FAQ sur les réseaux virtuels Azure
Concepts de base
Qu’est-ce qu’un réseau virtuel ?
Un réseau virtuel est une représentation de votre propre réseau dans le cloud, comme fourni par le service Réseau virtuel Azure. Un réseau virtuel est une isolation logique du cloud Azure qui est dédié à votre abonnement.
Vous pouvez utiliser des réseaux virtuels pour provisionner et gérer des réseaux privés virtuels (VPN) dans Azure. Si vous le souhaitez, vous pouvez lier des réseaux virtuels à d’autres réseaux virtuels dans Azure ou à votre infrastructure informatique locale pour créer des solutions hybrides ou intersites.
Chaque réseau virtuel que vous créez a son propre bloc CIDR. Vous pouvez lier un réseau virtuel à d’autres réseaux virtuels et réseaux locaux tant que les blocs CIDR ne se chevauchent pas. Vous contrôlez également les paramètres du serveur DNS pour les réseaux virtuels, ainsi que la segmentation du réseau virtuel en sous-réseaux.
Utilisez des réseaux virtuels pour :
Créer un réseau virtuel cloud uniquement, privé, dédié. Vous n’avez pas toujours besoin d’une configuration intersite pour votre solution. Quand vous créez un réseau virtuel, vos services et les machines virtuelles de votre réseau virtuel peuvent communiquer directement et de manière sécurisée les uns avec les autres dans le cloud. Vous pouvez toujours configurer des connexions au point de terminaison pour les machines virtuelles et les services qui nécessitent une communication Internet dans le cadre de votre solution.
Étendez votre centre de données en toute sécurité. Grâce aux réseaux virtuels, vous pouvez créer des VPN de site à site (S2S) traditionnels pour faire évoluer la capacité de votre centre de données en toute sécurité. Les VPN S2S utilisent le protocole IPsec pour fournir une connexion sécurisée entre votre passerelle VPN d’entreprise et Azure.
Activez les scénarios de cloud hybride. Vous pouvez connecter en toute sécurité des applications informatiques à n’importe quel type de système local, y compris les ordinateurs mainframe et les systèmes Unix.
Comment faire pour démarrer ?
Consultez la Documentation Réseau virtuel Azure pour commencer. Ce document fournit des informations de présentation et de déploiement pour toutes les fonctionnalités du réseau virtuel.
Est-il possible d’utiliser des réseaux virtuels sans connectivité intersites ?
Oui. Vous pouvez utiliser un réseau virtuel sans le connecter à vos locaux. Par exemple, vous pouvez exécuter des contrôleurs de domaine Microsoft Windows Server Active Directory et des batteries de serveurs SharePoint uniquement dans un réseau virtuel Azure.
Puis-je effectuer une optimisation WAN entre des réseaux virtuels ou entre un réseau virtuel et mon centre de données local ?
Oui. Vous pouvez déployer une appliance virtuelle réseau pour l’optimisation WAN à partir de plusieurs fournisseurs via la Place de marché Azure.
Configuration
Quels outils utiliser pour créer un réseau virtuel ?
Vous pouvez utiliser les outils suivants pour créer ou configurer un réseau virtuel :
- Portail Azure
- PowerShell
- Azure CLI
- Fichier de configuration réseau (
netcfg
, pour les réseaux virtuels classiques uniquement)
Quelles plages d'adresses pouvez-vous utiliser dans vos réseaux virtuels ?
Nous vous recommandons d’utiliser les plages d’adresses suivantes, qui sont énumérées dans RFC 1918. L’IETF a mis de côté ces plages pour les espaces d’adressage privés et non routables.
- 10.0.0.0 à 10.255.255.255 (préfixe 10/8)
- 172.16.0.0 à 172.31.255.255 (préfixe 172.16/12)
- 192.168.0.0 à 192.168.255.255 (préfixe 192.168/16)
Vous pouvez également déployer l’espace d’adressage partagé réservé indiqué dans RFC 6598, qui est traité comme un espace d’adressage IP privé dans Azure :
- 100.64.0.0 à 100.127.255.255 (préfixe 100.64/10)
D’autres espaces d’adressage, y compris tous les autres espaces d’adressage privés et non routables reconnus par l’IETF, peuvent fonctionner, mais ils peuvent avoir des effets secondaires indésirables.
En outre, vous ne pouvez pas ajouter les plages d’adresses suivantes :
- 224.0.0.0/4 (multicast)
- 255.255.255.255/32 (diffusion)
- 127.0.0.0/8 (bouclage)
- 169.254.0.0/16 (lien-local)
- 168.63.129.16/32 (DNS interne)
Puis-je avoir des adresses IP publiques dans mes réseaux virtuels ?
Oui. Pour plus d’informations sur les plages d’adresses IP publiques, consultez Create a virtual network (Créer un réseau virtuel). Les adresses IP publiques ne sont pas directement accessibles à partir d’Internet.
Y a-t-il une limite au nombre de sous-réseaux dans mon réseau virtuel ?
Oui. Pour plus d’informations, consultez Limites de mise en réseau. Les espaces d’adressage de sous-réseau ne peuvent pas se chevaucher.
Existe-t-il des restrictions sur l’utilisation des adresses IP au sein de ces sous-réseaux ?
Oui. Azure réserve les quatre premières adresses et la dernière adresse pour un total de cinq adresses IP au sein de chaque sous-réseau.
Par exemple, la plage d’adresses IP 192.168.1.0/24 a les adresses réservées suivantes :
- 192.168.1.0 : adresse réseau.
- 192.168.1.1 : réservée par Azure pour la passerelle par défaut.
- 192.168.1.2, 192.168.1.3 : réservées par Azure pour mapper les adresses IP Azure DNS à l’espace réseau virtuel.
- 192.168.1.255 : adresse de diffusion réseau.
Quelles sont les tailles minimale et maximale des réseaux virtuels et des sous-réseaux ?
Le plus petit sous-réseau IPv4 pris en charge est /29 et le plus grand est /2 (à l’aide des définitions de sous-réseaux CIDR). La taille des sous-réseaux IPv6 doit être exactement de /64.
Puis-je afficher les VLAN dans Azure en utilisant des réseaux virtuels ?
Nombre Les réseaux virtuels sont des superpositions de couche 3. Azure ne prend en charge aucune sémantique de couche 2.
Pouvez-vous spécifier des stratégies de routage personnalisées dans vos réseaux virtuels et sous-réseaux ?
Oui. Vous pouvez créer une table de routage et l’associer à un sous-réseau. Pour plus d’informations sur le routage dans Azure, consultez Itinéraires personnalisés.
Quel est le comportement quand j’applique à la fois un groupe de sécurité réseau et un itinéraire défini par l’utilisateur sur le sous-réseau ?
Pour le trafic entrant, les règles de trafic entrant du groupe de sécurité réseau (NSG) sont traitées. Pour le trafic sortant, les règles de trafic sortant du NSG sont traitées, suivies par les règles d’itinéraire défini par l’utilisateur (UDR).
