Connecter des réseaux locaux à Azure à l’aide de passerelles VPN site à site
Un réseau privé virtuel (VPN) est un type de réseau privé interconnecté. Les réseaux VPN utilisent un tunnel chiffré dans un autre réseau. Ils sont généralement déployés pour connecter plusieurs réseaux privés approuvés l’un à l’autre via un réseau non approuvé (en général l’Internet public). Le trafic est chiffré lors de son déplacement sur le réseau non approuvé pour empêcher les écoutes clandestines ou autres attaques.
Pour le cabinet médical de notre scénario, les VPN peuvent permettre aux professionnels de la santé de partager des informations sensibles d’un emplacement à l’autre. Par exemple, un patient peut nécessiter un acte chirurgical dans la clinique d’un spécialiste. L’équipe chirurgicale doit être en mesure de voir les détails de l’historique médical du patient. Ces données médicales sont stockées sur un système dans Azure. Un VPN qui connecte la clinique à Azure permet à l’équipe chirurgicale d’accéder à ces informations de manière sécurisée.
Passerelles VPN Azure
Une passerelle VPN est un type de passerelle de réseau virtuel. Les passerelles VPN sont déployées dans des réseaux virtuels Azure et permettent la connectivité suivante :
- Connecter des centres de données locaux aux réseaux virtuels Azure via une connexion site à site.
- Connecter des appareils individuels aux réseaux virtuels Azure via une connexion point à site.
- Connecter des réseaux virtuels Azure à d’autres réseaux virtuels Azure via une connexion réseau à réseau.
Toutes les données transférées sont chiffrées dans un tunnel privé quand elles transitent par Internet. Vous pouvez déployer une seule passerelle VPN dans chaque réseau virtuel, mais vous pouvez utiliser une passerelle pour vous connecter à plusieurs emplacements, notamment d’autres réseaux virtuels Azure ou des centres de données locaux.
Quand vous déployez une passerelle VPN, vous spécifiez le type de VPN : basé sur une route ou sur une stratégie. La principale différence entre ces deux types de VPN est la façon dont est spécifié le trafic chiffré.
VPN basés sur une stratégie
Les passerelles VPN basées sur une stratégie spécifient de manière statique l’adresse IP des paquets qui doivent être chiffrés via chaque tunnel. Ce type d’appareil évalue chaque paquet de données par rapport à ces jeux d’adresses IP pour choisir le tunnel à partir duquel le paquet sera envoyé. Les passerelles VPN basées sur des stratégies sont limitées en termes de fonctionnalités et de connexions qui peuvent être prises en charge. Les principales fonctionnalités des passerelles VPN basées sur une stratégie dans Azure sont les suivantes :
- Prise en charge d’IKEv1 uniquement.
- Utilisation du routage statique, où les combinaisons de préfixes d’adresse des deux réseaux contrôlent comment le trafic est chiffré et déchiffré via le tunnel VPN. La source et la destination des réseaux par tunnel sont déclarées dans la stratégie et n’ont pas besoin d’être déclarées dans des tables de routage.
- Les VPN basés sur une stratégie doivent être utilisés dans des scénarios spécifiques qui en ont besoin, par exemple pour la compatibilité avec les appareils VPN locaux hérités.
VPN basés sur une route
Si la définition des adresses IP qui se trouvent derrière chaque tunnel est trop lourde dans votre situation ou que vous avez besoin de fonctionnalités et de connexions que les passerelles basées sur une stratégie ne prennent pas en charge, utilisez des passerelles basées sur une route. Avec les passerelles basées sur l’itinéraire, les tunnels IPSec sont modélisés en tant qu’interface réseau ou interface VTI (virtual tunnel interface). Le routage IP (routes statiques ou protocoles de routage dynamique) détermine les interfaces de tunnel auxquelles envoyer chaque paquet. Les VPN basés sur une route sont la méthode de connexion par défaut pour les appareils locaux, car ils sont plus résistants aux changements de topologie, par exemple pendant la création de nouveaux sous-réseaux. Utilisez une passerelle VPN basée sur une route si vous avez besoin des types de connectivité suivants :
- Connexion entre réseaux virtuels
- Connexions point à site
- Connexions multisites
- Coexistence avec une passerelle Azure ExpressRoute
Voici les principales fonctionnalités des passerelles VPN basées sur un itinéraire dans Azure :
- Prise en charge d’IKEv2.
- Utilisation des sélecteurs de trafic universels (caractère générique).
- Possibilité d’utiliser des protocoles de routage dynamique, où les tables de routage/transfert dirigent le trafic vers différents tunnels IPSec. Dans ce cas, les réseaux source et de destination ne sont pas définis de manière statique, car ils se trouvent dans des VPN basés sur une stratégie, voire dans des VPN basés sur un itinéraire avec routage statique. À la place, les paquets de données sont chiffrés en fonction des tables de routage réseau qui sont créées dynamiquement avec des protocoles de routage comme BGP (Border Gateway Protocol).
