Topologie réseau hub-and-spoke dans AzureHub-spoke network topology in Azure

Cette architecture de référence montre comment implémenter une topologie hub-and-spoke dans Azure.This reference architecture shows how to implement a hub-spoke topology in Azure. Le hub est un réseau virtuel d'Azure qui centralise la connectivité à votre réseau local.The hub is a virtual network in Azure that acts as a central point of connectivity to your on-premises network. Les spokes sont des réseaux virtuels appairés avec le hub et qui peuvent être utilisés pour isoler les charges de travail.The spokes are virtual networks that peer with the hub, and can be used to isolate workloads. Le trafic circule entre le centre de données local et le hub via une connexion de passerelle ExpressRoute ou VPN.Traffic flows between the on-premises datacenter and the hub through an ExpressRoute or VPN gateway connection. Déployez cette solution.Deploy this solution.

00

Télécharger un fichier Visio de cette architectureDownload a Visio file of this architecture

Cette topologie présente les avantages suivants :The benefits of this topology include:

  • Réduction les coûts en centralisant les services qui peuvent être partagés par plusieurs charges de travail, comme les appliances virtuelles réseau et les serveurs DNS.Cost savings by centralizing services that can be shared by multiple workloads, such as network virtual appliances (NVAs) and DNS servers, in a single location.
  • Dépassement des limites des abonnements en effectuant le peering des réseaux virtuels de différents abonnements avec le hub central.Overcome subscriptions limits by peering virtual networks from different subscriptions to the central hub.
  • Séparation des préoccupations entre le service informatique central (SecOps, InfraOps) et les charges de travail (DevOps).Separation of concerns between central IT (SecOps, InfraOps) and workloads (DevOps).

Utilisations courantes de cette architecture :Typical uses for this architecture include:

  • Charges de travail déployées sur des environnements différents, tels que les environnements de développement, de test et de production, qui requièrent des services partagés tels que DNS, IDS, NTP ou AD DS.Workloads deployed in different environments, such as development, testing, and production, that require shared services such as DNS, IDS, NTP, or AD DS. Les services partagés sont placés dans le réseau virtuel hub, tandis que chaque environnement est déployé sur un membre spoke pour garantir l’isolation.Shared services are placed in the hub virtual network, while each environment is deployed to a spoke to maintain isolation.
  • Charges de travail ne nécessitant pas de connectivité entre elles, mais nécessitant un accès aux services partagés.Workloads that do not require connectivity to each other, but require access to shared services.
  • Entreprises nécessitant un contrôle centralisé des aspects de la sécurité, tel qu’un pare-feu dans le hub en tant que zone DMZ et une gestion séparée des charges de travail dans chaque membre spoke.Enterprises that require central control over security aspects, such as a firewall in the hub as a DMZ, and segregated management for the workloads in each spoke.

ArchitectureArchitecture

L’architecture est constituée des composants suivants.The architecture consists of the following components.

  • Réseau local.On-premises network. Un réseau local privé qui s’exécute au sein d’une organisation.A private local-area network running within an organization.

  • Périphérique VPN.VPN device. Périphérique ou service qui assure la connectivité externe au réseau local.A device or service that provides external connectivity to the on-premises network. Le périphérique VPN peut être un périphérique matériel ou une solution logicielle telle que le service RRAS (Routing and Remote Access Service) dans Windows Server 2012.The VPN device may be a hardware device, or a software solution such as the Routing and Remote Access Service (RRAS) in Windows Server 2012. Pour obtenir la liste des périphériques VPN pris en charge et des informations sur la configuration de certains périphériques VPN pour la connexion à Azure, consultez À propos des périphériques VPN pour les connexions de la passerelle VPN de site à site.For a list of supported VPN appliances and information on configuring selected VPN appliances for connecting to Azure, see About VPN devices for Site-to-Site VPN Gateway connections.

  • Passerelle de réseau virtuel VPN ou passerelle ExpressRoute.VPN virtual network gateway or ExpressRoute gateway. La passerelle de réseau virtuel permet au réseau virtuel de se connecter au périphérique VPN, ou circuit ExpressRoute, utilisé pour la connectivité avec votre réseau local.The virtual network gateway enables the virtual network to connect to the VPN device, or ExpressRoute circuit, used for connectivity with your on-premises network. Pour plus d'informations, consultez Connecter un réseau local à réseau virtuel Microsoft Azure.For more information, see Connect an on-premises network to a Microsoft Azure virtual network.

