Topologie de réseau hub-and-spoke IPv6

Pare-feu Azure
Réseau virtuel Azure
Azure Virtual WAN
Passerelle VPN Azure

Cet article explique comment migrer d'une topologie de réseau hub-and-spoke IPv4 vers IPv6. Il décrit les étapes à suivre pour implémenter la prise en charge du protocole IPv6 en prenant comme point de départ une topologie de réseau hub-and-spoke.

Dans un réseau hub-and-spoke, le réseau virtuel hub est le point central de la connectivité pour les réseaux virtuels spoke. Les réseaux virtuels spoke se connectent au hub et sont capables d'isoler les ressources d’une application. Pour plus d’informations, consultez Migrer vers IPv6.

Architecture

Diagramme montrant une architecture de type hub-and-spoke avec les composants nécessaires à la prise en charge d'IPv6.

Téléchargez un fichier Visio de cette architecture.

Workflow

  1. Internet public et réseau inter-sites : Les utilisateurs ou les services peuvent accéder aux ressources Azure via l'internet public. Le réseau intersite est formé de machines virtuelles locales qui se connectent en toute sécurité au réseau Azure via une passerelle VPN.

  2. Azure Virtual Network Manager : Ce composant est la couche de gestion qui supervise l’ensemble de l’infrastructure réseau dans Azure. Il gère le routage, les stratégies et l’intégrité globale du réseau virtuel.

  3. Réseau virtuel en étoile : Le hub est le point central de la topologie du réseau. La configuration du réseau prend en charge à la fois IPv4 et IPv6 (double pile).

    • Azure Bastion fournit une connectivité Remote Desktop Protocol/Secure Shell (RDP/SSH) sécurisée et transparente depuis le portail Azure vers les machines virtuelles, directement via Transport Layer Security (TLS).
    • Le pare-feu Azure inspecte et filtre le trafic entre le hub et l’Internet public.
    • ExpressRoute connecte le réseau intersite au hub.
    • La passerelle VPN fournit une redondance en connectant également le réseau intersite au hub.
    • Les services du réseau virtuel hub envoient des journaux d'activité et des métriques (diagnostics) à Azure Monitor pour assurer la surveillance.
  4. Réseaux virtuels Spoke : Quatre spokes sont connectés au hub. Chacun d'eux est un réseau à double pile prenant en charge à la fois IPv4 et IPv6.

    • Des itinéraires IPv6 définis par l’utilisateur (UDR) définissent des itinéraires personnalisés pour le trafic IPv6 à partir du spoke.
    • Les réseaux virtuels spoke sont connectés via des connexions de peering ou des groupes connectés. Les connexions de peering et les groupes connectés sont des connexions non transitives et à faible latence entre réseaux virtuels. Les réseaux virtuels appairés ou connectés peuvent échanger du trafic sur le réseau principal Azure.
    • Tout le trafic sortant des réseaux virtuels spoke transite par le hub au moyen d’une configuration dans le pare-feu Azure dénommée tunneling forcé.
    • Dans chaque spoke, il existe trois sous-réseaux dits de ressources, chacun hébergeant une machine virtuelle.
    • Chaque machine virtuelle se connecte à un équilibreur de charge interne configuré pour prendre en charge les plages d'adresses IPv4 et IPv6. L’équilibreur de charge répartit le trafic réseau entrant entre les machines virtuelles.

