Qu’est-ce qu’une passerelle VPN ?What is VPN Gateway?

Une passerelle VPN est un type spécifique de passerelle de réseau virtuel qui est utilisé pour envoyer du trafic chiffré entre un réseau virtuel Azure et un emplacement sur site via l’Internet public.A VPN gateway is a specific type of virtual network gateway that is used to send encrypted traffic between an Azure virtual network and an on-premises location over the public Internet. Vous pouvez également utiliser des passerelles VPN pour envoyer du trafic chiffré entre les réseaux virtuels Azure sur le réseau Microsoft.You can also use a VPN gateway to send encrypted traffic between Azure virtual networks over the Microsoft network. Chaque réseau virtuel ne peut posséder qu’une seule passerelle VPN.Each virtual network can have only one VPN gateway. Toutefois, vous pouvez créer plusieurs connexions à la même passerelle VPN.However, you can create multiple connections to the same VPN gateway. Lorsque vous créez plusieurs connexions à la même passerelle VPN, tous les tunnels VPN partagent la bande passante de passerelle disponible.When you create multiple connections to the same VPN gateway, all VPN tunnels share the available gateway bandwidth.

Qu’est-ce qu’une passerelle de réseau virtuel ?What is a virtual network gateway?

Une passerelle de réseau virtuel est composée de deux machines virtuelles ou plus déployées sur un sous-réseau spécifique que vous créez, appelé sous-réseau de la passerelle.A virtual network gateway is composed of two or more VMs that are deployed to a specific subnet you create called the gateway subnet. Les machines virtuelles de passerelle de réseau virtuel contiennent des tables de routage et exécutent des services de passerelle spécifiques.Virtual network gateway VMs contain routing tables and run specific gateway services. Ces machines virtuelles sont créées lorsque vous créez la passerelle de réseau virtuel.These VMs are created when you create the virtual network gateway. Vous ne pouvez pas configurer directement les machines virtuelles qui font partie de la passerelle de réseau virtuel.You can't directly configure the VMs that are part of the virtual network gateway.

Quand vous configurez une passerelle de réseau virtuel, vous configurez un paramètre qui spécifie le type de passerelle.When you configure a virtual network gateway, you configure a setting that specifies the gateway type. Le type de passerelle détermine la manière dont la passerelle de réseau virtuel est utilisée et les actions qu’elle exécute.The gateway type determines how the virtual network gateway will be used and the actions that the gateway takes. Le type de passerelle « Vpn » spécifie que le type de passerelle de réseau virtuel créé est une « passerelle VPN ».The gateway type 'Vpn' specifies that the type of virtual network gateway created is a 'VPN gateway'. Ceci la distingue d’une passerelle ExpressRoute, qui utilise un type de passerelle différent.This distinguishes it from an ExpressRoute gateway, which uses a different gateway type. Un réseau virtuel peut avoir deux passerelles de réseau virtuel : une passerelle VPN et une passerelle ExpressRoute.A virtual network can have two virtual network gateways; one VPN gateway and one ExpressRoute gateway. Pour plus d’informations, consultez Types de passerelle.For more information, see Gateway types.

La création d’une passerelle de réseau virtuel peut prendre jusqu’à 45 minutes.Creating a virtual network gateway can take up to 45 minutes to complete. Lors de la création d’une passerelle de réseau virtuel, les machines virtuelles de passerelle sont déployées sur le sous-réseau de la passerelle et configurées avec les paramètres que vous spécifiez.When you create a virtual network gateway, gateway VMs are deployed to the gateway subnet and configured with the settings that you specify. Après avoir créé une passerelle VPN, vous pouvez créer une connexion de tunnel IPsec/IKE VPN entre cette passerelle VPN et une autre (de réseau virtuel à réseau virtuel), ou créer une connexion de tunnel IPsec/IKE VPN intersite entre la passerelle VPN et un périphérique VPN local (de site à site).After you create a VPN gateway, you can create an IPsec/IKE VPN tunnel connection between that VPN gateway and another VPN gateway (VNet-to-VNet), or create a cross-premises IPsec/IKE VPN tunnel connection between the VPN gateway and an on-premises VPN device (Site-to-Site). Vous pouvez également créer une connexion VPN de point à site (VPN sur OpenVPN, IKEv2 ou SSTP), ce qui vous permet de vous connecter à votre réseau virtuel à partir d’un emplacement distant, par exemple une salle de conférence ou votre domicile.You can also create a Point-to-Site VPN connection (VPN over OpenVPN, IKEv2, or SSTP), which lets you connect to your virtual network from a remote location, such as from a conference or from home.

