Qu’est-ce qu’une passerelle VPN ?

La passerelle VPN envoie du trafic chiffré entre un réseau virtuel Azure et un emplacement local via l’Internet public. Vous pouvez également utiliser une passerelle VPN pour envoyer du trafic chiffré entre les réseaux virtuels Azure sur le réseau Microsoft. Une passerelle VPN est un type spécifique de passerelle de réseau virtuel. Chaque réseau virtuel ne peut posséder qu’une seule passerelle VPN. Toutefois, vous pouvez créer plusieurs connexions à la même passerelle VPN. Lorsque vous créez plusieurs connexions à la même passerelle VPN, tous les tunnels VPN partagent la bande passante de passerelle disponible.

Qu’est-ce qu’une passerelle de réseau virtuel ?

Une passerelle de réseau virtuel est composée de deux machines virtuelles ou plus qui sont automatiquement configurées et déployées sur un sous-réseau spécifique que vous créez, appelé sous-réseau de la passerelle. Les machines virtuelles de passerelle contiennent des tables de routage et exécutent des services de passerelle spécifiques. Vous ne pouvez pas configurer directement les machines virtuelles qui font partie de la passerelle de réseau virtuel, même si les paramètres que vous sélectionnez lors de la configuration de votre passerelle ont un impact sur les machines virtuelles de passerelle créées.

Qu’est-ce qu’une passerelle VPN ?

Quand vous configurez une passerelle de réseau virtuel, vous configurez un paramètre qui spécifie le type de passerelle. Le type de passerelle détermine la manière dont la passerelle de réseau virtuel est utilisée et les actions qu’elle exécute. Le type de passerelle « Vpn » spécifie que le type de passerelle de réseau virtuel créé est une « passerelle VPN ». Ceci la distingue d’une passerelle ExpressRoute, qui utilise un type de passerelle différent. Un réseau virtuel peut avoir deux passerelles de réseau virtuel : une passerelle VPN et une passerelle ExpressRoute. Pour plus d’informations, consultez Types de passerelle.

Lors de la création d’une passerelle VPN, les machines virtuelles de passerelle sont déployées dans le sous-réseau de la passerelle et configurées avec les paramètres que vous avez spécifiés. Ce processus peut prendre 45 minutes ou plus, selon le niveau tarifaire de la passerelle que vous sélectionnez. Après avoir créé une passerelle VPN, vous pouvez créer une connexion de tunnel IPsec/IKE VPN entre cette passerelle VPN et une autre (de réseau virtuel à réseau virtuel), ou créer une connexion de tunnel IPsec/IKE VPN intersite entre la passerelle VPN et un périphérique VPN local (de site à site). Vous pouvez également créer une connexion VPN de point à site (VPN sur OpenVPN, IKEv2 ou SSTP), ce qui vous permet de vous connecter à votre réseau virtuel à partir d’un emplacement distant, par exemple une salle de conférence ou votre domicile.

Configuration d’une passerelle VPN

Une connexion par passerelle VPN s’appuie sur plusieurs ressources qui sont configurées avec des paramètres spécifiques. La plupart des ressources peuvent être configurées séparément, mais certaines d’entre elles doivent être configurées dans un certain ordre.

Connectivité

Étant donné que vous pouvez créer plusieurs configurations de connexion à l’aide de la passerelle VPN, vous devez déterminer laquelle correspond le mieux à vos besoins. Les instructions et exigences de configuration sont différentes entre les connexions point à site, site à site et ExpressRoute/site à site coexistantes. Pour voir les diagrammes de connexion et les liens correspondant à la procédure de configuration, consultez Conception de passerelle VPN.

Tableau de planification

Le tableau suivant peut vous aider à déterminer la meilleure option de connectivité pour votre solution. Il est à noter qu’ExpressRoute est inclus dans le tableau alors qu’il ne fait pas partie de la passerelle VPN.

