Déployer des services Azure dédiés dans des réseaux virtuels

Quand vous déployez des services Azure dédiés sur un réseau virtuel, vous pouvez communiquer avec les ressources de service de manière privée, par le biais d’adresses IP privées.

Le déploiement de services au sein d’un réseau virtuel fournit les fonctionnalités suivantes :

• Les ressources situées sur le réseau virtuel peuvent communiquer entre elles de manière privée, par le biais d’adresses IP privées. Exemple : le transfert direct des données entre HDInsight et SQL Server sur une machine virtuelle, au sein d’un réseau virtuel.

• Les ressources locales peuvent accéder aux ressources d’un réseau virtuel à l’aide d’adresses IP privées par le biais d’une connexion VPN site à site (passerelle VPN) ou ExpressRoute.

• Les réseaux virtuels peuvent être appairés pour permettre aux ressources situées sur les réseaux virtuels de communiquer entre elles, par le biais d’adresses IP privées.

• Les instances de service sont déployées dans un sous-réseau d’un réseau virtuel. L’accès au réseau entrant ou sortant pour le sous-réseau doit être ouvert par le biais de groupes de sécurité réseau, selon les recommandations fournies par le service.

• Certains services imposent des restrictions sur le sous-réseau vers lequel ils sont déployés. Cette restriction limite l’application de stratégies, d’itinéraires, ou la combinaison de machines virtuelles et de ressources du service au sein d’un même sous-réseau. Vérifiez sur chaque service les restrictions spécifiques, car elles peuvent changer au fil du temps. Les services Azure NetApp Files, Dedicated HSM, Azure Container Instances, App Service en sont des exemples.

• Les services peuvent éventuellement nécessiter un sous-réseau délégué comme identificateur explicit qu’un sous-réseau peut héberger un service particulier. Grâce à la délégation, les services reçoivent des autorisations explicites pour créer des ressources propres au service dans le sous-réseau délégué.

• Consultez un exemple de réponse de l’API REST sur un réseau virtuel avec un sous-réseau délégué. Une liste complète de services qui utilisent le modèle de sous-réseau délégué peut être obtenue via l’API Available Delegations (Délégations disponibles).

Services pouvant être déployés dans un réseau virtuel

Category	Service	Sous-réseau1 dédié
Calcul	Machines virtuelles : Linux ou Windows Groupes de machines virtuelles identiques Service cloud : réseau virtuel (classique) uniquement Azure Batch Infrastructure Azure Baremetal	Aucune Aucune Aucune Non2  Non
Réseau	Application Gateway - WAF Azure Bastion Pare-feu Azure Serveur de routes Azure Passerelle ExpressRoute Appliances virtuelles réseau Passerelle VPN Azure DNS Private Resolver Passerelle de données de Réseau virtuel pour Fabric et Power BI	Oui Oui Oui Oui Oui Aucune Oui Non Oui
Données	RedisCache Azure SQL Managed Instance Azure Database pour MySQL : serveur flexible Azure Database pour PostgreSQL : serveur flexible	Oui Oui Oui Oui
Analytics	Azure HDInsight Azure Databricks	Non 2 Non 2
Identité	Microsoft Entra Domain Services	Aucune
Containers	Azure Kubernetes Service (AKS) Azure Container Instances (ACI) Moteur Azure Container Service avec le plug-in CNI Réseau virtuel Azure Azure Functions	Non 2 Oui Aucune Oui
Web	Gestion des API Web Apps Environnement App Service Azure Logic Apps Environnements d’applications Azure Container	Oui Oui Oui Oui Oui
Hébergée	Module de sécurité matériel (HSM) dédié Azure Azure NetApp Files	Oui Oui
Azure Spring Apps	Déployer dans un réseau virtuel Azure (injection de réseau virtuel)	Oui
Infrastructure de bureau virtuel	Azure Lab Services	Oui
DevOps	Azure Load Testing	Oui

¹ « Dédié » implique que seules des ressources propres au service peuvent être déployées dans ce sous-réseau et ne peuvent pas être combinées avec des machines virtuelles/groupes de machines virtuelles identiques (VMSS) des clients
² Il est recommandé, au titre de bonne pratique, d’avoir ces services dans un sous-réseau dédié, mais il ne s’agit pas d’une obligation imposée par le service.