Topologie de réseau Hub-and-Spoke dans AzureHub-spoke network topology in Azure

Cette architecture de référence montre comment implémenter une topologie hub-and-spoke dans Azure.This reference architecture shows how to implement a hub-spoke topology in Azure. Le hub est un réseau virtuel (VNet) dans Azure qui centralise la connectivité à votre réseau local.The hub is a virtual network (VNet) in Azure that acts as a central point of connectivity to your on-premises network. Les membres spokes sont des réseaux virtuels appairés avec le hub et qui peuvent être utilisés pour isoler les charges de travail.The spokes are VNets that peer with the hub, and can be used to isolate workloads. Le trafic circule entre le centre de données local et le hub via une connexion de passerelle ExpressRoute ou VPN.Traffic flows between the on-premises datacenter and the hub through an ExpressRoute or VPN gateway connection. Déployez cette solution.Deploy this solution.

00

Télécharger un fichier Visio de cette architectureDownload a Visio file of this architecture

Cette topologie présente les avantages suivants :The benefits of this topology include:

  • Réduction les coûts en centralisant les services qui peuvent être partagés par plusieurs charges de travail, comme les appliances virtuelles réseau et les serveurs DNS.Cost savings by centralizing services that can be shared by multiple workloads, such as network virtual appliances (NVAs) and DNS servers, in a single location.
  • Surmonter les limites des abonnements en appairant les réseaux virtuels de différents abonnements avec le hub central.Overcome subscriptions limits by peering VNets from different subscriptions to the central hub.
  • Séparation des préoccupations entre le service informatique central (SecOps, InfraOps) et les charges de travail (DevOps).Separation of concerns between central IT (SecOps, InfraOps) and workloads (DevOps).

Utilisations courantes de cette architecture :Typical uses for this architecture include:

  • Charges de travail déployées sur des environnements différents, tels que les environnements de développement, de test et de production, qui requièrent des services partagés tels que DNS, IDS, NTP ou AD DS.Workloads deployed in different environments, such as development, testing, and production, that require shared services such as DNS, IDS, NTP, or AD DS. Les services partagés sont placés dans le réseau virtuel hub, tandis que chaque environnement est déployé sur un membre spoke pour garantir l’isolation.Shared services are placed in the hub VNet, while each environment is deployed to a spoke to maintain isolation.
  • Charges de travail ne nécessitant pas de connectivité entre elles, mais nécessitant un accès aux services partagés.Workloads that do not require connectivity to each other, but require access to shared services.
  • Entreprises nécessitant un contrôle centralisé des aspects de la sécurité, tel qu’un pare-feu dans le hub en tant que zone DMZ et une gestion séparée des charges de travail dans chaque membre spoke.Enterprises that require central control over security aspects, such as a firewall in the hub as a DMZ, and segregated management for the workloads in each spoke.

ArchitectureArchitecture

L’architecture est constituée des composants suivants.The architecture consists of the following components.

  • Réseau local.On-premises network. Un réseau local privé qui s’exécute au sein d’une organisation.A private local-area network running within an organization.

  • Périphérique VPN.VPN device. Périphérique ou service qui assure la connectivité externe au réseau local.A device or service that provides external connectivity to the on-premises network. Le périphérique VPN peut être un périphérique matériel ou une solution logicielle telle que le service RRAS (Routing and Remote Access Service) dans Windows Server 2012.The VPN device may be a hardware device, or a software solution such as the Routing and Remote Access Service (RRAS) in Windows Server 2012. Pour obtenir la liste des appliances VPN prises en charge et des informations sur la configuration des appliances VPN sélectionnées pour la connexion à Azure, consultez à propos des périphériques VPN pour les connexions de passerelle VPN de site à site.For a list of supported VPN appliances and information on configuring selected VPN appliances for connecting to Azure, see About VPN devices for Site-to-Site VPN Gateway connections.

