Conseils d’automatisation pour les partenaires Virtual WANAutomation guidelines for Virtual WAN partners

Cet article vous aide à comprendre comment configurer l’environnement d’automatisation pour connecter et configurer un appareil de branche (un périphérique VPN client local ou SDWAN CPE) pour Azure Virtual WAN.This article helps you understand how to set up the automation environment to connect and configure a branch device (a customer on-premises VPN device or SDWAN CPE) for Azure Virtual WAN. Si vous fournissez des appareils de branche qui peuvent accommoder une connectivité VPN par IPsec/IKEv2 ou IPsec/IKEv1, cet article est pour vous.If you are a provider that provides branch devices that can accommodate VPN connectivity over IPsec/IKEv2 or IPsec/IKEv1, this article is for you.

Un appareil de branche (un périphérique VPN client local ou SDWAN CPE) utilise généralement un tableau de bord contrôleur/appareil pour le provisionnement.A branch device (a customer on-premises VPN device or SDWAN CPE) typically uses a controller/device dashboard to be provisioned. Les administrateurs de solutions SD-WAN peuvent souvent utiliser une console de gestion pour préprovisionner un appareil avant de le brancher au réseau.SD-WAN solution administrators can often use a management console to pre-provision a device before it gets plugged into the network. Ce périphérique compatible VPN obtient sa logique de plan de contrôle à partir d’un contrôleur.This VPN capable device gets its control plane logic from a controller. Le contrôleur du périphérique VPN ou SD-WAN peut utiliser des API Azure pour automatiser la connectivité à Azure Virtual WAN.The VPN Device or SD-WAN controller can use Azure APIs to automate connectivity to Azure Virtual WAN. Ce type de connexion nécessite que le périphérique local dispose d’une adresse IP publique exposée en externe.This type of connection requires the on-premises device to have an externally facing public IP address assigned to it.

Avant de commencer l’automatisationBefore you begin automating

  • Vérifiez que votre appareil prend en charge IPsec IKEv1/IKEv2.Verify that your device supports IPsec IKEv1/IKEv2. Voir Stratégies par défaut.See default policies.

  • Consultez les API REST à utiliser pour automatiser la connectivité à Azure Virtual WAN.View the REST APIs that you use to automate connectivity to Azure Virtual WAN.

  • Testez le portail d’Azure Virtual WAN.Test out the portal experience of Azure Virtual WAN.

  • Ensuite, décidez quelle partie de la procédure de connexion vous souhaitez automatiser.Then, decide which part of the connectivity steps you would like to automate. Au minimum, nous vous recommandons d’automatiser les actions suivantes :At a minimum, we recommend automating:

    • Contrôle d’accèsAccess Control
    • Chargement des informations sur l’appareil de branche dans Azure Virtual WANUpload of branch device information into Azure Virtual WAN
    • Téléchargement de la configuration Azure et configuration de la connectivité à partir de l’appareil de branche dans Azure Virtual WANDownloading Azure configuration and setting up connectivity from branch device into Azure Virtual WAN

Informations supplémentairesAdditional information

Expérience clientCustomer experience

Réfléchissez à l’expérience que votre client attend concernant Azure Virtual WAN.Understand the expected customer experience in conjunction with Azure Virtual WAN.

