Vous êtes sur la page 1sur 12

Mise en réseau de Tout ce que les architectes informatiques

doivent savoir sur la mise en réseau dans


Microsoft Cloud des plateformes et services Microsoft
Cloud.
pour Enterprise
Architects
Rubrique 1 sur 6 1 2 3 4 5 6

Évolution de votre réseau pour la connectivité au cloud


La migration vers le cloud modifie le volume et la nature des flux de trafic internes et externes à un réseau
d’entreprise. Elle a également une incidence sur les approches permettant de réduire les risques de sécurité.

Avant le cloud Après le cloud


La plupart des investissements concernant les infrastructures réseau Avec la migration de la nouvelle productivité et les charges de travail
visaient à garantir la disponibilité, la fiabilité et les performances de la informatiques exécutées dans le cloud, les investissements concernant
connectivité aux centres de données locaux. Pour de nombreuses les infrastructures ont délaissé les centres de données locaux au profit
organisations, la connectivité Internet n’était pas essentielle pour les de la connectivité Internet, qui est désormais essentielle pour les
opérations d’entreprise internes. Les limites de réseau constituaient la opérations d’entreprise internes. La connectivité fédérée oriente la
principale défense contre les violations de sécurité. stratégie de sécurité sur la protection des identités et des données
lors de leur circulation sur le réseau, et sur les points de connectivité
aux services Microsoft Cloud.
Les investissements en infrastructures réseau commencent par la connectivité.
Les investissements supplémentaires dépendent de la catégorie du service cloud.

SaaS Azure PaaS Azure IaaS


Software as a Service Platform as a Service Infrastructure as a Service

Les services SaaS de Microsoft incluent Office 365, En plus des investissements pour les services SaaS En plus des investissements pour les services SaaS
Microsoft Intune et Microsoft Dynamics 365. de Microsoft, les applications PaaS pour plusieurs et PaaS de Microsoft, l’exécution de charges de
L’adoption réussie des services SaaS par les sites ou réparties géographiquement peuvent travail informatiques dans IaaS nécessite la
utilisateurs dépend de la haute disponibilité et des nécessiter la création d’une passerelle d'application création et la configuration de réseaux virtuels
performances de la connectivité à Internet ou Azure ou d’un système Azure Traffic Manager pour Azure hébergeant des machines virtuelles, la
directement aux services Microsoft Cloud. distribuer le trafic client. Les investissements connectivité sécurisée des applications exécutées
continus incluent l’analyse des performances et de sur ces dernières, le routage, l’adressage IP, le DNS
L’architecture réseau se concentre sur une la distribution du trafic, ainsi que le test de et l’équilibrage de charge. Les investissements
connectivité fiable et redondante, ainsi que sur une basculement. continus incluent l’analyse et la résolution de
bande passante suffisante. Les investissements problèmes de performances et de sécurité.
continus incluent l’analyse et l’optimisation des
performances.

Domaines d’investissement dans les réseaux pour la réussite dans le cloud


Les entreprises tirent parti d’une approche méthodique pour
optimiser le débit du réseau sur votre intranet et sur Internet. Vous L’étendue des investissements concernant le réseau dépend de la
pourriez également tirer avantage d’une connexion ExpressRoute. catégorie du service cloud. Investir dans le Microsoft Cloud optimise les
investissements des équipes réseau. Par exemple, les investissements
pour les services IaaS s’appliquent à toutes les catégories.
Optimiser la connectivité Pour un SLA élevé aux services
intranet à votre réseau de de cloud computing Microsoft, Domaine
d’investissement SaaS PaaS IaaS
périmètre utilisez ExpressRoute
Au fil des ans, de nombreuses Bien que vous puissiez utiliser votre Concevoir une connectivité Internet fiable et
organisations ont optimisé la connectivité connexion Internet actuelle à partir de redondante avec une bande passante large
intranet et les performances pour les votre réseau de périmètre, le trafic vers et Surveiller et régler le débit Internet pour les
applications exécutées dans des centres à partir des services Microsoft Cloud doit performances
de données locaux. Grâce à la productivité partager le canal avec d’autres trafics
et à l’exécution de charges de travail intranet accédant à Internet. En outre, le Résoudre les problèmes de connectivité et de débit
informatiques dans le Microsoft Cloud, trafic vers les services Microsoft Cloud est Internet
des investissements supplémentaires soumis à la congestion du trafic Internet. Concevoir un système Azure Traffic Manager pour
doivent garantir une haute disponibilité équilibrer la charge du trafic sur différents points de
de la connectivité et des performances de Pour un SLA élevé et des performances terminaison
trafic optimales entre votre réseau de optimales, utilisez ExpressRoute, une
Concevoir une connectivité fiable, redondante et
périmètre et vos utilisateurs intranet. connexion WAN dédiée entre votre réseau performante aux réseaux virtuels Azure
et Azure, Office 365, Dynamics 365 ou
tous les trois. Créer une connectivité sécurisée aux machines virtuelles
Optimiser le débit au niveau Azure
de votre réseau de périmètre ExpressRoute peut tirer profit de votre Concevoir et implémenter le routage entre les
fournisseur de réseau existant pour une emplacements locaux et les réseaux virtuels
Votre trafic de productivité quotidien connexion dédiée. Les ressources
empruntant de plus en plus le cloud, vous connectées par ExpressRoute apparaissent Concevoir et implémenter l’équilibrage de charge pour
devez examiner attentivement l’ensemble comme si elles se trouvaient sur votre
les charges de travail informatiques internes et
des systèmes au niveau de votre réseau accessibles sur Internet
réseau étendu, même pour les
de périmètre afin de vous assurer qu’ils organisations dispersées Résoudre les problèmes de connectivité et de débit des
sont à jour, fournissent une disponibilité géographiquement. machines virtuelles
élevée et ont une capacité suffisante pour
répondre aux charges de pointe. ExpressRoute pour Office 365
ExpressRoute pour Azure
Septembre 2016 © 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écrire à l’adresse CloudAdopt@microsoft.com.
Mise en réseau de Tout ce que les architectes informatiques
doivent savoir sur la mise en réseau dans
Microsoft Cloud pour des plateformes et services Microsoft
Cloud.
Enterprise Architects
Rubrique 2 sur 6 1 2 3 4 5 6

Éléments communs de la connectivité au Microsoft Cloud


L’intégration de votre réseau avec le Microsoft Cloud offre un accès optimal à un
vaste éventail de services.

