Circuits ExpressRoute et peering
Important
Le peering public pour ExpressRoute va être mis hors service le 31 mars 2024. Pour plus d’informations, consultez l’avis de mise hors service.
Les circuits ExpressRoute vous permettent de connecter votre infrastructure locale à Microsoft via un fournisseur de connectivité. Cet article vous aide à comprendre les circuits ExpressRoute et les domaines de routage/le peering. La figure suivante affiche une représentation logique de la connectivité entre votre WAN et Microsoft.
Remarque
- Dans le contexte d’ExpressRoute, Microsoft Edge décrit les routeurs de périphérie du côté Microsoft du circuit ExpressRoute. Il s’agit du point d’entrée du circuit ExpressRoute au réseau de Microsoft.
- Le peering public Azure a été déconseillé, et il n’est pas disponible pour les nouveaux circuits ExpressRoute. Les nouveaux circuits prennent en charge le peering Microsoft et le peering privé.
Circuits ExpressRoute
Un circuit ExpressRoute représente une connexion logique entre votre infrastructure locale et des services de cloud computing Microsoft via un fournisseur de connexion. Vous pouvez avoir plusieurs circuits ExpressRoute. Chaque circuit peut se trouver dans une région identique ou différente des autres, et peut être connecté à votre site via des fournisseurs de connectivité.
Les circuits ExpressRoute ne sont mappés à aucune entité physique. Un circuit est identifié par un GUID standard appelé clé de service (s-key). La clé de service est la seule information échangée entre Microsoft, le fournisseur de connectivité, et vous. La clé de service n'est pas secrète pour des raisons de sécurité. Il existe un mappage 1:1 entre un circuit ExpressRoute et la clé de service.
Les nouveaux circuits ExpressRoute peuvent inclure deux peerings indépendants : Le peering privé et le peering Microsoft. Les circuits ExpressRoute existants peuvent disposer de trois peerings : peering public Azure, peering privé Azure et peering Microsoft. Chaque peering est une paire de sessions BGP indépendantes, chacune configurée de manière redondante pour offrir une disponibilité optimale. Il existe un mappage 1:N (1 <= N <= 3) entre un circuit ExpressRoute et des domaines de routage. Un circuit ExpressRoute peut avoir un, deux ou trois peerings activés par circuit ExpressRoute.
Chaque circuit offre une bande passante fixe (50 Mbits/s, 100 Mbits/s, 200 Mbits/s, 500 Mbits/s, 1 Mbits/s, 2 Mbits/s, 5 Mbits/s, 10 Mbits/s) et est mappé à un fournisseur de connectivité et un emplacement de peering. La bande passante sélectionnée est partagée par tous les peerings de circuit.
Quotas, limites et limitations
Des limites et quotas par défaut s'appliquent à chaque circuit ExpressRoute. Consultez la page Limites, quotas et contraintes applicables à l’abonnement et au service Azure pour obtenir des informations actualisées sur les quotas.
Mise à niveau et rétrogradation de la référence SKU du circuit
Flux de travail autorisé
- Effectuez une mise à niveau de la référence SKU Standard vers Premium.
- Effectuez une mise à niveau de local vers une référence SKU Standard ou Premium.
- Ne peut être effectué qu'en utilisant Azure CLI ou Azure PowerShell.
- Le type de facturation doit être illimité.
- Passage de MeteredData à UnlimitedData.
- Rétrogradez de la référence SKU Premium à Standard.
Flux de travail non pris en charge
- Passage de UnlimitedData à MeteredData.
Appairage ExpressRoute
Un circuit ExpressRoute a plusieurs domaines de routage/peerings qui lui sont associés : public Azure, privé Azure et Microsoft. Chaque peering est configuré de manière identique sur une paire de routeurs (en configuration actif-actif ou de partage de la charge) pour la haute disponibilité. Les services Azure sont classés en Public Azure et Privé Azure pour représenter les schémas d’adressage IP.
Peering privé Azure
Les services de calcul Azure, à savoir les machines virtuelles (IaaS) et les services cloud (PaaS) déployés au sein d’un réseau virtuel peuvent être connectés via le domaine de peering privé. Celui-ci est considéré comme une extension de confiance de votre réseau de base dans Microsoft Azure. Vous pouvez configurer une connectivité bidirectionnelle entre votre réseau de base et les réseaux virtuels Azure. Ce peering vous permet de vous connecter aux machines virtuelles et services cloud directement sur leurs adresses IP privées.
Vous pouvez connecter plusieurs réseaux virtuels au domaine de peering privé. Pour plus d’informations sur les limitations, consultez le Forum Aux Questions . Vous pouvez consulter la page Limites, quotas et contraintes applicables à l’abonnement et au service Azure pour obtenir des informations actualisées sur les limites. Reportez-vous à la page Routage pour plus d'informations sur la configuration du routage.
