Académique Documents
Professionnel Documents
Culture Documents
sur la mise en
réseau Azure
Deuxième édition
Mustafa Toroman
Livre de recettes sur
la mise en réseau
Azure
Deuxième édition
Procédures pratiques garantissant la sécurité de
l'infrastructure réseau, la livraison d’applications
mondiale et une connectivité accessible dans Azure
Mustafa Toroman
Livre de recettes sur la mise en réseau Azure - Deuxième édition
Copyright © 2020 Packt Publishing
Tous droits réservés. Aucune partie de ce livre ne peut être reproduite, stockée dans
un système de recherche ou transmise sous quelque forme ou par quelque moyen
que ce soit sans l’autorisation écrite préalable de l’éditeur, sauf dans le cas de brèves
citations incluses dans des articles ou revues critiques.
Tous les efforts ont été déployés dans la préparation de ce livre pour assurer
l’exactitude des informations présentées. Toutefois, les informations contenues ici sont
fournies sans aucune garantie, expresse ou implicite. Ni l'auteur, ni Packt Publishing,
ni ses revendeurs et distributeurs ne sauraient être tenus responsables des dommages
causés directement ou indirectement par ce livre.
Packt Publishing s’est efforcé de fournir des informations sur les marques de commerce
de toutes les sociétés et produits mentionnés dans ce livre en utilisant de manière
appropriée les majuscules. Cependant, Packt Publishing ne peut garantir l’exactitude
de ces informations.
Auteur : Mustafa Toroman
Relecteurs techniques : Kapil Bansal, Rithin Skaria
Directeurs de la rédaction : Mamta Yadav, Siddhant Jain
Rédacteurs responsables des commandes : Ben Renow-Clarke et Divya Mudaliar
Rédacteur responsable de la publication : Deepak Chavan
Comité de rédaction : Alex Patterson, Arijit Sarkar, Ben Renow-Clarke, Dominic
Shakeshaft, Edward Doxey, Joanne Lovell, et Vishal Bodwani
Première édition : mars 2019
Seconde édition : octobre 2020
Référence de la production : 1281020
ISBN : 978-1-80056-375-9
Publié par Packt Publishing Ltd.
Livery Place, 35 Livery Street
Birmingham B3 2PB, UK
Table des matières
Préface i
Exigences techniques .............................................................................................. 1
Création d’un réseau virtuel dans le portail Azure .............................................. 2
Préparation ...................................................................................................................... 2
Comment faire... ............................................................................................................. 2
Comment faire... ............................................................................................................. 6
Création d’un réseau virtuel avec PowerShell ..................................................... 6
Préparation ...................................................................................................................... 6
Comment faire... ............................................................................................................. 7
Comment faire... ............................................................................................................. 7
Ajout d’un sous-réseau dans le portail Azure ...................................................... 8
Préparation ...................................................................................................................... 8
Comment faire... ............................................................................................................. 8
Comment faire... ........................................................................................................... 11
Ajout d’un sous-réseau avec PowerShell ............................................................ 11
Préparation .................................................................................................................... 11
Comment faire... ........................................................................................................... 12
Comment faire... ........................................................................................................... 12
Ce n’est pas tout... ......................................................................................................... 12
Modification de la taille de l’espace d’adressage ............................................... 13
Préparation .................................................................................................................... 13
Comment faire... ........................................................................................................... 13
Comment faire... ........................................................................................................... 14
Modification de la taille d’un sous-réseau .......................................................... 14
Préparation .................................................................................................................... 14
Comment faire... ........................................................................................................... 14
Comment faire... ........................................................................................................... 16
Index 257
Préface
>
À propos de
Cette section présente brièvement l’auteur, les relecteurs techniques, les sujets abordés dans
ce livre de recettes, les compétences techniques dont vous aurez besoin pour commencer,
ainsi que le matériel et les logiciels requis pour effectuer toutes les procédures de ce livre.
ii | Préface
Le livre de recettes sur la mise en réseau Azure - Deuxième édition commence par une
présentation de la mise en réseau Azure et traite de procédures basiques, comme la
création de réseaux virtuels Azure, ainsi que la conception d’espaces d’adressage et
de sous-réseaux. Vous découvrirez comment créer et gérer des groupes de sécurité
réseau, des groupes de sécurité d’application et des adresses IP dans Azure.
Au fil de votre progression, vous découvrirez différents aspects tels que les connexions
site à site, point à site, de réseau virtuel à réseau virtuel, les DNS et le routage, les
équilibreurs de charge et Traffic Manager. Ce livre de recettes couvre tous les aspects
et fonctions que vous devez connaître, en proposant des procédures pratiques vous
permettant de vous former aux pratiques de base de la mise en réseau dans le cloud, et
de planifier, mettre en œuvre et sécuriser votre réseau d’infrastructure avec Azure.
Grâce à ce livre de recettes, vous pourrez non seulement améliorer votre
environnement actuel, mais vous apprendrez également à surveiller, diagnostiquer
et garantir une connectivité sécurisée. Après avoir appris à créer un environnement
robuste, vous bénéficierez également de précieuses informations via des procédures
sur les meilleures pratiques.
Une fois ce livre de recettes terminé, vous disposerez d’une expérience pratique
suffisante pour mettre en œuvre des solutions rentables qui faciliteront et optimiseront
la connectivité au sein de votre organisation.
À propos de l'auteur
Mustafa Toroman est architecte de solutions auprès d’organismes partenaires. Fort
de ses années d’expérience en matière de conception et de pilotage de solutions
d’infrastructure, il se consacre depuis peu à la conception de nouvelles solutions dans le
cloud et la migration de solutions existantes vers le cloud. Il s’intéresse particulièrement
aux processus DevOps, et se passionne également pour l’infrastructure en tant que
code (ou infrastructure programmable). Mustafa a obtenu plus de 50 certifications
Microsoft et est un formateur Microsoft Certified Trainer depuis 2012. Il intervient
régulièrement lors de conférences dans le monde entier sur le thème des technologies
cloud et, ces cinq dernières années, il a obtenu le prix MVP pour Microsoft Azure.
Objectifs d’apprentissage
À la fin de ce livre de recettes, vous serez en mesure de faire ce qui suit :
• Créer des services de mise en réseau Azure.
• Créer et utiliser des connexions hybrides.
• Configurer et gérer les services de mise en réseau Azure.
• Concevoir des solutions réseau à haute disponibilité dans Azure.
• Surveiller et résoudre les ressources de mise en réseau Azure.
• Utiliser différentes méthodes pour connecter des réseaux locaux aux réseaux
virtuels Azure.
• Utiliser différentes méthodes pour sécuriser les réseaux.
iv | Préface
Audience
Ce livre de recettes est destiné aux architectes du cloud, aux fournisseurs de
solutions cloud ou à toute partie prenante confrontée à la mise en réseau sur Azure.
Des connaissances basiques sur Azure sont un atout.
Approche
Le livre de recettes sur la mise en réseau Azure, deuxième édition, est un mélange idéal de
théorie et de formation pratique qui vous permettra de relever les défis concrets de la
connectivité.
Conventions
Les mots en code dans le texte, les noms de tables de base de données, les noms de
dossier, les noms de fichiers, les extensions de fichiers, les chemins d’accès, les URL
factices et les entrées utilisateur sont indiqués comme suit :
« En outre, nous pouvons utiliser des commutateurs supplémentaires tels que -SKU pour
sélectionner Basic (De base) ou Standard, -IPAddressVersion pour choisir entre IPv4 et
IPv6 et -DomainNamelabel pour spécifier l’étiquette DNS ».
Un bloc de code est disposé comme suit :
$VirtualNetwork = Get-AzVirtualNetwork -Name 'Packt-Script' '
-ResourceGroupName 'Packt-Networking-Script'
Add-AzVirtualNetworkSubnetConfig -Name BackEnd '
-AddressPrefix 10.11.1.0/24 '
-VirtualNetwork $VirtualNetwork
$VirtualNetwork | Set-AzVirtualNetwork
Exigences techniques
Pour ce chapitre, les éléments suivants sont nécessaires :
• Un abonnement Azure
• Azure PowerShell
Préparation
Avant de commencer, ouvrez un navigateur Web et accédez au portail Azure à l’adresse
suivante : https://portal.azure.com.
Comment faire...
Pour créer un nouveau réseau virtuel à l’aide du portail Azure, procédez comme suit :
1. Dans le portail Azure, sélectionnez Create a resource (Créer une ressource), puis
dans Networking (Mise en réseau), choisissez Virtual network (Réseau virtuel)
(ou entrez virtual network [réseau virtuel] dans la barre de recherche. Un nouveau
volet s’ouvre alors, et vous invite à saisir des informations sur le réseau virtuel.
Commencez par sélectionner l'option Subscription (Abonnement) que vous
souhaitez utiliser et celle du Resource group (Groupe de ressources), où le réseau
virtuel sera déployé. Saisissez ensuite un nom et sélectionnez une région
(du datacenter Azure) où le réseau virtuel sera déployé. La figure 1.1 en présente
un exemple :
2. Dans le volet suivant, nous devons d’abord définir l’espace d’adressage et le Subnet
name (Nom du sous-réseau), ainsi que les valeurs Subnet address range (Plage
d’adresses du sous-réseau) pour le premier sous-réseau. Une fois l’espace
d’adressage défini, comme illustré à la Figure 1.2, nous recevons le message
suivant : This virtual network doesn't have any subnets (Ce réseau virtuel
ne dispose pas de sous-réseaux). Par conséquent, nous devons sélectionner
l'option Add subnet (Ajouter un sous-réseau).
4. Une fois le premier sous-réseau ajouté, dans notre cas, FrontEnd, nous pouvons
ajouter d’autres sous-réseaux au réseau virtuel ou passer à la section Security
(Sécurité), comme illustré dans la Figure 1.4 :
Comment faire...
Nous déployons des réseaux virtuels dans un Resource group (Groupe de ressources),
sous Subscription (Abonnement), dans le datacenter Azure que nous avons choisi.
Les paramètres Region (Région) et Subscription (abonnement) sont importants ; nous
ne pourrons associer des ressources Azure à ce réseau virtuel que si elles se trouvent
dans le même abonnement et la même région que celle du datacenter Azure. L’option
Address space (Espace d’adressage) définit le nombre d’adresses IP qui seront
disponibles pour notre réseau. Elle utilise le format de Classless Inter-Domain Routing
(CIDR), et la plus grande plage que nous puissions choisir est /8. Dans le portail, nous
devons créer un sous-réseau initial, puis définir la plage d’adresses de ce sous-réseau.
Le plus petit sous-réseau autorisé est /29 et le plus grand est /8 (toutefois, il ne peut
pas être plus grand que la plage du réseau virtuel). À titre de référence, la plage
10.0.0.0/8 (au format CIDR) va créer une plage d’adresses de 167772115 adresses
IP (de 10.0.0.0 à 10.255.255.255 ) et 10.0.0.0/29 créera une plage de 8 adresses
IP (de 10.0.0.0 à 10.0.0.7 ).
Préparation
Avant de commencer, nous devons vérifier que les derniers modules Az sont
installés. Pour installer les modules Az, nous devons exécuter cette commande dans
la console PowerShell :
Install-Module -Name Az -AllowClobber -Scope CurrentUser
Pour en savoir plus, rendez-vous sur : https://docs.microsoft.com/powershell/azure/
install-az-ps?view=azps-4.5.0.
Avant de commencer, nous devons nous connecter à l’abonnement Azure à partir d’une
console PowerShell. Pour ce faire, la commande à utiliser est la suivante :
Connect-AzAccountAzAccount
Celle-ci ouvre une fenêtre contextuelle dans laquelle nous devons entrer les
informations d’identification pour l’abonnement Azure.
Nous devons ensuite créer un groupe de ressources dans lequel notre réseau virtuel
sera déployé :
New-AzResourceGroup -name 'Packt-Networking-Script' -Location 'westeurope'
Création d’un réseau virtuel avec PowerShell | 7
La sortie devrait être similaire à celle qui est présentée dans la figure 1.6 :
Comment faire...
Le déploiement d’un réseau virtuel Azure s’effectue dans un seul script. Nous devons
définir les paramètres pour le nom, le groupe de ressources, l’emplacement et la plage
d’adresses. Voici un exemple de script :
New-AzVirtualNetwork -ResourceGroupName 'Packt-Networking-Script' -Location
'westeurope' -Name 'Packt-Script' -AddressPrefix 10.11.0.0/16
Comment faire...
La différence entre le déploiement d’un réseau virtuel à partir du portail et l’utilisation
de PowerShell réside dans le fait qu’aucun sous-réseau n’a besoin d’être défini dans
PowerShell. Le sous-réseau est déployé dans une commande distincte qui peut être
exécutée lors du déploiement d’un réseau virtuel ou ultérieurement. Nous verrons cette
commande ultérieurement dans ce chapitre, dans la procédure Ajout d’un sous-réseau
avec PowerShell.
8 | Réseau virtuel Azure
Préparation
Avant de commencer, ouvrez un navigateur Web et accédez au portail Azure à
l’adresse suivante : https://portal.azure.com. Recherchez ensuite le réseau virtuel
précédemment créé.
Comment faire...
Pour ajouter un sous-réseau à un réseau virtuel à l’aide du portail Azure, procédez
comme suit :
1. Dans le volet Virtual network (Réseau virtuel), accédez à la section Subnets
(Sous-réseaux).
2. Sélectionnez l’option Add subnet (Ajouter un sous-réseau).
3. Un nouveau volet s’ouvre. Nous devons fournir des informations pour le sous-
réseau, notamment en renseignant les champs Name (Nom) et Address range
(Plage d’adresses) au format CIDR. Cette plage d’adresses doit être comprise
dans la plage d’adresses du réseau virtuel et ne peut pas chevaucher la plage
d’adresses d’autres sous-réseaux du réseau virtuel. Nous avons également la
possibilité de renseigner les champs Network security group (Groupe de sécurité
réseau), Route table (Table de route), Service endpoints (Points de terminaison
de service) et Subnet delegation (Délégation de sous-réseau). Ces options seront
abordées ultérieurement :
Ajout d’un sous-réseau dans le portail Azure | 9
5. Une fois les sous-réseaux ajoutés, les sous-réseaux nouvellement créés s’affichent
dans le volet Subnets (Sous-réseaux), sous le réseau virtuel :
Figure 1.10 : affichage des sous-réseaux nouvellement créés dans le volet Subnets (Sous-réseaux)
Comment faire...
Il est possible de définir plusieurs sous-réseaux pour un seul réseau virtuel. Les
sous-réseaux ne peuvent pas se chevaucher et doivent relever de la plage d’adresses
du réseau virtuel. Pour chaque sous-réseau, quatre adresses IP sont enregistrées pour
la gestion Azure et ne peuvent donc pas être utilisées. Selon les paramètres du réseau,
nous pouvons définir les règles de communication entre les sous-réseaux du réseau
virtuel. Un sous-réseau de passerelle est utilisé pour les connexions de réseau privé
virtuel (VPN). Nous verrons ce point en détail ultérieurement dans ce livre.
Découvrons maintenant comment ajouter un sous-réseau à l’aide de PowerShell.
Préparation
Avant de créer un sous-réseau, nous devons collecter des informations sur le réseau
virtuel auquel le nouveau sous-réseau sera associé. Les paramètres à fournir
sont le nom du réseau virtuel et le groupe de ressources dans lequel se trouve
le réseau virtuel :
$VirtualNetwork = Get-AzVirtualNetwork -Name 'Packt-Script'
-ResourceGroupName 'Packt-Networking-Script'
12 | Réseau virtuel Azure
Comment faire...
1. Pour ajouter un sous-réseau au réseau virtuel à l'aide de PowerShell, nous devons
exécuter une commande et indiquer le nom et le préfixe d’adresse. Le préfixe
d’adresse est au format CIDR :
Add-AzVirtualNetworkSubnetConfig -Name FrontEnd -AddressPrefix 10.11.0.0/24
-VirtualNetwork $VirtualNetwork
2. Nous devons confirmer ces modifications en exécutant la commande suivante :
$VirtualNetwork | Set-AzVirtualNetwork
3. Nous pouvons ajouter un sous-réseau supplémentaire en exécutant toutes
les commandes en une seule opération, comme suit :
$VirtualNetwork = Get-AzVirtualNetwork -Name 'Packt-Script'
-ResourceGroupName 'Packt-Networking-Script'
Add-AzVirtualNetworkSubnetConfig -Name BackEnd -AddressPrefix 10.11.1.0/24
-VirtualNetwork $VirtualNetwork
$VirtualNetwork | Set-AzVirtualNetwork
Comment faire...
Le sous-réseau est créé et ajouté au réseau virtuel, mais pour que les modifications
soient appliquées, nous devons d’abord les confirmer. Concernant la taille du sous-
réseau, toutes les règles appliquées lors de la création ou de l’ajout de sous-réseaux
à l’aide du portail Azure s’appliquent ici également. Le sous-réseau doit relever
de l’espace d’adressage du réseau virtuel et ne peut pas chevaucher d’autres sous-
réseaux du réseau virtuel. Le plus petit sous-réseau autorisé est /29 et le plus grand est
/8, à condition que la valeur indiquée relève de l'espace d'adressage du réseau virtuel.
Par exemple, si vous créez un réseau /16, la plus grande valeur pour le sous-réseau sera
/16 uniquement, car nous ne pouvons pas inclure un sous-réseau /8 dans un espace
d'adressage /16.
Préparation
Avant de commencer, ouvrez un navigateur Web et accédez au portail Azure à l’adresse
suivante : https://portal.azure.com.
Comment faire...
Pour modifier la taille de l’espace d’adressage d’un réseau virtuel à l’aide du portail
Azure, procédez comme suit :
1. Dans le volet Virtual network (Réseau virtuel), sous Settings (Paramètres),
recherchez Address space (Espace d’adressage).
2. Cliquez ensuite sur Address space (Espace d’adressage) et modifiez la valeur
en définissant la plage souhaitée. La figure 1.11 en présente un exemple :
3. Après avoir entré une nouvelle valeur dans Address space (Espace d’adressage),
cliquez sur Save (Enregistrer) pour appliquer les modifications.
14 | Réseau virtuel Azure
Comment faire...
Bien que vous puissiez modifier l’espace d’adressage à tout moment, certaines
règles déterminent ce que vous pouvez et ne pouvez pas faire. Il n’est pas possible
de réduire l'espace d’adressage si des sous-réseaux définis dans l’espace initial ne sont
pas couverts par le nouvel espace d’adressage. Par exemple, si la plage de l’espace
d’adressage est 10.0.0.0/16, elle couvre les adresses allant de 10.0.0.1 à 10.0.255.254.
Si l’un des sous-réseaux avait pour valeur 10.0.255.0/24, nous ne pourrions pas
remplacer le réseau virtuel par 10.0.0.0/17, car le sous-réseau se trouverait alors
en dehors du nouvel espace.
Il n’est pas possible de remplacer un espace d’adressage par un autre si des sous-
réseaux sont définis. Pour changer entièrement un espace d’adressage, vous devez
d’abord supprimer tous les sous-réseaux. Par exemple, si un espace d’adressage a pour
valeur 10.0.0.0/16, nous ne pouvons pas lui attribuer la valeur 10.1.0.0/16, car les
sous-réseaux relevant de l’ancien espace d’adressage se retrouveraient dans une plage
d’adresses non définie.
Voyons comment modifier la taille des sous-réseaux nouvellement créés.
Préparation
Avant de commencer, ouvrez un navigateur Web et accédez au portail Azure à l’adresse
suivante : https://portal.azure.com.
Comment faire...
Pour modifier la taille du sous-réseau à l’aide du portail Azure, procédez comme suit :
1. Dans le volet Virtual network (Réseau virtuel), sélectionnez l’option Subnets
(Sous-réseaux).
2. Sélectionnez le sous-réseau que vous souhaitez modifier. Dans l’option Subnets
(Sous-réseaux), sous Address range (Plage d’adresses), entrez une nouvelle valeur
pour la taille du sous-réseau. La figure 1.12 illustre la façon de procéder :
Modification de la taille d’un sous-réseau | 15
3. Une fois la nouvelle plage d'adresses saisie, cliquez sur Save (Enregistrer).
4. Dans la liste Subnets (Sous-réseaux), vous pouvez voir que les modifications ont
été appliquées et que l’espace d’adressage a changé, comme l’illustre la Figure 1.13 :
Comment faire...
Lorsque vous modifiez la taille d’un sous-réseau, il convient de suivre certaines règles.
Vous ne pouvez pas modifier l’espace d’adressage s’il ne relève pas de la plage d’espaces
d’adressage du réseau virtuel, et la plage de sous-réseau ne peut pas chevaucher
d’autres sous-réseaux d’un réseau virtuel. Si des appareils sont affectés à ce sous-
réseau, vous ne pouvez pas le modifier pour exclure les adresses déjà attribuées
à ces appareils.
2
Mise en réseau des
machines virtuelles
Dans ce chapitre, nous allons traiter des machines virtuelles (VM) Azure
et de l’interface réseau (NIC) utilisée comme interconnexion entre ces machines
virtuelles et le réseau virtuel Azure.
Dans ce chapitre, nous aborderons les procédures suivantes :
• Création de machines virtuelles Azure
• Affichage des paramètres réseau des machines virtuelles
• Création d'une carte réseau
• Association d'une carte réseau à une machine virtuelle
• Détachement d'une carte réseau à une machine virtuelle
Exigences techniques
Pour ce chapitre, les éléments suivants sont nécessaires :
• Un abonnement Azure
18 | Mise en réseau des machines virtuelles
Préparation
Avant de commencer, ouvrez un navigateur Web et accédez au portail Azure à l’adresse
suivante : https://portal.azure.com.
Comment faire...
Pour créer une machine virtuelle à l’aide du portail Azure, procédez comme suit :
1. Dans le portail Azure, sélectionnez Create a resource (Créer une ressource)
et choisissez la machine virtuelle Windows Server 2016 Datacenter (ou recherchez
une image de machine virtuelle en recherchant l'image dans la barre de recherche sur
Search the Marketplace [Rechercher dans le Marketplace]).
2. Dans le volet Create a virtual machine (Créer une machine virtuelle), nous devons
renseigner diverses options ; celles-ci ne concernent pas toute la mise en réseau. Tout
d’abord, nous devons renseigner les champs Subscription (Abonnement) et Resource
group (Groupe de ressources) Azure (créer un nouveau groupe de ressources
ou indiquer un groupe existant).
3. Dans la section Instance details (détails de l'instance), renseignez les champs Virtual
machine name (Nom de la machine virtuelle), Region (Région), Availability options
(Options de disponibilité) et Image (laissez la valeur par défaut dans le champ
Image ou remplacez-la par une autre image dans le menu déroulant). Des exemples
de paramétrage sont illustrés dans la Figure 2.1 :
4. Ensuite, nous devons choisir si nous souhaitons utiliser Azure Spot instance
(où la machine virtuelle s’exécute sur une capacité de datacenter inutilisée à un prix
inférieur, mais peut être désactivée si des ressources sont nécessaires ailleurs)
et renseigner les champs Size (Taille), Username (Nom d'utilisateur) et Password
(Mot de passe) relatifs à la machine virtuelle. Notez que pour le champ Username
(Nom d’utilisateur), vous ne pouvez pas utiliser de noms tels qu’admin, administrator,
sysadmin ou root. Le champ Password (Mot de passe) doit comporter au moins
12 caractères et satisfaire trois des quatre règles généralement utilisées (c’est-à-dire
combiner des majuscules, des minuscules, des caractères spéciaux et des chiffres).
La Figure 2.2 donne un exemple de l'écran complété :
6. Dans la section suivante, nous devons définir des disques. Nous pouvons choisir
entre Premium SSD (SSD Premium), Standard SSD (SSD standard) et Standard
HDD (HDD standard). Un disque de système d’exploitation est nécessaire et doit
être défini. Nous pouvons attacher des disques de données supplémentaires
selon les besoins. Il est également possible de les ajouter ultérieurement. L’option
de chiffrement par défaut consiste à utiliser des clés gérées par plateforme, mais
nous pouvons sélectionner des clés gérées par le client si nécessaire. Un exemple
de paramètres de disque avec uniquement le disque du système d’exploitation est
illustré dans la Figure 2.4 :
7. Après avoir défini les disques, nous passons aux paramètres de mise en réseau.
Il s’agit ici de définir les options Virtual network (Réseau virtuel) et Subnet (Sous-
réseau) que la machine virtuelle utilisera. Ces deux options sont obligatoires.
