Utiliser une passerelle NAT avec un réseau hub-and-spoke
Un réseau hub-and-spoke est un des blocs de construction d’une infrastructure réseau à plusieurs emplacements et à haute disponibilité. Le déploiement le plus courant d’un réseau hub-and-spoke est effectué avec une intention d’acheminer tout le trafic Internet inter-spoke et sortant via le hub central. L’objectif est d’inspecter tout le trafic qui traverse le réseau avec une appliance virtuelle réseau (NVA) à des fins d’analyse de la sécurité et d’inspection des paquets.
Pour le trafic sortant vers Internet, l’appliance virtuelle réseau a généralement une interface réseau avec une adresse IP publique affectée. Après avoir inspecté le trafic sortant, la NVA transfère le trafic à l’extérieur de l’interface publique et à Internet. La Passerelle NAT Azure élimine la nécessité d’utiliser l’adresse IP publique affectée à la NVA. L’association d’une passerelle NAT au sous-réseau public de la NVA modifie le routage de l’interface publique pour acheminer tout le trafic Internet sortant via la passerelle NAT. L’élimination de l’adresse IP publique augmente la sécurité et permet la mise à l’échelle de la traduction d’adresses réseau sources sortantes (SNAT) avec plusieurs adresses IP publiques et/ou des préfixes d’adresses IP publiques.
Important
La NVA utilisée dans cet article est utilisée à des fins de démonstration uniquement et est simulée avec une machine virtuelle Ubuntu. La solution n’inclut pas d’équilibreur de charge pour la haute disponibilité du déploiement de la NVA. Remplacez la machine virtuelle Ubuntu dans cet article par une NVA de votre choix. Consultez le fournisseur de la NVA choisie pour obtenir des instructions de routage et de configuration. Un équilibreur de charge et des zones de disponibilité sont recommandés pour une infrastructure de NVA à haute disponibilité.
Dans ce tutoriel, vous allez apprendre à :
- Créer une passerelle NAT.
- Créez un réseau virtuel hub-and-spoke.
- Créez une appliance virtuelle réseau (NVA) simulée.
- Forcez tout le trafic à partir des rayons via le hub.
- Forcez tout le trafic Internet dans le hub et les spokes de la passerelle NAT.
- Testez la passerelle NAT et le routage inter-spokes.
Prérequis
- Compte Azure avec un abonnement actif. Créez un compte gratuitement.
Créer une passerelle NAT
Tout le trafic Internet sortant traverse la passerelle NAT vers Internet. Utilisez l’exemple suivant pour créer une passerelle NAT pour le réseau hub-and-spoke.
Connectez-vous au portail Azure.
Dans la zone de recherche située en haut du portail, entrez Passerelle NAT. Sélectionnez Passerelle NAT dans les résultats de la recherche.
Sélectionnez + Créer.
Sous l’onglet Informations de base de Créer une passerelle NAT (traduction d’adresses réseau), entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Détails du projet Abonnement Sélectionnez votre abonnement. Resource group Sélectionnez Créer nouveau.
Entrez test-rg dans Nom.
Sélectionnez OK.Détails de l’instance Nom de la passerelle NAT Entrez nat-gateway. Région Sélectionnez USA Est. Zone de disponibilité Sélectionnez Zone ou Aucune zone. Délai d’inactivité TCP (minutes) Conservez la valeur par défaut 4. Sélectionnez Suivant : Adresse IP sortante.
Dans IP sortante, dans Adresses IP publiques, sélectionnez Créer une adresse IP publique.
Entrez public-ip-nat dans Nom.
Sélectionnez OK.
Sélectionnez Revoir + créer.
Sélectionnez Create (Créer).
Créer un réseau virtuel de hub
Le réseau virtuel hub est le réseau central de la solution. Le réseau hub contient l’appliance NVA et un sous-réseau public et privé. La passerelle NAT est affectée au sous-réseau public lors de la création du réseau virtuel. Un hôte Azure Bastion est configuré dans l’exemple suivant. L’hôte bastion est utilisé pour se connecter en toute sécurité à la machine virtuelle NVA et aux machines virtuelles de test déployées dans les spokes plus loin dans l’article.
Dans la zone de recherche située en haut du portail, entrez Réseau virtuel. Sélectionnez Réseaux virtuels dans les résultats de la recherche.
Sélectionnez + Créer.
Sous l’onglet Informations de base de la page Créer un réseau virtuel, entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Détails du projet Abonnement Sélectionnez votre abonnement. Resource group Sélectionnez test-rg. Détails de l’instance Nom Entrez vnet-hub. Région Sélectionnez USA Est. Sélectionnez Suivant pour passer à l’onglet Sécurité.
Sélectionnez Activer Bastion dans la section Azure Bastion de l’onglet Sécurité.
