Connecter un réseau virtuel à des circuits ExpressRoute en utilisant le Portail Azure

Cet article vous aide à créer une connexion pour lier un réseau virtuel (réseau virtuel) à des circuits Azure ExpressRoute en utilisant le Portail Azure. Les réseaux virtuels que vous connectez à votre circuit Azure ExpressRoute peuvent être dans le même abonnement ou faire partie d’un autre abonnement.

Diagramme montrant un réseau virtuel connecté à un circuit ExpressRoute.

Prérequis

  • Avant de commencer la configuration, examinez les conditions préalables, la configuration requise pour le routage et les flux de travail.

  • Vous devez disposer d’un circuit ExpressRoute actif.

    • Suivez les instructions permettant de créer un circuit ExpressRoute et faites-le activer par votre fournisseur de service de connectivité.
    • Vérifiez que le peering privé Azure est configuré pour votre circuit. Consultez l’article Créer et modifier le Peering pour un circuit ExpressRoute pour obtenir des instructions sur le Peering et le routage.
    • Assurez-vous que l’homologation privée Azure est configurée et établit une homologation BGP entre votre réseau et Microsoft pour une connectivité de bout en bout.
    • Vérifiez qu’un réseau virtuel et une passerelle de réseau virtuel ont été créés et entièrement approvisionnés. Suivez les instructions pour créer une passerelle de réseau virtuel pour ExpressRoute. Une passerelle de réseau virtuel pour ExpressRoute utilise le GatewayType ExpressRoute, et non un VPN.
  • Vous pouvez lier jusqu’à 10 réseaux virtuels à un circuit ExpressRoute standard. Tous les réseaux virtuels doivent figurer dans la même région géopolitique lors de l’utilisation d’un circuit ExpressRoute standard.

  • Un réseau virtuel unique peut être lié à 16 circuits ExpressRoute maximum. Pour créer un objet connexion pour chaque circuit ExpressRoute auquel vous vous connectez, procédez comme suit. Les circuits ExpressRoute peuvent être dans le même abonnement, dans des abonnements différents ou dans une combinaison des deux.

  • Si vous activez le module complémentaire ExpressRoute Premium, vous pouvez lier des réseaux virtuels à l’extérieur de la région géopolitique du circuit ExpressRoute. Le module complémentaire Premium vous permet également de connecter plus de 10 réseaux virtuels à votre circuit ExpressRoute en fonction de la bande passante choisie. Pour plus d’informations sur le module complémentaire Premium, consultez le FAQ .

  • Passez en revue les recommandations pour la connectivité entre réseaux virtuels sur ExpressRoute.

Connecter un réseau virtuel à un circuit du même abonnement

Remarque

Les informations de configuration BGP ne s’affichent pas si le fournisseur de la couche 3 a configuré vos homologations. Si votre circuit est dans l’état Approvisionné, vous pouvez créer des connexions.

Pour créer une connexion

  1. Connectez-vous au portail Azure.

  2. Assurez-vous que votre circuit ExpressRoute et le peering privé Azure ont été correctement configurés. Suivez les instructions fournies dans Création d’un circuit ExpressRoute et Créer et modifier le peering pour un circuit ExpressRoute. Votre circuit ExpressRoute doit être similaire à l’image suivante :

    Capture d’écran Circuit ExpressRoute

  3. Vous pouvez maintenant commencer à approvisionner une connexion pour lier votre passerelle de réseau virtuel à votre circuit ExpressRoute. Sélectionnez Connexion>Ajouter pour ouvrir la page Créer une connexion.

    Capture d’écran Ajouter une connexion

  4. Sélectionnez le type de connexion ExpressRoute, puis sélectionnez Suivant : Paramètres >.

    Capture d’écran de la page d’informations de base pour créer une connexion.

  5. Sélectionnez le type de résilience de votre connexion. Vous pouvez choisir Résilience maximale ou Résilience standard.