  • Passerelle de réseau virtuel VPN ou passerelle ExpressRoute.VPN virtual network gateway or ExpressRoute gateway. La passerelle de réseau virtuel permet au réseau virtuel de se connecter au périphérique VPN, ou circuit ExpressRoute, utilisé pour la connectivité avec votre réseau local.The virtual network gateway enables the VNet to connect to the VPN device, or ExpressRoute circuit, used for connectivity with your on-premises network. Pour plus d’informations, consultez connecter un réseau local à un réseau virtuel Microsoft Azure.For more information, see Connect an on-premises network to a Microsoft Azure virtual network.

Notes

Les scripts de déploiement pour cette architecture de référence utilisent une passerelle VPN pour la connectivité et un réseau virtuel dans Azure pour simuler votre réseau local.The deployment scripts for this reference architecture use a VPN gateway for connectivity, and a VNet in Azure to simulate your on-premises network.

  • Réseau virtuel hub.Hub VNet. Réseau virtuel Azure utilisé comme hub dans la topologie hub-and-spoke.Azure VNet used as the hub in the hub-spoke topology. Le hub est le point central de la connectivité à votre réseau local et un emplacement pour héberger les services que peuvent utiliser les différentes charges de travail hébergées dans les réseaux virtuels spokes.The hub is the central point of connectivity to your on-premises network, and a place to host services that can be consumed by the different workloads hosted in the spoke VNets.

  • Sous-réseau de passerelle.Gateway subnet. Les passerelles de réseau virtuel sont conservées dans le même sous-réseau.The virtual network gateways are held in the same subnet.

  • Réseaux virtuels spokes.Spoke VNets. Un ou plusieurs réseaux virtuels Azure qui sont utilisés comme membres spokes dans la topologie hub-and-spoke.One or more Azure VNets that are used as spokes in the hub-spoke topology. Les membres spokes peuvent servir à isoler les charges de travail dans leurs propres réseaux virtuels, qui sont alors gérées séparément des autres membres spokes.Spokes can be used to isolate workloads in their own VNets, managed separately from other spokes. Chaque charge de travail peut inclure plusieurs niveaux, avec plusieurs sous-réseaux connectés à l’aide d’équilibreurs de charge Azure.Each workload might include multiple tiers, with multiple subnets connected through Azure load balancers. Pour plus d’informations sur l’infrastructure d’application, consultez exécution des charges de travail de machine virtuelle Windows et exécution des charges de travail de machine virtuelle Linux.For more information about the application infrastructure, see Running Windows VM workloads and Running Linux VM workloads.

  • Appairage de réseaux virtuels.VNet peering. Deux réseaux virtuels peuvent être connectés à l’aide d’une connexiond’appairage.Two VNets can be connected using a peering connection. Les connexions d’appairage sont des connexions non transitives et à faible latence entre des réseaux virtuels.Peering connections are non-transitive, low latency connections between VNets. Une fois appairés, les réseaux virtuels échangent le trafic à l’aide de la dorsale principale d’Azure, sans avoir besoin d’un routeur.Once peered, the VNets exchange traffic by using the Azure backbone, without the need for a router. Dans une topologie de réseau hub-and-spoke, vous utilisez l’appairage de réseaux virtuels pour connecter le hub à chaque membre spoke.In a hub-spoke network topology, you use VNet peering to connect the hub to each spoke. Vous pouvez appairer des réseaux virtuels dans la même région ou dans différentes régions.You can peer virtual networks in the same region, or different regions. Pour plus d’informations, consultez Requirements andConstraints.For more information, see Requirements and constraints.

Notes

Cet article couvre uniquement les déploiements Resource Manager, mais vous pouvez également connecter un réseau virtuel classique à un réseau virtuel Resource Manager dans un même abonnement.This article only covers Resource Manager deployments, but you can also connect a classic VNet to a Resource Manager VNet in the same subscription. De cette façon, vos membres spokes peuvent héberger des déploiements classiques tout en tirant parti des services partagés dans le hub.That way, your spokes can host classic deployments and still benefit from services shared in the hub.