Les deux types de passerelles VPN (basé sur une route et basé sur une stratégie) dans Azure utilisent une clé prépartagée comme seule méthode d’authentification. Les deux types s’appuient également sur le protocole IKE (Internet Key Exchange) version 1 ou version 2, et le protocole IPSec (Internet Protocol Security). IKE permet de configurer une association de sécurité (un accord de chiffrement) entre deux points de terminaison. Cette association est ensuite transmise à la suite IPSec, qui chiffre et déchiffre les paquets de données encapsulés dans le tunnel VPN.
Tailles de passerelle VPN
Les fonctionnalités de votre passerelle VPN sont déterminées par la référence SKU ou la taille que vous déployez. Ce tableau montre des exemples de certaines des références SKU de passerelle. Les nombres dans ce tableau sont susceptibles de changer à tout moment. Pour plus d’informations, consultez Références SKU de passerelle dans la documentation de passerelle VPN Azure. La référence SKU de passerelle De base ne doit être utilisée que pour les charges de travail Dev/Test. De plus, il n’est pas possible d’effectuer la migration d’une référence SKU de base vers une référence VpnGw#/Az à une date ultérieure sans avoir à supprimer la passerelle puis à la redéployer.
| VPN Passerelle Génération |
Référence (SKU) | S2S/VNet-to-VNet Tunnels |
P2S Connexions SSTP |
P2S Connexions IKEv2/OpenVPN |
Agrégat Évaluation du débit |
BGP | Redondant interzone | Nombre de machines virtuelles prises en charge dans le réseau virtuel |
|---|---|---|---|---|---|---|---|---|
| Génération1 | De base | Bande passante 10 | Bande passante 128 | Non pris en charge | 100 Mbits/s | Non pris en charge | Non | 200 |
| Génération1 | VpnGw1 | Bande passante 30 | Bande passante 128 | Bande passante 250 | 650 Mbits/s | Pris en charge | Non | 450 |
| Génération1 | VpnGw2 | Bande passante 30 | Bande passante 128 | Bande passante 500 | 1 Gbit/s | Pris en charge | Non | 1300 |
| Génération1 | VpnGw3 | Bande passante 30 | Bande passante 128 | Bande passante 1 000 | 1,25 Gbits/s | Pris en charge | Non | 4000 |
| Génération1 | VpnGw1AZ | Bande passante 30 | Bande passante 128 | Bande passante 250 | 650 Mbits/s | Pris en charge | Oui | 1000 |
| Génération1 | VpnGw2AZ | Bande passante 30 | Bande passante 128 | Bande passante 500 | 1 Gbit/s | Pris en charge | Oui | 2000 |
| Génération1 | VpnGw3AZ | Bande passante 30 | Bande passante 128 | Bande passante 1 000 | 1,25 Gbits/s | Pris en charge | Oui | 5 000 |
| Génération2 | VpnGw2 | Bande passante 30 | Bande passante 128 | Bande passante 500 | 1,25 Gbits/s | Pris en charge | Non | 685 |
| Génération2 | VpnGw3 | Bande passante 30 | Bande passante 128 | Bande passante 1 000 | 2,5 Gbits/s | Prise en charge | Non | 2240 |
| Génération2 | VpnGw4 | Bande passante 100* | Bande passante 128 | Bande passante 5 000 | 5 Gbit/s | Prise en charge | Non | 5300 |
| Génération2 | VpnGw5 | Bande passante 100* | Bande passante 128 | Bande passante 10000 | 10 Gbits/s | Prise en charge | Non | 6700 |
| Génération2 | VpnGw2AZ | Bande passante 30 | Bande passante 128 | Bande passante 500 | 1,25 Gbits/s | Pris en charge | Oui | 2000 |
| Génération2 | VpnGw3AZ | Bande passante 30 | Bande passante 128 | Bande passante 1 000 | 2,5 Gbits/s | Prise en charge | Oui | 3300 |
| Génération2 | VpnGw4AZ | Bande passante 100* | Bande passante 128 | Bande passante 5 000 | 5 Gbit/s | Prise en charge | Oui | 4400 |
| Génération2 | VpnGw5AZ | Bande passante 100* | Bande passante 128 | Bande passante 10000 | 10 Gbits/s | Prise en charge | Oui | 9000 |
Déploiement de passerelles VPN
Pour pouvoir déployer une passerelle VPN, vous avez besoin de ressources Azure et locales.
Ressources Azure nécessaires
Vous avez besoin de ces ressources Azure pour pouvoir déployer une passerelle VPN opérationnelle :
- Réseau virtuel. Déployez un réseau virtuel Azure avec suffisamment d’espace d’adressage pour le sous-réseau supplémentaire dont vous avez besoin pour la passerelle VPN. L’espace d’adressage de ce réseau virtuel ne doit pas chevaucher le réseau local auquel vous vous connectez. N’oubliez pas que vous pouvez déployer une seule passerelle VPN dans un réseau virtuel.