Vous pouvez choisir d’affecter l’adresse Public IP (IP publique) à la machine
virtuelle (vous avez la possibilité de désactiver l’adresse Public IP (IP publique),
d’en créer une nouvelle ou d’affecter une adresse IP existante). La dernière partie
du paramétrage réseau concerne la section NIC network security group (Groupe
de sécurité réseau de la carte réseau), où nous devons indiquer si nous voulons
utiliser un groupe de sécurité réseau de base ou avancé. Une autre option nous
permet également d'autoriser ou non les ports publics. Nous pouvons également
configurer les options supplémentaires Accelerated networking (Mise en réseau
accélérée) ou Load balancing (Équilibrage de charge). Un exemple de ces
paramètres réseau de machine virtuelle est illustré dans la Figure 2.5 :
Création de machines virtuelles Azure | 21
10. Dans la deuxième partie des Advanced options (Options avancées), nous pouvons
sélectionner des paramètres Host group (Groupe d'hôtes, cette option fournit un hôte
dédié qui nous permet de configurer et de gérer un serveur physique dans un datacenter
Azure) et Proximity placement group (Groupes de placement de proximité, pour
regrouper des serveurs dans la même région) Nous devons également déterminer si nous
souhaitons utiliser des machines virtuelles de la génération 1 ou de la génération 2. Les
options par défaut sont illustrées à la Figure 2.8 :
Figure 2.8 : affectation d'un hôte dédié à la configuration et à la gestion d’un serveur physique
11. Les derniers paramètres que nous pouvons modifier sont ceux des balises. Ces dernières
appliquent des métadonnées supplémentaires aux ressources Azure de façon à les
organiser de manière logique dans une taxonomie. L'onglet Tags (Balises) est illustré
à la Figure 2.9 :
12. Une fois tous les paramètres définis, nous passons à l’écran de validation, où tous nos
paramètres sont vérifiés une dernière fois. La validation effectuée, nous confirmons la
création d’une machine virtuelle en cliquant sur le bouton Create (Créer), comme illustré à
la Figure 2.10 :
Comment faire...
Lorsqu’une machine virtuelle est créée, une carte d’interface réseau (ou carte réseau) est
également créée au cours du processus. Les cartes réseau sont utilisées pour permettre
l’interconnexion entre la machine virtuelle et le réseau virtuel. Le réseau attribue une adresse IP
privée à la carte réseau. Dans la mesure où une carte réseau est associée à la fois à la machine
virtuelle et au réseau virtuel, l’adresse IP est utilisée par la machine virtuelle. Cette adresse
permet à la machine virtuelle de communiquer sur un réseau privé avec d’autres machines
virtuelles (ou d’autres ressources Azure) sur le même réseau. Les cartes réseau et les machines
virtuelles peuvent également se voir attribuer des adresses IP publiques. Une adresse publique
peut être utilisée pour communiquer avec la machine virtuelle via Internet, soit pour accéder
aux services, soit pour gérer la machine virtuelle.
Maintenant que nous avons créé une machine virtuelle Azure et défini des paramètres réseau,
passons à la section suivante et découvrons comment examiner ces paramètres réseau.
Affichage des paramètres réseau des machines virtuelles | 25
Préparation
Avant de commencer, ouvrez un navigateur Web et accédez au portail Azure
à l’adresse suivante : https://portal.azure.com. Recherchez ensuite la machine virtuelle
précédemment créée.
Comment faire...
Pour examiner les paramètres du réseau de machines virtuelles, procédez comme suit :
1. Dans le volet de la machine virtuelle, recherchez les paramètres Networking (Mise
en réseau). Les champs Network interface (Interface réseau), Application security
groups (Groupes de sécurité d’application) et Network security group (Groupe
de sécurité réseau) associés à la machine virtuelle y sont affichés. La Figure 2.11
vous en donne un exemple :
2. Si nous sélectionnons l’un des éléments réseau associés, d’autres détails s’affichent.
Par exemple, si nous sélectionnons l’option Network interface (Interface réseau)
associée à la machine virtuelle, nous pouvons voir d’autres informations de mise en
réseau telles que Private IP address (Adresse IP privée), Public IP address (Adresse IP
publique), Virtual network/subnet (Réseau/sous-réseau virtuel), Network security
group (Groupe de sécurité réseau), IP configurations (Configurations IP) et DNS
servers (Serveurs DNS). L'affichage de cette carte réseau est illustré à la Figure 2.12 :
Comment faire...
Les informations de mise en réseau sont affichées à plusieurs endroits, notamment dans
les paramètres réseau de la machine virtuelle. Chaque ressource Azure dispose d’un volet
distinct et constitue une ressource individuelle. Nous pouvons donc afficher ces paramètres
dans divers endroits. Toutefois, l’image la plus complète des paramètres réseau de machine
virtuelle que nous puissions obtenir se trouve dans les volets de la machine virtuelle
et de la carte réseau.
Préparation
Avant de commencer, ouvrez un navigateur Web et accédez au portail Azure à l’adresse
suivante : https://portal.azure.com.
Création d'une carte réseau | 27
Comment faire...
Pour créer une instance de carte réseau à l’aide du portail Azure, procédez comme suit :
1. Dans le portail Azure, sélectionnez Create a resource (Créer une ressource), puis dans
les services Networking (Mise en réseau), choisissez Network interface (Interface réseau)
ou entrez network interface (interface réseau) dans la barre de recherche.
2. Dans le volet de création, nous devons renseigner les champs Name (Nom) et Virtual
network (Réseau virtuel) qui seront associés à la carte réseau. Nous devons également
préciser le type d’affectation d’adresse IP (Dynamic [Dynamique] ou Static [Statique]),
sous Network security group (Groupe de sécurité réseau), indiquer si nous voulons que
la carte réseau soit associée à un type de groupe particulier et, enfin, spécifier si nous
voulons utiliser IPv6. Toutes les ressources Azure nécessitent de renseigner les champs
Subscription (Abonnement), Resource group (Groupe de ressources) et Region (Région),
et les cartes réseau ne font pas exception. Les informations nécessaires pour créer une
carte réseau sont illustrées à la Figure 2.13 :
Comment faire...
Il n’est pas possible de créer une carte réseau sans l’associer à un réseau, et cette association
doit être affectée à un réseau virtuel et à un sous-réseau. Cette opération s’effectue au cours
du processus de création et ne peut pas être modifiée ultérieurement. En revanche, il est
possible de modifier l’attachement à une machine virtuelle et la carte réseau peut être attachée
à une machine virtuelle ou détachée de celle-ci à tout moment.
28 | Mise en réseau des machines virtuelles
Préparation
Avant de commencer, ouvrez un navigateur Web et accédez au portail Azure à l’adresse suivante :
https://portal.azure.com. Recherchez la machine virtuelle que nous avons créée plus tôt dans
ce chapitre.
Comment faire...
Pour attacher une carte réseau à une machine virtuelle, procédez comme suit :
1. Dans le volet de la machine virtuelle, assurez-vous que la machine virtuelle est arrêtée
(c’est-à-dire, désallouée).
2. Recherchez les paramètres Networking (Mise en réseau) dans le volet
de la machine virtuelle.
3. En haut de l’écran Networking (Mise en réseau), sélectionnez l’option Attach network
interface (Attacher l’interface réseau).
4. Une nouvelle option s’affiche, laquelle vous permet de créer une nouvelle carte réseau
ou de sélectionner une carte réseau déjà existante non associée à la machine virtuelle.
5. Cliquez sur OK. En quelques instants, le processus est terminé et la carte réseau est
associée à la machine virtuelle. La Figure 2.14 vous en donne un exemple :
Comment faire...
Chaque machine virtuelle peut disposer de plusieurs cartes réseau. Le nombre de cartes réseau
qui peuvent être associées à une machine virtuelle dépend du type et de la taille de la machine
virtuelle. Pour attacher une carte réseau à une machine virtuelle, celle-ci doit être arrêtée
(autrement dit, désallouée) ; vous ne pouvez pas ajouter une carte réseau supplémentaire
à une machine virtuelle en cours d’exécution.
Détachement d'une carte réseau à une machine virtuelle | 29
Préparation
Avant de commencer, ouvrez un navigateur Web et accédez au portail Azure à l’adresse
suivante : https://portal.azure.com. Recherchez ensuite la machine virtuelle précédemment
créée.
Comment faire...
Pour détacher une carte réseau d'une machine virtuelle, procédez comme suit :
1. Dans le volet de la machine virtuelle, assurez-vous que la machine virtuelle est arrêtée
(c’est-à-dire, désallouée).
2. Recherchez les paramètres Networking (Mise en réseau) dans le volet
de la machine virtuelle.
3. En haut de l’écran Networking (Mise en réseau), sélectionnez l’option Detach network
interface (Détacher l’interface réseau).
4. Sélectionnez la carte réseau que vous souhaitez détacher de la machine virtuelle.
5. Cliquez sur OK. En quelques instants, le processus est terminé et la carte réseau n’est
plus associée à la machine virtuelle. La Figure 2.15 vous en donne un exemple :
Comment faire...
Pour détacher une carte réseau, la machine virtuelle associée à la carte réseau doit
être arrêtée (autrement dit, désallouée). Au moins une carte réseau doit être associée
à la machine virtuelle ; vous ne pouvez donc pas supprimer la dernière carte réseau d’une
machine virtuelle. Toutes les associations réseau restent avec la carte réseau ; elles sont
affectées à la carte réseau, et non à la machine virtuelle.
3
Groupes de
sécurité réseau
Les Groupes de sécurité réseau (NSG) sont des outils intégrés permettant de contrôler
le réseau. Ils permettent de contrôler le trafic entrant et sortant sur une interface
réseau ou au niveau du sous-réseau. Ils contiennent des ensembles de règles qui
autorisent un trafic spécifique à accéder à des ressources ou des sous-réseaux données
dans Azure ou qui leur en refuse l’accès. Un NSG peut être associé à un sous-réseau
(en appliquant des règles de sécurité à toutes les ressources associées au sous-
réseau) ou à une Carte d’interface réseau (NIC), en appliquant des règles de sécurité
à la machine virtuelle (VM) associée à la NIC.
32 | Groupes de sécurité réseau
Exigences techniques
Pour ce chapitre, les éléments suivants sont nécessaires :
• Un abonnement Azure
• Azure PowerShell
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure
à l’adresse suivante : https://portal.azure.com.
Création d’un NSG dans le portail Azure | 33
Comment faire...
Pour créer un NSG à l’aide du portail Azure, procédez comme suit :
1. Dans le portail Azure, sélectionnez Create a resource (Créer une ressource), puis
dans Networking (Mise en réseau), choisissez Network security group (Groupe
de sécurité réseau) ou entrez network security group dans la barre de recherche.
2. Les paramètres que nous devons définir pour le déploiement sont Subscription
(Abonnement), Resource group (Groupe de ressources), Name (Nom) et Region
(Région). Un exemple des paramètres requis est illustré dans la Figure 3.1 :
Une fois le déploiement validé et démarré (cela prend quelques instants), le NSG
est prêt à l’emploi.
Comment faire...
Le déploiement du NSG peut être initié lors du déploiement de la machine virtuelle.
Cette opération associera le NSG à la carte réseau associée à la machine virtuelle
déployée. Dans ce cas, le NSG est déjà associé à la ressource, et les règles définies dans
le NSG s’appliquent uniquement à la machine virtuelle associée.
Si le NSG est déployé séparément, comme dans cette procédure, il n’est pas associé
et les règles qui sont créées ne sont pas appliquées tant qu'une association avec la carte
réseau ou le sous-réseau n’a pas été créée. Lorsqu’un NSG est associé à un sous-réseau,
ses règles s’appliquent à toutes les ressources du sous-réseau.
Passons à la prochaine procédure et découvrons comment créer un NSG à l'aide
de PowerShell.
34 | Groupes de sécurité réseau
Préparation
Ouvrez la console PowerShell et assurez-vous que vous êtes connecté à votre
abonnement Azure. Consultez le Chapitre 1, Réseau virtuel Azure, pour vous remémorer
la procédure à suivre.
Comment faire...
Pour déployer un nouvel NSG, exécutez la commande suivante :
New-AzNetworkSecurityGroup -Name "nsg1" -ResourceGroupName "Packt-Networking-
Script" -Location "westeurope"
Comment faire...
Le script utilise le Resource Group (Groupe de ressources[RG]) qui a été déployé dans
le Chapitre 1, Réseau virtuel Azure (nous allons utiliser le même groupe de ressources
pour tous les déploiements). Si ce n'est pas le cas, un nouveau groupe de ressources
doit être déployé avant l’exécution du script. Le résultat final sera le même que celui
que vous auriez obtenu en utilisant le portail Azure : la création d’un NSG avec des
règles par défaut. L’un des avantages de l’utilisation de PowerShell réside dans le fait
que nous pouvons ajouter des règles supplémentaires durant le déploiement en vue
d'automatiser le processus. Nous en verrons un exemple dans la section Création d’une
règle NSG avec PowerShell, plus loin dans ce chapitre.
Cette procédure vous a appris à créer un NSG à l’aide de PowerShell. Passons
à la prochaine procédure et découvrons comment autoriser des règles dans le NSG
à l’aide du portail Azure.
Création d’une règle d’autorisation dans un NSG | 35
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure
à l’adresse suivante : https://portal.azure.com. Recherchez ensuite le NSG
précédemment créé.
Comment faire...
Pour créer une règle d’autorisation NSG à l’aide du portail Azure, procédez comme suit :
1. Dans le volet NSG, cherchez l'option Inbound security rules (Règles de sécurité
de trafic entrant) dans Settings (Paramètres).
2. Cliquez sur le bouton Add (Ajouter) en haut de la page et attendez que le nouveau
volet s’ouvre :
3. Dans le nouveau volet, nous devons renseigner les champs Source (emplacement
et plage de ports), Destination (emplacement et plage de ports), Protocol
(Protocole), Action, Priority (Priorité), Name (Nom) et Description. Si vous
souhaitez autoriser le trafic, sous Action, veillez à sélectionner Allow (Autoriser).
Un exemple de création d’une règle autorisant le trafic sur le port 443 (autorisant
ainsi le trafic vers le serveur Web) est illustré dans la Figure 3.3 :
Comment faire...
Par défaut, l’intégralité du trafic provenant d’Azure Load Balancer ou du réseau virtuel
Azure est autorisée. L’intégralité du trafic entrant via Internet est refusée. Pour
modifier ce comportement, des règles supplémentaires doivent être créées. Assurez-
vous de définir la priorité appropriée lorsque vous créez des règles. Les règles dont
la priorité est la plus élevée (c’est-à-dire celles dont le numéro est le plus petit) sont
traitées en premier. Ainsi, en présence de deux règles, l’une qui refuse le trafic et l’autre
qui l’autorise, celle qui a la priorité la plus élevée prévaudra et l’autre sera ignorée.
Cette procédure vous a appris à créer une règle pour autoriser le trafic entrant.
La prochaine procédure explique comment créer une règle dans le NSG pour refuser
le trafic.
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure
à l’adresse suivante : https://portal.azure.com. Recherchez ensuite le NSG
précédemment créé.
Comment faire...
Pour créer une nouvelle règle de refus NSG à l’aide du portail Azure, procédez
comme suit :
1. Dans le volet NSG, recherchez l’option Outbound security rules (Règles
de sécurité de trafic sortant) dans Settings (Paramètres).
2. Cliquez sur le bouton Add (Ajouter) en haut de la page et attendez que le nouveau
volet s’ouvre :
Comment faire...
L’intégralité du trafic sortant est autorisée par défaut, quelle que soit sa destination.
Si nous voulons refuser explicitement le trafic sur un port spécifique, nous devons
créer une règle à cet effet. Assurez-vous de définir la priorité appropriée lorsque vous
créez des règles. Les règles dont la priorité est la plus élevée (celles dont le numéro
est le plus petit) sont traitées en premier. Ainsi, en présence de deux règles, l’une
qui refuse le trafic et l’autre qui l’autorise, la règle appliquée sera celle dont la priorité
est la plus élevée.
Passons à la prochaine procédure et découvrons comment créer une règle NSG à l’aide
de PowerShell.
Préparation
Ouvrez la console PowerShell et assurez-vous que vous êtes connecté à votre
abonnement Azure.
Comment faire...
Pour créer une nouvelle règle NSG, exécutez la commande suivante :
$nsg = Get-AzNetworkSecurityGroup -Name 'nsg1' -ResourceGroupName 'Packt-
Networking-Script'
$nsg | Add-AzNetworkSecurityRuleConfig -Name 'Allow_HTTPS' -Description
'Allow_HTTPS' -Access Allow -Protocol Tcp -Direction Inbound -Priority 100
-SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix *
-DestinationPortRange 443 | Set-AzNetworkSecurityGroup
Comment faire...
Lorsque vous utilisez un script, la création d’une règle NSG n’est qu’une question
de paramètres. Le paramètre Access (Accès), qui peut avoir pour valeur Allow (Autoriser)
ou Deny (Refuser), indique si vous voulez autoriser ou refuser le trafic. Le paramètre
Direction, qui peut avoir la valeur Inbound (Entrant) ou Outbound (Sortant), détermine
si la règle concerne le trafic entrant ou sortant. Tous les autres paramètres sont
identiques, quel que soit le type de règle que nous voulons créer. Encore une fois,
la priorité joue un rôle très important, nous devons donc nous assurer qu’elle
est bien choisie.
40 | Groupes de sécurité réseau
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure
à l’adresse suivante : https://portal.azure.com. Recherchez ensuite le NSG
précédemment créé.
Comment faire...
Pour affecter un NSG à un sous-réseau, procédez comme suit :
1. Dans le volet du NSG, sous Settings (Paramètres), recherchez Subnets (Sous-
réseaux).
2. Cliquez sur le bouton Associate (Associer) en haut de la page et attendez que
le nouveau volet s’ouvre :
Affectation d’un NSG à un sous-réseau | 41
3. Dans le nouveau volet, sélectionnez d’abord le réseau virtuel qui contient le sous-
réseau auquel vous souhaitez associer le NSG, puis sélectionnez le sous-réseau,
comme indiqué dans la Figure 3.7 :
4. Une fois la modification soumise, le sous-réseau apparaît dans la liste des sous-
réseaux associés :
Comment faire...
Lorsqu’un NSG est associé à un sous-réseau, les règles du NSG s’appliquent à toutes les
ressources du sous-réseau. Notez que le sous-réseau peut être associé à plusieurs NSG
et que, dans ce cas, les règles de tous les NSG s’appliquent. Dans le cas d’un seul NSG,
la priorité est le facteur le plus important. En revanche, lorsque les règles de plusieurs
NSG sont observées, la règle Deny (Refus) est celle qui prévaut. Ainsi, si deux NSG
appartiennent à un même sous-réseau, le premier qui Autorise le trafic sur le port 443
et le second qui refuse le trafic sur ce même port, le trafic y sera refusé.
Passons à la prochaine procédure et découvrons comment attribuer un NSG à une
interface réseau.
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure
à l’adresse suivante : https://portal.azure.com. Recherchez ensuite le NSG
précédemment créé.
Comment faire...
Pour affecter un NSG à une interface réseau, procédez comme suit :
1. Dans le volet du NSG, sous Settings (Paramètres), recherchez Network interfaces
(Interfaces réseaux).
Affectation d’un NSG à une interface réseau | 43
3. Sélectionnez la carte d’interface réseau que vous souhaitez associer au NSG dans
la liste des éléments disponibles :
Comment faire...
Lorsqu’un NSG est associé à une carte réseau, les règles du NSG ne s’appliquent qu’à
une seule carte réseau (ou à la machine virtuelle associée à la carte réseau). La carte
réseau ne peut être associée qu’à un seul NSG directement, mais un sous-réseau
associé à une carte réseau peut lui-même être associé à un autre NSG (ou même
à plusieurs NSG). Le principe est le même que lorsque nous avons plusieurs NSG
affectés à un seul sous-réseau et que la règle de refus est la règle prioritaire. Si l’un des
NSG autorise le trafic sur un port alors qu’un autre le bloque, le trafic sera refusé.
Cette procédure vous a appris à attribuer un NSG à une interface réseau. Passons
à la prochaine procédure et découvrons comment attribuer un NSG à l’aide
de PowerShell.
Préparation
Ouvrez la console PowerShell et assurez-vous que vous êtes connecté à votre
abonnement Azure.
Comment faire...
Pour associer un NSG à un sous-réseau, exécutez la commande suivante :
$vnet = Get-AzVirtualNetwork -Name 'Packt-Script' -ResourceGroupName 'Packt-
Networking-Script'
$subnet = Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name
BackEnd
$nsg = Get-AzNetworkSecurityGroup -ResourceGroupName 'Packt-Networking-
Script' -Name 'nsg1'
$subnet.NetworkSecurityGroup = $nsg
Set-AzVirtualNetwork -VirtualNetwork $vnet
Comment faire...
Pour attribuer un NSG à l'aide de PowerShell, nous devons collecter des informations
sur le réseau virtuel, le sous-réseau et le NSG. Une fois toutes les informations
collectées, nous pourrons effectuer l’association à l’aide de la commande
Set-AzVirtualNetwork et appliquer les modifications.
Passons à la prochaine procédure et découvrons comment créer un ASG à l’aide
du portail Azure.
Création d’un groupe de sécurité d’application (ASG) | 45
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure
à l’adresse suivante : https://portal.azure.com.
Comment faire...
Pour créer un ASG à l’aide du portail Azure, procédez comme suit :
1. Dans le portail Azure, sélectionnez Create a resource (Créer une ressource), puis
dans Networking (Mise en réseau), choisissez Application security group (Groupe
de sécurité des applications) ou entrez application security group (groupe
de sécurité des applications) dans la barre de recherche.
2. Les paramètres que nous devons définir pour le déploiement sont Subscription
(Abonnement), Resource group (Groupe de ressources), Name (Nom) et Region
(Région). Un exemple des paramètres requis est illustré dans la Figure 3.11 :
Comment faire...
Utilisés seuls, les ASG présentent peu d’intérêt. Ils doivent être associés à des NSG
de manière à créer des règles permettant un meilleur contrôle du trafic grâce
à l’application de contrôles supplémentaires avant que le trafic ne soit autorisé.
Maintenant que nous avons créé un ASG, passons à une nouvelle procédure qui nous
permettra d'associer l’ASG à une machine virtuelle.
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure
à l’adresse suivante : https://portal.azure.com. Recherchez ensuite la machine virtuelle
précédemment créée.
Comment faire...
Pour associer un ASG à une machine virtuelle, procédez comme suit :
1. Dans le volet de la machine virtuelle, recherchez les paramètres Networking
(Mise en réseau).
2. Dans les paramètres Networking (Mise en réseau), sélectionnez l’onglet
Application security groups (Groupes de sécurité d'application), comme illustré
dans la Figure 3.12 :
4. Dans le nouveau volet, dans la liste des ASG disponibles, sélectionnez l’ASG que
vous souhaitez associer à la machine virtuelle :
5. Après avoir cliqué sur Save (Enregistrer), vous devez patienter quelques secondes
pour que les modifications soient appliquées et que la machine virtuelle soit
associée à l’ASG.
48 | Groupes de sécurité réseau
Comment faire...
La machine virtuelle doit être associée à l’ASG. Nous pouvons associer plusieurs
machines virtuelles à chaque ASG. L’ASG est ensuite utilisé en association avec le NSG
pour créer des règles NSG.
La prochaine procédure explique comment créer des règles à l’aide d’un NSG
et d’un ASG.
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure
à l’adresse suivante : https://portal.azure.com. Recherchez ensuite le NSG
précédemment créé.
Comment faire...
Pour créer une règle à l’aide d’un ASG et d’un NSG, procédez comme suit :
1. Dans le volet du NSG, recherchez Inbound security rules (Règles de sécurité
de trafic entrant). Sélectionnez Add (Ajouter) pour ajouter une nouvelle règle.
2. Pour la source, sélectionnez Application Security Group (Groupe de sécurité
d’application), puis sélectionnez l’ASG que vous souhaitez utiliser en tant que
source. Nous devons également renseigner les champs Source, Source port
ranges (Plages de ports sources), Destination, Destination port ranges (Plages
de ports de destination), Protocol (Protocole), Action, Priority (Priorité), Name
(Nom) et Description. La figure 3.15 en présente un exemple :
Création de règles avec un NSG et un ASG | 49
Comment faire...
Si nous utilisons uniquement des NSG pour créer des règles, nous pouvons créer des
règles d’autorisation ou de refus du trafic pour une adresse IP ou une plage spécifique.
Avec un ASG, nous pouvons élargir ou restreindre ces règles selon les besoins. Par
exemple, nous pouvons créer une règle pour autoriser les machines virtuelles d’un
sous-réseau frontend, mais uniquement si ces machines virtuelles se trouvent dans
un ASG spécifique. Nous pouvons également autoriser l’accès à un certain nombre
de machines virtuelles provenant de différents réseaux virtuels et sous-réseaux, mais
uniquement si elles appartiennent à un ASG spécifique.
4
Gestion des
adresses IP
Dans Azure, nous pouvons avoir deux types d’adresses IP : les adresses publiques et
les adresses privées. Les adresses publiques sont accessibles via Internet. Les adresses
privées proviennent de l’espace d’adressage du réseau virtuel Azure et sont utilisées
pour les communications privées sur les réseaux privés. Les adresses peuvent être
affectées à une ressource ou constituer une ressource distincte.
52 | Gestion des adresses IP
Exigences techniques
Pour ce chapitre, les éléments suivants sont nécessaires :
• Un abonnement Azure
• Azure PowerShell
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure
à l’adresse suivante : https://portal.azure.com.
Création d’une adresse IP publique dans le portail Azure | 53
Comment faire...
