Configurer le transit par passerelle VPN pour le peering de réseaux virtuels
Cet article explique comment configurer le transit par passerelle pour le peering de réseaux virtuels.Cet article explique comment configurer le transit par passerelle pour le peering de réseaux virtuels. Le peering de réseaux virtuels connecte en toute transparence deux réseaux virtuels Azure de manière à les fusionner en un seul réseau virtuel à des fins de connectivité. Le transit par passerelle est une propriété de peering qui permet à un réseau virtuel d'utiliser la passerelle VPN du réseau virtuel appairé pour la mise en œuvre d'une connectivité intersite ou de réseau virtuel à réseau virtuel.
Le diagramme suivant illustre le fonctionnement du transit par passerelle avec le peering de réseaux virtuels. Dans le diagramme, le transit par passerelle permet aux réseaux virtuels homologués d’utiliser la passerelle VPN du réseau virtuel Hub-RM. La connectivité disponible sur la passerelle VPN, notamment les connexions S2S, P2S et de réseau virtuel à réseau virtuel, s’applique aux trois réseaux virtuels.
L’option de transit est disponible pour le peering entre le même modèle de déploiement ou des modèles différents et peut être utilisée avec toutes les références SKU de passerelle VPN à l’exception de la Référence SKU de base. Si vous configurez le transit entre des modèles de déploiement différents, le réseau virtuel hub et la passerelle de réseau virtuel doivent se trouver dans le modèle de déploiement Resource Manager et non dans le modèle de déploiement classique hérité.
Dans l’architecture réseau hub-and-spoke, le transit par passerelle permet aux réseaux virtuels spoke d’exploiter la passerelle VPN du hub, évitant ainsi d’avoir à déployer des passerelles VPN dans chaque réseau virtuel spoke. Les itinéraires vers les réseaux locaux ou les réseaux virtuels connectés à la passerelle sont propagés aux tables de routage pour les réseaux virtuels en peering à l’aide du transit par passerelle.
Vous pouvez désactiver la propagation automatique des itinéraires à partir de la passerelle VPN. Créez une table de routage avec l’option Désactiver la propagation des itinéraires BGP et associez la table de routage aux sous-réseaux afin d’empêcher la distribution des itinéraires à ces derniers. Pour plus d’informations, consultez Virtual network routing table (Table de routage de réseau virtuel).
Cet article présente deux scénarios. Choisissez le scénario qui s’applique à votre environnement. La plupart des gens utilisent le scénario Modèle de déploiement identique. Si vous n’utilisez pas de réseau virtuel de modèle de déploiement classique (réseau virtuel hérité) qui existe déjà dans votre environnement, vous n’avez pas besoin d’utiliser le scénario Modèles de déploiement différents.
- Modèle de déploiement identique : les deux réseaux virtuels sont créés dans le modèle de déploiement Resource Manager.
- Modèles de déploiement différents : le réseau virtuel spoke est créé dans le modèle de déploiement classique tandis que le réseau virtuel hub et la passerelle se trouvent dans le modèle de déploiement Resource Manager. Ce scénario est utile lorsque vous devez connecter un réseau virtuel hérité qui existe déjà dans le modèle de déploiement classique.
Remarque
Si vous apportez un changement à la topologie de votre réseau et que vous avez des clients VPN Windows, vous devez retélécharger et réinstaller le package client VPN pour les clients Windows afin d’appliquer ce changement au client.
Prérequis
Cet article nécessite les autorisations et réseaux virtuels suivants. Si vous n’utilisez pas le scénario Modèles de déploiement différents, vous n’avez pas besoin de créer le réseau virtuel classique.
Réseaux virtuels
| Réseau virtuel | Étapes de configuration | Passerelle de réseau virtuel |
|---|---|---|
| Hub-RM | Resource Manager | Oui |
| Spoke-RM | Resource Manager | No |
| Spoke-Classic | Classique | No |
Autorisations
Les comptes que vous utilisez pour créer un peering de réseaux virtuels doivent être dotés des autorisations ou des rôles nécessaires. Dans l'exemple ci-dessous, si vous avez effectué un peering entre les deux réseaux virtuels nommés Hub-RM et Spoke-Classic, votre compte doit disposer des autorisations ou des rôles suivants pour chaque réseau virtuel :
| Réseau virtuel | Modèle de déploiement | Role | Autorisations |
|---|---|---|---|
| Hub-RM | Gestionnaire de ressources | Contributeur de réseau | Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write |
| Classique | Contributeur de réseau classique | N/A | |
| Spoke-Classic | Gestionnaire de ressources | Contributeur de réseau | Microsoft.Network/virtualNetworks/peer |
| Classique | Contributeur de réseau classique | Microsoft.ClassicNetwork/virtualNetworks/peer |
Apprenez-en davantage sur les rôles intégrés et l’affectation d’autorisations spécifiques aux rôles personnalisés (Gestionnaire des ressources uniquement).
Modèle de déploiement identique
Il s’agit du scénario le plus courant. Dans ce scénario, les réseaux virtuels se trouvent tous les deux dans le modèle de déploiement Resource Manager. Procédez comme suit pour créer ou mettre à jour les peerings de réseaux virtuels de manière à activer le transit par passerelle.
Pour ajouter un peering et activer le transit
Sur le portail Azure, créez ou mettez à jour le peering de réseaux virtuels à partir du réseau virtuel Hub-RM. Accédez au réseau virtuel Hub-RM. Sélectionnez Peerings, puis +Ajouter pour ouvrir Ajouter un peering.
Sur la page Ajouter un peering, configurez les valeurs de Ce réseau virtuel.
