Connecter un réseau local à Microsoft Azure Virtual Network

Un réseau virtuel Azure entre différents locaux est connecté à votre réseau local, étendant ainsi votre réseau pour inclure des sous-réseaux et machines virtuelles hébergés dans les services d’infrastructure Azure. Cette connexion permet aux ordinateurs de votre réseau local d’accéder directement aux machines virtuelles dans Azure et inversement.

Par exemple, un serveur de synchronisation d’annuaires s’exécutant sur une machine virtuelle Azure doit interroger vos contrôleurs de domaine locaux pour connaître les modifications apportées aux comptes et synchroniser ces modifications avec votre abonnement Microsoft 365. Cet article explique comment configurer un réseau virtuel Azure intersite à l’aide d’une connexion de réseau privé virtuel (VPN) site à site prête à héberger des machines virtuelles Azure.

Configurer un réseau virtuel Azure intersite

Vos machines virtuelles dans Azure n'ont pas besoin d'être isolées de votre environnement local. Pour connecter des machines virtuelles Azure à des ressources réseau locales, vous devez configurer un réseau virtuel Azure local. Le diagramme suivant montre les composants requis pour déployer un réseau virtuel Azure entre différents locaux avec une machine virtuelle dans Azure.

Dans le diagramme, deux réseaux sont connectés par une connexion VPN site à site : le réseau local et le réseau virtuel Azure. La connexion VPN de site à site est la suivante :

• entre deux points de terminaison qui sont adressables et se trouvent sur l’Internet public ;
• terminée par un appareil VPN sur le réseau local et une passerelle VPN Azure sur le réseau virtuel Azure.

Le réseau virtuel Azure héberge des machines virtuelles. Le trafic réseau provenant des machines virtuelles sur le réseau virtuel Azure est acheminé vers la passerelle VPN, laquelle transmet le trafic de la connexion VPN de site à site sur le périphérique VPN sur le réseau local. L'infrastructure de routage du réseau local transmet ensuite le trafic à sa destination.

Remarque

Vous pouvez également utiliser ExpressRoute, qui est une connexion directe entre votre organization et le réseau de Microsoft. Le trafic sur ExpressRoute ne transite pas par l’Internet public. Cet article ne décrit pas l’utilisation d’ExpressRoute.

Pour configurer la connexion VPN entre votre réseau Azure Virtual Network et votre réseau local, procédez comme suit :

1. Local : Définissez et créez un itinéraire réseau local pour l'espace d'adressage du réseau virtuel Azure qui pointe vers votre périphérique VPN local.
2. Microsoft Azure : Créez un réseau virtuel Azure avec une connexion VPN de site à site.
3. Local : Configurez votre périphérique VPN matériel ou logiciel local pour marquer la fin de la connexion VPN en utilisant la sécurité du protocole Internet (IPsec).

Après avoir établi la connexion VPN de site à site, vous ajoutez des machines virtuelles Azure aux sous-réseaux du réseau virtuel.

Planification de votre réseau Azure Virtual Network

Conditions préalables

• Un abonnement Azure. Pour plus d’informations sur les abonnements Azure, accédez à la page Comment acheter Azure.
• Un espace d’adressage IPv4 privé disponible à affecter au réseau virtuel et à ses sous-réseaux, avec suffisamment d’espace pour leur croissance afin d’accueillir le nombre de machines virtuelles nécessaires maintenant et à l’avenir.
• Un périphérique VPN disponible dans votre réseau local pour marquer la fin de la connexion VPN de site à site qui prend en charge la configuration requise IPsec. Pour plus d'informations, voir À propos des périphériques VPN pour les connexions de réseau virtuel de site à site.
• La modification de votre infrastructure de routage pour que le trafic routé vers l'espace d'adressage du réseau virtuel Azure soit acheminé vers le périphérique VPN qui héberge la connexion VPN de site à site.
• Un proxy web fournissant un accès à Internet aux ordinateurs connectés au réseau local et au réseau virtuel Azure.

Hypothèses en matière de conception de l’architecture de la solution

La liste suivante répertorie les choix de conception qui ont été faits pour l’architecture de cette solution.

