Architecture du réseau de transit global Virtual WANGlobal transit network architecture and Virtual WAN

Les entreprises modernes ont besoin d’une connectivité omniprésente entre les applications hyper-distribuées, les données et les utilisateurs dans le cloud et en local.Modern enterprises require ubiquitous connectivity between hyper-distributed applications, data, and users across the cloud and on-premises. L’architecture du réseau de transit global est adoptée par les entreprises pour consolider, connecter et contrôler l’empreinte informatique de l’entreprise mondiale moderne tournée vers le cloud.Global transit network architecture is being adopted by enterprises to consolidate, connect, and control the cloud-centric modern, global enterprise IT footprint.

L’architecture du réseau de transit global est basée sur un modèle classique de connectivité en étoile où le « hub » du réseau hébergé sur le cloud permet une connectivité transitive entre les terminaux qui peut être répartie sur différents types de « rayons ».The global transit network architecture is based on a classic hub-and-spoke connectivity model where the cloud hosted network 'hub' enables transitive connectivity between endpoints that may be distributed across different types of 'spokes'.

Dans ce modèle, un rayon peut être :In this model, a spoke can be:

  • Un réseau virtuel (VPN)Virtual network (VNets)
  • Site de branche physiquePhysical branch site
  • Utilisateur distantRemote user
  • InternetInternet

Hub-and-spoke

Figure 1 : Réseau hub-and-spoke de transit globalFigure 1: Global transit hub-and-spoke network

La figure 1 montre la vue logique du réseau de transit global où les utilisateurs répartis géographiquement, les sites physiques et les réseaux virtuels sont interconnectés via un hub réseau hébergé dans le cloud.Figure 1 shows the logical view of the global transit network where geographically distributed users, physical sites, and VNets are interconnected via a networking hub hosted in the cloud. Cette architecture permet une connectivité de transit à un seul tronçon logique entre les points de terminaison du réseau.This architecture enables logical one-hop transit connectivity between the networking endpoints.

Réseau de transit global avec Virtual WANGlobal transit network with Virtual WAN

Azure Virtual WAN est un service réseau cloud managé par Microsoft.Azure Virtual WAN is a Microsoft-managed cloud networking service. Tous les composants réseau qui composent ce service sont hébergés et managés par Microsoft.All the networking components that this service is composed of are hosted and managed by Microsoft. Pour plus d’informations sur Azure Virtual WAN, consultez Vue d’ensemble d’Azure Virtual WAN.For more information about Virtual WAN, see the Virtual WAN Overview article.

Azure Virtual WAN permet une architecture de réseau de transit global en fournissant une connectivité omniprésente et universelle entre les groupes distribués mondialement de charges de travail cloud dans les réseaux virtuels, les sites de succursale, les applications SaaS et PaaS, et les utilisateurs.Azure Virtual WAN allows a global transit network architecture by enabling ubiquitous, any-to-any connectivity between globally distributed sets of cloud workloads in VNets, branch sites, SaaS and PaaS applications, and users.

WAN virtuel Azure

Figure 2 : Réseau de transit global et Virtual WANFigure 2: Global transit network and Virtual WAN

Dans l’architecture Azure Virtual WAN, les hubs WAN virtuels sont provisionnés dans des régions Azure, auxquelles vous pouvez choisir de connecter vos branches, réseaux virtuels et utilisateurs distants.In the Azure Virtual WAN architecture, virtual WAN hubs are provisioned in Azure regions, to which you can choose to connect your branches, VNets, and remote users. Les sites de branche physiques sont connectés au hub avec Premium ExpressRoute ou des VPN site à site ; les réseaux virtuels sont connectés au hub par des connexions de réseau virtuel ; et les utilisateurs distants peuvent se connecter directement au hub à l’aide d’un VPN utilisateur (VPN point à site).The physical branch sites are connected to the hub by Premium ExpressRoute or site-to site-VPNs, VNets are connected to the hub by VNet connections, and remote users can directly connect to the hub using User VPN (point-to-site VPNs). Virtual WAN prend également en charge la connexion de réseaux virtuels inter-régions qui permet de connecter un réseau virtuel dans une région à un hub WAN virtuel situé dans une autre région.Virtual WAN also supports cross-region VNet connection where a VNet in one region can be connected to a virtual WAN hub in a different region.

