Architecture réseau AzureAzure network architecture

L’architecture réseau Azure suit une version modifiée du modèle standard cœur/distribution/accès, avec des couches matérielles distinctes.The Azure network architecture follows a modified version of the industry standard core/distribution/access model, with distinct hardware layers. Les couches sont les suivantes :The layers include:

  • Cœur (routeurs de centre de données)Core (datacenter routers)
  • Distribution (routeurs d’accès et agrégation L2).Distribution (access routers and L2 aggregation). La couche Distribution sépare le routage L3 de la commutation L2.The distribution layer separates L3 routing from L2 switching.
  • Accès (commutateurs d’hôte L2)Access (L2 host switches)

L’architecture réseau a deux niveaux de commutateurs de couche 2.The network architecture has two levels of layer 2 switches. Une couche regroupe le trafic de l’autre couche.One layer aggregates traffic from the other layer. La seconde couche effectue des boucles pour incorporer la redondance.The second layer loops to incorporate redundancy. Cette architecture des avantages comme une empreinte VLAN plus souple et une meilleure mise à l’échelle des ports.The architecture provides a more flexible VLAN footprint, and improves port scaling. L’architecture garde les couches L2 et L3 bien distinctes, ce qui permet d’utiliser le matériel dans chacune des couches du réseau et de minimiser l’impact d’une défaillance d’une couche sur la ou les autres couches.The architecture keeps L2 and L3 distinct, which allows the use of hardware in each of the distinct layers in the network, and minimizes fault in one layer from affecting the other layer(s). L’utilisation de troncs permet de partager des ressources, comme la connectivité à l’infrastructure L3.The use of trunks allows for resource sharing, such as the connectivity to the L3 infrastructure.

Configuration réseauNetwork configuration

L’architecture réseau d’un cluster Azure dans un centre de données se compose des appareils suivants :The network architecture of an Azure cluster within a datacenter consists of the following devices:

  • Routeurs (centre de données, routeur d’accès et routeurs leaf en bordure)Routers (datacenter, access router, and border leaf routers)
  • Commutateurs (d’agrégation et TOR [Top of Rack])Switches (aggregation and top-of-rack switches)
  • Digi CMDigi CMs
  • Unités de distribution de l’alimentationPower distribution units

Azure propose deux architectures distinctes.Azure has two separate architectures. Certains clients Azure et services partagés existants se trouvent dans l’architecture LAN par défaut (DLA) tandis que les nouvelles régions et les nouveaux clients virtuels sont situés dans l’architecture Quantum 10 (Q10).Some existing Azure customers and shared services reside on the default LAN architecture (DLA), whereas new regions and virtual customers reside on Quantum 10 (Q10) architecture. L’architecture DLA est une conception d’arborescence traditionnelle avec des routeurs d’accès actifs-passifs et des listes de contrôle d’accès (ACL) de sécurité appliquées aux routeurs d’accès.The DLA architecture is a traditional tree design, with active/passive access routers and security access control lists (ACLs) applied to the access routers. L’architecture Quantum 10 est une conception Close/Mesh de routeurs, où les listes ACL ne sont pas appliquées aux routeurs,The Quantum 10 architecture is a Close/mesh design of routers, where ACLs are not applied at the routers. mais sous le routage via des réseaux VLAN à équilibrage de charge logicielle (SLB) ou définis par les logiciels.Instead, ACLs are applied below the routing, through Software Load Balancing (SLB) or software defined VLANs.