• Cette solution utilise un seul réseau virtuel Azure avec une connexion VPN de site à site. Le réseau virtuel Azure héberge un sous-réseau unique qui contient plusieurs machines virtuelles.
• Vous pouvez utiliser le service Routage et accès distant (RRAS) dans Windows Server 2016 ou Windows Server 2012 pour établir une connexion VPN de site à site IPsec entre le réseau local et le réseau virtuel Azure. Vous pouvez également utiliser d'autres options, telles que des périphériques VPN Cisco ou Juniper Networks.
• Le réseau local peut toujours avoir des services réseau tels que services de domaine Active Directory (AD DS), DNS (Domain Name System) et des serveurs proxy. Selon vos besoins, il peut être utile de placer certaines de ces ressources réseau dans le réseau virtuel Azure.

Pour un réseau virtuel Azure existant avec un ou plusieurs sous-réseaux, déterminez s’il reste de l’espace d’adressage pour un sous-réseau supplémentaire pour héberger vos machines virtuelles nécessaires, en fonction de vos besoins. Si vous n'avez pas assez d'espace d'adressage restant pour un sous-réseau supplémentaire, créez un réseau virtuel supplémentaire qui dispose de sa propre connexion VPN de site à site.

Planification des modifications d’infrastructure de routage pour le réseau virtuel Azure

Vous devez configurer votre infrastructure de routage locale pour acheminer le trafic destiné à l'espace d'adressage du réseau virtuel Azure au périphérique VPN local qui héberge la connexion VPN de site à site.

La méthode de mise à jour exacte de votre infrastructure de routage dépend de votre gestion des informations de routage, c’est-à-dire :

• Des mises à jour de la table de routage en fonction de la configuration manuelle.
• Des mises à jour de la table de routage en fonction des protocoles de routage, tels que le protocole RIP (Routing Information Protocol) ou le protocole OSPF (Open Shortest Path First).

Consultez votre spécialiste du routage pour vous assurer que le trafic destiné au réseau virtuel Azure est transféré au périphérique VPN local.

Planification des règles de pare-feu pour le trafic vers et depuis le périphérique VPN local

Si votre périphérique VPN se trouve sur un réseau de périmètre qui dispose d’un pare-feu entre le réseau de périmètre et Internet, vous devrez peut-être configurer le pare-feu pour que les règles suivantes autorisent la connexion VPN de site à site.

• Trafic vers le périphérique VPN (entrant, à partir d’Internet) :

  • Adresse IP de destination du périphérique VPN et protocole IP 50
  • Adresse IP de destination du périphérique VPN et port 500 de destination UDP
  • Adresse IP de destination du périphérique VPN et port 4500 de destination UDP

• Trafic provenant du périphérique VPN (sortant, en direction d’Internet) :

  • Adresse IP source du périphérique VPN et protocole IP 50
  • Adresse IP source du périphérique VPN et port 500 source UDP
  • Adresse IP source du périphérique VPN et port 4500 source UDP

Planification de l’espace d’adressage IP privé du réseau virtuel Azure

L'espace d'adressage IP privé du réseau virtuel Azure doit pouvoir prendre en charge les adresses utilisées par Azure pour héberger le réseau virtuel et au moins un sous-réseau disposant de suffisamment d'adresses pour vos machines virtuelles Azure.

Pour déterminer le nombre d’adresses nécessaires pour le sous-réseau, comptez le nombre de machines virtuelles dont vous avez besoin maintenant, estimez la croissance future, puis utilisez le tableau suivant pour déterminer la taille du sous-réseau.

Nombre de machines virtuelles nécessaires	Nombre de bits d'hôte requis	Taille du sous-réseau
1-3	3	/29
4-11	4	/28
12-27	5	/27
28-59	6	/26
60-123	7	/25

Planification de la feuille de travail pour la configuration de votre réseau virtuel Azure

Avant de créer un réseau virtuel Azure pour héberger des machines virtuelles, vous devez déterminer les paramètres nécessaires dans les tableaux suivants.

Pour les paramètres du réseau virtuel, remplissez le tableau V.