Vous pouvez établir un WAN virtuel en créant un seul hub WAN virtuel dans la région qui possède le plus grand nombre de rayons (branches, réseaux virtuels, utilisateurs), puis en connectant à ce hub les rayons qui se trouvent dans d’autres régions.You can establish a virtual WAN by creating a single virtual WAN hub in the region that has the largest number of spokes (branches, VNets, users), and then connecting the spokes that are in other regions to the hub. Cette approche est conseillée quand l’empreinte informatique de l’entreprise se limite principalement à une région avec quelques rayons à distance.This is a good option when an enterprise footprint is mostly in one region with a few remote spokes.

Connectivité de hub à hubHub-to-hub connectivity

L’empreinte cloud d’une entreprise peut s’étendre sur plusieurs régions du cloud et, dans ce cas, il est primordial (du point de vue de la latence) d’accéder au cloud à partir d’une région la plus proche possible de son site physique et de ses utilisateurs.An Enterprise cloud footprint can span multiple cloud regions and it is optimal (latency-wise) to access the cloud from a region closest to their physical site and users. Un des principes clés de l’architecture du réseau de transit global consiste à permettre une connectivité inter-régions entre tous les points de terminaison des réseaux cloud et locaux.One of the key principles of global transit network architecture is to enable cross-region connectivity between all cloud and on-premises network endpoints. Cela signifie que le trafic à partir d’une branche connectée au cloud dans une région peut atteindre une autre branche ou un réseau virtuel dans une région différente grâce à la connectivité de hub à hub fournie par Azure Global Network.This means that traffic from a branch that is connected to the cloud in one region can reach another branch or a VNet in a different region using hub-to-hub connectivity enabled by Azure Global Network.

inter-régions

Figure 3 : Connectivité inter-régions de Virtual WANFigure 3: Virtual WAN cross-region connectivity

Quand plusieurs hubs sont activés dans un seul WAN virtuel, les hubs sont automatiquement interconnectés par des liaisons de hub à hub, ce qui fournit une connectivité globale entre les branches et les réseaux virtuels répartis dans des régions différentes.When multiple hubs are enabled in a single virtual WAN, the hubs are automatically interconnected via hub-to-hub links, thus enabling global connectivity between branches and Vnets that are distributed across multiple regions.

De plus, tous les hubs qui font partie du même WAN virtuel peuvent être associés à des stratégies de sécurité et d’accès différentes selon les régions.Additionally, hubs that are all part of the same virtual WAN, can be associated with different regional access and security policies. Pour plus d’informations, consultez Contrôle de la sécurité et de la stratégie, plus loin dans cet article.For more information, see Security and policy control later in this article.

Connexion universelleAny-to-any connectivity

L’architecture du réseau de transit global permet une connectivité universelle via des hubs WAN virtuels.Global transit network architecture enables any-to-any connectivity via virtual WAN hubs. Cette architecture élimine ou réduit le besoin d’un maillage complet ou partiel de la connectivité entre les rayons, qui sont plus complexes à créer et gérer.This architecture eliminates or reduces the need for full mesh or partial mesh connectivity between spokes, that are more complex to build and maintain. En outre, comparativement aux réseaux maillés, le contrôle du routage dans le réseau en étoile est plus facile à configurer et gérer.In addition, routing control in hub-and-spoke vs. mesh networks is easier to configure and maintain.