Configuration d’une passerelle VPNConfiguring a VPN Gateway

Une connexion par passerelle VPN s’appuie sur plusieurs ressources qui sont configurées avec des paramètres spécifiques.A VPN gateway connection relies on multiple resources that are configured with specific settings. La plupart des ressources peuvent être configurées séparément, mais certaines d’entre elles doivent être configurées dans un certain ordre.Most of the resources can be configured separately, although some resources must be configured in a certain order.

ConceptionDesign

Il est important de savoir qu’il existe différentes configurations disponibles pour les connexions aux passerelles VPN.It's important to know that there are different configurations available for VPN gateway connections. Vous devez déterminer la configuration qui correspond le mieux à vos besoins.You need to determine which configuration best fits your needs. Par exemple, les instructions et exigences de configuration sont différentes entre les connexions point à site, site à site et ExpressRoute/site à site coexistantes.For example, Point-to-Site, Site-to-Site, and coexisting ExpressRoute/Site-to-Site connections all have different instructions and configuration requirements. Pour plus d’informations sur la conception et pour voir des diagrammes de topologie de connexion, consultez Conception.For information about design and to view connection topology diagrams, see Design.

Tableau de planificationPlanning table

Le tableau suivant peut vous aider à déterminer la meilleure option de connectivité pour votre solution.The following table can help you decide the best connectivity option for your solution.

De point à sitePoint-to-Site De site à siteSite-to-Site ExpressRouteExpressRoute
Services pris en charge par AzureAzure Supported Services Cloud Services et Virtual MachinesCloud Services and Virtual Machines Cloud Services et Virtual MachinesCloud Services and Virtual Machines Liste des servicesServices list
Bandes passantes classiquesTypical Bandwidths Basé sur la référence SKU de passerelleBased on the gateway SKU En règle générale < 1 Gbit/s agrégéTypically < 1 Gbps aggregate 50 Mbit/s, 100 Mbit/s, 200 Mbit/s, 500 Mbit/s, 1 Gbit/s, 2 Gbit/s, 5 Gbit/s, 10 Gbit/s50 Mbps, 100 Mbps, 200 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps, 10 Gbps
Protocoles pris en chargeProtocols Supported Secure Sockets Tunneling Protocol (SSTP), OpenVPN et IPsecSecure Sockets Tunneling Protocol (SSTP), OpenVPN and IPsec IPsecIPsec Connexion directe sur des VLAN, les technologies VPN des fournisseurs de services réseau (MPLS, VPLS,...)Direct connection over VLANs, NSP's VPN technologies (MPLS, VPLS,...)
RoutageRouting RouteBased (dynamique)RouteBased (dynamic) Nous prenons en charge le routage basé sur des stratégies (statique) et basé sur un itinéraire (VPN de routage dynamique)We support PolicyBased (static routing) and RouteBased (dynamic routing VPN) BGPBGP
Résilience de connexionConnection resiliency actif / passifactive-passive actif/passif ou actif/actifactive-passive or active-active actif / actifactive-active
Cas d’utilisation classiqueTypical use case Sécuriser l’accès aux réseaux virtuels Azure pour les utilisateurs distantsSecure access to Azure virtual networks for remote users Scénarios de développement / test / labo et charges de travail de production à petite ou moyenne échelle pour les services cloud et les machines virtuellesDev / test / lab scenarios and small to medium scale production workloads for cloud services and virtual machines Accès à tous les services Azure (liste validée), charges de travail professionnelles et critiques, sauvegarde, Big Data, Azure sous la forme d'un site de récupération d'urgenceAccess to all Azure services (validated list), Enterprise-class and mission critical workloads, Backup, Big Data, Azure as a DR site
CONTRAT SLASLA CONTRAT SLASLA CONTRAT SLASLA CONTRAT SLASLA
TarificationPricing TarificationPricing TarificationPricing TarificationPricing
Documentation techniqueTechnical Documentation Documentation sur la passerelle VPNVPN Gateway Documentation Documentation sur la passerelle VPNVPN Gateway Documentation Documentation ExpressRouteExpressRoute Documentation
FORUM AUX QUESTIONSFAQ FAQ sur la passerelle VPNVPN Gateway FAQ FAQ sur la passerelle VPNVPN Gateway FAQ FAQ sur ExpressRouteExpressRoute FAQ