Pour créer une nouvelle adresse IP publique, procédez comme suit :
1. Dans le portail Azure, sélectionnez Create a resource (Créer une ressource), puis dans les services
Networking (Mise en réseau), choisissez Public IP address (Adresse IP publique) ou entrez public IP
address (adresse IP publique) dans la barre de recherche.
2. Les paramètres que nous devons définir pour le déploiement sont IP Version (Version IP), SKU
(Référence), Name (Nom), IP address assignment (Affectation d’adresses IP), DNS name label
(Étiquette du nom DNS), Subscription (Abonnement), Resource group (Groupe de ressources) et
Location (Emplacement). Le délai d’inactivité (la durée pendant laquelle la connexion reste ouverte
sans activité) est défini par défaut à 4 minutes, mais peut être augmenté à 30 minutes au maximum.
Un exemple des paramètres requis est illustré dans la Figure 4.1 :
Comment faire...
La référence (SKU) peut être de type Basic (De base) ou Standard. Les principales
différences résident dans le fait que la référence Standard est fermée au trafic entrant
par défaut (le trafic entrant doit figurer dans la liste blanche de Network Security Groups
[Groupes de sécurité réseau] [NSG]) et qu’elle est redondante interzone. Autre différence,
les adresses IP publiques de référence standard ont une affectation statique, tandis que
les adresses IP publiques de référence de base peuvent avoir une affectation statique ou
dynamique.
Vous pouvez choisir la version IPv4 ou IPv6 ou les deux versions pour l’adresse IP.
Toutefois, sachez que la version IPv6 ne permet qu’une affectation dynamique pour la
référence de base et qu'une affectation statique pour la référence standard.
L’étiquette de nom DNS est facultative ; elle peut être utilisée pour résoudre le point de
terminaison en cas de sélection d’une affectation dynamique. Dans les autres cas, inutile
de créer une étiquette DNS, car il est toujours possible d’utiliser une adresse IP pour
résoudre le point de terminaison en cas de sélection d’une affectation statique.
Préparation
Ouvrez la console PowerShell et assurez-vous que vous êtes connecté à votre abonnement
Azure.
Comment faire...
Pour déployer une nouvelle adresse IP publique, exécutez la commande suivante :
New-AzPublicIpAddress -Name 'ip-public-script' -ResourceGroupName 'Packt-
Networking-Script' -AllocationMethod Dynamic -Location 'westeurope'
Comment faire...
Cette commande aboutit à la création d’une adresse IP publique. Dans notre cas, les
paramètres seront les suivants : affectation dynamique de référence de base, version
IPv4 et absence d’étiquette DNS. En outre, nous pouvons utiliser des commutateurs
supplémentaires tels que -SKU pour sélectionner Basic (De base) ou Standard,
-IPAddressVersion pour choisir entre IPv4 et IPv6 ou -DomainNamelabel pour spécifier
l’étiquette DNS. Il s’agit de paramètres facultatifs. Si ceux-ci ne sont pas renseignés,
Azure créera l’adresse IP publique avec les valeurs par défaut susmentionnées.
Affectation d’une adresse IP publique | 55
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure
à l’adresse suivante : https://portal.azure.com.
Comment faire...
Pour attribuer une adresse IP publique, procédez comme suit :
1. Recherchez l’interface réseau (NIC) à laquelle vous souhaitez affecter
l’adresse IP. Cela peut être fait directement en recherchant la carte réseau,
ou via le volet de la machine virtuelle à laquelle la carte réseau est affectée.
2. Dans le volet Network interface (Interface réseau), sous Settings (Paramètres),
accédez à IP configurations (Configurations IP), puis sélectionnez la configuration
illustrée dans la Figure 4.2 :
Comment faire...
Une adresse IP publique constitue une ressource distincte et peut être affectée à une
autre ressource à tout moment. Lorsqu’une adresse IP publique est attribuée, vous pouvez
l’utiliser pour accéder aux services exécutés sur la ressource à laquelle l’adresse IP est
attribuée (n’oubliez pas qu’un NSG approprié doit être appliqué). Nous pouvons également
supprimer une adresse IP d’une ressource et l’affecter à une nouvelle ressource. Par
exemple, si nous voulons migrer des services vers une nouvelle machine virtuelle, l’adresse
IP peut être supprimée de l’ancienne machine virtuelle, puis affectée à la nouvelle. De cette
manière, les points de terminaison de service exécutés sur la machine virtuelle ne seront
pas modifiés. Cela est particulièrement utile lorsque des adresses IP statiques sont utilisées.
Annulation de l’affectation d’une adresse IP publique | 57
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure
à l’adresse suivante : https://portal.azure.com. Assurez-vous que la machine virtuelle qui
utilise une adresse IP publique n’est pas en cours d’exécution.
Comment faire...
Pour annuler l'affectation d'une adresse IP publique, procédez comme suit :
1. Recherchez la carte réseau à laquelle l’adresse IP publique est associée.
2. Dans le volet Network interface (Interface réseau), sous Settings (Paramètres),
accédez à IP configurations (Configurations IP) et sélectionnez la configuration IP :
4. Une fois les modifications apportées, cliquez sur Save (Enregistrer) pour appliquer
la nouvelle configuration.
Comment faire...
Vous pouvez affecter une adresse IP publique à une ressource, ou annuler son
affectation à une ressource afin de l’enregistrer pour une utilisation ultérieure ou pour
la transférer vers une nouvelle ressource. Pour la supprimer, il suffit de désactiver
l’adresse IP publique dans la configuration IP de la carte réseau à laquelle l’adresse
IP est attribuée. Cette action supprime l’association, mais conserve l’adresse IP en tant
que ressource distincte.
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure à l’adresse
suivante : https://portal.azure.com.
Création d’une réservation d’adresse IP publique | 59
Comment faire...
Pour créer une réservation d’adresse IP publique, procédez comme suit :
1. Recherchez l’adresse IP publique dans le portail Azure. Pour ce faire, vous pouvez rechercher
l’adresse IP directement ou via la ressource à laquelle elle est affectée (carte réseau ou machine
virtuelle).
2. Dans le volet Public IP address (Adresse IP publique) sous Settings (Paramètres), accédez
à Configuration. Sous Assignment (Affectation), sélectionnez Static (Statique) au lieu de
Dynamic (Dynamique), comme illustré dans la Figure 4.6 :
Comment faire...
Les adresses IP publiques sont définies sur la valeur Dynamic par défaut. Cela signifie qu’une adresse
IP peut changer dans le temps. Par exemple, si une machine virtuelle à laquelle une adresse IP est
attribuée est désactivée ou redémarrée, il est possible que l’adresse IP change une fois la machine
virtuelle à nouveau opérationnelle. Cela peut entraîner des problèmes si des services qui s’exécutent
sur la machine virtuelle sont accessibles via l’adresse IP publique, ou s’il existe un enregistrement
DNS associé à l’adresse IP publique.
Pour éviter un tel scénario et faire en sorte que l’adresse IP soit réservée pour nos services, il
convient de créer une réservation IP et de définir l’affectation sur la valeur statique.
60 | Gestion des adresses IP
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure
à l’adresse suivante : https://portal.azure.com. Assurez-vous que l’adresse IP n’est
associée à aucune ressource.
Comment faire...
Pour supprimer une réservation d’adresse IP publique, procédez comme suit :
1. Recherchez l’adresse IP publique dans le portail Azure.
2. Dans le volet Public IP address (Adresse IP publique), sous Settings (Paramètres),
accédez à Configuration et attribuez à Assignement (Affectation) la valeur
Dynamic (Dynamique) :
Comment faire...
Pour supprimer une réservation IP d’une adresse IP publique, l’adresse IP publique ne doit
être associée à aucune ressource. Nous pouvons supprimer la réservation en attribuant
à l’affectation d’adresse IP la valeur Dynamic (Dynamique).
La raison principale des suppressions de réservation est la tarification. Dans Azure, les
cinq premières réservations d’adresses IP publiques sont gratuites, mais chaque nouvelle
réservation est ensuite facturée. Pour éviter des dépenses inutiles, nous pouvons
supprimer une réservation si elle n’est pas nécessaire ou si l’adresse IP publique n’est
pas utilisée.
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure à l’adresse
suivante : https://portal.azure.com.
Comment faire...
Pour créer une réservation d’adresse IP privée, procédez comme suit :
1. Dans le portail Azure, recherchez la carte réseau pour laquelle vous souhaitez
effectuer la réservation.
2. Dans le volet Network interface (Interface réseau), sous Settings (Paramètres),
accédez à IP configurations (Configurations IP) et sélectionnez la configuration IP :
3. Dans le nouveau volet, sous les paramètres Private IP address (Adresse IP privée),
attribuez à Assignement (Affectation) la valeur Static (Statique). La valeur de
l’adresse IP actuelle est définie automatiquement. Si nécessaire, vous pouvez
remplacer cette valeur par une autre valeur, mais elle doit se trouver dans l’espace
d’adressage du sous-réseau associé à la carte réseau :
4. Une fois ces modifications apportées, cliquez sur Save (Enregistrer) pour appliquer
la nouvelle configuration.
Comment faire...
Une réservation peut être effectuée pour les adresses IP privées. La différence réside
dans le fait qu’une adresse IP privée n’existe pas en tant que ressource distincte, mais
qu’elle est affectée à une carte réseau.
Une autre différence est qu’il est possible de sélectionner une valeur pour une adresse
IP privée. Les adresses IP publiques sont attribuées de manière aléatoire et elles
peuvent être réservées, mais vous ne pouvez pas choisir la valeur réservée. Dans
le cas d’adresses IP privées, vous pouvez sélectionner la valeur de l’adresse IP, mais
il doit s’agir d’une adresse IP inutilisée du sous-réseau associé à la carte réseau.
Modification d’une réservation d’adresse IP privée | 63
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure
à l’adresse suivante : https://portal.azure.com.
Comment faire...
Pour modifier une réservation d’adresse IP privée, procédez comme suit :
1. Dans le portail Azure, recherchez la carte réseau à laquelle vous souhaitez apporter
des modifications.
2. Dans le volet Network interface (Interface réseau), sous Settings (Paramètres),
accédez à IP configurations (Configurations IP) et sélectionnez la configuration IP :
Figure 4.10 : localisation des configurations IP dans le volet Network interface (Interface réseau)
64 | Gestion des adresses IP
4. Une fois ces modifications apportées, cliquez sur Save (Enregistrer) pour appliquer
la nouvelle configuration.
Comment faire...
Une réservation d’adresse IP privée peut être modifiée. Encore une fois, la valeur doit
être une adresse IP inutilisée d’un sous-réseau associé à la carte réseau. Si la machine
virtuelle associée à la carte réseau est désactivée, la nouvelle adresse IP est attribuée
lors de son démarrage suivant. Si la machine virtuelle est en cours d’exécution,
celle-ci est redémarrée pour appliquer les nouvelles modifications.
Annulation d’une réservation d’adresse IP privée | 65
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure
à l’adresse suivante : https://portal.azure.com.
Comment faire...
Pour supprimer une réservation d’adresse IP privée, procédez comme suit :
1. Dans le portail Azure, recherchez la carte réseau à laquelle vous souhaitez apporter
des modifications.
2. Dans le volet Network interface (Interface réseau), sous Settings (Paramètres),
accédez à IP configurations (Configurations IP) et sélectionnez la configuration IP :
Figure 4.12 : sélection des configurations IP dans le volet Network interface (Interface réseau)
66 | Gestion des adresses IP
4. Une fois ces modifications apportées, cliquez sur Save (Enregistrer) pour appliquer
la nouvelle configuration.
Comment faire...
Nous pouvons supprimer une réservation d’adresse IP privée à tout moment en
remplaçant la valeur du champ Assignment (Affectation) par Dynamic (Dynamique).
Une fois cette modification effectuée, la machine virtuelle associée à la carte réseau
est redémarrée pour appliquer les nouvelles modifications. Lorsqu’une modification
a été apportée, les adresses IP privées peuvent changer après le redémarrage ou la
désactivation de la machine virtuelle.
Ajout de plusieurs adresses IP à une carte réseau | 67
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure
à l’adresse suivante : https://portal.azure.com.
Comment faire...
1. Dans le portail Azure, recherchez la carte réseau à laquelle vous souhaitez
apporter des modifications.
2. Dans le volet Network interface (Interface réseau) sous Settings (Paramètres),
accédez à IP configurations (Configurations IP) et cliquez sur Add (Ajouter) :
Comment faire...
Plusieurs configurations IP peuvent être attribuées à chaque carte réseau. Chaque
configuration IP doit avoir une adresse IP privée et peut avoir une adresse IP publique.
Il est donc possible d’ajouter une adresse IP privée sans adresse IP publique, mais
pas l’inverse. Nous disposons donc de différentes options de routage, tout en ayant
la possibilité de communiquer avec différents services et applications sur diverses
adresses IP. Le routage est expliqué plus en détail dans le chapitre 6 : DNS et routage.
70 | Gestion des adresses IP
Comment faire...
Pour créer un préfixe IP public, procédez comme suit :
1. Dans le portail Azure, sélectionnez Create a resource (Créer une ressource), puis dans
les services Networking (Mise en réseau), choisissez Public IP prefix (Préfixe IP public)
ou entrez Public IP prefix (Préfixe IP public) dans la barre de recherche.
2. Renseignez les champs Subscription (Abonnement), Resource group (Groupe de
ressources), Name (Nom), Region (Région) et IP Version (Version IP). L'option SKU
(Référence) ne peut être sélectionnée et est définie sur Standard. Définissez le nombre
d’adresses IP que vous souhaitez réserver dans le champ Prefix size (Taille du préfixe) :
Comment faire...
Lorsque nous créons un préfixe IP public, l’association d’adresses IP publiques n’est pas
exécutée de façon aléatoire, mais à partir d’un pool d’adresses réservées pour nous.
À bien des égards, cette opération est similaire à la création d’un réseau virtuel et à la
définition d’un espace d’adressage IP privé, sauf qu'il s'agit ici d'adresses IP publiques.
Cette méthode peut s'avérer très utile si vous souhaitez connaître les adresses à
l’avance. Imaginons que vous deviez créer une règle de pare-feu pour chaque service
créé. Vous devriez dans ce cas attendre le déploiement de chaque service et obtenir une
adresse IP publique une fois qu’il aura été créé. Avec un préfixe IP public, les adresses IP
sont connues à l’avance et nous pouvons définir une règle pour une plage d’adresses IP,
plutôt que de le faire pour chaque adresse IP.
5
Passerelles de réseau
local et de réseau
virtuel
Les passerelles de réseau local et de réseau virtuel sont des passerelles de réseau privé
virtuel (VPN) utilisées pour se connecter à des réseaux locaux et pour chiffrer l’ensemble
du trafic entre le réseau virtuel Azure (VNet) et un réseau local. Chaque réseau virtuel
ne peut avoir qu’une seule passerelle de réseau virtuel, mais une passerelle de réseau
virtuel peut être utilisée pour configurer plusieurs connexions VPN.
Dans ce chapitre, nous aborderons les procédures suivantes :
• Création d’une passerelle de réseau local dans le portail Azure
• Création d’une passerelle de réseau local avec PowerShell
• Création d’une passerelle de réseau virtuel dans le portail Azure
• Création d’une passerelle de réseau virtuel avec PowerShell
• Modification des paramètres de la passerelle de réseau local
74 | Passerelles de réseau local et de réseau virtuel
Exigences techniques
Pour ce chapitre, les éléments suivants sont nécessaires :
• Un abonnement Azure
• Azure PowerShell
Préparation
Avant de commencer, ouvrez un navigateur Web et accédez au portail Azure à l’adresse
suivante : https://portal.azure.com.
Comment faire...
Pour créer une nouvelle passerelle de réseau local, procédez comme suit :
1. Dans le portail Azure, sélectionnez Create a resource (Créer une ressource), puis
dans les services Networking (Mise en réseau), choisissez Local network gateway
(Passerelle de réseau local) ou entrez local network gateway (passerelle de réseau
local) dans la barre de recherche.
2. Les champs que nous devons renseigner sont les suivants : Name (Nom), IP
address (Adresse IP) (c’est-à-dire, l’adresse IP publique du pare-feu local), Address
space (Espace d’adressage) (l’espace d’adressage local auquel vous souhaitez vous
connecter), Subscription (Abonnement), Resource group (Groupe de ressources)
et Location (Emplacement). Nous pouvons également configurer les paramètres
Border Gateway Protocol (BGP) (Protocole de passerelle frontière [BGP]) :
Création d’une passerelle de réseau local dans le portail Azure | 75
Comment faire...
La passerelle de réseau local permet de connecter une passerelle de réseau virtuel à un
réseau local. La passerelle de réseau virtuel est directement connectée au réseau virtuel
et dispose de toutes les informations relatives au réseau virtuel Azure nécessaires pour
créer une connexion VPN. D’autre part, une passerelle de réseau local contient toutes
les informations de réseau local nécessaires pour créer une connexion VPN.
Nous avons créé une passerelle de réseau local dans le portail Azure au cours de cette
procédure. Dans la prochaine procédure, nous découvrirons comment en faire de
même à l'aide de PowerShell.
76 | Passerelles de réseau local et de réseau virtuel
Préparation
Ouvrez la console PowerShell et assurez-vous que vous êtes connecté à votre abonnement
Azure.
Comment faire...
Pour créer une nouvelle passerelle de réseau local, exécutez la commande suivante :
New-AzLocalNetworkGateway -Name packt-lng-script -ResourceGroupName 'Packt-
Networking-Script' -Location 'westeurope' -GatewayIpAddress '195.222.10.20'
-AddressPrefix '192.168.1.0/24'
Comment faire...
Pour déployer une nouvelle passerelle de réseau local, nous devons renseigner les
paramètres suivants : le nom, le groupe de ressources, l’emplacement, l’adresse IP de la
passerelle et le préfixe d’adresse souhaité. L’adresse IP de la passerelle est l’adresse IP
publique du pare-feu local auquel vous essayez de vous connecter. Le préfixe d’adresse
est le préfixe de sous-réseau du réseau local auquel vous essayez de vous connecter.
Cette adresse doit être associée à une adresse de pare-feu fournie en tant qu’adresse
IP de passerelle.
Nous avons créé une passerelle de réseau local à l'aide d'Azure PowerShell au cours de
cette procédure. Passons à la prochaine procédure et découvrons comment créer une
passerelle de réseau virtuel dans le portail Azure.
Préparation
Avant de commencer, ouvrez un navigateur Web et accédez au portail Azure à l’adresse
suivante : https://portal.azure.com.
Création d’une passerelle de réseau virtuel dans le portail Azure | 77
Comment faire...
Pour créer une passerelle de réseau virtuel, procédez comme suit :
1. Dans le portail Azure, sélectionnez Create a resource (Créer une ressource), puis
dans les services Networking (Mise en réseau), choisissez Virtual network gateway
(Passerelle de réseau virtuel) ou entrez virtual network gateway (passerelle de réseau
virtuel) dans la barre de recherche.
2. Tout s’effectue dans un seul volet, mais pour une meilleure visibilité, je vais le diviser
en deux sections. Dans la première section, nous devons renseigner les champs
Subscription (Abonnement), Name (Nom), Region (Région), Gateway type (Type de
passerelle), VPN type (Type de VPN) et SKU (Référence) et Generation (Génération,
l'option Generation dépend de la référence ; toutes les références ne prennent pas
en charge la Génération 2. Nous devons également sélectionner un Virtual network
(Réseau virtuel) qui sera utilisé dans la connexion. Notez qu’il est nécessaire que le sous-
réseau de la passerelle ait été créé au préalable, et que seuls les réseaux virtuels dotés
d’un sous-réseau de passerelle peuvent être sélectionnés. La figure 5.2 en présente un
exemple :
3. Dans la deuxième section, nous devons définir les options Public IP address
(Adresse IP publique, sélectionnez une adresse IP existante ou en créez-en une).
Nous pouvons éventuellement définir les options Enable active‑active mode
(Activer le mode actif/actif) et le Border Gateway Protocol Autonomous System
Number (Numéro de système autonome du protocole de passerelle frontière,
[BGP ASN]) :
4. Une fois la validation effectuée, nous pouvons cliquer sur Create (Créer) et
démarrer le déploiement. Notez que la création de la passerelle de réseau virtuel
prend plus de temps que la plupart des autres ressources Azure ; le déploiement
peut prendre de 45 à 90 minutes.
Comment faire...
La passerelle de réseau virtuel est la deuxième composante nécessaire pour établir la
connexion au réseau virtuel Azure. Elle est directement connectée au réseau virtuel
et est nécessaire pour créer des connexions de site à site et de point à site. Nous
devons définir le type de VPN qui doit correspondre au type du périphérique VPN local
lorsqu’une connexion site à site est créée.
Le mode actif/actif offre une haute disponibilité en associant deux adresses IP à des
configurations de passerelle distinctes pour assurer la disponibilité.
Le protocole de passerelle frontière est un protocole standard dédié à l’échange
d’informations de routage et d’accessibilité entre différents systèmes autonomes
(ASes ). Chaque système reçoit un numéro de système autonome (ASN).
Nous avons créé une passerelle de réseau virtuel dans le portail Azure au cours de cette
procédure. Passons à la procédure suivante.
Création d’une passerelle de réseau virtuel avec PowerShell | 79
Préparation
Ouvrez la console PowerShell et assurez-vous que vous êtes connecté à votre
abonnement Azure.
Comment faire...
Pour créer une passerelle de réseau virtuel, exécutez le script suivant :
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'Packt-Networking-Script'
-Name 'Packt-Script'
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix
10.11.2.0/27 -VirtualNetwork $vnet
$vnet | Set-AzVirtualNetwork
$gwpip = New-AzPublicIpAddress -Name VNet1GWIP -ResourceGroupName 'Packt-
Networking-Script' -Location 'westeurope' -AllocationMethod Dynamic
Comment faire...
Le script effectue différentes opérations pour s’assurer que toutes les exigences sont
respectées et que nous pouvons créer une passerelle de réseau virtuel. La première
étape consiste à collecter des informations sur le réseau virtuel que nous allons utiliser.
Nous ajoutons ensuite le sous-réseau de passerelle au réseau virtuel Azure, puis nous
créons une adresse IP publique qui sera utilisée par la passerelle de réseau virtuel. Nous
recueillons toutes les informations et nous nous assurons que toutes les ressources
requises sont présentes, puis nous créons enfin une nouvelle passerelle de réseau
virtuel.
Nous avons appris à créer une passerelle de réseau virtuel avec Azure PowerShell
au cours de cette procédure. Dans la prochaine procédure, nous allons apprendre à
modifier les paramètres de la passerelle de réseau local.
Préparation
Avant de commencer, ouvrez un navigateur Web et accédez au portail Azure à l’adresse
suivante : https://portal.azure.com.
Comment faire...
Pour modifier les paramètres d’une passerelle de réseau local, procédez comme suit :
1. Recherchez la passerelle de réseau local dans le portail Azure et accédez
à Configuration.
2. Dans Configuration, nous pouvons modifier le champ IP address (Adresse IP) ou
Address space (Espace d’adressage). Nous pouvons également ajouter des espaces
d’adressage supplémentaires au cas où nous voudrions connecter plusieurs sous-
réseaux locaux au réseau virtuel Azure :
Modification des paramètres de la passerelle de réseau local | 81
Comment faire...
La passerelle de réseau local contient les informations de réseau local nécessaires
pour créer une connexion site à site entre les réseaux locaux et le réseau Azure.
Si ces informations changent, nous pouvons les modifier dans Configuration. Les
modifications qui peuvent être apportées sont l’adresse IP (c’est-à-dire l’adresse IP
publique du pare-feu local) et l’espace d’adressage auquel nous nous connectons. En
outre, nous pouvons ajouter ou supprimer des espaces d’adressage si nous voulons
ajouter ou supprimer des sous-réseaux capables de se connecter au réseau virtuel
Azure. Si la configuration de la passerelle de réseau local n’est plus valide, au besoin,
nous pouvons toujours l’utiliser pour créer une connexion entièrement nouvelle à un
nouveau réseau local.
6
DNS et routage
Azure DNS nous permet d’héberger des Domaines DNS (Domain Name System) dans
Azure. Lorsque nous utilisation Azure DNS, nous utilisons l’infrastructure Microsoft
pour la résolution de noms, ce qui se traduit par des requêtes DNS rapides et fiables.
L’infrastructure Azure DNS utilise un grand nombre de serveurs afin d’offrir une
excellente fiabilité et une grande disponibilité de service. Avec la mise en réseau
Anycast, chaque requête DNS est traitée par le serveur DNS disponible le plus proche
de manière à obtenir une réponse rapide.
Dans ce chapitre, nous aborderons les procédures suivantes :
• Création d’une zone Azure DNS
• Création d’une zone Azure DNS privée
• Intégration d’un réseau virtuel à une zone DNS privée
• Création d’un jeu d’enregistrements dans Azure DNS
• Création d’une table de route
• Modification d'une table de route
• Association d’une table de route à un sous-réseau
• Annulation de l’association d’une table de route à un sous-réseau
• Création d’un itinéraire
• Modification d’un itinéraire
• Suppression d’un itinéraire
84 | DNS et routage
Exigences techniques
Pour ce chapitre, les éléments suivants sont nécessaires :
• Un abonnement Azure
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure via
https://portal.azure.com.
