Vue d’ensemble des services de mise en réseau Azure

Les services de mise en réseau dans Azure fournissent plusieurs fonctionnalités de mise en réseau qui peuvent être utilisées ensemble ou séparément. Sélectionnez une des fonctionnalités clés suivantes pour en savoir plus à leur sujet :

• Services de connectivité : connectez les ressources Azure et les ressources locales en utilisant l’un de ces services réseau (ou une combinaison de ceux-ci) dans Azure : Réseau virtuel (VNet), Virtual WAN, ExpressRoute, Passerelle VPN, Passerelle NAT, Azure DNS, Service de Peering, Azure Virtual Network Manager, Serveur de routes et Azure Bastion.
• Services de protection d’application : Protégez vos applications à l’aide de n’importe quelle combinaison de ces services de mise en réseau dans Azure : Load Balancer, Private Link, Protection DDoS, Pare-feu, Groupes de sécurité réseau, Pare-feu d’applications web et Points de terminaison de réseau virtuel.
• Services de distribution d’applications : Fournissez des applications dans le réseau Azure à l’aide d’un ou plusieurs de ces services de mise en réseau dans Azure – Content Delivery Network (CDN), Azure Front Door Service, Traffic Manager, Application Gateway, Internet Analyzer et Load Balancer.
• Surveillance du réseau : Surveillez vos ressources réseau à l’aide d’un ou plusieurs de ces services de mise en réseau dans Azure – Network Watcher, ExpressRoute Monitor, Azure Monitor ou point d’accès terminal de réseau virtuel (TAP).

Services de connectivité

Cette section décrit les services qui fournissent une connectivité entre des ressources Azure, d’un réseau local à des ressources Azure et d’une branche à l’autre dans Azure : Réseau virtuel, ExpressRoute, passerelle VPN, Virtual WAN, Passerelle NAT de réseau virtuel, Azure DNS, Peering Service, Serveur de routes et Azure Bastion.

Réseau virtuel

Réseau virtuel Microsoft Azure (VNet) est le bloc de construction fondamental pour votre réseau privé dans Azure. Vous pouvez utiliser des réseaux virtuels pour :

• Communiquer entre des ressources Azure : vous pouvez déployer des machines virtuelles et plusieurs autres types de ressources Azure sur un réseau virtuel, comme des environnements Azure App Service, Azure Kubernetes Service et des groupes de machines virtuelles identiques Azure. Pour obtenir la liste complète des ressources Azure que vous pouvez déployer sur un réseau virtuel, consultez Intégration des services de réseau virtuel.
• Communiquer mutuellement : vous pouvez connecter des réseaux virtuels entre eux, ce qui permet aux ressources de ces réseaux virtuels de communiquer entre eux à l’aide de l’apparaige de réseaux virtuels ou d’Azure Virtual Network Manager. Les réseaux virtuels que vous connectez peuvent être situés dans des régions Azure identiques ou différentes. Pour plus d’informations, consultez les articles Peering de réseau virtuel et Azure Virtual Network Manager.
• Communiquer vers Internet : Par défaut, toutes les ressources d’un réseau virtuel peuvent communiquer en sortie vers Internet. Vous pouvez effectuer des communications entrantes vers une ressource en lui assignant une adresse IP publique ou un équilibreur de charge publique. Vous pouvez également utiliser des adresses IP publique ou Load Balancer pour gérer vos connexions sortantes.
• Communiquer avec des réseaux locaux : Vous pouvez connecter vos ordinateurs et réseaux locaux à un réseau virtuel à l’aide la passerelle VPN ou d’ExpressRoute.
• Chiffrer le trafic entre les ressources : vous pouvez utiliser le chiffrement du réseau virtuel pour chiffrer le trafic entre les ressources d’un réseau virtuel.

Azure Virtual Network Manager

Azure Virtual Network Manager est un service de gestion qui vous permet de regrouper, de configurer, de déployer et de gérer des réseaux virtuels globalement sur l’ensemble des abonnements. Avec Virtual Network Manager, vous pouvez définir des groupes réseau pour identifier et segmenter de manière logique vos réseaux virtuels. Vous pouvez ensuite déterminer la connectivité et les configurations de sécurité de votre choix, et les appliquer en même temps à tous les réseaux virtuels sélectionnés dans les groupes réseau.

ExpressRoute

ExpressRoute vous permet d’étendre vos réseaux locaux dans le cloud Microsoft via une connexion privée assurée par un fournisseur de connectivité. Cette connexion est privée. Toutefois, le trafic ne transite pas par Internet. Avec ExpressRoute, vous pouvez établir des connexions aux services de cloud computing Microsoft, par exemple Microsoft Azure, Microsoft 365 et Dynamics 365.