  1. En règle générale, un utilisateur Virtual WAN démarrera le processus en créant une ressource Virtual WAN.Typically, a virtual WAN user will start the process by creating a Virtual WAN resource.
  2. L’utilisateur configurera un accès au groupe de ressources basé sur un principal de service pour le système local (votre contrôleur de branche ou votre logiciel de provisionnement des appareils VPN) pour écrire les informations sur la branche dans Azure Virtual WAN.The user will set up a service principal-based resource group access for the on-premises system (your branch controller or VPN device provisioning software) to write branch info into Azure Virtual WAN.
  3. À ce stade, l’utilisateur peut décider de se connecter à votre interface utilisateur et de définir les informations d’identification du principal de service.The user may decide at this time to log into your UI and set up the service principal credentials. Une fois cette opération terminée, votre contrôleur doit être en mesure de charger les informations de branche avec l’automatisation que vous fournirez.Once that is complete, your controller should be able to upload branch information with the automation you will provide. L’équivalent manuel côté Azure est « Créer un site ».The manual equivalent of this on the Azure side is 'Create Site'.
  4. Une fois que les informations sur le site (appareil de filiale) sont disponibles dans Azure, l’utilisateur va connecter le site à un hub.Once the Site (branch device) information is available in Azure, the user will connect the site to a hub. Un hub virtuel est un réseau virtuel géré par Microsoft.A virtual hub is a Microsoft-managed virtual network. Le hub contient différents points de terminaison de service pour activer la connectivité à partir de votre réseau local (vpnsite).The hub contains various service endpoints to enable connectivity from your on-premises network (vpnsite). Le hub est le cœur de votre réseau au sein d’une région spécifique.The hub is the core of your network in a region. Il ne peut exister qu’un seul hub par région Azure et le point de terminaison vpn (vpngateway) qu’il contient est créé au cours de ce processus.There can only be one hub per Azure region and the vpn endpoint (vpngateway) inside it is created during this process. La passerelle VPN est une passerelle évolutive dimensionnée en fonction des besoins en bande passante et de connexion.The VPN gateway is a scalable gateway which sizes appropriately based on bandwidth and connection needs. Vous pouvez choisir d’automatiser la création du hub virtuel et de vpngateway à partir du tableau de bord de votre contrôleur d’appareil de branche.You may choose to automate virtual hub and vpngateway creation from your branch device controller dashboard.
  5. Une fois le hub virtuel associé au site, un fichier de configuration est généré. L’utilisateur doit le télécharger manuellement.Once the virtual Hub is associated to the site, a configuration file is generated for the user to manually download. C’est à ce moment que votre automatisation entre en jeu, pour simplifier l’expérience utilisateur.This is where your automation comes in and makes the user experience seamless. Au lieu que l’utilisateur ait à télécharger et à configurer l’appareil de branche manuellement, vous pouvez définir l’automatisation et offrir une expérience nécessitant un minimum d’actions de la part de l’utilisateur sur votre interface utilisateur, limitant ainsi les problèmes de connectivité classiques tels que la non-correspondance de la clé partagée, la non-correspondance des paramètres IPSec, la lisibilité du fichier de configuration, etc.Instead of the user having to manually download and configure the branch device, you can set the automation and provide minimal click-through experience on your UI, thereby alleviating typical connectivity issues such as shared key mismatch, IPSec parameter mismatch, configuration file readability etc.
  6. À la fin de cette étape dans votre solution, l’utilisateur profitera d’une connexion de site à site transparente entre l’appareil de branche et le hub virtuel.At the end of this step in your solution, the user will have a seamless site-to-site connection between the branch device and virtual hub. Vous pouvez également configurer des connexions supplémentaires entre d’autres hubs.You can also set up additional connections across other hubs. Chaque connexion est un tunnel actif/actif.Each connection is an active-active tunnel. Votre client peut choisir d’utiliser un fournisseur d’accès différent pour chacun des liens du tunnel.Your customer may choose to use a different ISP for each of the links for the tunnel.
  7. Envisagez de fournir des fonctionnalités de dépannage et de supervision dans l’interface de gestion CPE.Consider providing troubleshooting and monitoring capabilities in the CPE management interface. Les scénarios classiques sont par exemple « le client ne peut pas accéder aux ressources Azure en raison d’un problème de CPE », « afficher les paramètres IPsec côté CPE », etc.Typical scenarios include "Customer not able to access Azure resources due to a CPE issue", "Show IPsec parameters at the CPE side" etc.

Détails de l’automatisationAutomation details

Contrôle d’accèsAccess control

Les clients doivent pouvoir configurer un contrôle d'accès approprié pour le réseau WAN virtuel dans l’interface utilisateur de l’appareil.Customers must be able to set up appropriate access control for Virtual WAN in the device UI. L’utilisation d’un principal de service Azure est recommandée.This is recommended using an Azure Service Principal. Un accès basé sur le principal de service fournit au contrôleur de l’appareil une authentification adéquate pour charger des informations de branche.Service principal-based access provides the device controller appropriate authentication to upload branch information. Pour plus d’informations, consultez la page Créer un principal de service.For more information, see Create service principal. Bien que cette fonctionnalité ne fasse pas partie de l’offre Azure Virtual WAN, nous répertorions ci-dessous les étapes classiques à suivre pour configurer l’accès dans Azure. Suite à cela, les détails pertinents sont saisis dans le tableau de bord de gestion de périphérique.While this functionality is outside of the Azure Virtual WAN offering, we list below the typical steps taken to set up access in Azure after which the relevant details are inputted into the device management dashboard

