Fiabilité et Réseau virtuel Azure
Élément fondamental de votre réseau privé, Azure Réseau virtuel permet aux ressources Azure de communiquer en toute sécurité entre elles, avec Internet et les réseaux locaux.
Les principales fonctionnalités d’Azure Réseau virtuel sont les suivantes :
- Communication avec les ressources Azure
- Communication avec Internet
- Communication avec les ressources locales
- Filtrage du trafic réseau
Pour plus d’informations, consultez Qu’est-ce qu’Azure Réseau virtuel ?
Pour comprendre comment Azure Réseau virtuel prend en charge une charge de travail fiable, consultez les rubriques suivantes :
- Tutoriel : Déplacer des machines virtuelles Azure d’une région à une autre
- Démarrage rapide : Créer un réseau virtuel au moyen du portail Azure
- Réseau virtuel – Continuité des activités
Considérations en matière de conception
Le Réseau virtuel (VNet) inclut les considérations de conception suivantes pour une charge de travail Azure fiable :
- Le chevauchement d’espaces d’adressage IP dans des emplacements locaux et régions Azure occasionne des problèmes majeurs en termes de contention.
- Bien qu’un espace d’adressage Réseau virtuel puisse être ajouté après la création, ce processus nécessite une panne si le Réseau virtuel est déjà connecté à un autre Réseau virtuel via le peering. Une panne est nécessaire, car le peering Réseau virtuel est supprimé et recréé.
- Le redimensionnement des réseaux virtuels appairés est en préversion publique (20 août 2021).
- Certains services Azure nécessitent des sous-réseaux dédiés, tels que :
- Pare-feu Azure
- Azure Bastion
- Passerelle de réseau virtuel
- Des sous-réseaux peuvent être délégués à certains services pour créer des instances de ce service à l’intérieur du sous-réseau.
- Azure réserve cinq adresses IP au sein de chaque sous-réseau, qui doivent être prise en compte lors du dimensionnement des réseaux virtuels et des sous-réseaux englobants.
Liste de contrôle
Avez-vous configuré azure Réseau virtuel en ayant dentntant la fiabilité ?
- Utilisez les plans de protection standard Azure DDoS pour protéger tous les points de terminaison publics hébergés dans les réseaux virtuels des clients.
- Les clients d’entreprise doivent planifier l’adressage IP dans Azure pour s’assurer qu’il n’y a pas de chevauchement de l’espace d’adressage IP entre les emplacements locaux et les régions Azure considérés.
- Utilisez les adresses IP de l’allocation d’adresses pour les internets privés (Request for Comment (RFC) 1918).
- Pour les environnements au sein desquels la disponibilité des adresses IP privées est limitée (RFC 1918), envisagez d’utiliser le protocole IPv6.
- Ne créez pas de réseaux virtuels inutilement volumineux (par exemple :
/16
) pour vous assurer qu’il n’y a pas de perte inutile d’espace d’adressage IP. - Ne créez pas de réseaux virtuels sans planifier l’espace d’adressage requis à l’avance.
- N’utilisez pas d’adresses IP publiques pour les réseaux virtuels, en particulier si les adresses IP publiques n’appartiennent pas au client.
- Utilisez des points de terminaison de service de réseau virtuel pour sécuriser l’accès aux services PaaS (Platform as a Service) Azure à partir d’un réseau virtuel client.
- Pour résoudre les problèmes d’exfiltration des données avec les points de terminaison de service, utilisez le filtrage des appliances virtuelles réseau (NVA) et les stratégies de point de terminaison de service de réseau virtuel pour Stockage Azure.
- N’implémentez pas de tunneling forcé pour permettre la communication d’Azure avec des ressources Azure.
- Accédez aux services PaaS Azure à partir d’un site local via le peering privé ExpressRoute.
- Pour accéder aux services PaaS Azure à partir de réseaux locaux lorsque l’injection de réseau virtuel ou les Private Link ne sont pas disponibles, utilisez ExpressRoute avec le peering Microsoft lorsqu’il n’y a aucun problème d’exfiltration de données.
- Ne répliquez pas les concepts et architectures du réseau de périmètre local (également appelé DMZ, zone démilitarisée et sous-réseau filtré) dans Azure.
- Assurez-vous que la communication entre les services PaaS Azure qui ont été injectés dans un Réseau virtuel est verrouillée dans le Réseau virtuel à l’aide d’itinéraires définis par l’utilisateur (UDR) et de groupes de sécurité réseau (NSG).
- N’utilisez pas de points de terminaison de service de réseau virtuel en cas de problèmes d’exfiltration de données, sauf si le filtrage NVA est utilisé.
- N’activez pas les points de terminaison de service de réseau virtuel par défaut sur tous les sous-réseaux.
Recommandations relatives à la configuration
Tenez compte des recommandations suivantes pour optimiser la fiabilité lors de la configuration d’un Réseau virtuel Azure :
Recommandation | Description |
---|---|
Ne créez pas de réseaux virtuels sans planifier l’espace d’adressage requis à l’avance. | L’ajout d’espace d’adressage entraîne une panne une fois qu’un Réseau virtuel est connecté via Réseau virtuel peering. |
Utilisez des points de terminaison de service de réseau virtuel pour sécuriser l’accès aux services PaaS (Platform as a Service) Azure à partir d’un réseau virtuel client. | Uniquement lorsque Private Link n’est pas disponible et qu’il n’y a pas de problème d’exfiltration de données. |
Accédez aux services PaaS Azure à partir d’un site local via le peering privé ExpressRoute. | Utilisez l’injection de réseau virtuel pour les services Azure dédiés ou Azure Private Link pour les services Azure partagés disponibles. |
Pour accéder aux services PaaS Azure à partir de réseaux locaux lorsque l’injection de réseau virtuel ou les Private Link ne sont pas disponibles, utilisez ExpressRoute avec le peering Microsoft lorsqu’il n’y a aucun problème d’exfiltration de données. | Évite le transport en commun via l’Internet public. |
Ne répliquez pas les concepts et architectures du réseau de périmètre local (également appelé DMZ, zone démilitarisée et sous-réseau filtré) dans Azure. | Les clients peuvent obtenir des fonctionnalités de sécurité similaires à celles locales dans Azure, mais l’implémentation et l’architecture devront être adaptées au cloud. |
Assurez-vous que la communication entre les services PaaS Azure qui ont été injectés dans un Réseau virtuel est verrouillée dans le Réseau virtuel à l’aide d’itinéraires définis par l’utilisateur (UDR) et de groupes de sécurité réseau (NSG). | Les services PaaS Azure qui ont été injectés dans un Réseau virtuel continuent d’effectuer des opérations de plan de gestion à l’aide d’adresses IP publiques. |