Original

Livre de recettes
sur la mise en
réseau Azure
Deuxième édition
Procédures pratiques garantissant la sécurité de l'infrastructure

réseau, la livraison d’applications mondiale et une connectivité
accessible dans Azure
Mustafa Toroman
Livre de recettes sur
la mise en réseau
Azure
Deuxième édition
Procédures pratiques garantissant la sécurité de
l'infrastructure réseau, la livraison d’applications
mondiale et une connectivité accessible dans Azure
Mustafa Toroman
Livre de recettes sur la mise en réseau Azure - Deuxième édition
Copyright © 2020 Packt Publishing
Tous droits réservés. Aucune partie de ce livre ne peut être reproduite, stockée dans
un système de recherche ou transmise sous quelque forme ou par quelque moyen
que ce soit sans l’autorisation écrite préalable de l’éditeur, sauf dans le cas de brèves
citations incluses dans des articles ou revues critiques.
Tous les efforts ont été déployés dans la préparation de ce livre pour assurer
l’exactitude des informations présentées. Toutefois, les informations contenues ici sont
fournies sans aucune garantie, expresse ou implicite. Ni l'auteur, ni Packt Publishing,
ni ses revendeurs et distributeurs ne sauraient être tenus responsables des dommages
causés directement ou indirectement par ce livre.
Packt Publishing s’est efforcé de fournir des informations sur les marques de commerce
de toutes les sociétés et produits mentionnés dans ce livre en utilisant de manière
appropriée les majuscules. Cependant, Packt Publishing ne peut garantir l’exactitude
de ces informations.
Auteur : Mustafa Toroman
Relecteurs techniques : Kapil Bansal, Rithin Skaria
Directeurs de la rédaction : Mamta Yadav, Siddhant Jain
Rédacteurs responsables des commandes : Ben Renow-Clarke et Divya Mudaliar
Rédacteur responsable de la publication : Deepak Chavan
Comité de rédaction : Alex Patterson, Arijit Sarkar, Ben Renow-Clarke, Dominic
Shakeshaft, Edward Doxey, Joanne Lovell, et Vishal Bodwani
Première édition : mars 2019
Seconde édition : octobre 2020
Référence de la production : 1281020
ISBN : 978-1-80056-375-9
Publié par Packt Publishing Ltd.
Livery Place, 35 Livery Street
Birmingham B3 2PB, UK
Table des matières
Préface   i
Chapitre 1 : Réseau virtuel Azure   1
Exigences techniques ..............................................................................................  1
Création d’un réseau virtuel dans le portail Azure ..............................................  2
Préparation ...................................................................................................................... 2
Comment faire... ............................................................................................................. 2
Comment faire... ............................................................................................................. 6
Création d’un réseau virtuel avec PowerShell .....................................................  6
Préparation ...................................................................................................................... 6
Comment faire... ............................................................................................................. 7
Comment faire... ............................................................................................................. 7
Ajout d’un sous-réseau dans le portail Azure ......................................................  8
Préparation ...................................................................................................................... 8
Comment faire... ............................................................................................................. 8
Comment faire... ........................................................................................................... 11
Ajout d’un sous-réseau avec PowerShell ............................................................  11
Préparation .................................................................................................................... 11
Comment faire... ........................................................................................................... 12
Comment faire... ........................................................................................................... 12
Ce n’est pas tout... ......................................................................................................... 12
Modification de la taille de l’espace d’adressage ...............................................  13
Préparation .................................................................................................................... 13
Comment faire... ........................................................................................................... 13
Comment faire... ........................................................................................................... 14
Modification de la taille d’un sous-réseau ..........................................................  14
Préparation .................................................................................................................... 14
Comment faire... ........................................................................................................... 14
Comment faire... ........................................................................................................... 16
Chapitre 2 : Mise en réseau des machines virtuelles   17
Exigences techniques ............................................................................................  17

Création de machines virtuelles Azure ...............................................................  18
Préparation .................................................................................................................... 18
Comment faire... ........................................................................................................... 18
Comment faire... ........................................................................................................... 24
Ce n’est pas tout... ......................................................................................................... 25
Affichage des paramètres réseau des machines virtuelles ..............................  25
Préparation .................................................................................................................... 25
Comment faire... ........................................................................................................... 25
Comment faire... ........................................................................................................... 26
Création d'une carte réseau .................................................................................  26
Préparation .................................................................................................................... 26
Comment faire... ........................................................................................................... 27
Comment faire...  .......................................................................................................... 27
Association d'une carte réseau à une machine virtuelle ..................................  28
Préparation .................................................................................................................... 28
Comment faire... ........................................................................................................... 28
Comment faire... ........................................................................................................... 28
Détachement d'une carte réseau à une machine virtuelle ..............................  29
Préparation .................................................................................................................... 29
Comment faire... ........................................................................................................... 29
Comment faire... ........................................................................................................... 29
Chapitre 3 : Groupes de sécurité réseau   31

Création d’un NSG dans le portail Azure ............................................................  32
Préparation .................................................................................................................... 32
Comment faire... ........................................................................................................... 33
Comment faire... ........................................................................................................... 33
Création d’un NSG avec PowerShell ....................................................................  34
Préparation .................................................................................................................... 34
Comment faire... ........................................................................................................... 34
Comment faire... ........................................................................................................... 34
Création d’une règle d’autorisation dans un NSG .............................................  35
Préparation .................................................................................................................... 35
Comment faire... ........................................................................................................... 35
Comment faire... ........................................................................................................... 37
Création d’une règle de refus dans un NSG .......................................................  37
Préparation .................................................................................................................... 37
Comment faire... ........................................................................................................... 37
Comment faire... ........................................................................................................... 39
Création d’une règle NSG avec PowerShell ........................................................  39
Préparation .................................................................................................................... 39
Comment faire... ........................................................................................................... 39
Comment faire... ........................................................................................................... 39
Ce n’est pas tout... ......................................................................................................... 40
Affectation d’un NSG à un sous-réseau ..............................................................  40
Préparation .................................................................................................................... 40
Comment faire... ........................................................................................................... 40
Comment faire... ........................................................................................................... 42
Affectation d’un NSG à une interface réseau .....................................................  42
Préparation .................................................................................................................... 42
Comment faire... ........................................................................................................... 42
Comment faire... ........................................................................................................... 44
Affectation d'un NSG à un sous-réseau avec PowerShell .................................  44
Préparation .................................................................................................................... 44
Comment faire... ........................................................................................................... 44
Comment faire... ........................................................................................................... 44
Création d’un groupe de sécurité d’application (ASG) ......................................  45
Préparation .................................................................................................................... 45
Comment faire... ........................................................................................................... 45
Comment faire... ........................................................................................................... 46
Association d’un ASG à une machine virtuelle ...................................................  46
Préparation .................................................................................................................... 46
Comment faire... ........................................................................................................... 46
Comment faire... ........................................................................................................... 48
Création de règles avec un NSG et un ASG .........................................................  48
Préparation .................................................................................................................... 48
Comment faire... ........................................................................................................... 48
Comment faire... ........................................................................................................... 49
Chapitre 4 : Gestion des adresses IP   51

Création d’une adresse IP publique dans le portail Azure  ..............................  52
Préparation .................................................................................................................... 52
Comment faire... ........................................................................................................... 53
Comment faire... ........................................................................................................... 54
Création d’une adresse IP publique avec PowerShell .......................................  54
Préparation .................................................................................................................... 54
Comment faire... ........................................................................................................... 54
Comment faire... ........................................................................................................... 54
Affectation d’une adresse IP publique ................................................................  55
Préparation .................................................................................................................... 55
Comment faire... ........................................................................................................... 55
Comment faire... ........................................................................................................... 56
Annulation de l’affectation d’une adresse IP publique .....................................  57
Préparation .................................................................................................................... 57
Comment faire... ........................................................................................................... 57
Comment faire... ........................................................................................................... 58
Création d’une réservation d’adresse IP publique ............................................  58
Préparation .................................................................................................................... 58
Comment faire... ........................................................................................................... 59
Comment faire... ........................................................................................................... 59
Annulation d’une réservation d’adresse IP publique ........................................  60
Préparation .................................................................................................................... 60
Comment faire... ........................................................................................................... 60
Comment faire... ........................................................................................................... 61
Création d’une réservation d’adresse IP privée .................................................  61
Préparation .................................................................................................................... 61
Comment faire... ........................................................................................................... 61
Comment faire... ........................................................................................................... 62
Modification d’une réservation d’adresse IP privée ..........................................  63
Préparation .................................................................................................................... 63
Comment faire... ........................................................................................................... 63
Comment faire... ........................................................................................................... 64
Annulation d’une réservation d’adresse IP privée .............................................  65
Préparation .................................................................................................................... 65
Comment faire... ........................................................................................................... 65
Comment faire... ........................................................................................................... 66
Ajout de plusieurs adresses IP à une carte réseau ............................................  67
Préparation .................................................................................................................... 67
Comment faire... ........................................................................................................... 67
Comment faire... ........................................................................................................... 69
Création d'un préfixe IP public .............................................................................  70
Comment faire... ........................................................................................................... 70
Comment faire... ........................................................................................................... 71
Chapitre 5 : Passerelles de réseau local et de réseau virtuel   73

Création d’une passerelle de réseau local dans le portail Azure .....................  74
Préparation .................................................................................................................... 74
Comment faire... ........................................................................................................... 74
Comment faire... ........................................................................................................... 75
Création d’une passerelle de réseau local avec PowerShell ............................  76
Préparation .................................................................................................................... 76
Comment faire... ........................................................................................................... 76
Comment faire... ........................................................................................................... 76
Création d’une passerelle de réseau virtuel dans le portail Azure ..................  76
Préparation .................................................................................................................... 76
Comment faire... ........................................................................................................... 77
Comment faire... ........................................................................................................... 78
Création d’une passerelle de réseau virtuel avec PowerShell .........................  79
Préparation .................................................................................................................... 79
Comment faire... ........................................................................................................... 79
Comment faire... ........................................................................................................... 80
Modification des paramètres de la passerelle de réseau local ........................  80
Préparation .................................................................................................................... 80
Comment faire... ........................................................................................................... 80
Comment faire... ........................................................................................................... 81
Chapitre 6 : DNS et routage   83

Création d’une zone Azure DNS ...........................................................................  84
Préparation .................................................................................................................... 84
Comment faire... ........................................................................................................... 84
Comment faire... ........................................................................................................... 85
Création d’une zone Azure DNS privée ...............................................................  86
Préparation .................................................................................................................... 86
Comment faire... ........................................................................................................... 86
Comment faire... ........................................................................................................... 87
Intégration d’un réseau virtuel à une zone DNS privée ....................................  87
Préparation .................................................................................................................... 87
Comment faire... ........................................................................................................... 87
Comment faire... ........................................................................................................... 88
Création d’un jeu d’enregistrements dans Azure DNS ......................................  88
Préparation .................................................................................................................... 89
Comment faire... ........................................................................................................... 89
Comment faire... ........................................................................................................... 91
Création d’une table de route ..............................................................................  91
Préparation .................................................................................................................... 92
Comment faire... ........................................................................................................... 92
Comment faire... ........................................................................................................... 92
Modification d'une table de route .......................................................................  93
Préparation .................................................................................................................... 93
Comment faire... ........................................................................................................... 93
Comment faire... ........................................................................................................... 93
Association d’une table de route à un sous-réseau ..........................................  94
Préparation .................................................................................................................... 94
Comment faire... ........................................................................................................... 94
Comment faire... ........................................................................................................... 96
Annulation de l’association d’une table de route à un
sous-réseau ............................................................................................................  97
Préparation .................................................................................................................... 97
Comment faire... ........................................................................................................... 97
Comment faire... ........................................................................................................... 99
Création d’un itinéraire .......................................................................................  100
Préparation .................................................................................................................  100
Comment faire... ........................................................................................................  100
Comment faire... ........................................................................................................  102
Modification d’un itinéraire ................................................................................  102
Préparation .................................................................................................................  102
Comment faire... ........................................................................................................  102
Comment faire... ........................................................................................................  103
Suppression d’un itinéraire ................................................................................  103
Préparation .................................................................................................................  103
Comment faire... ........................................................................................................  104
Comment faire... ........................................................................................................  105
Chapitre 7 : Pare-feu Azure   107
Exigences techniques ..........................................................................................  108

Création d’un pare-feu ........................................................................................  108
Préparation .................................................................................................................  108
Comment faire... ........................................................................................................  110
Comment faire... ........................................................................................................  110
Création d’une pare-feu avec PowerShell .........................................................  111
Comment faire... ........................................................................................................  111
Comment faire... ........................................................................................................  112
Configuration d’une nouvelle règle d’autorisation ..........................................  112
Préparation .................................................................................................................  112
Comment faire... ........................................................................................................  112
Comment faire... ........................................................................................................  112
Configuration d’une nouvelle règle de refus ....................................................  113
Préparation .................................................................................................................  113
Comment faire... ........................................................................................................  113
Comment faire... ........................................................................................................  113
Configuration d’une table de route ...................................................................  113
Préparation .................................................................................................................  113
Comment faire... ........................................................................................................  114
Comment faire... ........................................................................................................  114
Activation des journaux de diagnostic pour le pare-feu Azure .....................  114
Préparation .................................................................................................................  114
Comment faire... ........................................................................................................  114
Comment faire... ........................................................................................................  116
Configuration du pare-feu Azure en mode tunneling forcé ...........................  116
Préparation .................................................................................................................  116
Comment faire... ........................................................................................................  116
Comment faire... ........................................................................................................  120
Création d'un groupe IP ......................................................................................  120
Préparation .................................................................................................................  120
Comment faire... ........................................................................................................  120
Comment faire... ........................................................................................................  121
Configuration des paramètres DNS du pare-feu Azure ..................................  121
Préparation .................................................................................................................  121
Comment faire... ........................................................................................................  121
Comment faire... ........................................................................................................  122
Chapitre 8 : Création de connexions hybrides   123

Création d’une connexion site à site .................................................................  124
Préparation .................................................................................................................  125
Comment faire... ........................................................................................................  125
Comment faire... ........................................................................................................  128
Téléchargement de la configuration du périphérique
VPN à partir d’Azure ............................................................................................  128
Préparation .................................................................................................................  128
Comment faire... ........................................................................................................  128
Comment faire... ........................................................................................................  130
Création d’une connexion point à site ..............................................................  130
Préparation .................................................................................................................  130
Comment faire... ........................................................................................................  133
Comment faire... ........................................................................................................  136
Création d’une connexion réseau virtuel à réseau virtuel .............................  136
Préparation .................................................................................................................  136
Comment faire... ........................................................................................................  136
Comment faire... ........................................................................................................  139
Connexion de réseaux virtuels à l’aide de l’appairage ....................................  139
Préparation .................................................................................................................  140
Comment faire... ........................................................................................................  140
Comment faire... ........................................................................................................  143
Chapitre 9 : Connexion aux ressources en toute sécurité   145

Création d'une instance Azure Bastion .............................................................  146
Préparation .................................................................................................................  147
Comment faire ...........................................................................................................  149
Comment faire... ........................................................................................................  150
Connexion à une machine virtuelle avec Azure bastion .................................  150
Préparation .................................................................................................................  150
Comment faire ...........................................................................................................  150
Comment faire... ........................................................................................................  151
Création d'une WAN virtuelle .............................................................................  151
Préparation .................................................................................................................  151
Comment faire... ........................................................................................................  152
Comment faire... ........................................................................................................  152
Création d'un hub (dans Virtual WAN) ..............................................................  153
Préparation .................................................................................................................  153
Comment faire... ........................................................................................................  153
Comment faire... ........................................................................................................  158
Ajout d’une connexion site à site (dans un hub virtuel) .................................  158
Préparation .................................................................................................................  158
Comment faire... ........................................................................................................  159
Comment faire... ........................................................................................................  163
Ajout d’une connexion réseau virtuelle (dans un hub virtuel) .......................  163
Préparation .................................................................................................................  163
Comment faire... ........................................................................................................  164
Comment faire... ........................................................................................................  166
Création d’un point de terminaison Private Link .............................................  166
Préparation .................................................................................................................  166
Comment faire... ........................................................................................................  168
Comment faire... ........................................................................................................  170
Création d’un service Private Link .....................................................................  170
Préparation .................................................................................................................  171
Comment faire... ........................................................................................................  171
Comment faire... ........................................................................................................  173
Chapitre 10 : Équilibreurs de charge   175

Création d’un équilibreur de charge interne ....................................................  176
Préparation .................................................................................................................  176
Comment faire... ........................................................................................................  176
Comment faire... ........................................................................................................  178
Création d’un équilibreur de charge public ......................................................  178
Préparation .................................................................................................................  178
Comment faire... ........................................................................................................  178
Comment faire... ........................................................................................................  180
Création d’un pool principal ...............................................................................  180
Préparation .................................................................................................................  180
Comment faire... ........................................................................................................  181
Comment faire... ........................................................................................................  184
Voir aussi .....................................................................................................................  184
Création de sondes d’intégrité ...........................................................................  184
Préparation .................................................................................................................  184
Comment faire... ........................................................................................................  185
Comment faire... ........................................................................................................  186
Création de règles d’équilibrage de charge ......................................................  186
Préparation .................................................................................................................  186
Comment faire... ........................................................................................................  186
Comment faire... ........................................................................................................  188
Création de règles NAT de trafic entrant ..........................................................  188
Préparation .................................................................................................................  188
Comment faire... ........................................................................................................  188
Comment faire... ........................................................................................................  190
Création de règles sortantes explicites .............................................................  190
Préparation .................................................................................................................  190
Comment faire... ........................................................................................................  191
Comment faire... ........................................................................................................  193
Chapitre 11 : Traffic Manager   195

Création d’un profil Traffic Manager .................................................................  196
Préparation .................................................................................................................  196
Comment faire... ........................................................................................................  196
Comment faire... ........................................................................................................  197
Ajout d’un point de terminaison ........................................................................  197
Préparation .................................................................................................................  198
Comment faire... ........................................................................................................  198
Comment faire... ........................................................................................................  201
Configuration du trafic distribué .......................................................................  201
Préparation .................................................................................................................  201
Comment faire... ........................................................................................................  202
Comment faire... ........................................................................................................  203
Configuration du trafic en fonction de la priorité ...........................................  203
Préparation .................................................................................................................  203
Comment faire... ........................................................................................................  204
Comment faire... ........................................................................................................  204
Configuration du trafic en fonction de l’emplacement géographique .........  204

Préparation .................................................................................................................  205
Comment faire... ........................................................................................................  205
Comment faire... ........................................................................................................  205
Gestion des points de terminaison ...................................................................  206
Préparation .................................................................................................................  206
Comment faire... ........................................................................................................  206
Comment faire... ........................................................................................................  207
Gestion des profils ...............................................................................................  207
Préparation .................................................................................................................  207
Comment faire... ........................................................................................................  208
Comment faire... ........................................................................................................  208
Configuration de Traffic Manager avec des équilibreurs de charge .............  209
Préparation .................................................................................................................  209
Comment faire... ........................................................................................................  209
Comment faire... ........................................................................................................  210
Chapitre 12 : Azure Application Gateway et Azure WAF   211

Création d’une passerelle d’application ............................................................  212
Préparation .................................................................................................................  212
Comment faire... ........................................................................................................  213
Comment faire... ........................................................................................................  221
Configuration des pools principaux ..................................................................  221
Préparation .................................................................................................................  221
Comment faire... ........................................................................................................  222
Comment faire... ........................................................................................................  223
Configuration des paramètres HTTP .................................................................  224
Préparation .................................................................................................................  224
Comment faire... ........................................................................................................  224
Comment faire... ........................................................................................................  226
Configuration des écouteurs ..............................................................................  226
Préparation .................................................................................................................  226
Comment faire... ........................................................................................................  226
Comment faire... ........................................................................................................  227
Configuration des règles .....................................................................................  228
Préparation .................................................................................................................  228
Comment faire... ........................................................................................................  228
Comment faire... ........................................................................................................  229
Configuration des sondes ...................................................................................  230
Préparation .................................................................................................................  230
Comment faire... ........................................................................................................  230
Comment faire... ........................................................................................................  231
Configuration d’un pare-feu d’applications Web (WAF) ..................................  231
Préparation .................................................................................................................  232
Comment faire... ........................................................................................................  232
Comment faire... ........................................................................................................  234
Personnalisation des règles WAF .......................................................................  234
Préparation .................................................................................................................  234
Comment faire... ........................................................................................................  234
Comment faire... ........................................................................................................  236
Création d'une stratégie WAF ............................................................................  236
Préparation .................................................................................................................  236
Comment faire... ........................................................................................................  236
Comment faire... ........................................................................................................  241
Chapitre 13 : Azure Front Door et Azure CDN   243

Création d’une instance Azure Front Door .......................................................  244
Préparation .................................................................................................................  244
Comment faire... ........................................................................................................  244
Comment faire... ........................................................................................................  252
Création d’un profil Azure CDN ..........................................................................  254
Préparation .................................................................................................................  254
Comment faire... ........................................................................................................  254
Comment faire... ........................................................................................................  255
Index   257
Préface
>
À propos de
Cette section présente brièvement l’auteur, les relecteurs techniques, les sujets abordés dans
ce livre de recettes, les compétences techniques dont vous aurez besoin pour commencer,
ainsi que le matériel et les logiciels requis pour effectuer toutes les procédures de ce livre.
ii | Préface
À propos du livre de recettes sur la mise en réseau Azure -

Deuxième édition
Les services de mise en réseau Azure permettent aux entreprises de gérer efficacement
leurs réseaux. Azure permet aux entreprises de bénéficier de performances fiables et
d'une connectivité sécurisée.
Le livre de recettes sur la mise en réseau Azure - Deuxième édition commence par une
présentation de la mise en réseau Azure et traite de procédures basiques, comme la
création de réseaux virtuels Azure, ainsi que la conception d’espaces d’adressage et
de sous-réseaux. Vous découvrirez comment créer et gérer des groupes de sécurité
réseau, des groupes de sécurité d’application et des adresses IP dans Azure.
Au fil de votre progression, vous découvrirez différents aspects tels que les connexions
site à site, point à site, de réseau virtuel à réseau virtuel, les DNS et le routage, les
équilibreurs de charge et Traffic Manager. Ce livre de recettes couvre tous les aspects
et fonctions que vous devez connaître, en proposant des procédures pratiques vous
permettant de vous former aux pratiques de base de la mise en réseau dans le cloud, et
de planifier, mettre en œuvre et sécuriser votre réseau d’infrastructure avec Azure.
Grâce à ce livre de recettes, vous pourrez non seulement améliorer votre
environnement actuel, mais vous apprendrez également à surveiller, diagnostiquer
et garantir une connectivité sécurisée. Après avoir appris à créer un environnement
robuste, vous bénéficierez également de précieuses informations via des procédures
sur les meilleures pratiques.
Une fois ce livre de recettes terminé, vous disposerez d’une expérience pratique
suffisante pour mettre en œuvre des solutions rentables qui faciliteront et optimiseront
la connectivité au sein de votre organisation.
À propos de l'auteur
Mustafa Toroman est architecte de solutions auprès d’organismes partenaires. Fort
de ses années d’expérience en matière de conception et de pilotage de solutions
d’infrastructure, il se consacre depuis peu à la conception de nouvelles solutions dans le
cloud et la migration de solutions existantes vers le cloud. Il s’intéresse particulièrement
aux processus DevOps, et se passionne également pour l’infrastructure en tant que
code (ou infrastructure programmable). Mustafa a obtenu plus de 50 certifications
Microsoft et est un formateur Microsoft Certified Trainer depuis 2012. Il intervient
régulièrement lors de conférences dans le monde entier sur le thème des technologies
cloud et, ces cinq dernières années, il a obtenu le prix MVP pour Microsoft Azure.
Mustafa est également l’auteur de Hands-On Cloud Administration in Azure

(L’administration pratique du Cloud dans Azure) et le co-auteur de Learn node.js avec
Azure (Apprenez node.js avec Azure) et Mastering Azure Security (Maîtriser Azure
Security), tous publiés par Packt.
À propos des réviseurs | iii
À propos des réviseurs

Kapil Bansal est l'ingénieur DevOps en chef chez S&P Global Market Intelligence,
en Inde. Bénéficiant de plus de 12 ans d’expérience dans le secteur IT, il a travaillé sur
le cloud computing Azure (PaaS, IaaS, and SaaS), Azure Stack, DevSecOps, Kubernetes,
Terraform, Office 365, SharePoint, gestion des versions, Application Lifecycle
Management (ALM), Information Technology Infrastructure Library (ITIL) et Six Sigma.
Il a travaillé auprès d’entreprises comme IBM India Pvt Ltd., HCL Technologies, NIIT
Technologies, Encore Capital Group, Xavient Software Solutions et Noida. Il a travaillé
pour des clients basés aux États-Unis, au Royaume-Uni et en Afrique, notamment
pour T-Mobile, World Bank Group, H&M, WBMI, Encore Capital et Bharti Airtel (Inde
et Afrique). Il a également relu le livre de recettes Kubernetes sur Azure en pratique et
mise en réseau Azure publié par Packt. Il a par ailleurs contribué aux ouvrages Microsoft
Azure IaaS en pratique et Démarrage des sites de communication SharePoint publiés
par Apress.
Rithin Skaria est un spécialiste de l’open source comptant plus de 7 ans d’expérience
dans la gestion de charges de travail open source dans Azure, AWS et OpenStack.
Il travaille actuellement chez Microsoft et participe à plusieurs activités de la
communauté open source réalisées au sein de Microsoft. Il est un formateur
Microsoft certifié, ingénieur et administrateur de la fondation Linux, développeur et
administrateur d’applications Kubernetes, ainsi qu’administrateur OpenStack certifié.
Il détient également quatre certifications Azure dans ces domaines : architecture de
solution, administration Azure, DevOps et sécurité. Il détient aussi une certification
pour l’administration de Microsoft 365. Il a joué un rôle essentiel dans plusieurs
déploiements open source, ainsi que dans l’administration et la migration de ces
charges de travail vers le cloud. Il a co-écrit les ouvrages Administration Linux sur Azure
et Azure pour les architectes, troisième édition publiés par Packt.
Objectifs d’apprentissage
À la fin de ce livre de recettes, vous serez en mesure de faire ce qui suit :
• Créer des services de mise en réseau Azure.
• Créer et utiliser des connexions hybrides.
• Configurer et gérer les services de mise en réseau Azure.
• Concevoir des solutions réseau à haute disponibilité dans Azure.
• Surveiller et résoudre les ressources de mise en réseau Azure.
• Utiliser différentes méthodes pour connecter des réseaux locaux aux réseaux
virtuels Azure.
• Utiliser différentes méthodes pour sécuriser les réseaux.
iv | Préface
Audience
Ce livre de recettes est destiné aux architectes du cloud, aux fournisseurs de
solutions cloud ou à toute partie prenante confrontée à la mise en réseau sur Azure.
Des connaissances basiques sur Azure sont un atout.
Approche
Le livre de recettes sur la mise en réseau Azure, deuxième édition, est un mélange idéal de
théorie et de formation pratique qui vous permettra de relever les défis concrets de la
connectivité.
Comment tirer le meilleur parti de cet ouvrage

Ce livre suppose un niveau de connaissances basique sur le cloud computing et Azure.
Pour l’utiliser, vous devez disposer d’un abonnement Azure et d’une connectivité
Internet. Une machine Windows 10 dotée de 4 Go de RAM est suffisant pour utiliser
PowerShell.
Configurations matérielles requises

Le portail Azure est une console basée sur le Web qui s’exécute sur tous les navigateurs
modernes pour les ordinateurs de bureau, les tablettes et les appareils mobiles.
Pour utiliser le portail Azure, vous devez avoir activé JavaScript sur votre navigateur.
Configurations logicielles requises

Nous vous conseillons d’utiliser le navigateur le plus à jour compatible avec votre
système d’exploitation. Les navigateurs suivants sont actuellement pris en charge :
• Microsoft Edge (dernière version)
• Internet Explorer 11
• Safari (dernière version, Mac uniquement)
• Chrome (dernière version)
• Firefox (dernière version)
Conventions | v
Conventions
Les mots en code dans le texte, les noms de tables de base de données, les noms de
dossier, les noms de fichiers, les extensions de fichiers, les chemins d’accès, les URL
factices et les entrées utilisateur sont indiqués comme suit :
« En outre, nous pouvons utiliser des commutateurs supplémentaires tels que -SKU pour
sélectionner Basic (De base) ou Standard, -IPAddressVersion pour choisir entre IPv4 et
IPv6 et -DomainNamelabel pour spécifier l’étiquette DNS ».
Un bloc de code est disposé comme suit :
$VirtualNetwork = Get-AzVirtualNetwork -Name 'Packt-Script' '
-ResourceGroupName 'Packt-Networking-Script'
Add-AzVirtualNetworkSubnetConfig -Name BackEnd '
-AddressPrefix 10.11.1.0/24 '
-VirtualNetwork $VirtualNetwork
$VirtualNetwork | Set-AzVirtualNetwork
Téléchargez les ressources

Le paquet de code pour ce livre est hébergé sur GitHub : https://github.com/
PacktPublishing/Azure-Networking-Cookbook-Second-Edition. Vous y trouverez
également les fichiers utilisés dans ce livre, qui sont mentionnés dans les situations
appropriées. Nous avons également d'autres packs de code provenant tout droit de
notre riche catalogue de livres et de vidéos disponibles à l'adresse https://github.com/
PacktPublishing/. Passez-les en revue !
1
Réseau virtuel Azure
Dans ce tout premier chapitre, vous découvrirez les notions de base de la mise
en réseau Azure, notamment la création de réseaux virtuels Azure, ainsi que
la conception d’espaces d’adressage et de sous-réseaux. Ces notions constituent les
bases nécessaires à toutes les futures procédures couvertes dans ce chapitre.
Dans ce chapitre, nous aborderons les procédures suivantes :
• Création d’un réseau virtuel dans le portail Azure
• Création d’un réseau virtuel avec PowerShell
• Ajout d’un sous-réseau dans le portail Azure
• Ajout d’un sous-réseau avec PowerShell
• Modification de la taille de l’espace d’adressage
• Modification de la taille d’un sous-réseau
Exigences techniques
Pour ce chapitre, les éléments suivants sont nécessaires :
• Un abonnement Azure
• Azure PowerShell
Des exemples de code sont disponibles à l’adresse suivante : https://github.com/

PacktPublishing/Azure-Networking-Cookbook-Second-Edition/tree/master/
Chapter01.
2 | Réseau virtuel Azure
Création d’un réseau virtuel dans le portail Azure

Le réseau virtuel Azure représente votre réseau local dans le cloud. Il permet à d’autres
ressources Azure de communiquer sur un réseau privé sécurisé sans exposer les points
de terminaison sur Internet.
Préparation
Avant de commencer, ouvrez un navigateur Web et accédez au portail Azure à l’adresse
suivante : https://portal.azure.com.
Comment faire...
Pour créer un nouveau réseau virtuel à l’aide du portail Azure, procédez comme suit :
1. Dans le portail Azure, sélectionnez Create a resource (Créer une ressource), puis
dans Networking (Mise en réseau), choisissez Virtual network (Réseau virtuel)
(ou entrez virtual network [réseau virtuel] dans la barre de recherche. Un nouveau
volet s’ouvre alors, et vous invite à saisir des informations sur le réseau virtuel.
Commencez par sélectionner l'option Subscription (Abonnement) que vous
souhaitez utiliser et celle du Resource group (Groupe de ressources), où le réseau
virtuel sera déployé. Saisissez ensuite un nom et sélectionnez une région
(du datacenter Azure) où le réseau virtuel sera déployé. La figure 1.1 en présente
un exemple :
Figure 1.1 : création d'un réseau virtuel Azure

Création d’un réseau virtuel dans le portail Azure | 3
2. Dans le volet suivant, nous devons d’abord définir l’espace d’adressage et le Subnet
name (Nom du sous-réseau), ainsi que les valeurs Subnet address range (Plage
d’adresses du sous-réseau) pour le premier sous-réseau. Une fois l’espace
d’adressage défini, comme illustré à la Figure 1.2, nous recevons le message
suivant : This virtual network doesn't have any subnets (Ce réseau virtuel
ne dispose pas de sous-réseaux). Par conséquent, nous devons sélectionner
l'option Add subnet (Ajouter un sous-réseau).
Figure 1.2 : configuration de l'espace d’adressage et d'un sous-réseau d'un réseau virtuel

3. Dans le volet Add subnet (Ajouter un sous-réseau), nous devons renseigner

les champs Subnet name (Nom du sous-réseau) et Subnet address range (Plage
d'adresses du sous-réseau). Nous pouvons éventuellement ajouter des points
de terminaison de service pour les connecter au réseau virtuel. Les points
de terminaison de service nous permettent de nous connecter aux services Azure
en toute sécurité sur l'infrastructure de base d'Azure, sans recourir à une adresse
IP publique. La figure 1.3 en présente un exemple :
Figure 1.3 : ajout d’un sous-réseau

Création d’un réseau virtuel dans le portail Azure | 5
4. Une fois le premier sous-réseau ajouté, dans notre cas, FrontEnd, nous pouvons
ajouter d’autres sous-réseaux au réseau virtuel ou passer à la section Security
(Sécurité), comme illustré dans la Figure 1.4 :
Figure 1.4 : ajout du sous-réseau frontend

5. Dans la section Security (Sécurité), nous pouvons choisir si nous souhaitons
activer Bastion Host (Hôte Bastion), DDoS protection (Protection DDoS)
et Firewall (Pare-feu). Si l’une de ces options est activée, nous devrons fournir
des informations supplémentaires pour ce service. Ensuite, nous pouvons
éventuellement ajouter des balises, ou ignorer cette étape et créer le service.
La figure 1.5 en présente un exemple :
Figure 1.5 : basculement des options de sécurité

6. La création d’un réseau virtuel prend généralement peu de temps. L’opération
devrait nécessiter moins de deux minutes. Une fois le déploiement terminé, vous
pouvez commencer à utiliser le réseau virtuel.
Comment faire...
Nous déployons des réseaux virtuels dans un Resource group (Groupe de ressources),
sous Subscription (Abonnement), dans le datacenter Azure que nous avons choisi.
Les paramètres Region (Région) et Subscription (abonnement) sont importants ; nous
ne pourrons associer des ressources Azure à ce réseau virtuel que si elles se trouvent
dans le même abonnement et la même région que celle du datacenter Azure. L’option
Address space (Espace d’adressage) définit le nombre d’adresses IP qui seront
disponibles pour notre réseau. Elle utilise le format de Classless Inter-Domain Routing
(CIDR), et la plus grande plage que nous puissions choisir est /8. Dans le portail, nous
devons créer un sous-réseau initial, puis définir la plage d’adresses de ce sous-réseau.
Le plus petit sous-réseau autorisé est /29 et le plus grand est /8 (toutefois, il ne peut
pas être plus grand que la plage du réseau virtuel). À titre de référence, la plage
10.0.0.0/8 (au format CIDR) va créer une plage d’adresses de 167772115 adresses
IP (de 10.0.0.0 à 10.255.255.255 ) et 10.0.0.0/29 créera une plage de 8 adresses
IP (de 10.0.0.0 à 10.0.0.7 ).
Création d’un réseau virtuel avec PowerShell

PowerShell est un shell de ligne de commande et un langage de script basé sur
.NET Framework. Il est souvent utilisé par les administrateurs système pour
automatiser des tâches et gérer les systèmes d’exploitation. Azure PowerShell Az est
un module PowerShell qui nous permet d’automatiser et de gérer les ressources Azure.
Az est également très souvent utilisé pour automatiser les tâches de déploiement.
Il peut également être utilisé pour déployer un nouveau réseau virtuel Azure.
Préparation
Avant de commencer, nous devons vérifier que les derniers modules Az sont
installés. Pour installer les modules Az, nous devons exécuter cette commande dans
la console PowerShell :
Install-Module -Name Az -AllowClobber -Scope CurrentUser
Pour en savoir plus, rendez-vous sur : https://docs.microsoft.com/powershell/azure/
install-az-ps?view=azps-4.5.0.
Avant de commencer, nous devons nous connecter à l’abonnement Azure à partir d’une
console PowerShell. Pour ce faire, la commande à utiliser est la suivante :
Connect-AzAccountAzAccount
Celle-ci ouvre une fenêtre contextuelle dans laquelle nous devons entrer les
informations d’identification pour l’abonnement Azure.
Nous devons ensuite créer un groupe de ressources dans lequel notre réseau virtuel
sera déployé :
New-AzResourceGroup -name 'Packt-Networking-Script' -Location 'westeurope'
Création d’un réseau virtuel avec PowerShell | 7
La sortie devrait être similaire à celle qui est présentée dans la figure 1.6 :
Figure 1.6 : connexion à un abonnement Azure depuis PowerShell
Comment faire...
Le déploiement d’un réseau virtuel Azure s’effectue dans un seul script. Nous devons
définir les paramètres pour le nom, le groupe de ressources, l’emplacement et la plage
d’adresses. Voici un exemple de script :
New-AzVirtualNetwork -ResourceGroupName 'Packt-Networking-Script' -Location
'westeurope' -Name 'Packt-Script' -AddressPrefix 10.11.0.0/16
Vous devez obtenir le résultat suivant :
Figure 1.7 : déploiement d’un réseau virtuel Azure à l'aide d'un script
Comment faire...
La différence entre le déploiement d’un réseau virtuel à partir du portail et l’utilisation
de PowerShell réside dans le fait qu’aucun sous-réseau n’a besoin d’être défini dans
PowerShell. Le sous-réseau est déployé dans une commande distincte qui peut être
exécutée lors du déploiement d’un réseau virtuel ou ultérieurement. Nous verrons cette
commande ultérieurement dans ce chapitre, dans la procédure Ajout d’un sous-réseau
avec PowerShell.
Ajout d’un sous-réseau dans le portail Azure

Outre l’ajout de sous-réseaux lors de la création d’un réseau virtuel, nous pouvons
ajouter des sous-réseaux supplémentaires à notre réseau à tout moment.
Préparation
Avant de commencer, ouvrez un navigateur Web et accédez au portail Azure à
l’adresse suivante : https://portal.azure.com. Recherchez ensuite le réseau virtuel
précédemment créé.
Comment faire...
Pour ajouter un sous-réseau à un réseau virtuel à l’aide du portail Azure, procédez
comme suit :
1. Dans le volet Virtual network (Réseau virtuel), accédez à la section Subnets
(Sous-réseaux).
2. Sélectionnez l’option Add subnet (Ajouter un sous-réseau).
3. Un nouveau volet s’ouvre. Nous devons fournir des informations pour le sous-
réseau, notamment en renseignant les champs Name (Nom) et Address range
(Plage d’adresses) au format CIDR. Cette plage d’adresses doit être comprise
dans la plage d’adresses du réseau virtuel et ne peut pas chevaucher la plage
d’adresses d’autres sous-réseaux du réseau virtuel. Nous avons également la
possibilité de renseigner les champs Network security group (Groupe de sécurité
réseau), Route table (Table de route), Service endpoints (Points de terminaison
de service) et Subnet delegation (Délégation de sous-réseau). Ces options seront
abordées ultérieurement :
Ajout d’un sous-réseau dans le portail Azure | 9
Figure 1.8 : ajout de la plage d'adresses

4. Nous pouvons également ajouter un sous-réseau de passerelle dans le même volet.

Pour ajouter un sous-réseau de passerelle, sélectionnez l’option Gateway subnet
(Sous-réseau de passerelle).
Pour un sous-réseau de passerelle, le seul paramètre que nous devons définir
est Address range (Plage d’adresses). Les mêmes règles que celles utilisées pour
l’ajout d’un sous-réseau standard s’appliquent. Cette fois, nous n’avons pas besoin
de fournir un nom, car celui-ci est déjà défini. Vous ne pouvez ajouter qu’un seul
sous-réseau de passerelle par réseau virtuel. Les points de terminaison de service
ne sont pas autorisés dans le sous-réseau de passerelle :
Figure 1.9 : ajout d’un sous-réseau de passerelle pour un réseau virtuel

Ajout d’un sous-réseau avec PowerShell | 11
5. Une fois les sous-réseaux ajoutés, les sous-réseaux nouvellement créés s’affichent
dans le volet Subnets (Sous-réseaux), sous le réseau virtuel :
Figure 1.10 : affichage des sous-réseaux nouvellement créés dans le volet Subnets (Sous-réseaux)
Comment faire...
Il est possible de définir plusieurs sous-réseaux pour un seul réseau virtuel. Les
sous-réseaux ne peuvent pas se chevaucher et doivent relever de la plage d’adresses
du réseau virtuel. Pour chaque sous-réseau, quatre adresses IP sont enregistrées pour
la gestion Azure et ne peuvent donc pas être utilisées. Selon les paramètres du réseau,
nous pouvons définir les règles de communication entre les sous-réseaux du réseau
virtuel. Un sous-réseau de passerelle est utilisé pour les connexions de réseau privé
virtuel (VPN). Nous verrons ce point en détail ultérieurement dans ce livre.
Découvrons maintenant comment ajouter un sous-réseau à l’aide de PowerShell.
Ajout d’un sous-réseau avec PowerShell

Lors de la création d’un réseau virtuel Azure avec PowerShell, aucun sous-réseau n’est
créé. Une commande supplémentaire doit donc être exécutée séparément.
Préparation
Avant de créer un sous-réseau, nous devons collecter des informations sur le réseau
virtuel auquel le nouveau sous-réseau sera associé. Les paramètres à fournir
sont le nom du réseau virtuel et le groupe de ressources dans lequel se trouve
le réseau virtuel :
$VirtualNetwork = Get-AzVirtualNetwork -Name 'Packt-Script'
Comment faire...
1. Pour ajouter un sous-réseau au réseau virtuel à l'aide de PowerShell, nous devons
exécuter une commande et indiquer le nom et le préfixe d’adresse. Le préfixe
d’adresse est au format CIDR :
Add-AzVirtualNetworkSubnetConfig -Name FrontEnd -AddressPrefix 10.11.0.0/24
2. Nous devons confirmer ces modifications en exécutant la commande suivante :
3. Nous pouvons ajouter un sous-réseau supplémentaire en exécutant toutes
les commandes en une seule opération, comme suit :
Add-AzVirtualNetworkSubnetConfig -Name BackEnd -AddressPrefix 10.11.1.0/24
Comment faire...
Le sous-réseau est créé et ajouté au réseau virtuel, mais pour que les modifications
soient appliquées, nous devons d’abord les confirmer. Concernant la taille du sous-
réseau, toutes les règles appliquées lors de la création ou de l’ajout de sous-réseaux
à l’aide du portail Azure s’appliquent ici également. Le sous-réseau doit relever
de l’espace d’adressage du réseau virtuel et ne peut pas chevaucher d’autres sous-
réseaux du réseau virtuel. Le plus petit sous-réseau autorisé est /29 et le plus grand est
/8, à condition que la valeur indiquée relève de l'espace d'adressage du réseau virtuel.
Par exemple, si vous créez un réseau /16, la plus grande valeur pour le sous-réseau sera
/16 uniquement, car nous ne pouvons pas inclure un sous-réseau /8 dans un espace
d'adressage /16.
Ce n’est pas tout...