  • Créez une application Azure Active Directory pour votre contrôleur de périphérique local.Create an Azure Active Directory application for your on-premises device controller.
  • Obtenir un ID d’application et une clé d’authentificationGet application ID and authentication key
  • Obtenir l’ID de locataireGet tenant ID
  • Affecter l’application au rôle « Contributeur »Assign application to role "Contributor"

Charger les informations d’appareil de brancheUpload branch device information

Il est recommandé de concevoir l’expérience utilisateur pour charger les informations de branche (site local) dans Azure.You should design the user experience to upload branch (on-premises site) information to Azure. Vous pouvez utiliser les API REST pour VPNSite afin de créer les informations de site dans Virtual WAN.You can use REST APIs for VPNSite to create the site information in Virtual WAN. Vous pouvez fournir tous les appareils VPN/SDWAN de branche, ou sélectionner les personnalisations d’appareil adéquates.You can provide all branch SDWAN/VPN devices or select device customizations as appropriate.

Téléchargement de la configuration de l’appareil et connectivitéDevice configuration download and connectivity

Cette étape inclut le téléchargement de la configuration Azure et la configuration de la connectivité à partir de l’appareil de branche dans Azure Virtual WAN.This step involves downloading Azure configuration and setting up connectivity from the branch device into Azure Virtual WAN. Dans cette étape, un client qui n’utilise pas un fournisseur doit télécharger manuellement la configuration Azure et l’appliquer à son appareil VPN/SDWAN local.In this step, a customer that is not using a provider would manually download the Azure configuration and apply it to their on-premises SDWAN/VPN device. En tant que fournisseur, vous devez automatiser cette étape.As a provider, you should automate this step. Pour plus d’informations, consultez la page sur les API REST de téléchargement.View the download REST APIs for additional information. Le contrôleur d’appareil peut appeler l’API REST « GetVpnConfiguration » pour télécharger la configuration Azure.The device controller can call 'GetVpnConfiguration' REST API to download the Azure configuration.

Notes sur la configurationConfiguration notes

  • Si les réseaux virtuels Azure sont attachés au hub virtuel, ils apparaîtront en tant que ConnectedSubnets (sous-réseaux connectés).If Azure VNets are attached to the virtual hub, they will appear as ConnectedSubnets.
  • La connectivité VPN utilise une configuration basée sur des routes et prend en charge les protocoles IKEv1 et IKEv2.VPN connectivity uses route-based configuration and supports both IKEv1, and IKEv2 protocols.

Fichier de configuration d’appareilDevice configuration file

Le fichier de configuration de périphérique contient les paramètres à utiliser lors de la configuration de votre périphérique VPN sur site.The device configuration file contains the settings to use when configuring your on-premises VPN device. Lorsque vous affichez ce fichier, notez les informations suivantes :When you view this file, notice the following information:

  • vpnSiteConfiguration - Cette section indique les détails de l’appareil configuré comme un site se connectant au réseau virtuel étendu.vpnSiteConfiguration - This section denotes the device details set up as a site connecting to the virtual WAN. Cela inclut le nom et l’adresse IP publique de l’appareil de branche.It includes the name and public ip address of the branch device.

  • vpnSiteConnections - Cette section fournit des informations sur les éléments suivants :vpnSiteConnections - This section provides information about the following:

    • Espace d’adressage du réseau virtuel du/des hub(s).Address space of the virtual hub(s) VNet.
      Exemple :Example:

      "AddressSpace":"10.1.0.0/24"
      
    • Espace d’adressage des réseaux virtuels qui sont connectés au hub.Address space of the VNets that are connected to the hub.
      Exemple :Example:

      "ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]
      
