Connecter un réseau local à Azure à l’aide d’ExpressRoute

Azure ExpressRoute
Réseau virtuel Azure
Passerelle VPN Azure

Cette architecture de référence montre comment connecter un réseau local à un réseau virtuel Azure en utilisant Azure ExpressRoute, avec un réseau privé virtuel (VPN) de site à site comme connexion de basculement.

Architecture

Architecture de référence pour une architecture réseau hybride hautement disponible qui utilise ExpressRoute et une passerelle VPN.

Téléchargez un fichier Visio de cette architecture.

Workflow

L’architecture est constituée des composants suivants.

  • Réseau local. Un réseau local privé qui s’exécute au sein d’une organisation.
  • Appliance VPN. Périphérique ou service qui assure la connectivité externe au réseau local. L’appliance VPN peut être un périphérique matériel ou bien une solution logicielle telle que le service RRAS (Routing and Remote Access Service) dans Windows Server 2012. Pour obtenir la liste des périphériques VPN pris en charge et des informations sur la configuration de certains périphériques VPN pour la connexion à Azure, consultez À propos des périphériques VPN pour les connexions de la passerelle VPN de site à site.
  • Circuit ExpressRoute. Un circuit de couche 2 ou 3 fourni par le fournisseur de connectivité et qui relie le réseau local à Azure via les routeurs de périphérie. Le circuit utilise l’infrastructure matérielle gérée par le fournisseur de connectivité.
  • Passerelle de réseau virtuel ExpressRoute. La passerelle de réseau virtuel ExpressRoute permet au réseau virtuel Azure de se connecter au circuit ExpressRoute qui assure la connectivité avec votre réseau local.
  • Passerelle de réseau virtuel VPN. La passerelle de réseau virtuel VPN permet au réseau virtuel Azure de se connecter à l’appliance VPN dans le réseau local. La passerelle de réseau virtuel VPN est configurée pour accepter les requêtes provenant du réseau local uniquement via l’appliance VPN. Pour plus d'informations, consultez Connecter un réseau local à réseau virtuel Microsoft Azure.
  • Connexion VPN. La connexion a des propriétés qui spécifient le type de connexion (IPSec) et la clé partagée avec l’appliance VPN locale pour chiffrer le trafic.
  • Réseau virtuel Azure Chaque réseau virtuel se trouve dans une seule région Azure et peut héberger plusieurs couches Application. Les couches Application peuvent être segmentées en sous-réseaux dans chaque réseau virtuel.
  • Sous-réseau de passerelle. Les passerelles de réseau virtuel sont conservées dans le même sous-réseau.

Composants

Détails du scénario

Cette architecture de référence montre comment connecter un réseau local à un réseau virtuel Azure en utilisant ExpressRoute, avec un réseau privé virtuel (VPN) de site à site comme connexion de basculement. Le trafic circule entre le réseau local et le réseau virtuel Azure via une connexion ExpressRoute. En cas de perte de connectivité au niveau du circuit ExpressRoute, le trafic est acheminé via un tunnel VPN IPSec. Déployez cette solution.

Notez que si le circuit ExpressRoute n’est pas disponible, la route VPN gérera uniquement les connexions de peering privé. Les connexions de peering public et les connexions de peering Microsoft se font via Internet.

Recommandations

Les recommandations suivantes s’appliquent à la plupart des scénarios. Suivez ces recommandations, sauf si vous avez un besoin spécifique qui vous oblige à les ignorer.

Le réseau virtuel et GatewaySubnet

Créez la connexion de passerelle de réseau virtuel ExpressRoute et la connexion de passerelle de réseau virtuel VPN dans le même réseau virtuel où il y a déjà un objet Gateway (passerelle) en place. Ils partagent tous les deux le même sous-réseau nommé GatewaySubnet.

Si le réseau virtuel contient déjà un sous-réseau nommé GatewaySubnet, vérifiez qu’il possède un espace d’adressage défini sur /27 ou plus. Si le sous-réseau existant est trop petit, utilisez la commande PowerShell suivante pour supprimer le sous-réseau :

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Remove-AzVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet

Si le réseau virtuel ne contient pas de sous-réseau nommé GatewaySubnet, créez-en un à l’aide de la commande PowerShell suivante :

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.224/27"
$vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet

Passerelles VPN et ExpressRoute

Vérifiez que votre organisation répond à la configuration requise d’ExpressRoute pour se connecter à Azure.

S’il y a déjà une passerelle de réseau virtuel VPN dans votre réseau virtuel Azure, utilisez la commande PowerShell suivante pour la supprimer :

Remove-AzVirtualNetworkGateway -Name <your-gateway-name> -ResourceGroupName <your-resource-group>

Suivez les instructions de l’article Configurer une architecture réseau hybride avec Azure ExpressRoute pour établir votre connexion ExpressRoute.