RecommandationsRecommendations

Les recommandations suivantes s’appliquent à la plupart des scénarios.The following recommendations apply for most scenarios. Suivez ces recommandations, sauf si vous avez un besoin spécifique qui vous oblige à les ignorer.Follow these recommendations unless you have a specific requirement that overrides them.

Groupes de ressourcesResource groups

Le réseau virtuel hub et chaque réseau virtuel spoke peuvent être implémentés dans des groupes de ressources et différentes, voire dans des abonnements différents.The hub VNet, and each spoke VNet, can be implemented in different resource groups, and even different subscriptions. Quand vous appairez des réseaux virtuels de différents abonnements, les deux abonnements peuvent être associés au même locataire Azure Active Directory ou à un locataire différent.When you peer virtual networks in different subscriptions, both subscriptions can be associated to the same or different Azure Active Directory tenant. Cela permet de décentraliser la gestion de chaque charge de travail, tout en partageant les services gérés dans le réseau virtuel hub.This allows for a decentralized management of each workload, while sharing services maintained in the hub VNet.

Réseau virtuel et sous réseau GatewaySubnetVNet and GatewaySubnet

Créez un sous-réseau nommé GatewaySubnet, avec une plage d’adresses de /27.Create a subnet named GatewaySubnet, with an address range of /27. La passerelle de réseau virtuel requiert ce sous-réseau.This subnet is required by the virtual network gateway. En allouant 32 adresses à ce sous-réseau, vous devriez éviter les limitations de taille de passerelle.Allocating 32 addresses to this subnet will help to prevent reaching gateway size limitations in the future.

Pour plus d’informations sur la configuration de la passerelle, consultez les architectures de référence suivantes, en fonction de votre type de connexion :For more information about setting up the gateway, see the following reference architectures, depending on your connection type:

Pour accroître la disponibilité, vous pouvez utiliser ExpressRoute et un VPN pour le basculement.For higher availability, you can use ExpressRoute plus a VPN for failover. Consultez connexion d’un réseau local à Azure à l’aide de ExpressRoute avec basculement VPN.See Connect an on-premises network to Azure using ExpressRoute with VPN failover.

Une topologie hub-and-spoke peut également être utilisée sans passerelle, si vous n’avez pas besoin de connectivité avec votre réseau local.A hub-spoke topology can also be used without a gateway, if you don't need connectivity with your on-premises network.

Homologation de réseaux virtuelsVNet peering

L’appairage de réseaux virtuels est une relation non transitive entre deux réseaux virtuels.VNet peering is a non-transitive relationship between two VNets. Si des membres spokes doivent se connecter les uns aux autres, envisagez d’ajouter une connexion d’appairage distincte entre ces membres spokes.If you require spokes to connect to each other, consider adding a separate peering connection between those spokes.

Toutefois, si vous avez plusieurs spokes qui doivent se connecter entre eux, vous risquez de rencontrer des connexions d’homologation très rapides en raison de la limitation du nombre d’homologations réseaux virtuels par réseauvirtuel.However, if you have several spokes that need to connect with each other, you will run out of possible peering connections very quickly due to the limitation on number of VNets peerings per VNet. Dans ce scénario, envisagez d’utiliser des itinéraires définis par l’utilisateur (UDR) pour forcer l’envoi du trafic destiné à un spoke au pare-feu Azure ou un appliance virtuelle réseau agissant comme un routeur au réseau virtuel Hub.In this scenario, consider using user defined routes (UDRs) to force traffic destined to a spoke to be sent to Azure Firewall or an NVA acting as a router at the hub VNet. Ainsi, les membres spokes peuvent se connecter les uns aux autres.This will allow the spokes to connect to each other.

