Configurer le transit par passerelle VPN pour le peering de réseaux virtuels
Cet article explique comment configurer le transit par passerelle pour le peering de réseaux virtuels.Cet article explique comment configurer le transit par passerelle pour le peering de réseaux virtuels. Le peering de réseaux virtuels connecte en toute transparence deux réseaux virtuels Azure de manière à les fusionner en un seul réseau virtuel à des fins de connectivité. Le transit par passerelle est une propriété de peering qui permet à un réseau virtuel d'utiliser la passerelle VPN du réseau virtuel appairé pour la mise en œuvre d'une connectivité intersite ou de réseau virtuel à réseau virtuel.
Le diagramme suivant illustre le fonctionnement du transit par passerelle avec le peering de réseaux virtuels. Dans le diagramme, le transit par passerelle permet aux réseaux virtuels homologués d’utiliser la passerelle VPN du réseau virtuel Hub-RM. La connectivité disponible sur la passerelle VPN, notamment les connexions S2S, P2S et de réseau virtuel à réseau virtuel, s’applique aux trois réseaux virtuels.
L’option de transit peut être utilisée avec toutes les références SKU de passerelle VPN, à l’exception de la référence SKU de base.
Dans l’architecture réseau hub-and-spoke, le transit par passerelle permet aux réseaux virtuels spoke d’exploiter la passerelle VPN du hub, évitant ainsi d’avoir à déployer des passerelles VPN dans chaque réseau virtuel spoke. Les itinéraires vers les réseaux locaux ou les réseaux virtuels connectés à la passerelle sont propagés aux tables de routage pour les réseaux virtuels en peering à l’aide du transit par passerelle.
Vous pouvez désactiver la propagation automatique des itinéraires à partir de la passerelle VPN. Créez une table de routage avec l’option Désactiver la propagation des itinéraires BGP et associez la table de routage aux sous-réseaux afin d’empêcher la distribution des itinéraires à ces derniers. Pour plus d’informations, consultez Virtual network routing table (Table de routage de réseau virtuel).
Remarque
Si vous apportez un changement à la topologie de votre réseau et que vous avez des clients VPN Windows, vous devez retélécharger et réinstaller le package client VPN pour les clients Windows afin d’appliquer ce changement au client.
Prérequis
Cet article nécessite les autorisations et réseaux virtuels suivants.
Réseaux virtuels
| Réseau virtuel | Étapes de configuration | Passerelle de réseau virtuel |
|---|---|---|
| Hub-RM | Resource Manager | Oui |
| Spoke-RM | Resource Manager | Non |
Autorisations
Les comptes que vous utilisez pour créer un peering de réseaux virtuels doivent être dotés des autorisations ou des rôles nécessaires. Dans l'exemple ci-dessous, si vous avez effectué un peering entre les deux réseaux virtuels nommés Hub-RM et Spoke-Classic, votre compte doit disposer des autorisations ou des rôles suivants pour chaque réseau virtuel :
| Réseau virtuel | Modèle de déploiement | Role | Autorisations |
|---|---|---|---|
| Hub-RM | Gestionnaire de ressources | Contributeur de réseau | Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write |
| Spoke-RM | Gestionnaire de ressources | Contributeur de réseau | Microsoft.Network/virtualNetworks/peer |
Apprenez-en davantage sur les rôles intégrés et l’affectation d’autorisations spécifiques aux rôles personnalisés (Gestionnaire des ressources uniquement).
Pour ajouter un peering et activer le transit
Sur le portail Azure, créez ou mettez à jour le peering de réseaux virtuels à partir du réseau virtuel Hub-RM. Accédez au réseau virtuel Hub-RM. Sélectionnez Peerings, puis +Ajouter pour ouvrir Ajouter un peering.
Sur la page Ajouter un appairage, configurez les valeurs de Résumé de réseau virtuel distant.
- Nom du lien de peering : nommez le lien. Exemple : SpokeRMtoHubRM
- Modèle de déploiement de réseau virtuel : Resource Manager
- Je connais mon ID de ressource : Laissez vide. Vous devez uniquement cocher cette case si vous n’avez pas accès en lecture au réseau virtuel ou à l’abonnement avec lequel vous souhaitez opérer le peering.
- Abonnement : sélectionnez l'abonnement.
- Réseau virtuel : Spoke-RM
Sur la page Ajouter un appairage, configurez les valeurs de Paramètres d’appairage de réseaux virtuels distants.
- Autoriser « Spoke-RM » à accéder à « Hub-RM » : laissez la valeur par défaut sélectionnée.
- Autoriser « Spoke-RM » à recevoir le trafic transféré à partir de « Hub-RM » : cochez la case.
- Autoriser la passerelle ou le serveur de routes du réseau virtuel appairé à transférer le trafic vers « Hub-RM » : laissez la valeur par défaut non sélectionnée.
- Activer « SpokeRM » pour utiliser la passerelle distante ou le serveur de routes de « Hub-RM » : cochez la case.
Sur la page Ajouter un appairage, configurez les valeurs de Résumé de réseau virtuel local.
- Nom du lien de peering : nommez le lien. Exemple : HubRMToSpokeRM
Sur la page Ajouter un appairage, configurez les valeurs de Paramètres d’appairage de réseaux virtuels locaux.
- Autoriser « Hub-RM » à accéder au réseau virtuel appairé : laissez la valeur par défaut sélectionnée.
- Autoriser « Hub-RM » à recevoir le trafic transféré à partir du réseau virtuel appairé : cochez la case.
- Autoriser la passerelle ou le serveur de routes dans « Hub-RM » à transférer le trafic vers le réseau virtuel appairé : cochez la case.
- Activer « Hub-RM » pour utiliser la passerelle distante ou le serveur de routes du réseau virtuel appairé : laissez la valeur par défaut non sélectionnée.
Sélectionnez Ajouter pour créer le peering.
Vérifiez que l'état du peering est défini sur Connecté pour les deux réseaux virtuels.
Pour modifier un peering existant en vue d'un transit
Si vous avez déjà un peering existant, vous pouvez le modifier pour le transit.
Accédez au réseau virtuel. Sélectionnez Peerings et choisissez le peering que vous souhaitez modifier. Par exemple, sur le réseau virtuel Spoke-RM, sélectionnez le peering SpokeRMtoHubRM.
Mettez à jour le peering de réseaux virtuels.
Activer « SpokeRM » pour utiliser la passerelle distante ou le serveur de routes de « Hub-RM » : cochez la case.
Enregistrez les paramètres de peering.
Exemple de code PowerShell
Vous pouvez également utiliser PowerShell pour créer ou mettre à jour le peering. Remplacez les variables par le nom de vos réseaux virtuels et de vos groupes de ressources.
$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name SpokeRMtoHubRM `
-VirtualNetwork $spokermvnet `
-RemoteVirtualNetworkId $hubrmvnet.Id `
-UseRemoteGateways
Add-AzVirtualNetworkPeering `
-Name HubRMToSpokeRM `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId $spokermvnet.Id `
-AllowGatewayTransit
Étapes suivantes
- Prenez connaissance des comportements et contraintes importants du peering de réseaux virtuels et les paramètres de peering de réseaux virtuels avant d’en créer un pour une utilisation en production.
- Découvrez comment créer une topologie de réseau de type hub et spoke avec le peering de réseaux virtuels et le transit par passerelle.
- Créez un peering de réseaux virtuels avec le même modèle de déploiement.
- Créez un peering de réseaux virtuels avec des modèles de déploiement différents.