    Notes

    Les scripts de déploiement pour cette architecture de référence utilisent une passerelle VPN pour la connectivité et un réseau virtuel dans Azure pour simuler votre réseau local.The deployment scripts for this reference architecture use a VPN gateway for connectivity, and a virtual network in Azure to simulate your on-premises network.

  • Réseau virtuel Hub.Hub virtual network. Réseau virtuel utilisé comme hub dans la topologie hub-and-spoke.The virtual network used as the hub in the hub-spoke topology. Le hub est le point central de la connectivité à votre réseau local et un emplacement pour héberger les services que peuvent utiliser les différentes charges de travail hébergées dans les réseaux virtuels spokes.The hub is the central point of connectivity to your on-premises network, and a place to host services that can be consumed by the different workloads hosted in the spoke virtual networks.

  • Sous-réseau de passerelle.Gateway subnet. Les passerelles de réseau virtuel sont conservées dans le même sous-réseau.The virtual network gateways are held in the same subnet.

  • Réseaux virtuels spokes.Spoke virtual networks. Un ou plusieurs réseaux virtuels utilisés comme membres spokes dans la topologie hub-and-spoke.One or more virtual networks that are used as spokes in the hub-spoke topology. Les membres spokes peuvent servir à isoler les charges de travail dans leurs propres réseaux virtuels, qui sont alors gérées séparément des autres membres spokes.Spokes can be used to isolate workloads in their own virtual networks, managed separately from other spokes. Chaque charge de travail peut inclure plusieurs niveaux, avec plusieurs sous-réseaux connectés à l’aide d’équilibreurs de charge Azure.Each workload might include multiple tiers, with multiple subnets connected through Azure load balancers. Pour plus d'informations sur l'infrastructure d'application, consultez Exécution de charges de travail de machine virtuelle Windows et Exécution de charges de travail de machine virtuelle Linux.For more information about the application infrastructure, see Running Windows VM workloads and Running Linux VM workloads.

  • Appairage de réseaux virtuels.Virtual network peering. Deux réseaux virtuels peuvent être connectés à l’aide d’une connexion de peering.Two virtual networks can be connected using a peering connection. Les connexions de peering sont des connexions non transitives et à faible latence entre des réseaux virtuels.Peering connections are non-transitive, low latency connections between virtual networks. Une fois appairés, les réseaux virtuels échangent le trafic à l’aide de la dorsale principale d’Azure, sans avoir besoin d’un routeur.Once peered, the virtual networks exchange traffic by using the Azure backbone, without the need for a router. Dans une topologie de réseau hub-and-spoke, vous utilisez le peering de réseaux virtuels pour connecter le hub à chaque membre spoke.In a hub-spoke network topology, you use virtual network peering to connect the hub to each spoke. Vous pouvez appairer des réseaux virtuels dans la même région ou dans différentes régions.You can peer virtual networks in the same region, or different regions. Pour plus d’informations, consultez Configuration requise et contraintes.For more information, see Requirements and constraints.

Notes

Cet article couvre uniquement les déploiements Resource Manager, mais vous pouvez également connecter un réseau virtuel classique à un réseau virtuel Resource Manager dans un même abonnement.This article only covers Resource Manager deployments, but you can also connect a classic virtual network to a Resource Manager virtual network in the same subscription. De cette façon, vos membres spokes peuvent héberger des déploiements classiques tout en tirant parti des services partagés dans le hub.That way, your spokes can host classic deployments and still benefit from services shared in the hub.

RecommandationsRecommendations

Les recommandations suivantes s’appliquent à la plupart des scénarios.The following recommendations apply for most scenarios. Suivez ces recommandations, sauf si vous avez un besoin spécifique qui vous oblige à les ignorer.Follow these recommendations unless you have a specific requirement that overrides them.

