Configurer des passerelles VPN de type actif/actif à l’aide du portail

  • Article

Cet article vous aide à créer des passerelles VPN de type actif/actif hautement disponibles à l’aide du modèle de déploiement Resource Manager et du portail Azure. Vous pouvez également configurer une passerelle de type actif/actif à l’aide de PowerShell.

Pour obtenir une haute disponibilité des connexions intersites et de réseau virtuel à réseau virtuel, vous devez déployer plusieurs passerelles VPN, et établir plusieurs connexions parallèles entre vos réseaux et Azure. Pour une vue d’ensemble des options de connectivité et de la topologie, consultez Connectivité hautement disponible entre différents locaux et de réseau virtuel à réseau virtuel.

Important

Le mode actif/actif est disponible pour toutes les références SKU, sauf De base ou Standard. Consultez l’article Présentation des références SKU de passerelle pour obtenir les dernières informations sur les références SKU, le niveau de performance de passerelle ainsi que les fonctionnalités prises en charge. Pour cette configuration, les adresses IP publiques de référence SKU Standard sont requises. Vous ne pouvez pas utiliser une adresse IP publique de référence SKU Essentiel.

Les étapes décrites dans cet article vous aident à configurer une passerelle VPN en mode actif/actif. Il existe quelques différences entre les modes actif/actif et actif/passif. Les autres propriétés sont les mêmes que celles des passerelles en mode actif/actif.

  • Les passerelles de type actif/actif ont deux configurations IP de passerelle et deux adresses IP publiques.
  • Le paramètre actif/actif est activé pour les passerelles de type actif/actif.
  • La référence SKU de la passerelle de réseau virtuel ne peut pas être De base ou Standard.

Si vous disposez déjà d’une passerelle VPN, vous pouvez Mettre à jour une passerelle VPN existante du mode actif/passif au mode actif/actif, ou inversement.

Créez un réseau virtuel

Si vous ne disposez pas déjà d’un réseau virtuel (VNet) que vous souhaitez utiliser, créez un réseau virtuel à l’aide des valeurs suivantes :

  • Groupe de ressources : TestRG1
  • Nom : VNet1
  • Région : (États-Unis) USA Est
  • Espace d’adressage IPv4 : 10.1.0.0/16
  • Nom du sous-réseau : FrontEnd
  • Espace d’adressage du sous-réseau : 10.1.0.0/24

  1. Connectez-vous au portail Azure.

  2. Dans recherche de ressources, de service et de documents (G+/) en haut de la page du portail, entrez réseau virtuel. Sélectionnez réseau virtuel dans les résultats de recherche Place de marché pour ouvrir la page réseau virtuel.

  3. Dans la page réseau virtuel, sélectionnez Créer pour ouvrir la page Créer un réseau virtuel.

  4. Sous l’onglet De base, configurez les paramètres de réseau virtuel pour détails du projet et les détails de l’instance. Une coche verte s’affiche lorsque les valeurs que vous entrez sont validées. Vous pouvez ajuster les valeurs affichées dans l’exemple en fonction des paramètres dont vous avez besoin.

    Capture d’écran montrant l’onglet De base.

    • Abonnement: vérifiez que l’abonnement listé est approprié. Vous pouvez modifier les abonnements à l’aide de la zone de liste déroulante.
    • Groupe de ressources : sélectionnez un groupe de ressources existant ou sélectionnez Créer nouveau pour en créer un. Pour plus d’informations sur les groupes de ressources, consultez Vue d’ensemble d’Azure Resource Manager.
    • Name : entrez le nom du réseau virtuel.
    • Région: sélectionnez l’emplacement de votre réseau virtuel. L’emplacement détermine l’emplacement où les ressources que vous déployez sur ce réseau virtuel seront actives.

  5. Sélectionnez suivant ou sécurité pour accéder à l’onglet Sécurité. Pour cet exercice, conservez les valeurs par défaut pour tous les services de cette page.

