Configurer le transit par passerelle VPN pour le peering de réseaux virtuels

Cet article explique comment configurer le transit par passerelle pour le peering de réseaux virtuels.Cet article explique comment configurer le transit par passerelle pour le peering de réseaux virtuels. Le peering de réseaux virtuels connecte en toute transparence deux réseaux virtuels Azure de manière à les fusionner en un seul réseau virtuel à des fins de connectivité. Le transit par passerelle est une propriété de peering qui permet à un réseau virtuel d'utiliser la passerelle VPN du réseau virtuel appairé pour la mise en œuvre d'une connectivité intersite ou de réseau virtuel à réseau virtuel.

Le diagramme suivant illustre le fonctionnement du transit par passerelle avec le peering de réseaux virtuels. Dans le diagramme, le transit par passerelle permet aux réseaux virtuels homologués d’utiliser la passerelle VPN du réseau virtuel Hub-RM. La connectivité disponible sur la passerelle VPN, notamment les connexions S2S, P2S et de réseau virtuel à réseau virtuel, s’applique aux trois réseaux virtuels.

Diagramme du transit par passerelle.

L’option de transit peut être utilisée avec toutes les références SKU de passerelle VPN, à l’exception de la référence SKU de base.

Dans l’architecture réseau hub-and-spoke, le transit par passerelle permet aux réseaux virtuels spoke d’exploiter la passerelle VPN du hub, évitant ainsi d’avoir à déployer des passerelles VPN dans chaque réseau virtuel spoke. Les itinéraires vers les réseaux locaux ou les réseaux virtuels connectés à la passerelle sont propagés aux tables de routage pour les réseaux virtuels en peering à l’aide du transit par passerelle.

Vous pouvez désactiver la propagation automatique des itinéraires à partir de la passerelle VPN. Créez une table de routage avec l’option Désactiver la propagation des itinéraires BGP et associez la table de routage aux sous-réseaux afin d’empêcher la distribution des itinéraires à ces derniers. Pour plus d’informations, consultez Virtual network routing table (Table de routage de réseau virtuel).

Remarque

Si vous apportez un changement à la topologie de votre réseau et que vous avez des clients VPN Windows, vous devez retélécharger et réinstaller le package client VPN pour les clients Windows afin d’appliquer ce changement au client.

Prérequis

Cet article nécessite les autorisations et réseaux virtuels suivants.

Réseaux virtuels

Réseau virtuel Étapes de configuration Passerelle de réseau virtuel
Hub-RM Resource Manager Oui
Spoke-RM Resource Manager Non

Autorisations

Les comptes que vous utilisez pour créer un peering de réseaux virtuels doivent être dotés des autorisations ou des rôles nécessaires. Dans l'exemple ci-dessous, si vous avez effectué un peering entre les deux réseaux virtuels nommés Hub-RM et Spoke-Classic, votre compte doit disposer des autorisations ou des rôles suivants pour chaque réseau virtuel :

Réseau virtuel Modèle de déploiement Role Autorisations
Hub-RM Gestionnaire de ressources Contributeur de réseau Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write
Spoke-RM Gestionnaire de ressources Contributeur de réseau Microsoft.Network/virtualNetworks/peer

Apprenez-en davantage sur les rôles intégrés et l’affectation d’autorisations spécifiques aux rôles personnalisés (Gestionnaire des ressources uniquement).

Pour ajouter un peering et activer le transit

  1. Sur le portail Azure, créez ou mettez à jour le peering de réseaux virtuels à partir du réseau virtuel Hub-RM. Accédez au réseau virtuel Hub-RM. Sélectionnez Peerings, puis +Ajouter pour ouvrir Ajouter un peering.

  2. Sur la page Ajouter un appairage, configurez les valeurs de Résumé de réseau virtuel distant.

    • Nom du lien de peering : nommez le lien. Exemple : SpokeRMtoHubRM
    • Modèle de déploiement de réseau virtuel : Resource Manager
    • Je connais mon ID de ressource : Laissez vide. Vous devez uniquement cocher cette case si vous n’avez pas accès en lecture au réseau virtuel ou à l’abonnement avec lequel vous souhaitez opérer le peering.
    • Abonnement : sélectionnez l'abonnement.
    • Réseau virtuel : Spoke-RM
  3. Sur la page Ajouter un appairage, configurez les valeurs de Paramètres d’appairage de réseaux virtuels distants.

    • Autoriser « Spoke-RM » à accéder à « Hub-RM » : laissez la valeur par défaut sélectionnée.
    • Autoriser « Spoke-RM » à recevoir le trafic transféré à partir de « Hub-RM » : cochez la case.
    • Autoriser la passerelle ou le serveur de routes du réseau virtuel appairé à transférer le trafic vers « Hub-RM » : laissez la valeur par défaut non sélectionnée.
    • Activer « SpokeRM » pour utiliser la passerelle distante ou le serveur de routes de « Hub-RM » : cochez la case.

    Capture d'écran illustrant l'ajout d'un peering.

  4. Sur la page Ajouter un appairage, configurez les valeurs de Résumé de réseau virtuel local.

    • Nom du lien de peering : nommez le lien. Exemple : HubRMToSpokeRM
  5. Sur la page Ajouter un appairage, configurez les valeurs de Paramètres d’appairage de réseaux virtuels locaux.

    • Autoriser « Hub-RM » à accéder au réseau virtuel appairé : laissez la valeur par défaut sélectionnée.
    • Autoriser « Hub-RM » à recevoir le trafic transféré à partir du réseau virtuel appairé : cochez la case.
    • Autoriser la passerelle ou le serveur de routes dans « Hub-RM » à transférer le trafic vers le réseau virtuel appairé : cochez la case.
    • Activer « Hub-RM » pour utiliser la passerelle distante ou le serveur de routes du réseau virtuel appairé : laissez la valeur par défaut non sélectionnée.

    Capture d'écran présentant les valeurs du réseau virtuel distant.

  6. Sélectionnez Ajouter pour créer le peering.

  7. Vérifiez que l'état du peering est défini sur Connecté pour les deux réseaux virtuels.

Pour modifier un peering existant en vue d'un transit

Si vous avez déjà un peering existant, vous pouvez le modifier pour le transit.

  1. Accédez au réseau virtuel. Sélectionnez Peerings et choisissez le peering que vous souhaitez modifier. Par exemple, sur le réseau virtuel Spoke-RM, sélectionnez le peering SpokeRMtoHubRM.

  2. Mettez à jour le peering de réseaux virtuels.

    Activer « SpokeRM » pour utiliser la passerelle distante ou le serveur de routes de « Hub-RM » : cochez la case.

  3. Enregistrez les paramètres de peering.

Exemple de code PowerShell

Vous pouvez également utiliser PowerShell pour créer ou mettre à jour le peering. Remplacez les variables par le nom de vos réseaux virtuels et de vos groupes de ressources.

$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG   = "HubRG1"
$HubRM   = "Hub-RM"

$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet   = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG

Add-AzVirtualNetworkPeering `
  -Name SpokeRMtoHubRM `
  -VirtualNetwork $spokermvnet `
  -RemoteVirtualNetworkId $hubrmvnet.Id `
  -UseRemoteGateways

Add-AzVirtualNetworkPeering `
  -Name HubRMToSpokeRM `
  -VirtualNetwork $hubrmvnet `
  -RemoteVirtualNetworkId $spokermvnet.Id `
  -AllowGatewayTransit

Étapes suivantes