Configurer une connexion de passerelle VPN de réseau virtuel à réseau virtuel – Portail Azure

  • Article

Cet article vous explique comment connecter des réseaux virtuels avec une connexion de réseau virtuel à réseau virtuel à l’aide du portail Azure. Les réseaux virtuels peuvent se trouver dans différentes régions et sous différents abonnements. Lorsque vous connectez des réseaux virtuels provenant de différents abonnements, les abonnements ne sont pas tenus d’être associés au même locataire. Ce type de configuration crée une connexion entre deux passerelles de réseau virtuel. Cet article ne s’applique pas au peering de réseaux virtuels. Pour le peering de réseaux virtuels, consultez l’article Peering de réseaux virtuels.

VNet to VNet diagram.

Vous pouvez créer cette configuration à l’aide de divers outils, en fonction du modèle de déploiement de votre réseau virtuel. Les étapes mentionnées dans cet article s’appliquent au modèle de déploiement Azure Resource Manager et au portail Azure. Pour basculer vers un autre modèle de déploiement ou une autre méthode de déploiement, utilisez la liste déroulante.

À propos de la connexion de réseaux virtuels

Les sections ci-dessous décrivent les différentes manières de se connecter à des réseaux virtuels.

Connexion entre deux réseaux virtuels

La configuration d’une connexion de réseau virtuel à réseau virtuel est un moyen simple de se connecter à des réseaux virtuels. La connexion entre deux réseaux virtuels est semblable à la création d’une connexion IPsec de site à site dans un emplacement local. Ces deux types de connectivité font appel à une passerelle VPN pour offrir un tunnel sécurisé avec Ipsec/IKE et communiquent de la même façon. Toutefois, ils diffèrent en termes de configuration de la passerelle réseau locale.

Lorsque vous créez une connexion de réseau virtuel à réseau virtuel, l’espace d’adressage de la passerelle réseau locale est automatiquement créé et renseigné. Si vous mettez à jour l’espace d’adressage pour un réseau virtuel, l’autre réseau virtuel achemine automatiquement le trafic vers le nouvel espace d’adressage. Il est généralement plus rapide et plus simple de créer une connexion de réseau virtuel à réseau virtuel qu'une connexion de site à site. Néanmoins, la passerelle de réseau local n’est pas visible dans cette configuration.

  • Si vous savez que vous voulez spécifier davantage d’espaces d’adressages pour la passerelle de réseau local, ou si vous envisagez d’ajouter ultérieurement d’autres connexions et avez besoin d’ajuster la passerelle de réseau local, vous devez créer la configuration à l’aide des étapes de site à site.
  • La connexion de réseau virtuel à réseau virtuel n’inclut pas l’espace d’adressage du pool de clients de point à site. Si vous avez besoin d’un routage transitif pour les clients de point à site, créez une connexion de site à site entre les passerelles de réseau virtuel ou utilisez un peering de réseaux virtuels.

Site à site (IPsec)

Si vous travaillez avec une configuration réseau complexe, vous préférerez peut-être connecter vos réseaux virtuels à l’aide d'une connexion de site à site. Lorsque vous suivez les étapes IPsec de site à site, vous créez et configurez manuellement les passerelles réseau locales. La passerelle de réseau local pour chaque réseau virtuel traite l’autre réseau virtuel comme un site local. Ces étapes vous permettent de spécifier davantage d’espaces d’adressages pour la passerelle réseau locale afin d’acheminer le trafic. Si l’espace d’adressage pour un réseau virtuel est modifié, vous devez manuellement mettre à jour la passerelle réseau local correspondante.

Peering de réseaux virtuels

Vous pouvez également connecter vos réseaux virtuels à l’aide du peering de réseaux virtuels.

Pourquoi créer une connexion de réseau virtuel à réseau virtuel ?

Vous pouvez décider de connecter des réseaux virtuels à l’aide d’une connexion de réseau virtuel à réseau virtuel pour les raisons suivantes :

Géo-redondance et présence géographique dans plusieurs régions

  • Vous pouvez configurer la géoréplication ou la synchronisation avec une connectivité sécurisée sans passer par les points de terminaison accessibles sur Internet.
  • Avec Azure Traffic Manager et l’équilibreur de charge Azure, vous pouvez configurer une charge de travail hautement disponible avec la géo-redondance dans plusieurs régions Azure. Par exemple, vous pouvez définir des groupes de disponibilité SQL Server Always On dans plusieurs régions Azure.