Groupes de ressourcesResource groups

Le réseau virtuel hub et chaque réseau virtuel spoke peuvent être implémentés dans des groupes de ressources et différentes, voire dans des abonnements différents.The hub and each spoke can be implemented in different resource groups, and even different subscriptions. Quand vous appairez des réseaux virtuels de différents abonnements, les deux abonnements peuvent être associés au même locataire Azure Active Directory ou à un locataire différent.When you peer virtual networks in different subscriptions, both subscriptions can be associated to the same or different Azure Active Directory tenant. Cela permet de décentraliser la gestion de chaque charge de travail, tout en partageant les services gérés dans le réseau virtuel hub.This allows for a decentralized management of each workload, while sharing services maintained in the hub.

Réseau virtuel et GatewaySubnetVirtual network and GatewaySubnet

Créez un sous-réseau nommé GatewaySubnet, avec une plage d’adresses de /27.Create a subnet named GatewaySubnet, with an address range of /27. La passerelle de réseau virtuel requiert ce sous-réseau.This subnet is required by the virtual network gateway. En allouant 32 adresses à ce sous-réseau, vous devriez éviter les limitations de taille de passerelle.Allocating 32 addresses to this subnet will help to prevent reaching gateway size limitations in the future.

Pour plus d’informations sur la configuration de la passerelle, consultez les architectures de référence suivantes, en fonction de votre type de connexion :For more information about setting up the gateway, see the following reference architectures, depending on your connection type:

Pour accroître la disponibilité, vous pouvez utiliser ExpressRoute et un VPN pour le basculement.For higher availability, you can use ExpressRoute plus a VPN for failover. Consultez Connecter un réseau local à Azure à l’aide d’ExpressRoute avec basculement VPN.See Connect an on-premises network to Azure using ExpressRoute with VPN failover.

Une topologie hub-and-spoke peut également être utilisée sans passerelle, si vous n’avez pas besoin de connectivité avec votre réseau local.A hub-spoke topology can also be used without a gateway, if you don't need connectivity with your on-premises network.

Peering de réseau virtuelVirtual network peering

Le peering de réseaux virtuels est une relation non transitive entre deux réseaux virtuels.Virtual network peering is a non-transitive relationship between two virtual networks. Si des membres spokes doivent se connecter les uns aux autres, envisagez d’ajouter une connexion de peering distincte entre ces membres spokes.If you require spokes to connect to each other, consider adding a separate peering connection between those spokes.

Toutefois, cette situation vous prive très rapidement de connexions de peering en raison du nombre maximal de peerings de réseaux virtuels par réseau virtuel.However, if you have several spokes that need to connect with each other, you will run out of possible peering connections very quickly due to the limitation on number of virtual network peerings per virtual network. (Pour plus d’informations, consultez Limites de mise en réseau.) Dans ce scénario, envisagez d’utiliser des itinéraires définis par l’utilisateur afin que le trafic destiné à un membre spoke soit envoyé au Pare-feu Azure ou à une appliance virtuelle réseau faisant office de routeur sur le hub.(For more information, see Networking limits.) In this scenario, consider using user defined routes (UDRs) to force traffic destined to a spoke to be sent to Azure Firewall or an NVA acting as a router at the hub. Ainsi, les membres spokes peuvent se connecter les uns aux autres.This will allow the spokes to connect to each other.

Vous pouvez également configurer les membres spokes afin qu’ils utilisent la passerelle hub pour communiquer avec des réseaux distants.You can also configure spokes to use the hub gateway to communicate with remote networks. Pour que le trafic de la passerelle circule entre le membre spoke et le hub, puis se connecte à des réseaux distants, vous devez effectuer les opérations suivantes :To allow gateway traffic to flow from spoke to hub, and connect to remote networks, you must:

  • Configurer la connexion de peering dans le hub pour autoriser le transit par passerelle.Configure the peering connection in the hub to allow gateway transit.
  • Configurer la connexion de peering dans chaque membre spoke pour utiliser des passerelles distantes.Configure the peering connection in each spoke to use remote gateways.
  • Configurer toutes les connexions de peerings pour autoriser le trafic transféré.Configure all peering connections to allow forwarded traffic.

pour obtenir des informations supplémentaires afin de Créer un peering.for additional information on Create a peering

ConsidérationsConsiderations

Connectivité entre membres spokesSpoke connectivity

Si vous avez besoin de connectivité entre des membres spokes, envisagez de déployer le Pare-feu Azure ou une appliance virtuelle réseau pour le routage dans le hub et d’utiliser des itinéraires définis par l’utilisateur dans le membre spoke pour transférer le trafic vers le hub.If you require connectivity between spokes, consider deploying Azure Firewall or an NVA for routing in the hub, and using UDRs in the spoke to forward traffic to the hub. La procédure de déploiement ci-dessous comprend une étape facultative qui définit cette configuration.The deployment steps below include an optional step that sets up this configuration.