Composants

  • Le réseau virtuel Azure est le composant fondamental pour vos réseaux privés dans Azure. Virtual Network permet à de nombreuses ressources Azure, notamment les machines virtuelles Azure, de communiquer en toute sécurité les unes avec les autres, avec les réseaux inter-sites et avec Internet
  • Une interface de réseau virtuel est nécessaire pour assurer la communication avec les machines virtuelles. Vous pouvez configurer vos machines virtuelles et vos autres ressources pour avoir plusieurs interfaces réseau, et créer ainsi des configurations à double pile (IPv4 et IPv6).
  • Une adresse IP publique est utilisée pour la connectivité entrante IPv4 et IPv6 avec les ressources Azure.
  • Virtual Network Manager est utilisé pour créer et gérer des groupes de réseaux et leurs connexions.
  • Le pare-feu Azure est un service de sécurité réseau géré et basé sur le cloud. Il protège vos ressources Azure Virtual Network. Une instance de pare-feu managée par le pare-feu Azure se trouve dans son propre sous-réseau.
  • Il est possible d'utiliser la passerelle VPN Azure ou Azure ExpressRoute pour créer une passerelle de réseau virtuel chargée de connecter un réseau virtuel à un appareil de réseau privé virtuel (VPN) ou à un circuit ExpressRoute. La passerelle fournit une connectivité réseau entre différents locaux.
  • Azure Load Balancer est utilisé pour permettre à plusieurs machines ayant la même finalité de partager du trafic. Dans cette architecture, les équilibreurs de charge distribuent le trafic entre plusieurs sous-réseaux qui prennent en charge le protocole IPv6.
  • Dans Azure, une table de route est un ensemble d'itinéraires définis par l'utilisateur qui fournissent des définitions de chemin d’accès personnalisé pour le trafic réseau.
  • Machines virtuelles Azure est une solution de calcul IaaS (Infrastructure as a Service) qui prend en charge le protocole IPv6.
  • Azure Bastion est une solution PaaS (Platform as a Service) complètement managée qui est fournie et gérée par Microsoft. Il fournit un accès sécurisé et transparent au protocole de bureau à distance et à SSH aux machines virtuelles sans exposition de l'adresse IP publique.
  • Monitor est une solution de surveillance complète qui permet de collecter, d’analyser et de réponde à des données de surveillance provenant d'environnements cloud et locaux. Vous pouvez utiliser Monitor pour optimiser la disponibilité et les performances de vos applications et services.

Migration d’un réseau virtuel hub vers IPv6

Pour assurer la migration d'un réseau virtuel hub vers IPv6, vous devez mettre à jour l'infrastructure du réseau pour l'adapter aux plages d'adresses IPv6, de sorte que la partie centrale du réseau puisse prendre en charge le trafic IPv6. Cette approche garantit que le hub central peut acheminer et gérer efficacement le trafic entre plusieurs segments réseau (spokes) via le protocole IPv6. Pour mettre en œuvre IPv6 dans le réseau virtuel hub, procédez comme suit :

Ajoutez un espace d'adresses IPv6 au réseau virtuel du hub et aux sous-réseaux du hub.

Les plages d'adresses IPv6 doivent être ajoutées tout d'abord au réseau virtuel hub, puis à ses sous-réseaux. Utilisez le bloc d’adresses /56 pour le réseau virtuel et le bloc d’adresses /64 pour chaque sous-réseau. Le tableau suivant présente un exemple de configuration.

Plage d'adresses du réseau virtuel du hub Plage d'adresses du sous-réseau du hub
Réseau virtuel Hub : 2001:db8:1234:0000::/56 Sous-réseau Azure Bastion : 2001:db8:1234:0000::/64
Sous-réseau du pare-feu Azure : 2001:db8:1234:0001::/64
Sous-réseau de la passerelle VPN : 2001:db8:1234:0002::/64
Sous-réseau ExpressRoute : 2001:db8:1234:0003::/64

Ces adresses IPv6 sont des exemples. Vous devez remplacer 2001:db8:1234:: par le bloc d’adresses IPv6 de votre organisation. Prévoyez et documentez soigneusement les allocations de vos adresses IPv6 pour éviter les chevauchements et garantir une utilisation efficace de l’espace d’adressage. Pour ajouter l'espace d'adressage IPv6 au réseau virtuel du hub, vous pouvez utiliser le portail Azure, PowerShell ou Azure CLI.

Configurez des routes définies par l'utilisateur (UDR) pour chaque sous-réseau du hub.

Les UDR sont des itinéraires que vous configurez manuellement pour remplacer les itinéraires système par défaut d'Azure. Dans Azure, les UDR sont essentiels pour contrôler le flux de trafic réseau dans un réseau virtuel. Vous pouvez utiliser des UDR pour diriger le trafic d’un sous-réseau vers des appliances, des passerelles ou des cibles spécifiques au sein d’Azure ou vers des réseaux locaux. Lorsque vous ajoutez la prise en charge IPv6 au réseau virtuel hub, vous devez :

  • Ajouter des itinéraires IPv6. Si une table de route est déjà établie, ajoutez-lui de nouveaux itinéraires qui spécifient les préfixes des adresses IPv6.
  • Modifier des itinéraires existants. S'il y a déjà des itinéraires pour IPv4, vous aurez peut-être besoin de les modifier pour qu'ils puissent s’appliquer également au trafic IPv6, ou bien de créer des itinéraires IPv6 spécifiques séparés.
  • Associer la table de route à des sous-réseaux. Une fois que vous avez défini les itinéraires, associez la table de route aux sous-réseaux concernés du réseau virtuel. Cette association détermine quels sont les sous-réseaux qui utilisent les itinéraires que vous avez définis.

