FAQ sur les réseaux virtuels AzureAzure Virtual Network frequently asked questions (FAQ)

Concepts de base du réseau virtuelVirtual Network basics

Qu’est un réseau virtuel (VNet) Azure ?What is an Azure Virtual Network (VNet)?

Un réseau virtuel (VNet) Azure est une représentation de votre propre réseau dans le cloud.An Azure Virtual Network (VNet) is a representation of your own network in the cloud. Il s’agit d’un isolement logique du cloud Azure dédié à votre abonnement.It is a logical isolation of the Azure cloud dedicated to your subscription. Vous pouvez utiliser des réseaux virtuels pour configurer et gérer des réseaux privés virtuels (VPN) dans Azure et, éventuellement, lier les réseaux virtuels avec les autres réseaux virtuels dans Azure ou avec votre infrastructure informatique locale pour créer des solutions hybrides ou intersite.You can use VNets to provision and manage virtual private networks (VPNs) in Azure and, optionally, link the VNets with other VNets in Azure, or with your on-premises IT infrastructure to create hybrid or cross-premises solutions. Chaque réseau virtuel que vous créez dispose de son propre bloc CIDR et peut être lié à d’autres réseaux virtuels et locaux, dans la mesure où les blocs CIDR ne se chevauchent pas.Each VNet you create has its own CIDR block and can be linked to other VNets and on-premises networks as long as the CIDR blocks do not overlap. Vous pouvez également contrôler les paramètres de serveur DNS pour les réseaux virtuels et la segmentation du réseau virtuel en sous-réseaux.You also have control of DNS server settings for VNets, and segmentation of the VNet into subnets.

Utilisez les réseaux virtuels pour effectuer les actions suivantes :Use VNets to:

  • Créez un réseau virtuel dédié uniquement au cloud privé.Create a dedicated private cloud-only VNet. Vous n’avez pas toujours besoin d’une configuration intersite pour votre solution.Sometimes you don't require a cross-premises configuration for your solution. Lorsque vous créez un réseau virtuel, vos services et les machines virtuelles au sein de votre réseau virtuel peuvent communiquer directement et en toute sécurité dans le cloud.When you create a VNet, your services and VMs within your VNet can communicate directly and securely with each other in the cloud. Vous pouvez encore configurer des connexions au point de terminaison pour les machines virtuelles et les services qui requièrent une communication Internet dans le cadre de votre solution.You can still configure endpoint connections for the VMs and services that require Internet communication, as part of your solution.

  • Étendez votre centre de données en toute sécurité.Securely extend your data center. Avec les réseaux virtuels, vous pouvez créer des VPN site à site (S2S) traditionnels pour faire évoluer en toute sécurité la capacité de votre centre de données.With VNets, you can build traditional site-to-site (S2S) VPNs to securely scale your datacenter capacity. Les VPN S2S utilisent le protocole IPSEC pour fournir une connexion sécurisée entre votre passerelle VPN d’entreprise et Azure.S2S VPNs use IPSEC to provide a secure connection between your corporate VPN gateway and Azure.

  • Activez les scénarios de cloud hybride.Enable hybrid cloud scenarios. Les réseaux virtuels vous donnent la possibilité de prendre en charge une variété de scénarios de nuage hybride.VNets give you the flexibility to support a range of hybrid cloud scenarios. Vous pouvez connecter en toute sécurité des applications informatiques à n’importe quel type de système local, comme les ordinateurs centraux et les systèmes Unix.You can securely connect cloud-based applications to any type of on-premises system such as mainframes and Unix systems.

Comment faire pour démarrer ?How do I get started?

Consultez la Documentation Réseau virtuel pour commencer.Visit the Virtual network documentation to get started. Ce document fournit des informations de présentation et de déploiement pour toutes les fonctionnalités du réseau virtuel.This content provides overview and deployment information for all of the VNet features.

Puis-je utiliser des réseaux virtuels sans connectivité intersite ?Can I use VNets without cross-premises connectivity?

Oui.Yes. Vous pouvez utiliser un réseau virtuel sans connexion à votre site.You can use a VNet without connecting it to your premises. Par exemple, vous pouvez exécuter des contrôleurs de domaine Microsoft Windows Server Active Directory et des batteries de serveurs SharePoint dans un réseau virtuel Azure.For example, you could run Microsoft Windows Server Active Directory domain controllers and SharePoint farms solely in an Azure VNet.

Puis-je exécuter une optimisation WAN entre des réseaux virtuels ou entre un réseau virtuel et mon centre de données local ?Can I perform WAN optimization between VNets or a VNet and my on-premises data center?

Oui.Yes. Vous pouvez déployer une appliance virtuelle réseau d’optimisation WAN à partir de plusieurs fournisseurs via Azure Marketplace.You can deploy a WAN optimization network virtual appliance from several vendors through the Azure Marketplace.

ConfigurationConfiguration

Quels outils utiliser pour créer un réseau virtuel ?What tools do I use to create a VNet?

Vous pouvez utiliser les outils suivants pour créer ou configurer un réseau virtuel :You can use the following tools to create or configure a VNet:

Quelles plages d’adresses puis-je utiliser dans mes réseaux virtuels ?What address ranges can I use in my VNets?

Toute plage d’adresses IP définie dans RFC 1918.Any IP address range defined in RFC 1918. Par exemple, 10.0.0.0/16.For example, 10.0.0.0/16. Vous ne pouvez pas ajouter les plages d’adresses suivantes :You cannot add the following address ranges:

  • 224.0.0.0/4 (multidiffusion)224.0.0.0/4 (Multicast)
  • 255.255.255.255/32 (diffusion)255.255.255.255/32 (Broadcast)
  • 127.0.0.0/8 (bouclage)127.0.0.0/8 (Loopback)
  • 169.254.0.0/16 (lien-local)169.254.0.0/16 (Link-local)
  • 168.63.129.16/32 (DNS interne)168.63.129.16/32 (Internal DNS)

Puis-je avoir des adresses IP publiques dans mes réseaux virtuels ?Can I have public IP addresses in my VNets?

Oui.Yes. Pour plus d’informations sur les plages d’adresses IP publiques, consultez Create a virtual network (Créer un réseau virtuel).For more information about public IP address ranges, see Create a virtual network. Les adresses IP publiques ne sont pas directement accessibles à partir d’Internet.Public IP addresses are not directly accessible from the internet.

Y a-t-il une limite au nombre de sous-réseaux dans mon réseau virtuel ?Is there a limit to the number of subnets in my VNet?

Oui.Yes. Pour plus d’informations, consultez Limites de mise en réseau.See Azure limits for details. Les espaces d’adressage de sous-réseau ne peuvent pas se chevaucher.Subnet address spaces cannot overlap one another.

Existe-t-il des restrictions sur l’utilisation des adresses IP au sein de ces sous-réseaux ?Are there any restrictions on using IP addresses within these subnets?

Oui.Yes. Azure réserve 5 adresses IP dans chaque sous-réseau.Azure reserves 5 IP addresses within each subnet. Il s’agit des adresses x.x.x.0-x.x.x.3 et de la dernière adresse du sous-réseau.These are x.x.x.0-x.x.x.3 and the last address of the subnet. Dans chaque sous-réseau, la plage x.x.x.1-x.x.x.3 est réservée aux services Azure.x.x.x.1-x.x.x.3 is reserved in each subnet for Azure services.

  • x.x.x.0 : Adresse du réseaux.x.x.0: Network address
  • x.x.x.1 : Réservée par Azure pour la passerelle par défautx.x.x.1: Reserved by Azure for the default gateway
  • x.x.x.2, x.x.x.3 : Réservée par Azure pour mapper les adresses IP Azure DNS à l’espace du réseau virtuelx.x.x.2, x.x.x.3: Reserved by Azure to map the Azure DNS IPs to the VNet space
  • x.x.x.255 : Adresse de diffusion réseaux.x.x.255: Network broadcast address

Quelle taille peuvent avoir les réseaux virtuels et les sous-réseaux ?How small and how large can VNets and subnets be?

Le plus petit sous-réseau IPv4 pris en charge est /29 et le plus grand est /8 (à l’aide des définitions de sous-réseaux CIDR).The smallest supported IPv4 subnet is /29, and the largest is /8 (using CIDR subnet definitions). La taille des sous-réseaux IPv6 doit être exactement de /64.IPv6 subnets must be exactly /64 in size.

Puis-je ajouter mes VLAN à Azure à l’aide de réseaux virtuels ?Can I bring my VLANs to Azure using VNets?

Non.No. Les réseaux virtuels sont des superpositions de couche 3.VNets are Layer-3 overlays. Azure ne prend en charge aucune sémantique de couche 2.Azure does not support any Layer-2 semantics.

