Précédent

Suivant

Comment fonctionne ExpressRoute

Effectué

Vous avez découvert le rôle du service Azure ExpressRoute et les services pour lesquels vous pouvez l’utiliser. Vous êtes maintenant prêt à commencer à comprendre comment le service fonctionne. Examinons la façon dont il interagit avec Azure et les réseaux locaux pour créer une connexion sécurisée et fiable entre votre centre de données local et Microsoft Cloud.

Dans cette unité, vous allez découvrir comment créer et utiliser des circuits Azure pour connecter vos réseaux locaux au cloud. Vous allez voir les étapes à suivre pour créer un circuit. Vous allez également découvrir les autres composants d’une connexion ExpressRoute, qui fonctionnent ensemble pour former une connexion entre votre centre de données local et Microsoft Cloud.

Architecture ExpressRoute

ExpressRoute est pris en charge partout et dans toutes les régions. Pour implémenter ExpressRoute, vous devez collaborer avec un partenaire ExpressRoute. Le partenaire fournit le service de périphérie, une connexion autorisée et authentifiée qui fonctionne via un routeur contrôlé par le partenaire. Le service de périphérie est responsable de l’extension de votre réseau au cloud Microsoft.

Le partenaire définit des connexions à un point de terminaison dans un emplacement ExpressRoute (implémenté par un routeur de périphérie Microsoft). Ces connexions vous permettent d’appairer vos réseaux locaux aux réseaux virtuels disponibles via le point de terminaison. Ces connexions sont appelées circuits.

Remarque

Dans le contexte d’ExpressRoute, Microsoft Edge décrit les routeurs de périphérie du côté Microsoft du circuit ExpressRoute.

Un circuit fournit une connexion physique pour transmettre les données via les routeurs de périphérie du fournisseur ExpressRoute aux routeurs de périphérie Microsoft. Un circuit est établi sur un réseau privé plutôt que sur l’Internet public. Votre réseau local est connecté aux routeurs de périphérie du fournisseur ExpressRoute. Les routeurs de périphérie Microsoft fournissent le point d’entrée au cloud Microsoft.

Prérequis pour ExpressRoute

Avant de pouvoir vous connecter aux services cloud de Microsoft avec ExpressRoute, vous devez avoir :

• Un partenaire de connectivité ExpressRoute ou un fournisseur d’échange de cloud qui peut établir une connexion entre vos réseaux locaux et le cloud Microsoft.
• Un abonnement Azure inscrit auprès du partenaire de connectivité ExpressRoute de votre choix.
• Un compte Microsoft Azure actif qui peut être utilisé pour demander un circuit ExpressRoute.
• Un abonnement Office 365 actif (si vous souhaitez vous connecter au cloud Microsoft et accéder aux services Office 365).

ExpressRoute fonctionne en effectuant le peering de vos réseaux locaux avec des réseaux exécutés dans le cloud Microsoft. Les ressources de vos réseaux peuvent communiquer directement avec les ressources hébergées par Microsoft. Pour permettre la prise en charge de ces peerings, ExpressRoute doit répondre à plusieurs impératifs liés au réseau et au routage :

• Vérifiez que les sessions BGP pour les domaines de routage ont été configurées. Selon votre partenaire, cette configuration peut relever de sa responsabilité ou de la vôtre. De plus, pour chaque circuit ExpressRoute, Microsoft doit avoir des sessions BGP redondantes entre les routeurs Microsoft et vos routeurs de peering.
• Vous ou votre fournisseur devez traduire les adresses IP privées utilisées localement en adresses IP publiques à l’aide d’un service NAT. Microsoft rejette tout, à l’exception des adresses IP publiques, via le peering Microsoft.
• Réservez plusieurs blocs d’adresses IP dans votre réseau pour router le trafic vers le cloud Microsoft. Configurez ces blocs sous la forme d’un sous-réseau /29 ou de deux sous-réseaux /30 dans votre espace d’adressage IP. L’un de ces sous-réseaux est utilisé pour configurer la liaison principale vers le cloud Microsoft, tandis que l’autre implémente une liaison secondaire. La première adresse de ces sous-réseaux représente la fin du pair BGP et la deuxième adresse est l’IP de pair BGP de Microsoft.