Quel est le comportement quand j’applique un groupe de sécurité réseau (NSG) à la carte réseau et un sous-réseau pour une machine virtuelle ?
Lorsque vous appliquez des NSG à une carte réseau (NIC) et un sous-réseau pour une machine virtuelle :
- Un NSG au niveau du sous-réseau, suivi d’un NSG au niveau de la carte réseau, est traité pour le trafic entrant.
- Un NSG au niveau de la carte réseau, suivi d’un NSG au niveau du sous-réseau, est traité pour le trafic sortant.
Les réseaux virtuels prennent-ils en charge la multidiffusion ou la diffusion ?
Nombre La multidiffusion et la diffusion ne sont pas prises en charge.
Quels protocoles puis-je utiliser dans les réseaux virtuels ?
Vous pouvez utiliser les protocoles TCP, UDP, ESP, AH et ICMP TCP/IP au sein des réseaux virtuels.
La monodiffusion est prise en charge dans les réseaux virtuels. La multidiffusion, la diffusion, les paquets encapsulés IP dans IP et les paquets GRE (Generic Routing Encapsulation) sont bloqués dans les réseaux virtuels. Vous ne pouvez pas utiliser le protocole de configuration dynamique des hôtes (DHCP) via Monodiffusion (port source UDP/68, port de destination UDP/67). Port source UDP 65330 est réservé à l’hôte.
Puis-je déployer un serveur DHCP dans un réseau virtuel ?
Les réseaux virtuels Azure fournissent aux machines virtuelles un service DHCP et un service Machines Virtuelles Azure. Toutefois, vous pouvez également déployer un serveur DHCP sur une machine virtuelle Azure pour servir les clients locaux via un agent de relais DHCP.
Le serveur DHCP dans Azure a été précédemment marqué comme non pris en charge, car le trafic vers le port UDP/67 était limité dans Azure. Toutefois, les mises à jour récentes de la plateforme ont supprimé la limitation du débit, ce qui permet cette fonctionnalité.
Remarque
Le client local vers le serveur DHCP (port source UDP/68, port de destination UDP/67) n’est toujours pas pris en charge dans Azure, car ce trafic est intercepté et géré différemment. Cela entraîne des messages de délai d’expiration au moment du renouvellement DHCP au niveau T1 lorsque le client tente directement d’atteindre le serveur DHCP dans Azure. Le RENOUVELLEMENT DHCP fonctionnera lorsque la tentative de RENOUVELLEMENT DHCP est effectuée au niveau T2 via l’agent de relais DHCP. Pour plus d’informations sur les minuteurs T1 et T2 DHCP RENEW, consultez RFC 2131.
Puis-je effectuer un test ping sur une passerelle par défaut dans un réseau virtuel ?
Nombre Une passerelle par défaut fournie par Azure ne répond pas à un ping. Toutefois, vous pouvez utiliser les tests ping dans vos réseaux virtuels pour vérifier la connectivité et la résolution des problèmes entre les machines virtuelles.
Puis-je utiliser l’application tracert pour diagnostiquer la connectivité ?
Oui.
Puis-je ajouter des sous-réseaux une fois le réseau virtuel créé ?
Oui. Vous pouvez ajouter des sous-réseaux aux réseaux virtuels à tout moment, tant que ces deux conditions sont remplies :
- La plage d’adresses de sous-réseau ne fait pas partie d’un autre sous-réseau.
- Il y a de l’espace disponible dans la plage d’adresses du réseau virtuel.
Puis-je modifier la taille de mon sous-réseau après sa création ?
Oui. Vous pouvez ajouter, supprimer, développer ou réduire un sous-réseau si aucune machine virtuelle ou aucun service n’y est déployé.
Puis-je modifier un réseau virtuel après l’avoir créé ?
Oui. Vous pouvez ajouter, supprimer et modifier les blocs CIDR utilisés par un réseau virtuel.
Si j’exécute mes services dans un réseau virtuel, puis-je me connecter à Internet ?
Oui. Tous les services déployés dans un réseau virtuel peuvent se avoir une connexion sortante à Internet. Pour en savoir plus sur les connexions sortantes à Internet dans Azure, consultez Utiliser la traduction d’adresses réseau source (SNAT) pour les connexions sortantes.
Si vous souhaitez vous connecter en entrée à une ressource déployée par le biais d’Azure Resource Manager, la ressource doit avoir une adresse IP publique qui lui est affectée. Pour plus d’informations, consultez Créer, changer ou supprimer une adresse IP publique Azure.
Chaque service cloud déployé dans Azure dispose d’une adresse IP virtuelle (VIP) publiquement adressable qui lui est assignée. Vous définissez des points de terminaison d’entrée pour les points de terminaison et les rôles PaaS (Platform as a Service) des machines virtuelles afin de permettre à ces services d’accepter les connexions à partir d’Internet.
Les réseaux virtuels prennent-ils en charge le protocole IPv6 ?
Oui. Les réseaux virtuels peuvent être IPv4 seulement ou à double pile (IPv4 + IPv6). Pour obtenir des détails, consultez Qu’est-ce que le protocole IPv6 pour Réseau virtuel Azure ?.
Un réseau virtuel peut-il couvrir plusieurs régions ?
Nombre Un réseau virtuel est limité à une seule région. Un réseau virtuel peut toutefois couvrir plusieurs zones de disponibilité. Pour plus d’informations sur les zones de disponibilité, consultez Que sont les zones de disponibilité et les régions Azure ?.
Vous pouvez connecter des réseaux virtuels dans différentes régions à l’aide d’un appairage de réseaux virtuels. Pour obtenir des détails, consultez Appairage de réseaux virtuels.
Puis-je connecter un réseau virtuel à un autre réseau virtuel dans Azure ?
Oui. Vous pouvez connecter un réseau virtuel à un autre réseau virtuel à l’aide de :
- Peering de réseaux virtuels. Pour obtenir des détails, consultez Appairage de réseaux virtuels.
- Une passerelle VPN Azure. Pour plus d’informations, consultez Configurer une connexion de passerelle VPN de réseau à réseau.
Résolution de noms (DNS)
Quelles sont les options DNS pour les réseaux virtuels ?
Utilisez la table de décision dans Résolution de noms pour les ressources dans les réseaux virtuels Azure pour vous guider à travers les options DNS disponibles.
Puis-je spécifier des serveurs DNS pour un réseau virtuel ?
Oui. Vous pouvez spécifier des adresses IP pour les serveurs DNS dans les paramètres du réseau virtuel. Le paramètre est appliqué en tant que serveur ou serveurs DNS par défaut pour toutes les machines virtuelles du réseau virtuel.
Combien de serveurs DNS puis-je spécifier ?
Consultez Limites de mise en réseau.
Puis-je modifier mes serveurs DNS une fois le réseau créé ?
Oui. Vous pouvez modifier la liste des serveurs DNS pour votre réseau virtuel à tout moment.