De point à site De site à site ExpressRoute
Services pris en charge par Azure Cloud Services et Virtual Machines Cloud Services et Virtual Machines Liste des services
Bandes passantes classiques Basé sur la référence SKU de passerelle En règle générale < 10 Gbit/s agrégé 50 Mbit/s, 100 Mbit/s, 200 Mbit/s, 500 Mbit/s, 1 Gbit/s, 2 Gbit/s, 5 Gbit/s, 10 Gbit/s, 100 Gbit/s
Protocoles pris en charge Secure Sockets Tunneling Protocol (SSTP), OpenVPN et IPsec IPsec Connexion directe sur des VLAN, les technologies VPN des fournisseurs de services réseau (MPLS, VPLS,...)
Routage RouteBased (dynamique) Nous prenons en charge le routage basé sur des stratégies (statique) et basé sur un itinéraire (VPN de routage dynamique) BGP
Résilience de connexion actif / passif actif/passif ou actif/actif actif / actif
Cas d’utilisation classique Sécuriser l’accès aux réseaux virtuels Azure pour les utilisateurs distants Scénarios de développement / test / labo et charges de travail de production à petite ou moyenne échelle pour les services cloud et les machines virtuelles Accès à tous les services Azure (liste validée), charges de travail professionnelles et critiques, sauvegarde, Big Data, Azure sous la forme d'un site de récupération d'urgence
CONTRAT SLA CONTRAT SLA CONTRAT SLA CONTRAT SLA
Tarification Tarification Tarification Tarification
Documentation technique Passerelle VPN Passerelle VPN ExpressRoute
FORUM AUX QUESTIONS FAQ sur la passerelle VPN FAQ sur la passerelle VPN FAQ sur ExpressRoute

Paramètres

Les paramètres que vous avez choisis pour chaque ressource sont essentiels à la création d’une connexion réussie. Pour plus d’informations sur les ressources et paramètres spécifiques pour la passerelle VPN, consultez À propos des paramètres de passerelle VPN. L’article contient des informations pour vous aider à comprendre les types de passerelle, les références SKU des passerelles, les types de VPN, les types de connexion, les sous-réseaux de passerelle, les passerelles de réseau local et divers autres paramètres de ressource que vous pouvez vouloir prendre en compte.

Outils de déploiement

Vous pouvez commencer par créer et configurer des ressources à l’aide de l’un des outils de configuration, comme le portail Azure. Vous pouvez décider de passer à un autre outil, tel que PowerShell, pour configurer des ressources supplémentaires ou pour modifier les ressources existantes, le cas échéant. Il n’est pour le moment pas possible de configurer toutes les ressources et tous les paramètres des ressources dans le portail Azure. Les instructions fournies dans les articles dédiés à chaque topologie de connexion indiquent si un outil de configuration spécifique est requis.

Références SKU de passerelle

Lorsque vous créez une passerelle de réseau virtuel, vous spécifiez la référence SKU de passerelle que vous voulez utiliser. Sélectionnez la référence SKU qui répond à vos besoins en fonction des types de charges de travail, des débits, des fonctionnalités et des contrats de niveau de service.