ParamètresSettings

Les paramètres que vous avez choisis pour chaque ressource sont essentiels à la création d’une connexion réussie.The settings that you chose for each resource are critical to creating a successful connection. Pour plus d’informations sur les ressources et paramètres spécifiques pour la passerelle VPN, consultez À propos des paramètres de passerelle VPN.For information about individual resources and settings for VPN Gateway, see About VPN Gateway settings. L’article contient des informations pour vous aider à comprendre les types de passerelle, les références SKU des passerelles, les types de VPN, les types de connexion, les sous-réseaux de passerelle, les passerelles de réseau local et divers autres paramètres de ressource que vous pouvez vouloir prendre en compte.The article contains information to help you understand gateway types, gateway SKUs, VPN types, connection types, gateway subnets, local network gateways, and various other resource settings that you may want to consider.

Outils de déploiementDeployment tools

Vous pouvez commencer par créer et configurer des ressources à l’aide de l’un des outils de configuration, comme le portail Azure.You can start out creating and configuring resources using one configuration tool, such as the Azure portal. Vous pouvez décider de passer à un autre outil, tel que PowerShell, pour configurer des ressources supplémentaires ou pour modifier les ressources existantes, le cas échéant.You can later decide to switch to another tool, such as PowerShell, to configure additional resources, or modify existing resources when applicable. Il n’est pour le moment pas possible de configurer toutes les ressources et tous les paramètres des ressources dans le portail Azure.Currently, you can't configure every resource and resource setting in the Azure portal. Les instructions fournies dans les articles dédiés à chaque topologie de connexion indiquent si un outil de configuration spécifique est requis.The instructions in the articles for each connection topology specify when a specific configuration tool is needed.

SKU de passerelleGateway SKUs

Lorsque vous créez une passerelle de réseau virtuel, vous spécifiez la référence SKU de passerelle que vous voulez utiliser.When you create a virtual network gateway, you specify the gateway SKU that you want to use. Sélectionnez la référence SKU qui répond à vos besoins en fonction des types de charges de travail, des débits, des fonctionnalités et des contrats de niveau de service.Select the SKU that satisfies your requirements based on the types of workloads, throughputs, features, and SLAs.

Références SKU de passerelle par tunnel, connexion et débitGateway SKUs by tunnel, connection, and throughput

