Peering de réseau virtuel
L'appairage de réseaux virtuels vous permet de connecter en toute transparence deux ou plusieurs réseaux virtuels dans Azure. Les réseaux virtuels apparaissent comme un seul réseau à des fins de connectivité. Le trafic entre les machines virtuelles des réseaux virtuels appairés utilise l’infrastructure principale de Microsoft. À l’instar du trafic entre les machines virtuelles du même réseau, le trafic est acheminé via le réseau privé de Microsoft uniquement. Par défaut, un réseau virtuel peut être apparié à un maximum de 500 autres réseaux virtuels. En utilisant la configuration de la connectivité d’Azure Virtual Network Manager, vous pouvez augmenter cette limite pour appairer jusqu’à 1 000 réseaux virtuels à un seul réseau virtuel. Cela vous permet, par exemple, de créer une topologie Hub-and-spoke avec 1 000 réseaux virtuels spoke et de créer un maillage de 1 000 réseaux virtuels spoke où tous les réseaux virtuels spoke sont directement interconnectés.
Azure prend en charge les types de Peering suivants :
Appairage de réseaux virtuels : connexion des réseaux virtuels au sein d’une même région Azure.
Appairage de réseaux virtuels mondiaux : connecte des réseaux virtuels entre les différentes régions Azure.
Voici quelques-uns des avantages du peering de réseaux virtuels, qu’il soit local ou global :
Connexion à latence faible et haut débit entre les ressources de différents réseaux virtuels.
Possibilité pour les ressources d’un réseau virtuel de communiquer avec celles d’un autre réseau virtuel.
Possibilité de transférer des données entre des réseaux virtuels dans des abonnements Azure, des locataires Microsoft Entra, des modèles de déploiement et des régions Azure.
Possibilité d’appairer des réseaux virtuels créés via Azure Resource Manager.
Possibilité d’appairer un réseau virtuel créé via Resource Manager à un réseau créé par le biais du modèle de déploiement classique. Pour en savoir plus sur les modèles de déploiement Azure, consultez l’article Déploiement Azure Resource Manager et déploiement classique : comprendre les modèles de déploiement et l’état de vos ressources.
Aucune interruption des ressources dans un réseau virtuel lors de la création du peering ou après que le peering est créé.
Le trafic réseau entre les réseaux virtuels homologués est privé. Le trafic entre les réseaux virtuels reste sur le réseau principal de Microsoft. Aucun chiffrement et aucune connexion Internet publique, ni passerelle ne sont nécessaires pour que les réseau virtuels communiquent.
Connectivité
Pour les réseaux virtuels appairés, les ressources de l’un peuvent se connecter directement à celles du réseau virtuel appairé.
La latence du réseau entre des machines virtuelles de réseaux virtuels homologués dans la même région est la même que celle d’un seul réseau virtuel. Le débit du réseau repose sur la bande passante autorisée pour la machine virtuelle proportionnellement à sa taille. Aucune restriction de bande passante supplémentaire n’est appliquée au sein du peering.
Le trafic entre les machines virtuelles dans des réseaux virtuels homologués est acheminé directement via l’infrastructure principale de Microsoft et non via une passerelle ou une connexion Internet publique.
Vous pouvez appliquer des groupes de sécurité réseau dans l’un ou l’autre des réseaux virtuels pour bloquer l’accès à d’autres réseaux virtuels ou sous-réseaux. Quand vous configurez le peering des réseaux virtuels, vous pouvez ouvrir ou fermer les règles de groupe de sécurité réseau entre les réseaux virtuels. Si vous ouvrez totalement la connectivité entre les réseaux virtuels appairés, vous pouvez appliquer des groupes de sécurité réseau pour bloquer ou refuser certains accès. La connectivité entièrement ouverte est l’option par défaut. Pour en savoir plus sur les groupes de sécurité réseau, voir Groupes de sécurité.
Redimensionner l’espace d’adressage des réseaux virtuels Azure appairés
Vous pouvez redimensionner l’espace d’adressage des réseaux virtuels Azure qui sont appairés sans que cela n’entraîne de temps d’arrêt sur l’espace d’adressage actuellement appairé. Cette fonctionnalité est utile lorsque vous devez redimensionner l’espace d’adressage d’un réseau virtuel après avoir mis à l’échelle vos charges de travail. Une fois l’espace d’adressage redimensionné, les homologues doivent se synchroniser avec les nouvelles modifications de l’espace d’adressage. Le redimensionnement fonctionne pour les espaces d’adressage IPv4 et IPv6.
