Présentation du réseau virtuel Azure

Le réseau virtuel Azure (VNet) est le bloc de construction fondamental pour votre réseau privé dans Azure. Le réseau virtuel permet à de nombreux types de ressources Azure, telles que les machines virtuelles (VM) Azure, de communiquer de manière sécurisée entre elles, avec Internet et avec les réseaux locaux. Un réseau virtuel est similaire à un réseau traditionnel que vous utiliseriez dans votre propre centre de données, mais avec les avantages supplémentaires de l’infrastructure Azure, tels que la mise à l’échelle, la disponibilité et l’isolation.

Pourquoi utiliser un réseau virtuel Azure ?

Le réseau virtuel Azure permet aux ressources Azure de communiquer de manière sécurisée entre elles, avec Internet et sur des réseaux locaux. Les principaux scénarios que vous pouvez réaliser avec un réseau virtuel incluent la communication des ressources Azure avec Internet, la communication entre les ressources Azure, la communication avec les ressources locales, le filtrage du trafic, le routage du trafic et l’intégration aux services Azure.

Communiquer avec Internet

Par défaut, toutes les ressources d’un réseau virtuel peuvent communiquer en sortie vers Internet. Vous pouvez effectuer des communications entrantes vers une ressource en lui assignant une adresse IP publique ou un équilibreur de charge publique. Vous pouvez également utiliser l’adresse IP publique ou l’équilibreur de charge public pour gérer vos connexions sortantes. Pour en savoir plus sur les connexions sortantes dans Azure, consultez Connexions sortantes., Adresses IP publiques et Équilibreur de charge.

Notes

Lorsque vous utilisez un équilibreur de charge standard interne, une connectivité sortante n’est pas disponible jusqu'à ce que vous définissiez le fonctionnement des connexions sortantes pour travailler avec une adresse IP publique au niveau de l’instance ou un équilibreur de charge public.

Communiquer entre les ressources Azure

Les ressources Azure communiquent en toute sécurité entre elles de l’une des manières suivantes :

  • Via un réseau virtuel : vous pouvez déployer des machines virtuelles et plusieurs autres types de ressources Azure sur un réseau virtuel, comme des environnements Azure App Service, Azure Kubernetes Service et des groupes de machines virtuelles identiques Azure. Pour obtenir la liste complète des ressources Azure que vous pouvez déployer sur un réseau virtuel, consultez Intégration des services de réseau virtuel.
  • Via un point de terminaison de service de réseau virtuel : étendez l’espace d’adressage privé de votre réseau virtuel et l’identité de votre réseau virtuel aux ressources du service Azure, tels que les comptes Stockage Azure et Azure SQL Database, par le biais d’une connexion directe. Les points de terminaison de service vous permettent de sécuriser vos ressources critiques du service Azure pour un réseau virtuel uniquement. Pour plus d’informations, consultez Présentation des points de terminaison de service de réseau virtuel.
  • Via un peering de réseau virtuel : Vous pouvez connecter des réseaux virtuels entre eux, ce qui permet aux ressources de ces réseaux virtuels de communiquer entre eux à l’aide d’un peering. Les réseaux virtuels que vous connectez peuvent être situés dans des régions Azure identiques ou différentes. Pour en savoir plus, consultez Peering de réseaux virtuels.

Communiquer avec les ressources locales

Vous pouvez connecter vos ordinateurs et réseaux locaux à un réseau virtuel à l’aide de n’importe quelle combinaison des options suivantes :