Nous pouvons créer et ajouter plusieurs sous-réseaux à l’aide d’un seul script,
comme suit :
$FrontEnd = Add-AzVirtualNetworkSubnetConfig -Name FrontEnd -AddressPrefix
10.11.0.0/24 -VirtualNetwork $VirtualNetwork
$BackEnd = Add-AzVirtualNetworkSubnetConfig -Name BackEnd -AddressPrefix
10.11.1.0/24 -VirtualNetwork $VirtualNetwork
Modification de la taille de l’espace d’adressage | 13
Modification de la taille de l’espace d’adressage

Une fois que l’espace d’adressage initial a été défini lors de la création d’un réseau
virtuel, il est toujours possible d’en modifier la taille en fonction des besoins. Nous
pouvons soit augmenter ou réduire la taille de l’espace d’adressage, soit changer
entièrement l’espace d’adressage en utilisant une nouvelle plage d’adresses.
Préparation
Comment faire...
Pour modifier la taille de l’espace d’adressage d’un réseau virtuel à l’aide du portail
Azure, procédez comme suit :
1. Dans le volet Virtual network (Réseau virtuel), sous Settings (Paramètres),
recherchez Address space (Espace d’adressage).
2. Cliquez ensuite sur Address space (Espace d’adressage) et modifiez la valeur
en définissant la plage souhaitée. La figure 1.11 en présente un exemple :
Figure 1.11 : modification de la plage de l’espace d’adressage
3. Après avoir entré une nouvelle valeur dans Address space (Espace d’adressage),
cliquez sur Save (Enregistrer) pour appliquer les modifications.
Comment faire...
Bien que vous puissiez modifier l’espace d’adressage à tout moment, certaines
règles déterminent ce que vous pouvez et ne pouvez pas faire. Il n’est pas possible
de réduire l'espace d’adressage si des sous-réseaux définis dans l’espace initial ne sont
pas couverts par le nouvel espace d’adressage. Par exemple, si la plage de l’espace
d’adressage est 10.0.0.0/16, elle couvre les adresses allant de 10.0.0.1 à 10.0.255.254.
Si l’un des sous-réseaux avait pour valeur 10.0.255.0/24, nous ne pourrions pas
remplacer le réseau virtuel par 10.0.0.0/17, car le sous-réseau se trouverait alors
en dehors du nouvel espace.
Il n’est pas possible de remplacer un espace d’adressage par un autre si des sous-
réseaux sont définis. Pour changer entièrement un espace d’adressage, vous devez
d’abord supprimer tous les sous-réseaux. Par exemple, si un espace d’adressage a pour
valeur 10.0.0.0/16, nous ne pouvons pas lui attribuer la valeur 10.1.0.0/16, car les
sous-réseaux relevant de l’ancien espace d’adressage se retrouveraient dans une plage
d’adresses non définie.
Voyons comment modifier la taille des sous-réseaux nouvellement créés.
Modification de la taille d’un sous-réseau

À l’instar de l’espace d’adressage du réseau virtuel, nous pouvons modifier la taille d’un
sous-réseau à tout moment.
Préparation
Comment faire...
Pour modifier la taille du sous-réseau à l’aide du portail Azure, procédez comme suit :
1. Dans le volet Virtual network (Réseau virtuel), sélectionnez l’option Subnets
(Sous-réseaux).
2. Sélectionnez le sous-réseau que vous souhaitez modifier. Dans l’option Subnets
(Sous-réseaux), sous Address range (Plage d’adresses), entrez une nouvelle valeur
pour la taille du sous-réseau. La figure 1.12 illustre la façon de procéder :
Modification de la taille d’un sous-réseau | 15
Figure 1.12 : modification de la taille du sous-réseau à l’aide du portail Azure

3. Une fois la nouvelle plage d'adresses saisie, cliquez sur Save (Enregistrer).
4. Dans la liste Subnets (Sous-réseaux), vous pouvez voir que les modifications ont
été appliquées et que l’espace d’adressage a changé, comme l’illustre la Figure 1.13 :
Figure 1.13 : affichage des modifications effectuées dans la plage d’adresses de sous-réseau
Comment faire...
Lorsque vous modifiez la taille d’un sous-réseau, il convient de suivre certaines règles.
Vous ne pouvez pas modifier l’espace d’adressage s’il ne relève pas de la plage d’espaces
d’adressage du réseau virtuel, et la plage de sous-réseau ne peut pas chevaucher
d’autres sous-réseaux d’un réseau virtuel. Si des appareils sont affectés à ce sous-
réseau, vous ne pouvez pas le modifier pour exclure les adresses déjà attribuées
à ces appareils.
2
Mise en réseau des
machines virtuelles
Dans ce chapitre, nous allons traiter des machines virtuelles (VM) Azure
et de l’interface réseau (NIC) utilisée comme interconnexion entre ces machines
virtuelles et le réseau virtuel Azure.
• Création de machines virtuelles Azure
• Affichage des paramètres réseau des machines virtuelles
• Création d'une carte réseau
• Association d'une carte réseau à une machine virtuelle
• Détachement d'une carte réseau à une machine virtuelle
18 | Mise en réseau des machines virtuelles
Création de machines virtuelles Azure

Les machines virtuelles Azure dépendent de la mise en réseau virtuelle et nous devons
définir les paramètres réseau lors du processus de création.
Préparation
Comment faire...
Pour créer une machine virtuelle à l’aide du portail Azure, procédez comme suit :
1. Dans le portail Azure, sélectionnez Create a resource (Créer une ressource)
et choisissez la machine virtuelle Windows Server 2016 Datacenter (ou recherchez
une image de machine virtuelle en recherchant l'image dans la barre de recherche sur
Search the Marketplace [Rechercher dans le Marketplace]).
2. Dans le volet Create a virtual machine (Créer une machine virtuelle), nous devons
renseigner diverses options ; celles-ci ne concernent pas toute la mise en réseau. Tout
d’abord, nous devons renseigner les champs Subscription (Abonnement) et Resource
group (Groupe de ressources) Azure (créer un nouveau groupe de ressources
ou indiquer un groupe existant).
3. Dans la section Instance details (détails de l'instance), renseignez les champs Virtual
machine name (Nom de la machine virtuelle), Region (Région), Availability options
(Options de disponibilité) et Image (laissez la valeur par défaut dans le champ
Image ou remplacez-la par une autre image dans le menu déroulant). Des exemples
de paramétrage sont illustrés dans la Figure 2.1 :
Figure 2.1 : saisie des informations relatives aux détails de l’instance

Création de machines virtuelles Azure | 19
4. Ensuite, nous devons choisir si nous souhaitons utiliser Azure Spot instance
(où la machine virtuelle s’exécute sur une capacité de datacenter inutilisée à un prix
inférieur, mais peut être désactivée si des ressources sont nécessaires ailleurs)
et renseigner les champs Size (Taille), Username (Nom d'utilisateur) et Password
(Mot de passe) relatifs à la machine virtuelle. Notez que pour le champ Username
(Nom d’utilisateur), vous ne pouvez pas utiliser de noms tels qu’admin, administrator,
sysadmin ou root. Le champ Password (Mot de passe) doit comporter au moins
12 caractères et satisfaire trois des quatre règles généralement utilisées (c’est-à-dire
combiner des majuscules, des minuscules, des caractères spéciaux et des chiffres).
La Figure 2.2 donne un exemple de l'écran complété :
Figure 2.2 : configuration de l’instance Azure Spot

5. Nous devons ensuite définir une option qui concerne la mise en réseau. Nous devons
indiquer si nous autorisons n’importe quel type de connexion sur une adresse IP publique.
Nous devons choisir entre refuser tout accès ou autoriser un port spécifique. Vous
pouvez éventuellement utiliser Hybrid Benefit pour utiliser une licence existante
en vue de réaliser des économies. Dans l’exemple suivant, je choisis RDP (3389) , mais
la liste déroulante propose également les options SSH (22), HTTP (80) et HTTPS (443) :
Figure 2.3 : définition des règles de port entrants

6. Dans la section suivante, nous devons définir des disques. Nous pouvons choisir
entre Premium SSD (SSD Premium), Standard SSD (SSD standard) et Standard
HDD (HDD standard). Un disque de système d’exploitation est nécessaire et doit
être défini. Nous pouvons attacher des disques de données supplémentaires
selon les besoins. Il est également possible de les ajouter ultérieurement. L’option
de chiffrement par défaut consiste à utiliser des clés gérées par plateforme, mais
nous pouvons sélectionner des clés gérées par le client si nécessaire. Un exemple
de paramètres de disque avec uniquement le disque du système d’exploitation est
illustré dans la Figure 2.4 :
Figure 2.4 : définition des options de stockage
7. Après avoir défini les disques, nous passons aux paramètres de mise en réseau.
Il s’agit ici de définir les options Virtual network (Réseau virtuel) et Subnet (Sous-
réseau) que la machine virtuelle utilisera. Ces deux options sont obligatoires.
Vous pouvez choisir d’affecter l’adresse Public IP (IP publique) à la machine
virtuelle (vous avez la possibilité de désactiver l’adresse Public IP (IP publique),
d’en créer une nouvelle ou d’affecter une adresse IP existante). La dernière partie
du paramétrage réseau concerne la section NIC network security group (Groupe
de sécurité réseau de la carte réseau), où nous devons indiquer si nous voulons
utiliser un groupe de sécurité réseau de base ou avancé. Une autre option nous
permet également d'autoriser ou non les ports publics. Nous pouvons également
configurer les options supplémentaires Accelerated networking (Mise en réseau
accélérée) ou Load balancing (Équilibrage de charge). Un exemple de ces
paramètres réseau de machine virtuelle est illustré dans la Figure 2.5 :
Figure 2.5 : définition des options du réseau virtuel et du sous-réseau

8. Après la section de mise en réseau, nous devons configurer la section Management

(Gestion), comme illustré à la Figure 2.6 :
Figure 2.6 : activation des fonctions de gestion

9. Dans Advanced options (Options avancées), nous pouvons configurer les étapes de post-
déploiement en ajoutant des installations logicielles, des scripts de configuration, des
données personnalisées, etc. L'écran Advanced options (Options avancées) est illustré à la
Figure 2.7 :
Figure 2.7 : configuration du post-déploiement

10. Dans la deuxième partie des Advanced options (Options avancées), nous pouvons
sélectionner des paramètres Host group (Groupe d'hôtes, cette option fournit un hôte
dédié qui nous permet de configurer et de gérer un serveur physique dans un datacenter
Azure) et Proximity placement group (Groupes de placement de proximité, pour
regrouper des serveurs dans la même région) Nous devons également déterminer si nous
souhaitons utiliser des machines virtuelles de la génération 1 ou de la génération 2. Les
options par défaut sont illustrées à la Figure 2.8 :
Figure 2.8 : affectation d'un hôte dédié à la configuration et à la gestion d’un serveur physique
11. Les derniers paramètres que nous pouvons modifier sont ceux des balises. Ces dernières
appliquent des métadonnées supplémentaires aux ressources Azure de façon à les
organiser de manière logique dans une taxonomie. L'onglet Tags (Balises) est illustré
à la Figure 2.9 :
Figure 2.9 : application des balises aux ressources Azure

12. Une fois tous les paramètres définis, nous passons à l’écran de validation, où tous nos
paramètres sont vérifiés une dernière fois. La validation effectuée, nous confirmons la
création d’une machine virtuelle en cliquant sur le bouton Create (Créer), comme illustré à
la Figure 2.10 :
Figure 2.10 : création d’une machine virtuelle
Comment faire...
Lorsqu’une machine virtuelle est créée, une carte d’interface réseau (ou carte réseau) est
également créée au cours du processus. Les cartes réseau sont utilisées pour permettre
l’interconnexion entre la machine virtuelle et le réseau virtuel. Le réseau attribue une adresse IP
privée à la carte réseau. Dans la mesure où une carte réseau est associée à la fois à la machine
virtuelle et au réseau virtuel, l’adresse IP est utilisée par la machine virtuelle. Cette adresse
permet à la machine virtuelle de communiquer sur un réseau privé avec d’autres machines
virtuelles (ou d’autres ressources Azure) sur le même réseau. Les cartes réseau et les machines
virtuelles peuvent également se voir attribuer des adresses IP publiques. Une adresse publique
peut être utilisée pour communiquer avec la machine virtuelle via Internet, soit pour accéder
aux services, soit pour gérer la machine virtuelle.
Maintenant que nous avons créé une machine virtuelle Azure et défini des paramètres réseau,
passons à la section suivante et découvrons comment examiner ces paramètres réseau.
Affichage des paramètres réseau des machines virtuelles | 25

Si vous souhaitez en savoir plus sur les machines virtuelles Azure, vous pouvez lire mon
livre Hands-On Cloud Administration in Azure (L’administration pratique du Cloud dans
Azure), publié par Packt Publishing, dans lequel j’aborde les machines virtuelles plus
en détail.
Affichage des paramètres réseau des machines virtuelles

Une fois qu’une machine virtuelle Azure a été créée, nous pouvons vérifier les
paramètres réseau dans le volet de la machine virtuelle.
Préparation
Avant de commencer, ouvrez un navigateur Web et accédez au portail Azure
à l’adresse suivante : https://portal.azure.com. Recherchez ensuite la machine virtuelle
précédemment créée.
Comment faire...
Pour examiner les paramètres du réseau de machines virtuelles, procédez comme suit :
1. Dans le volet de la machine virtuelle, recherchez les paramètres Networking (Mise
en réseau). Les champs Network interface (Interface réseau), Application security
groups (Groupes de sécurité d’application) et Network security group (Groupe
de sécurité réseau) associés à la machine virtuelle y sont affichés. La Figure 2.11
vous en donne un exemple :
Figure 2.11 : paramètres réseau d’une machine virtuelle

2. Si nous sélectionnons l’un des éléments réseau associés, d’autres détails s’affichent.
Par exemple, si nous sélectionnons l’option Network interface (Interface réseau)
associée à la machine virtuelle, nous pouvons voir d’autres informations de mise en
réseau telles que Private IP address (Adresse IP privée), Public IP address (Adresse IP
publique), Virtual network/subnet (Réseau/sous-réseau virtuel), Network security
group (Groupe de sécurité réseau), IP configurations (Configurations IP) et DNS
servers (Serveurs DNS). L'affichage de cette carte réseau est illustré à la Figure 2.12 :
Figure 2.12 : affichage des informations de mise en réseau à partir de la carte réseau
Comment faire...
Les informations de mise en réseau sont affichées à plusieurs endroits, notamment dans
les paramètres réseau de la machine virtuelle. Chaque ressource Azure dispose d’un volet
distinct et constitue une ressource individuelle. Nous pouvons donc afficher ces paramètres
dans divers endroits. Toutefois, l’image la plus complète des paramètres réseau de machine
virtuelle que nous puissions obtenir se trouve dans les volets de la machine virtuelle
et de la carte réseau.
Création d'une carte réseau

Une carte réseau est généralement créée lors du processus de création de machine
virtuelle, mais chaque machine virtuelle peut disposer de plusieurs cartes réseau. Nous
pouvons donc créer une carte réseau en tant que ressource individuelle, et l’attacher
ou la détacher en fonction des besoins.
Préparation
Création d'une carte réseau | 27
Comment faire...
Pour créer une instance de carte réseau à l’aide du portail Azure, procédez comme suit :
1. Dans le portail Azure, sélectionnez Create a resource (Créer une ressource), puis dans
les services Networking (Mise en réseau), choisissez Network interface (Interface réseau)
ou entrez network interface (interface réseau) dans la barre de recherche.
2. Dans le volet de création, nous devons renseigner les champs Name (Nom) et Virtual
network (Réseau virtuel) qui seront associés à la carte réseau. Nous devons également
préciser le type d’affectation d’adresse IP (Dynamic [Dynamique] ou Static [Statique]),
sous Network security group (Groupe de sécurité réseau), indiquer si nous voulons que
la carte réseau soit associée à un type de groupe particulier et, enfin, spécifier si nous
voulons utiliser IPv6. Toutes les ressources Azure nécessitent de renseigner les champs
Subscription (Abonnement), Resource group (Groupe de ressources) et Region (Région),
et les cartes réseau ne font pas exception. Les informations nécessaires pour créer une
carte réseau sont illustrées à la Figure 2.13 :
Figure 2.13 : création d’une carte réseau à l'aide du portail Azure
Comment faire...
Il n’est pas possible de créer une carte réseau sans l’associer à un réseau, et cette association
doit être affectée à un réseau virtuel et à un sous-réseau. Cette opération s’effectue au cours
du processus de création et ne peut pas être modifiée ultérieurement. En revanche, il est
possible de modifier l’attachement à une machine virtuelle et la carte réseau peut être attachée
à une machine virtuelle ou détachée de celle-ci à tout moment.
Association d'une carte réseau à une machine virtuelle

Chaque machine virtuelle peut disposer de plusieurs cartes réseau. Nous pouvons donc ajouter
une nouvelle carte réseau à tout moment.
Préparation
Avant de commencer, ouvrez un navigateur Web et accédez au portail Azure à l’adresse suivante :
https://portal.azure.com. Recherchez la machine virtuelle que nous avons créée plus tôt dans
ce chapitre.
Comment faire...
Pour attacher une carte réseau à une machine virtuelle, procédez comme suit :
1. Dans le volet de la machine virtuelle, assurez-vous que la machine virtuelle est arrêtée
(c’est-à-dire, désallouée).
2. Recherchez les paramètres Networking (Mise en réseau) dans le volet
de la machine virtuelle.
3. En haut de l’écran Networking (Mise en réseau), sélectionnez l’option Attach network
interface (Attacher l’interface réseau).
4. Une nouvelle option s’affiche, laquelle vous permet de créer une nouvelle carte réseau
ou de sélectionner une carte réseau déjà existante non associée à la machine virtuelle.
5. Cliquez sur OK. En quelques instants, le processus est terminé et la carte réseau est
associée à la machine virtuelle. La Figure 2.14 vous en donne un exemple :
Figure 2.14 : association d'une carte réseau
Comment faire...
Chaque machine virtuelle peut disposer de plusieurs cartes réseau. Le nombre de cartes réseau
qui peuvent être associées à une machine virtuelle dépend du type et de la taille de la machine
virtuelle. Pour attacher une carte réseau à une machine virtuelle, celle-ci doit être arrêtée
(autrement dit, désallouée) ; vous ne pouvez pas ajouter une carte réseau supplémentaire
à une machine virtuelle en cours d’exécution.
Détachement d'une carte réseau à une machine virtuelle | 29
Détachement d'une carte réseau à une machine virtuelle

Tout comme pour l’attachement, à tout moment nous pouvons détacher une carte réseau et
l’attacher à une autre machine virtuelle.
Préparation
suivante : https://portal.azure.com. Recherchez ensuite la machine virtuelle précédemment
créée.
Comment faire...
Pour détacher une carte réseau d'une machine virtuelle, procédez comme suit :
1. Dans le volet de la machine virtuelle, assurez-vous que la machine virtuelle est arrêtée
(c’est-à-dire, désallouée).
2. Recherchez les paramètres Networking (Mise en réseau) dans le volet
de la machine virtuelle.
3. En haut de l’écran Networking (Mise en réseau), sélectionnez l’option Detach network
interface (Détacher l’interface réseau).
4. Sélectionnez la carte réseau que vous souhaitez détacher de la machine virtuelle.
5. Cliquez sur OK. En quelques instants, le processus est terminé et la carte réseau n’est
plus associée à la machine virtuelle. La Figure 2.15 vous en donne un exemple :
Figure 2.15 : détachement d'une carte réseau
Comment faire...
Pour détacher une carte réseau, la machine virtuelle associée à la carte réseau doit
être arrêtée (autrement dit, désallouée). Au moins une carte réseau doit être associée
à la machine virtuelle ; vous ne pouvez donc pas supprimer la dernière carte réseau d’une
machine virtuelle. Toutes les associations réseau restent avec la carte réseau ; elles sont
affectées à la carte réseau, et non à la machine virtuelle.
3
Groupes de
sécurité réseau
Les Groupes de sécurité réseau (NSG) sont des outils intégrés permettant de contrôler
le réseau. Ils permettent de contrôler le trafic entrant et sortant sur une interface
réseau ou au niveau du sous-réseau. Ils contiennent des ensembles de règles qui
autorisent un trafic spécifique à accéder à des ressources ou des sous-réseaux données
dans Azure ou qui leur en refuse l’accès. Un NSG peut être associé à un sous-réseau
(en appliquant des règles de sécurité à toutes les ressources associées au sous-
réseau) ou à une Carte d’interface réseau (NIC), en appliquant des règles de sécurité
à la machine virtuelle (VM) associée à la NIC.
32 | Groupes de sécurité réseau

• Création d’un NSG dans le portail Azure
• Création d’un NSG avec PowerShell
• Création d’une règle d’autorisation dans un NSG
• Création d’une règle de refus dans un NSG
• Création d’une règle NSG avec PowerShell
• Affectation d’un NSG à un sous-réseau
• Affectation d’un NSG à une interface réseau
• Affectation d'un NSG à un sous-réseau avec PowerShell
• Création d’un groupe de sécurité d’application (ASG)
• Association d’un ASG à une machine virtuelle
• Création de règles avec un NSG et un ASG

Chapter03.
Création d’un NSG dans le portail Azure

Afin de mieux contrôler le trafic réseau, nous allons commencer par créer un NSG.
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure
à l’adresse suivante : https://portal.azure.com.
Création d’un NSG dans le portail Azure | 33
Comment faire...
Pour créer un NSG à l’aide du portail Azure, procédez comme suit :
dans Networking (Mise en réseau), choisissez Network security group (Groupe
de sécurité réseau) ou entrez network security group dans la barre de recherche.
2. Les paramètres que nous devons définir pour le déploiement sont Subscription
(Abonnement), Resource group (Groupe de ressources), Name (Nom) et Region
(Région). Un exemple des paramètres requis est illustré dans la Figure 3.1 :
Figure 3.1 : création d’un NSG à l'aide du portail Azure
Une fois le déploiement validé et démarré (cela prend quelques instants), le NSG
est prêt à l’emploi.
Comment faire...
Le déploiement du NSG peut être initié lors du déploiement de la machine virtuelle.
Cette opération associera le NSG à la carte réseau associée à la machine virtuelle
déployée. Dans ce cas, le NSG est déjà associé à la ressource, et les règles définies dans
le NSG s’appliquent uniquement à la machine virtuelle associée.
Si le NSG est déployé séparément, comme dans cette procédure, il n’est pas associé
et les règles qui sont créées ne sont pas appliquées tant qu'une association avec la carte
réseau ou le sous-réseau n’a pas été créée. Lorsqu’un NSG est associé à un sous-réseau,
ses règles s’appliquent à toutes les ressources du sous-réseau.
Passons à la prochaine procédure et découvrons comment créer un NSG à l'aide
de PowerShell.
Création d’un NSG avec PowerShell

Nous pouvons également créer un NSG à l’aide de PowerShell. L’avantage de cette
approche est que nous pouvons ajouter des règles NSG dans un seul script en créant
des règles personnalisées directement après la création du NSG. Cela nous permet
d’automatiser le déploiement et de créer nos propres règles par défaut immédiatement
après la création du NSG.
Préparation
Ouvrez la console PowerShell et assurez-vous que vous êtes connecté à votre
abonnement Azure. Consultez le Chapitre 1, Réseau virtuel Azure, pour vous remémorer
la procédure à suivre.
Comment faire...
Pour déployer un nouvel NSG, exécutez la commande suivante :
New-AzNetworkSecurityGroup -Name "nsg1" -ResourceGroupName "Packt-Networking-
Script" -Location "westeurope"
Comment faire...
Le script utilise le Resource Group (Groupe de ressources[RG]) qui a été déployé dans
le Chapitre 1, Réseau virtuel Azure (nous allons utiliser le même groupe de ressources
pour tous les déploiements). Si ce n'est pas le cas, un nouveau groupe de ressources
doit être déployé avant l’exécution du script. Le résultat final sera le même que celui
que vous auriez obtenu en utilisant le portail Azure : la création d’un NSG avec des
règles par défaut. L’un des avantages de l’utilisation de PowerShell réside dans le fait
que nous pouvons ajouter des règles supplémentaires durant le déploiement en vue
d'automatiser le processus. Nous en verrons un exemple dans la section Création d’une
règle NSG avec PowerShell, plus loin dans ce chapitre.
Cette procédure vous a appris à créer un NSG à l’aide de PowerShell. Passons
à la prochaine procédure et découvrons comment autoriser des règles dans le NSG
à l’aide du portail Azure.
Création d’une règle d’autorisation dans un NSG | 35
Création d’une règle d’autorisation dans un NSG

Lorsqu’un NSG est créé, seules les règles par défaut sont présentes
et celles-ci autorisent tout le trafic sortant et bloquent tout le trafic entrant. Pour
les modifier, des règles supplémentaires doivent être créées. Tout d’abord, nous allons
vous montrer comment créer une nouvelle règle pour autoriser le trafic entrant.
Préparation
à l’adresse suivante : https://portal.azure.com. Recherchez ensuite le NSG
Comment faire...
Pour créer une règle d’autorisation NSG à l’aide du portail Azure, procédez comme suit :
1. Dans le volet NSG, cherchez l'option Inbound security rules (Règles de sécurité
de trafic entrant) dans Settings (Paramètres).
2. Cliquez sur le bouton Add (Ajouter) en haut de la page et attendez que le nouveau
volet s’ouvre :
Figure 3.2 : création d’une règle d'autorisation NSG à l’aide du portail Azure

3. Dans le nouveau volet, nous devons renseigner les champs Source (emplacement
et plage de ports), Destination (emplacement et plage de ports), Protocol
(Protocole), Action, Priority (Priorité), Name (Nom) et Description. Si vous
souhaitez autoriser le trafic, sous Action, veillez à sélectionner Allow (Autoriser).
Un exemple de création d’une règle autorisant le trafic sur le port 443 (autorisant
ainsi le trafic vers le serveur Web) est illustré dans la Figure 3.3 :
Figure 3.3 : création d'une règle autorisant le trafic web sur le port 443

Création d’une règle de refus dans un NSG | 37
Comment faire...
Par défaut, l’intégralité du trafic provenant d’Azure Load Balancer ou du réseau virtuel
Azure est autorisée. L’intégralité du trafic entrant via Internet est refusée. Pour
modifier ce comportement, des règles supplémentaires doivent être créées. Assurez-
vous de définir la priorité appropriée lorsque vous créez des règles. Les règles dont
la priorité est la plus élevée (c’est-à-dire celles dont le numéro est le plus petit) sont
traitées en premier. Ainsi, en présence de deux règles, l’une qui refuse le trafic et l’autre
qui l’autorise, celle qui a la priorité la plus élevée prévaudra et l’autre sera ignorée.
Cette procédure vous a appris à créer une règle pour autoriser le trafic entrant.
La prochaine procédure explique comment créer une règle dans le NSG pour refuser
le trafic.
Création d’une règle de refus dans un NSG

Lorsqu’un NSG est créé, seules les règles par défaut sont présentes. Les règles par
défaut autorisent l’intégralité du trafic sortant et bloquent l’intégralité du trafic entrant.
Pour modifier cela, des règles supplémentaires doivent être créées. Nous allons
maintenant vous montrer comment créer une nouvelle règle pour refuser le trafic
sortant.
Préparation
Comment faire...
Pour créer une nouvelle règle de refus NSG à l’aide du portail Azure, procédez
comme suit :
1. Dans le volet NSG, recherchez l’option Outbound security rules (Règles
de sécurité de trafic sortant) dans Settings (Paramètres).
2. Cliquez sur le bouton Add (Ajouter) en haut de la page et attendez que le nouveau
volet s’ouvre :
Figure 3.4 : création d’une règle de refus NSG à l'aide du portail Azure

3. Dans le nouveau volet, renseignez mes champs Source (emplacement et plage

de ports), Destination (emplacement et plage de ports), Protocol (Protocole),
Action, Priority (Priorité), Name (Nom) et Description. Si vous souhaitez refuser
le trafic, sous Action, veillez à sélectionner Deny (Refuser). Un exemple de création
d’une règle refusant le trafic sur le port 22 est illustré dans la Figure 3.5 :
Figure 3.5 : ajout d’une règle de sécurité sortante

Création d’une règle NSG avec PowerShell | 39
Comment faire...
L’intégralité du trafic sortant est autorisée par défaut, quelle que soit sa destination.
Si nous voulons refuser explicitement le trafic sur un port spécifique, nous devons
créer une règle à cet effet. Assurez-vous de définir la priorité appropriée lorsque vous
créez des règles. Les règles dont la priorité est la plus élevée (celles dont le numéro
est le plus petit) sont traitées en premier. Ainsi, en présence de deux règles, l’une
qui refuse le trafic et l’autre qui l’autorise, la règle appliquée sera celle dont la priorité
est la plus élevée.
Passons à la prochaine procédure et découvrons comment créer une règle NSG à l’aide
de PowerShell.
Création d’une règle NSG avec PowerShell

Nous pouvons également créer une règle NSG à l’aide de PowerShell. Cette commande
peut être exécutée directement après la création du NSG, ce qui nous permet
de créer et de configurer un NSG dans un seul script. Nous pouvons ainsi standardiser
le déploiement et appliquer des règles chaque fois qu’un NSG est créé.
Préparation
abonnement Azure.
Comment faire...
Pour créer une nouvelle règle NSG, exécutez la commande suivante :
$nsg = Get-AzNetworkSecurityGroup -Name 'nsg1' -ResourceGroupName 'Packt-
Networking-Script'
$nsg | Add-AzNetworkSecurityRuleConfig -Name 'Allow_HTTPS' -Description
'Allow_HTTPS' -Access Allow -Protocol Tcp -Direction Inbound -Priority 100
-SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix *
-DestinationPortRange 443 | Set-AzNetworkSecurityGroup
Comment faire...
Lorsque vous utilisez un script, la création d’une règle NSG n’est qu’une question
de paramètres. Le paramètre Access (Accès), qui peut avoir pour valeur Allow (Autoriser)
ou Deny (Refuser), indique si vous voulez autoriser ou refuser le trafic. Le paramètre
Direction, qui peut avoir la valeur Inbound (Entrant) ou Outbound (Sortant), détermine
si la règle concerne le trafic entrant ou sortant. Tous les autres paramètres sont
identiques, quel que soit le type de règle que nous voulons créer. Encore une fois,
la priorité joue un rôle très important, nous devons donc nous assurer qu’elle
est bien choisie.