Vous pouvez également configurer les membres spokes afin qu’ils utilisent la passerelle de réseau virtuel hub pour communiquer avec des réseaux distants.You can also configure spokes to use the hub VNet gateway to communicate with remote networks. Pour que le trafic de la passerelle circule entre le membre spoke et le hub, puis se connecte à des réseaux distants, vous devez effectuer les opérations suivantes :To allow gateway traffic to flow from spoke to hub, and connect to remote networks, you must:

  • Configurer la connexion d’appairage de réseaux virtuels dans le hub pour autoriser le transit par passerelle.Configure the VNet peering connection in the hub to allow gateway transit.
  • Configurer la connexion d’appairage de réseaux virtuels dans chaque membre spoke pour utiliser des passerelles distantes.Configure the VNet peering connection in each spoke to use remote gateways.
  • Configurer toutes les connexions d’appairages de réseaux virtuels pour autoriser le trafic transféré.Configure all VNet peering connections to allow forwarded traffic.

ConsidérationsConsiderations

Connectivité entre membres spokesSpoke connectivity

Si vous avez besoin d’une connectivité entre les spokes, envisagez de déployer le pare-feu Azure ou un appliance virtuelle réseau pour le routage dans le Hub, et d’utiliser UDR dans le spoke pour transférer le trafic vers le concentrateur.If you require connectivity between spokes, consider deploying Azure Firewall or an NVA for routing in the hub, and using UDRs in the spoke to forward traffic to the hub. Les étapes de déploiement ci-dessous incluent une étape facultative qui configure cette configuration.The deployment steps below include an optional step that sets up this configuration.

22

Dans ce scénario, vous devez configurer les connexions d’appairage pour autoriser le trafic transféré.In this scenario, you must configure the peering connections to allow forwarded traffic.

Déterminez également les services qui sont partagés dans le hub, afin que ce dernier puisse prendre en charge un plus grand nombre de membres spokes.Also consider what services are shared in the hub, to ensure the hub scales for a larger number of spokes. Par exemple, si votre hub fournit des services de pare-feu, tenez compte des limites de bande passante de votre solution de pare-feu quand vous ajoutez plusieurs membres spokes.For instance, if your hub provides firewall services, consider the bandwidth limits of your firewall solution when adding multiple spokes. Vous pourriez souhaiter transférer certains de ces services partagés vers un second niveau de hubs.You might want to move some of these shared services to a second level of hubs.

Déployer la solutionDeploy the solution

Un déploiement pour cette architecture est disponible sur GitHub.A deployment for this architecture is available on GitHub. Il utilise des machines virtuelles dans chaque réseau virtuel pour tester la connectivité.It uses VMs in each VNet to test connectivity. Deux instances de chaque JumpBox sont déployées — sur une machine virtuelle Linux et une machine virtuelle Windows.Two instances of each jumpbox are deployed — one Linux VM and one Windows VM. Dans un déploiement réel, vous déployez un seul type.In a real deployment, you would deploy a single type.

Aucun service partagé n’est déployé dans le concentrateur.No shared services are deployed in the hub. Pour obtenir une version qui comprend des services partagés, consultez topologie de réseau Hub-and-spoke avec services partagés dans Azure.For a version that includes shared services, see Hub-spoke network topology with shared services in Azure.

Le déploiement crée les groupes de ressources suivants dans votre abonnement :The deployment creates the following resource groups in your subscription:

  • hub-vnet-rghub-vnet-rg
  • onprem-jb-rgonprem-jb-rg
  • onprem-vnet-rgonprem-vnet-rg
  • spoke1-vnet-rgspoke1-vnet-rg
  • spoke2-vnet-rgspoke2-vnet-rg

PrérequisPrerequisites

  1. Clonez, dupliquez ou téléchargez le fichier zip pour le référentiel GitHub des architectures de référence.Clone, fork, or download the zip file for the reference architectures GitHub repository.