  • Réseau privé virtuel (VPN) de point à site : connexion établie entre un réseau virtuel et un ordinateur unique de votre réseau. Chaque ordinateur qui doit établir une connexion avec un réseau virtuel doit configurer ses connexions. Ce type de connexion est utile si vous n’êtes pas familiarisé avec Azure, ou pour les développeurs car elle nécessite peu voire pas de modifications de votre réseau existant. La communication entre votre ordinateur et un réseau virtuel passe par un tunnel chiffré via Internet. Pour plus d’informations, consultez VPN de point à site.
  • VPN de site à site : connexion établie entre votre appareil VPN local et une passerelle VPN Azure déployée dans un réseau virtuel. Ce type de connexion permet à n’importe quelle ressource locale de votre choix d’accéder à un réseau virtuel. La communication entre votre appareil VPN local et une passerelle VPN Azure passe par un tunnel chiffré via Internet. Pour plus d’informations, consultez VPN de site à site.
  • Azure ExpressRoute : connexion établie entre votre réseau et Azure via un partenaire ExpressRoute. Cette connexion est privée. Toutefois, le trafic ne passe pas par Internet. Pour plus d’informations, consultez ExpressRoute.

Filtrer le trafic

Vous pouvez filtrer le trafic réseau entre les sous-réseaux à l’aide d’une des deux options suivantes :

  • Groupes de sécurité réseau : les groupes de sécurité réseau et les groupes de sécurité d'application peuvent contenir plusieurs règles de sécurité entrantes et sortantes qui vous permettent de filtrer le trafic vers et en provenance des ressources par source et adresse IP de destination, port et protocole. Pour en savoir plus, consultez Groupes de sécurité réseau et Groupes de sécurité d’application.
  • Appliances virtuelles réseau : une appliance virtuelle réseau est une machine virtuelle exécutant une fonction réseau, telle qu’un pare-feu, l’optimisation du WAN ou une autre fonction réseau. Pour afficher la liste des appliances virtuelles réseau disponibles que vous pouvez déployer dans un réseau virtuel, consultez Place de marché Microsoft Azure.

Router le trafic

Les itinéraires Azure se chargent de l’acheminement entre les sous-réseaux, les réseaux virtuels connectés, les réseaux locaux et Internet, par défaut. Vous pouvez implémenter une ou les deux options suivantes pour remplacer les itinéraires par défaut créés par Azure :

  • Tables de routage : vous pouvez créer des tables de routage personnalisées avec des itinéraires qui contrôlent où le trafic est acheminé pour chaque sous-réseau. Découvrez-en plus sur les tables de routage.
  • Itinéraires BGP : si vous connectez votre réseau virtuel à votre réseau local via une connexion ExpressRoute ou la passerelle VPN Azure, vous pouvez propager vos itinéraires BGP locaux à vos réseaux virtuels. En savoir plus sur l’utilisation du protocole BGP avec la passerelle VPN Azure et ExpressRoute.

Intégration d’un réseau virtuel pour les services Azure

L’intégration des services Azure à un réseau virtuel Azure permet un accès privé au service à partir de machines virtuelles ou de ressources de calcul dans le réseau virtuel. Vous pouvez intégrer des services Azure dans votre réseau virtuel, grâce aux options suivantes :

  • Déploiement d’instances dédiées du service dans un réseau virtuel. Les services sont alors accessibles de manière privée dans le réseau virtuel, et à partir des réseaux locaux.
  • Utilisation de Liaison privée pour accéder en privé à une instance spécifique du service à partir de votre réseau virtuel et de réseaux locaux.
  • Vous pouvez également accéder au service à l’aide de points de terminaison publics en étendant un réseau virtuel au service par le biais de points de terminaison de service. Les points de terminaison de service permettent de sécuriser les ressources de service au sein du réseau virtuel.

Limites des réseaux virtuels Azure

Le nombre de ressources Azure que vous pouvez déployer est limité. La plupart des limites de mise en réseau Azure sont des valeurs maximales. Toutefois, vous pouvez augmenter certaines limites de mise en réseau comme spécifié dans la page consacrée aux limites de réseau virtuel.

Tarifs

L’utilisation de réseau virtuel Azure est totalement gratuite. Des frais standards s’appliquent aux ressources telles que les machines virtuelles et d’autres produits. Pour plus d’informations, voir la tarification des réseaux virtuels et la calculatrice de prix Azure.

Étapes suivantes