Comment faire...
Pour créer une nouvelle zone Azure DNS à l’aide du portail Azure, procédez comme
suit :
1. Dans le portail Azure, sélectionnez Create a resource (Créer une ressource), puis
dans les services Networking (Mise en réseau), choisissez DNS Zone (Zone DNS)
ou entrez DNS Zone (Zone DNS) dans la barre de recherche.
2. Dans le nouveau volet, nous devons renseigner les champs Subscription
(Abonnement), Resource group (Groupe de ressources) et Name (Nom). Si nous
sélectionnons un groupe de ressources existant, la région sera automatiquement
la même que celle du groupe de ressources sélectionné. Nous pouvons
éventuellement marquer cette zone si l’enfant d’une zone existante est hébergé
dans Azure DNS. Le nom doit être un nom de domaine qualifié complet (FQDN) :
Création d’une zone Azure DNS | 85
Comment faire...
Il est nécessaire de disposer d’une zone DNS pour commencer à utiliser Azure DNS.
Une nouvelle zone DNS est requise pour chaque domaine que nous souhaitons
héberger avec Azure DNS dans la mesure où une seule zone DNS ne peut contenir que
les informations d’un seul domaine. Une fois que nous avons créé une zone DNS, nous
pouvons ajouter des enregistrements, des jeux d’enregistrements et des tables de route
à un domaine hébergé avec Azure DNS. Ces éléments nous permettent d’acheminer
le trafic et de définir des destinations à l’aide d’un nom de domaine complet pour les
ressources Azure (ainsi que d’autres ressources). Nous allons voir comment créer et
gérer ces éléments dans les procédures de ce chapitre.
Passons à la prochaine procédure et découvrons comment créer une zone DNS privée.
86 | DNS et routage
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure à l’adresse
suivante : https://portal.azure.com.
Comment faire...
Pour créer une nouvelle zone Azure DNS à l’aide du portail Azure, procédez comme suit :
1. Dans le portail Azure, sélectionnez Create a resource (Créer une ressource),
puis dans les services Networking (Mise en réseau), choisissez Private DNS Zone
(Zone DNS privée) ou entrez Private DNS Zone (Zone DNS privée) dans la barre
de recherche.
2. Dans le nouveau volet, nous devons renseigner les champs Subscription
(Abonnement), Resource group (Groupe de ressources) et Name (Nom). Si nous
sélectionnons un groupe de ressources existant, la région sera automatiquement la
même que celle du groupe de ressources sélectionné. Le nom doit être un FQDN :
Figure 6.2 : création d’une zone Azure DNS privée à l'aide du portail Azure
Intégration d’un réseau virtuel à une zone DNS privée | 87
Comment faire...
Lorsqu’un réseau virtuel est créé, une zone DNS par défaut est fournie. La zone DNS par
défaut utilise les noms fournis par Azure, et nous devons utiliser une zone DNS privée
pour utiliser des noms personnalisés. Une zone DNS privée est également requise pour
la résolution de nom sur les réseaux virtuels, car cette option n'est pas prise en charge
par le DNS par défaut.
Passons à la prochaine procédure et découvrons comment intégrer un réseau virtuel
à une zone DNS privée.
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure à l’adresse
suivante : https://portal.azure.com.
Comment faire...
Afin d’ajouter un nouvel enregistrement à la zone DNS, procédez comme suit :
1. Dans le portail Azure, recherchez Private DNS Zone (Zone DNS privée).
2. Dans Private DNS Zone (Zone DNS privée), sélectionnez Virtual network links
(Liaisons de réseau virtuel), puis cliquez sur Add (Ajouter) :
Comment faire...
Une fois le réseau virtuel lié à la zone DNS privée, la zone peut être utilisée pour la
résolution de nom à l’intérieur du réseau virtuel connecté. Pour la résolution de nom
sur plusieurs réseaux virtuels connectés, nous devons utiliser une zone DNS privée, car
le DNS par défaut ne prend pas en charge la résolution sur les réseaux. Il en va de même
si le réseau est connecté à un réseau local.
Si nous activons l’inscription automatique dans Configuration , les machines virtuelles
nouvellement créées seront automatiquement enregistrées dans la zone DNS privée. Si
ce n'est pas le cas, chaque nouvelle ressource doit être ajoutée manuellement.
Passons à la prochaine procédure et découvrons comment créer un jeu
d’enregistrements dans Azure DNS.
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure via https://
portal.azure.com.
Comment faire...
Afin d’ajouter un nouvel enregistrement à la zone DNS, procédez comme suit :
1. Dans le portail Azure, recherchez DNS zone (Zone DNS).
2. Dans Overview (Présentation), sélectionnez l’option permettant d’ajouter un jeu
d’enregistrements :
4. Nous devons sélectionner le type d’enregistrement que nous voulons ajouter. Les
options sont les suivantes : A, AAAA, CNAME, MX, NS, SRV, TXT et PTR. Le type
d’enregistrement le plus courant étant A, sélectionnions-le :
5. Une fois que nous avons sélectionné le type d’enregistrement, nous devons choisir
s’il s’agit d’un alias (les alias sont disponibles uniquement pour les types A, AAAA
et CNAME), puis renseigner l'option TTL (Time-To-Live) (durée de vie). Enfin, nous
ajoutons une destination d’enregistrement. Cela dépend du type d’enregistrement,
et dans le cas de l’enregistrement A, il s’agit d’une adresse IP :
Comment faire...
Un jeu d’enregistrements DNS contient des informations sur le sous-domaine du
domaine hébergé par la zone DNS. Dans le cas présent, il s’agit du domaine toroman.
cloud et du sous-domaine test. Cela forme un nom de domaine complet, demo.toroman.
cloud, et l’enregistrement fait pointer ce domaine vers l’adresse IP que nous avons
définie. Le jeu d’enregistrements peut contenir plusieurs enregistrements d’un seul
sous-domaine, généralement utilisé pour la redondance et la disponibilité.
L'utilisation du type CNAME et/ou d’un alias est possible grâce à Azure Traffic Manager.
De cette manière, les noms de domaine personnalisés peuvent être utilisés pour la
résolution de nom, au lieu des noms par défaut fournis par Azure.
Cette procédure vous a appris à créer un enregistrement dans Azure DNS. Passons
à la prochaine procédure et découvrons comment créer une table de route.
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure via
https://portal.azure.com.
Comment faire...
Afin d’ajouter un nouvel enregistrement à la zone DNS, procédez comme suit :
1. Dans le portail Azure, sélectionnez Create a resource (Créer une ressource),
puis dans les services Networking (Mise en réseau), choisissez Route Table
(Table de route) ou entrez route table (table de route) dans la barre de recherche.
2. Dans le nouveau volet, renseignez les champs Subscription (Abonnement),
Resource group (Groupe de ressources) et Region (Région). Indiquez également
le nom de la table de route. Vous avez également la possibilité d’autoriser ou non
la propagation de route de passerelle (qui est activée par défaut) :
Comment faire...
Le routage réseau dans le réseau virtuel Azure s’effectue automatiquement, mais nous
pouvons utiliser un routage personnalisé grâce à des tables de route. Les tables de
route utilisent des associations de règles et de sous-réseaux pour définir le flux de
trafic dans le réseau virtuel. Lorsqu’une nouvelle table de route est créée, il s’agit d’une
ressource vide sans aucune configuration. Une fois la ressource créée, nous devons
définir des règles et des sous-réseaux de manière à pouvoir utiliser une table de route
pour le flux de trafic. Dan les prochaines procédures de ce chapitre, nous allons voir
comment créer et appliquer des règles dans les tables de route.
Modification d'une table de route | 93
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure via
https://portal.azure.com.
Comment faire...
Pour modifier une table de route, procédez comme suit :
1. Dans le portail Azure, recherchez Route table (Table de route).
2. Sous Settings (Paramètres), dans le panneau Configuration, vous pouvez modifier
les paramètres Propagate gateway routes (Routes de la passerelle de propagation)
à tout moment :
Comment faire...
Sous les paramètres de la table de route, nous pouvons désactiver ou activer la
propagation de route de passerelle à tout moment. Cette option, si elle est désactivée,
empêche la propagation des itinéraires locaux via BGP vers les interfaces réseau
dans un sous-réseau virtuel. Dans les paramètres, nous pouvons créer, supprimer
ou modifier des itinéraires et des sous-réseaux. Ces options seront abordées dans
les prochaines procédures de ce chapitre.
Passons à la prochaine procédure et découvrons comment associer une table de route
à un sous-réseau.
94 | DNS et routage
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure via
https://portal.azure.com.
Comment faire...
Pour associer un sous-réseau à une table de route, procédez comme suit :
1. Dans le portail Azure, recherchez Route table (Table de route).
2. Sous Settings (Paramètres), sélectionnez l’option Subnets (Sous-réseaux). Dans le
volet Subnets (Sous-réseaux), sélectionnez l’option Associate (Associer) pour créer
une association :
4. Une fois qu’un réseau virtuel a été sélectionné, vous pouvez passer à la sélection
d’un sous-réseau. L’option Subnet (Sous -réseau) répertorie tous les sous-réseaux
du réseau virtuel sélectionné à l’étape précédente. Choisissez le sous-réseau que
vous souhaitez associer :
5. Une fois les deux options sélectionnées, nous pouvons créer une association :
6. Une fois qu’un sous-réseau a été associé, celui-ci apparaît dans la liste des sous-
réseaux, sous la table de route :
Comment faire...
Pour que la table de route soit efficace, elle doit répondre à deux questions : quoi
et comment. Nous devons définir ce qui sera affecté par la table de route avec une
association de sous-réseau. Il ne s’agit que d’une partie de la configuration, car la simple
association d’un sous-réseau à une table de route n’a aucun effet. Nous devons créer
des règles qui s’appliqueront à cette association. Nous allons expliquer ces règles dans
les prochaines procédures de ce chapitre.
Passons à la prochaine procédure et découvrons comment dissocier une table de route
d’un sous-réseau.
Annulation de l’association d’une table de route à un sous-réseau | 97
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure via
https://portal.azure.com.
Comment faire...
Pour supprimer l’association entre le sous-réseau et la table de route, procédez comme
suit :
1. Dans le portail Azure, recherchez Route table (Table de route).
2. Sous Settings (Paramètres), sélectionnez l’option Subnets (Sous-réseaux),
puis sélectionnez le sous-réseau que vous souhaitez supprimer :
4. Le portail Azure affiche une liste des tables de route disponibles pour un sous-
réseau spécifique. Choisissez None (Aucun) :
5. Après avoir sélectionné None (Aucun), cliquez sur le bouton Save (Enregistrer)
pour appliquer le nouveau paramétrage. L’association de table de route est
supprimée du sous-réseau :
Comment faire...
À un moment donné, dans une table de route, nous avons peut-être créé des règles qui
s’appliquent à plusieurs sous-réseaux. Si nous ne voulons plus que qu’une ou plusieurs
de ces règles s’appliquent à un sous-réseau spécifique, nous pouvons supprimer
l’association. Une fois l’association supprimée, les règles ne s’appliquent plus au
sous-réseau. Toutes les règles s’appliquent à tous les sous-réseaux associés. Si nous
voulons qu’une seule règle ne s’applique plus à un sous-réseau spécifique, nous devons
supprimer l’association.
Cette procédure nous a appris à dissocier une table de route Passons à la prochaine
procédure et découvrons comment créer un itinéraire.
100 | DNS et routage
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure via
https://portal.azure.com.
Comment faire...
Pour créer un itinéraire, procédez comme suit :
1. Dans le portail Azure, recherchez Route table (Table de route).
2. Dans le volet Route table (Table de route), sous Settings (Paramètres),
sélectionnez Routes (Itinéraires). Sélectionnez Add (Ajouter) pour ajouter
un nouvel itinéraire :
3. Dans le nouveau volet, renseignez les champs Route name (Nom de l’itinéraire) et
Address prefix (Préfixe de l’adresse) (au format CIDR) de la plage d’adresses IP, puis
sélectionnez Next hop type (Type de tronçon suivant). Les options disponibles
sont les suivantes : Virtual network gateway (Passerelle de réseau virtuel), Virtual
network (Réseau virtuel), Internet, Virtual appliance (Appliance virtuelle) et None
(Aucun) :
Création d’un itinéraire | 101
Figure 6.23 : sélection d’Internet pour l'option Next hop type (Type de tronçon suivant)
102 | DNS et routage
Comment faire...
L’itinéraire définit le flux de trafic. L’ensemble du trafic du sous-réseau associé suit
l’itinéraire défini par ces règles. Si nous définissons que le trafic passe par Internet,
l’ensemble du trafic est acheminé en dehors du réseau vers une plage d’adresses IP
définie avec un préfixe d’adresse IP. Si nous décidons de faire passer le trafic par un
réseau virtuel, il sera acheminé vers un sous-réseau défini par le préfixe d’adresse IP.
Si cette passerelle de réseau virtuel est utilisée, l’ensemble du trafic passera par la
passerelle du réseau virtuel et atteindra sa connexion, qu’il s’agisse d’un autre réseau
virtuel ou de notre réseau local, de l’autre côté. L’option Virtual appliance (Appliance
virtuelle) achemine l’ensemble du trafic vers l’appliance virtuelle, qui à son tour, avec
son propre ensemble de règles, définit où le trafic doit ensuite être acheminé.
Passons à la prochaine procédure et découvrons comment modifier un itinéraire.
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure via
https://portal.azure.com.
Comment faire...
Pour modifier l'itinéraire existant, procédez comme suit :
1. Dans le portail Azure, recherchez Route table (Table de route).
2. Sous Settings (Paramètres), sélectionnez Routes (Itinéraires), puis sélectionnez
l’itinéraire que vous souhaitez modifier dans la liste des itinéraires disponibles :
Comment faire...
Les exigences en matière d’itinéraire peuvent changer au fil du temps. Nous pouvons
changer l’itinéraire et lui appliquer les ajustements nécessaires pour qu’il réponde aux
nouvelles exigences selon les besoins. Les scénarios les plus courants sont ceux dans
lesquels le trafic doit atteindre un service spécifique mais que l’IP du service change
au cours du temps. Par exemple, nous pouvons avoir besoin d’acheminer l’ensemble
du trafic via une appliance virtuelle, mais l’adresse IP de l’appliance virtuelle ne cesse
de changer. Nous pouvons modifier l’itinéraire dans la table de route de façon à refléter
cette modification et forcer le flux de trafic via l’appliance virtuelle. Autre exemple,
un trafic peut avoir besoin d’atteindre notre réseau local via une passerelle de réseau
virtuel et la plage d’adresses IP de destination peut changer au fil du temps, ce qui nous
oblige à refléter ces changements dans l’itinéraire.
Cette procédure nous a appris à modifier un itinéraire. La procédure suivante décrit
comment supprimer un itinéraire.
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure via
https://portal.azure.com.
104 | DNS et routage
Comment faire...
Pour supprimer un itinéraire, procédez comme suit :
1. Dans le portail Azure, recherchez le lien Route table (Table de route).
2. Sous Settings (Paramètres), sélectionnez Routes (Itinéraires), puis sélectionnez
l’itinéraire que vous souhaitez supprimer :
4. Une fois cette action confirmée, vous revenez au panneau précédent et l’itinéraire
supprimé n’est plus répertorié :
Comment faire...
À mesure que nos exigences changent, nous devons refléter ces changements dans
nos tables de route. Nous pouvons modifier des itinéraires ou les supprimer pour
répondre à ces nouvelles exigences. Lorsque plusieurs itinéraires sont utilisés dans
une seule table de route, l’un des itinéraires peut devenir obsolète, voire bloquer de
nouvelles exigences. Dans ce cas, nous pouvons supprimer un itinéraire pour résoudre
le problème.
7
Pare-feu Azure
La plupart des composants de mise en réseau Azure utilisés pour la sécurité servent
à arrêter le trafic entrant indésirable. Que nous utilisions des groupes de sécurité
réseau, des groupes de sécurité d’application ou un pare-feu d’applications Web (WAF),
ces composants ont tous un seul objectif : empêcher le trafic indésirable d’atteindre nos
services. Le pare-feu Azure offre des fonctionnalités similaires, y compris une extension
que nous pouvons utiliser pour empêcher le trafic sortant de quitter le réseau virtuel.
Dans ce chapitre, nous aborderons les procédures suivantes :
• Création d’un pare-feu
• Création d’une pare-feu avec PowerShell
• Configuration d’une nouvelle règle d’autorisation
• Configuration d’une nouvelle règle de refus
• Configuration d’une table de route
• Activation des journaux de diagnostic pour le pare-feu Azure
• Configuration du pare-feu Azure en mode tunneling forcé
• Création d'un groupe IP
• Configuration des paramètres DNS du pare-feu Azure
108 | Pare-feu Azure
Exigences techniques
Pour ce chapitre, les éléments suivants sont nécessaires :
• Un abonnement Azure
• Azure PowerShell
Préparation
Avant de pouvoir créer une instance de pare-feu Azure, nous devons préparer un sous-
réseau.
Pour créer un sous-réseau pour le pare-feu Azure, procédez comme suit :
1. Recherchez le réseau virtuel qui sera associé au pare-feu Azure.
2. Sous Settings (Paramètres), sélectionnez Subnets (Sous-réseaux) et cliquez sur
Subnet (Sous-réseau) pour ajouter un nouveau sous-réseau, comme illustré dans
la Figure 7.1 :
3. Dans le nouveau volet, renseignez les champs Name (Nom) et Address range (Plage
d’adresses). Il est très important de nommer le sous-réseau AzureFirewallSubnet :
Comment faire...
Pour créer une instance de pare-feu Azure à l’aide du portail Azure, procédez
comme suit :
1. Dans le portail Azure, sélectionnez Create a resource (Créer une ressource), puis
dans les services Networking (Mise en réseau), choisissez Azure Firewall (Pare-
feu Azure) ou entrez Azure Firewall (Pare-feu Azure) dans la barre de recherche.
2. Dans le nouveau volet, sélectionnez d’abord une valeur dans les menus déroulants
Subscription (Abonnement) et Resource group (Groupe de ressources).
Renseignez ensuite les champs Name (Nom) et Region (Région) pour le pare-feu
Azure. Vous pouvez éventuellement sélectionner une option Availability zone
(Zone de disponibilité). L’étape suivante consiste sélectionner le réseau virtuel.
Seuls les réseaux virtuels de la région où l’instance du pare-feu Azure sera créée
sont disponibles. En outre, le réseau virtuel sélectionné doit contenir le sous-
réseau AzureFirewallSubnet créé précédemment. Enfin, définissez une adresse
IP publique (vous pouvez choisir une adresse existante ou en créer une nouvelle).
Vous pouvez éventuellement activer le Forced tunneling (Tunneling forcé) :
Comment faire...
Le pare-feu Azure utilise un ensemble de règles pour contrôler le trafic sortant.
Nous pouvons tout bloquer par défaut et autoriser uniquement le trafic sur liste
verte, ou nous pouvons tout autoriser et bloquer uniquement le trafic sur liste noire.
Il s’agit essentiellement du point central où nous définissons des stratégies réseau,
appliquons ces stratégies et surveillons le trafic réseau sur les réseaux virtuels ou même
les abonnements. Le pare-feu Azure est un pare-feu en tant que service. Il s'agit
d'un service géré avec une haute disponibilité et une évolutivité intégrées.
Création d’une pare-feu avec PowerShell | 111
Comment faire...
Plusieurs étapes doivent être exécutées pour créer un pare-feu avec Azure PowerShell :
1. Commençons par définir les paramètres :
$RG="Packt-Networking-Script"
$Location="West Europe"
$VNetName = "Packt-Script"
$AzFwIpName = "AzFW-Public-IP"
$AzFwname = "AzFw-Script"
2. Nous devons ensuite créer un sous-réseau distinct pour le pare-feu Azure :
$vnet = Get-AzVirtualNetwork -ResourceGroupName $RG '
-Name $VnetName
Add-AzVirtualNetworkSubnetConfig -Name AzureFirewallSubnet '
-VirtualNetwork $vnet '
-AddressPrefix 10.11.3.0/24
Set-AzVirtualNetwork -VirtualNetwork $vnet
3. La prochaine étape consiste à créer une adresse IP publique pour le pare-feu
Azure :
$AzFwIp = New-AzPublicIpAddress -Name $AzFwIpName '
-ResourceGroupName $RG '
-Location $Location '
-AllocationMethod Static '
-Sku Standard
4. Enfin, nous avons tous les composants en place et pouvons procéder à la création
du pare-feu :
$Azfw = New-AzFirewall -Name $AzFwname '
-ResourceGroupName $RG '
-Location $Location '
-VirtualNetworkName $vnet.Name '
-PublicIpName $AzFwIp.Name
112 | Pare-feu Azure
Comment faire...
Le pare-feu nécessite un sous-réseau distinct nommé AzureFirewallSubnet. Nous
devons donc créer ce sous-réseau sur le réseau virtuel que nous avons l’intention
d’utiliser. Une adresse IP publique est également nécessaire. Nous sommes enfin prêts
pour le déploiement et pouvons créer une instance de pare-feu Azure.
Toutefois, le déploiement du pare-feu Azure n’est que le début. Nous devons également
configurer notre pare-feu en créant des règles et des itinéraires. Passons à la prochaine
procédure et découvrons comment créer des règles.
Préparation
Ouvrez la console PowerShell et assurez-vous que vous êtes connecté à votre
abonnement Azure.
Comment faire...
Pour créer une nouvelle règle d’autorisation dans le pare-feu Azure, exécutez
la commande suivante :
$RG="Packt-Networking-Script"
$Location="West Europe"
$Azfw = Get-AzFirewall -ResourceGroupName $RG
$Rule = New-AzFirewallApplicationRule -Name Rule1 -Protocol
"http:80","https:443" -TargetFqdn "*packt.com"
$RuleCollection = New-AzFirewallApplicationRuleCollection -Name
RuleCollection1 -Priority 100 -Rule $Rule -ActionType "Allow"
$Azfw.ApplicationRuleCollections = $RuleCollection
Set-AzFirewall -AzureFirewall $Azfw
Comment faire...
Une règle d’autorisation du pare-feu Azure inscrit le trafic spécifique sur une liste verte.
S’il existe une règle qui bloque également ce trafic, la règle de priorité la plus élevée
sera appliquée.
Nous pouvons également créer des règles de refus. Voyons comment procéder dans
la prochaine procédure.
Configuration d’une nouvelle règle de refus | 113
Préparation
Ouvrez la console PowerShell et assurez-vous que vous êtes connecté à votre
abonnement Azure.
Comment faire...
Pour créer une nouvelle règle de refus dans le pare-feu Azure, exécutez
la commande suivante :
$RG="Packt-Networking-Script"
$Location="West Europe"
$Azfw = Get-AzFirewall -ResourceGroupName $RG
$Rule = New-AzFirewallApplicationRule -Name Rule1 -Protocol
"http:80","https:443" -TargetFqdn "*google.com"
$RuleCollection = New-AzFirewallApplicationRuleCollection -Name
RuleCollection1 -Priority 100 -Rule $Rule -ActionType "Deny"
$Azfw.ApplicationRuleCollections = $RuleCollection
Set-AzFirewall -AzureFirewall $Azfw
Comment faire...
La règle de refus est l’option la plus couramment utilisée avec le pare-feu Azure.
L’approche consistant à tout bloquer et à n’autoriser que le trafic sur liste verte n’est
pas très pratique, car nous pourrions nous retrouver à ajouter un trop grand nombre
de règles d’autorisation. Par conséquent, l’approche la plus courante consiste à utiliser
des règles de refus pour bloquer certains trafics.
Préparation
Ouvrez la console PowerShell et assurez-vous que vous êtes connecté à votre
abonnement Azure.
114 | Pare-feu Azure
Comment faire...
Pour créer une nouvelle table de route dans le pare-feu Azure, exécutez
la commande suivante :
$RG="Packt-Networking-Script"
$Location="West Europe"
$Azfw = Get-AzFirewall -ResourceGroupName $RG
$config = $Azfw.IpConfigurations[0].PrivateIPAddress
$Route = New-AzRouteConfig -Name 'Route1' -AddressPrefix 0.0.0.0/0 -NextHopType
VirtualAppliance -NextHopIpAddress $config
$RouteTable = New-AzRouteTable -Name 'RouteTable1' -ResourceGroupName $RG
-location $Location -Route $Route
Comment faire...
Les tables de route associées au pare-feu Azure permettent de définir la manière dont
le trafic entre les réseaux est géré et la façon dont le trafic est acheminé d’un réseau
à un autre. Dans un environnement multi-réseaux, en particulier dans un réseau
hybride où il s’agit de connecter un réseau virtuel Azure à un réseau local sur site, cette
option est très importante. Elle permet de déterminer quel type de trafic peut circuler
où et comment.
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure
à l’adresse suivante : https://portal.azure.com.
Comment faire...
Pour activer les diagnostics dans le pare-feu Azure, procédez comme suit :
1. Dans le volet Azure Firewall (Pare-feu Azure) sous Monitoring (Analyse),
recherchez Diagnostics settings (Paramètres de diagnostic).