Les adresses peuvent être redimensionnées des manières suivantes :
Modification du préfixe de plage d’adresses d’une plage d’adresses existante (par exemple, changement de 10.1.0.0/16 en 10.1.0.0/18)
Ajout de plages d’adresses à un réseau virtuel
Suppression de plages d’adresses d’un réseau virtuel
Le redimensionnement de l’espace d’adressage est pris en charge entre locataires
La synchronisation des pairs du réseau virtuel peut être effectuée via le Portail Azure ou à l’aide d’Azure PowerShell. Nous vous recommandons d’effectuer la synchronisation après chaque nouvelle opération de redimensionnement de l’espace d’adressage au lieu de le faire après plusieurs opérations de redimensionnement consécutives. Pour savoir comment mettre à jour l’espace d’adressage d’un réseau virtuel appairé, consultez Mise à jour de l’espace d’adressage d’un réseau virtuel appairé.
Important
Cette fonctionnalité ne prend pas en charge les scénarios où le réseau virtuel à mettre à jour est appairé avec :
- Un réseau virtuel classique
Chaînage de services
Le chaînage de services vous permet de diriger le trafic d’un réseau virtuel vers l’appliance virtuelle ou la passerelle d’un réseau appairé via des itinéraires définis par l’utilisateur.
Pour activer le chaînage de services, configurez des itinéraires définis par l’utilisateur qui pointent vers des machines virtuelles de réseaux virtuels appairés en tant qu’adresse IP du tronçon suivant. Les itinéraires définis par l’utilisateur peuvent également pointer vers des passerelles de réseau virtuel pour activer le chaînage de services.
Vous pouvez également déployer des réseaux de type hub-and-spoke où le réseau virtuel hub héberge des composants d’infrastructure tels qu’une appliance virtuelle réseau ou une passerelle VPN. Tous les réseaux virtuels spoke peuvent ensuite être homologués avec le réseau virtuel hub. Le trafic transite par des appliances virtuelles réseau ou des passerelles VPN sur le réseau virtuel hub.
Le peering de réseaux virtuels permet de définir le tronçon suivant dans un itinéraire défini par l’utilisateur sur l’adresse IP d’une machine virtuelle du réseau virtuel appairé ou une passerelle VPN. Vous ne pouvez pas définir d’itinéraires entre plusieurs réseaux virtuels avec un itinéraire défini par l’utilisateur qui spécifie une passerelle Azure ExpressRoute comme type de tronçon suivant. Pour en savoir plus sur les routages définis par l’utilisateur, voir Vue d’ensemble des routages définis par l’utilisateur. Pour découvrir comment créer une topologie de réseau hub-and-spoke, consultez Implémenter une topologie de réseau hub-and-spoke dans Azure.
Passerelles et connectivité locale
Chaque réseau virtuel, y compris un réseau virtuel appairé, peut avoir sa propre passerelle. Un réseau virtuel peut utiliser sa passerelle pour se connecter à un réseau local. Vous pouvez également configurer des connexions de réseau virtuel à réseau virtuel à l’aide de passerelles, même pour les réseaux virtuels appairés.
Lorsque vous configurez les deux options d’interconnexion de réseaux virtuels, le trafic entre les réseaux virtuels transite via la configuration de Peering. Le trafic utilise le réseau principal Azure.
Vous pouvez également configurer la passerelle du réseau virtuel appairé en tant que point de transit vers un réseau local. Dans ce cas, le réseau virtuel qui utilise une passerelle distante ne peut pas posséder sa propre passerelle. Un réseau virtuel ne peut avoir qu’une seule passerelle, et la passerelle doit être locale ou distante dans le réseau virtuel appairé, comme illustré dans le diagramme suivant :
L’appairage de réseaux virtuels et l’appairage de réseaux virtuels mondiaux prennent en charge le transit par passerelle.
Le transit par passerelle entre des réseaux virtuels créés via des modèles de déploiement différents est pris en charge. La passerelle doit donc figurer dans un réseau virtuel du modèle Resource Manager. Pour en savoir plus sur l’utilisation d’une passerelle pour le transit, consultez Configure a VPN gateway for transit in a virtual network peering (Configurer une passerelle VPN pour le transit dans une homologation de réseaux virtuels).
Lorsque vous appairez des réseaux virtuels qui partagent une connexion Azure ExpressRoute unique, le trafic entre eux transite par la relation de Peering. Ce trafic utilise le réseau principal Azure. Vous pouvez toujours utiliser des passerelles locales dans chaque réseau virtuel pour vous connecter au circuit local. Dans le cas contraire, vous pouvez utiliser une passerelle partagée et configurer le transit pour la connectivité locale.