Si vous modifiez votre liste de serveurs DNS, vous devez effectuer un renouvellement de bail DHCP sur toutes les machines virtuelles affectées dans le réseau virtuel. Les nouveaux paramètres DNS prennent effet après le renouvellement du bail. Pour les machines virtuelles exécutant Windows, vous pouvez renouveler le bail en entrant ipconfig /renew
directement sur la machine virtuelle. Pour d’autres types de système d’exploitation, reportez-vous à la documentation relative au renouvellement du bail DHCP.
Qu'est-ce que le système DNS fourni par Azure et fonctionne-t-il avec les réseaux virtuels ?
Le DNS fourni par Azure est un service DNS multilocataire proposé par Microsoft. Azure enregistre toutes vos machines virtuelles et instances de rôle de service cloud dans ce service. Ce service fournit la résolution de noms :
- Par nom d’hôte pour les machines virtuelles et les instances de rôle dans le même service cloud.
- Par nom de domaine complet (FQDN) pour les machines virtuelles et les instances de rôle dans le même réseau virtuel.
Pour en savoir plus sur le DNS, consultez Résolution de noms pour les ressources dans les réseaux virtuels Azure.
Il existe une limitation aux 100 premiers services cloud du réseau virtuel pour la résolution de noms multilocataire à l’aide du DNS fourni par Azure. Si vous utilisez votre propre serveur DNS, cette restriction ne s’applique pas.
Puis-je remplacer mes paramètres DNS pour chaque machine virtuelle ou service cloud ?
Oui. Vous pouvez configurer des serveurs DNS pour chaque machine virtuelle ou service cloud pour remplacer les paramètres réseau par défaut. Toutefois, nous vous recommandons d’utiliser autant que possible le DNS à l’échelle du réseau.
Puis-je afficher mon propre suffixe DNS ?
Nombre Vous ne pouvez pas spécifier un suffixe DNS personnalisé pour vos réseaux virtuels.
Connexion aux machines virtuelles
Puis-je déployer des machines virtuelles sur un réseau virtuel ?
Oui. Toutes les cartes réseau (NIC) attachées à une machine virtuelle déployée via le modèle de déploiement Resource Manager doivent être connectées à un réseau virtuel. Si vous le souhaitez, vous pouvez connecter des machines virtuelles déployées via le modèle de déploiement classique à un réseau virtuel.
Quels sont les types d’adresses IP que je peux attribuer aux machines virtuelles ?
Privé : attribué à chaque carte réseau au sein de chaque machine virtuelle, par le biais de la méthode statique ou dynamique. Les adresses IP privées sont affectées à partir de la plage que vous avez spécifiée dans les paramètres de sous-réseau de votre réseau virtuel.
Les ressources déployées par le biais du modèle de déploiement classique se voient attribuer des adresses IP privées, même si elles ne sont pas connectées à un réseau virtuel. Le comportement de la méthode d’allocation est différent selon que vous avez déployé une ressource avec le modèle de déploiement Resource Manager ou classique :
- Resource Manager : une adresse IP privée attribuée avec la méthode statique ou dynamique reste associée à une machine virtuelle (Resource Manager) jusqu’à ce que la ressource soit supprimée. La différence est que vous sélectionnez l’adresse à attribuer lorsque vous utilisez la méthode statique, alors que vous laissez Azure choisir quand vous utilisez la méthode dynamique.
- Classique : une adresse IP privée attribuée avec la méthode dynamique peut changer lorsqu’une machine virtuelle (classique) est redémarrée après avoir été arrêtée (libérée). Si vous devez vous assurer que l’adresse IP privée d’une ressource déployée via le modèle de déploiement classique ne change jamais, attribuez une adresse IP privée en utilisant la méthode statique.
Public : attribué (de manière facultative) aux cartes réseau attachées aux machines virtuelles déployées via le modèle de déploiement Resource Manager. Vous pouvez attribuer l’adresse à l’aide de la méthode d’allocation statique ou dynamique.
Toutes les machines virtuelles et les instances de rôle Azure Cloud Services déployées via le modèle de déploiement classique existent au sein d’un service cloud. Une adresse IP virtuelle publique dynamique est affectée au service cloud. Vous pouvez également, de manière facultative, attribuer une adresse IP statique publique, appelée Adresse IP réservée, en tant qu’adresse IP virtuelle.
Vous pouvez attribuer des adresses IP publiques à des machines virtuelles ou instances de rôle de services cloud individuelles déployées via le modèle de déploiement classique. Ces adresses sont appelées Adresses IP publiques de niveau d’instance (ILPIP) et peuvent être attribuées de manière dynamique.
Puis-je réserver une adresse IP privée pour une machine virtuelle que je n’ai pas encore créée ?
Nombre Vous ne pouvez pas réserver d’adresse IP privée. Si une adresse IP privée est disponible, le serveur DHCP l’affecte à une machine virtuelle ou à une instance de rôle. La machine virtuelle peut être celle à laquelle vous souhaitez attribuer l’adresse IP privée, ou non. En revanche, vous pouvez modifier l’adresse IP privée d’une machine virtuelle existante et utiliser n’importe quelle adresse IP privée disponible.
Les adresses IP privées des machines virtuelles d’un réseau virtuel peuvent-elles changer ?
Ça dépend. Si vous avez déployé la machine virtuelle à l’aide de Resource Manager, les adresses IP ne peuvent pas changer, que vous ayez affecté les adresses à l’aide de la méthode d’allocation statique ou dynamique. Si vous avez déployé la machine virtuelle à l’aide du modèle de déploiement classique, les adresses IP dynamiques peuvent changer lorsque vous démarrez une machine virtuelle arrêtée (libérée).
L’adresse est libérée d’une machine virtuelle déployée via l’un des deux modèles de déploiement lorsque vous supprimez la machine virtuelle.
Puis-je attribuer manuellement des adresses IP aux cartes réseau au sein du système d’exploitation de la machine virtuelle ?
Oui, mais cela n’est pas recommandé, sauf si nécessaire, par exemple lorsque vous affectez plusieurs adresses IP à une machine virtuelle. Pour plus de détails, consultez Affecter plusieurs adresses IP à des machines virtuelles.
Si l’adresse IP attribuée à une carte réseau Azure jointe à une machine virtuelle fait l’objet de modifications et si l’adresse IP au sein du système d’exploitation de la machine virtuelle est différente, vous perdez la connectivité à la machine virtuelle.
Si j’arrête un emplacement de déploiement de service cloud ou si j’arrête une machine virtuelle à partir du système d’exploitation, que se passe-t-il pour mes adresses IP ?
Rien. Les adresses IP (virtuelle publique, publique et privée) restent affectées à la machine virtuelle ou à l’emplacement de déploiement du service cloud.
Puis-je déplacer des machines virtuelles d’un sous-réseau vers un autre à l’intérieur d’un réseau virtuel sans effectuer de redéploiement ?
Oui. Vous trouverez plus d’informations dans Déplacement d’une machine virtuelle ou d’une instance de rôle vers un autre sous-réseau.
Puis-je configurer une adresse MAC statique pour ma machine virtuelle ?
Nombre Vous ne pouvez pas configurer statiquement une adresse MAC.