Comme mentionné dans la section Création d’un NSG avec PowerShell, nous
pouvons créer le NSG et les règles nécessaires dans un seul script. Le script suivant
en est un exemple :
$nsg = New-AzNetworkSecurityGroup -Name 'nsg1' -ResourceGroupName 'Packt-
Networking-Script' -Location "westeurope"
$nsg | Add-AzNetworkSecurityRuleConfig -Name 'Allow_HTTPS' -Description
'Allow_HTTPS' -Access Allow -Protocol Tcp -Direction Inbound -Priority 100
-SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix *
-DestinationPortRange 443 | Set-AzNetworkSecurityGroup
Cette procédure explique comment créer une règle NSG à l’aide de PowerShell.
La prochaine procédure explique comment attribuer un NSG à un sous-réseau.
Affectation d’un NSG à un sous-réseau

Pour que le NSG et ses règles soient pris en compte, ils doivent être affectés à une
ressource. Nous allons étudier comment associer un NSG à un sous-réseau.
Préparation
Comment faire...
Pour affecter un NSG à un sous-réseau, procédez comme suit :
1. Dans le volet du NSG, sous Settings (Paramètres), recherchez Subnets (Sous-
réseaux).
2. Cliquez sur le bouton Associate (Associer) en haut de la page et attendez que
le nouveau volet s’ouvre :
Affectation d’un NSG à un sous-réseau | 41
Figure 3.6 : affectation d’un NSG à un sous-réseau
3. Dans le nouveau volet, sélectionnez d’abord le réseau virtuel qui contient le sous-
réseau auquel vous souhaitez associer le NSG, puis sélectionnez le sous-réseau,
comme indiqué dans la Figure 3.7 :
Figure 3.7 : association du sous-ensemble au NSG

4. Une fois la modification soumise, le sous-réseau apparaît dans la liste des sous-
réseaux associés :
Figure 3.8 : liste des sous-réseaux associés
Comment faire...
Lorsqu’un NSG est associé à un sous-réseau, les règles du NSG s’appliquent à toutes les
ressources du sous-réseau. Notez que le sous-réseau peut être associé à plusieurs NSG
et que, dans ce cas, les règles de tous les NSG s’appliquent. Dans le cas d’un seul NSG,
la priorité est le facteur le plus important. En revanche, lorsque les règles de plusieurs
NSG sont observées, la règle Deny (Refus) est celle qui prévaut. Ainsi, si deux NSG
appartiennent à un même sous-réseau, le premier qui Autorise le trafic sur le port 443
et le second qui refuse le trafic sur ce même port, le trafic y sera refusé.
Passons à la prochaine procédure et découvrons comment attribuer un NSG à une
interface réseau.
Affectation d’un NSG à une interface réseau

Nous allons maintenant élargir notre champ d'action et vous montrer comment associer
un NSG à une interface réseau.
Préparation
Comment faire...
Pour affecter un NSG à une interface réseau, procédez comme suit :
1. Dans le volet du NSG, sous Settings (Paramètres), recherchez Network interfaces
(Interfaces réseaux).
Affectation d’un NSG à une interface réseau | 43
2. Cliquez sur le bouton Associate (Associer) en haut de la page et attendez

que le nouveau volet s’ouvre :
Figure 3.9 : affectation d’un NSG à une interface réseau
3. Sélectionnez la carte d’interface réseau que vous souhaitez associer au NSG dans
la liste des éléments disponibles :
Figure 3.10 : association à l’interface réseau

Comment faire...
Lorsqu’un NSG est associé à une carte réseau, les règles du NSG ne s’appliquent qu’à
une seule carte réseau (ou à la machine virtuelle associée à la carte réseau). La carte
réseau ne peut être associée qu’à un seul NSG directement, mais un sous-réseau
associé à une carte réseau peut lui-même être associé à un autre NSG (ou même
à plusieurs NSG). Le principe est le même que lorsque nous avons plusieurs NSG
affectés à un seul sous-réseau et que la règle de refus est la règle prioritaire. Si l’un des
NSG autorise le trafic sur un port alors qu’un autre le bloque, le trafic sera refusé.
Cette procédure vous a appris à attribuer un NSG à une interface réseau. Passons
à la prochaine procédure et découvrons comment attribuer un NSG à l’aide
de PowerShell.
Affectation d'un NSG à un sous-réseau avec PowerShell

Nous pouvons également associer un NSG à l’aide d’Azure PowerShell. Dans cette
procédure, nous allons vous montrer comment associer un NSG à un sous-réseau.
Préparation
abonnement Azure.
Comment faire...
Pour associer un NSG à un sous-réseau, exécutez la commande suivante :
$vnet = Get-AzVirtualNetwork -Name 'Packt-Script' -ResourceGroupName 'Packt-
Networking-Script'
$subnet = Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name
BackEnd
$nsg = Get-AzNetworkSecurityGroup -ResourceGroupName 'Packt-Networking-
Script' -Name 'nsg1'
$subnet.NetworkSecurityGroup = $nsg
Set-AzVirtualNetwork -VirtualNetwork $vnet
Comment faire...
Pour attribuer un NSG à l'aide de PowerShell, nous devons collecter des informations
sur le réseau virtuel, le sous-réseau et le NSG. Une fois toutes les informations
collectées, nous pourrons effectuer l’association à l’aide de la commande
Set-AzVirtualNetwork et appliquer les modifications.
Passons à la prochaine procédure et découvrons comment créer un ASG à l’aide
du portail Azure.
Création d’un groupe de sécurité d’application (ASG) | 45
Création d’un groupe de sécurité d’application (ASG)

Les ASG sont une extension des NSG, ce qui nous permet de créer des règles
supplémentaires et de mieux contrôler le trafic. Utilisés seuls, les NSG nous permettent
de créer des règles qui autorisent ou refusent le trafic uniquement pour une source,
une adresse IP ou un sous-réseau spécifique. Les ASG nous permettent de créer
un meilleur filtrage et des contrôles supplémentaires portant sur le trafic autorisé,
en fonction des ASG. Par exemple, les NSG nous permettent de créer une règle selon
laquelle le sous-réseau A peut communiquer avec le sous-réseau B. Si nous avons
la structure d’application pour celle-ci et un ASG associé, nous pouvons ajouter des
ressources dans des groupes d’applications. En ajoutant cet élément, nous pouvons
créer une règle qui permettra la communication entre le sous-réseau A et le sous-
réseau B, mais uniquement si les ressources appartiennent à la même application.
Préparation
Comment faire...
Pour créer un ASG à l’aide du portail Azure, procédez comme suit :
dans Networking (Mise en réseau), choisissez Application security group (Groupe
de sécurité des applications) ou entrez application security group (groupe
de sécurité des applications) dans la barre de recherche.
2. Les paramètres que nous devons définir pour le déploiement sont Subscription
(Abonnement), Resource group (Groupe de ressources), Name (Nom) et Region
(Région). Un exemple des paramètres requis est illustré dans la Figure 3.11 :
Figure 3.11 : création d’un ASG à l'aide du portail Azure

Comment faire...
Utilisés seuls, les ASG présentent peu d’intérêt. Ils doivent être associés à des NSG
de manière à créer des règles permettant un meilleur contrôle du trafic grâce
à l’application de contrôles supplémentaires avant que le trafic ne soit autorisé.
Maintenant que nous avons créé un ASG, passons à une nouvelle procédure qui nous
permettra d'associer l’ASG à une machine virtuelle.
Association d’un ASG à une machine virtuelle

Après avoir créé un ASG, nous devons l’associer à une machine virtuelle. Une fois cette
opération effectuée, nous pouvons créer des règles avec le NSG et l’ASG pour contrôler
le trafic.
Préparation
à l’adresse suivante : https://portal.azure.com. Recherchez ensuite la machine virtuelle
précédemment créée.
Comment faire...
Pour associer un ASG à une machine virtuelle, procédez comme suit :
1. Dans le volet de la machine virtuelle, recherchez les paramètres Networking
(Mise en réseau).
2. Dans les paramètres Networking (Mise en réseau), sélectionnez l’onglet
Application security groups (Groupes de sécurité d'application), comme illustré
dans la Figure 3.12 :
Figure 3.12 : association d’un ASG à une machine virtuelle

Association d’un ASG à une machine virtuelle | 47
3. Dans les paramètres Application security groups (Groupes de sécurité

d'application), sélectionnez l’option Configure the application security
groups (Configurer les groupes de sécurité d’application), comme illustré
dans la Figure 3.13 :
Figure 3.13 : configuration des ASG
4. Dans le nouveau volet, dans la liste des ASG disponibles, sélectionnez l’ASG que
vous souhaitez associer à la machine virtuelle :
Figure 3.14 : association d’un ASG à une machine virtuelle
5. Après avoir cliqué sur Save (Enregistrer), vous devez patienter quelques secondes
pour que les modifications soient appliquées et que la machine virtuelle soit
associée à l’ASG.
Comment faire...
La machine virtuelle doit être associée à l’ASG. Nous pouvons associer plusieurs
machines virtuelles à chaque ASG. L’ASG est ensuite utilisé en association avec le NSG
pour créer des règles NSG.
La prochaine procédure explique comment créer des règles à l’aide d’un NSG
et d’un ASG.
Création de règles avec un NSG et un ASG

En dernier lieu, nous pouvons utiliser les NSG et les ASG pour créer des règles offrant
un meilleur contrôle. Cette approche nous permet de mieux contrôler le trafic,
en ne limitant pas seulement le trafic entrant à un sous-réseau spécifique, mais
en le limitant également selon que la ressource fait ou ne fait pas partie de l’ASG.
Préparation
Comment faire...
Pour créer une règle à l’aide d’un ASG et d’un NSG, procédez comme suit :
1. Dans le volet du NSG, recherchez Inbound security rules (Règles de sécurité
de trafic entrant). Sélectionnez Add (Ajouter) pour ajouter une nouvelle règle.
2. Pour la source, sélectionnez Application Security Group (Groupe de sécurité
d’application), puis sélectionnez l’ASG que vous souhaitez utiliser en tant que
source. Nous devons également renseigner les champs Source, Source port
ranges (Plages de ports sources), Destination, Destination port ranges (Plages
de ports de destination), Protocol (Protocole), Action, Priority (Priorité), Name
(Nom) et Description. La figure 3.15 en présente un exemple :
Création de règles avec un NSG et un ASG | 49
Figure 3.15 : ajout d’une règle de sécurité entrante
Comment faire...
Si nous utilisons uniquement des NSG pour créer des règles, nous pouvons créer des
règles d’autorisation ou de refus du trafic pour une adresse IP ou une plage spécifique.
Avec un ASG, nous pouvons élargir ou restreindre ces règles selon les besoins. Par
exemple, nous pouvons créer une règle pour autoriser les machines virtuelles d’un
sous-réseau frontend, mais uniquement si ces machines virtuelles se trouvent dans
un ASG spécifique. Nous pouvons également autoriser l’accès à un certain nombre
de machines virtuelles provenant de différents réseaux virtuels et sous-réseaux, mais
uniquement si elles appartiennent à un ASG spécifique.
4
Gestion des
adresses IP
Dans Azure, nous pouvons avoir deux types d’adresses IP : les adresses publiques et
les adresses privées. Les adresses publiques sont accessibles via Internet. Les adresses
privées proviennent de l’espace d’adressage du réseau virtuel Azure et sont utilisées
pour les communications privées sur les réseaux privés. Les adresses peuvent être
affectées à une ressource ou constituer une ressource distincte.
52 | Gestion des adresses IP

• Création d’une adresse IP publique dans le portail Azure
• Création d’une adresse IP publique avec PowerShell
• Affectation d’une adresse IP publique
• Annulation de l’affectation d’une adresse IP publique
• Création d’une réservation d’adresse IP publique
• Annulation d’une réservation d’adresse IP publique
• Création d’une réservation d’adresse IP privée
• Modification d’une réservation d’adresse IP privée
• Annulation d’une réservation d’adresse IP privée
• Ajout de plusieurs adresses à une carte réseau
• Création d'un préfixe IP public

Chapter04.
Création d’une adresse IP publique dans le portail Azure

Les adresses IP publiques peuvent être créées en tant que ressource distincte ou dans
le cadre de la création d’autres ressources (une machine virtuelle [VM], par exemple).
Une adresse IP publique peut donc faire partie d’une ressource, ou constituer une
ressource autonome. Nous allons d’abord vous montrer comment créer une nouvelle
adresse IP publique.
Préparation
Création d’une adresse IP publique dans le portail Azure | 53
Comment faire...
Pour créer une nouvelle adresse IP publique, procédez comme suit :
1. Dans le portail Azure, sélectionnez Create a resource (Créer une ressource), puis dans les services
Networking (Mise en réseau), choisissez Public IP address (Adresse IP publique) ou entrez public IP
address (adresse IP publique) dans la barre de recherche.
2. Les paramètres que nous devons définir pour le déploiement sont IP Version (Version IP), SKU
(Référence), Name (Nom), IP address assignment (Affectation d’adresses IP), DNS name label
(Étiquette du nom DNS), Subscription (Abonnement), Resource group (Groupe de ressources) et
Location (Emplacement). Le délai d’inactivité (la durée pendant laquelle la connexion reste ouverte
sans activité) est défini par défaut à 4 minutes, mais peut être augmenté à 30 minutes au maximum.
Un exemple des paramètres requis est illustré dans la Figure 4.1 :
Figure 4.1 : création d’une adresse IP publique à l'aide du portail Azure

Comment faire...
La référence (SKU) peut être de type Basic (De base) ou Standard. Les principales
différences résident dans le fait que la référence Standard est fermée au trafic entrant
par défaut (le trafic entrant doit figurer dans la liste blanche de Network Security Groups
[Groupes de sécurité réseau] [NSG]) et qu’elle est redondante interzone. Autre différence,
les adresses IP publiques de référence standard ont une affectation statique, tandis que
les adresses IP publiques de référence de base peuvent avoir une affectation statique ou
dynamique.
Vous pouvez choisir la version IPv4 ou IPv6 ou les deux versions pour l’adresse IP.
Toutefois, sachez que la version IPv6 ne permet qu’une affectation dynamique pour la
référence de base et qu'une affectation statique pour la référence standard.
L’étiquette de nom DNS est facultative ; elle peut être utilisée pour résoudre le point de
terminaison en cas de sélection d’une affectation dynamique. Dans les autres cas, inutile
de créer une étiquette DNS, car il est toujours possible d’utiliser une adresse IP pour
résoudre le point de terminaison en cas de sélection d’une affectation statique.
Création d’une adresse IP publique avec PowerShell

Il est également possible de créer une adresse IP publique à l’aide d’Azure PowerShell.
Encore une fois, cette approche est plus efficace lorsque nous voulons automatiser
le processus. Même une adresse IP publique peut exister par elle-même ; elle est
généralement créée pour être associée à d’autres ressources et être utilisée en tant que
point de terminaison. Si nous utilisons PowerShell pour créer une ressource, nous pouvons
également passer à l’étape suivante et l’associer à une autre ressource dans un seul script.
Préparation
Ouvrez la console PowerShell et assurez-vous que vous êtes connecté à votre abonnement
Azure.
Comment faire...
Pour déployer une nouvelle adresse IP publique, exécutez la commande suivante :
New-AzPublicIpAddress -Name 'ip-public-script' -ResourceGroupName 'Packt-
Networking-Script' -AllocationMethod Dynamic -Location 'westeurope'
Comment faire...
Cette commande aboutit à la création d’une adresse IP publique. Dans notre cas, les
paramètres seront les suivants : affectation dynamique de référence de base, version
IPv4 et absence d’étiquette DNS. En outre, nous pouvons utiliser des commutateurs
supplémentaires tels que -SKU pour sélectionner Basic (De base) ou Standard,
-IPAddressVersion pour choisir entre IPv4 et IPv6 ou -DomainNamelabel pour spécifier
l’étiquette DNS. Il s’agit de paramètres facultatifs. Si ceux-ci ne sont pas renseignés,
Azure créera l’adresse IP publique avec les valeurs par défaut susmentionnées.
Affectation d’une adresse IP publique | 55
Affectation d’une adresse IP publique

Il est possible de créer une adresse IP publique en tant que ressource distincte,
ou d’annuler son affectation à une autre ressource et de la faire exister de manière
autonome. Une telle adresse IP peut ensuite être affectée à une nouvelle ressource ou
à une ressource qui existe déjà. Si la ressource n’est plus utilisée ou a été migrée, nous
pouvons tout de même continuer à utiliser la même adresse IP publique. Dans ce cas, le
point de terminaison public utilisé pour accéder à un service peut rester inchangé. Cela
peut être utile lorsqu’une application ou un service accessible au public est migré ou
mis à niveau, car nous pouvons continuer à utiliser le même point de terminaison et les
utilisateurs n’ont pas besoin d’être avertis du changement.
Préparation
Comment faire...
Pour attribuer une adresse IP publique, procédez comme suit :
1. Recherchez l’interface réseau (NIC) à laquelle vous souhaitez affecter
l’adresse IP. Cela peut être fait directement en recherchant la carte réseau,
ou via le volet de la machine virtuelle à laquelle la carte réseau est affectée.
2. Dans le volet Network interface (Interface réseau), sous Settings (Paramètres),
accédez à IP configurations (Configurations IP), puis sélectionnez la configuration
illustrée dans la Figure 4.2 :
Figure 4.2 : affichage des configurations IP dans le volet NIC

3. Dans le nouveau volet, sélectionnez Associate (Associer) dans Public IP address

(Adresse IP publique), puis sélectionnez l’adresse IP publique que vous souhaitez
affecter dans le menu déroulant. Seules les adresses IP non attribuées dans la même
région apparaissent dans la liste. La Figure 4.3 vous en donne un exemple :
Figure 4.3 : affectation d’une adresse IP publique
4. Après avoir sélectionné l’adresse IP publique, cliquez sur Save (Enregistrer)

pour appliquer les paramètres.
Comment faire...
Une adresse IP publique constitue une ressource distincte et peut être affectée à une
autre ressource à tout moment. Lorsqu’une adresse IP publique est attribuée, vous pouvez
l’utiliser pour accéder aux services exécutés sur la ressource à laquelle l’adresse IP est
attribuée (n’oubliez pas qu’un NSG approprié doit être appliqué). Nous pouvons également
supprimer une adresse IP d’une ressource et l’affecter à une nouvelle ressource. Par
exemple, si nous voulons migrer des services vers une nouvelle machine virtuelle, l’adresse
IP peut être supprimée de l’ancienne machine virtuelle, puis affectée à la nouvelle. De cette
manière, les points de terminaison de service exécutés sur la machine virtuelle ne seront
pas modifiés. Cela est particulièrement utile lorsque des adresses IP statiques sont utilisées.
Annulation de l’affectation d’une adresse IP publique | 57
Annulation de l’affectation d’une adresse IP publique

Vous pouvez annuler l’affectation d’une adresse IP publique à une ressource afin
d’enregistrer cette adresse pour une utilisation ultérieure, ou vous pouvez l’affecter
à une autre ressource. Lorsqu’une ressource est supprimée ou désactivée, vous pouvez
continuer à utiliser cette adresse IP publique pour l’affecter à la ressource suivante.
Préparation
à l’adresse suivante : https://portal.azure.com. Assurez-vous que la machine virtuelle qui
utilise une adresse IP publique n’est pas en cours d’exécution.
Comment faire...
Pour annuler l'affectation d'une adresse IP publique, procédez comme suit :
1. Recherchez la carte réseau à laquelle l’adresse IP publique est associée.
accédez à IP configurations (Configurations IP) et sélectionnez la configuration IP :
Figure 4.4 : configurations IP dans le volet NIC

3. Dans le nouveau volet, modifiez le paramètre Public IP address

(Adresse IP publique) en sélectionnant Disassociate (Dissocier) :
Figure 4.5 : annulation de l’affectation d’une adresse IP publique
4. Une fois les modifications apportées, cliquez sur Save (Enregistrer) pour appliquer
la nouvelle configuration.
Comment faire...
Vous pouvez affecter une adresse IP publique à une ressource, ou annuler son
affectation à une ressource afin de l’enregistrer pour une utilisation ultérieure ou pour
la transférer vers une nouvelle ressource. Pour la supprimer, il suffit de désactiver
l’adresse IP publique dans la configuration IP de la carte réseau à laquelle l’adresse
IP est attribuée. Cette action supprime l’association, mais conserve l’adresse IP en tant
que ressource distincte.
Création d’une réservation d’adresse IP publique

L’option par défaut pour une adresse IP publique est l’affectation dynamique d’IP. Cela
peut être modifié lors de la création de l’adresse IP publique, ou ultérieurement. Si vous
souhaitez passer d’une affectation IP dynamique à un autre type d’affectation, l’adresse
IP publique prend la valeur réservée (ou statique).
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure à l’adresse
Création d’une réservation d’adresse IP publique | 59
Comment faire...
Pour créer une réservation d’adresse IP publique, procédez comme suit :
1. Recherchez l’adresse IP publique dans le portail Azure. Pour ce faire, vous pouvez rechercher
l’adresse IP directement ou via la ressource à laquelle elle est affectée (carte réseau ou machine
virtuelle).
2. Dans le volet Public IP address (Adresse IP publique) sous Settings (Paramètres), accédez
à Configuration. Sous Assignment (Affectation), sélectionnez Static (Statique) au lieu de
Dynamic (Dynamique), comme illustré dans la Figure 4.6 :
Figure 4.6 : modification de l’affectation d’adresse IP publique à Static (Statique)

3. Une fois cette modification effectuée, cliquez sur Save (Enregistrer) pour appliquer
les nouveaux paramètres.
Comment faire...
Les adresses IP publiques sont définies sur la valeur Dynamic par défaut. Cela signifie qu’une adresse
IP peut changer dans le temps. Par exemple, si une machine virtuelle à laquelle une adresse IP est
attribuée est désactivée ou redémarrée, il est possible que l’adresse IP change une fois la machine
virtuelle à nouveau opérationnelle. Cela peut entraîner des problèmes si des services qui s’exécutent
sur la machine virtuelle sont accessibles via l’adresse IP publique, ou s’il existe un enregistrement
DNS associé à l’adresse IP publique.
Pour éviter un tel scénario et faire en sorte que l’adresse IP soit réservée pour nos services, il
convient de créer une réservation IP et de définir l’affectation sur la valeur statique.
Annulation d’une réservation d’adresse IP publique

Si l’adresse IP publique est définie sur Static (Statique), nous pouvons supprimer
une réservation et définir l’affectation d’adresse IP sur Dynamic (Dynamique).
Cette opération est rare, car il existe généralement une raison pour laquelle la
réservation a été définie. Mais comme la réservation de l’adresse IP publique a un coût
supplémentaire, il est parfois nécessaire de supprimer la réservation si elle n’est pas
indispensable.
Préparation
à l’adresse suivante : https://portal.azure.com. Assurez-vous que l’adresse IP n’est
associée à aucune ressource.
Comment faire...
Pour supprimer une réservation d’adresse IP publique, procédez comme suit :
1. Recherchez l’adresse IP publique dans le portail Azure.
2. Dans le volet Public IP address (Adresse IP publique), sous Settings (Paramètres),
accédez à Configuration et attribuez à Assignement (Affectation) la valeur
Dynamic (Dynamique) :
Figure 4.7 : modification de l’affectation d’adresse IP publique à Dynamic (Dynamique)

3. Une fois ces modifications apportées, cliquez sur Save (Enregistrer) pour appliquer
Création d’une réservation d’adresse IP privée | 61
Comment faire...
Pour supprimer une réservation IP d’une adresse IP publique, l’adresse IP publique ne doit
être associée à aucune ressource. Nous pouvons supprimer la réservation en attribuant
à l’affectation d’adresse IP la valeur Dynamic (Dynamique).
La raison principale des suppressions de réservation est la tarification. Dans Azure, les
cinq premières réservations d’adresses IP publiques sont gratuites, mais chaque nouvelle
réservation est ensuite facturée. Pour éviter des dépenses inutiles, nous pouvons
supprimer une réservation si elle n’est pas nécessaire ou si l’adresse IP publique n’est
pas utilisée.
Création d’une réservation d’adresse IP privée

Comme pour les adresses IP publiques, nous pouvons réserver des adresses IP privées.
Ce type de réservation s’effectue généralement pour assurer la communication entre
les serveurs d’un même réseau virtuel et pour permettre l’utilisation des adresses IP
dans les chaînes de connexion.
Préparation
Comment faire...
Pour créer une réservation d’adresse IP privée, procédez comme suit :
1. Dans le portail Azure, recherchez la carte réseau pour laquelle vous souhaitez
effectuer la réservation.
Figure 4.8 : affichage des configurations IP dans le volet NIC

3. Dans le nouveau volet, sous les paramètres Private IP address (Adresse IP privée),
attribuez à Assignement (Affectation) la valeur Static (Statique). La valeur de
l’adresse IP actuelle est définie automatiquement. Si nécessaire, vous pouvez
remplacer cette valeur par une autre valeur, mais elle doit se trouver dans l’espace
d’adressage du sous-réseau associé à la carte réseau :
Figure 4.9 : attribution de la valeur Static (Statique) à l'affectation d'adresses IP privées
Comment faire...
Une réservation peut être effectuée pour les adresses IP privées. La différence réside
dans le fait qu’une adresse IP privée n’existe pas en tant que ressource distincte, mais
qu’elle est affectée à une carte réseau.
Une autre différence est qu’il est possible de sélectionner une valeur pour une adresse
IP privée. Les adresses IP publiques sont attribuées de manière aléatoire et elles
peuvent être réservées, mais vous ne pouvez pas choisir la valeur réservée. Dans
le cas d’adresses IP privées, vous pouvez sélectionner la valeur de l’adresse IP, mais
il doit s’agir d’une adresse IP inutilisée du sous-réseau associé à la carte réseau.
Modification d’une réservation d’adresse IP privée | 63
Modification d’une réservation d’adresse IP privée

Dans le cas d’adresses IP privées, vous pouvez remplacer à tout moment une adresse IP
par une autre valeur. Lorsqu’il s’agit d’adresses IP publiques, cela n’est pas possible, car
l’adresse IP est obtenue aléatoirement à partir d’un pool et vous ne pouvez pas modifier
leur valeur. Lorsque vous utilisez une adresse IP privée, vous pouvez remplacer sa valeur
par une autre adresse IP à partir de l’espace d’adressage.
Préparation
Comment faire...
Pour modifier une réservation d’adresse IP privée, procédez comme suit :
1. Dans le portail Azure, recherchez la carte réseau à laquelle vous souhaitez apporter
des modifications.
Figure 4.10 : localisation des configurations IP dans le volet Network interface (Interface réseau)
3. Dans Private IP address settings (Paramètres d’adresse IP privée), entrez

une nouvelle valeur pour IP address (Adresse IP) :
Figure 4.11 : affectation d’une nouvelle valeur pour l’adresse IP privée
Comment faire...
Une réservation d’adresse IP privée peut être modifiée. Encore une fois, la valeur doit
être une adresse IP inutilisée d’un sous-réseau associé à la carte réseau. Si la machine
virtuelle associée à la carte réseau est désactivée, la nouvelle adresse IP est attribuée
lors de son démarrage suivant. Si la machine virtuelle est en cours d’exécution,
celle-ci est redémarrée pour appliquer les nouvelles modifications.
Annulation d’une réservation d’adresse IP privée | 65
Annulation d’une réservation d’adresse IP privée

Comme pour les adresses IP publiques, nous pouvons supprimer la réservation des
adresses IP privées à tout moment. Les adresses IP privées étant gratuites, aucun
coût supplémentaire n’est à craindre dans ce cas. Mais il existe des scénarios où une
affectation dynamique est nécessaire, et nous pouvons la définir à tout moment.
Préparation
Comment faire...
Pour supprimer une réservation d’adresse IP privée, procédez comme suit :
1. Dans le portail Azure, recherchez la carte réseau à laquelle vous souhaitez apporter
des modifications.
Figure 4.12 : sélection des configurations IP dans le volet Network interface (Interface réseau)
3. Dans le nouveau volet, sous Private IP address settings (Paramètres d’adresse

IP privée), attribuez au champ Assignment (Affectation) la valeur Dynamic
(Dynamique) :
Figure 4.13 : attribution de la valeur Dynamic (Dynamique) à l'affectation d'adresses IP privées
Comment faire...
Nous pouvons supprimer une réservation d’adresse IP privée à tout moment en
remplaçant la valeur du champ Assignment (Affectation) par Dynamic (Dynamique).
Une fois cette modification effectuée, la machine virtuelle associée à la carte réseau
est redémarrée pour appliquer les nouvelles modifications. Lorsqu’une modification
a été apportée, les adresses IP privées peuvent changer après le redémarrage ou la
désactivation de la machine virtuelle.
Ajout de plusieurs adresses IP à une carte réseau | 67
Ajout de plusieurs adresses IP à une carte réseau

Dans diverses situations, il peut être nécessaire d’associer plusieurs adresses IP
à une seule carte réseau. Azure nous permet de le faire pour les adresses IP privées
et publiques.
Préparation
Comment faire...
1. Dans le portail Azure, recherchez la carte réseau à laquelle vous souhaitez
apporter des modifications.
2. Dans le volet Network interface (Interface réseau) sous Settings (Paramètres),
accédez à IP configurations (Configurations IP) et cliquez sur Add (Ajouter) :
Figure 4.14 : volet Network interface (Interface réseau)

3. Un nouveau volet IP configuration (Configuration IP) s’affiche. Vous devez

renseigner les champs Name (Nom) et Type (le champ Type sera grisé si une
autre configuration IP existe déjà). Vous devez également sélectionner certains
paramètres d’adresse IP. Si vous n’avez besoin que d’une adresse IP privée, il vous
suffit de sélectionner Allocation (Affectation) pour l'adresse privée et de cliquer
sur Create (Créer) :
Figure 4.15 : ajout de la configuration IP à la carte réseau

Ajout de plusieurs adresses IP à une carte réseau | 69
4. Si une adresse IP publique supplémentaire est nécessaire, sélectionnez Associate

(Associer) sous Public IP address (Adresse IP publique). Vous devez indiquer des
informations supplémentaires pour les champs Name (Nom), SKU (Référence),
tout en renseignant le type d'Assignment (Affectation) :
Figure 4.16 : Ajout d’une nouvelle adresse IP publique
Comment faire...
Plusieurs configurations IP peuvent être attribuées à chaque carte réseau. Chaque
configuration IP doit avoir une adresse IP privée et peut avoir une adresse IP publique.
Il est donc possible d’ajouter une adresse IP privée sans adresse IP publique, mais
pas l’inverse. Nous disposons donc de différentes options de routage, tout en ayant
la possibilité de communiquer avec différents services et applications sur diverses
adresses IP. Le routage est expliqué plus en détail dans le chapitre 6 : DNS et routage.
Création d'un préfixe IP public

La création de ressources est généralement associée à la création d’adresses IP. Des
problèmes peuvent survenir lorsque des adresses IP publiques doivent être associées aux
règles de pare-feu ou aux configurations d’applications. Pour remédier à cela, nous pouvons
créer un préfixe IP public et réserver une plage d’adresses IP qui seront attribuées à nos
ressources.
Comment faire...
Pour créer un préfixe IP public, procédez comme suit :
les services Networking (Mise en réseau), choisissez Public IP prefix (Préfixe IP public)
ou entrez Public IP prefix (Préfixe IP public) dans la barre de recherche.
2. Renseignez les champs Subscription (Abonnement), Resource group (Groupe de
ressources), Name (Nom), Region (Région) et IP Version (Version IP). L'option SKU
(Référence) ne peut être sélectionnée et est définie sur Standard. Définissez le nombre
d’adresses IP que vous souhaitez réserver dans le champ Prefix size (Taille du préfixe) :
Figure 4.17 : création d'un préfixe IP public

Création d'un préfixe IP public | 71
Comment faire...
Lorsque nous créons un préfixe IP public, l’association d’adresses IP publiques n’est pas
exécutée de façon aléatoire, mais à partir d’un pool d’adresses réservées pour nous.
À bien des égards, cette opération est similaire à la création d’un réseau virtuel et à la
définition d’un espace d’adressage IP privé, sauf qu'il s'agit ici d'adresses IP publiques.
Cette méthode peut s'avérer très utile si vous souhaitez connaître les adresses à
l’avance. Imaginons que vous deviez créer une règle de pare-feu pour chaque service
créé. Vous devriez dans ce cas attendre le déploiement de chaque service et obtenir une
adresse IP publique une fois qu’il aura été créé. Avec un préfixe IP public, les adresses IP
sont connues à l’avance et nous pouvons définir une règle pour une plage d’adresses IP,
plutôt que de le faire pour chaque adresse IP.
5
Passerelles de réseau
local et de réseau
virtuel
Les passerelles de réseau local et de réseau virtuel sont des passerelles de réseau privé
virtuel (VPN) utilisées pour se connecter à des réseaux locaux et pour chiffrer l’ensemble
du trafic entre le réseau virtuel Azure (VNet) et un réseau local. Chaque réseau virtuel
ne peut avoir qu’une seule passerelle de réseau virtuel, mais une passerelle de réseau
virtuel peut être utilisée pour configurer plusieurs connexions VPN.
• Création d’une passerelle de réseau local dans le portail Azure
• Création d’une passerelle de réseau local avec PowerShell
• Création d’une passerelle de réseau virtuel dans le portail Azure
• Création d’une passerelle de réseau virtuel avec PowerShell
• Modification des paramètres de la passerelle de réseau local
74 | Passerelles de réseau local et de réseau virtuel

Chapter05.
Création d’une passerelle de réseau local dans le portail Azure

Lorsqu’une connexion site à site est créée, nous devons configurer les deux côtés de
la connexion, à savoir, Azure et le réseau local. Bien que les passerelles de réseau local
soient créées dans Azure, elles représentent votre réseau local (sur site) et contiennent
des informations de configuration sur vos paramètres de réseau local. Il s’agit d’un
composant essentiel de la création d’une connexion VPN de site à site entre le réseau
virtuel et le réseau local.
Préparation
Comment faire...
Pour créer une nouvelle passerelle de réseau local, procédez comme suit :
dans les services Networking (Mise en réseau), choisissez Local network gateway
(Passerelle de réseau local) ou entrez local network gateway (passerelle de réseau
local) dans la barre de recherche.
2. Les champs que nous devons renseigner sont les suivants : Name (Nom), IP
address (Adresse IP) (c’est-à-dire, l’adresse IP publique du pare-feu local), Address
space (Espace d’adressage) (l’espace d’adressage local auquel vous souhaitez vous
connecter), Subscription (Abonnement), Resource group (Groupe de ressources)
et Location (Emplacement). Nous pouvons également configurer les paramètres
Border Gateway Protocol (BGP) (Protocole de passerelle frontière [BGP]) :
Création d’une passerelle de réseau local dans le portail Azure | 75
Figure 5.1 : création d’une passerelle de réseau local
Comment faire...
La passerelle de réseau local permet de connecter une passerelle de réseau virtuel à un
réseau local. La passerelle de réseau virtuel est directement connectée au réseau virtuel
et dispose de toutes les informations relatives au réseau virtuel Azure nécessaires pour
créer une connexion VPN. D’autre part, une passerelle de réseau local contient toutes
les informations de réseau local nécessaires pour créer une connexion VPN.
Nous avons créé une passerelle de réseau local dans le portail Azure au cours de cette
procédure. Dans la prochaine procédure, nous découvrirons comment en faire de
même à l'aide de PowerShell.
Création d’une passerelle de réseau local avec PowerShell

Comme mentionné dans la procédure précédente, la passerelle de réseau local contient
des informations sur le réseau local que nous voulons connecter au réseau local Azure.
Outre le portail Azure, nous pouvons également utiliser Azure PowerShell pour créer une
passerelle de réseau local.
Préparation
Ouvrez la console PowerShell et assurez-vous que vous êtes connecté à votre abonnement
Azure.
Comment faire...
Pour créer une nouvelle passerelle de réseau local, exécutez la commande suivante :
New-AzLocalNetworkGateway -Name packt-lng-script -ResourceGroupName 'Packt-
Networking-Script' -Location 'westeurope' -GatewayIpAddress '195.222.10.20'
-AddressPrefix '192.168.1.0/24'
Comment faire...
Pour déployer une nouvelle passerelle de réseau local, nous devons renseigner les
paramètres suivants : le nom, le groupe de ressources, l’emplacement, l’adresse IP de la
passerelle et le préfixe d’adresse souhaité. L’adresse IP de la passerelle est l’adresse IP
publique du pare-feu local auquel vous essayez de vous connecter. Le préfixe d’adresse
est le préfixe de sous-réseau du réseau local auquel vous essayez de vous connecter.
Cette adresse doit être associée à une adresse de pare-feu fournie en tant qu’adresse
IP de passerelle.
Nous avons créé une passerelle de réseau local à l'aide d'Azure PowerShell au cours de
cette procédure. Passons à la prochaine procédure et découvrons comment créer une
passerelle de réseau virtuel dans le portail Azure.
Création d’une passerelle de réseau virtuel dans le portail Azure

Une fois la passerelle de réseau local créée, nous devons créer une passerelle de réseau
virtuel afin d’établir une connexion VPN entre le réseau local et Azure. Tout comme
les passerelles de réseau local contiennent des informations sur les réseaux locaux, la
passerelle de réseau virtuel contient des informations sur le réseau virtuel Azure auquel
nous essayons de nous connecter.
Préparation
Création d’une passerelle de réseau virtuel dans le portail Azure | 77
Comment faire...
Pour créer une passerelle de réseau virtuel, procédez comme suit :
dans les services Networking (Mise en réseau), choisissez Virtual network gateway
(Passerelle de réseau virtuel) ou entrez virtual network gateway (passerelle de réseau
virtuel) dans la barre de recherche.
2. Tout s’effectue dans un seul volet, mais pour une meilleure visibilité, je vais le diviser
en deux sections. Dans la première section, nous devons renseigner les champs
Subscription (Abonnement), Name (Nom), Region (Région), Gateway type (Type de
passerelle), VPN type (Type de VPN) et SKU (Référence) et Generation (Génération,
l'option Generation dépend de la référence ; toutes les références ne prennent pas
en charge la Génération 2. Nous devons également sélectionner un Virtual network
(Réseau virtuel) qui sera utilisé dans la connexion. Notez qu’il est nécessaire que le sous-
réseau de la passerelle ait été créé au préalable, et que seuls les réseaux virtuels dotés
d’un sous-réseau de passerelle peuvent être sélectionnés. La figure 5.2 en présente un
exemple :
Figure 5.2 : création d’une passerelle de réseau virtuel

3. Dans la deuxième section, nous devons définir les options Public IP address
(Adresse IP publique, sélectionnez une adresse IP existante ou en créez-en une).
Nous pouvons éventuellement définir les options Enable active‑active mode
(Activer le mode actif/actif) et le Border Gateway Protocol Autonomous System
Number (Numéro de système autonome du protocole de passerelle frontière,
[BGP ASN]) :
Figure 5.3 : Définition des options d’adresse IP publique
4. Une fois la validation effectuée, nous pouvons cliquer sur Create (Créer) et
démarrer le déploiement. Notez que la création de la passerelle de réseau virtuel
prend plus de temps que la plupart des autres ressources Azure ; le déploiement
peut prendre de 45 à 90 minutes.
Comment faire...
La passerelle de réseau virtuel est la deuxième composante nécessaire pour établir la
connexion au réseau virtuel Azure. Elle est directement connectée au réseau virtuel
et est nécessaire pour créer des connexions de site à site et de point à site. Nous
devons définir le type de VPN qui doit correspondre au type du périphérique VPN local
lorsqu’une connexion site à site est créée.
Le mode actif/actif offre une haute disponibilité en associant deux adresses IP à des
configurations de passerelle distinctes pour assurer la disponibilité.
Le protocole de passerelle frontière est un protocole standard dédié à l’échange
d’informations de routage et d’accessibilité entre différents systèmes autonomes
(ASes ). Chaque système reçoit un numéro de système autonome (ASN).
Nous avons créé une passerelle de réseau virtuel dans le portail Azure au cours de cette
procédure. Passons à la procédure suivante.
Création d’une passerelle de réseau virtuel avec PowerShell | 79
Création d’une passerelle de réseau virtuel avec PowerShell

Il est possible de créer une passerelle virtuelle avec PowerShell. Encore une fois, cela
permet d’automatiser les processus. Par exemple, si nous commençons à créer une
passerelle de réseau virtuel à l’aide d’un portail et que nous remarquons que notre
réseau virtuel n’est pas répertorié, cela est probablement dû au fait qu’il manque un
sous-réseau de passerelle. Nous devons donc abandonner le processus, revenir en
arrière et créer le sous-réseau de passerelle, puis recommencer à créer la passerelle de
réseau virtuel. Avec PowerShell, nous pouvons nous assurer que toutes les ressources
nécessaires sont présentes avant de commencer, puis poursuivre la création de la
passerelle de réseau virtuel.
Préparation
abonnement Azure.
Comment faire...
Pour créer une passerelle de réseau virtuel, exécutez le script suivant :
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'Packt-Networking-Script'
-Name 'Packt-Script'
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix
10.11.2.0/27 -VirtualNetwork $vnet
$vnet | Set-AzVirtualNetwork
$gwpip = New-AzPublicIpAddress -Name VNet1GWIP -ResourceGroupName 'Packt-
Networking-Script' -Location 'westeurope' -AllocationMethod Dynamic
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'Packt-Networking-Script'