    Résilience maximale (recommandée) – Cette option offre le plus haut niveau de résilience à votre réseau virtuel. Elle fournit deux connexions redondantes de la passerelle de réseau virtuel à deux circuits ExpressRoute différents dans différents emplacements ExpressRoute.

    Remarque

    L’option « Résilience maximale » fournit une protection maximale contre les pannes à l’échelle d’un emplacement et les échecs de connectivité dans un emplacement ExpressRoute. Cette option est fortement recommandée pour toutes les charges de travail critiques et de production.

    Diagramme d’une passerelle de réseau virtuel connectée à deux circuits ExpressRoute différents.

    Haute résilience : cette option fournit une connexion redondante unique entre la passerelle de réseau virtuel et un circuit Metro ExpressRoute. Les circuits metro fournissent une redondance entre les emplacements de peering ExpressRoute. Contrairement à la résilience maximale, il n’existe aucune redondance dans les emplacements de peering.

    Diagramme d’une passerelle de réseau virtuel connectée à un seul circuit ExpressRoute via deux emplacements de peering.

    Résilience standard : cette option fournit une connexion redondante unique de la passerelle de réseau virtuel à un circuit ExpressRoute unique.

    Remarque

    L’option « Résilience standard » ne fournit pas de protection contre les pannes à l’échelle d’un emplacement. Cette option convient aux charges de travail non critiques et hors production.

    Diagramme d’une passerelle de réseau virtuel connectée à un seul circuit ExpressRoute via un emplacement de peering.

  6. Entrez les informations suivantes pour le type de résilience concerné, puis sélectionnez Vérifier + créer. Ensuite, une fois la validation terminée, sélectionnez Créer.

    Capture d’écran de la page des paramètres pour maximiser la résilience des connexions ExpressRoute à une passerelle de réseau virtuel.

    Résilience maximale

    Paramètre Valeur
    Passerelle de réseau virtuel Sélectionnez la passerelle de réseau virtuel que vous souhaitez connecter au circuit ExpressRoute.
    Utiliser une connexion existante ou en créer une nouvelle Vous pouvez augmenter la résilience pour une connexion ExpressRoute que vous avez déjà créée en sélectionnant Utiliser l’existante. Sélectionnez ensuite une connexion ExpressRoute existante pour la première connexion. Si vous sélectionnez Utiliser l’existante, vous devez uniquement configurer la deuxième connexion. Si vous sélectionnez Créer, entrez les informations suivantes pour les deux connexions.
    Nom Attribuez un nom à cette connexion.
    Circuit ExpressRoute Sélectionnez le circuit ExpressRoute auquel vous souhaitez vous connecter.
    Poids du routage Entrez un poids de routage pour la connexion. Le poids du routage est utilisé pour déterminer la connexion primaire et la connexion secondaire. La connexion avec le poids de routage le plus élevé est le circuit privilégié.
    FastPath Cochez la case pour activer FastPath. Pour plus d’informations, consultez À propos d’ExpressRoute FastPath.

    Renseignez les mêmes informations pour la deuxième connexion ExpressRoute. Lorsque vous sélectionnez un circuit ExpressRoute pour la deuxième connexion, la distance à partir du premier circuit ExpressRoute vous est fournie. Ces informations s’affichent dans le diagramme et peuvent vous aider à sélectionner le deuxième emplacement ExpressRoute.

    Remarque

    Pour avoir une résilience maximale, vous devez sélectionner deux circuits à un emplacement de peering différent. Vous recevez l’avertissement suivant si vous sélectionnez deux circuits dans le même emplacement de peering.

    Capture d’écran de l’avertissement dans le Portail Azure lors de la sélection de deux circuits ExpressRoute dans le même emplacement de Peering.

    Résilience haute/standard

    Pour une résilience élevée ou standard, vous devez uniquement entrer des informations pour une connexion. Pour une résilience élevée, la connexion dont vous avez besoin pour attacher un circuit de métro. Pour une résilience standard, la connexion dont vous avez besoin pour attacher un circuit standard (non-métro).

