Connecter un réseau local à Azure à l’aide d’ExpressRoute avec basculement VPNConnect an on-premises network to Azure using ExpressRoute with VPN failover

Cette architecture de référence montre comment connecter un réseau local à un réseau virtuel Azure (VNet) à l’aide d’ExpressRoute, avec un réseau privé virtuel (VPN) de site à site en tant que connexion de basculement.This reference architecture shows how to connect an on-premises network to an Azure virtual network (VNet) using ExpressRoute, with a site-to-site virtual private network (VPN) as a failover connection. Le trafic circule entre le réseau local et réseau virtuel Azure via une connexion ExpressRoute.Traffic flows between the on-premises network and the Azure VNet through an ExpressRoute connection. En cas de perte de connectivité au niveau du circuit ExpressRoute, le trafic est acheminé via un tunnel VPN IPSec.If there is a loss of connectivity in the ExpressRoute circuit, traffic is routed through an IPSec VPN tunnel. Déployez cette solution.Deploy this solution.

Notez que si le circuit ExpressRoute n’est pas disponible, l’itinéraire VPN gérera uniquement les connexions d’homologation privées.Note that if the ExpressRoute circuit is unavailable, the VPN route will only handle private peering connections. Les connexions d’homologation publique et Microsoft transiteront via Internet.Public peering and Microsoft peering connections will pass over the Internet.

Architecture de référence pour une architecture réseau hybride hautement disponible utilisant ExpressRoute et une passerelle VPN

Téléchargez un fichier Visio de cette architecture.Download a Visio file of this architecture.

ArchitectureArchitecture

L’architecture est constituée des composants suivants.The architecture consists of the following components.

  • Réseau local.On-premises network. Un réseau local privé s’exécutant au sein d’une organisation.A private local-area network running within an organization.

  • Appliance VPN.VPN appliance. Périphérique ou service qui assure la connectivité externe au réseau local.A device or service that provides external connectivity to the on-premises network. L’appliance VPN peut être un périphérique matériel ou une solution logicielle telle que le service RRAS (Routing and Remote Access Service) dans Windows Server 2012.The VPN appliance may be a hardware device, or it can be a software solution such as the Routing and Remote Access Service (RRAS) in Windows Server 2012. Pour obtenir la liste des appliances VPN prises en charge et des informations sur la configuration des appliances VPN sélectionnées pour la connexion à Azure, consultez à propos des périphériques VPN pour les connexions de passerelle VPN de site à site.For a list of supported VPN appliances and information on configuring selected VPN appliances for connecting to Azure, see About VPN devices for Site-to-Site VPN Gateway connections.

  • Circuit ExpressRoute.ExpressRoute circuit. Un circuit de couche 2 ou 3 fourni par le fournisseur de connectivité et qui relie le réseau local à Azure via les routeurs de périphérie.A layer 2 or layer 3 circuit supplied by the connectivity provider that joins the on-premises network with Azure through the edge routers. Le circuit utilise l’infrastructure matérielle gérée par le fournisseur de connectivité.The circuit uses the hardware infrastructure managed by the connectivity provider.

  • Passerelle de réseau virtuel ExpressRoute.ExpressRoute virtual network gateway. La passerelle de réseau virtuel ExpressRoute permet au réseau virtuel de se connecter au circuit ExpressRoute utilisé pour la connectivité avec votre réseau local.The ExpressRoute virtual network gateway enables the VNet to connect to the ExpressRoute circuit used for connectivity with your on-premises network.

  • Passerelle de réseau virtuel VPN.VPN virtual network gateway. La passerelle de réseau virtuel VPN permet au réseau virtuel de se connecter à l’appliance VPN sur le réseau local.The VPN virtual network gateway enables the VNet to connect to the VPN appliance in the on-premises network. La passerelle de réseau virtuel VPN est configurée pour accepter les requêtes provenant du réseau local uniquement via l’appliance VPN.The VPN virtual network gateway is configured to accept requests from the on-premises network only through the VPN appliance. Pour plus d’informations, consultez connecter un réseau local à un réseau virtuel Microsoft Azure.For more information, see Connect an on-premises network to a Microsoft Azure virtual network.

  • Connexion VPN.VPN connection. La connexion a des propriétés qui spécifient le type de connexion (IPSec) et la clé partagée avec l’appliance VPN locale pour chiffrer le trafic.The connection has properties that specify the connection type (IPSec) and the key shared with the on-premises VPN appliance to encrypt traffic.

