Identifier les fonctionnalités de routage d’un réseau virtuel Azure
Pour contrôler le flux de trafic au sein de votre réseau virtuel, vous devez connaître l’objectif et les avantages des routes personnalisées. Vous devez également apprendre à configurer les routes pour diriger le flux de trafic via une appliance virtuelle réseau.
Routage Azure
Le trafic réseau dans Azure transite automatiquement entre les sous-réseaux, les réseaux virtuels et les réseaux locaux Azure. Les itinéraires système contrôlent ce routage. Ils sont attribués par défaut à chaque sous-réseau d’un réseau virtuel. Avec ces itinéraires système, toute machine virtuelle Azure déployée dans un réseau virtuel peut communiquer avec toutes les autres du réseau. Ces machines virtuelles sont aussi potentiellement accessibles en local via un réseau hybride ou Internet.
Vous ne pouvez pas créer ni supprimer de routes système, mais vous avez la possibilité de les remplacer en ajoutant des routes personnalisées pour contrôler le flux de trafic vers le tronçon suivant.
Chaque sous-réseau dispose des routes système par défaut suivantes :
| Préfixe de l’adresse | Type de tronçon suivant |
|---|---|
| Propre au réseau virtuel | Réseau virtuel |
| 0.0.0.0/0 | Internet |
| 10.0.0.0/8 | Aucun |
| 172.16.0.0/12 | Aucun |
| 192.168.0.0/16 | Aucun |
| 100.64.0.0/10 | Aucun |
La colonne Type de tronçon suivant indique le chemin réseau emprunté par le trafic envoyé à chaque préfixe d’adresse. Le chemin peut être l’un des types de tronçon suivants :
- Réseau virtuel : Une route est créée dans le préfixe d’adresse. Le préfixe représente chaque plage d’adresses créée au niveau du réseau virtuel. Si plusieurs plages d’adresses sont spécifiées, plusieurs routes sont créées pour chaque plage d’adresses.
- Internet : La route système par défaut 0.0.0.0/0 route toute plage d’adresses vers Internet, à moins que vous remplaciez la route par défaut d’Azure par une route personnalisée.
- Aucun : Tout trafic routé vers ce type de tronçon est abandonné et n’est pas routé à l’extérieur du sous-réseau. Par défaut, les préfixes d’adresse privée IPv4 suivants sont créés : 10.0.0.0/8, 172.16.0.0/12 et 192.168.0.0/16. Le préfixe 100.64.0.0/10 pour un espace d’adressage partagé est également ajouté. Aucune de ces plages d’adresses n’est globalement routable.
Le schéma suivant fournit une vue d’ensemble des routes système et de la façon dont le trafic transite entre les sous-réseaux et Internet par défaut. Comme vous pouvez le voir dans le schéma, le trafic transite librement entre les deux sous-réseaux et Internet.
Dans Azure, il existe d’autres routes système. Azure crée ces itinéraires si les fonctionnalités suivantes sont activées :
- Appairage de réseaux virtuels
- Chaînage de services
- Passerelle de réseau virtuel
- Point de terminaison de service de réseau virtuel
Appairage de réseaux virtuels et chaînage de services
L’appairage de réseaux virtuels et le chaînage de services permettent aux réseaux virtuels figurant dans Azure d’être connectés les uns aux autres. Avec cette connexion, les machines virtuelles peuvent communiquer entre elles au sein de la même région ou entre différentes régions. Cette communication crée à son tour d’autres routes dans la table de route par défaut. Le chaînage de services vous permet de remplacer ces routes en créant des routes définies par l’utilisateur entre les réseaux appairés.
Le diagramme suivant montre deux réseaux virtuels avec l’appairage configuré. Les routes définies par l’utilisateur sont configurées pour router le trafic via une appliance virtuelle réseau ou une passerelle VPN Azure.
Passerelle de réseau virtuel
Utilisez une passerelle de réseau virtuel pour envoyer du trafic chiffré entre Azure et un environnement local via Internet, et pour envoyer du trafic chiffré entre différents réseaux Azure. Une passerelle de réseau virtuel contient des tables de routage et des services de passerelle.
Point de terminaison de service de réseau virtuel
Les points de terminaison de réseau virtuel étendent votre espace d’adressage privé dans Azure en fournissant une connexion directe à vos ressources Azure. Cette connexion limite le flux de trafic : vos machines virtuelles Azure peuvent accéder directement à votre compte de stockage à partir de l’espace d’adressage privé et refuser l’accès à partir d’une machine virtuelle publique. Du moment que vous activez des points de terminaison de service, Azure crée des routes dans la table de routage pour diriger ce trafic.
Routes personnalisées
Les routes système peuvent vous permettre de rendre facilement et rapidement votre environnement opérationnel. Toutefois, il existe de nombreux scénarios dans lesquels vous souhaitez mieux contrôler le flux de trafic au sein de votre réseau. Par exemple, vous souhaiterez peut-être router le trafic via une appliance virtuelle réseau ou un pare-feu. Ce contrôle est possible avec des routes personnalisées.
