Tutoriel : Acheminer le trafic réseau avec une table de routage à l’aide du portail Azure

  • Article
  • 12 minutes de lecture

Azure achemine le trafic entre tous les sous-réseaux au sein d’un réseau virtuel par défaut. Vous pouvez créer vos propres itinéraires pour remplacer le routage par défaut d’Azure. Les itinéraires personnalisés sont utiles, par exemple, quand vous souhaitez router le trafic entre des sous-réseaux via une appliance virtuelle réseau (NVA).

Dans ce tutoriel, vous allez apprendre à :

  • Créer un réseau virtuel et des sous-réseaux
  • Créer une appliance NVA qui route le trafic
  • Créer une table de routage
  • Créer un itinéraire
  • Associer une table de routage à un sous-réseau
  • Déployer des machines virtuelles sur différents sous-réseaux
  • Router le trafic d’un sous-réseau vers un autre via une NVA

Ce tutoriel utilise le portail Azure. Vous pouvez également le suivre avec l’interface Azure CLI ou PowerShell.

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Vue d’ensemble

Ce diagramme montre les ressources créées dans ce tutoriel ainsi que les routes réseau attendues.

Diagram showing an overview of interaction of the Public, Private and N V A Virtual Machines used in this tutorial.

Prérequis

  • Un abonnement Azure

Connexion à Azure

Connectez-vous au portail Azure.

Créer un réseau virtuel

Dans cette section, vous allez créer un réseau virtuel, trois sous-réseaux et un hôte bastion. Vous utiliserez l’hôte bastion pour vous connecter de manière sécurisée aux machines virtuelles.

  1. Dans le menu du portail Azure, sélectionnez + Créer une ressource>Mise en réseau>Réseau virtuel, ou recherchez Réseau virtuel dans la zone de recherche du portail.

  2. Sélectionnez Create (Créer).

  3. Sous l’onglet Informations de base de la page Créer un réseau virtuel, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Abonnement Sélectionnez votre abonnement.
    Resource group Sélectionnez Créer et entrez myResourceGroup.
    Sélectionnez OK.
    Nom Entrez myVirtualNetwork.
    Région Sélectionnez USA Est.

  4. Sélectionnez l’onglet Adresses IP, ou sélectionnez le bouton Suivant : Adresses IP au bas de la page.

  5. Dans Espace d’adressage IPv4, sélectionnez l’espace d’adressage existant, puis remplacez-le par 10.0.0.0/16.

  6. Sélectionnez + Ajouter un sous-réseau, puis entrez Public comme Nom du sous-réseau et 10.0.0.0/24 comme Plage d’adresses de sous-réseau.

  7. Sélectionnez Ajouter.

  8. Sélectionnez + Ajouter un sous-réseau, puis entrez Privé comme Nom du sous-réseau et 10.0.1.0/24 comme Plage d’adresses de sous-réseau.

  9. Sélectionnez Ajouter.

  10. Sélectionnez + Ajouter un sous-réseau, puis entrez DMZ comme Nom du sous-réseau et 10.0.2.0/24 comme Plage d’adresses de sous-réseau.

  11. Sélectionnez Ajouter.

  12. Sélectionnez l’onglet Sécurité, ou sélectionnez le bouton Suivant : Sécurité situé au bas de la page.

  13. Sous BastionHost, sélectionnez Activer. Entrez les informations suivantes :

    Paramètre Valeur
    Nom du bastion Entrez myBastionHost.
    Espace d’adressage AzureBastionSubnet Entrez 10.0.3.0/24.
    Adresse IP publique Sélectionnez Créer nouveau.
    Dans le champ Nom, entrez myBastionIP.
    Sélectionnez OK.

  14. Sélectionnez l’onglet Vérifier + créer, ou sélectionnez le bouton Vérifier + créer.

  15. Sélectionnez Create (Créer).

Créer une machine virtuelle NVA

Les appliances virtuelles réseau (NVA) sont des machines virtuelles qui facilitent les fonctions réseau, telles que le routage et l’optimisation du pare-feu. Dans cette section, vous allez créer une NVA à l’aide d’une machine virtuelle Windows Server 2019 Datacenter. Si vous le souhaitez, vous pouvez sélectionner un autre système d’exploitation.

