Partager via


Déployer des services Azure dédiés dans des réseaux virtuels

Quand vous déployez des services Azure dédiés sur un réseau virtuel, vous pouvez communiquer avec les ressources de service de manière privée, par le biais d’adresses IP privées.

Diagramme des services déployés sur un réseau virtuel.

Le déploiement de services au sein d’un réseau virtuel fournit les fonctionnalités suivantes :

  • Les ressources situées sur le réseau virtuel peuvent communiquer entre elles de manière privée, par le biais d’adresses IP privées. Exemple : le transfert direct des données entre HDInsight et SQL Server sur une machine virtuelle, au sein d’un réseau virtuel.

  • Les ressources locales peuvent accéder aux ressources d’un réseau virtuel à l’aide d’adresses IP privées par le biais d’une connexion VPN site à site (passerelle VPN) ou ExpressRoute.

  • Les réseaux virtuels peuvent être appairés pour permettre aux ressources situées sur les réseaux virtuels de communiquer entre elles, par le biais d’adresses IP privées.

  • Les instances de service sont déployées dans un sous-réseau d’un réseau virtuel. L’accès au réseau entrant ou sortant pour le sous-réseau doit être ouvert par le biais de groupes de sécurité réseau, selon les recommandations fournies par le service.

  • Certains services imposent des restrictions sur le sous-réseau vers lequel ils sont déployés. Cette restriction limite l’application de stratégies, d’itinéraires, ou la combinaison de machines virtuelles et de ressources du service au sein d’un même sous-réseau. Vérifiez sur chaque service les restrictions spécifiques, car elles peuvent changer au fil du temps. Les services Azure NetApp Files, Dedicated HSM, Azure Container Instances, App Service en sont des exemples.

  • Les services peuvent éventuellement nécessiter un sous-réseau délégué comme identificateur explicit qu’un sous-réseau peut héberger un service particulier. Grâce à la délégation, les services reçoivent des autorisations explicites pour créer des ressources propres au service dans le sous-réseau délégué.

  • Consultez un exemple de réponse de l’API REST sur un réseau virtuel avec un sous-réseau délégué. Une liste complète de services qui utilisent le modèle de sous-réseau délégué peut être obtenue via l’API Available Delegations (Délégations disponibles).

Services pouvant être déployés dans un réseau virtuel

Category Service Sous-réseau1 dédié
Calcul Machines virtuelles : Linux ou Windows
Groupes de machines virtuelles identiques
Service cloud : réseau virtuel (classique) uniquement
Azure Batch
Infrastructure Azure Baremetal
Aucune
Aucune
Aucune
Non2 
Non
Réseau Application Gateway - WAF
Azure Bastion
Pare-feu Azure
Serveur de routes Azure
Passerelle ExpressRoute
Appliances virtuelles réseau
Passerelle VPN
Azure DNS Private Resolver
Passerelle de données de Réseau virtuel pour Fabric et Power BI
Oui
Oui
Oui
Oui
Oui
Aucune
Oui
Non
Oui
Données RedisCache
Azure SQL Managed Instance
Azure Database pour MySQL : serveur flexible
Azure Database pour PostgreSQL : serveur flexible
Oui
Oui
Oui
Oui
Analytics Azure HDInsight
Azure Databricks
Non 2
Non 2
Identité Microsoft Entra Domain Services Aucune
Containers Azure Kubernetes Service (AKS)
Azure Container Instances (ACI)
Moteur Azure Container Service avec le plug-in CNI Réseau virtuel Azure
Azure Functions
Non 2
Oui
Aucune
Oui
Web Gestion des API
Web Apps
Environnement App Service
Azure Logic Apps
Environnements d’applications Azure Container
Oui
Oui
Oui
Oui
Oui
Hébergée Module de sécurité matériel (HSM) dédié Azure
Azure NetApp Files
Oui
Oui
Azure Spring Apps Déployer dans un réseau virtuel Azure (injection de réseau virtuel)
Oui
Infrastructure de bureau virtuel Azure Lab Services
Oui
DevOps Azure Load Testing
Oui

1 « Dédié » implique que seules des ressources propres au service peuvent être déployées dans ce sous-réseau et ne peuvent pas être combinées avec des machines virtuelles/groupes de machines virtuelles identiques (VMSS) des clients
2 Il est recommandé, au titre de bonne pratique, d’avoir ces services dans un sous-réseau dédié, mais il ne s’agit pas d’une obligation imposée par le service.