Étapes de préparation de votre réseau pour les services de Microsoft Cloud


Réseau local Internet

1 Analysez les 2 Analysez 3 Analysez la 1 Analysez la latence entre 2 Analysez la capacité et


ordinateurs de vos votreréseau local capacité et les votre équipement de l’utilisation de votre
clients et optimisez pour la latence du performances de périmètre Internet(par connexion Internet actuelle,
le matériel réseau, les trafic et le routage votre équipement exemple, votre pare-feu et augmentez la capacité si
pilotes logiciels, les optimal vers de périmètre externe) et les emplacements nécessaire. Vous pouvez
paramètres du l’équipement de Internet, et régionaux du service également ajoutez une
protocole et les périmètre Internet. optimisez pour des Microsoft Cloud auquel vous connexion ExpressRoute.
navigateurs Internet. niveaux supérieurs vous connectez.
de trafic.

Options de connectivité du Microsoft Cloud


Utilisez votre canal Internet existant ou une connexion
ExpressRoute à Office 365, Azure et Dynamics 365.
Composants d’une zone DMZ typique

Réseau local Internet Pare-feu interne : Barrière entre votre réseau approuvé
et un réseau non approuvé. Effectue le filtrage (en
fonction de règles) et l’analyse du trafic.

ExpressRoute
Office 365
Charge de travail externe : Sites web ou autres charges
Utilisateurs de travail mis à la disposition des utilisateurs externes
Microsoft Intune
sur Internet.
Microsoft Azure
Canal Serveur proxy : Demandes de services pour le contenu
Internet Dynamics 365 web au nom des utilisateurs de l’intranet. Un proxy
inverse autorise les demandes entrantes non sollicitées.

ZONE DMZ Pare-feu externe : Autorise le trafic sortant et le trafic


entrant spécifié. Peut effectuer la traduction d’adresses.

ISP
Connexion WAN à ISP : Connexion basée sur un
Pare-feu interne Charge de Serveur Pare-feu externe opérateur à un fournisseur de services Internet, qui est
travail proxy homologuée avec Internet pour la connectivité et le
externe routage.

Zones de réseau communes à tous les services Microsoft Cloud


Performances intranet Équipements du périmètre Connexion Internet DNS Internet
Les performances des ressources basées Les équipements au périmètre de votre Votre connexion WAN à votre Utilisez des enregistrements A, AAAA,
sur Internet seront réduites si votre réseau sont des points de sortie qui fournisseur de services Internet et la CNAME, MX, PTR et d’autres
intranet, y compris les ordinateurs clients, peuvent inclure des traducteurs connexion Internet doivent avoir une enregistrements pour localiser les services
n’est pas optimisé. d’adresses réseau (NAT), des serveurs capacité suffisante pour gérer les Microsoft Cloud ou vos services hébergés
proxy (dont des proxys inverses), des charges de pointe. dans le cloud. Par exemple, vous pouvez
pare-feu, des appareils de détection des avoir besoin d’un enregistrement CNAME
intrusions, ou une combinaison de ces Vous pouvez également utiliser une pour votre application hébergée dans
dispositifs. connexion ExpressRoute. Azure PaaS.

Septembre 2016 © 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écrire à l’adresse CloudAdopt@microsoft.com.
Mise en réseau de Tout ce que les architectes informatiques
doivent savoir sur la mise en réseau dans
Microsoft Cloud pour des plateformes et services Microsoft
Cloud.
Enterprise Architects
Rubrique 3 sur 6 1 2 3 4 5 6

ExpressRoute pour la connectivité à Microsoft Cloud


ExpressRoute fournit une connexion réseau privée dédiée à haut débit
au Microsoft Cloud.

ExpressRoute vers le Microsoft Cloud


Sans ExpressRoute
Avec une connexion Internet, la seule partie du
Réseau local Internet Microsoft cloud chemin du trafic vers le Microsoft Cloud que vous
pouvez contrôler (et ayant une relation avec le
fournisseur de services) est le lien entre votre
périmètre de réseau local et votre fournisseur de
Microsoft Intune services Internet (indiqué en vert).
Utilisateurs
E E Le chemin entre votre fournisseur de services
I
d d Office 365
S Internet et le périmètre du Microsoft Cloud est un
Utilisateurs g g
P système de remise optimal sujet à des
e e
Dynamics 365 interruptions, à des congestions de trafic, et à la
Microsoft Azure surveillance par des utilisateurs malveillants
(indiqués en jaune).
Les utilisateurs sur Internet, tels que les
utilisateurs itinérants ou distants, envoient leur
trafic vers le Microsoft Cloud via Internet.
Avec ExpressRoute
Avec une connexion ExpressRoute, vous contrôlez
Réseau local Internet Microsoft cloud désormais le chemin du trafic dans son
intégralité, de votre périmètre jusqu’au périmètre
du Microsoft Cloud, grâce à une relation avec
votre fournisseur de services. Cette connexion
peut offrir des performances prévisibles et un SLA
Utilisateurs de temps d’activité de 99,9 %.
Microsoft Intune
I Vous pouvez maintenant compter sur un débit et
S
P une latence prévisibles, en fonction de la
connexion de votre fournisseur de services, pour
E E
d d les services Office 365, Azure et Dynamics 365.
Utilisateurs Les connexions ExpressRoute à Microsoft Intune
g g
e e ne sont pas prises en charge pour l’instant.
Le trafic transmis par la connexion ExpressRoute
Office 365 Microsoft Azure
n’est plus soumis aux interruptions Internet, aux
congestions du trafic et à la surveillance.
ExpressRoute Les utilisateurs sur Internet, tels que les
Dynamics 365
utilisateurs itinérants ou distants, envoient
toujours leur le trafic vers le Microsoft Cloud via
Internet. Une exception existe pour le trafic vers
une ligne intranet d’une application métier
Même avec une connexion ExpressRoute, le trafic est toujours transmis par Internet, comme les hébergée dans Azure IaaS, qui est transmis par la
requêtes DNS, la vérification de la liste de révocation de certificats et les demandes de réseau de connexion ExpressRoute via une connexion
distribution de contenu (CDN). d’accès à distance au réseau local.

Pour plus d’informations, consultez les ressources


ExpressRoute pour Office 365 ExpressRoute pour Azure
supplémentaires suivantes :

Avantages d’ExpressRoute pour Azure


Performances prévisibles Confidentialité des données de Connexions haut débit Moindre coût de certaines
votre trafic configurations
Avec un chemin dédié vers le périmètre du Le trafic transmis via votre connexion Avec l’importante prise en charge des Bien que les connexions ExpressRoute représentent
Microsoft Cloud, vos performances ne sont ExpressRoute dédiée n’est pas soumis connexions ExpressRoute par les un coût supplémentaire, dans certains cas, une seule
pas sujettes à des interruptions du fournisseur à la surveillance Internet, ou à la capture fournisseurs d’échange et les fournisseurs connexion ExpressRoute peut être moins onéreuse
Internet ou à des pics de trafic Internet. Vous et analyse de paquet par des utilisateurs de services de réseau, vous pouvez que l’augmentation de votre capacité Internet en
pouvez établir un SLA concernant le débit et la malveillants. Il est aussi sécurisé que les obtenir une liaison de jusqu’à 10 Gbits/s plusieurs emplacements de votre organisation afin de
latence vers Microsoft Cloud dont vos liens WAN basés sur MPLS Microsoft Cloud. fournir un débit suffisant au services Microsoft Cloud.
fournisseurs seront responsables. (Multiprotocol Label Switching).
Une connexion ExpressRoute ne garantit pas de meilleures performances dans chaque configuration. Il est Pour connaître les dernières recommandations relatives à
possible d’avoir des performances inférieures en utilisant une connexion ExpressRoute avec une faible bande l’utilisation d’ExpressRoute avec Office 365, voir
passante au lieu d’une connexion Internet avec une bande passante élevée qui se trouve seulement à quelques ExpressRoute pour Office 365.
tronçons d’un centre de données Microsoft régional.
Suite à la page suivante
Suite à la page suivante