Une fois créée, l’adresse MAC reste-t-elle la même pour ma machine virtuelle ?
Oui. L’adresse MAC reste la même pour une machine virtuelle déployée via les modèles de déploiement Resource Manager et classique jusqu’à sa suppression.
Auparavant, l’adresse MAC était libérée lorsque vous arrêtiez (libériez) la machine virtuelle. Mais maintenant, la machine virtuelle conserve son adresse MAC lorsqu’elle est dans l’état libéré. L’adresse MAC reste affectée à la carte réseau jusqu’à ce que vous effectuez l’une des tâches suivantes :
- Supprimer la carte réseau.
- Modifier l’adresse IP privée affectée à la configuration IP principale de la carte réseau principale.
Puis-je me connecter à Internet à partir d’une machine virtuelle dans un réseau virtuel ?
Oui. Toutes les machines virtuelles et les instances de rôle de Services cloud déployés au sein d’un réseau virtuel peuvent se connecter à Internet.
Services Azure qui se connectent à des réseaux virtuels
Puis-je utiliser des applications web avec un réseau virtuel ?
Oui. Vous pouvez déployer la fonctionnalité Web Apps d’Azure App Service au sein d’un réseau virtuel en utilisant une instance d’App Service Environment. Vous pouvez ensuite :
- Connectez le back-end de vos applications à vos réseaux virtuels à l’aide de l’intégration de réseau virtuel.
- Verrouillez le trafic entrant vers votre application à l’aide de points de terminaison de service.
Pour plus d’informations, consultez les articles suivants :
- Fonctionnalités de mise en réseau App Service
- Utiliser un environnement App Service Environment
- Intégrer votre application à un réseau virtuel Azure
- Configurer des restrictions d’accès dans Azure App Service
Puis-je déployer des Services cloud avec les rôles web et worker (PaaS) dans un réseau virtuel ?
Oui. Vous pouvez déployer (de manière facultative) des instances de rôle de Services cloud dans des réseaux virtuels. Pour cela, vous spécifiez le nom de réseau virtuel et les mappages rôle/sous-réseau dans la section de configuration réseau de votre configuration de service. Il est inutile de mettre à jour vos fichiers binaires.
Puis-je connecter un groupe de machines virtuelles identiques à un réseau virtuel ?
Oui. Vous devez connecter un groupe de machines virtuelles identiques à un réseau virtuel.
Existe-t-il une liste complète des services Azure à partir desquels je peux déployer des ressources dans un réseau virtuel ?
Oui. Pour plus d’informations, consultez Déployer des services Azure dédiés dans des réseaux virtuels.
Comment puis-je restreindre l’accès à des ressources PaaS Azure depuis un réseau virtuel ?
Les ressources déployées via certains services PaaS Azure (comme Stockage Azure et Azure SQL Database) peuvent restreindre l’accès réseau à un réseau virtuel via l’utilisation de points de terminaison de service de réseau virtuel ou d’Azure Private Link. Pour plus d’informations, consultez Points de terminaison de service de réseau virtuel et Qu’est-ce qu’Azure Private Link ?.
Pouvez-vous déplacer les services vers ou hors des réseaux virtuels ?
Nombre Vous ne pouvez pas déplacer des services vers ou hors des réseaux virtuels. Pour déplacer une ressource vers un autre réseau virtuel, vous devez supprimer et redéployer la ressource.
Sécurité
Quel est le modèle de sécurité des réseaux virtuels ?
Les réseaux virtuels sont isolés les uns des autres et des autres services hébergés dans l'infrastructure Azure. Un réseau virtuel est une limite d’approbation.
Puis-je restreindre le flux de trafic entrant ou sortant aux ressources connectées à un réseau virtuel ?
Oui. Vous pouvez appliquer des groupes de sécurité réseau à des sous-réseaux individuels d’un réseau virtuel, à des cartes réseau attachées à un réseau virtuel, ou les deux.
Puis-je implémenter un pare-feu entre des ressources connectées à un réseau virtuel ?
Oui. Vous pouvez déployer une appliance virtuelle réseau de pare-feu à partir de plusieurs fournisseurs via la Place de marché Azure.
Des informations sur la sécurisation des réseaux virtuels sont-elles disponibles ?
Oui. Consultez Présentation de la sécurité du réseau Azure.
Les réseaux virtuels stockent-ils des données client ?
Nombre Les réseaux virtuels ne stockent aucune donnée client.
Puis-je définir la propriété FlowTimeoutInMinutes pour l’ensemble d’un abonnement ?
Nombre Vous devez définir la propriété FlowTimeoutInMinutes sur le réseau virtuel. Le code suivant peut vous aider à définir cette propriété automatiquement pour les abonnements plus volumineux :
$Allvnet = Get-AzVirtualNetwork
$time = 4 #The value should be 4 to 30 minutes (inclusive) to enable tracking, or null to disable tracking.
ForEach ($vnet in $Allvnet)
{
$vnet.FlowTimeoutInMinutes = $time
$vnet | Set-AzVirtualNetwork
}
API, schémas et outils
Puis-je gérer des réseaux virtuels avec du code ?
Oui. Vous pouvez utiliser des API REST pour les réseaux virtuels dans les modèles de déploiement Azure Resource Manager et classique.
Existe-t-il une prise en charge des outils pour les réseaux virtuels ?
Oui. En savoir plus sur l’utilisation des éléments suivants :
- Le portail Azure pour déployer des réseaux virtuels via les modèles de déploiement Azure Resource Manager et classique.
- PowerShell pour gérer les réseaux virtuels déployés via le modèle de déploiement Resource Manager.
- Azure CLI ou l’interface CLI classique Azure pour déployer et gérer les réseaux virtuels déployés via les modèles de déploiement Resource Manager et classique.
Peering de réseau virtuel
Qu’est-ce que l’appairage de réseaux virtuels ?
L’appairage de réseaux virtuels permet de connecter des réseaux virtuels. Une connexion d’appairage entre réseaux virtuels vous permet d’acheminer le trafic entre eux de façon privée par le biais d’adresses IPv4.
Les machines virtuelles dans les réseaux virtuels appairés peuvent communiquer entre elles comme si elles se trouvaient dans le même réseau. Ces réseaux virtuels peuvent appartenir à la même région ou à des régions différentes (connexion également appelée appairage de réseaux virtuels global).
Vous pouvez également créer des connexions d’appairage de réseaux virtuels entre des abonnements Azure différents.
Puis-je créer une connexion d’appairage à un réseau virtuel dans une autre région ?
Oui. L’appairage de réseaux virtuels global vous permet d’appairer des réseaux virtuels dans différentes régions. L’appairage de réseaux virtuels global est disponible dans toutes les régions publiques Azure, dans les régions cloud de Chine et dans les régions cloud Government. Vous ne pouvez pas procéder à un appairage global entre des régions publiques Azure et des régions cloud nationales.
Quelles sont les contraintes liées à l’appairage de réseaux virtuels global et aux équilibreurs de charge ?