-Name 'Packt-Script'
$subnet = Get-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet'
-VirtualNetwork $vnet
$gwipconfig = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig1 -SubnetId
$subnet.Id -PublicIpAddressId $gwpip.Id
New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName 'Packt-
Networking-Script' -Location 'westeurope' -IpConfigurations $gwipconfig
-GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1
Comment faire...
Le script effectue différentes opérations pour s’assurer que toutes les exigences sont
respectées et que nous pouvons créer une passerelle de réseau virtuel. La première
étape consiste à collecter des informations sur le réseau virtuel que nous allons utiliser.
Nous ajoutons ensuite le sous-réseau de passerelle au réseau virtuel Azure, puis nous
créons une adresse IP publique qui sera utilisée par la passerelle de réseau virtuel. Nous
recueillons toutes les informations et nous nous assurons que toutes les ressources
requises sont présentes, puis nous créons enfin une nouvelle passerelle de réseau
virtuel.
Nous avons appris à créer une passerelle de réseau virtuel avec Azure PowerShell
au cours de cette procédure. Dans la prochaine procédure, nous allons apprendre à
modifier les paramètres de la passerelle de réseau local.
Modification des paramètres de la passerelle de réseau local

Les configurations réseau peuvent changer au fil du temps, il se peut également que
nous devions traiter ces modifications dans Azure. L’adresse IP publique d’un pare-
feu local peut par exemple être modifiée et nous devrons reconfigurer la passerelle de
réseau local, ou un réseau local peut être reconfiguré et l’espace d’adressage ou le sous-
réseau a changé, de sorte que nous devions reconfigurer la passerelle de réseau local.
Préparation
Comment faire...
Pour modifier les paramètres d’une passerelle de réseau local, procédez comme suit :
1. Recherchez la passerelle de réseau local dans le portail Azure et accédez
à Configuration.
2. Dans Configuration, nous pouvons modifier le champ IP address (Adresse IP) ou
Address space (Espace d’adressage). Nous pouvons également ajouter des espaces
d’adressage supplémentaires au cas où nous voudrions connecter plusieurs sous-
réseaux locaux au réseau virtuel Azure :
Modification des paramètres de la passerelle de réseau local | 81
Figure 5.4 : modification des paramètres de la passerelle de réseau local
Comment faire...
La passerelle de réseau local contient les informations de réseau local nécessaires
pour créer une connexion site à site entre les réseaux locaux et le réseau Azure.
Si ces informations changent, nous pouvons les modifier dans Configuration. Les
modifications qui peuvent être apportées sont l’adresse IP (c’est-à-dire l’adresse IP
publique du pare-feu local) et l’espace d’adressage auquel nous nous connectons. En
outre, nous pouvons ajouter ou supprimer des espaces d’adressage si nous voulons
ajouter ou supprimer des sous-réseaux capables de se connecter au réseau virtuel
Azure. Si la configuration de la passerelle de réseau local n’est plus valide, au besoin,
nous pouvons toujours l’utiliser pour créer une connexion entièrement nouvelle à un
nouveau réseau local.
6
DNS et routage
Azure DNS nous permet d’héberger des Domaines DNS (Domain Name System) dans
Azure. Lorsque nous utilisation Azure DNS, nous utilisons l’infrastructure Microsoft
pour la résolution de noms, ce qui se traduit par des requêtes DNS rapides et fiables.
L’infrastructure Azure DNS utilise un grand nombre de serveurs afin d’offrir une
excellente fiabilité et une grande disponibilité de service. Avec la mise en réseau
Anycast, chaque requête DNS est traitée par le serveur DNS disponible le plus proche
de manière à obtenir une réponse rapide.
• Création d’une zone Azure DNS
• Création d’une zone Azure DNS privée
• Intégration d’un réseau virtuel à une zone DNS privée
• Création d’un jeu d’enregistrements dans Azure DNS
• Création d’une table de route
• Modification d'une table de route
• Association d’une table de route à un sous-réseau
• Annulation de l’association d’une table de route à un sous-réseau
• Création d’un itinéraire
• Modification d’un itinéraire
• Suppression d’un itinéraire
84 | DNS et routage
Création d’une zone Azure DNS

Pour commencer à utiliser Azure DNS, nous devons d’abord créer une zone DNS.
Celle-ci contient un enregistrement DNS d’un domaine spécifique, et elle ne peut
contenir que les enregistrements d’un seul domaine à la fois. Une zone DNS contient les
enregistrements DNS de ce domaine et de ses éventuels sous-domaines. Les serveurs
de noms DNS sont configurés de manière à répondre à n’importe quelle requête sur un
domaine enregistré et à pointer vers une destination.
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure via
https://portal.azure.com.
Comment faire...
Pour créer une nouvelle zone Azure DNS à l’aide du portail Azure, procédez comme
suit :
dans les services Networking (Mise en réseau), choisissez DNS Zone (Zone DNS)
ou entrez DNS Zone (Zone DNS) dans la barre de recherche.
2. Dans le nouveau volet, nous devons renseigner les champs Subscription
(Abonnement), Resource group (Groupe de ressources) et Name (Nom). Si nous
sélectionnons un groupe de ressources existant, la région sera automatiquement
la même que celle du groupe de ressources sélectionné. Nous pouvons
éventuellement marquer cette zone si l’enfant d’une zone existante est hébergé
dans Azure DNS. Le nom doit être un nom de domaine qualifié complet (FQDN) :
Création d’une zone Azure DNS | 85
Figure 6.1 : création d’une zone Azure DNS à l'aide du portail Azure
Comment faire...
Il est nécessaire de disposer d’une zone DNS pour commencer à utiliser Azure DNS.
Une nouvelle zone DNS est requise pour chaque domaine que nous souhaitons
héberger avec Azure DNS dans la mesure où une seule zone DNS ne peut contenir que
les informations d’un seul domaine. Une fois que nous avons créé une zone DNS, nous
pouvons ajouter des enregistrements, des jeux d’enregistrements et des tables de route
à un domaine hébergé avec Azure DNS. Ces éléments nous permettent d’acheminer
le trafic et de définir des destinations à l’aide d’un nom de domaine complet pour les
ressources Azure (ainsi que d’autres ressources). Nous allons voir comment créer et
gérer ces éléments dans les procédures de ce chapitre.
Passons à la prochaine procédure et découvrons comment créer une zone DNS privée.
86 | DNS et routage
Création d’une zone Azure DNS privée

Le fonctionnement d'une zone Azure DNS privée est très similaire à celui d'une zone
DNS. Mais au lieu de fonctionner sur des enregistrements publics, elle fonctionne au sein
d’un réseau virtuel. Elle est utilisée pour résoudre les noms et domaines personnalisés
à l’intérieur de votre réseau virtuel Azure.
Préparation
Comment faire...
Pour créer une nouvelle zone Azure DNS à l’aide du portail Azure, procédez comme suit :
1. Dans le portail Azure, sélectionnez Create a resource (Créer une ressource),
puis dans les services Networking (Mise en réseau), choisissez Private DNS Zone
(Zone DNS privée) ou entrez Private DNS Zone (Zone DNS privée) dans la barre
de recherche.
2. Dans le nouveau volet, nous devons renseigner les champs Subscription
(Abonnement), Resource group (Groupe de ressources) et Name (Nom). Si nous
sélectionnons un groupe de ressources existant, la région sera automatiquement la
même que celle du groupe de ressources sélectionné. Le nom doit être un FQDN :
Figure 6.2 : création d’une zone Azure DNS privée à l'aide du portail Azure
Intégration d’un réseau virtuel à une zone DNS privée | 87
Comment faire...
Lorsqu’un réseau virtuel est créé, une zone DNS par défaut est fournie. La zone DNS par
défaut utilise les noms fournis par Azure, et nous devons utiliser une zone DNS privée
pour utiliser des noms personnalisés. Une zone DNS privée est également requise pour
la résolution de nom sur les réseaux virtuels, car cette option n'est pas prise en charge
par le DNS par défaut.
Passons à la prochaine procédure et découvrons comment intégrer un réseau virtuel
à une zone DNS privée.
Intégration d’un réseau virtuel à une zone DNS privée

Une zone DNS privée est un service autonome qui ne fait pas grand-chose par
lui-même. Nous devons l’intégrer à un réseau virtuel afin de commencer à l’utiliser.
Une fois intégrée, elle fournira un DNS à l’intérieur du réseau virtuel.
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure à l’adresse
Comment faire...
Afin d’ajouter un nouvel enregistrement à la zone DNS, procédez comme suit :
1. Dans le portail Azure, recherchez Private DNS Zone (Zone DNS privée).
2. Dans Private DNS Zone (Zone DNS privée), sélectionnez Virtual network links
(Liaisons de réseau virtuel), puis cliquez sur Add (Ajouter) :
Figure 6.3 : ajout d'une liaison de réseau virtuel

88 | DNS et routage
3. Dans le nouveau volet, renseignez le champLink name (Nom de la liaison), puis

sélectionnez des valeurs pour les champs Subscription (Abonnement) et Virtual
network (Réseau virtuel), seuls les réseaux virtuels de l’abonnement sélectionné
seront disponibles. Nous pouvons également fournir l’ID de ressource de notre
réseau virtuel, plutôt que de sélectionner des options dans le menu déroulant :
Figure 6.4 : ajout d'une liaison de réseau virtuel
Comment faire...
Une fois le réseau virtuel lié à la zone DNS privée, la zone peut être utilisée pour la
résolution de nom à l’intérieur du réseau virtuel connecté. Pour la résolution de nom
sur plusieurs réseaux virtuels connectés, nous devons utiliser une zone DNS privée, car
le DNS par défaut ne prend pas en charge la résolution sur les réseaux. Il en va de même
si le réseau est connecté à un réseau local.
Si nous activons l’inscription automatique dans Configuration , les machines virtuelles
nouvellement créées seront automatiquement enregistrées dans la zone DNS privée. Si
ce n'est pas le cas, chaque nouvelle ressource doit être ajoutée manuellement.
Passons à la prochaine procédure et découvrons comment créer un jeu
d’enregistrements dans Azure DNS.
Création d’un jeu d’enregistrements dans Azure DNS

Lorsque nous créons une zone DNS, nous définissons le domaine pour lequel nous
allons stocker des enregistrements. Une zone DNS est créée pour un domaine racine
défini avec un nom de domaine complet (FQDN). Nous pouvons ajouter des sous-
domaines supplémentaires et des enregistrements destinés à stocker des informations
sur d’autres ressources appartenant au même domaine.
Création d’un jeu d’enregistrements dans Azure DNS | 89
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure via https://
portal.azure.com.
Comment faire...
1. Dans le portail Azure, recherchez DNS zone (Zone DNS).
2. Dans Overview (Présentation), sélectionnez l’option permettant d’ajouter un jeu
d’enregistrements :
Figure 6.5 : ajout d’un jeu d’enregistrements dans une zone DNS
3. Un nouveau volet s’ouvre. Entrez le nom du sous-domaine auquel vous souhaitez

ajouter un enregistrement :
Figure 6.6 : ajout d’un sous-domaine pour l’enregistrement

90 | DNS et routage
4. Nous devons sélectionner le type d’enregistrement que nous voulons ajouter. Les
options sont les suivantes : A, AAAA, CNAME, MX, NS, SRV, TXT et PTR. Le type
d’enregistrement le plus courant étant A, sélectionnions-le :
Figure 6.7 : Sélection du type d'enregistrement
5. Une fois que nous avons sélectionné le type d’enregistrement, nous devons choisir
s’il s’agit d’un alias (les alias sont disponibles uniquement pour les types A, AAAA
et CNAME), puis renseigner l'option TTL (Time-To-Live) (durée de vie). Enfin, nous
ajoutons une destination d’enregistrement. Cela dépend du type d’enregistrement,
et dans le cas de l’enregistrement A, il s’agit d’une adresse IP :
Figure 6.8 : ajout d’un alias, d’une TTL et d’une destination d’enregistrement

Création d’une table de route | 91
6. Si nous choisissons CNAME comme type d’enregistrement, nous ne saisirons

pas une adresse IP, mais un alias. Lorsqu’une requête est effectuée pour
l’enregistrement, une URL est renvoyée au lieu d’une adresse IP, et le client est
dirigé vers cet enregistrement :
Figure 6.9 : ajout d’un enregistrement CNAME

7. L’ajout d’une seule entrée à notre enregistrement crée un nouveau jeu
d’enregistrements et un nouvel enregistrement. Nous pouvons ajouter
d’autres enregistrements au jeu d’enregistrements en ajoutant des adresses
IP supplémentaires (dans ce cas précis).
Comment faire...
Un jeu d’enregistrements DNS contient des informations sur le sous-domaine du
domaine hébergé par la zone DNS. Dans le cas présent, il s’agit du domaine toroman.
cloud et du sous-domaine test. Cela forme un nom de domaine complet, demo.toroman.
cloud, et l’enregistrement fait pointer ce domaine vers l’adresse IP que nous avons
définie. Le jeu d’enregistrements peut contenir plusieurs enregistrements d’un seul
sous-domaine, généralement utilisé pour la redondance et la disponibilité.
L'utilisation du type CNAME et/ou d’un alias est possible grâce à Azure Traffic Manager.
De cette manière, les noms de domaine personnalisés peuvent être utilisés pour la
résolution de nom, au lieu des noms par défaut fournis par Azure.
Cette procédure vous a appris à créer un enregistrement dans Azure DNS. Passons
à la prochaine procédure et découvrons comment créer une table de route.
Création d’une table de route

Par défaut, Azure achemine le trafic réseau via des sous-réseaux. Mais dans certains
cas, nous souhaitons utiliser des itinéraires de trafic personnalisés de manière à
pouvoir définir où et comment le trafic circule. Nous utilisons alors des tables de route.
Ces tables définissent le prochain tronçon que notre trafic devra emprunter et elles
déterminent où le trafic réseau doit être acheminé.
92 | DNS et routage
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure via
Comment faire...
puis dans les services Networking (Mise en réseau), choisissez Route Table
(Table de route) ou entrez route table (table de route) dans la barre de recherche.
2. Dans le nouveau volet, renseignez les champs Subscription (Abonnement),
Resource group (Groupe de ressources) et Region (Région). Indiquez également
le nom de la table de route. Vous avez également la possibilité d’autoriser ou non
la propagation de route de passerelle (qui est activée par défaut) :
Figure 6.10 : création d'une table de route
Comment faire...
Le routage réseau dans le réseau virtuel Azure s’effectue automatiquement, mais nous
pouvons utiliser un routage personnalisé grâce à des tables de route. Les tables de
route utilisent des associations de règles et de sous-réseaux pour définir le flux de
trafic dans le réseau virtuel. Lorsqu’une nouvelle table de route est créée, il s’agit d’une
ressource vide sans aucune configuration. Une fois la ressource créée, nous devons
définir des règles et des sous-réseaux de manière à pouvoir utiliser une table de route
pour le flux de trafic. Dan les prochaines procédures de ce chapitre, nous allons voir
comment créer et appliquer des règles dans les tables de route.
Modification d'une table de route | 93
Modification d'une table de route

Comme nous l’avons mentionné dans la procédure précédente, la création d’une
nouvelle table de route génère une ressource vide. Une fois qu’une ressource est créée,
nous pouvons modifier les paramètres selon les besoins. Avant de configurer les routes
et les sous-réseaux associés à la table de route, le seul paramètre que nous pouvons
modifier est celui de la propagation de route Border Gateway Protocol (Protocole
de passerelle frontière [BGP]). Nous pouvons également modifier d’autres paramètres
après la création.
Préparation
Comment faire...
Pour modifier une table de route, procédez comme suit :
1. Dans le portail Azure, recherchez Route table (Table de route).
2. Sous Settings (Paramètres), dans le panneau Configuration, vous pouvez modifier
les paramètres Propagate gateway routes (Routes de la passerelle de propagation)
à tout moment :
Figure 6.11 : option permettant de modifier les paramètres Propagate gateway routes

(Routes de la passerelle de propagation)
Comment faire...
Sous les paramètres de la table de route, nous pouvons désactiver ou activer la
propagation de route de passerelle à tout moment. Cette option, si elle est désactivée,
empêche la propagation des itinéraires locaux via BGP vers les interfaces réseau
dans un sous-réseau virtuel. Dans les paramètres, nous pouvons créer, supprimer
ou modifier des itinéraires et des sous-réseaux. Ces options seront abordées dans
les prochaines procédures de ce chapitre.
Passons à la prochaine procédure et découvrons comment associer une table de route
à un sous-réseau.
94 | DNS et routage
Association d’une table de route à un sous-réseau

Une fois qu’une table de route est créée, elle ne peut pas être utilisée tant qu’elle n’est
pas correctement configurée. Deux éléments doivent être déterminés : les ressources
affectées et la manière dont elles le sont. Pour définir les ressources affectées, nous
devons établir une association entre un sous-réseau et une table de route.
Préparation
Comment faire...
Pour associer un sous-réseau à une table de route, procédez comme suit :
2. Sous Settings (Paramètres), sélectionnez l’option Subnets (Sous-réseaux). Dans le
volet Subnets (Sous-réseaux), sélectionnez l’option Associate (Associer) pour créer
une association :
Figure 6.12 : création d'une association
3. Un nouveau volet s’ouvre. Deux options s'offrent à vous : sélectionner un

réseau virtuel ou choisir un sous-réseau avec lequel associer la table de route.
Sélectionnez d’abord l’option Virtual network (Réseau virtuel). Cette action a pour
effet d’afficher la liste de tous les réseaux virtuels disponibles. Sélectionnez celui
que vous souhaitez associer :
Association d’une table de route à un sous-réseau | 95
Figure 6.13 : sélection d'un réseau virtuel
4. Une fois qu’un réseau virtuel a été sélectionné, vous pouvez passer à la sélection
d’un sous-réseau. L’option Subnet (Sous -réseau) répertorie tous les sous-réseaux
du réseau virtuel sélectionné à l’étape précédente. Choisissez le sous-réseau que
vous souhaitez associer :
Figure 6.14 : sélection du sous-réseau

96 | DNS et routage
5. Une fois les deux options sélectionnées, nous pouvons créer une association :
Figure 6.15 : réseau virtuel et sous-réseau sélectionnés
6. Une fois qu’un sous-réseau a été associé, celui-ci apparaît dans la liste des sous-
réseaux, sous la table de route :
Figure 6.16 : liste des sous-réseaux associés
Comment faire...
Pour que la table de route soit efficace, elle doit répondre à deux questions : quoi
et comment. Nous devons définir ce qui sera affecté par la table de route avec une
association de sous-réseau. Il ne s’agit que d’une partie de la configuration, car la simple
association d’un sous-réseau à une table de route n’a aucun effet. Nous devons créer
des règles qui s’appliqueront à cette association. Nous allons expliquer ces règles dans
les prochaines procédures de ce chapitre.
Passons à la prochaine procédure et découvrons comment dissocier une table de route
d’un sous-réseau.
Annulation de l’association d’une table de route à un sous-réseau | 97
Annulation de l’association d’une table de route à un

sous-réseau
Une fois que nous avons créé une association et des règles, ces règles s’appliquent
à toutes les ressources du sous-réseau associé. Si nous voulons que les règles ne
s’appliquent plus à un sous-réseau spécifique, nous pouvons supprimer l’association.
Préparation
Comment faire...
Pour supprimer l’association entre le sous-réseau et la table de route, procédez comme
suit :
2. Sous Settings (Paramètres), sélectionnez l’option Subnets (Sous-réseaux),
puis sélectionnez le sous-réseau que vous souhaitez supprimer :
Figure 6.17 : sélection du sous-réseau à supprimer

98 | DNS et routage
3. Le panneau de configuration du sous-réseau s’ouvre. Sélectionnez l’option de

Route table (Table de route). Notez que cette action a pour effet d’ouvrir une
configuration de sous-réseau. Il est courant de confondre ce panneau avec celui
de l’association et de choisir l’option Delete (Supprimer). Cela a pour effet de
supprimer non seulement l’association, mais également le sous-réseau :
Figure 6.18 : volet Subnet configuration (Configuration du sous-réseau)
4. Le portail Azure affiche une liste des tables de route disponibles pour un sous-
réseau spécifique. Choisissez None (Aucun) :
Figure 6.19 : liste des tables de route disponibles pour un sous-réseau

Annulation de l’association d’une table de route à un sous-réseau | 99
5. Après avoir sélectionné None (Aucun), cliquez sur le bouton Save (Enregistrer)
pour appliquer le nouveau paramétrage. L’association de table de route est
supprimée du sous-réseau :
Figure 6.20 : suppression de l’association de table de route du sous-réseau
Comment faire...
À un moment donné, dans une table de route, nous avons peut-être créé des règles qui
s’appliquent à plusieurs sous-réseaux. Si nous ne voulons plus que qu’une ou plusieurs
de ces règles s’appliquent à un sous-réseau spécifique, nous pouvons supprimer
l’association. Une fois l’association supprimée, les règles ne s’appliquent plus au
sous-réseau. Toutes les règles s’appliquent à tous les sous-réseaux associés. Si nous
voulons qu’une seule règle ne s’applique plus à un sous-réseau spécifique, nous devons
supprimer l’association.
Cette procédure nous a appris à dissocier une table de route Passons à la prochaine
procédure et découvrons comment créer un itinéraire.
100 | DNS et routage
Création d’un itinéraire

Une fois que nous avons créé une table de route et les sous-réseaux associés, il manque
encore un élément. Nous avons défini la table de route qui sera affectée par l’association
de sous-réseau, mais nous n’avons pas encore défini comment elle le sera. Nous devons
définir la manière dont les sous-réseaux associés sont affectés par des règles appelées
itinéraires. Ces itinéraires définissent les itinéraires de trafic, en indiquant où un
trafic spécifique doit être acheminé. Si l’itinéraire par défaut d’un trafic spécifique est
Internet, nous pouvons le modifier et réacheminer le trafic vers une adresse IP ou un
sous-réseau spécifique.
Préparation
Comment faire...
Pour créer un itinéraire, procédez comme suit :
2. Dans le volet Route table (Table de route), sous Settings (Paramètres),
sélectionnez Routes (Itinéraires). Sélectionnez Add (Ajouter) pour ajouter
un nouvel itinéraire :
Figure 6.21 : ajout d’un nouvel itinéraire
3. Dans le nouveau volet, renseignez les champs Route name (Nom de l’itinéraire) et
Address prefix (Préfixe de l’adresse) (au format CIDR) de la plage d’adresses IP, puis
sélectionnez Next hop type (Type de tronçon suivant). Les options disponibles
sont les suivantes : Virtual network gateway (Passerelle de réseau virtuel), Virtual
network (Réseau virtuel), Internet, Virtual appliance (Appliance virtuelle) et None
(Aucun) :
Création d’un itinéraire | 101
Figure 6.22 : Ajout de détails de l'itinéraire
4. La dernière option, Next hop address (Adresse du tronçon suivant) est

uniquement active si une appliance virtuelle est utilisée. Dans ce cas, nous devons
indiquer l’adresse IP de l’appliance virtuelle dans ce champ et l’ensemble du trafic
passera par l’appliance virtuelle. Sélectionnez Internet et indiquez une adresse
IP publique dans le champ Address prefix (Préfixe de l’adresse), l'option Address
prefix dépend toujours de l'option Next hop type :
Figure 6.23 : sélection d’Internet pour l'option Next hop type (Type de tronçon suivant)
Comment faire...
L’itinéraire définit le flux de trafic. L’ensemble du trafic du sous-réseau associé suit
l’itinéraire défini par ces règles. Si nous définissons que le trafic passe par Internet,
l’ensemble du trafic est acheminé en dehors du réseau vers une plage d’adresses IP
définie avec un préfixe d’adresse IP. Si nous décidons de faire passer le trafic par un
réseau virtuel, il sera acheminé vers un sous-réseau défini par le préfixe d’adresse IP.
Si cette passerelle de réseau virtuel est utilisée, l’ensemble du trafic passera par la
passerelle du réseau virtuel et atteindra sa connexion, qu’il s’agisse d’un autre réseau
virtuel ou de notre réseau local, de l’autre côté. L’option Virtual appliance (Appliance
virtuelle) achemine l’ensemble du trafic vers l’appliance virtuelle, qui à son tour, avec
son propre ensemble de règles, définit où le trafic doit ensuite être acheminé.
Passons à la prochaine procédure et découvrons comment modifier un itinéraire.
Modification d’un itinéraire

Les exigences en matière d’itinéraire peuvent changer au fil du temps. Dans ce cas,
nous pouvons soit supprimer l’itinéraire, soit le modifier, selon nos besoins. Si un
itinéraire doit être ajusté, nous pouvons sélectionner l’option pour modifier l’itinéraire
et appliquer le nouveau flux de trafic à tout moment.
Préparation
Comment faire...
Pour modifier l'itinéraire existant, procédez comme suit :
2. Sous Settings (Paramètres), sélectionnez Routes (Itinéraires), puis sélectionnez
l’itinéraire que vous souhaitez modifier dans la liste des itinéraires disponibles :
Figure 6.24 : modification d’un itinéraire disponible

Suppression d’un itinéraire | 103
3. Un nouveau volet s’ouvre. Nous pouvons modifier Address prefix (Préfixe de

l’adresse) et Next hop type (Type de tronçon suivant). Si l'option Next hop type
(Type de tronçon suivant) est une appliance virtuelle, une option pour Next hop
address (Adresse du tronçon suivant) apparaît :
Figure 6.25 : option pour Next hop address (Adresse du tronçon suivant)
Comment faire...
Les exigences en matière d’itinéraire peuvent changer au fil du temps. Nous pouvons
changer l’itinéraire et lui appliquer les ajustements nécessaires pour qu’il réponde aux
nouvelles exigences selon les besoins. Les scénarios les plus courants sont ceux dans
lesquels le trafic doit atteindre un service spécifique mais que l’IP du service change
au cours du temps. Par exemple, nous pouvons avoir besoin d’acheminer l’ensemble
du trafic via une appliance virtuelle, mais l’adresse IP de l’appliance virtuelle ne cesse
de changer. Nous pouvons modifier l’itinéraire dans la table de route de façon à refléter
cette modification et forcer le flux de trafic via l’appliance virtuelle. Autre exemple,
un trafic peut avoir besoin d’atteindre notre réseau local via une passerelle de réseau
virtuel et la plage d’adresses IP de destination peut changer au fil du temps, ce qui nous
oblige à refléter ces changements dans l’itinéraire.
Cette procédure nous a appris à modifier un itinéraire. La procédure suivante décrit
comment supprimer un itinéraire.
Suppression d’un itinéraire

Comme nous l’avons déjà mentionné, les exigences en matière d’itinéraire peuvent
changer au fil du temps. Dans certains cas, les règles ne sont plus applicables et
nous devons les supprimer. Dans de tels cas, la modification de l’itinéraire empêche
la réalisation de la tâche et l’itinéraire doit être entièrement supprimé. La suppression
de l’itinéraire permet alors de résoudre le problème.
Préparation
Comment faire...
Pour supprimer un itinéraire, procédez comme suit :
1. Dans le portail Azure, recherchez le lien Route table (Table de route).
2. Sous Settings (Paramètres), sélectionnez Routes (Itinéraires), puis sélectionnez
l’itinéraire que vous souhaitez supprimer :
Figure 6.26 : suppression d’un itinéraire existant
3. Un nouveau volet s’ouvre. Sélectionnez l’option Delete (Supprimer) et confirmez

votre action :
Figure 6.27 : sélection de l'option Delete (Supprimer)
4. Une fois cette action confirmée, vous revenez au panneau précédent et l’itinéraire
supprimé n’est plus répertorié :
Figure 6.28 : suppression réussie d’un itinéraire

Suppression d’un itinéraire | 105
Comment faire...
À mesure que nos exigences changent, nous devons refléter ces changements dans
nos tables de route. Nous pouvons modifier des itinéraires ou les supprimer pour
répondre à ces nouvelles exigences. Lorsque plusieurs itinéraires sont utilisés dans
une seule table de route, l’un des itinéraires peut devenir obsolète, voire bloquer de
nouvelles exigences. Dans ce cas, nous pouvons supprimer un itinéraire pour résoudre
le problème.
7
Pare-feu Azure
La plupart des composants de mise en réseau Azure utilisés pour la sécurité servent
à arrêter le trafic entrant indésirable. Que nous utilisions des groupes de sécurité
réseau, des groupes de sécurité d’application ou un pare-feu d’applications Web (WAF),
ces composants ont tous un seul objectif : empêcher le trafic indésirable d’atteindre nos
services. Le pare-feu Azure offre des fonctionnalités similaires, y compris une extension
que nous pouvons utiliser pour empêcher le trafic sortant de quitter le réseau virtuel.
• Création d’un pare-feu
• Création d’une pare-feu avec PowerShell
• Configuration d’une nouvelle règle d’autorisation
• Configuration d’une nouvelle règle de refus
• Configuration d’une table de route
• Activation des journaux de diagnostic pour le pare-feu Azure
• Configuration du pare-feu Azure en mode tunneling forcé
• Création d'un groupe IP
• Configuration des paramètres DNS du pare-feu Azure
108 | Pare-feu Azure

Chapter07.
Création d’un pare-feu

Le pare-feu Azure nous permet de bénéficier d’un contrôle total sur notre trafic.
En plus de contrôler le trafic entrant, le pare-feu Azure permet également de contrôler
le trafic sortant.
Préparation
Avant de pouvoir créer une instance de pare-feu Azure, nous devons préparer un sous-
réseau.
Pour créer un sous-réseau pour le pare-feu Azure, procédez comme suit :
1. Recherchez le réseau virtuel qui sera associé au pare-feu Azure.
2. Sous Settings (Paramètres), sélectionnez Subnets (Sous-réseaux) et cliquez sur
Subnet (Sous-réseau) pour ajouter un nouveau sous-réseau, comme illustré dans
la Figure 7.1 :
Figure 7.1 : ajout d’un nouveau sous-réseau

Création d’un pare-feu | 109
3. Dans le nouveau volet, renseignez les champs Name (Nom) et Address range (Plage
d’adresses). Il est très important de nommer le sous-réseau AzureFirewallSubnet :
Figure 7.2 : saisie du nom et de la plage d’adresses du sous-réseau

Comment faire...
Pour créer une instance de pare-feu Azure à l’aide du portail Azure, procédez
comme suit :
dans les services Networking (Mise en réseau), choisissez Azure Firewall (Pare-
feu Azure) ou entrez Azure Firewall (Pare-feu Azure) dans la barre de recherche.
2. Dans le nouveau volet, sélectionnez d’abord une valeur dans les menus déroulants
Subscription (Abonnement) et Resource group (Groupe de ressources).
Renseignez ensuite les champs Name (Nom) et Region (Région) pour le pare-feu
Azure. Vous pouvez éventuellement sélectionner une option Availability zone
(Zone de disponibilité). L’étape suivante consiste sélectionner le réseau virtuel.
Seuls les réseaux virtuels de la région où l’instance du pare-feu Azure sera créée
sont disponibles. En outre, le réseau virtuel sélectionné doit contenir le sous-
réseau AzureFirewallSubnet créé précédemment. Enfin, définissez une adresse
IP publique (vous pouvez choisir une adresse existante ou en créer une nouvelle).
Vous pouvez éventuellement activer le Forced tunneling (Tunneling forcé) :
Figure 7.3 : ajout des détails du pare-feu Azure
Comment faire...
Le pare-feu Azure utilise un ensemble de règles pour contrôler le trafic sortant.
Nous pouvons tout bloquer par défaut et autoriser uniquement le trafic sur liste
verte, ou nous pouvons tout autoriser et bloquer uniquement le trafic sur liste noire.
Il s’agit essentiellement du point central où nous définissons des stratégies réseau,
appliquons ces stratégies et surveillons le trafic réseau sur les réseaux virtuels ou même
les abonnements. Le pare-feu Azure est un pare-feu en tant que service. Il s'agit
d'un service géré avec une haute disponibilité et une évolutivité intégrées.
Création d’une pare-feu avec PowerShell | 111
Création d’une pare-feu avec PowerShell

Nous pouvons également déployer un pare-feu Azure à l'aide de PowerShell. Cette
méthode est particulièrement utile lorsque les services font partie d’un déploiement
important ou d’un déploiement qui doit être automatisé.
Comment faire...
Plusieurs étapes doivent être exécutées pour créer un pare-feu avec Azure PowerShell :
1. Commençons par définir les paramètres :
$RG="Packt-Networking-Script"
$Location="West Europe"
$VNetName = "Packt-Script"
$AzFwIpName = "AzFW-Public-IP"
$AzFwname = "AzFw-Script"
2. Nous devons ensuite créer un sous-réseau distinct pour le pare-feu Azure :
$vnet = Get-AzVirtualNetwork -ResourceGroupName $RG '
-Name $VnetName
Add-AzVirtualNetworkSubnetConfig -Name AzureFirewallSubnet '
-VirtualNetwork $vnet '
-AddressPrefix 10.11.3.0/24
Set-AzVirtualNetwork -VirtualNetwork $vnet
3. La prochaine étape consiste à créer une adresse IP publique pour le pare-feu
Azure :
$AzFwIp = New-AzPublicIpAddress -Name $AzFwIpName '
-ResourceGroupName $RG '
-Location $Location '
-AllocationMethod Static '
-Sku Standard
4. Enfin, nous avons tous les composants en place et pouvons procéder à la création
du pare-feu :
$Azfw = New-AzFirewall -Name $AzFwname '
-ResourceGroupName $RG '
-Location $Location '
-VirtualNetworkName $vnet.Name '
-PublicIpName $AzFwIp.Name
Comment faire...
Le pare-feu nécessite un sous-réseau distinct nommé AzureFirewallSubnet. Nous
devons donc créer ce sous-réseau sur le réseau virtuel que nous avons l’intention
d’utiliser. Une adresse IP publique est également nécessaire. Nous sommes enfin prêts
pour le déploiement et pouvons créer une instance de pare-feu Azure.
Toutefois, le déploiement du pare-feu Azure n’est que le début. Nous devons également
configurer notre pare-feu en créant des règles et des itinéraires. Passons à la prochaine
procédure et découvrons comment créer des règles.
Configuration d’une nouvelle règle d’autorisation

Si nous voulons autoriser un trafic spécifique, nous devons créer une règle
d’autorisation. Les règles sont appliquées en fonction du niveau de priorité. Une règle
n’est donc appliquée que si aucune autre règle ne présente une priorité plus élevée.
Préparation
abonnement Azure.
Comment faire...
Pour créer une nouvelle règle d’autorisation dans le pare-feu Azure, exécutez
la commande suivante :
$Azfw = Get-AzFirewall -ResourceGroupName $RG
$Rule = New-AzFirewallApplicationRule -Name Rule1 -Protocol
"http:80","https:443" -TargetFqdn "*packt.com"
$RuleCollection = New-AzFirewallApplicationRuleCollection -Name
RuleCollection1 -Priority 100 -Rule $Rule -ActionType "Allow"
$Azfw.ApplicationRuleCollections = $RuleCollection
Set-AzFirewall -AzureFirewall $Azfw
Comment faire...
Une règle d’autorisation du pare-feu Azure inscrit le trafic spécifique sur une liste verte.
S’il existe une règle qui bloque également ce trafic, la règle de priorité la plus élevée
sera appliquée.
Nous pouvons également créer des règles de refus. Voyons comment procéder dans
la prochaine procédure.
Configuration d’une nouvelle règle de refus | 113
Configuration d’une nouvelle règle de refus

Si nous voulons refuser un trafic spécifique, nous devons créer une règle de refus.
Les règles sont appliquées par priorité. Cette règle ne sera donc appliquée
que si aucune autre règle de priorité plus élevée n’est en vigueur.
Préparation
abonnement Azure.
Comment faire...
Pour créer une nouvelle règle de refus dans le pare-feu Azure, exécutez
$Rule = New-AzFirewallApplicationRule -Name Rule1 -Protocol
"http:80","https:443" -TargetFqdn "*google.com"
$RuleCollection = New-AzFirewallApplicationRuleCollection -Name
RuleCollection1 -Priority 100 -Rule $Rule -ActionType "Deny"
$Azfw.ApplicationRuleCollections = $RuleCollection
Set-AzFirewall -AzureFirewall $Azfw
Comment faire...
La règle de refus est l’option la plus couramment utilisée avec le pare-feu Azure.
L’approche consistant à tout bloquer et à n’autoriser que le trafic sur liste verte n’est
pas très pratique, car nous pourrions nous retrouver à ajouter un trop grand nombre
de règles d’autorisation. Par conséquent, l’approche la plus courante consiste à utiliser
des règles de refus pour bloquer certains trafics.
Configuration d’une table de route

Les tables de route sont couramment utilisées avec le pare-feu Azure en cas
d’interconnectivité. Il peut s’agir d’une interconnectivité avec d’autres réseaux virtuels
Azure, ou avec des réseaux locaux. Dans ce cas, le pare-feu Azure utilise des tables
de route pour acheminer le trafic en fonction des règles spécifiées dans ces tables.
Préparation
abonnement Azure.
Comment faire...
Pour créer une nouvelle table de route dans le pare-feu Azure, exécutez
$config = $Azfw.IpConfigurations[0].PrivateIPAddress
$Route = New-AzRouteConfig -Name 'Route1' -AddressPrefix 0.0.0.0/0 -NextHopType
VirtualAppliance -NextHopIpAddress $config
$RouteTable = New-AzRouteTable -Name 'RouteTable1' -ResourceGroupName $RG
-location $Location -Route $Route
Comment faire...
Les tables de route associées au pare-feu Azure permettent de définir la manière dont
le trafic entre les réseaux est géré et la façon dont le trafic est acheminé d’un réseau
à un autre. Dans un environnement multi-réseaux, en particulier dans un réseau
hybride où il s’agit de connecter un réseau virtuel Azure à un réseau local sur site, cette
option est très importante. Elle permet de déterminer quel type de trafic peut circuler
où et comment.
Activation des journaux de diagnostic pour le pare-feu Azure

