Partager via

Connecter des réseaux virtuels entre clients à un hub Virtual WAN – Avec Azure CLI

  • Article

Cet article montre comment utiliser Virtual WAN pour connecter un réseau virtuel à un hub virtuel dans un autre locataire. Cette architecture est utile si vous avez des charges de travail de client qui doivent être connectées au même réseau mais qui se trouvent dans des locataires différents. Par exemple, comme l’illustre le diagramme suivant, vous pouvez connecter un réseau virtuel non Contoso (le locataire distant) à un hub virtuel Contoso (le locataire parent).

Diagramme montrant une configuration de routage avec un locataire parent et un locataire distant.

Dans cet article, vous apprendrez comment :

  • Ajouter un autre locataire comme contributeur sur votre abonnement Azure.
  • Connectez un réseau virtuel interlocataire à un hub virtuel.

La procédure suivie pour cette configuration utilise une combinaison du Portail Azure et d’Azure CLI. Cependant, la fonctionnalité proprement dite n’est disponible que dans PowerShell et Azure CLI.

Remarque

Vous ne pouvez gérer des connexions de réseau virtuel interlocataires que via PowerShell ou l’interface de ligne de commande Azure installé sur votre machine locale. Étant donné que le portail Azure ne prend pas en charge les opérations interlocataires, vous ne pouvez pas gérer les connexions de réseau virtuel interlocataires via le portail Azure ou le portail Azure CloudShell (PowerShell et interface CLI).

Avant de commencer

Prérequis

Pour utiliser la procédure décrite dans cet article, la configuration suivante doit déjà être définie dans votre environnement :

  • Un WAN virtuel et un hub virtuel dans votre abonnement parent.
  • Un réseau virtuel configuré dans un abonnement situé dans un autre locataire (distant).
  • Extension CLI Virtual WAN, version 0.3.0 ou ultérieure. Si vous souhaitez obtenir plus d’informations sur l’extension, accédez à Extensions Azure CLI disponibles.

Veillez à ce que l’espace d’adressage du réseau virtuel dans le locataire distant ne chevauche pas d’autres espaces d’adressage dans d’autres réseaux virtuels déjà connectés au hub virtuel parent.

Utiliser Azure CLI

Cet article utilise des commandes Azure CLI. Pour exécuter les commandes, vous pouvez utiliser Azure Cloud Shell. Cloud Shell est un interpréteur de commandes interactif et gratuit, que vous pouvez utiliser pour suivre les étapes mentionnées dans cet article. Il contient des outils Azure courants préinstallés et configurés pour être utilisés avec votre compte.

Pour ouvrir Cloud Shell, il vous suffit de sélectionner Ouvrir Cloud Shell dans le coin supérieur droit d’un bloc de code. Vous pouvez également ouvrir Cloud Shell dans un onglet distinct du navigateur en accédant à Cloud Shell. Dans le menu déroulant en haut à gauche, sélectionnez Bash à la place de PowerShell.

Sélectionnez Copier pour copier les blocs de code, collez ceux-ci dans Cloud Shell, puis sélectionnez Entrée pour les exécuter.

Attribuer des autorisations

  1. Dans l’abonnement du réseau virtuel dans le locataire distant, ajoutez l’attribution de rôle Contributeur à l’administrateur (l’utilisateur qui gère le hub virtuel). Les autorisations de contributeur permettront à l’administrateur de modifier les réseaux virtuels ainsi que et d’y accéder dans le locataire distant.

    Pour attribuer ce rôle, vous pouvez utiliser Azure CLI ou le Portail Azure. Pour découvrir comment procéder, consultez les articles suivants :

  2. Exécutez la commande suivante pour ajouter l’abonnement du tenant (locataire) distant et celui du tenant parent à la session active de la console. Si vous êtes connecté au locataire parent, vous ne devez exécuter la commande que pour le locataire distant.

    az login --tenant "[tenant ID]"

  3. Vérifiez que l’attribution de rôle a réussi. Connectez-vous à Azure CLI en utilisant les informations d’identification du tenant parent (si vous ne l’avez pas encore fait), puis exécutez la commande suivante :

    az account list -o table

    Si les autorisations ont été correctement propagées au parent et ajoutées à la session, les abonnements appartenant aux locataires parent et distant apparaîtront tous deux dans la sortie de la commande.

Connecter un réseau virtuel à un hub

Dans les étapes suivantes, vous allez utiliser des commandes Azure CLI pour lier un hub virtuel à un réseau virtuel dans un abonnement à partir d’un autre tenant. Remplacez les exemples de valeurs pour les adapter à votre propre environnement.

  1. Vérifiez que vous êtes dans le contexte de votre compte de hub virtuel :

    az account set --subscriptionId "[virtual hub subscription]"

  2. Connectez le réseau virtuel au hub :

    az network vhub connection create --resource-group "[resource_group_name]" --name "[connection_name]" --vhub-name "[virtual_hub_name]" --remote-vnet "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rgName/providers/Microsoft.Network/virtualNetworks/vnetName"

La nouvelle connexion apparaît dans Azure CLI ou dans le Portail Azure :

  • Dans la console, les métadonnées de la nouvelle connexion apparaissent si la connexion a été correctement établie.
  • Dans le Azure-Portal, accédez au hub virtuel et sélectionnez Connectivité>Connexions de réseau virtuel. Vous pouvez afficher le pointeur vers la connexion. Pour afficher la ressource actuelle, vous devez disposer des autorisations appropriées.

Résolution des problèmes

  • Vérifiez que l’extension Virtual WAN est 0.3.0 ou une version ultérieure en utilisant az --version.
  • Vérifiez que l’accès à l’abonnement distant est disponible à partir de l’interface CLI az account list -o table.
  • Veillez à mettre les noms des groupes de ressources ou de toute autre variable d’environnement entre guillemets (par exemple, "VirtualHub1" ou "VirtualNetwork1").

Étapes suivantes

  • Pour plus d’informations sur Virtual WAN, consultez la FAQ.