Applications multiniveaux régionales avec limites d’isolement ou administratives

  • Dans la même région, vous pouvez configurer des applications multiniveaux avec plusieurs réseaux virtuels interconnectés pour des besoins d’isolement ou d’administration.

Vous pouvez combiner une communication de réseau virtuel à réseau virtuel avec des configurations multisites. Ces configurations vous permettent d’établir des topologies de réseau qui combinent une connectivité intersite et une connectivité entre réseaux virtuels, comme indiqué dans le schéma suivant :

VNet connections diagram.

Cet article explique comment connecter des réseaux virtuels avec une connexion de réseau virtuel à réseau virtuel. Lorsque vous suivez ces étapes dans le cadre d’un exercice, vous pouvez vous servir des valeurs des paramètres d’exemple suivantes. Dans l’exemple, les réseaux virtuels se trouvent dans le même abonnement, mais dans des groupes de ressources différents. Si vos réseaux virtuels existent dans des abonnements différents, vous ne pourrez pas créer la connexion dans le portail. Utilisez plutôt PowerShell ou CLI. Pour plus d’informations sur les connexions de réseau virtuel à réseau virtuel, consultez le Forum Aux Questions sur l’interconnexion de réseaux virtuels.

Exemples de paramètres

Valeurs pour VNet1 :

  • Paramètres de réseau virtuel

    • Name : VNet1
    • Espace d’adressage : 10.1.0.0/16
    • Abonnement: Sélectionnez l’abonnement que vous souhaitez utiliser.
    • Groupe de ressources : TestRG1
    • Emplacement : USA Est
    • Sous-réseau
      • Name : FrontEnd
      • Plage d’adresses : 10.1.0.0/24

  • Paramètres de passerelle de réseau virtuel

    • Name : VNet1GW
    • Groupe de ressources : USA Est
    • Génération : Génération 2
    • Type de passerelle : Sélectionnez VPN.
    • Type de VPN : sélectionnez Route-based.
    • Référence SKU : VpnGw2
    • Génération : Génération 2
    • Réseau virtuel : VNet1
    • Plage d’adresses de sous-réseau de la passerelle : 10.1.255.0/27
    • Adresse IP publique : Création
    • Nom de l’adresse IP publique : VNet1GWpip
    • Activer le mode actif/actif : désactivé
    • Configurer BGP : désactivé

  • Connection

    • Name : VNet1toVNet4
    • Clé partagée : Vous pouvez créer la clé partagée vous-même. Lorsque vous créez la connexion entre les réseaux virtuels, les valeurs doivent correspondre. Pour cet exercice, utilisez abc123.

Valeurs pour VNet4 :

  • Paramètres de réseau virtuel

    • Name : VNet4
    • Espace d’adressage : 10.41.0.0/16
    • Abonnement: Sélectionnez l’abonnement que vous souhaitez utiliser.
    • Groupe de ressources : TestRG4
    • Emplacement : USA Ouest
    • Sous-réseau
    • Name : FrontEnd
    • Plage d’adresses : 10.41.0.0/24

  • Paramètres de passerelle de réseau virtuel

    • Name : VNet4GW
    • Groupe de ressources : USA Ouest
    • Génération : Génération 2
    • Type de passerelle : Sélectionnez VPN.
    • Type de VPN : sélectionnez Route-based.
    • Référence SKU : VpnGw2
    • Génération : Génération 2
    • Réseau virtuel : VNet4
    • Plage d’adresses de sous-réseau de la passerelle : 10.41.255.0/27
    • Adresse IP publique : Création
    • Nom de l’adresse IP publique : VNet4GWpip
    • Activer le mode actif/actif : désactivé
    • Configurer BGP : désactivé

  • Connection

    • Name : VNet4toVNet1
    • Clé partagée : Vous pouvez créer la clé partagée vous-même. Lorsque vous créez la connexion entre les réseaux virtuels, les valeurs doivent correspondre. Pour cet exercice, utilisez abc123.

