Réseau virtuel Azure

Le service Réseau virtuel Azure vous permet de connecter en toute sécurité des ressources Azure entre elles en utilisant des réseaux virtuels. Un réseau virtuel est une représentation de votre propre réseau dans le cloud. Il s’agit d’un isolement logique du cloud Azure dédié à votre abonnement. Vous pouvez également connecter des réseaux virtuels à votre réseau local. L’illustration suivante montre certaines des fonctionnalités du service Réseau virtuel Azure :

Diagramme du réseau

Pour en savoir plus sur les fonctionnalités suivantes du réseau virtuel Azure, cliquez sur la fonctionnalité :

  • Isolement : les réseaux virtuels sont isolés les uns des autres. Vous pouvez créer des réseaux virtuels distincts pour le développement, le test et la production, qui utilisent les mêmes blocs d’adresses CIDR. À l’inverse, vous pouvez créer plusieurs réseaux virtuels qui utilisent différents blocs d’adresses CIDR et connecter les réseaux entre eux. Vous pouvez segmenter un réseau virtuel en plusieurs sous-réseaux. Azure fournit une résolution de noms interne pour les machines virtuelles et les instances de rôle Services cloud connectées à un réseau virtuel. Vous pouvez également configurer un réseau virtuel afin d’utiliser vos propres serveurs DNS au lieu d’utiliser la résolution de noms interne Azure.
  • Connectivité Internet : tous les machines virtuelles Azure et instances de rôle Services cloud connectées à un réseau virtuel ont accès à Internet, par défaut. Vous pouvez également activer l’accès entrant à des ressources spécifiques, en fonction de vos besoins.
  • Connectivité des ressources Azure : les ressources Azure telles que les Services cloud et les machines virtuelles peuvent être connectées au même réseau virtuel. Les ressources peuvent se connecter entre elles à l’aide d’adresses IP privées, même si elles se trouvent dans des sous-réseaux différents. Azure fournit un routage par défaut entre les sous-réseaux, les réseaux virtuels et les réseaux locaux, sans que vous ayez à configurer et gérer ces itinéraires.
  • Connectivité de réseau virtuel : les réseaux virtuels peuvent être connectés entre eux, permettant aux ressources connectées à un réseau virtuel de communiquer avec n’importe quelle ressource sur n’importe quel autre réseau virtuel.
  • Connectivité locale : les réseaux virtuels peuvent être connectés à des réseaux locaux via des connexions réseau privées entre votre réseau et Azure, ou via une connexion VPN de site à site sur Internet.
  • Filtrage du trafic : le trafic réseau entrant et sortant des machines virtuelles et des instances de rôle Services cloud peut être filtré par adresse IP source et de port, adresse IP de destination et port, et protocole.
  • Routage : vous pouvez également remplacer le routage Azure par défaut en configurant votre propre routage ou en utilisant des itinéraires BGP via une passerelle réseau.

Isolement et segmentation du réseau

Vous pouvez implémenter plusieurs réseaux virtuels au sein de chaque abonnement Azure et de chaque région Azure. Chaque réseau virtuel est isolé des autres réseaux virtuels. Pour chaque réseau virtuel, vous pouvez :

  • Spécifier un espace d’adressage IP privé personnalisé à l’aide d’adresses (RFC 1918) publiques et privées. Azure attribue aux ressources connectées au réseau virtuel une adresse IP privée à partir de l’espace d’adressage que vous attribuez.
  • Segmenter le réseau virtuel en un ou plusieurs sous-réseaux et allouer une partie de l’espace d’adressage du réseau virtuel à chaque sous-réseau.
  • Utiliser la résolution de noms fournie par Azure ou spécifier votre propre serveur DNS pour une utilisation par les ressources connectées à un réseau virtuel. Pour en savoir plus sur la résolution de noms dans des réseaux virtuels, lisez l’article Résolution de noms pour les machines virtuelles et services cloud.

Se connecter à Internet

Toutes les ressources connectées à un réseau virtuel disposent par défaut d’une connectivité sortante vers Internet. L’adresse IP privée de la ressource est traduite via SNAT (source network address translated) en une adresse IP publique par l’infrastructure Azure. Pour en savoir plus sur la connectivité Internet sortante, lisez l’article Présentation des connexions sortantes dans Azure. Vous pouvez modifier la connectivité par défaut en implémentant un routage et un filtrage de trafic personnalisés.

Pour pouvoir communiquer avec les ressources Azure à partir ou depuis Internet sans SNAT, une ressource doit être affectée à une adresse IP publique. Pour en savoir plus sur les adresses IP publiques, consultez l’article Adresses IP publiques.

Connecter des ressources Azure

Vous pouvez connecter plusieurs ressources Azure à un réseau virtuel, par exemple des machines virtuelles, des services cloud, des environnements App Service et des groupes de machines virtuelles identiques. Les machines virtuelles se connectent à un sous-réseau d’un réseau virtuel via une interface réseau (NIC). Pour en savoir plus sur les interfaces réseau, lisez l’article Interfaces réseau.