Les diagnostics sont une composante très importante de tout système informatique,
et la mise en réseau ne fait pas exception. Les paramètres de diagnostic du pare-feu
Azure permettent de collecter diverses informations qui peuvent être utilisées pour
le dépannage ou l’audit.
Préparation
Comment faire...
Pour activer les diagnostics dans le pare-feu Azure, procédez comme suit :
1. Dans le volet Azure Firewall (Pare-feu Azure) sous Monitoring (Analyse),
recherchez Diagnostics settings (Paramètres de diagnostic).
2. Sélectionnez l'option Add diagnostic setting (Ajouter un paramètre de diagnostic),
comme illustré dans la Figure 7.4 :
Activation des journaux de diagnostic pour le pare-feu Azure | 115
Figure 7.4 : ajout d’un paramètre de diagnostic
3. Dans le nouveau volet, renseignez le champ Name (Nom) et indiquez

où les journaux seront stockés. Dans le champ Storage account (Compte
de stockage), choisissez le compte dans lequel les journaux seront stockés,
et indiquez la période de rétention ainsi que les journaux qui seront stockés,
comme illustré dans la Figure 7.5 :
Figure 7.5 : ajout des détails des journaux

Comment faire...
Les diagnostics ont deux objets : l’audit et le dépannage. En fonction du trafic et
des paramètres, ces journaux peuvent croître au fil du temps. Il est donc important
de déterminer l’objet principal des diagnostics dès le début. Si l’objet des diagnostics
est l’audit, vous choisirez probablement une durée de rétention maximale de 365 jours.
Si l’objet principal est la résolution des problèmes, la période de rétention peut être
maintenue à 7 jours ou une durée encore plus courte. Si la stratégie de rétention est
définie sur 0, les journaux seront stockés sans être supprimés. Cela peut générer des
coûts supplémentaires et vous devrez peut-être configurer une procédure différente
pour supprimer les journaux.
Si vous ne souhaitez pas stocker les journaux de diagnostic dans un compte
de stockage, vous pouvez opter pour Log Analytics ou Event Hubs. Dans
ce cas, le processus n'implique pas de périodes de rétention car ces paramètres
sont conservés du côté de la destination.
Configuration du pare-feu Azure en mode tunneling forcé

Le tunneling forcé nous permet de forcer tout le trafic lié à Internet vers un pare-feu
local à des fins d'inspection ou d’audit. En raison de différentes dépendances Azure,
ce mode n'est pas activé par défaut et son autorisation nécessite des itinéraires
définis par l’utilisateur (UDR). L'utilisation de AzureFirewallSubnet ne permet pas
non plus d'activer ce mode. Nous devons ajouter un sous-réseau supplémentaire
nommé AzureFirewallManagementSubnet. Notez que cette opération doit être réalisée
avant le déploiement du pare-feu Azure et elle ne fonctionnera pas si le sous-réseau
est ajouté ultérieurement.
Préparation
Comment faire...
Afin d’ajouter AzureFirewallManagementSubnet pour activer le tunneling forcé, procédez
comme suit :
dans les services Networking (Mise en réseau), choisissez Route Table (Table
de route) ou entrez Route Table (table de route) dans la barre de recherche.
Configuration du pare-feu Azure en mode tunneling forcé | 117

Resource group (Groupe de ressources), Region (Région) et Name (Nom) pour
la table de route. Assurez-vous de sélectionner No (Non) pour l'option Propagate
gateway routes (Propager les itinéraires de passerelle) :
Figure 7.6 : création d’une table de route à l’aide du portail Azure

3. Une fois la table de route créée, nous devons définir un routage Internet par
défaut. Accédez à la table de route que vous venez de créer, puis dans la section
Settings (Paramètres) sous Routes (Itinéraires), sélectionnez Add (Ajouter) :
Figure 7.7 : ajout du routage Internet par défaut pour la table de route

4. Dans le nouveau volet, indiquez le nom de l'itinéraire. Nous devons également

saisir 0.0.0.0/0 sous Address prefix (Préfixe d’adresse) et Internet sous Next
hop type (Type de tronçon suivant) :
Figure 7.8 : configuration du routage Internet par défaut pour la table de route
5. Accédez maintenant au réseau virtuel où vous prévoyez de déployer le pare-feu

Azure. Sous Subnets (Sous-réseaux), ajoutez un nouveau sous-réseau. Notez que
AzureFirewallSubnet doit également être ajouté :
Figure 7.9 : ajout d’un nouveau sous-réseau dans le volet Virtual network (Réseau virtuel)
Configuration du pare-feu Azure en mode tunneling forcé | 119
6. Dans le nouveau volet, saisissez le nom suivant : AzureFirewallManagementSubnet,

renseignez le champ Subnet address range (Plage d'adresses du sous-réseau, la
taille de sous-réseau minimale doit être /26), puis sélectionnez la table de route
créée dans le champ Route table (Table de route) :
Figure 7.10 : configuration des paramètres du sous-réseau dans le nouveau volet
7. Nous pouvons maintenant procéder au déploiement du pare-feu Azure. Consultez

la procédure Création d’un pare-feu.
Comment faire...
Afin de prendre en charge le tunneling forcé, le trafic associé à la gestion des services est
séparé du reste du trafic. Un sous-réseau supplémentaire présentant une taille minimale
de /26 est nécessaire, ainsi qu’une adresse IP publique associée. Une table de route est
nécessaire avec un itinéraire unique définissant le routage vers Internet, et l'option BGP
route propagation (propagate gateway routes) (Propagation d’itinéraire BGP [propager
les itinéraires de passerelle]) doit être désactivée. Nous pouvons maintenant inclure des
itinéraires et définir la destination exacte du trafic (une appliance de réseau virtuel ou
un pare-feu sur site) afin qu'une inspection ou un audit soit effectué(e) avant d’atteindre
Internet.
Création d'un groupe IP

Les groupes IP sont des ressources Azure qui permettent de regrouper les adresses IP en
vue de faciliter la gestion. Ainsi, nous pouvons appliquer des règles de pare-feu Azure plus
facilement, tout en bénéficiant d'une meilleure visibilité.
Préparation
Comment faire...
Pour créer un groupe IP, procédez comme suit :
les services Networking (Mise en réseau), choisissez IP Group (Groupe IP) ou entrez
IP Group (Groupe IP) dans la barre de recherche.
2. Dans le nouveau volet, renseignez les champs Subscription (Abonnement), Resource
group (Groupe de ressources), Name (Nom) et Region (Région) :
Figure 7.11 : création d’un groupe IP à l’aide du portail Azure

Configuration des paramètres DNS du pare-feu Azure | 121
3. Renseignez le champ IP address, range or subnet (Adresse IP, plage ou sous-

réseau) sous IP addresses (Adresses IP). Dans cet exemple, nous ajouterons
un sous-réseau :
Figure 7.12 : ajout d’un sous-réseau dans le champ Adresse IP, plage ou sous-réseau
4. Nous pouvons maintenant déployer le groupe IP.
Comment faire...
Les groupes IP nous permettent d’associer plusieurs adresses IP à une seule ressource
en vue de faciliter la gestion. Nous pouvons associer n’importe quel nombre d’adresses
IP individuelles (au format 10.10.10.10 ), des plages IP (au format 10.10.10.10-
10.10.10.20) ou des réseaux (au format 10.10.10.0/24). Ensuite, les règles de pare-
feu peuvent être associées aux groupes IP et à toutes les adresses IP appartenant
à un groupe IP défini. Au lieu de créer une règle distincte pour chaque adresse IP, plage
ou sous-réseau, nous pouvons désormais définir une règle unique pour une seule plage
d’adresses IP. Le pare-feu Azure est ainsi plus facile à gérer et à entretenir, et vous
bénéficiez d'une meilleure visibilité sur les règles, qui sont également plus efficaces.
Configuration des paramètres DNS du pare-feu Azure

Nous pouvons utiliser un serveur DNS personnalisé avec notre instance de pare-feu
Azure. Cela nous permet de résoudre les noms personnalisés et d’appliquer le filtrage en
fonction du Fully Qualified Domain Name (Nom de domaine qualifié complet, FQDN ).
Préparation
Comment faire...
Afin de configurer des paramètres DNS personnalisés dans le pare-feu Azure,
procédez comme suit :
1. Dans le volet Azure Firewall (Pare-feu Azure) sous Settings (Paramètres),

recherchez DNS. Nous devons définir cette option sur Enabled (Activé).
Sélectionnez le type de DNS (par défaut ou personnalisé) et déterminez si vous
souhaitez utiliser un proxy DNS :
Figure 7.13 : configuration des paramètres DNS du pare-feu Azure à l’aide du portail Azure
2. Une fois tous les paramètres nécessaires renseignés, sélectionnez Save

(Enregistrer) pour les appliquer. Une délai de 30 minutes est nécessaire pour
la propagation des itinéraires et pour que ceux-ci soient réellement pris
en compte.
Comment faire...
Afin d’utiliser le filtrage FQDN, le pare-feu Azure doit pouvoir résoudre le FQDN
en question. Pour ce faire, vous pouvez activer les paramètres DNS sur le pare-feu
Azure. Lorsque cette option est activée, choisissez entre le DNS fourni par Azure
ou le DNS personnalisé. Le DNS personnalisé peut être soit une zone DNS Azure, soit
un serveur DNS exécuté sur un réseau virtuel.
8
Création de
connexions hybrides
Les connexions hybrides permettent de créer des connexions sécurisées avec des
réseaux virtuels Azure (VNets). Ces connexions peuvent s’effectuer à partir de réseaux
locaux ou d’autres réseaux virtuels Azure. L’établissement de connexions à des réseaux
virtuels Azure permet de sécuriser le trafic réseau entre d’autres services situés dans
différents réseaux virtuels Azure, différents abonnements ou des services en dehors
d’Azure (dans divers clouds ou en local). L’utilisation de connexions sécurisées évite
de devoir exposer publiquement des points de terminaison qui présentent un risque
de sécurité potentiel. Cela est particulièrement important en matière de gestion,
où l’ouverture de points de terminaison publics crée un risque de sécurité et constitue
un problème majeur. Par exemple, si nous envisageons de gérer des machines virtuelles,
il est courant d’utiliser le protocole RDP (Remote Desktop Protocol) ou PowerShell
pour la gestion. L’exposition de ces ports à l’accès public présente un grand risque.
Il est recommandé de désactiver tout type d’accès public à ces ports et d’y accéder
uniquement à partir d’un réseau interne pour la gestion. Dans ce cas, nous utilisons
une connexion site à site ou point à site de manière à permettre une gestion sécurisée.
124 | Création de connexions hybrides
Dans un autre scénario, nous pourrions avoir besoin d’accéder à un service ou à une
base de données sur un autre réseau, que ce soit localement ou via un autre réseau
virtuel Azure. Encore une fois, l’exposition de ces services peut présenter un risque,
et nous utilisons une connexion site à site, une connexion réseau virtuel à réseau
virtuel ou un appairage de réseaux virtuels pour établir ce type de connexion
de manière sécurisée.
• Création d’une connexion site à site
• Téléchargement de la configuration du périphérique VPN à partir d’Azure
• Création d’une connexion point à site
• Création d’une connexion réseau virtuel à réseau virtuel
• Connexion de réseaux virtuels à l’aide de l’appairage
• Windows PowerShell

Chapter08.
Création d’une connexion site à site

Une connexion site à site permet de créer une connexion sécurisée entre un réseau
local et un réseau virtuel Azure. Cette connexion est utilisée pour effectuer un certain
nombre de tâches diverses, comme l’activation de connexions hybrides ou la gestion
sécurisée. Dans une connexion hybride, nous permettons à un service dans un
environnement de se connecter à un service dans un autre environnement. Par
exemple, il peut s’agir d’une application Azure qui utilise une base de données située
dans un environnement local. La gestion sécurisée permet d’autoriser uniquement
les opérations de gestion provenant d’un environnement sécurisé et contrôlé, tel que
votre réseau local.
Création d’une connexion site à site | 125
Préparation
Comment faire...
Pour créer une nouvelle connexion site à site, procédez comme suit :
1. Recherchez la passerelle de réseau virtuel (celle que vous avez créée
au chapitre 5, Passerelles de réseau local et de réseau virtuel), puis sélectionnez
Connections (Connexions).
2. Dans Connections (Connexions), sélectionnez l’option Add (Ajouter) pour ajouter
une nouvelle connexion :
Figure 8.1 : le volet Connections (Connexions) dans le portail Azure

3. Dans le nouveau volet saisissez ne nom de la connexion et sélectionnez Site-to-

site (IPsec) (Site à site [IPsec]) dans Connection type (Type de connexion) :
Figure 8.2 : ajout d’attributs de connexion
4. Sous Local network gateway (Passerelle de réseau local), sélectionnez une

passerelle de réseau local dans la liste (vous avez créé une passerelle de réseau
local au chapitre 5, Passerelles de réseau local et de réseau virtuel) :
Figure 8.3 : sélection d'une passerelle de réseau local

Création d’une connexion site à site | 127
5. Nous devons fournir une clé partagée dans le champ Shared key (Clé partagée,
PSK) qui sera utilisée pour la connexion IPSec. Nous devons également définir
le IKE protocol (Protocole IKE) qui sera utilisé pour l’association de sécurité.
Nous avons le choix entre IKEv1 et IKEv2. Notez que les options Subscription
(Abonnement), Resource group (Groupe de ressources) et Location (Emplacement)
sont verrouillées et qu’elles seront identiques à celles utilisées pour la passerelle
de réseau virtuel :
Figure 8.4 : ajout d’une nouvelle connexion
6. Enfin, sélectionnez Create (Créer) pour démarrer le déploiement.

Comment faire...
La passerelle de réseau virtuel permet de configurer le côté Azure du tunnel IPSec.
La passerelle de réseau local fournit des informations sur le réseau local. Elle définit
le côté local du tunnel avec l’adresse IP publique et les informations de sous-réseau
local. Ainsi, le côté Azure du tunnel dispose de toutes les informations nécessaires
pour établir une connexion réussie avec un réseau local. Toutefois, cela ne constitue
que la moitié du travail, car il est également nécessaire de configurer le côté opposé
de la connexion. Cette partie dépend réellement du périphérique VPN utilisé en local,
et chaque périphérique présente des étapes de configuration spécifiques. Une fois
les deux parties du tunnel configurées, nous obtenons une connexion VPN sécurisée
et chiffrée entre les réseaux.
Découvrons comment configurer notre périphérique VPN local.
Téléchargement de la configuration du périphérique VPN

à partir d’Azure
Une fois le côté Azure de la connexion site à site créé, vous devez encore configurer
le périphérique VPN local. La configuration dépend du fournisseur et du type
de périphérique. Vous pouvez consulter la liste de tous les périphériques pris en charge
à l’adresse suivante : https://docs.microsoft.com/azure/vpn-gateway/vpn-gateway-
about-vpn-devices. Dans certains cas, il est possible de télécharger la configuration
d’un périphérique VPN directement à partir du portail Azure.
Préparation
Comment faire...
Pour télécharger la configuration du périphérique VPN, procédez comme suit :
1. Recherchez la connexion site à site dans le portail Azure. Le panneau Overview
(Vue d'ensemble) est ouvert par défaut.
2. En haut du volet, sélectionnez l’option Download configuration (Télécharger
la configuration) :
Figure 8.5 : vue d'ensemble de la connexion site à site dans le portail Azure

Téléchargement de la configuration du périphérique VPN à partir d’Azure | 129
3. Un nouveau volet s’ouvre. Toutes les options qui s’y trouvent sont prédéfinies :
Figure 8.6 : choix de la configuration du périphérique VPN

4. Sélectionnez les options appropriées pour les champs Device vendor (Fournisseur
d’appareils), Device family (Famille d’appareils) et Firmware version (Version
du microprogramme). Notez que seules certaines options sont disponibles et que
tous les appareils pris en charge ne disposent pas de ces options. Une fois que
toutes ces options ont été sélectionnées, téléchargez le fichier de configuration.
Le fichier d’exemple (Site-2-Site.txtdans le dossier Chapitre 8) se trouve dans
le référentiel GitHub associé à ce livre :
Figure 8.7 : Téléchargement du fichier de configuration

5. Une fois le périphérique VPN local configuré à l’aide du fichier de configuration, les
deux côtés du tunnel IPsec sont également configurés. Le champ Status (Statut)
de la connexion Site-2-Site (site à site) prend la valeur Connected (Connecté) :
Figure 8.8 : vérification de l’état de la connexion site à site
Découvrons à présent le fonctionnement de cette connexion en détail.
Comment faire...
Une fois que vous avez configuré le côté Azure du tunnel IPSec, vous devez configurer
l’autre côté, ainsi que le périphérique VPN local. Les étapes et la configuration sont
différentes pour chaque appareil. Dans certains cas, il est possible de télécharger
le fichier de configuration directement à partir du portail Azure. Une fois
le périphérique VPN configuré, tout est paramétré et vous pouvez utiliser le tunnel pour
sécuriser les communications entre le réseau local et un réseau virtuel Azure.
Création d’une connexion point à site

Il est important de pouvoir accéder aux ressources de manière sécurisée. Il n’est
pas toujours possible d’effectuer cette opération à l’aide d’une connexion site à site,
en particulier lorsque vous devez le faire en dehors des heures de bureau. Dans ce cas,
vous pouvez utiliser une connexion point à site pour créer une connexion sécurisée
pouvant être établie n’importe où.
Préparation
Pour créer une connexion point à site, vous devez générer un certificat qui sera utilisé
lors de la connexion. Pour créer un certificat, procédez comme suit :
1. Pour générer un certificat, exécutez le script PowerShell suivant :

$cert = New-SelfSignedCertificate -Type Custom '
-KeySpec Signature '
-Subject "CN=P2SRootCert" '
-KeyExportPolicy Exportable '
-HashAlgorithm sha256 -KeyLength 2048 '
-CertStoreLocation "Cert:\CurrentUser\My" '
Création d’une connexion point à site | 131
-KeyUsageProperty Sign '

-KeyUsage CertSign
New-SelfSignedCertificate -Type Custom '

-DnsName P2SChildCert '
-KeySpec Signature '
-Subject "CN=P2SChildCert" '
-KeyExportPolicy Exportable '
-HashAlgorithm sha256 -KeyLength 2048 '
-CertStoreLocation "Cert:\CurrentUser\My" '
-Signer $cert '
-TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2")
2. Vous devez ensuite exporter le certificat. Ouvrez certmgr, accédez à Personal

(Personnel)>Certificates (Certificats), sélectionnez P2SRootCert, puis choisissez
l'option Export... (Exporter...) :
Figure 8.9 : exportation du certificat à l’aide de certmgr
3. Cette action démarre Certificate Export Wizard (Assistant Exportation

de certificat). Cliquez sur Next (Suivant).
4. Sélectionnez l'option No, do not export the private key (Non, ne pas exporter
la clé privée), puis cliquez sur Next (Suivant) :
Figure 8.10 : Assistant Exportation de certificat

5. Sélectionnez le format Base-64 encoded X.509 (.CER) (X.059 encodé en base 64
[.CER]), puis cliquez sur Next (Suivant) :
Figure 8.11 : Sélection du format d'exportation

6. Sélectionnez l’emplacement où vous souhaitez enregistrer le certificat, puis

cliquez sur Next (Suivant).
7. Enfin, vous avez la possibilité de vérifier toutes les informations. Pour terminer
l’exportation, cliquez sur Finish (Terminer) :
Figure 8.12 : fermeture de l'Assistant Exportation de certificat
Examinons maintenant le processus de création d’une connexion point à site.
Comment faire...
Pour créer une connexion point à site, procédez comme suit :
1. Recherchez la passerelle de réseau virtuel dans le portail Azure et accédez à User
VPN configuration (Configuration VPN utilisateur). Sélectionnez Configure
now (Configurer) :
Figure 8.13 : configuration d’une connexion point à site

2. Définissez le champ Address pool (Pool d’adresses). Le pool d'adresses ne peut

pas chevaucher le pool d’adresses du réseau virtuel associé à la passerelle
de réseau virtuel :
Figure 8.14 : ajout du pool d'adresses
3. Renseignez ensuite le champ Tunnel type (Type de tunnel) en sélectionnant l’une

des options prédéfinies dans la liste proposée. Pour cette procédure, sélectionnez
OpenVPN (SSL), mais toutes les options sont valides :
Figure 8.15 : sélection du type de tunnel dans le menu déroulant

4. Recherchez le certificat exporté (dans la section Getting ready [Préparation])

et ouvrez-le dans le bloc-notes (ou dans tout autre éditeur de texte). Sélectionnez
la valeur du certificat et copiez cette valeur comme suit :
Figure 8.16 : ouverture du certificat dans le bloc-notes
5. Dans le portail Azure, définissez le certificat racine. Entrez le nom du certificat,

puis collez la valeur du certificat (obtenue à l’étape précédente) dans le champ
Public certificate data (Données de certificat public) :
Figure 8.17 : définition du certificat racine

6. Une fois que vous avez cliqué sur Save (Enregistrer) pour la configuration point
à site, une nouvelle option apparaît : Download VPN client (Télécharger le client
VPN). Vous pouvez alors télécharger la configuration et commencer à utiliser
la connexion :
Figure 8.18 : téléchargement de la configuration

Voyons maintenant comment cela fonctionne.
Comment faire...
La connexion point à site permet d’accéder aux réseaux virtuels Azure de manière
sécurisée. L'accès à une connexion site à site est restreint par notre réseau local, mais
la connexion point à site permet de se connecter depuis n’importe où. Celle-ci applique
l’authentification basée sur les certificats, laquelle utilise le même certificat sur les
deux serveurs (Azure et client VPN) pour vérifier la connexion et autoriser l’accès. Cela
permet d’accéder aux réseaux virtuels Azure à tout moment et où que l’on soit. Ce type
de connexion est généralement utilisé pour les tâches de gestion et de maintenance,
car il s’agit d’une connexion à la demande. Si une connexion constante est nécessaire,
vous devez envisager une connexion site à site.
Création d’une connexion réseau virtuel à réseau virtuel

Tout comme vous pouvez avoir besoin de connecter vos réseaux virtuels Azure
à des ressources se trouvant sur un réseau local, vous pouvez avoir besoin de vous
connecter à des ressources qui se trouvent sur un autre réseau virtuel Azure. Dans
ce cas, vous pouvez créer une connexion réseau virtuel à réseau virtuel, laquelle vous
permet d’utiliser les services et les points de terminaison d’un autre réseau virtuel.
Ce processus est très similaire à la création d’une connexion site à site, à la différence
que vous n’avez pas besoin d’une passerelle de réseau local. Au lieu de cela, vous utilisez
deux passerelles de réseau virtuel : une passerelle pour chaque réseau virtuel.
Préparation
Comment faire...
Pour créer une connexion réseau virtuel à réseau virtuel, procédez comme suit :
1. Dans le portail Azure, recherchez l’une des passerelles de réseau virtuel (associées
à l’un des réseaux virtuels auxquels vous essayez de vous connecter).
2. Dans le volet Virtual network gateway (Passerelle de réseau virtuel),
sélectionnez Connections (Connexions), puis Add (Ajouter) pour ajouter
une nouvelle connexion :
Création d’une connexion réseau virtuel à réseau virtuel | 137
Figure 8.19 : ajout d’une nouvelle connexion
3. Dans le nouveau volet, renseignez le champ Name (Nom) de la connexion et sous

Connection type (Type de connexion), sélectionnez VNet-to-VNet (Réseau virtuel
à réseau virtuel) :
Figure 8.20 : configuration de la nouvelle connexion

4. La première passerelle de réseau virtuel est automatiquement mise en

surbrillance. Nous devons sélectionner la deuxième passerelle de réseau virtuel :
Figure 8.21 : choix de la passerelle de réseau virtuel

5. Nous devons fournir une clé partagée pour la connexion avant de sélectionner
Create (Créer) et de démarrer le déploiement. Notez que les options Subscription
(Abonnement), Resource group (Groupe de ressources) et Location (Emplacement)
sont verrouillées et que les valeurs utilisées ici sont celles de la première
passerelle de réseau virtuel :
Figure 8.22 : fourniture d’une clé partagée pour la connexion

Connexion de réseaux virtuels à l’aide de l’appairage | 139
6. Le déploiement de réseau virtuel à réseau virtuel ne prend pas longtemps.

Quelques minutes devraient suffire. Toutefois, l’établissement des connexions
prend un certain temps et le statut peut conserver la valeur Unknown (Inconnu)
jusqu’à 15 minutes avant de passer à Connected (Connecté).
Figure 8.23 : état de déploiement de la connexion réseau virtuel à réseau virtuel
Examinons maintenant son fonctionnement plus en détail.
Comment faire...
Une connexion réseau virtuel à réseau virtuel fonctionne de manière très similaire
à une connexion site à site. La différence réside dans le fait qu’Azure utilise une
passerelle de réseau local pour obtenir des informations sur le réseau local. Dans le cas
présent, nous n’avons pas besoin de ces informations ; nous utilisons deux passerelles
de réseau virtuel pour nous connecter. Chaque passerelle de réseau virtuel fournit des
informations réseau pour le réseau virtuel avec lequel elle est associée. Cela se traduit
par des connexions VPN sécurisées et chiffrées entre deux réseaux virtuels Azure qui
peuvent être utilisées pour établir des connexions entre les ressources Azure sur les
deux réseaux virtuels.
Découvrons désormais comment utiliser l’appairage de réseaux pour connecter

des réseaux virtuels.
Connexion de réseaux virtuels à l’aide de l’appairage

Il existe une autre méthode pour connecter deux réseaux virtuels Azure. Celle-ci
consiste à utiliser l’appairage de réseaux. Cette approche ne nécessite pas l’utilisation
d’une passerelle de réseau virtuel. Elle est donc plus économique si la seule exigence
est d’établir une connexion entre des réseaux virtuels Azure. L’appairage de réseaux
utilise l’infrastructure de base de Microsoft pour établir une connexion entre deux
réseaux virtuels et le trafic est acheminé via des adresses IP privées uniquement.
Toutefois, ce trafic n’est pas chiffré ; il s’agit d’un trafic privé qui reste sur le réseau
Microsoft (tout comme le trafic qui reste sur le même réseau virtuel Azure).
Préparation
Comment faire...
Pour créer un appairage de réseaux, procédez comme suit :
1. Dans le portail Azure, recherchez un réseau virtuel auquel vous souhaitez
vous connecter.
2. Dans le volet Virtual network (Réseau virtuel), sélectionnez l’option Peerings
(Appairages), puis Add (Ajouter) pour ajouter une nouvelle connexion :
Figure 8.24 : ajout d’une nouvelle connexion d’appairage de réseaux

3. Dans le nouveau volet, entrez le nom de la connexion, choisissez une option
pour le champ Virtual network deployment model (Modèle de déploiement
de réseau virtuel) (Resource manager ou Classic [Classique]), puis sélectionnez
le réseau virtuel auquel vous connecter. Ces informations peuvent être fournies
en entrant un ID de ressource, ou en sélectionnant des options Subscription
(Abonnement) et Virtual network (Réseau virtuel) dans le menu déroulant. Il existe
des configurations supplémentaires facultatives. Celles-ci permettent néanmoins
de mieux contrôler le trafic :
Figure 8.25 : configuration des détails d’appairage pour une nouvelle connexion

4. Une fois la connexion créée, les informations relatives à l’appairage s’affichent.

Vous pouvez également modifier les options Configuration à tout moment :
Figure 8.26 : vérification des informations d’appairage et de l’état d’une nouvelle connexion
Étudions à présent son fonctionnement interne plus en détail.

Comment faire...
L’appairage de réseaux permet d’établir une connexion entre deux réseaux virtuels
Azure dans le même client Azure. L’appairage utilise un réseau de base Microsoft pour
acheminer le trafic privé entre les ressources sur le même réseau, à l’aide d’adresses
IP privées uniquement. Il n’est pas nécessaire de créer des passerelles de réseau virtuel
(ce qui engendre un coût supplémentaire), car la connexion est établie à l’aide d’une
« passerelle distante » virtuelle. L’inconvénient de cette approche est que le même
réseau virtuel ne peut pas utiliser l’appairage et une passerelle de réseau virtuel en
même temps. S’il est nécessaire de connecter un réseau virtuel à la fois au réseau local
et à un autre réseau virtuel, il convient d’adopter une approche différente et d’utiliser
une passerelle de réseau virtuel qui permettra de créer une connexion site à site avec un
réseau local et une connexion réseau virtuel à réseau virtuel avec un autre réseau virtuel.
Plusieurs options de paramètres d'accès au réseau permettent de contrôler le
flux de trafic réseau. Par exemple, nous pouvons autoriser le trafic du réseau
virtuel A au réseau virtuel B et le refuser du réseau virtuel B au réseau virtuel A, ou vice-
versa ou dans les deux sens.
Nous pouvons également contrôler le trafic de transit lorsqu’un réseau supplémentaire
entre en jeu. Si le réseau virtuel A est connecté au réseau virtuel B, et si le réseau
virtuel A est connecté au réseau virtuel C, nous pouvons contrôler si le trafic est
autorisé entre les réseaux virtuels B et C en tant que trafic de transit via le réseau
virtuel A.
Toutefois, cette méthode ne fonctionne que si le transit n’est pas effectué à l'aide
de l’appairage. Si tous les réseaux sont des réseaux virtuels Azure et si le réseau
virtuel A est connecté au réseau virtuel B via l'appairage, et si le réseau virtuel B est
connecté au réseau virtuel C via l'appairage, la connexion entre les réseaux
virtuels A et C ne serait pas possible via le transit entre réseaux virtuels. En effet,
l’appairage est une relation non transmissible entre deux réseaux virtuels. Si le réseau
virtuel B est connecté au réseau virtuel C via une connexion réseau virtuel à réseau
virtuel (ou à un réseau local via une connexion site à site), le transit serait possible entre
les réseaux virtuels A et C sur le réseau virtuel B.
9
Connexion aux
ressources en toute
sécurité
Il n’est pas judicieux d’exposer les points de terminaison de gestion (RDP, SSH, HTTP et
autres) sur une adresse IP publique. Toute forme d’accès à la gestion doit être contrôlée
et autorisée uniquement sur une connexion sécurisée. En général, les connexions à un
réseau privé (site à site ou point à site) sont utilisées par accéder aux ressources sur des
adresses IP privées. Dans certains cas, cette méthode s'avère compliquée. Notamment
en raison d'une infrastructure locale insuffisante, ou dans certains cas, le scénario
peut être trop complexe. Heureusement, d'autres méthodes permettent d’atteindre le
même objectif. Nous pouvons nous connecter en toute sécurité à nos ressources à l’aide
d’Azure Bastion, Azure Virtual WAN et Azure Private Link.
146 | Connexion aux ressources en toute sécurité

• Création d'une instance Azure Bastion
• Connexion à une machine virtuelle avec Azure bastion
• Création d'une WAN virtuelle
• Création d'un hub (dans Virtual WAN)
• Ajout d’une connexion site à site (dans un hub virtuel)
• Ajout d’une connexion réseau virtuelle (dans un hub virtuel)
• Création d’un point de terminaison Private Link
• Création d’un service Private Link
Création d'une instance Azure Bastion

Azure Bastion nous permet de nous connecter en toute sécurité à nos ressources
Azure sans infrastructure supplémentaire. Tout ce dont nous avons besoin, c’est d’un
navigateur. Il s’agit essentiellement d’un service PaaS configuré dans notre réseau
virtuel, qui fournit une connexion RDP/SSH sécurisée aux machines virtuelles Azure.
La connexion est effectuée directement à partir du portail Azure sur le Transport Layer
Security (TLS).
Création d'une instance Azure Bastion | 147
Préparation
Avant de pouvoir créer une instance Azure Bastion, nous devons préparer le sous-réseau.
Pour créer un sous-réseau pour Azure Bastion, procédez comme suit :
1. Recherchez le réseau virtuel qui sera associé à l'instance Azure Bastion.
2. Sous Settings (Paramètres), sélectionnez Subnets (Sous-réseaux), puis l’option
qui permet d’ajouter un nouveau sous-réseau, comme illustré dans la Figure 9.1 :
Figure 9.1 : création d’un sous-réseau pour Azure Bastion

3. Dans le nouveau volet, renseignez les champs Name (Nom) et Address range
(Plage d’adresses). Il est très important que le sous-réseau soit nommé
AzureBastionSubnet et que le sous-réseau utilise un préfixe d’au moins /27 (il
s’agit d’une exigence de service qui ne peut être ignorée). Des options pour NAT
gateway (Passerelle NAT) et Network security group (Groupe de sécurité réseau)
(NSG) peuvent être ajoutées si nécessaire (par exemple, une règle forçant le
trafic via la network address translation (traduction d’adresse réseau) (NAT).
Les champs Service endpoints (Points de terminaison de service) et Subnet
delegation (Délégation de sous-réseau) ne sont pas obligatoires, et comme ce
sous-réseau doit être dédié à Azure bastion uniquement, il n’est pas recommandé
de les utiliser :
Figure 9.2 : indiquer le nom et la plage d’adresses du sous-réseau

Création d'une instance Azure Bastion | 149
Comment faire
Pour créer une instance Azure Bastion, procédez comme suit :
dans Networking (Mise en réseau), choisissez Azure Bastion ou entrez Azure
Bastion dans la barre de recherche.
Resource group (Groupe de ressources), Name (Nom) et Region (Région). Nous
devons ensuite sélectionner le Virtual network (Réseau virtuel), (seuls les réseaux
de la même région seront disponibles) et le Subnet (Sous-réseau), (celui que nous
avons créé précédemment) et fournir des informations de la Public IP address
(Adresse IP publique), (sélectionnez une adresse existante ou créez-en une) :
Figure 9.3 : détails de configuration d’une instance Bastion

Comment faire...
Azure Bastion est mis en service au sein de notre réseau virtuel, afin de garantir la
communication avec toutes les ressources sur ce réseau. À l’aide de TLS, il fournit une
connexion RDP et SSH sécurisée à toutes les ressources de ce réseau. La connexion est
effectuée via une session de navigateur, sans nécessiter d'adresse IP publique. Ainsi,
nous n’avons pas à exposer les ports de gestion sur une adresse IP publique.
Après avoir créé l’instance Azure Bastion, passons à la prochaine procédure, permettant
de se connecter à une machine virtuelle avec Azure bastion.
Connexion à une machine virtuelle avec Azure bastion

Azure Bastion nous permet de nous connecter à une machine virtuelle via le navigateur
sans adresse IP publique et sans exposition publique.
Préparation
Comment faire
Pour se connecter à une machine virtuelle avec Azure Bastion, procédez comme suit :
1. Recherchez la machine virtuelle à laquelle vous souhaitez vous connecter dans le
portail Azure. La machine virtuelle doit être sur le réseau virtuel sur lequel Azure
Bastion est déployé.
2. Dans le volet Virtual machine (Machine virtuelle), sélectionnez l'option Connect
(Connecter) dans Settings (Paramètres). Sélectionnez l'onglet BASTION, puis dans
celui-ci, sélectionnez Use Bastion (Utiliser Bastion) :
Figure 9.4 : connexion à une machine virtuelle avec Azure bastion

Création d'une WAN virtuelle | 151
3. Sélectionnez l'option Open in new window (Ouvrir dans une nouvelle fenêtre) et
remplissez les champs Username (Nom d’utilisateur) et Password (Mot de passe) :
Figure 9.5 : ajout d’un nom d’utilisateur et d’un mot de passe pour la machine virtuelle
La connexion s'ouvre dans une nouvelle fenêtre, afin que vous puissiez gérer
entièrement votre machine virtuelle. L’interface dépend du port de gestion par défaut,
RDP ou SSH.
Comment faire...
Azure Bastion utilise un sous-réseau dans le réseau virtuel pour se connecter aux
machines virtuelles dans ce réseau spécifique. Il fournit une connexion sécurisée sur
TLS et assure une connexion à une machine virtuelle sans l’exposer sur une adresse
IP publique.
Cette procédure nous a appris à nous connecter à une machine virtuelle avec Azure
Bastion. La prochaine procédure explique comment créer une WAN virtuelle.
Création d'une WAN virtuelle

Dans de nombreux cas, la topologie réseau peut devenir très complexe. Il peut être
difficile de suivre toutes les connexions réseau, les passerelles et les processus
d’appairage. Azure Virtual WAN fournit une interface unique pour gérer tous ces points.
Préparation
Comment faire...
dans Networking (Mise en réseau), choisissez Virtual WAN ou entrez Virtual WAN
dans la barre de recherche.
Resource group (Groupe de ressources), Resource group location (Emplacement
du groupe de ressources), Name (Nom) et Type :
3.
Figure 9.6 : informations relatives à la ressource WAN virtuelle
Azure Virtual WAN est prêt pour le déploiement et celui-ci ne prend généralement
que quelques minutes.
Comment faire...
Azure Virtual WAN confère plusieurs services réseau à un seul point. À ce stade, nous
pouvons configurer, contrôler et surveiller des connexions, notamment site à site, point
à site, ExpressRoute ou une connexion entre les réseaux virtuels. Lorsque nous avons
plusieurs connexions site à site ou plusieurs réseaux virtuels connectés avec l’appairage,
il peut être difficile de suivre toutes ces ressources. Virtual WAN nous permet de le faire
avec un seul service.
Cela est possible grâce aux hubs, et nous verrons comment en configurer un dans la
prochaine procédure.
Création d'un hub (dans Virtual WAN) | 153
Création d'un hub (dans Virtual WAN)

Les hubs sont utilisés comme points de connexion régionaux. Ils contiennent plusieurs
points de terminaison de service qui assurent la connectivité entre les différents
réseaux et services. Ils sont le cœur de la mise en réseau de chaque région.
Préparation
Comment faire...
1. Dans le portail Azure, recherchez la WAN virtuelle précédemment créée.
2. Dans le volet Virtual WAN, sélectionnez Hubs dans la section Connectivity
(Connectivité). Sélectionnez l'option pour ajouter un nouveau hub :
Figure 9.7 : ajout d’un nouveau hub

3. Dans le nouveau volet, nous devons renseigner les champs Region (Région), Name
(Nom, pour le nouveau hub) et Hub private address space (Espace d'adressage
privé du hub). Les options Subscription (Abonnement) et Resource group (Groupe
de ressources) sont grisées car elles utilisent les mêmes options que la WAN
virtuelle :
Figure 9.8 : informations relatives au nouveau hub virtuel