Créer et configurer VNet1

Si vous disposez déjà d’un réseau virtuel, vérifiez que les paramètres sont compatibles avec la conception de votre passerelle VPN, Accordez une attention particulière aux sous-réseaux qui pourraient chevaucher d’autres réseaux. Si vos sous-réseaux se chevauchent, votre connexion ne fonctionnera pas correctement.

Pour créer un réseau virtuel

Remarque

Lorsque vous utilisez un réseau virtuel dans le cadre d’une architecture intersite, veillez à coordonner avec votre administrateur réseau local pour créer une plage d’adresses IP que vous pouvez utiliser spécifiquement pour ce réseau virtuel. Si une plage d’adresses en double existe des deux côtés de la connexion VPN, le trafic sera acheminé de manière inattendue. En outre, si vous souhaitez connecter ce réseau virtuel à un autre réseau virtuel, l’espace d’adressage ne peut pas chevaucher l’autre réseau virtuel. Planifiez votre configuration réseau en conséquence.

  1. Connectez-vous au portail Azure.

  2. Dans recherche de ressources, de service et de documents (G+/) en haut de la page du portail, entrez réseau virtuel. Sélectionnez Réseau virtuel dans les résultats de recherche Place de marché pour ouvrir la page Réseau virtuel.

  3. Dans la page Réseau virtuel, sélectionnez Créer pour ouvrir la page Créer un réseau virtuel.

  4. Sous l’onglet De base, configurez les paramètres de réseau virtuel pour Détails du projet et Détails de l’instance. Une coche verte s’affiche lorsque les valeurs que vous entrez sont validées. Vous pouvez ajuster les valeurs affichées dans l’exemple en fonction des paramètres dont vous avez besoin.

    Screenshot that shows the Basics tab.

    • Abonnement: vérifiez que l’abonnement listé est approprié. Vous pouvez modifier les abonnements à l’aide de la zone de liste déroulante.
    • Groupe de ressources : sélectionnez un groupe de ressources existant ou sélectionnez Créer pour en créer un. Pour plus d’informations sur les groupes de ressources, consultez Vue d’ensemble d’Azure Resource Manager.
    • Name : entrez le nom du réseau virtuel.
    • Région : sélectionnez l’emplacement de votre réseau virtuel. L’emplacement détermine l’emplacement où les ressources que vous déployez sur ce réseau virtuel seront actives.

  5. Sélectionnez Suivant ou Sécurité pour accéder à l’onglet Sécurité. Pour cet exercice, conservez les valeurs par défaut pour tous les services de cette page.

  6. Sélectionnez Adresses IP pour accéder à l’onglet Adresses IP. Sous l’onglet Adresses IP, configurez les paramètres.

    • Espace d’adressage IPv4 : Un espace d’adressage est créé automatiquement par défaut. Vous pouvez sélectionner l’espace d’adressage et le définir selon vos propres valeurs. Vous pouvez également ajouter un autre espace d’adressage et supprimer la valeur par défaut créée automatiquement. Par exemple, vous pouvez spécifier l’adresse de départ 10.1.0.0 et spécifier /16 pour la taille de l’espace d’adressage. Sélectionnez ensuite Ajouter pour ajouter cet espace d’adressage.

    • + Ajouter un sous-réseau : si vous utilisez l’espace d’adressage par défaut, un sous-réseau par défaut est créé automatiquement. Si vous modifiez l’espace d’adressage, ajoutez un nouveau sous-réseau dans cet espace d’adressage. Sélectionnez + Ajouter un sous-réseau pour ouvrir la fenêtre Ajouter un sous-réseau. Configurez les paramètres suivants, puis sélectionnez Ajouter en bas de la page pour ajouter les valeurs.

      • Nom de sous-réseau : par exemple FrontEnd.
      • Plage d’adresses de sous-réseau : plage d’adresses de ce sous-réseau. Par exemple 10.1.0.0 et /24.