22

Dans ce scénario, vous devez configurer les connexions de peering pour autoriser le trafic transféré.In this scenario, you must configure the peering connections to allow forwarded traffic.

Vous pouvez également utiliser une passerelle VPN pour acheminer le trafic entre les spokes, même si cela aura un impact en termes de latence et de débit.You can also use a VPN gateway to route traffic between spokes, although this will have impacts in terms of latency and throughput. En outre, le Pare-feu Azure ou une appliance de pare-feu réseau offre une couche de sécurité supplémentaire.Also, Azure Firewall or a network firewall appliance provides an additional layer of security.

Déterminez également les services qui sont partagés dans le hub, afin que ce dernier puisse prendre en charge un plus grand nombre de membres spokes.Also consider what services are shared in the hub, to ensure the hub scales for a larger number of spokes. Par exemple, si votre hub fournit des services de pare-feu, tenez compte des limites de bande passante de votre solution de pare-feu quand vous ajoutez plusieurs membres spokes.For instance, if your hub provides firewall services, consider the bandwidth limits of your firewall solution when adding multiple spokes. Vous pourriez souhaiter transférer certains de ces services partagés vers un second niveau de hubs.You might want to move some of these shared services to a second level of hubs.

Considérations relatives à DevOpsDevOps considerations

Dans cette architecture, l’infrastructure réseau dans son ensemble est créée à l’aide d’un modèle Blocs de construction Azureet suit le processus IaC en matière de déploiement des ressources.In this architecture the entire networking infrastructure is created by using an Azure Building Blocks template, so it follows the IaC process for deploying the resources. Pour automatiser le déploiement de l'infrastructure, vous pouvez utiliser Azure DevOps Services ou d'autres solutions CI/CD.To automate infrastructure deployment, you can use Azure DevOps Services or other CI/CD solutions. Le processus de déploiement est également idempotent, c’est-à-dire reproductibles pour obtenir les mêmes résultats.The deployment process is also idempotent - that is, repeatable to produce the same results.

Les modèles conviennent également au suivi des dépendances car ils permettent de définir des dépendances pour les ressources déployées dans le même modèle.Templates are also good for dependency tracking since they allow to define dependencies for resources that are deployed in the same template. Une ressource donnée peut comporter d'autres ressources qui doivent exister avant son déploiement.For a given resource, there can be other resources that must exist before the resource is deployed.

Analyse du réseauNetwork monitoring

Utilisez Network Watcher pour surveiller et dépanner les composants réseau. Des outils comme Traffic Analytics désigneront les systèmes qui, au sein de vos réseaux virtuels, génèrent le plus de trafic pour vous permettre de repérer visuellement les goulots d'étranglement avant qu'ils deviennent problématiques.Use the Network Watcher to monitor and troubleshoot the network components, tools like Traffic Analytics will show you the systems in your virtual networks that generate most traffic, so that you can visually identify bottlenecks before they degenerate into problems. L’outil Network Performance Manager permet de surveiller les informations relatives aux circuits Microsoft ExpressRoute.Network Performance Manager is the right tool to monitor information about Microsoft ExpressRoute circuits. Les diagnostics VPN sont un autre outil pour vous aider à résoudre des problèmes de connexions VPN site à site reliant vos applications à des utilisateurs locaux.VPN diagnostics is another tool that can help troubleshooting site-to-site VPN connections connecting your applications to users on-premises.

Pour plus d'informations, consultez Surveillance pour DevOps dans Azure Well-Architected Framework.For more information see Monitoring For DevOps in the Azure Well-Architected Framework.

Test réseauNetwork testing

Cette architecture comprend quelques étapes de test pour vérifier manuellement la connectivité réseau. Elle utilise des machines virtuelles Jump Box dans chaque réseau virtuel.This architecture includes some testing steps to manually verify network connectivity, it uses jump box virtual machines in each virtual network. Au terme du déploiement, utilisez ces instructions, de même que les outils d’analyse réseau, pour vérifier le bon fonctionnement du réseau.After the deployment is completed, use these instructions along with the network monitoring tools, to verify the correct operation of the network.