ExpressRoute prend en charge deux schémas de peering :

• L’utilisation d’un peering privé pour vous connecter aux services Azure IaaS et PaaS déployés sur les réseaux virtuels Azure. Les ressources auxquelles vous accédez doivent toutes être situées dans un ou plusieurs réseaux virtuels Azure avec des adresses IP privées. Vous ne pouvez pas accéder aux ressources par le biais de leur adresse IP publique sur un peering privé.
• Utilisez un peering Microsoft pour vous connecter aux services Azure PaaS, aux services Office 365 et à Dynamics 365.

Remarque

Le portail Azure vous permet aussi de configurer un peering public. Cette forme de peering vous permet de vous connecter aux adresses publiques exposées par les services Azure. Toutefois, ce peering est déprécié et n’est pas disponible pour les nouveaux circuits. Ce module ne décrit pas le peering public.

Créer un circuit ExpressRoute et un peering

Pour établir une connexion à Azure via ExpressRoute, plusieurs étapes sont nécessaires. Vous pouvez effectuer un grand nombre de ces étapes en utilisant le portail Azure ou à partir de la ligne de commande à l’aide de PowerShell ou de l’interface Azure CLI. Cette section décrit le processus d’utilisation du portail Azure. Pour les instructions avec PowerShell et l’interface CLI, consultez la section En savoir plus à la fin de ce module.

Créer un circuit

Si vous utilisez le portail Azure, sélectionnez + Créer une ressource et recherchez ExpressRoute. Dans la page Créer un circuit ExpressRoute, vous devez renseigner les champs suivants :

Onglet Informations de base

Propriété	Valeur
Abonnement	Abonnement que vous avez inscrit auprès de votre fournisseur ExpressRoute.
Groupe de ressources	Groupe de ressources Azure dans lequel créer le circuit.
Région	Emplacement Azure dans lequel créer le circuit.
Nom	Nom explicite pour votre circuit, sans espaces ni caractères spéciaux.

Onglet Configuration

Propriété	Valeur
Type de port	Sélectionnez Fournisseur si vous vous connectez à travers un fournisseur de services ou Direct si vous vous connectez directement à Microsoft.
Créer ou importer à partir du modèle classique	Créez un circuit ou sélectionnez Importer pour déplacer un circuit existant du modèle classique vers Resource Manager.
Fournisseur	Fournisseur ExpressRoute auprès duquel vous avez inscrit votre abonnement.
Emplacement de peering	Emplacement activé par le fournisseur ExpressRoute dans lequel créer votre circuit.
Bande passante	Sélectionnez votre bande passante, de 50 Mbits/s à 10 Gbits/s. Commencez par une valeur basse. Vous pouvez l’augmenter plus tard sans interruption de service. Par contre, vous ne pouvez pas réduire la bande passante si vous la définissez trop haut au départ.
Référence (SKU)	Sélectionnez Local (si disponible) si vous avez seulement besoin de vous connecter à la ressource Azure dans 1 ou 2 régions Azure dans la même agglomération. Sélectionnez Standard si vous avez jusqu’à 10 réseaux virtuels et que vous avez besoin de vous connecter uniquement aux ressources de la même région géographique. Dans le cas contraire, sélectionnez Premium, qui vous permet de connecter plus de 10 réseaux virtuels et d’avoir une connectivité mondiale aux ressources Azure.
Modèle de facturation	Sélectionnez Illimité pour payer un tarif fixe quelle que soit l’utilisation. Ou sélectionnez Limité pour payer en fonction du volume de trafic entrant et existant sur le circuit.
Autoriser les opérations classiques	Sélectionnez Oui pour permettre aux réseaux virtuels classiques de se connecter au circuit. Sinon, sélectionnez Non.

La création d’un circuit peut prendre plusieurs minutes. Une fois que vous avez provisionné le circuit, vous pouvez utiliser le portail Azure pour voir les propriétés. Vous pouvez voir que l’État du circuit est activé, ce qui signifie que le côté Microsoft du circuit est prêt à accepter les connexions. L’État du fournisseur a la valeur Non provisionné initialement, car le fournisseur n’a pas configuré son côté du circuit pour la connexion à votre réseau.

Vous envoyez au fournisseur la valeur du champ Clé de service pour lui permettre de configurer la connexion. Cette configuration peut prendre plusieurs jours. Vous pouvez revenir sur cette page pour vérifier l’état du fournisseur.

