Connecter un réseau virtuel à un circuit ExpressRoute en utilisant l’interface Azure CLI
Cet article vous montre comment lier des réseaux virtuels (VNets) à des circuits Azure ExpressRoute en utilisant l’interface Azure CLI. Pour pouvoir être liés avec l’interface Azure CLI, les réseaux virtuels doivent être créés à l’aide du modèle de déploiement Resource Manager. Ils peuvent appartenir au même abonnement ou faire partie d’un autre abonnement. Si vous souhaitez utiliser une autre méthode pour connecter votre réseau virtuel à un circuit ExpressRoute, vous pouvez sélectionner un article dans la liste suivante :
Prérequis
Vous avez besoin de la dernière version de l’interface de ligne de commande (CLI). Pour plus d’informations, consultez la rubrique Installation de l’interface de ligne de commande Azure (CLI).
Avant de commencer la configuration, examinez les conditions préalables, la configuration requise pour le routage et les flux de travail.
Vous devez disposer d’un circuit ExpressRoute actif.
- Suivez les instructions permettant de créer un circuit ExpressRoute et faites-le activer par votre fournisseur de service de connectivité.
- Vérifiez que le peering privé Azure est configuré pour votre circuit. Pour obtenir des instructions de routage, consultez l'article sur la configuration du routage .
- Assurez-vous que le peering privé Azure est configuré. L’homologation BGP entre votre réseau et Microsoft doit être établie pour que vous puissiez activer la connectivité de bout en bout.
- Vérifiez qu’un réseau virtuel et une passerelle de réseau virtuel ont été créés et entièrement approvisionnés. Suivez les instructions fournies dans l’article Configurer une passerelle de réseau virtuel pour ExpressRoute. Veillez à utiliser
--gateway-type ExpressRoute.
Vous pouvez lier jusqu’à 10 réseaux virtuels à un circuit ExpressRoute standard. Tous les réseaux virtuels doivent figurer dans la même région géopolitique lors de l’utilisation d’un circuit ExpressRoute standard.
Un réseau virtuel unique peut être lié à 16 circuits ExpressRoute maximum. Pour créer un objet connexion pour chaque circuit ExpressRoute auquel vous vous connectez, procédez comme suit. Les circuits ExpressRoute peuvent être dans le même abonnement, dans des abonnements différents ou dans une combinaison des deux.
Si vous activez le module complémentaire ExpressRoute Premium, vous pouvez lier des réseaux virtuels à l’extérieur de la région géopolitique du circuit ExpressRoute. Le module complémentaire Premium vous permet également de connecter plus de 10 réseaux virtuels à votre circuit ExpressRoute en fonction de la bande passante choisie. Pour plus d’informations sur le module complémentaire Premium, consultez le FAQ .
Pour créer la connexion entre le circuit ExpressRoute et la passerelle de réseau virtuel ExpressRoute cible, le nombre d’espaces d’adressage publiés à partir des réseaux virtuels locaux ou appairés doit être inférieur ou égal à 200. Une fois la connexion établie, vous pouvez ajouter des espaces d’adressage supplémentaires (jusqu’à 1 000) aux réseaux virtuels locaux ou appairés.
Passez en revue les recommandations pour la connectivité entre réseaux virtuels sur ExpressRoute.
Connecter un réseau virtuel du même abonnement à un circuit
Vous pouvez connecter une passerelle de réseau virtuel à un circuit ExpressRoute à l’aide de l’exemple suivant. Assurez-vous que la passerelle de réseau virtuel est créée et prête pour la liaison avant d’exécuter la commande.
az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit
Connecter un réseau virtuel d’un autre abonnement à un circuit
Vous pouvez partager un circuit ExpressRoute entre plusieurs abonnements. La figure suivante montre un schéma simple sur le fonctionnement du partage de circuits ExpressRoute entre plusieurs abonnements.
Notes
La connexion de réseaux virtuels entre des clouds souverains Azure et le cloud Azure public n’est pas prise en charge. Vous pouvez uniquement lier des réseaux virtuels provenant de différents abonnements dans le même cloud.
Chacun des petits clouds dans le cloud principal est utilisé pour représenter les abonnements appartenant à différents services au sein d’une organisation. Les départements au sein de l’organisation utilisent leur propre abonnement pour déployer leurs services, mais ils peuvent partager un même circuit ExpressRoute pour se reconnecter à votre réseau local. Un seul service (dans cet exemple : le service informatique) peut détenir le circuit ExpressRoute. D’autres abonnements au sein de l’organisation peuvent utiliser le circuit ExpressRoute.
Notes
Les frais de connectivité et de bande passante pour le circuit dédié s’appliquent au propriétaire du circuit ExpressRoute. Tous les réseaux virtuels partagent la même bande passante.
Administration : propriétaires de circuit et utilisateurs du circuit
Le « propriétaire du circuit » est un utilisateur avancé autorisé de la ressource de circuit ExpressRoute. Le propriétaire du circuit peut créer des autorisations utilisables par les « utilisateurs du circuit ». Les utilisateurs du circuit sont propriétaires de passerelles de réseau virtuel qui ne figurent pas dans le même abonnement que le circuit ExpressRoute. Les utilisateurs du circuit peuvent utiliser des autorisations (une seule autorisation par réseau virtuel).
Le propriétaire du circuit a le pouvoir de modifier et de révoquer les autorisations à tout moment. Lorsqu’une autorisation est révoquée, toutes les connexions sont supprimées de l’abonnement dont l’accès a été révoqué.