Pour plus d'informations, consultez la section DevOps dans Well-Architected Framework.For more information, see the DevOps section in Well-Architected Framework.

Considérations relatives au coûtCost considerations

La centralisation des services dans un emplacement unique pouvant être partagé par plusieurs charges de travail peut s’avérer intéressante en termes de coût.Centralizing services that can be shared by multiple workloads in a single location can be cost efficient.

Utiliser la calculatrice de prix Azure pour estimer les coûts.Use the Azure pricing calculator to estimate costs. D'autres considérations sont décrites dans la section Coûts de Microsoft Azure Well-Architected Framework.Other considerations are described in the Cost section in Microsoft Azure Well-Architected Framework.

Pare-feu AzureAzure Firewall

Dans cette architecture, le Pare-feu Azure est déployé dans le hub, ce qui fournit une couche de sécurité supplémentaire.In this architecture, Azure Firewall is deployed in the hub, which provides an additional layer of security. Le Pare-feu Azure est rentable, notamment en raison du fait qu’il est utilisé en tant que solution partagée consommée par plusieurs charges de travail.Azure Firewall is cost effective, especially if it's used as a shared solution consumed by multiple workloads. Les modèles de tarification du Pare-feu Azure sont les suivants :Here are the Azure Firewall pricing models:

  • Taux fixe par heure de déploiement.Fixed rate per deployment hour.
  • Données traitées par Go pour prendre en charge la mise à l'échelle automatique.Data processed per GB to support auto scaling.

Par rapport aux appliances virtuelles réseau (NVA), le Pare-feu Azure vous permet d'économiser 30 à 50 %.When compared to network virtual appliances (NVAs), with Azure Firewall you can save up to 30-50%. Pour plus d'informations, consultez Pare-feu Azure et appliances virtuelles réseau.For more information see Azure Firewall vs NVA.

Peering de réseau virtuelVirtual network peering

Vous pouvez utiliser l’appairage de réseaux virtuels pour acheminer le trafic entre les réseaux virtuels à l’aide d’adresses IP privées.You can use virtual network peering to route traffic between virtual networks by using private IP addresses. Voici quelques éléments à prendre en compte :Here are some points:

  • Le trafic d’entrée et de sortie est facturé aux deux extrémités des réseaux appairés.Ingress and egress traffic is charged at both ends of the peered networks.

  • Les différentes zones présentent des taux de transfert différents.Different zones have different transfer rates.

    Par exemple, le transfert de données à partir d’un réseau virtuel de la zone 1 vers un réseau virtuel de la zone 2 implique un taux de transfert sortant pour la zone 1 et un taux d’entrée pour la zone 2.For instance, data transfer from a virtual network in zone 1 to another virtual network in zone 2, will incur outbound transfer rate for zone 1 and inbound rate for zone 2. Pour plus d'informations, consultez Tarification de réseau virtuel.For more information, see Virtual network pricing.

Déployer la solutionDeploy the solution

Attention

« N’utilisez pas azbb - il est en mode de maintenance et le package npm est obsolète »."Don't use azbb - it is in sustain mode and the npm package is out of date". Utilisez : Modèle ARM : 101-Hub-and-spoke-sandbox ou Terraform : hub-spoke-introductionAlternatively use: ARM Template: 101-hub-and-spoke-sandbox or use Terraform: hub-spoke-introduction

Un déploiement pour cette architecture est disponible sur GitHub.A deployment for this architecture is available on GitHub. Il utilise des machines virtuelles dans chaque réseau virtuel pour tester la connectivité.It uses VMs in each virtual network to test connectivity. Deux instances de chaque Jump Box sont déployées, — une machine virtuelle Linux et une machine virtuelle Windows.Two instances of each jumpbox are deployed — one Linux VM and one Windows VM. Dans un déploiement réel, vous ne déployez qu’un seul type.In a real deployment, you would deploy a single type.

Aucun service partagé n’est déployé dans le hub.No shared services are deployed in the hub. Pour obtenir une version incluant des services partagés, consultez Topologie de réseau hub-and-spoke avec services partagés dans Azure.For a version that includes shared services, see Hub-spoke network topology with shared services in Azure.