Créer une configuration de peering

Une fois que l’état du fournisseur affiche Provisionné, vous pouvez configurer le routage pour les peerings. Ces étapes s’appliquent seulement aux circuits créés avec des fournisseurs de services qui proposent une connectivité de couche 2. Pour tous les circuits qui fonctionnent sur la couche 3, le fournisseur peut configurer le routage pour vous.

La page Circuit ExpressRoute affichée précédemment présente chaque peering et ses propriétés. Vous pouvez sélectionner un peering pour configurer ces propriétés.

Configurer le peering privé Azure

Vous pouvez utiliser un peering privé pour connecter votre réseau à vos réseaux virtuels exécutés dans Azure. Pour configurer un peering privé, vous devez fournir les informations suivantes :

• ASN pair : Numéro de système autonome pour votre côté du peering. Ce numéro ASN peut être public ou privé et 16 bits ou 32 bits.
• Sous-réseau : Sélectionnez cette option si vous voulez utiliser IPv4, IPv6 ou les deux pour les sous-réseaux de peering.
• Sous-réseau principal : Plage d’adresses du sous-réseau principal /30 que vous avez créé dans votre réseau. Vous utilisez la première adresse IP de ce sous-réseau pour votre routeur. Microsoft utilise la deuxième pour son routeur.
• Sous-réseau secondaire : Plage d’adresses de votre sous-réseau /30 secondaire. Ce sous-réseau fournit un lien secondaire à Microsoft. Les deux premières adresses sont utilisées pour l’adresse IP de votre routeur et du routeur Microsoft.
• Activer le peering IPv4 : Cette option vous permet d’activer et de désactiver la session BGP de peering privé.
• ID de VLAN : ID du VLAN sur lequel établir le peering. Les liaisons principale et secondaire utilisent toutes les deux cet ID de VLAN.
• Clé partagée : Cette clé est un code de hachage MD5 facultatif utilisé pour encoder les messages qui passent par le circuit.

Configurer le peering Microsoft

Utilisez un peering Microsoft pour vous connecter à Office 365 et à ses services associés. Si vous souhaitez configurer un peering Microsoft, vous devez fournir la plupart des informations décrites pour un peering privé : un ASN de pair, une plage d’adresses de sous-réseau principal, une plage d’adresses de sous-réseau secondaire, la version IP du sous-réseau, un ID de VLAN et une clé partagée facultative. Vous devez aussi fournir les informations suivantes :

• Préfixes publics publiés : Liste des préfixes d’adresses que vous utilisez au cours de la session BGP. Ces préfixes doivent être inscrits auprès de vous et doivent être des préfixes pour les plages d’adresses publiques.
• ASN du client : Numéro de système autonome facultatif côté client à utiliser si vous publiez des préfixes qui ne sont pas inscrits auprès de l’ASN de pair.
• Nom du registre de routage : Ce nom identifie le registre dans lequel le numéro ASN du client et les préfixes publics sont inscrits.

Connecter un réseau virtuel à un circuit ExpressRoute

Une fois le circuit ExpressRoute établi, le peering privé Azure est configuré pour votre circuit. La session BGP entre votre réseau et Microsoft est active. Vous pouvez donc activer la connectivité entre votre réseau local et Azure.

Avant de pouvoir vous connecter à un circuit privé, vous devez créer une passerelle de réseau virtuel Azure à l’aide d’un sous-réseau de l’un de vos réseaux virtuels Azure. La passerelle de réseau virtuel fournit le point d’entrée au trafic réseau entrant à partir de votre réseau local. Elle dirige le trafic entrant via le réseau virtuel vers vos ressources Azure.

Vous pouvez configurer des groupes de sécurité réseau et des règles de pare-feu pour contrôler le trafic routé à partir de votre réseau local. Vous pouvez également bloquer des demandes provenant d’adresses non autorisées dans votre réseau local.

Notes

Vous devez créer la passerelle de réseau virtuel en utilisant le type ExpressRoute et non VPN.

Vous pouvez lier jusqu’à 10 réseaux virtuels à un circuit ExpressRoute, mais ces réseaux virtuels doivent se trouver dans la même région géopolitique que le circuit ExpressRoute lorsque vous utilisez une référence SKU standard. Vous pouvez lier un réseau virtuel à quatre circuits ExpressRoute au maximum. Le circuit ExpressRoute peut être dans le même abonnement que le réseau virtuel ou dans un abonnement différent.