  1. Dans le menu du portail Azure, sélectionnez + Créer une ressource>Calcul>Machine virtuelle, ou recherchez Machine virtuelle dans la zone de recherche du portail.

  2. Sélectionnez Create (Créer).

  3. Sous l’onglet Informations de base de la page Créer une machine virtuelle, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    Groupe de ressources Sélectionnez myResourceGroup.
    Détails de l’instance
    Nom de la machine virtuelle Entrez myVMNVA.
    Région Sélectionnez (États-Unis) USA Est.
    Options de disponibilité Sélectionnez Aucune redondance d’infrastructure requise.
    Type de sécurité Sélectionnez Standard.
    Image Sélectionnez Windows Server 2019 Datacenter – Gen2.
    Instance Azure Spot Sélectionnez Non.
    Taille Choisissez la taille de la machine virtuelle ou acceptez le paramètre par défaut.
    Compte administrateur
    Nom d’utilisateur Entrez un nom d’utilisateur.
    Mot de passe Entrez un mot de passe. Le mot de passe doit contenir au moins 12 caractères et satisfaire aux exigences de complexité définies.
    Confirmer le mot de passe Retapez le mot de passe.
    Règles des ports d’entrée
    Aucun port d’entrée public Sélectionnez Aucun.

  4. Sélectionnez l'onglet Mise en réseau ou choisissez Suivant : Disques, puis Suivant : Mise en réseau.

  5. Sous l’onglet Réseau, sélectionnez ou entrez :

    Paramètre Valeur
    Interface réseau
    Réseau virtuel Sélectionnez myVirtualNetwork.
    Subnet Sélectionnez DMZ
    Adresse IP publique Sélectionnez Aucun
    Groupe de sécurité réseau de la carte réseau Sélectionnez De base
    Réseau des ports entrants publics Sélectionnez Aucun.

  6. Sélectionnez l’onglet Vérifier + créer ou sélectionnez le bouton Vérifier + créer en bas de la page.

  7. Passez en revue les paramètres, puis sélectionnez Créer.

Créer une table de routage

Dans cette section, vous allez créer une table de routage.

  1. Dans le menu du portail Azure, sélectionnez + Créer une ressource>Mise en réseau>Table de routage, ou recherchez Table de routage dans la zone de recherche du portail.

  2. Sélectionnez Create (Créer).

  3. Sous l’onglet Informations de base de la page Créer une table de routage, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    Resource group Sélectionnez myResourceGroup.
    Détails de l’instance
    Région Sélectionnez USA Est.
    Name Entrez myRouteTablePublic.
    Propager des itinéraires de passerelle Sélectionnez Oui.

    Screenshot showing Basics tab of Create route table in Azure portal.

  4. Sélectionnez l’onglet Vérifier + créer, ou sélectionnez le bouton bleu Vérifier + créer situé au bas de la page.

Créer un itinéraire

Dans cette section, vous allez créer un itinéraire dans la table de routage que vous avez créée précédemment.

  1. Sélectionnez Accéder à la ressource ou rechercher myRouteTablePublic dans la zone de recherche du portail.

  2. Sur la page myRouteTablePublic, accédez à la section Paramètres et sélectionnez Itinéraires.

  3. Sur la page Itinéraires, sélectionnez le bouton + Ajouter.

  4. Dans Ajouter un itinéraire, entrez ou sélectionnez ces informations :

    Paramètre Valeur
    Nom de l’itinéraire Entrez ToPrivateSubnet.
    Destination du préfixe d’adresse Sélectionnez Adresses IP.
    Plages d’adresses IP/CIDR de destination Entrez 10.0.1.0/24 (plage d’adresses du sous-réseau Privé créé précédemment).
    Type de tronçon suivant Sélectionnez Appliance virtuelle.
    adresse de tronçon suivant Entrez 10.0.2.4 (adresse de la machine virtuelle myVMNVA créée précédemment dans le sous-réseau DMZ).

    Screenshot showing Add route configuration in Azure portal.

  5. Sélectionnez Ajouter.

Associer une table de routage à un sous-réseau

Dans cette section, vous allez associer la table de routage que vous avez créée précédemment à un sous-réseau.