La connectivité universelle (dans le contexte d’une architecture globale) permet à une entreprise d’interconnecter ses utilisateurs, succursales, centres de données, réseaux virtuels et applications répartis dans le monde entier via un ou plusieurs hubs de « transit ».Any-to-any connectivity (in the context of a global architecture) allows an enterprise with globally distributed users, branches, datacenters, VNets, and applications to connect to each other through the “transit” hub(s). Azure Virtual WAN agit en tant que système de transit global.Azure Virtual WAN acts as the global transit system.

universel

Figure 4 : Chemins d’accès du trafic Virtual WANFigure 4: Virtual WAN traffic paths

Azure Virtual WAN prend en charge les chemins d’accès de connectivité de transit global suivants :Azure Virtual WAN supports the following global transit connectivity paths. Les lettres entre parenthèses renvoient à la Figure 4.The letters in parentheses map to Figure 4.

  • Branche à réseau virtuel (a)Branch-to-VNet (a)
  • Branche à branche (b)Branch-to-branch (b)
    • ExpressRoute Global Reach et Virtual WANExpressRoute Global Reach and Virtual WAN
  • Utilisateur distant à réseau virtuel (c)Remote User-to-VNet (c)
  • Utilisateur distant à branche (d)Remote User-to-branch (d)
  • Réseau virtuel à réseau virtuel (e)VNet-to-VNet (e)
  • Branche à hub - Hub à branche (f)Branch-to-hub-hub-to-Branch (f)
  • Branche à hub - Hub à réseau virtuel (g)Branch-to-hub-hub-to-VNet (g)
  • Réseau virtuel à hub - Hub à réseau virtuel (h)VNet-to-hub-hub-to-VNet (h)

Branche à réseau virtuel (a) et Branche à réseau virtuel inter-régions (g)Branch-to-VNet (a) and Branch-to-VNet Cross-region (g)

Branche à réseau virtuel est le principal chemin d’accès pris en charge par Azure Virtual WAN.Branch-to-VNet is the primary path supported by Azure Virtual WAN. Ce chemin d’accès vous permet de connecter des branches aux charges de travail d’entreprise Azure IAAS déployées dans Azure VNets.This path allows you to connect branches to Azure IAAS enterprise workloads that are deployed in Azure VNets. Les branches peuvent être connectées au WAN virtuel via ExpressRoute ou un VPN site à site.Branches can be connected to the virtual WAN via ExpressRoute or site-to-site VPN. Le trafic transite vers des réseaux virtuels qui sont connectés aux hubs WAN virtuels par le biais de connexions de réseau virtuel.The traffic transits to VNets that are connected to the virtual WAN hubs via VNet Connections. Le transit par passerelle explicite n’est pas requis pour Virtual WAN, car Virtual WAN active automatiquement le transit par passerelle vers le site de succursale.Explicit gateway transit is not required for Virtual WAN because Virtual WAN automatically enables gateway transit to branch site. Pour plus d’informations sur la connexion d’un CPE SD-WAN à Virtual WAN, consultez Partenaires Virtual WAN.See Virtual WAN Partners article on how to connect an SD-WAN CPE to Virtual WAN.

ExpressRoute Global Reach et Virtual WANExpressRoute Global Reach and Virtual WAN

ExpressRoute vous permet de connecter vos réseaux locaux à Microsoft Cloud de manière privée et résiliente.ExpressRoute is a private and resilient way to connect your on-premises networks to the Microsoft Cloud. Virtual WAN prend en charge les connexions de circuits ExpressRoute.Virtual WAN supports Express Route circuit connections. La connexion d’un site de succursale à Virtual WAN avec ExpressRoute nécessite 1) un circuit Premium 2) que ce circuit se trouve dans un emplacement avec Global Reach.Connecting a branch site to Virtual WAN with Express Route requires 1) Premium Circuit 2) Circuit to be in a Global Reach enabled location.