  7. Passez en revue la page Adresses IP, puis supprimez les espaces d’adressage ou les sous-réseaux dont vous n’avez pas besoin.

  8. Sélectionnez Vérifier + créer pour vérifier les paramètres de réseau virtuel.

  9. Une fois les paramètres validés, sélectionnez Créer pour créer le réseau virtuel.

Créer la passerelle VNet1

Dans cette étape, vous créez la passerelle de réseau virtuel de votre réseau virtuel. La création d’une passerelle nécessite généralement au moins 45 minutes, selon la référence SKU de passerelle sélectionnée. Pour connaître la tarification des références SKU de passerelle, consultez Tarification. Si vous créez cette configuration dans le cadre d’un exercice, consultez les Exemples de paramètres.

La passerelle de réseau virtuel nécessite un sous-réseau spécifique nommé GatewaySubnet. Le sous-réseau de passerelle fait partie de la plage d’adresses IP de votre réseau virtuel et contient les adresses IP utilisées par les ressources et services de passerelle de réseau virtuel.

Lorsque vous créez le sous-réseau de passerelle, vous spécifiez le nombre d’adresses IP que contient le sous-réseau. Le nombre d’adresses IP requises varie selon la configuration de la passerelle VPN que vous souhaitez créer. Certaines configurations nécessitent plus d’adresses IP que d’autres. Il est préférable de spécifier /27 ou supérieur (/26,/25, etc.) pour votre sous-réseau de passerelle.

Si vous voyez une erreur qui spécifie que l’espace d’adressage se chevauche avec un sous-réseau ou que le sous-réseau n’est pas contenu dans l’espace d’adressage de votre réseau virtuel, vérifiez votre plage d’adresses de réseau virtuel. Vous n’avez peut-être pas suffisamment d’adresses IP disponibles dans la plage d’adresses que vous avez créée pour votre réseau virtuel. Par exemple, si votre sous-réseau par défaut englobe l’ensemble de la plage d’adresses, aucune adresse IP n’est laissée pour créer d’autres sous-réseaux. Vous pouvez ajuster vos sous-réseaux dans l’espace d’adressage existant pour libérer des adresses IP ou spécifier une autre plage d’adresses et y créer le sous-réseau de passerelle.

Pour créer une passerelle de réseau virtuel

  1. Dans rechercher des ressources, des services et des documents (G+/), entrez passerelle de réseau virtuel. Recherchez passerelle de réseau virtuel dans les résultats de recherche Place de marché et sélectionnez-la pour ouvrir la page Créer une passerelle de réseau virtuel.

    Screenshot that shows the Search field.

  2. Sous l’onglet Général, renseignez les valeurs pour Détails du projet et Détails de l’instance.

    Screenshot that shows the Instance fields.

    • Abonnement : sélectionnez l’abonnement que vous souhaitez utiliser dans la liste déroulante.

    • Groupe de ressources : ce paramètre est renseigné automatiquement quand vous sélectionnez votre réseau virtuel sur cette page.

    • Name : Nommez votre passerelle. Le nommage de votre passerelle n’est pas identique au nommage d’un sous-réseau de passerelle. Il s’agit du nom de l’objet passerelle que vous créez.

    • Région : Sélectionnez la région où vous voulez créer cette ressource. La région de la passerelle doit être la même que celle du réseau virtuel.

    • Type de passerelle : Sélectionnez VPN. Les passerelles VPN utilisent le type de passerelle de réseau virtuel VPN.

    • Référence SKU : dans la liste déroulante, sélectionnez la référence SKU de passerelle qui prend en charge les fonctionnalités que vous souhaitez utiliser. Consultez SKU de passerelle. Dans le portail, les références SKU disponibles dans la liste déroulante dépendent du VPN type que vous sélectionnez. La référence SKU de base peut être configurée seulement avec Azure CLI ou PowerShell. Vous ne pouvez pas configurer la référence SKU de base dans le portail Azure.

    • Génération : sélectionnez la génération que vous voulez utiliser. Nous vous recommandons d’utiliser une référence SKU Génération2. Pour plus d’informations, consultez l’article Références (SKU) de passerelle.

