Décrire et implémenter des réseaux virtuels de locataires Azure Stack HCI

  • 8 minutes

Bien que les réseaux logiques offrent la flexibilité d’incorporer l’approche basée sur un VLAN dans votre modèle réseau Azure Stack HCI, votre objectif principal est de tirer le meilleur parti des réseaux virtuels SDN, qui éliminent les dépendances envers les VLAN existants. La flexibilité qui en résulte accélère l’intégration de nouveaux clients et simplifie la gestion de l’infrastructure sous-jacente. Elle aide également à garantir le niveau suffisant d’isolation et à prendre en charge des plages d’adresses IP qui se chevauchent entre plusieurs locataires.

Décrire les réseaux virtuels de locataires Azure Stack HCI

Les réseaux virtuels de locataires Azure Stack HCI sont basés sur des stratégies de programmation pour les réseaux virtuels de superposition. Chaque réseau virtuel constitue une limite d’isolement où les machines virtuelles peuvent communiquer seulement les unes avec les autres. Traditionnellement, cet isolement est appliqué en utilisant des réseaux locaux virtuels (VLAN). Avec les réseaux virtuels, ceci est accompli au moyen de la virtualisation de réseau en utilisant l’encapsulation NVGRE (Generic Routing Encapsulation) ou de l’encapsulation VXLAN (Virtual Extensible LAN). Ces deux technologies d’encapsulation sont capables de créer des réseaux de superposition avec prise en charge du chevauchement de sous-réseaux IP entre les locataires.

Chaque interface réseau virtuelle d’une machine virtuelle dans un réseau virtuel est associée à deux adresses IP :

  • Adresse du client : adresse IP affectée à chaque machine virtuelle par les clients, en fonction de leur modèle d’adressage IP préféré. Elle permet aux clients de conserver leur configuration réseau existante lors du déploiement de charges de travail dans Azure Stack HCI. L’adresse du client est visible par le système d’exploitation dans la machine virtuelle correspondante.

  • Adresse du fournisseur : adresse IP attribuée aux nœuds de cluster Azure Stack HCI en fonction de leur infrastructure réseau physique. Les adresses de fournisseur apparaissent dans les paquets réseau échangés entre les nœuds de cluster hébergeant les machines virtuelles des clients. L’adresse du fournisseur est visible sur le réseau physique, mais pas sur les machines virtuelles du client.

Les adresses du client font partie de la topologie réseau du client, qui est virtualisée et dissociée de la topologie réseau physique sous-jacente réelle, et son schéma d’adressage est implémenté par des adresses de fournisseur.

Un réseau virtuel se compose d’un ou plusieurs sous-réseaux virtuels. Un sous-réseau virtuel émule la fonctionnalité de sous-réseau IP de couche 3 (L3) pour les machines virtuelles qui y sont connectées. Il forme un domaine de diffusion (similaire à un VLAN), avec un isolement que vous pouvez appliquer en utilisant NVGRE ou VXLAN.

Créer des réseaux virtuels de locataires Azure Stack HCI

La méthode la plus simple pour créer un réseau virtuel de locataires Azure Stack HCI s’appuie sur Windows Admin Center et implique la séquence d’étapes suivante :

  1. Dans Windows Admin Center, connectez-vous au cluster Azure Stack HCI.
  2. Dans le volet Outils, dans la section Réseau, sélectionnez Réseaux virtuels.
  3. Dans la page Réseaux virtuels, sélectionnez l’onglet Inventaire, puis Nouveau.
  4. Dans le volet Réseaux virtuels, entrez un nom pour le réseau virtuel.
  5. Dans la section Préfixes d’adresse, sélectionnez Ajouter, puis entrez le Préfixe d’adresse en notation CIDR.
  6. Dans la section Sous-réseaux, sélectionnez Ajouter, puis entrez le Préfixe d’adresse en notation CIDR.
  7. Dans le volet Réseaux virtuels, sélectionnez Envoyer.

Screenshot of the virtual networks pane in Windows Admin Center depicting the creation of an Azure Stack H C I tenant virtual network.

Configurer des réseaux virtuels de locataires Azure Stack HCI

La capture d’écran suivante montre certains des paramètres que vous pouvez utiliser pour effectuer des tâches courantes de configuration de réseau virtuel de locataires Azure Stack HCI, comme celles-ci :

  • Mise à jour des préfixes d’adresse de réseau virtuel
  • Configuration de l’appairage de réseaux virtuels
  • Configuration du routeur et de pairs BGP (Border Gateway Protocol)

Screenshot of the Virtual networks pane in Windows Admin Center depicting the settings for V NET 001.