- GatewaySubnet. Déployez un sous-réseau appelé
GatewaySubnetpour la passerelle VPN. Utilisez au moins un masque d’adresses /27 pour être sûr d’avoir suffisamment d’adresses IP dans le sous-réseau en cas de croissance. Vous ne pouvez pas utiliser ce sous-réseau pour d’autres services. - Adresse IP publique. Si vous utilisez une passerelle qui ne prend pas en charge les zones, créez une adresse IP publique de référence SKU de base. Cette adresse fournit une adresse IP routable publique comme cible pour votre appareil VPN local. Cette adresse IP est dynamique, mais elle ne change pas, sauf si vous supprimez et recréez la passerelle VPN.
- Passerelle de réseau local. Créez une passerelle de réseau local pour définir la configuration du réseau local. Plus précisément, où la passerelle VPN se connecte et à quoi elle se connecte. Cette configuration inclut l’adresse IPv4 publique de l’appareil VPN local et les réseaux routables locaux. Ces informations sont utilisées par la passerelle VPN pour router les paquets qui sont destinés aux réseaux locaux via le tunnel IPSec.
- Passerelle de réseau virtuel. Créez la passerelle de réseau virtuel pour router le trafic entre le réseau virtuel et le centre de données local ou d’autres réseaux virtuels. La passerelle de réseau virtuel peut être configurée en tant que passerelle VPN ou passerelle ExpressRoute, mais ce module aborde seulement les passerelles de réseau virtuel VPN.
- Connexion. Créez une ressource de connexion pour créer une connexion logique entre la passerelle VPN et la passerelle de réseau local. Vous pouvez créer plusieurs connexions à la même passerelle.
- La connexion est établie sur l’adresse IPv4 de l’appareil VPN local, comme défini par la passerelle de réseau local.
- La connexion est établie à partir de la passerelle de réseau virtuel et son adresse IP publique associée.
Le diagramme suivant illustre cette combinaison de ressources et leurs relations, pour vous aider à mieux comprendre ce dont vous avez besoin pour déployer une passerelle VPN :
Ressources locales nécessaires
Pour connecter votre centre de données à une passerelle VPN, vous avez besoin de ces ressources locales :
- Un appareil VPN qui prend en charge les passerelles VPN basées sur une route ou une stratégie
- Une adresse IPv4 publique (routable sur Internet)
Scénarios de haute disponibilité
Il existe plusieurs façons de vérifier que vous avez une configuration à tolérance de pannes.
Actif/passif
Par défaut, les passerelles VPN sont déployées comme deux instances dans une configuration de type actif/passif, même si vous ne voyez qu’une ressource de passerelle VPN dans Azure. Quand une maintenance planifiée ou une interruption non planifiée affecte l’instance active, l’instance de secours prend automatiquement en charge les connexions sans intervention de l’utilisateur. Les connexions sont interrompues pendant ce basculement, mais sont généralement restaurées au bout de quelques secondes pour la maintenance planifiée et de 90 secondes pour les interruptions non planifiées.
Actif/actif
Avec la prise en charge du protocole de routage BGP, vous pouvez également déployer des passerelles VPN dans une configuration de type actif/actif. Dans cette configuration, vous attribuez une adresse IP publique unique à chaque instance. Ensuite, vous créez des tunnels distincts à partir de l’appareil local pour chaque adresse IP. Vous pouvez étendre la haute disponibilité en déployant un autre appareil VPN local.
Basculement ExpressRoute
Une autre option de haute disponibilité consiste à configurer une passerelle VPN comme chemin de basculement sécurisé pour les connexions ExpressRoute. Les circuits ExpressRoute sont résilients par nature, mais ils ne sont pas immunisés contre les problèmes physiques qui affectent les câbles fournissant la connectivité ou les coupures qui affectent l’emplacement ExpressRoute entier. Dans les scénarios de haute disponibilité, quand il y a un risque de panne d’un circuit ExpressRoute, vous pouvez également configurer une passerelle VPN qui utilise Internet comme autre méthode de connectivité, ce qui garantit la connexion aux réseaux virtuels Azure.
Passerelles redondantes interzones
Dans les régions qui prennent en charge les zones de disponibilité, les passerelles VPN et ExpressRoute peuvent être déployées dans une configuration redondante interzone. Cette configuration offre aux passerelles de réseau virtuel résilience, scalabilité ainsi qu’une plus grande disponibilité. Le déploiement de passerelles dans les zones de disponibilité Azure sépare les passerelles physiquement et logiquement au sein d’une région, tout en empêchant la connectivité réseau locale à Azure d’échouer au niveau des zones. Ceux-ci nécessitent différentes références SKU de passerelle et utilisent des adresses IP publiques standard au lieu d’adresses IP publiques De base.