  2. Installez Azure CLI 2.0.Install Azure CLI 2.0.

  3. Installez Node et NPM.Install Node and NPM

  4. Installez le package npm des modules Azure.Install the Azure building blocks npm package.

    npm install -g @mspnp/azure-building-blocks
    
  5. À partir d’une invite de commandes, d’une invite bash ou de l’invite de commandes PowerShell, connectez-vous à votre compte Azure, comme suit :From a command prompt, bash prompt, or PowerShell prompt, sign into your Azure account as follows:

    az login
    

Déployer l’architecture de référenceDeploy the reference architecture

Procédez comme suit pour déployer l’architecture:Follow these steps to deploy the architecture:

  1. Accédez au dossier hybrid-networking/hub-spoke du référentiel des architectures de référence.Navigate to the hybrid-networking/hub-spoke folder of the reference architectures repository.

  2. Ouvrez le fichier hub-spoke.json .Open the hub-spoke.json file.

  3. Remplacez les valeurs de toutes les instances [replace-with-username] de [replace-with-password]et.Replace the values for all instances of [replace-with-username] and [replace-with-password].

    "adminUsername": "[replace-with-username]",
    "adminPassword": "[replace-with-password]",
    
  4. Recherchez les deux instances de [replace-with-shared-key], puis entrez une clé partagée pour la connexion VPN.Find both instances of [replace-with-shared-key] and enter a shared key for the VPN connection. Les valeurs doivent correspondre.The values must match.

    "sharedKey": "[replace-with-shared-key]",
    
  5. Enregistrez le fichier.Save the file.

  6. Exécutez la commande suivante :Run the following command:

    azbb -s <subscription_id> -g onprem-vnet-rg -l <location> -p hub-spoke.json --deploy
    
  7. Attendez que le déploiement se termine.Wait for the deployment to finish. Ce déploiement crée quatre réseaux virtuels, huit machines virtuelles, deux passerelles VPN, la connexion entre les deux passerelles VPN et configure l’homologation de réseaux virtuels.This deployment creates four virtual networks, eight VMs, two VPN gateways, the connection between the two VPN gateways, and configures virtual network peering. La création des passerelles VPN peut prendre environ 40 minutes.It can take about 40 minutes to create the VPN gateways.

Tester la — connectivité WindowsTest connectivity — Windows

Pour tester la connectivité de l’environnement local simulé au Hub et aux rayons à l’aide de Windows, procédez comme suit:To test connectivity from the simulated on-premises environment to the hub and spokes using Windows, follow these steps:

  1. Utilisez le portail Azure pour trouver la machine virtuelle appelée jb-vm1 dans le groupe de ressources onprem-jb-rg.Use the Azure portal to find the VM named jb-vm1 in the onprem-jb-rg resource group.

  2. Cliquez sur Connect pour ouvrir une session Bureau à distance vers la machine virtuelle.Click Connect to open a remote desktop session to the VM. Utilisez le mot de passe spécifié dans le fichier de paramètre hub-spoke.json.Use the password that you specified in the hub-spoke.json parameter file.

  3. Ouvrez une console PowerShell dans la machine virtuelle et utilisez la Test-NetConnection cmdlet pour vérifier que vous pouvez vous connecter à la machine virtuelle JumpBox dans le Hub.Open a PowerShell console in the VM, and use the Test-NetConnection cmdlet to verify that you can connect to the jumpbox VM in the hub.

    Test-NetConnection 10.0.0.36 -CommonTCPPort RDP
    

    Le résultat doit être semblable à ce qui suit :The output should look similar to the following:

    ComputerName     : 10.0.0.36
    RemoteAddress    : 10.0.0.36
    RemotePort       : 3389
    InterfaceAlias   : Ethernet 2
    SourceAddress    : 192.168.1.000
    TcpTestSucceeded : True
    
  4. Utilisez l' Test-NetConnection applet de commande pour vérifier que vous pouvez vous connecter aux machines virtuelles JumpBox dans les rayons.Use the Test-NetConnection cmdlet to verify that you can connect to the jumpbox VMs in the spokes.

