Partager via

Configurations de connectivité dans Azure Virtual Network Manager

Azure Virtual Network Manager simplifie la gestion de la connectivité et de la sécurité du réseau virtuel dans votre environnement Azure. Les configurations de connectivité, notamment les topologies maillage et hub-and-spoke, vous aident à optimiser les performances et la sécurité du réseau. Cet article traite des fonctionnalités telles que les groupes connectés à grande échelle et la connectivité de maillage global, ainsi que les cas d’utilisation et les étapes de configuration pour chaque topologie.

Configuration de la connectivité

Avec les configurations de connectivité , vous pouvez créer différentes topologies réseau en fonction des besoins de votre réseau. Vous avez deux topologies à choisir : un réseau maillage et un réseau hub-and-spoke. La connectivité entre réseaux virtuels est définie dans les paramètres de configuration.

Topologie du réseau maillé

Un réseau maillé est une topologie dans laquelle tous les réseaux virtuels du groupe réseau sont connectés les uns aux autres. Tous les réseaux virtuels sont connectés et peuvent se passer le trafic entre eux dans les deux sens.

Un cas d’usage courant d’une topologie de maillage réseau consiste à autoriser certains réseaux virtuels spoke dans une topologie hub-and-spoke à communiquer directement entre eux, sans que le trafic transite par le réseau virtuel du hub. Cette approche réduit la latence pouvant autrement résulter du routage du trafic par un routeur dans le hub. En outre, vous pouvez maintenir la sécurité et la supervision des connexions directes entre les réseaux spoke en implémentant des règles des groupes de sécurité réseau ou des règles d’administration de sécurité dans Azure Virtual Network Manager. Le trafic peut également être surveillé et enregistré à l’aide des journaux de flux du réseau virtuel.

Par défaut, le maillage est un maillage régional, c’est pourquoi seuls les réseaux virtuels de la même région peuvent communiquer entre eux. Le maillage global peut être activé pour établir la connectivité des réseaux virtuels dans toutes les régions Azure. Un réseau virtuel peut faire partie d’un maximum de deux groupes connectés. Les espaces d’adressage des réseaux virtuels ne peuvent pas se chevaucher dans une configuration de maillage, contrairement aux appairages de réseaux virtuels. Toutefois, le trafic vers les sous-réseaux qui se chevauchent est supprimé, car le routage n’est pas déterministe.

Capture d’écran d’un diagramme de topologie de réseau de maillage montrant les réseaux virtuels connectés dans un maillage bidirectionnel.

Groupe connecté

Lorsque vous créez une topologie de maillage ou une connectivité directe dans la topologie hub-and-spoke, une construction de connectivité appelée groupe connecté est créée. Les réseaux virtuels d’un groupe connecté peuvent communiquer entre eux, tout comme les réseaux virtuels connectés manuellement. Lorsque vous regardez les routes effectives pour une interface réseau, vous voyez un tronçon suivant de type ConnectedGroup. Le réseau virtuel connecté ensemble dans un groupe connecté n’a pas de configuration d’appairage indiquée sous Appairages.

Remarque

Si vous avez des sous-réseaux en conflit dans deux réseaux virtuels ou plus, les ressources de ces sous-réseaux ne peuvent pas communiquer entre elles, même si elles font partie du même réseau de maillage. Un réseau virtuel peut faire partie d’un maximum de deux configurations de maillage.

Activer des groupes connectés de points de terminaison privés à grande échelle dans Azure Virtual Network Manager

Important

La fonctionnalité de groupe connecté de point de terminaison privé à grande échelle d’Azure Virtual Network Manager est disponible en préversion. Est disponible dans les régions suivantes pendant la préversion :

  • USA Est 2 EUAP
  • EUAP USA Centre
  • USA Centre-Ouest
  • Asie de l’Est
  • Sud du Royaume-Uni
  • USA Est

Cette préversion est fournie sans contrat de niveau de service et n’est pas recommandée pour les charges de travail de production. Certaines fonctionnalités peuvent être limitées ou non prises en charge. Pour plus d’informations, consultez Conditions d’utilisation supplémentaires pour les préversions de Microsoft Azure.