Vous n'avez pas besoin d'ajouter un itinéraire à chaque ressource, mais il en faut un pour chaque sous-réseau. Chaque sous-réseau peut avoir plusieurs ressources, qui suivent toutes les règles définies dans la table de route associée à leur sous-réseau. Pour plus d’informations, consultez Vue d’ensemble des itinéraires définis par l’utilisateur.

Dans notre exemple d'architecture, le réseau virtuel hub comporte quatre sous-réseaux : Azure Bastion, le pare-feu Azure, la passerelle VPN et ExpressRoute. Le tableau suivant présente des exemples d’UDR pour chaque sous-réseau.

Sous-réseau du hub Description Plage d’adresses IPv6 Nom de l’itinéraire Destination Tronçon suivant
Azure Bastion Itinéraire vers le pare-feu 2001:db8:1234:0000::/64 Itinéraire vers Internet ::/0 2001:db8:1234:0001::/64 (Pare-feu Azure)
Pare-feu Azure Itinéraire par défaut 2001:db8:1234:0001::/64 Itinéraire vers Internet ::/0 Passerelle Internet
Passerelle VPN Itinéraire local 2001:db8:1234:0002::/64 Itinéraire local 2001:db8:abcd::/56 Passerelle VPN
ExpressRoute Itinéraire local 2001:db8:1234:0003::/64 Itinéraire local 2001:db8:efgh::/56 ExpressRoute

Lorsque vous configurez vos UDR, vous devez les aligner sur les stratégies réseau de votre organisation et sur l’architecture de votre déploiement Azure.

Modifier le circuit ExpressRoute (le cas échéant)

Pour assurer la prise en charge IPv6 par le circuit ExpressRoute, vous devez :

  • Activer le peering privé IPv6. Activer le peering privé IPv6 pour le circuit ExpressRoute. Cette configuration autorise le trafic IPv6 entre votre réseau local et le réseau virtuel hub.
  • Allouer un espace d’adressage IPv6. Définir des sous-réseaux IPv6 pour les liens ExpressRoute primaire et secondaire.
  • Mettre à jour les tables de route Veillez à diriger le trafic IPv6 de manière appropriée à travers le circuit ExpressRoute.

Ces configurations étendent la connectivité IPv6 à vos services Azure via un circuit ExpressRoute, ce qui vous permet d'acheminer simultanément des fonctionnalités à double pile. Pour modifier ExpressRoute, vous pouvez utiliser le portail Azure, PowerShell ou Azure CLI.

Migrer les réseaux virtuels spoke vers IPv6

Les réseaux virtuels spoke sont connectés au hub central. Lorsque vous dotez vos réseaux spoke de la prise en charge IPv6, chacun d'entre eux peut communiquer via le protocole IPv6 le plus avancé, ce qui renforce l'uniformité du réseau. Pour fournir aux réseaux virtuels spoke une prise en charge IPv6, procédez comme suit :

Ajoutez un espace d'adresses IPv6 aux réseaux virtuels de rayons et aux sous-réseaux de rayons.

Comme dans le cas du réseau virtuel hub, les plages d’adresses IPv6 doivent tout d'abord être ajoutées à chaque réseau virtuel spoke, puis à leurs sous-réseaux. Utilisez le bloc d’adresses /56 pour les réseaux virtuels et le bloc d’adresses /64 pour les sous-réseaux. Le tableau suivant fournit un exemple de plages d’adresses IPv6 pour les réseaux virtuels spoke et leurs sous-réseaux.