    • Adresses IP de la passerelle VPN virtuelle.IP addresses of the virtual hub vpngateway. Étant donné que la passerelle VPN a chaque connexion avec 2 tunnels en configuration actif-actif, vous verrez les deux adresses IP répertoriées dans ce fichier.Because the vpngateway has each connection comprising of 2 tunnels in active-active configuration, you will see both IP addresses listed in this file. Dans cet exemple, vous voyez « Instance0 » et « Instance1 » pour chaque site.In this example, you see "Instance0" and "Instance1" for each site.
      Exemple :Example:

      "Instance0":"104.45.18.186"
      "Instance1":"104.45.13.195"
      
    • Détails de configuration de connexion de passerelle VPN, comme BGP, une clé prépartagée, etc. La clé PSK est la clé prépartagée automatiquement générée pour vous.Vpngateway connection configuration details such as BGP, pre-shared key etc. The PSK is the pre-shared key that is automatically generated for you. Vous pouvez toujours modifier la connexion dans la page Vue d’ensemble pour une clé PSK personnalisée.You can always edit the connection in the Overview page for a custom PSK.

Exemple de fichier de configuration d’appareilExample device configuration file

{ 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5"
    },
    "vpnSiteConfiguration":{ 
       "Name":"testsite1",
       "IPAddress":"73.239.3.208"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe",
             "ConnectedSubnets":[ 
                "10.2.0.0/16",
                "10.3.0.0/16"
             ]
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.186",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite2",
       "IPAddress":"66.193.205.122"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite3",
       "IPAddress":"182.71.123.228"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 }

Détails sur la connectivitéConnectivity details

La configuration de votre périphérique VPN/SDWAN local ou SD-WAN doit correspondre aux algorithmes et paramètres suivants spécifiés dans la stratégie IPsec/IKE Azure, ou les contenir.Your on-premises SDWAN/VPN device or SD-WAN configuration must match or contain the following algorithms and parameters, which you specify in the Azure IPsec/IKE policy.

  • Algorithme de chiffrement IKEIKE encryption algorithm
  • Algorithme d’intégrité IKEIKE integrity algorithm
  • Groupe DHDH Group
  • Algorithme de chiffrement IPsecIPsec encryption algorithm
  • Algorithme d’intégrité IPsecIPsec integrity algorithm
  • Groupe PFSPFS Group

Stratégies par défaut pour la connectivité IPsecDefault policies for IPsec connectivity

Notes

Quand vous utilisez des stratégies par défaut, Azure peut jouer le rôle d’initiateur et de répondeur lors de la configuration d’un tunnel IPsec.When working with Default policies, Azure can act as both initiator and responder during an IPsec tunnel setup. Azure ne peut pas jouer le rôle de répondeur uniquement.There is no support for Azure as a responder only.

InitiateurInitiator

Les sections suivantes répertorient les combinaisons de stratégies prises en charge quand Azure représente l’initiateur du tunnel.The following sections list the supported policy combinations when Azure is the initiator for the tunnel.

Phase-1Phase-1

  • AES_256, SHA1, DH_GROUP_2AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2AES_128, SHA_256, DH_GROUP_2

Phase-2Phase-2

  • GCM_AES_256, GCM_AES_256, PFS_NONEGCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONEAES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONEAES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONEAES_128, SHA_1, PFS_NONE

RépondeurResponder

Les sections suivantes répertorient les combinaisons de stratégies prises en charge quand Azure représente le répondeur du tunnel.The following sections list the supported policy combinations when Azure is the responder for the tunnel.

Phase-1Phase-1

  • AES_256, SHA1, DH_GROUP_2AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2AES_128, SHA_256, DH_GROUP_2

