Précédent

Suivant

Utiliser des réseaux hybrides sur Azure

Effectué

Votre organisation est disposée à poursuivre la migration vers le cloud. Vous avez exploré les avantages liés à l’utilisation d’Azure ExpressRoute pour établir une connexion haut débit et dédiée entre votre réseau local et Azure.

Par acquit de conscience, vous voulez passer en revue les autres options d’architecture hybride disponibles pour connecter votre réseau local à Azure.

Dans cette unité, vous allez :

• Vous familiariser avec les connexions de réseau privé virtuel.
• Examiner une option de résilience pour ExpressRoute.
• Considérer les avantages de la topologie de réseau hub-and-spoke.

Qu’est-ce qu’une architecture réseau hybride ?

Un réseau hybride désigne deux topologies de réseau différentes combinées pour former un réseau cohérent unique. Dans Azure, un réseau hybride représente la fusion ou la combinaison d’un réseau local avec un réseau virtuel Azure. Vous pouvez ainsi continuer à utiliser votre infrastructure existante tout en bénéficiant de la totalité des avantages du cloud computing.

Plusieurs raisons peuvent justifier l’adoption d’une solution de réseau hybride. Les deux principales sont les suivantes :

• Migration d’un réseau local pur vers un réseau cloud pur.
• Extension de votre réseau local et de vos ressources pour prendre en charge les services cloud.

Quelles que soient vos motivations pour ajouter des services cloud à votre infrastructure, vous devez prendre en compte plusieurs architectures. Nous avons abordé ExpressRoute dans l’unité précédente. Les autres architectures sont les suivantes :

• Passerelle VPN Azure
• ExpressRoute avec basculement VPN
• Topologie de réseau hub-and-spoke

Passerelle VPN Azure

Passerelle VPN Azure est un service de passerelle de réseau virtuel qui permet une connectivité VPN site à site et point à site entre votre réseau local et Azure.

Un VPN, ou réseau privé virtuel, est une architecture réseau bien établie et bien comprise.

Une passerelle VPN utilise votre connexion existante à Internet. Toutefois, toutes les communications sont chiffrées au moyen des protocoles IKE (Internet Key Exchange) et IPsec (Internet Protocol Security). Vous ne pouvez avoir qu’une seule passerelle de réseau virtuel par réseau virtuel.

Quand vous configurez une passerelle de réseau virtuel, vous devez spécifier s’il s’agit d’une passerelle VPN ou d’une passerelle ExpressRoute.

Le type de VPN dépend du type de topologie de connexion dont vous avez besoin. Par exemple, si vous souhaitez créer une passerelle point à site (P2S) ou point à point (P2P), utilisez un type RouteBased. Il existe deux types de VPN :

• PolicyBased : utilise un tunnel IPsec pour chiffrer les paquets de données. La configuration de la stratégie utilise les préfixes d’adresses provenant de votre réseau virtuel Azure et de votre réseau local.
• RouteBased : utilise les tables de routage ou de transfert IP pour router les paquets de données vers le tunnel approprié. Chaque tunnel chiffre et déchiffre tous les paquets.

Une fois le type de VPN spécifié pour la passerelle de réseau virtuel, vous ne pouvez plus le modifier. Pour effectuer un changement, supprimez la passerelle de réseau virtuel et recréez-la.

Site à site

Toutes les connexions de passerelle site à site utilisent un tunnel VPN IPsec/IKE pour créer une connexion entre Azure et votre réseau local. Une connexion de site à site nécessite un périphérique VPN local avec une adresse IP accessible publiquement.

Point à site

Une connexion de passerelle point à site crée une connexion sécurisée entre un appareil individuel et votre réseau virtuel Azure. Ce type de passerelle est adapté au travail à distance, notamment les téléconférences et le télétravail. Une connexion point à site ne nécessite aucun appareil VPN local dédié.

Avantages

Voici quelques-uns des avantages liés à l’utilisation d’une connexion VPN :

• Il s’agit d’une technologie bien connue qui est facile à configurer et à gérer.
• Tout le trafic des données est chiffré.
• Elle est adaptée aux charges légères de trafic de données.

À propos de l’installation

Tenez compte des points suivants quand vous évaluez cette architecture hybride :

• Une connexion VPN utilise Internet.
• Des problèmes de latence peuvent se présenter en fonction de la taille et de l’utilisation de la bande passante.
• Azure prend en charge une bande passante maximale de 1,25 Gbits/s.
• Un périphérique VPN local est nécessaire pour des connexions de site à site.