Vous avez deux solutions pour implémenter des routes personnalisées : créer une route définie par l’utilisateur ou utiliser le protocole BGP (Border Gateway Protocol) pour échanger des routes entre Azure et des réseaux locaux.
Itinéraires définis par l’utilisateur
L’utilisation d’une route définie par l’utilisateur vise à remplacer les routes système par défaut de façon à acheminer le trafic via des pare-feu ou des appliances virtuelles réseau.
Par exemple, supposez que vous possédez un réseau avec deux sous-réseaux et que vous voulez ajouter une machine virtuelle dans le réseau de périmètre afin de l’utiliser comme pare-feu. Vous pouvez créer une route définie par l’utilisateur de façon à faire transiter le trafic par le pare-feu et à éviter qu’il circule directement entre les sous-réseaux.
Au moment de créer des routes définies par l’utilisateur, vous pouvez spécifier les types de tronçon suivants :
- Appliance virtuelle : Une appliance virtuelle est généralement un dispositif de pare-feu qui sert à analyser ou filtrer le trafic entrant ou sortant de votre réseau. Vous pouvez spécifier l’adresse IP privée d’une carte d’interface réseau (NIC) attachée à une machine virtuelle de façon à permettre l’activation du transfert IP. Vous pouvez aussi fournir l’adresse IP privée d’un équilibreur de charge interne.
- Passerelle de réseau virtuel : Permet d’indiquer quand vous souhaitez que les routes pour une adresse spécifique soient routées vers une passerelle de réseau virtuel. La passerelle de réseau virtuel est spécifiée en tant que VPN pour le type de tronçon suivant.
- Réseau virtuel : Permet de remplacer la route système par défaut au sein d’un réseau virtuel.
- Internet : Permet de router le trafic vers un préfixe d’adresse spécifié qui est routé vers Internet.
- Aucun : Permet de supprimer le trafic envoyé à un préfixe d’adresse spécifié.
Avec les routes définies par l’utilisateur, vous ne pouvez pas spécifier le type de tronçon suivant VirtualNetworkServiceEndpoint, qui indique l’appairage de réseaux virtuels.
Étiquettes de service pour les routes définies par l’utilisateur
Vous pouvez spécifier une étiquette de service en guise de préfixe d’adresse pour une route définie par l’utilisateur plutôt qu’une plage d’adresses IP explicite. Une balise de service représente un groupe de préfixes d’adresses IP d’un service Azure donné. Microsoft gère les préfixes d’adresse englobés par la balise de service et met à jour automatiquement la balise de service quand les adresses changent. Ce qui permet de réduire la complexité des mises à jour fréquentes des routes définies par l’utilisateur et de réduire le nombre de routes que vous avez besoin de créer.
Protocole BGP
Dans votre réseau local, une passerelle réseau peut échanger des routes avec une passerelle de réseau virtuel dans Azure à l’aide du protocole BGP (Border Gateway Protocol). BGP est le protocole de routage standard normalement utilisé pour échanger des informations de routage entre deux réseaux ou plus. BGP permet le transfert en ligne de données et d’informations entre systèmes autonomes, des passerelles hôte différentes par exemple.
Il sert généralement à afficher des itinéraires locaux à Azure quand vous êtes connecté à un centre de données Azure via Azure ExpressRoute. Vous pouvez également configurer le protocole BGP si vous vous connectez à un réseau virtuel Azure à l’aide d’une connexion VPN de site à site.
Le schéma suivant illustre une topologie avec des chemins qui peuvent transmettre les données entre une passerelle VPN Azure et des réseaux locaux :
Le protocole BGP assure une stabilité réseau, dans le sens où les routeurs peuvent rapidement changer de connexion en cas de défaillance d’un chemin de connexion pendant l’envoi de paquets.
Sélection et priorité des routes
Si plusieurs routes sont disponibles dans une table de routage, Azure choisit celle qui offre la correspondance de préfixe la plus longue. Par exemple, un message est envoyé à l’adresse IP 10.0.0.2, mais deux itinéraires sont disponibles avec les préfixes 10.0.0.0/16 et 10.0.0.0/24. Azure sélectionne l’itinéraire avec le préfixe 10.0.0.0/24, car il est plus spécifique.
Plus le préfixe de la route est long, plus la liste des adresses IP disponibles avec ce préfixe est courte. Lorsque vous utilisez des préfixes plus longs, l’algorithme de routage peut sélectionner plus rapidement l’adresse souhaitée.
Vous ne pouvez pas configurer plusieurs routes définies par l’utilisateur avec le même préfixe d’adresse.
S’il en existe plusieurs avec le même préfixe d’adresse, Azure sélectionne la route en fonction de son type dans l’ordre de priorité suivant :
- Routes définies par l’utilisateur
- Routes BGP
- Itinéraires système