configuré pendant la création de la machine virtuelle.

  6. Ouvrez une fenêtre Windows PowerShell avec des privilèges élevés.

  7. Entrez ipconfig/all.

  8. Vous devez normalement voir une adresse IPv4 qui fait partie du sous-réseau 10.100.0.0/24. Dans l’exemple d’environnement, l’adresse est 10.100.0.4, mais votre adresse peut être différente.

  9. Pour créer une règle de pare-feu qui autorise la machine virtuelle à répondre aux tests ping, exécutez la commande PowerShell suivante :

    New-NetFirewallRule `
 -DisplayName "Allow ICMPv4-In" `
 -Protocol ICMPv4

  10. À partir de la machine virtuelle dans Azure, effectuez un test ping de la machine virtuelle dans Azure Stack Hub, par le biais du tunnel. Pour cela, effectuez un test Ping sur l’adresse IP directe (DIP) que vous avez enregistrée à partir d’Azs-VM. Dans l’exemple d’environnement, l’adresse est 10.1.0.4, mais vous devez effectuer le test ping sur l’adresse que vous avez notée dans votre lab. Vous devez obtenir un résultat semblable à celui présenté dans la capture d’écran suivante :

    Test ping réussi

  11. Une réponse de la machine virtuelle distante indique que le test a réussi. Vous pouvez fermer la fenêtre de la machine virtuelle.

Vous devez également effectuer un test plus rigoureux de transfert de données, par exemple en copiant des fichiers de tailles différentes dans les deux sens.

Affichage des statistiques de transfert de données via la connexion de passerelle

Si vous souhaitez connaître la quantité de données qui transite par votre connexion de site à site, consultez cette information dans la section Connexion. Ce test est également un autre moyen de vérifier que la commande ping que vous venez d’envoyer est bien passée par la connexion VPN.

  1. Une fois connecté à la machine virtuelle utilisateur dans Azure Stack Hub, utilisez votre compte d’utilisateur pour vous connecter au portail utilisateur.

  2. Accédez à Toutes les ressources, puis sélectionnez la connexion Azs-Azure. Le panneau Connexion s’affiche.

  3. La section Connexion affiche les statistiques pour Données entrantes et Données sortantes. Dans la capture d’écran suivante, les valeurs élevées sont dues au transfert de fichiers supplémentaires. Normalement, vous ne devez pas voir de valeurs nulles ici.

    Données entrantes et sortantes

Étapes suivantes