  1. Recherchez myVirtualNetwork dans la zone de recherche du portail.

  2. Sur la page myVirtualNetwork, accédez à la section Paramètres et sélectionnez Sous-réseaux.

  3. Dans la liste de sous-réseaux du réseau virtuel, sélectionnez Public.

  4. Dans Table de routage, sélectionnez la ressource myRouteTablePublic que vous avez créée précédemment.

  5. Sélectionnez Enregistrer pour associer votre table de route au sous-réseau Public.

    Screenshot showing Associate route table to the Public subnet in the virtual network in Azure portal.

Créer des machines virtuelles publique et privée

Vous allez créer deux machines virtuelles dans le réseau virtuel myVirtualNetwork, puis vous autoriserez le protocole ICMP (Internet Control Message Protocol) sur celles-ci afin de pouvoir utiliser l’outil tracet pour suivre le trafic.

Remarque

Pour les environnements de production, nous ne recommandons pas d’autoriser le protocole ICMP (Internet Control Message Protocol) via le pare-feu Windows.

Créer une machine virtuelle publique

  1. Dans le menu du portail Azure, sélectionnez Créer une ressource>Calcul>Machine virtuelle.

  2. Dans Créer une machine virtuelle, entrez ou sélectionnez les informations suivantes sous l’onglet Informations de base :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    Groupe de ressources Sélectionnez myResourceGroup.
    Détails de l’instance
    Nom de la machine virtuelle Entrez myVMPublic.
    Région Sélectionnez (États-Unis) USA Est.
    Options de disponibilité Sélectionnez Aucune redondance d’infrastructure requise.
    Type de sécurité Sélectionnez Standard.
    Image Sélectionnez Windows Server 2019 Datacenter – Gen2.
    Instance Azure Spot Sélectionnez Non.
    Taille Choisissez la taille de la machine virtuelle ou acceptez le paramètre par défaut.
    Compte administrateur
    Nom d’utilisateur Entrez un nom d’utilisateur.
    Mot de passe Entrez un mot de passe. Le mot de passe doit contenir au moins 12 caractères et satisfaire aux exigences de complexité définies.
    Confirmer le mot de passe Retapez le mot de passe.
    Règles des ports d’entrée
    Aucun port d’entrée public Sélectionnez Aucun.

  3. Sélectionnez l'onglet Mise en réseau ou choisissez Suivant : Disques, puis Suivant : Mise en réseau.

  4. Sous l’onglet Réseau, sélectionnez ou entrez :

    Paramètre Valeur
    Interface réseau
    Réseau virtuel Sélectionnez myVirtualNetwork.
    Subnet Sélectionnez Public.
    Adresse IP publique Sélectionnez Aucun.
    Groupe de sécurité réseau de la carte réseau Sélectionnez De base.
    Réseau des ports entrants publics Sélectionnez Aucun.

  5. Sélectionnez l’onglet Vérifier + créer, ou sélectionnez le bouton bleu Vérifier + créer situé au bas de la page.

  6. Passez en revue les paramètres, puis sélectionnez Créer.

Créer une machine virtuelle privée

  1. Dans le menu du portail Azure, sélectionnez Créer une ressource>Calcul>Machine virtuelle.

  2. Dans Créer une machine virtuelle, entrez ou sélectionnez les informations suivantes sous l’onglet Informations de base :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    Groupe de ressources Sélectionnez myResourceGroup.
    Détails de l’instance
    Nom de la machine virtuelle Entrez myVMPrivate.
    Région Sélectionnez (États-Unis) USA Est.
    Options de disponibilité Sélectionnez Aucune redondance d’infrastructure requise.
    Type de sécurité Sélectionnez Standard.
    Image Sélectionnez Windows Server 2019 Datacenter – Gen2.
    Instance Azure Spot Sélectionnez Non.
    Taille Choisissez la taille de la machine virtuelle ou acceptez le paramètre par défaut.
    Compte administrateur
    Nom d’utilisateur Entrez un nom d’utilisateur.
    Mot de passe Entrez un mot de passe. Le mot de passe doit contenir au moins 12 caractères et satisfaire aux exigences de complexité définies.
    Confirmer le mot de passe Retapez le mot de passe.
    Règles des ports d’entrée
    Aucun port d’entrée public Sélectionnez Aucun.

