Explorer Azure ExpressRoute

Dans la mesure où votre société traite des données hautement sensibles et stocke de grandes quantités d’informations dans Azure, la sécurité et la fiabilité des connexions sur Internet publiques suscitent certaines préoccupations. La société ne souhaite pas migrer toutes ses données vers Azure sans la garantie préalable de hauts niveaux de connectivité, de sécurité et de fiabilité.

Ici, nous irons au-delà des connexions passant par Internet, et nous traiterons des lignes dédiées directes dans les centres de données Azure.

Azure ExpressRoute

Microsoft Azure ExpressRoute permet aux organisations d’étendre leurs réseaux locaux à Microsoft Cloud via une connexion privée implémentée par un fournisseur de connectivité. Ceci signifie que la connectivité aux centres de données Azure ne passe pas par Internet, mais par une liaison dédiée. ExpressRoute facilite également les connexions efficaces avec d’autres services cloud Microsoft, par exemple Microsoft 365 et Dynamics 365.

Quelques-uns des avantages offerts par ExpressRoute :

  • Débits plus importants, entre 50 Mbits/s et 10 Gbits/s avec une mise à l’échelle dynamique de la bande passante

  • Latence plus faible

  • Plus grande fiabilité grâce au peering intégré

  • Sécurité élevée

ExpressRoute offre de nombreux autres avantages, tels que :

  • Connectivité à tous les services Azure pris en charge

  • Connectivité globale à toutes les régions (nécessite le module complémentaire premium)

  • Routage dynamique via le protocole BGP (Border Gateway Protocol)

  • Contrats de niveau de service (SLA) pour la disponibilité de la connexion

  • QoS (Qualité de Service) pour Skype Entreprise

En outre, il existe un module complémentaire premium pour ExpressRoute offrant des avantages tels qu’une augmentation des limites du nombre d’itinéraires, la connectivité de service global et un plus grand nombre de liens de réseau virtuel par circuit.

Modèles de connectivité ExpressRoute

Les connexions à ExpressRoute peuvent s’effectuer via les mécanismes suivants :

  • Un réseau VPN IP universel

  • Une interconnexion virtuelle via un échange Ethernet

  • Connexions Ethernet point à point

Les capacités et fonctionnalités de ExpressRoute sont identiques pour tous les modèles de connectivité ci-dessus.

Qu’est-ce que la connectivité de couche 3 ?

Microsoft utilise un protocole de routage dynamique standard (BGP) pour échanger des routages entre votre réseau local, vos instances dans Azure et les adresses publiques Microsoft. Nous établissons plusieurs sessions BGP avec votre réseau pour tester différents profils de trafic.

Réseaux universels (IPVPN)

Les fournisseurs IPVPN fournissent généralement une connectivité entre les succursales et votre centre de données d’entreprise via des connexions de couche 3 gérées. Grâce à ExpressRoute, les centres de données Azure apparaissent comme d’autres succursales.

Une interconnexion virtuelle via un échange Ethernet

Si votre organisation est colocalisée avec un équipement d’échange cloud, vous demandez des interconnexions vers Microsoft Cloud, par l’intermédiaire de l’échange Ethernet de votre fournisseur. Ces interconnexions vers Microsoft Cloud peuvent fonctionner par l’intermédiaire de connexions gérées de couche 2 ou 3, comme dans le modèle OSI de mise en réseau.

Connexions Ethernet point à point

Des liaisons Ethernet de point à point peuvent fournir des connexions gérées de couche 2 ou 3 entre vos centres de données ou bureaux locaux et Microsoft Cloud.

Fonctionnement d’ExpressRoute

Azure ExpressRoute utilise une combinaison des circuits et des domaines de routage ExpressRoute pour fournir une connectivité à large bande passante vers Microsoft Cloud.

Que sont les circuits ExpressRoute

Un circuit ExpressRoute est la connexion logique entre votre infrastructure locale et Microsoft Cloud. Un fournisseur de connectivité implémente cette connexion, bien que certaines organisations utilisent plusieurs fournisseurs de connectivité pour des raisons de redondance. Chaque circuit dispose d’une bande passante fixe de 50, 100, 200 ou 500 Mbits/s, ou de 1 ou 10 Gbits/s, et chacun d’eux mappe à un fournisseur de connectivité et à un emplacement de peering. De plus, des limites et des quotas par défaut s’appliquent à chaque circuit ExpressRoute.

Un circuit ExpressRoute n’est pas l’équivalent d’une connexion réseau ou d’un périphérique réseau. Chaque circuit est défini par un GUID, appelé service ou clé de service. Cette clé de service fournit le lien de connectivité entre Microsoft, votre fournisseur de connectivité et votre organisation. Il ne s’agit pas d’un secret de chiffrement. Chaque clé de service a un mappage un-à-un à un circuit Azure ExpressRoute.

Chaque circuit peut avoir jusqu’à deux peerings, qui sont une paire de sessions BGP configurées pour la redondance. Il s'agit de :

  • Privé Azure
  • Microsoft

Domaines de routage

Les circuits ExpressRoute sont ensuite mappés à des domaines de routage, chaque circuit ExpressRoute ayant plusieurs domaines de routage. Ces domaines sont les mêmes que les deux peerings répertoriés ci-dessus. Dans une configuration actif-actif, chaque paire de routeurs aurait chaque domaine de routage configuré de manière identique, offrant ainsi une haute disponibilité. Les noms de peering privé Azure représentent les schémas d’adressage IP.

Peering privé Azure

Le peering privé Azure se connecte à des services de calcul Azure comme les machines virtuelles et les services cloud déployés avec un réseau virtuel. Du point de vue de la sécurité, le domaine de peering privé est une simple extension de votre réseau local dans Azure. Vous activez ensuite une connectivité bidirectionnelle entre ce réseau et des réseaux virtuels Azure, rendant les adresses IP des machines virtuelles Azure visibles au sein de votre réseau interne.

Vous ne pouvez connecter qu’un seul réseau virtuel au domaine de peering privé.

Peering Microsoft

Le peering Microsoft prend en charge les connexions à des offres SaaS basées sur le cloud, comme Microsoft 365 et Dynamics 365. Cette option de peering fournit une connectivité bidirectionnelle entre le réseau étendu de votre entreprise et des services cloud de Microsoft.

Intégrité ExpressRoute

Comme pour la plupart des fonctionnalités de Microsoft Azure, vous pouvez superviser le bon fonctionnement des connexions ExpressRoute. La surveillance inclut la couverture des domaines suivants :

  • Disponibilité
  • Connectivité à des réseaux virtuels
  • Utilisation de la bande passante

L’outil clé pour cette activité de supervision est Network Performance Monitor, en particulier NPM pour ExpressRoute.

Azure ExpressRoute est utilisé pour créer des connexions privées entre les centres de données Azure et une infrastructure locale ou dans un environnement de colocalisation. Les connexions ExpressRoute ne sont pas établies via le réseau Internet public. Elles offrent une plus grande fiabilité, des débits plus importants et des latences moindres par rapport aux connexions Internet classiques.