  7. Une fois votre connexion correctement configurée, votre objet de connexion affiche les informations de la connexion.

    Capture d’écran d’une ressource de connexion créée.

Connecter un réseau virtuel à un circuit d’un autre abonnement

Vous pouvez partager un circuit ExpressRoute entre plusieurs abonnements. La figure suivante montre un schéma simple sur le fonctionnement du partage de circuits ExpressRoute entre plusieurs abonnements.

Connectivité entre abonnements

Chacun des petits clouds dans le cloud principal est utilisé pour représenter les abonnements appartenant à différents services au sein d’une organisation. Les départements au sein de l’organisation utilisent leur propre abonnement pour déployer leurs services, mais ils peuvent partager un même circuit ExpressRoute pour se reconnecter à votre réseau local. Un seul service (dans cet exemple : le service informatique) peut détenir le circuit ExpressRoute. D’autres abonnements au sein de l’organisation peuvent utiliser le circuit ExpressRoute.

Remarque

  • La connexion de réseaux virtuels entre des clouds souverains Azure et le cloud Azure public n’est pas prise en charge. Vous pouvez uniquement lier des réseaux virtuels provenant de différents abonnements dans le même cloud.
  • Les frais de connectivité et de bande passante pour le circuit dédié s’appliquent au propriétaire du circuit ExpressRoute. Tous les réseaux virtuels partagent la même bande passante.

Administration : à propos des propriétaires du circuit et des utilisateurs du circuit

Le « propriétaire du circuit » est l’utilisateur avec pouvoir autorisé de la ressource de circuit ExpressRoute. Le propriétaire du circuit peut créer des autorisations utilisables par les « utilisateurs du circuit ». Les utilisateurs du circuit sont propriétaires de passerelles de réseau virtuel qui ne figurent pas dans le même abonnement que le circuit ExpressRoute. Les utilisateurs du circuit peuvent échanger des autorisations (une seule autorisation par réseau virtuel).

Le propriétaire du circuit a le pouvoir de modifier et de révoquer les autorisations à tout moment. La révocation d’une autorisation entraîne la suppression de toutes les connexions de l’abonnement dont l’accès a été révoqué.

Notes

Le propriétaire du circuit n’est pas un rôle RBAC intégré ou défini sur la ressource ExpressRoute. La définition du propriétaire du circuit correspond aux rôles disposant de l’accès suivant :

  • Microsoft.Network/expressRouteCircuits/authorizations/write
  • Microsoft.Network/expressRouteCircuits/authorizations/read
  • Microsoft.Network/expressRouteCircuits/authorizations/delete

Cela inclut les rôles intégrés tels que Contributeur, Propriétaire et Contributeur réseau. Description détaillée des différents rôles intégrés.

Opérations du propriétaire du circuit

Création d’une autorisation de connexion

Le propriétaire du circuit crée une autorisation, ce qui entraîne la création d’une clé d’autorisation dont un utilisateur du circuit peut se servir pour connecter ses passerelles de réseau virtuel au circuit ExpressRoute. Une autorisation n’est valide que pour une seule connexion.

Notes

Chaque connexion nécessite une autorisation distincte.

  1. Dans la page ExpressRoute, sélectionnez Autorisations, tapez un nom pour l’autorisation, puis sélectionnez Enregistrer.

    Autorisations

  2. Une fois la configuration enregistrée, copiez l’ID de ressource et la clé d’autorisation.

    Clé d’autorisation

Suppression d’une autorisation de connexion

Vous pouvez supprimer une connexion en sélectionnant l’icône Supprimer pour la clé d’autorisation de votre connexion.

Supprimer une clé d’autorisation

Si vous voulez supprimer la connexion tout en conservant la clé d’autorisation, vous pouvez supprimer la connexion de la page connexion du circuit.

