Explorer la passerelle VPN Azure
Pour intégrer votre environnement local à Azure, vous devez pouvoir créer une connexion chiffrée. Vous pouvez vous connecter par le biais d’Internet ou d’une liaison dédiée. Ici, nous allons examiner la passerelle VPN Azure, qui fournit un point de terminaison aux connexions entrantes à partir d’environnements locaux.
Vous avez configuré un réseau virtuel Azure et vous devez vous assurer du chiffrement de tous les transferts de données depuis Azure vers votre site et entre des réseaux virtuels Azure. Vous devez également savoir comment connecter des réseaux virtuels entre des régions et des abonnements.
Qu’est-ce qu’une passerelle VPN ?
Une passerelle de réseau virtuel Azure fournit un point de terminaison pour les connexions entrantes à partir d’emplacements locaux vers Azure sur Internet. Une passerelle VPN est un type spécifique de passerelle de réseau virtuel qui peut être un point de terminaison pour les connexions chiffrées. Elle peut également envoyer du trafic chiffré entre les réseaux virtuels Azure via le réseau Microsoft dédié liant les centres de données Azure dans différentes régions. Cette configuration vous permet de lier de manière sécurisée des machines virtuelles et des services dans différentes régions.
Chaque réseau virtuel ne peut posséder qu’une seule passerelle VPN. Toutes les connexions à cette passerelle VPN partagent la bande passante réseau disponible.
Chaque passerelle de réseau virtuel contient au moins deux machines virtuelles. Ces machines virtuelles ont été déployées sur un sous-réseau spécial que vous spécifiez : il s’agit d’un sous-réseau de passerelle. Elles contiennent des tables de routage pour les connexions à d’autres réseaux, ainsi que des services de passerelle spécifiques. Ces machines virtuelles et le sous-réseau de passerelle sont semblables à un appareil réseau renforcé. Vous n’avez pas besoin de configurer ces machines virtuelles directement et vous ne devez pas déployer de ressources supplémentaires dans le sous-réseau de passerelle.
La création d’une passerelle de réseau virtuel peut prendre du temps, il est important de la prévoir à l’avance. Lorsque vous créez une passerelle de réseau virtuel, le processus d’approvisionnement génère les machines virtuelles de passerelle et les déploie sur le sous-réseau de passerelle. Ces machines virtuelles disposeront des paramètres que vous avez configurés sur la passerelle.
Un paramètre clé est le type de passerelle. Le type de passerelle détermine la façon dont la passerelle fonctionne. Pour une passerelle VPN, le type de passerelle est « VPN ». Options relatives aux passerelles VPN :
Les connexions entre des réseaux virtuels via un tunneling VPN IPsec/IKE, liant plusieurs passerelles VPN entre elles.
Le tunneling VPN IPsec/IKE entre plusieurs sites, pour connecter des réseaux locaux à Azure via des appareils VPN dédiés afin de créer des connexions de site à site.
Les connexions point à site par IKEv2 ou SSTP, pour lier des ordinateurs clients aux ressources dans Azure.
À présent, examinons les facteurs que vous devez prendre en compte pour la planification de votre passerelle VPN.
Planifier une passerelle VPN
Quand vous planifiez une passerelle VPN, il existe trois architectures à prendre en compte :
- Point à site par Internet
- Site à site par Internet
- Site à site sur un réseau dédié, par exemple Azure ExpressRoute
Facteurs de planification
Voici les facteurs que vous devez couvrir pendant votre processus de planification :
- Débit - Mbits/s ou Gbit/s
- Dorsale principale - Internet ou privé ?
- Disponibilité d’une adresse IP publique (statique)
- Compatibilité du périphérique VPN
- Plusieurs connexions de client ou un lien de site à site ?
- Type de passerelle VPN
- SKU de la passerelle VPN Azure
Le tableau suivant résume certains de ces points de planification. Les problèmes restants sont décrits plus loin.
| Point à site | Site à site | ExpressRoute | |
|---|---|---|---|
| Services pris en charge par Azure | Services cloud et machines virtuelles | Services cloud et machines virtuelles | Tous les services pris en charge |
| Bande passante classique | Varie selon la référence SKU de passerelle VPN | Varie selon la référence SKU de passerelle VPN | Consulter Options de bande passante ExpressRoute |
| Protocoles pris en charge | SSTP et IPsec | IPsec | Connexion directe, VLAN |
| Routage | RouteBased (dynamique) | PolicyBased (statique) et RouteBased | BGP |
| Résilience de connexion | Actif/Passif | Actif/passif ou actif/actif | Actif/actif |
| Cas d’usage | Test et prototypage | Développement, test et production à petite échelle | Critique pour l’entreprise/la mission |
Références SKU de passerelle
Il est important de choisir la référence SKU qui vous convient. Si vous avez configuré votre passerelle VPN avec une référence SKU incorrecte, vous devrez supprimer et recréer la passerelle, ce qui peut prendre du temps. Pour les dernières informations sur les références SKU de passerelle, notamment le débit, consultez Qu’est-ce qu’une passerelle VPN ? - SKU de passerelle.