Si deux réseaux virtuels dans deux régions différentes sont appairés via un appairage de réseaux virtuels global, vous ne pouvez pas vous connecter aux ressources qui se trouvent derrière un équilibreur de charge de base par le biais de l’adresse IP frontale de l’équilibreur de charge. Cette restriction ne s’applique pas aux équilibreurs de charge standard.
Les ressources suivantes peuvent utiliser des équilibreurs de charge de base, ce qui signifie que vous ne pouvez pas les atteindre via l’adresse IP frontale de l’équilibreur de charge pour un appairage de réseaux virtuels global. Toutefois, vous pouvez utiliser l’appairage de réseaux virtuels global pour atteindre les ressources directement via leurs adresses IP dans le réseau virtuel privé, si cela est autorisé.
- Machines virtuelles sur lesquelles reposent les équilibreurs de charge de base
- Groupes de machines virtuelles identiques avec des équilibreurs de charge de base
- Cache Azure pour Redis
- Azure Application Gateway v1
- Azure Service Fabric
- Gestion des API Azure stv1
- Services de domaine Microsoft Entra
- Azure Logic Apps
- Azure HDInsight
- Azure Batch
- App Service Environment v1 et v2
Vous pouvez vous connecter à ces ressources via Azure ExpressRoute ou des connexions de réseau à réseau via des passerelles de réseau virtuel.
Puis-je activer l’appairage de réseaux virtuels si mes réseaux virtuels font partie d’abonnements de différents locataires Microsoft Entra ?
Oui. Il est possible d’établir un appairage de réseaux virtuels (local ou global) si vos abonnements appartiennent à différents locataires Microsoft Entra. Pour cela, vous pouvez utiliser le portail Azure, PowerShell, ou Azure CLI.
Ma connexion d’appairage de réseaux virtuels est à l’état Initié. Pourquoi ne puis-je pas me connecter ?
Si votre connexion d’appairage est à l’état Initié, cela signifie que vous n’avez créé qu’un seul lien. Vous devez créer un lien bidirectionnel pour établir une connexion réussie.
Par exemple, pour appairer le réseau virtuel A au réseau virtuel B, un lien doit être créé du réseau A vers le réseau B et du réseau B vers le réseau A. La création des deux liens modifie l’état à Connecté.
Ma connexion d’appairage de réseaux virtuels est à l’état Déconnecté. Pourquoi ne puis-je pas créer une connexion d’appairage ?
Si votre connexion d’appairage de réseaux virtuels se trouve à l’état Déconnecté, un des liens que vous avez créés a été supprimé. Pour rétablir une connexion d’appairage, vous devez supprimer le lien restant et recréer les deux.
Puis-je appairer mon réseau virtuel à un réseau virtuel dans un autre abonnement ?
Oui. Vous pouvez appairer des réseaux virtuels de différents abonnements ou dans différentes régions.
Puis-je appairer deux réseaux virtuels qui ont des plages d’adresses correspondantes ou qui se chevauchent ?
Nombre Vous ne pouvez pas activer l’appairage de réseaux virtuels si les espaces d’adressage se chevauchent.
Puis-je appairer un réseau virtuel à deux réseaux virtuels avec l’option Utiliser la passerelle distante activée sur les deux appairages ?
Nombre Vous pouvez activer l’option Utiliser la passerelle distante sur un seul appairage avec l’un des réseaux virtuels.
Puis-je déplacer un réseau virtuel disposant d’une connexion de peering vers un autre réseau virtuel ?
Non. Vous ne pouvez pas déplacer un réseau virtuel disposant d’une connexion de peering vers un autre réseau virtuel. Vous devez supprimer la connexion de peering avant de déplacer le réseau virtuel.
Combien coûtent les liens d’appairage de réseaux virtuels ?
La création d’une connexion d’appairage de réseaux virtuels n’est pas facturée. Le transfert de données entre des connexions de peering est facturé. Pour plus d’informations, consultez la page de tarification de Réseau virtuel Azure.
Le trafic de l’appairage de réseaux virtuels est-il chiffré ?
Quand le trafic Azure se déplace entre des centres de données (hors limites physiques non contrôlées par Microsoft ou pour le compte de Microsoft), le matériel réseau sous-jacent utilise le chiffrement de la couche de liaison de données MACsec. Ce chiffrement s’applique au trafic d’appairage de réseaux virtuels.
Pourquoi ma connexion de peering est-elle dans un état Déconnecté ?
Les connexions d’appairage de réseaux virtuels passent à un état Déconnecté lorsqu’un lien d’appairage de réseaux virtuels est supprimé. Vous devez supprimer les deux liens pour pouvoir rétablir une connexion d’appairage.
Si j’effectue une homologation entre VNetA et VNetB, et que je dois également le faire entre VNetB et VNetC, cela signifie-il que VNetA et VNetC sont homologués ?
Non. Le peering transitif n’est pas pris en charge. Vous devez appairer manuellement VNetA à VNetC.
Des restrictions de bande passante s’appliquent-elles aux connexions de peering ?
Nombre L’appairage de réseaux virtuels, qu’il soit local ou global, n’impose aucune restriction de bande passante. La bande passante est limitée uniquement par la machine virtuelle ou les ressources de calcul.
Comment résoudre les problèmes liés à l’appairage de réseaux virtuels ?
Essayez le Guide de résolution des problèmes.
TAP de réseau virtuel
Quelles régions Azure sont disponibles pour le TAP de réseau virtuel ?
La préversion du point d’accès de terminal de réseau virtuel (TAP) est disponible dans toutes les régions Azure. Vous devez déployer les cartes réseau supervisées, la ressource TAP de réseau virtuel, ainsi que la solution du collecteur ou d’analyse dans la même région.
Le TAP de réseau virtuel prend-il en charge des fonctionnalités de filtrage sur les paquets mis en miroir ?
Les fonctionnalités de filtrage ne sont pas prises en charge avec la préversion du TAP de réseau virtuel. Quand vous ajoutez une configuration TAP à une carte réseau, une copie complète de tout le trafic entrant et sortant sur la carte réseau est diffusée en continu vers la destination TAP.
Puis-je ajouter plusieurs configurations TAP à une carte réseau supervisée ?
Une carte réseau supervisée ne peut avoir qu’une seule configuration TAP. Vérifiez auprès de la solution de partenaire individuelle si elle dispose de la capacité à diffuser en continu plusieurs copies du trafic TAP vers les outils d’analytique de votre choix.
La même ressource TAP de réseau virtuel peut-elle agréger le trafic en provenance de cartes réseau supervisées dans plusieurs réseaux virtuels ?
Oui. Vous pouvez utiliser la même ressource TAP de réseau virtuel pour agréger le trafic mis en miroir en provenance de cartes réseau supervisées dans des réseaux virtuels appairés d’un même abonnement ou d’un autre abonnement.
La ressource TAP de réseau virtuel et l’équilibreur de charge de destination ou la carte réseau de destination doivent se trouver dans le même abonnement. Tous les abonnements doivent se trouver sous le même locataire Microsoft Entra.
Existe-t-il des considérations relatives aux performances sur le trafic de production si j’active une configuration TAP de réseau virtuel sur une carte réseau ?