Génération
de passerelle
VPN
VPN
Gateway
Generation
Référence (SKU)SKU S2S/VNet-to-VNet
Tunnels
S2S/VNet-to-VNet
Tunnels
P2S
connexions SSTP
P2S
SSTP Connections
P2S
connexions IKEv2/OpenVPN
P2S
IKEv2/OpenVPN Connections
Agrégat
Référence de débit
Aggregate
Throughput Benchmark
BGPBGP Redondant interzoneZone-redundant
Génération1Generation1 De baseBasic Bande passanteMax. 1010 Bande passanteMax. 128128 Non pris en chargeNot Supported 100 Mbits/s100 Mbps Non pris en chargeNot Supported NonNo
Génération1Generation1 VpnGw1VpnGw1 Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 250250 650 Mbits/s650 Mbps Prise en chargeSupported NonNo
Génération1Generation1 VpnGw2VpnGw2 Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 500500 1 Gbit/s1 Gbps Prise en chargeSupported NonNo
Génération1Generation1 VpnGw3VpnGw3 Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 1 0001000 1,25 Gbits/s1.25 Gbps Prise en chargeSupported NonNo
Génération1Generation1 VpnGw1AZVpnGw1AZ Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 250250 650 Mbits/s650 Mbps Prise en chargeSupported OuiYes
Génération1Generation1 VpnGw2AZVpnGw2AZ Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 500500 1 Gbit/s1 Gbps Prise en chargeSupported OuiYes
Génération1Generation1 VpnGw3AZVpnGw3AZ Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 1 0001000 1,25 Gbits/s1.25 Gbps Prise en chargeSupported OuiYes
Génération2Generation2 VpnGw2VpnGw2 Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 500500 1,25 Gbits/s1.25 Gbps Prise en chargeSupported NonNo
Génération2Generation2 VpnGw3VpnGw3 Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 1 0001000 2,5 Gbits/s2.5 Gbps Prise en chargeSupported NonNo
Génération2Generation2 VpnGw4VpnGw4 Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 5 0005000 5 Gbit/s5 Gbps Prise en chargeSupported NonNo
Génération2Generation2 VpnGw5VpnGw5 Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 1000010000 10 Gbits/s10 Gbps Prise en chargeSupported NonNo
Génération2Generation2 VpnGw2AZVpnGw2AZ Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 500500 1,25 Gbits/s1.25 Gbps Prise en chargeSupported OuiYes
Génération2Generation2 VpnGw3AZVpnGw3AZ Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 1 0001000 2,5 Gbits/s2.5 Gbps Prise en chargeSupported OuiYes
Génération2Generation2 VpnGw4AZVpnGw4AZ Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 5 0005000 5 Gbit/s5 Gbps Prise en chargeSupported OuiYes
Génération2Generation2 VpnGw5AZVpnGw5AZ Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 1000010000 10 Gbits/s10 Gbps Prise en chargeSupported OuiYes

(*) Utilisez le WAN virtuel si vous avez besoin de plus de 30 tunnels VPN S2S.(*) Use Virtual WAN if you need more than 30 S2S VPN tunnels.

  • Le redimensionnement des références SKU VpnGw est autorisé dans la même génération, à l’exception du redimensionnement de la référence SKU De base.The resizing of VpnGw SKUs is allowed within the same generation, except resizing of the Basic SKU. La référence SKU De base est une référence SKU héritée et présente des limitations en termes de fonctionnalités.The Basic SKU is a legacy SKU and has feature limitations. Pour passer de la référence SKU De base à une autre référence SKU VpnGw, vous devez supprimer la passerelle VPN de la référence SKU De base et créer une passerelle avec la combinaison de taille de référence SKU et de génération souhaitée.In order to move from Basic to another VpnGw SKU, you must delete the Basic SKU VPN gateway and create a new gateway with the desired Generation and SKU size combination.

  • Ces limites de connexion sont séparées.These connection limits are separate. Par exemple, vous pouvez avoir 128 connexions SSTP et 250 connexions IKEv2 sur une référence SKU VpnGw1.For example, you can have 128 SSTP connections and also 250 IKEv2 connections on a VpnGw1 SKU.

  • Pour des informations sur les prix, consultez la page Tarification .Pricing information can be found on the Pricing page.

  • Vous trouverez des informations relatives au contrat de niveau de service (SLA) sur la page SLA.SLA (Service Level Agreement) information can be found on the SLA page.

  • Dans un tunnel unique, un débit maximal de 1 Gbit/s peut être atteint.On a single tunnel a maximum of 1 Gbps throughput can be achieved. La référence de débit agrégée indiquée dans le tableau ci-dessus se base sur les mesures de plusieurs tunnels agrégés par le biais d’une passerelle unique.Aggregate Throughput Benchmark in the above table is based on measurements of multiple tunnels aggregated through a single gateway. Le test d’évaluation du débit d’agrégat pour une passerelle VPN est S2S + P2S combinés.The Aggregate Throughput Benchmark for a VPN Gateway is S2S + P2S combined. Si vous avez un grand nombre de connexions P2S, cela peut avoir un impact négatif sur la connexion S2S à cause des limites de débit.If you have a lot of P2S connections, it can negatively impact a S2S connection due to throughput limitations. La référence de débit agrégée n’est pas garantie en raison des conditions de trafic Internet et des comportements de votre application.The Aggregate Throughput Benchmark is not a guaranteed throughput due to Internet traffic conditions and your application behaviors.

