Conception de la passerelle VPN

Il est important de savoir qu’il existe différentes configurations disponibles pour les connexions aux passerelles VPN. Vous devez déterminer la configuration qui correspond le mieux à vos besoins. Dans les sections ci-dessous, vous pouvez afficher des informations de conception et des diagrammes de topologie sur les connexions de passerelle VPN suivantes. Utilisez les graphiques et les descriptions pour sélectionner la topologie de connexion répondant à vos besoins. Le graphique présente les principales topologies de base, mais il est possible de créer des configurations plus complexes à l’aide des diagrammes.

VPN de site à site

Une connexion par passerelle VPN site à site (S2S) est une connexion via un tunnel VPN IPsec/IKE (IKEv1 ou IKEv2). Les connexions S2S peuvent être utilisées pour les configurations hybrides et entre différents locaux. Une connexion site à site nécessite un appareil VPN local auquel est assignée une adresse IP publique. Pour plus d’informations sur la sélection d’un périphérique VPN, consultez VPN Gateway FAQ - VPN devices (FAQ sur la passerelle VPN - Périphériques VPN).

Azure VPN Gateway Site-to-Site connection example

La passerelle VPN peut être configurée en mode actif/en attente à l’aide d’une adresse IP publique ou en mode actif/actif à l’aide de deux adresses IP publiques. En mode actif/de secours, un tunnel IPsec est actif et l’autre est en veille. Dans cette configuration, le trafic transite par le tunnel actif et, si un problème se produit avec ce tunnel, le trafic bascule vers le tunnel de secours. La configuration d’une passerelle VPN en mode actif/actif est recommandée dans laquelle les deux tunnels IPsec sont simultanément actifs, les données transitant par les deux tunnels en même temps. L’un des avantages supplémentaires du mode actif/actif est que les clients bénéficient de débits plus élevés.

Vous pouvez créer plusieurs connexions VPN à partir de votre passerelle de réseau virtuel, généralement en vous connectant à plusieurs sites locaux. Lorsque vous travaillez avec plusieurs connexions, vous devez utiliser un type de VPN basé sur l’itinéraire (équivalent d’une passerelle dynamique pour les réseaux virtuels classiques). Chaque réseau virtuel ne pouvant disposer que d’une seule passerelle de réseau virtuel, toutes les connexions passant par la passerelle partagent la bande passante disponible. Pour ce type de connexion, on fait parfois référence à une connexion « multisite ».

Azure VPN Gateway Multi-Site connection example

Méthodes et modèles de déploiement pour les connexions S2S

Modèle/méthode de déploiement Azure portal PowerShell Azure CLI
Gestionnaire de ressources Didacticiel
Didacticiel
Didacticiel Didacticiel
Classique Didacticiel** Didacticiel Non pris en charge

( ** ) indique que cette méthode contient des étapes nécessitant PowerShell.

VPN de point à site

Une connexion par passerelle VPN point à site (P2S) vous permet de créer une connexion sécurisée à votre réseau virtuel à partir d’un ordinateur de client individuel. Une connexion P2S est établie en étant démarrée à partir de l’ordinateur client. Cette solution est utile pour les télétravailleurs souhaitant se connecter à un réseau virtuel à partir d’un emplacement distant, comme depuis leur domicile ou pendant une conférence. De même, l’utilisation d’un VPN P2S est une solution utile qui constitue une alternative au VPN Site à Site (S2S) lorsqu’un nombre restreint de clients doit se connecter à un réseau virtuel.

Contrairement aux connexions S2S, les connexions P2S ne nécessitent pas d’adresse IP publique locale ni de périphérique VPN. Les connexions P2S peuvent être utilisées avec des connexions S2S via la même passerelle VPN, dans la mesure où toutes les exigences de configuration des deux types de connexion sont compatibles. Pour plus d’informations sur les connexions point à site, consultez À propos des VPN point à site.

