Topologie réseau hub-and-spoke dans Azure

Azure
Pare-feu
Réseau virtuel
Bastion
Passerelle VPN

Cette architecture de référence déploie une topologie hub-and-spoke dans Azure. Le réseau virtuel hub joue le rôle de point central de la connectivité à de nombreux réseau virtuels spoke. Le hub peut également être utilisé comme point de connectivité à vos réseaux locaux. Les réseaux virtuels spoke sont appairés avec le hub et peuvent être utilisés pour isoler les charges de travail.

Les avantages liés à l’utilisation d’une configuration hub-and-spoke incluent les économies, le dépassement des limites d’abonnement et l’isolation des charges de travail.

Topologie hub-and-spoke dans Azure

Déploiement de référence

Ce déploiement comprend un réseau virtuel hub et deux spokes appairés. Un Pare-feu Azure et un hôte Azure Bastion sont également déployés. Le déploiement peut éventuellement inclure des machines virtuelles dans le premier réseau spoke et une passerelle VPN.

Utilisez la commande suivante pour créer un groupe de ressources pour le déploiement. Cliquez sur le bouton Essayer pour utiliser un interpréteur de commandes incorporé.

az group create --name hub-spoke --location eastus

Exécutez la commande suivante pour déployer la configuration du réseau hub-and-spoke, les peerings VNet entre le hub et le spoke, et un hôte bastion. Quand vous y êtes invité, entrez un nom d’utilisateur et un mot de passe. Ces valeurs peuvent être utilisées pour accéder à la machine virtuelle située dans le réseau spoke.

az deployment group create --resource-group hub-spoke \
    --template-uri https://raw.githubusercontent.com/mspnp/samples/master/solutions/azure-hub-spoke/azuredeploy.json

Pour obtenir des informations détaillées et d'autres options de déploiement, consultez les modèles ARM (Azure Resource Manager) utilisés pour déployer cette solution.

Cas d'utilisation

Utilisations courantes de cette architecture :

  • Charges de travail déployées sur des environnements différents, tels que les environnements de développement, de test et de production, qui requièrent des services partagés tels que DNS, IDS, NTP ou AD DS. Les services partagés sont placés dans le réseau virtuel hub, tandis que chaque environnement est déployé sur un membre spoke pour garantir l’isolation.
  • Des charges de travail n’exigeant pas de connectivité entre elles mais nécessitant un accès aux services partagés.
  • Entreprises nécessitant un contrôle centralisé des aspects de la sécurité, tel qu’un pare-feu dans le hub en tant que zone DMZ et une gestion séparée des charges de travail dans chaque membre spoke.

Architecture

L’architecture est constituée des composants suivants.

Réseau virtuel hub : le réseau virtuel hub est le point central de connectivité à votre réseau local. C’est l’endroit où vous hébergez les services qui peuvent être consommés par les différentes charges de travail hébergées dans les réseaux virtuels spoke.

Réseaux virtuels spoke : Les réseaux virtuels spoke permettent d’isoler les charges de travail dans leurs propres réseaux virtuels, qui sont alors gérés séparément des autres spokes. Chaque charge de travail peut inclure plusieurs niveaux, avec plusieurs sous-réseaux connectés à l’aide d’équilibreurs de charge Azure.

Peering de réseaux virtuels : Deux réseaux virtuels peuvent être connectés à l’aide d’une connexion de peering. Les connexions de peering sont des connexions non transitives et à faible latence entre des réseaux virtuels. Une fois appairés, les réseaux virtuels échangent le trafic à l’aide de la dorsale principale d’Azure, sans avoir besoin d’un routeur.

Hôte Bastion : Azure Bastion vous permet de vous connecter de façon sécurisée à une machine virtuelle à l’aide de votre navigateur et du portail Azure. Un hôte Azure Bastion est déployé au sein d’un réseau virtuel Azure et peut accéder aux machines virtuelles présentes dans ce réseau virtuel, ou à celles situées dans les réseaux virtuels appairés.

Pare-feu Azure : Pare-feu Azure est un service géré de pare-feu en tant que service. L'instance de pare-feu est placée dans son propre sous-réseau.

Passerelle de réseau virtuel VPN ou passerelle ExpressRoute. La passerelle de réseau virtuel permet au réseau virtuel de se connecter au périphérique VPN, ou circuit ExpressRoute, utilisé pour la connectivité avec votre réseau local. Pour plus d'informations, consultez Connecter un réseau local à réseau virtuel Microsoft Azure.

Périphérique VPN. Périphérique ou service qui assure la connectivité externe au réseau local. Le périphérique VPN peut être un périphérique matériel ou une solution logicielle telle que le service RRAS (Routing and Remote Access Service) dans Windows Server 2012. Pour plus d’informations, voir À propos des appareils VPN pour les connexions de la passerelle VPN de site à site.

Recommandations

Les recommandations suivantes s’appliquent à la plupart des scénarios. Suivez ces recommandations, sauf si vous avez un besoin spécifique qui vous oblige à les ignorer.

Groupes de ressources

L’exemple de solution inclus dans ce document utilise un seul groupe de ressources Azure. En pratique, le hub et chaque spoke peuvent être implémentés dans des groupes de ressources distincts, voire dans des abonnements différents. Quand vous appairez des réseaux virtuels de différents abonnements, les deux abonnements peuvent être associés au même locataire Azure Active Directory ou à un locataire différent. Cette flexibilité permet de décentraliser la gestion de chaque charge de travail tout en partageant les services managés dans le hub.