2. Sélectionnez l'option Add diagnostic setting (Ajouter un paramètre de diagnostic),
comme illustré dans la Figure 7.4 :
Activation des journaux de diagnostic pour le pare-feu Azure | 115
Comment faire...
Les diagnostics ont deux objets : l’audit et le dépannage. En fonction du trafic et
des paramètres, ces journaux peuvent croître au fil du temps. Il est donc important
de déterminer l’objet principal des diagnostics dès le début. Si l’objet des diagnostics
est l’audit, vous choisirez probablement une durée de rétention maximale de 365 jours.
Si l’objet principal est la résolution des problèmes, la période de rétention peut être
maintenue à 7 jours ou une durée encore plus courte. Si la stratégie de rétention est
définie sur 0, les journaux seront stockés sans être supprimés. Cela peut générer des
coûts supplémentaires et vous devrez peut-être configurer une procédure différente
pour supprimer les journaux.
Si vous ne souhaitez pas stocker les journaux de diagnostic dans un compte
de stockage, vous pouvez opter pour Log Analytics ou Event Hubs. Dans
ce cas, le processus n'implique pas de périodes de rétention car ces paramètres
sont conservés du côté de la destination.
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure
à l’adresse suivante : https://portal.azure.com.
Comment faire...
Afin d’ajouter AzureFirewallManagementSubnet pour activer le tunneling forcé, procédez
comme suit :
1. Dans le portail Azure, sélectionnez Create a resource (Créer une ressource), puis
dans les services Networking (Mise en réseau), choisissez Route Table (Table
de route) ou entrez Route Table (table de route) dans la barre de recherche.
Configuration du pare-feu Azure en mode tunneling forcé | 117
Figure 7.9 : ajout d’un nouveau sous-réseau dans le volet Virtual network (Réseau virtuel)
Configuration du pare-feu Azure en mode tunneling forcé | 119
Comment faire...
Afin de prendre en charge le tunneling forcé, le trafic associé à la gestion des services est
séparé du reste du trafic. Un sous-réseau supplémentaire présentant une taille minimale
de /26 est nécessaire, ainsi qu’une adresse IP publique associée. Une table de route est
nécessaire avec un itinéraire unique définissant le routage vers Internet, et l'option BGP
route propagation (propagate gateway routes) (Propagation d’itinéraire BGP [propager
les itinéraires de passerelle]) doit être désactivée. Nous pouvons maintenant inclure des
itinéraires et définir la destination exacte du trafic (une appliance de réseau virtuel ou
un pare-feu sur site) afin qu'une inspection ou un audit soit effectué(e) avant d’atteindre
Internet.
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure à l’adresse
suivante : https://portal.azure.com.
Comment faire...
Pour créer un groupe IP, procédez comme suit :
1. Dans le portail Azure, sélectionnez Create a resource (Créer une ressource), puis dans
les services Networking (Mise en réseau), choisissez IP Group (Groupe IP) ou entrez
IP Group (Groupe IP) dans la barre de recherche.
2. Dans le nouveau volet, renseignez les champs Subscription (Abonnement), Resource
group (Groupe de ressources), Name (Nom) et Region (Région) :
Figure 7.12 : ajout d’un sous-réseau dans le champ Adresse IP, plage ou sous-réseau
Comment faire...
Les groupes IP nous permettent d’associer plusieurs adresses IP à une seule ressource
en vue de faciliter la gestion. Nous pouvons associer n’importe quel nombre d’adresses
IP individuelles (au format 10.10.10.10 ), des plages IP (au format 10.10.10.10-
10.10.10.20) ou des réseaux (au format 10.10.10.0/24). Ensuite, les règles de pare-
feu peuvent être associées aux groupes IP et à toutes les adresses IP appartenant
à un groupe IP défini. Au lieu de créer une règle distincte pour chaque adresse IP, plage
ou sous-réseau, nous pouvons désormais définir une règle unique pour une seule plage
d’adresses IP. Le pare-feu Azure est ainsi plus facile à gérer et à entretenir, et vous
bénéficiez d'une meilleure visibilité sur les règles, qui sont également plus efficaces.
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure
à l’adresse suivante : https://portal.azure.com.
Comment faire...
Afin de configurer des paramètres DNS personnalisés dans le pare-feu Azure,
procédez comme suit :
122 | Pare-feu Azure
Figure 7.13 : configuration des paramètres DNS du pare-feu Azure à l’aide du portail Azure
Comment faire...
Afin d’utiliser le filtrage FQDN, le pare-feu Azure doit pouvoir résoudre le FQDN
en question. Pour ce faire, vous pouvez activer les paramètres DNS sur le pare-feu
Azure. Lorsque cette option est activée, choisissez entre le DNS fourni par Azure
ou le DNS personnalisé. Le DNS personnalisé peut être soit une zone DNS Azure, soit
un serveur DNS exécuté sur un réseau virtuel.
8
Création de
connexions hybrides
Les connexions hybrides permettent de créer des connexions sécurisées avec des
réseaux virtuels Azure (VNets). Ces connexions peuvent s’effectuer à partir de réseaux
locaux ou d’autres réseaux virtuels Azure. L’établissement de connexions à des réseaux
virtuels Azure permet de sécuriser le trafic réseau entre d’autres services situés dans
différents réseaux virtuels Azure, différents abonnements ou des services en dehors
d’Azure (dans divers clouds ou en local). L’utilisation de connexions sécurisées évite
de devoir exposer publiquement des points de terminaison qui présentent un risque
de sécurité potentiel. Cela est particulièrement important en matière de gestion,
où l’ouverture de points de terminaison publics crée un risque de sécurité et constitue
un problème majeur. Par exemple, si nous envisageons de gérer des machines virtuelles,
il est courant d’utiliser le protocole RDP (Remote Desktop Protocol) ou PowerShell
pour la gestion. L’exposition de ces ports à l’accès public présente un grand risque.
Il est recommandé de désactiver tout type d’accès public à ces ports et d’y accéder
uniquement à partir d’un réseau interne pour la gestion. Dans ce cas, nous utilisons
une connexion site à site ou point à site de manière à permettre une gestion sécurisée.
124 | Création de connexions hybrides
Dans un autre scénario, nous pourrions avoir besoin d’accéder à un service ou à une
base de données sur un autre réseau, que ce soit localement ou via un autre réseau
virtuel Azure. Encore une fois, l’exposition de ces services peut présenter un risque,
et nous utilisons une connexion site à site, une connexion réseau virtuel à réseau
virtuel ou un appairage de réseaux virtuels pour établir ce type de connexion
de manière sécurisée.
Dans ce chapitre, nous aborderons les procédures suivantes :
• Création d’une connexion site à site
• Téléchargement de la configuration du périphérique VPN à partir d’Azure
• Création d’une connexion point à site
• Création d’une connexion réseau virtuel à réseau virtuel
• Connexion de réseaux virtuels à l’aide de l’appairage
Exigences techniques
Pour ce chapitre, les éléments suivants sont nécessaires :
• Un abonnement Azure
• Windows PowerShell
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure
à l’adresse suivante : https://portal.azure.com.
Comment faire...
Pour créer une nouvelle connexion site à site, procédez comme suit :
1. Recherchez la passerelle de réseau virtuel (celle que vous avez créée
au chapitre 5, Passerelles de réseau local et de réseau virtuel), puis sélectionnez
Connections (Connexions).
2. Dans Connections (Connexions), sélectionnez l’option Add (Ajouter) pour ajouter
une nouvelle connexion :
5. Nous devons fournir une clé partagée dans le champ Shared key (Clé partagée,
PSK) qui sera utilisée pour la connexion IPSec. Nous devons également définir
le IKE protocol (Protocole IKE) qui sera utilisé pour l’association de sécurité.
Nous avons le choix entre IKEv1 et IKEv2. Notez que les options Subscription
(Abonnement), Resource group (Groupe de ressources) et Location (Emplacement)
sont verrouillées et qu’elles seront identiques à celles utilisées pour la passerelle
de réseau virtuel :
Comment faire...
La passerelle de réseau virtuel permet de configurer le côté Azure du tunnel IPSec.
La passerelle de réseau local fournit des informations sur le réseau local. Elle définit
le côté local du tunnel avec l’adresse IP publique et les informations de sous-réseau
local. Ainsi, le côté Azure du tunnel dispose de toutes les informations nécessaires
pour établir une connexion réussie avec un réseau local. Toutefois, cela ne constitue
que la moitié du travail, car il est également nécessaire de configurer le côté opposé
de la connexion. Cette partie dépend réellement du périphérique VPN utilisé en local,
et chaque périphérique présente des étapes de configuration spécifiques. Une fois
les deux parties du tunnel configurées, nous obtenons une connexion VPN sécurisée
et chiffrée entre les réseaux.
Découvrons comment configurer notre périphérique VPN local.
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure à l’adresse
suivante : https://portal.azure.com.
Comment faire...
Pour télécharger la configuration du périphérique VPN, procédez comme suit :
1. Recherchez la connexion site à site dans le portail Azure. Le panneau Overview
(Vue d'ensemble) est ouvert par défaut.
2. En haut du volet, sélectionnez l’option Download configuration (Télécharger
la configuration) :
3. Un nouveau volet s’ouvre. Toutes les options qui s’y trouvent sont prédéfinies :
5. Une fois le périphérique VPN local configuré à l’aide du fichier de configuration, les
deux côtés du tunnel IPsec sont également configurés. Le champ Status (Statut)
de la connexion Site-2-Site (site à site) prend la valeur Connected (Connecté) :
Comment faire...
Une fois que vous avez configuré le côté Azure du tunnel IPSec, vous devez configurer
l’autre côté, ainsi que le périphérique VPN local. Les étapes et la configuration sont
différentes pour chaque appareil. Dans certains cas, il est possible de télécharger
le fichier de configuration directement à partir du portail Azure. Une fois
le périphérique VPN configuré, tout est paramétré et vous pouvez utiliser le tunnel pour
sécuriser les communications entre le réseau local et un réseau virtuel Azure.
4. Sélectionnez l'option No, do not export the private key (Non, ne pas exporter
la clé privée), puis cliquez sur Next (Suivant) :
Comment faire...
Pour créer une connexion point à site, procédez comme suit :
1. Recherchez la passerelle de réseau virtuel dans le portail Azure et accédez à User
VPN configuration (Configuration VPN utilisateur). Sélectionnez Configure
now (Configurer) :
6. Une fois que vous avez cliqué sur Save (Enregistrer) pour la configuration point
à site, une nouvelle option apparaît : Download VPN client (Télécharger le client
VPN). Vous pouvez alors télécharger la configuration et commencer à utiliser
la connexion :
Comment faire...
La connexion point à site permet d’accéder aux réseaux virtuels Azure de manière
sécurisée. L'accès à une connexion site à site est restreint par notre réseau local, mais
la connexion point à site permet de se connecter depuis n’importe où. Celle-ci applique
l’authentification basée sur les certificats, laquelle utilise le même certificat sur les
deux serveurs (Azure et client VPN) pour vérifier la connexion et autoriser l’accès. Cela
permet d’accéder aux réseaux virtuels Azure à tout moment et où que l’on soit. Ce type
de connexion est généralement utilisé pour les tâches de gestion et de maintenance,
car il s’agit d’une connexion à la demande. Si une connexion constante est nécessaire,
vous devez envisager une connexion site à site.
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure
à l’adresse suivante : https://portal.azure.com.
Comment faire...
Pour créer une connexion réseau virtuel à réseau virtuel, procédez comme suit :
1. Dans le portail Azure, recherchez l’une des passerelles de réseau virtuel (associées
à l’un des réseaux virtuels auxquels vous essayez de vous connecter).
2. Dans le volet Virtual network gateway (Passerelle de réseau virtuel),
sélectionnez Connections (Connexions), puis Add (Ajouter) pour ajouter
une nouvelle connexion :
Création d’une connexion réseau virtuel à réseau virtuel | 137
Comment faire...
Une connexion réseau virtuel à réseau virtuel fonctionne de manière très similaire
à une connexion site à site. La différence réside dans le fait qu’Azure utilise une
passerelle de réseau local pour obtenir des informations sur le réseau local. Dans le cas
présent, nous n’avons pas besoin de ces informations ; nous utilisons deux passerelles
de réseau virtuel pour nous connecter. Chaque passerelle de réseau virtuel fournit des
informations réseau pour le réseau virtuel avec lequel elle est associée. Cela se traduit
par des connexions VPN sécurisées et chiffrées entre deux réseaux virtuels Azure qui
peuvent être utilisées pour établir des connexions entre les ressources Azure sur les
deux réseaux virtuels.
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure
à l’adresse suivante : https://portal.azure.com.
Comment faire...
Pour créer un appairage de réseaux, procédez comme suit :
1. Dans le portail Azure, recherchez un réseau virtuel auquel vous souhaitez
vous connecter.
2. Dans le volet Virtual network (Réseau virtuel), sélectionnez l’option Peerings
(Appairages), puis Add (Ajouter) pour ajouter une nouvelle connexion :
Comment faire...
L’appairage de réseaux permet d’établir une connexion entre deux réseaux virtuels
Azure dans le même client Azure. L’appairage utilise un réseau de base Microsoft pour
acheminer le trafic privé entre les ressources sur le même réseau, à l’aide d’adresses
IP privées uniquement. Il n’est pas nécessaire de créer des passerelles de réseau virtuel
(ce qui engendre un coût supplémentaire), car la connexion est établie à l’aide d’une
« passerelle distante » virtuelle. L’inconvénient de cette approche est que le même
réseau virtuel ne peut pas utiliser l’appairage et une passerelle de réseau virtuel en
même temps. S’il est nécessaire de connecter un réseau virtuel à la fois au réseau local
et à un autre réseau virtuel, il convient d’adopter une approche différente et d’utiliser
une passerelle de réseau virtuel qui permettra de créer une connexion site à site avec un
réseau local et une connexion réseau virtuel à réseau virtuel avec un autre réseau virtuel.
Plusieurs options de paramètres d'accès au réseau permettent de contrôler le
flux de trafic réseau. Par exemple, nous pouvons autoriser le trafic du réseau
virtuel A au réseau virtuel B et le refuser du réseau virtuel B au réseau virtuel A, ou vice-
versa ou dans les deux sens.
Nous pouvons également contrôler le trafic de transit lorsqu’un réseau supplémentaire
entre en jeu. Si le réseau virtuel A est connecté au réseau virtuel B, et si le réseau
virtuel A est connecté au réseau virtuel C, nous pouvons contrôler si le trafic est
autorisé entre les réseaux virtuels B et C en tant que trafic de transit via le réseau
virtuel A.
Toutefois, cette méthode ne fonctionne que si le transit n’est pas effectué à l'aide
de l’appairage. Si tous les réseaux sont des réseaux virtuels Azure et si le réseau
virtuel A est connecté au réseau virtuel B via l'appairage, et si le réseau virtuel B est
connecté au réseau virtuel C via l'appairage, la connexion entre les réseaux
virtuels A et C ne serait pas possible via le transit entre réseaux virtuels. En effet,
l’appairage est une relation non transmissible entre deux réseaux virtuels. Si le réseau
virtuel B est connecté au réseau virtuel C via une connexion réseau virtuel à réseau
virtuel (ou à un réseau local via une connexion site à site), le transit serait possible entre
les réseaux virtuels A et C sur le réseau virtuel B.
9
Connexion aux
ressources en toute
sécurité
Il n’est pas judicieux d’exposer les points de terminaison de gestion (RDP, SSH, HTTP et
autres) sur une adresse IP publique. Toute forme d’accès à la gestion doit être contrôlée
et autorisée uniquement sur une connexion sécurisée. En général, les connexions à un
réseau privé (site à site ou point à site) sont utilisées par accéder aux ressources sur des
adresses IP privées. Dans certains cas, cette méthode s'avère compliquée. Notamment
en raison d'une infrastructure locale insuffisante, ou dans certains cas, le scénario
peut être trop complexe. Heureusement, d'autres méthodes permettent d’atteindre le
même objectif. Nous pouvons nous connecter en toute sécurité à nos ressources à l’aide
d’Azure Bastion, Azure Virtual WAN et Azure Private Link.
146 | Connexion aux ressources en toute sécurité
Exigences techniques
Pour ce chapitre, les éléments suivants sont nécessaires :
• Un abonnement Azure
Préparation
Avant de pouvoir créer une instance Azure Bastion, nous devons préparer le sous-réseau.
Pour créer un sous-réseau pour Azure Bastion, procédez comme suit :
1. Recherchez le réseau virtuel qui sera associé à l'instance Azure Bastion.
2. Sous Settings (Paramètres), sélectionnez Subnets (Sous-réseaux), puis l’option
qui permet d’ajouter un nouveau sous-réseau, comme illustré dans la Figure 9.1 :
3. Dans le nouveau volet, renseignez les champs Name (Nom) et Address range
(Plage d’adresses). Il est très important que le sous-réseau soit nommé
AzureBastionSubnet et que le sous-réseau utilise un préfixe d’au moins /27 (il
s’agit d’une exigence de service qui ne peut être ignorée). Des options pour NAT
gateway (Passerelle NAT) et Network security group (Groupe de sécurité réseau)
(NSG) peuvent être ajoutées si nécessaire (par exemple, une règle forçant le
trafic via la network address translation (traduction d’adresse réseau) (NAT).
Les champs Service endpoints (Points de terminaison de service) et Subnet
delegation (Délégation de sous-réseau) ne sont pas obligatoires, et comme ce
sous-réseau doit être dédié à Azure bastion uniquement, il n’est pas recommandé
de les utiliser :
Comment faire
Pour créer une instance Azure Bastion, procédez comme suit :
1. Dans le portail Azure, sélectionnez Create a resource (Créer une ressource), puis
dans Networking (Mise en réseau), choisissez Azure Bastion ou entrez Azure
Bastion dans la barre de recherche.
2. Dans le nouveau volet, renseignez les champs Subscription (Abonnement),
Resource group (Groupe de ressources), Name (Nom) et Region (Région). Nous
devons ensuite sélectionner le Virtual network (Réseau virtuel), (seuls les réseaux
de la même région seront disponibles) et le Subnet (Sous-réseau), (celui que nous
avons créé précédemment) et fournir des informations de la Public IP address
(Adresse IP publique), (sélectionnez une adresse existante ou créez-en une) :
Comment faire...
Azure Bastion est mis en service au sein de notre réseau virtuel, afin de garantir la
communication avec toutes les ressources sur ce réseau. À l’aide de TLS, il fournit une
connexion RDP et SSH sécurisée à toutes les ressources de ce réseau. La connexion est
effectuée via une session de navigateur, sans nécessiter d'adresse IP publique. Ainsi,
nous n’avons pas à exposer les ports de gestion sur une adresse IP publique.
Après avoir créé l’instance Azure Bastion, passons à la prochaine procédure, permettant
de se connecter à une machine virtuelle avec Azure bastion.
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure via
https://portal.azure.com.
Comment faire
Pour se connecter à une machine virtuelle avec Azure Bastion, procédez comme suit :
1. Recherchez la machine virtuelle à laquelle vous souhaitez vous connecter dans le
portail Azure. La machine virtuelle doit être sur le réseau virtuel sur lequel Azure
Bastion est déployé.
2. Dans le volet Virtual machine (Machine virtuelle), sélectionnez l'option Connect
(Connecter) dans Settings (Paramètres). Sélectionnez l'onglet BASTION, puis dans
celui-ci, sélectionnez Use Bastion (Utiliser Bastion) :
3. Sélectionnez l'option Open in new window (Ouvrir dans une nouvelle fenêtre) et
remplissez les champs Username (Nom d’utilisateur) et Password (Mot de passe) :
Figure 9.5 : ajout d’un nom d’utilisateur et d’un mot de passe pour la machine virtuelle
La connexion s'ouvre dans une nouvelle fenêtre, afin que vous puissiez gérer
entièrement votre machine virtuelle. L’interface dépend du port de gestion par défaut,
RDP ou SSH.
Comment faire...
Azure Bastion utilise un sous-réseau dans le réseau virtuel pour se connecter aux
machines virtuelles dans ce réseau spécifique. Il fournit une connexion sécurisée sur
TLS et assure une connexion à une machine virtuelle sans l’exposer sur une adresse
IP publique.
Cette procédure nous a appris à nous connecter à une machine virtuelle avec Azure
Bastion. La prochaine procédure explique comment créer une WAN virtuelle.
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure via
https://portal.azure.com.
152 | Connexion aux ressources en toute sécurité
Comment faire...
1. Dans le portail Azure, sélectionnez Create a resource (Créer une ressource), puis
dans Networking (Mise en réseau), choisissez Virtual WAN ou entrez Virtual WAN
dans la barre de recherche.
2. Dans le nouveau volet, renseignez les champs Subscription (Abonnement),
Resource group (Groupe de ressources), Resource group location (Emplacement
du groupe de ressources), Name (Nom) et Type :
3.
Azure Virtual WAN est prêt pour le déploiement et celui-ci ne prend généralement
que quelques minutes.
Comment faire...
Azure Virtual WAN confère plusieurs services réseau à un seul point. À ce stade, nous
pouvons configurer, contrôler et surveiller des connexions, notamment site à site, point
à site, ExpressRoute ou une connexion entre les réseaux virtuels. Lorsque nous avons
plusieurs connexions site à site ou plusieurs réseaux virtuels connectés avec l’appairage,
il peut être difficile de suivre toutes ces ressources. Virtual WAN nous permet de le faire
avec un seul service.
Cela est possible grâce aux hubs, et nous verrons comment en configurer un dans la
prochaine procédure.
Création d'un hub (dans Virtual WAN) | 153
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure via
https://portal.azure.com.
Comment faire...
1. Dans le portail Azure, recherchez la WAN virtuelle précédemment créée.
2. Dans le volet Virtual WAN, sélectionnez Hubs dans la section Connectivity
(Connectivité). Sélectionnez l'option pour ajouter un nouveau hub :
3. Dans le nouveau volet, nous devons renseigner les champs Region (Région), Name
(Nom, pour le nouveau hub) et Hub private address space (Espace d'adressage
privé du hub). Les options Subscription (Abonnement) et Resource group (Groupe
de ressources) sont grisées car elles utilisent les mêmes options que la WAN
virtuelle :
5. Le prochain paramètre facultatif est Point to site (Point à site). Si nous choisissons
de l’activer, nous devons sélectionner une option pour Gateway scale units (Unités
d’échelle de passerelle) et Point to site configuration (Configuration point à site).
Cliquez sur Create new (Créer) pour ajouter une nouvelle configuration :
7. Une fois la configuration point à site ajoutée, nous sommes redirigés vers le volet
précédent. Nous devons renseigner le champ Client address pool (Pool d’adresses
de client) et éventuellement Custom DNS Servers (Serveurs DNS personnalisés) :
Création d'un hub (dans Virtual WAN) | 157
Figure 9.12 : ajout d’informations sur le pool d’adresses de client et les serveurs DNS personnalisés
9. Nous pouvons éventuellement ajouter des balises, avant de créer un hub virtuel.
Le déploiement peut prendre jusqu’à 30 minutes.
158 | Connexion aux ressources en toute sécurité
Comment faire...
Les hubs virtuels représentent les points de contrôle au sein d’une région. À partir de
là, nous pouvons définir toutes les connexions aux réseaux virtuels au sein de la région.
Cela s’applique aux connexions site à site, point à site et ExpressRoute. Chaque section
est facultative, et nous pouvons créer un hub sans configurer les types de connexion.
Si nous décidons de les créer à ce stade, nous devons fournir une référence pour
chaque type. Pour une connexion point à site, la configuration VPN de l’utilisateur doit
également être fournie. Chaque type de connexion peut être ajouté ultérieurement.
Cette procédure explique comment créer un hub virtuel. Passons à la prochaine
procédure et découvrons comment ajouter une connexion site à site dans un hub
virtuel.
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure via
https://portal.azure.com.
Ajout d’une connexion site à site (dans un hub virtuel) | 159
Comment faire...
Afin de créer une connexion site à site dans un hub virtuel (sous une WAN virtuelle),
procédez comme suit :
1. Recherchez la WAN virtuelle et le hub virtuel précédemment créé dans Hubs dans
la section Connectivité. Sélectionnez ce hub :
2. Dans le volet Virtual HUB (HUB virtuel), accédez aux paramètres VPN (Site to site)
(VPN [site à site]) dans Connectivity (Connectivité). Sélectionnez l'option Create
new VPN site (Créer un site VPN) :
Figure 9.15 : sélection de l’option Create new VPN site (Créer un site VPN) dans le volet Virtual HUB
(HUB virtuel)
4. Dans la section Links (Liens) du site VPN, renseignez les champs Link name (Nom du
lien), Provider name (Nom du fournisseur), Speed (Vitesse, en Mbits), IP address/
FQDN (Adresse IP/FQDN) de l'appareil VPN auquel vous souhaitez vous connecter,
BGP address (Adresse BGP) et ASN comme illustré dans la Figure 9.17 :
5. Une fois le site VPN créé, nous pouvons Télécharger la configuration VPN pour
l’appareil VPN. Une fois l’appareil VPN configuré, nous pouvons sélectionner le site
VPN et initier la connexion avec l'option Connect VPN sites (Connecter les sites
VPN) :
Figure 9.18 : clic sur l'option Connect VPN sites (Connecter les sites VPN) pour initier la connexion
6. Un nouveau volet s’ouvre. Nous devons renseigner les champs Pre-shared
key (PSK) (Clé prépartagée [PSK]), Protocol et IPSec, et choisir les options de
Propagate Default Route (Propager la route par défaut) et Use policy based traffic
selector (Utiliser la stratégie basée sur le sélecteur de trafic) :
Figure 9.19 : saisie des informations dans le volet Connect sites (Connecter les sites)
Ajout d’une connexion réseau virtuelle (dans un hub virtuel) | 163
Comment faire...
