Mettre à jour des tables de routage à l’aide de Serveur de routes Azure

Azure ExpressRoute
Stockage Azure
Réseau virtuel Azure
Passerelle VPN Azure

Cet article présente une solution de gestion du routage dynamique entre les appliances virtuelles réseau et les réseaux virtuels. Serveur de routes Azure est au cœur de la solution. Ce service simplifie la configuration, la maintenance et le déploiement d’appliances virtuelles réseau dans votre réseau virtuel. Lorsque vous utilisez Serveur de routes, vous n’avez plus besoin de mettre à jour manuellement les tables de routage d’appliance virtuelle réseau lors de la modification des adresses de votre réseau virtuel.

Architecture

Diagramme d'architecture illustrant comment les données circulent entre les réseaux locaux, un réseau virtuel central, un réseau virtuel secondaire et diverses passerelles.

Téléchargez un fichier Visio de cette architecture.

Workflow

  • Cette architecture « Hub and spoke » possède un réseau virtuel Hub et un réseau virtuel Spoke. Le réseau virtuel Hub comporte plusieurs sous-réseaux, chacun contenant des machines virtuelles.

  • L’espace d’adressage de chaque réseau virtuel définit des plages d’adresses. Pour chacune de ces plages, Azure crée un itinéraire avec le préfixe d’adresse de cette plage. Azure ajoute ces itinéraires aux tables de routage. Chaque réseau virtuel possède plusieurs sous-réseaux, et chaque sous-réseau dispose d’une carte d’interface réseau (NIC) qui contrôle la connectivité. Azure injecte la table de routage de chaque réseau virtuel dans les cartes réseau des sous-réseaux.

    Vous ne pouvez pas créer ou supprimer ces itinéraires système par défaut. Mais vous pouvez :

  • Les réseaux locaux utilisent la passerelle VPN Azure et une passerelle ExpressRoute pour se connecter au réseau virtuel Hub dans une configuration coexistante. Lorsque vous ajoutez la passerelle VPN, les itinéraires avec la passerelle en tant que prochaine route sont ajoutés aux tables de routage. Lorsque vous ajoutez ExpressRoute, les tables de routage sont également mises à jour. Ces itinéraires se propagent à tous les sous-réseaux.

  • Le protocole BGP (Border Gateway Protocol) assure l’échange d’adresses IP entre les composants locaux et Azure. Ce protocole dirige les paquets entre les systèmes autonomes. Ces systèmes sont de petits réseaux ou des pools énormes de routeurs qu’une seule organisation exécute.

  • Un peering de réseaux virtuels existe entre le réseau virtuel Hub et le réseau virtuel Spoke. Lorsque vous créez le peering, Azure met à jour la table de routage. Plus précisément, Azure ajoute un itinéraire pour chaque plage d’adresses de l’espace d’adressage Hub ou de l’espace d’adressage Spoke. Ces itinéraires se propagent à tous les sous-réseaux.

  • Un sous-réseau dans le réseau virtuel hub utilise un point de terminaison de service pour Stockage Azure. Azure ajoute une adresse IP publique pour Stockage Azure à la table de routage de ce sous-réseau.

  • Le réseau virtuel hub contient deux appliances virtuelles réseau. Les appliances virtuelles réseau peuvent être des passerelles, des réseaux étendus (WAN) définis par logiciel ou des pare-feu d’appliance de sécurité. Serveur de routes échange les itinéraires d’appliance virtuelle réseau, application réseau et passerelle par les moyens suivants :

    • Création d’une instance Microsoft Azure Virtual Machine Scale Sets. Chaque machine virtuelle du groupe identique possède une adresse IP. Comme avec les adresses IP de passerelle, Serveur de routes Azure a accès aux adresses IP des machines virtuelles.
    • Établissement d’homologues BGP entre chaque appliance virtuelle réseau et une machine virtuelle dans le groupe identique.
    • Injection d’adresses IP des machines virtuelles dans toutes les tables de routage du réseau virtuel et des réseaux connectés.

    Il n’est pas nécessaire d’effectuer les opérations suivantes :

    • Ajouter manuellement des Itinéraires définis par l’utilisateur.
    • Créez manuellement des tables de routage.
    • Lier les tables de routage au sous-réseau pour propager les itinéraires.
    • Mettre à jour les tables de routage lorsque les adresses IP changent.

Composants

  • Serveur de routes simplifie le routage dynamique entre les appliances virtuelles réseau qui prennent en charge BGP et les réseaux virtuels. Ce service élimine la surcharge administrative liée à la gestion des tables de routage.