Réseau virtuel et GatewaySubnet

Créez un sous-réseau nommé GatewaySubnet, avec une plage d’adresses de /27. La passerelle de réseau virtuel requiert ce sous-réseau. En attribuant 32 adresses à ce sous-réseau, vous devriez éviter les limitations de taille de passerelle.

Pour plus d’informations sur la configuration de la passerelle, consultez les architectures de référence suivantes, en fonction de votre type de connexion :

Pour accroître la disponibilité, vous pouvez utiliser ExpressRoute et un VPN pour le basculement. Consultez Connecter un réseau local à Azure à l’aide d’ExpressRoute avec basculement VPN.

Une topologie hub-and-spoke peut également être utilisée sans passerelle, si vous n’avez pas besoin de connectivité avec votre réseau local.

Peering de réseau virtuel

Le peering de réseaux virtuels est une relation non transitive entre deux réseaux virtuels. Si des membres spokes doivent se connecter les uns aux autres, envisagez d’ajouter une connexion de peering distincte entre ces membres spokes.

Supposez que vous avez plusieurs réseaux spoke qui doivent se connecter les uns aux autres. Cette situation vous privera très rapidement de connexions de peering, car le nombre maximal de peerings de réseaux virtuels par réseau virtuel est limité. (Pour plus d’informations, consultez Limites de mise en réseau.) Dans ce scénario, envisagez d’utiliser des routes définies par l’utilisateur afin que le trafic destiné à un spoke soit envoyé au Pare-feu Azure ou à une appliance virtuelle réseau faisant office de routeur sur le hub. Ce changement permettra aux réseaux spoke de se connecter les uns aux autres.

Vous pouvez également configurer les membres spokes afin qu’ils utilisent la passerelle hub pour communiquer avec des réseaux distants. Pour que le trafic de la passerelle circule entre le spoke et le hub, puis se connecte à des réseaux distants, vous devez effectuer les opérations suivantes :

  • Configurer la connexion de peering dans le hub pour autoriser le transit par passerelle.
  • Configurer la connexion de peering dans chaque membre spoke pour utiliser des passerelles distantes.
  • Configurer toutes les connexions de peerings pour autoriser le trafic transféré.

Pour plus d’informations, consultez Créer des peerings de réseaux virtuels.

Connectivité entre membres spokes

Si vous avez besoin d’une connectivité entre spokes, déployez un Pare-feu Azure ou une autre appliance virtuelle réseau. Créez ensuite des routes pour transférer le trafic du spoke vers l’appliance virtuelle réseau ou le pare-feu, qui peut ensuite le router vers le deuxième spoke. Dans ce scénario, vous devez configurer les connexions de peering pour autoriser le trafic transféré.

Routage entre spokes à l’aide du Pare-feu Azure

Vous pouvez également utiliser une passerelle VPN pour router le trafic entre les spokes, même si cela aura un impact en termes de latence et de débit. Pour connaître les détails de configuration, consultez Configurer le transit par passerelle VPN pour le peering de réseaux virtuels.

Prenez en compte les services qui sont partagés dans le hub, afin que ce dernier puisse prendre en charge un plus grand nombre de spokes. Par exemple, si votre hub fournit des services de pare-feu, tenez compte des limites de bande passante de votre solution de pare-feu quand vous ajoutez plusieurs membres spokes. Vous pourriez souhaiter transférer certains de ces services partagés vers un second niveau de hubs.

Considérations opérationnelles

Tenez compte des informations suivantes lors du déploiement et de la gestion des réseaux hub-and-spoke.

Analyse du réseau

Utilisez Azure Network Watcher pour superviser et dépanner les composants réseau. Des outils comme Traffic Analytics montrent les systèmes de vos réseaux virtuels qui génèrent le plus de trafic. Vous pouvez ensuite identifier visuellement les goulots d’étranglement avant qu’ils ne dégénèrent en problèmes. L’outil Network Performance Manager permet de surveiller les informations relatives aux circuits Microsoft ExpressRoute. Les diagnostics VPN sont un autre outil pour vous aider à résoudre des problèmes de connexions VPN site à site reliant vos applications à des utilisateurs locaux.

Pour plus d’informations, consultez Azure Network Watcher dans Azure Well-Architected Framework.

Considérations relatives au coût

Tenez compte des éléments financiers suivants lors du déploiement et de la gestion des réseaux hub-and-spoke.

Pare-feu Azure

Un Pare-feu Azure est déployé dans le réseau hub dans cette architecture. Lorsqu’il est utilisé en tant que solution partagée et consommé par plusieurs charges de travail, un Pare-feu Azure peut économiser jusqu’à 30-50 % par rapport à d’autres appliances virtuelles réseau. Pour plus d’informations, consultez Pare-feu Azure et appliances virtuelles réseau.

Peering de réseau virtuel

Vous pouvez utiliser l’appairage de réseaux virtuels pour acheminer le trafic entre les réseaux virtuels à l’aide d’adresses IP privées. Voici quelques éléments à prendre en compte :

  • Le trafic d’entrée et de sortie est facturé aux deux extrémités des réseaux appairés.
  • Les différentes zones présentent des taux de transfert différents.

Par exemple, le transfert de données à partir d’un réseau virtuel de la zone 1 vers un réseau virtuel de la zone 2 implique un taux de transfert sortant pour la zone 1 et un taux d’entrée pour la zone 2. Pour plus d'informations, consultez Tarification de réseau virtuel.

Étapes suivantes

En savoir plus sur les technologies des composants :

Explorer les architectures connexes :