Azure Bastion utilise votre navigateur web pour se connecter aux machines virtuelles de votre réseau virtuel au moyen de SSH (Secure Shell) ou RDP (Remote Desktop Protocol) à l’aide de leurs adresses IP privées. Les machines virtuelles ne requièrent pas d’adresse IP publique, de logiciel client ou de configuration spéciale. Pour obtenir plus d’informations sur Azure Bastion, voir Azure Bastion
Remarque
Le tarif horaire commence à partir du moment où Bastion est déployé, quelle que soit l’utilisation des données sortantes. Pour plus d’informations, consultez Tarifications et Références SKU. Si vous déployez Bastion dans le cadre d’un tutoriel ou d’un test, nous vous recommandons de supprimer cette ressource après l’avoir utilisée.
Saisissez ou sélectionnez les informations suivantes dans Azure Bastion :
Paramètre Valeur Nom d’hôte Azure Bastion Entrez bastion. Adresse IP publique Azure Bastion Sélectionnez Créer une adresse IP publique.
Entrez public-ip dans Nom.
Sélectionnez OK.Sélectionnez Suivant pour passer à l’onglet Adresses IP.
Dans la zone Espace d’adressage de Sous-réseaux, sélectionnez le sous-réseau par défaut.
Dans Modifier le sous-réseau, entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Détails du sous-réseau Modèle de sous-réseau Laissez la valeur par défaut sur Par défaut. Nom Entrez subnet-private. Adresse de début Laissez la valeur par défaut sur 10.0.0.0. Taille du sous-réseau Laissez la valeur par défaut sur /24(256 adresses). Cliquez sur Enregistrer.
Sélectionnez + Ajouter un sous-réseau.
Dans Ajouter un sous-réseau, entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Détails du sous-réseau Modèle de sous-réseau Laissez la valeur par défaut sur Par défaut. Nom Saisissez subnet-public. Adresse de début Entrez 10.0.253.0. Taille du sous-réseau Sélectionnez /28 (16 adresses). Sécurité Passerelle NAT Sélectionnez nat-gateway. Sélectionnez Ajouter.
Sélectionnez Revoir + créer.
Sélectionnez Create (Créer).
Le déploiement de l’hôte bastion peut prendre quelques minutes. Lorsque le réseau virtuel est créé dans le cadre du déploiement, vous pouvez passer aux étapes suivantes.
Créer la machine virtuelle de la NVA simulée
La NVA simulée agit comme une appliance virtuelle pour acheminer tout le trafic entre les hub-and-spoke et le trafic sortant vers Internet. Une machine virtuelle Ubuntu est utilisée pour la NVA simulée. Utilisez l’exemple suivant pour créer la NVA simulée et configurer les interfaces réseau.
Dans la zone de recherche située en haut du portail, entrez Machine virtuelle. Sélectionnez Machines virtuelles dans les résultats de la recherche.
Sélectionnez + Créer, puis Machine virtuelle Azure.
Dans Créer une machine virtuelle, entrez ou sélectionnez les informations suivantes sous l’onglet Informations de base :
Paramètre Valeur Détails du projet Abonnement Sélectionnez votre abonnement. Resource group Sélectionnez test-rg. Détails de l’instance Nom de la machine virtuelle Entrez vm-nva. Région Sélectionnez (États-Unis) USA Est 2. Options de disponibilité Sélectionnez Aucune redondance d’infrastructure requise. Type de sécurité Sélectionnez Standard. Image Sélectionnez Ubuntu Server 22.04 LTS - x64 Gen2. Architecture de machine virtuelle Laissez la valeur par défaut x64. Taille Sélectionnez une taille. Compte administrateur Type d'authentification Sélectionnez Mot de passe. Nom d’utilisateur Entrez un nom d’utilisateur. Mot de passe Entrez un mot de passe. Confirmer le mot de passe Retapez le mot de passe. Règles des ports d’entrée Aucun port d’entrée public Sélectionnez Aucun. Sélectionnez Suivant : Disques, puis Suivant : Réseaux.
Sous l’onglet Mise en réseau, entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Interface réseau Réseau virtuel Sélectionnez vnet-hub. Subnet Sélectionnez subnet-public (10.0.253.0/28). Adresse IP publique Sélectionnez Aucun. Groupe de sécurité réseau de la carte réseau Sélectionnez Avancé. Configurer un groupe de sécurité réseau Sélectionnez Créer nouveau.
Dans Nom, entrez nsg-nva.
Sélectionnez OK.Laissez les valeurs par défaut pour les autres options, puis sélectionnez Vérifier et créer.
Sélectionnez Create (Créer).
Configurer les interfaces réseau de machines virtuelles
La configuration IP de l’interface réseau principale de la machine virtuelle est définie sur dynamique par défaut. Utilisez l’exemple suivant pour modifier la configuration IP de l’interface réseau principale en statique et ajouter une interface réseau secondaire pour l’interface privée de la NVA.