L’ajout d’une connexion site à site à notre hub virtuel nous permet de nous connecter
à un hub virtuel dans une région spécifique à partir de notre réseau local (ou d’autres
réseaux à l’aide de Virtual appliance [Appliance virtuelle]). Pour ce faire, nous devons
fournir des informations sur la connexion VPN dans le hub virtuel et configurer
l’appareil VPN qui sera utilisé pour la connexion.
Cette opération nous permet uniquement de nous connecter au hub. Nous devons
connecter des réseaux virtuels afin d’accéder aux ressources Azure. La prochaine
procédure explique comment ajouter une connexion réseau virtuel au hub virtuel.
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure via
https://portal.azure.com.
164 | Connexion aux ressources en toute sécurité
Comment faire...
Afin d'ajouter une connexion réseau virtuel à un hub virtuel (sous une WAN virtuelle),
procédez comme suit :
1. Recherchez la WAN virtuelle et le hub virtuel précédemment créés dans Virtual
network connections (Connexions réseau virtuel) dans la section Connectivity
(Connectivité). Sélectionnez l’option Add connection (Ajouter une connexion) :
Comment faire...
La connexion d’un réseau virtuel à un hub virtuel nous permet d’accéder aux ressources
lorsqu’elles sont connectées au même hub. Une connexion peut être établie sur une
connexion site à site, une connexion point à site ou à partir d’un autre réseau virtuel
(connecté au même hub). Lors de la création d’une connexion, nous devons établir
des règles de routage et de propagation afin de définir le flux réseau. Nous pouvons
également définir un itinéraire statique. Un itinéraire statique forcera tout le trafic
à passer par une adresse IP unique, généralement via un pare-feu ou une appliance
virtuelle réseau.
Passons à la prochaine procédure et découvrons comment créer un point
de terminaison Private Link.
Préparation
Nous devons créer un service qui sera associé au point de terminaison Private Link :
1. Ouvrez le navigateur Web et accédez au portail Azure à l’adresse suivante :
https://portal.azure.com. Sélectionnez l'option permettant de créer un service.
Recherchez SQL Server (serveur logique) et sélectionnez l'option Create new
(Créer).
2. Dans le nouveau volet, renseignez les champs Subscription (Abonnement),
Resource group (Groupe de ressources), Server name (Nom du serveur, doit
être un FQDN unique) et Location (Emplacement). Enfin, nous devons fournir
des informations d’identification pour la connexion de l’administrateur avant de
sélectionner Review + Create (Examiner + créer) :
Création d’un point de terminaison Private Link | 167
Comment faire...
Afin de déployer un nouveau point de terminaison Private Link, procédez comme suit :
1. Accédez au portail Azure et sélectionnez l'option permettant de créer un service.
Recherchez Private Link et sélectionnez l'option Create new (Créer).
2. Dans le nouveau volet, Private Link Center, sélectionnez Create private endpoint
(Créer un point de terminaison privé) :
Comment faire...
Le point de terminaison Private Link associe la ressource PaaS sélectionnée au sous-
réseau sur le réseau virtuel. Ce faisant, nous avons la possibilité d’accéder à la ressource
PaaS sur une connexion sécurisée. Nous pouvons éventuellement intégrer une zone
DNS privée et utiliser la résolution DNS au lieu des adresses IP.
Un point de terminaison Private Link nous permet de lier des services directement,
mais uniquement des services individuels et uniquement directement. Par ailleurs, nous
pouvons utiliser un service Private Link pour ajouter des équilibreurs de charge.
Préparation
Commençons par créer une machine virtuelle. Consultez la procédure Créer des
machines virtuelles Azure figurant dans le chapitre 2, Mise en réseau des machines
virtuelles. Notez que dans la section Networking (Mise en réseau) nous devons
sélectionner le réseau virtuel qui a été utilisé pour connecter SQL Server dans la
procédure précédente.
Un service Private Link nécessite également un équilibreur de charge standard.
Consultez les procédures Création d’un équilibreur de charge public, Création d’un
pool principal, Création de sondes d'intégrité et Création de règles d’équilibrage de
chargefigurant dans le chapitre 10 , Équilibreurs de charge. Notez que dans la cible back-
end, nous devons sélectionner la machine virtuelle que nous avons créée.
Ouvrez maintenant le navigateur Web et accédez au portail Azure à l’adresse suivante :
https://portal.azure.com.
Comment faire...
Afin de déployer le nouveau service Private Link, procédez comme suit :
1. Dans le portail Azure, sélectionnez l'option permettant de créer un service.
Recherchez Private Linket sélectionnez l'option Create new (Créer).
2. Dans le nouveau volet, Private Link Center, sélectionnez Create private link
service (Créer un service Private Link) :
5. Dans Access security (Sécurité d'accès), vous pouvez sélectionner qui peut
demander l’accès à notre service. Les options disponibles sont les suivantes :
Role-based access control only (Contrôle d’accès en fonction du rôle uniquement,
[RBAC]), Restricted by subscription (Limité selon l'abonnement) et Anyone
with your alias (Toute personne disposant de votre alias). L’option par défaut et
recommandée consiste à utiliser RBAC comme contrôle d’accès natif dans Azure :
Comment faire...
Un service Private Link et un point de terminaison Private Link fonctionnent de la
même manière. Nous pouvons ainsi nous connecter à des services (qui sont par défaut
accessibles au public) sur un réseau privé. La principale différence réside dans le
fait qu’avec un point de terminaison Private Link, nous associons des services PaaS,
tandis qu'avec un service Private Link, nous créons un service personnalisé derrière
l’équilibreur de charge standard.
10
Équilibreurs
de charge
Les équilibreurs de charge permettent de prendre en charge la mise à l’échelle et
la haute disponibilité des applications et des services. Un équilibreur de charge est
essentiellement composé de trois éléments : un front-end, un back-end et des règles
de routage. Les demandes acheminées vers le front-end d’un équilibreur de charge sont
distribuées en fonction des règles de routage, où nous plaçons plusieurs instances d’un
service. Ce service peut être utilisé pour des raisons liées aux performances, lorsque
nous cherchons à distribuer le trafic de manière égale entre les points de terminaison
dans le back-end, ou pour des raisons de haute disponibilité, lorsque plusieurs
instances de services sont utilisées pour accroître les chances qu’au moins un point de
terminaison soit disponible en permanence.
Dans ce chapitre, nous aborderons les procédures suivantes :
• Création d’un équilibreur de charge interne
• Création d’un équilibreur de charge public
• Création d’un pool principal
• Création de sondes d’intégrité
• Création de règles d’équilibrage de charge
• Création de règles NAT de trafic entrant
• Création de règles sortantes explicites
176 | Équilibreurs de charge
Exigences techniques
Pour ce chapitre, un abonnement Azure est nécessaire.
Des exemples de code sont disponibles à l’adresse suivante : https://github.com/
PacktPublishing/Azure-Networking-Cookbook-Second-Edition/tree/master/
Chapter10.
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure via
https://portal.azure.com.
Comment faire...
Pour créer un nouvel équilibreur de charge interne à l’aide du portail Azure, procédez
comme suit :
1. Dans le portail Azure, sélectionnez Create a resource (Créer une ressource),
puis dans les services Networking (Mise en réseau), choisissez Load Balancer
(Équilibreur de charge) ou entrez load balancer (équilibreur de charge) dans
la barre de recherche.
2. Dans le nouveau volet, sélectionnez une option Subscription (Abonnement)
et un Resource group (Groupe de ressources) dans lequel créer l’équilibreur
de charge. Renseignez ensuite les options Name (Nom), Region (Région), Type et
SKU (Référence). Dans le cas présent, attribuez à Type la valeur Internal (Interne)
pour déployer un équilibreur de charge interne et définissez SKU (Référence)
à Standard. Enfin, dans les champs Virtual network (Réseau virtuel) et Subnet
(Sous-réseau), sélectionnez le réseau et le sous-réseau auxquels l’équilibreur
de charge sera associé, puis attribuez au champ IP address assignment
(Affectation d’adresse IP) la valeur Dynamic (Dynamique) ou Static (Statique) :
Création d’un équilibreur de charge interne | 177
Comment faire...
Un équilibreur de charge interne se voit attribuer une adresse IP privée, et toutes les
requêtes acheminées vers le front-end d’un équilibreur de charge interne doivent être
acheminées vers une adresse privée. Le trafic acheminé vers l’équilibreur de charge
est donc limité car il ne peut provenir que du réseau virtuel associé à l’équilibreur de
charge. Le trafic peut provenir d’autres réseaux (d’autres réseaux virtuels ou réseaux
locaux) si un réseau privé virtuel (VPN) est en place. Le trafic acheminé vers le front-
end de l’équilibreur de charge interne est réparti entre les points de terminaison
dans le back-end de l’équilibreur de charge. Les équilibreurs de charge internes sont
généralement utilisés pour des services ne figurant pas dans une zone démilitarisée
([DMZ] et, par conséquent, non accessibles via Internet), mais plutôt des services de
niveau intermédiaire ou back-end dans une architecture d’application multiniveau.
Nous devons également tenir compte des différences entre les références Basic
(Basique) et Standard. La principale différence réside dans les performances (qui sont
meilleures dans la référence Standard) et le SLA (la référence Standard garantit un SLA
de 99,99 % de disponibilité, tandis que la référence Basic ne propose pas de SLA). Notez
également que la référence Standard nécessite un Network Security Group (Groupe
de sécurité réseau, NSG). Si un NSG n’est pas présent sur le sous-réseau ou l'interface
réseau, ou la carte réseau (de la machine virtuelle dans le back-end), le trafic n’est
pas autorisé à atteindre sa cible. Pour en savoir plus sur les références d’équilibrage
de charge, consultez https://docs.microsoft.com/azure/load-balancer/skus.
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure via
https://portal.azure.com.
Comment faire...
Pour créer un équilibreur de charge public à l’aide du portail Azure, procédez comme
suit :
1. Dans le portail Azure, sélectionnez Create a resource (Créer une ressource),
puis dans les services Networking (Mise en réseau), choisissez Load Balancer
(Équilibreur de charge) ou entrez load balancer (équilibreur de charge) dans la
barre de recherche.
Création d’un équilibreur de charge public | 179
Comment faire...
L’équilibreur de charge public se voit attribuer une adresse IP publique au niveau du
front-end. Par conséquent, toutes les requêtes acheminées vers l’équilibreur de charge
public sont transmises via Internet, en ciblant l’adresse IP publique de l’équilibreur de
charge. Les requêtes sont ensuite distribuées aux points de terminaison dans le back-
end de l’équilibreur de charge. Ce qui est intéressant, c’est que l’équilibreur de charge
public ne cible pas les adresses IP publiques dans le back-end, mais les adresses IP
privées à la place. Par exemple, supposons que nous disposions d’un équilibreur de
charge public avec deux machines virtuelles Azure dans le back-end. Le trafic qui arrive
à l’adresse IP publique de l’équilibreur de charge sera ensuite distribué aux machines
virtuelles, mais il ciblera les adresses IP privées de ces dernières.
Les équilibreurs de charge publics sont utilisés pour les services publics, le plus souvent
pour des serveurs Web.
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure via
https://portal.azure.com.
Création d’un pool principal | 181
Comment faire...
Pour créer le pool principal, procédez comme suit :
1. Dans le portail Azure, recherchez l’équilibreur de charge (interne ou public)
précédemment créé.
2. Dans le volet Load balancer (Équilibreur de charge), sous Settings (Paramètres),
sélectionnez Backend pools (Pools principaux). Sélectionnez Add (Ajouter) pour
ajouter le nouveau pool principal :
3. Dans le nouveau volet, nous devons fournir un Name (Nom) et spécifier l’élément
auquel l’équilibreur de charge est associé. Des associations peuvent être créées
pour les machines virtuelles ou les groupes de machines virtuelles identiques.
Dans cet exemple, nous allons utiliser des machines virtuelles. En fonction de la
catégorie sélectionnée, des options supplémentaires vous seront proposées pour
ajouter des machines virtuelles au pool principal :
5. Une fois les machines virtuelles sélectionnées, elles s’affichent dans la liste Virtual
machines (Machines virtuelles) en vue de créer le pool. Cliquez sur Add (Ajouter)
pour créer le pool principal avec les machines virtuelles associées :
Figure 10.6 : liste des machines virtuelles pour la création d’un pool principal
6. Une fois la configuration entrée, la création du pool principal prend quelques
minutes. Les ressources associées s’afficheront ensuite dans la liste des pools
principaux :
Comment faire...
Les deux principaux composants de n’importe quel équilibreur de charge sont le
front-end et le back-end. Le front-end définit le point de terminaison de l’équilibreur
de charge, et le back-end définit où le trafic doit être acheminé après avoir atteint
l’équilibreur de charge. Une fois les informations relatives au front-end et l’équilibreur
de charge créés, nous devons définir le back-end nous-même afin que le trafic soit
réparti uniformément entre les points de terminaison du back-end. Les options
disponibles pour le pool principal sont les machines virtuelles et les groupes de
machines virtuelles identiques.
Voir aussi
Vous trouverez plus d’informations sur les machines virtuelles, les groupes à haute
disponibilité et les groupes de machines virtuelles identiques dans mon livre, Hands-On
Cloud Administration in Azure (L’administration pratique du Cloud dans Azure), publié
par Packt à l’adresse suivante : https://www.packtpub.com/virtualization-and-cloud/
hands-cloud-administration-azure.
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure via
https://portal.azure.com.
Création de sondes d’intégrité | 185
Comment faire...
Pour créer une sonde d’intégrité dans l’équilibreur de charge, procédez comme suit :
1. Dans le portail Azure, recherchez l’équilibreur de charge (interne ou public)
précédemment créé.
2. Dans le volet Load balancer (Équilibreur de charge), sous Settings (Paramètres),
sélectionnez Health probes (Sondes d’intégrité). Sélectionnez Add (Ajouter) pour
ajouter une nouvelle sonde d’intégrité :
Comment faire...
Une fois la sonde d’intégrité définie, elle est utilisée pour surveiller les points de
terminaison dans le pool principal. Le protocole et le port que nous définissons
constituent des informations utiles qui permettent de savoir si le service que nous
utilisons est disponible. La surveillance de l’état du serveur ne suffit pas, car les
informations obtenues peuvent être trompeuses. Par exemple, le serveur peut être en
cours d’exécution et disponible, mais les services IIS ou SQL Server que nous utilisons
ne sont peut-être pas disponibles. Le protocole et le port ne détectent pas uniquement
si le serveur est en cours d’exécution, ils détectent également les modifications
apportées au service qui nous intéresse. L’intervalle définit la fréquence à laquelle
une vérification est effectuée et le seuil de défaillance définit le nombre d’échecs
consécutifs à partir duquel le point de terminaison est déclaré non disponible.
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure via
https://portal.azure.com.
Comment faire...
Pour créer une règle d’équilibrage de charge, procédez comme suit :
1. Dans le portail Azure, recherchez l’équilibreur de charge (interne ou public)
précédemment créé.
2. Dans le volet Load balancer (Équilibreur de charge), sous Settings (Paramètres),
sélectionnez Load balancing rules (Règles d’équilibrage de charge). Sélectionnez
Add (Ajouter) pour ajouter la règle d’équilibrage de charge :
3. Dans le nouveau volet, indiquez les valeurs que vous souhaitez utiliser pour les
champs Name (Nom), IP Version (Version IP) et Frontend IP address (Adresse IP
front-end) que nous allons utiliser (l’équilibreur de charge pouvant en avoir plusieurs),
Protocol (Protocole) et le mappage de Port (sachant que le trafic du port entrant sera
acheminé vers le port principal). L'activation des ports haute disponibilité (uniquement
disponibles sur les équilibreurs de charge internes) supprime les options de protocole
et permet l’équilibrage de charge sur tous les ports pour les protocoles TCP et UDP.
Vous devez également renseigner les paramètres Backend Port (Port principal),
Backend pool (Pool principal), Health probe (Sonde d’intégrité), Session persistence
(Persistance de session) et Idle timeout (minutes) (Délai d’inactivité [minutes]), et
indiquez si vous souhaitez utiliser une adresse IP flottante. Enfin, nous avons la
possibilité de créer une règle sortante implicite :
4. Une fois que vous avez sélectionné OK, une règle sera créée et celle-ci s’affichera
sur la liste des règles d’équilibrage de charge disponibles.
188 | Équilibreurs de charge
Comment faire...
La règle d’équilibrage de charge est le dernier élément qui relie tous les composants
ensemble. Elle permet de définir quelle adresse IP front-end sera utilisée et vers quel
back-end le trafic de pool sera transféré. La sonde d’intégrité est destinée à surveiller
les points de terminaison dans le pool principal et à vérifier si tous les points de
terminaison sont réactifs. Nous créons également un mappage de port qui détermine le
protocole et le port que l’équilibreur de charge écoutera et, lorsque le trafic arrivera, où
ce trafic sera transféré.
En tant que mode de distribution par défaut, l'équilibreur de charge Azure utilise un
hachage à cinq tuples (IP source, port source, IP de destination, port de destination et
type de protocole). Si nous modifions la persistance de session à Client IP (IP client),
la distribution sera de deux tuples (les demandes provenant de la même adresse IP
client seront gérées par la même machine virtuelle). Si nous modifions la persistance
de session à Client IP and protocol (IP client et protocole), la distribution sera de trois
tuples (les demandes provenant de la même combinaison adresse IP client et protocole
seront gérées par la même machine virtuelle).
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure via
https://portal.azure.com.
Comment faire...
Pour créer une règle NAT de trafic entrant, procédez comme suit :
1. Dans le portail Azure, recherchez l’équilibreur de charge (interne ou public)
précédemment créé.
2. Dans le volet Load balancer (Équilibreur de charge), sous Settings (Paramètres),
sélectionnez Inbound NAT rules (Règles NAT de trafic entrant). Sélectionnez Add
(Ajouter) pour ajouter une nouvelle règle NAT de trafic entrant :
Création de règles NAT de trafic entrant | 189
Figure 10.12 : ajout d’une règle NAT entrante pour un équilibreur de charge existant
3. Dans le nouveau volet, renseignez les champs Name (Nom), Frontend IP address
(Adresse IP front-end), IP Version (Version IP, définie en fonction de l'adresse IP front-
end), Service, Protocol (Protocole) et Port. Nous pouvons également modifier Idle
timeout (Délai d'inactivité) qui est défini sur 4 minutes par défaut. Sélectionnez Target
virtual machine (Machine virtuelle cible) et Network IP configuration (Configuration
IP réseau) pour la même machine (si la machine virtuelle dispose de plusieurs
configurations IP). Enfin, vous pouvez sélectionner le mappage de port par défaut ou
utiliser un mappage personnalisé :
Comment faire...
Les règles NAT de trafic entrant vous permettent d’utiliser l’IP publique de l’équilibreur
de charge pour vous connecter directement à une instance back-end spécifique.
Elles créent un mappage de port similaire au mappage de port créé à l’aide des
règles d’équilibrage de charge, mais à une instance back-end spécifique. Une règle
d’équilibrage de charge crée des paramètres supplémentaires, tels que la sonde
d’intégrité ou la persistance de session. Les règles NAT de trafic entrant excluent ces
paramètres et créent un mappage non conditionnel entre le front-end et le back-
end. Avec une règle NAT de trafic entrant, le trafic acheminé atteint toujours l’unique
serveur du back-end, alors que l’équilibrage de charge achemine le trafic vers le pool
principal et utilise un algorithme pseudo-round-robin pour diriger le trafic vers
n’importe quel serveur fonctionnel du pool principal.
Préparation
Avant de commencer, vérifiez que les règles sortantes implicites sont désactivées dans
les règles d’équilibrage de charge :
Comment faire...
Pour créer une règle d’équilibrage de charge, procédez comme suit :
1. Dans le portail Azure, recherchez l’équilibreur de charge public précédemment créé.
2. Dans le volet Load balancer (Équilibreur de charge), sous Settings (Paramètres),
sélectionnez Outbound rules (Règles sortantes). Sélectionnez Add (Ajouter) pour
ajouter la règle d’équilibrage de charge :
3. Dans le volet Outbound rules (Règles sortantes), nous devons indiquer le nom
de la règle et renseigner les champs Frontend IP address (Adresse IP front-end),
Protocol (Protocole, All (Tout), TCP ou UDP), Idle timeout (Délai d'inactivité),
TCP reset (Réinitialisation TCP) et Backend pool (Pool principal). Dans la section
Port allocation (Affectation de port) du même volet, renseignez les champs
Port allocation (Affectation de port), Outbound ports (Ports sortants), Ports
per instance (Ports par instance, cette option est désactivée lorsque le nombre
maximal d’instances back-end est sélectionné) et Maximum number of backend
instances (Nombre maximal d’instances back-end) :
Comment faire...
Les règles sortantes dépendent de trois éléments : les adresses IP front-end, les
instances dans le pool principal et les connexions. Chaque adresse IP front-end
possède un nombre limité de ports dédiés aux connexions. Plus les adresses IP sont
attribuées au front-end et plus les connexions sont autorisées. D’autre part, le nombre
de connexions autorisées (par instance back-end) diminue en fonction du nombre
d’instances dans le back-end.
Si nous définissons le nombre par défaut de ports sortants, l’affectation est exécutée
automatiquement et sans contrôle. Si un groupe de machines virtuelles est défini avec
le nombre d’instances par défaut, l’affectation de port sera exécutée automatiquement
pour chaque machine virtuelle du groupe. Si le nombre d’instances dans un groupe
augmente, le nombre de ports alloués à chaque machine virtuelle diminuera également.
Pour éviter cela, nous pouvons définir l’affectation de port manuelle et limiter le
nombre d’instances autorisées ou limiter le nombre de ports par instance. Ainsi, chaque
machine virtuelle disposera d’un certain nombre de ports dédiés et les connexions ne
seront pas rejetées.
11
Traffic Manager
L'équilibreur de charge Azure n’offre des services de haute disponibilité et d’évolutivité
qu’aux machines virtuelles Azure (VM). De plus, un seul équilibreur de charge ne peut
être appliqué qu’aux machines virtuelles d’une seule région Azure. Si nous voulons
fournir les mêmes haute disponibilité et évolutivité à d’autres services Azure distribués
globalement, nous devons introduire un nouveau composant, Azure Traffic Manager.
Azure Traffic Manager est un composant DNS qui permet d’acheminer le trafic sur
des services et de le répartir sur l’ensemble des régions Azure. Mais Traffic Manager
n’est pas limité aux services Azure ; nous pouvons également ajouter des points
de terminaison externes.
Dans ce chapitre, nous aborderons les procédures suivantes :
• Création d’un profil Traffic Manager
• Ajout d’un point de terminaison
• Configuration du trafic distribué
• Configuration du trafic en fonction de la priorité
• Configuration du trafic en fonction de l’emplacement géographique
• Gestion des points de terminaison
• Gestion des profils
• Configuration de Traffic Manager avec des équilibreurs de charge
196 | Traffic Manager
Exigences techniques
Pour ce chapitre, un abonnement Azure est nécessaire.
Des exemples de code sont disponibles à l’adresse suivante : https://github.com/
PacktPublishing/Azure-Networking-Cookbook-Second-Edition/tree/master/
Chapter11.
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure
via https://portal.azure.com.
Comment faire...
Pour créer un profil Traffic Manager, procédez comme suit :
1. Dans le portail Azure, sélectionnez Create a resource (Créer une ressource), puis
dans les services Networking (Mise en réseau), choisissez Traffic Manager Profile
ou entrez Traffic Manager Profile dans la barre de recherche.
2. Dans le nouveau volet, renseignez les champs Name (Nom), Routing method
(Méthode de routage), Subscription (Abonnement) et Resource group (Groupe
de ressources) :
3. Notez que plusieurs options sont proposées dans les méthodes de routage :
Performance, Weighted (Pondéré), Priority (Priorité), Geographic (Géographique),
MultiValue (Valeurs multiples) et Subnet (Sous-réseau). Pour cette procédure,
nous allons conserver l’option par défaut (Performances), mais nous verrons
les autres méthodes de routage dans d’autres procédures de ce chapitre :
Comment faire...
Traffic Manager se voit attribuer un point de terminaison public qui doit être un nom
de domaine complet. Tout le trafic qui parvient à ce point de terminaison est distribué
aux points de terminaison dans le back-end, à l’aide de la méthode de routage
sélectionnée. La méthode de routage par défaut est Performance (Performances).