Peering Microsoft
Microsoft 365 a été créé pour être accessible de manière fiable et sécurisée via Internet. Par conséquent, nous ne recommandons l’utilisation d’ExpressRoute que dans des scénarios bien spécifiques. Pour plus d’informations sur l’utilisation d’ExpressRoute pour accéder à Microsoft 365, consultez Azure ExpressRoute pour Microsoft 365.
La connectivité aux services en ligne Microsoft (Microsoft 365, les services PaaS Azure et les services RTC Microsoft) s’effectue via un Peering Microsoft. Nous activons la connectivité bidirectionnelle entre votre réseau étendu et les services cloud Microsoft via le domaine de routage de peering Microsoft. Vous devez vous connecter aux services cloud Microsoft uniquement via des adresses IP publiques qui sont détenues par vous ou votre fournisseur de connectivité. Vous devez également respecter toutes les règles définies. Pour plus d’informations, consultez la page Composants requis ExpressRoute.
Pour plus d’informations sur les services pris en charge, les coûts et les détails de configuration, consultez la page FAQ. Pour plus d’informations sur la liste des fournisseurs de connectivité offrant une prise en charge du peering Microsoft, consultez la page Emplacements ExpressRoute.
Important
Si vous vous connectez à un service en utilisant le Peering Microsoft avec des données illimitées, seules les données de sortie ne sont pas facturées par ExpressRoute. Les données de sortie sont toujours facturées pour des services tels que le calcul, le stockage ou tout autre service accessible via le Peering Microsoft, même si la destination est une adresse IP publique du Peering Microsoft.
Comparaison de peerings
Le tableau suivant compare les trois types de peering :
| Peering privé | Peering Microsoft | Peering public (déconseillé pour les nouveaux circuits, sera mis hors service le 31 mars 2024) | |
|---|---|---|---|
| Bande passante Nombre de préfixes IPv4 pris en charge par peering | 4 000 par défaut, 10 000 avec ExpressRoute Premium | 200 | 200 |
| Bande passante Nombre de préfixes IPv6 pris en charge par peering | 100 | 200 | N/A |
| Plages d’adresses IP prises en charge | Toute adresse IP valide au sein de votre réseau étendu. | Adresses IP publiques détenues par vous ou par votre fournisseur de connectivité. | Adresses IP publiques détenues par vous ou par votre fournisseur de connectivité. |
| Exigences en matière de numéros AS | Numéros AS publics et privés Vous devez être propriétaire du numéro AS public si vous choisissez d’en utiliser un. | Vous pouvez définir des numéros AS privés et publics pour un ASN homologue. Cependant, vous devez prouver la propriété des adresses IP publiques. Remarque : Si vous utilisez l’ASN client, vous ne pouvez définir que l’ASN public. | Numéros AS publics et privés Cependant, vous devez prouver la propriété des adresses IP publiques. |
| Protocoles IP pris en charge | IPv4, IPv6 | IPv4, IPv6 | IPv4 |
| Adresses IP de l’interface de routage | RFC1918 et adresses IP publiques | Adresses IP publiques enregistrées auprès de vous dans les registres de routage. | Adresses IP publiques enregistrées auprès de vous dans les registres de routage. |
| Prise en charge du hachage MD5 | Oui | Oui | Oui |
Vous pouvez activer un ou plusieurs domaines de routage dans le cadre de votre circuit ExpressRoute. Vous pouvez choisir de placer tous les domaines de routage sur le même VPN si vous souhaitez les combiner dans un domaine de routage unique. Vous pouvez également les placer dans différents domaines de routage comme indiqué dans le schéma. Nous vous recommandons de connecter le peering privé directement à votre réseau principal, et les peerings public et Microsoft à votre zone DMZ.
Chaque peering requiert des sessions BGP distinctes (une paire pour chaque type de peering). Les paires de session BGP fournissent un lien hautement disponible. Si vous vous connectez via des fournisseurs de connectivité de couche 2, il vous incombe de configurer et de gérer le routage. Pour en savoir plus, passez en revue les workflows d’ExpressRoute.
Intégrité ExpressRoute
Les circuits ExpressRoute peuvent faire l’objet d’une surveillance en matière de disponibilité, de connectivité aux réseaux virtuels et d’utilisation de la bande passante à l’aide de ExpressRoute Network Insights.
Le moniteur de connexion pour les moniteurs Expressroute analyse l’intégrité du peering privé Azure et du peering Microsoft. Pour plus d’informations sur la configuration, consultez Configurer Moniteur de connexion pour ExpressRoute.
Étapes suivantes
- Recherchez un fournisseur de services. Consultez la rubrique Emplacements et fournisseurs de services ExpressRoute.
- Assurez-vous que toutes les conditions préalables sont remplies. Consultez la page Configuration requise pour ExpressRoute.
- Configurez votre connexion ExpressRoute.