    • Réseau virtuel : dans la liste déroulante, sélectionnez le réseau virtuel auquel vous souhaitez ajouter cette passerelle. Si vous ne voyez pas le réseau virtuel pour lequel vous souhaitez créer une passerelle, vérifiez que vous avez sélectionné l’abonnement et la région appropriés dans les paramètres précédents.

    • Plage d’adresses de sous-réseau de passerelle ou Sous-réseau : le sous-réseau de passerelle est requis pour créer une passerelle VPN.

      À ce stade, ce champ a deux comportements différents, selon l’espace d’adressage du réseau virtuel et si vous avez déjà créé un sous-réseau nommé GatewaySubnet pour votre réseau virtuel.

      Si vous n’avez pas de sous-réseau de passerelle et que vous ne voyez pas l’option pour en créer une sur cette page, revenez à votre réseau virtuel et créez le sous-réseau de passerelle. Revenez ensuite à cette page et configurez la passerelle VPN.

  1. Spécifiez les valeurs d’Adresse IP publique. Ces paramètres spécifient l’objet d’adresse IP publique associé à la passerelle VPN. L’adresse IP publique est attribuée à cet objet pendant la création de la passerelle VPN. L’adresse IP publique primaire change uniquement lorsque la passerelle est supprimée, puis recréée. Elle n’est pas modifiée lors du redimensionnement, de la réinitialisation ou des autres opérations de maintenance/mise à niveau internes de votre passerelle VPN.

    Screenshot that shows the Public IP address field.

    • Type d’adresse IP publique : pour cet exercice, sélectionnez Standard si vous avez la possibilité de choisir le type d’adresse.
    • Adresse IP publique : Laissez l’option Créer sélectionnée.
    • Nom de l’adresse IP publique : dans la zone de texte, entrez un nom pour votre instance d’adresse IP publique.
    • SKU d’adresse IP publique : le paramètre est sélectionné automatiquement.
    • Affectation : l’affectation est généralement sélectionnée automatiquement et peut être Dynamique ou Statique.
    • Activer le mode Actif-Actif : sélectionnez Désactivé. Activez ce paramètre uniquement si vous créez une configuration de passerelle active-active.
    • Configurer BGP : sélectionnez Désactivé, sauf si votre configuration nécessite précisément ce paramètre. Si vous avez besoin de ce paramètre, la valeur par défaut ASN est 65515, même si vous pouvez la changer.

  2. Sélectionnez Vérifier + créer pour exécuter la validation.

  3. Une fois la validation réussie, sélectionnez Créer pour déployer la passerelle VPN.

Vous pouvez voir l’état du déploiement dans la page Vue d’ensemble pour votre passerelle. La création et le déploiement complets d’une passerelle peuvent prendre 45 minutes ou plus. Une fois la passerelle créée, examinez le réseau virtuel dans le portail pour obtenir l’adresse IP affectée à la passerelle. Cette dernière apparaît sous la forme d’un appareil connecté.

Important

Lorsque vous travaillez avec des sous-réseaux de passerelle, évitez d’associer un groupe de sécurité réseau (NSG) au sous-réseau de passerelle. Associer un groupe de sécurité réseau à ce sous-réseau peut empêcher votre passerelle de réseau virtuel (passerelles VPN et ExpressRoute) de fonctionner comme prévu. Pour plus d’informations sur les groupes de sécurité réseau, consultez Présentation du groupe de sécurité réseau ?.

Créer et configurer VNet4

Après avoir configuré VNet1, créez VNet4 et la passerelle VNet4 en répétant les étapes précédentes et en remplaçant les valeurs par les valeurs de VNet4. Vous n’avez pas besoin d’attendre que la création de la passerelle de réseau virtuel pour VNet1 soit terminée pour configurer VNet4. Si vous utilisez vos propres valeurs, assurez-vous que les espaces d’adressage ne chevauchent pas les réseaux virtuels auxquels vous souhaitez vous connecter.

Configurer vos connexions

Lorsque les passerelles réseau virtuelles pour VNet1 et VNet4 sont terminées, vous pouvez créer vos connexions de passerelle réseau virtuelles.