  • Réseau virtuel est le composant fondamental pour vos réseaux privés dans Azure. Les ressources Azure, comme les machines virtuelles, peuvent communiquer en toute sécurité entre elles, avec Internet et avec les réseaux locaux via Réseau virtuel.

  • L’appairage de réseaux virtuels connecte deux réseaux virtuels Azure. Les peerings fournissent des connexions à faible latence et à bande passante élevée entre les ressources de différents réseaux virtuels. Le trafic entre les machines virtuelles des réseaux virtuels appairés utilise uniquement le réseau privé Microsoft.

  • Une passerelle VPN est un type spécifique de passerelle de réseau virtuel. Vous pouvez utiliser une passerelle VPN pour envoyer le trafic chiffré :

    • Entre un réseau virtuel Azure et un emplacement local via l’Internet public.
    • Entre les réseaux virtuels Azure sur le réseau principal Azure.
  • ExpressRoute étend les réseaux locaux dans le cloud Microsoft. En utilisant un fournisseur de connectivité, ExpressRoute établit des connexions privées aux composants cloud tels que les services Azure et Microsoft 365.

  • Un point de terminaison de service fournit une connectivité directe et sécurisée à un service Azure à partir d’adresses IP privées dans un réseau virtuel. Le point de terminaison de service fournit l’identité de votre réseau virtuel au service Azure. Ainsi, les ressources du réseau virtuel n’ont pas besoin d’adresses IP publiques pour accéder au service, et le point de terminaison protège le service en autorisant uniquement le trafic à partir du réseau virtuel spécifié. Les connexions utilisent des itinéraires optimisés sur le réseau principal Azure.

  • Une appliance virtuelle réseau est une appliance virtuelle qui offre des fonctionnalités de mise en réseau, telles que la sécurité du pare-feu et l’équilibrage de charge.

  • Le service Stockage Azure est une solution de stockage cloud qui comprend un stockage d’objets, de fichiers, de disques, de files d’attente et de tables. Les services incluent des solutions et des outils de stockage hybride pour transférer, partager et sauvegarder des données.

Autres solutions

Détails du scénario

Le routage réseau est le processus qui consiste à déterminer le chemin d’accès du trafic entre les réseaux pour atteindre une destination. Les tables de routage dresse la liste d’informations sur la topologie du réseau qui sont utiles pour déterminer les chemins de routage.

Lorsque votre réseau virtuel contient une appliance virtuelle réseau, vous devez configurer et mettre à jour manuellement vos tables de routage.

Cet article présente une solution de gestion du routage dynamique entre les appliances virtuelles réseau et les réseaux virtuels. Serveur de routes Azure est au cœur de la solution. Ce service simplifie la configuration, la maintenance et le déploiement d’appliances virtuelles réseau dans votre réseau virtuel. Lorsque vous utilisez Serveur de routes, vous n’avez plus besoin de mettre à jour manuellement les tables de routage d’appliance virtuelle réseau lors de la modification des adresses de votre réseau virtuel.

Cas d’usage potentiels

Cette solution s’applique aux scénarios qui :

  • Utilisent des réseaux à double hébergement. Outre les topologies de réseau Hub-and-spoke classiques, le serveur routeur prend également en charge les topologies de réseau à double hébergement. Ce type de configuration homologue un réseau virtuel spoke avec au moins deux réseaux virtuels Hub. Pour plus d’informations, consultez À propos du réseau à double hébergement avec Serveur de routes Azure.
  • Connectez des appliances virtuelles réseau à Azure ExpressRoute. Certains réseaux virtuels contiennent Serveur de routes, une passerelle ExpressRoute et une appliance virtuelle réseau. Par défaut, Serveur de routes ne propage pas les itinéraires d’appliance virtuelle réseau vers ExpressRoute. Serveur de routes ne propage pas non plus les itinéraires ExpressRoute vers l’appliance virtuelle réseau. Vous pouvez accéder à ExpressRoute et à l’appliance virtuelle réseau pour échanger des itinéraires en activant la fonctionnalité d’échange de routage dans Serveur de routes. Pour plus d’informations, consultez À propos de la prise en charge de Serveur de routes Azure pour ExpressRoute et Azure VPN.
  • Utilisez Azure pour vous connecter à Internet à partir d’un système local. Les organisations qui ne disposent pas d’un accès de qualité à Internet peuvent utiliser cette configuration. Les systèmes qui ont déjà migré des proxys Internet vers Azure sont également éligibles à ce type de solution. Serveur de routes permet cette installation.