Pour aider nos clients à comprendre les performances relatives des références SKU à l’aide de différents algorithmes, nous avons utilisé les outils disponibles publiquement iPerf et CTSTraffic pour mesurer les performances.To help our customers understand the relative performance of SKUs using different algorithms, we used publicly available iPerf and CTSTraffic tools to measure performances. Le tableau ci-dessous liste les résultats des tests de performances des références SKU VpnGw de génération 1.The table below lists the results of performance tests for Generation 1, VpnGw SKUs. Comme vous pouvez le voir, les meilleures performances sont obtenues quand nous utilisons l’algorithme GCMAES256 pour le chiffrement IPsec et pour l’intégrité.As you can see, the best performance is obtained when we used GCMAES256 algorithm for both IPsec Encryption and Integrity. Nous obtenons des performances moyennes lors de l’utilisation d’AES256 pour le chiffrement IPsec et de SHA256 pour l’intégrité.We got average performance when using AES256 for IPsec Encryption and SHA256 for Integrity. Quand nous utilisons DES3 pour le chiffrement IPsec et SHA256 pour l’intégrité, nous obtenons les performances les plus faibles.When we used DES3 for IPsec Encryption and SHA256 for Integrity we got lowest performance.

GénérationGeneration Référence (SKU)SKU Algorithmes
utilisés
Algorithms
used
Débit
observé
Throughput
observed
Paquets par seconde
observés
Packets per second
observed
Génération1Generation1 VpnGw1VpnGw1 GCMAES256GCMAES256
AES256 et SHA256AES256 & SHA256
DES3 et SHA256DES3 & SHA256
650 Mbits/s650 Mbps
500 Mbits/s500 Mbps
120 Mbits/s120 Mbps
58 00058,000
50 00050,000
50 00050,000
Génération1Generation1 VpnGw2VpnGw2 GCMAES256GCMAES256
AES256 et SHA256AES256 & SHA256
DES3 et SHA256DES3 & SHA256
1 Gbit/s1 Gbps
500 Mbits/s500 Mbps
120 Mbits/s120 Mbps
90 00090,000
80 00080,000
55 00055,000
Génération1Generation1 VpnGw3VpnGw3 GCMAES256GCMAES256
AES256 et SHA256AES256 & SHA256
DES3 et SHA256DES3 & SHA256
1,25 Gbits/s1.25 Gbps
550 Mbits/s550 Mbps
120 Mbits/s120 Mbps
105 000105,000
90 00090,000
60 00060,000
Génération1Generation1 VpnGw1AZVpnGw1AZ GCMAES256GCMAES256
AES256 et SHA256AES256 & SHA256
DES3 et SHA256DES3 & SHA256
650 Mbits/s650 Mbps
500 Mbits/s500 Mbps
120 Mbits/s120 Mbps
58 00058,000
50 00050,000
50 00050,000
Génération1Generation1 VpnGw2AZVpnGw2AZ GCMAES256GCMAES256
AES256 et SHA256AES256 & SHA256
DES3 et SHA256DES3 & SHA256
1 Gbit/s1 Gbps
500 Mbits/s500 Mbps
120 Mbits/s120 Mbps
90 00090,000
80 00080,000
55 00055,000
Génération1Generation1 VpnGw3AZVpnGw3AZ GCMAES256GCMAES256
AES256 et SHA256AES256 & SHA256
DES3 et SHA256DES3 & SHA256
1,25 Gbits/s1.25 Gbps
550 Mbits/s550 Mbps
120 Mbits/s120 Mbps
105 000105,000
90 00090,000
60 00060,000