Dans la zone de recherche située en haut du portail, entrez Machine virtuelle. Sélectionnez Machines virtuelles dans les résultats de la recherche.
Sélectionnez vm-nva.
Dans Vue d’ensemble, sélectionnez Arrêter si la machine virtuelle est en cours d’exécution.
Dans Paramètres, sélectionnez Mise en réseau.
Dans Mise en réseau, sélectionnez le nom de l’interface réseau en regard d’Interface réseau :. Le nom de l’interface est le nom de la machine virtuelle, et est constitué de chiffres et de lettres aléatoires. Dans cet exemple, le nom de l’interface est vm-nva271.
Dans les propriétés de l’interface réseau, sélectionnez Configurations IP dans Paramètres.
Cochez la case en regard de Activer le transfert IP.
Sélectionnez Appliquer.
Une fois l’action d’appliquer terminée, sélectionnez ipconfig1.
Dans Affectation dans ipconfig1, sélectionnez Statique.
Dans adresse IP privée entrez 10.0.253.10.
Cliquez sur Enregistrer.
Une fois l’action d’enregistrement terminée, revenez à la configuration réseau pour vm-nva.
Dans la page Mise en réseau de vm-nva, sélectionnez Attacher l’interface réseau.
Sélectionnez Créer et attacher une interface réseau.
Dans Créer une interface réseau, entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Détails du projet Resource group Sélectionnez test-rg. Interface réseau Name Entrez nic-private. Subnet Sélectionnez subnet-private (10.0.0.0/24). Groupe de sécurité réseau de la carte réseau Sélectionnez Avancé. Configurer un groupe de sécurité réseau Sélectionnez nsg-nva. Affectation d’adresses IP privées Sélectionnez Statique. Adresse IP privée Entrez 10.0.0.10. Sélectionnez Create (Créer).
Configurer le logiciel de machine virtuelle
Le routage de la NVA simulée utilise des tables IP et une NAT interne dans la machine virtuelle Ubuntu. Connectez-vous à la machine virtuelle NVA avec Azure Bastion pour configurer les tables IP et la configuration du routage.
Dans la zone de recherche située en haut du portail, entrez Machine virtuelle. Sélectionnez Machines virtuelles dans les résultats de la recherche.
Sélectionnez vm-nva.
Démarrez vm-nva.
Une fois le démarrage de la machine virtuelle terminé, passez aux étapes suivantes.
Dans Opérations, sélectionnez Bastion.
Entrez le nom d’utilisateur et le mot de passe que vous avez entrés lors de la création de la machine virtuelle.
Sélectionnez Connecter.
Entrez les informations suivantes dans l’invite de la machine virtuelle pour activer le transfert IP :
sudo vim /etc/sysctl.confDans l’éditeur Vim, supprimez le
#de la lignenet.ipv4.ip_forward=1:Appuyez sur la touche Insérer.
# Uncomment the next line to enable packet forwarding for IPv4 net.ipv4.ip_forward=1Appuyez sur la touche Échap.
Entrez
:wq, puis appuyez sur Entrée.Entrez les informations suivantes pour activer la NAT interne dans la machine virtuelle :
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE sudo apt-get update sudo apt install iptables-persistentSélectionnez Oui deux fois.
sudo su iptables-save > /etc/iptables/rules.v4 exitUtilisez Vim pour modifier la configuration avec les informations suivantes :
sudo vim /etc/rc.localAppuyez sur la touche Insérer.
Ajoutez la ligne suivante au fichier de configuration :
/sbin/iptables-restore < /etc/iptables/rules.v4Appuyez sur la touche Échap.
Entrez
:wq, puis appuyez sur Entrée.Redémarrez la machine virtuelle :
sudo reboot
Créer une table de routage de réseau hub
Les tables de routage sont utilisées pour remplacer le routage par défaut d’Azure. Créez une table de routage pour forcer tout le trafic au sein du sous-réseau privé du hub via la NVA simulée.
Dans le champ de recherche situé en haut du portail, entrez Table de routage. Sélectionnez Tables de routage dans les résultats de la recherche.
Sélectionnez + Créer.
Dans Créer une table de routage, entrez ou sélectionnez ces informations :
Paramètre Valeur Détails du projet Abonnement Sélectionnez votre abonnement. Resource group Sélectionnez test-rg. Détails de l’instance Région Sélectionnez USA Est. Nom Entrez route-table-tab-hub. Propager des itinéraires de passerelle Conservez la valeur par défaut Oui. Sélectionnez Revoir + créer.
Sélectionnez Create (Créer).
Dans le champ de recherche situé en haut du portail, entrez Table de routage. Sélectionnez Tables de routage dans les résultats de la recherche.
Sélectionnez route-table-nat-hub.
Dans Paramètres, sélectionnez Routages.