La méthode de routage selon les performances distribue le trafic en fonction
des meilleures performances possibles disponibles. Par exemple, si nous avons
plus d’un point de terminaison back-end dans la même région, le trafic est réparti
uniformément. Si les points de terminaison se trouvent dans différentes régions, Traffic
Manager achemine le trafic vers le point de terminaison le plus proche du trafic entrant
en termes d’emplacement géographique et de latence réseau minimale.
Passons à la prochaine procédure et découvrons comment ajouter un point
de terminaison à Traffic Manager.
Préparation
Avant de pouvoir ajouter des points de terminaison à Traffic Manager, nous devons
les créer. L’exécution du script suivant dans PowerShell permet de créer rapidement
deux applications Web :
$ResourceGroupName = "packt-demo-webapp"
$webappname="packt-demo-webapp"
$location1="West Europe"
$NumberOfWebApps= 2
Le script peut être modifié pour déployer plus de deux applications Web si nécessaire.
Toutefois, pour tirer le meilleur parti de Traffic Manager, il est préférable de déployer
des applications Web dans différentes régions.
Une fois le script terminé, ouvrez votre navigateur Web et accédez au portail Azure
à l’adresse suivante : https://portal.azure.com.
Comment faire...
Pour ajouter des points de terminaison à Traffic Manager, procédez comme suit :
1. Dans le portail Azure, recherchez le profil Traffic Manager précédemment créé.
2. Dans le volet Traffic Manager profile (Profil Traffic Manager), sous Settings
(Paramètres), sélectionnez Endpoints (Points de terminaison). Sélectionnez Add
(Ajouter) pour ajouter un nouveau point de terminaison :
Ajout d’un point de terminaison | 199
3. Dans le nouveau volet, renseignez les champs Type et Name (Nom) pour le point
de terminaison que nous ajoutons. Concernant le champ Type, nous avons le choix
entre Azure, External (Externe) et Nested (Imbriqué). Si Azure est sélectionné,
certains types de ressources cibles sont proposés (Cloud service (Service cloud),
App service ou slot (emplacement) et Public IP address (Adresse IP publique)
et selon le type de ressource cible sélectionné, des ressources correspondant
à ce type sont proposées. Ici, nous avons sélectionné packt-demo-webapp01,
que nous avons créé précédemment :
Comment faire...
Les requêtes entrantes atteignent Traffic Manager via son point de terminaison front-
end. En fonction des règles (principalement la méthode de routage), le trafic est ensuite
acheminé vers les points de terminaison principaux. L’équilibreur de charge permet
d’acheminer le trafic vers des adresses IP privées. En revanche, Traffic Manager utilise
des points de terminaison publics dans le back-end. Les types de point de terminaison
pris en charge sont les suivants : Azure, externe et imbriqué. Selon le type du point
de terminaison, nous pouvons ajouter des points de terminaison Azure ou des points
de terminaison externes. Les points de terminaison peuvent être des noms de domaine
complets (publics) ou des adresses IP publiques. Les points de terminaison imbriqués
permettent d’ajouter d’autres profils Traffic Manager au back-end de Traffic Manager.
Les paramètres d’en-tête personnalisés ajoutent des en-têtes HTTP spécifiques
aux contrôles d’intégrité que Traffic Manager envoie aux points de terminaison sous
un profil. Ils peuvent être définis au niveau du profil (et appliqués à tous les points
de terminaison sous ce profil) ou pour chaque point de terminaison individuel.
Ils sont exprimés au format header:value et nous pouvons ajouter jusqu’à 8 paires
(header1:value1, header2:value2, header3:value3 ...)
Après avoir ajouté des points de terminaison à Traffic Manager, passons à la prochaine
procédure et découvrons comment configurer le trafic distribué.
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure via
https://portal.azure.com.
202 | Traffic Manager
Comment faire...
Pour configurer le trafic distribué, procédez comme suit :
1. Dans le portail Azure, recherchez le profil Traffic Manager précédemment créé.
2. Sous Settings (Paramètres), sélectionnez l’option Configuration. Nous avons
ici plusieurs options que nous pouvons modifier, telles que DNS time to live (TTL)
(Durée de vie du DNS), Protocol (Protocole) et les paramètres de basculement :
Comment faire...
La méthode de routage pondérée répartit uniformément le trafic entre tous les points
de terminaison du back-end. Nous pouvons aussi définir des paramètres de poids
de manière à avantager un point de terminaison donné et indiquer que certains
points de terminaison recevront un pourcentage plus important ou moins important
du trafic. Cette méthode est généralement utilisée lorsqu’il existe plusieurs instances
d’une application dans la même région, ou pour monter en charge afin d’accroître
les performances.
Cette procédure vous a appris à distribuer le trafic uniformément sur tous les points
de terminaison. La procédure suivante explique comment configurer le trafic en fonction
de la priorité.
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure via https://
portal.azure.com.
204 | Traffic Manager
Comment faire...
Pour attribuer à la méthode de routage la valeur Priority (Priorité), procédez comme suit :
1. Dans le portail Azure, recherchez le profil Traffic Manager précédemment créé.
2. Sous Settings (Paramètres), sélectionnez l’option Configuration.
3. Attribuez à Routing method (Méthode de routage) la valeur Priority (Priorité), comme
illustré dans la Figure 11.9 :
Comment faire...
La priorité définit l’ordre de priorité des points de terminaison. Tout le trafic est d’abord
acheminé vers les points de terminaison ayant la priorité la plus élevée. Les autres points
de terminaison (avec une priorité inférieure) sont sauvegardés et le trafic n’est acheminé
vers ces points de terminaison que si les points de terminaison de priorité supérieure
ne sont plus disponibles. L’ordre de priorité par défaut est l’ordre d’ajout de points
de terminaison à Traffic Manager. Le point de terminaison ajouté en premier obtient
la priorité la plus élevée et le point de terminaison ajouté en dernier obtient la priorité
la plus faible. La priorité peut être modifiée dans les paramètres de point de terminaison.
La prochaine procédure décrit comment configurer le trafic en fonction de l’emplacement
géographique.
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure via
https://portal.azure.com.
Comment faire...
Pour configurer la méthode de routage de manière à ce que celui-ci s’effectue
en fonction de l’emplacement géographique, procédez comme suit :
1. Dans le portail Azure, recherchez le profil Traffic Manager précédemment créé.
2. Sous Settings (Paramètres), sélectionnez l’option Configuration.
3. Attribuez à la méthode de routage la valeur Geographic (Géographique), comme
illustré dans la Figure 11.10 :
Comment faire...
La méthode de routage géographique établit une correspondance entre
l’origine de la requête et le point de terminaison le plus proche en termes
d’emplacement géographique.
Par exemple, imaginons que nous ayons plusieurs points de terminaison, chacun
sur un continent différent. Si une requête émane de l’Europe, il serait absurde
de l’acheminer vers l’Asie ou l’Amérique du Nord. La méthode de routage géographique
s’assure qu'une requête provenant d’Europe pointe vers le point de terminaison
situé en Europe.
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure via
https://portal.azure.com.
Comment faire...
Pour modifier des points de terminaison dans Traffic Manager, procédez comme suit :
1. Dans le portail Azure, recherchez le profil Traffic Manager précédemment créé.
2. Sous Settings (Paramètres), sélectionnez Endpoints (Points de terminaison).
Dans la liste qui s’affiche, sélectionnez le point de terminaison que vous
souhaitez modifier :
Comment faire...
Le point de terminaison existant dans le back-end de Traffic Manager peut être
modifié. Nous pouvons le supprimer entièrement de Traffic Manager, ou nous pouvons
le désactiver pour le supprimer temporairement du back-end. Nous pouvons également
le modifier entièrement de manière à ce qu’il pointe vers un autre service ou un type
complètement différent.
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure
via https://portal.azure.com.
208 | Traffic Manager
Comment faire...
Pour modifier des profils Traffic Manager, procédez comme suit :
1. Dans le portail Azure, recherchez le profil Traffic Manager précédemment créé.
2. Dans Overview (Vue d’ensemble), sélectionnez l’option Disable profile (Désactiver
le profil), puis confirmez votre choix en cliquant sur le bouton Yes (Oui) :
3. Une fois le profil désactivé, il peut être activé à nouveau à l’aide de l’option Enable
profile (Activer le profil) :
Comment faire...
La gestion du profil Traffic Manager à l’aide des options d’activation et de désactivation
a pour effet de rendre le front-end de Traffic Manager disponible ou non disponible
(en fonction de l’option sélectionnée). Cela peut être très utile en cas de maintenance.
Si nous devons appliquer des modifications à tous les points de terminaison et si elles
doivent être appliquées à tous les points de terminaison en même temps, nous pouvons
désactiver temporairement le profil Traffic Manager. Une fois les modifications
appliquées à tous les points de terminaison, nous pouvons rendre Traffic Manager
à nouveau disponible en activant le profil.
Passons à la prochaine procédure et découvrons comment configurer Traffic Manager
avec des équilibreurs de charge.
Configuration de Traffic Manager avec des équilibreurs de charge | 209
Préparation
Avant de commencer, ouvrez votre navigateur Web et accédez au portail Azure
via https://portal.azure.com.
Comment faire...
Pour associer un équilibreur de charge à Traffic Manager, procédez comme suit :
1. Dans le portail Azure, recherchez l’équilibreur de charge et vérifiez qu’une adresse
IP lui est affectée. Ce sujet est abordé dans le chapitre 8, Équilibreurs de charge.
Seules les adresses IP publiques peuvent être utilisées :
Comment faire...
Les équilibreurs de charge assurent une disponibilité supérieure, dans la mesure
où ils permettent de maintenir un service actif même si l’un des services du pool
principal échoue. Si une région échoue, les équilibreurs de charge ne peuvent fournir
aucune aide, car ils ne sont applicables qu’à une seule région. Nous devons fournir
un autre ensemble de ressources d’une autre région pour accroître réellement
la disponibilité, mais ces ensembles seront entièrement indépendants et ne permettront
pas de basculement, sauf si nous incluons Traffic Manager. Traffic Manager deviendra
alors le front-end, et nous ajouterons des équilibreurs de charge comme points
de terminaison back-end de Traffic Manager. Toutes les requêtes parviendront
d’abord à Traffic Manager, puis elles seront acheminées vers l’équilibreur de charge
Sapproprié dans le back-end. Traffic Manager surveillera l’intégrité des équilibreurs
de charge, et si l’un d’eux n’est pas disponible, le trafic sera redirigé vers un équilibreur
de charge actif.
12
Azure Application
Gateway et
Azure WAF
Azure Application Gateway est essentiellement un équilibreur de charge pour le trafic
Web, mais il assure également un meilleur contrôle du trafic. Les équilibreurs de charge
classiques fonctionnent sur la couche de transport. Ils permettent d’acheminer le trafic
en fonction du protocole (TCP ou UDP) et de l’adresse IP, en mappant les adresses IP
et les protocoles dans le front-end aux adresses IP et aux protocoles dans le back-end.
Ce mode de fonctionnement « classique » est souvent appelé couche 4. Application
Gateway accroît les capacités des équilibreurs de charge en permettant d’utiliser des
noms d'hôtes et des chemins d’accès pour déterminer où le trafic doit être acheminé,
ce qui en fait un équilibreur de charge de couche 7. Par exemple, nous pouvons disposer
de plusieurs serveurs optimisés pour différentes choses. Si l’un de nos serveurs est
optimisé pour la vidéo, toutes les requêtes vidéo doivent être acheminées vers ce
serveur spécifique en fonction de l’URL de la requête entrante.
212 | Azure Application Gateway et Azure WAF
Exigences techniques
Pour ce chapitre, un abonnement Azure est nécessaire.
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure à l’adresse
suivante : https://portal.azure.com.
Création d’une passerelle d’application | 213
Comment faire...
Pour créer une passerelle d’application, procédez comme suit :
1. Dans le portail Azure, sélectionnez Create a resource (Créer une ressource), puis dans
Networking (Mise en réseau), choisissez Application Gateway ou entrez application
gateway dans la barre de recherche.
2. Dans le nouveau volet, renseignez les champs Suscription (Abonnement), Resource
group (Groupe de ressources, Name (Nom), Region (Région), Tier (Niveau),
Autoscaling (Mise à l'échelle automatique), Instance count (Nombre d’instances),
Availability zone (Zone de disponibilité) et HTTP2. Nous devons également
sélectionner le Virtual network (Réseau virtuel) et le Subnet (Sous-réseau) qui seront
associés à la passerelle d’application. Seuls les réseaux virtuels qui se trouvent dans
la région sélectionnée pour la passerelle d’application sont disponibles :
6. Une fois que nous avons ajouté un pool principal, nous avons accès aux
informations associées et pouvons continuer. Notez que nous pouvons ajouter
plusieurs pools principaux :
7. Le volet Configuration, nous indique que les frontends et les pools principaux sont
en place. Il manque néanmoins une règle de routage. Cette règle est indispensable
pour continuer. Nous devons donc en créer une en sélectionnant Add a routing
rule (Ajouter une règle de routage) :
8. Nous devons d’abord définir un écouteur dans le nouveau volet. Nous devons
nommer l'écouteur, sélectionner la configuration IP Frontend et indiquer le
numéro du Port et le nom du Protocol (Protocole) à surveiller : Nous pouvons
également modifier le bouton radio Listener type (Type d'écouteur) et ajouter
une page d’URL de redirection pour les erreurs (il ne peut s’agir que d’une URL
de compte de stockage Azure) :
9. Nous devons également configurer des Backend targets (Cibles back-end) pour
la règle de routage. Dans cette section, nous devons définir le Target type (Type
de cible), la Backend target (Cible back-end) et les HTTP settings (Paramètres
HTTP). À ce stade, il nous manque toujours un paramètre HTTP. Nous devons donc
sélectionner Add new (Ajouter un nouveau) dans le champ HTTP settings :
10. Dans le nouveau volet, nous devons tout d’abord indiquer notre paramètre HTTP et
le nommer, puis ajouter des détails pour le Backend protocol (Protocole back-end)
et le Backend port (Port back-end). Nous devons également activer ou désactiver
Cookie-based affinity (Affinité basée sur les cookies) et Connectiondraining
(Drainage des connexions) avant d'indiquer la période Request time-out (seconds)
(Expiration de la demande, secondes). Nous pouvons activer ou désactiver les
paramètres Create custom probes (Créer des sondes personnalisées) et Override
with new host name (Remplacer par un nouveau nom d'hôte) :
11. Une fois le paramètre HTTP créé, il sera automatiquement ajouté à notre règle de
routage, que nous pouvons maintenant terminer :
Comment faire...
Azure Application Gateway est très similaire à Azure Load Balancer, avec quelques
options supplémentaires. Il achemine le trafic qui atteint le front-end de la passerelle
d’application vers un back-end donné, en fonction des règles que nous avons définies.
Outre le routage basé sur les protocoles et les ports, la passerelle d’application permet
également de configurer un routage en fonction des chemins d'accès et des protocoles.
Grâce à ces règles supplémentaires, nous pouvons acheminer les demandes entrantes
vers des points de terminaison qui sont optimisés pour certains rôles. Par exemple,
nous pouvons avoir plusieurs pools principaux avec différents paramètres qui sont
optimisés pour effectuer uniquement des tâches spécifiques. En fonction de la nature
des requêtes entrantes, la passerelle d’application achemine les requêtes vers le
pool principal approprié. Cette approche, ainsi que la haute disponibilité, assure de
meilleures performances en acheminant chaque requête vers un pool principal qui
traite la requête de manière plus optimisée.
Nous pouvons configurer la mise à l’échelle automatique pour la passerelle d'application
(uniquement disponible pour V2) avec des informations supplémentaires concernant
le nombre minimal et maximal d’unités. De cette façon, la passerelle d'application se
mettra à l'échelle en fonction de la demande et garantira des performances optimales,
même avec un nombre maximal de requêtes.
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure à l’adresse
suivante : https://portal.azure.com.
222 | Azure Application Gateway et Azure WAF
Comment faire...
Pour ajouter des pools principaux à la passerelle d’application, procédez comme suit :
1. Dans le portail Azure, recherchez la passerelle d’application précédemment créée.
2. Dans le volet Application gateway (Passerelle d’application), sous Settings
(Paramètres), sélectionnez Backend pools (Pools principaux). Sélectionnez Add
(Ajouter) pour ajouter un nouveau pool principal ou sélectionnez-en un existant
pour le modifier :
3. Le nom des pools nouveaux et existants est la seule différence entre ceux-ci. S'il
s'agit d'un nouveau pool, nous devons indiquer le nom du pool principal. Cette
option est grisée et ne peut pas être modifiée pour les pools existants. Nous
devons indiquer le type de cible pour les pools nouveaux et existants. Les types
disponibles sont les machines virtuelles, les Virtual machine scale sets, les services
d’application et les adresses IP/FQDN. Selon le type sélectionné, vous pouvez
ajouter des cibles appropriées :
Configuration des pools principaux | 223
Comment faire...
Avec les pools principaux, nous définissons les cibles vers lesquelles le trafic sera
acheminé. Dans la mesure où la passerelle d’application nous permet de définir le
routage de chaque requête, il est préférable que les cibles basées sur les performances
et les types soient regroupés de la même manière. Par exemple, si nous disposons
de plusieurs serveurs Web, ceux-ci doivent être placés dans le même pool principal.
Les serveurs utilisés pour le traitement des données doivent être placés dans un pool
distinct, et les serveurs utilisés pour la vidéo dans un autre pool distinct. Nous pouvons
ainsi séparer les pools en fonction des types de performances et acheminer le trafic en
fonction des opérations devant être effectuées.
Cela permet d’accroître les performances de l’application, car chaque requête est traitée
par la ressource la mieux adaptée pour cette tâche spécifique. Pour atteindre une haute
disponibilité, nous devons ajouter d’autres serveurs à chaque pool principal.
224 | Azure Application Gateway et Azure WAF
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure à l’adresse
suivante : https://portal.azure.com.
Comment faire...
Pour ajouter des paramètres HTTP à la passerelle d’application, procédez comme suit :
1. Dans le portail Azure, recherchez la passerelle d’application précédemment créée.
2. Dans le volet Application gateway (Passerelle d’application), sous Settings
(Paramètres), sélectionnez HTTP settings (Paramètres HTTP). Sélectionnez Add
pour ajouter un nouveau paramètre HTTP ou sélectionnez-en un existant pour
le modifier :
3. Dans le nouveau volet, nous devons commencer par indiquer un nom (si vous modifiez
un paramètre HTTP existant, cette option sera grisée). Les options suivantes permettent
de désactiver ou d’activer les options Cookie based affinity (Affinité basée sur les
cookies) et Connection draining (Drainage des connexions). Vous devez également
renseigner les champs Protocol (Protocole), Port et Request timeout (seconds) (Délai
d’expiration de la demande [secondes]). Les paramètres facultatifs nous permettent de
configurer les options Use custom probe (Utiliser la sonde personnalisée) et Override
with new host name (Remplacer par un nouveau nom d'hôte) :
Comment faire...
Comme nous l’avons mentionné précédemment, l’objectif principal des paramètres
HTTP est de s’assurer que les requêtes sont bien acheminées vers le pool principal
approprié. Toutefois, diverses autres options sont également disponibles. L’affinité
basée sur les cookies permet d’acheminer les requêtes d’une même source vers le
même serveur cible dans le pool principal. Le drainage des connexions contrôle le
comportement lorsque le serveur est supprimé du pool principal. Si cette option est
activée, le serveur maintiendra les demandes en transit vers le même serveur. Les
paramètres de remplacement permettent de remplacer le chemin d’accès de l’URL
par un chemin d’accès différent ou par un domaine entièrement nouveau, avant de
transmettre la requête au pool principal.
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure à l’adresse
suivante : https://portal.azure.com.
Comment faire...
Pour ajouter un écouteur à une passerelle d’application, procédez comme suit :
1. Dans le portail Azure, recherchez la passerelle d’application précédemment créée.
2. Dans le volet Application gateway (Passerelle d’application), sous Settings
(Paramètres), sélectionnez Listeners (Écouteurs), puis Add listener (Ajouter un
écouteur) pour ajouter un nouvel écouteur, ou modifier un écouteur existant :
3. Dans le nouveau volet, indiquez un nom pour l’écouteur (cette option sera grisée
pour les écouteurs existants), sélectionnez une valeur dans le champ Frontend IP
configuration (Configuration d’adresse IP frontale), et renseignez les champs Port
et Protocol (Protocole) pour indiquer le numéro du port et le nom du protocole à
surveiller. En outre, nous pouvons configurer le Listener type (Type d'écouteur) et
une page d’URL personnalisée pour les erreurs :
Comment faire...
Un écouteur surveille les nouvelles requêtes acheminées vers la passerelle d’application.
Chaque écouteur ne surveille qu’une seule adresse IP front-end et qu’un seul port. Si
nous avons deux adresses IP front-end (l'une publique et l'autre privée) et si le trafic est
acheminé via plusieurs protocoles et ports, nous devons créer un écouteur pour chaque
adresse IP et chaque port vers lequel le trafic peut être acheminé.
Le type de base de l’écouteur est utilisé lorsque l’écouteur écoute un seul domaine ; il
est généralement utilisé lorsque nous hébergeons une seule application derrière une
passerelle d’application. Un écouteur multi-site est utilisé si plusieurs applications se
trouvent derrière la passerelle d’application et si nous devons configurer le routage en
fonction d’un nom d’hôte ou d’un nom de domaine.
228 | Azure Application Gateway et Azure WAF
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure à l’adresse
suivante : https://portal.azure.com.
Comment faire...
Pour ajouter une règle à la passerelle d’application, procédez comme suit :
1. Dans le portail Azure, recherchez la passerelle d’application précédemment créée.
2. Dans le volet Application gateway (Passerelle d’application), sous Settings
(Paramètres), sélectionnez Rules (Règles). Ajoutez une nouvelle règle ou
sélectionnez-en une existante pour la modifier :
3. Nous devons nommer la nouvelle règle (si vous modifiez une règle existante, cette
option sera grisée) dans le nouveau volet et sélectionner le Listener (Écouteur),
comme l'illustre la Figure 12.19 :
4. Nous devons également configurer une cible back-end, où nous devons définir
le Target type (Type de cible) et sélectionner les options des Backend target
(Cible back-end) et des HTTP settings (Paramètres HTTP) :
Comment faire...
Les règles permettent de lier ensemble des paramètres créés précédemment. Nous
définissons un écouteur qui spécifie quelle requête sur quelle adresse IP doit être
acheminée sur quel port. Ces requêtes sont ensuite transmises au pool principal ;
la transmission est effectuée en fonction des paramètres HTTP. Nous avons également
la possibilité d’ajouter une redirection aux règles.
230 | Azure Application Gateway et Azure WAF
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure à l’adresse
suivante : https://portal.azure.com.
Comment faire...
Pour ajouter une sonde à la passerelle d’application, procédez comme suit :
1. Dans le portail Azure, recherchez la passerelle d’application précédemment créée.
2. Dans le volet Application gateway (Passerelle d’application), sous Settings
(Paramètres), sélectionnez Health probes (Sondes d’intégrité). Sélectionnez Add
pour ajouter une nouvelle sonde :
3. Nous devons indiquer le Name de la sonde (cette option sera grisée si une sonde
existante est modifiée) dans le nouveau volet, ainsi que le Protocol, l'Host et le
Path (Chemin d'accès). Renseignez également les paramètres Interval (seconds)
(Intervalle, secondes), Timeout (seconds) (Délai d’expiration, secondes) et
Unhealthy threshold (Seuil de défaillance sur le plan de l’intégrité). Nous pouvons
également choisir de configurer l'option Conditions d'utilisation de la sonde et les
HTTP settings (Paramètres HTTP) associés :
Comment faire...
Les paramètres Protocol, Host et Path déterminent la sonde qui est surveillée. Le
paramètre Interval définit la fréquence des contrôles. Le paramètre Timeout définit
le délai qu’il est nécessaire d’attendre avant que le contrôle ne soit déclaré défectueux.
Enfin, le paramètre Unhealthy threshold (Seuil de défaillance sur le plan de l’intégrité)
est utilisé pour définir le nombre de contrôles devant échouer avant que le point de
terminaison ne soit déclaré non disponible.
Préparation
Pour activer un pare-feu d’applications Web, vous devez définir la passerelle
d’application sur le niveau WAF. Pour ce faire, procédez comme suit :
1. Dans le volet Application gateway (Passerelle d’application), sous Settings
(Paramètres), accédez à Web application firewall (Pare-feu d’applications Web).
Modifiez la sélection Tier (Niveau), en remplaçant Standard V2 par WAF V2
et sélectionnez Save (Enregistrer) :
Comment faire...
Une fois la passerelle d’application définie sur WAF, vous pouvez activer et définir
les règles de pare-feu. Pour ce faire, procédez comme suit :
Configuration d’un pare-feu d’applications Web (WAF) | 233
2. Sélectionnez une valeur pour le champ Firewall mode (Mode pare-feu), configurez
la liste d’exclusions et renseignez la section Global parameters (Paramètres globaux)
comme suit :
Comment faire...