Modèles de connectivité ExpressRoute


Colocalisé au niveau d’un échange de cloud Ethernet de point à point Connexion universelle (IP VPN)

Microsoft Si votre centre de données se Microsoft Si votre centre de Si vous utilisez déjà un
trouve au même données se trouve sur Microsoft fournisseur IP VPN (MPLS)
emplacement dans une votre site, vous Votre pour connecter les sites de
installation comprenant un pouvez utiliser une emplacement 3 votre organisation, une
échange de cloud, vous liaison Ethernet de Votre connexion ExpressRoute
pouvez organiser une point à point pour emplacement 2 au Microsoft Cloud
connexion croisée virtuelle au vous connecter au fonctionnera comme un
Microsoft Cloud via l’échange Microsoft Cloud. autre emplacement sur
Votre Votre votre réseau étendu privé.
colocalisation Ethernet du fournisseur de la emplacement Votre RÉSEAU
colocalisation. emplacement 1 ÉTENDU

Relations d’homologation d’ExpressRoute aux services de cloud computing Microsoft


Une seule connexion ExpressRoute prend en charge jusqu'à trois relations d’homologation de protocole de passerelle
frontière (BGP) avec les différentes parties du Microsoft Cloud. BPG utilise les relations d’homologation afin d’établir
l’approbation et d’échanger des informations de routage.
Homologation Microsoft
Microsoft SaaS
 Représente un routeur dans votre zone
DMZ vers les adresses publiques des
services Office 365 et Dynamics 365.
Homologation Microsoft Dynamics CRM
 Prend en charge la communication initiée
Office 365 de manière bidirectionnelle.
Homologation publique
Réseau local  Provient d’un routeur dans votre zone
Azure PaaS DMZ et se dirige vers les adresses IP
publiques des services Azure.
Types d’applications :
ExpressRoute Homologation publique  Prend uniquement en charge la
 Calculerles  Analyse communication initiée de manière
 Données  IoT bidirectionnelle à partir des systèmes
Utilisateurs
 Web et mobiles  Média et CDN locaux. La relation d’homologation ne
 Intégration hybride prend pas en charge la communication
initiée à partir de services Azure PaaS.
Homologation privée
Azure IaaS
 Provient d’un routeur situé sur le
périmètre du réseau de votre organisation
Homologation privée et se dirige vers les adresses IP privées
attribuées à vos réseaux virtuels Azure.
 Prend en charge la communication initiée
Passerelle Machines virtuelles
de manière bidirectionnelle.
 Est une extension du réseau de votre
Réseau virtuel organisation vers le Microsoft Cloud,
comprenant un adressage et un routage
cohérents en interne.

Exemple de déploiement d’application et de flux de trafic avec ExpressRoute


La manière dont le trafic circule à travers les connexions ExpressRoute et au sein du Microsoft Cloud est fonction des
itinéraires au niveau des tronçons du chemin entre la source et la destination, et du comportement de l’application. Voici un
exemple d’application s’exécutant sur une machine virtuelle Azure qui accède à une batterie de serveurs SharePoint locale
sur une connexion VPN de site à site.
L’application localise l’adresse IP de la batterie de
Services IaaS Azure serveurs SharePoint à l’aide du DNS local et tout le trafic
Réseau local
bascule sur la connexion VPN de site à site.

Réseau virtuel
Flux de trafic

Batterie de VPN de site à site Serveur


serveurs d’applications
Canal
SharePoint Passerelle
Internet

Cette organisation a migré sa batterie de serveurs SharePoint locale


Avec les relations d’homologation privées et de
vers SharePoint Online dans Office 365 et a déployé une connexion
Microsoft, procédez comme suit :
ExpressRoute.
 À partir de la passerelle Azure, des emplacements
Microsoft SaaS locaux sontdisponibles sur la connexion ExpressRoute.
 À partir de l’abonnement à Office 365, les adresses IP
publiques des périphériques de périmètre, tels que les
serveurs proxy, sont disponibles sur la connexion
Office 365 ExpressRoute.
 À partir du périmètre du réseau local, les adresses IP
privées d’Azure VNet et les adresses IP publiques
Réseau local Azure IaaS d’Office 365 sont disponibles sur la connexion
ExpressRoute.
Réseau virtuel
Lorsque l’application accède aux URL de SharePoint
E Flux de trafic Online, elle transfère son trafic sur la connexion
d ExpressRoute à un serveur proxy du périmètre.
g
e Serveur
Passerelle d’applications Lorsque le serveur proxy localise l’adresse IP de
ExpressRoute SharePoint Online, il transfère à nouveau le trafic sur la
connexion ExpressRoute. Le trafic de réponse utilise le
chemin d’accès inverse. Le résultat est une épingle à
Suite à la page suivante cheveux résultant du routage et du comportement de
l’application.
Suite à la page suivante cheveux résultant du routage et du comportement de
l’application.

ExpressRoute et réseau Microsoft Cloud


Avec ExpressRoute Avec ExpressRoute Premium
La manière dont le trafic circule entre le réseau de votre organisation et un Pour des organisations éparpillées sur plusieurs continents, vous pouvez
centre de données Microsoft constitue une combinaison des éléments utiliser ExpressRoute Premium.
suivants : Avec ExpressRoute Premium, vous pouvez atteindre tous les centres de
 Vos emplacements. données Microsoft sur tous les continents à partir de n’importe quel
 Emplacements d’homologation Microsoft Cloud (emplacements physiques emplacement d’homologation Microsoft situé sur un des continents. Le
pour se connecter au périmètre de Microsoft). trafic entre les continents est réalisé sur le réseau Microsoft Cloud.
 Emplacements du centre de données Microsoft. Avec plusieurs connexions ExpressRoute Premium, vous pouvez avoir les
résultats suivants:
Le centre de données Microsoft et les emplacements d’homologation cloud  Meilleures performances pour les centres de données Microsoft locaux
sont tous connectés au réseau Microsoft Cloud. à l’échelle des continents.
 Disponibilité accrue dans le Microsoft Cloud global lorsqu’une
Lorsque vous créez une connexion ExpressRoute vers un emplacement connexion ExpressRoute locale n’est plus disponible.
d’homologation Microsoft Cloud, vous êtes connecté au réseau Microsoft
Cloud et à tous les emplacements de centre de données Microsoft sur le ExpressRoute Premium est requis pour les connexions ExpressRoute
même continent. Le trafic entre l’emplacement d’homologation cloud et le basées sur Office 365. Toutefois, il n’existe aucun coût supplémentaire
centre de données Microsoft de destination est exécuté sur le réseau pour les entreprises ayant au moins 500 utilisateurs sous licence.
Microsoft Cloud.
Cela peut entraîner une remise non optimale dans les centres de données
Microsoft locaux pour le modèle de connectivité complète. Exemple de connexions ExpressRoute Premium pour
une entreprise mondiale utilisant Office 365
Dans cet exemple, le Emplacement 1 Emplacement 2
trafic de la succursale
RÉSEAU
de la côte est doit ÉTENDU
traverser le pays jusqu’à Emplace-
un emplacement ment
d’homologation d’homol
Microsoft Cloud sur la ogation Réseau Microsoft
Cloud Centre de Réseau Microsoft
côte ouest, puis revenir Cloud
données Réseau Microsoft
au centre de données Réseau Microsoft
Azure dans l’Est des Cloud
Cloud
États-Unis.

Pour une remise optimale,


utilisez plusieurs Emplacement 1 Emplacement 2
Réseau Microsoft
connexions ExpressRoute
Cloud Réseau Microsoft
aux emplacements
d’homologation Microsoft Cloud
Cloud régionaux. Emplace- Emplacement
ment d’homologation
Ceci peut offrir les d’homolo
Réseau Microsoft
avantages suivants: gation
Cloud Avec une partie du réseau Microsoft Cloud sur chaque continent, une
Centre de
 Meilleures entreprise d’échelle mondiale crée des connexions ExpressRoute Premium
données
performances pour les aux emplacements d’homologation Microsoft locaux à partir de ses
emplacements de bureaux régionaux.
centre de données Pour un bureau régional, attribuez le trafic Office 365 aux centres de
Microsoft locaux à données suivants:
l’échelle de la région.
 Les centres de données Office 365 continentaux utilisent le réseau
 Disponibilité accrue
Microsoft Cloud du continent.
dans le Microsoft Cloud
lorsqu’une connexion  Les centres de données Office 365 situés sur un autre continent
ExpressRoute locale utilisent le réseau Microsoft Cloud intercontinental.
n’est plus disponible.
ExpressRoute pour Office 365 et autres Options de connexion réseau
Cela fonctionne bien pour les organisations situées sur le même continent.
Toutefois, le trafic vers les centres de données Microsoft à l’extérieur du Planification réseau et optimisation des performances pour Office 365
continent de l’organisation utilise Internet.
Cours Microsoft Virtual Academy concernant la gestion des performances
Pour le trafic intercontinental sur le réseau Microsoft Cloud, vous devez pour Office 365
utiliser des connexions ExpressRoute Premium.

Options ExpressRoute
Sécurité au niveau de Trafic Internet pour les machines Optimiseurs de réseau Qualité de service
votre périmètre virtuelles étendu (WAN)
Pour fournir une sécurité avancée pour Pour empêcher les machines virtuelles Vous pouvez déployer des optimiseurs de Utilisez des valeurs DSCP (Differentiated
le trafic échangé via la connexion Azure de lancer le trafic directement réseau étendu aux deux extrémités d’une Services Code Point) dans l’en-tête IPv4
ExpressRoute, comme l’inspection du avec des emplacements sur Internet, connexion d’homologation privée pour de votre trafic afin de le marquer pour
trafic ou la détection des intrusions/ annoncez l’itinéraire par défaut à un réseau virtuel (VNet) Azure intersite. À remise vocale, vidéo/interactive ou
programmes malveillants, placez vos Microsoft. Le trafic vers Internet est l’intérieur du réseau virtuel Azure, utilisez optimale. Ceci est particulièrement
appliances de sécurité dans le chemin du acheminé via la connexion ExpressRoute une Network Appliance optimiseur de important pour la relation
trafic au sein de la zone DMZ ou à la et vos serveurs proxy locaux. Le trafic réseau étendu de la Place de marché d’homologation Microsoft et le trafic
bordure de votre intranet. provenant des machines virtuelles Azure Azure et un routage défini par l’utilisateur Skype Entreprise Online.
et allant vers des services Azure PaaS ou pour router le trafic via l’appliance.
Office 365 est réacheminé via la
connexion ExpressRoute.

ExpressRoute pour Office 365 ExpressRoute pour Azure


Plus
d’informations http://aka.ms/expressrouteoffice365 https://azure.microsoft.com/services/
expressroute/

Septembre 2016 © 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écrire à l’adresse CloudAdopt@microsoft.com.
Mise en réseau de Tout ce que les architectes informatiques
doivent savoir sur la mise en réseau dans
Microsoft Cloud pour des plateformes et services Microsoft
Cloud.
Enterprise Architects
Rubrique 4 sur 6 1 2 3 4 5 6

Conception de mise en réseau pour Microsoft SaaS


(Office 365, Microsoft Intune et Dynamics 365)
L’optimisation de votre réseau pour les services SaaS de Microsoft nécessite une analyse approfondie
de votre périmètre Internet, de vos périphériques client et de vos opérations informatiques standard.

Étapes de préparation de votre réseau aux services SaaS de Microsoft

1 Passez en revue les Étapes 2 Optimisez votre sortie 3 Optimisez votre débit 4 Optimisez les performances 5 Le cas échéant, optimisez les
de préparation de votre Internet pour les services Internet en utilisant les des ordinateurs de vos clients performances des migrations
réseau pour les services SaaS de Microsoft en recommandations en et de l’intranet sur lequel ils se des données et de la
Microsoft Cloud dans la utilisant les matière de proximité et trouvent sur la base des synchronisation sur la base
rubrique 2 de ce modèle. recommandations de serveur d’emplacement. considérations relatives à des considérations relatives
proxy. l’utilisation du client. aux opérations informatiques.

Considérations relatives au périmètre Internet Recommandations concernant


le serveur proxy
Goulots d’étranglement de
 Configurez les clients web à l’aide du
serveur proxy
protocole WPAD, du certificat PAC ou d’un  Connexions persistantes insuffisantes (Outlook)
Capacité insuffisante
Réseau local Internet objet de stratégie de groupe 
 N’utilisez pas d’interception SSL  Réalisation de l’évaluation hors réseau
 Utilisez un fichier PAC pour contourner le  Demande d’authentification
proxy pour les noms DNS de service SaaS de
 Aucune prise en charge pour le trafic UDP
Microsoft
(Skype Entreprise)
ExpressRoute  Autorisez le trafic pour la vérification de la
liste de révocation de certificats/du protocole
Office 365 OCSP Ports de sortie pour Office 365
Recommandations en matière TCP 80 (pour les contrôles de liste de révocation
Dynamics 365 de certificats/de protocole OCSP)
Utilisateurs Canal
de proximité et d’emplacement TCP 443
 N’acheminez pas le trafic Internet sur le UDP 3478
Internet
réseau étendu privé TCP 5223
 Utilisez le flux de trafic DNS et Internet dans TCP 50000-59999
Microsoft Intune la région pour les utilisateurs à l’extérieur de UDP 50000-59999
la région
 Utilisez une homologation ExpressRoute et
ExpressRoute pour Office 365 Microsoft pour disposer d’une large bande
passante vers Office 365 et Dynamics 365 URL et plages d’adresses IP Office 365

Considérations relative à l’utilisation client


Ensemble de services Ordinateurs clients Performances intranet
Azure Active Directory Déterminez ce qui suit: Pour chaque type de client (PC,  Servez-vous d’outils pour évaluer la
 Nombre maximal à un moment smartphone ou tablette), vérifiez les durée approximative des boucles
Office 365 quelconque (heure du jour, saisonnier, éléments suivants: sur vos équipements de périmètre
 Applications clientes Office pics et creux d’utilisation)  Navigateur Internet Internet (PsPing, Ping, Tracert,
 SharePoint Online  Bande passante totale nécessaire pour  Pile TCP/IP TraceTCP, Moniteur réseau)
les pics  Matériel réseau  Effectuez l’analyse de chemin de
 Exchange Online  Latence vers l’équipement de sortie  Pilotes du système d’exploitation du sortie à l’aide des protocoles de flux
 Skype Entreprise Internet matériel réseau  Effectuez l’analyse des
Microsoft Intune  Pays d’origine et pays de  Mises à jour et correctifs installés périphériques intermédiaires (âge,
colocalisation de centre de données intégrité, etc.)
Dynamics 365 Prise en charge de la traduction Optimisez le débit de connexion
d'adresses réseau (NAT) avec Office 365 intranet (par câble, sans fil ou VPN). Outil PsPing

Considérations relatives aux opérations informatiques


Migrations ponctuelles Synchronisations continues
Comme le transfert des données en bloc pour les applications basées Par exemple des informations d’annuaire, des paramètres ou des fichiers.
sur le stockage d’archives.  Assurez-vous qu’un système de suivi de la bande passante réseau est en place, et
 Évitez l’utilisation maximale du réseau et les heures de mise à jour corrective de résolvez ou ignorez les erreurs collectées
l’ordinateur  Utilisez les résultats du suivi de la bande passante pour déterminer les modifications de
 En cas de ligne de base et de guidage, évaluez l’intégrité du réseau et résolvez les réseau nécessaires (montée en puissance/en charge, ajout de nouveaux circuits ou ajout
problèmes avant d’essayer la migration réelle d’appareils)
 Établissez un bilan pour les prochaines migrations

Planification réseau et Cours Microsoft Virtual Academy ExpressRoute pour Office 365
Plus d’informations optimisation des performances concernant la gestion des
http://aka.ms/expressrouteoffice365
pour Office 365 performances pour Office 365
http://aka.ms/tune http://aka.ms/o365perf

Septembre 2016 © 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écrire à l’adresse CloudAdopt@microsoft.com.
Mise en réseau de Tout ce que les architectes informatiques
doivent savoir sur la mise en réseau dans
Microsoft Cloud pour des plateformes et services Microsoft
Cloud.
Enterprise Architects
Rubrique 5 sur 6 1 2 3 4 5 6

Conception de mise en réseau pour PaaS Azure


L’optimisation du réseau pour les applications Azure PaaS requiert une bande passante Internet
appropriée et peut nécessiter la distribution du trafic réseau sur plusieurs sites ou applications.

Étapes de planification de l’hébergement d’applications PaaS d’entreprise dans Azure

1 Passez en revue les 2 Optimisez votre bande 3 Déterminez si vous avez 4 Pour les charges de travail 5 Pour distribuer le trafic sur
Étapes de préparation passante Internet en suivant besoin d’une connexion basées sur Internet, différents points de
de votre réseau pour les les étapes2 à 4 de la section ExpressRoute à Azure. déterminez si vous avez terminaison dans divers
Étapes de préparation de
services Microsoft Cloud besoin de la passerelle centres de données,
votre réseau pour les services
dans la rubrique 2 de ce Microsoft SaaS dans la d'application Azure. déterminez si vous avez
modèle. rubrique 4 de ce modèle. besoin d’Azure Traffic
Manager.

Bande passante Internet pour les applications PaaS d’entreprise


Les applications d’organisation hébergées dans Azure PaaS nécessitent une bande passante Internet
pour les utilisateurs de l’intranet.
Option 1 Utilisez votre canal existant,
optimisé pour le trafic Internet avec la capacité Réseau local Azure PaaS
à gérer des pics de charge. Voir la page 4 de
ce modèle pour des considérations relatives au Types d’application:
périmètre Internet, à l’utilisation du client et • Calcul • Analyse
aux opérations informatiques. Canal • Web et mobile • IoT
Internet • Média et CDN
Option 2 En cas de besoin de bande passante Utilisateurs
ExpressRoute • Données
large ou de latence faible, utilisez une • Intégration hybride
connexion ExpressRoute à Azure.

Passerelle d'application Azure Microsoft Azure


Routage au niveau des applications et services d’équilibrage de charge vous
permettant de générer un site web frontal extensible et hautement
disponible dans Azure pour les applications web, les services cloud et les
machines virtuelles. La passerelle d’application prend actuellement en Application web
charge la livraison d’applications de la couche 7 pour ce qui suit:
 Équilibrage de charge HTTP
Application
 Affinité de session basée sur les cookies Utilisateurs Service cloud
Passerelle
 Déchargement SSL
Passerelle d’application
Machine virtuelle

Azure Traffic Manager Exemple de trois applications


web dispersées Microsoft Azure
Distribution du trafic sur différents points de terminaison qui peuvent inclure géographiquement
des services cloud ou des applications web Azure situés dans différents
centres de données ou points de terminaison externes. 1 Traffic Manager

Méthodes de routage de Traffic Manager Application Est des


web États-Unis
Basculement Les points de terminaison se trouvent dans un ou plusieurs centres Application Europe de
de données Azure, et vous souhaitez utiliser un point de terminaison principal 2 web l’Ouest
pour tout le trafic, tout en fournissant des sauvegardes au cas où les points de Utilisateurs
terminaison principaux ou de sauvegarde seraient indisponibles. Application Asie de
Tourniquet (round robin) Vous souhaitez répartir la charge sur un ensemble de web l'Est
points de terminaison dans le même centre de données ou entre différents
centres de données.
1. Une requête DNS d’utilisateur pour une URL de site web URL est dirigée
Performances Vous avez des points de terminaison dans différentes zones vers Azure TrafficManager qui retourne le nom d’une application web
géographiques et vous souhaitez demander aux clients d’utiliser le point de régionale, en fonction de laméthode de routage de performances.
terminaison « le plus proche », c’est-à-dire offrant la latence la plus faible.
2. L’utilisateur lance le trafic avec l’application web régionale.
Traffic Manager

Septembre 2016 © 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écrire à l’adresse CloudAdopt@microsoft.com.
Mise en réseau de Tout ce que les architectes informatiques
doivent savoir sur la mise en réseau dans
Microsoft Cloud pour des plateformes et services Microsoft
Cloud.
Enterprise Architects
Rubrique 6 sur 6 1 2 3 4 5 6

Conception de mise en réseau pour IaaS Azure


L’optimisation du réseau pour les charges de travail informatiques hébergées dans Azure IaaS demande une bonne
compréhension des réseaux virtuels Azure (VNets), des espaces d’adressage, du routage, du DNS et de l’équilibrage de charge.

Étapes de planification de l’hébergement d’une charge de travail informatique dans un réseau virtuel Azure
Planification d’un réseau virtuel

Préparez votre Optimisez Déterminez le Déterminez Déterminez les Déterminez la


1 2 3 4 5 sous-réseaux au 6 configuration du
intranet pour les votre bande type du réseau l’espace
services de cloud passante virtuel (cloud d’adressage du sein du réseau serveur DNS et les
virtuel et les adresses des serveurs
computing Internet. uniquement ou réseau virtuel. DNS à affecter aux
Microsoft. intersite). espaces
d’adressage machines virtuelles
affectés à chacun dans le réseau virtuel.
d’eux.

Déterminez la
7 configuration 8 Déterminez Déterminez le
9 mode de 10 Pour plusieurs
l’utilisation des réseaux virtuels,
d’équilibrage de appliances connexion aux déterminez la
charge (côté virtuelles et des machines topologie de
Internet ou itinéraires définis virtuelles des connexion de
interne). par l’utilisateur. ordinateurs sur réseau virtuel à
Internet. réseau virtuel.

Planification de réseaux virtuels intersites

Déterminez la Déterminez Ajoutez des Pour Déterminez Configurez des Déterminez


1 2 3 4 5 6 serveurs DNS 7 l’utilisation du
connexion l’appareil VPN itinéraires pour ExpressRoute, l’espace
locale au local ou le rendre l’espace planifiez la d’adressage du locaux pour la tunneling forcé
réseau virtuel routeur. d’adressage du nouvelle réseau Local réplication DNS et des
(VPN de site à réseau virtuel connexion pour la avec des itinéraires
site ou accessible. avec votre passerelle serveurs DNS définis par
ExpressRoute). fournisseur. Azure. hébergés dans l’utilisateur.
Azure.

Étapes de planification pour tout réseau virtuel Azure


Étape 1 : préparez votre intranet pour les services de cloud computing Microsoft.
Passez en revue les Étapes de préparation de votre réseau pour les services
Microsoft Cloud dans la rubrique 2 de ce modèle.

Étape 2 : optimisez votre bande passante Internet.


Passez en revue les étapes 2 à 4 de la section Étapes de préparation de votre
réseau pour les services Microsoft Saas dans la rubrique 4 de ce modèle.

Étape 3 : déterminez le type du réseau virtuel (cloud uniquement ou intersite).


Cloud uniquement Intersite
Réseau virtuels sans connexion à Réseau virtuel avec connexion VPN de site à site (S2S) ou ExpressRoute à un réseau
un réseau local. local via une passerelle Azure.

Réseau virtuel Réseau local Réseau virtuel

VPN de site à site (S2S)

Machines Utilisateurs Passerelle Machines


virtuelles ExpressRoute virtuelles

Suite à la page suivante Voir la section Étapes de planification d’un réseau virtuel intersite Azure dans cette rubrique.
Suite à la page suivante Voir la section Étapes de planification d’un réseau virtuel intersite Azure dans cette rubrique.

Étape 4 : déterminez l’espace d’adressage du réseau virtuel.


Adressage pour les réseaux virtuels Adressage pour les machines
virtuelles
Une configuration d’adresse issue de l’espace d’adressage du sous-réseau est
Type de réseau
Espace d’adressage du réseau virtuel attribuée par DHCP aux machines virtuelles:
virtuel
 Adresse/masque de sous-réseau
Cloud uniquement Espace d’adressage privé arbitraire  Passerelle par défaut
 Adresses IP de serveur DNS
Cloud uniquement Privé arbitraire, mais sans chevauchement
interconnecté avecd’autres réseaux virtuels connectés Vous pouvez également réserver une adresse IP statique.

Privé, mais sans chevauchement avec les réseaux Une adresse IP publique peut également être attribuée aux machines
Intersite virtuelles, individuellement ou à partir du service cloud qui les contient
locaux
(pour les ordinateurs avec déploiement classique uniquement).
Interconnecté Privé, mais sans chevauchement avec des réseaux
intersite locaux et d’autres réseaux virtuels connectés

Étape 5 : déterminez les sous-réseaux au sein du réseau virtuel et l’espace d’adressage affecté à chacun.

Sous-réseau de passerelle Azure


Réseau virtuel
Requis par Azure pour héberger les deux machines
virtuelles de votre passerelle Azure. Spécifiez un
espace d’adressage avec une longueur de préfixe Sous-réseau de passerelle Sous-réseau Sous-réseau Sous-réseau
maximale de 29 bits (exemple : 192.168.15.248/29).
Une longueur de préfixe de 28 bits ou moins est
recommandée, en particulier si vous envisagez
d’utiliser ExpressRoute. Passerelle Machines Machines Machines
virtuelles virtuelles virtuelles

Meilleures pratiques pour déterminer l’espace


d’adressage du sous-réseau de passerelle Azure: Exemple de définition du préfixe d’adresse pour le sous-réseau de passerelle
1. Décidez de la taille du sous-réseau de L’espace d’adressage du réseau virtuel est 10.119.0.0/16. L’organisation utilisera initialement une
passerelle. connexion VPN de site à site, mais obtiendra finalement ExpressRoute.
2. Dans les bits variables dans l’espace
d’adressage duréseau virtuel, définissez les
Étape Résultats
bits utilisés pour le sous-réseau de
passerellesur 0, puis définissez les bits restants
sur 1. 1. Décidez de la taille du sous-réseau de
/28
passerelle.
3. Convertissez en nombre décimal et exprimez
en tant qu’espace d’adressageavec la 2. Définissez les bits dans la portion variable
longueur de préfixe définie sur la taille 10.119. bbbbbbbb . Bbbbbbbb
del’espace d’adressage du réseau virtuel : 0
dusous-réseau de passerelle. 10.119. VVVVVVVV . VVVVGGGG
pour les bits dusous-réseau de passerelle (G),
10.119. 11111111 . 11110000
sinon 1 (V).
Avec cette méthode, l’espace d’adressage
dusous-réseau de passerelle est toujours à 3. Convertissez le résultat de l’étape 2 en
l’extrémité la plus éloignée de l’espace nombre décimal, etexprimez-le en tant 10.119.255.240/28
d’adressage du réseau virtuel. qu’espace d’adressage.

Sous-réseaux hébergeant une machine virtuelle


Machines virtuelles Bits hôte Taille de sous-réseau
Placez des machines virtuelles Azure dans des sous-réseaux conformément
aux instructions locales classiques, par exemple, en fonction d’un rôle ou d’un 1-3 3 /29
niveau d’application commun, ou de manière à isoler un sous-réseau.
4-11 4 /28
Azure utilise les 3 premières adresses de chaque sous-réseau. Par
conséquent, le nombre d’adresses possibles sur un sous-réseau Azure est 12-27 5 /27
égal à 2n – 5, où n correspond au nombre de bits de l’hôte.
Limites de mise en réseau 28-59 6 /26

Planifier et concevoir des réseaux virtuels Azure 60-123 7 /25

Étape 6 : déterminez la configuration du serveur DNS et les adresses des serveurs DNS à affecter
aux machines virtuelles dans le réseau virtuel.
Azure attribue aux machines virtuelles les adresses des serveurs DNS par Type de réseau
Serveur DNS
DHCP. Les serveurs DNS peuvent être: virtuel
 Fournis par Azure : fournit l’inscription du nom local, ainsi que la résolution Fourni par Azure pour la résolution des noms en
des noms sur Internet et en local local et sur Internet
 Fournis par vous : fournit l’inscription du nom local ou intranet, ainsi que la Cloud uniquement
résolution des noms sur Internet ou intranet Machine virtuelle Azure pour la résolution des noms
en local et sur Internet (transfert DNS)
Résolution de noms pour machines virtuelles et
instances de rôle Local pour la résolution des noms en local et sur
l’intranet
Intersite
Machine virtuelle Azure pour la résolution des noms
en local et sur l’intranet (réplication et transfert
DNS)
Suite à la page suivante
Suite à la page suivante

Étape 7 : déterminez la configuration d’équilibrage de charge (côté Internet ou interne).

Équilibrage de Réseau virtuel Équilibrage de Réseau virtuel


charge côté Internet charge interne
Répartir de façon Répartir de façon
Jeu d’équilibrage de Jeu d’équilibrage de
aléatoire le trafic charge aléatoire le trafic charge
entrant non sollicité en entrant non sollicité en
provenance d’Internet provenance d’autres
vers les membres d’un machines virtuelles
Machinevirtuelle Machine- Machinevirtuelle
jeu d’équilibrage de Azure ou d’ordinateurs
virtuelle
charge. intranet (non affichés)
Point de Équilibreur vers les membres d’un Point de Équilibreur
Aucun équilibreur de charge
terminaison de charge jeu d’équilibrage de terminaison de charge
ou règle de charge. ou règle de
NAT pour le Machinevirtuelle Machine- NAT pour le Machinevirtuelle
trafic virtuelle trafic entrant
entrant

Étape 8 : déterminez l’utilisation des appliances virtuelles et des itinéraires définis par l’utilisateur.
Routage défini par l’utilisateur
Vous devez ajouter un ou plusieurs itinéraires Réseau local Réseau virtuel
définis par l’utilisateur à un sous-réseau pour
transférer le trafic vers des appliances virtuelles
Sous-réseau Sous-réseau
dans votre réseau virtuel Azure.
Itinéraire défini
VPN de site à site (S2S) parl’utilisateur

Appliance Machines
Appareil VPNV Passerelle
virtuelle virtuelles
ExpressRoute
Itinéraires et transfert IP définis par
l’utilisateur

Étape 9 : déterminez le mode de connexion d’ordinateurs sur Internet aux machines virtuelles.
Inclut l’accès à partir du réseau de votre organisation via votre serveur proxy ou un autre équipement de périmètre.
Réseau virtuel
Méthodes de filtrage ou d’inspection du trafic entrant non sollicité

Méthode Modèle de déploiement Service cloud


Point de
terminaison
1. Points de terminaison et listes de contrôle d’accès 1
Classique
configurés sur les services de cloud
Machine virtuelle
2. Groupes de sécurité réseau Resource Manager et classique

3. Équilibrage de charge côté Internet avec règles de Groupe de sécurité de


Gestionnaire des ressources réseau
NAT pour le trafic entrant
2
4. Place de marché (non affiché) Resource Manager et classique Machine virtuelle

Sécurité supplémentaire : Jeu d’équilibrage de


• Les connexions Bureau à distance et SSH sont authentifiées et chiffrées charge
• Les sessions Remote PowerShell sont authentifiées et chiffrées 3
• Vous pouvez utiliser le mode de transport IPsec pour un chiffrement de bout
Règles de Équilibreur
en bout. NAT pour de charge
Machine virtuelle
• La protection DDOS d’Azure aide à prévenir les attaques externes et internes le trafic
entrant
Sécurité Microsoft Cloud pour Enterprise Architects

Étape 10 : pour plusieurs réseaux virtuels, déterminez la topologie de connexion de réseau virtuel à réseau virtuel.
Des réseaux virtuels Azure peuvent être interconnectés à l’aide de topologies semblables à celles
utilisées pour connecter les sites d’une organisation.

Chaîne en série

Réseau virtuel Réseau virtuel Réseau virtuel Réseau virtuel Réseau virtuel

Hub and spoke Maille pleine

Réseau virtuel Réseau virtuel Réseau virtuel Réseau virtuel

Réseau virtuel Réseau virtuel Réseau virtuel Réseau virtuel Réseau virtuel Réseau virtuel

Suite à la page suivante


Étapes de planification d’un réseau virtuel Azure intersite
Étape 1 : déterminez la connexion intersite au réseau virtuel (VPN de site à site ou ExpressRoute).

VPN de site à site (S2S) Connectez de 1 à 10 sites (dont d’autres réseaux virtuels) à un seul réseau virtuel Azure.

Lien privé sécurisé à Azure via un fournisseur d’échange Internet (IXP) ou un fournisseur de service réseau
ExpressRoute
(NSP).

VPN de point à site (P2S) Connecte un seul ordinateur à un réseau virtuel Azure.

VPN de réseau virtuel à


Connecte un réseau virtuel Azure à un autre réseau virtuel Azure.
réseau virtuel

Limites de mise en
Appareils VPN pour connexions réseau virtuel de site à site
réseau

Connexion à des machines virtuelles dans le réseau


virtuel: Réseau local Réseau virtuel
 Administration de machines virtuelles de réseau
virtuel à partir de votre réseau local ou d’Internet De point à
site (P2S)
 Accès à la charge de travail informatique à partir
de votre réseau local De site à site
 Extension de votre réseau via des réseaux virtuels (S2S) ou Passerelle Machines
Administrateur
Azure supplémentaires virtuelles

Sécurité pour les connexions: Réseau virtuel De réseau


virtuel à réseau
 La connexion de point à site (P2S) utilise le virtuel
protocole SSTP (Secure Socket Tunneling Protocol)
 Les connexions S2S et de réseau virtuel à réseau Sécurité Microsoft Cloud pour Enterprise Architects
virtuel utilisent le mode de tunnel IPsec avec
AES256
 ExpressRoute est une connexion WAN privée

Étape 2 : déterminez le routeur ou l’appareil VPN local.


Votre appareil VPN local ou routeur:
• Agit en tant qu’homologue IPsec, terminant la Réseau local Réseau virtuel
connexion VPN de site à site (S2S) à partir de la
passerelle Azure.
• Agit en tant qu’homologue BPG et point de VPN de site à site (S2S)
terminaison pour la connexion ExpressRoute
d’homologation privée. Appareil VPNV Passerelle Machines
ExpressRoute virtuelles
À propos des
passerelles VPN

Étape 3 : ajoutez des itinéraires pour rendre l’espace d’adressage du réseau virtuel accessible.

Routage vers des réseaux virtuels à partir


d’un emplacement local Réseau local Réseau virtuel
Espace d’adressage
1. Itinéraire pour l’espace d’adressage du réseau du réseau virtuel
virtuel quipointe vers votre appareil VPN Espace d’adressage 2
du réseau virtuel
2. Itinéraire pour l’espace d’adressage du réseau 1
virtuel sur votre appareil VPN Appareil VPNV S2S ou ExpressRoute Passerelle

Étape 4 : pour ExpressRoute, planifiez la nouvelle connexion avec votre fournisseur.

Il existe trois méthodes pour créer une connexion


ExpressRoute avec homologation privée entre Réseau local Microsoft Azure
votre réseau local et le Microsoft Cloud:
• Colocalisé au niveau d’un échange de cloud
• Connexions Ethernet de point à point ExpressRoute
• Réseaux à connectivité complète (IP VPN)
Routeur

Voir la rubrique 3, ExpressRoute. ExpressRoute

Suite à la page suivante


Étape 5 : déterminez l’espace d’adressage du réseau local pour la passerelle Azure.

Routage à partir de réseaux virtuels vers


des réseaux locaux ou d’autres réseaux Réseau local Réseau virtuel
virtuels Espace d’adressage
du réseau local
Azure transfère le trafic via une passerelle Azure
qui correspond à l’espace d’adressage de réseau
local affecté à la passerelle. S2S ou ExpressRoute
Appareil VPNV Passerelle
Définition de l’espace d’adressage du réseau local:
Option 1 : liste des préfixes pour l’espace
d’adressage actuellement nécessaire ou utilisé
(des mises à jour peuvent être nécessaires Exemple de définition des préfixes pour le réseau local autour de l’espace
lorsque vous ajoutez de nouveaux d’adressage « trou » créé par le réseau virtuel
sous-réseaux).
Option 2 : intégralité de votre espace Une organisation utilise des parties de l’espace d’adressage privé (10.0.0.0/8, 172.16.0.0/12 et
d’adressage local (mises à jour nécessaires 192.168.0.0/16) sur son réseau local. Elle choisit l’option 2 et utilise 10.100.100.0/24 comme
uniquement lorsque vous ajoutez un nouvel espace d’adressage de réseau virtuel.
espace d’adressage).
Étant donné que la passerelle Azure n’autorise pas
Étape Préfixes
les itinéraires résumés, vous devez définir l’espace
d’adressage du réseau local pour l’option 2 afin 1. Répertorier les préfixes qui ne correspondent
qu’il n’inclue pas l’espace d’adressage de réseau pas à l’espace racinede l’espace d’adressage 172.16.0.0/12 et 192.168.0.0/16
virtuel. du réseau virtuel.
2. Répertorier les préfixes ne se chevauchant 10.0.0.0/16, 10.1.0.0/16…
pas des octets variablesjusqu’au dernier 10.99.0.0/16, 10.101.0.0/16…
octet (non inclus) utilisédans l’espace 10.254.0.0/16, 10.255.0.0/16
d’adressage du réseau virtuel. (255 préfixes, en ignorant 10.100.0.0/16)

10.100.0.0/24, 10.100.1.0/24…
3. Répertorier les préfixes ne se chevauchant
10.100.99.0/24, 10.100.101.0/24…
Espace d’adressage du réseau virtuel pas jusqu’audernier octet (non inclus) utilisé
10.100.254.0/24, 10.100.0.255.0/24
de l’espace d’adressage duréseau virtuel. (255 préfixes, en ignorant 10.100.100.024)
Espace racine

Étape 6 : configurez les serveurs DNS locaux pour la réplication avec des serveurs DNS hébergés
dans Azure.
Pour vous assurer que les ordinateurs locaux
peuvent résoudre les noms des serveurs Réseau local Réseau virtuel
Azure et que ces derniers peuvent résoudre
les noms des ordinateurs locaux, configurez
comme suit : Sous-réseau
Réplication et transfert de DNS
 Configurez les serveurs DNS de
votre réseau virtuel pour le transfert Serveur DNS Sous-réseau Serveur DNS
vers des serveurs DNS locaux.
 Réplication DNS des zones VPN S2S (de site à site)
appropriées entre les serveurs DNS ou
locaux et ceux du réseau virtuel Machines
Azure Appareil VPNV Passerelle virtuelles
ExpressRoute

Étape 7 : déterminez l’utilisation du tunneling forcé.

L’itinéraire système par défaut pointe vers


Internet. Pour vous assurer que l’intégralité du Réseau local Réseau virtuel
trafic en provenance des machines virtuelles
circule sur la connexion intersite, ajoutez un
itinéraire par défaut défini par l’utilisateur qui Sous-réseau
pointe vers la passerelle Azure. Itinéraire défini
VPN S2S (de site à site)
ou parl’utilisateur
C’est ce qu’on appelle le tunneling forcé.
Appareil VPNV Passerelle Machines
ExpressRoute virtuelles

Itinéraires et transfert IP définis par


l’utilisateur

Autres ressources Options offertes par


les plateformes et les Sécurité Identité Hybride
informatiques du
services
Microsoft Cloud aka.ms/cloudarchoptions aka.ms/cloudarchsecurity aka.ms/cloudarchidentity aka.ms/cloudarchhybrid

Septembre 2016 © 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écrire à l’adresse CloudAdopt@microsoft.com.