Les réseaux virtuels dans le même abonnement peuvent être connectés à l’aide du portail, même s’ils se trouvent dans des groupes de ressources différents. Toutefois, si vos réseaux virtuels sont dans des abonnements différents, vous devez utiliser PowerShell pour établir la connexion.

Vous pouvez créer une connexion bidirectionnelle ou monodirectionnelle. Pour cet exercice, nous allons spécifier une connexion bidirectionnelle. La valeur de connexion bidirectionnelle crée deux connexions distinctes afin que le trafic puisse circuler dans les deux directions.

  1. Dans le portail, accédez à VNet1GW.

  2. Dans la page de la passerelle de réseau virtuel, accédez à Connexions. Sélectionnez +Ajouter.

    Screenshot showing the connections page.

  3. Dans la page Créer une connexion, renseignez les valeurs de la connexion.

    Screenshot showing the Create Connection page.

    • Type de connexion : Sélectionnez Réseau virtuel à réseau virtuel dans la liste déroulante.
    • Établir une connectivité bidirectionnelle : sélectionnez cette valeur
    • Nom de la première connexion : VNet1 à VNet4
    • Deuxième nom de connexion : VNet4 à VNet1
    • Région : USA Est (région pour VNet1GW)

  4. Cliquez sur Suivant : Paramètres > en bas de la page pour passer à la page Paramètres.

  5. Dans la page Paramètres, spécifiez les valeurs suivantes :

    • Première passerelle réseau virtuelle : sélectionnez VNet1GW dans la liste déroulante.
    • Deuxième passerelle réseau virtuelle : sélectionnez VNet4GW dans la liste déroulante.
    • Clé partagée : Dans ce champ, entrez une clé partagée pour votre connexion. Vous pouvez générer ou créer cette clé vous-même. Dans une connexion de site à site, la clé que vous utilisez est exactement la même pour votre appareil local et votre connexion de passerelle de réseau virtuel. Le concept est similaire, sauf qu’au lieu de se connecter à un périphérique VPN, vous vous connectez à une autre passerelle de réseau virtuel.
    • Protocole IKE : IKEv2

  6. Pour cet exercice, vous pouvez laisser les autres paramètres comme valeurs par défaut.

  7. Sélectionnez Vérifier + créer, puis Créer pour valider et créer vos connexions.

Vérifiez vos connexions

  1. Recherchez la passerelle de réseau virtuel dans le portail Azure. Par exemple, VNet1GW

  2. Sur la page Passerelle de réseau virtuel, sélectionnez Connexion pour afficher la page Connexion de la passerelle de réseau virtuel. Une fois la connexion établie, la valeur d’État devient Connecté.

    Screenshot connection status.

  3. Dans la colonne Nom, sélectionnez l’une des connexions pour afficher plus d’informations. Lorsque les données commencent à circuler, des valeurs apparaissent pour Données entrantes et Données sortantes.

    Screenshot shows a resource group with values for Data in and Data out.

Ajouter plus de connexions

Si vous souhaitez ajouter d’autres connexions, accédez à la passerelle de réseau virtuel à partir de laquelle créer la connexion, puis sélectionnez Connexions. Vous pouvez créer une autre connexion de réseau virtuel à réseau virtuel, ou créer une connexion de site à site IPsec vers un emplacement local. Veillez à ajuster le type de connexion en fonction du type de connexion que vous souhaitez créer. Avant de créer d’autres connexions, vérifiez que l’espace d’adressage de votre réseau virtuel ne chevauche aucun des espaces d’adressage auxquels vous souhaitez vous connecter. Pour connaître la procédure de création d’une connexion site à site, consultez Créer une connexion de site à site.

Forum Aux Questions sur l’interconnexion de réseaux virtuels

Pour trouver des réponses aux questions fréquentes sur les connexions de réseau virtuel à réseau virtuel, consultez le FAQ sur la passerelle VPN.

Étapes suivantes

  • Pour savoir comment limiter le trafic réseau aux ressources d’un réseau virtuel, consultez Sécurité du réseau.

  • Pour plus d’informations sur la façon dont Azure achemine le trafic entre les ressources Azure, locales et Internet, consultez Routage du trafic de réseau virtuel.