Remarque

Pour afficher vos connexions de passerelle, accédez à votre circuit ExpressRoute dans le Portail Azure. À partir de là, accédez à Connexions sous Paramètres pour votre circuit ExpressRoute. Vous pouvez ainsi voir chaque passerelle ExpressRoute à laquelle votre circuit est connecté. Si la passerelle se trouve sous un abonnement différent de celui du circuit, le champ Pair affiche la clé d’autorisation du circuit.

Supprimer le circuit propriétaire de la connexion

Opérations de l’utilisateur du circuit

L’utilisateur du circuit a besoin de l’ID de ressource et d’une clé d’autorisation du propriétaire du circuit.

Réclamation d’une autorisation de connexion

  1. Sélectionnez le bouton + Créer une ressource. Recherchez Connexion, puis sélectionnez Créer.

    Créer des ressources

  2. Dans la page De base, vérifiez que le type de connexion est défini sur ExpressRoute. Sélectionnez le groupe de ressources, puis sélectionnez Suivant : Paramètres>.

    Page Informations de base

  3. Dans la page paramètres, sélectionnez haute résilience ou résilience standard, puis sélectionnez la passerelle de réseau virtuel. Cochez la case Échanger l’autorisation. Entrez la clé d’autorisation et l’URI du circuit appairé, puis donnez un nom à la connexion.

    Remarque

    • La connexion aux circuits dans un autre abonnement n’est pas prise en charge sous résilience maximale.
    • Vous pouvez connecter un réseau virtuel à un circuit Metro dans un autre abonnement lorsque vous choisissez haute résilience.
    • Vous pouvez connecter un réseau virtuel à un circuit standard (non-métro) dans un autre abonnement lors du choix de la résilience Standard.
    • L'URI du circuit homologue est l’ID de ressource du circuit ExpressRoute (que vous pouvez trouver dans le volet des paramètres des propriétés du circuit ExpressRoute).

    Page Paramètres

  4. Sélectionnez Revoir + créer.

  5. Passez en revue les informations de la page Résumé, puis sélectionnez Créer.

    Page de résumé

Configurer ExpressRoute FastPath

FastPath améliore le niveau de performance de chemin d’accès de données comme le nombre de paquets et de connexions par seconde entre votre réseau local et votre réseau virtuel. Vous pouvez activer FastPath si votre passerelle de réseau virtuel est Ultra Performance ou ErGw3AZ.

Configurer FastPath sur une nouvelle connexion

Lorsque vous ajoutez une nouvelle connexion pour votre passerelle ExpressRoute, cochez la case FastPath.

Capture d’écran de la case à cocher FastPath dans la page Ajouter une connexion.

Notes

L’activation de FastPath pour une nouvelle connexion est disponible uniquement via la création d’une connexion à partir de la ressource de passerelle. Les nouvelles connexions créées à partir du circuit ExpressRoute ou de la page des ressources de connexion ne sont pas prises en charge.

Configurer FastPath sur une connexion existante

  1. Accédez à la ressource de connexion existante à partir de la passerelle ExpressRoute, du circuit ExpressRoute ou de la page Ressource de connexion.

  2. Sélectionnez Configuration sous Paramètres puis sélectionnez FastPath. Sélectionnez Enregistrer pour activer la fonctionnalité.

    Capture d’écran de la case à cocher FastPath dans la page Configuration de la connexion.

Notes

Vous pouvez utiliser Moniteur de connexion pour vérifier que votre trafic atteint la destination à l’aide de FastPath.

Nettoyer les ressources

Vous pouvez supprimer une connexion et annuler la liaison de votre réseau virtuel à un circuit ExpressRoute en sélectionnant l’icône Supprimer dans la page de votre connexion.

Supprimer la connexion

Étape suivante

Ce tutoriel vous a montré comment connecter un réseau virtuel à un circuit dans le même abonnement et dans un autre abonnement. Pour plus d’informations sur les passerelles ExpressRoute, consultez :Passerelles de réseau virtuel ExpressRoute.

Si vous souhaitez savoir comment configurer des filtres de routage pour le Peering Microsoft en utilisant le Portail Azure, passez au tutoriel suivant.