Le diagramme suivant donne une vue d’ensemble détaillée de l’architecture réseau dans un cluster Azure :The following diagram provides a high-level overview of the network architecture within an Azure cluster:

Diagramme du réseau Azure

Appareils Quantum 10Quantum 10 devices

La conception de Quantum 10 distribue les commutateurs de couche 3 sur plusieurs appareils dans une conception CLOS/maillée.The Quantum 10 design conducts layer 3 switching spread over multiple devices in a Clos/mesh design. Les avantages de la conception Q10 présentent une plus grande capacité à mettre à l’échelle une infrastructure réseau existante.The advantages of the Q10 design include larger capability and greater ability to scale existing network infrastructure. La conception utilise des routeurs leaf en bordure, des commutateurs spine et des routeurs Top of Rack pour transmettre le trafic aux clusters sur plusieurs itinéraires permettant la tolérance de panne.The design employs border leaf routers, spine switches, and top-of-rack routers to pass traffic to clusters across multiple routes, allowing for fault tolerance. Les services de sécurité comme la traduction d’adresses réseau sont gérés via l’équilibrage de charge logicielle, et non sur les appareils matériels.Software load balancing, instead of hardware devices, handles security services such as network address translation.

Routeurs d’accèsAccess routers

Les routeurs de distribution/d’accès L3 exécutent les principales fonctionnalités de routage pour les couches de distribution et d’accès.The distribution/access L3 routers (ARs) perform the primary routing functionality for the distribution and access layers. Ces périphériques sont déployés sous forme de paires et constituent la passerelle par défaut des sous-réseaux.These devices are deployed as a pair, and are the default gateway for subnets. Chaque paire de routeurs d’accès peut prendre en charge plusieurs paires de commutateurs d’agrégation L2 en fonction de la capacité.Each AR pair can support multiple L2 aggregation switch pairs, depending on capacity. Le nombre maximal dépend de la capacité du périphérique, ainsi que des domaines de défaillance.The maximum number depends on the capacity of the device, as well as failure domains. Le nombre est généralement de trois paires de commutateurs d’agrégation L2 par paire de routeurs d’accès.A typical number is three L2 aggregation switch pairs per AR pair.

Commutateurs d’agrégation L2L2 aggregation switches

Ces périphériques servent de point d’agrégation pour le trafic L2.These devices serve as an aggregation point for L2 traffic. Ils constituent la couche de distribution de la structure fabric L2 et peuvent gérer de grandes quantités de trafic.They are the distribution layer for the L2 fabric, and can handle large amounts of traffic. Étant donné que ces appareils agrègent le trafic, la fonctionnalité 802.1q est nécessaire et les technologies de bande passante élevée telles que l’agrégation des ports et 10GE sont utilisées.Because these devices aggregate traffic, they require 802.1q functionality, and high-bandwidth technologies such as port aggregation and 10GE.

Commutateurs d’hôte L2L2 host switches

Les hôtes se connectent directement à ces commutateurs.Hosts connect directly to these switches. Ils peuvent être montés en rack ou déployés en châssis.They can be rack-mounted switches, or chassis deployments. La norme 802.1q permet de désigner un réseau VLAN comme réseau VLAN natif, tout en traitant celui-ci comme une structure Ethernet normale (non marquée).The 802.1q standard allows for the designation of one VLAN as a native VLAN, treating that VLAN as normal (untagged) Ethernet framing. Dans des circonstances normales, les trames du réseau VLAN natif sont transmises et reçues non marquées sur un port de tronc 802.1q.Under normal circumstances, frames on the native VLAN are transmitted and received untagged on an 802.1q trunk port. Cette fonctionnalité a été conçue pour la migration vers 802.1q et la compatibilité avec des périphériques non-802.1q.This feature was designed for migration to 802.1q and compatibility with non-802.1q capable devices. Dans cette architecture, seule l’infrastructure réseau utilise le réseau VLAN natif.In this architecture, only the network infrastructure uses the native VLAN.

Cette architecture spécifie une norme pour la sélection de réseau VLAN natif.This architecture specifies a standard for native VLAN selection. La norme garantit, si possible, que les appareils de routeur d’accès ont un réseau VLAN natif unique pour chaque tronc et les troncs L2Aggregation à L2Aggregation.The standard ensures, where possible, that the AR devices have a unique, native VLAN for every trunk and the L2Aggregation to L2Aggregation trunks. Les troncs de commutateur L2Aggregation à L2Host ont un réseau VLAN natif non défini par défaut.The L2Aggregation to L2Host Switch trunks have a non-default native VLAN.