  3. Sélectionnez l'onglet Mise en réseau ou choisissez Suivant : Disques, puis Suivant : Mise en réseau.

  4. Sous l’onglet Réseau, sélectionnez ou entrez :

    Paramètre Valeur
    Interface réseau
    Réseau virtuel Sélectionnez myVirtualNetwork.
    Subnet Sélectionnez Privé.
    Adresse IP publique Sélectionnez Aucun.
    Groupe de sécurité réseau de la carte réseau Sélectionnez De base.
    Réseau des ports entrants publics Sélectionnez Aucun.

  5. Sélectionnez l’onglet Vérifier + créer, ou sélectionnez le bouton bleu Vérifier + créer situé au bas de la page.

  6. Passez en revue les paramètres, puis sélectionnez Créer.

Autoriser ICMP dans le pare-feu Windows

  1. Sélectionnez Accéder à la ressource ou rechercher myVMPrivate dans la zone de recherche du portail.

  2. Sur la page de présentation de myVMPrivate, sélectionnez Se connecter, puis Bastion.

  3. Entrez le nom d’utilisateur et le mot de passe que vous avez précédemment créés pour la machine virtuelle myVMPrivate.

  4. Sélectionnez le bouton Connecter.

  5. Ouvrez Windows PowerShell après vous être connecté.

  6. Entrez cette commande :

    New-NetFirewallRule –DisplayName "Allow ICMPv4-In" –Protocol ICMPv4

  7. À partir de PowerShell, établissez une connexion Bureau à distance avec la machine virtuelle myVMPublic :

    mstsc /v:myvmpublic

  8. Après vous être connecté à la machine virtuelle myVMPublic, ouvrez Windows PowerShell et entrez la même commande qu’à l’étape 6.

  9. Mettez fin à la connexion Bureau à distance avec la machine virtuelle myVMPublic.

Activer le transfert IP

Pour acheminer le trafic via l’appliance virtuelle réseau (NVA), activez le transfert IP dans Azure et dans le système d’exploitation de la machine virtuelle myVMNVA. Une fois le transfert IP activé, tout trafic reçu par la machine virtuelle myVMNVA et destiné à une autre adresse IP ne fait l’objet d’aucune suppression et est transféré vers la bonne destination.

Activer le transfert IP dans Azure

Dans cette section, vous allez activer le transfert IP pour l’interface réseau de la machine virtuelle myVMNVA dans Azure.

  1. Recherchez myVMNVA dans la zone de recherche du portail.

  2. Sur la page de présentation de myVMNVA, accédez à la section Paramètres et sélectionnez Mise en réseau.

  3. Sur la page Mise en réseau de myVMNVA, sélectionnez l’interface réseau située en regard de Interface réseau :. Le nom de l’interface commence par myvmnva.

    Screenshot showing Networking page of network virtual appliance virtual machine in Azure portal.

  4. Sur la page de présentation de l’interface réseau, accédez à la section Paramètres et sélectionnez Configurations IP.

  5. Dans la page Configurations IP, définissez Transfert IP sur Activé, puis sélectionnez Enregistrer.

    Screenshot showing Enabled I P forwarding in Azure portal.

Activer le transfert IP dans le système d’exploitation

Dans cette section, vous allez activer le transfert IP pour le système d’exploitation de la machine virtuelle myVMNVA afin de rediriger le trafic réseau. Vous utiliserez la connexion bastion à la machine virtuelle myVMPrivate que vous avez lancée précédemment pour établir une connexion Bureau à distance avec la machine virtuelle myVMNVA.

  1. À partir de PowerShell sur la machine virtuelle myVMPrivate, établissez une connexion Bureau à distance avec la machine virtuelle myVMNVA :

    mstsc /v:myvmnva

  2. Après vous être connecté à la machine virtuelle myVMNVA, ouvrez Windows PowerShell et entrez la commande suivante pour activer le transfert IP :

    Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters -Name IpEnableRouter -Value 1

  3. Redémarrez la machine virtuelle myVMNVA.

    Restart-Computer

Tester le routage du trafic réseau

À l’aide de l’outil tracet, vous allez tester le routage du trafic réseau de la machine virtuelle myVMPublic vers la machine virtuelle myVMPrivate, puis vous le testerez dans l’autre sens.