Si vous utilisez le portail Azure, connectez un peering à une passerelle de réseau virtuel comme suit :

1. Dans la page Circuit ExpressRoute de votre circuit, sélectionnez Connexions.
2. Dans la page Connexions, sélectionnez Ajouter.
3. Dans la page Ajouter une connexion, donnez un nom à votre connexion et sélectionnez votre passerelle de réseau virtuel. À la fin de l’opération, votre réseau local est connecté via la passerelle de réseau virtuel à votre réseau virtuel dans Azure. La connexion est établie via la connexion ExpressRoute.

Haute disponibilité et basculement avec ExpressRoute

Dans chaque circuit ExpressRoute, il existe deux connexions entre le fournisseur de connectivité et deux routeurs de périphérie Microsoft différents. Cette configuration se produit automatiquement. Elle fournit un degré de disponibilité au sein d’un même emplacement.

Envisagez de configurer des circuits ExpressRoute dans différents emplacements de peering pour avoir une haute disponibilité et vous protéger d’une panne régionale. Par exemple, vous pouvez créer des circuits dans les régions USA Est et USA Centre et connecter ces circuits à votre réseau virtuel. Ainsi, en cas de panne d’un circuit ExpressRoute, vous ne perdez pas la connectivité à votre ressource. Vous pouvez effectuer un basculement de la connexion vers un autre circuit ExpressRoute.

Vous pouvez aussi avoir plusieurs circuits chez différents fournisseurs pour vous assurer que votre réseau est toujours disponible, même si une panne affecte tous les circuits d’un seul fournisseur approuvé. Vous pouvez définir la propriété Poids de connexion pour préférer un circuit à un autre.

ExpressRoute Direct et FastPath

Microsoft fournit aussi une option de débit ultrarapide appelée ExpressRoute Direct. Ce service permet une connectivité double de 100 Gbits/s. Il convient aux scénarios qui impliquent une ingestion massive et fréquente de données. Il convient également aux solutions qui nécessitent une extensibilité extrême comme les banques, les administrations et le secteur de la distribution.

Vous pouvez inscrire votre abonnement auprès de Microsoft pour activer ExpressRoute Direct. Pour plus d’informations, consultez l’article ExpressRoute dans la section En savoir plus à la fin de ce module.

ExpressRoute Direct prend en charge FastPath. Quand FastPath est activé, il envoie le trafic réseau directement à une machine virtuelle qui est la destination prévue. Le trafic contourne la passerelle de réseau virtuel, améliorant ainsi les performances entre les réseaux virtuels Azure et les réseaux locaux.

FastPath prend en charge le peering de réseaux virtuels (où vous avez des réseaux virtuels connectés entre eux). Il prend aussi en charge les routes définies par l’utilisateur vers le sous-réseau de la passerelle.

Vérifiez vos connaissances

1.

Qu’est-ce que le peering Microsoft ?

Il fournit une connexion directe entre votre réseau local et un centre de données Azure.

Il vous permet de connecter votre réseau local aux services Office 365 et à Dynamics 365.

Il fournit une connexion entre votre réseau local et un fournisseur ExpressRoute.

Il fournit une connexion point à site pour les ordinateurs de votre emplacement local aux services Office 365.

2.

Qu’est-ce qu’un circuit ExpressRoute ?

Un circuit ExpressRoute implémente une connexion site à site via une connexion VPN à un centre de données Azure.

Un circuit ExpressRoute est une connexion câblée directe entre votre centre de données local et un centre de données Azure.

Un service de sauvegarde qui fournit la connectivité au cloud Microsoft en cas d’échec de votre connexion VPN.

Un circuit fournit une connexion physique pour transmettre les données via les routeurs de périphérie du fournisseur ExpressRoute aux routeurs de périphérie Microsoft.

3.

Quels avantages offre Azure ExpressRoute en matière de sécurité ?

Une connexion ExpressRoute est automatiquement chiffrée, afin de protéger le trafic transitant par Internet vers le cloud Microsoft.

La vitesse à laquelle les données parcourent une connexion ExpressRoute rend impossible leur interception par les moniteurs réseau et les renifleurs de paquets.

ExpressRoute utilise un réseau privé dédié pour se connecter au cloud Microsoft. Le trafic ne traverse pas l’Internet public, ce qui rend son interception plus difficile.

ExpressRoute utilise un protocole de transmission propriétaire qui varie constamment, ce qui rend difficile l’interception du trafic.

Vous devez répondre à toutes les questions avant de vérifier votre travail.

Continuer