Puis-je spécifier des stratégies de routage personnalisées sur des réseaux virtuels et des sous-réseaux ?Can I specify custom routing policies on my VNets and subnets?

Oui.Yes. Vous pouvez créer une table de routage et l’associer à un sous-réseau.You can create a route table and associate it to a subnet. Pour plus d’informations sur le routage dans Azure, consultez Routage du trafic de réseau virtuel.For more information about routing in Azure, see Routing overview.

Les réseaux virtuels prennent-ils en charge la multidiffusion ou la diffusion ?Do VNets support multicast or broadcast?

Non.No. La multidiffusion et la diffusion ne sont pas prises en charge.Multicast and broadcast are not supported.

Quels protocoles puis-je utiliser au sein de réseaux virtuels ?What protocols can I use within VNets?

Vous pouvez utiliser les protocoles TCP, UDP et ICMP TCP/IP au sein des réseaux virtuels.You can use TCP, UDP, and ICMP TCP/IP protocols within VNets. La monodiffusion est prise en charge dans les réseaux virtuels, à l’exception du protocole DHCP (Dynamic Host Configuration Protocol) via la monodiffusion (port source UDP/68 / port de destination UDP/67).Unicast is supported within VNets, with the exception of Dynamic Host Configuration Protocol (DHCP) via Unicast (source port UDP/68 / destination port UDP/67). La multidiffusion, la diffusion, les paquets encapsulés IP dans IP et les paquets Encapsulation générique de routage (GRE, Generic Routing Encapsulation) sont bloqués dans les réseaux virtuels.Multicast, broadcast, IP-in-IP encapsulated packets, and Generic Routing Encapsulation (GRE) packets are blocked within VNets.

Puis-je effectuer un test Ping sur mes routeurs par défaut au sein d’un réseau virtuel ?Can I ping my default routers within a VNet?

Non.No.

Puis-je utiliser l’application tracert pour diagnostiquer la connectivité ?Can I use tracert to diagnose connectivity?

Non.No.

Puis-je ajouter des sous-réseaux après avoir créé le réseau virtuel ?Can I add subnets after the VNet is created?

Oui.Yes. Des sous-réseaux peuvent être ajoutés à des réseaux virtuels à tout moment, tant que la plage d’adresses de sous-réseau ne fait pas partie d’un autre sous-réseau et qu’il reste de l’espace dans la plage d’adresses du réseau virtuel.Subnets can be added to VNets at any time as long as the subnet address range is not part of another subnet and there is available space left in the virtual network's address range.

Puis-je modifier la taille de mon sous-réseau après sa création ?Can I modify the size of my subnet after I create it?

Oui.Yes. Vous pouvez ajouter, supprimer, développer ou réduire un sous-réseau si aucune machine virtuelle ou aucun service n’y est déployé.You can add, remove, expand, or shrink a subnet if there are no VMs or services deployed within it.

Puis-je modifier des sous-réseaux après leur création ?Can I modify subnets after I created them?

Oui.Yes. Vous pouvez ajouter, supprimer et modifier les blocs CIDR utilisés par un réseau virtuel.You can add, remove, and modify the CIDR blocks used by a VNet.

Si j’exécute mes services dans un réseau virtuel, puis-je me connecter à Internet ?If I am running my services in a VNet, can I connect to the internet?

Oui.Yes. Tous les services déployés au sein d’un réseau virtuel peuvent être connectés en sortie à Internet.All services deployed within a VNet can connect outbound to the internet. Pour en savoir plus sur les connexions Internet sortantes dans Azure, consultez Connexions sortantes dans Azure.To learn more about outbound internet connections in Azure, see Outbound connections. Si vous souhaitez vous connecter en entrée à une ressource déployée par le biais de Resource Manager, la ressource doit avoir une adresse IP publique qui lui est affectée.If you want to connect inbound to a resource deployed through Resource Manager, the resource must have a public IP address assigned to it. Pour en savoir plus sur les adresses IP publiques, consultez Créer, modifier ou supprimer une adresse IP publique.To learn more about public IP addresses, see Public IP addresses. Chaque service cloud Azure déployé dans Azure dispose d’une adresse IP virtuelle publiquement adressable qui lui est assignée.Every Azure Cloud Service deployed in Azure has a publicly addressable VIP assigned to it. Vous définissez des points de terminaison d’entrée pour les points de terminaison et les rôles PaaS des machines virtuelles afin de permettre à ces services d’accepter les connexions à partir d’Internet.You define input endpoints for PaaS roles and endpoints for virtual machines to enable these services to accept connections from the internet.

Les réseaux virtuels prennent-ils en charge IPv6 ?Do VNets support IPv6?

Oui, les réseaux virtuels peuvent être IPv4 seulement ou à double pile (IPv4 + IPv6).Yes, VNets can be IPv4-only or dual stack (IPv4+IPv6). Pour plus d’informations, consultez Aperçu du protocole IPv6 pour des réseaux virtuels Azure.For details, see Overview of IPv6 for Azure Virtual Networks.

Un réseau virtuel peut-il couvrir plusieurs régions ?Can a VNet span regions?

Non.No. Un réseau virtuel est limité à une seule région.A VNet is limited to a single region. Un réseau virtuel peut toutefois couvrir des zones de disponibilité.A virtual network does, however, span availability zones. Pour en savoir plus sur les zones de disponibilité, consultez Vue d’ensemble de zones de disponibilité.To learn more about availability zones, see Availability zones overview. Vous pouvez connecter des réseaux virtuels dans différentes régions à l’aide d’un peering de réseaux virtuels.You can connect virtual networks in different regions with virtual network peering. Pour plus d’informations, consultez Peering de réseaux virtuelsFor details, see Virtual network peering overview

Puis-je connecter un réseau virtuel à un autre réseau virtuel dans Azure ?Can I connect a VNet to another VNet in Azure?

Oui.Yes. Vous pouvez connecter un réseau virtuel à un autre réseau virtuel à l’aide des éléments suivants :You can connect one VNet to another VNet using either:

Résolution de noms pour les machines virtuelles et les instances de rôleName Resolution (DNS)

Quelles sont les options DNS pour les réseaux virtuels ?What are my DNS options for VNets?

Utilisez la table des décisions sur la page Résolution de noms pour les machines virtuelles et les instances de rôle pour plus informations sur les options DNS disponibles.Use the decision table on the Name Resolution for VMs and Role Instances page to guide you through all the DNS options available.

Puis-je spécifier des serveurs DNS pour un réseau virtuel ?Can I specify DNS servers for a VNet?

Oui.Yes. Vous pouvez spécifier des adresses IP de serveur DNS dans les paramètres de réseau virtuel.You can specify DNS server IP addresses in the VNet settings. Le paramètre est appliqué en tant que serveur DNS par défaut pour toutes les machines virtuelles du réseau virtuel.The setting is applied as the default DNS server(s) for all VMs in the VNet.

Combien de serveurs DNS puis-je spécifier ?How many DNS servers can I specify?

Reportez-vous aux limites de mise en réseau.Reference Azure limits.

Puis-je modifier mes serveurs DNS une fois que le réseau créé ?Can I modify my DNS servers after I have created the network?

Oui.Yes. Vous pouvez modifier la liste des serveurs DNS de votre réseau virtuel à tout moment.You can change the DNS server list for your VNet at any time. Si vous modifiez votre liste de serveurs DNS, vous devez effectuer un renouvellement de bail DHCP sur toutes les machines virtuelles affectées dans le réseau virtuel, pour que les nouveaux paramètres DNS prennent effet.If you change your DNS server list, you need to perform a DHCP lease renewal on all affected VMs in the VNet, for the new DNS settings to take effect. Pour les machines virtuelles exécutant le système d’exploitation Windows, vous pouvez taper ipconfig /renew directement sur la machine virtuelle.For VMs running Windows OS you can do this by typing ipconfig /renew directly on the VM. Pour les autres types de système d’exploitation, reportez-vous à la documentation de renouvellement du bail DHCP pour le type de système d’exploitation spécifique.For other OS types, refer to the DHCP lease renewal documentation for the specific OS type.

Qu’est ce qu’un serveur DNS fourni par Azure et fonctionne-t-il avec les réseaux virtuels ?What is Azure-provided DNS and does it work with VNets?

Le serveur DNS fourni par Azure est un serveur DNS mutualisé proposé par Microsoft.Azure-provided DNS is a multi-tenant DNS service offered by Microsoft. Azure enregistre toutes vos machines virtuelles et instances de rôle de service cloud dans ce service.Azure registers all of your VMs and cloud service role instances in this service. Ce service fournit la résolution de noms par nom d’hôte pour les machines virtuelles et les instances de rôles contenues dans le même service cloud et par nom de domaine complet pour les machines virtuelles et les instances de rôle du même réseau virtuel.This service provides name resolution by hostname for VMs and role instances contained within the same cloud service, and by FQDN for VMs and role instances in the same VNet. Pour en savoir plus sur DNS, consultez Résolution de noms pour les machines virtuelles et les instances de rôle.To learn more about DNS, see Name Resolution for VMs and Cloud Services role instances.