Passerelle VPN

La passerelle VPN vous aide à créer des connexions chiffrées intersites vers votre réseau virtuel à partir d’emplacements locaux, ou à créer des connexions chiffrées entre des réseaux virtuels. Il existe différentes configurations disponibles pour les connexions aux passerelles VPN. Voici quelques-unes des fonctionnalités principales :

• Connectivité VPN de site à site
• Connectivité VPN de site à site
• Connectivité VPN de réseau virtuel à réseau virtuel

Le diagramme suivant illustre plusieurs connexions VPN de site à site au même réseau virtuel. Pour afficher d’autres diagrammes de connexion, consultez Passerelle VPN : conception.

WAN virtuel

Azure Virtual WAN est un service de mise en réseau qui combine un grand nombre de fonctionnalités réseau, de sécurité et de routage pour fournir une interface opérationnelle unique. La connectivité aux réseaux virtuels Azure est établie à l’aide de connexions de réseau virtuel. Voici quelques-unes des fonctionnalités principales :

• Connectivité de branche (via l’automatisation de la connectivité à partir d’appareils partenaires Virtual WAN, comme SD-WAN ou CPE VPN)
• Connectivité VPN de site à site
• Connectivité VPN d’un utilisateur distant (de point à site)
• Connectivité privée (ExpressRoute)
• Connectivité intracloud (connectivité transitive pour les réseaux virtuels)
• Interconnectivité ExpressRoute des VPN
• Routage, Pare-feu Azure et chiffrement pour la connectivité privée

Azure DNS

Azure DNS offre un service d’hébergement DNS et de résolution de noms utilisant l’infrastructure Microsoft Azure. Azure DNS se compose de trois services :

• Azure Public DNS est un service d’hébergement pour les domaines DNS. En hébergeant vos domaines dans Azure, vous pouvez gérer vos enregistrements DNS à l’aide des mêmes informations d’identification, les mêmes API, les mêmes outils et la même facturation que vos autres services Azure.
• Azure Private DNSest un service DNS pour vos réseaux virtuels. Azure Private DNS gère et résout les noms de domaine dans le réseau virtuel sans nécessiter la configuration d’une solution DNS personnalisée.
• Azure DNS Private Resolver est un service qui vous permet d’interroger des zones privées Azure DNS depuis un environnement local, et vice versa, sans déployer de serveurs DNS basés sur des machines virtuelles.

Avec Azure DNS, vous pouvez héberger et résoudre des domaines publics, gérer la résolution DNS dans vos réseaux virtuels et activer la résolution de noms entre Azure et vos ressources locales.

Azure Bastion

Azure Bastion est un service que vous pouvez déployer pour pouvoir vous connecter à une machine virtuelle en utilisant votre navigateur et le Portail Azure, ou via le client SSH ou RDP natif déjà installé sur votre ordinateur local. Le service Azure Bastion est un service PaaS complètement managé par plateforme que vous déployez au sein de votre réseau virtuel. Il fournit une connectivité RDP/SSH sécurisée et fluide à vos machines virtuelles, directement à partir du portail Azure via TLS. Quand vous vous connectez via Azure Bastion, vos machines virtuelles n’ont pas besoin d’adresse IP publique, d’agent ou de logiciel client spécial. Il existe plusieurs références SKU différentes/niveaux disponibles pour Azure Bastion. Les fonctionnalités disponibles changent en fonction du niveau sélectionné. Pour plus d’informations, consultez À propos des paramètres de configuration de Bastion.

NAT Gateway

La traduction d’adresses réseau (Network Address Translation/NAT) de réseau virtuel simplifie la connectivité Internet sortante uniquement pour les réseaux virtuels. Quand il est configuré sur un sous-réseau, toute la connectivité sortante utilise vos adresses IP publiques statiques spécifiées. Une connectivité sortante est possible sans équilibreur de charge ni adresses IP publiques directement attachées aux machines virtuelles. Pour plus d’informations, consultez l’article Présentation de la Passerelle NAT Azure.

Serveur de routes

Serveur de routes Azure simplifie le routage dynamique entre votre appliance virtuelle réseau (NVA) et votre réseau virtuel. Le service vous permet d’échanger des informations de routage directement par le biais du protocole de routage BGP (Border Gateway Protocol) entre n’importe quelle appliance virtuelle réseau qui prend en charge ce protocole et le SDN (Software Defined Network) Azure dans le réseau virtuel Azure sans devoir configurer ou gérer de tables de routage manuellement.