Considérations

Prenez en compte ces points lorsque vous implémentez cette solution :

  • Serveur de routes établit les connexions et échange les itinéraires. Il ne transfère pas les paquets de données. Par conséquent, les machines virtuelles que Serveur de routes exécute dans son back end ne nécessitent pas une puissance CPU ou une puissance de calcul importante.

  • Lorsque vous déployez Serveur de routes, créez un sous-réseau appelé RouteServerSubnet qui utilise un masque de sous-réseau IPv4 de /27. Placez Serveur de routes dans ce sous-réseau.

  • Dans les passerelles Azure, le niveau tarifaire de base ne prend pas en charge les connexions ExpressRoute et de passerelle VPN coexistantes. Pour d’autres limitations avec les configurations coexistantes, consultez Limites et limitations.

  • Il n’existe aucune limite sur le nombre de points de terminaison de service que vous pouvez utiliser dans un réseau virtuel. Toutefois, certains services Azure, tels que Stockage, appliquent des limites sur le nombre de sous-réseaux que vous pouvez utiliser pour sécuriser la ressource. Pour plus d’informations, consultez Étapes suivantes dans les points de terminaison de service de Réseau virtuel Microsoft Azure.

Lorsque vous envisagez cette solution, gardez également à l’esprit les points des sections suivantes.

Disponibilité

Serveur de routes est un service entièrement géré qui offre une haute disponibilité. Consultez le SLA pour Serveur de routes Azure afin de connaître la garantie de disponibilité de ce service.

Extensibilité

La plupart des composants de cette solution sont des services gérés dont la mise à l'échelle est automatique. Il existe cependant quelques exceptions :

  • Serveur de routes Azure peut publier au plus 200 itinéraires vers ExpressRoute ou une passerelle VPN.
  • Serveur de routes Azure peut prendre en charge au maximum 2 000 machines virtuelles par réseau virtuel, y compris les réseaux virtuels homologués.

Sécurité

Résilience

Cette solution utilise uniquement des composants gérés. À un niveau régional, tous ces composants sont automatiquement résilients. Serveur de routes offre une haute disponibilité. Lorsque vous déployez Serveur de routes dans une région Azure qui prend en charge les zones de disponibilité, votre implémentation dispose d’une redondance au niveau de la zone. Pour plus d’informations sur les zones de disponibilité, consultez Régions et zones de disponibilité.

Optimisation des coûts

Pour estimer le coût d’implémentation de cette solution, reportez-vous à la Calculatrice de prix Azure. Pour obtenir des informations générales sur la réduction des dépenses inutiles, consultez Vue d’ensemble du pilier d’optimisation des coûts.

Les sections suivantes décrivent les informations de tarification pour les composants de la solution.

Serveur de routes

Actuellement, il n’y a aucun frais de coût initial ou de résiliation pour Serveur de routes. Pour plus d’informations sur la tarification, consultez Tarification de Serveur de routes Azure.

Réseau virtuel

Vous pouvez utiliser Réseau virtuel gratuitement. Avec un abonnement Azure, vous pouvez créer jusqu’à 50 réseaux virtuels dans toutes les régions. Le trafic qui se trouve dans les limites d’un réseau virtuel est gratuit. En conséquence, la communication entre deux machines virtuelles dans le même réseau virtuel n’entraîne aucun frais.

Passerelle VPN

Lorsque vous utilisez une passerelle VPN, tout le trafic entrant est gratuit. Vous êtes facturé uniquement pour le trafic sortant. Les coûts de bande passante Internet s’appliquent au trafic sortant VPN. Pour plus d’informations, consultez Tarification Passerelle VPN.

ExpressRoute

Les transferts de données ExpressRoute entrants sont gratuits. Pour le transfert de données sortantes, vous êtes facturé à un tarif prédéterminé. Des frais de port mensuels fixes s’appliquent également. Pour plus d'informations, consultez Tarification d'Azure ExpressRoute.

Points de terminaison de service

L’utilisation de points de terminaison de service n’engendre pas de frais supplémentaires.

Appliances virtuelles réseau

Les appliances virtuelles réseau sont facturés en fonction de l’appliance que vous utilisez. Vous êtes uniquement facturé pour les machines virtuelles Azure que vous déployez, ainsi que pour les ressources d’infrastructure sous-jacentes supplémentaires consommées, telles que le stockage et la mise en réseau. Pour plus d’informations, consultez la Tarification Machines virtuelles Linux.

Étapes suivantes