Il existe une limitation aux 100 premiers services cloud du réseau virtuel pour la résolution de nom inter-clients à l’aide du serveur DNS fourni par Azure.There is a limitation to the first 100 cloud services in a VNet for cross-tenant name resolution using Azure-provided DNS. Si vous utilisez votre propre serveur DNS, cette restriction ne s’applique pas.If you are using your own DNS server, this limitation does not apply.

Puis-je remplacer mes paramètres DNS sur une base machine virtuelle/service cloud ?Can I override my DNS settings on a per-VM or cloud service basis?

Oui.Yes. Vous pouvez configurer des serveurs DNS par machine virtuelle ou service cloud pour remplacer les paramètres réseau par défaut.You can set DNS servers per VM or cloud service to override the default network settings. Toutefois, il est recommandé d’utiliser autant que possible le DNS à l’échelle du réseau.However, it's recommended that you use network-wide DNS as much as possible.

Puis-je afficher mon propre suffixe DNS ?Can I bring my own DNS suffix?

Non.No. Vous ne pouvez pas spécifier un suffixe DNS personnalisé pour vos réseaux virtuels.You cannot specify a custom DNS suffix for your VNets.

Connexion aux machines virtuellesConnecting virtual machines

Puis-je déployer des machines virtuelles sur un réseau virtuel ?Can I deploy VMs to a VNet?

Oui.Yes. Toutes les interfaces réseau (NIC) attachées à une machine virtuelle déployée via le modèle de déploiement Resource Manager doivent être connectées à un réseau virtuel.All network interfaces (NIC) attached to a VM deployed through the Resource Manager deployment model must be connected to a VNet. Les machines virtuelles déployées via le modèle de déploiement classique peuvent éventuellement être connectées à un réseau virtuel.VMs deployed through the classic deployment model can optionally be connected to a VNet.

Quels sont les différents types d’adresses IP que je peux attribuer aux machines virtuelles ?What are the different types of IP addresses I can assign to VMs?

  • Privé : attribué à chaque carte réseau sur chaque machine virtuelle.Private: Assigned to each NIC within each VM. L’adresse est attribuée à l’aide de la méthode statique ou dynamique.The address is assigned using either the static or dynamic method. Les adresses IP privées sont affectées à partir de la plage que vous avez spécifiée dans les paramètres de sous-réseau de votre réseau virtuel.Private IP addresses are assigned from the range that you specified in the subnet settings of your VNet. Les ressources déployées par le biais du modèle de déploiement classique se voient attribuer des adresses IP privées, même si elles ne sont pas connectées à un réseau virtuel.Resources deployed through the classic deployment model are assigned private IP addresses, even if they're not connected to a VNet. Le comportement de la méthode d’allocation est différent selon qu’une ressource a été déployée avec le modèle de déploiement classique ou Resource Manager :The behavior of the allocation method is different depending on whether a resource was deployed with the Resource Manager or classic deployment model:

    • Resource Manager : une adresse IP privée attribuée avec la méthode statique ou dynamique reste associée à une machine virtuelle (Resource Manager) jusqu’à ce que la ressource soit supprimée.Resource Manager: A private IP address assigned with the dynamic or static method remains assigned to a virtual machine (Resource Manager) until the resource is deleted. La différence est que vous sélectionnez l’adresse à attribuer lors de l’utilisation d’une méthode statique, et Azure choisit quand utiliser la méthode dynamique.The difference is that you select the address to assign when using static, and Azure chooses when using dynamic.
    • Classique : une adresse IP privée attribuée avec la méthode dynamique peut changer lorsqu’une machine virtuelle (classique) est redémarrée après avoir été arrêtée (désallouée).Classic: A private IP address assigned with the dynamic method may change when a virtual machine (classic) VM is restarted after having been in the stopped (deallocated) state. Si vous devez vous assurer que l’adresse IP privée d’une ressource déployée via le modèle de déploiement classique ne change jamais, attribuez une adresse IP privée avec la méthode statique.If you need to ensure that the private IP address for a resource deployed through the classic deployment model never changes, assign a private IP address with the static method.
  • Public : attribué (facultatif) aux cartes réseau attachées aux machines virtuelles déployées via le modèle de déploiement Azure Resource Manager.Public: Optionally assigned to NICs attached to VMs deployed through the Azure Resource Manager deployment model. L’adresse peut être attribuée à l’aide de la méthode d’allocation statique ou dynamique.The address can be assigned with the static or dynamic allocation method. Toutes les machines virtuelles et instances de rôle de services cloud déployées via le modèle de déploiement classique existent au sein d’un service cloud, qui se voit attribuer une adresse IP virtuelle publique dynamique.All VMs and Cloud Services role instances deployed through the classic deployment model exist within a cloud service, which is assigned a dynamic, public virtual IP (VIP) address. Une adresse IP statique publique, appelée Adresse IP réservée, peut éventuellement être attribuée en tant qu’adresse IP virtuelle.A public static IP address, called a Reserved IP address, can optionally be assigned as a VIP. Vous pouvez attribuer des adresses IP publiques à des machines virtuelles ou instances de rôle de services cloud individuelles déployées via le modèle de déploiement classique.You can assign public IP addresses to individual VMs or Cloud Services role instances deployed through the classic deployment model. Ces adresses sont appelées Adresses IP publiques de niveau d’instance (ILPIP) et elles peuvent être attribuées de manière dynamique.These addresses are called Instance level public IP (ILPIP addresses and can be assigned dynamically.

Puis-je réserver une adresse IP privée pour une machine virtuelle que je créerai ultérieurement ?Can I reserve a private IP address for a VM that I will create at a later time?

Non.No. Vous ne pouvez pas réserver d’adresse IP privée.You cannot reserve a private IP address. Si une adresse IP privée est disponible, elle est affectée à une machine virtuelle ou à une instance de rôle par le serveur DHCP.If a private IP address is available, it is assigned to a VM or role instance by the DHCP server. La machine virtuelle peut être celle à laquelle vous souhaitez attribuer l’adresse IP privée.The VM may or may not be the one that you want the private IP address assigned to. Vous pouvez toutefois modifier l’adresse IP privée d’une machine virtuelle déjà créée et utiliser n’importe quelle adresse IP privée disponible.You can, however, change the private IP address of an already created VM, to any available private IP address.

Les adresses IP privées peuvent-elles changer pour les machines virtuelles d’un réseau virtuel ?Do private IP addresses change for VMs in a VNet?

Cela dépend.It depends. Si la machine virtuelle a été déployée via Resource Manager, non, et ce, que l’adresse IP ait été attribuée avec la méthode d’allocation statique ou dynamique.If the VM was deployed through Resource Manager, no, regardless of whether the IP address was assigned with the static or dynamic allocation method. Si la machine virtuelle a été déployée par le biais du modèle de déploiement classique, les adresses IP dynamiques peuvent changer quand une machine virtuelle est démarrée après avoir été arrêtée (désallouée).If the VM was deployed through the classic deployment model, dynamic IP addresses can change when a VM is started after having been in the stopped (deallocated) state. L’adresse est libérée d’une machine virtuelle déployée via un modèle de déploiement lorsque la machine virtuelle est supprimée.The address is released from a VM deployed through either deployment model when the VM is deleted.

Puis-je attribuer manuellement des adresses IP aux cartes réseau au sein du système d’exploitation de la machine virtuelle ?Can I manually assign IP addresses to NICs within the VM operating system?

Oui, mais cela n’est pas recommandé, sauf si nécessaire, par exemple lors de l’affectation de plusieurs adresses IP à une machine virtuelle.Yes, but it's not recommended unless necessary, such as when assigning multiple IP addresses to a virtual machine. Pour plus d’informations, consultez Ajouter des adresses IP à une machine virtuelle.For details, see Adding multiple IP addresses to a virtual machine. Si l’adresse IP attribuée à une carte réseau Azure jointe à une machine virtuelle fait l’objet de modifications et si l’adresse IP au sein du système d’exploitation de la machine virtuelle est différente, vous perdez la connectivité à la machine virtuelle.If the IP address assigned to an Azure NIC attached to a VM changes, and the IP address within the VM operating system is different, you lose connectivity to the VM.

Si j’arrête un emplacement de déploiement de service cloud ou si j’arrête une machine virtuelle à partir du système d’exploitation, que se passe-t-il pour mes adresses IP ?If I stop a Cloud Service deployment slot or shutdown a VM from within the operating system, what happens to my IP addresses?