Sélectionnez + Ajouter dans Routes.
Dans Ajouter une route, entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Nom de l’itinéraire Entrez default-via-nat-Hub. Type de destination Sélectionnez Adresses IP. Plages d’adresses IP/CIDR de destination Entrez 0.0.0.0/0. Type de tronçon suivant Sélectionnez Appliance virtuelle. adresse de tronçon suivant Entrez 10.0.0.10.
Il s’agit de l’adresse IP que vous avez ajoutée à l’interface privée de la NVA au cours des étapes précédentes..Sélectionnez Ajouter.
Sélectionnez Sous-réseaux dans Paramètres.
Sélectionnez + Associer.
Dans Associer un sous-réseau, entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Réseau virtuel Sélectionnez vnet-hub (test-rg). Subnet Sélectionnez subnet-private. Sélectionnez OK.
Créer un réseau virtuel de premier spoke
Créez un autre réseau virtuel dans une autre région pour le premier spoke du réseau hub-and-spoke.
Dans la zone de recherche située en haut du portail, entrez Réseau virtuel. Sélectionnez Réseaux virtuels dans les résultats de la recherche.
Sélectionnez + Créer.
Sous l’onglet Informations de base de la page Créer un réseau virtuel, entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Détails du projet Abonnement Sélectionnez votre abonnement. Resource group Sélectionnez test-rg. Détails de l’instance Nom Entrez vnet-spoke-1. Région Sélectionnez (États-Unis) USA Centre Sud. Sélectionnez Suivant pour passer à l’onglet Sécurité.
Sélectionnez Suivant pour passer à l’onglet adresses IP.
Sous l’onglet Adresses IP dans Espace d’adressage IPv4, sélectionnez la corbeille pour supprimer l’espace d’adressage renseigné automatiquement.
Dans Espace d’adressage IPv4, entrez 10.1.0.0. Laissez la valeur par défaut /16 (65 536 adresses) dans la sélection du masque.
Sélectionnez + Ajouter un sous-réseau.
Dans Ajouter un sous-réseau entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Détails du sous-réseau Modèle de sous-réseau Laissez la valeur par défaut sur Par défaut. Nom Entrez subnet-private. Adresse de début Entrez 10.1.0.0. Taille du sous-réseau Laissez la valeur par défaut sur /24(256 adresses). Sélectionnez Ajouter.
Sélectionnez Revoir + créer.
Sélectionnez Create (Créer).
Créer un appairage entre un hub et le premier spoke
Un appairage de réseaux virtuels est utilisé pour connecter le hub au premier spoke et le premier spoke au hub. Utilisez l’exemple suivant pour créer un appairage de réseau bidirectionnel entre le hub et le premier spoke.
Dans la zone de recherche située en haut du portail, entrez Réseau virtuel. Sélectionnez Réseaux virtuels dans les résultats de la recherche.
Sélectionnez vnet-hub.
Sous Peerings, sélectionnez Paramètres.
Sélectionnez Ajouter.
Dans Ajouter peering, entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Ce réseau virtuel Nom du lien de peering Entrez vnet-hub-to-vnet-spoke-1. Autoriser « vnet-hub » à accéder à « vnet-spoke-1 » Conservez la case cochée, comme par défaut. Autoriser « vnet-hub » à recevoir le trafic transféré de « vnet-spoke-1 » Cochez la case. Autoriser la passerelle dans « vnet-hub » à transférer le trafic vers «vnet-spoke-1 » Conservez la valeur par défaut ou la case non cochée. Activer « vnet-hub » pour utiliser la passerelle distante « vnet-spoke-1 » Conservez la valeur par défaut ou la case non cochée. Réseau virtuel distant Nom du lien de peering Entrez vnet-spoke-1-to-vnet-hub. Modèle de déploiement de réseau virtuel Conservez la valeur par défaut Gestionnaire des ressources. Abonnement Sélectionnez votre abonnement. Réseau virtuel Sélectionnez vnet-spoke-1. Autoriser « vnet-spoke-1 » à accéder à « vnet-hub » Conservez la case cochée, comme par défaut. Autoriser « vnet-spoke-1 » à recevoir le trafic transféré de « vnet-hub » Cochez la case. Autoriser la passerelle dans « vnet-spoke-1 » à transférer le trafic vers « vnet-hub » Conservez la valeur par défaut ou la case non cochée. Activer « vnet-spoke-1 » pour utiliser la passerelle distante « vnet-hub » Conservez la valeur par défaut ou la case non cochée. Sélectionnez Ajouter.
Sélectionnez Actualiser et vérifiez que l’État de l’appairage est Connecté.
Créer une table de routage réseau de premier spoke
Créez une table de routage pour forcer tout le trafic inter-spoke et le trafic de sortie d’Internet via la NVA simulée dans le réseau virtuel hub.