Tableau V : configuration de réseau virtuel entre différents locaux

Élément	Élément Configuration	Description	Valeur
1.	Nom du réseau virtuel	Nom à affecter au réseau virtuel Azure (par exemple, DirSyncNet).
2.	Emplacement du réseau virtuel	Centre de données Azure qui contiendra le réseau virtuel (par exemple, Ouest des États-Unis).
3.	Adresse IP du périphérique VPN	Adresse IPv4 publique de l'interface de votre périphérique VPN sur Internet. Renseignez-vous auprès de votre service informatique pour déterminer cette adresse.
4.	Espace d’adressage du réseau virtuel	Espace d'adressage (défini dans un préfixe d'adresse privée unique) pour le réseau virtuel. Renseignez-vous auprès de votre service informatique pour déterminer cet espace d'adressage. L'espace d'adressage doit être au format de routage CIDR (Classless Interdomain Routing), également appelé format de préfixe de réseau. Par exemple, 10.24.64.0/20.
5.	Clé partagée IPsec	Chaîne alphanumérique aléatoire de 32 caractères, qui sera utilisée pour authentifier les deux côtés de la connexion VPN de site à site. Renseignez-vous auprès de votre service informatique ou de sécurité pour déterminer la valeur de cette clé, puis stockez-la dans un emplacement sécurisé. Vous pouvez également consulter la page relative à la création d'une chaîne aléatoire pour une clé prépartagée IPsec.

Remplissez le tableau S pour les sous-réseaux de cette solution.

• Pour le premier sous-réseau, déterminez un espace d'adressage 28 bits (avec une longueur de préfixe de /28) pour le sous-réseau de passerelle Azure. Voir la rubrique sur le calcul de l'espace d'adressage de sous-réseau de passerelle pour les réseaux virtuels Azure pour savoir comment déterminer cet espace d'adressage.

• Pour le deuxième sous-réseau, indiquez un nom convivial, un espace d’adressage IP unique fondé sur l’espace d’adressage de réseau virtuel et une description de l’objectif.

Renseignez-vous auprès de votre service informatique pour déterminer ces espaces d'adressage à partir de l'espace d'adressage de réseau virtuel. Les deux espaces d'adressage doivent être au format CIDR.

Tableau S : sous-réseaux dans le réseau virtuel

Élément	Nom du sous-réseau	Espace d'adressage de sous-réseau	Objectif
1.	GatewaySubnet		Sous-réseau utilisé par la passerelle Azure.
2.

Concernant les serveurs DNS locaux qui doivent être utilisés par les machines virtuelles du réseau virtuel, remplissez le tableau D. Donnez un nom convivial et une adresse IP unique à chaque serveur DNS. Ce nom convivial n’a pas besoin de correspondre au nom d’hôte ou au nom de l’ordinateur du serveur DNS. Notez que le tableau comporte deux entrées vides, mais vous pouvez en ajouter d’autres. Renseignez-vous auprès de votre service informatique pour déterminer cette liste.

Tableau D : serveurs DNS locaux

Élément	Nom convivial du serveur DNS	Adresse IP du serveur DNS
1.
2.

Pour acheminer les paquets du réseau virtuel Azure vers le réseau de votre organisation par le biais de la connexion VPN de site à site, vous devez configurer le réseau virtuel avec un réseau local. Ce réseau local possède la liste des espaces d’adressage (au format CIDR) pour l’ensemble des emplacements sur le réseau local de votre organisation que les machines virtuelles du réseau virtuel doivent atteindre. Il peut s’agir de l’ensemble des emplacements sur le réseau local ou un sous-ensemble. La liste des espaces d’adressage qui définissent votre réseau local doit être unique et ne doit pas se chevaucher avec les espaces d’adressage utilisés pour ce réseau virtuel ou les autres réseaux virtuels intersites.

Pour l’ensemble des espaces d’adressage du réseau local, remplissez le tableau L. Notez que le tableau comporte trois entrées vides, mais vous aurez généralement besoin d’en ajouter. Renseignez-vous auprès de votre service informatique pour déterminer cette liste.

Tableau L : préfixes d'adresse pour le réseau local

Élément	Espace d'adressage du réseau local
1.
2.
3.

