Définir une topologie de réseau Azure

  • Article

Une topologie de réseau est un élément critique de l’architecture d’une zone d’atterrissage, car elle définit la manière dont les applications peuvent communiquer entre elles. Cette section explore les technologies et approches de topologie pour les déploiements Azure. Elle se concentre sur deux approches fondamentales : les topologies basées sur Azure Virtual WAN et les topologies traditionnelles.

Le service Virtual WAN permet de répondre aux exigences d’interconnexion à grande échelle. Étant donné qu’il s’agit d’un service géré par Microsoft, il réduit également la complexité globale du réseau et permet de moderniser le réseau de votre organisation. Une topologie Virtual WAN peut s’avérer plus appropriée si l’une des exigences suivantes s’applique à votre organisation :

  • Votre organisation envisage de déployer des ressources dans plusieurs régions Azure et a besoin d’une connectivité globale entre les réseaux virtuels de ces régions Azure et de plusieurs emplacements locaux.
  • Votre organisation envisage d’intégrer un réseau de branches à grande échelle directement dans Azure via le déploiement d’un réseau étendu à définition logicielle (SD-WAN), ou a besoin d’une terminaison IPSec native de plus de 30 sites de branches.
  • Vous avez besoin d’un routage transitif entre un réseau privé virtuel (VPN) et Azure ExpressRoute. Par exemple, des branches distantes connectées par un VPN site à site ou des utilisateurs distants connectés par un VPN point à site ont besoin d’une connectivité à un contrôleur de domaine connecté à ExpressRoute par Azure.

Une topologie de réseau hub-and-spoke traditionnelle vous aide à générer des réseaux personnalisés, à la sécurité améliorée et à grande échelle dans Azure. Avec cette topologie, vous gérez le routage et la sécurité. Une topologie traditionnelle peut s’avérer plus appropriée si l’une des exigences suivantes s’applique à votre organisation :

  • Votre organisation envisage de déployer des ressources dans une ou plusieurs régions Azure, et même si un certain trafic est attendu entre les régions Azure (par exemple, trafic entre deux réseaux virtuels de deux régions Azure différentes), un réseau de maillage complet intégrant toutes les régions Azure n’est pas nécessaire.
  • Vous avez un petit nombre d’emplacements distants ou de branche par région. Autrement dit, vous avez besoin de moins de 30 tunnels site à site IPSec.
  • Vous avez besoin d’un contrôle et d’une granularité complets pour configurer manuellement votre stratégie de routage réseau Azure.

Topologie de réseau Virtual WAN (gérée par Microsoft)

Diagram that illustrates a Virtual WAN network topology.

Topologie de mise en réseau Azure classique

Diagram that illustrates a traditional Azure network topology.

Azure Virtual Network Manager dans les zones d’atterrissage Azure

L’architecture conceptuelle des zones d’atterrissage Azure recommande l’une des deux topologies de mise en réseau suivantes : une topologie de réseau basée sur Virtual WAN ou une topologie de réseau basée sur une architecture hub-and-spoke traditionnelle. Au fur et à mesure que vos exigences commerciales évoluent (par exemple, une migration des applications locales vers Azure nécessitant une connectivité hybride), vous pouvez utiliser Virtual Network Manager pour étendre et implémenter des modifications de mise en réseau. Dans de nombreux cas, vous pouvez le faire sans perturber ce qui est déjà déployé dans Azure.

Vous pouvez utiliser Virtual Network Manager pour créer trois types de topologies entre abonnements, pour des réseaux virtuels existants et nouveaux :

  • Topologie hub-and-spoke
  • Topologie hub-and-spoke avec connectivité directe entre spokes
  • Topologie de maillage (en préversion)

Diagram that shows Azure virtual network topologies.

Remarque

Virtual Network Manager ne prend pas en charge les hubs Virtual WAN dans le cadre d’un groupe de réseaux ou en tant que hub d’une topologie. Pour plus d'informations, reportez-vous à la FAQ Azure Virtual Network Manager.

Lorsque vous créez une topologie hub-and-spoke ayant une connectivité directe à Virtual Network Manager dans laquelle les spokes sont connectés directement entre eux, une connectivité directe entre les réseaux virtuels spoke du même groupe de réseaux est automatiquement activée de manière bidirectionnelle via la fonctionnalité Groupe connecté.

Vous pouvez utiliser Virtual Network Manager pour ajouter de manière statique ou dynamique des réseaux virtuels à des groupes de réseaux spécifiques. Cela définit et crée la topologie souhaitée, en fonction de la configuration de votre connectivité dans Virtual Network Manager.

Vous pouvez créer plusieurs groupes de réseaux pour isoler des groupes de réseaux virtuels d’une connectivité directe. Chaque groupe de réseaux fournit la même prise en charge régionale et multirégionale pour la connectivité spoke-to-spoke. Veillez à rester dans les limites définies pour Virtual Network Manager décrites dans FAQ sur Azure Virtual Network Manager.

Du point de vue de la sécurité, Virtual Network Manager est un moyen efficace d’appliquer des règles d’administration de sécurité pour refuser ou autoriser les flux de trafic de manière centralisée, indépendamment de ce qui est défini dans les groupes de sécurité réseau. Cette capacité permet aux administrateurs de la sécurité réseau d’appliquer des contrôles d’accès et aux propriétaires d’applications de gérer leurs propres règles de niveau inférieur dans des groupes de sécurité réseau.