Dans le champ de recherche situé en haut du portail, entrez Table de routage. Sélectionnez Tables de routage dans les résultats de la recherche.
Sélectionnez + Créer.
Dans Créer une table de routage, entrez ou sélectionnez ces informations :
Paramètre Valeur Détails du projet Abonnement Sélectionnez votre abonnement. Resource group Sélectionnez test-rg. Détails de l’instance Région Sélectionnez USA Centre Sud. Nom Entrez route-table-nat-spoke-1. Propager des itinéraires de passerelle Conservez la valeur par défaut Oui. Sélectionnez Revoir + créer.
Sélectionnez Create (Créer).
Dans le champ de recherche situé en haut du portail, entrez Table de routage. Sélectionnez Tables de routage dans les résultats de la recherche.
Sélectionnez route-table-nat-spoke-1.
Dans Paramètres, sélectionnez Routages.
Sélectionnez + Ajouter dans Routes.
Dans Ajouter une route, entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Nom de l’itinéraire Entrez default-via-nat-spoke-1. Type de destination Sélectionnez Adresses IP. Plages d’adresses IP/CIDR de destination Entrez 0.0.0.0/0. Type de tronçon suivant Sélectionnez Appliance virtuelle. adresse de tronçon suivant Entrez 10.0.0.10.
Il s’agit de l’adresse IP que vous avez ajoutée à l’interface privée de la NVA au cours des étapes précédentes..Sélectionnez Ajouter.
Sélectionnez Sous-réseaux dans Paramètres.
Sélectionnez + Associer.
Dans Associer un sous-réseau, entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Réseau virtuel Sélectionnez vnet-spoke-1 (test-rg). Subnet Sélectionnez subnet-private. Sélectionnez OK.
Créer une machine virtuelle de test de premier spoke
Une machine virtuelle Windows Server 2022 est utilisée pour tester le trafic Internet sortant via la passerelle NAT et le trafic inter-spoke dans le réseau hub-and-spoke. Utilisez l’exemple suivant pour créer une machine virtuelle Windows Server 2022.
Dans la zone de recherche située en haut du portail, entrez Machine virtuelle. Sélectionnez Machines virtuelles dans les résultats de la recherche.
Sélectionnez + Créer, puis Machine virtuelle Azure.
Dans Créer une machine virtuelle, entrez ou sélectionnez les informations suivantes sous l’onglet Informations de base :
Paramètre Valeur Détails du projet Abonnement Sélectionnez votre abonnement. Resource group Sélectionnez test-rg. Détails de l’instance Nom de la machine virtuelle Entrez vm-spoke-1. Région Sélectionnez (États-Unis) USA Centre Sud. Options de disponibilité Sélectionnez Aucune redondance d’infrastructure requise. Type de sécurité Sélectionnez Standard. Image Sélectionnez Windows Server 2022 Datacenter - x64 Gen2. Architecture de machine virtuelle Laissez la valeur par défaut x64. Taille Sélectionnez une taille. Compte administrateur Type d'authentification Sélectionnez Mot de passe. Nom d’utilisateur Entrez un nom d’utilisateur. Mot de passe Entrez un mot de passe. Confirmer le mot de passe Retapez le mot de passe. Règles des ports d’entrée Aucun port d’entrée public Sélectionnez Aucun. Sélectionnez Suivant : Disques, puis Suivant : Réseaux.
Sous l’onglet Mise en réseau, entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Interface réseau Réseau virtuel Sélectionnez vnet-spoke-1. Subnet Sélectionnez subnet-private (10.1.0.0/24). Adresse IP publique Sélectionnez Aucun. Groupe de sécurité réseau de la carte réseau Sélectionnez Avancé. Configurer un groupe de sécurité réseau Sélectionnez Créer nouveau.
Entrez nsg-spoke-1.Règles de trafic entrant Sélectionnez + Ajouter une règle de trafic entrant.
Sélectionnez HTTP dans Service.
Sélectionnez Ajouter.
Sélectionnez OK.Sélectionnez OK.
Laissez les valeurs par défaut pour les autres options, puis sélectionnez Vérifier et créer.
Sélectionnez Create (Créer).
Installez IIS sur une machine virtuelle de test spoke one
L’Internet Information Services (IIS) est installée sur la machine virtuelle Windows Server 2022 pour tester le trafic Internet sortant via la passerelle NAT et le trafic inter-spoke dans le réseau hub-and-spoke.
Dans la zone de recherche située en haut du portail, entrez Machine virtuelle. Sélectionnez Machines virtuelles dans les résultats de la recherche.
Sélectionnez vm-spoke-1.
Dans Opérations, sélectionnez Exécuter la commande.
Sélectionnez RunPowerShellScript.