Peering Service

Azure Peering Service améliore la connectivité du client aux services cloud de Microsoft tels que Microsoft 365, Dynamics 365, les services software as a service (SaaS), Azure ou les services Microsoft accessibles via le réseau Internet public.

Services de protection des applications

Cette section décrit les services de mise en réseau dans Azure qui vous aident à protéger vos ressources réseau. Protégez vos applications à l’aide de n’importe quelle combinaison de ces services de mise en réseau dans Azure : Protection DDoS, Liaison privée, Pare-feu, Pare-feu d’applications web, Groupes de sécurité réseau et Points de terminaison de service de réseau virtuel.

Protection DDOS

Azure DDoS Protection fournit des mesures contre les menaces DDoS les plus sophistiquées. Le service fournit des fonctionnalités améliorées d’atténuation des attaques DDoS pour votre application et les ressources déployées dans vos réseaux virtuels. Par ailleurs, les clients qui utilisent Azure DDoS Protection ont accès à la prise en charge de la réponse rapide DDoS pour faire appel à des experts DDoS pendant une attaque active.

Azure DDoS Protection comprend deux niveaux :

• La protection réseau DDoS, combinée aux meilleures pratiques de conception d’applications, fournit des fonctions d’atténuation DDoS améliorées pour lutter contre les attaques DDoS. Cette solution s’adapte automatiquement pour protéger vos ressources Azure spécifiques dans un réseau virtuel.
• La protection IP DDoS est un modèle de paiement par adresse IP protégée. Elle présente les mêmes caractéristiques techniques de base que la Protection réseau DDoS, mais se distingue par les services à valeur ajoutée suivants : prise en charge de la réponse rapide DDoS, protection des coûts et tarifs réduits sur WAF.

Azure Private Link

Azure Private Link vous permet d’accéder aux services Azure PaaS (par exemple Stockage Azure et SQL Database) ainsi qu’aux services de partenaires ou de clients hébergés par Azure sur un point de terminaison privé dans votre réseau virtuel. Le trafic entre votre réseau virtuel et le service transite par le réseau principal de Microsoft. L’exposition de votre service à l’Internet public n’est plus nécessaire. Vous pouvez créer votre propre service de liaison privée dans votre réseau virtuel et le distribuer à vos clients.

Pare-feu Azure

Le Pare-feu Azure est un service de sécurité réseau cloud managé qui protège vos ressources de réseau virtuel Azure. Avec le pare-feu Azure, vous pouvez créer, appliquer et consigner des stratégies de connectivité réseau et d’application de façon centralisée entre les abonnements et les réseaux virtuels. Pare-feu Azure utilise une adresse IP publique statique pour vos ressources de réseau virtuel, ce qui permet aux pare-feu situés à l’extérieur d’identifier le trafic provenant de votre réseau virtuel.

Pare-feu d’applications web

Le pare-feu d’applications web Azure (WAF) offre une protection de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL et le script de site à site. Le pare-feu d'applications web Azure fournit une protection prête à l’emploi contre les 10 principales vulnérabilités établies par OWASP par le biais de règles managées. Les clients peuvent également configurer des règles personnalisées qu’ils gèrent pour offrir une protection supplémentaire basée sur la plage d’adresses IP sources et sur des attributs de requêtes tels que les en-têtes, les cookies, les champs de données de formulaires ou les paramètres de chaînes de requête.

Les clients peuvent choisir de déployer le pare-feu d'applications web Azure avec Application Gateway qui offre une protection régionale aux entités dans un espace d’adressage public et privé. Ils peuvent également choisir de déployer le pare-feu d'applications web Azure avec Front Door, qui offre une protection à la périphérie du réseau vers les points de terminaison publics.

Groupes de sécurité réseau

Vous pouvez filtrer le trafic réseau depuis et vers les ressources Azure dans un réseau virtuel Azure avec un groupe de sécurité réseau. Pour plus d’informations, consultez Groupes de sécurité réseau.

Points de terminaison de service

Les points de terminaison de service de réseau virtuel étendent votre espace d’adressage privé de réseau virtuel et l’identité de votre réseau virtuel aux services Azure, par le biais d’une connexion directe. Les points de terminaison permettent de sécuriser vos ressources critiques du service Azure pour vos réseaux virtuels uniquement. Le trafic à partir de votre réseau virtuel vers le service Azure reste toujours sur le réseau principal de Microsoft Azure.