Rien.Nothing. Les adresses IP (adresse IP virtuelle publique, publique et privée) restent affectées à la machine virtuelle ou à l’emplacement de déploiement de services cloud.The IP addresses (public VIP, public, and private) remain assigned to the cloud service deployment slot or VM.

Puis-je déplacer des machines virtuelles d’un sous-réseau à un autre dans un réseau virtuel sans redéploiement ?Can I move VMs from one subnet to another subnet in a VNet without redeploying?

Oui.Yes. Vous trouverez plus d’informations dans l’article Déplacement d’une machine virtuelle ou d’une instance de rôle vers un autre sous-réseau.You can find more information in the How to move a VM or role instance to a different subnet article.

Puis-je configurer une adresse MAC statique pour ma machine virtuelle ?Can I configure a static MAC address for my VM?

Non.No. Une adresse MAC ne peut pas être configurée de manière statique.A MAC address cannot be statically configured.

Une fois créée, l’adresse MAC restera-t-elle la même pour ma machine virtuelle ?Will the MAC address remain the same for my VM once it's created?

Oui, l’adresse MAC reste la même pour une machine virtuelle déployée via les modèles de déploiement Resource Manager et classique jusqu’à sa suppression.Yes, the MAC address remains the same for a VM deployed through both the Resource Manager and classic deployment models until it's deleted. Auparavant, l’adresse MAC était libérée si la machine virtuelle était arrêtée (libérée), mais désormais l’adresse MAC est conservée même lorsque la machine virtuelle est dans l’état libéré.Previously, the MAC address was released if the VM was stopped (deallocated), but now the MAC address is retained even when the VM is in the deallocated state. L’adresse MAC reste assignée à l’interface réseau jusqu’à ce que l’interface réseau soit supprimée ou que l’adresse IP privée assignée à la configuration IP principale de l’interface réseau principale soit modifiée.The MAC address remains assigned to the network interface until the network interface is deleted or the private IP address assigned to the primary IP configuration of the primary network interface is changed.

Puis-je me connecter à Internet à partir d’une machine virtuelle dans un réseau virtuel ?Can I connect to the internet from a VM in a VNet?

Oui.Yes. Toutes les machines virtuelles et instances de rôle de services cloud déployés au sein d’un réseau virtuel peuvent se connecter à Internet.All VMs and Cloud Services role instances deployed within a VNet can connect to the Internet.

Services Azure qui se connectent à des réseaux virtuelsAzure services that connect to VNets

Puis-je utiliser Azure App Service Web Apps avec un réseau virtuel ?Can I use Azure App Service Web Apps with a VNet?

Oui.Yes. Vous pouvez déployer des applications Web à l’intérieur d’un réseau virtuel à l’aide d’un environnement ASE (App Service Environment). Connectez le serveur principal de vos applications à vos réseaux virtuels avec la fonction d’intégration au réseau virtuel, puis verrouillez le trafic entrant vers votre application avec les points de terminaison de service.You can deploy Web Apps inside a VNet using an ASE (App Service Environment), connect the backend of your apps to your VNets with VNet Integration, and lock down inbound traffic to your app with service endpoints. Pour plus d’informations, consultez les articles suivants :For more information, see the following articles:

Puis-je déployer des services cloud avec les rôles web et de travail (PaaS) dans un réseau virtuel ?Can I deploy Cloud Services with web and worker roles (PaaS) in a VNet?

Oui.Yes. Vous pouvez déployer (facultatif) des instances de rôle de services cloud dans des réseaux virtuels.You can (optionally) deploy Cloud Services role instances within VNets. Pour cela, vous spécifiez le nom de réseau virtuel et les mappages rôle/sous-réseau dans la section de configuration réseau de votre configuration de service.To do so, you specify the VNet name and the role/subnet mappings in the network configuration section of your service configuration. Il est inutile de mettre à jour vos fichiers binaires.You do not need to update any of your binaries.

Puis-je connecter un groupe de machines virtuelles identiques à un réseau virtuel ?Can I connect a virtual machine scale set to a VNet?

Oui.Yes. Vous devez connecter un groupe de machines virtuelles identiques à un réseau virtuel.You must connect a virtual machine scale set to a VNet.

Existe-t-il une liste complète des services Azure à partir desquels je peux déployer des ressources dans un réseau virtuel ?Is there a complete list of Azure services that can I deploy resources from into a VNet?

Oui. Pour plus d’informations, consultez Intégration d’un réseau virtuel pour les services Azure.Yes, For details, see Virtual network integration for Azure services.

Comment puis-je restreindre l’accès à des ressources PaaS Azure depuis un réseau virtuel ?How can I restrict access to Azure PaaS resources from a VNet?

Les ressources déployées via certains services PaaS Azure (comme Stockage Azure et Azure SQL Database) peuvent restreindre l’accès réseau à un réseau virtuel via l’utilisation de points de terminaison de service de réseau virtuel ou de Liaison privée Azure.Resources deployed through some Azure PaaS services (such as Azure Storage and Azure SQL Database), can restrict network access to VNet through the use of virtual network service endpoints or Azure Private Link. Pour plus d’informations, consultez Vue d’ensemble des points de terminaison de service de réseau virtuel, Vue d’ensemble de Liaison privée Azure.For details, see Virtual network service endpoints overview, Azure Private Link overview

Puis-je faire entrer ou sortir mes services dans les réseaux virtuels ?Can I move my services in and out of VNets?

Non.No. Impossible de faire entrer ou de faire sortir des services dans les réseaux virtuels.You cannot move services in and out of VNets. Pour déplacer une ressource vers un autre réseau virtuel, vous devez supprimer et redéployer la ressource.To move a resource to another VNet, you have to delete and redeploy the resource.

SécuritéSecurity

Quel est le modèle de sécurité pour les réseaux virtuels ?What is the security model for VNets?

Les réseaux virtuels sont isolés les uns des autres, ainsi que des autres services hébergés dans l’infrastructure Azure.VNets are isolated from one another, and other services hosted in the Azure infrastructure. Un réseau virtuel est une délimitation d’approbation.A VNet is a trust boundary.

Puis-je limiter le flux de trafic entrant ou sortant aux ressources connectées au réseau virtuel ?Can I restrict inbound or outbound traffic flow to VNet-connected resources?

Oui.Yes. Vous pouvez appliquer des groupes de sécurité réseau à des sous-réseaux individuels d’un réseau virtuel, à des cartes réseau attachées à un réseau virtuel, ou les deux.You can apply Network Security Groups to individual subnets within a VNet, NICs attached to a VNet, or both.

Puis-je mettre en place un pare-feu entre les ressources connectées au réseau virtuel ?Can I implement a firewall between VNet-connected resources?

Oui.Yes. Vous pouvez déployer une appliance virtuelle réseau de pare-feu à partir de plusieurs fournisseurs via Azure Marketplace.You can deploy a firewall network virtual appliance from several vendors through the Azure Marketplace.

Existe-t-il des informations sur la sécurisation des réseaux virtuels ?Is there information available about securing VNets?

Oui.Yes. Pour plus d’informations, consultez Présentation de la sécurité réseau Azure.For details, see Azure Network Security Overview.

API, schémas et outilsAPIs, schemas, and tools

Puis-je gérer les réseaux virtuels à partir du code ?Can I manage VNets from code?

Oui.Yes. Vous pouvez utiliser des API REST pour les réseaux virtuels dans les modèles de déploiement Azure Resource Manager et classique.You can use REST APIs for VNets in the Azure Resource Manager and classic deployment models.

Existe-t-il une prise en charge des outils pour les réseaux virtuels ?Is there tooling support for VNets?

Oui.Yes. En savoir plus sur l’utilisation des éléments suivants :Learn more about using:

Peering de réseaux virtuelsVNet peering

En quoi consiste le peering VNet ?What is VNet peering?

Le peering VNet (ou peering de réseau virtuel) permet de connecter des réseaux virtuels.VNet peering (or virtual network peering) enables you to connect virtual networks. Une connexion de peering VNet entre réseaux virtuels vous permet d’acheminer le trafic entre eux de façon privée par le biais d’adresses IPv4.A VNet peering connection between virtual networks enables you to route traffic between them privately through IPv4 addresses. Les machines virtuelles dans les réseaux virtuels appairés peuvent communiquer entre elles comme si elles se trouvaient dans le même réseau.Virtual machines in the peered VNets can communicate with each other as if they are within the same network. Ces réseaux virtuels peuvent se situer dans la même région ou dans des régions différentes (Global VNet Peering).These virtual networks can be in the same region or in different regions (also known as Global VNet Peering). Il est également possible de créer des connexions de peering VNet dans les abonnements Azure.VNet peering connections can also be created across Azure subscriptions.

Puis-je créer une connexion de peering pour un réseau virtuel dans une autre région ?Can I create a peering connection to a VNet in a different region?