  6. Sélectionnez adresses IP pour accéder à l’onglet Adresses IP. Sous l’onglet adresses IP, configurez les paramètres.

    • Espace d’adressage IPv4 : Un espace d’adressage est créé automatiquement par défaut. Vous pouvez sélectionner l’espace d’adressage et le définir selon vos propres valeurs. Vous pouvez également ajouter un autre espace d’adressage et supprimer la valeur par défaut créée automatiquement. Par exemple, vous pouvez spécifier l’adresse de départ comme 10.1.0.0 et spécifier la taille de l’espace d’adressage comme /16. Sélectionnez ensuite Ajouter pour ajouter cet espace d’adressage.

    • + Ajouter un sous-réseau : si vous utilisez l’espace d’adressage par défaut, un sous-réseau par défaut est créé automatiquement. Si vous modifiez l’espace d’adressage, ajoutez un nouveau sous-réseau dans cet espace d’adressage. Sélectionnez + Ajouter un sous-réseau pour ouvrir la fenêtre Ajouter un sous-réseau. Configurez les paramètres suivants, puis sélectionnez Ajouter en bas de la page pour ajouter les valeurs.

      • Nom de sous-réseau: un exemple est FrontEnd.
      • Plage d’adresses de sous-réseau : plage d’adresses de ce sous-réseau. Les exemples sont 10.1.0.0 et /24.

  7. Passez en revue la page Adresses IP, puis supprimez les espaces d’adressage ou les sous-réseaux dont vous n’avez pas besoin.

  8. Sélectionnez Vérifier + créer pour vérifier les paramètres de réseau virtuel.

  9. Une fois les paramètres validés, sélectionnez Créer pour créer le réseau virtuel.

Créer une passerelle VPN de type actif/actif

Dans cette étape, vous créez la passerelle de réseau virtuel (passerelle VPN) de type actif/actif pour votre réseau virtuel. La création d’une passerelle nécessite généralement au moins 45 minutes, selon la référence SKU de passerelle sélectionnée.

Créez une passerelle de réseau virtuel à l’aide des valeurs suivantes :

  • Nom : VNet1GW
  • Région : USA Est
  • Type de passerelle : VPN
  • Type de VPN : Basé sur itinéraires
  • Référence SKU : VpnGw2
  • Génération : Génération 2
  • Réseau virtuel : VNet1
  • Plage d’adresses de sous-réseau de la passerelle : 10.1.255.0/27
  • Adresse IP publique : Création
  • Nom de l’adresse IP publique : VNet1GWpip

  1. Dans rechercher des ressources, des services et des documents (G+/), entrez passerelle de réseau virtuel. Recherchez passerelle de réseau virtuel dans les résultats de recherche place de marché et sélectionnez-la pour ouvrir la page Créer une passerelle de réseau virtuel.

  2. Sous l’onglet Général, renseignez les valeurs pour Détails du projet et Détails de l’instance.

    Capture d’écran montrant les champs de l’instance.

    • Abonnement: sélectionnez l’abonnement que vous souhaitez utiliser dans la liste déroulante.

    • Groupe de ressources : ce paramètre est renseigné automatiquement quand vous sélectionnez votre réseau virtuel sur cette page.

    • Name : Nommez votre passerelle. Le nommage de votre passerelle n’est pas identique au nommage d’un sous-réseau de passerelle. Il s’agit du nom de l’objet passerelle que vous créez.

    • Région : Sélectionnez la région où vous voulez créer cette ressource. La région de la passerelle doit être la même que celle du réseau virtuel.

    • Type de passerelle : Sélectionnez VPN. Les passerelles VPN utilisent le type de passerelle de réseau virtuel VPN.