La fonctionnalité de groupe connecté à grande échelle d’Azure Virtual Network Manager vous permet d’étendre votre capacité réseau. Procédez comme suit pour activer cette fonctionnalité pour prendre en charge jusqu’à 20 000 points de terminaison privés sur le groupe connecté :

Préparer chaque réseau virtuel dans le groupe connecté

  1. Passez en revue Augmenter les limites de réseau virtuel de point de terminaison privé pour obtenir des instructions détaillées sur l’augmentation des limites de réseau virtuel de point de terminaison privé. L’activation ou la désactivation de cette fonctionnalité lance une réinitialisation de connexion ponctuelle. Il est recommandé d’effectuer ces modifications pendant une fenêtre de maintenance.

  2. Enregistrez l'indicateur de fonctionnalité de Microsoft.Network/EnableMaxPrivateEndpointsVia64kPath pour chaque abonnement qui contient une instance d'Azure Virtual Network Manager ou un réseau virtuel dans votre groupe de connexion.

    Important

    Cette inscription est essentielle pour déverrouiller la capacité de point de terminaison privé étendue. Pour plus d’informations, consultez la documentation sur l’activation des fonctionnalités en préversion Azure.

  3. Dans chaque réseau virtuel au sein de votre groupe connecté, configurez les stratégies de réseau de point de terminaison privé sur Enabled ou RouteTableEnabled. Ce paramètre garantit que vos réseaux virtuels sont prêts à prendre en charge les fonctionnalités de points de terminaison privés à grande échelle. Pour obtenir des instructions détaillées, consultez Augmenter les limites de réseau virtuel de point de terminaison privé.

Configurer la connectivité de maillage pour les points de terminaison privés à grande échelle

Dans cette étape, vous configurez les paramètres de connectivité de maillage pour votre groupe connecté afin d’activer des points de terminaison privés à grande échelle. Cette étape implique de sélectionner les options appropriées dans le portail Azure et de vérifier la configuration.

  1. Dans votre configuration de connectivité de maillage, recherchez et cochez la case pour activer les points de terminaison privés à grande échelle. Cette option active la fonctionnalité à grande échelle pour votre groupe connecté.

  2. Vérifiez que chaque réseau virtuel de votre groupe connecté est configuré avec des points de terminaison privés à grande échelle. Le portail Azure valide les paramètres dans l’ensemble du groupe. Si un réseau virtuel sans la configuration à grande échelle est ajouté ultérieurement, il ne peut pas communiquer avec des points de terminaison privés dans d’autres réseaux virtuels.

  3. Après avoir vérifié que tous les réseaux virtuels sont correctement configurés, déployez les paramètres. Cela finalise la configuration de votre groupe connecté à grande échelle.

Topologie hub-and-spoke

Hub-and-spoke est une topologie réseau dans laquelle vous avez un réseau virtuel sélectionné comme réseau virtuel hub. Ce réseau virtuel est appairé de manière bidirectionnelle à chaque réseau virtuel spoke de la configuration. Cette topologie est utile lorsque vous souhaitez isoler un réseau virtuel tout en lui laissant une connectivité aux ressources communes dans le réseau virtuel hub.

Capture d’écran d’un diagramme de topologie hub-and-spoke montrant un réseau virtuel hub connecté à plusieurs réseaux spoke.

Dans cette configuration, vous disposez de paramètres que vous pouvez activer, tels que la connectivité directe entre les réseaux virtuels spoke. Par défaut, cette connectivité concerne uniquement les réseaux virtuels d’une même région. Pour autoriser une connectivité entre différentes régions Azure, vous devez activer le maillage global. Vous pouvez également activer le transit par passerelle pour autoriser les réseaux virtuels spoke à utiliser la passerelle VPN ou ExpressRoute déployée dans le hub.

Si cette vérification est activée, les peerings qui ne correspondent pas au contenu de cette configuration peuvent être supprimés, même si ces peerings ont été créés manuellement après le déploiement de cette configuration. Si vous supprimez un réseau virtuel d’un groupe réseau utilisé dans la configuration, votre gestionnaire virtuel supprime uniquement les peerings qu’il a créés.

Activer la connectivité directe

L’activation de la connectivité directe crée une superposition d’un groupe connecté sur votre topologie hub-and-spoke, qui contient des réseaux virtuels spoke d’un groupe donné. La connectivité directe permet à un réseau virtuel spoke de communiquer directement avec d'autres VNets de son groupe, mais pas avec ceux des autres spokes.