  • Réseau virtuel Azure.Azure Virtual Network (VNet). Chaque réseau virtuel se trouve dans une région Azure unique et peut héberger plusieurs niveaux d’application.Each VNet resides in a single Azure region, and can host multiple application tiers. Les niveaux d’application peuvent être segmentés à l’aide de sous-réseaux dans chaque réseau virtuel.Application tiers can be segmented using subnets in each VNet.

  • Sous-réseau de passerelle.Gateway subnet. Les passerelles de réseau virtuel sont conservées dans le même sous-réseau.The virtual network gateways are held in the same subnet.

  • Application cloud.Cloud application. L’application hébergée dans Azure.The application hosted in Azure. Elle peut inclure plusieurs niveaux, avec plusieurs sous-réseaux connectés à l’aide d’équilibreurs de charge Azure.It might include multiple tiers, with multiple subnets connected through Azure load balancers. Pour plus d’informations sur l’infrastructure d’application, consultez exécution des charges de travail de machine virtuelle Windows et exécution des charges de travail de machine virtuelle Linux.For more information about the application infrastructure, see Running Windows VM workloads and Running Linux VM workloads.

RecommandationsRecommendations

Les recommandations suivantes s’appliquent à la plupart des scénarios.The following recommendations apply for most scenarios. Suivez ces recommandations, sauf si vous avez un besoin spécifique qui vous oblige à les ignorer.Follow these recommendations unless you have a specific requirement that overrides them.

Réseau virtuel et sous-réseau GatewaySubnetVNet and GatewaySubnet

Créez la connexion de passerelle de réseau virtuel ExpressRoute et la connexion de passerelle de réseau virtuel VPN dans le même réseau virtuel avec un objet de passerelle déjà en place.Create the ExpressRoute virtual network gateway connection and the VPN virtual network gateway connection in the same VNet with a Gateway object already in place. Ils partageront tous les deux le même sous-réseau nommé GatewaySubnet.They will both share the same subnet named GatewaySubnet.

Si le réseau virtuel contient déjà un sous-réseau nommé GatewaySubnet, vérifiez qu’il possède un espace d’adressage défini sur /27 ou plus.If the VNet already includes a subnet named GatewaySubnet, ensure that it has a /27 or larger address space. Si le sous-réseau existant est trop petit, utilisez la commande PowerShell suivante pour supprimer le sous-réseau :If the existing subnet is too small, use the following PowerShell command to remove the subnet:

$vnet = Get-AzureRmVirtualNetworkGateway -Name <yourvnetname> -ResourceGroupName <yourresourcegroup>
Remove-AzureRmVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet

Si le réseau virtuel ne contient pas de sous-réseau nommé GatewaySubnet, créez-en un à l’aide de la commande PowerShell suivante:If the VNet does not contain a subnet named GatewaySubnet, create a new one using the following PowerShell command:

$vnet = Get-AzureRmVirtualNetworkGateway -Name <yourvnetname> -ResourceGroupName <yourresourcegroup>
Add-AzureRmVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.224/27"
$vnet = Set-AzureRmVirtualNetwork -VirtualNetwork $vnet

Passerelles VPN et ExpressRouteVPN and ExpressRoute gateways

Vérifiez que votre organisation répond aux conditions requises ExpressRoute pour la connexion à Azure.Verify that your organization meets the ExpressRoute prerequisite requirements for connecting to Azure.

Si vous disposez déjà d’une passerelle de réseau virtuel VPN dans votre réseau virtuel Azure, utilisez la commande PowerShell suivante pour la supprimer:If you already have a VPN virtual network gateway in your Azure VNet, use the following PowerShell command to remove it:

Remove-AzureRmVirtualNetworkGateway -Name <yourgatewayname> -ResourceGroupName <yourresourcegroup>

Suivez les instructions de la procédure d' implémentation d’une architecture réseau hybride avec Azure ExpressRoute pour établir votre connexion ExpressRoute.Follow the instructions in Implementing a hybrid network architecture with Azure ExpressRoute to establish your ExpressRoute connection.

Suivez les instructions de la procédure d' implémentation d’une architecture réseau hybride avec Azure et un VPN local pour établir la connexion de votre passerelle de réseau virtuel VPN.Follow the instructions in Implementing a hybrid network architecture with Azure and On-premises VPN to establish your VPN virtual network gateway connection.

