Configurer des filtres de routage pour une homologation Microsoft à l’aide de PowerShell

Les filtres de routage permettent d’utiliser un sous-ensemble de services pris en charge via le peering Microsoft. Les étapes décrites dans cet article vous aident à configurer et à gérer des filtres de routage pour les circuits ExpressRoute.

Des services Microsoft 365, comme Exchange Online, SharePoint Online et Skype Entreprise, et des services Azure publics, comme le stockage et SQL Database, sont accessibles via un Peering Microsoft. Les services publics Azure sont sélectionnables par région. Ils ne peuvent pas être définis au niveau de chaque service public.

Quand l’homologation Microsoft est configurée dans un circuit ExpressRoute, tous les préfixes liés à ces services sont publiés via les sessions BGP établies. Une valeur de communauté BGP est attachée à chaque préfixe pour identifier le service qui est proposé par le biais du préfixe. Pour obtenir la liste de valeurs de communauté BGP et des services auxquels elles sont mappées, consultez les communautés BGP.

La connectivité à tous les services Azure et Microsoft 365 entraîne la publication d’un grand nombre de préfixes via le protocole BGP. Le grand nombre de préfixes augmente considérablement la taille des tables de routage gérées par les routeurs au sein de votre réseau. Si vous envisagez d’utiliser uniquement un sous-ensemble des services offerts par le biais du peering Microsoft, vous pouvez réduire la taille de vos tables de routage de deux manières. Vous pouvez :

  • Filtrer les préfixes indésirables en appliquant des filtres de routage sur les communautés BGP. Le filtrage du routage est une pratique de mise en réseau standard courante.

  • Définir des filtres de routage et les appliquer à votre circuit ExpressRoute. Un filtre de routage est une ressource qui vous permet de sélectionner la liste des services que vous envisagez d’utiliser via le peering Microsoft. Les routeurs ExpressRoute envoient uniquement la liste des préfixes qui appartiennent aux services identifiés dans le filtre de routage.

Diagramme d’un filtre d’itinéraire appliqué au circuit ExpressRoute, uniquement pour autoriser la diffusion de certains préfixes sur le réseau local.

À propos des filtres de routage

Quand une homologation Microsoft est configurée sur votre circuit ExpressRoute, les routeurs Microsoft Edge établissent une paire de sessions BGP avec vos routeurs de périphérie via votre fournisseur de connectivité. Aucun routage n'est publié sur votre réseau. Pour activer les annonces de routage sur votre réseau, vous devez associer un filtre de routage.

Un filtre de routage vous permet d'identifier les services que vous souhaitez utiliser via le peering Microsoft de votre circuit ExpressRoute. Il s'agit essentiellement de la liste autorisée de toutes les valeurs de communauté BGP. Une fois qu'une ressource de filtre de routage est définie et associée à un circuit ExpressRoute, tous les préfixes qui mappent aux valeurs de communauté BGP sont publiés sur votre réseau.

Pour associer des filtres de routage à des services Microsoft 365, vous devez être autorisé à utiliser les services Microsoft 365 par le biais d'ExpressRoute. Si vous n'êtes pas autorisé à utiliser les services Microsoft 365 par le biais d'ExpressRoute, l'association des filtres de routage échoue. Pour plus d’informations sur le processus d’autorisation, consultez Azure ExpressRoute pour Microsoft 365.

Important

Le peering Microsoft des circuits ExpressRoute configurés avant le 1er août 2017 entraîne la publication de tous les préfixes de service Microsoft Office par le biais du peering Microsoft, même si les filtres de routage ne sont pas définis. Le peering Microsoft des circuits ExpressRoute qui sont configurés le 1er août 2017 ou après n’entraînera la publication d’aucun préfixe tant qu’un filtre de routage n’aura pas été attaché au circuit.

Prérequis

  • Examinez les conditions préalables et les flux de travail avant de commencer la configuration.

  • Vous devez disposer d’un circuit ExpressRoute actif où le peering Microsoft est provisionné. Vous pouvez utiliser les instructions suivantes pour accomplir ces tâches :

    • Créez un circuit ExpressRoute et demandez à votre fournisseur de connectivité de l’activer avant de poursuivre. Le circuit ExpressRoute doit être approvisionné et activé.
    • Créez le peering Microsoft si vous gérez la session BGP directement. Sinon, demandez à votre fournisseur de connectivité de configurer le peering Microsoft pour votre circuit.

Azure Cloud Shell

Azure héberge Azure Cloud Shell, un environnement d’interpréteur de commandes interactif que vous pouvez utiliser dans votre navigateur. Vous pouvez utiliser Bash ou PowerShell avec Cloud Shell pour utiliser les services Azure. Vous pouvez utiliser les commandes préinstallées Cloud Shell pour exécuter le code de cet article sans avoir à installer quoi que ce soit dans votre environnement local.

Pour démarrer Azure Cloud Shell :

Option Exemple/Lien
Sélectionnez Essayer dans le coin supérieur droite d’un bloc de codes ou de commandes. La sélection de Essayer ne copie pas automatiquement le code ni la commande dans Cloud Shell. Capture d’écran présentant un exemple d’essai pour Azure Cloud Shell.
Accédez à https://shell.azure.com ou sélectionnez le bouton Lancer Cloud Shell pour ouvrir Cloud Shell dans votre navigateur. Bouton permettant de lancer Azure Cloud Shell.
Sélectionnez le bouton Cloud Shell dans la barre de menus en haut à droite du portail Azure. Capture d’écran présentant le bouton Cloud Shell dans le portail Azure.