ExpressRoute avec basculement VPN

ExpressRoute garantit, entre autres, un haut niveau de disponibilité. Chaque circuit ExpressRoute offre deux passerelles ExpressRoute. Toutefois, même avec ce niveau de résilience intégré à la partie Azure du réseau, la connectivité peut être interrompue. Une façon de remédier à cette situation et de maintenir la connectivité consiste à fournir un service de basculement VPN.

La fusion de la connexion VPN et d’ExpressRoute augmente la résilience de votre connexion réseau. Dans des conditions normales, ExpressRoute se comporte précisément comme une architecture ExpressRoute standard, la connexion VPN restant dormante. Si le circuit ExpressRoute échoue ou est mis hors connexion, la connexion VPN prend le relais. Cette action garantit la disponibilité du réseau en toutes circonstances. Une fois le circuit ExpressRoute restauré, la connexion ExpressRoute est à nouveau utilisée pour tout le trafic.

Architecture de référence d’ExpressRoute avec basculement VPN

Le diagramme suivant montre comment connecter votre réseau local à Azure à l’aide d’ExpressRoute avec un basculement VPN. La topologie choisie dans cette solution est une connexion site à site basée sur un VPN avec un flux de trafic élevé.

Dans ce modèle, tout le trafic réseau est routé par le biais de la connexion privée ExpressRoute. Quand la connectivité est perdue sur le circuit ExpressRoute, le sous-réseau de passerelle bascule automatiquement sur le circuit de passerelle VPN site à site. La ligne en pointillés allant de la passerelle à la passerelle VPN du réseau virtuel Azure indique ce scénario.

Une fois le circuit ExpressRoute restauré, le trafic cesse automatiquement d’utiliser la passerelle VPN.

Avantages

L’avantage suivant est disponible quand vous implémentez ExpressRoute avec un basculement VPN :

• Un réseau robuste à haute disponibilité est créé.

Considérations

Quand vous implémentez une architecture ExpressRoute avec basculement VPN, tenez compte des points suivants :

• En cas de basculement, la bande passante est réduite aux vitesses des connexions VPN.

• Les ressources ExpressRoute et de la passerelle VPN doivent se trouver dans le même réseau virtuel.

• La configuration est très complexe.

• L’implémentation nécessite une connexion ExpressRoute et une connexion VPN.

• L’implémentation nécessite une passerelle VPN redondante et du matériel VPN local.

  Notes

  Une passerelle VPN redondante engendre des frais même quand elle n’est pas utilisée.

Topologie réseau hub-and-spoke

La topologie de réseau hub-and-spoke vous permet de structurer les charges de travail exécutées par vos serveurs. Elle utilise un seul réseau virtuel comme hub, lequel se connecte à votre réseau local par le biais d’un VPN ou d’ExpressRoute. Les spokes sont les autres réseaux virtuels qui sont appairés au hub. Vous pouvez affecter des charges de travail spécifiques à chaque spoke et utiliser le hub pour les services partagés.

Vous pouvez implémenter le hub et chaque spoke dans des abonnements ou des groupes de ressources distincts, puis les appairer ensemble.

Ce modèle utilise l’une des trois approches précédentes : VPN, ExpressRoute et ExpressRoute avec basculement VPN. Les avantages et défis associés sont traités dans les sections suivantes.

Avantages

L’implémentation d’une architecture hub-and-spoke présente les avantages suivants :

• L’utilisation du partage et de services centralisés sur le hub peut réduire le besoin de duplication sur les spokes, ce qui peut faire baisser les coûts.
• L’appairage de réseaux virtuels permet de passer outre les limites d’un abonnement.
• Le modèle hub-and-spoke permet de séparer les zones de travail de l’organisation en spokes dédiés, comme SecOP, InfraOps et DevOps.

Considérations

Tenez compte du point suivant quand vous évaluez cette architecture hybride :

• Examinez les services partagés sur le hub et ce qui reste sur les spokes.

Vérifiez vos connaissances

1.

Pourquoi implémenter une passerelle VPN dans votre réseau virtuel Azure ?

Pour améliorer les performances du circuit ExpressRoute.

Pour permettre au circuit ExpressRoute de se connecter à votre réseau virtuel Azure.

Pour permettre au circuit ExpressRoute de se connecter à votre réseau local.

Pour fournir une connexion de basculement redondante.

2.

Comment les connexions de passerelle VPN à un réseau local sont-elles routées ?

Par le biais d’une connexion VPN privée

Sur l’Internet public

Au travers du centre de données Azure.

En provisionnant un gestionnaire de trafic.

3.

Quelle raison sous-jacente justifie l’implémentation d’une architecture hub-and-spoke ?

Meilleure visibilité sur les coûts.

Sécurité accrue.

Meilleure visibilité sur l’entreprise.

Communications réseau plus rapides.

Vous devez répondre à toutes les questions avant de vérifier votre travail.

Continuer