Plage d'adresses du réseau virtuel spoke Plage d'adresses des sous-réseaux de rayons
Réseau virtuel spoke 1 : 2001:db8:1234:0100::/56 Sous-réseau 1 : 2001:db8:1234:0100::/64
Sous-réseau 2 : 2001:db8:1234:0101::/64
Sous-réseau 3 : 2001:db8:1234:0102::/64
Réseau virtuel spoke 2 : 2001:db8:1234:0200::/56 Sous-réseau 1 : 2001:db8:1234:0200::/64
Sous-réseau 2 : 2001:db8:1234:0201::/64
Sous-réseau 3 : 2001:db8:1234:0202::/64
Réseau virtuel spoke 3 : 2001:db8:1234:0300::/56 Sous-réseau 1 : 2001:db8:1234:0300::/64
Sous-réseau 2 : 2001:db8:1234:0301::/64
Sous-réseau 3 : 2001:db8:1234:0302::/64
Réseau virtuel spoke 4 : 2001:db8:1234:0400::/56 Sous-réseau 1 : 2001:db8:1234:0400::/64
Sous-réseau 2 : 2001:db8:1234:0401::/64
Sous-réseau 3 : 2001:db8:1234:0402::/64

Pour votre configuration, ajustez les adresses IPv6 en fonction de l’allocation et des besoins de votre organisation.

Modifier les ressources des réseaux virtuels spoke

Chaque réseau virtuel spoke contient plusieurs machines virtuelles et un équilibreur de charge interne. L’équilibreur de charge interne vous permet d’acheminer le trafic IPv4 et IPv6 vers les machines virtuelles. Vous devez modifier les machines virtuelles et les équilibreurs de charge internes de façon à ce qu'ils puissent prendre le protocole IPv6 en charge.

Vous devez créer une interface réseau IPv6 pour chaque machine virtuelle, et l’associer à celle-ci pour ajouter la prise en charge IPv6. Pour plus d’informations, consultez Ajouter une configuration IPv6 à une machine virtuelle.

S’il n’y a pas d’équilibreur de charge interne pour chaque réseau virtuel spoke, vous devez créer un équilibreur de charge interne à double pile. Pour plus d’informations, consultez Créer un équilibreur de charge interne à double pile. S’il existe un équilibreur de charge interne, vous pouvez utiliser PowerShell ou Azure CLI pour ajouter la prise en charge IPv6.

Configurez les routes définies par l'utilisateur (UDR) pour chaque sous-réseau spoke.

Pour configurer les UDR, les réseaux virtuels de rayons utilisent la même configuration que les réseaux virtuels de hub Lorsque vous ajoutez la prise en charge d'IPv6 à un réseau virtuel de rayons, vous devez :

  • Ajouter des itinéraires IPv6. Si une table de route est déjà établie, ajoutez-lui de nouveaux itinéraires qui spécifient les préfixes des adresses IPv6.

  • Modifier des itinéraires existants. S'il y a déjà des itinéraires pour IPv4, vous aurez peut-être besoin de les modifier pour qu'ils puissent s’appliquer également au trafic IPv6, ou bien de créer des itinéraires IPv6 spécifiques séparés.

  • Associer la table de route à des sous-réseaux. Une fois que vous avez défini les itinéraires, associez la table de route aux sous-réseaux concernés du réseau virtuel. Cette association détermine quels sont les sous-réseaux qui utilisent les itinéraires que vous avez définis.

Le tableau suivant présente des exemples d’UDR pour chacun des sous-réseaux d'un réseau virtuel spoke.

Sous-réseau spoke Description Plage d’adresses IPv6 Nom de l’itinéraire Destination Tronçon suivant
Sous-réseau 1 Itinéraire vers le pare-feu 2001:db8:1234:0100::/64 Itinéraire vers Internet ::/0 2001:db8:1234:0001::/64 (Pare-feu Azure)
Sous-réseau 2 Itinéraire vers la passerelle VPN 2001:db8:1234:0101::/64 Itinéraire d’VPN 2001:db8:abcd::/64 2001:db8:1234:0002::/64 (Passerelle VPN)
Sous-réseau 3 Itinéraire vers ExpressRoute 2001:db8:1234:0102::/64 Itinéraire ExpressRoute 2001:db8:5678::/64 2001:db8:1234:0003::/64 (ExpressRoute)

Pour votre configuration, vous devez aligner les UDR sur les stratégies réseau de votre organisation et sur l’architecture de votre déploiement Azure.

Contributeurs

Microsoft gère cet article. Les contributeurs suivants ont rédigé l’article.

Auteur principal :

  • Werner Rall | Ingénieur architecte de solutions cloud senior

Autres contributeurs :

Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.

Étapes suivantes