L’agrégation de liens permet à plusieurs liens individuels d’être regroupés et traités comme un seul lien logique.Link aggregation allows multiple individual links to be bundled together, and treated as a single logical link. Le numéro utilisé pour désigner les interfaces port-canal doit être standardisé pour faciliter le débogage des opérations.To facilitate operational debugging, the number used to designate port-channel interfaces should be standardized. Le reste du réseau utilise le même numéro aux deux extrémités d’un port-canal.The rest of the network uses the same number at both ends of a port-channel.

Les numéros spécifiés pour le commutateur L2Agg à L2Host sont les numéros de port-canal utilisés sur le côté L2Agg.The numbers specified for the L2Agg to L2Host switch are the port-channel numbers used on the L2Agg side. Étant donné que la plage de numéros est plus limitée sur le côté L2Host, la norme consiste à utiliser les numéros 1 et 2 sur le côté L2Host.Because the range of numbers is more limited at the L2Host side, the standard is to use numbers 1 and 2 at the L2Host side. Ceux-ci font référence au port-canal qui va côté « a » et « b » respectivement.These refer to the port-channel going to the “a” side and the “b” side, respectively.

Réseaux VLANVLANs

L’architecture réseau utilise des réseaux VLAN pour regrouper les serveurs dans un seul domaine de diffusion.The network architecture uses VLANs to group servers together into a single broadcast domain. Les numéros de réseau VLAN sont conformes à la norme 802.1q, qui prennent en charge les réseaux VLAN numérotés de 1 à 4094.VLAN numbers conform to 802.1q standard, which supports VLANs numbered 1–4094.

Réseaux VLAN de clientsCustomer VLANs

Vous avez plusieurs options d’implémentation de réseau VLAN que vous pouvez déployer par le biais du portail Azure pour satisfaire les besoins de séparation et d’architecture de votre solution.You have various VLAN implementation options you can deploy through the Azure portal to meet the separation and architecture needs of your solution. Vous déployez ces solutions via des machines virtuelles.You deploy these solutions through virtual machines. Pour obtenir des exemples d’architecture de référence de client, consultez Architectures de référence Azure.For customer reference architecture examples, see Azure reference architectures.

Architecture de périphérieEdge architecture

Les centres de données Azure reposent sur des infrastructures réseau hautement redondantes et bien provisionnées.Azure datacenters are built upon highly redundant and well-provisioned network infrastructures. Microsoft implémente les réseaux des centres de données Azure avec des architectures à redondance « need plus one » (N+1) ou supérieures.Microsoft implements networks within the Azure datacenters with “need plus one” (N+1) redundancy architectures or better. Des fonctionnalités de basculement complètes dans et entre les centres de données permettent de garantir la disponibilité du réseau et des services.Full failover features within and between datacenters help to ensure network and service availability. En externe, les centres de données sont desservis par des circuits réseau haut débit dédiés.Externally, datacenters are served by dedicated, high-bandwidth network circuits. Ces circuits connectent des propriétés de manière redondante, avec plus de 1 200 fournisseurs de services Internet dans le monde entier à de multiples points de peering.These circuits redundantly connect properties with over 1200 internet service providers globally at multiple peering points. Cela offre plus de 2 000 Gbits/s de capacité de périphérie potentielle sur le réseau.This provides in excess of 2,000 Gbps of potential edge capacity across the network.