4. Les trois étapes suivantes sont facultatives, et nous pouvons choisir l’une ou
l’ensemble d’entre elles. La première consiste à configurer une passerelle site
à site. Si nous activons cette option, nous devons sélectionner une option pour
Gateway scale units (Unités d’échelle de passerelle) ou SKU. Un numéro de
système autonome (AS Number) est indiqué pour être utilisé si nécessaire
(pour la configuration VPN ultérieure) :
Figure 9.9 : configuration d’une passerelle site à site

5. Le prochain paramètre facultatif est Point to site (Point à site). Si nous choisissons
de l’activer, nous devons sélectionner une option pour Gateway scale units (Unités
d’échelle de passerelle) et Point to site configuration (Configuration point à site).
Cliquez sur Create new (Créer) pour ajouter une nouvelle configuration :
Figure 9.10 : configuration d’une passerelle point à site

6. Dans le nouveau volet, renseignez les champs Configuration name (Nom de

la configuration), Tunnel type (Type de tunnel) et Authentication method
(Méthode d'authentification). Si Azure certificate (Certification Azure) est utilisé,
nous devons fournir des informations de certificat (pour en savoir plus sur les
certificats, consultez la procédure Création d'une connexion point à site du
chapitre 8, Création de connexions hybrides) :
Figure 9.11 : création d’une configuration VPN
7. Une fois la configuration point à site ajoutée, nous sommes redirigés vers le volet
précédent. Nous devons renseigner le champ Client address pool (Pool d’adresses
de client) et éventuellement Custom DNS Servers (Serveurs DNS personnalisés) :
Figure 9.12 : ajout d’informations sur le pool d’adresses de client et les serveurs DNS personnalisés
8. Le troisième paramètre facultatif est ExpressRoute. Si nous l'activons, nous

devons sélectionner une option pour Gateway scale units (Unités d’échelle
de passerelle) :
Figure 9.13 : configuration d'ExpressRoute
9. Nous pouvons éventuellement ajouter des balises, avant de créer un hub virtuel.
Le déploiement peut prendre jusqu’à 30 minutes.
Comment faire...
Les hubs virtuels représentent les points de contrôle au sein d’une région. À partir de
là, nous pouvons définir toutes les connexions aux réseaux virtuels au sein de la région.
Cela s’applique aux connexions site à site, point à site et ExpressRoute. Chaque section
est facultative, et nous pouvons créer un hub sans configurer les types de connexion.
Si nous décidons de les créer à ce stade, nous devons fournir une référence pour
chaque type. Pour une connexion point à site, la configuration VPN de l’utilisateur doit
également être fournie. Chaque type de connexion peut être ajouté ultérieurement.
Cette procédure explique comment créer un hub virtuel. Passons à la prochaine
procédure et découvrons comment ajouter une connexion site à site dans un hub
virtuel.
Ajout d’une connexion site à site (dans un hub virtuel)

Une fois qu’un hub virtuel a été créé et que la référence site à site est définie au sein de
ce hub, nous pouvons créer une connexion site à site. Pour cela, nous devons appliquer
les paramètres de connexion appropriés et fournir des détails de configuration.
Préparation
Ajout d’une connexion site à site (dans un hub virtuel) | 159
Comment faire...
Afin de créer une connexion site à site dans un hub virtuel (sous une WAN virtuelle),
1. Recherchez la WAN virtuelle et le hub virtuel précédemment créé dans Hubs dans
la section Connectivité. Sélectionnez ce hub :
Figure 9.14 : sélection du hub précédemment créé dans la section Connectivity (Connectivité)

2. Dans le volet Virtual HUB (HUB virtuel), accédez aux paramètres VPN (Site to site)
(VPN [site à site]) dans Connectivity (Connectivité). Sélectionnez l'option Create
new VPN site (Créer un site VPN) :
Figure 9.15 : sélection de l’option Create new VPN site (Créer un site VPN) dans le volet Virtual HUB
(HUB virtuel)
3. Un nouveau volet s’ouvre. Les options Subscription (Abonnement ) et Resource

group (Groupe de ressources) sont grisées car le site VPN est une ressource
enfant dans la WAN virtuelle et doit utiliser les mêmes options que cette dernière.
Nous devons renseigner les champs Region (Région), Name (Nom) (du site VPN) et
Device vendor (Fournisseur d’appareils). Nous avons la possibilité d’activer ou de
désactiver le Border Gateway Protocol (Protocole de passerelle frontière [BGP]).
Si le BGP n’est pas configuré, nous devons fournir au moins un espace d’adressage
privé. Nous devons également définir un (ou plusieurs) hub(s) qui sera/seront
utilisé(s) dans la connexion :
Ajout d’une connexion site à site (dans un hub virtuel) | 161
Figure 9.16 : création d’un site VPN
4. Dans la section Links (Liens) du site VPN, renseignez les champs Link name (Nom du
lien), Provider name (Nom du fournisseur), Speed (Vitesse, en Mbits), IP address/
FQDN (Adresse IP/FQDN) de l'appareil VPN auquel vous souhaitez vous connecter,
BGP address (Adresse BGP) et ASN comme illustré dans la Figure 9.17 :
Figure 9.17 : fourniture des détails du lien dans le volet Links (Liens)

5. Une fois le site VPN créé, nous pouvons Télécharger la configuration VPN pour
l’appareil VPN. Une fois l’appareil VPN configuré, nous pouvons sélectionner le site
VPN et initier la connexion avec l'option Connect VPN sites (Connecter les sites
VPN) :
Figure 9.18 : clic sur l'option Connect VPN sites (Connecter les sites VPN) pour initier la connexion
6. Un nouveau volet s’ouvre. Nous devons renseigner les champs Pre-shared
key (PSK) (Clé prépartagée [PSK]), Protocol et IPSec, et choisir les options de
Propagate Default Route (Propager la route par défaut) et Use policy based traffic
selector (Utiliser la stratégie basée sur le sélecteur de trafic) :
Figure 9.19 : saisie des informations dans le volet Connect sites (Connecter les sites)
Ajout d’une connexion réseau virtuelle (dans un hub virtuel) | 163
Comment faire...
L’ajout d’une connexion site à site à notre hub virtuel nous permet de nous connecter
à un hub virtuel dans une région spécifique à partir de notre réseau local (ou d’autres
réseaux à l’aide de Virtual appliance [Appliance virtuelle]). Pour ce faire, nous devons
fournir des informations sur la connexion VPN dans le hub virtuel et configurer
l’appareil VPN qui sera utilisé pour la connexion.
Cette opération nous permet uniquement de nous connecter au hub. Nous devons
connecter des réseaux virtuels afin d’accéder aux ressources Azure. La prochaine
procédure explique comment ajouter une connexion réseau virtuel au hub virtuel.
Ajout d’une connexion réseau virtuelle (dans un hub virtuel)

Un hub virtuel représente un point central dans une région Azure. Mais pour réellement
utiliser ce point, nous devons connecter des réseaux virtuels à un hub virtuel. Nous
pourrons ensuite utiliser le hub virtuel comme prévu.
Préparation
Comment faire...
Afin d'ajouter une connexion réseau virtuel à un hub virtuel (sous une WAN virtuelle),
1. Recherchez la WAN virtuelle et le hub virtuel précédemment créés dans Virtual
network connections (Connexions réseau virtuel) dans la section Connectivity
(Connectivité). Sélectionnez l’option Add connection (Ajouter une connexion) :
Figure 9.20 : ajout d’un hub virtuel précédemment créé

Ajout d’une connexion réseau virtuelle (dans un hub virtuel) | 165
2. Dans le nouveau volet, renseignez les champs Connection name (Nom de la

connexion), Hubs, Subscription (Abonnement) et Resource group (Groupe de
ressources) et Virtual network (Réseau virtuel). Ensuite, nous devons fournir
les informations relatives à la Routing configuration (Configuration de routage).
Nous pouvons sélectionner Yes (Oui) pour l'option Aucune propagation. Si nous
sélectionnons No (Non), nous devons renseigner les champs Associate Route
Table (Associer la table de route), Propagate to Route Tables (Propager aux tables
de route) et Propagate to labels (Propager aux étiquettes). L'option Static routes
(Itinéraires statiques) est facultative :
Figure 9.21 : configuration des détails du hub virtuel

Comment faire...
La connexion d’un réseau virtuel à un hub virtuel nous permet d’accéder aux ressources
lorsqu’elles sont connectées au même hub. Une connexion peut être établie sur une
connexion site à site, une connexion point à site ou à partir d’un autre réseau virtuel
(connecté au même hub). Lors de la création d’une connexion, nous devons établir
des règles de routage et de propagation afin de définir le flux réseau. Nous pouvons
également définir un itinéraire statique. Un itinéraire statique forcera tout le trafic
à passer par une adresse IP unique, généralement via un pare-feu ou une appliance
virtuelle réseau.
Passons à la prochaine procédure et découvrons comment créer un point
de terminaison Private Link.
Création d’un point de terminaison Private Link

Private Link nous permet de nous connecter à des services PaaS sur un réseau sécurisé.
Nous bénéficions donc d'une méthode d'accès plus sécurisée, étant donné que ces
services sont généralement exposés sur Internet. Une connexion sécurisée nécessite
deux composants : un point de terminaison Private Link et un service Private Link.
Commençons par créer un point de terminaison Private Link.
Préparation
Nous devons créer un service qui sera associé au point de terminaison Private Link :
1. Ouvrez le navigateur Web et accédez au portail Azure à l’adresse suivante :
https://portal.azure.com. Sélectionnez l'option permettant de créer un service.
Recherchez SQL Server (serveur logique) et sélectionnez l'option Create new
(Créer).
Resource group (Groupe de ressources), Server name (Nom du serveur, doit
être un FQDN unique) et Location (Emplacement). Enfin, nous devons fournir
des informations d’identification pour la connexion de l’administrateur avant de
sélectionner Review + Create (Examiner + créer) :
Création d’un point de terminaison Private Link | 167
Figure 9.22 : association d’un nouveau service à un point de terminaison Private Link

Comment faire...
Afin de déployer un nouveau point de terminaison Private Link, procédez comme suit :
1. Accédez au portail Azure et sélectionnez l'option permettant de créer un service.
Recherchez Private Link et sélectionnez l'option Create new (Créer).
2. Dans le nouveau volet, Private Link Center, sélectionnez Create private endpoint
(Créer un point de terminaison privé) :
Figure 9.23 : création d’un point de terminaison Private Link

Création d’un point de terminaison Private Link | 169

Resource group (Groupe de ressources), Name (Nom) et Region (Région)
dans la section Basics (Bases) :
Figure 9.24 : informations basiques sur le point de terminaison Private Link
4. Dans la section Resource (Ressources), renseignez les champs Subscription

(Abonnement), Resource type (Type de ressources, dans notre cas, Microsoft.
Sql/servers), Resource (Ressources, seules les ressources du type de ressource
sélectionnée seront disponibles) et Target sub-resource (Sous-ressource cible) :
Figure 9.25 : configuration des ressources pour le point de terminaison Private Link

5. Dans le volet Configuration, renseignez les paramètres Networking (Mise en

réseau) et sélectionnez le réseau virtuel et le sous-réseau qui seront associés.
Nous pouvons éventuellement ajouter l’intégration à un DNS privé. Si nous
choisissons d’ajouter une intégration DNS, nous devons renseigner les champs
Subscription (Abonnement) et Private DNS zones (Zones DNS privées) :
Figure 9.26 : configuration du réseau
Comment faire...
Le point de terminaison Private Link associe la ressource PaaS sélectionnée au sous-
réseau sur le réseau virtuel. Ce faisant, nous avons la possibilité d’accéder à la ressource
PaaS sur une connexion sécurisée. Nous pouvons éventuellement intégrer une zone
DNS privée et utiliser la résolution DNS au lieu des adresses IP.
Un point de terminaison Private Link nous permet de lier des services directement,
mais uniquement des services individuels et uniquement directement. Par ailleurs, nous
pouvons utiliser un service Private Link pour ajouter des équilibreurs de charge.
Création d’un service Private Link

Un service Private Link nous permet de configurer une connexion sécurisée aux
ressources associées à l’équilibreur de charge standard. Pour cela, nous devons
préparer l’infrastructure avant de déployer le service Private Link.
Création d’un service Private Link | 171
Préparation
Commençons par créer une machine virtuelle. Consultez la procédure Créer des
machines virtuelles Azure figurant dans le chapitre 2, Mise en réseau des machines
virtuelles. Notez que dans la section Networking (Mise en réseau) nous devons
sélectionner le réseau virtuel qui a été utilisé pour connecter SQL Server dans la
procédure précédente.
Un service Private Link nécessite également un équilibreur de charge standard.
Consultez les procédures Création d’un équilibreur de charge public, Création d’un
pool principal, Création de sondes d'intégrité et Création de règles d’équilibrage de
chargefigurant dans le chapitre 10 , Équilibreurs de charge. Notez que dans la cible back-
end, nous devons sélectionner la machine virtuelle que nous avons créée.
Ouvrez maintenant le navigateur Web et accédez au portail Azure à l’adresse suivante :
Comment faire...
Afin de déployer le nouveau service Private Link, procédez comme suit :
1. Dans le portail Azure, sélectionnez l'option permettant de créer un service.
Recherchez Private Linket sélectionnez l'option Create new (Créer).
2. Dans le nouveau volet, Private Link Center, sélectionnez Create private link
service (Créer un service Private Link) :
Figure 9.27 : création d’un service Private Link

3. Renseignez les champs Subscription (Abonnement), Resource group (Groupe

de ressources), Name (Nom) et Region (Région) dans la section Basics (Bases) :
Figure 9.28 : informations sur le nouveau service Private Link

4. Dans la section Outbound settings (Paramètres sortants), renseignez les champs
Load Balancer (Équilibreur de charge), Load Balancer frontend IP address
(Adresse IP front-end de l'équilibreur de charge) et Source NAT subnet (Sous-
réseau NAT source). L'option Source NAT Virtual network (Réseau virtuel NAT
source) est automatiquement sélectionnée et grisée. Vous pouvez également
sélectionner Yes (Oui) ou No (Non) pour l'option Enable TCP proxy V2 (Activer TCP
proxy V2) et déterminer si l’adresse IP privée doit être dynamique ou statique :
Figure 9.29 : configuration des paramètres sortants

Création d’un service Private Link | 173
5. Dans Access security (Sécurité d'accès), vous pouvez sélectionner qui peut
demander l’accès à notre service. Les options disponibles sont les suivantes :
Role-based access control only (Contrôle d’accès en fonction du rôle uniquement,
[RBAC]), Restricted by subscription (Limité selon l'abonnement) et Anyone
with your alias (Toute personne disposant de votre alias). L’option par défaut et
recommandée consiste à utiliser RBAC comme contrôle d’accès natif dans Azure :
Figure 9.30 : panneau de sécurité d’accès
Comment faire...
Un service Private Link et un point de terminaison Private Link fonctionnent de la
même manière. Nous pouvons ainsi nous connecter à des services (qui sont par défaut
accessibles au public) sur un réseau privé. La principale différence réside dans le
fait qu’avec un point de terminaison Private Link, nous associons des services PaaS,
tandis qu'avec un service Private Link, nous créons un service personnalisé derrière
l’équilibreur de charge standard.
10
Équilibreurs
de charge
Les équilibreurs de charge permettent de prendre en charge la mise à l’échelle et
la haute disponibilité des applications et des services. Un équilibreur de charge est
essentiellement composé de trois éléments : un front-end, un back-end et des règles
de routage. Les demandes acheminées vers le front-end d’un équilibreur de charge sont
distribuées en fonction des règles de routage, où nous plaçons plusieurs instances d’un
service. Ce service peut être utilisé pour des raisons liées aux performances, lorsque
nous cherchons à distribuer le trafic de manière égale entre les points de terminaison
dans le back-end, ou pour des raisons de haute disponibilité, lorsque plusieurs
instances de services sont utilisées pour accroître les chances qu’au moins un point de
terminaison soit disponible en permanence.
• Création d’un équilibreur de charge interne
• Création d’un équilibreur de charge public
• Création d’un pool principal
• Création de sondes d’intégrité
• Création de règles d’équilibrage de charge
• Création de règles NAT de trafic entrant
• Création de règles sortantes explicites
176 | Équilibreurs de charge
Pour ce chapitre, un abonnement Azure est nécessaire.
Chapter10.
Création d’un équilibreur de charge interne

Microsoft Azure prend en charge deux types d’équilibreurs de charge : interne
et public. L’adresse IP front-end attribuée à un équilibreur de charge interne est
une adresse IP privée (de la plage d’adresses des sous-réseaux du réseau virtuel).
L’équilibreur de charge interne cible les adresses IP privées de nos services
(généralement une machine virtuelle Azure, [VM]) dans le back-end. Ce type
d’équilibreur de charge est généralement utilisé par les services sans accès Internet
et uniquement accessibles à partir de notre réseau virtuel.
Préparation
Comment faire...
Pour créer un nouvel équilibreur de charge interne à l’aide du portail Azure, procédez
comme suit :
puis dans les services Networking (Mise en réseau), choisissez Load Balancer
(Équilibreur de charge) ou entrez load balancer (équilibreur de charge) dans
la barre de recherche.
2. Dans le nouveau volet, sélectionnez une option Subscription (Abonnement)
et un Resource group (Groupe de ressources) dans lequel créer l’équilibreur
de charge. Renseignez ensuite les options Name (Nom), Region (Région), Type et
SKU (Référence). Dans le cas présent, attribuez à Type la valeur Internal (Interne)
pour déployer un équilibreur de charge interne et définissez SKU (Référence)
à Standard. Enfin, dans les champs Virtual network (Réseau virtuel) et Subnet
(Sous-réseau), sélectionnez le réseau et le sous-réseau auxquels l’équilibreur
de charge sera associé, puis attribuez au champ IP address assignment
(Affectation d’adresse IP) la valeur Dynamic (Dynamique) ou Static (Statique) :
Création d’un équilibreur de charge interne | 177
Figure 10.1 : création d'un équilibreur de charge interne
3. Une fois toutes les informations entrées, sélectionnez l’option Review + create

(Vérifier + créer) pour valider les informations et démarrer le déploiement de
l’équilibreur de charge.
Comment faire...
Un équilibreur de charge interne se voit attribuer une adresse IP privée, et toutes les
requêtes acheminées vers le front-end d’un équilibreur de charge interne doivent être
acheminées vers une adresse privée. Le trafic acheminé vers l’équilibreur de charge
est donc limité car il ne peut provenir que du réseau virtuel associé à l’équilibreur de
charge. Le trafic peut provenir d’autres réseaux (d’autres réseaux virtuels ou réseaux
locaux) si un réseau privé virtuel (VPN) est en place. Le trafic acheminé vers le front-
end de l’équilibreur de charge interne est réparti entre les points de terminaison
dans le back-end de l’équilibreur de charge. Les équilibreurs de charge internes sont
généralement utilisés pour des services ne figurant pas dans une zone démilitarisée
([DMZ] et, par conséquent, non accessibles via Internet), mais plutôt des services de
niveau intermédiaire ou back-end dans une architecture d’application multiniveau.
Nous devons également tenir compte des différences entre les références Basic
(Basique) et Standard. La principale différence réside dans les performances (qui sont
meilleures dans la référence Standard) et le SLA (la référence Standard garantit un SLA
de 99,99 % de disponibilité, tandis que la référence Basic ne propose pas de SLA). Notez
également que la référence Standard nécessite un Network Security Group (Groupe
de sécurité réseau, NSG). Si un NSG n’est pas présent sur le sous-réseau ou l'interface
réseau, ou la carte réseau (de la machine virtuelle dans le back-end), le trafic n’est
pas autorisé à atteindre sa cible. Pour en savoir plus sur les références d’équilibrage
de charge, consultez https://docs.microsoft.com/azure/load-balancer/skus.
Création d’un équilibreur de charge public

Le deuxième type d’équilibreur de charge d'Azure est l’équilibreur de charge public.
La principale différence réside dans le fait que l’équilibreur de charge public se
voit attribuer une adresse IP publique dans le front-end et que toutes les requêtes
sont acheminées via Internet. Ces requêtes sont ensuite distribuées aux points de
terminaison dans le back-end.
Préparation
Comment faire...
Pour créer un équilibreur de charge public à l’aide du portail Azure, procédez comme
suit :
puis dans les services Networking (Mise en réseau), choisissez Load Balancer
(Équilibreur de charge) ou entrez load balancer (équilibreur de charge) dans la
barre de recherche.
Création d’un équilibreur de charge public | 179
2. Dans le nouveau volet, sélectionnez une option Subscription (Abonnement) et

un Resource group (Groupe de ressources) dans lequel créer l’équilibreur de
charge. Renseignez ensuite les options Name (Nom), Region (Région), Type et
SKU (Référence). Dans le cas présent, attribuez à l’option Type la valeur Public
pour déployer un équilibreur de charge public et définissez la SKU (Référence) à
Standard. La sélection de la valeur Public comme type d’équilibreur de charge modifie
légèrement le volet. Nous n’avons plus la possibilité de sélectionner de réseau virtuel
ni de sous-réseau, comme nous l’avons fait pour l’équilibreur de charge interne. Au lieu
de cela, nous pouvons choisir les valeurs des champs Public IP address (Adresse IP
publique) (nouvelle ou existante) et Public IP address SKU (Référence [SKU] d’adresse
IP publique), l’affectation d’adresse IP, et nous pouvons indiquer si nous voulons
utiliser IPv6. Notez que l’option Public IP address SKU (Référence [SKU] d’adresse IP
publique) dépend directement de la référence de l’équilibreur de charge. La référence
sélectionnée pour l’équilibreur de charge est donc automatiquement transférée à
l’adresse IP :
Figure 10.2 : création d'un d'équilibreur de charge public

3. Une fois toutes les informations entrées, sélectionnez l’option Review + create

(Vérifier + créer) pour valider les informations et démarrer le déploiement de
l’équilibreur de charge.
Comment faire...
L’équilibreur de charge public se voit attribuer une adresse IP publique au niveau du
front-end. Par conséquent, toutes les requêtes acheminées vers l’équilibreur de charge
public sont transmises via Internet, en ciblant l’adresse IP publique de l’équilibreur de
charge. Les requêtes sont ensuite distribuées aux points de terminaison dans le back-
end de l’équilibreur de charge. Ce qui est intéressant, c’est que l’équilibreur de charge
public ne cible pas les adresses IP publiques dans le back-end, mais les adresses IP
privées à la place. Par exemple, supposons que nous disposions d’un équilibreur de
charge public avec deux machines virtuelles Azure dans le back-end. Le trafic qui arrive
à l’adresse IP publique de l’équilibreur de charge sera ensuite distribué aux machines
virtuelles, mais il ciblera les adresses IP privées de ces dernières.
Les équilibreurs de charge publics sont utilisés pour les services publics, le plus souvent
pour des serveurs Web.
Création d’un pool principal

Une fois l’équilibreur de charge créé, que ce soit en interne ou publiquement, nous
devons appliquer une configuration supplémentaire afin de pouvoir commencer à
l’utiliser. Lors du processus de création, nous définissons le front-end de l’équilibreur
de charge et nous savons où le trafic doit être acheminé pour atteindre l’équilibreur de
charge. En revanche, pour définir où ce trafic doit être acheminé une fois qu’il a atteint
l’équilibreur de charge, nous devons d’abord définir un pool principal.
Préparation
Création d’un pool principal | 181
Comment faire...
Pour créer le pool principal, procédez comme suit :
1. Dans le portail Azure, recherchez l’équilibreur de charge (interne ou public)
2. Dans le volet Load balancer (Équilibreur de charge), sous Settings (Paramètres),
sélectionnez Backend pools (Pools principaux). Sélectionnez Add (Ajouter) pour
ajouter le nouveau pool principal :
Figure 10.3 : ajout d’un nouveau pool principal

3. Dans le nouveau volet, nous devons fournir un Name (Nom) et spécifier l’élément
auquel l’équilibreur de charge est associé. Des associations peuvent être créées
pour les machines virtuelles ou les groupes de machines virtuelles identiques.
Dans cet exemple, nous allons utiliser des machines virtuelles. En fonction de la
catégorie sélectionnée, des options supplémentaires vous seront proposées pour
ajouter des machines virtuelles au pool principal :
Figure 10.4 : informations supplémentaires pour l’ajout du pool principal

4. Cliquez sur Add (Ajouter) afin d'ouvrir un nouveau volet. Ici, nous pouvons ajouter
les machines virtuelles que nous souhaitons associer au pool principal. Notez que
les machines virtuelles doivent appartenir au réseau virtuel de l’équilibreur de
charge et au même ensemble de disponibilité. Sélectionnez les machines virtuelles
que vous souhaitez ajouter au pool principal :
Figure 10.5 : ajout de machines virtuelles au pool principal

Création d’un pool principal | 183
5. Une fois les machines virtuelles sélectionnées, elles s’affichent dans la liste Virtual
machines (Machines virtuelles) en vue de créer le pool. Cliquez sur Add (Ajouter)
pour créer le pool principal avec les machines virtuelles associées :
Figure 10.6 : liste des machines virtuelles pour la création d’un pool principal
6. Une fois la configuration entrée, la création du pool principal prend quelques
minutes. Les ressources associées s’afficheront ensuite dans la liste des pools
principaux :
Figure 10.7 : liste des pools principaux

Comment faire...
Les deux principaux composants de n’importe quel équilibreur de charge sont le
front-end et le back-end. Le front-end définit le point de terminaison de l’équilibreur
de charge, et le back-end définit où le trafic doit être acheminé après avoir atteint
l’équilibreur de charge. Une fois les informations relatives au front-end et l’équilibreur
de charge créés, nous devons définir le back-end nous-même afin que le trafic soit
réparti uniformément entre les points de terminaison du back-end. Les options
disponibles pour le pool principal sont les machines virtuelles et les groupes de
machines virtuelles identiques.
Voir aussi
Vous trouverez plus d’informations sur les machines virtuelles, les groupes à haute
disponibilité et les groupes de machines virtuelles identiques dans mon livre, Hands-On
Cloud Administration in Azure (L’administration pratique du Cloud dans Azure), publié
par Packt à l’adresse suivante : https://www.packtpub.com/virtualization-and-cloud/
hands-cloud-administration-azure.
Création de sondes d’intégrité

Une fois le front-end et le back-end de l’équilibreur de charge définis, le trafic est
réparti uniformément entre les points de terminaison du back-end. Mais que se passe-
t-il si l’un des points de terminaison n’est pas disponible ? Dans ce cas, certaines des
requêtes échouent jusqu’à ce que nous détections le problème, ou indéfiniment si le
problème n’est pas détecté. L’équilibreur de charge envoie une requête à tous les points
de terminaison définis dans le pool principal et la requête échoue si elle est dirigée vers
un serveur non disponible.
C’est la raison pour laquelle nous allons introduire les deux composants suivants dans
l’équilibreur de charge, à savoir les sondes d’intégrité et les règles. Ces composants
sont utilisés pour détecter les problèmes et définir ce qu’il convient de faire lorsque des
problèmes sont détectés.
Les sondes d’intégrité surveillent constamment tous les points de terminaison définis
dans le pool principal et détectent si l’un d’entre eux devient indisponible. Pour ce faire,
elles envoient une sonde dans le protocole configuré et écoutent la réponse. Si une
sonde HTTP est configurée, la réponse HTTP 200 OK doit être envoyée pour confirmer
la réussite.
Préparation
Création de sondes d’intégrité | 185
Comment faire...
Pour créer une sonde d’intégrité dans l’équilibreur de charge, procédez comme suit :
sélectionnez Health probes (Sondes d’intégrité). Sélectionnez Add (Ajouter) pour
ajouter une nouvelle sonde d’intégrité :
Figure 10.8 : ajout d’une nouvelle sonde d’intégrité

3. Dans le nouveau volet, renseignez les champs Name (Nom), IP version (Version IP)
ou Protocol (Protocole) relatifs à la sonde d'intégrité que nous souhaitons utiliser
et configurez les options Port, Interval (Intervalle) et Unhealthy threshold (Seuil
de défaillance sur le plan de l’intégrité), comme illustré dans la Figure 10.9 :
Figure 10.9 : saisie des informations sur la sonde d’intégrité

4. Une fois que nous avons sélectionné OK, la sonde d’intégrité sera créée et
apparaîtra dans la liste des sondes d’intégrité disponibles associées à l’équilibreur
de charge.
Comment faire...
Une fois la sonde d’intégrité définie, elle est utilisée pour surveiller les points de
terminaison dans le pool principal. Le protocole et le port que nous définissons
constituent des informations utiles qui permettent de savoir si le service que nous
utilisons est disponible. La surveillance de l’état du serveur ne suffit pas, car les
informations obtenues peuvent être trompeuses. Par exemple, le serveur peut être en
cours d’exécution et disponible, mais les services IIS ou SQL Server que nous utilisons
ne sont peut-être pas disponibles. Le protocole et le port ne détectent pas uniquement
si le serveur est en cours d’exécution, ils détectent également les modifications
apportées au service qui nous intéresse. L’intervalle définit la fréquence à laquelle
une vérification est effectuée et le seuil de défaillance définit le nombre d’échecs
consécutifs à partir duquel le point de terminaison est déclaré non disponible.
Création de règles d’équilibrage de charge

Les règles constituent le dernier élément important des équilibreurs de charge Azure.
Elles permettent de tout associer et de déterminer quelle sonde d’intégrité (il peut y en
avoir plusieurs) surveille quel pool principal (il peut y avoir plusieurs pools principaux
disponibles). En outre, les règles permettent de mapper le port du front-end d’un
équilibreur de charge au port du pool principal, en définissant la relation entre les ports
et la manière dont le trafic entrant est transmis au back-end.
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure via
Comment faire...
Pour créer une règle d’équilibrage de charge, procédez comme suit :
sélectionnez Load balancing rules (Règles d’équilibrage de charge). Sélectionnez
Add (Ajouter) pour ajouter la règle d’équilibrage de charge :
Figure 10.10 : ajout de règles d’équilibrage de charge

Création de règles d’équilibrage de charge | 187
3. Dans le nouveau volet, indiquez les valeurs que vous souhaitez utiliser pour les
champs Name (Nom), IP Version (Version IP) et Frontend IP address (Adresse IP
front-end) que nous allons utiliser (l’équilibreur de charge pouvant en avoir plusieurs),
Protocol (Protocole) et le mappage de Port (sachant que le trafic du port entrant sera
acheminé vers le port principal). L'activation des ports haute disponibilité (uniquement
disponibles sur les équilibreurs de charge internes) supprime les options de protocole
et permet l’équilibrage de charge sur tous les ports pour les protocoles TCP et UDP.
Vous devez également renseigner les paramètres Backend Port (Port principal),
Backend pool (Pool principal), Health probe (Sonde d’intégrité), Session persistence
(Persistance de session) et Idle timeout (minutes) (Délai d’inactivité [minutes]), et
indiquez si vous souhaitez utiliser une adresse IP flottante. Enfin, nous avons la
possibilité de créer une règle sortante implicite :
Figure 10.11 : configuration des règles d’équilibrage de charge
4. Une fois que vous avez sélectionné OK, une règle sera créée et celle-ci s’affichera
sur la liste des règles d’équilibrage de charge disponibles.
Comment faire...
La règle d’équilibrage de charge est le dernier élément qui relie tous les composants
ensemble. Elle permet de définir quelle adresse IP front-end sera utilisée et vers quel
back-end le trafic de pool sera transféré. La sonde d’intégrité est destinée à surveiller
les points de terminaison dans le pool principal et à vérifier si tous les points de
terminaison sont réactifs. Nous créons également un mappage de port qui détermine le
protocole et le port que l’équilibreur de charge écoutera et, lorsque le trafic arrivera, où
ce trafic sera transféré.
En tant que mode de distribution par défaut, l'équilibreur de charge Azure utilise un
hachage à cinq tuples (IP source, port source, IP de destination, port de destination et
type de protocole). Si nous modifions la persistance de session à Client IP (IP client),
la distribution sera de deux tuples (les demandes provenant de la même adresse IP
client seront gérées par la même machine virtuelle). Si nous modifions la persistance
de session à Client IP and protocol (IP client et protocole), la distribution sera de trois
tuples (les demandes provenant de la même combinaison adresse IP client et protocole
seront gérées par la même machine virtuelle).
Création de règles NAT de trafic entrant

Les règles Network Address Translation(Traduction d’adresses réseau [NAT]) du
trafic entrant sont des paramètres facultatifs de l’équilibreur de charge Azure. Elles
permettent essentiellement de créer un autre mappage de port entre le front-end
et le back-end, en transférant le trafic sur un port spécifique du front-end vers un
port spécifique du back-end. La différence entre les règles NAT de trafic entrant et
le mappage de port dans les règles d’équilibrage de charge réside dans le fait que les
règles NAT de trafic entrant s’appliquent au transfert direct vers une machine virtuelle,
alors que les règles d’équilibrage de charge transfèrent le trafic vers un pool principal.
Préparation
Comment faire...
Pour créer une règle NAT de trafic entrant, procédez comme suit :
sélectionnez Inbound NAT rules (Règles NAT de trafic entrant). Sélectionnez Add
(Ajouter) pour ajouter une nouvelle règle NAT de trafic entrant :
Création de règles NAT de trafic entrant | 189
Figure 10.12 : ajout d’une règle NAT entrante pour un équilibreur de charge existant
3. Dans le nouveau volet, renseignez les champs Name (Nom), Frontend IP address
(Adresse IP front-end), IP Version (Version IP, définie en fonction de l'adresse IP front-
end), Service, Protocol (Protocole) et Port. Nous pouvons également modifier Idle
timeout (Délai d'inactivité) qui est défini sur 4 minutes par défaut. Sélectionnez Target
virtual machine (Machine virtuelle cible) et Network IP configuration (Configuration
IP réseau) pour la même machine (si la machine virtuelle dispose de plusieurs
configurations IP). Enfin, vous pouvez sélectionner le mappage de port par défaut ou
utiliser un mappage personnalisé :
Figure 10.13 : configuration des paramètres de règle NAT de trafic entrant

4. Une fois que nous avons sélectionné OK, une nouvelle règle NAT de trafic entrant
sera créée.
Comment faire...
Les règles NAT de trafic entrant vous permettent d’utiliser l’IP publique de l’équilibreur
de charge pour vous connecter directement à une instance back-end spécifique.
Elles créent un mappage de port similaire au mappage de port créé à l’aide des
règles d’équilibrage de charge, mais à une instance back-end spécifique. Une règle
d’équilibrage de charge crée des paramètres supplémentaires, tels que la sonde
d’intégrité ou la persistance de session. Les règles NAT de trafic entrant excluent ces
paramètres et créent un mappage non conditionnel entre le front-end et le back-
end. Avec une règle NAT de trafic entrant, le trafic acheminé atteint toujours l’unique
serveur du back-end, alors que l’équilibrage de charge achemine le trafic vers le pool
principal et utilise un algorithme pseudo-round-robin pour diriger le trafic vers
n’importe quel serveur fonctionnel du pool principal.
Création de règles sortantes explicites

Lors de la création de règles d’équilibrage de charge, nous pouvons créer des règles
sortantes implicites. Cela activera la Source Network Address Translation (SNAT) pour
les machines virtuelles dans le pool principal et leur permettra d’accéder à Internet
via l’adresse IP publique de l’équilibreur de charge (spécifiée dans la règle). Mais dans
certains scénarios, les règles implicites ne suffisent pas et nous devons créer des
règles sortantes explicites. Les règles sortantes explicites (et SNAT en général) ne
sont disponibles que pour les équilibreurs de charge publics présentant la référence
standard.
Préparation
Avant de commencer, vérifiez que les règles sortantes implicites sont désactivées dans
les règles d’équilibrage de charge :
Figure 10.14 : désactivation des règles sortantes implicites
Ouvrez maintenant le navigateur Web et accédez au portail Azure à l’adresse suivante :

Création de règles sortantes explicites | 191
Comment faire...
Pour créer une règle d’équilibrage de charge, procédez comme suit :
1. Dans le portail Azure, recherchez l’équilibreur de charge public précédemment créé.
sélectionnez Outbound rules (Règles sortantes). Sélectionnez Add (Ajouter) pour
ajouter la règle d’équilibrage de charge :
Figure 10.15 : ajout de règles sortantes

3. Dans le volet Outbound rules (Règles sortantes), nous devons indiquer le nom
de la règle et renseigner les champs Frontend IP address (Adresse IP front-end),
Protocol (Protocole, All (Tout), TCP ou UDP), Idle timeout (Délai d'inactivité),
TCP reset (Réinitialisation TCP) et Backend pool (Pool principal). Dans la section
Port allocation (Affectation de port) du même volet, renseignez les champs
Port allocation (Affectation de port), Outbound ports (Ports sortants), Ports
per instance (Ports par instance, cette option est désactivée lorsque le nombre
maximal d’instances back-end est sélectionné) et Maximum number of backend
instances (Nombre maximal d’instances back-end) :
Figure 10.16 : volet des règles sortantes

Création de règles sortantes explicites | 193
Comment faire...
Les règles sortantes dépendent de trois éléments : les adresses IP front-end, les
instances dans le pool principal et les connexions. Chaque adresse IP front-end
possède un nombre limité de ports dédiés aux connexions. Plus les adresses IP sont
attribuées au front-end et plus les connexions sont autorisées. D’autre part, le nombre
de connexions autorisées (par instance back-end) diminue en fonction du nombre
d’instances dans le back-end.
Si nous définissons le nombre par défaut de ports sortants, l’affectation est exécutée
automatiquement et sans contrôle. Si un groupe de machines virtuelles est défini avec
le nombre d’instances par défaut, l’affectation de port sera exécutée automatiquement
pour chaque machine virtuelle du groupe. Si le nombre d’instances dans un groupe
augmente, le nombre de ports alloués à chaque machine virtuelle diminuera également.
Pour éviter cela, nous pouvons définir l’affectation de port manuelle et limiter le
nombre d’instances autorisées ou limiter le nombre de ports par instance. Ainsi, chaque
machine virtuelle disposera d’un certain nombre de ports dédiés et les connexions ne
seront pas rejetées.
11
Traffic Manager
L'équilibreur de charge Azure n’offre des services de haute disponibilité et d’évolutivité
qu’aux machines virtuelles Azure (VM). De plus, un seul équilibreur de charge ne peut
être appliqué qu’aux machines virtuelles d’une seule région Azure. Si nous voulons
fournir les mêmes haute disponibilité et évolutivité à d’autres services Azure distribués
globalement, nous devons introduire un nouveau composant, Azure Traffic Manager.
Azure Traffic Manager est un composant DNS qui permet d’acheminer le trafic sur
des services et de le répartir sur l’ensemble des régions Azure. Mais Traffic Manager
n’est pas limité aux services Azure ; nous pouvons également ajouter des points
de terminaison externes.
• Création d’un profil Traffic Manager
• Ajout d’un point de terminaison
• Configuration du trafic distribué
• Configuration du trafic en fonction de la priorité
• Configuration du trafic en fonction de l’emplacement géographique
• Gestion des points de terminaison
• Gestion des profils
• Configuration de Traffic Manager avec des équilibreurs de charge
196 | Traffic Manager
Chapter11.
Création d’un profil Traffic Manager