Dépanner
Pour confirmer que les réseaux virtuels sont appairés, vous pouvez vérifier les itinéraires effectifs. Vérifiez les itinéraires pour une interface réseau dans tout sous-réseau d’un réseau virtuel. Si une homologation de réseaux virtuels existe, tous les sous-réseaux au sein du réseau virtuel ont des itinéraires avec le type de tronçon suivant VNet Peering pour chaque espace d’adressage de chaque réseau virtuel homologué. Pour plus d’informations, consultez Diagnostiquer un problème de routage sur une machine virtuelle.
Vous pouvez aussi résoudre les problèmes de connectivité à la machine virtuelle d’un réseau virtuel appairé à l’aide d’Azure Network Watcher. Une vérification de la connectivité vous permet de voir comment le trafic est acheminé à partir de l’interface réseau d’une machine virtuelle source vers l’interface réseau d’une machine virtuelle de destination. Pour plus d’informations, consultez Détecter un problème de connexion avec Azure Network Watcher à l’aide du Portail Azure.
Vous pouvez également essayer Détecter un problème d’appairage de réseaux virtuels.
Contraintes pour les réseaux virtuels appairés
Les contraintes suivantes s’appliquent uniquement lorsque les réseaux virtuels sont appariés au niveau mondial :
Les ressources dans un réseau virtuel ne peuvent pas communiquer avec l’adresse IP front-end d’un équilibreur de charge de base (interne ou public) dans un réseau virtuel globalement appairé.
Certains services qui utilisent un équilibreur de charge de base ne fonctionnent pas sur l’appairage de réseaux virtuels global. Pour plus d’informations, consultez Quelles sont les contraintes liées aux équilibreurs de charge et à l’appairage de réseaux virtuels mondiaux ?.
Vous ne pouvez pas effectuer d’appairage de réseau virtuel dans le cadre de l’opération de réseau virtuel PUT
.
Pour plus d’informations, consultez Configuration requise et contraintes. Pour en savoir plus sur le nombre de Peerings pris en charge, consultez Limites de mise en réseau.
Autorisations
Pour en savoir plus sur les autorisations requises pour créer un appairage de réseaux virtuels, consultez Autorisations.
Tarifs
Un coût nominal s’applique pour le trafic entrant et sortant qui utilise une connexion d’appairage de réseaux virtuels. Pour plus d’informations, consultez Tarification de Réseau virtuel Microsoft Azure.
Le transit par passerelle est une propriété de Peering qui permet à un réseau virtuel d’exploiter la passerelle VPN/ExpressRoute d’un réseau virtuel appairé. Le transit par passerelle fonctionne pour la connectivité intersite et de réseau à réseau. Le trafic vers la passerelle (entrant ou sortant) dans le réseau virtuel appairé entraîne des frais d’appairage de réseaux virtuels sur le réseau virtuel spoke (ou réseau virtuel sans passerelle VPN). Pour plus d’informations, consultez Tarification de la passerelle VPN pour connaître les frais de passerelle VPN et Tarification de la passerelle ExpressRoute pour ceux de la passerelle ExpressRoute.
Notes
Une version précédente de ce document indiquait que les frais d’appairage de réseaux virtuels ne s’appliquaient pas au réseau virtuel spoke (ou réseau virtuel non-passerelle) avec un transit par passerelle. Le document reflète désormais la tarification exacte, conformément à la page de tarification.
Étapes suivantes
Vous pouvez créer un Peering entre deux réseaux virtuels. Les réseaux peuvent appartenir au même abonnement, à des modèles de déploiement différents dans le même abonnement ou à des abonnements différents. Suivez un didacticiel pour l’un des scénarios suivants :
Modèle de déploiement Azure Abonnement Les deux modèles Resource Manager Identique Différent Un modèle Resource Manager, un modèle classique Identique Différent Pour découvrir comment créer une topologie de réseau hub-and-spoke, consultez Implémenter une topologie de réseau hub-and-spoke dans Azure.
Pour en savoir plus sur tous les paramètres d’appairage de réseaux virtuels, consultez Créer, modifier ou supprimer un appairage de réseaux virtuels.
Pour obtenir des réponses aux questions fréquentes sur l’appairage de réseaux virtuels et l’appairage de réseaux virtuels mondiaux, consultez Appairage de réseaux virtuels.