Décrire la mise en réseau virtuel Azure
Les réseaux virtuels et les sous-réseaux virtuels Azure permettent à des ressources Azure (par exemple, des machines virtuelles, des applications web et des bases de données) de communiquer entre elles, avec des utilisateurs sur les utilisateurs sur Internet, ainsi qu'avec les ordinateurs clients sur site. Un réseau Azure peut être vu comme une extension de votre réseau local, avec des ressources qui lient d'autres ressources Azure.
Les réseaux virtuels Azure fournissent les capacités de mise en réseau clés suivantes:
- L’isolement et la segmentation
- Les communications Internet
- Communication entre les ressources Azure
- Communication avec les ressources sur site
- Router le trafic
- Filtrer le trafic
- Connecter des réseaux virtuels
Le réseau virtuel Azure prend en charge les points de terminaison publics et privés pour permettre la communication entre des ressources externes ou internes et d’autres ressources internes.
- Les points de terminaison publics ont une adresse IP publique et peuvent être accessibles depuis n'importe où dans le monde.
- Les points de terminaison privés existent au sein d'un réseau virtuel et disposent d'une adresse IP privée à partir de l'espace d'adressage de ce réseau virtuel.
Isolement et segmentation
Le réseau virtuel Azure permet de créer plusieurs réseaux virtuels isolés. Lorsque vous configurez un réseau virtuel, vous définissez un espace d'adresses IP privées, en utilisant des plages d'adresses IP publiques ou privées. La plage d'adresses IP n'existe que dans le réseau virtuel et n'est pas routable sur Internet. Vous pouvez diviser cet espace d’adressage IP en sous-réseaux et allouer une partie de l’espace d’adressage défini à chaque sous-réseau nommée.
Pour la résolution des noms, vous pouvez utiliser le service de résolution de noms intégré à Azure. Vous avez également la possibilité de configurer le réseau virtuel de sorte qu’il utilise un serveur DNS interne ou externe.
Communications Internet
Vous pouvez activer les connexions entrantes depuis Internet en attribuant une adresse IP publique à une ressource Azure ou en plaçant la ressource derrière un équilibreur de charge public.
Communication entre les ressources Azure
Vous voudrez permettre aux ressources Azure de communiquer entre elles en toute sécurité. Il existe pour cela deux méthodes :
- Les réseaux virtuels peuvent connecter non seulement les machines virtuelles, mais également d'autres ressources Azure, telles que l'environnement de service d'applications pour Power Apps, Azure Kubernetes Service et les ensembles de machines virtuelles Azure.
- Les points de terminaison de service peuvent se connecter à d'autres types de ressources Azure, telles que les bases de données SQL Azure et les comptes de stockage. Cette approche permet de lier plusieurs ressources Azure à des réseaux virtuels et ainsi d’améliorer la sécurité et d’assurer un routage optimal entre les ressources.
La communication avec des ressources locales
Les réseaux virtuels Azure vous permettent de lier des ressources ensemble dans votre environnement local et au sein de votre abonnement Azure. En effet, vous pouvez créer un réseau qui s’étend à la fois à votre environnement local et à votre environnement cloud. Il existe trois mécanismes vous permettant d’assurer cette connectivité :
- Les connexions de réseau privé virtuel point à site partent à partir d'un ordinateur à l'extérieur de votre organisation pour atteindre votre réseau d’entreprise. Dans ce cas, l’ordinateur client établit une connexion VPN chiffrée pour se connecter au réseau virtuel Azure.
- Les réseaux privés virtuels de site à site lient votre appareil VPN local ou votre passerelle à la passerelle VPN Azure sur un réseau virtuel. En pratique, les appareils dans Azure peuvent apparaître comme étant sur le réseau local. La connexion est chiffrée et fonctionne sur Internet.
- Azure ExpressRoute offre une connectivité privée dédiée vers Azure qui ne passe pas par Internet. ExpressRoute s’avère utile dans le cas des environnements qui nécessitent une bande passante supérieure et des niveaux de sécurité encore plus élevés.
Router le trafic réseau
Par défaut, Azure achemine le trafic entre les sous-réseaux sur tous les réseaux virtuels connectés, les réseaux sur site et Internet. Il est également possible de contrôler le routage et de remplacer ces paramètres :
- Les tables de routage vous permettent de définir des règles sur la façon dont le trafic doit être dirigé. Vous pouvez créer des tables de routage personnalisées qui contrôlent la façon dont les paquets sont routés entre les sous-réseaux.
- Le protocole de passerelle frontière (BGP) fonctionne avec les passerelles VPN Azure, le Serveur de routes Azure ou Azure ExpressRoute pour propager les routes BGP sur site vers les réseaux virtuels Azure.
Filtrer le trafic réseau
Les réseaux virtuels Azure vous permettent de filtrer le trafic entre des sous-réseaux à l’aide des approches suivantes :
- Les groupes de sécurité réseau sont des ressources Azure qui peuvent contenir plusieurs règles de sécurité d’entrée et de sortie. Vous pouvez définir ces règles pour autoriser ou bloquer le trafic, à partir de facteurs tels que l’adresse IP source et de destination, le port et le protocole.
- Les appareils virtuels de réseau sont des machines virtuelles spécialisées qui sont comparables à une appliance réseau renforcée. "Un appareil virtuel de réseau effectue une fonction réseau particulière, telle que l'exécution d'un pare-feu ou l'optimisation du réseau étendu (WAN) (réseau étendu).
Connecter des réseaux virtuels
Il est possible de lier des réseaux virtuels ensemble grâce au peering de réseaux virtuels. Le peering permet à deux réseaux virtuels de se connecter directement entre eux. Le trafic réseau échangé entre réseaux appairés est privé et transite par le réseau principal Microsoft, sans jamais entrer sur l’Internet public. Le peering permet de faire communiquer les ressources de chaque réseau virtuel entre-elles. Ces réseaux virtuels peuvent être situés dans des régions distinctes, ce qui permet de créer un réseau d’interconnexion global par via Azure.
Les routes définies par l’utilisateur (UDR) vous permettent de contrôler les tables de routage entre les sous-réseaux d’un réseau virtuel ou entre les réseaux virtuels. Cela autorise un meilleur contrôle sur le flux de trafic réseau.