Oui.Yes. Global VNet Peering vous permet d’homologuer des réseaux virtuels dans différentes régions.Global VNet peering enables you to peer VNets in different regions. Global VNet Peering est disponible dans toutes les régions publiques Azure, dans les régions cloud de Chine et dans les régions cloud Government.Global VNet peering is available in all Azure public regions, China cloud regions, and Government cloud regions. Vous ne pouvez pas procéder au peering mondial à partir de régions publiques Azure vers des régions cloud nationales.You cannot globally peer from Azure public regions to national cloud regions.

Si les deux réseaux virtuels dans deux régions différentes sont associés sur le Peering de réseaux virtuels globaux, vous ne pouvez pas vous connecter aux ressources qui se trouvent derrière un Load Balancer de base par le biais de l’adresse IP frontale du Load Balancer.If the two virtual networks in two different regions are peered over Global VNet Peering, you cannot connect to resources that are behind a Basic Load Balancer through the Front End IP of the Load Balancer. Cette restriction n’existe pas pour un Standard Load Balancer.This restriction does not exist for a Standard Load Balancer. Les ressources suivantes peuvent utiliser des Load Balancers de base, ce qui signifie que vous ne pouvez pas les atteindre via l’adresse IP frontale du Load Balancer sur le peering de réseaux virtuels globaux.The following resources can use Basic Load Balancers which means you cannot reach them through the Load Balancer's Front End IP over Global VNet Peering. Toutefois, vous pouvez utiliser le peering de réseaux virtuels globaux pour atteindre les ressources directement par le biais de leurs adresses IP de réseau virtuel privé, si cela est autorisé.You can however use Global VNet peering to reach the resources directly through their private VNet IPs, if permitted.

  • Machines virtuelles sur lesquelles reposent les équilibreurs de charge de baseVMs behind Basic Load Balancers
  • Groupes de machines virtuelles identiques avec des équilibreurs de charge de baseVirtual machine scale sets with Basic Load Balancers
  • Cache RedisRedis Cache
  • Référence SKU Application Gateway (v1)Application Gateway (v1) SKU
  • Service FabricService Fabric
  • SQL MISQL MI
  • Gestion des APIAPI Management
  • Active Directory Domain Services (ADDS)Active Directory Domain Service (ADDS)
  • Logic AppsLogic Apps
  • HDInsightHDInsight
  • Azure BatchAzure Batch
  • Environnement App ServiceApp Service Environment

Vous pouvez vous connecter à ces ressources via ExpressRoute ou une connexion entre deux réseaux virtuels, par l’intermédiaire de passerelles de réseau virtuel.You can connect to these resources via ExpressRoute or VNet-to-VNet through VNet Gateways.

Puis-je activer le peering de réseau virtuel si mes réseaux virtuels font partie d’abonnements de différents locataires Azure Active Directory ?Can I enable VNet Peering if my virtual networks belong to subscriptions within different Azure Active Directory tenants?

Oui.Yes. Il est possible d’établir un peering de réseau virtuel (local ou global) si vos abonnements appartiennent à différents locataires Azure Active Directory.It is possible to establish VNet Peering (whether local or global) if your subscriptions belong to different Azure Active Directory tenants. Vous pouvez faire cela via PowerShell ou Azure CLI.You can do this via PowerShell or CLI. Le portail n’est pas encore pris en charge.Portal is not yet supported.

Ma connexion de peering de réseau est à l’état initié, pourquoi ne puis-je pas me connecter ?My VNet peering connection is in Initiated state, why can't I connect?

Si votre connexion de peering est dans un état Initiée, cela signifie que vous n’avez créé qu’un seul lien.If your peering connection is in an Initiated state, this means you have created only one link. Un lien bidirectionnel doit être créé afin d’établir une connexion réussie.A bidirectional link must be created in order to establish a successful connection. Par exemple, pour homologuer le réseau virtuel A au réseau virtuel B, un lien doit être créé de VNetA à VNetB et de VNetB à VNetA.For example, to peer VNet A to VNet B, a link must be created from VNetA to VNetB and from VNetB to VNetA. La création des deux liens modifie l’état à Connecté.Creating both links will change the state to Connected.

Ma connexion de peering VNet se trouve dans l’état Déconnecté, pourquoi ne puis-je pas créer une connexion de peering ?My VNet peering connection is in Disconnected state, why can't I create a peering connection?

Si votre connexion de peering VNet se trouve dans un état Déconnecté, cela signifie qu’un des liens créés a été supprimé.If your VNet peering connection is in a Disconnected state, it means one of the links created was deleted. Pour rétablir une connexion de peering, vous devrez supprimer le lien et le créer de nouveau.In order to re-establish a peering connection, you will need to delete the link and recreate it.

Puis-je homologuer mon réseau virtuel avec un réseau virtuel dans un autre abonnement ?Can I peer my VNet with a VNet in a different subscription?

Oui.Yes. Vous pouvez homologuer des réseaux virtuels entre des abonnements et régions.You can peer VNets across subscriptions and across regions.

Puis-je homologuer deux réseaux virtuels avec des plages d’adresses correspondantes ou se chevauchant ?Can I peer two VNets with matching or overlapping address ranges?

Non.No. Les espaces d’adresses ne doivent pas se chevaucher pour pouvoir activer le peering de réseau virtuel.Address spaces must not overlap to enable VNet Peering.

Il n’existe aucun frais pour créer une connexion de peering de réseau virtuel.There is no charge for creating a VNet peering connection. Le transfert de données entre des connexions de peering est facturé.Data transfer across peering connections is charged. Voir ici.See here.

Le trafic de peering de réseau virtuel est-il chiffré ?Is VNet peering traffic encrypted?

Non.No. Le trafic entre des ressources des réseaux virtuels homologués est privé et isolé.Traffic between resources in peered VNets is private and isolated. Il reste entièrement sur le Microsoft Backbone.It remains completely on the Microsoft Backbone.

Pourquoi ma connexion de peering est-elle dans un état Déconnecté ?Why is my peering connection in a Disconnected state?

Les connexions de peering de réseau virtuel passent à l’état Déconnecté lorsqu’un lien de peering de réseau virtuel est supprimé.VNet peering connections go into Disconnected state when one VNet peering link is deleted. Vous devez supprimer les deux liens pour pouvoir rétablir une connexion de peering.You must delete both links in order to reestablish a successful peering connection.

Si j’effectue une homologation entre VNetA et VNetB, et que je dois également le faire entre VNetB et VNetC, cela signifie-il que VNetA et VNetC sont homologués ?If I peer VNetA to VNetB and I peer VNetB to VNetC, does that mean VNetA and VNetC are peered?

Non.No. Le peering transitif n’est pas pris en charge.Transitive peering is not supported. Pour qu’ils le soient, vous devez homologuer VNetA et VNetC.You must peer VNetA and VNetC for this to take place.

Des restrictions de bande passante s’appliquent-elles aux connexions de peering ?Are there any bandwidth limitations for peering connections?

Non.No. Le peering de réseau virtuel, qu’il soit local ou global, n’impose aucune restriction de bande passante.VNet peering, whether local or global, does not impose any bandwidth restrictions. La bande passante n’est limitée que par les ressources de la machine virtuelle ou de calcul.Bandwidth is only limited by the VM or the compute resource.

Comment résoudre les problèmes liés à VNet Peering ?How can I troubleshoot VNet Peering issues?

Voici un guide sur un utilitaire de résolution des problèmes qui peut vous y aider.Here is a troubleshooter guide you can try.

TAP de réseau virtuelVirtual network TAP

Quelles régions Azure sont disponibles pour le TAP de réseau virtuel ?Which Azure regions are available for virtual network TAP?

La préversion du TAP de réseau virtuel est disponible dans toutes les régions Azure.Virtual network TAP preview is available in all Azure regions. Les interfaces réseau supervisées, la ressource TAP de réseau virtuel, ainsi que la solution du collecteur ou d’analyse doivent être déployées dans la même région.The monitored network interfaces, the virtual network TAP resource, and the collector or analytics solution must be deployed in the same region.

Le TAP de réseau virtuel prend-il en charge des fonctionnalités de filtrage sur les paquets mis en miroir ?Does Virtual Network TAP support any filtering capabilities on the mirrored packets?

Les fonctionnalités de filtrage ne sont pas prises en charge avec la préversion du TAP de réseau virtuel.Filtering capabilities are not supported with the virtual network TAP preview. Quand une configuration TAP est ajoutée à une interface réseau, une copie complète de tout le trafic entrant et sortant sur l’interface réseau est diffusée en continu vers la destination TAP.When a TAP configuration is added to a network interface a deep copy of all the ingress and egress traffic on the network interface is streamed to the TAP destination.