Le TAP de réseau virtuel est disponible en préversion. Pendant la période de préversion, il n’existe aucun contrat de niveau de service. Vous ne devez pas utiliser la fonctionnalité pour les charges de travail de production.
Quand vous activez une carte réseau de machine virtuelle avec une configuration TAP, les mêmes ressources sur l’hôte Azure allouées à la machine virtuelle pour envoyer le trafic de production sont utilisées pour exécuter la fonction de mise en miroir et envoyer les paquets mis en miroir. Sélectionnez la taille de machine virtuelle Linux ou Windows appropriée pour garantir que suffisamment de ressources sont disponibles pour que la machine virtuelle envoie le trafic de production et le trafic mis en miroir.
La mise en réseau accélérée pour Linux ou Windows est-elle prise en charge avec le TAP de réseau virtuel ?
Vous pouvez ajouter une configuration TAP sur une carte réseau attachée à une machine virtuelle activée avec des performances réseau accélérées pour Linux ou Windows. Toutefois, l’ajout de la configuration TAP affecte les performances et la latence sur la machine virtuelle, car les performances réseau accélérées Azure ne prennent actuellement pas en charge le déchargement pour la mise en miroir du trafic.
Points de terminaison de service de réseau virtuel
Dans quel ordre faut-il effectuer les opérations pour configurer les points de terminaison d’un service Azure ?
La sécurisation d’une ressource de service Azure avec des points de terminaison de service s’effectue en deux étapes :
- Activez les points de terminaison du service Azure.
- Configurez des listes de contrôle d’accès (ACL) au réseau virtuel sur le service Azure.
La première étape s’effectue côté réseau et la deuxième côté ressources de service. Le même administrateur ou des administrateurs différents peuvent effectuer les étapes, en fonction des autorisations de contrôle d’accès en fonction du rôle (RBAC) Azure accordées au rôle Administrateur.
Nous vous recommandons d’activer les points de terminaison de service pour votre réseau virtuel avant de configurer les ACL du réseau virtuel du côté du service Azure. Pour configurer des points de terminaison de service de réseau virtuel, vous devez effectuer les étapes décrites dans la séquence précédente.
Remarque
Vous devez effectuer les deux opérations précédentes avant de pouvoir limiter l’accès au service Azure au réseau virtuel et au sous-réseau autorisés. La simple activation des points de terminaison du service Azure côté réseau ne vous permet pas de définir un accès limité. Vous devez également configurer les ACL du réseau virtuel du côté du service Azure.
Certains services (comme Azure SQL et Azure Cosmos DB) autorisent des exceptions à la séquence précédente, avec l’indicateur IgnoreMissingVnetServiceEndpoint
. Après avoir défini l’indicateur sur True
, vous pouvez configurer des listes de contrôle d’accès de réseau virtuel du côté du service Azure avant d’activer les points de terminaison de service côté réseau. Les services Azure fournissent cet indicateur pour aider les clients dans les cas où les pare-feu IP spécifiques sont configurés sur les services Azure.
Activer les points de terminaison de service côté réseau peut causer une perte de connectivité, car l’IP source change d’une adresse IPv4 publique en une adresse privée. La configuration des ACL du réseau virtuel sur le service Azure avant l’activation des points de terminaison de service côté réseau peut éviter une baisse de connectivité.
Remarque
Si vous activez Service Endpoint sur certains services comme « Microsoft.AzureActiveDirectory », vous pouvez voir les connexions d'adresses IPV6 dans les journaux de connexion. Microsoft utilise une plage privée IPV6 interne pour ce type de connexions.
Tous les services Azure résident-ils sur le réseau virtuel Azure fourni par le client ? Comment le point de terminaison de service d’un réseau virtuel fonctionne-t-il avec les services Azure ?
Tous les services Azure ne résident pas sur le réseau virtuel du client. La majorité des services de données Azure, comme le Stockage Azure, Azure SQL et Azure Cosmos DB, sont des services multilocataires accessibles via des adresses IP publiques. Pour plus d’informations, consultez Déployer des services Azure dédiés dans des réseaux virtuels.
Lorsque vous activez les points de terminaison de service de réseau virtuel côté réseau et que vous configurez les listes de contrôle d’accès de réseau virtuel appropriées du côté du service Azure, l’accès à un service Azure est limité à un réseau virtuel et un sous-réseau autorisés.
Comment les points de terminaison de service de réseau virtuel assurent-ils la sécurité ?
Les points de terminaison de service de réseau virtuel limitent l’accès au service Azure au réseau virtuel et au sous-réseau autorisés. De cette façon, ils fournissent une sécurité au niveau du réseau et une isolation du trafic du service Azure.
Tout le trafic qui utilise des points de terminaison de service de réseau virtuel transite sur le réseau principal Microsoft pour fournir une autre couche d’isolation de l’Internet public. Les clients peuvent choisir de supprimer complètement un accès à l’Internet public aux ressources de service Azure et d’autoriser le trafic uniquement à partir de leur réseau virtuel via une combinaison de pare-feu IP et de liste de contrôle d'accès de réseau virtuel. Supprimer l’accès à Internet permet de protéger les ressources du service Azure contre tout accès non autorisé.
Qu’est-ce que le point de terminaison de service de réseau virtuel protège ? Les ressources de réseau virtuel ou les ressources de service Azure ?
Les points de terminaison de service de réseau virtuel permettent de protéger les ressources de service Azure. Les ressources de réseau virtuel sont protégées par le biais de groupes de sécurité réseau.
Quel est le coût d’utilisation des points de terminaison de service de réseau virtuel ?
Nombre L’utilisation des points de terminaison de service de réseau virtuel n’est pas plus coûteuse.
Puis-je activer les points de terminaison de service de réseau virtuel et définir des listes de contrôle d’accès de réseau virtuel si le réseau virtuel et les ressources de service Azure appartiennent à différents abonnements ?
Oui, c’est possible. Les réseaux virtuels et les ressources de service Azure peuvent être dans des abonnements identiques ou différents. La seule condition est que le réseau virtuel et les ressources de service Azure se trouvent sous le même locataire Microsoft Entra.
Puis-je activer les points de terminaison de service de réseau virtuel et définir des listes de contrôle d’accès de réseau virtuel si le réseau virtuel et les ressources de service Azure appartiennent à différents locataires Microsoft Entra ?
Oui, c’est possible si vous utilisez des points de terminaison de service pour Stockage Azure et Azure Key Vault. Pour les autres services, les points de terminaison de service de réseau virtuel et les listes de contrôle d’accès de réseau virtuel ne sont pas pris en charge sur différents locataires Microsoft Entra.
L’adresse IP d’un appareil local connecté par le biais de la passerelle ExpressRoute ou d’une passerelle Réseau virtuel Azure (VPN) peut-elle accéder aux services Azure PaaS via des points de terminaison de service de réseau virtuel ?