    Test-NetConnection 10.1.0.36 -CommonTCPPort RDP
    Test-NetConnection 10.2.0.36 -CommonTCPPort RDP
    

Notes

Par défaut, les machines virtuelles Windows Server n’autorisent pas les réponses ICMP dans Azure.By default, Windows Server VMs do not allow ICMP responses in Azure. Si vous souhaitez utiliser ping pour tester la connectivité, activez le trafic ICMP dans le pare-feu avancé de Windows pour chaque machine virtuelle.If you want to use ping to test connectivity, enable ICMP traffic in the Windows Advanced Firewall for each VM.

Tester la — connectivité LinuxTest connectivity — Linux

Pour tester la connectivité de l’environnement local simulé au Hub et aux rayons à l’aide de Linux, procédez comme suit:To test connectivity from the simulated on-premises environment to the hub and spokes using Linux, follow these steps:

  1. Utilisez le portail Azure pour trouver la machine virtuelle appelée jbl-vm1 dans le groupe de ressources onprem-jb-rg.Use the Azure portal to find the VM named jbl-vm1 in the onprem-jb-rg resource group.

  2. Cliquez sur Connect et copiez la commande ssh qui s’affiche dans le portail.Click Connect and copy the ssh command shown in the portal.

  3. Exécutez ssh pour vous connecter à l’environnement local simulé.Run ssh to connect to the simulated on-premises environment. Utilisez le mot de passe spécifié dans le fichier de paramètre hub-spoke.json.Use the password that you specified in the hub-spoke.json parameter file.

  4. Utilisez la nc commande pour tester la connectivité à la machine virtuelle JumpBox dans le Hub:Use the nc command to test connectivity to the jumpbox VM in the hub:

    nc -vzw 1 10.0.0.37 22
    

    Le résultat doit être semblable à ce qui suit :The output should look similar to the following:

    Connection to 10.0.0.37 22 port [tcp/ssh] succeeded!
    
  5. Utilisez la commande nc pour tester la connectivité avec les machines virtuelles du serveur de rebond dans chaque spoke :Use the nc command to test connectivity to the jumpbox VMs in each spoke:

    nc -vzw 1 10.1.0.37 22
    nc -vzw 1 10.2.0.37 22
    

Ajouter la connectivité entre les membres spokesAdd connectivity between spokes

Cette étape est facultative.This step is optional. Si vous souhaitez autoriser les spokes à se connecter les uns aux autres, utilisez le pare-feu Azure pour forcer le trafic des spokes vers le routeur lors de la tentative de connexion à un autre Spoke.If you want to allow spokes to connect to each other, use Azure Firewall to force traffic from spokes to the router when trying to connect to another spoke. Procédez comme suit pour déployer le pare-feu Azure, des règles de pare-feu pour autoriser les protocoles RDP et SSH, ainsi que des itinéraires définis par l’utilisateur (UDR) pour permettre aux deux réseaux virtuels spoke de se connecter:Perform the following steps to deploy Azure Firewall, firewall rules to allow RDP and SSH, and user-defined routes (UDRs) to allow the two spoke VNets to connect:

  1. Accédez au dossier hybrid-networking/hub-spoke du référentiel des architectures de référence.Navigate to the hybrid-networking/hub-spoke folder of the reference architectures repository.

  2. Exécutez la commande suivante :Run the following command:

    azbb -s <subscription_id> -g hub-vnet-rg -l <location> -p hub-firewall.json --deploy
    

Notes

L’adresse IP privée du pare-feu Azure est définie sur 10.0.0.132.The private IP address of the Azure Firewall is set to 10.0.0.132. Il s’agit de l’adresse IP de ce déploiement en raison de la façon dont Azure alloue des adresses IP privées.This will be the IP address for this deployment due to the way Azure allocates private IP addresses. Toutes les modifications apportées à ce déploiement peuvent modifier cette adresse par défaut.Any modifications to this deployment may change this default address. Dans ce cas, modifiez les hub-firewall.json tables de routage et remplacez toutes les nextHop instances de dans les itinéraires pour pointer vers l’adresse IP privée correcte du pare-feu Azure.In that situation, edit the hub-firewall.json route tables and replace all instances of nextHop in the routes to point to the correct private IP address of Azure Firewall.