Entrez le script suivant dans Exécuter le script de commande :
# Install IIS server role Install-WindowsFeature -name Web-Server -IncludeManagementTools # Remove default htm file Remove-Item C:\inetpub\wwwroot\iisstart.htm # Add a new htm file that displays server name Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)Sélectionnez Exécuter.
Attendez que le script se termine avant de continuer à l’étape suivante. L’exécution du script peut prendre quelques minutes.
Une fois le script terminé, la sortie* affiche les éléments suivants :
Success Restart Needed Exit Code Feature Result ------- -------------- --------- -------------- True No Success {Common HTTP Features, Default Document, D...
Créer le réseau virtuel du deuxième spoke
Créez le deuxième réseau virtuel pour le deuxième spoke du réseau hub-and-spoke.
Dans la zone de recherche située en haut du portail, entrez Réseau virtuel. Sélectionnez Réseaux virtuels dans les résultats de la recherche.
Sélectionnez + Créer.
Sous l’onglet Informations de base de la page Créer un réseau virtuel, entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Détails du projet Abonnement Sélectionnez votre abonnement. Resource group Sélectionnez test-rg. Détails de l’instance Nom Entrez vnet-spoke-2. Région Sélectionnez (USA) USA Ouest 2. Sélectionnez Suivant pour passer à l’onglet Sécurité.
Sélectionnez Suivant pour passer à l’onglet adresses IP.
Sous l’onglet Adresses IP dans Espace d’adressage IPv4, sélectionnez la corbeille pour supprimer l’espace d’adressage renseigné automatiquement.
Dans Espace d’adressage IPv4, entrez 10.2.0.0. Laissez la valeur par défaut /16 (65 536 adresses) dans la sélection du masque.
Sélectionnez + Ajouter un sous-réseau.
Dans Ajouter un sous-réseau entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Détails du sous-réseau Modèle de sous-réseau Laissez la valeur par défaut sur Par défaut. Nom Entrez subnet-private. Adresse de début Entrez 10.2.0.0. Taille du sous-réseau Laissez la valeur par défaut sur /24(256 adresses). Sélectionnez Ajouter.
Sélectionnez Revoir + créer.
Sélectionnez Create (Créer).
Créer un appairage entre un hub et le deuxième spoke
Créez un homologue de réseau virtuel bidirectionnel entre le hub et le deuxième spoke.
Dans la zone de recherche située en haut du portail, entrez Réseau virtuel. Sélectionnez Réseaux virtuels dans les résultats de la recherche.
Sélectionnez vnet-hub.
Sous Peerings, sélectionnez Paramètres.
Sélectionnez Ajouter.
Dans la zone de recherche située en haut du portail, entrez Réseau virtuel. Sélectionnez Réseaux virtuels dans les résultats de la recherche.
Sélectionnez vnet-hub.
Sous Peerings, sélectionnez Paramètres.
Sélectionnez Ajouter.
Dans Ajouter peering, entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Ce réseau virtuel Nom du lien de peering Entrez vnet-hub-to-vnet-spoke-2. Autoriser « vnet-hub » à accéder à « vnet-spoke-2 » Conservez la case cochée, comme par défaut. Autoriser « vnet-2 » à recevoir le trafic transféré de « vnet-spoke-2 » Cochez la case. Autoriser la passerelle dans « vnet-hub » à transférer le trafic vers « vnet-spoke-2 » Conservez la valeur par défaut ou la case non cochée. Activer « vnet-hub » pour utiliser la passerelle distante « vnet-spoke-2 » Conservez la valeur par défaut ou la case non cochée. Réseau virtuel distant Nom du lien de peering Entrez vnet-spoke-2-to-vnet-hub. Modèle de déploiement de réseau virtuel Conservez la valeur par défaut Gestionnaire des ressources. Abonnement Sélectionnez votre abonnement. Réseau virtuel Sélectionnez vnet-spoke-2. Autoriser « vnet-spoke-1 » à accéder à « vnet-hub » Conservez la case cochée, comme par défaut. Autoriser « vnet-spoke-1 » à recevoir le trafic transféré de « vnet-hub » Cochez la case. Autoriser la passerelle dans « vnet-spoke-1 » à transférer le trafic vers « vnet-hub » Conservez la valeur par défaut ou la case non cochée. Activer « vnet-spoke-1 » pour utiliser la passerelle distante « vnet-hub » Conservez la valeur par défaut ou la case non cochée. Sélectionnez Ajouter.
Sélectionnez Actualiser et vérifiez que l’État de l’appairage est Connecté.
Créer une table de routage réseau de deuxième spoke
Créez une table de routage pour forcer tout le trafic Internet sortant et inter-spoke via la NVA simulée dans le réseau virtuel hub.
Dans le champ de recherche situé en haut du portail, entrez Table de routage. Sélectionnez Tables de routage dans les résultats de la recherche.
Sélectionnez + Créer.