La fonctionnalité WAF permet d’accroître la sécurité en vérifiant l’ensemble du trafic
entrant. Étant donné que cela peut nuire aux performances, nous pouvons exclure
certains éléments qui créent des faux positifs, en particulier les éléments volumineux. Les
éléments exclus ne seront pas inspectés. Le pare-feu d’applications Web offre deux modes
de fonctionnement : la détection et la prévention. La détection détecte uniquement si une
requête malveillante est envoyée, tandis que la prévention arrête une telle requête.
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure à l’adresse
suivante : https://portal.azure.com.
Comment faire...
Pour modifier les règles WAF, procédez comme suit :
1. Dans le volet Application gateway (Passerelle d’application), sous Settings
(Paramètres), sélectionnez Web application firewall (Pare-feu d’applications Web).
Personnalisation des règles WAF | 235
3. Les règles apparaîtront sous la forme d’une liste. Cochez ou décochez les cases
pour activer ou désactiver les règles :
Comment faire...
Toutes les règles du pare-feu d’applications Web sont activées par défaut. Cela étant
susceptible de ralentir les performances, nous pouvons désactiver certaines des règles
si nécessaire. Trois ensembles de règles sont également proposés : OWASP 2.2.9,
OWASP 3.0 et OWASP 3.1. L’ensemble de règles par défaut (et recommandé) est
OWASP 3.0, mais nous pouvons passer d’un ensemble de règles à un autre selon
nos besoins.
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure à l’adresse
suivante : https://portal.azure.com.
Comment faire...
Pour créer une passerelle d’application, procédez comme suit :
1. Dans le portail Azure, sélectionnez Create a resource (Créer une ressource),
puis dans Networking (Mise en réseau), choisissez Web Application Firewall
(Pare-feu d’applications Web) ou entrez Web Application Firewall dans la barre
de recherche.
2. Nous devons d’abord terminer la section Basics (Bases) dans le nouveau volet.
Nous devons définir l'objet de l'utilisation de la stratégie (Application Gateway,
Front Door, ou CDN), configurer les paramètres Subscription et Resource
group, puis renseigner les champs Policy name (Nom de stratégie) et Location
(Emplacement). Nous pouvons également déterminer si la stratégie sera activée
ou désactivée une fois créée :
Création d'une stratégie WAF | 237
5. Nous pouvons ajouter des règles supplémentaires dans Custom rules (Règles
personnalisées) si nécessaire. Sélectionnez Add custom rule (Ajouter une règle
personnalisée) pour en ajouter une.
7. Une fois la règle personnalisée créée, elle apparaît dans la liste et nous pouvons
continuer en accédant à la section Association :
10. Une fois Application gateway sélectionnée, nous devons associer des écouteurs.
Sélectionnez Associate listener (Associer des écouteurs) dans Associate HTTP
listners (Associer des écouteurs HTTP). Sélectionnez l'écouteur que vous
souhaitez utiliser dans le menu déroulant du nouveau volet :
11. Une fois l’écouteur associé, nous pouvons commencer à créer notre
stratégie WAF :
Comment faire...
Notre stratégie WAF contient la configuration et tous les paramètres requis pour notre
pare-feu d’applications Web et peut être associée à Application Gateway, Front Door
ou CDN. Elle peut être associée à plusieurs ressources, mais uniquement à un seul type
à la fois. Le Mode détermine le type d’action pris en cas de détection d’un problème.
Prevention (Prévention) bloquera les requêtes suspectes, et Detection (Détection)
créera une entrée de journal.
13
Azure Front Door et
Azure CDN
Plusieurs services de mise en réseau dans Microsoft Azure sont dédiés à la livraison
d'applications. Azure Front Door et Azure CDN sont des services qui nous permettent
de créer des applications dédiées à la livraison mondiale et de tirer parti du réseau
mondial de datacenters Azure. En exploitant cette capacité, nous pouvons offrir la
même expérience à nos utilisateurs, quel que soit leur emplacement physique.
Dans ce chapitre, nous aborderons les procédures suivantes :
• Création d’une instance Azure Front Door
• Création d’un profil Azure CDN
Exigences techniques
Pour ce chapitre, les éléments suivants sont nécessaires :
• Un abonnement Azure
244 | Azure Front Door et Azure CDN
Préparation
Azure Front Door nécessite des services qui seront ajoutés au pool principal. Vous
pouvez utiliser un script de la section Préparation de la procédure Ajout d'un point de
terminaison, dans le chapitre 11, Traffic Manager.
Ouvrez ensuite le navigateur Web et accédez au portail Azure à l’adresse suivante :
https://portal.azure.com.
Comment faire...
Pour créer une instance Azure Front Door, procédez comme suit :
1. Dans le portail Azure, sélectionnez Create a resource (Créer une ressource), puis
dans Networking (Mise en réseau), choisissez Front Door ou entrez Front Door
dans la barre de recherche.
2. Plusieurs sections doivent être renseignées dans le nouveau volet. Renseignez les
champs Subscription (Abonnement) et Resource group (Groupe de ressources)
dans la section Basics (Bases). L'option Resource group location (Emplacement du
groupe de ressources) est automatiquement sélectionnée et grisée :
Création d’une instance Azure Front Door | 245
5. Une fois que le serveur frontal a été créé, nous sommes redirigés vers la
section Configuration. Sélectionnez Pools principaux pour lancer le volet de
configuration suivant :
6. Nous devons fournir un nom pour notre pool principal et y ajouter des services.
Sélectionnez l'option Add a backend (Ajouter un pool principal) pour ajouter un
pool principal :
9. Une fois que nous avons ajouté suffisamment de points de terminaison au pool
principal, nous pouvons procéder à la configuration :
Figure 13.9 : configuration des sondes d’intégrité pour vérifier l’intégrité du serveur principal
250 | Azure Front Door et Azure CDN
15. Une fois que la règle de routage a été créée, nous avons tous les composants
nécessaires et pouvons procéder à la création de l’instance Azure Front Door en
accédant à l'onglet Review + Create (Examiner + créer) :
Comment faire...
Toutes les requêtes d’application proviennent du serveur frontal. Selon les règles
créées, les requêtes sont transmises aux points de terminaison dans le back-end. Les
règles d’équilibrage de charge garantissent que les requêtes sont envoyées au back-end
qui est disponible le plus rapidement.
Le taux d’échantillonnage fructueux garantit la disponibilité des points de terminaison
dans le back-end et détermine le nombre d’échantillons envoyés simultanément.
Les échantillons fructueux requis définissent le nombre de requêtes qui doivent être
fructueuses pour qu'un point de terminaison soit considéré comme sain. La sensibilité
de la latence définit la tolérance entre le point de terminaison présentant la latence la
plus faible et le reste des points de terminaison. Imaginons que le paramètre Latency
sensitivity (Sensibilité de la latence) s'élève à 30 ms, tandis que la latence du point de
terminaison A équivaut à 15 ms, celle du point de terminaison B est de 30 ms et celle
du point de terminaison C est égale à 90 ms. Les points de terminaison A et B seront
placés dans le pool le plus rapide, car la différence de latence est inférieure au seuil de
sensibilité, et le point de terminaison C est au -dessus du seuil.
Création d’une instance Azure Front Door | 253
Remarque
Un grand nombre de conditions et d’options sont similaires à ceux d'Application
Gateway. Nous ne les réexpliquerons donc pas une nouvelle fois. En outre, Web
Application Firewall (Pare-feu d’application Web, WAF) est une option qui
peut être activée sur Azure Front Door afin de renforcer la sécurité. Pour en savoir
plus sur WAF, consultez les procédures associées figurant dans le chapitre 12, Azure
Application Gateway et Azure WAF.
Après avoir créé l’instance Azure Front Door, passons à la prochaine procédure
et découvrons comment créer un profil Azure CDN.
254 | Azure Front Door et Azure CDN
Préparation
Avant de commencer, ouvrez le navigateur Web et accédez au portail Azure via
https://portal.azure.com.
Comment faire...
Pour créer un profil Azure CDN, procédez comme suit :
1. Dans le portail Azure, sélectionnez Create a resource (Créer une ressource), puis
dans Networking (Mise en réseau), choisissez CDN ou entrez CDN dans la barre de
recherche.
2. Dans le nouveau volet, renseignez les champs Name (Nom), Subscription
(Abonnement), Resource group (Groupe de ressources) et Pricing tier (Niveau
de tarification) : Si nous décidons de fournir un point de terminaison CDN à ce
stade, nous devons renseigner les champs CDN endpoint name (Nom du point de
terminaison CDN), Origin type (Type d'origine) et Origin hostname (Nom d'hôte
d'origine). L'option Origin hostname (Nom d'hôte d'origine) sera disponible dans la
liste déroulante, en fonction de l'option Origin type (Type d'origine) sélectionnée :
Création d’un profil Azure CDN | 255
Comment faire...
Azure CDN stocke le contenu de notre application sur des serveurs de périphérie.
Étant donné que ces serveurs de périphérie sont distribués dans les régions Azure, nous
avons des copies de contenu dans pratiquement chaque région du monde. Le contenu
est ensuite distribué aux utilisateurs à partir de l’emplacement le plus proche, en vue
de réduire la latence réseau au minimum. Imaginons qu’une application soit hébergée
en Europe de l’Ouest, et qu’un utilisateur se trouve dans la partie ouest des États-Unis.
Dans ce cas, le contenu ne sera pas délivré à partir de l’emplacement d’origine, mais de
l’emplacement le plus proche de l’utilisateur, c'est-à-dire l’ouest des États-Unis. Nous
pouvons ainsi garantir que utilisateur bénéficie d'une expérience et d'une livraison
optimales, où qu’il se trouve.
>Index
À propos de
Tous les principaux mots-clés utilisés dans ce livre sont classés par ordre alphabétique dans
cette section. Chacun est accompagné du numéro de page de l’endroit où il apparaît.
A B console : 6, 34, 39, 44,
54, 76, 79, 112-113
accès : 19, 24, 39, 49, back-end : 12, 44, 171, contrôle : 31-32,
55-56, 123-124, 175-176, 178, 180-184, 45-46, 48, 108, 110,
136, 143, 145, 163, 186-188, 190, 192-193, 140, 143, 152, 158,
166, 170, 173, 190 196-197, 201, 203, 173, 193, 211, 226
compte : 115-116, 217 207, 210, 212, 214-216, contrôlé : 124, 145
action : 36, 38, 48, 104, 241 218-219, 221-224, client : 253
adresse : 1, 3-4, 6-14, 16, 226, 229-230,
19-20, 24, 26-27, 45, 49,
51-66, 68-69, 71, 74, 76,
244-249, 251, 253
équilibreur : 37, 170-173,
D
78, 80-81, 90-91, 94, 175-182, 184-191, 195, base de données : 124
100-103, 105, 109-112, 201, 209-212, 221, 244 datacenter : 2, 6, 18-19, 23
118-121, 128, 134, 145, bastion : 5, 145-151 dédié : 23, 148, 193, 243
148-151, 154, 156-157, défini : 3, 7, 10-11, 13-14,
160-161, 166, 172, 176,
178-180, 187-190,
C 20, 24, 27, 33, 88, 91, 96,
100, 102, 116, 121, 158,
192-193, 199, 209-211, mise en cache : 254 184, 197, 201, 221, 226
214, 227, 229, 234 sans classe : 6 délégation : 8, 148
affinité : 219, 224-226, 246 client : 91, 136, 156-157, 188 supprimer : 93, 98,
alias : 90 fermé : 54 103-105, 207
allocation : 68, 192-193 clouds : 123 livraison : 243, 253-255
analyses : 116 commande : 6-7, 11-12, 34, refusé : 37, 42, 44, 143
anycast : 83 39, 44, 54, 76, 112-114 déployé : 2, 6-7,
appareil : 100-103, conditions : 231, 239, 253 33-34, 71, 150
120, 163, 166 config : 114 détacher : 26, 29
attribuer : 20, 40, configurer : 20, 39, 47, détecter : 184, 186, 234
42, 44, 55-57 73-74, 93, 112, 121, détection : 234, 238, 241
associé : 33, 40-44, 46-48, 128, 130, 133, 152, appareil : 78, 124,
56, 69, 93-95, 121, 165, 154, 163, 180, 201, 128-130, 160-163
182, 231, 240-241 203-204, 208-209, diagnostic : 107, 114-116
audit : 114, 116 218, 225, 227, 231, 236 direct : 188, 197
automatiser : 6, 34, 54, 79 connexion : 19, 53, 61, dirigé : 91, 184,
autonome : 78, 154 74-78, 81, 102, 123-128, 196-197, 224, 226
130, 133, 136-143, désactiver : 20, 58, 93,
145-146, 150-153, 156, 123, 160, 207-208, 219,
158-160, 162-166, 225, 235-236, 238
170, 219, 224-226 désactivation : 190, 208
dissocier : 96, 99
distribuer : 175, 195,
197, 201, 203
basé sur DNS : 195
-dnsName : 131
F passerelles : 73, 125-126,
136, 139, 143, 151,
domaine : 83-85, 88, 91, facteur : 42, 65 221, 224, 228, 236
121, 196, 226-227 échoué : 231 générer : 116, 130
domaines : 83, 86, basculement : 202, génération : 77
245, 250, 253 210, 244 géographique : 197, 205
télécharger : 128-130, filtrage : 45, 121-122 global : 234, 238, 243-244
136, 162 pare-feu : 5, 70-71, 74, 76, groupes : 25, 31, 45-47,
drainage : 219, 224-226 80-81, 107-108, 110-114, 54, 107, 120-121
menu déroulante: 116, 118-122, 166, 212, gwipconfig : 79
18, 56, 88, 110, 134, 231-234, 236, 246, 253
140, 240-241, 254
abandonné : 193
microprogramme : 129
cinq tuples : 188
H
dynamique : 27, 54, 58-61, flottant : 187 en-tête : 201, 247
65-66, 79, 172, 176 forcé : 107, 110, 116, 120 en-têtes : 201
forçage : 148 santé : 171, 175, 184-188,
E format : 6, 8, 12, 100,
121, 132, 201
190, 201, 210,
230-231, 249
économique : 139 transfert : 188, 201, hébergé : 84-85, 91, 255
éditeur : 135 226, 229, 251 noms d’hôte : 211-212
effet : 113, 122, 201 porte d'entrée : 253 hybride : 19, 114,
éléments : 26 front-end : 5, 12, 49, 123-124, 156
codé : 132 172, 175-176, 178,
chiffré : 128, 139
point de terminaison :
180, 184, 186-190,
192-193, 197, 201, 208,
I
54-55, 146, 166-170, 210-212, 214, 217, 227 implicite : 187, 190
173, 175, 184, 186, 195, front-ends : 214, entrant : 19, 35, 37,
197-201, 203-207, 216, 245, 250 39-40, 48-49, 54,
210, 230-231, 244, fonctions : 130 108, 175, 188-190
248, 252, 254 entrant : 31, 48, 107,
appliquer : 110
appliqué : 234 G 186-187, 197, 201,
211, 221, 226, 234
entrées : 196
passerelle : 10-11, 73-81, incomplet : 224
erreurs : 217, 227
92-93, 100, 102-103, Individuel : 26, 121,
exception : 27, 114
117, 120, 125-128, 170, 201, 236
exclure : 16, 190, 234
133-134, 136, 138-139, en vol : 226
développer : 212
143, 148, 154-155, 157, initial : 6, 13, 61
attente : 229
160, 211-214, 220-224, initier : 162
explicite : 175, 190
226-228, 230-236, inspecté : 120, 234
exporter : 131-133
240-241, 244, 253 inspection : 116
exposé : 123, 166
installer : 6
extension : 45, 107
externe : 195, 199, 201
instance : 18-19, 108,
110, 112, 121, 146-147, M N
149-150, 190, 192-193, machine : 17-18, 31, native : 173
213, 243-244,
52, 146, 150-151, 171, navigation : 252
252-253, 255
176, 189, 215, 222 imbriqué : 199, 201
intégrer : 87, 170
malveillant : 234 réseau : 1-8, 10-14, 16-18,
interface : 17, 25-29,
géré : 110, 238 20-21, 24-29, 31-34,
31-32, 42-44, 55, 57,
61, 63, 65, 67, 151, 178 gestion : 11, 22, 37, 41-44, 51, 54-55,
120-121, 123-124, 57, 61, 63, 65, 67, 71,
interne : 123, 175-179, 73-81, 83, 86-88,
181, 184, 186-188 136, 145, 150-151
responsable : 91, 140, 91-96, 100, 102-103,
Internet : 2, 24, 37, 39-40, 107-108, 110, 112, 114,
51, 100-102, 117-118, 195-198, 200-210, 244
118, 120, 122-128, 130,
120, 166, 178, 180, 190 obligatoire : 20, 216
133-134, 136, 138-140,
mappage : 186-190, 211 143, 145-152, 163-166,
intervalle : 185-186,
231, 249 maître : 1, 32, 52, 74, 170-173, 176, 178-179,
108, 124, 176, 196 182, 188-190, 197, 204,
problèmes : 59, 70,
105, 184, 234 maximum : 116, 213, 243, 254-255
192, 209, 221
mise en réseau : 1-2,
méthodes : 197, 201
K milieu : 178
17-20, 22, 25-29, 33,
45-46, 53, 70, 74,
migrer : 56 77, 83-84, 86, 92,
- keylength : 130-131
migré : 55 107, 110, 114, 116, 120,
-keyspec : 130-131
minimal : 254 149, 152-153, 170-171,
-keyusage : 131
manquant : 79, 100, 216 176, 178, 196, 213,
modifier : 80 236, 243-244, 254
L modification : 73, 80-81
étiquettes : 165
moments : 28-29, 33
surveiller : 110, 152, 184,
O
latence : 197, 204, 250,
252, 254-255 186, 188, 210, 230, 244 à la demande : 136
surveillé : 217, 227, 230-231 openvpn : 134
limité : 193, 195, 207,
209-210, 213 écrans : 227 opération : 211
multiple : 11-12, 26, 28, opérations : 80, 124, 223
limites : 178
44, 52, 67, 69, 73, 80, optimiser : 212
écouteur : 217,
226-227, 229, 241 88, 91, 99, 105, 121, optimisé : 211, 221
143, 152-153, 175, 197, origine : 204-205, 254-255
emplacement : 7, 36,
38, 53, 74, 76, 111-114, 201-203, 205, 209, sortant : 35, 37-39,
127, 133, 138, 152, 166, 211-212, 221, 223, 107-108, 110, 172,
195, 197-198, 204-205, 227, 236, 241, 254 175, 187, 190-193
236, 243-244, 255 multisite : 227 sortant : 31
- emplacement : plusieurs niveaux : 178 sortie : 7
6-7, 34, 40, 54, 76, extérieur : 14, 102, 123
79, 111, 114, 198 recoupement : 8,
verrouillé : 127, 138 11-12, 16, 134
remplacement : traitement : 223 184, 188, 201, 210-212,
219, 224-226 profil : 195-198, 201-202, 221, 224, 226-227,
présentation : 89, 128, 208 204-205, 207-208, 229-230, 234, 241, 252
243, 253-255 réacheminer : 100
P projet : 213 résolution : 83,
protocole : 36, 38, 48, 87-88, 91, 170
paramètres : 6-7, 11, 33, 74, 78, 93, 123, 127, ressource : 2, 6-7, 11, 18,
39, 45, 48, 53-54, 74, 160, 162, 184-189, 26-27, 33-34, 40, 45,
76, 111, 234, 238 192, 211, 217, 219, 225, 48, 51-62, 70, 74, 76-77,
réussi : 24 227, 231, 249-251 84, 86, 88, 92-93,
mot de passe : 19, 151 -protocole : 39-40, 112-113 110 116-117, 120-121, 127,
modèles d’application : protocoles : 187, 202, 138, 140, 149, 152, 154,
250 211-212, 221, 227 160, 165-166, 169-170,
appairage : 124, 139-140, fournisseur : 161 172, 176, 178-179, 196,
142-143, 151-152 proximité : 23 199, 209-210, 212-213,
223, 236, 244-245, 254
autoriser : 136 public : 4, 19-20, 24, 26,
réponse : 184, 239
physique : 23, 243 51-63, 65, 67, 69-71,
74, 76, 78, 80-81, limité : 136, 173
stratégie : 116, 162,
86, 101, 110-112, 120, rétention : 115-116
212, 236-241
123, 128, 135, 145, réécriture : 251, 253
potentiel : 123
149-151, 171, 175-176, en fonction du rôle : 173
powershell : 1, 6-7, 11-12, 178-181, 184, 186, 188, rotation : 230
32-34, 39-40, 44, 190-191, 197, 199, 201,
52, 54, 73-76, 79-80 -route : 114
209-210, 214, 227 routebased : 79
107-108, 111-113,
123-124, 130, 198
prédéfini : 129, 134
Q routes : 91, 93, 100,
102, 104-105, 112,
préfixe : 12, 52, 70-71, qualifié : 84, 121, 196 116-117, 120, 122, 165
76, 100-103, 118, 148 requêtes : 83 routage : 6, 69, 78,
premium : 20 83, 92, 165-166,
prépartagé : 162 R 175, 196-197, 201,
priorité : 36-39, 42, 44, 203-205, 212, 216-218,
plages : 48, 121 220-221, 223, 227-229,
48, 112-113, 195, 197,
203-204, 239, 247 redémarré : 59 244-245, 250-253
privé : 2, 11, 24, 26, 51-52,
enregistrement : 59,
83-85, 87-92 S
61-69, 71, 73, 83, 85-88,
132, 139, 143, 145-146, rediriger : 217, 224 exemple : 129, 250, 252
154, 160, 166-173, 176, redondant : 54 mise à l'échelle : 175, 203
178, 180, 201, 214, 227 régions : 195, 197-198, schildcert : 131
sondes : 171, 175, 184-185, 201, 209, 244, 254-255 -portée : 6
212, 219, 230, 249 inscrit : 84, 88 script : 7, 12, 34, 39-40,
traiter : 18, 24, 26-29, 34, distant : 123, 143 54, 79-80, 130, 198, 244
54, 79, 116, 136, 180, référentiel : 129 sécurisé : 2, 4, 123-124,
200, 210, 221, 248 demandes : 175, 178, 180, 128, 130, 136, 139,
145-146, 150, 166, 170
sécurité : 5, 8, 20, 25-27, sous-réseau : 1, 3-8, 10-12, tunnel : 107, 110, 116, 120
31-33, 35, 37-38, 14-16, 20-21, 26-27, tuples binaires : 188
45-49, 54, 107, 123, 31-33, 40-42, 44-45,
127, 146, 148, 173, 178,
231, 234, 244, 253
48-49, 62, 64, 76-77,
79-80, 83, 92-100, 102,
U
sélecteur : 162 108-112, 116, 118-121, 128, désaffecter : 57
serveur : 18, 23, 36, 83, 147-149, 151, 170, 172, non attribué : 56-58
121-122, 136, 166, 171, 176, 178-179, 197, 213 décocher : 235
184, 186, 190, 211, 226 -subnetid : 79 indéfini : 14
serveurs : 23, 26, 61, sous-réseaux : 1, 3, 5, non détecté : 184
83-84, 156-157, 169, 180, 8, 11-12, 14, 16, 31, défectueux : 185-186,
190, 211, 223, 254-255 40, 42, 49, 80-81, 230-231
partagé : 127, 138 91-97, 99-100, 108, disponibilité : 78
signature : 130-131 118, 121, 147, 176 nom d'utilisateur : 19, 151
-signataire : 131 pris en charge :
source : 36, 38, 45, 48,
172, 188, 190, 226
128-129, 201, 240
suspect : 241
V
srootcert : 130-131 basculer : 236 valider : 177, 180
autonome : 52, 87 système : 6, 78, 83, 114, 154 valeurs : 3, 54, 68, 88,
standard : 20, 54, 70, 78, 100, 109-110, 138
111, 170-171, 173, 176,
178-179, 190, 232
T variables : 239
fournisseur : 128-129, 160
démarrage : 64 tables: 85, 91-92, 98, vérifier : 136, 209
statique : 27, 54, 56, 105, 113-114, 165 version : 53-54, 70,
58-60, 62, 111, 165-166, cible : 169, 171, 178, 180, 129, 185, 187, 189
172, 176, 253 189, 199, 210, 215, 218, affichage : 11, 16-17,
état : 130, 139, 142, 222-223, 226, 229 25-26, 55, 61
230, 233, 247 seuil : 185-186, 231, 252 visibilité : 77, 120-121
stockage : 20, 115-116, 217 délai d'attente : 53, vnetname : 111
sous-domaine : 89, 91 187, 189, 192, 231 -vpntype : 79
sous-domaines : 84, 88 tolérance : 252
-sujet : 130-131 trafic : 31-32, 35-39, 42,
44-46, 48-49, 54, 73,
W
85, 91-92, 100-103, webappname : 198
107-108, 110, 112-114, poids : 203, 247
116, 120, 123, 139-140, liste blanche : 112
143, 148, 162, 166, 175, caractère générique : 253
178, 180, 184, 186-188, windows : 18, 124
190, 195-198, 200-212,
221, 223-224, 227-228,
234, 244, 253