Connecter des réseaux virtuels

Vous pouvez connecter des réseaux virtuels entre eux, permettant aux ressources connectées à un réseau virtuel de communiquer avec eux via des réseaux virtuels. Vous pouvez utiliser une des deux options suivantes pour connecter des réseaux virtuels entre eux :

  • Homologation : permet à des ressources connectées à différents réseaux virtuels Azure d’un même emplacement Azure de communiquer entre elles. La bande passante et la latence entre les réseaux virtuels est la même que si les ressources étaient connectées au même réseau virtuel. Pour en savoir plus sur l’homologation, lisez l’article Homologation de réseau virtuel.
  • Connexion de réseau virtuel à réseau virtuel : permet à des ressources connectées à un autre réseau virtuel Azure d’un même emplacement Azure ou de différents emplacements. Contrairement à l’homologation, la bande passante est limitée entre les réseaux virtuels car le trafic doit passer par une passerelle VPN Azure. Pour en savoir plus sur la connexion de réseaux virtuels avec une connexion de réseau virtuel à réseau virtuel, lisez l’article Configurer une connexion de réseau virtuel à réseau virtuel.

Se connecter à un réseau local

Vous pouvez connecter votre réseau local à un réseau virtuel à l’aide de n’importe quelle combinaison des options suivantes :

  • Réseau privé virtuel (VPN) de point à site : connexion établie entre un PC unique connecté à votre réseau et le réseau virtuel. Ce type de connexion est utile si vous n’êtes pas familiarisé avec Azure, ou pour les développeurs car elle nécessite peu voire pas de modifications de votre réseau existant. La connexion utilise le protocole SSTP pour fournir une communication chiffrée via Internet entre l’ordinateur et le réseau virtuel. La latence d’un réseau VPN de point à site est imprévisible, car le trafic transite par Internet.
  • VPN de site à site : connexion établie entre votre appareil VPN et une passerelle VPN Azure. Ce type de connexion permet à n’importe quelle ressource locale de votre choix à accéder à un réseau virtuel. La connexion s’effectue via un réseau VPN IPSec/IKE qui fournit une communication chiffrée via Internet entre votre appareil local et la passerelle VPN Azure. La latence d’une connexion de site à site est imprévisible car le trafic transite par Internet.
  • Azure ExpressRoute : connexion établie entre votre réseau et Azure via un partenaire ExpressRoute. Cette connexion est privée. Le trafic ne transite pas par Internet. La latence d’une connexion ExpressRoute est prévisible, car le trafic ne transite pas par Internet.

Pour en savoir plus sur toutes les options de connexion précédentes, lisez l’article Diagrammes des topologies de connexion.

Filtrer le trafic réseau

Vous pouvez filtrer le trafic réseau entre les sous-réseaux à l’aide d’une des deux options suivantes :

  • Groupes de sécurité réseau (NSG) : chaque groupe de sécurité réseau peut contenir plusieurs règles de sécurité entrantes et sortantes qui vous permettent de filtrer le trafic par source et adresse IP de destination, port et protocole. Vous pouvez appliquer un groupe de sécurité réseau à chaque carte réseau d’une machine virtuelle. Vous pouvez également appliquer un groupe de sécurité réseau au sous-réseau auquel une carte réseau ou toute autre ressource Azure est connectée. Pour en savoir plus sur les groupes de sécurité réseau, consultez l’article Groupes de sécurité réseau.
  • Appliances de réseau virtuel (NVA) : une appliance de réseau virtuel est une machine virtuelle exécutant un logiciel qui exécute une fonction de réseau, par exemple un pare-feu. Affichez la liste des appliances de réseau virtuel disponibles dans Azure Marketplace. Il existe également des appliances de réseau virtuel qui fournissent une optimisation du réseau étendu et d’autres fonctions de trafic réseau. Les appliances de réseau virtuel sont généralement utilisées avec des itinéraires définis par l’utilisateur ou des itinéraires BGP. Vous pouvez également utiliser une appliance de réseau virtuel pour filtrer le trafic entre des réseaux virtuels.

Router le trafic réseau

Azure crée des tables de routage qui permettent aux ressources connectées à un sous-réseau d’un réseau virtuel de communiquer entre elles, par défaut. Vous pouvez implémenter une ou les deux options suivantes pour remplacer les itinéraires par défaut créés par Azure :

  • Itinéraires définis par l’utilisateur : vous pouvez créer des tables de routage personnalisées avec des itinéraires qui contrôlent où le trafic est acheminé pour chaque sous-réseau. Pour en savoir plus sur les itinéraires définis par l’utilisateur, consultez l’article Itinéraires définis par l’utilisateur.
  • Itinéraires BGP : si vous connectez votre réseau virtuel à votre réseau local via une connexion ExpressRoute ou la passerelle VPN Azure, vous pouvez propager les itinéraires BGP à vos réseaux virtuels.

Tarification

Aucun frais n’est facturé pour les réseaux virtuels, les sous-réseaux, les tables de routage et les groupes de sécurité réseau. L’utilisation de la bande passante Internet sortante, les IP adresses publiques, l’homologation du réseau virtuel, les passerelles VPN et ExpressRoute possèdent leurs propres aux structures de tarification. Consultez les pages sur la tarification du réseau virtuel, de la passerelle VPN et ExpressRoute pour plus d’informations.

Forum Aux Questions

Pour consulter les questions fréquentes concernant le réseau virtuel, consultez l’article FAQ sur les réseaux virtuels.

Étapes suivantes