Par défaut, les ressources du service Azure sécurisées pour des réseaux virtuels ne sont pas accessibles à partir des réseaux locaux. Si vous souhaitez autoriser le trafic depuis un réseau local, vous devez également autoriser les adresses IP publiques (généralement NAT) à partir de vos circuits locaux ou ExpressRoute. Vous pouvez ajouter ces adresses IP via la configuration du pare-feu IP des ressources du service Azure.
Puis-je utiliser des points de terminaison de service de réseau virtuel pour sécuriser des services Azure pour plusieurs sous-réseaux au sein d’un réseau virtuel ou sur plusieurs réseaux virtuels ?
Afin de sécuriser les services Azure pour plusieurs sous-réseaux au sein d’un réseau virtuel ou sur plusieurs réseaux virtuels, activez les points de terminaison de service côté réseau sur chacun des sous-réseaux indépendamment. Ensuite, sécurisez les ressources de service Azure sur tous les sous-réseaux en configurant les listes de contrôle d’accès de réseau virtuel appropriées du côté du service Azure.
Comment puis-je filtrer le trafic sortant d’un réseau virtuel vers les services Azure en continuant d’utiliser les points de terminaison de service ?
Si vous souhaitez inspecter ou filtrer le trafic destiné à un service Azure à partir d’un réseau virtuel, vous pouvez déployer une appliance virtuelle réseau au sein du réseau virtuel. Vous pouvez ensuite appliquer des points de terminaison de service au sous-réseau sur lequel l’appliance virtuelle réseau est déployée et sécuriser les ressources de service Azure uniquement pour ce sous-réseau via des listes de contrôle d’accès de réseau virtuel.
Ce scénario peut également être utile si vous souhaitez restreindre l’accès aux services Azure à partir de votre réseau virtuel uniquement pour des ressources Azure spécifiques, à l’aide du filtrage des appliances virtuelles réseau. Pour plus d’informations, consultez Déployer des appliances virtuelles réseau hautement disponibles.
Que se passe-t-il quand un utilisateur accède à un compte de service Azure qui a une liste de contrôle d’accès de réseau virtuel activée à partir d’un emplacement extérieur au réseau virtuel ?
Le service retourne une erreur HTTP 403 ou HTTP 404.
Les sous-réseaux d’un réseau virtuel créés dans des régions différentes sont-ils autorisés à accéder à un compte de service Azure dans une autre région ?
Oui. Pour la plupart des services Azure, les réseaux virtuels créés dans différentes régions peuvent accéder aux services Azure dans une autre région via les points de terminaison de service de réseau virtuel. Par exemple, si un compte Azure Cosmos DB se trouve dans la région USA Ouest ou USA Est et si les réseaux virtuels se trouvent dans plusieurs régions, le réseau virtuel peut accéder à Azure Cosmos DB.
Stockage Azure et Azure SQL sont des exceptions et sont de nature régionale. Le réseau virtuel et le service Azure doivent se trouver dans la même région.
Un service Azure peut-il avoir une liste de contrôle d’accès de réseau virtuel et un pare-feu IP ?
Oui. Une liste de contrôle d’accès de réseau virtuel et un pare-feu IP peuvent coexister. Ces deux fonctionnalités se complètent pour garantir l’isolation et la sécurité.
Que se passe-t-il si l’on supprime un réseau virtuel ou un sous-réseau ayant un point de terminaison de service activé pour les services Azure ?
La suppression de réseaux virtuels et la suppression de sous-réseaux sont des opérations indépendantes. Elles sont prises en charge même lorsque vous activez des points de terminaison de service pour les services Azure.
Si vous configurez des listes de contrôle d’accès de réseau virtuel pour les services Azure, les informations de liste de contrôle d’accès associées à ces services Azure sont désactivées lorsque vous supprimez un réseau virtuel ou un sous-réseau sur lequel des points de terminaison de service de réseau virtuel sont activés.
Que se passe-t-il si je supprime un compte de service Azure sur lequel un point de terminaison de service de réseau virtuel est activé ?
La suppression d’un compte de service Azure est une opération indépendante. Elle est prise en charge même si vous avez activé le point de terminaison de service côté réseau et configuré des listes de contrôle d’accès de réseau virtuel du côté du service Azure.
Qu’arrive-t-il à l’adresse IP source d’une ressource (comme une machine virtuelle sur un sous-réseau) ayant des points de terminaison de service de réseau virtuel activés ?
Quand vous activez des points de terminaison de service de réseau virtuel, les adresses IP sources des ressources du sous-réseau de votre réseau virtuel n’utilisent plus des adresses IPv4 publiques mais des adresses IP privées sur le réseau virtuel Azure pour le trafic vers les services Azure. Ce changement peut entraîner une défaillance des pare-feux IP spécifiques préalablement configurés sur une adresse IPv4 publique sur les services Azure.
La route du point de terminaison de service est-elle toujours prioritaire ?
Les points de terminaison de service ajoutent un itinéraire système prioritaire sur les routes BGP (Border Gateway Protocol) et offrent un routage optimal pour le trafic de point de terminaison de service. Les points de terminaison de service acheminent toujours le trafic de service directement à partir de votre réseau virtuel vers le service sur le réseau principal de Microsoft Azure.
Pour en savoir plus sur la façon dont Azure sélectionne un itinéraire, voir Routage du trafic de réseau virtuel.
Les points de terminaison de service fonctionnent-ils avec le protocole ICMP (Internet Control Message Protocol) ?
Nombre Le trafic ICMP qui provient d’un sous-réseau dont les points de terminaison de service sont activés ne prend pas le chemin du tunnel de service vers le point de terminaison souhaité. Les points de terminaison de service ne traitent que le trafic TCP. Si vous souhaitez tester la latence ou la connectivité d’un point de terminaison via des points de terminaison de service, des outils tels que ping et tracert ne montrent pas le véritable chemin que les ressources du sous-réseau empruntent.
Comment le groupe de sécurité réseau d’un sous-réseau fonctionne-t-il avec les points de terminaison de service ?
Pour atteindre le service Azure, les groupes de sécurité réseau doivent autoriser la connectivité sortante. Si vos groupes de sécurité réseau sont ouverts à tout le trafic Internet sortant, le trafic de point de terminaison de service doit fonctionner. Vous pouvez également limiter le trafic sortant aux adresses IP de service seules à l’aide des étiquettes de service.
De quelles autorisations ai-je besoin pour configurer des points de terminaison de service ?
Vous pouvez configurer des points de terminaison de service sur un réseau virtuel indépendamment si vous disposez d’un accès en écriture à ce réseau.
Pour sécuriser les ressources de service Azure pour un réseau virtuel, vous devez disposer de l’autorisation Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action pour les sous-réseaux à ajouter. Cette autorisation est incluse par défaut dans le rôle d’administrateur de service intégré et peut être modifiée en créant des rôles personnalisés.
Pour plus d’informations sur les rôles intégrés et l’attribution d’autorisations spécifiques à des rôles personnalisés, consultez Rôles personnalisés Azure.
Puis-je filtrer le trafic de réseau virtuel vers les services Azure sur des points de terminaison de service ?