Services de livraison d’applications

Cette section décrit les services de mise en réseau dans Azure qui permettent de fournir des applications : Content Delivery Network, Azure Front Door Service, Traffic Manager, Load Balancer et Application Gateway.

Azure Front Door

Azure Front Door vous permet de définir, gérer et superviser le routage global de votre trafic web en privilégiant l’optimisation des performances et le basculement instantané global à des fins de haute disponibilité. Avec Front Door, vous pouvez transformer vos applications grand public et professionnelles multirégions en applications, API et contenus modernes fiables, personnalisés et hautes performances bénéficiant avec Azure d’une audience mondiale.

Traffic Manager

Azure Traffic Manager. est un équilibreur de charge du trafic basé sur DNS qui vous permet de distribuer le trafic de manière optimale aux services dans toutes les régions Azure globales, tout en offrant réactivité et haute disponibilité. Traffic Manager fournit un éventail de méthodes de routage du trafic telles que la priorité, la pondération, les performances, la répartition géographique, la valeur multiple ou le sous-réseau pour distribuer le trafic.

Le diagramme suivant montre le routage basé sur la priorité des points de terminaison avec Traffic Manager :

Pour plus d’informations sur Traffic Manager, consultez Présentation d’Azure Traffic Manager

Load Balancer

Azure Load Balancer fournit un équilibrage de charge de couche 4, hautes performances et à faible latence, pour tous les protocoles UDP et TCP. Il gère les connexions entrantes et sortantes. Vous pouvez configurer des points de terminaison avec équilibrage de charge interne et public. Vous pouvez définir des règles de mappage des connexions entrantes aux destinations du pool principal, en utilisant des options d’analyse d’intégrité TCP et HTTP de façon à gérer la disponibilité du service.

Azure Load Balancer est disponible dans les références SKU Standard, régionales et Gateway.

L’illustration suivante montre une application multiniveau sur Internet qui utilise à la fois l’équilibrage de charge interne et externe :

Application Gateway

Azure Application Gateway est un équilibreur de charge du trafic web qui vous permet de gérer le trafic vers vos applications web. C’est un contrôleur de livraison d’applications (ADC) sous forme de service qui offre à vos applications plusieurs fonctionnalités d’équilibreur de charge de la couche 7.

Le diagramme suivant montre le routage d’URL basé sur le chemin avec Application Gateway.

Content Delivery Network

Azure Content Delivery Network (CDN). offre aux développeurs une solution globale pour distribuer rapidement du contenu haut débit aux utilisateurs en mettant en cache leur contenu sur des nœuds physiques disposés stratégiquement dans le monde entier.

Services de surveillance de réseau

Cette section décrit les services réseau d’Azure qui permettent de superviser les ressources de votre réseau : Azure Network Watcher, Azure Monitor Network Insights, Azure Monitor, Moniteur ExpressRoute.

Azure Network Watcher

Azure Network Watcher fournit des outils permettant d’effectuer une supervision et des diagnostics, d’afficher des métriques et d’activer et de désactiver les journaux d’activité des ressources se trouvant sur un réseau virtuel Azure. Pour plus d’informations, consultez [Présentation de Network Watcher.

Azure Monitor

Azure Monitor optimise la disponibilité et les performances de vos applications en fournissant une solution complète pour collecter, analyser et agir sur la télémétrie provenant de vos environnements cloud et locaux. Il vous aide à comprendre le fonctionnement de vos applications et identifie de façon proactive les problèmes qui les affectent et les ressources dont elles dépendent. Pour plus d’informations, consultez [Vue d’ensemble d’Azure Monitor

Moniteur ExpressRoute

Pour en savoir plus sur la visualisation des métriques des circuits, des journaux de ressources et des alertes ExpressRoute, consultez Supervision, métriques et alertes ExpressRoute.

Insights réseau

Azure Monitor pour réseaux (Network Insights). offre une vue complète de l’intégrité et des métriques de toutes les ressources réseau déployées, sans aucune configuration nécessaire.

Étapes suivantes

• Créez votre premier réseau virtuel et connectez-y quelques machines virtuelles en suivant la procédure décrite dans l’article Créer votre premier réseau virtuel.
• Connectez votre ordinateur à un réseau virtuel en suivant la procédure décrite dans l’article Configuration d’une connexion point à site.
• Équilibrez la charge de trafic Internet sur les serveurs publics en effectuant les étapes décrites dans l’article Créer un équilibrage de charge accessible sur Internet.