ExpressRoute Global Reach est une fonctionnalité de module complémentaire pour ExpressRoute.ExpressRoute Global Reach is an add-on feature for ExpressRoute. Avec Global Reach, vous pouvez associer des circuits ExpressRoute afin de constituer un réseau privé entre vos réseaux locaux.With Global Reach, you can link ExpressRoute circuits together to make a private network between your on-premises networks. Les branches connectées à Azure Virtual WAN à l’aide d’ExpressRoute nécessitent ExpressRoute Global Reach pour communiquer entre elles.Branches that are connected to Azure Virtual WAN using ExpressRoute require the ExpressRoute Global Reach to communicate with each other.

Dans ce modèle, chaque branche connectée au hub WAN virtuel à l’aide d’ExpressRoute peut se connecter à des réseaux virtuels utilisant le chemin « Branche à réseau virtuel ».In this model, each branch that is connected to the virtual WAN hub using ExpressRoute can connect to VNets using the branch-to-VNet path. Le trafic de branche à branche ne transite pas par le hub, car ExpressRoute Global Reach offre un meilleur chemin d’accès sur Azure WAN.Branch-to-branch traffic won't transit the hub because ExpressRoute Global Reach enables a more optimal path over Azure WAN.

Branche à branche (b) et Branche à branche inter-régions (f)Branch-to-branch (b) and Branch-to-Branch cross-region (f)

Les branches peuvent être connectées à un hub WAN virtuel par des circuits ExpressRoute et/ou des connexions VPN de site à site.Branches can be connected to an Azure virtual WAN hub using ExpressRoute circuits and/or site-to-site VPN connections. Vous pouvez connecter les branches au hub WAN virtuel qui se trouve dans la région la plus proche de la branche.You can connect the branches to the virtual WAN hub that is in the region closest to the branch.

Cette option permet aux entreprises de tirer parti de la dorsale principale d’Azure pour connecter des branches.This option lets enterprises leverage the Azure backbone to connect branches. Toutefois, même si cette fonctionnalité est disponible, vous devez comparer les avantages de la connexion des branches via Azure Virtual WAN à l’utilisation d’un réseau WAN privé.However, even though this capability is available, you should weigh the benefits of connecting branches over Azure Virtual WAN vs. using a private WAN.

Notes

La désactivation de la connectivité branche à branche dans Virtual WAN - Le service Virtual WAN peut être configuré pour désactiver la connectivité branche à branche.Disabling Branch-to-Branch Connectivity in Virtual WAN - Virtual WAN can be configured to disable Branch-to-Branch connectivity. Cette configuration bloque la propagation des routes entre les sites connectés par VPN (S2S et P2S) et par ExpressRoute.This configuation will block route propagation between VPN (S2S and P2S) and Express Route connected sites. Cette configuration n’affecte pas la connectivité et la propagation de routes de branche à réseau virtuel et de réseau virtuel à réseau virtuel.This configuration will not affect branch-to-Vnet and Vnet-to-Vnet route propogation and connectivity. Pour configurer ce paramètre à l’aide du portail Azure : Dans le menu Configuration de Virtual WAN, choisissez Paramètre : Branche à branche - Désactivé.To configure this setting using Azure Portal: Under Virtual WAN Configuration menu, Choose Setting: Branch-to-Branch - Disabled.

Utilisateur distant à réseau virtuel (c)Remote User-to-VNet (c)

Vous pouvez activer l’accès à distance direct et sécurisé à Azure à l’aide d’une connexion point à site entre un utilisateur distant et un WAN virtuel.You can enable direct, secure remote access to Azure using point-to-site connection from a remote user client to a virtual WAN. Les utilisateurs distants d’entreprise n’ont plus besoin d’accéder au cloud en utilisant un VPN d’entreprise.Enterprise remote users no longer have to hairpin to the cloud using a corporate VPN.