Vous pouvez utiliser des stratégies de points de terminaison de service de réseau virtuel pour filtrer le trafic de réseau virtuel vers les services Azure, en autorisant uniquement des ressources de service Azure spécifiques sur les points de terminaison de service. Les stratégies de points de terminaison fournissent un contrôle d’accès granulaire du trafic de réseau virtuel vers les services Azure.
Pour en savoir plus, consultez Stratégies de point de terminaison de service de réseau virtuel pour Stockage Azure.
Microsoft Entra ID prend-il en charge les points de terminaison de service de réseau virtuel ?
Microsoft Entra ID ne prend pas en charge les points de terminaison de service en mode natif. Pour obtenir la liste complète des services Azure qui prennent en charge les points de terminaison de service de réseau virtuel, consultez Points de terminaison de service de réseau virtuel.
Dans la liste, la balise Microsoft.AzureActiveDirectory indiquée sous les services prenant en charge les points de terminaison de service est utilisée pour gérer ces derniers dans Azure Data Lake Storage Gen1. L’intégration au réseau virtuel dans Data Lake Storage Gen1 fait appel à la sécurité des points de terminaison de service de réseau virtuel entre votre réseau virtuel et Microsoft Entra ID afin de générer des revendications de sécurité supplémentaires dans le jeton d’accès. Ces revendications permettent ensuite d’authentifier votre réseau virtuel à votre compte Data Lake Storage Gen1 et d’y accéder.
Le nombre de points de terminaison de service de réseau virtuel que je peux configurer à partir de mon réseau virtuel est-il limité ?
Il n’existe aucune limite sur le nombre total de points de terminaison de service dans un réseau virtuel. Pour une ressource de service Azure (par exemple, un compte de stockage Azure), les services peuvent appliquer des limites sur le nombre de sous-réseaux que vous utilisez pour sécuriser la ressource. Le tableau suivant présente des exemples des limites qui s’appliquent :
Service Azure | Limites sur les règles de réseau virtuel |
---|---|
Stockage Azure | 200 |
Azure SQL | 128 |
Azure Synapse Analytics | 128 |
Azure Key Vault | 200 |
Azure Cosmos DB | 64 |
Azure Event Hubs | 128 |
Azure Service Bus | 128 |
Remarque
Les limites sont sujettes à modifications à la discrétion des services Azure. Reportez-vous aux documents de service correspondants pour obtenir plus de détails.
Migration de ressources réseau classiques vers Resource Manager
Qu'est-ce qu’Azure Service Manager et que signifie le terme « classique » ?
Azure Service Manager est l’ancien modèle de déploiement d’Azure qui était responsable de la création, de la gestion et de la suppression des ressources. Le terme classique dans un service de réseau fait référence aux ressources gérées par le modèle Azure Service Manager. Pour plus d'informations, consultez Comparaison des modèles de déploiement.
Qu’est-ce qu’Azure Resource Manager ?
Azure Resource Manager est le dernier modèle de déploiement et de gestion d’Azure qui est responsable de la création, de la gestion et de la suppression des ressources dans votre abonnement Azure. Pour plus d’informations, consultez Qu’est-ce qu’Azure Resource Manager ?.
Puis-je annuler la migration après la validation des ressources dans Resource Manager ?
Vous pouvez annuler la migration tant que les ressources sont encore en cours de préparation. Le retour au modèle de déploiement précédent n’est pas possible une fois que les ressources ont été correctement migrées avec l’opération de validation.
Puis-je annuler la migration si l'opération de validation a échoué ?
Vous ne pouvez pas annuler une migration si l'opération de validation a échoué. Toutes les opérations de migration, y compris l’opération de validation, ne peuvent être modifiées après les avoir lancées. Nous vous recommandons de retenter l’opération après une brève période. Si l'opération continue d'échouer, envoyez une demande de support.
Puis-je vérifier si mon abonnement ou mes ressources peuvent faire l’objet d’une migration ?
Oui. La première étape de préparation à la migration consiste à vérifier que les ressources peuvent être migrées. Si la validation échoue, vous recevrez des messages indiquant toutes les raisons pour lesquelles la migration ne peut pas aboutir.
Les ressources Application Gateway sont-elles migrées dans le cadre de la migration de réseau virtuel du modèle classique vers Resource Manager ?
Les ressources Azure Application Gateway ne sont pas migrées automatiquement dans le cadre du processus de migration du réseau virtuel. Si elles sont présentes dans le réseau virtuel, la migration échouera. Pour migrer une ressource Application Gateway vers Resource Manager, vous devrez supprimer et recréer l’instance Application Gateway une fois la migration terminée.
Les ressources de passerelle VPN sont-elles migrées dans le cadre de la migration de réseau virtuel du modèle classique vers Resource Manager ?
Les ressources de passerelle VPN sont migrées dans le cadre du processus de migration du réseau virtuel. La migration est effectuée un réseau virtuel à la fois, sans autre exigence. Les étapes de la migration sont les mêmes que pour la migration d’un réseau virtuel sans passerelle VPN.
Une interruption de service est-elle associée à la migration des passerelles VPN classiques vers Resource Manager ?
Vous ne subirez aucune interruption de service avec votre connexion VPN lors de la migration vers Resource Manager. Les charges de travail existantes continueront de fonctionner avec une connectivité locale complète durant la migration.
Dois-je reconfigurer mon appareil local après la migration de la passerelle VPN vers Resource Manager ?
L’adresse IP publique associée à la passerelle VPN reste inchangée, même après la migration. Vous n'avez pas besoin de reconfigurer votre routeur local.
Quels sont les scénarios pris en charge pour la migration de la passerelle VPN classique vers Resource Manager ?
La migration du modèle classique vers Resource Manager couvre la plupart des scénarios de connectivité VPN courants. Les scénarios pris en charge sont les suivants :
Connectivité de point à site.
Connectivité site à site avec une passerelle VPN connectée à un emplacement local.
Connectivité de réseau à réseau entre deux réseaux virtuels qui utilisent des passerelles VPN.
Plusieurs réseaux virtuels connectés au même emplacement local.
Connectivité multisite.
Réseaux virtuels avec tunneling forcé activé.
Quels scénarios ne sont pas pris en charge pour la migration de passerelle VPN du modèle classique vers Resource Manager ?
Les scénarios qui ne sont pas pris en charge incluent :
Réseau virtuel avec une passerelle ExpressRoute et une passerelle VPN.
Un réseau virtuel avec une passerelle ExpressRoute connectée à un circuit dans un autre abonnement.
Scénarios de transit dans lesquels des extensions de machine virtuelle sont connectées à des serveurs locaux.
Où puis-je trouver plus d’informations sur la migration du modèle classique vers Resource Manager ?
Consultez les Questions fréquemment posées sur la migration du modèle classique vers le modèle Azure Resource Manager.
Comment signaler un problème ?
Vous pouvez poster vos questions sur vos problèmes de migration sur la page Questions et réponses Microsoft. Nous vous recommandons de poser toutes vos questions sur ce forum. Si vous disposez d’un contrat d'assistance, vous pouvez également déposer une demande de support.