Le déploiement crée les groupes de ressources suivants dans votre abonnement :The deployment creates the following resource groups in your subscription:

  • hub-vnet-rghub-vnet-rg
  • onprem-jb-rgonprem-jb-rg
  • onprem-vnet-rgonprem-vnet-rg
  • spoke1-vnet-rgspoke1-vnet-rg
  • spoke2-vnet-rgspoke2-vnet-rg

PrérequisPrerequisites

  1. Clonez, dupliquez ou téléchargez le fichier zip pour le référentiel GitHub des architectures de référence.Clone, fork, or download the zip file for the reference architectures GitHub repository.

  2. Installez Azure CLI 2.0.Install Azure CLI 2.0.

  3. Installez Node et NPM.Install Node and NPM

  4. Installez le package npm des modules Azure.Install the Azure building blocks npm package.

    npm install -g @mspnp/azure-building-blocks
    
  5. À partir d’une invite de commandes, d’une invite bash ou de l’invite de commandes PowerShell, connectez-vous à votre compte Azure, comme suit :From a command prompt, bash prompt, or PowerShell prompt, sign into your Azure account as follows:

    az login
    

Déployer l’architecture de référenceDeploy the reference architecture

Pour déployer l’architecture, procédez comme suit :Follow these steps to deploy the architecture:

  1. Accédez au dossier hybrid-networking/hub-spoke du référentiel des architectures de référence.Navigate to the hybrid-networking/hub-spoke folder of the reference architectures repository.

  2. Ouvrez le fichier hub-spoke.json .Open the hub-spoke.json file.

  3. Remplacez les valeurs de toutes les instances de [replace-with-username] et [replace-with-password].Replace the values for all instances of [replace-with-username] and [replace-with-password].

    "adminUsername": "[replace-with-username]",
    "adminPassword": "[replace-with-password]",
    
  4. Recherchez les deux instances de [replace-with-shared-key], puis entrez une clé partagée pour la connexion VPN.Find both instances of [replace-with-shared-key] and enter a shared key for the VPN connection. Les valeurs doivent correspondre.The values must match.

    "sharedKey": "[replace-with-shared-key]",
    
  5. Enregistrez le fichier .Save the file.

  6. Exécutez la commande suivante :Run the following command:

    azbb -s <subscription_id> -g onprem-vnet-rg -l <location> -p hub-spoke.json --deploy
    
  7. Attendez que le déploiement se termine.Wait for the deployment to finish. Ce déploiement crée quatre réseaux virtuels, huit machines virtuelles, deux passerelles VPN, la connexion entre les deux passerelles VPN et configure l’appairage de réseaux virtuels.This deployment creates four virtual networks, eight VMs, two VPN gateways, the connection between the two VPN gateways, and configures virtual network peering. La création de la passerelle VPN peut prendre environ 40 minutes.It can take about 40 minutes to create the VPN gateways.

Tester la connectivité — WindowsTest connectivity — Windows

Pour tester la connectivité entre l’environnement local simulé, le haut et les spokes à l’aide de Windows, procédez comme suit :To test connectivity from the simulated on-premises environment to the hub and spokes using Windows, follow these steps:

  1. Utilisez le portail Azure pour trouver la machine virtuelle appelée jb-vm1 dans le groupe de ressources onprem-jb-rg.Use the Azure portal to find the VM named jb-vm1 in the onprem-jb-rg resource group.

  2. Cliquez sur Connect pour ouvrir une session Bureau à distance vers la machine virtuelle.Click Connect to open a remote desktop session to the VM. Utilisez le mot de passe spécifié dans le fichier de paramètre hub-spoke.json.Use the password that you specified in the hub-spoke.json parameter file.

  3. Ouvrez une console PowerShell dans la machine virtuelle et utilisez la cmdlet Test-NetConnection pour vérifier que vous pouvez vous connecter à la machine virtuelle du serveur JumpBox dans le hub.Open a PowerShell console in the VM, and use the Test-NetConnection cmdlet to verify that you can connect to the jumpbox VM in the hub.