Utilisateur distant à branche (d)Remote User-to-branch (d)

Le chemin d’accès utilisateur distant à branche permet aux utilisateurs distants qui utilisent une connexion point à site sur Azure d’accéder aux charges de travail locales et aux applications en transit à travers le cloud.The Remote User-to-branch path lets remote users who are using a point-to-site connection to Azure access on-premises workloads and applications by transiting through the cloud. Ce chemin d’accès offre aux utilisateurs distants la flexibilité d’accéder aux charges de travail qui sont déployées à la fois dans Azure et en local.This path gives remote users the flexibility to access workloads that are both deployed in Azure and on-premises. Les entreprises peuvent activer un service central d’accès distant sécurisé basé sur le cloud dans Azure Virtual WAN.Enterprises can enable central cloud-based secure remote access service in Azure Virtual WAN.

Réseau virtuel à réseau virtuel (e) et Réseau virtuel à réseau virtuel inter-régions (h)VNet-to-VNet transit (e) and VNet-to-VNet cross-region (h)

Le transit de réseau virtuel à réseau virtuel permet de relier des réseaux virtuels entre eux afin d’interconnecter les applications multiniveau qui sont distribuées sur plusieurs réseaux virtuels.The VNet-to-VNet transit enables VNets to connect to each other in order to interconnect multi-tier applications that are implemented across multiple VNets. Vous pouvez également connecter des réseaux virtuels entre eux par le biais du peering de réseaux virtuels. Cette approche est plus adaptée dans certains scénarios où le transit via le hub VWAN n’est pas nécessaire.Optionally, you can connect VNets to each other through VNet Peering and this may be suitable for some scenarios where transit via the VWAN hub is not necessary.

Forcer le tunneling et la route par défaut dans Azure Virtual WANForce Tunneling and Default Route in Azure Virtual WAN

Le tunneling forcé peut être activé en configurant l’option de route par défaut sur une connexion VPN, ExpressRoute ou réseau virtuel dans Virtual WAN.Force Tunneling can be enabled by configuring the enable default route on a VPN, ExpressRoute, or Virtual Network connection in Virtual WAN.

Le hub virtuel propage l’itinéraire par défaut appris à une connexion de réseau virtuel/VPN site à site/ExpressRoute si l’indicateur par défaut est « Activé » sur la connexion.A virtual hub propagates a learned default route to a virtual network/site-to-site VPN/ExpressRoute connection if enable default flag is 'Enabled' on the connection.

Cet indicateur est visible lorsque l’utilisateur modifie une connexion de réseau virtuel, une connexion VPN ou une connexion ExpressRoute.This flag is visible when the user edits a virtual network connection, a VPN connection, or an ExpressRoute connection. Par défaut, cet indicateur est désactivé lorsqu’un site ou un circuit ExpressRoute est connecté à un hub.By default, this flag is disabled when a site or an ExpressRoute circuit is connected to a hub. Il est activé par défaut lorsqu’une connexion de réseau virtuel est ajoutée pour connecter un réseau virtuel à un hub virtuel.It is enabled by default when a virtual network connection is added to connect a VNet to a virtual hub. L’itinéraire par défaut ne provient pas du hub Virtual WAN ; il est propagé s’il est déjà appris par le hub Virtual WAN suite au déploiement d’un pare-feu dans le hub, ou si le tunneling forcé est activé sur un autre site connecté.The default route does not originate in the Virtual WAN hub; the default route is propagated if it is already learned by the Virtual WAN hub as a result of deploying a firewall in the hub, or if another connected site has forced-tunneling enabled.

Contrôle de la sécurité et de la stratégieSecurity and policy control

Les hubs Azure Virtual WAN interconnectent tous les points de terminaison réseau sur le réseau hybride et peuvent potentiellement voir l’ensemble du trafic sur le réseau de transit.The Azure Virtual WAN hubs interconnect all the networking end points across the hybrid network and potentially see all transit network traffic. Il est possible de changer des hubs Virtual WAN en hubs virtuels sécurisés en déployant le Pare-feu Azure à l’intérieur des hubs VWAN pour contrôler la stratégie, l’accès et la sécurité dans le cloud.Virtual WAN hubs can be converted to Secured Virtual Hubs by deploying the Azure Firewall inside VWAN hubs to enable cloud-based security, access, and policy control. L’orchestration des Pare-feu Azure dans les hubs WAN virtuels peut être effectuée par Azure Firewall Manager.Orchestration of Azure Firewalls in virtual WAN hubs can be performed by Azure Firewall Manager.