Dans Créer une table de routage, entrez ou sélectionnez ces informations :
Paramètre Valeur Détails du projet Abonnement Sélectionnez votre abonnement. Resource group Sélectionnez test-rg. Détails de l’instance Région Sélectionnez USA Ouest 2. Nom Entrez route-table-nat-spoke-2. Propager des itinéraires de passerelle Conservez la valeur par défaut Oui. Sélectionnez Revoir + créer.
Sélectionnez Create (Créer).
Dans le champ de recherche situé en haut du portail, entrez Table de routage. Sélectionnez Tables de routage dans les résultats de la recherche.
Sélectionnez route-table-nat-spoke-2.
Dans Paramètres, sélectionnez Routages.
Sélectionnez + Ajouter dans Routes.
Dans Ajouter une route, entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Nom de l’itinéraire Entrez default-via-nat-spoke-2. Type de destination Sélectionnez Adresses IP. Plages d’adresses IP/CIDR de destination Entrez 0.0.0.0/0. Type de tronçon suivant Sélectionnez Appliance virtuelle. adresse de tronçon suivant Entrez 10.0.0.10.
Il s’agit de l’adresse IP que vous avez ajoutée à l’interface privée de la NVA au cours des étapes précédentes..Sélectionnez Ajouter.
Sélectionnez Sous-réseaux dans Paramètres.
Sélectionnez + Associer.
Dans Associer un sous-réseau, entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Réseau virtuel Sélectionnez vnet-spoke-2 (test-rg). Subnet Sélectionnez subnet-private. Sélectionnez OK.
Créer une machine virtuelle de test de deuxième spoke
Créez une machine virtuelle Windows Server 2022 pour la machine virtuelle de test dans le deuxième spoke.
Dans la zone de recherche située en haut du portail, entrez Machine virtuelle. Sélectionnez Machines virtuelles dans les résultats de la recherche.
Sélectionnez + Créer, puis Machine virtuelle Azure.
Dans Créer une machine virtuelle, entrez ou sélectionnez les informations suivantes sous l’onglet Informations de base :
Paramètre Valeur Détails du projet Abonnement Sélectionnez votre abonnement. Resource group Sélectionnez test-rg. Détails de l’instance Nom de la machine virtuelle Entrez vm-spoke-2. Région Sélectionnez (USA) USA Ouest 2. Options de disponibilité Sélectionnez Aucune redondance d’infrastructure requise. Type de sécurité Sélectionnez Standard. Image Sélectionnez Windows Server 2022 Datacenter - x64 Gen2. Architecture de machine virtuelle Laissez la valeur par défaut x64. Taille Sélectionnez une taille. Compte administrateur Type d'authentification Sélectionnez Mot de passe. Nom d’utilisateur Entrez un nom d’utilisateur. Mot de passe Entrez un mot de passe. Confirmer le mot de passe Retapez le mot de passe. Règles des ports d’entrée Aucun port d’entrée public Sélectionnez Aucun. Sélectionnez Suivant : Disques, puis Suivant : Réseaux.
Sous l’onglet Mise en réseau, entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Interface réseau Réseau virtuel Sélectionnez vnet-spoke-2. Subnet Sélectionnez subnet-private (10.2.0.0/24). Adresse IP publique Sélectionnez Aucun. Groupe de sécurité réseau de la carte réseau Sélectionnez Avancé. Configurer un groupe de sécurité réseau Sélectionnez Créer nouveau.
Sélectionnez nsg-spoke-2.Règles de trafic entrant Sélectionnez + Ajouter une règle de trafic entrant.
Sélectionnez HTTP dans Service.
Sélectionnez Ajouter.
Sélectionnez OK.Laissez les valeurs par défaut pour les autres options, puis sélectionnez Vérifier et créer.
Sélectionnez Create (Créer).
Installez IIS sur la machine virtuelle de test spoke two
L’Internet Information Services (IIS) est installée sur la machine virtuelle Windows Server 2022 pour tester le trafic Internet sortant via la passerelle NAT et le trafic inter-spoke dans le réseau hub-and-spoke.
Dans la zone de recherche située en haut du portail, entrez Machine virtuelle. Sélectionnez Machines virtuelles dans les résultats de la recherche.
Sélectionnez vm-spoke-2.
Dans Opérations, sélectionnez Exécuter la commande.
Sélectionnez RunPowerShellScript.
Entrez le script suivant dans Exécuter le script de commande :
# Install IIS server role Install-WindowsFeature -name Web-Server -IncludeManagementTools # Remove default htm file Remove-Item C:\inetpub\wwwroot\iisstart.htm # Add a new htm file that displays server name Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)Sélectionnez Exécuter.
Attendez que le script se termine avant de continuer à l’étape suivante. L’exécution du script peut prendre quelques minutes.