Utilisez la procédure suivante dans Windows Admin Center pour modifier les paramètres d’un sous-réseau en réseau logique de locataire :

  1. Dans Windows Admin Center, connectez-vous au cluster Azure Stack HCI.
  2. Dans le volet Outils, dans la section Réseau, sélectionnez Réseaux virtuels.
  3. Dans la page Réseaux virtuels, sélectionnez l’onglet Inventaire. Ensuite, sélectionnez le réseau virtuel à modifier, puis sélectionnez Paramètres.
  4. Dans le volet des paramètres du réseau virtuel, utilisez les paramètres de la section Général pour effectuer les tâches suivantes :
    • Supprimer ou ajouter des préfixes d’adresse.
    • Configurer le peering avec un autre réseau virtuel.
    • Ajouter un routeur BGP au réseau virtuel. Pour cela, vous devez fournir le nom du routeur BGP et le numéro ASN (Autonomous System Number).
    • Ajouter un ou plusieurs pairs BGP pour le routeur BGP. Pour ce faire, vous devez fournir le nom, l’adresse et le numéro ASN pour chaque pair BGP.
  5. Dans le volet des paramètres du volet du réseau virtuel, sélectionnez Envoyer.

Configurer le peering de réseaux virtuels

Chaque réseau virtuel est isolé des autres réseaux virtuels, ce qui constitue une limite de sécurité par défaut pour les machines virtuelles déployées dans ce réseau virtuel. Parfois, vous devrez peut-être augmenter l’étendue de l’isolement en connectant des réseaux virtuels ensemble. Ce peut être le cas si vous avez déployé une charge de travail dans un réseau virtuel, mais que vous souhaitez que d’autres charges de travail déployées dans différents réseaux virtuels accèdent à cette charge de travail via son adresse IP privée. L’appairage de réseaux virtuels fournit cette fonctionnalité en combinant les routeurs virtuels dans les deux réseaux virtuels afin qu’ils puissent communiquer directement l’un avec l’autre sans avoir à traverser une passerelle. Outre la simplicité, l’appairage offre des avantages en matière de performances avec une communication à haut débit et à faible latence entre les réseaux virtuels.

Voici quelques-uns des avantages du peering de réseaux virtuels :

  • Le trafic entre les machines virtuelles des réseaux virtuels appairés est routé via des adresses IP privées. La communication entre les réseaux virtuels ne nécessite pas de passerelles virtuelles.
  • Une connexion à faible latence et à haut débit existe entre les ressources de différents réseaux virtuels.
  • Il n’y a aucun impact négatif sur les charges de travail de l’un ou l’autre des réseaux virtuels lors de l’établissement de l’appairage.

L’appairage introduit les exigences et contraintes supplémentaires suivantes :

  • Les réseaux virtuels appairés doivent avoir des espaces d’adressage IP qui ne se chevauchent pas.
  • Après avoir appairé un réseau virtuel à un autre réseau virtuel, vous ne pouvez pas ajouter ni supprimer des plages d’adresses dans l’espace d’adressage.

Les caractéristiques de l’appairage sont les suivantes :

  • Un appairage est unidirectionnel. Pour que l’appairage fournisse une connectivité entre deux réseaux virtuels, il est nécessaire de créer deux appairages, un dans chaque direction.
  • Une fois que vous avez appairé des réseaux virtuels, les ressources de l’un ou l’autre peuvent se connecter directement à celles du réseau virtuel appairé.
  • La latence réseau entre les machines virtuelles dans les réseaux virtuels appairés est identique à la latence au sein d’un même réseau virtuel.
  • Le débit réseau est basé sur la bande passante autorisée pour la machine virtuelle. Il n’existe aucune restriction supplémentaire sur la bande passante imposée par l’appairage.
  • Vous pouvez appliquer des listes de contrôle d’accès (ACL) dans l’un ou l’autre des réseaux virtuels pour bloquer l’accès depuis ou vers d’autres réseaux ou sous-réseaux virtuels.
  • L’appairage est non transitif. Par exemple, si vous appairez un réseau virtuel A avec un réseau virtuel B et un réseau virtuel B avec un réseau virtuel C, cela ne fournit pas automatiquement une connectivité directe entre les réseaux virtuels A et C.

Windows Admin Center fournit une interface intuitive pour la création et la configuration d’appairages de réseaux virtuels. Les paramètres de configuration incluent des options pour :

  • Autoriser l’accès du réseau virtuel local au réseau virtuel appairé.
  • Autoriser le transfert du trafic (par exemple le transfert du trafic provenant d’un autre réseau virtuel) vers le réseau virtuel appairé.
  • Autoriser l’utilisation d’une passerelle distante sur le réseau virtuel local ou distant.

Screenshot of using the Windows Admin Center New Peering pane to create a new peering.

Supprimer des réseaux virtuels de locataires Azure Stack HCI

Windows Admin Center simplifie également la tâche de suppression des réseaux virtuels de locataires Azure Stack HCI. Pour supprimer un réseau virtuel de locataires :

  1. Dans Windows Admin Center, connectez-vous au cluster Azure Stack HCI.
  2. Dans le volet Outils, dans la section Réseau, sélectionnez Réseaux virtuels.
  3. Dans la page Réseaux virtuels, sélectionnez l’onglet Inventaire, sélectionnez le réseau virtuel que vous voulez supprimer, puis sélectionnez Supprimer.
  4. Quand vous êtes invité à confirmer l’opération, sélectionnez Oui.

The virtual networks pane in Windows Admin Center presents a dialog box requesting confirmation prior to deleting a virtual network.