Azure Firewall Manager fournit les fonctionnalités nécessaires pour gérer et adapter la sécurité des réseaux de transit global.Azure Firewall Manager provides the capabilities to manage and scale security for global transit networks. Avec Azure Firewall Manager, vous pouvez gérer de manière centralisée le routage, les stratégies globales, les services de sécurité Internet avancée par le biais d’un tiers et du Pare-feu Azure.Azure Firewall Manager provides ability to centrally manage routing, global policy management, advanced Internet security services via third-party along with the Azure Firewall.

hub virtuel sécurisé avec le Pare-feu Azure

Figure 5 : Hub virtuel sécurisé avec le Pare-feu AzureFigure 5: Secured virtual hub with Azure Firewall

Le Pare-feu Azure dans le hub WAN virtuel prend en charge les chemins de connectivité suivants pour le transit de sécurisé global.Azure Firewall to the virtual WAN supports the following global secured transit connectivity paths. Les lettres entre parenthèses renvoient à la Figure 5.The letters in parentheses map to Figure 5.

  • Transit sécurisé de réseau virtuel à réseau virtuel (e)VNet-to-VNet secure transit (e)
  • Réseau virtuel à Internet ou un service de sécurité tiers (i)VNet-to-Internet or third-party Security Service (i)
  • Branche à Internet ou un service de sécurité tiers (j)Branch-to-Internet or third-party Security Service (j)

Transit sécurisé de réseau virtuel à réseau virtuel (e)VNet-to-VNet secured transit (e)

Le transit sécurisé de réseau virtuel à réseau virtuel permet d’interconnecter des réseaux virtuels par le biais du Pare-feu Azure dans le hub WAN virtuel.The VNet-to-VNet secured transit enables VNets to connect to each other via the Azure Firewall in the virtual WAN hub.

Réseau virtuel à Internet ou un service de sécurité tiers (i)VNet-to-Internet or third-party Security Service (i)

Le scénario Réseau virtuel à Internet permet de se connecter à Internet par le biais du Pare-feu Azure dans le hub Virtual WAN.The VNet-to-Internet enables VNets to connect to the internet via the Azure Firewall in the virtual WAN hub. Le trafic vers Internet via les services de sécurité tiers pris en charge n’est pas transmis via le Pare-feu Azure.Traffic to internet via supported third-party security services does not flow through the Azure Firewall. Vous pouvez configurer le chemin d’accès du réseau virtuel à Internet par le biais d’un service de sécurité tiers pris en charge avec Azure Firewall Manager.You can configure Vnet-to-Internet path via supported third-party security service using Azure Firewall Manager.

Branche à Internet ou un service de sécurité tiers (j)Branch-to-Internet or third-party Security Service (j)

Le scénario Branche à Internet permet aux branches de se connecter à Internet via le Pare-feu Azure dans le hub Virtual WAN.The Branch-to-Internet enables branches to connect to the internet via the Azure Firewall in the virtual WAN hub. Le trafic vers Internet via les services de sécurité tiers pris en charge n’est pas transmis via le Pare-feu Azure.Traffic to internet via supported third-party security services does not flow through the Azure Firewall. Vous pouvez configurer le chemin d’accès Branche à Internet par le biais d’un service de sécurité tiers pris en charge avec Azure Firewall Manager.You can configure Branch-to-Internet path via supported third-party security service using Azure Firewall Manager.

