Mise en réseau du cloud hybride
Un réseau local multisite traditionnel peut avoir besoin de connecter plusieurs filiales à un siège social. De même, un réseau de cloud hybride implique d’utiliser des technologies appropriées pour interconnecter de façon continue des utilisateurs locaux, ainsi que des applications et données locales à des applications et données hébergées dans le cloud.
Dans notre scénario, Tailwind Traders doit être en mesure de connecter ses sites locaux de manière sécurisée aux ressources exécutées dans Azure. Tailwind Traders a besoin d’y parvenir pour qu’il n’y ait pas de différence réelle pour son personnel entre l’accès à une charge de travail qui s’exécute dans un centre de données local Tailwind Traders et un autre qui s’exécute dans Azure.
Dans cette unité, vous allez découvrir des technologies de réseau qui permettent aux ressources locales et cloud d’être regroupées dans un seul cloud hybride.
Qu’est-ce qu’un VPN Azure ?
Une passerelle VPN Azure vous permet de connecter votre réseau local à Azure à l’aide d’un tunnel VPN sécurisé sur l’Internet public. Les connexions VPN Azure sont comme des connexions traditionnelles pouvant exister entre une succursale et un emplacement de siège social. Chaque réseau virtuel ne peut avoir qu’une seule passerelle VPN, mais chaque passerelle VPN prend en charge plusieurs connexions.
L’image suivante illustre une connexion entre un périphérique de passerelle de périmètre d’un réseau local et une passerelle VPN sur un réseau virtuel Azure. Elle reflète la connexion entre un périphérique Azure Stack et une passerelle VPN.
Dans l’exemple de Tailwind Traders, l’entreprise peut utiliser des passerelles VPN Azure pour autoriser les connexions de sites de plus petite taille qui n’ont pas besoin du type de lien dédié fourni par une connexion Azure ExpressRoute. Le principal inconvénient des passerelles VPN Azure est qu’elles s’appuient sur la connexion Internet du fournisseur de services Internet (ISP). Si votre fournisseur de services Internet subit une panne, les connexions VPN ne peuvent pas être établies. De même, si votre fournisseur de services Internet subit une congestion importante, la vitesse de la connexion VPN entre un site local et Azure peut se dégrader.
Les organisations bénéficiant de connexions VPN entre des sites de succursales font déjà face à des défis posés par des connexions VPN dédiées.
Qu’est-ce qu’Azure ExpressRoute ?
Microsoft Azure ExpressRoute permet à une organisation de bénéficier d’une connexion haut débit privée et dédiée de son réseau local vers Azure. Cette connexion ne passe pas par l’Internet public. D’un point de vue fonctionnel, il s’agit d’une ligne de fibre optique dédiée qui relie directement un site local et le centre de données Azure le plus proche.
Contrairement à une passerelle VPN, l’équipement qui fournit cette connexion est managé par le fournisseur ExpressRoute. Étant donné que le fournisseur ExpressRoute gère tous les équipements, il peut fournir un contrat de niveau de service (SLA) en termes de fiabilité et de bande passante qui n’est pas disponible pour les utilisateurs des connexions de passerelle VPN Azure.
L’image suivante illustre la connexion ExpressRoute entre l’environnement local et les charges de travail qui s’exécutent dans Azure. Le fournisseur ExpressRoute gère le circuit ExpressRoute et les routeurs de périphérie locaux.
En plus de fournir une connexion à bande passante dédiée entre l’environnement local et Azure, ExpressRoute permet à une organisation de s’assurer que le trafic sensible ne passe pas sur l’Internet public. C’est important dans les juridictions où les conditions de gouvernance interdisent la transmission de certains types d’informations sur Internet.
Dans l’exemple de l’étude de cas, Tailwind Traders peut implémenter une connexion ExpressRoute à partir des bureaux plus importants comme Melbourne, Sydney et Auckland, où davantage de personnes sont présentes. La société peut également avoir besoin d’utiliser ExpressRoute si certains types de données gérées ne peuvent pas être transférés sur Internet en raison des exigences de conformité.
Qu’est-ce que le DNS hybride ?
Lors de l’implémentation d’un cloud hybride, il est nécessaire de s’assurer que les charges de travail locales peuvent résoudre les adresses des charges de travail du cloud et que les charges de travail du cloud peuvent résoudre les adresses des charges de travail locales. Les déploiements DNS (Domain Name System) dans un cloud hybride nécessitent généralement des serveurs DNS locaux et dans Azure. En outre, les transferts de zone DNS doivent être configurés entre les sites locaux et le cloud. Une alternative consiste à configurer des redirecteurs DNS si la zone DNS locale est distincte de la zone DNS associée aux charges de travail exécutées dans Azure.
L’image suivante illustre des serveurs DNS locaux répliquant des informations DNS sur des serveurs DNS s’exécutant dans Azure. Dans ce scénario, une machine virtuelle est déployée en tant que serveur DNS dans Azure. Dans l’image, le DNS local se connecte un abonnement hub avec des serveurs DNS dans des machines virtuelles. D’autres abonnements Azure se connectent à l’abonnement hub.
Alternativement, Azure DNS Private Resolver est un service qui vous permet d’interroger des zones privées Azure DNS à partir d’un environnement local, et vice versa, sans déployer de serveurs DNS basés sur des machines virtuelles. Le service de résolution privé est complètement managé et dispose de fonctionnalités de haute disponibilité intégrées.
Tailwind Traders peut utiliser Azure DNS Private Resolver pour s’assurer que toutes ses charges de travail s’exécutant dans Azure peuvent résoudre les noms DNS des hôtes sur le réseau interne Tailwind Traders. Cela permet aussi de veiller à ce que tous les hôtes du réseau interne de Tailwind traders puissent résoudre les noms DNS des charges de travail exécutées dans le cloud.
Qu’est-ce que le WAN virtuel Azure ?
Azure Virtual WAN permet à une organisation d’utiliser le réseau Azure dans une architecture en étoile. Le réseau Azure fonctionne comme un hub pour la connectivité transitive entre des points de terminaison qui fonctionnent comme des rayons.
Traditionnellement, vous pouvez avoir une topologie de réseau où chaque succursale dispose d’une connexion VPN au site du siège social. Si le trafic passe d’une filiale à une autre, il passe par le site hub pour y accéder. Si les sites du siège social et des filiales sont tous connectés à Azure, par le biais d’un VPN ou par ExpressRoute, ces connexions peuvent former les rayons. Azure Virtual WAN peut fonctionner comme le hub de routage pour le trafic entre les sites locaux.
L’image suivante illustre une topologie Azure Virtual WAN.
Azure Virtual WAN permet à Tailwind Traders de s’éloigner de l’utilisation de connexions VPN pour connecter des succursales aux emplacements de centres de données à Sydney, Melbourne et Auckland. Il fournit une topologie dans laquelle chaque filiale et chaque centre de données disposent d’une connexion VPN ou ExpressRoute à Azure. Le service Azure Virtual WAN gère le routage du trafic entre les sites.