Tester le trafic réseau de la machine virtuelle myVMPublic vers la machine virtuelle myVMPrivate

  1. À partir de PowerShell sur la machine virtuelle myVMPrivate, établissez une connexion Bureau à distance avec la machine virtuelle myVMPublic :

    mstsc /v:myvmpublic

  2. Après vous être connecté à la machine virtuelle myVMPublic, ouvrez Windows PowerShell et entrez la commande tracert suivante pour suivre le routage du trafic réseau de la machine virtuelle myVMPublic vers la machine virtuelle myVMPrivate.

    tracert myvmprivate

    La réponse ressemble à cet exemple :

    Tracing route to myvmprivate.q04q2hv50taerlrtdyjz5nza1f.bx.internal.cloudapp.net [10.0.1.4]
over a maximum of 30 hops:

  1     1 ms     *        2 ms  myvmnva.internal.cloudapp.net [10.0.2.4]
  2     2 ms     1 ms     1 ms  myvmprivate.internal.cloudapp.net [10.0.1.4]

Trace complete.

    Vous pouvez voir qu’il existe deux tronçons dans la réponse ci-dessus pour le suivi tracert du trafic ICMP de la machine virtuelle myVMPublic vers la machine virtuelle myVMPrivate. Le premier tronçon correspond à la machine virtuelle myVMNVA et le deuxième à la machine virtuelle myVMPrivate de destination.

    Azure a envoyé le trafic du sous-réseau Public à travers la NVA et non directement vers le sous-réseau Privé parce que vous avez précédemment ajouté l’itinéraire ToPrivateSubnet à la table de routage myRouteTablePublic et l'avez associée au sous-réseau Public.

  3. Mettez fin à la connexion Bureau à distance avec la machine virtuelle myVMPublic.

Tester le trafic réseau de la machine virtuelle myVMPrivate vers la machine virtuelle myVMPublic

  1. À partir de PowerShell sur la machine virtuelle myVMPrivate, entrez cette commande tracet pour suivre le routage du trafic réseau de la machine virtuelle myVmPrivate vers la machine virtuelle myVmPublic.

    tracert myvmpublic

    La réponse ressemble à cet exemple :

    Tracing route to myvmpublic.q04q2hv50taerlrtdyjz5nza1f.bx.internal.cloudapp.net [10.0.0.4]
over a maximum of 30 hops:

  1     1 ms     1 ms     1 ms  myvmpublic.internal.cloudapp.net [10.0.0.4]

Trace complete.

    Vous pouvez voir qu’il n’existe qu’un seul tronçon dans la réponse ci-dessus. Celui-ci correspond à la machine virtuelle myVMPublic de destination.

    Azure a envoyé le trafic directement du sous-réseau Privé au sous-réseau Public. Par défaut, Azure achemine directement le trafic entre les sous-réseaux.

  2. Fermez la session bastion.

Nettoyer les ressources

Quand vous n’avez plus besoin du groupe de ressources, supprimez myResourceGroup et toutes les ressources qu’il contient :

  1. Entrez myResourceGroup dans le champ Recherche en haut du portail Azure. Quand myResourceGroup apparaît dans les résultats de la recherche, sélectionnez-le.

  2. Sélectionnez Supprimer le groupe de ressources.

  3. Entrez myResourceGroup dans TAPER NOM DU GROUPE DE RESSOURCES : puis sélectionnez Supprimer.

Étapes suivantes

Dans ce tutoriel, vous allez :

  • Créé une table de route que vous avez associée à un sous-réseau.
  • Créé une appliance virtuelle réseau (NVA) simple qui a routé le trafic d’un sous-réseau public vers un sous-réseau privé.

Vous pouvez déployer, à partir de la Place de marché Azure, différentes appliances virtuelles réseau préconfigurées qui fournissent de nombreuses fonctions réseau utiles.

Pour en savoir plus sur le routage, consultez Routage du trafic de réseau virtuel et Créer, modifier ou supprimer une table de routage.

Pour apprendre à restreindre l’accès réseau aux ressources PaaS avec des points de terminaison de service de réseau virtuel, passez au tutoriel suivant.

Restreindre l’accès réseau à l’aide de points de terminaison de service