Comment faire activer l’itinéraire par défaut (0.0.0.0/0) dans un hub virtuel sécuriséHow do I enable default route (0.0.0.0/0) in a Secured Virtual Hub

Le Pare-feu Azure déployé dans un hub Virtual WAN (hub virtuel sécurisé) peut être configuré en tant que routeur par défaut vers Internet ou comme fournisseur de sécurité approuvé pour toutes les branches (connectées par VPN ou Express Route), les réseaux virtuels des rayons et les utilisateurs (connectés via un VPN P2S).Azure Firewall deployed in a Virtual WAN hub (Secure Virtual Hub) can be configured as default router to the Internet or Trusted Security Provider for all branches (connected by VPN or Express Route), spoke Vnets and Users (connected via P2S VPN). Cette configuration doit être effectuée à l’aide d’Azure Firewall Manager.This configuration must be done using Azure Firewall Manager. Consultez Acheminer le trafic vers votre hub pour configurer tout le trafic venant des branches (y compris les utilisateurs) et des réseaux virtuels vers Internet via le Pare-feu Azure.See Route Traffic to your hub to configure all traffic from branches (including Users) as well as Vnets to Internet via the Azure Firewall.

Il s’agit d’une configuration en deux étapes :This is a two step configuration:

  1. Configurer le routage du trafic Internet à l’aide du menu des paramètres de route du hub virtuel sécurisé.Configure Internet traffic routing using Secure Virtual Hub Route Setting menu. Configurez les réseaux virtuels et les branches qui peuvent envoyer le trafic vers Internet via le pare-feu.Configure Vnets and Branches that can send traffic to the internet via the Firewall.

  2. Configurez les connexions (réseau virtuel et branche) qui peuvent acheminer le trafic vers Internet (0.0.0.0/0) via le Pare-feu Azure dans le hub ou le fournisseur de sécurité approuvé.Configure which Connections (Vnet and Branch) can route traffic to the internet (0.0.0.0/0) via the Azure FW in the hub or Trusted Security Provider. Cette étape permet de s’assurer que la route par défaut est propagée vers les branches sélectionnées et les réseaux virtuels reliés au hub Virtual WAN via les connexions.This step ensures that the default route is propagated to selected branches and Vnets that are attached to the Virtual WAN hub via the Connections.

Forcer le tunneling du trafic vers le pare-feu local dans un hub virtuel sécuriséForce Tunneling Traffic to On-Premises Firewall in a Secured Virtual Hub

S’il existe déjà une route par défaut apprise (via BGP) par le hub virtuel depuis une des branches (VPN ou sites ER), cette route par défaut est remplacée par la route par défaut apprise depuis le paramètre Azure Firewall Manager.If there is already a default route learned (via BGP) by the Virtual Hub from one of the Branches (VPN or ER sites), this default route is overridden by the default route learned from Azure Firewall Manager setting. Dans ce cas, tout le trafic qui entre dans le hub en provenance de réseaux virtuels et de branches et destiné à Internet est acheminé vers le Pare-feu Azure ou le fournisseur de sécurité approuvé.In this case, all traffic that is entering the hub from Vnets and branches destined to internet, will be routed to the Azure Firewall or Trusted Security Provider.

Notes

Il n’existe actuellement aucune option permettant de sélectionner un pare-feu local ou le Pare-feu Azure (et un fournisseur de sécurité approuvé) pour le trafic destiné à Internet et provenant des réseaux virtuels, des branches ou des utilisateurs.Currently there is no option to select on-premises Firewall or Azure Firewall (and Trusted Security Provider) for internet bound traffic originating from Vnets, Branches or Users. La route par défaut apprise par le biais du paramètre Azure Firewall Manager est toujours préférée par rapport à la route par défaut apprise de l’une des branches.The default route learned from the Azure Firewall Manager setting is always preferred over the default route learned from one of the branches.

Étapes suivantesNext steps

Créez une connexion à l’aide de Virtual WAN et déployez le Pare-feu Azure dans les hubs VWAN.Create a connection using Virtual WAN and Deploy Azure Firewall in VWAN hub(s).