Les routeurs de filtrage à la couche de périphérie et d’accès du réseau Azure offrent une sécurité bien établie au niveau des paquets et permettent d'empêcher les tentatives non autorisées de connexion à Azure.Filtering routers at the edge and access layer of the Azure network provides well-established security at the packet level and helps to prevent unauthorized attempts to connect to Azure. Les routeurs permettent de vous assurer que le contenu réel des paquets présente des données au format attendu et qu’il est conforme au schéma de communication client/serveur attendu.The routers help to ensure that the actual contents of the packets contain data in the expected format, and conform to the expected client/server communication scheme. Azure implémente une architecture hiérarchisée qui est constituée des composants de séparation de réseau et de contrôle d’accès suivants :Azure implements a tiered architecture, consisting of the following network segregation and access control components:

  • Routeurs de périphérie.Edge routers. Ils séparent l’environnement des applications d’Internet.These segregate the application environment from the internet. Les routeurs de périphérie sont conçus pour fournir une protection anti-usurpation et limiter l’accès à l’aide de listes ACL.Edge routers are designed to provide anti-spoof protection and limit access by using ACLs.
  • Routeurs de distribution (accès).Distribution (access) routers. Ils autorisent uniquement les adresses IP approuvées par Microsoft, fournissent une protection anti-usurpation et établissent des connexions à l’aide de listes ACL.These allow only Microsoft approved IP addresses, provide anti-spoofing, and establish connections by using ACLs.

Atténuation des risques liés à DDoSDDOS mitigation

Les attaques par déni de service distribué (DDoS) continuent de représenter une véritable menace pour la fiabilité des services en ligne.Distributed denial of service (DDoS) attacks continue to present a real threat to the reliability of online services. Comme les attaques deviennent plus ciblées et plus sophistiquées et que les services de Microsoft sont plus dispersés d’un point de vue géographique, l’identification et la réduction de l’impact de ces attaques est une priorité de premier ordre.As attacks become more targeted and sophisticated, and as the services Microsoft provides become more geographically diverse, identifying and minimizing the impact of these attacks is a high priority.

Le service Azure DDos Protection standard assure une excellente défense contre les attaques DDoS.Azure DDoS Protection Standard provides defense against DDoS attacks. Pour en savoir plus, consultez Protection DDoS Azure : Bonnes pratiques et architectures de référence.See Azure DDoS Protection: Best practices and reference architectures to learn more.

Notes

Microsoft fournit une protection DDoS par défaut à tous les clients Azure.Microsoft provides DDoS protection by default for all Azure customers.

Règles de connexion au réseauNetwork connection rules

Azure déploie sur son réseau des routeurs de périphérie qui offrent une sécurité au niveau des paquets pour empêcher les tentatives non autorisées de connexion à Azure.On its network, Azure deploys edge routers that provide security at the packet level to prevent unauthorized attempts to connect to Azure. Les routeurs de périphérie assurent que le contenu réel des paquets présente des données au format attendu et qu’il est conforme au schéma de communication client/serveur attendu.Edge routers ensure that the actual contents of the packets contain data in the expected format, and conform to the expected client/server communication scheme.

Les routeurs de périphérie séparent l’environnement des applications d’Internet.Edge routers segregate the application environment from the internet. Ces routeurs sont conçus pour fournir une protection anti-usurpation et limiter l’accès à l’aide de listes ACL.These routers are designed to provide anti-spoof protection, and limit access by using ACLs. Microsoft configure les routeurs de périphérie à l’aide d’une approche ACL hiérarchisée pour limiter les protocoles réseau qui sont autorisés à transiter les routeurs de périphérie et les routeurs d’accès.Microsoft configures edge routers by using a tiered ACL approach, to limit network protocols that are allowed to transit the edge routers and access routers.

Microsoft positionne les appareils réseau aux emplacements d’accès et de périphérie pour servir de points de limite où s’appliquent les filtres d’entrée ou de sortie.Microsoft positions network devices at access and edge locations, to act as boundary points where ingress or egress filters are applied.

Étapes suivantesNext steps

Pour en savoir plus sur ce que Microsoft fait pour sécuriser l’infrastructure Azure, consultez :To learn more about what Microsoft does to help secure the Azure infrastructure, see: