Connecter des services par peering de réseaux virtuels

  • 8 minutes

Vous pouvez utiliser le peering de réseaux virtuels pour connecter entre eux directement des réseaux virtuels Azure. Quand vous utilisez le peering pour connecter des réseaux virtuels, les machines virtuelles incluses dans ces réseaux peuvent communiquer entre elles comme si elles se trouvaient dans le même réseau.

Avec des réseaux virtuels appairés, le trafic entre les machines virtuelles est routé par le biais du réseau Azure. Le trafic utilise uniquement des adresses IP privées. Il ne repose pas sur la connectivité Internet, des passerelles ou des connexions chiffrées. Le trafic est toujours privé et il exploite la bande passante élevée et la latence faible du réseau principal Azure.

Diagramme de base de deux réseaux virtuels connectés par appairage de réseaux virtuels.

Les deux types de connexions de peering se créent de la même façon :

  • Le peering de réseaux virtuels permet de connecter des réseaux virtuels situés dans la même région Azure, par exemple deux réseaux virtuels dans la région Europe Nord.
  • Le peering de réseaux virtuels mondiaux permet de connecter des réseaux virtuels qui se trouvent dans des régions Azure différentes, par exemple un réseau virtuel de la région Europe Nord et un réseau virtuel de la région Europe Ouest.

L’appairage de réseaux virtuels n’affecte pas et ne perturbe pas les ressources que vous avez déjà déployées sur vos réseaux virtuels. Quand vous utilisez l’appairage de réseaux virtuels, tenez compte des fonctionnalités clés définies dans les sections suivantes.

Connexions réciproques

Quand vous créez une connexion de peering de réseaux virtuels avec Azure PowerShell ou Azure CLI, un seul côté du peering est créé. Pour effectuer la configuration de l’appairage de réseaux virtuels, vous devez configurer l’appairage dans le sens inverse pour établir la connectivité. Quand vous créez la connexion de l’appairage de réseaux virtuels via le Portail Azure, la configuration des deux côtés est effectuée en même temps.

Pensez à la manière dont vous connectez deux commutateurs réseau ensemble. Vous pouvez connecter un câble à chaque commutateur et configurer éventuellement certains paramètres pour que les commutateurs puissent communiquer. Le peering de réseaux virtuels nécessite des connexions similaires dans chaque réseau virtuel. Des connexions réciproques fournissent cette fonctionnalité.

Peering de réseaux virtuels entre abonnements

Vous pouvez utiliser le peering de réseaux virtuels même quand les deux réseaux virtuels se trouvent dans des abonnements différents. Cette configuration peut s’avérer nécessaire dans le cadre de fusions et d’acquisitions ou pour connecter des réseaux virtuels dans des abonnements gérés par des services différents. Les réseaux virtuels peuvent se trouver dans des abonnements différents, ou les abonnements peuvent utiliser des locataires Microsoft Entra différents ou le même locataire.

Quand vous utilisez le peering de réseaux virtuels entre abonnements, sachez que l’administrateur d’un abonnement peut ne pas administrer l’abonnement du réseau appairé. Il risque alors de ne pas être en mesure de configurer les deux extrémités de la connexion. Pour appairer les réseaux virtuels quand les deux abonnements se trouvent dans des locataires Microsoft Entra différents, les administrateurs de chaque abonnement doivent accorder à l’administrateur de l’abonnement appairé le rôle Network Contributor sur leur réseau virtuel.

Transitivité

Le peering de réseaux virtuels n’est pas transitif. Seules les réseaux virtuels directement appairés peuvent communiquer entre eux. Les réseaux virtuels ne peuvent pas communiquer avec les pairs de leurs pairs.

Supposons, par exemple, que vos trois réseaux virtuels (A, B, C) soient appairés comme ceci : A <-> B <-> C. Les ressources de A ne peuvent pas communiquer avec les ressources de C, car ce trafic ne peut pas transiter par le biais du réseau virtuel B. Si vous avez besoin d’une communication entre le réseau virtuel A et le réseau virtuel C, vous devez les appairer explicitement.

Transit par passerelle

Vous pouvez vous connecter à votre réseau local à partir d’un réseau virtuel appairé si vous activez le transit par passerelle à partir d’un réseau virtuel doté d’une passerelle VPN. Avec le transit par passerelle, vous pouvez activer une connectivité locale sans déployer des passerelles de réseau virtuel sur tous vos réseaux virtuels. Cette méthode peut réduire le coût global et la complexité de votre réseau. En utilisant le peering de réseaux virtuels avec le transit par passerelle, vous pouvez configurer un seul réseau virtuel en tant que réseau hub. Connectez ce réseau hub à votre centre de données local et partagez sa passerelle de réseau virtuel avec des pairs.

Pour activer le transit par passerelle, configurez l’option Autoriser le transit par passerelle dans le réseau virtuel hub où la connexion de passerelle à votre réseau local est déployée. Configurez également l’option Utiliser des passerelles distantes dans les réseaux virtuels spoke.

Notes

Si vous voulez activer l’option Utiliser des passerelles distantes dans un peering de réseaux spoke, vous ne pouvez pas déployer une passerelle de réseau virtuel dans le réseau virtuel spoke.

Espaces d’adressage qui se chevauchent

Les espaces d’adressage IP des réseaux connectés au sein d’Azure et entre Azure et votre réseau local ne peuvent pas se chevaucher. Cette règle vaut également pour les réseaux virtuels appairés. N’oubliez pas cette règle quand vous planifiez votre conception réseau. Dans tous les réseaux que vous connectez par peering de réseaux virtuels, VPN ou ExpressRoute, affectez des espaces d’adressage différents qui ne se chevauchent pas.

Diagramme d’une comparaison d’adressages réseau avec chevauchement et sans chevauchement.

Méthodes de connectivité alternatives

Le peering est la manière la plus simple de connecter entre eux des réseaux virtuels. D’autres méthodes se concentrent principalement sur la connectivité entre les réseaux locaux et les réseaux Azure, plutôt que sur les connexions entre réseaux virtuels.

Vous pouvez également connecter des réseaux virtuels entre eux par le biais d’un circuit ExpressRoute. ExpressRoute est une connexion privée dédiée entre un centre de données local et le réseau principal Azure. Les réseaux virtuels connectés à un circuit ExpressRoute font partie du même domaine de routage et peuvent communiquer entre eux. Les connexions ExpressRoute ne passent pas par l’Internet public, si bien que vos communications avec les services Azure sont aussi sécurisées que possible.

Les réseaux privés virtuels (VPN) utilisent Internet pour connecter votre centre de données local au réseau principal Azure par le biais d’un tunnel chiffré. Vous pouvez une configuration de site à site pour connecter des réseaux virtuels entre eux par le biais de passerelle VPN. Les passerelles VPN ont une latence plus élevée que les configurations de peering de réseaux virtuels. Ils sont plus complexes et peuvent coûter plus cher à gérer.

Quand des réseaux virtuels sont connectés par le biais d’une passerelle et par peering, le trafic passe par la configuration du peering.

Quand choisir le peering de réseaux virtuels

Le peering de réseaux virtuels convient parfaitement pour activer la connectivité réseau entre des services qui se trouvent dans des réseaux virtuels différents. L’appairage de réseaux virtuels doit être votre premier choix quand vous avez besoin d’intégrer des réseaux virtuels Azure. Il est facile à implémenter et à déployer, et il fonctionne bien dans des régions et des abonnements différents.

Le peering ne sera peut-être pas votre premier choix si vous avez des connexions ou des services VPN ou ExpressRoute existants derrière des équilibreurs de charge Azure de base qui doivent être accessibles depuis un réseau virtuel appairé. Dans ce cas, vous devez rechercher des alternatives.