    • référence SKU: dans la liste déroulante, sélectionnez la référence SKU de passerelle qui prend en charge les fonctionnalités que vous souhaitez utiliser. Consultez SKU de passerelle. Dans le portail, les références SKU disponibles dans la liste déroulante dépendent des VPN type que vous sélectionnez. La référence SKU de base peut être configurée seulement avec Azure CLI ou PowerShell. Vous ne pouvez pas configurer la référence SKU de base dans le portail Azure.

    • Génération : sélectionnez la génération que vous voulez utiliser. Nous vous recommandons d’utiliser une référence SKU Génération2. Pour plus d’informations, consultez l’article Références (SKU) de passerelle.

    • Réseau virtuel: dans la liste déroulante, sélectionnez le réseau virtuel auquel vous souhaitez ajouter cette passerelle. Si vous ne voyez pas le réseau virtuel pour lequel vous souhaitez créer une passerelle, vérifiez que vous avez sélectionné l’abonnement et la région appropriés dans les paramètres précédents.

    • Plage d’adresses de sous-réseau de passerelle ou sous-réseau: le sous-réseau de passerelle est requis pour créer une passerelle VPN.

      À ce stade, ce champ a deux comportements différents, selon l’espace d’adressage du réseau virtuel et si vous avez déjà créé un sous-réseau nommé GatewaySubnet pour votre réseau virtuel.

      Si vous n’avez pas de sous-réseau de passerelle et que vous ne voyez pas l’option de en créer une sur cette page, revenez à votre réseau virtuel et créez le sous-réseau de passerelle. Revenez ensuite à cette page et configurez la passerelle VPN.

  1. Spécifiez les valeurs pour Adresse IP publique. Ces paramètres spécifient l’objet d’adresse IP publique associé à la passerelle VPN. Lorsque vous créez un objet d’adresse IP publique, une adresse IP est affectée à l’objet. L’objet d’adresse IP publique est ensuite associé à la passerelle. Pour les passerelles qui ne sont pas redondantes interzones, l’adresse IP publique change uniquement lorsque la passerelle est supprimée, puis recréée. Elle n’est pas modifiée lors du redimensionnement, de la réinitialisation ou des autres opérations de maintenance/mise à niveau internes de votre passerelle VPN. Vous devez associer un objet d’adresse IP publique qui utilise la référence SKU Standard . L’objet d’adresse IP publique de référence SKU Essentiel est uniquement pris en charge pour les passerelles VPN de référence SKU Essentiel.

    Capture d’écran du champ Adresse IP publique.

    • Adresse IP publique : Laissez l’option Créer sélectionnée.
    • Nom de l’adresse IP publique : Dans la zone de texte, tapez un nom pour votre instance d’adresse IP publique.
    • Affectation : l’option statique est sélectionnée automatiquement.
    • Activer le mode Actif-Actif : sélectionnez Activé.
    • Deuxième adresse IP publique : sélectionnez Créer.
    • Nom de l’adresse IP publique : nom de la deuxième adresse IP publique.
    • Laissez l’option Configurer BGP définie sur Désactivé, sauf si votre configuration exige spécifiquement ce paramètre. Si vous avez besoin de ce paramètre, le numéro ASN par défaut est 65515, mais d’autres numéro ASN peuvent être utilisés.

  2. Sélectionnez Vérifier + créer pour exécuter la validation.

  3. Une fois la validation réussie, sélectionnez Créer pour déployer la passerelle VPN.

Vous pouvez voir l’état du déploiement dans la page Vue d’ensemble pour votre passerelle. Une fois la passerelle créée, examinez le réseau virtuel dans le portail pour obtenir l’adresse IP affectée à la passerelle. Cette dernière apparaît sous la forme d’un appareil connecté.

Important

Lorsque vous travaillez avec des sous-réseaux de passerelle, évitez d’associer un groupe de sécurité réseau (NSG) au sous-réseau de passerelle. Associer un groupe de sécurité réseau à ce sous-réseau peut empêcher votre passerelle de réseau virtuel (passerelles VPN et ExpressRoute) de fonctionner comme prévu. Pour plus d’informations sur les groupes de sécurité réseau, consultez Présentation du groupe de sécurité réseau ?.