Une fois le script terminé, la sortie* affiche les éléments suivants :
Success Restart Needed Exit Code Feature Result ------- -------------- --------- -------------- True No Success {Common HTTP Features, Default Document, D...
Tester la passerelle NAT
Connectez aux machines virtuelles Windows Server 2022 que vous avez créées dans les étapes précédentes pour vérifier que le trafic Internet sortant quitte la passerelle NAT.
Obtenir une adresse IP publique de la passerelle NAT
Obtenez l’adresse IP publique de la passerelle NAT pour vérifier les étapes décrites plus loin dans l’article.
Dans la zone de recherche située en haut du portail, entrez IP publique. Sélectionnez Adresses IP publique dans les résultats de la recherche.
Sélectionnez public-ip-nat.
Notez la valeur de l’adresse IP. L’exemple utilisé dans cet article est 52.153.224.79.
Tester la passerelle NAT à partir du premier spoke
Utilisez Microsoft Edge sur la machine virtuelle Windows Server 2022 à laquelle pour vous connecter à https://whatsmyip.com et vérifier les fonctionnalités de la passerelle NAT.
Dans la zone de recherche située en haut du portail, entrez Machine virtuelle. Sélectionnez Machines virtuelles dans les résultats de la recherche.
Sélectionnez vm-spoke-1.
Dans Opérations, sélectionnez Bastion.
Entrez le nom d’utilisateur et le mot de passe que vous avez entrés lors de la création de la machine virtuelle.
Sélectionnez Connecter.
Ouvrez Microsoft Edge à la fin du chargement du bureau.
Dans la barre d’adresse, entrez https://whatsmyip.com.
Vérifiez que l’adresse IP sortante affichée est identique à l’adresse IP de la passerelle NAT que vous avez obtenue précédemment.
Laissez la connexion bastion ouverte sur vm-spoke-1.
Tester la passerelle NAT à partir du deuxième spoke
Utilisez Microsoft Edge sur la machine virtuelle Windows Server 2022 à laquelle pour vous connecter à https://whatsmyip.com et vérifier les fonctionnalités de la passerelle NAT.
Dans la zone de recherche située en haut du portail, entrez Machine virtuelle. Sélectionnez Machines virtuelles dans les résultats de la recherche.
Sélectionnez vm-spoke-2.
Dans Opérations, sélectionnez Bastion.
Entrez le nom d’utilisateur et le mot de passe que vous avez entrés lors de la création de la machine virtuelle.
Sélectionnez Connecter.
Ouvrez Microsoft Edge à la fin du chargement du bureau.
Dans la barre d’adresse, entrez https://whatsmyip.com.
Vérifiez que l’adresse IP sortante affichée est identique à l’adresse IP de la passerelle NAT que vous avez obtenue précédemment.
Laissez la connexion bastion ouverte sur vm-spoke-2.
Tester le routage entre les spokes
Le trafic de spoke one au spoke two et du spoke two au spoke one est acheminé à travers la NVA simulée dans le réseau virtuel hub. Utilisez les exemples suivants pour vérifier le routage entre les spokes du réseau hub-and-spoke.
Tester le routage du premier spoke au deuxième spoke
Utilisez Microsoft Edge pour vous connecter au serveur web sur vm-spoke-2 que vous avez installé aux étapes précédentes.
Revenez à la connexion bastion ouverte à vm-spoke-1.
Ouvrez Microsoft Edge s’il ne l’est pas déjà.
Dans la barre d’adresse, saisissez 10.2.0.4.
Vérifiez que la page IIS s’affiche à partir de vm-spoke-2.
Fermez la connexion bastion à vm-spoke-1.
Tester le routage du deuxième spoke au premier spoke
Utilisez Microsoft Edge pour vous connecter au serveur web sur vm-spoke-1 que vous avez installé aux étapes précédentes.
Revenez à la connexion bastion ouverte à vm-spoke-2.
Ouvrez Microsoft Edge s’il ne l’est pas déjà.
Dans la barre d’adresse, entrez 10.1.0.4.
Vérifiez que la page IIS s’affiche à partir de vm-spoke-1.
Fermez la connexion bastion à vm-spoke-1.
Nettoyer les ressources
Lorsque vous avez terminé d’utiliser les ressources que vous avez créées, vous pouvez supprimer le groupe de ressources et toutes les ressources qu’il contient :
Depuis le portail Azure, recherchez et sélectionnez Groupes de ressources.
Dans la page Groupes de ressources, sélectionnez le groupe de ressources test-rg.
Dans la page test-rg, sélectionnez Supprimer le groupe de ressources.
Entrez test-rg dans Entrez le nom du groupe de ressources pour confirmer la suppression, puis sélectionnez Supprimer.
Étapes suivantes
Passez à l’article suivant pour apprendre à utiliser un équilibreur de charge de passerelle Azure pour les appliances virtuelles réseau à haute disponibilité :