Nom du lien de peering : nommez le lien. Exemple : HubRMToSpokeRM
Trafic vers le réseau virtuel distant : Autoriser
Trafic transféré à partir du réseau virtuel distant : Autoriser
Passerelle de réseau virtuel : Utiliser la passerelle ou le serveur de routes de ce réseau virtuel
Sur la même page, configurez les valeurs du réseau virtuel distant.
Nom du lien de peering : nommez le lien. Exemple : SpokeRMtoHubRM
Modèle de déploiement de réseau virtuel : Resource Manager
Je connais mon ID de ressource : Laissez vide. Vous devez uniquement cocher cette case si vous n’avez pas accès en lecture au réseau virtuel ou à l’abonnement avec lequel vous souhaitez opérer le peering.
Abonnement : sélectionnez l'abonnement.
Réseau virtuel : Spoke-RM
Trafic vers le réseau virtuel distant : Autoriser
Trafic transféré à partir du réseau virtuel distant : Autoriser
Passerelle de réseau virtuel : Utiliser la passerelle ou le serveur de routes du réseau virtuel distant
Sélectionnez Ajouter pour créer le peering.
Vérifiez que l'état du peering est défini sur Connecté pour les deux réseaux virtuels.
Pour modifier un peering existant en vue d'un transit
Si vous avez déjà un peering existant, vous pouvez le modifier pour le transit.
Accédez au réseau virtuel. Sélectionnez Peerings et choisissez le peering que vous souhaitez modifier. Par exemple, sur le réseau virtuel Spoke-RM, sélectionnez le peering SpokeRMtoHubRM.
Mettez à jour le peering de réseaux virtuels.
- Trafic vers le réseau virtuel distant : Autoriser
- Trafic transféré vers le réseau virtuel ; Autoriser
- Passerelle ou serveur de routes de réseau virtuel : Utiliser la passerelle ou le serveur de routes du réseau virtuel distant
Enregistrez les paramètres de peering.
Exemple de code PowerShell
Vous pouvez également utiliser PowerShell pour créer ou mettre à jour le peering. Remplacez les variables par le nom de vos réseaux virtuels et de vos groupes de ressources.
$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name SpokeRMtoHubRM `
-VirtualNetwork $spokermvnet `
-RemoteVirtualNetworkId $hubrmvnet.Id `
-UseRemoteGateways
Add-AzVirtualNetworkPeering `
-Name HubRMToSpokeRM `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId $spokermvnet.Id `
-AllowGatewayTransit
Modèles de déploiement différents
Dans cette configuration, le réseau virtuel spoke Spoke-Classic se trouve dans le modèle de déploiement classique tandis que le réseau virtuel hub Hub-RM se trouve dans le modèle de déploiement Resource Manager. Lors de la configuration du transit entre les modèles de déploiement, la passerelle de réseau virtuel doit être configurée pour le réseau virtuel Resource Manager, et non pour le réseau virtuel classique.
Pour cette configuration, il vous suffit de configurer le réseau virtuel Hub-RM. Vous n'avez rien à configurer sur le réseau virtuel Spoke-Classic.
Sur le portail Azure, accédez au réseau virtuel Hub-RM, sélectionnez Peerings, puis +Ajouter.
Sur la page Ajouter un peering, configurez les valeurs suivantes :
Nom du lien de peering : nommez le lien. Exemple : HubRMToClassic
Trafic vers le réseau virtuel distant : Autoriser
Trafic transféré à partir du réseau virtuel distant : Autoriser
Passerelle ou serveur de routes de réseau virtuel : Utiliser la passerelle ou le serveur de routes du réseau virtuel
Nom du lien de peering : Cette valeur disparaît lorsque vous sélectionnez Classique comme modèle de déploiement de réseau virtuel.
Modèle de déploiement de réseau virtuel : Classique
Je connais mon ID de ressource : Laissez vide. Vous devez uniquement cocher cette case si vous n’avez pas accès en lecture au réseau virtuel ou à l’abonnement avec lequel vous souhaitez opérer le peering.
Vérifiez que l'abonnement est correct, puis sélectionnez le réseau virtuel dans la liste déroulante.
Sélectionnez Ajouter pour ajouter le peering.
Vérifiez que l'état de peering est défini sur Connecté pour le réseau virtuel Hub-RM.
Pour cette configuration, vous n’avez rien à configurer sur le réseau virtuel Spoke-Classic. Une fois que l'état indique Connecté, le réseau virtuel spoke peut utiliser la connectivité via la passerelle VPN du réseau virtuel hub.
Exemple de code PowerShell
Vous pouvez également utiliser PowerShell pour créer ou mettre à jour le peering. Remplacez les variables par les valeurs de votre réseau virtuel et de votre groupe de ressources, et « subscription ID » par votre ID d’abonnement. Vous devez uniquement créer le peering de réseaux virtuels sur le réseau virtuel hub.
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name HubRMToClassic `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId "/subscriptions/<subscription Id>/resourceGroups/Default-Networking/providers/Microsoft.ClassicNetwork/virtualNetworks/Spoke-Classic" `
-AllowGatewayTransit
Étapes suivantes
- Prenez connaissance des comportements et contraintes importants du peering de réseaux virtuels et les paramètres de peering de réseaux virtuels avant d’en créer un pour une utilisation en production.
- Découvrez comment créer une topologie de réseau de type hub et spoke avec le peering de réseaux virtuels et le transit par passerelle.
- Créez un peering de réseaux virtuels avec le même modèle de déploiement.
- Créez un peering de réseaux virtuels avec des modèles de déploiement différents.