Notes
Le propriétaire du circuit n’est pas un rôle RBAC intégré ou défini sur la ressource ExpressRoute. La définition du propriétaire du circuit correspond aux rôles disposant de l’accès suivant :
- Microsoft.Network/expressRouteCircuits/authorizations/write
- Microsoft.Network/expressRouteCircuits/authorizations/read
- Microsoft.Network/expressRouteCircuits/authorizations/delete
Cela inclut les rôles intégrés tels que Contributeur, Propriétaire et Contributeur réseau. Description détaillée des différents rôles intégrés.
Opérations du propriétaire du circuit
Création d’une autorisation
Le propriétaire du circuit crée une autorisation, ce qui entraîne la création d’une clé d’autorisation dont un utilisateur du circuit peut se servir pour connecter ses passerelles de réseau virtuel au circuit ExpressRoute. Une autorisation n’est valide que pour une seule connexion.
L’exemple suivant montre comment créer une autorisation :
az network express-route auth create --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization
La réponse contient la clé et l’état d’autorisation :
"authorizationKey": "0a7f3020-541f-4b4b-844a-5fb43472e3d7",
"authorizationUseStatus": "Available",
"etag": "W/\"010353d4-8955-4984-807a-585c21a22ae0\"",
"id": "/subscriptions/81ab786c-56eb-4a4d-bb5f-f60329772466/resourceGroups/ExpressRouteResourceGroup/providers/Microsoft.Network/expressRouteCircuits/MyCircuit/authorizations/MyAuthorization1",
"name": "MyAuthorization1",
"provisioningState": "Succeeded",
"resourceGroup": "ExpressRouteResourceGroup"
Vérification des autorisations
Le propriétaire du circuit peut vérifier toutes les autorisations émises pour un circuit donné en exécutant l’exemple suivant :
az network express-route auth list --circuit-name MyCircuit -g ExpressRouteResourceGroup
Ajout d’autorisations
Le propriétaire du circuit peut ajouter des autorisations à l’aide de l’exemple suivant :
az network express-route auth create --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization1
Suppression d’autorisations
Le propriétaire du circuit peut révoquer/supprimer les autorisations accordées à l’utilisateur en exécutant l’exemple suivant :
az network express-route auth delete --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization1
Opérations de l’utilisateur du circuit
L’utilisateur du circuit a besoin de l’ID de pair et d’une clé d’autorisation de la part du propriétaire du circuit. La clé d'autorisation est un GUID.
az network express-route show -n MyCircuit -g ExpressRouteResourceGroup
Réclamation d’une autorisation de connexion
L’utilisateur du circuit peut exécuter l’applet de commande suivante pour utiliser une autorisation de liaison :
az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit --authorization-key "^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^"
Libération d’une autorisation de connexion
Vous pouvez libérer une autorisation en supprimant la connexion qui lie le circuit ExpressRoute et le réseau virtuel.
Modifier une connexion de réseau virtuel
Vous pouvez mettre à jour certaines propriétés d’une connexion de réseau virtuel.
Mise à jour du poids attribué à la connexion
Votre réseau virtuel peut être connecté à plusieurs circuits ExpressRoute. Vous pouvez recevoir le même préfixe à partir de plusieurs circuits ExpressRoute. Pour choisir la connexion pour envoyer le trafic destiné à ce préfixe, vous pouvez modifier le RoutingWeight d’une connexion. Le trafic est envoyé sur la connexion avec le RoutingWeight.le plus élevé.
az network vpn-connection update --name ERConnection --resource-group ExpressRouteResourceGroup --routing-weight 100
La plage de RoutingWeight est de 0 à 32000. La valeur par défaut est 0.
Configurer ExpressRoute FastPath
Vous pouvez activer ExpressRoute FastPath si votre passerelle de réseau virtuel est Très hautes performances ou ErGw3AZ. FastPath améliore le niveau de performance de chemin d’accès de données comme le nombre de paquets et de connexions par seconde entre votre réseau local et votre réseau virtuel.
Configurer FastPath sur une nouvelle connexion
az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --express-route-gateway-bypass true --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit
Mise à jour d’une connexion existante pour activer FastPath
az network vpn-connection update --name ERConnection --resource-group ExpressRouteResourceGroup --express-route-gateway-bypass true
Notes
Vous pouvez utiliser Moniteur de connexion pour vérifier que votre trafic atteint la destination à l’aide de FastPath.
S’inscrire aux fonctionnalités d’ExpressRoute FastPath (préversion)
La prise en charge de FastPath pour le peering de réseaux virtuels est désormais en préversion publique. L’inscription est disponible uniquement par le biais d’Azure PowerShell. Pour obtenir des instructions sur l’inscription, consultez Fonctionnalités d’évaluation de FastPath.
Remarque
Toutes les connexions configurées pour FastPath dans l’abonnement cible sont inscrites à cette préversion. Nous ne recommandons pas l’activation de cette préversion dans les abonnements de production. Si vous avez déjà configuré FastPath et que vous souhaitez vous inscrire à la fonctionnalité en préversion, vous devez effectuer les opérations suivantes :
- Inscrivez-vous à la fonctionnalité en préversion FastPath avec la commande Azure PowerShell ci-dessus.
- Désactivez, puis réactivez FastPath sur la connexion cible.
Nettoyer les ressources
Si vous n’avez plus besoin de la connexion ExpressRoute, à partir de l’abonnement où se trouve la passerelle, utilisez la commande az network vpn-connection delete pour supprimer le lien entre la passerelle et le circuit.
az network vpn-connection delete --name ERConnection --resource-group ExpressRouteResourceGroup
Étapes suivantes
Ce tutoriel vous a montré comment connecter un réseau virtuel à un circuit dans le même abonnement et dans un autre abonnement. Pour plus d’informations sur la passerelle ExpressRoute, consultez :Passerelles de réseau virtuel ExpressRoute.
Pour savoir comment configurer des filtres de routage pour le peering Microsoft à l’aide d’Azure CLI, passez au tutoriel suivant.