Par exemple, vous créez deux groupes réseau. Vous activez la connectivité directe pour le groupe réseau Production, mais pas pour le groupe réseau Test. Cette configuration permet uniquement aux réseaux virtuels du groupe réseau Production de communiquer les uns avec les autres, mais pas à ceux du groupe réseau Test.

Capture d’écran d’une topologie hub-and-spoke avec deux groupes réseau.

Quand vous regardez les routes effectives sur une machine virtuelle, la route entre le hub et les réseaux virtuels spoke aura un tronçon suivant de type VNetPeering ou GlobalVNetPeering. Les routes entre les réseaux virtuels spoke apparaissent avec le type de tronçon suivant ConnectedGroup. Avec l’exemple Production/Test , seul le groupe réseau de production aurait un ConnectedGroup , car la connectivité directe est activée.

Découvrir la topologie de groupe réseau avec vue Topologie

Pour vous aider à comprendre la topologie de votre groupe réseau, Azure Virtual Network Manager fournit une Vue de la topologie qui montre la connectivité entre les groupes réseau et leurs réseaux virtuels membres. Vous pouvez afficher la topologie de votre groupe réseau lors de la création de votre configuration de connectivité en procédant comme suit :

  1. Accédez à la page Configurations et créez une configuration de connectivité.

  2. Sous l’onglet Topologie, sélectionnez votre type de topologie souhaité, ajoutez un ou plusieurs groupes réseau à la topologie et configurez d’autres paramètres de connectivité souhaités.

  3. Sélectionnez l’onglet Aperçu de la topologie pour tester la Vue de la topologie et passer en revue la connectivité actuelle de votre configuration.

  4. Terminez la création de votre configuration de connectivité.

Vous pouvez examiner la topologie actuelle d’un groupe de réseaux en sélectionnant Visualisation sous Paramètres dans la page des détails du groupe de réseaux. La vue montre la connectivité entre les réseaux virtuels membres du groupe de réseaux.

Capture d’écran de la fenêtre de visualisation montrant la topologie du groupe de réseaux.

Cas d’utilisation

L’activation d’une connectivité directe entre les réseaux virtuels spokes peut être utile lorsque vous souhaitez disposer d’une appliance virtuelle réseau (NVA) ou d’un service commun dans le réseau virtuel hub, mais que le hub n’a pas besoin d’être toujours accessible. Vous avez plutôt besoin que vos réseaux virtuels spoke du groupe réseau communiquent entre eux. Par rapport aux réseaux hub-and-spoke classiques, cette topologie améliore les performances en supprimant le tronçon supplémentaire via le réseau virtuel hub.

Maillage global

Comme le maillage, ces groupes spoke connectés peuvent être configurés comme régionaux ou globaux. Le maillage global est nécessaire lorsque vous souhaitez que vos réseaux virtuels spoke communiquent entre eux d’une région à l’autre. Cette connectivité est limitée au réseau virtuel du même groupe réseau. Pour activer la connectivité des réseaux virtuels entre les régions, vous devez activer la connectivité du maillage entre les régions du groupe réseau. Les connexions créées entre les réseaux virtuels spoke se trouvent dans un groupe connecté.

Utiliser le hub comme passerelle

Une autre option que vous pouvez activer dans une configuration hub-and-spoke consiste à utiliser le hub comme passerelle. Ce paramètre permet à tous les réseaux virtuels du groupe réseau d’utiliser la passerelle VPN ou ExpressRoute dans le réseau virtuel hub pour passer le trafic. Consultez Passerelles et connectivité locale.

Lorsque vous déployez une topologie hub-and-spoke à partir du portail Azure, l’option Utiliser le hub comme passerelle est activée par défaut pour les réseaux virtuels spoke du groupe réseau. Azure Virtual Network Manager tente de créer une connexion d’appairage de réseaux virtuels entre le hub et le réseau virtuel spoke dans le groupe de ressources. Si la passerelle n’existe pas dans le réseau virtuel hub, la création de l’appairage à partir du réseau virtuel spoke vers le hub échoue. La connexion d’appairage du hub vers le spoke est quand même créée sans connexion établie.

Étapes suivantes