Feuille de route de déploiement

La création du réseau virtuel entre différents locaux et l'ajout de machines virtuelles dans Azure se composent de trois phases :

• Phase 1 : préparer votre réseau local.
• Phase 2 : créer le réseau virtuel entre différents locaux dans Azure.
• Phase 3 (facultative) : ajouter des machines virtuelles.

Phase 1 : préparer votre réseau local

Vous devez configurer votre réseau local avec un itinéraire qui pointe vers l’espace d’adressage du réseau virtuel et remet finalement le trafic qui y est destiné au routeur sur le périmètre du réseau local. Contactez votre administrateur réseau pour savoir comment ajouter l'itinéraire à l'infrastructure de routage de votre réseau local.

Voici la configuration finale.

Phase 2 : créer le réseau virtuel entre différents locaux dans Azure

Tout d’abord, ouvrez une invite PowerShell Azure. Si vous n’avez pas installé Azure PowerShell, consultez Bien démarrer avec Azure PowerShell.

Ensuite, connectez-vous à votre compte Azure avec cette commande.

Connect-AzAccount

Obtenez le nom de votre abonnement à l’aide de la commande suivante.

Get-AzSubscription | Sort SubscriptionName | Select SubscriptionName

Définissez votre abonnement Azure avec les commandes suivantes. Remplacez tout ce qui se trouve entre guillemets, y compris les < caractères et > , par le nom d’abonnement correct.

$subscrName="<subscription name>"
Select-AzSubscription -SubscriptionName $subscrName

Ensuite, créez un nouveau groupe de ressources pour votre réseau virtuel. Pour déterminer un nom de groupe de ressources unique, utilisez cette commande pour répertorier vos groupes de ressources existants.

Get-AzResourceGroup | Sort ResourceGroupName | Select ResourceGroupName

Créez votre nouveau groupe de ressources avec ces commandes.

$rgName="<resource group name>"
$locName="<Table V - Item 2 - Value column>"
New-AzResourceGroup -Name $rgName -Location $locName

Ensuite, créez le réseau virtuel Azure.

# Fill in the variables from previous values and from Tables V, S, and D
$rgName="<name of your new resource group>"
$locName="<Azure location of your new resource group>"
$vnetName="<Table V - Item 1 - Value column>"
$vnetAddrPrefix="<Table V - Item 4 - Value column>"
$gwSubnetPrefix="<Table S - Item 1 - Subnet address space column>"
$SubnetName="<Table S - Item 2 - Subnet name column>"
$SubnetPrefix="<Table S - Item 2 - Subnet address space column>"
$dnsServers=@( "<Table D - Item 1 - DNS server IP address column>", "<Table D - Item 2 - DNS server IP address column>" )
$locShortName=(Get-AzResourceGroup -Name $rgName).Location

# Create the Azure virtual network and a network security group that allows incoming remote desktop connections to the subnet that is hosting virtual machines
$gatewaySubnet=New-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix $gwSubnetPrefix
$vmSubnet=New-AzVirtualNetworkSubnetConfig -Name $SubnetName -AddressPrefix $SubnetPrefix
New-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName -Location $locName -AddressPrefix $vnetAddrPrefix -Subnet $gatewaySubnet,$vmSubnet -DNSServer $dnsServers
$rule1=New-AzNetworkSecurityRuleConfig -Name "RDPTraffic" -Description "Allow RDP to all VMs on the subnet" -Access Allow -Protocol Tcp -Direction Inbound -Priority 100 -SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 3389
New-AzNetworkSecurityGroup -Name $SubnetName -ResourceGroupName $rgName -Location $locShortName -SecurityRules $rule1
$vnet=Get-AzVirtualNetwork -ResourceGroupName $rgName -Name $vnetName
$nsg=Get-AzNetworkSecurityGroup -Name $SubnetName -ResourceGroupName $rgName
Set-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $SubnetName -AddressPrefix $SubnetPrefix -NetworkSecurityGroup $nsg
$vnet | Set-AzVirtualNetwork

Voici la configuration finale.

Utilisez ces commandes pour créer les passerelles pour la connexion VPN de site à site.