Est-il possible d’ajouter plusieurs configurations TAP à une interface réseau supervisée ?Can multiple TAP configurations be added to a monitored network interface?

Une interface réseau supervisée ne peut avoir qu’une seule configuration TAP.A monitored network interface can have only one TAP configuration. Vérifiez auprès de la solution de partenaire individuelle si elle dispose de la capacité à diffuser en continu plusieurs copies du trafic TAP vers les outils d’analytique de votre choix.Check with the individual partner solution for the capability to stream multiple copies of the TAP traffic to the analytics tools of your choice.

La même ressource TAP de réseau virtuel peut-elle agréger le trafic en provenance d’interfaces réseau supervisées dans plusieurs réseaux virtuels ?Can the same virtual network TAP resource aggregate traffic from monitored network interfaces in more than one virtual network?

Oui.Yes. La même ressource TAP de réseau virtuel peut être utilisée pour agréger le trafic mis en miroir en provenance d’interfaces réseau supervisées dans des réseaux virtuels appairés du même abonnement ou d’un autre abonnement.The same virtual network TAP resource can be used to aggregate mirrored traffic from monitored network interfaces in peered virtual networks in the same subscription or a different subscription. La ressource TAP de réseau virtuel et l’équilibreur de charge de destination ou l’interface réseau de destination doivent se trouver dans le même abonnement.The virtual network TAP resource and the destination load balancer or destination network interface must be in the same subscription. Tous les abonnements doivent se trouver sous le même locataire Azure Active Directory.All subscriptions must be under the same Azure Active Directory tenant.

Existe-t-il des considérations relatives aux performances sur le trafic de production si j’active une configuration TAP de réseau virtuel sur une interface réseau ?Are there any performance considerations on production traffic if I enable a virtual network TAP configuration on a network interface?

Le TAP de réseau virtuel est disponible en préversion.Virtual network TAP is in preview. Pendant la période de préversion, il n’existe aucun contrat de niveau de service.During preview, there is no service level agreement. La fonctionnalité ne doit pas être utilisée pour des charges de travail de production.The capability should not be used for production workloads. Quand une interface réseau de machine virtuelle est activée avec une configuration TAP, les mêmes ressources sur l’hôte Azure allouées à la machine virtuelle pour envoyer le trafic de production sont utilisées pour exécuter la fonction de mise en miroir et envoyer les paquets mis en miroir.When a virtual machine network interface is enabled with a TAP configuration, the same resources on the Azure host allocated to the virtual machine to send the production traffic is used to perform the mirroring function and send the mirrored packets. Sélectionnez la taille de machine virtuelle Linux ou Windows appropriée pour garantir que suffisamment de ressources sont disponibles pour que la machine virtuelle envoie le trafic de production et le trafic mis en miroir.Select the correct Linux or Windows virtual machine size to ensure that sufficient resources are available for the virtual machine to send the production traffic and the mirrored traffic.

La mise en réseau accélérée pour Linux ou Windows est-elle prise en charge avec le TAP de réseau virtuel ?Is accelerated networking for Linux or Windows supported with virtual network TAP?

Vous pourrez ajouter une configuration TAP sur une interface réseau attachée à une machine virtuelle activée avec la mise en réseau accélérée.You will be able to add a TAP configuration on a network interface attached to a virtual machine that is enabled with accelerated networking. Mais l’ajout de la configuration TAP affecte les performances et la latence sur la machine virtuelle, car le déchargement pour la mise en miroir du trafic n’est actuellement pas prise en charge par la mise en réseau accélérée Azure.But the performance and latency on the virtual machine will be affected by adding TAP configuration since the offload for mirroring traffic is currently not supported by Azure accelerated networking.

Points de terminaison de service de réseau virtuelVirtual network service endpoints

Dans quel ordre faut-il effectuer les opérations pour configurer les points de terminaison d’un service Azure ?What is the right sequence of operations to set up service endpoints to an Azure service?

La sécurisation d’une ressource de service Azure avec des points de terminaison de service s’effectue en deux étapes :There are two steps to secure an Azure service resource through service endpoints:

  1. Activez les points de terminaison du service Azure.Turn on service endpoints for the Azure service.
  2. Configurez les ACL de réseau virtuel sur le service Azure.Set up VNet ACLs on the Azure service.

La première étape est une opération qui s’effectue côté réseau et la deuxième côté ressources de service.The first step is a network side operation and the second step is a service resource side operation. Ces deux étapes peuvent être effectuées par le même administrateur ou par des administrateurs différents en fonction des autorisations RBAC accordées au rôle d’administrateur.Both steps can be performed either by the same administrator or different administrators based on the RBAC permissions granted to the administrator role. Nous vous recommandons d’activer les points de terminaison de service pour votre réseau virtuel avant de configurer les ACL du réseau virtuel côté service Azure.We recommend that you first turn on service endpoints for your virtual network prior to setting up VNet ACLs on Azure service side. Ces étapes doivent donc être effectuées dans l’ordre indiqué ci-dessus pour configurer les points de terminaison de service de réseau virtuel.Hence, the steps must be performed in the sequence listed above to set up VNet service endpoints.

Notes

Vous ne pouvez pas limiter l’accès au service Azure au réseau virtuel et sous-réseau autorisés avant d’avoir effectué les deux opérations ci-dessus.Both the operations described above must be completed before you can limit the Azure service access to the allowed VNet and subnet. La simple activation des points de terminaison du service Azure côté réseau ne vous permet pas de définir un accès limité.Only turning on service endpoints for the Azure service on the network side does not provide you the limited access. En outre, vous devez également configurer les ACL du réseau virtuel côté service Azure.In addition, you must also set up VNet ACLs on the Azure service side.

Certains services (comme SQL et CosmosDB) autorisent des exceptions à la séquence ci-dessus avec l’indicateur IgnoreMissingVnetServiceEndpoint.Certain services (such as SQL and CosmosDB) allow exceptions to the above sequence through the IgnoreMissingVnetServiceEndpoint flag. Une fois l’indicateur défini sur True, les ACL du réseau virtuel peuvent être définies côté service Azure avant la configuration des points de terminaison de service côté réseau.Once the flag is set to True, VNet ACLs can be set on the Azure service side prior to setting up the service endpoints on the network side. Les services Azure fournissent cet indicateur pour aider les clients lorsque des pare-feu IP spécifiques sont configurés sur les services Azure et que l’activation des points de terminaison de service côté réseau peut entraîner une baisse de connectivité, car l’adresse IP source passe d’une adresse IPv4 publique à une adresse privée.Azure services provide this flag to help customers in cases where the specific IP firewalls are configured on Azure services and turning on the service endpoints on the network side can lead to a connectivity drop since the source IP changes from a public IPv4 address to a private address. La configuration des ACL du réseau virtuel sur le service Azure avant la définition des points de terminaison de service côté réseau peut éviter une baisse de connectivité.Setting up VNet ACLs on the Azure service side before setting service endpoints on the network side can help avoid a connectivity drop.

Tous les services Azure résident-ils sur le réseau virtuel Azure fourni par le client ?Do all Azure services reside in the Azure virtual network provided by the customer? Comment le point de terminaison de service du réseau virtuel fonctionne-t-il avec les services Azure ?How does VNet service endpoint work with Azure services?

Non, tous les services Azure ne résident pas sur le réseau virtuel du client.No, not all Azure services reside in the customer's virtual network. La majorité des services de données Azure comme le Stockage Azure, Azure SQL et Azure Cosmos DB sont des services mutualisés qui sont accessibles par le biais d’adresses IP publiques.The majority of Azure data services such as Azure Storage, Azure SQL, and Azure Cosmos DB, are multi-tenant services that can be accessed over public IP addresses. Vous pouvez en savoir plus sur l’intégration d’un réseau virtuel pour les services Azure ici.You can learn more about virtual network integration for Azure services here.

Lorsque vous utilisez la fonctionnalité de points de terminaison de service de réseau virtuel (activation du point de terminaison de service du réseau virtuel côté réseau et configuration des ACL de réseau virtuel appropriées côté service Azure), l’accès à un service Azure est restreint au réseau virtuel et sous-réseau autorisés.When you use the VNet service endpoints feature (turning on VNet service endpoint on the network side and setting up appropriate VNet ACLs on the Azure service side), access to an Azure service is restricted from an allowed VNet and subnet.

Comment le point de terminaison de service de réseau virtuel garantit-il la sécurité ?How does VNet service endpoint provide security?