    Test-NetConnection 10.0.0.36 -CommonTCPPort RDP
    

    Le résultat doit être semblable à ce qui suit :The output should look similar to the following:

    ComputerName     : 10.0.0.36
    RemoteAddress    : 10.0.0.36
    RemotePort       : 3389
    InterfaceAlias   : Ethernet 2
    SourceAddress    : 192.168.1.000
    TcpTestSucceeded : True
    
  4. Utilisez la cmdlet Test-NetConnection pour vérifier que vous pouvez vous connecter aux machines virtuelles JumpBox dans les spokes.Use the Test-NetConnection cmdlet to verify that you can connect to the jumpbox VMs in the spokes.

    Test-NetConnection 10.1.0.36 -CommonTCPPort RDP
    Test-NetConnection 10.2.0.36 -CommonTCPPort RDP
    

Notes

Par défaut, les machines virtuelles Windows Server n’autorisent pas les réponses ICMP dans Azure.By default, Windows Server VMs do not allow ICMP responses in Azure. Si vous souhaitez utiliser ping pour tester la connectivité, activez le trafic ICMP dans le pare-feu Windows avancé et ce, pour chaque machine virtuelle.If you want to use ping to test connectivity, enable ICMP traffic in the Windows Advanced Firewall for each VM.

Tester la connectivité — LinuxTest connectivity — Linux

Pour tester la connectivité entre l’environnement local simulé, le haut et les spokes à l’aide de Linux, procédez comme suit :To test connectivity from the simulated on-premises environment to the hub and spokes using Linux, follow these steps:

  1. Utilisez le portail Azure pour trouver la machine virtuelle appelée jbl-vm1 dans le groupe de ressources onprem-jb-rg.Use the Azure portal to find the VM named jbl-vm1 in the onprem-jb-rg resource group.

  2. Cliquez sur Connect et copiez la commande ssh qui s’affiche dans le portail.Click Connect and copy the ssh command shown in the portal.

  3. Exécutez ssh pour vous connecter à l’environnement local simulé.Run ssh to connect to the simulated on-premises environment. Utilisez le mot de passe spécifié dans le fichier de paramètre hub-spoke.json.Use the password that you specified in the hub-spoke.json parameter file.

  4. Utilisez la commande nc pour tester la connectivité avec la machine virtuelle du serveur de rebond dans le hub :Use the nc command to test connectivity to the jumpbox VM in the hub:

    nc -vzw 1 10.0.0.37 22
    

    Le résultat doit être semblable à ce qui suit :The output should look similar to the following:

    Connection to 10.0.0.37 22 port [tcp/ssh] succeeded!
    
  5. Utilisez la commande nc pour tester la connectivité avec les machines virtuelles du serveur de rebond dans chaque spoke :Use the nc command to test connectivity to the jumpbox VMs in each spoke:

    nc -vzw 1 10.1.0.37 22
    nc -vzw 1 10.2.0.37 22
    

Ajouter la connectivité entre les membres spokesAdd connectivity between spokes

Cette étape est facultative.This step is optional. Si vous souhaitez autoriser les spokes à se connecter les uns aux autres, utilisez le Pare-feu Azure pour forcer le trafic entre les spokes et le routeur lors de la tentative de connexion à un autre spoke.If you want to allow spokes to connect to each other, use Azure Firewall to force traffic from spokes to the router when trying to connect to another spoke. Procédez comme suit pour déployer le Pare-feu Azure, des règles de pare-feu pour autoriser les protocoles RDP et SSH, ainsi que des itinéraires définis par l’utilisateur (UDR) afin de permettre aux deux réseaux virtuels spokes de se connecter :Perform the following steps to deploy Azure Firewall, firewall rules to allow RDP and SSH, and user-defined routes (UDRs) to allow the two spoke virtual networks to connect:

  1. Accédez au dossier hybrid-networking/hub-spoke du référentiel des architectures de référence.Navigate to the hybrid-networking/hub-spoke folder of the reference architectures repository.

  2. Exécutez la commande suivante :Run the following command:

    azbb -s <subscription_id> -g hub-vnet-rg -l <location> -p hub-firewall.json --deploy
    

Notes

L’adresse IP privée de l’instance Pare-feu Azure est définie sur 10.0.0.132.The private IP address of the Azure Firewall is set to 10.0.0.132. Il s’agit de l’adresse IP de ce déploiement en raison de la façon dont Azure alloue les adresses IP privées.This will be the IP address for this deployment due to the way Azure allocates private IP addresses. Toutes les modifications apportées à ce déploiement sont susceptibles de modifier cette adresse par défaut.Any modifications to this deployment may change this default address. Dans ce cas, modifiez les tables de routage hub-firewall.json et remplacez toutes les instances de nextHop dans les itinéraires de manière à pointer vers l’adresse IP privée correcte du Pare-feu Azure.In that situation, edit the hub-firewall.json route tables and replace all instances of nextHop in the routes to point to the correct private IP address of Azure Firewall.

