À propos du réseau à double hébergement avec le Serveur de routes Azure

Dans une architecture Hub-and-spoke classique, les charges de travail d’application sont déployées dans des réseaux virtuels spoke. Ces spokes sont homologués avec un seul réseau virtuel hub, qui contient des ressources réseau partagées telles que des passerelles VPN et ExpressRoute. Dans certains cas, il peut être souhaitable d’appairer les spokes à plusieurs réseaux virtuels hub (par exemple, si plusieurs passerelles VPN ou ExpressRoute sont requises pour une raison quelconque). Serveur de routes Azure active cette architecture afin que les charges de travail d’un réseau virtuel spoke puissent communiquer via l’un des réseaux virtuels hub auquel elle est connectée.

Comment effectuer la configuration

Comme vous pouvez le voir dans le diagramme suivant, vous devez :

• Déployez une appliance virtuelle réseau dans chaque réseau virtuel hub et un serveur de routage dans le réseau virtuel spoke.
• Activer le peering de réseaux virtuels entre les réseaux virtuels hub et spoke.
• Configurer le peering BGP entre le Serveur de routes et chaque appliance virtuelle réseau déployée.

Comment cela fonctionne-t-il ?

Dans le plan de contrôle, l’appliance virtuelle réseau et le Serveur de routes échangent des routes comme s’ils étaient déployés dans le même réseau virtuel. L’appliance virtuelle réseau découvre des informations relatives aux adresses de réseau virtuel spoke à partir du Serveur de routes. Le Serveur de routes découvre les routes à partir de chacune des appliances virtuelles réseau. Le Serveur de routes programme ensuite toutes les machines virtuelles du réseau virtuel spoke avec les routes qu’il a découvertes.

Dans le plan de données, les machines virtuelles du réseau virtuel spoke voient l’appliance virtuelle réseau de sécurité ou l’appliance virtuelle réseau de réseau privé virtuel dans le hub comme tronçon suivant. Le trafic destiné au trafic lié à Internet ou au trafic intersite hybride est désormais routé par le biais des appliances virtuelles réseau dans le réseau virtuel hub. Vous pouvez configurer les deux hubs comme actif/actif ou actif/passif. En cas de défaillance du hub actif, le trafic à destination et en provenance des machines virtuelles bascule vers l’autre hub. Ces défaillances incluent notamment les défaillances d’appliance virtuelle réseau et les échecs de connectivité de service. Cette configuration garantit que votre réseau est configuré pour la haute disponibilité.

Intégration à ExpressRoute

Vous pouvez créer un réseau à double hébergement qui implique deux connexions ExpressRoute, ou plus. En plus des étapes décrites ci-dessus, vous devez :

• Créez un serveur de routage dans chaque réseau virtuel hub doté d’une passerelle ExpressRoute.
• Configurer le peering BGP entre l’appliance virtuelle réseau et le Serveur de routes dans le réseau virtuel hub.
• Activer l’échange de routes entre la passerelle ExpressRoute et le Serveur de routes dans le réseau virtuel hub.
• Vérifiez que l’option « Utiliser la passerelle distante ou utiliser le Serveur de routes distant » est désactivée dans la configuration de peering de réseaux virtuels (VNet) spoke.

Comment cela fonctionne-t-il ?

Dans le plan de contrôle, les appliances virtuelles réseau du réseau virtuel hub découvrent les routes locales de la passerelle ExpressRoute par le biais de l’échange de routes avec le Serveur de routes dans le hub. En retour, l’appliance virtuelle réseau envoie les adresses de réseau virtuel spoke à la passerelle ExpressRoute à l’aide du même Serveur de routes. Le Serveur de routes dans le réseau virtuel spoke et dans le réseau virtuel hub programme alors les adresses réseau locales sur les machines virtuelles de leur réseau virtuel respectif.

Important

BGP empêche une boucle en vérifiant le numéro AS dans le chemin AS. Si le serveur de routes de réception voit son propre numéro AS sous la forme du chemin AS d’un paquet BGP reçu, il supprime le paquet. Dans cet exemple, les deux Serveurs de routes ont le même numéro AS, 65515. Pour éviter que chaque Serveur de routes supprime les routes de l’autre Serveur de routes, l’appliance virtuelle réseau doit appliquer la stratégie BGP as-override lors du peering avec chaque Serveur de routes.

Dans le plan de données, les machines virtuelles du réseau virtuel spoke envoient d’abord tout le trafic destiné au réseau local à l’appliance virtuelle réseau dans le réseau virtuel hub. L’appliance virtuelle réseau transfère ensuite le trafic vers le réseau local par le biais d’ExpressRoute. Le trafic en provenance d’un site local transite par le même chemin de données en sens inverse. Vous remarquerez qu’aucun des Serveurs de routes ne se trouve dans le chemin de données.

Contenu connexe

• Apprenez-en plus sur la prise en charge d’ExpressRoute et de VPN Azure par le Serveur de routes Azure
• Découvrez comment Configurer l’appairage entre le Serveur de routes Azure et une appliance virtuelle réseau