Références SKU de passerelle par tunnel, connexion et débit

VPN
Passerelle
Génération
Référence (SKU) S2S/VNet-to-VNet
Tunnels
P2S
Connexions SSTP
P2S
Connexions IKEv2/OpenVPN
Agrégat
Évaluation du débit
BGP Redondant interzone
Génération1 De base Bande passante 10 Bande passante 128 Non pris en charge 100 Mbits/s Non pris en charge Non
Génération1 VpnGw1 Bande passante 30 Bande passante 128 Bande passante 250 650 Mbits/s Pris en charge Non
Génération1 VpnGw2 Bande passante 30 Bande passante 128 Bande passante 500 1 Gbit/s Pris en charge Non
Génération1 VpnGw3 Bande passante 30 Bande passante 128 Bande passante 1 000 1,25 Gbits/s Pris en charge Non
Génération1 VpnGw1AZ Bande passante 30 Bande passante 128 Bande passante 250 650 Mbits/s Pris en charge Oui
Génération1 VpnGw2AZ Bande passante 30 Bande passante 128 Bande passante 500 1 Gbit/s Pris en charge Oui
Génération1 VpnGw3AZ Bande passante 30 Bande passante 128 Bande passante 1 000 1,25 Gbits/s Pris en charge Oui
Génération2 VpnGw2 Bande passante 30 Bande passante 128 Bande passante 500 1,25 Gbits/s Pris en charge Non
Génération2 VpnGw3 Bande passante 30 Bande passante 128 Bande passante 1 000 2,5 Gbits/s Pris en charge Non
Génération2 VpnGw4 Bande passante 100* Bande passante 128 Bande passante 5 000 5 Gbit/s Pris en charge Non
Génération2 VpnGw5 Bande passante 100* Bande passante 128 Bande passante 10000 10 Gbits/s Pris en charge Non
Génération2 VpnGw2AZ Bande passante 30 Bande passante 128 Bande passante 500 1,25 Gbits/s Pris en charge Oui
Génération2 VpnGw3AZ Bande passante 30 Bande passante 128 Bande passante 1 000 2,5 Gbits/s Pris en charge Oui
Génération2 VpnGw4AZ Bande passante 100* Bande passante 128 Bande passante 5 000 5 Gbit/s Prise en charge Oui
Génération2 VpnGw5AZ Bande passante 100* Bande passante 128 Bande passante 10000 10 Gbits/s Pris en charge Oui

(*) Utilisez un Virtual WAN si vous avez besoin de plus de 100 tunnels VPN S2S.

  • Le redimensionnement des références SKU VpnGw est autorisé dans la même génération, à l’exception du redimensionnement de la référence SKU De base. La référence SKU De base est une référence SKU héritée et présente des limitations en termes de fonctionnalités. Pour passer de la référence SKU De base à une autre référence SKU, vous devez supprimer la passerelle VPN de la référence SKU De base et créer une passerelle avec la combinaison de taille de référence SKU et de génération souhaitée. (consultez Utilisation des références SKU héritées).

  • Ces limites de connexion sont séparées. Par exemple, vous pouvez avoir 128 connexions SSTP et 250 connexions IKEv2 sur une référence SKU VpnGw1.

  • Pour des informations sur les prix, consultez la page Tarification .

  • Vous trouverez des informations relatives au contrat de niveau de service (SLA) sur la page SLA.

  • Si vous avez un grand nombre de connexions P2S, cela peut avoir un impact négatif sur vos connexions S2S. Les points de référence du débit agrégé ont été testés par l’optimisation d’une combinaison de connexions S2S et P2S. Une seule connexion P2S ou S2S aura un débit nettement inférieur.

  • Notez que tous les points de référence ne sont pas garantis en raison des conditions de trafic Internet et du comportement de vos applications

Pour aider nos clients à comprendre les performances relatives des références SKU à l’aide de différents algorithmes, nous avons utilisé des outils iPerf et CTSTraffic accessibles au public pour mesurer les performances des connexions de site à site. Le tableau ci-dessous liste les résultats des tests de performances des références SKU VpnGw. Comme vous pouvez le voir, les meilleures performances sont obtenues quand nous utilisons l’algorithme GCMAES256 pour le chiffrement IPsec et pour l’intégrité. Nous obtenons des performances moyennes lors de l’utilisation d’AES256 pour le chiffrement IPsec et de SHA256 pour l’intégrité. Quand nous utilisons DES3 pour le chiffrement IPsec et SHA256 pour l’intégrité, nous obtenons les performances les plus faibles.

Un tunnel VPN se connecte à une instance de passerelle VPN. Chaque débit d’instance est mentionné dans la table de débit ci-dessus et est disponible agrégé pour toutes les connexions à cette instance.

Le tableau ci-dessous montre la bande passante observée et le débit en paquets par seconde par tunnel pour les différentes références SKU de passerelle. Tous les tests ont été effectués entre les passerelles (points de terminaison) dans Azure dans différentes régions avec 100 connexions et dans des conditions de charge standard.