Tester la connectivité entre les spokes — WindowsTest connectivity between spokes — Windows

Si vous avez connecté les spokes, procédez comme suit pour vérifier la connectivité à l’aide de Windows :If you connected the spokes, perform these steps to verify connectivity using Windows:

  1. Utilisez le portail Azure pour trouver la machine virtuelle appelée jb-vm1 dans le groupe de ressources onprem-jb-rg.Use the Azure portal to find the VM named jb-vm1 in the onprem-jb-rg resource group.

  2. Cliquez sur Connect pour ouvrir une session Bureau à distance vers la machine virtuelle.Click Connect to open a remote desktop session to the VM. Utilisez le mot de passe spécifié dans le fichier de paramètre hub-spoke.json.Use the password that you specified in the hub-spoke.json parameter file.

  3. Depuis cette session Bureau à distance, ouvrez une autre session Bureau à distance sur 10.1.0.36.From inside this remote desktop session, open another remote desktop session to 10.1.0.36. Il s’agit de l’adresse IP privée à la jumpbox du spoke 1.That's the private IP address of the jumpbox in spoke 1.

  4. À partir de la deuxième session Bureau à distance, ouvrez une console PowerShell.From the second remote desktop session, open a PowerShell console. Utilisez la cmdlet Test-NetConnection pour vérifier que vous pouvez vous connecter à la machine virtuelle jumpbox dans le spoke 2.Use the Test-NetConnection cmdlet to verify that you can connect to the jumpbox VM in spoke 2.

    Test-NetConnection 10.2.0.36 -CommonTCPPort RDP
    

Tester la connectivité entre les spokes — LinuxTest connectivity between spokes — Linux

Si vous avez connecté les spokes, procédez comme suit pour vérifier la connectivité à l’aide de Linux :If you connected the spokes, perform these steps to verify connectivity using Linux:

  1. Utilisez le portail Azure pour trouver la machine virtuelle appelée jbl-vm1 dans le groupe de ressources onprem-jb-rg.Use the Azure portal to find the VM named jbl-vm1 in the onprem-jb-rg resource group.

  2. Cliquez sur Connect et copiez la commande ssh qui s’affiche dans le portail.Click Connect and copy the ssh command shown in the portal.

  3. Depuis un invite Linux, exécutez ssh pour vous connecter à l’environnement local simulé.From a Linux prompt, run ssh to connect to the simulated on-premises environment. Utilisez le mot de passe spécifié dans le fichier de paramètre hub-spoke.json.Use the password that you specified in the hub-spoke.json parameter file.

  4. Utilisez le portail Azure pour trouver la machine virtuelle appelée s1jbl-vm1 dans le groupe de ressources spoke1-vnet-rg.Use the Azure portal to find the VM named s1jbl-vm1 in the spoke1-vnet-rg resource group.

  5. Cliquez sur Connect et copiez la commande ssh qui s’affiche dans le portail.Click Connect and copy the ssh command shown in the portal.

  6. Dans la session ssh créée à l’étape 3, exécutez ssh pour vous connecter à la jumpbox du spoke 1.In the ssh session created in step 3, run ssh to connect to the spoke-1 jumpbox. Utilisez le mot de passe spécifié dans le fichier de paramètre hub-spoke.json.Use the password that you specified in the hub-spoke.json parameter file.

  7. Utilisez la commande nc pour tester la connectivité avec la machine virtuelle jumpbox du spoke 2 :Use the nc command to test connectivity to the jumpbox VM in spoke 2:

    nc -vzw 1 10.2.0.37 22
    

Étapes suivantesNext steps

Pour obtenir une version de cette architecture qui déploie des services de sécurité et d’identité partagés, consultez Topologie de réseau hub-and-spoke avec services partagés dans Azure.For a version of this architecture that deploys shared identity and security services, see Hub-spoke network topology with shared services in Azure.