Traffic Manager permet aux services de bénéficier d’un équilibrage de charge, mais
le trafic est acheminé et dirigé à l’aide d’entrées DNS. Le front-end est un nom
de domaine complet (FQDN) attribué lors la création, et l’ensemble du trafic entrant
provenant de Traffic Manager est distribué aux points de terminaison dans le back-end.
Dans cette procédure, nous allons créer un profil Traffic Manager.
Préparation
via https://portal.azure.com.
Comment faire...
Pour créer un profil Traffic Manager, procédez comme suit :
dans les services Networking (Mise en réseau), choisissez Traffic Manager Profile
ou entrez Traffic Manager Profile dans la barre de recherche.
2. Dans le nouveau volet, renseignez les champs Name (Nom), Routing method
(Méthode de routage), Subscription (Abonnement) et Resource group (Groupe
de ressources) :
Figure 11.1 : saisie des informations d'un nouveau profil Traffic Manager

Ajout d’un point de terminaison | 197
3. Notez que plusieurs options sont proposées dans les méthodes de routage :
Performance, Weighted (Pondéré), Priority (Priorité), Geographic (Géographique),
MultiValue (Valeurs multiples) et Subnet (Sous-réseau). Pour cette procédure,
nous allons conserver l’option par défaut (Performances), mais nous verrons
les autres méthodes de routage dans d’autres procédures de ce chapitre :
Figure 11.2 : sélection de la méthode de routage
Comment faire...
Traffic Manager se voit attribuer un point de terminaison public qui doit être un nom
de domaine complet. Tout le trafic qui parvient à ce point de terminaison est distribué
aux points de terminaison dans le back-end, à l’aide de la méthode de routage
sélectionnée. La méthode de routage par défaut est Performance (Performances).
La méthode de routage selon les performances distribue le trafic en fonction
des meilleures performances possibles disponibles. Par exemple, si nous avons
plus d’un point de terminaison back-end dans la même région, le trafic est réparti
uniformément. Si les points de terminaison se trouvent dans différentes régions, Traffic
Manager achemine le trafic vers le point de terminaison le plus proche du trafic entrant
en termes d’emplacement géographique et de latence réseau minimale.
Passons à la prochaine procédure et découvrons comment ajouter un point
de terminaison à Traffic Manager.
Ajout d’un point de terminaison

Une fois qu’un profil Traffic Manager est créé, le point de terminaison et la méthode
de routage front-end sont définis. Mais il reste à définir où le trafic doit être acheminé
une fois qu’il a atteint Traffic Manager. Nous devons ajouter des points de terminaison
au back-end et définir où le trafic est acheminé. Dans cette procédure, nous allons
ajouter un nouveau point de terminaison à Traffic Manager.
Préparation
Avant de pouvoir ajouter des points de terminaison à Traffic Manager, nous devons
les créer. L’exécution du script suivant dans PowerShell permet de créer rapidement
deux applications Web :
$ResourceGroupName = "packt-demo-webapp"
$webappname="packt-demo-webapp"
$location1="West Europe"
$NumberOfWebApps= 2
New-AzResourceGroup -Name $ResourceGroupName '

-Location $location
$i=1
Do
{
New-AzWebApp -Name $webappname'-0'$i '
-Location $location '
-AppServicePlan $webappname '
-ResourceGroupName $ResourceGroupName
} While (($i=$I+1) -le $NumberOfWebApps)
Le script peut être modifié pour déployer plus de deux applications Web si nécessaire.
Toutefois, pour tirer le meilleur parti de Traffic Manager, il est préférable de déployer
des applications Web dans différentes régions.
Une fois le script terminé, ouvrez votre navigateur Web et accédez au portail Azure
Comment faire...
Pour ajouter des points de terminaison à Traffic Manager, procédez comme suit :
1. Dans le portail Azure, recherchez le profil Traffic Manager précédemment créé.
2. Dans le volet Traffic Manager profile (Profil Traffic Manager), sous Settings
(Paramètres), sélectionnez Endpoints (Points de terminaison). Sélectionnez Add
(Ajouter) pour ajouter un nouveau point de terminaison :
Ajout d’un point de terminaison | 199
Figure 11.3 : ajout d’une nouveau point de terminaison
3. Dans le nouveau volet, renseignez les champs Type et Name (Nom) pour le point
de terminaison que nous ajoutons. Concernant le champ Type, nous avons le choix
entre Azure, External (Externe) et Nested (Imbriqué). Si Azure est sélectionné,
certains types de ressources cibles sont proposés (Cloud service (Service cloud),
App service ou slot (emplacement) et Public IP address (Adresse IP publique)
et selon le type de ressource cible sélectionné, des ressources correspondant
à ce type sont proposées. Ici, nous avons sélectionné packt-demo-webapp01,
que nous avons créé précédemment :
Figure 11.4 : configuration du type de point de terminaison

4. L’ajout d’un seul point de terminaison permet uniquement d’effectuer une

redirection d’un nom de domaine complet vers un autre. Nous devons
répéter le processus au moins une fois et ajouter au moins un point
de terminaison supplémentaire :
Figure 11.5 : ajout d’un point de terminaison secondaire
5. Tous les points de terminaison ajoutés apparaîtront dans la liste de la section

Endpoint (Point de terminaison), sous la section Settings (Paramètres)
de Traffic Manager :
Figure 11.6 : liste des points de terminaison

Configuration du trafic distribué | 201
Comment faire...
Les requêtes entrantes atteignent Traffic Manager via son point de terminaison front-
end. En fonction des règles (principalement la méthode de routage), le trafic est ensuite
acheminé vers les points de terminaison principaux. L’équilibreur de charge permet
d’acheminer le trafic vers des adresses IP privées. En revanche, Traffic Manager utilise
des points de terminaison publics dans le back-end. Les types de point de terminaison
pris en charge sont les suivants : Azure, externe et imbriqué. Selon le type du point
de terminaison, nous pouvons ajouter des points de terminaison Azure ou des points
de terminaison externes. Les points de terminaison peuvent être des noms de domaine
complets (publics) ou des adresses IP publiques. Les points de terminaison imbriqués
permettent d’ajouter d’autres profils Traffic Manager au back-end de Traffic Manager.
Les paramètres d’en-tête personnalisés ajoutent des en-têtes HTTP spécifiques
aux contrôles d’intégrité que Traffic Manager envoie aux points de terminaison sous
un profil. Ils peuvent être définis au niveau du profil (et appliqués à tous les points
de terminaison sous ce profil) ou pour chaque point de terminaison individuel.
Ils sont exprimés au format header:value et nous pouvons ajouter jusqu’à 8 paires
(header1:value1, header2:value2, header3:value3 ...)
Après avoir ajouté des points de terminaison à Traffic Manager, passons à la prochaine
procédure et découvrons comment configurer le trafic distribué.
Configuration du trafic distribué

La méthode de routage par défaut de Traffic Manager est celle appliquée en fonction
des performances. La méthode de routage selon les performances distribue le trafic
en fonction des meilleures performances possibles disponibles. Cette méthode
n’est pleinement appliquée que si nous avons plusieurs instances d’un service dans
plusieurs régions. Comme cela est rarement le cas, d’autres méthodes sont disponibles,
telles que le trafic distribué (également appelé méthode de routage pondérée).
Dans cette procédure, nous allons configurer Traffic Manager pour qu’il fonctionne
en mode distribué.
Préparation
Comment faire...
Pour configurer le trafic distribué, procédez comme suit :
2. Sous Settings (Paramètres), sélectionnez l’option Configuration. Nous avons
ici plusieurs options que nous pouvons modifier, telles que DNS time to live (TTL)
(Durée de vie du DNS), Protocol (Protocole) et les paramètres de basculement :
Figure 11.7 : le volet Configuration de Traffic Manager

Configuration du trafic en fonction de la priorité | 203
3. Attribuez à Routing method (Méthode de routage) la valeur Weighted (Pondérée),

comme illustré dans la Figure 11.8. Si nécessaire, nous pouvons également configurer
des paramètres de poids :
Figure 11.8 : attribution de la valeur Weighted (Pondérée) à la méthode de routage
Comment faire...
La méthode de routage pondérée répartit uniformément le trafic entre tous les points
de terminaison du back-end. Nous pouvons aussi définir des paramètres de poids
de manière à avantager un point de terminaison donné et indiquer que certains
points de terminaison recevront un pourcentage plus important ou moins important
du trafic. Cette méthode est généralement utilisée lorsqu’il existe plusieurs instances
d’une application dans la même région, ou pour monter en charge afin d’accroître
les performances.
Cette procédure vous a appris à distribuer le trafic uniformément sur tous les points
de terminaison. La procédure suivante explique comment configurer le trafic en fonction
de la priorité.
Configuration du trafic en fonction de la priorité

Le routage en fonction des priorités est également une méthode de routage disponible.
La priorité, comme son nom l’indique, donne la priorité à certains points de terminaison,
tandis que d’autres points de terminaison servent de points de terminaison de secours.
Les points de terminaison de secours ne sont utilisés que si les points de terminaison
prioritaires ne sont plus disponibles. Dans cette procédure, nous allons configurer Traffic
Manager pour acheminer le trafic en fonction de la priorité.
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure via https://
portal.azure.com.
Comment faire...
Pour attribuer à la méthode de routage la valeur Priority (Priorité), procédez comme suit :
2. Sous Settings (Paramètres), sélectionnez l’option Configuration.
3. Attribuez à Routing method (Méthode de routage) la valeur Priority (Priorité), comme
Figure 11.9 : attribution de la valeur Priority (Priorité) à la méthode de routage
Comment faire...
La priorité définit l’ordre de priorité des points de terminaison. Tout le trafic est d’abord
acheminé vers les points de terminaison ayant la priorité la plus élevée. Les autres points
de terminaison (avec une priorité inférieure) sont sauvegardés et le trafic n’est acheminé
vers ces points de terminaison que si les points de terminaison de priorité supérieure
ne sont plus disponibles. L’ordre de priorité par défaut est l’ordre d’ajout de points
de terminaison à Traffic Manager. Le point de terminaison ajouté en premier obtient
la priorité la plus élevée et le point de terminaison ajouté en dernier obtient la priorité
la plus faible. La priorité peut être modifiée dans les paramètres de point de terminaison.
La prochaine procédure décrit comment configurer le trafic en fonction de l’emplacement
géographique.
Configuration du trafic en fonction de l’emplacement

géographique
L’emplacement géographique est une autre méthode de routage dans Traffic Manager.
Cette méthode est basée sur la latence du réseau et dirige les requêtes en fonction
de l’emplacement géographique de leur origine et du point de terminaison. Lorsqu’une
requête est transmise à Traffic Manager, selon son origine, celle-ci est acheminée vers
le point de terminaison le plus proche en termes de région. La latence du réseau est
ainsi minimale. Dans cette procédure, nous allons configurer Traffic Manager pour
acheminer le trafic en fonction de l’emplacement géographique.
Configuration du trafic en fonction de l’emplacement géographique | 205
Préparation
Comment faire...
Pour configurer la méthode de routage de manière à ce que celui-ci s’effectue
en fonction de l’emplacement géographique, procédez comme suit :
2. Sous Settings (Paramètres), sélectionnez l’option Configuration.
3. Attribuez à la méthode de routage la valeur Geographic (Géographique), comme
Figure 11.10 : attribution de la valeur Geographic (Géographique) à la méthode de routage
Comment faire...
La méthode de routage géographique établit une correspondance entre
l’origine de la requête et le point de terminaison le plus proche en termes
d’emplacement géographique.
Par exemple, imaginons que nous ayons plusieurs points de terminaison, chacun
sur un continent différent. Si une requête émane de l’Europe, il serait absurde
de l’acheminer vers l’Asie ou l’Amérique du Nord. La méthode de routage géographique
s’assure qu'une requête provenant d’Europe pointe vers le point de terminaison
situé en Europe.
Passons à la prochaine procédure et découvrons comment gérer les points

de terminaison.
Gestion des points de terminaison

Une fois que nous avons ajouté des points de terminaison à Traffic Manager, nous
pouvons avoir besoin d’y apporter des modifications au fil du temps. Nous pouvons
avoir besoin de procéder à des ajustements ou de supprimer entièrement des points
de terminaison. Dans cette procédure, nous allons modifier des points de terminaison
Traffic Manager existants.
Préparation
Comment faire...
Pour modifier des points de terminaison dans Traffic Manager, procédez comme suit :
2. Sous Settings (Paramètres), sélectionnez Endpoints (Points de terminaison).
Dans la liste qui s’affiche, sélectionnez le point de terminaison que vous
souhaitez modifier :
Figure 11.11 : modification des points de terminaison dans Traffic Manager

Gestion des profils | 207
3. Dans le nouveau volet, nous pouvons supprimer, désactiver ou modifier le point

de terminaison :
Figure 11.12 : volet permettant de modifier le point de terminaison
Comment faire...
Le point de terminaison existant dans le back-end de Traffic Manager peut être
modifié. Nous pouvons le supprimer entièrement de Traffic Manager, ou nous pouvons
le désactiver pour le supprimer temporairement du back-end. Nous pouvons également
le modifier entièrement de manière à ce qu’il pointe vers un autre service ou un type
complètement différent.
Cette procédure vous a appris à gérer les points de terminaison. La prochaine

procédure explique comment gérer et modifier les profils.
Gestion des profils

Le profil Traffic Manager est un autre paramètre que nous pouvons gérer et ajuster.
Bien que ses options soient très limitées, il est uniquement possible d’activer
ou de désactiver Traffic Manager, la gestion du paramètre de profil peut être très
utile pour des raisons de maintenance. Dans cette procédure, nous allons gérer notre
profil Traffic Manager.
Préparation
Comment faire...
Pour modifier des profils Traffic Manager, procédez comme suit :
2. Dans Overview (Vue d’ensemble), sélectionnez l’option Disable profile (Désactiver
le profil), puis confirmez votre choix en cliquant sur le bouton Yes (Oui) :
Figure 11.13 : désactivation d'un profil
3. Une fois le profil désactivé, il peut être activé à nouveau à l’aide de l’option Enable
profile (Activer le profil) :
Figure 11.14 : activation d'un profil
Comment faire...
La gestion du profil Traffic Manager à l’aide des options d’activation et de désactivation
a pour effet de rendre le front-end de Traffic Manager disponible ou non disponible
(en fonction de l’option sélectionnée). Cela peut être très utile en cas de maintenance.
Si nous devons appliquer des modifications à tous les points de terminaison et si elles
doivent être appliquées à tous les points de terminaison en même temps, nous pouvons
désactiver temporairement le profil Traffic Manager. Une fois les modifications
appliquées à tous les points de terminaison, nous pouvons rendre Traffic Manager
à nouveau disponible en activant le profil.
Passons à la prochaine procédure et découvrons comment configurer Traffic Manager
avec des équilibreurs de charge.
Configuration de Traffic Manager avec des équilibreurs de charge | 209
Configuration de Traffic Manager avec des équilibreurs

de charge
Il est fréquent d’associer Traffic Manager avec des équilibreurs de charge de manière
à offrir une disponibilité maximale. Les équilibreurs de charge ne peuvent assurer
la haute disponibilité qu’à un ensemble de ressources situées dans la même région.
L’association de ces deux composants offre donc un avantage si une ressource unique
échoue, car nous disposons de plusieurs instances d’une ressource. Mais que se passe-
t-il en cas d’échec d’une région entière ? Les équilibreurs de charge ne peuvent pas
gérer les ressources de plusieurs régions, mais nous pouvons associer des équilibreurs
de charge à Traffic Manager de manière à accroître la disponibilité avec les ressources
de l’ensemble des régions Azure. Dans cette procédure, nous allons configurer Traffic
Manager de manière à ce qu’il fonctionne avec des équilibreurs de charge.
Préparation
Comment faire...
Pour associer un équilibreur de charge à Traffic Manager, procédez comme suit :
1. Dans le portail Azure, recherchez l’équilibreur de charge et vérifiez qu’une adresse
IP lui est affectée. Ce sujet est abordé dans le chapitre 8, Équilibreurs de charge.
Seules les adresses IP publiques peuvent être utilisées :
Figure 11.15 : vérification de l'attribution d'une adresse IP à un équilibreur de charge

2. Accédez à Traffic Manager et sélectionnez Add (Ajouter) pour ajouter un nouveau

point de terminaison. Attribuez au champ Type la valeur Azure endpoint (Point
de terminaison Azure), indiquez un nom pour le point de terminaison, puis
sélectionnez Public IP address (Adresse IP publique) comme type de ressource
cible. En fonction du type sélectionné, une nouvelle option s’affiche et nous
permet de sélectionner des ressources correspondant au type sélectionné. Dans
notre cas, l’option Public IP address (Adresse IP publique) est disponible :
Figure 11.16 : configuration d’un nouveau point de terminaison dans Traffic Manager

3. Répétez le processus et ajoutez un autre équilibreur de charge (d’une autre région)
comme second point de terminaison Traffic Manager.
Comment faire...
Les équilibreurs de charge assurent une disponibilité supérieure, dans la mesure
où ils permettent de maintenir un service actif même si l’un des services du pool
principal échoue. Si une région échoue, les équilibreurs de charge ne peuvent fournir
aucune aide, car ils ne sont applicables qu’à une seule région. Nous devons fournir
un autre ensemble de ressources d’une autre région pour accroître réellement
la disponibilité, mais ces ensembles seront entièrement indépendants et ne permettront
pas de basculement, sauf si nous incluons Traffic Manager. Traffic Manager deviendra
alors le front-end, et nous ajouterons des équilibreurs de charge comme points
de terminaison back-end de Traffic Manager. Toutes les requêtes parviendront
d’abord à Traffic Manager, puis elles seront acheminées vers l’équilibreur de charge
Sapproprié dans le back-end. Traffic Manager surveillera l’intégrité des équilibreurs
de charge, et si l’un d’eux n’est pas disponible, le trafic sera redirigé vers un équilibreur
de charge actif.
12
Azure Application
Gateway et
Azure WAF
Azure Application Gateway est essentiellement un équilibreur de charge pour le trafic
Web, mais il assure également un meilleur contrôle du trafic. Les équilibreurs de charge
classiques fonctionnent sur la couche de transport. Ils permettent d’acheminer le trafic
en fonction du protocole (TCP ou UDP) et de l’adresse IP, en mappant les adresses IP
et les protocoles dans le front-end aux adresses IP et aux protocoles dans le back-end.
Ce mode de fonctionnement « classique » est souvent appelé couche 4. Application
Gateway accroît les capacités des équilibreurs de charge en permettant d’utiliser des
noms d'hôtes et des chemins d’accès pour déterminer où le trafic doit être acheminé,
ce qui en fait un équilibreur de charge de couche 7. Par exemple, nous pouvons disposer
de plusieurs serveurs optimisés pour différentes choses. Si l’un de nos serveurs est
optimisé pour la vidéo, toutes les requêtes vidéo doivent être acheminées vers ce
serveur spécifique en fonction de l’URL de la requête entrante.
212 | Azure Application Gateway et Azure WAF

• Création d’une passerelle d’application
• Configuration des pools principaux
• Configuration des paramètres HTTP
• Configuration des écouteurs
• Configuration des règles
• Configuration des sondes
• Configuration d’un pare-feu d’applications Web (WAF)
• Personnalisation des règles WAF
• Création d'une stratégie WAF
Création d’une passerelle d’application

Azure Application Gateway peut être utilisé comme un simple équilibreur de charge
pour effectuer la distribution du trafic du front-end vers le back-end en fonction des
protocoles et des ports sélectionnés. Mais il peut également élargir cette fonctionnalité
et effectuer un routage supplémentaire en fonction des noms d'hôtes et des chemins
d’accès. Cela permet de disposer de listes de ressources basées sur les règles et
d’optimiser des performances spécifiques. L’utilisation de ces options et d’un routage
basé sur le contexte accroît les performances des applications tout en offrant une haute
disponibilité. Bien sûr, dans ce cas, nous devons disposer de plusieurs ressources pour
chaque type de performance dans chaque pool principal (chaque type de performance
exige un pool principal distinct).
Préparation
Création d’une passerelle d’application | 213
Comment faire...
Pour créer une passerelle d’application, procédez comme suit :
Networking (Mise en réseau), choisissez Application Gateway ou entrez application
gateway dans la barre de recherche.
2. Dans le nouveau volet, renseignez les champs Suscription (Abonnement), Resource
group (Groupe de ressources, Name (Nom), Region (Région), Tier (Niveau),
Autoscaling (Mise à l'échelle automatique), Instance count (Nombre d’instances),
Availability zone (Zone de disponibilité) et HTTP2. Nous devons également
sélectionner le Virtual network (Réseau virtuel) et le Subnet (Sous-réseau) qui seront
associés à la passerelle d’application. Seuls les réseaux virtuels qui se trouvent dans
la région sélectionnée pour la passerelle d’application sont disponibles :
Figure 12.1 : configuration des détails de projet pour la passerelle d'application

3. Le moment est venu de remplir l'onglet Frontends. Nous devons sélectionner le

type d’adresse IP que le frontend utilisera (Public, Private [Privé] ou Both [Les
deux]) et fournir une adresse IP (sélectionnez-en une existante ou créez-en une) :
Figure 12.2 : sélection du type d’adresse IP Frontend
4. Intéressons-nous désormais à l’onglet Backends. Sélectionnez Add a backend pool

(Ajouter un pool principal) :
Figure 12.3 : définition des pools principaux de la passerelle d’application

5. Un nouveau volet s'ouvre alors. Nous devons renseigner le champ Name et

déterminer si nous souhaitons ajouter un pool principal avec ou sans cibles.
Si nous choisissons d’ajouter des cibles à ce stade, nous devons tout d’abord
sélectionner le Target type (Type de cible). Les types disponibles sont les
machines virtuelles, les Virtual machine scale sets, les services d’application et
les adresses IP/FQDN. Selon le type sélectionné, vous pouvez ajouter des cibles
appropriées :
Figure 12.4 : ajout d’un pool principal

6. Une fois que nous avons ajouté un pool principal, nous avons accès aux
informations associées et pouvons continuer. Notez que nous pouvons ajouter
plusieurs pools principaux :
Figure 12.5 : examen de la configuration du pool principal
7. Le volet Configuration, nous indique que les frontends et les pools principaux sont
en place. Il manque néanmoins une règle de routage. Cette règle est indispensable
pour continuer. Nous devons donc en créer une en sélectionnant Add a routing
rule (Ajouter une règle de routage) :
Figure 12.6 : création d'une règle de routage

8. Nous devons d’abord définir un écouteur dans le nouveau volet. Nous devons
nommer l'écouteur, sélectionner la configuration IP Frontend et indiquer le
numéro du Port et le nom du Protocol (Protocole) à surveiller : Nous pouvons
également modifier le bouton radio Listener type (Type d'écouteur) et ajouter
une page d’URL de redirection pour les erreurs (il ne peut s’agir que d’une URL
de compte de stockage Azure) :
Figure 12.7 : configuration des paramètres de l’écouteur pour la règle de routage

9. Nous devons également configurer des Backend targets (Cibles back-end) pour
la règle de routage. Dans cette section, nous devons définir le Target type (Type
de cible), la Backend target (Cible back-end) et les HTTP settings (Paramètres
HTTP). À ce stade, il nous manque toujours un paramètre HTTP. Nous devons donc
sélectionner Add new (Ajouter un nouveau) dans le champ HTTP settings :
Figure 12.8 : configuration des cibles back-end pour la règle de routage

10. Dans le nouveau volet, nous devons tout d’abord indiquer notre paramètre HTTP et
le nommer, puis ajouter des détails pour le Backend protocol (Protocole back-end)
et le Backend port (Port back-end). Nous devons également activer ou désactiver
Cookie-based affinity (Affinité basée sur les cookies) et Connectiondraining
(Drainage des connexions) avant d'indiquer la période Request time-out (seconds)
(Expiration de la demande, secondes). Nous pouvons activer ou désactiver les
paramètres Create custom probes (Créer des sondes personnalisées) et Override
with new host name (Remplacer par un nouveau nom d'hôte) :
Figure 12.9 : ajout d’un paramètre HTTP

11. Une fois le paramètre HTTP créé, il sera automatiquement ajouté à notre règle de
routage, que nous pouvons maintenant terminer :
Figure 12.10 : configuration finale de l’ajout d’une règle de routage
12. La configuration est maintenant terminée et nous pouvons continuer en déployant

notre passerelle d’application :
Figure 12.11 : déploiement de la passerelle d’application

Configuration des pools principaux | 221
Comment faire...
Azure Application Gateway est très similaire à Azure Load Balancer, avec quelques
options supplémentaires. Il achemine le trafic qui atteint le front-end de la passerelle
d’application vers un back-end donné, en fonction des règles que nous avons définies.
Outre le routage basé sur les protocoles et les ports, la passerelle d’application permet
également de configurer un routage en fonction des chemins d'accès et des protocoles.
Grâce à ces règles supplémentaires, nous pouvons acheminer les demandes entrantes
vers des points de terminaison qui sont optimisés pour certains rôles. Par exemple,
nous pouvons avoir plusieurs pools principaux avec différents paramètres qui sont
optimisés pour effectuer uniquement des tâches spécifiques. En fonction de la nature
des requêtes entrantes, la passerelle d’application achemine les requêtes vers le
pool principal approprié. Cette approche, ainsi que la haute disponibilité, assure de
meilleures performances en acheminant chaque requête vers un pool principal qui
traite la requête de manière plus optimisée.
Nous pouvons configurer la mise à l’échelle automatique pour la passerelle d'application
(uniquement disponible pour V2) avec des informations supplémentaires concernant
le nombre minimal et maximal d’unités. De cette façon, la passerelle d'application se
mettra à l'échelle en fonction de la demande et garantira des performances optimales,
même avec un nombre maximal de requêtes.
Configuration des pools principaux

Une fois la passerelle d’application créée, nous devons définir les pools principaux. Le
trafic acheminé vers le front-end de la passerelle d’application sera transmis aux pools
principaux. Les pools principaux des passerelles d’application sont similaires aux pools
principaux des équilibreurs de charge. Ils sont définis comme destinations possibles
vers lesquelles le trafic sera acheminé en fonction d’autres paramètres qui seront
ajoutés dans les prochaines procédures de ce chapitre.
Préparation
Comment faire...
Pour ajouter des pools principaux à la passerelle d’application, procédez comme suit :
1. Dans le portail Azure, recherchez la passerelle d’application précédemment créée.
2. Dans le volet Application gateway (Passerelle d’application), sous Settings
(Paramètres), sélectionnez Backend pools (Pools principaux). Sélectionnez Add
(Ajouter) pour ajouter un nouveau pool principal ou sélectionnez-en un existant
pour le modifier :
Figure 12.12 : ajout d’un pool principal à la passerelle d’application
3. Le nom des pools nouveaux et existants est la seule différence entre ceux-ci. S'il
s'agit d'un nouveau pool, nous devons indiquer le nom du pool principal. Cette
option est grisée et ne peut pas être modifiée pour les pools existants. Nous
devons indiquer le type de cible pour les pools nouveaux et existants. Les types
disponibles sont les machines virtuelles, les Virtual machine scale sets, les services
d’application et les adresses IP/FQDN. Selon le type sélectionné, vous pouvez
ajouter des cibles appropriées :
Configuration des pools principaux | 223
Figure 12.13 : définition du type de cible du pool principal
Comment faire...
Avec les pools principaux, nous définissons les cibles vers lesquelles le trafic sera
acheminé. Dans la mesure où la passerelle d’application nous permet de définir le
routage de chaque requête, il est préférable que les cibles basées sur les performances
et les types soient regroupés de la même manière. Par exemple, si nous disposons
de plusieurs serveurs Web, ceux-ci doivent être placés dans le même pool principal.
Les serveurs utilisés pour le traitement des données doivent être placés dans un pool
distinct, et les serveurs utilisés pour la vidéo dans un autre pool distinct. Nous pouvons
ainsi séparer les pools en fonction des types de performances et acheminer le trafic en
fonction des opérations devant être effectuées.
Cela permet d’accroître les performances de l’application, car chaque requête est traitée
par la ressource la mieux adaptée pour cette tâche spécifique. Pour atteindre une haute
disponibilité, nous devons ajouter d’autres serveurs à chaque pool principal.
Configuration des paramètres HTTP

Les paramètres HTTP des passerelles d’application sont utilisés pour la validation
et divers paramètres liés au trafic. Ils servent principalement à s’assurer que les
requêtes sont dirigées vers le pool principal approprié. D’autres paramètres HTTP
sont également inclus, notamment ceux qui concernent l’affinité ou le drainage des
connexions. Les paramètres de remplacement font également partie des paramètres
HTTP qui vous permettent de réacheminer une requête incomplète ou incorrecte.
Préparation
Comment faire...
Pour ajouter des paramètres HTTP à la passerelle d’application, procédez comme suit :
(Paramètres), sélectionnez HTTP settings (Paramètres HTTP). Sélectionnez Add
pour ajouter un nouveau paramètre HTTP ou sélectionnez-en un existant pour
le modifier :
Figure 12.14 : localisation des paramètres HTTP dans le volet Passerelle d’application

Configuration des paramètres HTTP | 225
3. Dans le nouveau volet, nous devons commencer par indiquer un nom (si vous modifiez
un paramètre HTTP existant, cette option sera grisée). Les options suivantes permettent
de désactiver ou d’activer les options Cookie based affinity (Affinité basée sur les
cookies) et Connection draining (Drainage des connexions). Vous devez également
renseigner les champs Protocol (Protocole), Port et Request timeout (seconds) (Délai
d’expiration de la demande [secondes]). Les paramètres facultatifs nous permettent de
configurer les options Use custom probe (Utiliser la sonde personnalisée) et Override
with new host name (Remplacer par un nouveau nom d'hôte) :
Figure 12.15 : Configuration des paramètres HTTP

Comment faire...
Comme nous l’avons mentionné précédemment, l’objectif principal des paramètres
HTTP est de s’assurer que les requêtes sont bien acheminées vers le pool principal
approprié. Toutefois, diverses autres options sont également disponibles. L’affinité
basée sur les cookies permet d’acheminer les requêtes d’une même source vers le
même serveur cible dans le pool principal. Le drainage des connexions contrôle le
comportement lorsque le serveur est supprimé du pool principal. Si cette option est
activée, le serveur maintiendra les demandes en transit vers le même serveur. Les
paramètres de remplacement permettent de remplacer le chemin d’accès de l’URL
par un chemin d’accès différent ou par un domaine entièrement nouveau, avant de
transmettre la requête au pool principal.
Configuration des écouteurs

Les écouteurs d'une passerelle d’application écoutent toutes les requêtes entrantes.
Lorsqu’une nouvelle requête est détectée, elle est transmise au pool principal en
fonction des règles et des paramètres que vous avez définis. Dans cette procédure, nous
allons ajouter un nouvel écouteur à la passerelle d'application.
Préparation
Comment faire...
Pour ajouter un écouteur à une passerelle d’application, procédez comme suit :
(Paramètres), sélectionnez Listeners (Écouteurs), puis Add listener (Ajouter un
écouteur) pour ajouter un nouvel écouteur, ou modifier un écouteur existant :
Figure 12.16 : ajout d'un nouvel écouteur à l'aide du portail Azure

Configuration des écouteurs | 227
3. Dans le nouveau volet, indiquez un nom pour l’écouteur (cette option sera grisée
pour les écouteurs existants), sélectionnez une valeur dans le champ Frontend IP
configuration (Configuration d’adresse IP frontale), et renseignez les champs Port
et Protocol (Protocole) pour indiquer le numéro du port et le nom du protocole à
surveiller. En outre, nous pouvons configurer le Listener type (Type d'écouteur) et
une page d’URL personnalisée pour les erreurs :
Figure 1.17 : configuration des paramètres de l’écouteur pour la passerelle d’application
Comment faire...
Un écouteur surveille les nouvelles requêtes acheminées vers la passerelle d’application.
Chaque écouteur ne surveille qu’une seule adresse IP front-end et qu’un seul port. Si
nous avons deux adresses IP front-end (l'une publique et l'autre privée) et si le trafic est
acheminé via plusieurs protocoles et ports, nous devons créer un écouteur pour chaque
adresse IP et chaque port vers lequel le trafic peut être acheminé.
Le type de base de l’écouteur est utilisé lorsque l’écouteur écoute un seul domaine ; il
est généralement utilisé lorsque nous hébergeons une seule application derrière une
passerelle d’application. Un écouteur multi-site est utilisé si plusieurs applications se
trouvent derrière la passerelle d’application et si nous devons configurer le routage en
fonction d’un nom d’hôte ou d’un nom de domaine.
Configuration des règles

Les règles utilisées dans les passerelles d’application permettent de déterminer
comment le trafic circule. Différents paramètres déterminent où une requête spécifique
est acheminée et la manière dont elle est acheminée.
Préparation
Comment faire...
Pour ajouter une règle à la passerelle d’application, procédez comme suit :
(Paramètres), sélectionnez Rules (Règles). Ajoutez une nouvelle règle ou
sélectionnez-en une existante pour la modifier :
Figure 12.18 : ajout d’une règle de routage à la passerelle d’application

Configuration des règles | 229
3. Nous devons nommer la nouvelle règle (si vous modifiez une règle existante, cette
option sera grisée) dans le nouveau volet et sélectionner le Listener (Écouteur),
comme l'illustre la Figure 12.19 :
Figure 12.19 : configuration de la règle de routage
4. Nous devons également configurer une cible back-end, où nous devons définir
le Target type (Type de cible) et sélectionner les options des Backend target
(Cible back-end) et des HTTP settings (Paramètres HTTP) :
Figure 12.20 : configuration d’une cible back-end pour la règle de routage
Comment faire...
Les règles permettent de lier ensemble des paramètres créés précédemment. Nous
définissons un écouteur qui spécifie quelle requête sur quelle adresse IP doit être
acheminée sur quel port. Ces requêtes sont ensuite transmises au pool principal ;
la transmission est effectuée en fonction des paramètres HTTP. Nous avons également
la possibilité d’ajouter une redirection aux règles.
Configuration des sondes

Les sondes sont utilisées dans les passerelles d'application pour surveiller l’intégrité
des cibles back-end. Chaque point de terminaison est surveillé et si l'un d'entre eux est
considéré comme non sain, il est temporairement retiré de la rotation et les requêtes
ne sont pas transmises. Une fois son état initial retrouvé, il est à nouveau ajouté au pool.
Cela empêche de transmettre les requêtes à des points de terminaison non sains qui ne
sont pas en mesure de résoudre la requête.
Préparation
Comment faire...
Pour ajouter une sonde à la passerelle d’application, procédez comme suit :
(Paramètres), sélectionnez Health probes (Sondes d’intégrité). Sélectionnez Add
pour ajouter une nouvelle sonde :
Figure 12.21 : ajout d’une nouvelle sonde d’intégrité

Configuration d’un pare-feu d’applications Web (WAF) | 231
3. Nous devons indiquer le Name de la sonde (cette option sera grisée si une sonde
existante est modifiée) dans le nouveau volet, ainsi que le Protocol, l'Host et le
Path (Chemin d'accès). Renseignez également les paramètres Interval (seconds)
(Intervalle, secondes), Timeout (seconds) (Délai d’expiration, secondes) et
Unhealthy threshold (Seuil de défaillance sur le plan de l’intégrité). Nous pouvons
également choisir de configurer l'option Conditions d'utilisation de la sonde et les
HTTP settings (Paramètres HTTP) associés :
Figure 12.22 : configuration des détails de la sonde d'intégrité
Comment faire...
Les paramètres Protocol, Host et Path déterminent la sonde qui est surveillée. Le
paramètre Interval définit la fréquence des contrôles. Le paramètre Timeout définit
le délai qu’il est nécessaire d’attendre avant que le contrôle ne soit déclaré défectueux.
Enfin, le paramètre Unhealthy threshold (Seuil de défaillance sur le plan de l’intégrité)
est utilisé pour définir le nombre de contrôles devant échouer avant que le point de
terminaison ne soit déclaré non disponible.
Configuration d’un pare-feu d’applications Web (WAF)

WAF est un paramètre supplémentaire de la passerelle d’application. Il est utilisé pour
renforcer la sécurité des applications derrière la passerelle d’application. Il fournit
également une protection centralisée.
Préparation
Pour activer un pare-feu d’applications Web, vous devez définir la passerelle
d’application sur le niveau WAF. Pour ce faire, procédez comme suit :
(Paramètres), accédez à Web application firewall (Pare-feu d’applications Web).
Modifiez la sélection Tier (Niveau), en remplaçant Standard V2 par WAF V2
et sélectionnez Save (Enregistrer) :
Figure 12.23: définition de la passerelle d’application sur le niveau WAF V2
Comment faire...
Une fois la passerelle d’application définie sur WAF, vous pouvez activer et définir
les règles de pare-feu. Pour ce faire, procédez comme suit :
Configuration d’un pare-feu d’applications Web (WAF) | 233

(Paramètres), accédez à Web application firewall (Pare-feu d’applications Web)
et activez Firewall status (État du pare-feu). Après avoir défini Firewall status
(État du pare-feu) sur Enabled (Activé), de nouvelles options s’affichent :
Figure 12.24 : activation d’un WAF pour la passerelle d’application

