Décrire les topologies de réseau Azure

  • 10 minutes

Contoso dispose d’un réseau local étendu qui fournit une base pour les communications entre les ressources déployées dans divers centres de données et bureaux. Il est important que le service informatique puisse déployer des composants réseau sur Azure pour permettre les communications entre les ressources Azure ainsi qu’entre les ressources Azure et les ressources locales.

En tant qu’ingénieur système principal, vous déterminez que Microsoft Azure Networking fournit la connectivité nécessaire aux ressources présentes dans Azure, entre les services Azure ainsi qu’entre Azure et votre environnement local. Avantage supplémentaire, il existe plusieurs composants réseau Azure qui peuvent fournir des applications et les protéger, tout en améliorant la sécurité de votre réseau.

Qu’est-ce qu’un réseau virtuel ?

Quand vous déployez des ordinateurs sur votre environnement local, vous les connectez généralement à un réseau pour leur permettre de communiquer directement entre eux. Les VNet (réseaux virtuels) Azure ont le même objectif de base.

En plaçant une machine virtuelle sur le même VNet que d’autres machines virtuelles, vous établissez une connectivité IP directe entre elles, dans le même espace d’adressage IP privé. Vous pouvez également connecter différents VNet entre eux. De plus, vous pouvez connecter des VNet Azure à vos réseaux locaux, ce qui fait d’Azure une extension de votre propre centre de données.

Un VNet Azure est une frontière logique définie par un espace d’adressage IP privé de votre choix. Vous divisez cet espace d’adressage IP en un ou plusieurs sous-réseaux, comme dans un réseau local. Toutefois, dans Azure, les tâches de gestion réseau supplémentaires sont plus simples.

Par exemple, certaines fonctionnalités réseau telles que le routage entre sous-réseaux du même VNet sont automatiquement disponibles. De même, chaque machine virtuelle peut accéder par défaut à Internet, ce qui inclut la prise en charge des connexions sortantes et de la résolution de noms DNS.

Qu’est-ce qu’une interface réseau ?

Une interface réseau est l’interconnexion entre une machine virtuelle et un VNet. Une machine virtuelle doit avoir au moins une interface réseau (connectée à un VNet), mais elle peut également en avoir plusieurs, selon la taille de la machine virtuelle que vous créez. Vous pouvez créer une machine virtuelle avec plusieurs interfaces réseau, et en ajouter ou en supprimer, tout au long du cycle de vie de la machine virtuelle. Quand une machine virtuelle a plusieurs interfaces réseau, elle peut se connecter à différents sous-réseaux du même VNet, et envoyer ou recevoir du trafic sur l’interface la plus appropriée.

A screenshot of the Overview page in the Azure portal, of a VNet interface called ContosoVM1VNET. Three connected devices are listed: ContosoVM1VMNIC, ContosoVM2VMNIC, and ContosoVM3VMNIC.

Chaque interface réseau attachée à une machine virtuelle doit :

  • Exister au même emplacement et dans le même abonnement que la machine virtuelle.
  • Être connectée à un VNet qui existe au même emplacement Azure et dans le même abonnement que la machine virtuelle.

Qu’est-ce qu’un groupe de sécurité réseau ?

Un NSG (groupe de sécurité réseau) filtre le trafic réseau entrant et sortant. Il contient les règles de sécurité utilisées pour autoriser ou refuser le trafic réseau filtré. La configuration des règles de sécurité des NSG vous permet de contrôler le trafic réseau en autorisant ou en refusant des types de trafic spécifiques.

Vous pouvez affecter un NSG à :

  • Une interface réseau pour filtrer le trafic réseau seulement sur cette interface.
  • Un sous-réseau pour filtrer le trafic sur toutes les interfaces réseau connectées dans le sous-réseau.

Vous pouvez également attribuer des NSG à la fois à des interfaces réseau et des sous-réseaux. Ensuite, chaque NSG est évalué indépendamment.

A subnet object contains two virtual machines: VM1 and VM2. VM1 is protected through the assignment of an NSG called NSG1. The entire subnet is protected by a network security group called NSG2.

Qu’est-ce qu’un pare-feu Azure ?

Pare-feu Azure est un service de sécurité réseau basé sur le cloud, qui permet de protéger vos ressources VNet. À l’aide du Pare-feu Azure, vous pouvez créer et gérer de manière centralisée des profils de connectivité réseau au sein de votre organisation.

An Azure Firewall solution contains a number of spoke VNets that are connected to a central VNet that contains the firewall. This VNet is in turn connected to both an on-premises network and the internet. Traffic is filtered according to different rules between these different environments.

Le service Pare-feu Azure utilise une adresse IP publique statique pour vos ressources VNet. Les pare-feu externes peuvent donc identifier le trafic provenant du VNet de votre organisation. Le service Pare-feu Azure est également entièrement intégré avec Azure Monitor, ce qui permet la prise en charge de la journalisation et de l’analytique.