La fonctionnalité de point de terminaison de service de réseau virtuel (activation du point de terminaison de service du réseau virtuel côté réseau et configuration des ACL de réseau virtuel appropriées côté service Azure) limite l’accès au service Azure au réseau virtuel et au sous-réseau autorisés, assurant la sécurité et l’isolation du trafic du service Azure au niveau du réseau.The VNet service endpoint feature (turning on VNet service endpoint on the network side and setting up appropriate VNet ACLs on the Azure service side) limits the Azure service access to the allowed VNet and subnet, thus providing a network level security and isolation of the Azure service traffic. Tout le trafic utilisant les points de terminaison de réseau virtuel traverse le segment principal Microsoft, ce qui offre une couche supplémentaire permettant de l’isoler de l’Internet public.All traffic using VNet service endpoints flows over Microsoft backbone, thus providing another layer of isolation from the public internet. En outre, les clients peuvent choisir de supprimer complètement un accès à l’Internet public aux ressources de service Azure et d’autoriser le trafic uniquement à partir de leur réseau virtuel via une combinaison de pare-feu IP et d’ACL de réseau virtuel, protégeant ainsi les ressources de service Azure contre un accès non autorisé.Moreover, customers can choose to fully remove public Internet access to the Azure service resources and allow traffic only from their virtual network through a combination of IP firewall and VNet ACLs, thus protecting the Azure service resources from unauthorized access.

Quels éléments le point de terminaison de service du réseau virtuel protège-t-il ? Les ressources du réseau virtuel ou le service Azure ?What does the VNet service endpoint protect - VNet resources or Azure service?

Les points de terminaison de service de réseau virtuel permettent de protéger les ressources de service Azure.VNet service endpoints help protect Azure service resources. Les ressources de réseau virtuel sont protégées via les groupes de sécurité réseau (NSG).VNet resources are protected through Network Security Groups (NSGs).

Quel est le coût d’utilisation des points de terminaison de service de réseau virtuel ?Is there any cost for using VNet service endpoints?

Aucun. L’utilisation des points de terminaison de service de réseau virtuel n’entraîne aucuns frais supplémentaires.No, there is no additional cost for using VNet service endpoints.

Puis-je activer les points de terminaison de service de réseau virtuel et définir des ACL de réseau virtuel si le réseau virtuel et les ressources de service Azure appartiennent à différents abonnements ?Can I turn on VNet service endpoints and set up VNet ACLs if the virtual network and the Azure service resources belong to different subscriptions?

Oui, vous pouvez.Yes, it is possible. Les réseaux virtuels et les ressources du service Azure peuvent être dans des abonnements identiques ou différents.Virtual networks and Azure service resources can be either in the same or different subscriptions. La seule condition est que le réseau virtuel et les ressources de service Azure se trouvent sous le même client Active Directory (AD).The only requirement is that both the virtual network and Azure service resources must be under the same Active Directory (AD) tenant.

Puis-je activer les points de terminaison de service de réseau virtuel et définir des ACL de réseau virtuel si le réseau virtuel et les ressources de service Azure appartiennent à différents clients AD ?Can I turn on VNet service endpoints and set up VNet ACLs if the virtual network and the Azure service resources belong to different AD tenants?

Non, les points de terminaison de service de réseau virtuel et les ACL de réseau virtuel ne sont pas pris en charge sur des clients AD distincts.No, VNet service endpoints and VNet ACLs are not supported across AD tenants.

L’adresse IP d’un appareil local connecté par le biais de la passerelle ExpressRoute ou de la passerelle Réseau virtuel Azure (VPN) peut-elle accéder au service Azure PaaS via des points de terminaison de service de réseau virtuel ?Can an on-premises device’s IP address that is connected through Azure Virtual Network gateway (VPN) or ExpressRoute gateway access Azure PaaS Service over VNet service endpoints?

Par défaut, les ressources du service Azure sécurisées pour des réseaux virtuels ne sont pas accessibles à partir des réseaux locaux.By default, Azure service resources secured to virtual networks are not reachable from on-premises networks. Si vous souhaitez autoriser le trafic depuis un réseau local, vous devez également autoriser les adresses IP publiques (généralement NAT) à partir de vos circuits locaux ou ExpressRoute.If you want to allow traffic from on-premises, you must also allow public (typically, NAT) IP addresses from your on-premises or ExpressRoute. Ces adresses IP peuvent être ajoutées via la configuration du pare-feu IP des ressources du service Azure.These IP addresses can be added through the IP firewall configuration for the Azure service resources.

Puis-je utiliser la fonctionnalité de point de terminaison de service de réseau virtuel pour sécuriser un service Azure pour plusieurs sous-réseaux au sein d’un réseau virtuel ou sur plusieurs réseaux virtuels ?Can I use VNet Service Endpoint feature to secure Azure service to multiple subnets within a virtual network or across multiple virtual networks?

Pour sécuriser les services Azure pour plusieurs sous-réseaux au sein d’un réseau virtuel ou sur plusieurs réseaux virtuels, activez les points de terminaison de service côté réseau sur chacun des sous-réseaux indépendamment et sécurisez les ressources de service Azure pour l’ensemble des sous-réseaux en configurant les ACL de réseau virtuel appropriées côté service Azure.To secure Azure services to multiple subnets within a virtual network or across multiple virtual networks, enable service endpoints on the network side on each of the subnets independently and then secure Azure service resources to all of the subnets by setting up appropriate VNet ACLs on the Azure service side.

Comment puis-je filtrer le trafic sortant d’un réseau virtuel vers les services Azure en continuant d’utiliser les points de terminaison de service ?How can I filter outbound traffic from a virtual network to Azure services and still use service endpoints?

Si vous souhaitez inspecter ou filtrer le trafic destiné à un service Azure à partir d’un réseau virtuel, vous pouvez déployer une appliance virtuelle réseau au sein du réseau virtuel.If you want to inspect or filter the traffic destined to an Azure service from a virtual network, you can deploy a network virtual appliance within the virtual network. Vous pouvez ensuite appliquer des points de terminaison de service au sous-réseau sur lequel est déployée l’appliance virtuelle réseau et sécuriser les ressources de service Azure uniquement pour ce sous-réseau via des ACL de réseau virtuel.You can then apply service endpoints to the subnet where the network virtual appliance is deployed and secure Azure service resources only to this subnet through VNet ACLs. Ce scénario peut également être utile si vous souhaitez restreindre l’accès aux services Azure à partir de votre réseau virtuel uniquement pour des ressources Azure spécifiques, à l’aide du filtrage de l’appliance virtuelle réseau.This scenario might also be helpful if you wish to restrict Azure service access from your virtual network only to specific Azure resources using network virtual appliance filtering. Pour plus d’informations, consultez la section relative à la sortie avec les appliances virtuelles réseau.For more information, see egress with network virtual appliances.

Que se passe-t-il quand vous accédez à un compte de service Azure qui a une ACL de réseau virtuel activée à partir d’un emplacement extérieur au réseau virtuel ?What happens when you access an Azure service account that has a virtual network access control list (ACL) enabled from outside the VNet?

L’erreur HTTP 403 ou HTTP 404 est retournée.The HTTP 403 or HTTP 404 error is returned.

Les sous-réseaux d’un réseau virtuel créés dans des régions différentes sont-ils autorisés à accéder à un compte de service Azure dans une autre région ?Are subnets of a virtual network created in different regions allowed to access an Azure service account in another region?

Oui, pour la plupart des services Azure, les réseaux virtuels créés dans différentes régions peuvent accéder aux services Azure dans une autre région via les points de terminaison de service de réseau virtuel.Yes, for most of the Azure services, virtual networks created in different regions can access Azure services in another region through the VNet service endpoints. Par exemple, si un compte Azure Cosmos DB se trouve dans la région USA Ouest ou USA Est et si les réseaux virtuels se trouvent dans plusieurs régions, le réseau virtuel peut accéder à Azure Cosmos DB.For example, if an Azure Cosmos DB account is in West US or East US and virtual networks are in multiple regions, the virtual network can access Azure Cosmos DB. Le Stockage et SQL sont des exceptions, car ils sont régionaux par nature. Le réseau virtuel et le service Azure doivent se trouver dans la même région.Storage and SQL are exceptions and are regional in nature and both the virtual network and the Azure service need to be in the same region.

Un service Azure peut-il avoir une ACL de réseau virtuel et un pare-feu IP ?Can an Azure service have both a VNet ACL and an IP firewall?

Oui, une ACL de réseau virtuel et un pare-feu IP peuvent coexister.Yes, a VNet ACL and an IP firewall can co-exist. Ces deux fonctionnalités se complètent pour garantir isolation et sécurité.Both features complement each other to ensure isolation and security.

Que se passe-t-il si l’on supprime un réseau virtuel ou un sous-réseau ayant un point de terminaison de service activé pour le service Azure ?What happens if you delete a virtual network or subnet that has service endpoint turned on for Azure service?