Après avoir établi les connexions de passerelle de réseau virtuel, testez l’environnement comme suit :After you have established the virtual network gateway connections, test the environment as follows:

  1. Vérifiez que vous pouvez vous connecter au réseau virtuel Azure à partir de votre réseau local.Make sure you can connect from your on-premises network to your Azure VNet.
  2. Contactez votre fournisseur pour arrêter la connectivité ExpressRoute à des fins de test.Contact your provider to stop ExpressRoute connectivity for testing.
  3. Vérifiez que vous pouvez toujours vous connecter au réseau virtuel Azure à partir de votre réseau local à l’aide de la connexion de passerelle de réseau virtuel VPN.Verify that you can still connect from your on-premises network to your Azure VNet using the VPN virtual network gateway connection.
  4. Contactez votre fournisseur pour rétablir la connectivité ExpressRoute.Contact your provider to reestablish ExpressRoute connectivity.

ConsidérationsConsiderations

Pour plus d’informations sur les ExpressRoute, consultez l’aide relative à l’implémentation d’une architecture réseau hybride avec Azure ExpressRoute .For ExpressRoute considerations, see the Implementing a Hybrid Network Architecture with Azure ExpressRoute guidance.

Pour plus d’informations sur les connexions VPN de site à site, consultez l’aide relative à l’implémentation d’une architecture réseau hybride avec Azure et un VPN local .For site-to-site VPN considerations, see the Implementing a Hybrid Network Architecture with Azure and On-premises VPN guidance.

Pour plus d’informations sur la sécurité générale d’Azure, consultez services Cloud Microsoft et sécurité réseau.For general Azure security considerations, see Microsoft cloud services and network security.

Déployer la solutionDeploy the solution

Conditions préalables.Prerequisites. Vous devez disposer d’une infrastructure locale existante déjà configurée avec une appliance réseau appropriée.You must have an existing on-premises infrastructure already configured with a suitable network appliance.

Pour déployer la solution, procédez comme suit :To deploy the solution, perform the following steps.

  1. Cliquez sur le lien ci-dessous.Click the link below.

    Déployer sur AzureDeploy to Azure

  2. Attendez que le lien s’ouvre dans le portail Azure, puis procédez comme suit :Wait for the link to open in the Azure portal, then follow these steps:

    • Le nom du groupe de ressources est déjà défini dans le fichier de paramètres ; sélectionnez Créer nouveau et entrez ra-hybrid-vpn-er-rg dans la zone de texte.The Resource group name is already defined in the parameter file, so select Create New and enter ra-hybrid-vpn-er-rg in the text box.
    • Sélectionnez la région à partir de la zone déroulante Emplacement.Select the region from the Location drop down box.
    • Ne modifiez pas les zones de texte Template Root Uri (Uri racine de modèle) ou Parameter Root Uri (Uri racine de paramètre).Do not edit the Template Root Uri or the Parameter Root Uri text boxes.
    • Passez en revue les termes et conditions, puis cochez la case J’accepte les termes et conditions mentionnés ci-dessus.Review the terms and conditions, then click the I agree to the terms and conditions stated above checkbox.
    • Cliquez sur le bouton Acheter.Click the Purchase button.
  3. Attendez la fin du déploiement.Wait for the deployment to complete.

  4. Cliquez sur le lien ci-dessous.Click the link below.

    Déployer sur AzureDeploy to Azure

  5. Attendez que le lien s’ouvre dans le portail Azure, appuyez sur Entrée, puis procédez comme suit :Wait for the link to open in the Azure portal, then enter then follow these steps:

    • Sélectionnez Utiliser l’existant dans la section Groupe de ressources et saisissez ra-hybrid-vpn-er-rg dans la zone de texte.Select Use existing in the Resource group section and enter ra-hybrid-vpn-er-rg in the text box.
    • Sélectionnez la région à partir de la zone déroulante Emplacement.Select the region from the Location drop down box.
    • Ne modifiez pas les zones de texte Template Root Uri (Uri racine de modèle) ou Parameter Root Uri (Uri racine de paramètre).Do not edit the Template Root Uri or the Parameter Root Uri text boxes.
    • Passez en revue les termes et conditions, puis cochez la case J’accepte les termes et conditions mentionnés ci-dessus.Review the terms and conditions, then click the I agree to the terms and conditions stated above checkbox.
    • Cliquez sur le bouton Acheter.Click the Purchase button.