Mettre à jour une passerelle VPN existante

Cette section vous aide à configurer une passerelle VPN Azure existante pour passer du mode actif/passif au mode actif/actif, ou inversement. Lorsque vous transformez une passerelle de type actif/passif en passerelle de type actif/actif, vous créez une autre adresse IP publique, puis ajoutez une deuxième configuration IP de la passerelle.

Passer du type actif/passif au type actif/actif

Procédez comme suit pour convertir une passerelle en mode actif/passif en mode actif/actif. Si votre passerelle a été créée à l’aide du modèle de déploiement Resource Manager, vous pouvez également mettre à niveau la référence SKU sur cette page.

  1. Accédez à la page de votre passerelle de réseau virtuel.

  2. Dans le menu de gauche, sélectionnez Configuration.

  3. Sur la page Configuration, configurez les paramètres suivants :

    • Définissez le mode actif/actif sur Activé.
    • Cliquez sur Ajouter pour ajouter une autre adresse IP publique. Si vous avez déjà une adresse IP que vous avez créée précédemment disponible pour être dédier à cette ressource, vous pouvez la sélectionner dans la liste déroulante DEUXIÈME ADRESSE IP PUBLIQUE.

    Capture d’écran montrant la page Configuration avec le mode actif/actif activé.

  4. Sur la page Choisir une adresse IP publique, spécifiez une adresse IP publique existante correspondant aux critères ou sélectionnez +Créer nouveau pour créer une nouvelle adresse IP publique à utiliser pour la deuxième instance de passerelle VPN. Une fois que vous avez spécifié la deuxième adresse IP publique, cliquez sur OK.

  5. En haut de la page Configuration, cliquez sur Enregistrer. Cette mise à jour peut prendre environ 30-45 minutes.

Important

Si vous avez des sessions BGP en cours d’exécution, n’oubliez pas que la configuration BGP de la passerelle VPN Azure change et que deux adresses IP BGP nouvellement attribuées sont approvisionnées dans la plage d’adresses du sous-réseau de passerelle. L’ancienne adresse IP BGP de passerelle VPN Azure n’existe plus. Cela entraîne un temps d’arrêt, et la mise à jour des homologues BGP sur les appareils locaux sera nécessaire. Une fois l’approvisionnement de la passerelle terminé, les nouvelles adresses IP BGP peuvent être obtenues, et la configuration de l’appareil local doit être mise à jour en conséquence. Cela s’applique aux adresses IP BGP non APIPA. Pour comprendre comment configurer le protocole BGP dans Azure, consultez Guide pratique pour configurer le protocole BGP sur des passerelles VPN Azure.

Passer du type actif/actif au type actif/passif

Procédez comme suit pour convertir une passerelle en mode actif/actif en mode actif/passif.

  1. Accédez à la page de votre passerelle de réseau virtuel.

  2. Dans le menu de gauche, sélectionnez Configuration.

  3. Sur la page Configuration, définissez le mode actif/actif sur Désactivé.

  4. En haut de la page Configuration, cliquez sur Enregistrer.

Important

Si vous avez des sessions BGP en cours d’exécution, n’oubliez pas que la configuration BGP de la passerelle VPN Azure passera de deux adresses IP BGP à une seule adresse BGP. La plateforme affecte généralement la dernière adresse IP utilisable du sous-réseau de passerelle. Cela entraîne un temps d’arrêt, et la mise à jour des homologues BGP sur les appareils locaux sera nécessaire. Cela s’applique aux adresses IP BGP non APIPA. Pour comprendre comment configurer le protocole BGP dans Azure, consultez Guide pratique pour configurer le protocole BGP sur des passerelles VPN Azure.

Étapes suivantes

Pour configurer des connexions, consultez les articles suivants :