La suppression des réseaux virtuels et des sous-réseaux est une opération indépendante prise en charge même lorsque des points de terminaison de service sont activés pour les services Azure.Deletion of VNets and subnets are independent operations and are supported even when service endpoints are turned on for Azure services. Quand les services Azure sont configurés avec des ACL de réseau virtuel, pour les réseaux virtuels et sous-réseaux concernés, les informations des ACL de réseau virtuel associées à ce service Azure sont désactivées en cas de suppression d’un réseau virtuel ou sous-réseau disposant d’un point de terminaison de service de réseau virtuel activé.In cases where the Azure services have VNet ACLs set up, for those VNets and subnets, the VNet ACL information associated with that Azure service is disabled when a VNet or subnet that has VNet service endpoint turned on is deleted.

Que se passe-t-il si l’on supprime un compte de service Azure qui a un point de terminaison de service de réseau virtuel activé ?What happens if an Azure service account that has a VNet Service endpoint enabled is deleted?

La suppression d’un compte de service Azure est une opération indépendante prise en charge même si le point de terminaison de service est activé côté réseau et que des ACL de réseau virtuel sont configurées côté service Azure.The deletion of an Azure service account is an independent operation and is supported even when the service endpoint is enabled on the network side and VNet ACLs are set up on Azure service side.

Qu’arrive-t-il à l’adresse IP source d’une ressource (comme une machine virtuelle sur un sous-réseau) ayant un point de terminaison de service de réseau virtuel activé ?What happens to the source IP address of a resource (like a VM in a subnet) that has VNet service endpoint enabled?

Quand des points de terminaison de service de réseau virtuel sont activés, les adresses IP sources des ressources du sous-réseau de votre réseau virtuel n’utilisent plus des adresses IPV4 publiques mais des adresses IP privées sur le réseau virtuel Azure pour le trafic vers le service Azure.When virtual network service endpoints are enabled, the source IP addresses of the resources in your virtual network's subnet switches from using public IPV4 addresses to the Azure virtual network's private IP addresses for traffic to Azure service. Notez que cela peut entraîner la panne de pare-feux IP spécifiques préalablement configurés sur une adresse IPV4 publique sur les services Azure.Note that this can cause specific IP firewalls that are set to public IPV4 address earlier on the Azure services to fail.

La route du point de terminaison de service est-elle toujours prioritaire ?Does the service endpoint route always take precedence?

Les points de terminaison de service ajoutent une route système prioritaire sur les routes BGP et offrent un routage optimal pour le trafic de point de terminaison de service.Service endpoints add a system route which takes precedence over BGP routes and provides optimum routing for the service endpoint traffic. Les points de terminaison de service acheminent toujours le trafic de service directement à partir de votre réseau virtuel vers le service sur le réseau principal de Microsoft Azure.Service endpoints always take service traffic directly from your virtual network to the service on the Microsoft Azure backbone network. Pour en savoir plus sur la façon dont Azure sélectionne un itinéraire, voir Routage du trafic de réseau virtuel Azure.For more information about how Azure selects a route, see Azure Virtual network traffic routing.

Comment le groupe de sécurité réseau d’un sous-réseau fonctionne-t-il avec les points de terminaison de service ?How does NSG on a subnet work with service endpoints?

Pour atteindre le service Azure, les groupes de sécurité réseau doivent autoriser la connectivité sortante.To reach the Azure service, NSGs need to allow outbound connectivity. Si vos groupes de sécurité réseau sont ouverts à tout le trafic Internet sortant, le trafic de point de terminaison de service doit fonctionner.If your NSGs are opened to all Internet outbound traffic, then the service endpoint traffic should work. Vous pouvez également limiter le trafic sortant aux adresses IP de service en utilisant uniquement les balises de service.You can also limit the outbound traffic to service IPs only using the Service tags.

De quelles autorisations ai-je besoin pour configurer des points de terminaison de service ?What permissions do I need to set up service endpoints?

Les points de terminaison de service peuvent être configurés indépendamment sur un réseau virtuel par un utilisateur avec accès en écriture au réseau virtuel.Service endpoints can be configured on a virtual network independently by a user with write access to the virtual network. Pour sécuriser les ressources du service Azure pour un réseau virtuel, l’utilisateur doit disposer des autorisations sur Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action pour les sous-réseaux à ajouter.To secure Azure service resources to a VNet, the user must have permission Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action for the subnets being added. Cette autorisation est incluse par défaut dans le rôle d’administrateur de service intégré et peut être modifiée en créant des rôles personnalisés.This permission is included in the built-in service administrator role by default and can be modified by creating custom roles. Apprenez-en davantage sur les rôles intégrés et l’affectation d’autorisations spécifiques aux rôles personnalisés.Learn more about built-in roles and assigning specific permissions to custom roles.

Puis-je filtrer le trafic de réseau virtuel vers les services Azure, en autorisant uniquement des ressources de service Azure spécifiques, sur les points de terminaison de service ?Can I filter virtual network traffic to Azure services, allowing only specific azure service resources, over VNet service endpoints?

Les stratégies de points de terminaison de service de réseau virtuel permettent de filtrer le trafic de réseau virtuel vers les services Azure, en autorisant uniquement des ressources de service Azure spécifiques, sur les points de terminaison de service.Virtual network (VNet) service endpoint policies allow you to filter virtual network traffic to Azure services, allowing only specific Azure service resources over the service endpoints. Les stratégies de points de terminaison fournissent un contrôle d’accès granulaire du trafic de réseau virtuel vers les services Azure.Endpoint policies provide granular access control from the virtual network traffic to the Azure services. Plus d’informations sur les stratégies de point de terminaison de service sont disponibles ici.You can learn more about the service endpoint policies here.

Le logiciel Azure Active Directory (Azure AD) prend-il en charge les points de terminaison de service du réseau virtuel ?Does Azure Active Directory (Azure AD) support VNet service endpoints?

Azure Active Directory (Azure AD) ne prend pas en charge les points de terminaison de service en mode natif.Azure Active Directory (Azure AD) doesn't support service endpoints natively. La liste complète des services Azure prenant en charge les points de terminaison de service du réseau virtuel est accessible ici.Complete list of Azure Services supporting VNet service endpoints can be seen here. Notez que la balise « Microsoft.AzureActiveDirectory » indiquée sous les services prenant en charge les points de terminaison de service est utilisée pour gérer ces derniers dans ADLS génération 1.Note that the "Microsoft.AzureActiveDirectory" tag listed under services supporting service endpoints is used for supporting service endpoints to ADLS Gen 1. Pour ADLS génération 1, l’intégration au réseau virtuel dans Azure Data Lake Storage Gen1 fait appel à la sécurité des points de terminaison de service de réseau virtuel entre votre réseau virtuel et Azure Active Directory (Azure AD) afin de générer des revendications de sécurité supplémentaires dans le jeton d’accès.For ADLS Gen 1, virtual network integration for Azure Data Lake Storage Gen1 makes use of the virtual network service endpoint security between your virtual network and Azure Active Directory (Azure AD) to generate additional security claims in the access token. Ces revendications permettent ensuite d’authentifier votre réseau virtuel à votre compte Data Lake Storage Gen1 et d’y accéder.These claims are then used to authenticate your virtual network to your Data Lake Storage Gen1 account and allow access. Découvrir plus d’informations sur l’intégration de réseau virtuel dans Azure Data Lake Storage Gen1Learn more about Azure Data Lake Store Gen 1 VNet Integration

Le nombre de points de terminaison de service de réseau virtuel que je peux configurer à partir de mon réseau virtuel est-il limité ?Are there any limits on how many VNet service endpoints I can set up from my VNet?

Il n’existe aucune limite sur le nombre total de points de terminaison de service de réseau virtuel dans un réseau virtuel.There is no limit on the total number of VNet service endpoints in a virtual network. Pour une ressource de service Azure (par exemple, un compte de stockage Azure), les services peuvent appliquer des limites sur le nombre de sous-réseaux utilisés pour la sécurisation de la ressource.For an Azure service resource (such as an Azure Storage account), services may enforce limits on the number of subnets used for securing the resource. Le tableau suivant présente des exemples des limites qui s’appliquent :The following table shows some example limits:

Service AzureAzure service Limites sur les règles de réseau virtuelLimits on VNet rules
Stockage AzureAzure Storage 100100
Azure SQLAzure SQL 128128
Azure SQL Data WarehouseAzure SQL Data Warehouse 128128
Azure KeyVaultAzure KeyVault 127127
Azure Cosmos DBAzure Cosmos DB 6464
Azure Event HubAzure Event Hub 128128
Azure Service BusAzure Service Bus 128128
Azure Data Lake Store V1Azure Data Lake Store V1 100100

Notes

Les limites sont sujettes à modifications à la discrétion du service Azure.The limits are subjected to changes at the discretion of the Azure service. Reportez-vous à la documentation correspondante pour en savoir plus sur chaque service.Refer to the respective service documentation for services details.