Workflow
Lorsque vous concevez une stratégie de connectivité cloud à l’aide d’un réseau privé virtuel sur Azure, vous devez appliquer le flux de travail suivant :
Établissez votre topologie de connectivité, en répertoriant les espaces d’adressage pour tous les réseaux connectés.
Créez un réseau virtuel Azure.
Créez une passerelle VPN pour le réseau virtuel.
Créez et configurez les connexions aux réseaux locaux ou à d’autres réseaux virtuels, en fonction des besoins.
Si nécessaire, créez et configurez une connexion point à site pour votre passerelle VPN Azure.
Éléments de conception à prendre en considération
Lorsque vous concevez vos passerelles VPN pour connecter des réseaux virtuels, vous devez prendre en compte les facteurs suivants :
Les sous-réseaux ne peuvent pas se chevaucher
Il est essentiel qu’un sous-réseau dans un emplacement donné ne contienne pas le même espace d’adressage dans un autre emplacement.
Les adresses IP doivent être uniques
Vous ne pouvez pas avoir deux hôtes avec la même adresse IP à différents emplacements, car il est impossible de router le trafic entre ces deux hôtes et la connexion réseau à réseau échoue.
Les passerelles VPN ont besoin d’un sous-réseau de passerelle nommé GatewaySubnet
Il doit avoir ce nom pour que la passerelle fonctionne et ne doit contenir aucune autre ressource.
Création d'un réseau virtuel Azure
Avant de créer une passerelle VPN, vous devez créer le réseau virtuel Azure.
Créer une passerelle VPN
Le type de passerelle VPN que vous créez dépend de votre architecture. Les options sont les suivantes :
RouteBased
Les appareils VPN basés sur le routage utilisent des sélecteurs de trafic universels (caractère générique) et laissent les tables de routage/transfert diriger le trafic vers les différents tunnels IPsec. Les connexions basées sur le routage sont, en règle générale, construites sur des plateformes de routeur où chaque tunnel IPsec est modélisé en tant qu’interface réseau ou interface virtuelle de tunnel (VTI).
PolicyBased
Les appareils VPN basés sur des stratégies utilisent des combinaisons de préfixes provenant des deux réseaux pour définir la façon dont le trafic est chiffré/déchiffré via les tunnels IPsec. Une connexion basée sur des stratégies est, en règle générale, construite sur des dispositifs de pare-feu qui se chargent du filtrage des paquets. Les fonctions de chiffrement et de déchiffrement de tunnel IPsec sont ajoutées au filtrage des paquets et au moteur de traitement.
Configurer une passerelle VPN
Les étapes à suivre varient selon le type de la passerelle VPN que vous installez. Par exemple, pour créer une passerelle VPN point à site à l’aide du Portail Azure, vous procédez comme suit :
Créez un réseau virtuel.
Ajoutez un sous-réseau de passerelle.
Spécifier un serveur DNS (facultatif).
Créez une passerelle de réseau virtuel.
Générez des certificats.
Ajoutez le pool d’adresses des clients.
Configurez le type de tunnel.
Configurez le type d’authentification.
Chargez les données de certificat public du certificat racine.
Installez un certificat client exporté.
Générez et installez le package de configuration du client VPN.
Connexion à Azure.
Étant donné qu’il y a plusieurs chemins d’accès de configuration avec les passerelles VPN Azure, chacun disposant de plusieurs options, il n’est pas possible de couvrir chaque configuration dans ce cours. Pour plus d’informations, consultez la section Ressources supplémentaires.
Configurer la passerelle
Une fois votre passerelle créée, vous devez la configurer. Il existe plusieurs paramètres de configuration que vous devrez fournir, comme le nom, l’emplacement, le serveur DNS, etc. Nous examinerons ces paramètres plus en détail dans l’exercice.
Les passerelles VPN Azure sont un composant des réseaux virtuels Azure qui active les connexions de point à site, de site à site ou de réseau à réseau. Les passerelles VPN Azure permettent aux ordinateurs clients individuels de se connecter aux ressources dans Azure, d’étendre des réseaux locaux dans Azure ou de faciliter les connexions entre des réseaux virtuels entre différentes régions et plusieurs abonnements.