Phase-2Phase-2

  • GCM_AES_256, GCM_AES_256, PFS_NONEGCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONEAES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONEAES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONEAES_128, SHA_1, PFS_NONE
  • AES_256, SHA_1, PFS_1AES_256, SHA_1, PFS_1
  • AES_256, SHA_1, PFS_2AES_256, SHA_1, PFS_2
  • AES_256, SHA_1, PFS_14AES_256, SHA_1, PFS_14
  • AES_128, SHA_1, PFS_1AES_128, SHA_1, PFS_1
  • AES_128, SHA_1, PFS_2AES_128, SHA_1, PFS_2
  • AES_128, SHA_1, PFS_14AES_128, SHA_1, PFS_14
  • AES_256, SHA_256, PFS_1AES_256, SHA_256, PFS_1
  • AES_256, SHA_256, PFS_2AES_256, SHA_256, PFS_2
  • AES_256, SHA_256, PFS_14AES_256, SHA_256, PFS_14
  • AES_256, SHA_1, PFS_24AES_256, SHA_1, PFS_24
  • AES_256, SHA_256, PFS_24AES_256, SHA_256, PFS_24
  • AES_128, SHA_256, PFS_NONEAES_128, SHA_256, PFS_NONE
  • AES_128, SHA_256, PFS_1AES_128, SHA_256, PFS_1
  • AES_128, SHA_256, PFS_2AES_128, SHA_256, PFS_2
  • AES_128, SHA_256, PFS_14AES_128, SHA_256, PFS_14

Stratégies personnalisées pour la connectivité IPsecCustom policies for IPsec connectivity

Quand vous utilisez des stratégies IPsec personnalisées, gardez à l’esprit les exigences suivantes :When working with custom IPsec policies, keep in mind the following requirements:

  • IKE - Pour IKE, vous pouvez sélectionner n’importe quel paramètre de chiffrement IKE, d’intégrité IKE et de groupe DH.IKE - For IKE, you can select any parameter from IKE Encryption, plus any parameter from IKE Integrity, plus any parameter from DH Group.
  • IPsec - Pour IPsec, vous pouvez sélectionner n’importe quel paramètre de chiffrement IPsec, d’intégrité IPsec et de PFS.IPsec - For IPsec, you can select any parameter from IPsec Encryption, plus any parameter from IPsec Integrity, plus PFS. Si GCM est utilisé dans les paramètres de chiffrement IPsec ou d’intégrité IPsec, alors il doit être utilisé pour le chiffrement et l’intégrité.If any of the parameters for IPsec Encryption or IPsec Integrity is GCM, then the parameters for both settings must be GCM.

Notes

Les stratégies IPsec personnalisées n’impliquent aucun concept de répondeur et d’initiateur (contrairement aux stratégies IPsec par défaut).With Custom IPsec policies, there is no concept of responder and initiator (unlike Default IPsec policies). Les deux côtés (passerelle locale et passerelle VPN Azure) utilisent les mêmes paramètres pour IKE Phase 1 et IKE Phase 2.Both sides (on-premises and Azure VPN gateway) will use the same settings for IKE Phase 1 and IKE Phase 2. Les protocoles IKEv1 et IKEv2 sont pris en charge.Both IKEv1 and IKEv2 protocols are supported. Azure ne peut pas jouer le rôle de répondeur uniquement.There is no support for Azure as a responder only.

Paramètres et configurations disponiblesAvailable settings and parameters

ParamètreSetting ParamètresParameters
Chiffrement IKEIKE Encryption GCMAES256, GCMAES128, AES256, AES128GCMAES256, GCMAES128, AES256, AES128
Intégrité IKEIKE Integrity SHA384, SHA256SHA384, SHA256
Groupe DHDH Group ECP384, ECP256, DHGroup24, DHGroup14ECP384, ECP256, DHGroup24, DHGroup14
Chiffrement IPsecIPsec Encryption GCMAES256, GCMAES128, AES256, AES128, aucunGCMAES256, GCMAES128, AES256, AES128, None
Intégrité IPsecIPsec Integrity GCMAES256, GCMAES128, SHA256GCMAES256, GCMAES128, SHA256
Groupe PFSPFS Group ECP384, ECP256, PFS24, PFS14, aucunECP384, ECP256, PFS24, PFS14, None

Étapes suivantesNext steps

Pour en plus sur le réseau WAN virtuel, consultez À propos du réseau WAN virtuel Azure et la FAQ sur le réseau WAN virtuel Azure.For more information about Virtual WAN, see About Azure Virtual WAN and the Azure Virtual WAN FAQ.

Pour toute information complémentaire, envoyez un e-mail à l’adresse azurevirtualwan@microsoft.com.For any additional information, please send an email to azurevirtualwan@microsoft.com. Ajoutez le nom de votre société entre crochets « [] » dans la ligne Objet.Include your company name in “[ ]” in the subject line.