Qu’est-ce que la passerelle VPN Azure ?

Une passerelle VPN est un type spécifique de passerelle VNet, qui vous permet d’envoyer du trafic chiffré entre des emplacements. Par exemple, vous pouvez utiliser la passerelle VPN Azure pour envoyer du trafic chiffré entre :

  • Un VNet Azure et votre environnement local via Internet.
  • Certains VNet Azure et d’autres VNet Azure via le réseau Microsoft.

Chaque VNet ne peut avoir qu’une seule passerelle VPN, mais vous pouvez créer plusieurs connexions à la même passerelle VPN.

Qu’est-ce qu’Azure ExpressRoute ?

Avec ExpressRoute, vous pouvez étendre vos réseaux locaux dans le cloud Microsoft. Contrairement à une connexion VPN, ExpressRoute utilise une connexion privée mise à disposition par un fournisseur de télécommunications. À l’aide d’ExpressRoute, vous pouvez établir des connexions aux services cloud Microsoft, notamment Azure et Microsoft Office 365.

Qu’est-ce que le WAN virtuel Azure ?

Azure Virtual WAN est un service réseau qui fournit des fonctionnalités liées aux réseaux, à la sécurité et au routage. Virtual WAN utilise une architecture de type hub-and-spoke intégrant des fonctionnalités de mise à l’échelle et d’optimisation des performances. Les régions Azure servent de hubs auxquels vous pouvez vous connecter. Tous les hubs sont connectés selon un maillage complet dans un réseau WAN virtuel standard, ce qui permet à l’utilisateur d’utiliser facilement le réseau principal Microsoft pour une connectivité de type « any-to-any » (connexion à n’importe quel spoke).

Azure Virtual WAN inclut les fonctionnalités suivantes :

  • Connectivité des filiales
  • Connectivité VPN site à site (S2S)
  • Connectivité VPN point à site (P2S) (utilisateur distant)
  • Connectivité ExpressRoute
  • Connectivité intracloud
  • Interconnectivité ExpressRoute des VPN
  • Routage
  • Pare-feu Azure
  • Chiffrement

Vous n’avez pas besoin d’activer et d’utiliser toutes ces fonctionnalités pour commencer à utiliser Virtual WAN. À la place, vous pouvez choisir la fonctionnalité dont vous avez besoin pour le moment, et en ajouter d’autres en fonction des impératifs de votre organisation.

Extension de sous-réseau Azure

Quand Contoso a souhaité étendre ses charges de travail au cloud, ses équipes ont investigué un certain nombre de solutions proposées par Azure, notamment les extensions de sous-réseau Azure. L’extension d’un sous-réseau vous permet d’inclure des ressources Azure dans le cadre de vos propres sous-réseaux locaux. Ainsi, ces emplacements distincts deviennent partie intégrante du même domaine de diffusion IP. Une extension de sous-réseau présente l’intérêt suivant aux yeux de l’équipe d’infrastructure de Contoso : il n’est pas nécessaire de réarchitecturer la topologie de réseau local.

Attention

En principe, évitez d’utiliser l’extension de sous-réseau, sauf de manière temporaire, pour résoudre un problème spécifique.

Vous pouvez étendre un sous-réseau local à Azure à l’aide d’une solution reposant sur un réseau de superposition de couche 3. En règle générale, on utilise une solution VXLAN pour étendre le réseau de Couche 2 à l’aide d’un réseau overlay de Couche 3.

Le diagramme suivant illustre un scénario généralisé. Dans ce scénario, le sous-réseau 10.0.1.0/24 existe des deux côtés, c’est-à-dire à la fois localement et dans Azure. Ces deux sous-réseaux contiennent des charges de travail virtualisées. L’extension de sous-réseau connecte ces deux parties du même sous-réseau. L’équipe d’infrastructure a affecté des adresses IP du sous-réseau aux machines virtuelles, aussi bien sur Azure que localement.

Ailleurs dans l’infrastructure, dans l’environnement local, une appliance virtuelle réseau se connecte via une connexion ExpressRoute à une appliance virtuelle réseau située dans un autre sous-réseau au sein d’Azure. Quand une machine virtuelle du réseau local tente de communiquer avec une machine virtuelle Azure, l’appliance virtuelle réseau locale capture le paquet, l’encapsule et l’envoie via une connexion VPN/ExpressRoute au réseau Azure. L’appliance virtuelle réseau Azure reçoit le paquet, le désencapsule et le transmet au destinataire prévu au sein de son réseau. Le trafic de retour fonctionne selon la même logique, mais en sens inverse.

A diagram of an on-premises VNet and an Azure VNet connected by both an ExpressRoute connection and Subnet Extension, as described in the previous text.