Pour utiliser Azure Cloud Shell :

  1. Démarrez Cloud Shell.

  2. Sélectionnez le bouton Copier sur un bloc de codes (ou un bloc de commandes) pour copier le code ou la commande.

  3. Collez le code ou la commande dans la session Cloud Shell en sélectionnant Ctrl+Maj+V sur Windows et Linux ou en sélectionnant Cmd+Maj+V sur macOS.

  4. Sélectionnez Entrée pour exécuter le code ou la commande.

Vous connecter à votre compte Azure et sélectionner votre abonnement

Si vous utilisez Azure Cloud Shell, vous vous connectez à votre compte Azure automatiquement après avoir cliqué sur « Essayer ». Pour vous connecter en local, ouvrez la console PowerShell avec des privilèges élevés et exécutez la cmdlet pour vous connecter.

Connect-AzAccount

Si vous possédez plusieurs abonnements, procurez-vous la liste de vos abonnements Azure.

Get-AzSubscription

Spécifiez l’abonnement à utiliser.

Select-AzSubscription -SubscriptionName "Name of subscription"

Obtenir la liste des préfixes et des valeurs de communauté BGP

  1. Pour obtenir la liste des valeurs de communauté BGP et préfixes liés aux services accessibles via une homologation Microsoft, utilisez la cmdlet suivante :

    Get-AzBgpServiceCommunity
    
  2. Dressez la liste des valeurs de communauté BGP que vous souhaitez utiliser dans le filtre de routage.

Créer un filtre de routage et une règle de filtre

Un filtre de routage ne peut avoir qu’une seule règle, et cette règle doit être de type Allow. Cette règle peut être associée à une liste des valeurs de communauté BGP. La commande az network route-filter create crée uniquement une ressource de filtre de routage. Après avoir créé la ressource, vous devez créer une règle et la joindre à l’objet de filtre de routage.

  1. Pour créer une ressource de filtre de routage, utilisez la commande suivante :

    New-AzRouteFilter -Name "MyRouteFilter" -ResourceGroupName "MyResourceGroup" -Location "West US"
    
  2. Pour créer une règle de filtre de routage, utilisez la commande suivante :

    $rule = New-AzRouteFilterRuleConfig -Name "Allow-EXO-D365" -Access Allow -RouteFilterRuleType Community -CommunityList 12076:5010,12076:5040
    
  3. Exécutez la commande suivante pour ajouter la règle de routage au groupe de routage :

    $routefilter = Get-AzRouteFilter -Name "MyRouteFilter" -ResourceGroupName "MyResourceGroup"
    $routefilter.Rules.Add($rule)
    Set-AzRouteFilter -RouteFilter $routefilter
    

Joindre le filtre de routage à un circuit ExpressRoute

Exécutez la commande suivante pour joindre le filtre de routage au circuit ExpressRoute, en admettant que vous n’avez que le peering Microsoft :

$ckt = Get-AzExpressRouteCircuit -Name "ExpressRouteARMCircuit" -ResourceGroupName "MyResourceGroup"
$ckt.Peerings[0].RouteFilter = $routefilter 
Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt

Tâches courantes

Obtenir les propriétés d’un filtre de routage

Pour obtenir les propriétés d’un filtre de routage, procédez comme suit :

  1. Utilisez la commande suivante pour obtenir la ressource de filtre de routage :

    $routefilter = Get-AzRouteFilter -Name "MyRouteFilter" -ResourceGroupName "MyResourceGroup"
    
  2. Obtenez les règles de filtre de routage pour la ressource de filtre de routage en exécutant la commande suivante :

    $routefilter = Get-AzRouteFilter -Name "MyRouteFilter" -ResourceGroupName "MyResourceGroup"
    $rule = $routefilter.Rules[0]
    

Mettre à jour les propriétés d’un filtre de routage

Si le filtre de routage est déjà associé à un circuit, les mises à jour de la liste de communautés BGP propagent automatiquement les modifications de publication de préfixe via la session BGP établie. Vous pouvez mettre à jour la liste de communautés BGP de votre filtre de routage à l’aide de la commande suivante :

$routefilter = Get-AzRouteFilter -Name "MyRouteFilter" -ResourceGroupName "MyResourceGroup"
$routefilter.rules[0].Communities = "12076:5030", "12076:5040"
Set-AzRouteFilter -RouteFilter $routefilter

Détacher un filtre de routage d’un circuit ExpressRoute

Une fois qu’un filtre de routage est détaché du circuit ExpressRoute, aucun préfixe n’est publié via la session BGP. Vous pouvez détacher un filtre de routage d’un circuit ExpressRoute à l’aide de la commande suivante :

$ckt.Peerings[0].RouteFilter = $null
Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt

Nettoyer les ressources

Vous ne pouvez supprimer un filtre de routage que s’il n’est associé à aucun circuit. Assurez-vous que le filtre de routage n’est pas associé à un circuit avant de tenter de le supprimer. Vous pouvez supprimer un filtre de routage à l’aide de la commande suivante :

Remove-AzRouteFilter -Name "MyRouteFilter" -ResourceGroupName "MyResourceGroup"

Étapes suivantes

Pour plus d’informations sur les exemples de configuration de routeur, consultez :