Vous pouvez utiliser Virtual Network Manager pour regrouper des réseaux virtuels. Vous pouvez ensuite appliquer des configurations aux groupes plutôt qu’à des réseaux virtuels individuels. Cette fonctionnalité permet une gestion plus efficace de la connectivité, de la configuration et de la topologie, des règles de sécurité et du déploiement sur une ou plusieurs régions simultanément sans perdre le contrôle affiné.

Vous pouvez segmenter les réseaux par environnements, équipes, emplacements, métiers ou une autre fonction qui répond à vos besoins. Vous pouvez définir des groupes de réseaux de manière statique ou dynamique en créant un ensemble de conditions qui régit l’appartenance au groupe.

Vous pouvez utiliser Virtual Network Manager pour implémenter les principes de conception de la zone d'atterrissage Azure afin d’adapter la migration, la modernisation et l’innovation des applications à grande échelle.

Considérations sur la conception

  • Dans un déploiement hub-and-spoke traditionnel, les connexions d’appairage de réseaux virtuels sont créées et maintenues manuellement. Virtual Network Manager introduit une couche d’automatisation sur l’appairage de réseaux virtuels, ce qui rend des topologies de réseau volumineuses et complexes telles que le maillage plus faciles à gérer à grande échelle. Pour plus d’informations, consultez Vue d’ensemble du groupe de réseaux.
  • Les exigences en matière de sécurité des nombreuses fonctions commerciales déterminent la nécessité de créer des groupes de réseaux. Un groupe de réseaux est un ensemble de réseaux virtuels sélectionnés manuellement ou par le biais d’instructions conditionnelles comme décrit précédemment dans ce document. Lorsque vous créez un groupe de réseaux, vous devez spécifier une stratégie, ou Virtual Network Manager peut créer une stratégie si vous l’autorisez explicitement à le faire. Cette stratégie permet à Virtual Network Manager d’être informé des modifications. Pour mettre à jour les initiatives de stratégie Azure existantes, vous devez déployer des modifications dans le groupe de réseaux au sein de la ressource Virtual Network Manager.
  • Pour concevoir des groupes de réseaux appropriés, vous devez déterminez quelles parties de votre réseau partagent des caractéristiques de sécurité communes. Par exemple, vous pouvez créer des groupes de réseaux pour Corporate et Online afin de gérer leurs règles de connectivité et de sécurité à grande échelle.
  • Lorsque plusieurs réseaux virtuels dans les abonnements de votre organisation partagent les mêmes attributs de sécurité, vous pouvez utiliser Virtual Network Manager pour les appliquer efficacement. Vous devez, par exemple, placer les systèmes utilisés par unité commerciale comme les RH ou Finance dans des groupes de réseaux distincts, car vous devez leur appliquer différentes règles d’administration.
  • Virtual Network Manager peut appliquer de manière centralisée des règles d’administration de sécurité dont la priorité est plus élevée que les règles du groupe de sécurité réseau appliquées au niveau du sous-réseau. (Cette fonctionnalité est en préversion). Cette fonctionnalité permet aux équipes réseau et de sécurité d’appliquer efficacement les stratégies de l’entreprise et de créer des garde-fous à grande échelle, et permet aux équipes produits de maintenir simultanément le contrôle des groupes de sécurité réseau au sein de leurs abonnements de zone d’atterrissage.
  • Vous pouvez utiliser la fonctionnalité des règles d’administration de sécurité de Virtual Network Manager pour autoriser ou refuser explicitement des flux réseau spécifiques, quelles que soient les configurations du groupe de sécurité réseau au niveau du sous-réseau ou de l’interface réseau. Vous pouvez utiliser cette capacité, par exemple, pour permettre aux flux réseau des services de gestion d’être toujours autorisés. Les groupes de sécurité réseau contrôlés par les équipes d’application ne peuvent pas remplacer ces règles.
  • Un réseau virtuel peut faire partie d’un maximum de deux groupes connectés.

Recommandations de conception

  • Définissez l’étendue de Virtual Network Manager. Appliquez des règles d’administration de sécurité qui mettent en œuvre des règles de niveau organisation au groupe d’administration racine (le locataire). Ce qui, exécuté de manière hiérarchique, applique automatiquement les règles aux ressources existantes et nouvelles, ainsi qu’aux groupes d’administration associés.
  • Créez une instance Virtual Network Manager dans l’abonnement de connectivité avec une étendue du groupe d’administration racine intermédiaire (par exemple, Contoso). Activez la fonctionnalité d’administration de sécurité sur cette instance. Cette configuration vous permet de définir des règles d’administration de sécurité qui s’appliquent aux réseaux virtuels et sous-réseaux de votre hiérarchie de zone d’atterrissage Azure et vous aide à démocratiser les groupes de sécurité réseau auprès des propriétaires et équipes de zone d’atterrissage d’application.
  • Segmentez les réseaux en groupant des réseaux virtuels de manière statique (manuelle) ou dynamique (basée sur une stratégie).
  • Activez la connectivité directe entre les spokes lorsque les spokes sélectionnés doivent non seulement communiquer entre eux fréquemment, avec une faible latence et un débit élevé, mais aussi accéder à des services courants ou des appliances virtuelles réseau dans le hub.
  • Activez le maillage global lorsque les réseaux virtuels de différentes régions doivent communiquer entre eux.
  • Attribuez une valeur de priorité à chaque règle d’administration de sécurité dans les regroupements de règles. Plus la valeur est faible, plus la priorité de la règle est élevée.
  • Utilisez des règles d’administration de sécurité pour autoriser ou refuser explicitement des flux réseau, quelles que soient les configurations du groupe de sécurité réseau qui sont contrôlées par les équipes d’application. Cela vous permet également de déléguer entièrement le contrôle des groupes de sécurité réseau et leurs règles aux équipes d’application.