Suivez les instructions de l’article Configurer une architecture réseau hybride avec Azure et un VPN local pour établir votre connexion de passerelle de réseau virtuel VPN.

Après avoir établi les connexions de passerelle de réseau virtuel, testez l’environnement comme suit :

  1. Vérifiez que vous pouvez vous connecter au réseau virtuel Azure à partir de votre réseau local.
  2. Contactez votre fournisseur pour arrêter la connectivité ExpressRoute à des fins de test.
  3. Vérifiez que vous pouvez toujours vous connecter au réseau virtuel Azure à partir de votre réseau local en utilisant la connexion de passerelle de réseau virtuel VPN.
  4. Contactez votre fournisseur pour rétablir la connectivité ExpressRoute.

Considérations

Ces considérations implémentent les piliers d’Azure Well-Architected Framework qui est un ensemble de principes directeurs qui permettent d’améliorer la qualité d’une charge de travail. Pour plus d'informations, consultez Microsoft Azure Well-Architected Framework.

Sécurité

La sécurité fournit des garanties contre les attaques délibérées, et contre l’utilisation abusive de vos données et systèmes importants. Pour plus d’informations, consultez Vue d’ensemble du pilier Sécurité.

Pour connaître les considérations de sécurité générales relatives à Azure, consultez l’article Services de cloud computing et sécurité réseau Microsoft.

Optimisation des coûts

L’optimisation des coûts consiste à examiner les moyens de réduire les dépenses inutiles et d’améliorer l’efficacité opérationnelle. Pour plus d’informations, consultez Vue d’ensemble du pilier d’optimisation des coûts.

Pour plus d’informations sur les coûts du service ExpressRoute, consultez les articles suivants :

Excellence opérationnelle

L’excellence opérationnelle couvre les processus d’exploitation qui déploient une application et maintiennent son fonctionnement en production. Pour plus d’informations, consultez Vue d’ensemble du pilier Excellence opérationnelle.

Pour connaître les considérations DevOps relatives à ExpressRoute, consultez l’article Configurer une architecture réseau hybride avec Azure ExpressRoute.

Pour connaître les considérations DevOps relatives au VPN de site à site, consultez l’article Configurer une architecture réseau hybride avec Azure et un VPN local.

Déployer ce scénario

Conditions préalables. Vous devez disposer d’une infrastructure locale existante déjà configurée avec une appliance réseau appropriée.

Pour déployer la solution, procédez comme suit :

  1. Sélectionnez le lien ci-dessous.

    Déployer sur Azure

  2. Attendez que le lien s’ouvre dans le Portail Azure, puis sélectionnez le Groupe de ressources dans lequel vous souhaitez déployer ces ressources ou créez un groupe de ressources. La région et l’emplacement changent automatiquement pour correspondre au groupe de ressources.

  3. Mettez à jour les champs restants si vous souhaitez modifier les noms de ressources, les fournisseurs, la référence SKU ou les adresses IP réseau de votre environnement.

  4. Sélectionnez Vérifier + créer, puis Créer* pour déployer ces ressources.

  5. Attendez la fin du déploiement.

    Notes

    Ce déploiement de modèle déploie uniquement les ressources suivantes :

    • Un groupe de ressources (si vous en créez un)
    • Un circuit ExpressRoute
    • Un réseau virtuel Azure.
    • Une passerelle de réseau virtuel ExpressRoute

    Pour que vous établissiez correctement la connectivité de peering privé à partir d’un emplacement local vers le circuit ExpressRoute, vous devez impliquer votre fournisseur de services avec la clé de service du circuit. La clé de service se trouve sur la page de vue d’ensemble de la ressource de circuit ExpressRoute. Pour plus d’informations sur la configuration de votre circuit ExpressRoute, consultez Créer ou modifier la configuration du peering. Une fois que vous avez configuré le peering privé, vous pouvez connecter la passerelle de réseau virtuel ExpressRoute au circuit. Pour plus d’informations, consultez Tutoriel : Connecter un réseau virtuel à un circuit ExpressRoute en utilisant le portail Azure.

  6. Pour terminer le déploiement d’un VPN de site à site en tant que sauvegarde sur ExpressRoute, consultez Créer une connexion VPN de site à site.

  7. Une fois que vous avez correctement configuré une connexion VPN au même réseau local que celui sur lequel vous avez configuré ExpressRoute, vous aurez terminé la configuration pour sauvegarder votre connexion ExpressRoute en cas d’échec total à l’emplacement de peering.

Contributeurs

Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.

Auteur principal :

Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.

Étapes suivantes