# Fill in the variables from previous values and from Tables V and L
$vnetName="<Table V - Item 1 - Value column>"
$localGatewayIP="<Table V - Item 3 - Value column>"
$localNetworkPrefix=@( <comma-separated, double-quote enclosed list of the local network address prefixes from Table L, example: "10.1.0.0/24", "10.2.0.0/24"> )
$vnetConnectionKey="<Table V - Item 5 - Value column>"
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
# Attach a virtual network gateway to a public IP address and the gateway subnet
$publicGatewayVipName="PublicIPAddress"
$vnetGatewayIpConfigName="PublicIPConfig"
New-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName -Location $locName -AllocationMethod Dynamic
$publicGatewayVip=Get-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName
$vnetGatewayIpConfig=New-AzVirtualNetworkGatewayIpConfig -Name $vnetGatewayIpConfigName -PublicIpAddressId $publicGatewayVip.Id -SubnetId $vnet.Subnets[0].Id
# Create the Azure gateway
$vnetGatewayName="AzureGateway"
$vnetGateway=New-AzVirtualNetworkGateway -Name $vnetGatewayName -ResourceGroupName $rgName -Location $locName -GatewayType Vpn -VpnType RouteBased -IpConfigurations $vnetGatewayIpConfig
# Create the gateway for the local network
$localGatewayName="LocalNetGateway"
$localGateway=New-AzLocalNetworkGateway -Name $localGatewayName -ResourceGroupName $rgName -Location $locName -GatewayIpAddress $localGatewayIP -AddressPrefix $localNetworkPrefix
# Create the Azure virtual network VPN connection
$vnetConnectionName="S2SConnection"
$vnetConnection=New-AzVirtualNetworkGatewayConnection -Name $vnetConnectionName -ResourceGroupName $rgName -Location $locName -ConnectionType IPsec -SharedKey $vnetConnectionKey -VirtualNetworkGateway1 $vnetGateway -LocalNetworkGateway2 $localGateway

Voici la configuration finale.

Ensuite, configurez votre périphérique VPN local de sorte qu'il se connecte à la passerelle VPN Azure. Pour plus d'informations, voir À propos des périphériques VPN pour les connexions du réseau virtuel Azure de site à site.

Pour configurer votre périphérique VPN, vous avez besoin des éléments suivants :

• L’adresse IPv4 publique de la passerelle VPN Azure pour votre réseau virtuel. Utilisez la commande Get-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName pour afficher cette adresse.
• La clé prépartagée IPsec pour la connexion VPN de site à site (Tableau V - Élément 5 - colonne Valeur).

Voici la configuration finale.

Phase 3 (facultative) : ajouter des machines virtuelles

Créez les machines virtuelles dont vous avez besoin dans Azure. Pour plus d’informations, consultez Créer une machine virtuelle Windows avec le Portail Azure.

Utilisez les paramètres suivants :

• Dans l’onglet De base, sélectionnez le même abonnement et le même groupe de ressources que votre réseau virtuel. Vous en aurez besoin ultérieurement pour vous connecter à la machine virtuelle. Dans la section Détails de l’instance, sélectionnez la taille de machine virtuelle appropriée. Enregistrez le nom d’utilisateur du compte administrateur et le mot de passe dans un emplacement sécurisé.
• Dans l’onglet Mise en réseau, sélectionnez le nom de votre réseau virtuel et le sous-réseau pour l’hébergement de machines virtuelles (pas GatewaySubnet). Tous les autres paramètres conservent leurs valeurs par défaut.

Vérifiez que votre machine virtuelle utilise le DNS correctement en vérifiant votre DNS interne pour vous assurer que les enregistrements d’adresse (A) ont été ajoutés pour votre nouvelle machine virtuelle. Pour accéder à Internet, vos machines virtuelles Azure doivent être configurées pour utiliser le serveur proxy de votre réseau local. Contactez votre administrateur réseau pour les étapes de configuration supplémentaires à effectuer sur le serveur.

Voici la configuration finale.

Étape suivante

Déployer la synchronisation d’annuaires Microsoft 365 dans Microsoft Azure