Generation Référence (SKU) Algorithmes
utilisés
Débit
observé par tunnel
Paquets par seconde et par tunnel
observés
Génération1 VpnGw1 GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbits/s
500 Mbits/s
130 Mbits/s
62,000
47,000
12,000
Génération1 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,2 Gbits/s
650 Mbits/s
140 Mbits/s
100 000
61 000
13,000
Génération1 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbits/s
700 Mbits/s
140 Mbits/s
120 000
66,000
13,000
Génération1 VpnGw1AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbits/s
500 Mbits/s
130 Mbits/s
62,000
47,000
12,000
Génération1 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,2 Gbits/s
650 Mbits/s
140 Mbits/s
110,000
61 000
13,000
Génération1 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbits/s
700 Mbits/s
140 Mbits/s
120 000
66,000
13,000
Génération2 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbits/s
550 Mbits/s
130 Mbits/s
120 000
52,000
12,000
Génération2 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,5 Gbits/s
700 Mbits/s
140 Mbits/s
140 000
66,000
13,000
Génération2 VpnGw4 GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gbits/s
700 Mbits/s
140 Mbits/s
220,000
66,000
13,000
Génération2 VpnGw5 GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gbits/s
700 Mbits/s
140 Mbits/s
220,000
66,000
13,000
Génération2 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbits/s
550 Mbits/s
130 Mbits/s
120 000
52,000
12,000
Génération2 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,5 Gbits/s
700 Mbits/s
140 Mbits/s
140 000
66,000
13,000
Génération2 VpnGw4AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gbits/s
700 Mbits/s
140 Mbits/s
220,000
66,000
13,000
Génération2 VpnGw5AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gbits/s
700 Mbits/s
140 Mbits/s
220,000
66,000
13,000

Zones de disponibilité

Des passerelles VPN peuvent être déployées dans des zones de disponibilité Azure. Cela apporte de la résilience, de l’extensibilité et une plus grande disponibilité aux passerelles de réseau virtuel. Le déploiement de passerelles dans les zones de disponibilité Azure sépare les passerelles physiquement et logiquement au sein d’une région, tout en empêchant la connectivité réseau locale à Azure d’échouer au niveau des zones. Cf. À propos des passerelles de réseau virtuel redondantes interzones dans les Zones de disponibilité Azure.

Tarifs

Vous payez deux choses : les coûts horaires de calcul de la passerelle de réseau virtuel, et les coûts de transfert des données sortantes à partir de la passerelle de réseau virtuel. Pour des informations sur les prix, consultez la page Tarification . Pour connaître les tarifs des références SKU existantes de la passerelle, consultez la page des tarifs ExpressRoute et accédez à la section Passerelles de réseau virtuel.

Coûts de calcul de la passerelle de réseau virtuel
Chaque passerelle de réseau virtuel a un coût horaire de calcul. Le prix est basé sur la référence SKU de passerelle que vous spécifiez lorsque vous créez une passerelle de réseau virtuel. Le coût est celui de la passerelle elle-même. Il s’ajoute au coût du transfert des données qui transitent par la passerelle. Le coût d’une configuration actif-actif est identique à celui d’une configuration actif-passif.

Coût de transfert des données
Les coûts de transfert de données sont calculés en fonction du trafic sortant à partir de la passerelle de réseau virtuel source.

  • Si vous envoyez le trafic vers votre appareil VPN local, il est facturé avec le taux de transfert des données sortantes sur Internet.
  • Si vous envoyez le trafic entre des réseaux virtuels se trouvant dans différentes régions, le tarif est basé sur la région.
  • Si vous envoyez le trafic seulement entre des réseaux virtuels qui se trouvent dans la même région, il n’y a aucun coût de données. Le trafic entre les réseaux virtuels dans la même région est gratuit.

Pour plus d’informations sur les références de passerelle pour la passerelle VPN, consultez Références (SKU) de passerelle.

Forum aux questions

Pour les questions fréquemment posées sur la passerelle VPN, consultez le Forum aux questions sur la passerelle VPN.

Nouveautés

Abonnez-vous au flux RSS et consultez les dernières mises à jour des fonctionnalités Passerelle VPN dans la page Mises à jour Azure.

Étapes suivantes