Tester la connectivité entre les — fenêtres spokesTest connectivity between spokes — Windows

Si vous avez connecté les spokes, effectuez les étapes suivantes pour vérifier la connectivité à l’aide de Windows:If you connected the spokes, perform these steps to verify connectivity using Windows:

  1. Utilisez le portail Azure pour trouver la machine virtuelle appelée jb-vm1 dans le groupe de ressources onprem-jb-rg.Use the Azure portal to find the VM named jb-vm1 in the onprem-jb-rg resource group.

  2. Cliquez sur Connect pour ouvrir une session Bureau à distance vers la machine virtuelle.Click Connect to open a remote desktop session to the VM. Utilisez le mot de passe spécifié dans le fichier de paramètre hub-spoke.json.Use the password that you specified in the hub-spoke.json parameter file.

  3. À l’intérieur de cette session Bureau à distance, ouvrez une autre session Bureau à distance sur 10.1.0.36.From inside this remote desktop session, open another remote desktop session to 10.1.0.36. Il s’agit de l’adresse IP privée du JumpBox en spoke 1.That's the private IP address of the jumpbox in spoke 1.

  4. À partir de la deuxième session Bureau à distance, ouvrez une console PowerShell.From the second remote desktop session, open a PowerShell console. Utilisez l' Test-NetConnection applet de commande pour vérifier que vous pouvez vous connecter à la machine virtuelle JumpBox dans spoke 2.Use the Test-NetConnection cmdlet to verify that you can connect to the jumpbox VM in spoke 2.

    Test-NetConnection 10.2.0.36 -CommonTCPPort RDP
    

Tester la connectivité entre spokes — LinuxTest connectivity between spokes — Linux

Si vous avez connecté les spokes, effectuez les étapes suivantes pour vérifier la connectivité à l’aide de Linux:If you connected the spokes, perform these steps to verify connectivity using Linux:

  1. Utilisez le portail Azure pour trouver la machine virtuelle appelée jbl-vm1 dans le groupe de ressources onprem-jb-rg.Use the Azure portal to find the VM named jbl-vm1 in the onprem-jb-rg resource group.

  2. Cliquez sur Connect et copiez la commande ssh qui s’affiche dans le portail.Click Connect and copy the ssh command shown in the portal.

  3. Depuis un invite Linux, exécutez ssh pour vous connecter à l’environnement local simulé.From a Linux prompt, run ssh to connect to the simulated on-premises environment. Utilisez le mot de passe spécifié dans le fichier de paramètre hub-spoke.json.Use the password that you specified in the hub-spoke.json parameter file.

  4. Utilisez le portail Azure pour trouver la machine virtuelle appelée s1jbl-vm1 dans le groupe de ressources spoke1-vnet-rg.Use the Azure portal to find the VM named s1jbl-vm1 in the spoke1-vnet-rg resource group.

  5. Cliquez sur Connect et copiez la commande ssh qui s’affiche dans le portail.Click Connect and copy the ssh command shown in the portal.

  6. Dans la session SSH créée à l’étape 3, ssh exécutez pour vous connecter au JumpBox spoke-1.In the ssh session created in step 3, run ssh to connect to the spoke-1 jumpbox. Utilisez le mot de passe spécifié dans le fichier de paramètre hub-spoke.json.Use the password that you specified in the hub-spoke.json parameter file.

  7. Utilisez la nc commande pour tester la connectivité à la machine virtuelle JumpBox dans spoke 2:Use the nc command to test connectivity to the jumpbox VM in spoke 2:

    nc -vzw 1 10.2.0.37 22
    

Étapes suivantesNext steps

Pour obtenir une version de cette architecture qui déploie des services de sécurité et d’identité partagés, consultez topologie de réseau Hub-and-spoke avec services partagés dans Azure.For a version of this architecture that deploys shared identity and security services, see Hub-spoke network topology with shared services in Azure.