2. Sélectionnez une valeur pour le champ Firewall mode (Mode pare-feu), configurez
la liste d’exclusions et renseignez la section Global parameters (Paramètres globaux)
comme suit :
Figure 12.25 : configuration du WAF
Comment faire...
La fonctionnalité WAF permet d’accroître la sécurité en vérifiant l’ensemble du trafic
entrant. Étant donné que cela peut nuire aux performances, nous pouvons exclure
certains éléments qui créent des faux positifs, en particulier les éléments volumineux. Les
éléments exclus ne seront pas inspectés. Le pare-feu d’applications Web offre deux modes
de fonctionnement : la détection et la prévention. La détection détecte uniquement si une
requête malveillante est envoyée, tandis que la prévention arrête une telle requête.
Personnalisation des règles WAF

Un pare-feu d’applications Web est fourni avec un ensemble de règles prédéterminées.
Ces règles sont appliquées de manière à renforcer la sécurité des applications et à
empêcher les requêtes malveillantes. Nous pouvons modifier ces règles pour répondre
à des problèmes ou à des exigences spécifiques selon les besoins.
Préparation
Comment faire...
Pour modifier les règles WAF, procédez comme suit :
(Paramètres), sélectionnez Web application firewall (Pare-feu d’applications Web).
Personnalisation des règles WAF | 235
2. Sélectionnez Rules (Règles) dans les paramètres WAF. Sélectionnez Enabled

(Activé) dans Advanced rule configuration (Configuration avancée des règles),
comme l'illustre la Figure 12.26 :
Figure 12.26 : activation de la configuration avancée des règles
3. Les règles apparaîtront sous la forme d’une liste. Cochez ou décochez les cases
pour activer ou désactiver les règles :
Figure 12.27 : personnalisation des règles WAF dans le volet Passerelle d'application

Comment faire...
Toutes les règles du pare-feu d’applications Web sont activées par défaut. Cela étant
susceptible de ralentir les performances, nous pouvons désactiver certaines des règles
si nécessaire. Trois ensembles de règles sont également proposés : OWASP 2.2.9,
OWASP 3.0 et OWASP 3.1. L’ensemble de règles par défaut (et recommandé) est
OWASP 3.0, mais nous pouvons passer d’un ensemble de règles à un autre selon
nos besoins.
Création d'une stratégie WAF

Une stratégie WAF nous permet de gérer les paramètres et les configurations WAF
en tant que ressource distincte. Ce faisant, nous pouvons appliquer la même stratégie
à plusieurs ressources au lieu de passerelles d’application individuelles. Une stratégie
WAF peut être associée à Application Gateway, Front Door ou CDN.
Préparation
Comment faire...
Pour créer une passerelle d’application, procédez comme suit :
puis dans Networking (Mise en réseau), choisissez Web Application Firewall
(Pare-feu d’applications Web) ou entrez Web Application Firewall dans la barre
de recherche.
2. Nous devons d’abord terminer la section Basics (Bases) dans le nouveau volet.
Nous devons définir l'objet de l'utilisation de la stratégie (Application Gateway,
Front Door, ou CDN), configurer les paramètres Subscription et Resource
group, puis renseigner les champs Policy name (Nom de stratégie) et Location
(Emplacement). Nous pouvons également déterminer si la stratégie sera activée
ou désactivée une fois créée :
Création d'une stratégie WAF | 237
Figure 12.28 : création d’une stratégie WAF

3. Dans les Policy settings (Paramètres de stratégie), nous pouvons définir le

paramètre Mode sur Detection (Détection) ou Prevention (Prévention), ainsi
que les Exclusions et les Global parameters (Paramètres globaux) :
Figure 12.29 : configuration des paramètres de stratégie pour la stratégie WAF
4. Dans Managed rules (Règles gérées), nous pouvons sélectionner un ensemble de

règles (OWASP 2.2.9 , OWASP 3.0 ou OWASP 3.1) et désactiver certaines règles si
nécessaire (il n’est pas recommandé de désactiver les règles, à moins que cela ne
soit nécessaire) :
Figure 12.30 : définition de règles pour la stratégie WAF

5. Nous pouvons ajouter des règles supplémentaires dans Custom rules (Règles
personnalisées) si nécessaire. Sélectionnez Add custom rule (Ajouter une règle
personnalisée) pour en ajouter une.
Figure 12.31 : ajout d’une règle personnalisée à la stratégie WAF

6. Un nouveau volet s'ouvre afin que nous puissions définir une règle personnalisée. Nous
devons remplir le champ Custom rule name (Nom de la règle personnalisée) et définir
la Priority (Priorité) sur 1. Dans Conditions, nous créons un type de correspondance
et des variables qui doivent être adaptés afin de déclencher la règle. Enfin, nous
définissons une réponse (allow [autoriser], deny [refuser], ou log [consigner]) :
Figure 12.32 : définition des conditions de la règle personnalisée

7. Une fois la règle personnalisée créée, elle apparaît dans la liste et nous pouvons
continuer en accédant à la section Association :
Figure 12.33 : liste montrant la nouvelle règle personnalisée

8. Dans la section Association, nous créons une association avec le service auquel
nous souhaitons appliquer la stratégie. Cette section dépend du type de service
précédemment sélectionné (dans notre cas, passerelle d'application). Sélectionnez
Associate an application gateway (Associer une passerelle d’application) :
Figure 12.34 : création d’une association avec la passerelle d’applications

9. Dans le nouveau volet, sélectionnez Application gateway (Passerelle d'application)
dans le menu déroulant. Notez que seule la WAF V2 SKU (Référence WAF V2) est
prise en charge :
Figure 12.35 : choix de la passerelle d'application dans le menu déroulant

10. Une fois Application gateway sélectionnée, nous devons associer des écouteurs.
Sélectionnez Associate listener (Associer des écouteurs) dans Associate HTTP
listners (Associer des écouteurs HTTP). Sélectionnez l'écouteur que vous
souhaitez utiliser dans le menu déroulant du nouveau volet :
Figure 12.36 : sélection de l'écouteur dans le menu déroulant
11. Une fois l’écouteur associé, nous pouvons commencer à créer notre
stratégie WAF :
Figure 12.37 : configuration finale de notre nouvelle stratégie WAF
Comment faire...
Notre stratégie WAF contient la configuration et tous les paramètres requis pour notre
pare-feu d’applications Web et peut être associée à Application Gateway, Front Door
ou CDN. Elle peut être associée à plusieurs ressources, mais uniquement à un seul type
à la fois. Le Mode détermine le type d’action pris en cas de détection d’un problème.
Prevention (Prévention) bloquera les requêtes suspectes, et Detection (Détection)
créera une entrée de journal.
13
Azure Front Door et
Azure CDN
Plusieurs services de mise en réseau dans Microsoft Azure sont dédiés à la livraison
d'applications. Azure Front Door et Azure CDN sont des services qui nous permettent
de créer des applications dédiées à la livraison mondiale et de tirer parti du réseau
mondial de datacenters Azure. En exploitant cette capacité, nous pouvons offrir la
même expérience à nos utilisateurs, quel que soit leur emplacement physique.
• Création d’une instance Azure Front Door
• Création d’un profil Azure CDN
244 | Azure Front Door et Azure CDN
Création d’une instance Azure Front Door

Azure Front Door est utilisé pour le routage mondial du trafic Web d'applications
distribuées dans différentes régions Azure. Avec Azure Front Door, nous pouvons
définir, gérer et surveiller le routage de notre trafic Web et activer rapidement le
basculement mondial. Cette solution nous permet de livrer nos applications en
offrant les meilleures performances et une haute disponibilité. Azure Front Door
est un équilibreur de charge L7, similaire à Application Gateway. Cette solution
diffère toutefois en termes de distribution mondiale. Elle est similaire à un autre
service, Traffic Manager, en matière de distribution mondiale. Azure Front Door allie
les meilleures fonctions d’Application Gateway et de Traffic Manager, la sécurité
d’Application Gateway et la capacité de distribution de Traffic Manager.
Préparation
Azure Front Door nécessite des services qui seront ajoutés au pool principal. Vous
pouvez utiliser un script de la section Préparation de la procédure Ajout d'un point de
terminaison, dans le chapitre 11, Traffic Manager.
Ouvrez ensuite le navigateur Web et accédez au portail Azure à l’adresse suivante :
Comment faire...
Pour créer une instance Azure Front Door, procédez comme suit :
dans Networking (Mise en réseau), choisissez Front Door ou entrez Front Door
dans la barre de recherche.
2. Plusieurs sections doivent être renseignées dans le nouveau volet. Renseignez les
champs Subscription (Abonnement) et Resource group (Groupe de ressources)
dans la section Basics (Bases). L'option Resource group location (Emplacement du
groupe de ressources) est automatiquement sélectionnée et grisée :
Création d’une instance Azure Front Door | 245
Figure 13.1 : saisie des informations sur l'abonnement et le groupe de ressources
3. Dans la section Configuration, nous devons renseigner les champs Frontends/

domains (Serveurs frontaux/domaines), Backend pools (Pools principaux) et
Routing rules (Règles de routage). Cliquez sur la case Frontends/domains
(Serveurs frontaux/domaines) pour lancer le volet de configuration :
Figure 13.2 : sélection de l’option de configuration serveurs frontaux/domaines

4. Dans le nouveau volet, nous devons indiquer un nom d’hôte et déterminer si

nous voulons activer les options SESSION AFFINITY (AFFINITÉ DE SESSION) et
WEB APPLICATION FIREWALL (PARE-FEU D’APPLICATION WEB) :
Figure 13.3 : activation des options AFFINITÉ DE SESSION et PARE-FEU D’APPLICATION WEB
5. Une fois que le serveur frontal a été créé, nous sommes redirigés vers la
section Configuration. Sélectionnez Pools principaux pour lancer le volet de
configuration suivant :
Figure 13.4 : sélection de l’option de configuration Pools principaux

6. Nous devons fournir un nom pour notre pool principal et y ajouter des services.
Sélectionnez l'option Add a backend (Ajouter un pool principal) pour ajouter un
pool principal :
Figure 13.5 : ajout d’un pool principal

7. Pour ajouter un pool principal, commencez par sélectionner Backend host type
(Type d'hôte back-end) et Subscription (Abonnement). En fonction de notre
sélection, nous serons autorisés à choisir des services (d’un type sélectionné
dans l’abonnement choisi) sous Backend host name (nom d’hôte back-end). Nous
devons également renseigner les champs Backend host header (En-tête de l'hôte
back-end), ports (HTTP et HTTPS), Priority(Priorité) et Weight (Poids). Enfin, nous
devons sélectionner l'option Enabled (Activé) pour Status (État) :
Figure 13.6 : détails du pool principal

8. Répétez ce processus pour ajouter au moins un autre point de terminaison au

pool principal :
Figure 13.7 : ajout d’un autre point de terminaison au pool principal

9. Une fois que nous avons ajouté suffisamment de points de terminaison au pool
principal, nous pouvons procéder à la configuration :
Figure 13.8: configuration du pool principal

10. Voici les champs relatifs aux sondes d'intégrité qui doivent être renseignés : Path
(Chemin, utilisez / pour sélectionner l’option par défaut ou ajoutez votre propre
chemin), Protocol (protocole, HTTP ou HTTPS), Probe method (Méthode de
sonde, HEAD ou GET) et Interval (Intervalle, en secondes [fréquence à laquelle
la sonde vérifie l’intégrité du serveur principal) :
Figure 13.9 : configuration des sondes d’intégrité pour vérifier l’intégrité du serveur principal
11. Dans la section LOAD BALANCING (ÉQUILIBRAGE DE CHARGE), nous devons

renseigner les champs Sample size (Taille de l'échantillon), Successful samples
required (Échantillons fructueux requis) et Latency sensitivity (Sensibilité de
la latence) :
Figure 13.10 : volet ÉQUILIBRAGE DE CHARGE

12. Une fois que nous avons ajouté toutes les informations nécessaires, nous pouvons
créer un pool principal. Nous serons redirigés vers la section Configuration.
Sélectionnez Routing rules (Règles de routage) pour lancer le volet Routing rules
(Règles de routage) :
Figure 13.11 : sélection de l’option de configuration Règles de routage

13. Dans le volet Add a rule (Ajouter une règle, nous devons renseigner les champs
Name (Nom, pour notre règle), Accepted protocol (Protocole accepté, HTTP,
HTTPS ou les deux), Frontends/domains (Serveurs frontaux/domaines, choisissez
l’option sélectionnée précédemment) et PATTERNS TO MATCH (MODÈLES
À METTRE EN CORRESPONDANCE, les modèles de chemin d’URL que l’itinéraire
acceptera) :
Figure 13.12 : Ajout de détails des règles de routage

14. Sous ROUTE DETAILS (DÉTAILS DE L’ITINÉRAIRE), nous devons renseigner les
champs Route type (Type d’itinéraire), Backend pool (Pool principal) et Forwarding
protocol 'Protocole de transfert). Nous pouvons éventuellement choisir d'activer les
options URL rewrite (Réécriture d’URL) et Caching (Mise en cache) :
Figure 13.13 : volet DÉTAILS DE L’ITINÉRAIRE

15. Une fois que la règle de routage a été créée, nous avons tous les composants
nécessaires et pouvons procéder à la création de l’instance Azure Front Door en
accédant à l'onglet Review + Create (Examiner + créer) :
Figure 13.14 : tous les composants sont configurés
Comment faire...
Toutes les requêtes d’application proviennent du serveur frontal. Selon les règles
créées, les requêtes sont transmises aux points de terminaison dans le back-end. Les
règles d’équilibrage de charge garantissent que les requêtes sont envoyées au back-end
qui est disponible le plus rapidement.
Le taux d’échantillonnage fructueux garantit la disponibilité des points de terminaison
dans le back-end et détermine le nombre d’échantillons envoyés simultanément.
Les échantillons fructueux requis définissent le nombre de requêtes qui doivent être
fructueuses pour qu'un point de terminaison soit considéré comme sain. La sensibilité
de la latence définit la tolérance entre le point de terminaison présentant la latence la
plus faible et le reste des points de terminaison. Imaginons que le paramètre Latency
sensitivity (Sensibilité de la latence) s'élève à 30 ms, tandis que la latence du point de
terminaison A équivaut à 15 ms, celle du point de terminaison B est de 30 ms et celle
du point de terminaison C est égale à 90 ms. Les points de terminaison A et B seront
placés dans le pool le plus rapide, car la différence de latence est inférieure au seuil de
sensibilité, et le point de terminaison C est au -dessus du seuil.
Les règles de routage définissent la gestion du trafic et déterminent si un trafic

spécifique doit être redirigé ou transféré. Si l'option URL rewrite (Réécriture d’URL)
est activée, nous pouvons créer une URL qui sera transférée au back-end. Si la mise en
cache est activée, Azure Front Door mettra le contenu statique en cache pour accélérer
la livraison.
Remarque
Un grand nombre de conditions et d’options sont similaires à ceux d'Application
Gateway. Nous ne les réexpliquerons donc pas une nouvelle fois. En outre, Web
Application Firewall (Pare-feu d’application Web, WAF) est une option qui
peut être activée sur Azure Front Door afin de renforcer la sécurité. Pour en savoir
plus sur WAF, consultez les procédures associées figurant dans le chapitre 12, Azure
Application Gateway et Azure WAF.
Azure Front Door comprend également un certain nombre d’options et de règles

configurables permettant à vos applications Web d'offrir un service centré sur le client
et la marque. Voici quelques ressources encore plus importantes concernant Azure
Front Door :
• En savoir plus sur les domaines personnalisés : https://docs.microsoft.com/
azure/frontdoor/front-door-custom-domain
• En savoir plus sur les domaines de caractères génériques : https://docs.
microsoft.com/azure/frontdoor/front-door-wildcard-domain
• En savoir plus sur les moteurs de règles : https://docs.microsoft.com/azure/
frontdoor/front-door-rules-engine
• En savoir plus sur les conditions de mise en correspondance des moteurs de
règles : https://docs.microsoft.com/azure/frontdoor/front-door-rules-engine-
match-conditions
• En savoir plus sur les actions des moteurs de règles : https://docs.microsoft.
com/azure/frontdoor/front-door-rules-engine-actions
Après avoir créé l’instance Azure Front Door, passons à la prochaine procédure
et découvrons comment créer un profil Azure CDN.
Création d’un profil Azure CDN

Azure Content Delivery Network (Azure CDN) est un réseau distribué qui accélère
la livraison du contenu Web aux utilisateurs. Azure CDN stocke le contenu mis en
cache sur les serveurs de périphérie dans plusieurs emplacements (régions Azure).
Ce contenu est ensuite proposé aux utilisateurs, plus rapidement et avec une latence
réseau minimale.
Préparation
Comment faire...
Pour créer un profil Azure CDN, procédez comme suit :
dans Networking (Mise en réseau), choisissez CDN ou entrez CDN dans la barre de
recherche.
2. Dans le nouveau volet, renseignez les champs Name (Nom), Subscription
(Abonnement), Resource group (Groupe de ressources) et Pricing tier (Niveau
de tarification) : Si nous décidons de fournir un point de terminaison CDN à ce
stade, nous devons renseigner les champs CDN endpoint name (Nom du point de
terminaison CDN), Origin type (Type d'origine) et Origin hostname (Nom d'hôte
d'origine). L'option Origin hostname (Nom d'hôte d'origine) sera disponible dans la
liste déroulante, en fonction de l'option Origin type (Type d'origine) sélectionnée :
Création d’un profil Azure CDN | 255
Figure 13.15 : ajout des détails du profil Azure CDN
3. Nous pouvons maintenant créer un profil Azure CDN. Après le déploiement,

Azure CDN commencera à mettre en cache le contenu de l’origine et nous
pourrons commencer à l’utiliser immédiatement.
Comment faire...
Azure CDN stocke le contenu de notre application sur des serveurs de périphérie.
Étant donné que ces serveurs de périphérie sont distribués dans les régions Azure, nous
avons des copies de contenu dans pratiquement chaque région du monde. Le contenu
est ensuite distribué aux utilisateurs à partir de l’emplacement le plus proche, en vue
de réduire la latence réseau au minimum. Imaginons qu’une application soit hébergée
en Europe de l’Ouest, et qu’un utilisateur se trouve dans la partie ouest des États-Unis.
Dans ce cas, le contenu ne sera pas délivré à partir de l’emplacement d’origine, mais de
l’emplacement le plus proche de l’utilisateur, c'est-à-dire l’ouest des États-Unis. Nous
pouvons ainsi garantir que utilisateur bénéficie d'une expérience et d'une livraison
optimales, où qu’il se trouve.
>Index
À propos de
Tous les principaux mots-clés utilisés dans ce livre sont classés par ordre alphabétique dans
cette section. Chacun est accompagné du numéro de page de l’endroit où il apparaît.
A B console : 6, 34, 39, 44,
54, 76, 79, 112-113
accès : 19, 24, 39, 49, back-end : 12, 44, 171, contrôle : 31-32,
55-56, 123-124, 175-176, 178, 180-184, 45-46, 48, 108, 110,
136, 143, 145, 163, 186-188, 190, 192-193, 140, 143, 152, 158,
166, 170, 173, 190 196-197, 201, 203, 173, 193, 211, 226
compte : 115-116, 217 207, 210, 212, 214-216, contrôlé : 124, 145
action : 36, 38, 48, 104, 241 218-219, 221-224, client : 253
adresse : 1, 3-4, 6-14, 16, 226, 229-230,
19-20, 24, 26-27, 45, 49,
51-66, 68-69, 71, 74, 76,
244-249, 251, 253
équilibreur : 37, 170-173,
D
78, 80-81, 90-91, 94, 175-182, 184-191, 195, base de données : 124
100-103, 105, 109-112, 201, 209-212, 221, 244 datacenter : 2, 6, 18-19, 23
118-121, 128, 134, 145, bastion : 5, 145-151 dédié : 23, 148, 193, 243
148-151, 154, 156-157, défini : 3, 7, 10-11, 13-14,
160-161, 166, 172, 176,
178-180, 187-190,
C 20, 24, 27, 33, 88, 91, 96,
100, 102, 116, 121, 158,
192-193, 199, 209-211, mise en cache : 254 184, 197, 201, 221, 226
214, 227, 229, 234 sans classe : 6 délégation : 8, 148
affinité : 219, 224-226, 246 client : 91, 136, 156-157, 188 supprimer : 93, 98,
alias : 90 fermé : 54 103-105, 207
allocation : 68, 192-193 clouds : 123 livraison : 243, 253-255
analyses : 116 commande : 6-7, 11-12, 34, refusé : 37, 42, 44, 143
anycast : 83 39, 44, 54, 76, 112-114 déployé : 2, 6-7,
appareil : 100-103, conditions : 231, 239, 253 33-34, 71, 150
120, 163, 166 config : 114 détacher : 26, 29
attribuer : 20, 40, configurer : 20, 39, 47, détecter : 184, 186, 234
42, 44, 55-57 73-74, 93, 112, 121, détection : 234, 238, 241
associé : 33, 40-44, 46-48, 128, 130, 133, 152, appareil : 78, 124,
56, 69, 93-95, 121, 165, 154, 163, 180, 201, 128-130, 160-163
182, 231, 240-241 203-204, 208-209, diagnostic : 107, 114-116
audit : 114, 116 218, 225, 227, 231, 236 direct : 188, 197
automatiser : 6, 34, 54, 79 connexion : 19, 53, 61, dirigé : 91, 184,
autonome : 78, 154 74-78, 81, 102, 123-128, 196-197, 224, 226
130, 133, 136-143, désactiver : 20, 58, 93,
145-146, 150-153, 156, 123, 160, 207-208, 219,
158-160, 162-166, 225, 235-236, 238
170, 219, 224-226 désactivation : 190, 208
dissocier : 96, 99
distribuer : 175, 195,
197, 201, 203
basé sur DNS : 195
-dnsName : 131
F passerelles : 73, 125-126,
136, 139, 143, 151,
domaine : 83-85, 88, 91, facteur : 42, 65 221, 224, 228, 236
121, 196, 226-227 échoué : 231 générer : 116, 130
domaines : 83, 86, basculement : 202, génération : 77
245, 250, 253 210, 244 géographique : 197, 205
télécharger : 128-130, filtrage : 45, 121-122 global : 234, 238, 243-244
136, 162 pare-feu : 5, 70-71, 74, 76, groupes : 25, 31, 45-47,
drainage : 219, 224-226 80-81, 107-108, 110-114, 54, 107, 120-121
menu déroulante: 116, 118-122, 166, 212, gwipconfig : 79
18, 56, 88, 110, 134, 231-234, 236, 246, 253
140, 240-241, 254
abandonné : 193
microprogramme : 129
cinq tuples : 188
H
dynamique : 27, 54, 58-61, flottant : 187 en-tête : 201, 247
65-66, 79, 172, 176 forcé : 107, 110, 116, 120 en-têtes : 201
forçage : 148 santé : 171, 175, 184-188,
E format : 6, 8, 12, 100,
121, 132, 201
190, 201, 210,
230-231, 249
économique : 139 transfert : 188, 201, hébergé : 84-85, 91, 255
éditeur : 135 226, 229, 251 noms d’hôte : 211-212
effet : 113, 122, 201 porte d'entrée : 253 hybride : 19, 114,
éléments : 26 front-end : 5, 12, 49, 123-124, 156
codé : 132 172, 175-176, 178,
chiffré : 128, 139
point de terminaison :
180, 184, 186-190,
192-193, 197, 201, 208,
I
54-55, 146, 166-170, 210-212, 214, 217, 227 implicite : 187, 190
173, 175, 184, 186, 195, front-ends : 214, entrant : 19, 35, 37,
197-201, 203-207, 216, 245, 250 39-40, 48-49, 54,
210, 230-231, 244, fonctions : 130 108, 175, 188-190
248, 252, 254 entrant : 31, 48, 107,
appliquer : 110
appliqué : 234 G 186-187, 197, 201,
211, 221, 226, 234
entrées : 196
passerelle : 10-11, 73-81, incomplet : 224
erreurs : 217, 227
92-93, 100, 102-103, Individuel : 26, 121,
exception : 27, 114
117, 120, 125-128, 170, 201, 236
exclure : 16, 190, 234
133-134, 136, 138-139, en vol : 226
développer : 212
143, 148, 154-155, 157, initial : 6, 13, 61
attente : 229
160, 211-214, 220-224, initier : 162
explicite : 175, 190
226-228, 230-236, inspecté : 120, 234
exporter : 131-133
240-241, 244, 253 inspection : 116
exposé : 123, 166
installer : 6
extension : 45, 107
externe : 195, 199, 201
instance : 18-19, 108,
110, 112, 121, 146-147, M N
149-150, 190, 192-193, machine : 17-18, 31, native : 173
213, 243-244,
52, 146, 150-151, 171, navigation : 252
252-253, 255
176, 189, 215, 222 imbriqué : 199, 201
intégrer : 87, 170
malveillant : 234 réseau : 1-8, 10-14, 16-18,
interface : 17, 25-29,
géré : 110, 238 20-21, 24-29, 31-34,
31-32, 42-44, 55, 57,
61, 63, 65, 67, 151, 178 gestion : 11, 22, 37, 41-44, 51, 54-55,
120-121, 123-124, 57, 61, 63, 65, 67, 71,
interne : 123, 175-179, 73-81, 83, 86-88,
181, 184, 186-188 136, 145, 150-151
responsable : 91, 140, 91-96, 100, 102-103,
Internet : 2, 24, 37, 39-40, 107-108, 110, 112, 114,
51, 100-102, 117-118, 195-198, 200-210, 244
118, 120, 122-128, 130,
120, 166, 178, 180, 190 obligatoire : 20, 216
133-134, 136, 138-140,
mappage : 186-190, 211 143, 145-152, 163-166,
intervalle : 185-186,
231, 249 maître : 1, 32, 52, 74, 170-173, 176, 178-179,
108, 124, 176, 196 182, 188-190, 197, 204,
problèmes : 59, 70,
105, 184, 234 maximum : 116, 213, 243, 254-255
192, 209, 221
mise en réseau : 1-2,
méthodes : 197, 201
K milieu : 178
17-20, 22, 25-29, 33,
45-46, 53, 70, 74,
migrer : 56 77, 83-84, 86, 92,
- keylength : 130-131
migré : 55 107, 110, 114, 116, 120,
-keyspec : 130-131
minimal : 254 149, 152-153, 170-171,
-keyusage : 131
manquant : 79, 100, 216 176, 178, 196, 213,
modifier : 80 236, 243-244, 254
L modification : 73, 80-81
étiquettes : 165
moments : 28-29, 33
surveiller : 110, 152, 184,
O
latence : 197, 204, 250,
252, 254-255 186, 188, 210, 230, 244 à la demande : 136
surveillé : 217, 227, 230-231 openvpn : 134
limité : 193, 195, 207,
209-210, 213 écrans : 227 opération : 211
multiple : 11-12, 26, 28, opérations : 80, 124, 223
limites : 178
44, 52, 67, 69, 73, 80, optimiser : 212
écouteur : 217,
226-227, 229, 241 88, 91, 99, 105, 121, optimisé : 211, 221
143, 152-153, 175, 197, origine : 204-205, 254-255
emplacement : 7, 36,
38, 53, 74, 76, 111-114, 201-203, 205, 209, sortant : 35, 37-39,
127, 133, 138, 152, 166, 211-212, 221, 223, 107-108, 110, 172,
195, 197-198, 204-205, 227, 236, 241, 254 175, 187, 190-193
236, 243-244, 255 multisite : 227 sortant : 31
- emplacement : plusieurs niveaux : 178 sortie : 7
6-7, 34, 40, 54, 76, extérieur : 14, 102, 123
79, 111, 114, 198 recoupement : 8,
verrouillé : 127, 138 11-12, 16, 134
remplacement : traitement : 223 184, 188, 201, 210-212,
219, 224-226 profil : 195-198, 201-202, 221, 224, 226-227,
présentation : 89, 128, 208 204-205, 207-208, 229-230, 234, 241, 252
243, 253-255 réacheminer : 100
P projet : 213 résolution : 83,
protocole : 36, 38, 48, 87-88, 91, 170
paramètres : 6-7, 11, 33, 74, 78, 93, 123, 127, ressource : 2, 6-7, 11, 18,
39, 45, 48, 53-54, 74, 160, 162, 184-189, 26-27, 33-34, 40, 45,
76, 111, 234, 238 192, 211, 217, 219, 225, 48, 51-62, 70, 74, 76-77,
réussi : 24 227, 231, 249-251 84, 86, 88, 92-93,
mot de passe : 19, 151 -protocole : 39-40, 112-113 110 116-117, 120-121, 127,
modèles d’application : protocoles : 187, 202, 138, 140, 149, 152, 154,
250 211-212, 221, 227 160, 165-166, 169-170,
appairage : 124, 139-140, fournisseur : 161 172, 176, 178-179, 196,
142-143, 151-152 proximité : 23 199, 209-210, 212-213,
223, 236, 244-245, 254
autoriser : 136 public : 4, 19-20, 24, 26,
réponse : 184, 239
physique : 23, 243 51-63, 65, 67, 69-71,
74, 76, 78, 80-81, limité : 136, 173
stratégie : 116, 162,
86, 101, 110-112, 120, rétention : 115-116
212, 236-241
123, 128, 135, 145, réécriture : 251, 253
potentiel : 123
149-151, 171, 175-176, en fonction du rôle : 173
powershell : 1, 6-7, 11-12, 178-181, 184, 186, 188, rotation : 230
32-34, 39-40, 44, 190-191, 197, 199, 201,
52, 54, 73-76, 79-80 -route : 114
209-210, 214, 227 routebased : 79
107-108, 111-113,
123-124, 130, 198
prédéfini : 129, 134
Q routes : 91, 93, 100,
102, 104-105, 112,
préfixe : 12, 52, 70-71, qualifié : 84, 121, 196 116-117, 120, 122, 165
76, 100-103, 118, 148 requêtes : 83 routage : 6, 69, 78,
premium : 20 83, 92, 165-166,
prépartagé : 162 R 175, 196-197, 201,
priorité : 36-39, 42, 44, 203-205, 212, 216-218,
plages : 48, 121 220-221, 223, 227-229,
48, 112-113, 195, 197,
203-204, 239, 247 redémarré : 59 244-245, 250-253
privé : 2, 11, 24, 26, 51-52,
enregistrement : 59,
83-85, 87-92 S
61-69, 71, 73, 83, 85-88,
132, 139, 143, 145-146, rediriger : 217, 224 exemple : 129, 250, 252
154, 160, 166-173, 176, redondant : 54 mise à l'échelle : 175, 203
178, 180, 201, 214, 227 régions : 195, 197-198, schildcert : 131
sondes : 171, 175, 184-185, 201, 209, 244, 254-255 -portée : 6
212, 219, 230, 249 inscrit : 84, 88 script : 7, 12, 34, 39-40,
traiter : 18, 24, 26-29, 34, distant : 123, 143 54, 79-80, 130, 198, 244
54, 79, 116, 136, 180, référentiel : 129 sécurisé : 2, 4, 123-124,
200, 210, 221, 248 demandes : 175, 178, 180, 128, 130, 136, 139,
145-146, 150, 166, 170
sécurité : 5, 8, 20, 25-27, sous-réseau : 1, 3-8, 10-12, tunnel : 107, 110, 116, 120
31-33, 35, 37-38, 14-16, 20-21, 26-27, tuples binaires : 188
45-49, 54, 107, 123, 31-33, 40-42, 44-45,
127, 146, 148, 173, 178,
231, 234, 244, 253
48-49, 62, 64, 76-77,
79-80, 83, 92-100, 102,
U
sélecteur : 162 108-112, 116, 118-121, 128, désaffecter : 57
serveur : 18, 23, 36, 83, 147-149, 151, 170, 172, non attribué : 56-58
121-122, 136, 166, 171, 176, 178-179, 197, 213 décocher : 235
184, 186, 190, 211, 226 -subnetid : 79 indéfini : 14
serveurs : 23, 26, 61, sous-réseaux : 1, 3, 5, non détecté : 184
83-84, 156-157, 169, 180, 8, 11-12, 14, 16, 31, défectueux : 185-186,
190, 211, 223, 254-255 40, 42, 49, 80-81, 230-231
partagé : 127, 138 91-97, 99-100, 108, disponibilité : 78
signature : 130-131 118, 121, 147, 176 nom d'utilisateur : 19, 151
-signataire : 131 pris en charge :
source : 36, 38, 45, 48,
172, 188, 190, 226
128-129, 201, 240
suspect : 241
V
srootcert : 130-131 basculer : 236 valider : 177, 180
autonome : 52, 87 système : 6, 78, 83, 114, 154 valeurs : 3, 54, 68, 88,
standard : 20, 54, 70, 78, 100, 109-110, 138
111, 170-171, 173, 176,
178-179, 190, 232
T variables : 239
fournisseur : 128-129, 160
démarrage : 64 tables: 85, 91-92, 98, vérifier : 136, 209
statique : 27, 54, 56, 105, 113-114, 165 version : 53-54, 70,
58-60, 62, 111, 165-166, cible : 169, 171, 178, 180, 129, 185, 187, 189
172, 176, 253 189, 199, 210, 215, 218, affichage : 11, 16-17,
état : 130, 139, 142, 222-223, 226, 229 25-26, 55, 61
230, 233, 247 seuil : 185-186, 231, 252 visibilité : 77, 120-121
stockage : 20, 115-116, 217 délai d'attente : 53, vnetname : 111
sous-domaine : 89, 91 187, 189, 192, 231 -vpntype : 79
sous-domaines : 84, 88 tolérance : 252
-sujet : 130-131 trafic : 31-32, 35-39, 42,
44-46, 48-49, 54, 73,
W
85, 91-92, 100-103, webappname : 198
107-108, 110, 112-114, poids : 203, 247
116, 120, 123, 139-140, liste blanche : 112
143, 148, 162, 166, 175, caractère générique : 253
178, 180, 184, 186-188, windows : 18, 124
190, 195-198, 200-212,
221, 223-224, 227-228,
234, 244, 253

Original

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Original

Transféré par

Droits d'auteur :

Formats disponibles

Livre de recettes

Procédures pratiques garantissant la sécurité de l'infrastructure

Chapitre 1 : Réseau virtuel Azure 1

Chapitre 2 : Mise en réseau des machines virtuelles 17

Exigences techniques ............................................................................................ 17

Exigences techniques ............................................................................................ 32

Chapitre 4 : Gestion des adresses IP 51

Exigences techniques ............................................................................................ 52

Chapitre 5 : Passerelles de réseau local et de réseau virtuel 73

Exigences techniques ............................................................................................ 74

Chapitre 6 : DNS et routage 83

Exigences techniques ............................................................................................ 84

Exigences techniques .......................................................................................... 108

Chapitre 8 : Création de connexions hybrides 123

Exigences techniques .......................................................................................... 124

Chapitre 9 : Connexion aux ressources en toute sécurité 145

Exigences techniques .......................................................................................... 146

Chapitre 10 : Équilibreurs de charge 175

Exigences techniques .......................................................................................... 176

Chapitre 11 : Traffic Manager 195

Exigences techniques .......................................................................................... 196

Configuration du trafic en fonction de l’emplacement géographique ......... 204

Exigences techniques .......................................................................................... 212

Chapitre 13 : Azure Front Door et Azure CDN 243

Exigences techniques .......................................................................................... 243

À propos du livre de recettes sur la mise en réseau Azure -

Mustafa est également l’auteur de Hands-On Cloud Administration in Azure

À propos des réviseurs

Comment tirer le meilleur parti de cet ouvrage

Configurations matérielles requises

Configurations logicielles requises

Téléchargez les ressources

Des exemples de code sont disponibles à l’adresse suivante : https://github.com/

Création d’un réseau virtuel dans le portail Azure

Figure 1.1 : création d'un réseau virtuel Azure

Figure 1.2 : configuration de l'espace d’adressage et d'un sous-réseau d'un réseau virtuel

3. Dans le volet Add subnet (Ajouter un sous-réseau), nous devons renseigner

Figure 1.3 : ajout d’un sous-réseau

Figure 1.4 : ajout du sous-réseau frontend

Figure 1.5 : basculement des options de sécurité

Création d’un réseau virtuel avec PowerShell

Figure 1.6 : connexion à un abonnement Azure depuis PowerShell

Vous devez obtenir le résultat suivant :

Figure 1.7 : déploiement d’un réseau virtuel Azure à l'aide d'un script

Ajout d’un sous-réseau dans le portail Azure

Figure 1.8 : ajout de la plage d'adresses

4. Nous pouvons également ajouter un sous-réseau de passerelle dans le même volet.

Figure 1.9 : ajout d’un sous-réseau de passerelle pour un réseau virtuel

Ajout d’un sous-réseau avec PowerShell

Ce n’est pas tout...

Modification de la taille de l’espace d’adressage

Figure 1.11 : modification de la plage de l’espace d’adressage

Modification de la taille d’un sous-réseau

Figure 1.12 : modification de la taille du sous-réseau à l’aide du portail Azure

Figure 1.13 : affichage des modifications effectuées dans la plage d’adresses de sous-réseau

Création de machines virtuelles Azure

Figure 2.1 : saisie des informations relatives aux détails de l’instance

Figure 2.2 : configuration de l’instance Azure Spot

Figure 2.3 : définition des règles de port entrants

Figure 2.4 : définition des options de stockage

Figure 2.5 : définition des options du réseau virtuel et du sous-réseau

8. Après la section de mise en réseau, nous devons configurer la section Management

Figure 2.6 : activation des fonctions de gestion

Chapitre 1 : Réseau virtuel Azure   1

Chapitre 2 : Mise en réseau des machines virtuelles   17

Exigences techniques ............................................................................................  17

Exigences techniques ............................................................................................  32

Chapitre 4 : Gestion des adresses IP   51

Exigences techniques ............................................................................................  52

Chapitre 5 : Passerelles de réseau local et de réseau virtuel   73

Exigences techniques ............................................................................................  74

Chapitre 6 : DNS et routage   83

Exigences techniques ............................................................................................  84

Exigences techniques ..........................................................................................  108

Chapitre 8 : Création de connexions hybrides   123

Exigences techniques ..........................................................................................  124

Chapitre 9 : Connexion aux ressources en toute sécurité   145

Exigences techniques ..........................................................................................  146

Chapitre 10 : Équilibreurs de charge   175

Exigences techniques ..........................................................................................  176

Chapitre 11 : Traffic Manager   195

Exigences techniques ..........................................................................................  196

Configuration du trafic en fonction de l’emplacement géographique .........  204

Exigences techniques ..........................................................................................  212

Chapitre 13 : Azure Front Door et Azure CDN   243

Exigences techniques ..........................................................................................  243