Azure VPN Gateway Point-to-Site connection example

Méthodes et modèles de déploiement pour les connexions P2S

Authentification par certificat Azure native

Modèle/méthode de déploiement Azure portal PowerShell
Gestionnaire de ressources Didacticiel Didacticiel
Classique Didacticiel Pris en charge

Authentification RADIUS

Modèle/méthode de déploiement Azure portal PowerShell
Gestionnaire de ressources Pris en charge Didacticiel
Classique Non pris en charge Non pris en charge

Connexions de réseau virtuel à réseau virtuel (tunnel VPN IPsec/IKE)

La connexion entre deux réseaux virtuels est semblable à la connexion d’un réseau virtuel à un emplacement de site local. Les deux types de connectivité font appel à une passerelle VPN pour offrir un tunnel sécurisé utilisant Ipsec/IKE. Vous pouvez même combiner une communication de réseau virtuel à réseau virtuel avec des configurations de connexion multi-sites. Vous établissez ainsi des topologies réseau qui combinent une connectivité entre différents locaux et une connectivité entre différents réseaux virtuels.

Les réseaux virtuels que vous connectez peuvent être situés :

  • dans la même région ou dans des régions différentes
  • dans le même abonnement ou dans des abonnements différents
  • dans le même modèle de déploiement ou dans des modèles de déploiement différents

Azure VPN Gateway VNet to VNet connection example

Connexions entre modèles de déploiement

Azure propose actuellement deux modèles de déploiement : le modèle classique et le modèle Resource Manager. Si vous utilisez Azure depuis un certain temps, vous avez probablement des machines virtuelles et des rôles d’instance Azure exécutés dans un réseau virtuel classique. Il est possible que vos nouvelles machines virtuelles et instances de rôle s’exécutent dans un réseau virtuel créé dans Resource Manager. Vous pouvez créer une connexion entre les réseaux virtuels pour permettre aux ressources dans un réseau virtuel de communiquer directement avec les ressources d’un autre réseau virtuel.

Peering de réseaux virtuels

Vous pouvez utiliser le peering de réseau virtuel pour créer votre connexion, tant que votre réseau virtuel répond à certaines exigences. Le peering de réseau virtuel n’utilise pas de passerelle de réseau virtuel. Pour plus d’informations, consultez l’article Peering de réseaux virtuels.

Modèles et méthodes de déploiement pour les connexions de réseau virtuel à réseau virtuel

Modèle/méthode de déploiement Azure portal PowerShell Azure CLI
Classique Didacticiel* Prise en charge Non pris en charge
Gestionnaire de ressources Didacticiel+ Didacticiel Didacticiel
Connexions entre différents modèles de déploiement Didacticiel* Didacticiel Non pris en charge

(+) indique que cette méthode de déploiement n’est disponible que pour les réseaux virtuels dans le même abonnement.
( * ) indique que cette méthode de déploiement requiert également PowerShell.

Coexistence de connexions ExpressRoute et de site à site

ExpressRoute est une connexion directe et privée à partir de votre réseau étendu (et non pas sur l’Internet public) vers les services Microsoft, y compris Azure. Le trafic VPN de site à site transite via l’Internet public tout en étant chiffré. La possibilité de configurer des connexions VPN de site à site et ExpressRoute pour le même réseau virtuel présente plusieurs avantages.

Vous pouvez configurer un VPN de site à site comme un chemin d’accès de basculement sécurisé pour ExpressRoute, ou utiliser des VPN de site à site pour vous connecter à des sites qui ne font pas partie de votre réseau, mais qui sont connectés via ExpressRoute. Notez que cette configuration nécessite deux passerelles de réseau virtuel pour un même réseau virtuel, une de type « Vpn », et l’autre de type « ExpressRoute ».

ExpressRoute and VPN Gateway coexisting connections example

Coexistence des méthodes et modèles de déploiement pour les connexions S2S et ExpressRoute

Modèle/méthode de déploiement Azure portal PowerShell
Gestionnaire de ressources Pris en charge Didacticiel
Classique Non pris en charge Didacticiel

Connexions hautement disponibles

Pour la planification et la conception des connexions à haut niveau de disponibilité, consultez Connexions hautement disponibles.

Étapes suivantes