Zones de disponibilitéAvailability Zones

Des passerelles VPN peuvent être déployées dans des zones de disponibilité Azure.VPN gateways can be deployed in Azure Availability Zones. Cela apporte de la résilience, de l’extensibilité et une plus grande disponibilité aux passerelles de réseau virtuel.This brings resiliency, scalability, and higher availability to virtual network gateways. Le déploiement de passerelles dans les zones de disponibilité Azure sépare les passerelles physiquement et logiquement au sein d’une région, tout en protégeant votre connectivité de réseau local à Azure à partir d’échecs au niveau de la zone.Deploying gateways in Azure Availability Zones physically and logically separates gateways within a region, while protecting your on-premises network connectivity to Azure from zone-level failures. Consultez À propos des passerelles de réseau virtuel redondantes interzone dans les Zones de disponibilité Azure.see About zone-redundant virtual network gateways in Azure Availability Zones.

TarifsPricing

Vous payez deux choses : les coûts horaires de calcul de la passerelle de réseau virtuel, et les coûts de transfert des données sortantes à partir de la passerelle de réseau virtuel.You pay for two things: the hourly compute costs for the virtual network gateway, and the egress data transfer from the virtual network gateway. Pour des informations sur les prix, consultez la page Tarification .Pricing information can be found on the Pricing page. Pour connaître les tarifs des références SKU existantes de la passerelle, consultez la page des tarifs ExpressRoute et accédez à la section Passerelles de réseau virtuel.For legacy gateway SKU pricing, see the ExpressRoute pricing page and scroll to the Virtual Network Gateways section.

Coûts de calcul de la passerelle de réseau virtuelVirtual network gateway compute costs
Chaque passerelle de réseau virtuel a un coût horaire de calcul.Each virtual network gateway has an hourly compute cost. Le prix est basé sur la référence SKU de passerelle que vous spécifiez lorsque vous créez une passerelle de réseau virtuel.The price is based on the gateway SKU that you specify when you create a virtual network gateway. Le coût est celui de la passerelle elle-même. Il s’ajoute au coût du transfert des données qui transitent par la passerelle.The cost is for the gateway itself and is in addition to the data transfer that flows through the gateway. Le coût d’une configuration actif-actif est identique à celui d’une configuration actif-passif.Cost of an active-active setup is the same as active-passive.

Coût de transfert des donnéesData transfer costs
Les coûts de transfert de données sont calculés en fonction du trafic sortant à partir de la passerelle de réseau virtuel source.Data transfer costs are calculated based on egress traffic from the source virtual network gateway.

  • Si vous envoyez du trafic vers votre périphérique VPN local, il est facturé avec le taux de transfert des données sortantes sur Internet.If you are sending traffic to your on-premises VPN device, it will be charged with the Internet egress data transfer rate.
  • Si vous envoyez le trafic entre les réseaux virtuels dans différentes régions, la tarification est basée sur la région.If you are sending traffic between virtual networks in different regions, the pricing is based on the region.
  • Si vous envoyez le trafic seulement entre les réseaux virtuels qui sont dans la même région, il n’y a aucun coût de données.If you are sending traffic only between virtual networks that are in the same region, there are no data costs. Le trafic entre les réseaux virtuels dans la même région est gratuit.Traffic between VNets in the same region is free.

Pour plus d’informations sur les références de passerelle pour la passerelle VPN, consultez Références (SKU) de passerelle.For more information about gateway SKUs for VPN Gateway, see Gateway SKUs.

Forum Aux QuestionsFAQ

Pour les questions fréquemment posées sur la passerelle VPN, consultez le Forum aux questions sur la passerelle VPN.For frequently asked questions about VPN gateway, see the VPN Gateway FAQ.

NouveautésWhat's new?

Abonnez-vous au flux RSS et consultez les dernières mises à jour des fonctionnalités Passerelle VPN dans la page Mises à jour Azure.Subscribe to the RSS feed and view the latest VPN Gateway feature updates on the Azure Updates page.

Étapes suivantesNext steps